Gość: SANDRA IP: *.wmc.net.pl 28.04.05, 20:31 Probowalam tryb awaryjny i nic recznie i nic prosze o rade .dziekuje za pomoc i wszelkie rady Odpowiedz Link Zgłoś czytaj wygodnie posty
Gość: Kolobos Re: RATUNKU JAK USUNAC TO PASKUCTWO eIwDIwxN.EXE IP: *.warszawa.sdi.tpnet.pl 28.04.05, 20:39 Wklej log z teg: www.silentrunners.org/Silent%20Runners.vbs Oraz z hijackthis: www.spychecker.com/program/hijackthis.html Wklej w dwoch/trzech postach bo w jednym sie oba logi nie zmieszcza. Ps. Wczoraj usuwalem to samo eIwDIwxN.EXE to nic trudnego. Odpowiedz Link Zgłoś
Gość: Kolobos Re: gdzie to wklejic IP: *.warszawa.sdi.tpnet.pl 28.04.05, 20:51 Tutaj na forum wklej do swojej wiadomosci, zebym mogl to zobaczyc. Zreszta wystarczy zobaczyc byle jaki post na tym forum zamiast pytac, zreszta to chyba oczywiste. Odpowiedz Link Zgłoś
Gość: SANDRA Re: RATUNKU JAK USUNAC TO PASKUCTWO eIwDIwxN.EXE IP: *.wmc.net.pl 28.04.05, 20:57 C;\PROGRAM FILES\OXXSRVOX COS TAKIEGO Odpowiedz Link Zgłoś
Gość: Kolobos Re: RATUNKU JAK USUNAC TO PASKUCTWO eIwDIwxN.EXE IP: *.warszawa.sdi.tpnet.pl 28.04.05, 21:01 Nie wiem o co Ci chodzi. Tutaj masz opis jak wkleic log z hijackthis: www.mgregor.republika.pl/ Do tego wklej tez log z sillentrunner, do ktorego podalem link w poprzednim poscie i przestan juz zasmiecac :> Jak nie wkleisz tych log'ow to nie mamy o czym rozmawiac. Odpowiedz Link Zgłoś
Gość: SANDRA WYNIK SKANOWANIA IP: *.wmc.net.pl 28.04.05, 21:03 Logfile of HijackThis v1.99.1 Scan saved at 21:02:20, on 2005-04-28 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe C:\Program Files\Skype\Phone\Skype.exe C:\WINDOWS\system32\wscntfy.exe C:\Program Files\Messenger\msmsgs.exe C:\Program Files\BearPaw 1200TA\Driver\WATCH.exe C:\Program Files\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe C:\PROGRA~1\oxxsrvox\NxwIDwIe.exe C:\PROGRA~1\oxxsrvox\eIwDIwxN.exe C:\Program Files\Gadu-Gadu\Gg.exe C:\PROGRA~1\WINZIP\winzip32.exe C:\Documents and Settings\darek\Ustawienia lokalne\Temp\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.onet.pl/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [Zasobnik systemowy] SysTray.Exe O4 - HKLM\..\Run: [Dimension4] C:\Program Files\D4\D4.exe O4 - HKLM\..\Run: [MediaKey] C:\PROGRA~1\INTERN~2\MEDIAKEY.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02 \bin\jusched.exe O4 - HKLM\..\RunServices: [MOSearch] C:\PROGRA~1\COMMON~1 \System\MOSearch\Bin\mosearch.exe O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\Gg.exe" /tray O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - Global Startup: Watch.lnk = C:\Program Files\BearPaw 1200TA\Driver\WATCH.exe O4 - Global Startup: Ulead Photo Express 3.0 SE Calendar Checker.lnk = C:\Program Files\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5- 00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E- 00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: Cdm.Sdig - www.cdm.net.pl/cdm2/sdig/aplet/SdigApplet.cab O16 - DPF: CDMNet - www.cdm.net.pl/cdm2/jar/CDMNetOnl.cab O16 - DPF: ECOnline - www.cdm.net.pl/component/ECOnline.cab O16 - DPF: komentator - sport.onet.pl/komentator.cab O16 - DPF: Win32 Classes - O16 - DPF: {37A49D66-2735-4BB9-8503-82BA5E2333D0} (MailCfg Control) - poczta.wp.pl/autoryzacja/mailcfg.ocx O16 - DPF: {70AA7362-0A16-11D4-877B-008048C4AC6F} (MainControl Class) - download.mks.com.pl/files/webscan/WebScan.cab O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - skaner.mks.com.pl/SkanerOnline.cab Odpowiedz Link Zgłoś
Gość: SANDRA WYNIK SKANOWANIA IP: *.wmc.net.pl 28.04.05, 21:06 "Silent Runners.vbs", revision 36, www.silentrunners.org/ Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "Skype" = ""C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized" ["Skype Technologies S.A."] "Gadu-Gadu" = ""C:\Program Files\Gadu-Gadu\Gg.exe" /tray" ["sms-express.com"] "MSMSGS" = ""C:\Program Files\Messenger\msmsgs.exe" /background" [MS] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "SystemTray" = "SysTray.Exe" [MS] "Zasobnik systemowy" = "SysTray.Exe" [MS] "Dimension4" = "C:\Program Files\D4\D4.exe" ["Thinking Man Software"] "MediaKey" = "C:\PROGRA~1\INTERN~2\MEDIAKEY.EXE" [file not found] "SunJavaUpdateSched" = "C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe" ["Sun Microsystems, Inc."] "" = (data in unrecognized format!) "aA0HT11w" = "C:\PROGRA~1\oxxsrvox\eIwDIwxN.exe" [null data] "ZEFJW5Uw" = "C:\PROGRA~1\oxxsrvox\eIwDIwxN.exe" [null data] "bwVJXsEw" = "C:\PROGRA~1\oxxsrvox\eIwDIwxN.exe" [null data] "QEpHTc1x" = "C:\PROGRA~1\oxxsrvox\eIwDIwxN.exe" [null data] "RgFHScUx" = "C:\PROGRA~1\oxxsrvox\eIwDIwxN.exe" [null data] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {BDF3E430-B101-42AD-A544-FADC6B084872}\(Default) = "NAV Helper" -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Rozszerzenie CPL kadrowania wyświetlania" -> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found] Odpowiedz Link Zgłoś
Gość: Kolobos Re: WYNIK SKANOWANIA IP: *.warszawa.sdi.tpnet.pl 28.04.05, 21:16 W hijackthis wybierz scan only i zaznacz ten wpis: O4 - HKLM\..\RunServices: [MOSearch] C:\PROGRA~1\COMMON~1 \System\MOSearch\Bin\mosearch.exe <- zbedny wymysl MS zabierajacy zasoby O16 - DPF: Win32 Classes - I Fix Checked, teraz zajmiemy sie tym smieciem, nie widac go w hijackthis pewnie przez ten wpis: "" = (data in unrecognized format!) <- przez co hijackthis juz dalej nie sprawdza. Zrob tak: Start->Uruchom->regedit przejdz do galezi: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run I usun tam wpisy: "" = (data in unrecognized format!) "aA0HT11w" = "C:\PROGRA~1\oxxsrvox\eIwDIwxN.exe" [null data] "ZEFJW5Uw" = "C:\PROGRA~1\oxxsrvox\eIwDIwxN.exe" [null data] "bwVJXsEw" = "C:\PROGRA~1\oxxsrvox\eIwDIwxN.exe" [null data] "QEpHTc1x" = "C:\PROGRA~1\oxxsrvox\eIwDIwxN.exe" [null data] "RgFHScUx" = "C:\PROGRA~1\oxxsrvox\eIwDIwxN.exe" [null data] Nastepnie uruchom ponownie komputer i usun caly katalog: C:\PROGRA~1\oxxsrvox\ Odpowiedz Link Zgłoś
Gość: SANDRA zrobione i nic IP: *.wmc.net.pl 28.04.05, 21:35 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run jest tam 6 ikon a tego nie ma "" = (data in unrecognized format!) > "aA0HT11w" = "C:\PROGRA~1\oxxsrvox\eIwDIwxN.exe" [null data] > "ZEFJW5Uw" = "C:\PROGRA~1\oxxsrvox\eIwDIwxN.exe" [null data] > "bwVJXsEw" = "C:\PROGRA~1\oxxsrvox\eIwDIwxN.exe" [null data] > "QEpHTc1x" = "C:\PROGRA~1\oxxsrvox\eIwDIwxN.exe" [null data] > "RgFHScUx" = "C:\PROGRA~1\oxxsrvox\eIwDIwxN.exe" [null data Odpowiedz Link Zgłoś
Gość: SANDRA Re: zrobione i nic IP: *.wmc.net.pl 28.04.05, 21:38 > O4 - HKLM\..\RunServices: [MOSearch] C:\PROGRA~1\COMMON~1 > \System\MOSearch\Bin\mosearch.exe <- zbedny wymysl MS zabierajacy zasoby > O16 - DPF: Win32 Classes - to usuniete Odpowiedz Link Zgłoś
Gość: Kolobos Re: zrobione i nic IP: *.warszawa.sdi.tpnet.pl 28.04.05, 21:40 No dobra to inaczej, otworz notatnik wklej do niego to: Windows Registry Editor Version 5.00 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] Zapisz plik jako fix.reg i kliknij na niego dwa razy, pozniej reset i po resecie usun katalog. Odpowiedz Link Zgłoś
Gość: Kolobos Re: zrobione i nic IP: *.warszawa.sdi.tpnet.pl 28.04.05, 21:56 Wklej nowy log z silentrunners. Czy uruchomilas fix.reg? Probowalas zamknac w menadzerze procesow: eIwDIwxN.exe, a pozniej w Start->Uruchom->cmd wpisac: del C:\PROGRA~1\oxxsrvox\eIwDIwxN.exe Oczywiscie wczesniej musisz uruchomic reg. Odpowiedz Link Zgłoś
Gość: SANDRA nowy IP: *.wmc.net.pl 28.04.05, 22:01 "Silent Runners.vbs", revision 36, www.silentrunners.org/ Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "Skype" = ""C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized" ["Skype Technologies S.A."] "Gadu-Gadu" = ""C:\Program Files\Gadu-Gadu\Gg.exe" /tray" ["sms-express.com"] "MSMSGS" = ""C:\Program Files\Messenger\msmsgs.exe" /background" [MS] Odpowiedz Link Zgłoś
Gość: Kolobos Re: nowy IP: *.warszawa.sdi.tpnet.pl 28.04.05, 22:04 Wklej caly log, a nie tylko poczatek. Odpowiedz Link Zgłoś
Gość: SANDRA informacja IP: *.wmc.net.pl 28.04.05, 22:06 w menadzerze juz nie ma tego ale mks dalej wykrywa wirusa Odpowiedz Link Zgłoś
Gość: Kolobos Re: informacja IP: *.warszawa.sdi.tpnet.pl 28.04.05, 22:12 eh ten watek wyglada jak smietnik :( Wklej wreszcie caly log z silentrunners i caly log z hijackthis, do tego napisz w jakim pliku mks znajduje virusa? Usunales katalog w ktorym byl ten poprzedni smiec z losowa nazwa? Przeskanuj system tym: housecall.trendmicro.com/housecall/start_corp.asp www.windowsecurity.com/trojanscan/ www.pandasoftware.com/activescan/pol/activescan_principal.htm Odpowiedz Link Zgłoś
Gość: SANDRA czy to juz koniec nie ma rady na to IP: *.wmc.net.pl 28.04.05, 22:24 aaa Odpowiedz Link Zgłoś
Gość: SANDRA czy to juz koniec nie ma rady na to IP: *.wmc.net.pl 28.04.05, 22:26 aa Odpowiedz Link Zgłoś
Gość: SANDRA nie chce sie usunac odmowa dostepu IP: *.wmc.net.pl 28.04.05, 21:53 1 Odpowiedz Link Zgłoś
Gość: Kolobos Re: nie chce sie usunac odmowa dostepu IP: *.warszawa.sdi.tpnet.pl 28.04.05, 21:57 O tutaj mial byc ten post: forum.gazeta.pl/forum/72,2.html?f=430&w=23314182&a=23317684 Odpowiedz Link Zgłoś
Gość: SANDRA hallo czy jakas inna jest droga do usuniecia IP: *.wmc.net.pl 28.04.05, 22:29 aa Odpowiedz Link Zgłoś
neder Re: hallo czy jakas inna jest droga do usuniecia 28.04.05, 22:35 sorry ja nie mam na temat usunięcia nic do powiedzenia ale coś innego - wysyłanie postów co 2 minuty z tekstem "aa" bądź dla odmiany "aaa" a za chwilę "halo halo" skutecznie zniechęca do pomagania ci bo to najzwyczajniej wkurza. Nikt tu nie jest w pracy i nie siedzi cały dzień, i tak jak Ty robisz coś poza siedzeniem na forum tak i inni mają swoje zajęcia. uszanuj to i poczekaj aż ktoś tu zajrzy. Odpowiedz Link Zgłoś
Gość: SANDRA neder to dolownik to doluj siebie a nie mnie IP: *.wmc.net.pl 28.04.05, 22:50 aaa Odpowiedz Link Zgłoś
neder Re: neder to dolownik to doluj siebie a nie mnie 28.04.05, 22:58 forum.gazeta.pl/forum/72,2.html?f=430&w=23314182&wv.x=2&a=23318383 Odpowiedz Link Zgłoś
Gość: SANDRA Re: WYNIK SKANOWANIA IP: *.wmc.net.pl 28.04.05, 21:58 Adware.Commonname.G takim wirusem Odpowiedz Link Zgłoś
Gość: Kolobos Smietnik! IP: *.warszawa.sdi.tpnet.pl 28.04.05, 23:09 Nie pisz co chcwile jakiegos glupiego postu! Albo wklejasz logi albo nie bo widze, ze masz gdzies to ze ktos chce Ci pomoc, chociaz pomoc w Twoim przypadku nie jest latwa... Ten watek powinien sie skonczyc na 3-4 postach, a jest juz 27 i dalej nic bo nie wiem co zrobilas, a co nie. Ja mam tego dosyc. Odpowiedz Link Zgłoś