RATUNKU JAK USUNAC TO PASKUCTWO eIwDIwxN.EXE

IP: *.wmc.net.pl 28.04.05, 20:31
Probowalam tryb awaryjny i nic recznie i nic prosze o rade .dziekuje za
pomoc i wszelkie rady
    • Gość: Kolobos Re: RATUNKU JAK USUNAC TO PASKUCTWO eIwDIwxN.EXE IP: *.warszawa.sdi.tpnet.pl 28.04.05, 20:39
      Wklej log z teg:
      www.silentrunners.org/Silent%20Runners.vbs
      Oraz z hijackthis:
      www.spychecker.com/program/hijackthis.html
      Wklej w dwoch/trzech postach bo w jednym sie oba logi nie zmieszcza.

      Ps. Wczoraj usuwalem to samo eIwDIwxN.EXE to nic trudnego.
      • Gość: SANDRA gdzie to wklejic IP: *.wmc.net.pl 28.04.05, 20:44
        a
        • Gość: Kolobos Re: gdzie to wklejic IP: *.warszawa.sdi.tpnet.pl 28.04.05, 20:51
          Tutaj na forum wklej do swojej wiadomosci, zebym mogl to zobaczyc.
          Zreszta wystarczy zobaczyc byle jaki post na tym forum zamiast pytac, zreszta
          to chyba oczywiste.
      • Gość: SANDRA Re: RATUNKU JAK USUNAC TO PASKUCTWO eIwDIwxN.EXE IP: *.wmc.net.pl 28.04.05, 20:57
        C;\PROGRAM FILES\OXXSRVOX COS TAKIEGO
        • Gość: Kolobos Re: RATUNKU JAK USUNAC TO PASKUCTWO eIwDIwxN.EXE IP: *.warszawa.sdi.tpnet.pl 28.04.05, 21:01
          Nie wiem o co Ci chodzi.

          Tutaj masz opis jak wkleic log z hijackthis:
          www.mgregor.republika.pl/
          Do tego wklej tez log z sillentrunner, do ktorego podalem link w poprzednim
          poscie i przestan juz zasmiecac :>
          Jak nie wkleisz tych log'ow to nie mamy o czym rozmawiac.
      • Gość: SANDRA WYNIK SKANOWANIA IP: *.wmc.net.pl 28.04.05, 21:03
        Logfile of HijackThis v1.99.1
        Scan saved at 21:02:20, on 2005-04-28
        Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
        MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

        Running processes:
        C:\WINDOWS\System32\smss.exe
        C:\WINDOWS\system32\winlogon.exe
        C:\WINDOWS\system32\services.exe
        C:\WINDOWS\system32\lsass.exe
        C:\WINDOWS\system32\svchost.exe
        C:\WINDOWS\System32\svchost.exe
        C:\WINDOWS\system32\spoolsv.exe
        C:\WINDOWS\Explorer.EXE
        C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
        C:\Program Files\Skype\Phone\Skype.exe
        C:\WINDOWS\system32\wscntfy.exe
        C:\Program Files\Messenger\msmsgs.exe
        C:\Program Files\BearPaw 1200TA\Driver\WATCH.exe
        C:\Program Files\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe
        C:\PROGRA~1\oxxsrvox\NxwIDwIe.exe
        C:\PROGRA~1\oxxsrvox\eIwDIwxN.exe
        C:\Program Files\Gadu-Gadu\Gg.exe
        C:\PROGRA~1\WINZIP\winzip32.exe
        C:\Documents and Settings\darek\Ustawienia lokalne\Temp\HijackThis.exe

        R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
        www.onet.pl/
        R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
        O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program
        Files\Norton AntiVirus\NavShExt.dll
        O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
        C:\WINDOWS\system32\msdxm.ocx
        O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} -
        C:\Program Files\Norton AntiVirus\NavShExt.dll
        O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
        O4 - HKLM\..\Run: [Zasobnik systemowy] SysTray.Exe
        O4 - HKLM\..\Run: [Dimension4] C:\Program Files\D4\D4.exe
        O4 - HKLM\..\Run: [MediaKey] C:\PROGRA~1\INTERN~2\MEDIAKEY.EXE
        O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02
        \bin\jusched.exe
        O4 - HKLM\..\RunServices: [MOSearch] C:\PROGRA~1\COMMON~1
        \System\MOSearch\Bin\mosearch.exe
        O4 - HKCU\..\Run: [Skype] "C:\Program
        Files\Skype\Phone\Skype.exe" /nosplash /minimized
        O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\Gg.exe" /tray
        O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
        O4 - Global Startup: Watch.lnk = C:\Program Files\BearPaw
        1200TA\Driver\WATCH.exe
        O4 - Global Startup: Ulead Photo Express 3.0 SE Calendar Checker.lnk =
        C:\Program Files\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe
        O8 - Extra context menu item: E&ksport do programu Microsoft Excel -
        res://C:\PROGRA~1\MICROS~1\OFFICE10\EXCEL.EXE/3000
        O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
        C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
        O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-
        00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
        O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
        C:\Program Files\Messenger\msmsgs.exe
        O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-
        00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
        O16 - DPF: Cdm.Sdig - www.cdm.net.pl/cdm2/sdig/aplet/SdigApplet.cab
        O16 - DPF: CDMNet - www.cdm.net.pl/cdm2/jar/CDMNetOnl.cab
        O16 - DPF: ECOnline - www.cdm.net.pl/component/ECOnline.cab
        O16 - DPF: komentator - sport.onet.pl/komentator.cab
        O16 - DPF: Win32 Classes -
        O16 - DPF: {37A49D66-2735-4BB9-8503-82BA5E2333D0} (MailCfg Control) -
        poczta.wp.pl/autoryzacja/mailcfg.ocx
        O16 - DPF: {70AA7362-0A16-11D4-877B-008048C4AC6F} (MainControl Class) -
        download.mks.com.pl/files/webscan/WebScan.cab
        O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
        skaner.mks.com.pl/SkanerOnline.cab
      • Gość: SANDRA WYNIK SKANOWANIA IP: *.wmc.net.pl 28.04.05, 21:06
        "Silent Runners.vbs", revision 36, www.silentrunners.org/
        Operating System: Windows XP SP2
        Output limited to non-default values, except where indicated by "{++}"


        Startup items buried in registry:
        ---------------------------------

        HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
        "Skype" = ""C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized"
        ["Skype Technologies S.A."]
        "Gadu-Gadu" = ""C:\Program Files\Gadu-Gadu\Gg.exe" /tray" ["sms-express.com"]
        "MSMSGS" = ""C:\Program Files\Messenger\msmsgs.exe" /background" [MS]

        HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
        "SystemTray" = "SysTray.Exe" [MS]
        "Zasobnik systemowy" = "SysTray.Exe" [MS]
        "Dimension4" = "C:\Program Files\D4\D4.exe" ["Thinking Man Software"]
        "MediaKey" = "C:\PROGRA~1\INTERN~2\MEDIAKEY.EXE" [file not found]
        "SunJavaUpdateSched" = "C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe"
        ["Sun Microsystems, Inc."]
        "" = (data in unrecognized format!)
        "aA0HT11w" = "C:\PROGRA~1\oxxsrvox\eIwDIwxN.exe" [null data]
        "ZEFJW5Uw" = "C:\PROGRA~1\oxxsrvox\eIwDIwxN.exe" [null data]
        "bwVJXsEw" = "C:\PROGRA~1\oxxsrvox\eIwDIwxN.exe" [null data]
        "QEpHTc1x" = "C:\PROGRA~1\oxxsrvox\eIwDIwxN.exe" [null data]
        "RgFHScUx" = "C:\PROGRA~1\oxxsrvox\eIwDIwxN.exe" [null data]

        HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
        {BDF3E430-B101-42AD-A544-FADC6B084872}\(Default) = "NAV Helper"
        -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Norton
        AntiVirus\NavShExt.dll" ["Symantec Corporation"]

        HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
        "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Rozszerzenie CPL kadrowania
        wyświetlania"
        -> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
        • Gość: Kolobos Re: WYNIK SKANOWANIA IP: *.warszawa.sdi.tpnet.pl 28.04.05, 21:16
          W hijackthis wybierz scan only i zaznacz ten wpis:
          O4 - HKLM\..\RunServices: [MOSearch] C:\PROGRA~1\COMMON~1
          \System\MOSearch\Bin\mosearch.exe <- zbedny wymysl MS zabierajacy zasoby
          O16 - DPF: Win32 Classes -

          I Fix Checked, teraz zajmiemy sie tym smieciem, nie widac go w hijackthis
          pewnie przez ten wpis:
          "" = (data in unrecognized format!) <- przez co hijackthis juz dalej nie
          sprawdza.
          Zrob tak:
          Start->Uruchom->regedit przejdz do galezi:
          HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

          I usun tam wpisy:
          "" = (data in unrecognized format!)
          "aA0HT11w" = "C:\PROGRA~1\oxxsrvox\eIwDIwxN.exe" [null data]
          "ZEFJW5Uw" = "C:\PROGRA~1\oxxsrvox\eIwDIwxN.exe" [null data]
          "bwVJXsEw" = "C:\PROGRA~1\oxxsrvox\eIwDIwxN.exe" [null data]
          "QEpHTc1x" = "C:\PROGRA~1\oxxsrvox\eIwDIwxN.exe" [null data]
          "RgFHScUx" = "C:\PROGRA~1\oxxsrvox\eIwDIwxN.exe" [null data]

          Nastepnie uruchom ponownie komputer i usun caly katalog:
          C:\PROGRA~1\oxxsrvox\
          • Gość: SANDRA zrobione i nic IP: *.wmc.net.pl 28.04.05, 21:35
            HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run jest tam 6
            ikon a tego nie ma
            "" = (data in unrecognized format!)
            > "aA0HT11w" = "C:\PROGRA~1\oxxsrvox\eIwDIwxN.exe" [null data]
            > "ZEFJW5Uw" = "C:\PROGRA~1\oxxsrvox\eIwDIwxN.exe" [null data]
            > "bwVJXsEw" = "C:\PROGRA~1\oxxsrvox\eIwDIwxN.exe" [null data]
            > "QEpHTc1x" = "C:\PROGRA~1\oxxsrvox\eIwDIwxN.exe" [null data]
            > "RgFHScUx" = "C:\PROGRA~1\oxxsrvox\eIwDIwxN.exe" [null data
            • Gość: SANDRA Re: zrobione i nic IP: *.wmc.net.pl 28.04.05, 21:38
              > O4 - HKLM\..\RunServices: [MOSearch] C:\PROGRA~1\COMMON~1
              > \System\MOSearch\Bin\mosearch.exe <- zbedny wymysl MS zabierajacy zasoby
              > O16 - DPF: Win32 Classes -


              to usuniete
              • Gość: Kolobos Re: zrobione i nic IP: *.warszawa.sdi.tpnet.pl 28.04.05, 21:40
                No dobra to inaczej, otworz notatnik wklej do niego to:

                Windows Registry Editor Version 5.00

                [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

                [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

                Zapisz plik jako fix.reg i kliknij na niego dwa razy, pozniej reset i po
                resecie usun katalog.
                • Gość: Kolobos Re: zrobione i nic IP: *.warszawa.sdi.tpnet.pl 28.04.05, 21:56
                  Wklej nowy log z silentrunners.
                  Czy uruchomilas fix.reg? Probowalas zamknac w menadzerze procesow:
                  eIwDIwxN.exe, a pozniej w Start->Uruchom->cmd wpisac:
                  del C:\PROGRA~1\oxxsrvox\eIwDIwxN.exe
                  Oczywiscie wczesniej musisz uruchomic reg.
                  • Gość: SANDRA nowy IP: *.wmc.net.pl 28.04.05, 22:01
                    "Silent Runners.vbs", revision 36, www.silentrunners.org/
                    Operating System: Windows XP SP2
                    Output limited to non-default values, except where indicated by "{++}"


                    Startup items buried in registry:
                    ---------------------------------

                    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
                    "Skype" = ""C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized"
                    ["Skype Technologies S.A."]
                    "Gadu-Gadu" = ""C:\Program Files\Gadu-Gadu\Gg.exe" /tray" ["sms-express.com"]
                    "MSMSGS" = ""C:\Program Files\Messenger\msmsgs.exe" /background" [MS]
                    • Gość: Kolobos Re: nowy IP: *.warszawa.sdi.tpnet.pl 28.04.05, 22:04
                      Wklej caly log, a nie tylko poczatek.
                  • Gość: SANDRA informacja IP: *.wmc.net.pl 28.04.05, 22:06
                    w menadzerze juz nie ma tego ale mks dalej wykrywa wirusa
                    • Gość: Kolobos Re: informacja IP: *.warszawa.sdi.tpnet.pl 28.04.05, 22:12
                      eh ten watek wyglada jak smietnik :(
                      Wklej wreszcie caly log z silentrunners i caly log z hijackthis, do tego napisz
                      w jakim pliku mks znajduje virusa? Usunales katalog w ktorym byl ten poprzedni
                      smiec z losowa nazwa?

                      Przeskanuj system tym:
                      housecall.trendmicro.com/housecall/start_corp.asp
                      www.windowsecurity.com/trojanscan/
                      www.pandasoftware.com/activescan/pol/activescan_principal.htm
                • Gość: SANDRA czy to juz koniec nie ma rady na to IP: *.wmc.net.pl 28.04.05, 22:24
                  aaa
                • Gość: SANDRA czy to juz koniec nie ma rady na to IP: *.wmc.net.pl 28.04.05, 22:26
                  aa
          • Gość: SANDRA nie chce sie usunac odmowa dostepu IP: *.wmc.net.pl 28.04.05, 21:53
            1
            • Gość: Kolobos Re: nie chce sie usunac odmowa dostepu IP: *.warszawa.sdi.tpnet.pl 28.04.05, 21:57
              O tutaj mial byc ten post:
              forum.gazeta.pl/forum/72,2.html?f=430&w=23314182&a=23317684
              • Gość: SANDRA hallo czy jakas inna jest droga do usuniecia IP: *.wmc.net.pl 28.04.05, 22:29
                aa
                • neder Re: hallo czy jakas inna jest droga do usuniecia 28.04.05, 22:35
                  sorry ja nie mam na temat usunięcia nic do powiedzenia ale coś innego - wysyłanie postów co 2 minuty z tekstem "aa" bądź dla odmiany "aaa" a za chwilę "halo halo" skutecznie zniechęca do pomagania ci bo to najzwyczajniej wkurza. Nikt tu nie jest w pracy i nie siedzi cały dzień, i tak jak Ty robisz coś poza siedzeniem na forum tak i inni mają swoje zajęcia. uszanuj to i poczekaj aż ktoś tu zajrzy.
                  • Gość: SANDRA neder to dolownik to doluj siebie a nie mnie IP: *.wmc.net.pl 28.04.05, 22:50
                    aaa
                    • neder Re: neder to dolownik to doluj siebie a nie mnie 28.04.05, 22:58
                      forum.gazeta.pl/forum/72,2.html?f=430&w=23314182&wv.x=2&a=23318383
          • Gość: SANDRA Re: WYNIK SKANOWANIA IP: *.wmc.net.pl 28.04.05, 21:58
            Adware.Commonname.G takim wirusem
    • Gość: Kolobos Smietnik! IP: *.warszawa.sdi.tpnet.pl 28.04.05, 23:09
      Nie pisz co chcwile jakiegos glupiego postu!
      Albo wklejasz logi albo nie bo widze, ze masz gdzies to ze ktos chce Ci pomoc,
      chociaz pomoc w Twoim przypadku nie jest latwa...
      Ten watek powinien sie skonczyc na 3-4 postach, a jest juz 27 i dalej nic bo
      nie wiem co zrobilas, a co nie.
      Ja mam tego dosyc.

Pełna wersja