blad permanentny

[Gość: ak]

Nie wiem co się dzieje, ale bez przerwy pojawia mi się infromacja, ze wystapil
problem z aplikacja explorer. exe i zostanie ona zamknieta. Po czym nastepuje
zamkniecie. Nie mozna normalnie nic zrobić.
Raport o bledach zawiera takie cos: appname: explorer. exe, appver
6.0.2800.1106, modname: unknown, modver: 0.0.0.0, offset: 771b82c6

[Gość: ak]

Nikt nie wie?

[neder]

może spróbuj przeinstalować IE?

[Gość: ak]

Używam firefoxa.
Podobno to cos o nazwie nail (???).

[Gość: Kolobos]

Wklej na forum log z hijackthis tak jak wszyscy.

[Gość: ak]

Logfile of HijackThis v1.99.0
Scan saved at 00:57:55, on 2005-05-21
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\MKS\Bin\mks_mail.exe
C:\Program Files\MKS\Bin\mks_menu.exe
C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Internet Explorer\shttps\http.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Gadu-Gadu\gg.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\SEC\Magic Tune 2.5\GammaTray.exe
C:\Program Files\SEC\Natural Color\NaturalColorLoad.exe
c:\windows\system32\knjzxyy.exe
C:\Program Files\MKS\Bin\mksmonsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\MKS\Bin\mks_scan.exe
C:\PROGRA~1\MOZILL~2\FIREFOX.EXE
C:\Program Files\Microsoft Office\Office\Winword.exe
C:\WINDOWS\System32\imapi.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\System32\dwwin.exe
C:\Documents and Settings\Właściciel\Pulpit\Nowy folder\hijack\HijackThis1.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
www.joemonster.org/
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O2 - BHO: RsyncHlpr Class - {16B238D5-80DE-47CE-8F17-B3ECE2C2248D} -
C:\WINDOWS\System32\rsyncmon.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MailScanner] C:\Program Files\MKS\Bin\mks_mail.exe
O4 - HKLM\..\Run: [MKS_MENU] C:\Program Files\MKS\Bin\mks_menu.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program
Files\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Internet Explorer] c:\Program Files\Internet
Explorer\shttps\http.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [RSync] C:\WINDOWS\System32\netsync.exe
O4 - HKLM\..\Run: [gksvyxg] c:\windows\system32\knjzxyy.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE
C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Global Startup: Color Calibration.lnk = ?
O4 - Global Startup: NaturalColorLoad.lnk = ?
O15 - Trusted Zone: *.finefind.nettraffic2cash.biz
O23 - Service: LexBce Server - Lexmark International, Inc. -
C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: MkSUpdateInt - MkS Sp. z o. o. - C:\Program
Files\MKS\bin\MkSUpdateInt.exe
O23 - Service: MkS_Vir Monitor - Unknown - C:\Program Files\MKS\Bin\mksmonsv.exe
O23 - Service: MkS_Scan - Unknown - C:\Program Files\MKS\Bin\mks_scan.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation -
C:\WINDOWS\System32\nvsvc32.exe

[Gość: Kolobos]

Sciagnij sobie killbox:
www.downloads.subratam.org/KillBox.zip
Uruchom windows w trybie awaryjnym (F5 lub F8 przy starcie systemu)

W hijackthis zaznacz te wpisy:

R2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O2 - BHO: RsyncHlpr Class - {16B238D5-80DE-47CE-8F17-B3ECE2C2248D} -
C:\WINDOWS\System32\rsyncmon.dll

O4 - HKLM\..\Run: [Internet Explorer] c:\Program Files\Internet
Explorer\shttps\http.exe
Co do tego to nie jestem pewien co to, jezeli tez nie wiesz to zaznacz to tez.

O4 - HKLM\..\Run: [RSync] C:\WINDOWS\System32\netsync.exe
O4 - HKLM\..\Run: [gksvyxg] c:\windows\system32\knjzxyy.exe
O15 - Trusted Zone: *.finefind.nettraffic2cash.biz

I Fix Chcked, nastepnie uruchom killbox zaznacz Delete file on reboot wklej
sciezke do pliku (sam/a nie szukaj tylko wklejaj gotowa) i naciskaj czerwony
przycisk ale na pytanie o reset odpowiadaj nie i tak zrob z tymi plikami:


C:\WINDOWS\System32\netsync.exe
c:\windows\system32\knjzxyy.exe
C:\WINDOWS\Nail.exe
C:\WINDOWS\System32\rsyncmon.dll
C:\WINDOWS\svcproc.exe


Co do tego:
c:\Program Files\Internet Explorer\shttps\http.exe
To nie wiem jak chcesz to usun, jak nie to nie, to nie jest żaden plik
systemowy.

Po resecie wklej nowy log z hijackthis.

[Gość: ak]

Logfile of HijackThis v1.99.0
Scan saved at 12:25:30, on 2005-05-21
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\MKS\Bin\mks_mail.exe
C:\Program Files\MKS\Bin\mks_menu.exe
C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Gadu-Gadu\gg.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\dwwin.exe
C:\Program Files\SEC\Magic Tune 2.5\GammaTray.exe
C:\Program Files\SEC\Natural Color\NaturalColorLoad.exe
C:\Program Files\MKS\Bin\mksmonsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\MKS\Bin\mks_scan.exe
C:\PROGRA~1\MOZILL~2\FIREFOX.EXE
C:\Documents and Settings\Właściciel\Pulpit\Nowy folder\hijack\HijackThis1.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
www.joemonster.org/
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MailScanner] C:\Program Files\MKS\Bin\mks_mail.exe
O4 - HKLM\..\Run: [MKS_MENU] C:\Program Files\MKS\Bin\mks_menu.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program
Files\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE
C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Global Startup: Color Calibration.lnk = ?
O4 - Global Startup: NaturalColorLoad.lnk = ?
O15 - Trusted Zone: *.finefind.nettraffic2cash.biz
O23 - Service: LexBce Server - Lexmark International, Inc. -
C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: MkSUpdateInt - MkS Sp. z o. o. - C:\Program
Files\MKS\bin\MkSUpdateInt.exe
O23 - Service: MkS_Vir Monitor - Unknown - C:\Program Files\MKS\Bin\mksmonsv.exe
O23 - Service: MkS_Scan - Unknown - C:\Program Files\MKS\Bin\mks_scan.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation -
C:\WINDOWS\System32\nvsvc32.exe


Nic nie pomaga.

[Gość: Kolobos]

Pomaga, bo juz czesci sysfu nie ma, ale Nail.exe dalej jest wiec kasuj go tyle
razy az Ci sie uda, koniecznie w trybie awaryjnym!

Do tego wklej log z NOWEGO hijackthis:
www.spychecker.com/program/hijackthis.html

Uzyj tez tego:
www.searchengines.pl/phpbb203/index.php?
s=5debf1bfeab0c89e54567f66c39699f0&act=Attach&type=post&id=459

Czy pisalem juz o Javie? Bo chyba tak, wiec zrob aktualizacje -> www.java.com !

[Gość: ak]

Nie pomaga, bo nail wciąż jest przywracany.

Logfile of HijackThis v1.99.1
Scan saved at 15:10:18, on 2005-05-21
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\MKS\Bin\mks_mail.exe
C:\Program Files\MKS\Bin\mks_menu.exe
C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Gadu-Gadu\gg.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\SEC\Magic Tune 2.5\GammaTray.exe
C:\Program Files\SEC\Natural Color\NaturalColorLoad.exe
C:\Program Files\MKS\Bin\mksmonsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\MKS\Bin\mks_scan.exe
C:\PROGRA~1\MOZILL~2\FIREFOX.EXE
C:\WINDOWS\System32\SPOOL\DRIVERS\W32X86\3\LXBLPSWX.EXE
C:\WINDOWS\System32\SPOOL\DRIVERS\W32X86\3\LXBLJSWX.EXE
C:\Program Files\Microsoft Office\Office\Winword.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\System32\dwwin.exe
c:\windows\system32\xawbib.exe
C:\Documents and Settings\Właściciel\Pulpit\Nowy folder\hijack\HijackThis2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
www.joemonster.org/
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MailScanner] C:\Program Files\MKS\Bin\mks_mail.exe
O4 - HKLM\..\Run: [MKS_MENU] C:\Program Files\MKS\Bin\mks_menu.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program
Files\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [mmqyzjf] c:\windows\system32\xawbib.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE
C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Global Startup: Color Calibration.lnk = ?
O4 - Global Startup: NaturalColorLoad.lnk = ?
O15 - Trusted Zone: *.finefind.nettraffic2cash.biz
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. -
C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: MkSUpdateInt - MkS Sp. z o. o. - C:\Program
Files\MKS\bin\MkSUpdateInt.exe
O23 - Service: MkS_Vir Monitor (MksVirMonSvc) - Unknown owner - C:\Program
Files\MKS\Bin\mksmonsv.exe
O23 - Service: MkS_Scan - Unknown owner - C:\Program Files\MKS\Bin\mks_scan.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation -
C:\WINDOWS\System32\nvsvc32.exe

[Gość: Kolobos]

No wiec jeszcze raz ;-)

Sciagnij:
www.boomspeed.com/anniefriday/fixnail.bat
Uruchom windows w trybie awaryjnym (nacisnij F5 lub F8 podczas startu systemu).

Dla pewnosci dodaj jeszcze raz do killbox'a (z zaznaczona opcja delete file on
reboot) te pliki:

C:\WINDOWS\Nail.exe
C:\WINDOWS\svcproc.exe
C:\WINDOWS\System32\DRPMON.DLL

Nie zaszkodzi tez jak sciagniesz:
forums.net-integration.net/index.php?act=Attach&type=post&id=142443
I uruchomisz:
FindIt's.bat
Czekaz az skonczy skanowac i wklejasz na forum zawartosc pliku, ktory sie
otworzy.

[Gość: ak]

To pierwsze to mi sie otawiera jakiś plik tekstowy.


Microsoft Windows XP [Wersja 5.1.2600]
PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT
BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF
WHAT IT IS LEAVE THEM ALONE.
»»»»»»»»»»»»»»»»»»»»»»»» Todo Files found »»»»»»»»»»»»»»»»»»»»»»»»»»»»»


* Todo C:\WINDOWS\System32\BRVOIP.EXE
»»»»»»»»»»»»»»»»»»»»»»»» aurora Files found »»»»»»»»»»»»»»»»»»»»»»»»»»»


»»»»»»»»»»»»»»»»»»»»»»»» Suspect's »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Dont delete file's in the section without guidance
If any doubt back them up first

* UPX! C:\WINDOWS\System32\BRVOIP.EXE
* UPX! C:\WINDOWS\System32\EGDI32.EXE
* UPX! C:\WINDOWS\System32\ETOOL.EXE
* UPX! C:\WINDOWS\System32\NLSFUNCS.EXE
* UPX! C:\WINDOWS\System32\OPENCONF.EXE
* UPX! C:\WINDOWS\System32\POKER.EXE
* UPX! C:\WINDOWS\System32\SKANER~1.EXE
* UPX! C:\WINDOWS\System32\THIN-9~1.EXE
* UPX! C:\WINDOWS\System32\UNLODCTL.EXE

»»»»» lagitamate file's can/will show in this section.

* UPX! C:\WINDOWS\System32\MSPXS3~1.DLL
* UPX! C:\WINDOWS\System\LOADER.DLL
»»»»»»»»»»»»»»»»»»»»»»»» Buddy file's »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

»»»»»»»»»»»»»»»»»»»»»»»» SAHAgent Files found »»»»»»»»»»»»»»»»»»»»»»»»»

»»»»»»»»»»»»»»»»»»»»»»»» Misc checks »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»


»»»»» Check for Windows\SYSTEM32\cache32_rtneg* folder.

Wolumin w stacji C nie ma etykiety.
Numer seryjny woluminu: 500C-5ED1

Katalog: C:\WINDOWS\SYSTEM32

»»»»» Checking for SAHAgent ico files.
Wolumin w stacji C nie ma etykiety.
Numer seryjny woluminu: 500C-5ED1

Katalog: C:\WINDOWS\system32

2005-05-15 15:08 0 creditcard32123123123asdsa.ico
2005-05-15 15:08 4˙286 greenmovie2313asaadsasfad112341231adsfa.ico
2005-05-15 00:23 4˙286 kill all spywareadsfadsf12.ico
2005-04-30 00:07 3˙262 kill popups.ico
2005-04-30 00:07 3˙262 kill spyware1.ico
2005-05-15 15:08 4˙286 mp3red51aads.ico
2005-05-15 00:23 4˙286 pop up blaster12321312.ico
2005-05-09 22:43 16˙614 popupblocker31.ico
2005-05-09 22:43 2˙238 red_kas21.ico
2005-05-15 15:08 3˙262 vh e233.ico
10 plik(˘w) 45˙782 bajt˘w
0 katalog(˘w) 3˙261˙067˙264 bajt˘w wolnych

»»»»»»»»»»»»»»»»»»»»»»»».

HKEY_CURRENT_USER\Software\aurora\AUI3d5OfSDist
HKEY_CURRENT_USER\Software\Bolger\BLI9d1OfSInst
HKEY_CURRENT_USER\Software\Bolger\BLC9n1trMsgSDisp
HKEY_CURRENT_USER\Software\Bolger\BLT9o1pListSPos
HKEY_CURRENT_USER\Software\Bolger\BLs9t1icky1S
HKEY_CURRENT_USER\Software\Bolger\BLs9t1icky2S
HKEY_CURRENT_USER\Software\Bolger\BLs9t1icky3S
HKEY_CURRENT_USER\Software\Bolger\BLs9t1icky4S
HKEY_CURRENT_USER\Software\Bolger\BLC1o9d1eOfSFinalAd
HKEY_CURRENT_USER\Software\Bolger\BLT9i1m4eOfSFinalAd
HKEY_CURRENT_USER\Software\Bolger\BLD9s1tSSEnd
HKEY_CURRENT_USER\Software\Bolger\BL9N1a4tionSCode
HKEY_CURRENT_USER\Software\Bolger\BLP9D1om
HKEY_CURRENT_USER\Software\Bolger\BLT9h1rshSCheckSIn
HKEY_CURRENT_USER\Software\Bolger\BLT9h1rshSMots
HKEY_CURRENT_USER\Software\Bolger\BLM9o1deSSync
HKEY_CURRENT_USER\Software\Bolger\BLI9n1ProgSCab
HKEY_CURRENT_USER\Software\Bolger\BLI9n1ProgSEx
HKEY_CURRENT_USER\Software\Bolger\BLI9n1ProgSLstest
HKEY_CURRENT_USER\Software\Bolger\BLE9v1nt
HKEY_CURRENT_USER\Software\ceres\CSI4d3OfSDist
HKEY_CLASSES_ROOT\BolgerDll.BolgerDllObj\
HKEY_CLASSES_ROOT\BolgerDll.BolgerDllObj\CLSID\
HKEY_CLASSES_ROOT\BolgerDll.BolgerDllObj\CurVer\
HKEY_CLASSES_ROOT\trfdsk.amo\
HKEY_CLASSES_ROOT\trfdsk.amo\CLSID\
HKEY_CLASSES_ROOT\trfdsk.amo\CurVer\
HKEY_CLASSES_ROOT\trfdsk.amo.1\
HKEY_CLASSES_ROOT\trfdsk.amo.1\CLSID\
HKEY_CLASSES_ROOT\trfdsk.iiittt\
HKEY_CLASSES_ROOT\trfdsk.iiittt\CLSID\
HKEY_CLASSES_ROOT\trfdsk.iiittt\CurVer\
HKEY_CLASSES_ROOT\trfdsk.iiittt.1\
HKEY_CLASSES_ROOT\trfdsk.iiittt.1\CLSID\
HKEY_CLASSES_ROOT\trfdsk.momo\
HKEY_CLASSES_ROOT\trfdsk.momo\CLSID\
HKEY_CLASSES_ROOT\trfdsk.momo\CurVer\
HKEY_CLASSES_ROOT\trfdsk.momo.1\
HKEY_CLASSES_ROOT\trfdsk.momo.1\CLSID\
HKEY_CLASSES_ROOT\trfdsk.ohb\
HKEY_CLASSES_ROOT\trfdsk.ohb\CLSID\
HKEY_CLASSES_ROOT\trfdsk.ohb\CurVer\
HKEY_CLASSES_ROOT\trfdsk.ohb.1\
HKEY_CLASSES_ROOT\trfdsk.ohb.1\CLSID\
HKEY_CLASSES_ROOT\Interface\{BB0D5ADC-028D-4185-9288-722DDCE2C757}\
HKEY_CLASSES_ROOT\Interface\{BB0D5ADC-028D-4185-9288-722DDCE2C757}\ProxyStubClsid\
HKEY_CLASSES_ROOT\Interface\{BB0D5ADC-028D-4185-9288-722DDCE2C757}\ProxyStubClsid32\
HKEY_CLASSES_ROOT\Interface\{BB0D5ADC-028D-4185-9288-722DDCE2C757}\TypeLib\
HKEY_CLASSES_ROOT\Interface\{BB0D5ADC-028D-4185-9288-722DDCE2C757}\TypeLib\Version
HKEY_CLASSES_ROOT\TypeLib\{92DAF5C1-2135-4E0C-B7A0-259ABFCD3904}\
HKEY_CLASSES_ROOT\TypeLib\{92DAF5C1-2135-4E0C-B7A0-259ABFCD3904}\1.1\
HKEY_CLASSES_ROOT\TypeLib\{92DAF5C1-2135-4E0C-B7A0-259ABFCD3904}\1.1\0\
HKEY_CLASSES_ROOT\TypeLib\{92DAF5C1-2135-4E0C-B7A0-259ABFCD3904}\1.1\0\win32\
HKEY_CLASSES_ROOT\TypeLib\{92DAF5C1-2135-4E0C-B7A0-259ABFCD3904}\1.1\FLAGS\
HKEY_CLASSES_ROOT\TypeLib\{92DAF5C1-2135-4E0C-B7A0-259ABFCD3904}\1.1\HELPDIR\
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Monitors\ZepMon\Driver
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Print\Monitors\ZepMon\Driver
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Print\Monitors\ZepMon\Driver

[Gość: Kolobos]

To nie jest plik tekstowy, kliknij na niego prawym przyciskiem myszki i zapisz
go na pulpicie, a nastepnie uruchom.Do tego log sie nie zmiescil caly doklej
brakujaca czesc i tylko brakujaca bo caly sie nie zmiesci w jednym poscie.

[Gość: ak]

Microsoft Windows XP [Wersja 5.1.2600]
PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT
BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF
WHAT IT IS LEAVE THEM ALONE.
»»»»»»»»»»»»»»»»»»»»»»»» Todo Files found »»»»»»»»»»»»»»»»»»»»»»»»»»»»»


* Todo C:\WINDOWS\System32\SNWJVPQ.EXE
»»»»»»»»»»»»»»»»»»»»»»»» aurora Files found »»»»»»»»»»»»»»»»»»»»»»»»»»»


»»»»»»»»»»»»»»»»»»»»»»»» Suspect's »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Dont delete file's in the section without guidance
If any doubt back them up first

* UPX! C:\WINDOWS\System32\EGDI32.EXE
* UPX! C:\WINDOWS\System32\ETOOL.EXE
* UPX! C:\WINDOWS\System32\NLSFUNCS.EXE
* UPX! C:\WINDOWS\System32\OPENCONF.EXE
* UPX! C:\WINDOWS\System32\POKER.EXE
* UPX! C:\WINDOWS\System32\SKANER~1.EXE
* UPX! C:\WINDOWS\System32\SNWJVPQ.EXE
* UPX! C:\WINDOWS\System32\THIN-9~1.EXE
* UPX! C:\WINDOWS\System32\UNLODCTL.EXE

* Sniffed C:\WINDOWS\System32\DRPMON.DLL
»»»»» lagitamate file's can/will show in this section.

* UPX! C:\WINDOWS\System32\MSPXS3~1.DLL
* UPX! C:\WINDOWS\System\LOADER.DLL
»»»»»»»»»»»»»»»»»»»»»»»» Buddy file's »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

»»»»»»»»»»»»»»»»»»»»»»»» SAHAgent Files found »»»»»»»»»»»»»»»»»»»»»»»»»

»»»»»»»»»»»»»»»»»»»»»»»» Misc checks »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»


»»»»» Check for Windows\SYSTEM32\cache32_rtneg* folder.

Wolumin w stacji C nie ma etykiety.
Numer seryjny woluminu: 500C-5ED1

Katalog: C:\WINDOWS\SYSTEM32

»»»»» Checking for SAHAgent ico files.
Wolumin w stacji C nie ma etykiety.
Numer seryjny woluminu: 500C-5ED1

Katalog: C:\WINDOWS\system32

2005-05-15 15:08 0 creditcard32123123123asdsa.ico
2005-05-15 15:08 4˙286 greenmovie2313asaadsasfad112341231adsfa.ico
2005-05-15 00:23 4˙286 kill all spywareadsfadsf12.ico
2005-04-30 00:07 3˙262 kill popups.ico
2005-04-30 00:07 3˙262 kill spyware1.ico
2005-05-15 15:08 4˙286 mp3red51aads.ico
2005-05-15 00:23 4˙286 pop up blaster12321312.ico
2005-05-09 22:43 16˙614 popupblocker31.ico
2005-05-09 22:43 2˙238 red_kas21.ico
2005-05-15 15:08 3˙262 vh e233.ico
10 plik(˘w) 45˙782 bajt˘w
0 katalog(˘w) 3˙225˙190˙400 bajt˘w wolnych

»»»»»»»»»»»»»»»»»»»»»»»».

HKEY_CURRENT_USER\Software\aurora\AUI3d5OfSDist
HKEY_CURRENT_USER\Software\Bolger\BLI9d1OfSInst
HKEY_CURRENT_USER\Software\Bolger\BLC9n1trMsgSDisp
HKEY_CURRENT_USER\Software\Bolger\BLT9o1pListSPos
HKEY_CURRENT_USER\Software\Bolger\BLs9t1icky1S
HKEY_CURRENT_USER\Software\Bolger\BLs9t1icky2S
HKEY_CURRENT_USER\Software\Bolger\BLs9t1icky3S
HKEY_CURRENT_USER\Software\Bolger\BLs9t1icky4S
HKEY_CURRENT_USER\Software\Bolger\BLC1o9d1eOfSFinalAd
HKEY_CURRENT_USER\Software\Bolger\BLT9i1m4eOfSFinalAd
HKEY_CURRENT_USER\Software\Bolger\BLD9s1tSSEnd
HKEY_CURRENT_USER\Software\Bolger\BL9N1a4tionSCode
HKEY_CURRENT_USER\Software\Bolger\BLP9D1om
HKEY_CURRENT_USER\Software\Bolger\BLT9h1rshSCheckSIn
HKEY_CURRENT_USER\Software\Bolger\BLT9h1rshSMots
HKEY_CURRENT_USER\Software\Bolger\BLM9o1deSSync
HKEY_CURRENT_USER\Software\Bolger\BLI9n1ProgSCab
HKEY_CURRENT_USER\Software\Bolger\BLI9n1ProgSEx
HKEY_CURRENT_USER\Software\Bolger\BLI9n1ProgSLstest
HKEY_CURRENT_USER\Software\Bolger\BLE9v1nt
HKEY_CURRENT_USER\Software\ceres\CSI4d3OfSDist
HKEY_CLASSES_ROOT\BolgerDll.BolgerDllObj\
HKEY_CLASSES_ROOT\BolgerDll.BolgerDllObj\CLSID\
HKEY_CLASSES_ROOT\BolgerDll.BolgerDllObj\CurVer\
HKEY_CLASSES_ROOT\trfdsk.amo\
HKEY_CLASSES_ROOT\trfdsk.amo\CLSID\
HKEY_CLASSES_ROOT\trfdsk.amo\CurVer\
HKEY_CLASSES_ROOT\trfdsk.amo.1\
HKEY_CLASSES_ROOT\trfdsk.amo.1\CLSID\
HKEY_CLASSES_ROOT\trfdsk.iiittt\
HKEY_CLASSES_ROOT\trfdsk.iiittt\CLSID\
HKEY_CLASSES_ROOT\trfdsk.iiittt\CurVer\
HKEY_CLASSES_ROOT\trfdsk.iiittt.1\
HKEY_CLASSES_ROOT\trfdsk.iiittt.1\CLSID\
HKEY_CLASSES_ROOT\trfdsk.momo\
HKEY_CLASSES_ROOT\trfdsk.momo\CLSID\
HKEY_CLASSES_ROOT\trfdsk.momo\CurVer\
HKEY_CLASSES_ROOT\trfdsk.momo.1\
HKEY_CLASSES_ROOT\trfdsk.momo.1\CLSID\
HKEY_CLASSES_ROOT\trfdsk.ohb\
HKEY_CLASSES_ROOT\trfdsk.ohb\CLSID\
HKEY_CLASSES_ROOT\trfdsk.ohb\CurVer\
HKEY_CLASSES_ROOT\trfdsk.ohb.1\
HKEY_CLASSES_ROOT\trfdsk.ohb.1\CLSID\
HKEY_CLASSES_ROOT\Interface\{BB0D5ADC-028D-4185-9288-722DDCE2C757}\
HKEY_CLASSES_ROOT\Interface\{BB0D5ADC-028D-4185-9288-722DDCE2C757}\ProxyStubClsid\
HKEY_CLASSES_ROOT\Interface\{BB0D5ADC-028D-4185-9288-722DDCE2C757}\ProxyStubClsid32\
HKEY_CLASSES_ROOT\Interface\{BB0D5ADC-028D-4185-9288-722DDCE2C757}\TypeLib\
HKEY_CLASSES_ROOT\Interface\{BB0D5ADC-028D-4185-9288-722DDCE2C757}\TypeLib\Version
HKEY_CLASSES_ROOT\TypeLib\{92DAF5C1-2135-4E0C-B7A0-259ABFCD3904}\
HKEY_CLASSES_ROOT\TypeLib\{92DAF5C1-2135-4E0C-B7A0-259ABFCD3904}\1.1\
HKEY_CLASSES_ROOT\TypeLib\{92DAF5C1-2135-4E0C-B7A0-259ABFCD3904}\1.1\0\
HKEY_CLASSES_ROOT\TypeLib\{92DAF5C1-2135-4E0C-B7A0-259ABFCD3904}\1.1\0\win32\
HKEY_CLASSES_ROOT\TypeLib\{92DAF5C1-2135-4E0C-B7A0-259ABFCD3904}\1.1\FLAGS\
HKEY_CLASSES_ROOT\TypeLib\{92DAF5C1-2135-4E0C-B7A0-259ABFCD3904}\1.1\HELPDIR\
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Monitors\ZepMon\Driver
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Print\Monitors\ZepMon\Driver
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Print\Monitors\ZepMon\Driver


To na pewno caly

[Gość: Kolobos]

Nail to nie żaden problem cos robisz zle i nie tak jak napisalem w innym
przypadku juz dawno by go nie bylo.

Uruchamiasz windows w trybie awaryjnym?
Uruchamiasz killbox'a zaznaczasz delete file on reboot, wklejasz do nieg to:
C:\WINDOWS\Nail.exe
naciskasz czerwony przycisk ale na pytanie o reset odpowiadasz nie, nastepnie
to samo robisz z:
C:\WINDOWS\System32\DRPMON.DLL
C:\WINDOWS\svcproc.exe

Bo jezeli nie to nic dziwnego, ze sie nie usuwa, a ja mam dosc pisania tego
samego pare razy.

Do tego usun jeszcze te pliki:

C:\WINDOWS\System32\EGDI32.EXE
C:\WINDOWS\System32\ETOOL.EXE
C:\WINDOWS\System32\NLSFUNCS.EXE
C:\WINDOWS\System32\OPENCONF.EXE
C:\WINDOWS\System32\POKER.EXE
C:\WINDOWS\System32\SNWJVPQ.EXE
C:\WINDOWS\System32\UNLODCTL.EXE
C:\WINDOWS\System32\THIN-9~1.EXE

Tych trzech nie jestem pewien ale ten 3 to chyba jakis kawalek dialera:
C:\WINDOWS\System32\SKANER~1.EXE
C:\WINDOWS\System32\MSPXS3~1.DLL
C:\WINDOWS\System\LOADER.DLL

Żaden z tych plikow nie jest plikiem systemowym, przed ich usunieciem zrob ich
kopie w razie czego :-)

Usun tez z katalogu C:\WINDOWS\system32 te pliki:

creditcard32123123123asdsa.ico
greenmovie2313asaadsasfad112341231adsfa.ico
kill all spywareadsfadsf12.ico
kill popups.ico
kill spyware1.ico
mp3red51aads.ico
pop up blaster12321312.ico
popupblocker31.ico
red_kas21.ico
vh e233.ico

Jak dalej nie bedziesz miala problemy z usunieciem to ja juz nie wiem jak Ci
pomoc :( Bo to wszystko jest proste i nie powinno byc z tym problemu.

[Gość: ak]

Zrobilem dokladnie tak jak pisales. Przez chwile bylo dobrze, a potem znow
wrocilo. :(

[Gość: Kolobos]

To zrob jeszcze raz.
Zobacz tutaj:
www.searchengines.pl/phpbb203/index.php?showtopic=35941
Innego sposobu jak widzisz nie ma, chyba, ze masz jakas nowa wersje nail'a ale
i tak powinien sie skasowac o ile usunelas wszystkie pliki, ktore podalem.
Czy napewno wszystkich plikow, ktore wymienilem nie ma juz na dysku?