Ratunku!!! :( nie wiem co mam robic!

IP: 83.238.121.* 07.08.05, 23:53
Bardzo prosze o pomoc, moj komputer zwariowal, mam pelno wirusow a moj
program AntiVir nic nie wykrywa :/ cly czas pojawia mi sie komunikat
ze "your computer is infected" pojawiaja sie jakies dziwne ikony na pulpicie,
zniknely mi google jako strona startowa i jest jakies niewiadomo co :/

Sciagnelam ten program Hijackthis i oto co mam w notatniku, nie wiem co
wyrzucic boje sie cokolwiek ruszac :( Prosze o pomoc!!

Logfile of HijackThis v1.99.1
Scan saved at 23:41:53, on 2005-08-07
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Creative\SBLive\AudioHQ\AHQTB.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\system32\web.exe
C:\WINDOWS\System32\vxh8jkdq2.exe
C:\WINDOWS\svchost.exe
C:\WINDOWS\System32\vxgame2.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\vxgame3.exe
C:\WINDOWS\System32\vxgame4.exe
C:\WINDOWS\System32\vxgame6.exe
C:\WINDOWS\System32\vxgame4.exe
C:\WINDOWS\System32\vxgame3.exe
C:\WINDOWS\System32\vxgame4.exe
C:\WINDOWS\System32\vxgame6.exe
C:\WINDOWS\System32\vxgame4.exe
C:\WINDOWS\System32\vxgamet2.exe
C:\WINDOWS\System32\symcsvc.exe
C:\Program Files\taht\cmer.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Program Files\SpySheriff\SpySheriff.exe
C:\WINDOWS\system32\n?lookup.exe
C:\Program Files\ScanButton 3.0\ScanButton.exe
C:\WINDOWS\System32\devldr32.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Lukasz\Pulpit\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
file://C:\WINDOWS\blank.mht
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
F2 - REG:system.ini: Shell=Explorer.exe init32m.exe
O2 - BHO: Loader Class - {2E246FAE-8420-11D9-870D-000C2917DE7F} -
C:\WINDOWS\SYSTEM\Loader.dll
O2 - BHO: (no name) - {B75F75B8-93F3-429D-FF34-660B206D897A} -
C:\WINDOWS\System32\zolker006.dll
O2 - BHO: (no name) - {C139B548-23F8-7208-D8E6-0082BA1F7FE9} -
C:\WINDOWS\System32\qfv.dll
O2 - BHO: ZToolbar Activator Class - {FFF5092F-7172-4018-827B-FA5868FB0478} -
C:\WINDOWS\System32\ztoolb006.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ZToolbar - {A6790AA5-C6C7-4BCF-A46D-0FDAC4EA90EB} -
C:\WINDOWS\System32\ztoolb006.dll
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [AHQInit] C:\Program
Files\Creative\SBLive\Program\AHQInit.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32
\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [AudioHQ] C:\Program Files\Creative\SBLive\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [System] C:\WINDOWS\System32\kernels32.exe
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
O4 - HKCU\..\Run: [aupd] C:\WINDOWS\System32\symcsvc.exe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [SNInstall] C:\WINDOWS\System32\vxh8jkdq2.exe
O4 - HKCU\..\Run: [Rceo] C:\Program Files\taht\cmer.exe
O4 - HKCU\..\Run: [SpySheriff] C:\Program Files\SpySheriff\SpySheriff.exe
O4 - HKCU\..\Run: [Juthzhnu] C:\WINDOWS\System32\n?lookup.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
Office\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} -
C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-
00aa003c157a} - C:\WINDOWS\web\related.htm
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.xxxtoolbar.com
O15 - Trusted Zone: *.ysbweb.com
O15 - Trusted Zone: *.blazefind.com (HKLM)
O15 - Trusted Zone: *.clickspring.net (HKLM)
O15 - Trusted Zone: *.flingstone.com (HKLM)
O15 - Trusted Zone: *.mt-download.com (HKLM)
O15 - Trusted Zone: *.my-internet.info (HKLM)
O15 - Trusted Zone: *.searchbarcash.com (HKLM)
O15 - Trusted Zone: *.searchmiracle.com (HKLM)
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.slotch.com (HKLM)
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted Zone: *.xxxtoolbar.com (HKLM)
O15 - Trusted Zone: *.ysbweb.com (HKLM)
O15 - Trusted IP range: 67.19.178.84
O15 - Trusted IP range: 67.19.178.84 (HKLM)
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller
Control) - www.mt-download.com/MediaTicketsInstaller.cab?refid=4600
O21 - SSODL: System - {1CE718C6-EB16-4AA1-8A98-AC70F020405A} - vr_sys.dll
(file missing)
O21 - SSODL: AntiVir/XP - {345697AE-7CD1-24B2-FF5E-704FE1800713} - c:\program
files\avpersonal\awibw3.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH -
C:\Program Files\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32
\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany -
C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: svchost.exe (moto) - Unknown owner - C:\WINDOWS\svchost.exe



    • wirmo Re: Ratunku!!! :( nie wiem co mam robic! 08.08.05, 00:01
      skoro masz pełn wirusów i dzieja się dziwne rzeczy i pisze ze twój komputer jest
      zaroażony to pozostaje tylko format
      • Gość: martyna Re: Ratunku!!! :( nie wiem co mam robic! IP: 83.238.121.* 08.08.05, 00:34
        svchost.exe to chyba ten wirus!! :(
      • Gość: Kolobos Re: Ratunku!!! :( nie wiem co mam robic! IP: *.warszawa.sdi.tpnet.pl 08.08.05, 02:03
        Jezeli jedyne co potrafisz to udzielac takich debilnych rad to lepiej nic nie
        pisz!
    • Gość: Kolobos Re: Ratunku!!! :( nie wiem co mam robic! IP: *.warszawa.sdi.tpnet.pl 08.08.05, 02:02
      To nie virusy tylko spyware/trojany dlatego antyvirus nie wykrywa, bo nie jest
      od tego.

      Skan i usuwanie wszystkiego tym:
      download.microsoft.com/download/8/1/5/815d2d60-49b5-44dc-ae35-fca2f2c6f0cc/MicrosoftAntiSpywareInstall.exe
      download.ewido.net/ewido-setup.exe <- zrob update przed skanowaniem, po
      przeskanowaniu odinstaluj.
      Zamknij porty tym:
      www.firewallleaktester.com/tools/wwdc.exe
      Opis naprawy tapety masz tutaj:
      www.searchengines.pl/phpbb203/index.php?showtopic=31936
      na samym dole.

      W hijackthis usun:

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
      file://C:\WINDOWS\blank.mht <- kasujesz plik
      F2 - REG:system.ini: Shell=Explorer.exe init32m.exe <- kasujesz plik
      init32m.exe, explorer.exe nie ruszaj!
      O2 - BHO: Loader Class - {2E246FAE-8420-11D9-870D-000C2917DE7F} -
      C:\WINDOWS\SYSTEM\Loader.dll <- kasujesz plik
      O2 - BHO: (no name) - {B75F75B8-93F3-429D-FF34-660B206D897A} -
      C:\WINDOWS\System32\zolker006.dll <- kasujesz plik
      O2 - BHO: (no name) - {C139B548-23F8-7208-D8E6-0082BA1F7FE9} -
      C:\WINDOWS\System32\qfv.dll <- kasujesz plik
      O2 - BHO: ZToolbar Activator Class - {FFF5092F-7172-4018-827B-FA5868FB0478} -
      C:\WINDOWS\System32\ztoolb006.dll <- kasujesz plik
      O3 - Toolbar: ZToolbar - {A6790AA5-C6C7-4BCF-A46D-0FDAC4EA90EB} -
      C:\WINDOWS\System32\ztoolb006.dll
      O4 - HKLM\..\Run: [System] C:\WINDOWS\System32\kernels32.exe <- kasujesz plik
      O4 - HKCU\..\Run: [aupd] C:\WINDOWS\System32\symcsvc.exe <- kasujesz plik
      O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe <- kasujesz
      O4 - HKCU\..\Run: [SNInstall] C:\WINDOWS\System32\vxh8jkdq2.exe <- kasujesz
      O4 - HKCU\..\Run: [Rceo] C:\Program Files\taht\cmer.exe <- kasujesz katalog taht
      O4 - HKCU\..\Run: [SpySheriff] C:\Program Files\SpySheriff\SpySheriff.exe <-
      kasujesz katalog SpySheriff
      O4 - HKCU\..\Run: [Juthzhnu] C:\WINDOWS\System32\n?lookup.exe <- kasujesz plik,
      ale nie pomyl sie podczas usuwania, nslookup.exe bez ? to plik systemowy!
      O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} -
      C:\WINDOWS\web\related.htm
      O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-
      00aa003c157a} - C:\WINDOWS\web\related.htm
      O15 - Trusted Zone: *.blazefind.com
      O15 - Trusted Zone: *.clickspring.net
      O15 - Trusted Zone: *.flingstone.com
      O15 - Trusted Zone: *.mt-download.com
      O15 - Trusted Zone: *.my-internet.info
      O15 - Trusted Zone: *.searchbarcash.com
      O15 - Trusted Zone: *.searchmiracle.com
      O15 - Trusted Zone: *.skoobidoo.com
      O15 - Trusted Zone: *.slotch.com
      O15 - Trusted Zone: *.slotchbar.com
      O15 - Trusted Zone: *.windupdates.com
      O15 - Trusted Zone: *.xxxtoolbar.com
      O15 - Trusted Zone: *.ysbweb.com
      O15 - Trusted Zone: *.blazefind.com (HKLM)
      O15 - Trusted Zone: *.clickspring.net (HKLM)
      O15 - Trusted Zone: *.flingstone.com (HKLM)
      O15 - Trusted Zone: *.mt-download.com (HKLM)
      O15 - Trusted Zone: *.my-internet.info (HKLM)
      O15 - Trusted Zone: *.searchbarcash.com (HKLM)
      O15 - Trusted Zone: *.searchmiracle.com (HKLM)
      O15 - Trusted Zone: *.skoobidoo.com (HKLM)
      O15 - Trusted Zone: *.slotch.com (HKLM)
      O15 - Trusted Zone: *.slotchbar.com (HKLM)
      O15 - Trusted Zone: *.windupdates.com (HKLM)
      O15 - Trusted Zone: *.xxxtoolbar.com (HKLM)
      O15 - Trusted Zone: *.ysbweb.com (HKLM)
      O15 - Trusted IP range: 67.19.178.84
      O15 - Trusted IP range: 67.19.178.84 (HKLM)
      O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller
      Control) - www.mt-download.com/MediaTicketsInstaller.cab?refid=4600
      O21 - SSODL: System - {1CE718C6-EB16-4AA1-8A98-AC70F020405A} - vr_sys.dll
      (file missing)
      O23 - Service: svchost.exe (moto) - Unknown owner - C:\WINDOWS\svchost.exe <-
      wylacz usluge w Start->Uruchom->services.msc nastepnie w hijackthis->open misc
      tools->delete nt service wpisz moto i na koniec usun plik
      C:\Windows\svchost.exe ale nie pomyl go z tym z system32!

      W menadzerze zadan zamykasz:
      C:\WINDOWS\system32\web.exe <- kasujesz plik
      C:\WINDOWS\System32\vxgame2.exe <- wszystkie i kasujesz te pliki

      Jak juz to wszystko zrobisz to wklej nowy log.
      Wszystkie Twoje problemy biora sie stad, ze masz piracki windows bez
      aktualizacji do tego klikasz we wszystko co masz na stronach...

      • Gość: Martyna Re: do Kolobos IP: 83.238.121.* 08.08.05, 12:46
        Po pierwsze to bardzo dziekuje ci za odpowiedz i pomoc :) mam jednak pytanie
        dot usuwanie tych smieci z Hijacthis, chodzi mi o to ze nie wiem jak to zrobic
        zeby np tak jak tutaj: R0 - HKCU\Software\Microsoft\Internet
        Explorer\Main,Start Page =
        > file://C:\WINDOWS\blank.mht <- kasujesz plik , wykasowac tylko ten plik, jak
        chce tak zrobic to zaznacza mi sie cala linijka a nie chcialabym nic ruszac
        zeby nie wykasowac czegos co jest potrzebne :( albo tutaj:
        O4 - HKLM\..\Run: [System] C:\WINDOWS\System32\kernels32.exe <- kasujesz pl
        > ik, mam tylko wykasowac od C: \WINDOWS\...? jak to zrobic zeby nie wykasowac
        calego tylka ta niepotrzebna czesc??

        Pewnie moje pytania sa banalne ale ja naprawde nie wiem jak to zrobic, jeszcze
        nigdy cos takiego mi sie nie zdarzylo i nie wiem jak wykasowywac te smieci tak
        zeby nie usuwac potrzebnych rzeczy.

        Pozdrawiam i z gory dziekuje za pomoc!!!!

        • neder Re: do Kolobos 08.08.05, 12:51
          jesli masz wykasować:
          > C:\WINDOWS\blank.mht
          > C:\WINDOWS\System32\kernels32.exe

          to znaczy, że usuwasz to ostatnie ( w tym przypadku kernels32.exe, blank.mht) z
          podanej lokalizacji czyli
          > pierwsze z katalogu C:\WINDOWS\
          > drugie z C:\WINDOWS\System32\

          i w innych przypadkach analogicznie.
          Mam nadzieje, że zrozumiałaś;)


          pzdr
          • Gość: martyna Re: do neder IP: 83.238.121.* 08.08.05, 13:23
            Zrozumialam, bardzo ci dziekuje :)!!!!!!!!!!!!!
            • Gość: martyna Re: znowu mam problem :(( IP: 83.238.121.* 08.08.05, 14:15
              Nie moge usunac niektorych plikow :( np tych: symcsvc, kernels32,that, qfv.dll
              wyskakuje mi komunikat ze nie mozna tego usunac, sprawdz czy dysk nie jest
              zapelniony lub chroniony przed zapisem oraz czy plik nie jest aktualnie
              uzywany :(( nie wiem co robic, tam gdzie mam zrobic to: O23 - Service:
              svchost.exe (moto) - Unknown owner - C:\WINDOWS\svchost.exe <-
              wylacz usluge w Start->Uruchom->services.msc nastepnie w hijackthis->open misc
              tools->delete nt service wpisz moto i na koniec usun plik
              C:\Windows\svchost.exe ale nie pomyl go z tym z system32!

              wyskakuje mi ze nie moge zatrzymac uslugi :((, acha i nie moge otworzyc
              menadzera zadan bo wyskakuje mi ze zostal wylaczony przez administratora?? czy
              ja moge go jakos wlaczyc???



              • neder Re: znowu mam problem :(( 08.08.05, 14:17
                próbuj w awaryjnym a jak nie to:
                www.searchengines.pl/phpbb203/index.php?showtopic=10662
              • Gość: Kolobos Re: znowu mam problem :(( IP: *.warszawa.sdi.tpnet.pl 08.08.05, 17:24
                Otworz notatnik, wklej do niego to:

                Windows Registry Editor Version 5.00

                [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
                "DisableTaskMgr"=dword:00000000

                Zapisz jako fix.reg nastepnie uruchom ten plik i juz masz Menadzer zadan.

                Usluge narazie zostaw i zajmij sie kasacja plikow, neder juz Ci podala link z
                opisem jak usuwac :-)
                • Gość: martyna Re: to jest jakis koszmar :( IP: 83.238.121.* 08.08.05, 18:15
                  menadzer odzyskalam, dzieki!!
                  ale reszta szkoda gadac, po prostu bledne kolo :(( niektorych plik w ogole nie
                  da sie usunac, weszlam w awaryjny i kilka wywalilam oprocz kernes32 i
                  vxh8jkdq2, wczesniej odzyskalam swoja tapete, udalo mi sie pozbyc tamtej, ale
                  po powrocie do normalnego systemu jest znowu to samo jak nie gorzej, wszystkie
                  smieci razem z ta okrutna tapeta wrocily :(( ja sie zaraz zaplacze :( moze ja
                  robie cos zle, juz sama nie wiem :(
                  • Gość: Kolobos Re: to jest jakis koszmar :( IP: *.warszawa.sdi.tpnet.pl 08.08.05, 18:20
                    Wklej nowy log to zobaczymy co zrobilas, a czego nie.
                    • Gość: martyna Re: to jest jakis koszmar :( IP: 83.238.121.* 08.08.05, 18:50
                      Wlasnie to wyglada jakbym nic nie zrobila :( chyba jeszcze jakies nowe smieci
                      sa :( i ta tapeta okrutna znowu :( wlasnie co mam zrobic z tymi FIXami ktore
                      mam na pulpicie, z tymi ktore naprawily mi wczesniej ta tapete, usunac? i znowu
                      zrobic w notatnikach tak jak wczesniej? Naprawde jestem ci bardzo wdzieczna za
                      pomoc,sama to bym nic nie zrobila.


                      unning processes:
                      C:\WINDOWS\System32\smss.exe
                      C:\WINDOWS\system32\winlogon.exe
                      C:\WINDOWS\system32\services.exe
                      C:\WINDOWS\system32\lsass.exe
                      C:\WINDOWS\System32\Ati2evxx.exe
                      C:\WINDOWS\system32\svchost.exe
                      C:\WINDOWS\System32\svchost.exe
                      C:\WINDOWS\system32\spoolsv.exe
                      C:\WINDOWS\system32\Ati2evxx.exe
                      C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
                      C:\Program Files\Winamp\winampa.exe
                      C:\Program Files\Creative\SBLive\AudioHQ\AHQTB.EXE
                      C:\WINDOWS\System32\kernels32.exe
                      C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
                      C:\WINDOWS\System32\n?lookup.exe
                      C:\Program Files\taht\cmer.exe
                      C:\WINDOWS\System32\symcsvc.exe
                      C:\WINDOWS\system32\init32m.exe
                      C:\Program Files\AVPersonal\AVWUPSRV.EXE
                      C:\WINDOWS\svchost.exe
                      C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
                      C:\WINDOWS\System32\svchost.exe
                      C:\WINDOWS\System32\vxgame2.exe
                      C:\WINDOWS\System32\vxgame3.exe
                      C:\WINDOWS\System32\vxgame4.exe
                      C:\WINDOWS\System32\vxgame6.exe
                      C:\WINDOWS\System32\vxgame4.exe
                      C:\WINDOWS\System32\vxgame3.exe
                      C:\WINDOWS\System32\vxgame4.exe
                      C:\WINDOWS\System32\vxgame6.exe
                      C:\WINDOWS\System32\vxgame4.exe
                      C:\WINDOWS\System32\vxgamet2.exe
                      C:\WINDOWS\System32\vxgamet2.exe
                      C:\Program Files\Gadu-Gadu\gg.exe
                      C:\Program Files\Internet Explorer\iexplore.exe
                      C:\Program Files\Microsoft AntiSpyware\gcasServAlert.exe
                      C:\Documents and Settings\Lukasz\Pulpit\hijackthis\HijackThis.exe

                      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
                      www.google.pl/
                      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
                      F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\System32\kernels32.exe
                      O2 - BHO: Loader Class - {2E246FAE-8420-11D9-870D-000C2917DE7F} -
                      C:\WINDOWS\SYSTEM\Loader.dll
                      O2 - BHO: BHOmodObj Class - {7F6828CA-9E42-462C-BC60-418C8144012C} -
                      c:\windows\system\BHOmod.dll
                      O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
                      O4 - HKLM\..\Run: [AHQInit] C:\Program Files\Creative\SBLive\Program\AHQInit.exe
                      O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
                      O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32
                      \spool\drivers\w32x86\3\hpztsb05.exe
                      O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
                      O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
                      O4 - HKLM\..\Run: [AudioHQ] C:\Program Files\Creative\SBLive\AudioHQ\AHQTB.EXE
                      O4 - HKLM\..\Run: [System] C:\WINDOWS\System32\kernels32.exe
                      O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft
                      AntiSpyware\gcasServ.exe"
                      O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft
                      AntiSpyware\gcasServ.exe"
                      O4 - HKLM\..\RunOnce: [MicrosoftAntiSpywareCleaner] C:\Program Files\Microsoft
                      AntiSpyware\gcASCleaner.exe
                      O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
                      O4 - HKCU\..\Run: [Juthzhnu] C:\WINDOWS\System32\n?lookup.exe
                      O4 - HKCU\..\Run: [Rceo] C:\Program Files\taht\cmer.exe
                      O4 - HKCU\..\Run: [aupd] C:\WINDOWS\System32\symcsvc.exe
                      O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
                      Office\Office\OSA9.EXE
                      O15 - Trusted Zone: *.blazefind.com
                      O15 - Trusted Zone: *.clickspring.net
                      O15 - Trusted Zone: *.flingstone.com
                      O15 - Trusted Zone: *.mt-download.com
                      O15 - Trusted Zone: *.my-internet.info
                      O15 - Trusted Zone: *.searchbarcash.com
                      O15 - Trusted Zone: *.searchmiracle.com
                      O15 - Trusted Zone: *.skoobidoo.com
                      O15 - Trusted Zone: *.slotch.com
                      O15 - Trusted Zone: *.slotchbar.com
                      O15 - Trusted Zone: *.windupdates.com
                      O15 - Trusted Zone: *.xxxtoolbar.com
                      O15 - Trusted Zone: *.ysbweb.com
                      O15 - Trusted Zone: *.blazefind.com (HKLM)
                      O15 - Trusted Zone: *.clickspring.net (HKLM)
                      O15 - Trusted Zone: *.flingstone.com (HKLM)
                      O15 - Trusted Zone: *.mt-download.com (HKLM)
                      O15 - Trusted Zone: *.my-internet.info (HKLM)
                      O15 - Trusted Zone: *.searchbarcash.com (HKLM)
                      O15 - Trusted Zone: *.searchmiracle.com (HKLM)
                      O15 - Trusted Zone: *.skoobidoo.com (HKLM)
                      O15 - Trusted Zone: *.slotch.com (HKLM)
                      O15 - Trusted Zone: *.slotchbar.com (HKLM)
                      O15 - Trusted Zone: *.windupdates.com (HKLM)
                      O15 - Trusted Zone: *.xxxtoolbar.com (HKLM)
                      O15 - Trusted Zone: *.ysbweb.com (HKLM)
                      O15 - Trusted IP range: 67.19.178.84
                      O15 - Trusted IP range: 67.19.178.84 (HKLM)
                      O21 - SSODL: AntiVir/XP - {345697AE-7CD1-24B2-FF5E-704FE1800713} - c:\program
                      files\avpersonal\awibw3.dll
                      O21 - SSODL: System - {4260868F-1230-45FE-A2AD-C2387D5050D5} - vr_sys.dll (file
                      missing)
                      O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH -
                      C:\Program Files\AVPersonal\AVGUARD.EXE
                      O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32
                      \Ati2evxx.exe
                      O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
                      O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany -
                      C:\Program Files\AVPersonal\AVWUPSRV.EXE
                      O23 - Service: svchost.exe (moto) - Unknown owner - C:\WINDOWS\svchost.exe

                      • Gość: Kolobos Re: to jest jakis koszmar :( IP: *.warszawa.sdi.tpnet.pl 08.08.05, 19:08
                        Faktycznie nic sie nie zmienilo.

                        Uzyj tego:
                        www.searchengines.pl/phpbb203/index.php?
                        s=5debf1bfeab0c89e54567f66c39699f0&act=Attach&type=post&id=459

                        Sciagnij sobie:
                        www.downloads.subratam.org/KillBox.zip
                        Uruchom windows w trybie awaryjnym (F8 przy starcie systemu)
                        Rozpakuj killbox, zaznacz Delete on reboot wklej sciezke do pliku (sam/a nie
                        szukaj tylko wklejaj gotowa) i naciskaj czerwony przycisk ale na pytanie o
                        reset odpowiadaj nie i tak zrob z tymi plikami:

                        C:\WINDOWS\System32\kernels32.exe
                        C:\WINDOWS\System32\n?lookup.exe
                        C:\Program Files\taht\cmer.exe <- po resecie kasujesz katalog taht
                        C:\WINDOWS\System32\symcsvc.exe
                        C:\WINDOWS\system32\init32m.exe
                        C:\WINDOWS\svchost.exe
                        C:\WINDOWS\System32\vxgame2.exe
                        C:\WINDOWS\System32\vxgame3.exe
                        C:\WINDOWS\System32\vxgame4.exe
                        C:\WINDOWS\System32\vxgame6.exe
                        C:\WINDOWS\System32\vxgame4.exe
                        C:\WINDOWS\System32\vxgame3.exe
                        C:\WINDOWS\System32\vxgame4.exe
                        C:\WINDOWS\System32\vxgame6.exe
                        C:\WINDOWS\System32\vxgame4.exe
                        C:\WINDOWS\System32\vxgamet2.exe
                        C:\WINDOWS\System32\vxgamet2.exe
                        C:\WINDOWS\SYSTEM\Loader.dll
                        c:\windows\system\BHOmod.dll
                        c:\program files\avpersonal\awibw3.dll


                        + sprawdz czy w system32 masz jeszcze ktorys z tych plikow:
                        process: vxgame1.exe
                        process: vxgame4.exe
                        process: vxgame2.exe
                        process: vxgame6.exe
                        process: vxh8jkdq2.exe
                        process: vxh8jkdq5.exe
                        process: vxh8jkdq1.exe
                        process: vxgamet1.exe
                        process: vxh8jkdq7.exe
                        process: vxgamet2.exe
                        process: vxh8jkdq6.exe
                        process: vxgame6.exe
                        process: vxgame3.exe
                        process: vxgamet1.exe
                        process: sys1826.exe
                        process: vxh8jkdq7.exe
                        process: vxh8jkdq6.exe
                        process: vxh8jkdq1.exe
                        process: vxgame1.exe
                        process: lo1434213389.exe
                        process: vxh8jkdq5.exe
                        process: vxh8jkdq8.exe
                        Jak sa to tez dodaj.

                        Jak juz dodasz wszystkie to kasujesz w hijackthis:

                        F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\System32\kernels32.exe
                        O2 - BHO: Loader Class - {2E246FAE-8420-11D9-870D-000C2917DE7F} -
                        C:\WINDOWS\SYSTEM\Loader.dll
                        O2 - BHO: BHOmodObj Class - {7F6828CA-9E42-462C-BC60-418C8144012C} -
                        c:\windows\system\BHOmod.dll
                        O4 - HKLM\..\Run: [System] C:\WINDOWS\System32\kernels32.exe
                        O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft
                        AntiSpyware\gcasServ.exe" <- jeden wpis uwun bo masz dwa takie sam.
                        O4 - HKCU\..\Run: [Juthzhnu] C:\WINDOWS\System32\n?lookup.exe
                        O4 - HKCU\..\Run: [Rceo] C:\Program Files\taht\cmer.exe
                        O4 - HKCU\..\Run: [aupd] C:\WINDOWS\System32\symcsvc.exe
                        O15 - Trusted Zone: *.blazefind.com
                        O15 - Trusted Zone: *.clickspring.net
                        O15 - Trusted Zone: *.flingstone.com
                        O15 - Trusted Zone: *.mt-download.com
                        O15 - Trusted Zone: *.my-internet.info
                        O15 - Trusted Zone: *.searchbarcash.com
                        O15 - Trusted Zone: *.searchmiracle.com
                        O15 - Trusted Zone: *.skoobidoo.com
                        O15 - Trusted Zone: *.slotch.com
                        O15 - Trusted Zone: *.slotchbar.com
                        O15 - Trusted Zone: *.windupdates.com
                        O15 - Trusted Zone: *.xxxtoolbar.com
                        O15 - Trusted Zone: *.ysbweb.com
                        O15 - Trusted Zone: *.blazefind.com (HKLM)
                        O15 - Trusted Zone: *.clickspring.net (HKLM)
                        O15 - Trusted Zone: *.flingstone.com (HKLM)
                        O15 - Trusted Zone: *.mt-download.com (HKLM)
                        O15 - Trusted Zone: *.my-internet.info (HKLM)
                        O15 - Trusted Zone: *.searchbarcash.com (HKLM)
                        O15 - Trusted Zone: *.searchmiracle.com (HKLM)
                        O15 - Trusted Zone: *.skoobidoo.com (HKLM)
                        O15 - Trusted Zone: *.slotch.com (HKLM)
                        O15 - Trusted Zone: *.slotchbar.com (HKLM)
                        O15 - Trusted Zone: *.windupdates.com (HKLM)
                        O15 - Trusted Zone: *.xxxtoolbar.com (HKLM)
                        O15 - Trusted Zone: *.ysbweb.com (HKLM)
                        O15 - Trusted IP range: 67.19.178.84
                        O15 - Trusted IP range: 67.19.178.84 (HKLM)
                        O21 - SSODL: AntiVir/XP - {345697AE-7CD1-24B2-FF5E-704FE1800713} - c:\program
                        files\avpersonal\awibw3.dll <- to nie wiem co to jest.
                        O21 - SSODL: System - {4260868F-1230-45FE-A2AD-C2387D5050D5} - vr_sys.dll (file
                        missing)
                        O23 - Service: svchost.exe (moto) - Unknown owner - C:\WINDOWS\svchost.exe

                        Nastepnie reset i po resecie zrob nowy log i wklej na forum :-)
                        fix'ow nie musisz robic znowu wystarczy ze uruchomisz jeszcze raz.
                        • Gość: martyna Re: to jest jakis koszmar :( IP: 83.238.121.* 08.08.05, 22:21
                          Zanim przejde do awryjnego chcialabym jeszcze o cos zapytac, zebym przypadkiem
                          czegos nie robila zle, sciagnelam juz KillTrusted i Killbox, nie bardzo tylko
                          wiem o jaka sciezke chodzi?jak to bedzie wygladalo? i do jakiego pliku mam ja
                          wkleic, zeby czegos nie popsuc, pewnie moje pytania sa smieszne i banalne ale
                          ja naprawde nie znam sie na tym wszystkim :/

                          Pozdawiam!!!!
                          • neder Re: to jest jakis koszmar :( 08.08.05, 22:23
                            ścieżka to:

                            C:\WINDOWS\blank.mht
                            C:\WINDOWS\System32\kernels32.exe
                            (to tylko przykład poprzednich Twoich plików do usunięcia)
                            • Gość: Kolobos Re: to jest jakis koszmar :( IP: *.warszawa.sdi.tpnet.pl 08.08.05, 22:33
                              I wklejasz to do okienka killbox'a, a zepsuc raczej nie mozesz skoro pliki i
                              tak sa do kasacji ;-)
                              • Gość: martyna Re: to jest jakis koszmar :( IP: 83.238.121.* 08.08.05, 23:31
                                Rozpakowalam killbox,zanaczylam Delete on Reboot, wkleilam pierwsza sciezke do
                                pliku, ale po nacisnieciu czerwonego przycisku pojawia sie pytanie:

                                All listed files will be deleted on next reboot TAK/NIE

                                i jak klikam nie to nic sie nie dzieje, nie pojawia sie pytanie o reset.
                                • mbucz Re: to jest jakis koszmar :( 08.08.05, 23:42
                                  Skoro chcesz coś zrobić, a następnie, gdy prosi o potwierdzenie to klikasz na
                                  NIE, to chyba nie dziwne, że się nic nie dzieje?
                                  • Gość: martyna Re: to jest jakis koszmar :( IP: 83.238.121.* 09.08.05, 00:01
                                    no dobrze wiem o tym :/ pytam bo wyskakuje mi cos innego niz powinno,mialo
                                    byc "reset" a jest inny komunikat i boje sie nacisnac "tak" zeby czegos nie
                                    popsuc :/
                                    • Gość: Kolobos Re: to jest jakis koszmar :( IP: *.warszawa.sdi.tpnet.pl 09.08.05, 01:37
                                      Nie pytaj tylko rob to co masz robic zamiast co chwile pisac.
                                      Popsuc nie ma co bo pliki tak musisz usunac.
                        • Gość: Olo Re: to jest jakis koszmar :( IP: *.neoplus.adsl.tpnet.pl 09.08.05, 00:07
                          Tak z ciekawosci. Po co to wszystko skoro tam nawet nie ma SP1? Za pare dni
                          beda te same problemy.
                          • Gość: Martyna Re: do Kolobos IP: 83.238.121.* 09.08.05, 13:25
                            Zrobilam wszystko tak jak mi napisales/las i jest ok!!!!!!!!!!!! wszystko
                            zniknelo!!! :D sorry ze ci tak zawracalam glowe i zasypywalam milonem pytan,
                            bardzo bardzo bardzo ci dziekuje za pomoc!!!! Jestes super!!!!!!!

                            To jest nowy log, mam nadzieje, ze juz dobry.

                            Running processes:
                            C:\WINDOWS\System32\smss.exe
                            C:\WINDOWS\system32\winlogon.exe
                            C:\WINDOWS\system32\services.exe
                            C:\WINDOWS\system32\lsass.exe
                            C:\WINDOWS\System32\Ati2evxx.exe
                            C:\WINDOWS\system32\svchost.exe
                            C:\WINDOWS\System32\svchost.exe
                            C:\WINDOWS\system32\spoolsv.exe
                            C:\WINDOWS\system32\Ati2evxx.exe
                            C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
                            C:\Program Files\Winamp\winampa.exe
                            C:\Program Files\Creative\SBLive\AudioHQ\AHQTB.EXE
                            C:\Program Files\Gadu-Gadu\gg.exe
                            C:\Program Files\AVPersonal\AVWUPSRV.EXE
                            C:\WINDOWS\System32\svchost.exe
                            C:\Program Files\Internet Explorer\iexplore.exe
                            C:\Documents and Settings\Lukasz\Pulpit\hijackthis\HijackThis.exe

                            R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
                            www.google.pl/
                            R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
                            O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
                            O4 - HKLM\..\Run: [AHQInit] C:\Program Files\Creative\SBLive\Program\AHQInit.exe
                            O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
                            O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32
                            \spool\drivers\w32x86\3\hpztsb05.exe
                            O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
                            O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
                            O4 - HKLM\..\Run: [AudioHQ] C:\Program Files\Creative\SBLive\AudioHQ\AHQTB.EXE
                            O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
                            O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
                            O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
                            Office\Office\OSA9.EXE
                            O15 - Trusted IP range: 67.19.178.84
                            O15 - Trusted IP range: 67.19.178.84 (HKLM)
                            O21 - SSODL: AntiVir/XP - {345697AE-7CD1-24B2-FF5E-704FE1800713} - c:\program
                            files\avpersonal\awibw3.dll (file missing)
                            O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH -
                            C:\Program Files\AVPersonal\AVGUARD.EXE
                            O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32
                            \Ati2evxx.exe
                            O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
                            O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany -
                            C:\Program Files\AVPersonal\AVWUPSRV.EXE
                            • Gość: Kolobos Re: do Kolobos IP: *.icm.edu.pl / *.icm.edu.pl 09.08.05, 14:06
                              Jeszcze to do kasacji w hijackthis:

                              O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe <- plik usun z dysku o
                              ile jest.
                              O15 - Trusted IP range: 67.19.178.84 <- do tego uzyj:
                              www.searchengines.pl/phpbb203/index.php?
                              s=5debf1bfeab0c89e54567f66c39699f0&act=Attach&type=post&id=459 (link sie zlamal)
                              O15 - Trusted IP range: 67.19.178.84 (HKLM)
                              O21 - SSODL: AntiVir/XP - {345697AE-7CD1-24B2-FF5E-704FE1800713} - c:\program
                              files\avpersonal\awibw3.dll (file missing)

                              Do tego zamknij porty tym:
                              www.firewallleaktester.com/tools/wwdc.exe o ile tego jeszcze nie zrobilas
                              Do tego zainstaluj i przeskanuj tym:
                              download.microsoft.com/download/8/1/5/815d2d60-49b5-44dc-ae35-fca2f2c6f0cc/MicrosoftAntiSpywareInstall.exe
                              download.ewido.net/ewido-setup.exe <- zrob update przed skanowaniem, po
                              przeskanowaniu odinstaluj.
                              Bo tez chyba tego nie zrobilas?
    • Gość: PB Re: Ratunku!!! :( nie wiem co mam robic! IP: *.neoplus.adsl.tpnet.pl 23.08.05, 22:22
      Przeskanuj tym - skaner.mks.com.pl/ i/albo tym -
      scan.sygate.com/, loga z hijacka wyślij tam -
      hijackthis.de/index.php#anl.
      Pzdr.
Pełna wersja