bardzo prosze o sprawdzenie loga

IP: *.internetdsl.tpnet.pl 12.04.05, 16:31
Logfile of HijackThis v1.99.1
Scan saved at 16:26:55, on 2005-04-12
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\System32\nvsvc32.exe
D:\Program Files\D-Link AirPlus\AirPlus.exe
C:\Program Files\Avant Browser\avant.exe
C:\Program Files\Gadu-Gadu\gg.exe
C:\hijack\hijackthis.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
res://D:\DOCUME~1\Marcin\USTAWI~1\Temp\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar =
res://D:\DOCUME~1\Marcin\USTAWI~1\Temp\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no
file)
O2 - BHO: DownloadRedirect Class - {00000000-6CB0-410C-8C3D-8FA8D2011D0A} -
D:\Program Files\iMesh\iMesh5\iMeshBHO.dll
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} -
D:\WINDOWS\nem220.dll (file missing)
O2 - BHO: CeresObj Class - {00000049-8F91-4D9C-9573-F016E7626484} -
D:\WINDOWS\ceres.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
D:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: IE Update Class - {5B4AB8E2-6DC5-477A-B637-BF3C1A2E5993} -
D:\WINDOWS\isrvs\sysupd.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} -
D:\PROGRA~1\FLASHGET\jccatch.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
D:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} -
D:\PROGRA~1\FLASHGET\fgiebar.dll
O4 - Global Startup: D-Link AirPlus.lnk = ?
O8 - Extra context menu item: Blokuj wszystkie obrazy z tego serwera -
C:\Program Files\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Dodaj do listy blokowanych reklam - C:\Program
Files\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: E&ksport do programu Microsoft Excel -
res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Otwórz wszystkie adresy z tej strony... -
C:\Program Files\Avant Browser\OpenAllLinks.htm
O8 - Extra context menu item: Podświetl - C:\Program Files\Avant
Browser\Highlight.htm
O8 - Extra context menu item: Szukaj - C:\Program Files\Avant
Browser\Search.htm
O8 - Extra context menu item: Ściągnij przy pomocy FlashGet'a - D:\Program
Files\FlashGet\jc_link.htm
O8 - Extra context menu item: Ściągnij wszystko przy pomocy FlashGet'a -
D:\Program Files\FlashGet\jc_all.htm
O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -
D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} -
D:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-
00aa003c157a} - D:\WINDOWS\web\related.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} -
D:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-
0050BA6940E3} - D:\PROGRA~1\FLASHGET\flashget.exe
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.iframedollars.biz
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.xxxtoolbar.com
O15 - Trusted Zone: *.ysbweb.com
O15 - Trusted Zone: *.blazefind.com (HKLM)
O15 - Trusted Zone: *.clickspring.net (HKLM)
O15 - Trusted Zone: *.flingstone.com (HKLM)
O15 - Trusted Zone: *.iframedollars.biz (HKLM)
O15 - Trusted Zone: *.mt-download.com (HKLM)
O15 - Trusted Zone: *.my-internet.info (HKLM)
O15 - Trusted Zone: *.searchbarcash.com (HKLM)
O15 - Trusted Zone: *.searchmiracle.com (HKLM)
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.slotch.com (HKLM)
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted Zone: *.xxxtoolbar.com (HKLM)
O15 - Trusted Zone: *.ysbweb.com (HKLM)
O15 - Trusted IP range: 213.159.117.202
O15 - Trusted IP range: 213.159.117.202 (HKLM)
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-
its:mhtml:file://C:\nosuch.mht!
213.159.117.203/dl/adv662/x.chm::/load.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - ms-
its:mhtml:file://c:\nosuxxx.mht!
www.kazaalite.pl/stats/xaw.chm::/bridge-c18.cab
O16 - DPF: {79849612-A98F-45B8-95E9-4D13C7B6B35C} (Loader2 Control) -
iframedollars.biz/tb/loader2.ocx
O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
bezpieczenstwo.onet.pl/skaner/SkanerOnline.cab
O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} -
D:\WINDOWS\isrvs\mfiltis.dll
O18 - Filter: text/plain - {D5CFF8D2-FE47-47C1-850A-195EFE6512A5} - (no file)
O20 - Winlogon Notify: draw32 - D:\WINDOWS\SYSTEM32\draw32.dll
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation -
D:\WINDOWS\System32\nvsvc32.exe
O23 - Service: StyleXPService - Unknown owner - D:\Program
Files\TGTSoft\StyleXP\StyleXPService.exe

mam identyczny problem jak wielu mioch poprzedników z zablokowaną tapetą I tu
pytanie : które wpisy są błędne które usunąć ??
    • Gość: Kolobos Re: bardzo prosze o sprawdzenie loga IP: *.warszawa.sdi.tpnet.pl 12.04.05, 16:44
      Uzyj tego:
      www.derbilk.de/SpSeHjfix110.zip
      Odinstaluj iMesh i nie korzystaj z niego wiecej, zainstaluj sobie zamiast niego
      np. slsk albo emule itp.


      Usun te wpisy w hijackthis:

      > R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
      > 213.159.117.134/index.php
      > R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
      > res://D:\DOCUME~1\Marcin\USTAWI~1\Temp\se.dll/sp.html
      > R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
      > R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
      > 213.159.117.134/index.php
      > R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar =
      > res://D:\DOCUME~1\Marcin\USTAWI~1\Temp\se.dll/sp.html
      > R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
      > R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
      > 213.159.117.134/index.php
      > R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
      > about:blank
      > R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
      > about:blank
      > R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
      > 213.159.117.134/index.php
      > R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
      > R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
      > 213.159.117.134/index.php
      > R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
      > R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no
      > file)
      > O2 - BHO: DownloadRedirect Class - {00000000-6CB0-410C-8C3D-8FA8D2011D0A} -
      > D:\Program Files\iMesh\iMesh5\iMeshBHO.dll
      > O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} -
      > D:\WINDOWS\nem220.dll (file missing)
      > O2 - BHO: CeresObj Class - {00000049-8F91-4D9C-9573-F016E7626484} -
      > D:\WINDOWS\ceres.dll
      > O2 - BHO: IE Update Class - {5B4AB8E2-6DC5-477A-B637-BF3C1A2E5993} -
      > D:\WINDOWS\isrvs\sysupd.dll
      > O15 - Trusted Zone: *.blazefind.com
      > O15 - Trusted Zone: *.clickspring.net
      > O15 - Trusted Zone: *.flingstone.com
      > O15 - Trusted Zone: *.iframedollars.biz
      > O15 - Trusted Zone: *.mt-download.com
      > O15 - Trusted Zone: *.my-internet.info
      > O15 - Trusted Zone: *.searchbarcash.com
      > O15 - Trusted Zone: *.searchmiracle.com
      > O15 - Trusted Zone: *.skoobidoo.com
      > O15 - Trusted Zone: *.slotch.com
      > O15 - Trusted Zone: *.slotchbar.com
      > O15 - Trusted Zone: *.windupdates.com
      > O15 - Trusted Zone: *.xxxtoolbar.com
      > O15 - Trusted Zone: *.ysbweb.com
      > O15 - Trusted Zone: *.blazefind.com (HKLM)
      > O15 - Trusted Zone: *.clickspring.net (HKLM)
      > O15 - Trusted Zone: *.flingstone.com (HKLM)
      > O15 - Trusted Zone: *.iframedollars.biz (HKLM)
      > O15 - Trusted Zone: *.mt-download.com (HKLM)
      > O15 - Trusted Zone: *.my-internet.info (HKLM)
      > O15 - Trusted Zone: *.searchbarcash.com (HKLM)
      > O15 - Trusted Zone: *.searchmiracle.com (HKLM)
      > O15 - Trusted Zone: *.skoobidoo.com (HKLM)
      > O15 - Trusted Zone: *.slotch.com (HKLM)
      > O15 - Trusted Zone: *.slotchbar.com (HKLM)
      > O15 - Trusted Zone: *.windupdates.com (HKLM)
      > O15 - Trusted Zone: *.xxxtoolbar.com (HKLM)
      > O15 - Trusted Zone: *.ysbweb.com (HKLM)
      > O15 - Trusted IP range: 213.159.117.202
      > O15 - Trusted IP range: 213.159.117.202 (HKLM)
      > O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-
      > its:mhtml:file://C:\nosuch.mht!
      > 213.159.117.203/dl/adv662/x.chm::/load.exe
      > O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - ms-
      > its:mhtml:file://c:\nosuxxx.mht!
      > www.kazaalite.pl/stats/xaw.chm::/bridge-c18.cab
      > O16 - DPF: {79849612-A98F-45B8-95E9-4D13C7B6B35C} (Loader2 Control) -
      > iframedollars.biz/tb/loader2.ocx
      > O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} -
      > D:\WINDOWS\isrvs\mfiltis.dll
      > O18 - Filter: text/plain - {D5CFF8D2-FE47-47C1-850A-195EFE6512A5} - (no file)
      > O20 - Winlogon Notify: draw32 - D:\WINDOWS\SYSTEM32\draw32.dll

      I Fix Checked, reset i wklej nowy log.

      Tutaj masz tapete:
      www.searchengines.pl/phpbb203/index.php?showtopic=31936
      tutaj:
      www.searchengines.pl/phpbb203/index.php?showtopic=12510&st=0&p=109496&#entry132561
      opis usuwania tego rootkita -> D:\WINDOWS\SYSTEM32\draw32.dll
      istbar masz tutaj:
      www.searchengines.pl/phpbb203/index.php?showtopic=12510&st=0&#entry95742
      Jak juz wszystko usuniesz to wklej nowy log.
      • Gość: marcinoo !apihook IP: *.internetdsl.tpnet.pl 12.04.05, 16:55
        wielkie dzięki, zaraz sie za to zabieram :]
        mógłbys mi jeszcze powiedzieć co to takiego !apihook - na dysku C są takie dwa
        pliki właśnie o tej nazwie, jeden textowy. po każdym usunięciu sie odnawia. Co
        z tym zrobić ??
        • Gość: Kolobos Re: !apihook IP: *.warszawa.sdi.tpnet.pl 12.04.05, 18:15
          Nie wiem co tworzy te pliki.

          Przeskanuj system tym:
          housecall.trendmicro.com/housecall/start_corp.asp
          www.windowsecurity.com/trojanscan/
          www.pandasoftware.com/activescan/com/activescan_principal.htm
          • Gość: marcinoo log IP: *.internetdsl.tpnet.pl 12.04.05, 21:33
            nowy log
            Logfile of HijackThis v1.99.1
            Scan saved at 21:32:44, on 2005-04-12
            Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
            MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

            Running processes:
            D:\WINDOWS\System32\smss.exe
            D:\WINDOWS\system32\services.exe
            D:\WINDOWS\system32\lsass.exe
            D:\WINDOWS\system32\svchost.exe
            D:\WINDOWS\System32\svchost.exe
            D:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
            D:\WINDOWS\system32\spoolsv.exe
            D:\WINDOWS\Explorer.EXE
            D:\Program Files\D-Link AirPlus\AirPlus.exe
            D:\WINDOWS\System32\nvsvc32.exe
            C:\Program Files\Avant Browser\avant.exe
            C:\Program Files\Kazaa Lite Rewolucja\kazaalite.kpp
            C:\hijack\hijackthis.com

            R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
            O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
            D:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
            O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\PROGRA~1
            \FLASHGET\jccatch.dll
            O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
            D:\WINDOWS\System32\msdxm.ocx
            O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} -
            D:\PROGRA~1\FLASHGET\fgiebar.dll
            O4 - Global Startup: D-Link AirPlus.lnk = ?
            O8 - Extra context menu item: Blokuj wszystkie obrazy z tego serwera -
            C:\Program Files\Avant Browser\AddAllToADBlackList.htm
            O8 - Extra context menu item: Dodaj do listy blokowanych reklam - C:\Program
            Files\Avant Browser\AddToADBlackList.htm
            O8 - Extra context menu item: E&ksport do programu Microsoft Excel -
            res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
            O8 - Extra context menu item: Otwórz wszystkie adresy z tej strony... -
            C:\Program Files\Avant Browser\OpenAllLinks.htm
            O8 - Extra context menu item: Podświetl - C:\Program Files\Avant
            Browser\Highlight.htm
            O8 - Extra context menu item: Szukaj - C:\Program Files\Avant Browser\Search.htm
            O8 - Extra context menu item: Ściągnij przy pomocy FlashGet'a - D:\Program
            Files\FlashGet\jc_link.htm
            O8 - Extra context menu item: Ściągnij wszystko przy pomocy FlashGet'a -
            D:\Program Files\FlashGet\jc_all.htm
            O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -
            D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
            O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} -
            D:\WINDOWS\web\related.htm
            O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-
            00aa003c157a} - D:\WINDOWS\web\related.htm
            O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} -
            D:\PROGRA~1\FLASHGET\flashget.exe
            O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-
            0050BA6940E3} - D:\PROGRA~1\FLASHGET\flashget.exe
            O15 - Trusted Zone: *.blazefind.com (HKLM)
            O15 - Trusted Zone: *.clickspring.net (HKLM)
            O15 - Trusted Zone: *.flingstone.com (HKLM)
            O15 - Trusted Zone: *.iframedollars.biz (HKLM)
            O15 - Trusted Zone: *.mt-download.com (HKLM)
            O15 - Trusted Zone: *.my-internet.info (HKLM)
            O15 - Trusted Zone: *.searchbarcash.com (HKLM)
            O15 - Trusted Zone: *.searchmiracle.com (HKLM)
            O15 - Trusted Zone: *.skoobidoo.com (HKLM)
            O15 - Trusted Zone: *.slotch.com (HKLM)
            O15 - Trusted Zone: *.slotchbar.com (HKLM)
            O15 - Trusted Zone: *.windupdates.com (HKLM)
            O15 - Trusted Zone: *.xxxtoolbar.com (HKLM)
            O15 - Trusted Zone: *.ysbweb.com (HKLM)
            O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-
            its:mhtml:file://C:\nosuch.mht!http://213.159.117.203/dl/adv662/x.chm::/load.exe
            O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - ms-
            its:mhtml:file://c:\nosuxxx.mht!http://www.kazaalite.pl/stats/xaw.chm::/bridge-
            c18.cab
            O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
            bezpieczenstwo.onet.pl/skaner/SkanerOnline.cab
            O20 - Winlogon Notify: draw32 - D:\WINDOWS\SYSTEM32\draw32.dll
            O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation -
            D:\WINDOWS\System32\nvsvc32.exe
            O23 - Service: StyleXPService - Unknown owner - D:\Program
            Files\TGTSoft\StyleXP\StyleXPService.exe

            • Gość: Kolobos Re: log IP: *.warszawa.sdi.tpnet.pl 12.04.05, 21:44
              Dalej widze haxdoor'a, usun go tak jak masz tutaj opisane:
              www.searchengines.pl/phpbb203/index.php?showtopic=12510&st=0&p=109496&#entry132561
              Jest to wersja C

              Do tego:
              > O15 - Trusted Zone: *.blazefind.com (HKLM)
              > O15 - Trusted Zone: *.clickspring.net (HKLM)
              > O15 - Trusted Zone: *.flingstone.com (HKLM)
              > O15 - Trusted Zone: *.iframedollars.biz (HKLM)
              > O15 - Trusted Zone: *.mt-download.com (HKLM)
              > O15 - Trusted Zone: *.my-internet.info (HKLM)
              > O15 - Trusted Zone: *.searchbarcash.com (HKLM)
              > O15 - Trusted Zone: *.searchmiracle.com (HKLM)
              > O15 - Trusted Zone: *.skoobidoo.com (HKLM)
              > O15 - Trusted Zone: *.slotch.com (HKLM)
              > O15 - Trusted Zone: *.slotchbar.com (HKLM)
              > O15 - Trusted Zone: *.windupdates.com (HKLM)
              > O15 - Trusted Zone: *.xxxtoolbar.com (HKLM)
              > O15 - Trusted Zone: *.ysbweb.com (HKLM)

              Uzyj killtrusted:
              www.searchengines.pl/phpbb203/index.php?s=5debf1bfeab0c89e54567f66c39699f0&act=Attach&type=post&id=459

              W hijackthis usun to:
              > O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-
              > its:mhtml:file://C:\nosuch.mht!
              213.159.117.203/dl/adv662/x.chm::/load.exe
              > O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - ms-
              > its:mhtml:file://c:\nosuxxx.mht!
              www.kazaalite.pl/stats/xaw.chm::/bridge-
              > c18.cab
              No i tego backdoor'a ale jego to zgodnie z opisem.
              > O20 - Winlogon Notify: draw32 - D:\WINDOWS\SYSTEM32\draw32.dll


              Jak juz wszystko zrobisz i jak juz nie bedzie w logu:
              D:\WINDOWS\SYSTEM32\draw32.dll

              To wklej nowy log.
              • Gość: marcinoo Re: log IP: *.internetdsl.tpnet.pl 12.04.05, 22:14
                wszystko byłoby ładnie pięknie gdyby nie to że na wyszukiwarka nie znajduje
                plików tj draw32.dll i tych z listy <z wersji C> Masz pomysł ?
                pozostałe udało mnie sie usunąć
          • Gość: marcinoo Re: !apihook IP: *.internetdsl.tpnet.pl 12.04.05, 21:45
            po wejściu na podane linki ze skanerami dzieje sie dziwna rzecz - zamyka sie
            przeglądarka <avant Browser> Jaka może być tego przyczyna ??
            • Gość: barracuda7110 Re: !apihook IP: *.dsl.telepac.pt 12.04.05, 21:57
              Na skaner na stronie trendmicro dostaniesz się także używając alternatywnej
              przeglądarki (firefox, opera, mozilla), w które to nie właduje Ci się żaden z
              opisanych przez Ciebie śmieci. Ściągnij sobie antywirusa (darmowy) stąd:
              www.free-av.com/
              ps widzę, że avant browser nie jest tak cudowny jak niektórzy pisali.
            • Gość: barracuda7110 ps IP: *.dsl.telepac.pt 12.04.05, 21:58
              Widocznie złapałeś wirusa, który blokuje dostęp do stron ze skanerami
              antywirusowymi.
              • Gość: marcinoo Re: ps IP: *.internetdsl.tpnet.pl 12.04.05, 22:01
                niekoniecznie bo udaje mi sie wejśc na skaner mks - tylko nim skanuje system :]
                • Gość: marcinoo Re: ps IP: *.internetdsl.tpnet.pl 12.04.05, 22:10
                  problemów nie ma końca. Tym razem po wykonaniu wszystkich zaleceń odnośnie
                  zablokowania pulpitu i prawego przycisku myszy ze strony
                  www.searchengines.pl/phpbb203/index.php?showtopic=31936 po uruchomieniu
                  komputera, na pulpicie<wszystko jest ok prócz tego> pojawia sie
                  komunikatnastępujący D:\Documents and Settings\Marcin\Pulpit odwołuje sie do
                  lokalizacji która jest niedostępna<...> Jeśli nadal nie bedzie można
                  zlokalizować informacji być może zostały one przeniesione w inne położenie"
                  J co z tym fantem zrobić ?
                  • Gość: Kolobos Re: ps IP: *.warszawa.sdi.tpnet.pl 12.04.05, 22:54
                    Cos pewnie ustawiles zle albo zmieniles nie tam gdzie trzeba co i gdzie nie
                    wiem.Sprawdz wszystko dokladnie.Skanery uruchom sobie w czystym oknie IE bez
                    Avant'a.Wklej tez nowy log z hijackthis.


                    • Gość: marcinoo Re: ps IP: *.internetdsl.tpnet.pl 12.04.05, 22:59
                      udało mi sie zeskanować dysk Pandą,raport :
                      Incident Status
                      Location




                      Adware:Adware/Aureate-Radiate No disinfected
                      C:\WINDOWS\SYSTEM\adimage.dll



                      Adware:Adware/Aureate-Radiate No disinfected
                      C:\WINDOWS\SYSTEM\tfde.dll



                      Adware:Adware/Aureate-Radiate No disinfected
                      C:\WINDOWS\SYSTEM\ipcclient.dll



                      Adware:Adware/Aureate-Radiate No disinfected
                      C:\WINDOWS\SYSTEM\htmdeng.exe



                      Adware:Adware/WUpd No disinfected
                      C:\WINDOWS\Ustawienia lokalne\Temporary Internet Files\Content.IE5\S6QSFH74
                      \AdStatComm
                      [1].dll


                      Adware:Adware/WinAD No disinfected
                      C:\WINDOWS\Ustawienia lokalne\Temporary Internet Files\Content.IE5
                      \ZE84IQCD\bridge-c18[1].cab
                      [AdStatServX.dll]


                      Spyware:Spyware/BetterInet No disinfected
                      C:\hijack\backups\backup-20050412-171423-
                      716.dll


                      Adware:Adware/ISearch No disinfected
                      C:\hijack\backups\backup-20050412-171423-
                      100.dll


                      Adware:Adware/Gator No disinfected C:\Program
                      Files\DivX\DivX Pro
                      Codec\gain_trickler_3202.exe


                      Virus:Trj/Qukart.J Disinfected D:\WINDOWS\system32
                      \Ggiafc32.dll


                      Adware:Adware/IPInsight No disinfected
                      D:\WINDOWS\inf\farmmext.inf



                      Virus:Trj/Downloader.BSA Disinfected
                      D:\WINDOWS\loadnew.exe



                      Virus:Trj/Downloader.BBA Disinfected
                      D:\WINDOWS\ms2.exe



                      Adware:Adware/ISearch No disinfected
                      D:\WINDOWS\delprot.ini



                      Adware:Adware/ISearch No disinfected
                      D:\WINDOWS\isrvs\isearch.xpi[isearch.jar]
                      [isearch.js]


                      Adware:Adware/ISearch No disinfected
                      D:\WINDOWS\isrvs\ffisearch.exe



                      Adware:Adware/FIsearch No disinfected
                      D:\WINDOWS\isrvs\edmond.exe
                      (1).VIR


                      Adware:Adware/Ucmore No disinfected
                      D:\WINDOWS\IEMenuExtension.exe



                      Adware:Adware/WUpd No disinfected D:\Documents and
                      Settings\Marcin\Ustawienia lokalne\Temporary Internet Files\Content.IE5
                      \UP7CH47A\MediaPass
                      [1].exe

                      Adware:Adware/MediaTickets No disinfected D:\Documents and
                      Settings\Marcin\Ustawienia lokalne\Temporary Internet Files\Content.IE5
                      \3VPFRD8W\MediaTicketsInstaller
                      [1].cab

                      Adware:Adware/MediaTickets No disinfected D:\Documents and
                      Settings\Marcin\Ustawienia lokalne\Temporary Internet Files\Content.IE5
                      \3VPFRD8W\MediaTicketsInstaller[1].cab
                      [MediaTicketsInstaller.ocx]

                      Adware:Adware/MediaTickets No disinfected D:\Documents and
                      Settings\Marcin\Ustawienia lokalne\Temporary Internet Files\Content.IE5
                      \3VPFRD8W\MediaTicketsInstaller[1].cab
                      [MediaTicketsInstaller.INF]

                      Adware:Adware/WUpd No disinfected D:\Documents and
                      Settings\Marcin\Ustawienia lokalne\Temporary Internet Files\Content.IE5
                      \1IHM1U5E\index
                      [6].htm

                      Adware:Adware/WUpd No disinfected D:\Documents and
                      Settings\Marcin\Ustawienia lokalne\Temporary Int
                      • Gość: marcinoo nowy log IP: *.internetdsl.tpnet.pl 12.04.05, 23:00
                        Logfile of HijackThis v1.99.1
                        Scan saved at 22:58:51, on 2005-04-12
                        Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
                        MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

                        Running processes:
                        D:\WINDOWS\System32\smss.exe
                        D:\WINDOWS\system32\services.exe
                        D:\WINDOWS\system32\lsass.exe
                        D:\WINDOWS\system32\svchost.exe
                        D:\WINDOWS\System32\svchost.exe
                        D:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
                        D:\WINDOWS\system32\spoolsv.exe
                        D:\WINDOWS\Explorer.EXE
                        D:\Program Files\D-Link AirPlus\AirPlus.exe
                        D:\WINDOWS\System32\nvsvc32.exe
                        C:\Program Files\Avant Browser\avant.exe
                        D:\WINDOWS\system32\NOTEPAD.EXE
                        C:\hijack\hijackthis.com

                        R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
                        R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
                        O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
                        D:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
                        O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\PROGRA~1
                        \FLASHGET\jccatch.dll
                        O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
                        D:\WINDOWS\System32\msdxm.ocx
                        O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} -
                        D:\PROGRA~1\FLASHGET\fgiebar.dll
                        O4 - Global Startup: D-Link AirPlus.lnk = ?
                        O8 - Extra context menu item: Blokuj wszystkie obrazy z tego serwera -
                        C:\Program Files\Avant Browser\AddAllToADBlackList.htm
                        O8 - Extra context menu item: Dodaj do listy blokowanych reklam - C:\Program
                        Files\Avant Browser\AddToADBlackList.htm
                        O8 - Extra context menu item: E&ksport do programu Microsoft Excel -
                        res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
                        O8 - Extra context menu item: Otwórz wszystkie adresy z tej strony... -
                        C:\Program Files\Avant Browser\OpenAllLinks.htm
                        O8 - Extra context menu item: Podświetl - C:\Program Files\Avant
                        Browser\Highlight.htm
                        O8 - Extra context menu item: Szukaj - C:\Program Files\Avant Browser\Search.htm
                        O8 - Extra context menu item: Ściągnij przy pomocy FlashGet'a - D:\Program
                        Files\FlashGet\jc_link.htm
                        O8 - Extra context menu item: Ściągnij wszystko przy pomocy FlashGet'a -
                        D:\Program Files\FlashGet\jc_all.htm
                        O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -
                        D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
                        O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} -
                        D:\WINDOWS\web\related.htm
                        O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-
                        00aa003c157a} - D:\WINDOWS\web\related.htm
                        O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} -
                        D:\PROGRA~1\FLASHGET\flashget.exe
                        O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-
                        0050BA6940E3} - D:\PROGRA~1\FLASHGET\flashget.exe
                        O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -
                        www.pandasoftware.com/activescan/as5/asinst.cab
                        O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
                        bezpieczenstwo.onet.pl/skaner/SkanerOnline.cab
                        O20 - Winlogon Notify: draw32 - D:\WINDOWS\SYSTEM32\draw32.dll
                        O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation -
                        D:\WINDOWS\System32\nvsvc32.exe
                        O23 - Service: StyleXPService - Unknown owner - D:\Program
                        Files\TGTSoft\StyleXP\StyleXPService.exe

Pełna wersja