Forum Komputery Wirusy, trojany, spyware
ZMIEŃ
    Dodaj do ulubionych

    prosze o sprawdzenie loga

    IP: *.aster.pl 23.07.05, 01:36
    Logfile of HijackThis v1.99.1
    Scan saved at 01:30:47, on 2005-07-23
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\Explorer.exe
    C:\WINDOWS\system32\init32m.exe
    A:\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
    195.95.218.172/index.php
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
    195.95.218.172/index.php
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
    195.95.218.172/index.php
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
    195.95.218.172/index.php
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
    195.95.218.172/index.php
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
    195.95.218.172/index.php
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet
    Settings,AutoConfigURL = www.aster.pl/aster.pac
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet
    Settings,ProxyServer = w3cache.aster.pl:8080
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
    F2 - REG:system.ini: Shell=Explorer.exe init32m.exe
    O1 - Hosts: 127.0.0.3 n-glx.s-redirect.com
    O1 - Hosts: 127.0.0.3 x.full-tgp.net
    O1 - Hosts: 127.0.0.3 counter.sexmaniack.com
    O1 - Hosts: 127.0.0.3 autoescrowpay.com
    O1 - Hosts: 127.0.0.3 www.autoescrowpay.com
    O1 - Hosts: 127.0.0.3 www.awmdabest.com
    O1 - Hosts: 127.0.0.3 www.sexfiles.nu
    O1 - Hosts: 127.0.0.3 awmdabest.com
    O1 - Hosts: 127.0.0.3 sexfiles.nu
    O1 - Hosts: 127.0.0.3 allforadult.com
    O1 - Hosts: 127.0.0.3 www.allforadult.com
    O1 - Hosts: 127.0.0.3 www.iframe.biz
    O1 - Hosts: 127.0.0.3 iframe.biz
    O1 - Hosts: 127.0.0.3 www.newiframe.biz
    O1 - Hosts: 127.0.0.3 newiframe.biz
    O1 - Hosts: 127.0.0.3 www.vesbiz.biz
    O1 - Hosts: 127.0.0.3 vesbiz.biz
    O1 - Hosts: 127.0.0.3 www.pi..to.biz
    O1 - Hosts: 127.0.0.3 pi..to.biz
    O1 - Hosts: 127.0.0.3 www.aaasexypics.com
    O1 - Hosts: 127.0.0.3 aaasexypics.com
    O1 - Hosts: 127.0.0.3 www.virgin-tgp.net
    O1 - Hosts: 127.0.0.3 virgin-tgp.net
    O1 - Hosts: 127.0.0.3 www.awmcash.biz
    O1 - Hosts: 127.0.0.3 awmcash.biz
    O1 - Hosts: 127.0.0.3 buldog-stats.com
    O1 - Hosts: 127.0.0.3 www.buldog-stats.com
    O1 - Hosts: 127.0.0.3 fregat.drocherway.com
    O1 - Hosts: 127.0.0.3 slutmania.biz
    O1 - Hosts: 127.0.0.3 www.slutmania.biz
    O1 - Hosts: 127.0.0.3 toolbarpartner.com
    O1 - Hosts: 127.0.0.3 www.toolbarpartner.com
    O1 - Hosts: 127.0.0.3 www.megapornix.com
    O1 - Hosts: 127.0.0.3 megapornix.com
    O1 - Hosts: 127.0.0.3 www.sp2fucked.biz
    O1 - Hosts: 127.0.0.3 sp2fucked.biz
    O1 - Hosts: 127.0.0.3 greg-tut.com
    O1 - Hosts: 127.0.0.3 www.greg-tut.com
    O1 - Hosts: 127.0.0.3 nylonsexy.com
    O1 - Hosts: 127.0.0.3 www.nylonsexy.com
    O1 - Hosts: 127.0.0.3 vparivalka.com
    O1 - Hosts: 127.0.0.3 www.vparivalka.com
    O1 - Hosts: 127.0.0.3 iframeprofit.com
    O1 - Hosts: 127.0.0.3 www.iframeprofit.com
    O1 - Hosts: 127.0.0.3 topsearch10.com
    O1 - Hosts: 127.0.0.3 www.topsearch10.com
    O1 - Hosts: 127.0.0.3 statscash.biz
    O1 - Hosts: 127.0.0.3 www.statscash.biz
    O1 - Hosts: 127.0.0.3 vxiframe.biz
    O1 - Hosts: 127.0.0.3 www.vxiframe.biz
    O1 - Hosts: 127.0.0.3 crazy-toolbar.com
    O1 - Hosts: 127.0.0.3 www.crazy-toolbar.com
    O1 - Hosts: 127.0.0.3 topcash.biz
    O1 - Hosts: 127.0.0.3 www.topcash.biz
    O1 - Hosts: 127.0.0.3 loadcash.biz
    O1 - Hosts: 127.0.0.3 www.loadcash.biz
    O1 - Hosts: 127.0.0.3 txiframe.biz
    O1 - Hosts: 127.0.0.3 www.txiframe.biz
    O1 - Hosts: 127.0.0.3 procounter.biz
    O1 - Hosts: 127.0.0.3 www.procounter.biz
    O1 - Hosts: 127.0.0.3 advadmin.biz
    O1 - Hosts: 127.0.0.3 www.advadmin.biz
    O1 - Hosts: 127.0.0.3 trafficbest.net
    O1 - Hosts: 127.0.0.3 www.trafficbest.net
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
    C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: SABHO - {21B4ACC4-8874-4AEC-AEAC-F567A249B4D4} - c:\program
    files\180searchassistant\sachook.dll (file missing)
    O2 - BHO: Loader Class - {2E246FAE-8420-11D9-870D-000C2917DE7F} -
    C:\WINDOWS\SYSTEM\Loader.dll
    O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
    O2 - BHO: (no name) - {A0269420-A638-4509-889C-8FC3CC85DA7E} -
    C:\WINDOWS\drexinit.dll
    O2 - BHO: (no name) - {C204CA2C-2EE8-013D-CB8D-2750A3882CBD} -
    C:\WINDOWS\System32\adysg.dll
    O2 - BHO: (no name) - {F8346711-D78D-F450-A70E-8A5AC3044DB5} -
    C:\WINDOWS\System32\tuf.dll (file missing)
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
    C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -
    atboottime
    O4 - HKLM\..\Run: [_Cat4] C:\WINDOWS\msmsgr2.exe
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [msnethlp32.exe] msnethlp32.exe
    O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe
    O4 - HKLM\..\Run: [SysMemory manager] c:\windows\system32\mdms.exe
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKCU\..\Run: [Gadu-Gadu] "C:\gg\Gadu-Gadu\gg.exe" /tray
    O4 - HKCU\..\Run: [Skype] "C:\Program
    Files\Skype\Phone\Skype.exe" /nosplash /minimized
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [Komunikator] C:\Program Files\Tlen.pl\tlen.exe
    O4 - HKCU\..\Run: [Arxrzvq] C:\WINDOWS\System32\??ool32.exe
    O4 - HKCU\..\Run: [Turm] C:\Program Files\wctr\aest.exe
    O4 - HKCU\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe
    O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
    O4 - HKCU\..\Run: [SNInstall] C:\WINDOWS\ms3.exe
    O4 - HKCU\..\Run: [wupd] C:\WINDOWS\System32\symcsvc.exe
    O4 - Global Startup: hp psc 1000 series.lnk = ?
    O4 - Global Startup: hpoddt01.exe.lnk = ?
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
    Office\Office10\OSA.EXE
    O8 - Extra context menu item: E&ksport do programu Microsoft Excel -
    res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} -
    C:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-
    00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
    C:\Program Files\Messenger\MSMSGS.EXE
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-
    00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O15 - Trusted IP range: 213.159.117.202
    O15 - Trusted IP range: 213.159.117.202 (HKLM)
    O16 - DPF: komentator - sport.onet.pl/komentator.cab
    O16 - DPF: {0EB1CA3E-C9C7-42B6-8016-B0CBA435E291} (ImclCtl Class) -
    messenger.jubii.dk/messenger/client/ActiveXMsgrCore.cab
    O16 - DPF: {AB8638BB-79E8-4E9D-ABF2-8F33054E3941} (Guesser Class) -
    czat.onet.pl/client/kalambury/NetPunGame1.dll
    O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
    bezpieczenstwo.onet.pl/skaner/SkanerOnline.cab
    O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) -
    Obserwuj wątek
      • Gość: pati Re: prosze o sprawdzenie loga IP: *.aster.pl 23.07.05, 01:54
        Ąz sie wstydzę, czego tam nie ma i pewnie straszny bałagan. Doradźcie mi jakiś
        antywirusowy i jak nie dopuścić znowu do zaśmiecenia systemu. Jejku, naprawdę
        jestem strasznie zielona. Proszę o wyrozumiałość
      • Gość: Kolobos Re: prosze o sprawdzenie loga IP: *.warszawa.sdi.tpnet.pl 23.07.05, 05:45
        Jak zwykle brak aktaulizacji co zapewne jest spowodowane pirackim windowsem...
        eh.

        Skan i usuwanie wszystkiego tym:
        download.microsoft.com/download/8/1/5/815d2d60-49b5-44dc-ae35-fca2f2c6f0cc/MicrosoftAntiSpywareInstall.exe

        Zamknij porty tym:
        www.firewallleaktester.com/tools/wwdc.exe
        Uzyj:
        www.searchengines.pl/phpbb203/index.php?
        s=5debf1bfeab0c89e54567f66c39699f0&act=Attach&type=post&id=459

        Antyvirus:
        www.avast.com/eng/avast_4_home.html
        W hijackthis usun:

        R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
        195.95.218.172/index.php
        R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
        195.95.218.172/index.php
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
        195.95.218.172/index.php
        R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
        195.95.218.172/index.php
        R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
        195.95.218.172/index.php
        R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
        195.95.218.172/index.php
        F2 - REG:system.ini: Shell=Explorer.exe init32m.exe
        O1 - Hosts: 127.0.0.3 n-glx.s-redirect.com
        O1 - Hosts: 127.0.0.3 x.full-tgp.net
        O1 - Hosts: 127.0.0.3 counter.sexmaniack.com
        O1 - Hosts: 127.0.0.3 autoescrowpay.com
        O1 - Hosts: 127.0.0.3 www.autoescrowpay.com
        O1 - Hosts: 127.0.0.3 www.awmdabest.com
        O1 - Hosts: 127.0.0.3 www.sexfiles.nu
        O1 - Hosts: 127.0.0.3 awmdabest.com
        O1 - Hosts: 127.0.0.3 sexfiles.nu
        O1 - Hosts: 127.0.0.3 allforadult.com
        O1 - Hosts: 127.0.0.3 www.allforadult.com
        O1 - Hosts: 127.0.0.3 www.iframe.biz
        O1 - Hosts: 127.0.0.3 iframe.biz
        O1 - Hosts: 127.0.0.3 www.newiframe.biz
        O1 - Hosts: 127.0.0.3 newiframe.biz
        O1 - Hosts: 127.0.0.3 www.vesbiz.biz
        O1 - Hosts: 127.0.0.3 vesbiz.biz
        O1 - Hosts: 127.0.0.3 www.pi..to.biz
        O1 - Hosts: 127.0.0.3 pi..to.biz
        O1 - Hosts: 127.0.0.3 www.aaasexypics.com
        O1 - Hosts: 127.0.0.3 aaasexypics.com
        O1 - Hosts: 127.0.0.3 www.virgin-tgp.net
        O1 - Hosts: 127.0.0.3 virgin-tgp.net
        O1 - Hosts: 127.0.0.3 www.awmcash.biz
        O1 - Hosts: 127.0.0.3 awmcash.biz
        O1 - Hosts: 127.0.0.3 buldog-stats.com
        O1 - Hosts: 127.0.0.3 www.buldog-stats.com
        O1 - Hosts: 127.0.0.3 fregat.drocherway.com
        O1 - Hosts: 127.0.0.3 slutmania.biz
        O1 - Hosts: 127.0.0.3 www.slutmania.biz
        O1 - Hosts: 127.0.0.3 toolbarpartner.com
        O1 - Hosts: 127.0.0.3 www.toolbarpartner.com
        O1 - Hosts: 127.0.0.3 www.megapornix.com
        O1 - Hosts: 127.0.0.3 megapornix.com
        O1 - Hosts: 127.0.0.3 www.sp2fucked.biz
        O1 - Hosts: 127.0.0.3 sp2fucked.biz
        O1 - Hosts: 127.0.0.3 greg-tut.com
        O1 - Hosts: 127.0.0.3 www.greg-tut.com
        O1 - Hosts: 127.0.0.3 nylonsexy.com
        O1 - Hosts: 127.0.0.3 www.nylonsexy.com
        O1 - Hosts: 127.0.0.3 vparivalka.com
        O1 - Hosts: 127.0.0.3 www.vparivalka.com
        O1 - Hosts: 127.0.0.3 iframeprofit.com
        O1 - Hosts: 127.0.0.3 www.iframeprofit.com
        O1 - Hosts: 127.0.0.3 topsearch10.com
        O1 - Hosts: 127.0.0.3 www.topsearch10.com
        O1 - Hosts: 127.0.0.3 statscash.biz
        O1 - Hosts: 127.0.0.3 www.statscash.biz
        O1 - Hosts: 127.0.0.3 vxiframe.biz
        O1 - Hosts: 127.0.0.3 www.vxiframe.biz
        O1 - Hosts: 127.0.0.3 crazy-toolbar.com
        O1 - Hosts: 127.0.0.3 www.crazy-toolbar.com
        O1 - Hosts: 127.0.0.3 topcash.biz
        O1 - Hosts: 127.0.0.3 www.topcash.biz
        O1 - Hosts: 127.0.0.3 loadcash.biz
        O1 - Hosts: 127.0.0.3 www.loadcash.biz
        O1 - Hosts: 127.0.0.3 txiframe.biz
        O1 - Hosts: 127.0.0.3 www.txiframe.biz
        O1 - Hosts: 127.0.0.3 procounter.biz
        O1 - Hosts: 127.0.0.3 www.procounter.biz
        O1 - Hosts: 127.0.0.3 advadmin.biz
        O1 - Hosts: 127.0.0.3 www.advadmin.biz
        O1 - Hosts: 127.0.0.3 trafficbest.net
        O1 - Hosts: 127.0.0.3 www.trafficbest.net
        O2 - BHO: SABHO - {21B4ACC4-8874-4AEC-AEAC-F567A249B4D4} - c:\program
        files\180searchassistant\sachook.dll (file missing)
        O2 - BHO: Loader Class - {2E246FAE-8420-11D9-870D-000C2917DE7F} -
        C:\WINDOWS\SYSTEM\Loader.dll
        O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
        O2 - BHO: (no name) - {A0269420-A638-4509-889C-8FC3CC85DA7E} -
        C:\WINDOWS\drexinit.dll
        O2 - BHO: (no name) - {C204CA2C-2EE8-013D-CB8D-2750A3882CBD} -
        C:\WINDOWS\System32\adysg.dll
        O2 - BHO: (no name) - {F8346711-D78D-F450-A70E-8A5AC3044DB5} -
        C:\WINDOWS\System32\tuf.dll (file missing)
        O4 - HKLM\..\Run: [_Cat4] C:\WINDOWS\msmsgr2.exe
        O4 - HKLM\..\Run: [msnethlp32.exe] msnethlp32.exe
        O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe
        O4 - HKLM\..\Run: [SysMemory manager] c:\windows\system32\mdms.exe
        O4 - HKCU\..\Run: [Arxrzvq] C:\WINDOWS\System32\??ool32.exe
        O4 - HKCU\..\Run: [Turm] C:\Program Files\wctr\aest.exe
        O4 - HKCU\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe
        O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
        O4 - HKCU\..\Run: [SNInstall] C:\WINDOWS\ms3.exe
        O4 - HKCU\..\Run: [wupd] C:\WINDOWS\System32\symcsvc.exe
        O15 - Trusted IP range: 213.159.117.202
        O15 - Trusted IP range: 213.159.117.202 (HKLM)
        O16 - DPF: {0EB1CA3E-C9C7-42B6-8016-B0CBA435E291} (ImclCtl Class) -
        messenger.jubii.dk/messenger/client/ActiveXMsgrCore.cab

        Sciagasz:
        www.downloads.subratam.org/KillBox.zip
        zaznacz delete on reboot i usun przy jego pomocy te pliki:
        C:\WINDOWS\system32\init32m.exe
        C:\WINDOWS\SYSTEM\Loader.dll
        C:\WINDOWS\drexinit.dll
        C:\WINDOWS\System32\adysg.dll
        C:\WINDOWS\msmsgr2.exe
        C:\Windows\system32\msnethlp32.exe
        c:\windows\system32\mdms.exe
        C:\WINDOWS\System32\??ool32.exe
        C:\Program Files\wctr\aest.exe <- caly katalog wctr
        C:\WINDOWS\System32\paytime.exe
        C:\winstall.exe
        C:\WINDOWS\ms3.exe
        C:\WINDOWS\System32\symcsvc.exe

        Po wszystkim wklej nowy log.
        • Gość: pati Re: prosze o sprawdzenie loga IP: *.aster.pl 23.07.05, 10:52
          Wiesz, boje sie czy czegos w nocy nie sknocilam. Probowalam cos zrobic,
          korzystajac z programow ktore komus polecilec, chyba do usuwania trojanów. Czy
          moglbys rzucic okiem na dzisiejszy aktualny hijackthis.

          Logfile of HijackThis v1.99.1
          Scan saved at 10:44:27, on 2005-07-23
          Platform: Windows XP (WinNT 5.01.2600)
          MSIE: Internet Explorer v6.00 (6.00.2600.0000)

          Running processes:
          C:\WINDOWS\System32\smss.exe
          C:\WINDOWS\system32\services.exe
          C:\WINDOWS\system32\lsass.exe
          C:\WINDOWS\system32\svchost.exe
          C:\WINDOWS\System32\svchost.exe
          C:\WINDOWS\Explorer.exe
          C:\WINDOWS\system32\spoolsv.exe
          C:\Program Files\QuickTime\qttask.exe
          C:\WINDOWS\System32\msnethlp32.exe
          C:\WINDOWS\System32\paytime.exe
          C:\windows\system32\mdms.exe
          C:\gg\Gadu-Gadu\gg.exe
          C:\Program Files\Messenger\msmsgs.exe
          C:\WINDOWS\ms3.exe
          C:\Program Files\wctr\aest.exe
          C:\WINDOWS\System32\tibs.exe
          C:\WINDOWS\System32\paytime.exe
          C:\WINDOWS\ms3.exe
          C:\WINDOWS\System32\symcsvc.exe
          C:\WINDOWS\ms3.exe
          C:\WINDOWS\system32\init32m.exe
          C:\WINDOWS\System32\tibs.exe
          C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
          C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
          C:\WINDOWS\System32\svchost.exe
          C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
          C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
          C:\WINDOWS\System32\wuauclt.exe
          C:\WINDOWS\System32\wbem\wmiapsrv.exe
          C:\WINDOWS\System32\drwtsn32.exe
          C:\WINDOWS\System32\drwtsn32.exe
          C:\WINDOWS\system32\drwtsn32.exe
          C:\WINDOWS\System32\drwtsn32.exe
          C:\Documents and Settings\Andrzej\Pulpit\HijackThis.exe

          R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
          195.95.218.172/index.php
          R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
          195.95.218.172/index.php
          R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
          195.95.218.172/index.php
          R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
          195.95.218.172/index.php
          R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
          195.95.218.172/index.php
          R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
          195.95.218.172/index.php
          R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet
          Settings,AutoConfigURL = www.aster.pl/aster.pac
          R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet
          Settings,ProxyServer = w3cache.aster.pl:8080
          R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
          F2 - REG:system.ini: Shell=Explorer.exe init32m.exe
          O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
          C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
          O2 - BHO: SABHO - {21B4ACC4-8874-4AEC-AEAC-F567A249B4D4} - c:\program
          files\180searchassistant\sachook.dll (file missing)
          O2 - BHO: Loader Class - {2E246FAE-8420-11D9-870D-000C2917DE7F} -
          C:\WINDOWS\SYSTEM\Loader.dll
          O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
          O2 - BHO: (no name) - {A0269420-A638-4509-889C-8FC3CC85DA7E} -
          C:\WINDOWS\drexinit.dll
          O2 - BHO: (no name) - {C204CA2C-2EE8-013D-CB8D-2750A3882CBD} -
          C:\WINDOWS\System32\adysg.dll
          O2 - BHO: (no name) - {F8346711-D78D-F450-A70E-8A5AC3044DB5} -
          C:\WINDOWS\System32\tuf.dll (file missing)
          O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
          C:\WINDOWS\System32\msdxm.ocx
          O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -
          atboottime
          O4 - HKLM\..\Run: [_Cat4] C:\WINDOWS\msmsgr2.exe
          O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
          O4 - HKLM\..\Run: [msnethlp32.exe] msnethlp32.exe
          O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe
          O4 - HKLM\..\Run: [SysMemory manager] c:\windows\system32\mdms.exe
          O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
          O4 - HKCU\..\Run: [Gadu-Gadu] "C:\gg\Gadu-Gadu\gg.exe" /tray
          O4 - HKCU\..\Run: [Skype] "C:\Program
          Files\Skype\Phone\Skype.exe" /nosplash /minimized
          O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
          O4 - HKCU\..\Run: [Komunikator] C:\Program Files\Tlen.pl\tlen.exe
          O4 - HKCU\..\Run: [Arxrzvq] C:\WINDOWS\System32\??ool32.exe
          O4 - HKCU\..\Run: [Turm] C:\Program Files\wctr\aest.exe
          O4 - HKCU\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe
          O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
          O4 - HKCU\..\Run: [SNInstall] C:\WINDOWS\ms3.exe
          O4 - HKCU\..\Run: [wupd] C:\WINDOWS\System32\symcsvc.exe
          O4 - Global Startup: hp psc 1000 series.lnk = ?
          O4 - Global Startup: hpoddt01.exe.lnk = ?
          O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
          Office\Office10\OSA.EXE
          O8 - Extra context menu item: E&ksport do programu Microsoft Excel -
          res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
          O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} -
          C:\WINDOWS\web\related.htm
          O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-
          00aa003c157a} - C:\WINDOWS\web\related.htm
          O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
          C:\Program Files\Messenger\MSMSGS.EXE
          O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-
          00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
          O15 - Trusted IP range: 213.159.117.202
          O15 - Trusted IP range: 213.159.117.202 (HKLM)
          O16 - DPF: komentator - sport.onet.pl/komentator.cab
          O16 - DPF: {0EB1CA3E-C9C7-42B6-8016-B0CBA435E291} (ImclCtl Class) -
          messenger.jubii.dk/messenger/client/ActiveXMsgrCore.cab
          O16 - DPF: {AB8638BB-79E8-4E9D-ABF2-8F33054E3941} (Guesser Class) -
          czat.onet.pl/client/kalambury/NetPunGame1.dll
          O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
          bezpieczenstwo.onet.pl/skaner/SkanerOnline.cab
          O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) -
          www5.incredimail.com/contents/setup/downloader_sp1/imloader.cab
          O20 - AppInit_DLLs: msnethlp32.dll,---------------------------------------------
          -------kernel32.dll
          O20 - Winlogon Notify: drct16 - C:\WINDOWS\SYSTEM32\drct16.dll
          O21 - SSODL: DeleteProdRunControl_UK - {A16F805C-FC40-322C-2369-CF3175AE2813} -
          c:\viavoice\bin\yslub32.dll
          O21 - SSODL: DeleteProdRunControl_UK - {A16F805C-FC40-322C-2369-CF3175AE2813} -
          c:\viavoice\bin\yslub32.dll
          O21 - SSODL: System - {BBF17559-683C-4E04-8D5F-8C8792BDE82B} - vr_sys.dll (file
          missing)
          O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

          Czy jest to samo czy durna baba usunela cos niepotrzebnie. To szczescie ze mam
          dwa kompy. Inaczej biegalabym do kafejki, aby wyslac posta, bo w tym
          zawirusowanym nie dziala.Ponadto caly czas sie zawiesza, juz nie restetuje,
          pokazuja sie ikonki kolejnych aplikacji w ktorych wystapil blad.

          Co to aktualizacji...hmmm...zawsze ignoruje komunikat na pasku o tym, ze
          aktualizacja jest gotowa. I chyba tutaj jest pies pogrzebany.

          Wielkie dzieki za pomoc. Dasz znac czy cos uleglo zmianie?
          • Gość: pati pati- wersja ostatnia hijackthis IP: *.aster.pl 23.07.05, 11:32
            No dobra. To tyle obecnie pozostało. Zerknij ponizej.

            Mam maly problem z wrzuceniem do tego zawirusowanego kompa programów które
            podałeś. Tam aplikacja explorer.exe jes uszkodzona, pozostało mi bawienie się z
            przeniesieniem wszystkiego na nośniki. Oczywiscie na dyskietke nie miesci sie.
            Glupie pytanie- jak przenieść na płytkę, tzn jak sie ja wypala. Nigdy nie
            pamiętam, za rzadko to robię. Mam cd-r 700 mb 80 min. Pamietam, ze wchodzilo
            sie w nero, zaznaczalo sie jakas pojemnosc.Ale co pokolei konkretnie i
            dokładnie. No i pytanie jeszcze glupsze- jak wejsc do podanego przez Ciebie
            s=5debf1bfeab0c89e54567f66c39699f0&act=Attach&type=post&id=459 ze strony
            www.searchengines.pl/phpbb203/index.php?

            No cóż nie każdy jest alfa i omegą w dziedzinie która dla Ciebie jest konikem.




            Logfile of HijackThis v1.99.1
            Scan saved at 11:19:17, on 2005-07-23
            Platform: Windows XP (WinNT 5.01.2600)
            MSIE: Internet Explorer v6.00 (6.00.2600.0000)

            Running processes:
            C:\WINDOWS\System32\smss.exe
            C:\WINDOWS\system32\services.exe
            C:\WINDOWS\system32\lsass.exe
            C:\WINDOWS\system32\svchost.exe
            C:\WINDOWS\System32\svchost.exe
            C:\WINDOWS\Explorer.exe
            C:\WINDOWS\system32\spoolsv.exe
            C:\Program Files\QuickTime\qttask.exe
            C:\gg\Gadu-Gadu\gg.exe
            C:\WINDOWS\System32\tibs.exe
            C:\WINDOWS\ms3.exe
            C:\WINDOWS\ms3.exe
            C:\WINDOWS\system32\init32m.exe
            C:\WINDOWS\System32\tibs.exe
            C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
            C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
            C:\WINDOWS\System32\svchost.exe
            C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
            C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
            C:\WINDOWS\System32\wuauclt.exe
            C:\WINDOWS\System32\drwtsn32.exe
            C:\WINDOWS\System32\drwtsn32.exe
            C:\WINDOWS\system32\drwtsn32.exe
            C:\WINDOWS\System32\drwtsn32.exe
            C:\WINDOWS\System32\newdial.exe
            C:\WINDOWS\System32\newdial.exe
            C:\DOCUME~1\Andrzej\USTAWI~1\Temp\xwxload.exe
            C:\WINDOWS\System32\drwtsn32.exe
            C:\WINDOWS\System32\msnethlp32.exe
            C:\WINDOWS\System32\mdms.exe
            C:\WINDOWS\System32\drwtsn32.exe
            C:\WINDOWS\System32\drwtsn32.exe
            C:\Documents and Settings\Andrzej\Pulpit\HijackThis.exe

            R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
            195.95.218.172/index.php
            R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
            195.95.218.172/index.php
            R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
            195.95.218.172/index.php
            R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
            195.95.218.172/index.php
            R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
            195.95.218.172/index.php
            R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
            195.95.218.172/index.php
            R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet
            Settings,AutoConfigURL = www.aster.pl/aster.pac
            R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet
            Settings,ProxyServer = w3cache.aster.pl:8080
            R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
            O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
            C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
            O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
            C:\WINDOWS\System32\msdxm.ocx
            O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -
            atboottime
            O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
            O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
            O4 - HKLM\..\Run: [SysMemory manager] c:\windows\system32\mdms.exe
            O4 - HKCU\..\Run: [Gadu-Gadu] "C:\gg\Gadu-Gadu\gg.exe" /tray
            O4 - HKCU\..\Run: [Skype] "C:\Program
            Files\Skype\Phone\Skype.exe" /nosplash /minimized
            O4 - HKCU\..\Run: [Komunikator] C:\Program Files\Tlen.pl\tlen.exe
            O4 - Global Startup: hp psc 1000 series.lnk = ?
            O4 - Global Startup: hpoddt01.exe.lnk = ?
            O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
            Office\Office10\OSA.EXE
            O8 - Extra context menu item: E&ksport do programu Microsoft Excel -
            res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
            O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} -
            C:\WINDOWS\web\related.htm
            O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-
            00aa003c157a} - C:\WINDOWS\web\related.htm
            O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
            C:\Program Files\Messenger\MSMSGS.EXE
            O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-
            00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
            O16 - DPF: komentator - sport.onet.pl/komentator.cab
            O16 - DPF: {AB8638BB-79E8-4E9D-ABF2-8F33054E3941} (Guesser Class) -
            czat.onet.pl/client/kalambury/NetPunGame1.dll
            O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
            bezpieczenstwo.onet.pl/skaner/SkanerOnline.cab
            O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) -
            www5.incredimail.com/contents/setup/downloader_sp1/imloader.cab
            O20 - AppInit_DLLs: msnethlp32.dll,---------------------------------------------
            -------kernel32.dll
            O20 - Winlogon Notify: drct16 - C:\WINDOWS\SYSTEM32\drct16.dll
            O21 - SSODL: DeleteProdRunControl_UK - {A16F805C-FC40-322C-2369-CF3175AE2813} -
            c:\viavoice\bin\yslub32.dll
            O21 - SSODL: DeleteProdRunControl_UK - {A16F805C-FC40-322C-2369-CF3175AE2813} -
            c:\viavoice\bin\yslub32.dll
            O21 - SSODL: System - {BBF17559-683C-4E04-8D5F-8C8792BDE82B} - vr_sys.dll (file
            missing)
            O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe


            • Gość: Kolobos Re: pati- wersja ostatnia hijackthis IP: *.warszawa.sdi.tpnet.pl 23.07.05, 13:51
              To jest jeden link:
              www.searchengines.pl/phpbb203/index.php?
              s=5debf1bfeab0c89e54567f66c39699f0&act=Attach&type=post&id=459
              Wiec go sobie sklej bo sie zlamal na pol i sie otworzy.
              =
              W nero w opcjach (z menu na gorze) zaznaczasz Overburining i ustawiasz na 90min
              nastepnie przy nagrywaniu zaznaczasz Disc-at-One i zamkniecie sesji ale to sie
              robi tylko dla plyt wiekszych niz 700MB, te 700MB nagrywa sie bez problemu i
              nic nie trzeba zmieniac.
              =

              W logu jest dalej pelno syfu wiec nie wiem po co to wklejasz...
              Uruchom tryb awaryjny, zaznacz i usun te wpisy:

              R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
              195.95.218.172/index.php
              R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
              195.95.218.172/index.php
              R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
              195.95.218.172/index.php
              R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
              195.95.218.172/index.php
              R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
              195.95.218.172/index.php
              R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
              195.95.218.172/index.php
              O4 - HKLM\..\Run: [SysMemory manager] c:\windows\system32\mdms.exe
              O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) -
              www5.incredimail.com/contents/setup/downloader_sp1/imloader.cab
              O20 - AppInit_DLLs: msnethlp32.dll,---------------------------------------------
              -------kernel32.dll
              O20 - Winlogon Notify: drct16 - C:\WINDOWS\SYSTEM32\drct16.dll
              O21 - SSODL: DeleteProdRunControl_UK - {A16F805C-FC40-322C-2369-CF3175AE2813} -
              c:\viavoice\bin\yslub32.dll
              O21 - SSODL: DeleteProdRunControl_UK - {A16F805C-FC40-322C-2369-CF3175AE2813} -
              c:\viavoice\bin\yslub32.dll
              O21 - SSODL: System - {BBF17559-683C-4E04-8D5F-8C8792BDE82B} - vr_sys.dll (file
              missing)

              W menadzerze zadan zamykasz:

              > C:\WINDOWS\ms3.exe
              > C:\WINDOWS\system32\init32m.exe
              > C:\WINDOWS\System32\tibs.exe
              > C:\WINDOWS\System32\newdial.exe
              > C:\DOCUME~1\Andrzej\USTAWI~1\Temp\xwxload.exe
              > C:\WINDOWS\System32\msnethlp32.exe
              > C:\WINDOWS\System32\mdms.exe
              + pozniej jeszcze te:
              msnethlp32.dll
              ---------------------------------------------
              -------kernel32.dll (kasujesz tylko tego z ----)
              c:\viavoice\bin\yslub32.dll

              I kasujesz te wszystkie pliki z dysku.

              Opis usuwania backdoor haxdoor masz tutaj:
              www.searchengines.pl/phpbb203/index.php?showtopic=12510&st=30&p=109496&#entry132561
              (jeden link!)

              Jak usuniesz wymienione pliki to nie powinien sie explorer wywalac.
    Inne wątki na temat:

    Najnowsze z forum Wirusy, trojany, spyware

    Nie masz jeszcze konta? Zarejestruj się

    Nakarm Pajacyka
    Osoby zamieszczające wypowiedzi naruszające prawo lub prawem chronione dobra osób trzecich mogą ponieść z tego tytułu odpowiedzialność karną lub cywilną. Regulamin
    Treści z serwisów internetowych Grupy Wyborcza.pl oraz serwisu tokfm.pl prezentujemy w ramach komercyjnej współpracy z ich wydawcami: Wyborcza sp. z o.o. oraz Grupą Radiową Agory sp. z o.o.
    Wybrane treści z serwisu Sport.pl są dostępne po wykupieniu płatnej subskrypcji