Problem z tapetą i stroną startową

IP: *.tvgawex.pl 23.09.05, 20:51
Ostatnio wykryłem programy szpiegujące jak SpySheriff i próbowałem to usuwać
różnymi programami jak np. Ad-aware, SpyBot. Niby coś usunęło, ale tapeta
jest cały czas: Your system is infected i strona startowa CoolWebSearch. Nie
mogę zmienić stronki startowej ani usunąć historii. PLEASE HELP!!!
    • neder Re: Problem z tapetą i stroną startową 23.09.05, 20:53
      o Spysheriff był już tyle razy na forum, ze nie wierze że nie znalazłeś tego linka:
      www.searchengines.pl/phpbb203/index.php?showtopic=31936
    • Gość: Gregory Mój LOG z hijackthis IP: *.tvgawex.pl 23.09.05, 20:53
      Logfile of HijackThis v1.99.1
      Scan saved at 20:47:47, on 2005-09-23
      Platform: Windows XP (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 (6.00.2600.0000)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\SYSTEM32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\AntiVirenKit\AVKService.exe
      C:\Program Files\AntiVirenKit\AVKWCtl.exe
      C:\WINDOWS\System32\nvsvc32.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\SOUNDMAN.EXE
      C:\Program Files\Winamp\winampa.exe
      C:\Program Files\D-Tools\daemon.exe
      C:\WINDOWS\System32\RUNDLL32.EXE
      C:\WINDOWS\wt\updater\wcmdmgr.exe
      C:\Program Files\QuickTime\qttask.exe
      C:\WINDOWS\System32\wuauclt.exe
      C:\WINDOWS\System32\ctfmon.exe
      C:\Program Files\Messenger\msmsgs.exe
      C:\Program Files\BySoft FreeRAM\FreeRAM.exe
      C:\WINDOWS\explorer.exe
      C:\Program Files\Internet Explorer\IEXPLORE.EXE
      C:\WINDOWS\System32\mdms.exe
      C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Watch.exe
      C:\Program Files\Gadu-Gadu\gg.exe
      C:\Documents and Settings\GregoR.GRZEGORZ-KV70F6
      \Pulpit\hijackthis\HijackThis.exe

      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
      195.95.218.172/index.php
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
      195.95.218.172/index.php
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
      195.95.218.172/index.php
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
      195.95.218.172/index.php
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
      195.95.218.172/index.php
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
      195.95.218.172/index.php
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
      O1 - Hosts: 127.0.0.4 n-glx.s-redirect.com
      O1 - Hosts: 127.0.0.4 x.full-tgp.net
      O1 - Hosts: 127.0.0.4 counter.sexmaniack.com
      O1 - Hosts: 127.0.0.4 autoescrowpay.com
      O1 - Hosts: 127.0.0.4 www.autoescrowpay.com
      O1 - Hosts: 127.0.0.4 www.awmdabest.com
      O1 - Hosts: 127.0.0.4 www.sexfiles.nu
      O1 - Hosts: 127.0.0.4 awmdabest.com
      O1 - Hosts: 127.0.0.4 sexfiles.nu
      O1 - Hosts: 127.0.0.4 allforadult.com
      O1 - Hosts: 127.0.0.4 www.allforadult.com
      O1 - Hosts: 127.0.0.4 www.iframe.biz
      O1 - Hosts: 127.0.0.4 iframe.biz
      O1 - Hosts: 127.0.0.4 www.newiframe.biz
      O1 - Hosts: 127.0.0.4 newiframe.biz
      O1 - Hosts: 127.0.0.4 www.vesbiz.biz
      O1 - Hosts: 127.0.0.4 vesbiz.biz
      O1 - Hosts: 127.0.0.4 www.pi..to.biz
      O1 - Hosts: 127.0.0.4 pi..to.biz
      O1 - Hosts: 127.0.0.4 www.aaasexypics.com
      O1 - Hosts: 127.0.0.4 aaasexypics.com
      O1 - Hosts: 127.0.0.4 www.virgin-tgp.net
      O1 - Hosts: 127.0.0.4 virgin-tgp.net
      O1 - Hosts: 127.0.0.4 www.awmcash.biz
      O1 - Hosts: 127.0.0.4 awmcash.biz
      O1 - Hosts: 127.0.0.4 buldog-stats.com
      O1 - Hosts: 127.0.0.4 www.buldog-stats.com
      O1 - Hosts: 127.0.0.4 fregat.drocherway.com
      O1 - Hosts: 127.0.0.4 slutmania.biz
      O1 - Hosts: 127.0.0.4 www.slutmania.biz
      O1 - Hosts: 127.0.0.4 toolbarpartner.com
      O1 - Hosts: 127.0.0.4 www.toolbarpartner.com
      O1 - Hosts: 127.0.0.4 www.megapornix.com
      O1 - Hosts: 127.0.0.4 megapornix.com
      O1 - Hosts: 127.0.0.4 www.sp2fucked.biz
      O1 - Hosts: 127.0.0.4 sp2fucked.biz
      O1 - Hosts: 127.0.0.4 greg-tut.com
      O1 - Hosts: 127.0.0.4 www.greg-tut.com
      O1 - Hosts: 127.0.0.4 nylonsexy.com
      O1 - Hosts: 127.0.0.4 www.nylonsexy.com
      O1 - Hosts: 127.0.0.4 vparivalka.com
      O1 - Hosts: 127.0.0.4 www.vparivalka.com
      O1 - Hosts: 127.0.0.4 iframeprofit.com
      O1 - Hosts: 127.0.0.4 www.iframeprofit.com
      O1 - Hosts: 127.0.0.4 topsearch10.com
      O1 - Hosts: 127.0.0.4 www.topsearch10.com
      O1 - Hosts: 127.0.0.4 statscash.biz
      O1 - Hosts: 127.0.0.4 www.statscash.biz
      O1 - Hosts: 127.0.0.4 vxiframe.biz
      O1 - Hosts: 127.0.0.4 www.vxiframe.biz
      O1 - Hosts: 127.0.0.4 crazy-toolbar.com
      O1 - Hosts: 127.0.0.4 www.crazy-toolbar.com
      O1 - Hosts: 127.0.0.4 topcash.biz
      O1 - Hosts: 127.0.0.4 www.topcash.biz
      O1 - Hosts: 127.0.0.4 loadcash.biz
      O1 - Hosts: 127.0.0.4 www.loadcash.biz
      O1 - Hosts: 127.0.0.4 txiframe.biz
      O1 - Hosts: 127.0.0.4 www.txiframe.biz
      O1 - Hosts: 127.0.0.4 procounter.biz
      O1 - Hosts: 127.0.0.4 www.procounter.biz
      O1 - Hosts: 127.0.0.4 advadmin.biz
      O1 - Hosts: 127.0.0.4 www.advadmin.biz
      O1 - Hosts: 127.0.0.4 trafficbest.net
      O1 - Hosts: 127.0.0.4 www.trafficbest.net
      O1 - Hosts: 127.0.0.4 besthvac.com
      O1 - Hosts: 127.0.0.4 www.besthvac.com
      O1 - Hosts: 127.0.0.4 traff4.com
      O1 - Hosts: 127.0.0.4 www.traff4.com
      O1 - Hosts: 127.0.0.4 ambush-script.com
      O1 - Hosts: 127.0.0.4 www.ambush-script.com
      O1 - Hosts: 127.0.0.4 beehappyy.biz
      O1 - Hosts: 127.0.0.4 www.beehappyy.biz
      O1 - Hosts: 127.0.0.4 tracktraff.cc
      O1 - Hosts: 127.0.0.4 www.tracktraff.cc
      O1 - Hosts: 127.0.0.4 allcount.net
      O1 - Hosts: 127.0.0.4 www.allcount.net
      O1 - Hosts: 127.0.0.4 onedayoffer.biz
      O1 - Hosts: 127.0.0.4 www.onedayoffer.biz
      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
      C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
      O2 - BHO: (no name) - {78364D99-A640-4ddf-B91A-67EFF8373045} -
      C:\WINDOWS\system32\appwiz.dll
      O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
      C:\WINDOWS\System32\msdxm.ocx
      O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
      O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
      O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -
      lang 1033
      O4 - HKLM\..\Run: [wcmdmgr] C:\WINDOWS\wt\updater\wcmdmgrl.exe -launch
      O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32
      \NvCpl.dll,NvStartup
      O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
      O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32
      \NvMcTray.dll,NvTaskbarInit
      O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -
      atboottime
      O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
      O4 - HKLM\..\Run: [SysMemory manager] c:\windows\system32\mdms.exe
      O4 - HKLM\..\Run: [Services] C:\WINDOWS\services.exe $
      O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
      O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
      O4 - HKCU\..\Run: [BySoft FreeRAM] C:\Program Files\BySoft FreeRAM\FreeRAM.exe
      O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32
      \NVMCTRAY.DLL,NvTaskbarInit
      O4 - HKCU\..\Run: [Shell] "C:\Program Files\Common Files\Microsoft Shared\Web
      Folders\ibm00001.exe"
      O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
      O4 - HKCU\..\Run: [SNInstall] C:\winstall.exe
      O4 - HKCU\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe
      O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common
      Files\Adobe\Calibration\Adobe Gamma Loader.exe
      O8 - Extra context menu item: E&ksport do programu Microsoft Excel -
      res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
      O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -
      C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
      O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Program
      Files\AntiVirenKit\AVKService.exe
      O23 - Service: Strażnik AVK (AVKWCtl) - Unknown owner - C:\Program
      Files\AntiVirenKit\AVKWCtl.exe
      O23 - Service: NVIDIA Driver Helper Service (nvsvc) - NVIDIA Corporation -
      C:\WINDOWS\System32\nvsvc32.exe

      • neder Re: Mój LOG z hijackthis 23.09.05, 21:10

        • neder Re: Mój LOG z hijackthis 23.09.05, 21:11
          sorry, coś się dzieje z forum, musi być odpowiedx w kawałkach - wywalasz też
          wszystkiw pisy 01 i dalej

          > O2 - BHO: (no name) - {78364D99-A640-4ddf-B91A-67EFF8373045} -
          > C:\WINDOWS\system32\appwiz.dll
          > O4 - HKLM\..\Run: [SysMemory manager] c:\windows\system32\mdms.exe -> usuwasz
          tez plik z dysku
          > O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe -> tez wywalasz
          > O4 - HKCU\..\Run: [Shell] "C:\Program Files\Common Files\Microsoft Shared\Web
          > Folders\ibm00001.exe"
          > O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
          > O4 - HKCU\..\Run: [SNInstall] C:\winstall.exe
          > O4 - HKCU\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe


          co do tego wpisu nie jestem pewna:
          > O4 - HKLM\..\Run: [Services] C:\WINDOWS\services.exe $
          więc musi tu napisac Kolobos, na razie wywal w HJ to co wyżej i zrób to co w
          linku a propos spysheriff
          • neder Re: Mój LOG z hijackthis 23.09.05, 21:13
            sorry tez za literówki (wkurzyłam się na działanie forum ;P) a teraz i za
            mnożenie wpisów. Mam nadzieje tylko że jest to zrozumiałe.


            pzdr
        • Gość: mmx Re: Mój LOG z hijackthis IP: *.acn.waw.pl 23.09.05, 21:11
          Dodaj, ze operacje trzeba bedzie powtarzac zapewne kilka razy na tydzien,
          dopoki system nie zostanie zaktualizowany :)
          • neder Re: Mój LOG z hijackthis 23.09.05, 21:15
            zero aktualizacji, zero antywirusa, zero firewalla?

            tzn. antywir jakis jest ale nie w running processes... zmiana przeglądarki w tym
            przypadku raczej wskazana.
            • Gość: Gregory Do **neder** IP: *.tvgawex.pl 23.09.05, 21:49
              Napisałaś mi, żebym usunął też z dysku mdms.exe, ale jak próbuje usuwać to mi
              wyskakuje, że nie można usunąć gdyż plik jest używany lub coś tam... Nie wim co
              zrobić (może po restarcie kompa będzie się dało usunąć??)
              • neder Re: Do **neder** 23.09.05, 22:08
                po restarcie też nie da rady bo jest w autostarcie i będzie sie uruchamiał razem
                z systemem. Uwal go w awaryjnym, albo najpierw zakończ proces poprzez menedżera
                zadań. daję jeszcze link w którym masz opisane wpisy do rejestru tego smiecia -
                jak czujesz się na siłach to te wpisy powywalaj (nie jest ich wiele bo bodajże 2):
                www.sophos.com/virusinfo/analyses/w32sdbotch.html
                • Gość: Gregory Re: Do **neder** prawie dobrze... IP: *.tvgawex.pl 23.09.05, 22:29
                  OK. Strona startowa już jest taka jaką ja chcę, ale pozostaje problem z
                  tapetą...
                  • neder Re: Do **neder** prawie dobrze... 23.09.05, 22:37
                    co do tapety dałam Ci linka na forum searchengines ;/ tam masz dokładny opis
                    naprawiana. po wszystkim wklej nowy log (mam nadzieje że tym razem będzie bez
                    zbednych wpisów ;))
                    • Gość: Gregory Sprawdzenie oczyszczonego LOGa IP: *.tvgawex.pl 23.09.05, 22:51
                      Logfile of HijackThis v1.99.1
                      Scan saved at 22:50:32, on 2005-09-23
                      Platform: Windows XP (WinNT 5.01.2600)
                      MSIE: Internet Explorer v6.00 (6.00.2600.0000)

                      Running processes:
                      C:\WINDOWS\System32\smss.exe
                      C:\WINDOWS\SYSTEM32\winlogon.exe
                      C:\WINDOWS\system32\services.exe
                      C:\WINDOWS\system32\lsass.exe
                      C:\WINDOWS\system32\svchost.exe
                      C:\WINDOWS\System32\svchost.exe
                      C:\WINDOWS\system32\spoolsv.exe
                      C:\WINDOWS\Explorer.EXE
                      C:\Program Files\AntiVirenKit\AVKService.exe
                      C:\Program Files\AntiVirenKit\AVKWCtl.exe
                      C:\WINDOWS\System32\nvsvc32.exe
                      C:\WINDOWS\System32\svchost.exe
                      C:\WINDOWS\SOUNDMAN.EXE
                      C:\Program Files\Winamp\winampa.exe
                      C:\Program Files\D-Tools\daemon.exe
                      C:\WINDOWS\wt\updater\wcmdmgr.exe
                      C:\WINDOWS\System32\RUNDLL32.EXE
                      C:\Program Files\QuickTime\qttask.exe
                      C:\WINDOWS\System32\ctfmon.exe
                      C:\Program Files\Messenger\msmsgs.exe
                      C:\Program Files\BySoft FreeRAM\FreeRAM.exe
                      C:\Program Files\Gadu-Gadu\gg.exe
                      C:\WINDOWS\System32\wuauclt.exe
                      C:\Program Files\Internet Explorer\IEXPLORE.EXE
                      C:\WINDOWS\System32\mdms.exe
                      C:\Documents and Settings\GregoR.GRZEGORZ-KV70F6
                      \Pulpit\hijackthis\HijackThis.exe

                      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
                      www.wp.pl/
                      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
                      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
                      C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
                      O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
                      C:\WINDOWS\System32\msdxm.ocx
                      O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
                      O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
                      O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -
                      lang 1033
                      O4 - HKLM\..\Run: [wcmdmgr] C:\WINDOWS\wt\updater\wcmdmgrl.exe -launch
                      O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32
                      \NvCpl.dll,NvStartup
                      O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
                      O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32
                      \NvMcTray.dll,NvTaskbarInit
                      O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -
                      atboottime
                      O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
                      O4 - HKLM\..\Run: [Services] C:\WINDOWS\services.exe $
                      O4 - HKLM\..\Run: [SysMemory manager] c:\windows\system32\mdms.exe
                      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
                      O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
                      O4 - HKCU\..\Run: [BySoft FreeRAM] C:\Program Files\BySoft FreeRAM\FreeRAM.exe
                      O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32
                      \NVMCTRAY.DLL,NvTaskbarInit
                      O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common
                      Files\Adobe\Calibration\Adobe Gamma Loader.exe
                      O8 - Extra context menu item: E&ksport do programu Microsoft Excel -
                      res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
                      O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -
                      C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
                      O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Program
                      Files\AntiVirenKit\AVKService.exe
                      O23 - Service: Strażnik AVK (AVKWCtl) - Unknown owner - C:\Program
                      Files\AntiVirenKit\AVKWCtl.exe
                      O23 - Service: NVIDIA Driver Helper Service (nvsvc) - NVIDIA Corporation -
                      C:\WINDOWS\System32\nvsvc32.exe

                      • neder Re: Sprawdzenie oczyszczonego LOGa 23.09.05, 23:14
                        ciągle masz to mdms.exe ale jest już zdecydowanie lepiej ;)

                        do wywalenia cały czas pozostaje ( w awaryjnym):
                        > O4 - HKLM\..\Run: [SysMemory manager] c:\windows\system32\mdms.exe
                        dało się wywalić ten plik?

                        ja bym jednak jeszcze usunęła wpis:
                        > O4 - HKLM\..\Run: [Services] C:\WINDOWS\services.exe $


                        zastanów się jeszcze nad powywalaniem kilku rzeczy z autostartu - możesz sobie
                        zwolnić w ten sposób trochę zasobów. a tak te programy ładują się wraz z
                        systemem, zupełnie niepotrzebnie:
                        > O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
                        > O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -
                        > lang 1033 -> chyba że często korzystasz
                        > O4 - HKLM\..\Run: [wcmdmgr] C:\WINDOWS\wt\updater\wcmdmgrl.exe -launch
                        > O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -
                        > atboottime
                        > O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
                        > O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
                        -> korzystasz w ogóle z messengera? jak nie to:
                        Start -> Uruchom, wpisz i wykonaj:
                        RunDll32 advpack.dll,LaunchINFSection %windir%\INF\msmsgs.inf,BLC.Remove
                        i messenger pójdzie w niepamięć;)
                        > O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common
                        > Files\Adobe\Calibration\Adobe Gamma Loader.exe

                        jak widzisz trochę tych zbędnych wpisów jest.


                        Następna sprawa to to o czym już ktoś pisał czyli brak aktualizacji. Jeśli masz
                        legalny Windows to koniecznie odwiedź www.windowsupdate.com

                        Co z Twoim antywirusem? Niby jakies tam wpisy w logu są ale ani nie masz go w
                        autostarcie ani nie jest on aktualnie 'na chodzie'. Nie masz też zdaje się
                        firewalla? To doprowadzi do tego, ze faktycznie za 15 minut będzie to samo. A
                        jeśli pozostaniesz w tym stanie przy IE to nawet więcej ;/


                        Masz jeszcze trochę roboty ale warto też ściągnąć sobie:
                        download.microsoft.com/download/8/1/5/815d2d60-49b5-44dc-ae35-fca2f2c6f0cc/MicrosoftAntiSpywareInstall.exe
                        download.ewido.net/ewido-setup.exe
                        i przeskanować (przed skanem dokonać oczywiście aktualizacji programu). po
                        skorzystaniu z ewido (drugi link) odinstaluj go, Antispyware zostaw.


                        Jeśli nie chcesz się bawić w firewalla to skorzystaj przynajmniej z tego:
                        www.firewallleaktester.com/tools/wwdc.exe -> zamknij tym porty. osobiście nigdy
                        z tego nie korzystałam ale prawie zawsze podaje ten link Kolobos a on się zna
                        lepiej, no a poza tym nikt tu dotychczas na to nie narzekał;). wydaje mi się
                        tylko że nad firewallem masz większa kontrolę.


                        Trochę się rozpisałam ale tak trzeba było;)

                        Po wykonaniu tego wszystkiego wklej nastepnego loga (po restarcie). I naprawdę
                        am nadzieję, że tym razem będzie to już ostatni;)


                        pzdr
        • Gość: Gregory Re:sprawdzenie czy wszystko usunelo sie poprawnie IP: *.tvgawex.pl 23.09.05, 21:16
          Logfile of HijackThis v1.99.1
          Scan saved at 21:16:25, on 2005-09-23
          Platform: Windows XP (WinNT 5.01.2600)
          MSIE: Internet Explorer v6.00 (6.00.2600.0000)

          Running processes:
          C:\WINDOWS\System32\smss.exe
          C:\WINDOWS\SYSTEM32\winlogon.exe
          C:\WINDOWS\system32\services.exe
          C:\WINDOWS\system32\lsass.exe
          C:\WINDOWS\system32\svchost.exe
          C:\WINDOWS\System32\svchost.exe
          C:\WINDOWS\system32\spoolsv.exe
          C:\Program Files\AntiVirenKit\AVKService.exe
          C:\Program Files\AntiVirenKit\AVKWCtl.exe
          C:\WINDOWS\System32\nvsvc32.exe
          C:\WINDOWS\System32\svchost.exe
          C:\WINDOWS\SOUNDMAN.EXE
          C:\Program Files\Winamp\winampa.exe
          C:\Program Files\D-Tools\daemon.exe
          C:\WINDOWS\System32\RUNDLL32.EXE
          C:\WINDOWS\wt\updater\wcmdmgr.exe
          C:\Program Files\QuickTime\qttask.exe
          C:\WINDOWS\System32\wuauclt.exe
          C:\WINDOWS\System32\ctfmon.exe
          C:\Program Files\Messenger\msmsgs.exe
          C:\Program Files\BySoft FreeRAM\FreeRAM.exe
          C:\WINDOWS\explorer.exe
          C:\Program Files\Internet Explorer\IEXPLORE.EXE
          C:\WINDOWS\System32\mdms.exe
          C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Watch.exe
          C:\Program Files\Gadu-Gadu\gg.exe
          C:\Program Files\Internet Explorer\IEXPLORE.EXE
          C:\Program Files\Internet Explorer\IEXPLORE.EXE
          C:\Documents and Settings\GregoR.GRZEGORZ-KV70F6
          \Pulpit\hijackthis\HijackThis.exe

          R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
          195.95.218.172/index.php
          R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
          195.95.218.172/index.php
          R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
          195.95.218.172/index.php
          R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
          195.95.218.172/index.php
          R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
          195.95.218.172/index.php
          R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
          O1 - Hosts: 127.0.0.4 n-glx.s-redirect.com
          O1 - Hosts: 127.0.0.4 x.full-tgp.net
          O1 - Hosts: 127.0.0.4 counter.sexmaniack.com
          O1 - Hosts: 127.0.0.4 autoescrowpay.com
          O1 - Hosts: 127.0.0.4 www.autoescrowpay.com
          O1 - Hosts: 127.0.0.4 www.awmdabest.com
          O1 - Hosts: 127.0.0.4 www.sexfiles.nu
          O1 - Hosts: 127.0.0.4 awmdabest.com
          O1 - Hosts: 127.0.0.4 sexfiles.nu
          O1 - Hosts: 127.0.0.4 allforadult.com
          O1 - Hosts: 127.0.0.4 www.allforadult.com
          O1 - Hosts: 127.0.0.4 www.iframe.biz
          O1 - Hosts: 127.0.0.4 iframe.biz
          O1 - Hosts: 127.0.0.4 www.newiframe.biz
          O1 - Hosts: 127.0.0.4 newiframe.biz
          O1 - Hosts: 127.0.0.4 www.vesbiz.biz
          O1 - Hosts: 127.0.0.4 vesbiz.biz
          O1 - Hosts: 127.0.0.4 www.pi..to.biz
          O1 - Hosts: 127.0.0.4 pi..to.biz
          O1 - Hosts: 127.0.0.4 www.aaasexypics.com
          O1 - Hosts: 127.0.0.4 aaasexypics.com
          O1 - Hosts: 127.0.0.4 www.virgin-tgp.net
          O1 - Hosts: 127.0.0.4 virgin-tgp.net
          O1 - Hosts: 127.0.0.4 www.awmcash.biz
          O1 - Hosts: 127.0.0.4 awmcash.biz
          O1 - Hosts: 127.0.0.4 buldog-stats.com
          O1 - Hosts: 127.0.0.4 www.buldog-stats.com
          O1 - Hosts: 127.0.0.4 fregat.drocherway.com
          O1 - Hosts: 127.0.0.4 slutmania.biz
          O1 - Hosts: 127.0.0.4 www.slutmania.biz
          O1 - Hosts: 127.0.0.4 toolbarpartner.com
          O1 - Hosts: 127.0.0.4 www.toolbarpartner.com
          O1 - Hosts: 127.0.0.4 www.megapornix.com
          O1 - Hosts: 127.0.0.4 megapornix.com
          O1 - Hosts: 127.0.0.4 www.sp2fucked.biz
          O1 - Hosts: 127.0.0.4 sp2fucked.biz
          O1 - Hosts: 127.0.0.4 greg-tut.com
          O1 - Hosts: 127.0.0.4 www.greg-tut.com
          O1 - Hosts: 127.0.0.4 nylonsexy.com
          O1 - Hosts: 127.0.0.4 www.nylonsexy.com
          O1 - Hosts: 127.0.0.4 vparivalka.com
          O1 - Hosts: 127.0.0.4 www.vparivalka.com
          O1 - Hosts: 127.0.0.4 iframeprofit.com
          O1 - Hosts: 127.0.0.4 www.iframeprofit.com
          O1 - Hosts: 127.0.0.4 topsearch10.com
          O1 - Hosts: 127.0.0.4 www.topsearch10.com
          O1 - Hosts: 127.0.0.4 statscash.biz
          O1 - Hosts: 127.0.0.4 www.statscash.biz
          O1 - Hosts: 127.0.0.4 vxiframe.biz
          O1 - Hosts: 127.0.0.4 www.vxiframe.biz
          O1 - Hosts: 127.0.0.4 crazy-toolbar.com
          O1 - Hosts: 127.0.0.4 www.crazy-toolbar.com
          O1 - Hosts: 127.0.0.4 topcash.biz
          O1 - Hosts: 127.0.0.4 www.topcash.biz
          O1 - Hosts: 127.0.0.4 loadcash.biz
          O1 - Hosts: 127.0.0.4 www.loadcash.biz
          O1 - Hosts: 127.0.0.4 txiframe.biz
          O1 - Hosts: 127.0.0.4 www.txiframe.biz
          O1 - Hosts: 127.0.0.4 procounter.biz
          O1 - Hosts: 127.0.0.4 www.procounter.biz
          O1 - Hosts: 127.0.0.4 advadmin.biz
          O1 - Hosts: 127.0.0.4 www.advadmin.biz
          O1 - Hosts: 127.0.0.4 trafficbest.net
          O1 - Hosts: 127.0.0.4 www.trafficbest.net
          O1 - Hosts: 127.0.0.4 besthvac.com
          O1 - Hosts: 127.0.0.4 www.besthvac.com
          O1 - Hosts: 127.0.0.4 traff4.com
          O1 - Hosts: 127.0.0.4 www.traff4.com
          O1 - Hosts: 127.0.0.4 ambush-script.com
          O1 - Hosts: 127.0.0.4 www.ambush-script.com
          O1 - Hosts: 127.0.0.4 beehappyy.biz
          O1 - Hosts: 127.0.0.4 www.beehappyy.biz
          O1 - Hosts: 127.0.0.4 tracktraff.cc
          O1 - Hosts: 127.0.0.4 www.tracktraff.cc
          O1 - Hosts: 127.0.0.4 allcount.net
          O1 - Hosts: 127.0.0.4 www.allcount.net
          O1 - Hosts: 127.0.0.4 onedayoffer.biz
          O1 - Hosts: 127.0.0.4 www.onedayoffer.biz
          O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
          C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
          O2 - BHO: (no name) - {78364D99-A640-4ddf-B91A-67EFF8373045} -
          C:\WINDOWS\system32\appwiz.dll
          O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
          C:\WINDOWS\System32\msdxm.ocx
          O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
          O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
          O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -
          lang 1033
          O4 - HKLM\..\Run: [wcmdmgr] C:\WINDOWS\wt\updater\wcmdmgrl.exe -launch
          O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32
          \NvCpl.dll,NvStartup
          O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
          O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32
          \NvMcTray.dll,NvTaskbarInit
          O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -
          atboottime
          O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
          O4 - HKLM\..\Run: [SysMemory manager] c:\windows\system32\mdms.exe
          O4 - HKLM\..\Run: [Services] C:\WINDOWS\services.exe $
          O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe
          O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
          O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
          O4 - HKCU\..\Run: [BySoft FreeRAM] C:\Program Files\BySoft FreeRAM\FreeRAM.exe
          O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32
          \NVMCTRAY.DLL,NvTaskbarInit
          O4 - HKCU\..\Run: [Shell] "C:\Program Files\Common Files\Microsoft Shared\Web
          Folders\ibm00001.exe"
          O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
          O4 - HKCU\..\Run: [SNInstall] C:\winstall.exe
          O4 - HKCU\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe
          O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common
          Files\Adobe\Calibration\Adobe Gamma Loader.exe
          O8 - Extra context menu item: E&ksport do programu Microsoft Excel -
          res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
          O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -
          C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
          O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Program
          Files\AntiVirenKit\AVKService.exe
          O23 - Service: Strażnik AVK (AVKWCtl) - Unknown owner - C:\Program
          Files\AntiVirenKit\AVKWCtl.exe
          O23 - Service: NVIDIA Driver Helper Service (nvsvc) - NVIDIA Corporation -
          C:\WINDOWS\System32\nvsvc32.exe

          • neder Re:sprawdzenie czy wszystko usunelo sie poprawnie 23.09.05, 21:18
            nic sie nie usunęło... potrafisz chyba porównać to co miało być wywalone ze
            stanem jaki jest teraz? albo nie doczytałeś moich kilku wątków. jeszcze raz
            sorry ale posty nie chciały sie w całości wysyłac, trzeba je było dzielić.
            wyszedł z tego śmietnik ;(
            • Gość: Gregory Re:sprawdzenie czy wszystko usunelo sie poprawnie2 IP: *.tvgawex.pl 23.09.05, 21:23
              Logfile of HijackThis v1.99.1
              Scan saved at 21:23:04, on 2005-09-23
              Platform: Windows XP (WinNT 5.01.2600)
              MSIE: Internet Explorer v6.00 (6.00.2600.0000)

              Running processes:
              C:\WINDOWS\System32\smss.exe
              C:\WINDOWS\SYSTEM32\winlogon.exe
              C:\WINDOWS\system32\services.exe
              C:\WINDOWS\system32\lsass.exe
              C:\WINDOWS\system32\svchost.exe
              C:\WINDOWS\System32\svchost.exe
              C:\WINDOWS\system32\spoolsv.exe
              C:\Program Files\AntiVirenKit\AVKService.exe
              C:\Program Files\AntiVirenKit\AVKWCtl.exe
              C:\WINDOWS\System32\nvsvc32.exe
              C:\WINDOWS\System32\svchost.exe
              C:\WINDOWS\SOUNDMAN.EXE
              C:\Program Files\Winamp\winampa.exe
              C:\Program Files\D-Tools\daemon.exe
              C:\WINDOWS\System32\RUNDLL32.EXE
              C:\WINDOWS\wt\updater\wcmdmgr.exe
              C:\Program Files\QuickTime\qttask.exe
              C:\WINDOWS\System32\wuauclt.exe
              C:\WINDOWS\System32\ctfmon.exe
              C:\Program Files\Messenger\msmsgs.exe
              C:\Program Files\BySoft FreeRAM\FreeRAM.exe
              C:\WINDOWS\explorer.exe
              C:\Program Files\Internet Explorer\IEXPLORE.EXE
              C:\Program Files\Gadu-Gadu\gg.exe
              C:\Documents and Settings\GregoR.GRZEGORZ-KV70F6
              \Pulpit\hijackthis\HijackThis.exe

              R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
              195.95.218.172/index.php
              R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
              195.95.218.172/index.php
              R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
              195.95.218.172/index.php
              R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
              195.95.218.172/index.php
              R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
              195.95.218.172/index.php
              R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
              O1 - Hosts: 127.0.0.4 n-glx.s-redirect.com
              O1 - Hosts: 127.0.0.4 x.full-tgp.net
              O1 - Hosts: 127.0.0.4 counter.sexmaniack.com
              O1 - Hosts: 127.0.0.4 autoescrowpay.com
              O1 - Hosts: 127.0.0.4 www.autoescrowpay.com
              O1 - Hosts: 127.0.0.4 www.awmdabest.com
              O1 - Hosts: 127.0.0.4 www.sexfiles.nu
              O1 - Hosts: 127.0.0.4 awmdabest.com
              O1 - Hosts: 127.0.0.4 sexfiles.nu
              O1 - Hosts: 127.0.0.4 allforadult.com
              O1 - Hosts: 127.0.0.4 www.allforadult.com
              O1 - Hosts: 127.0.0.4 www.iframe.biz
              O1 - Hosts: 127.0.0.4 iframe.biz
              O1 - Hosts: 127.0.0.4 www.newiframe.biz
              O1 - Hosts: 127.0.0.4 newiframe.biz
              O1 - Hosts: 127.0.0.4 www.vesbiz.biz
              O1 - Hosts: 127.0.0.4 vesbiz.biz
              O1 - Hosts: 127.0.0.4 www.pi..to.biz
              O1 - Hosts: 127.0.0.4 pi..to.biz
              O1 - Hosts: 127.0.0.4 www.aaasexypics.com
              O1 - Hosts: 127.0.0.4 aaasexypics.com
              O1 - Hosts: 127.0.0.4 www.virgin-tgp.net
              O1 - Hosts: 127.0.0.4 virgin-tgp.net
              O1 - Hosts: 127.0.0.4 www.awmcash.biz
              O1 - Hosts: 127.0.0.4 awmcash.biz
              O1 - Hosts: 127.0.0.4 buldog-stats.com
              O1 - Hosts: 127.0.0.4 www.buldog-stats.com
              O1 - Hosts: 127.0.0.4 fregat.drocherway.com
              O1 - Hosts: 127.0.0.4 slutmania.biz
              O1 - Hosts: 127.0.0.4 www.slutmania.biz
              O1 - Hosts: 127.0.0.4 toolbarpartner.com
              O1 - Hosts: 127.0.0.4 www.toolbarpartner.com
              O1 - Hosts: 127.0.0.4 www.megapornix.com
              O1 - Hosts: 127.0.0.4 megapornix.com
              O1 - Hosts: 127.0.0.4 www.sp2fucked.biz
              O1 - Hosts: 127.0.0.4 sp2fucked.biz
              O1 - Hosts: 127.0.0.4 greg-tut.com
              O1 - Hosts: 127.0.0.4 www.greg-tut.com
              O1 - Hosts: 127.0.0.4 nylonsexy.com
              O1 - Hosts: 127.0.0.4 www.nylonsexy.com
              O1 - Hosts: 127.0.0.4 vparivalka.com
              O1 - Hosts: 127.0.0.4 www.vparivalka.com
              O1 - Hosts: 127.0.0.4 iframeprofit.com
              O1 - Hosts: 127.0.0.4 www.iframeprofit.com
              O1 - Hosts: 127.0.0.4 topsearch10.com
              O1 - Hosts: 127.0.0.4 www.topsearch10.com
              O1 - Hosts: 127.0.0.4 statscash.biz
              O1 - Hosts: 127.0.0.4 www.statscash.biz
              O1 - Hosts: 127.0.0.4 vxiframe.biz
              O1 - Hosts: 127.0.0.4 www.vxiframe.biz
              O1 - Hosts: 127.0.0.4 crazy-toolbar.com
              O1 - Hosts: 127.0.0.4 www.crazy-toolbar.com
              O1 - Hosts: 127.0.0.4 topcash.biz
              O1 - Hosts: 127.0.0.4 www.topcash.biz
              O1 - Hosts: 127.0.0.4 loadcash.biz
              O1 - Hosts: 127.0.0.4 www.loadcash.biz
              O1 - Hosts: 127.0.0.4 txiframe.biz
              O1 - Hosts: 127.0.0.4 www.txiframe.biz
              O1 - Hosts: 127.0.0.4 procounter.biz
              O1 - Hosts: 127.0.0.4 www.procounter.biz
              O1 - Hosts: 127.0.0.4 advadmin.biz
              O1 - Hosts: 127.0.0.4 www.advadmin.biz
              O1 - Hosts: 127.0.0.4 trafficbest.net
              O1 - Hosts: 127.0.0.4 www.trafficbest.net
              O1 - Hosts: 127.0.0.4 besthvac.com
              O1 - Hosts: 127.0.0.4 www.besthvac.com
              O1 - Hosts: 127.0.0.4 traff4.com
              O1 - Hosts: 127.0.0.4 www.traff4.com
              O1 - Hosts: 127.0.0.4 ambush-script.com
              O1 - Hosts: 127.0.0.4 www.ambush-script.com
              O1 - Hosts: 127.0.0.4 beehappyy.biz
              O1 - Hosts: 127.0.0.4 www.beehappyy.biz
              O1 - Hosts: 127.0.0.4 tracktraff.cc
              O1 - Hosts: 127.0.0.4 www.tracktraff.cc
              O1 - Hosts: 127.0.0.4 allcount.net
              O1 - Hosts: 127.0.0.4 www.allcount.net
              O1 - Hosts: 127.0.0.4 onedayoffer.biz
              O1 - Hosts: 127.0.0.4 www.onedayoffer.biz
              O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
              C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
              O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
              C:\WINDOWS\System32\msdxm.ocx
              O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
              O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
              O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -
              lang 1033
              O4 - HKLM\..\Run: [wcmdmgr] C:\WINDOWS\wt\updater\wcmdmgrl.exe -launch
              O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32
              \NvCpl.dll,NvStartup
              O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
              O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32
              \NvMcTray.dll,NvTaskbarInit
              O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -
              atboottime
              O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
              O4 - HKLM\..\Run: [Services] C:\WINDOWS\services.exe $
              O4 - HKLM\..\Run: [SysMemory manager] c:\windows\system32\mdms.exe
              O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe
              O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
              O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
              O4 - HKCU\..\Run: [BySoft FreeRAM] C:\Program Files\BySoft FreeRAM\FreeRAM.exe
              O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32
              \NVMCTRAY.DLL,NvTaskbarInit
              O4 - HKCU\..\Run: [Shell] "C:\Program Files\Common Files\Microsoft Shared\Web
              Folders\ibm00001.exe"
              O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
              O4 - HKCU\..\Run: [SNInstall] C:\winstall.exe
              O4 - HKCU\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe
              O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common
              Files\Adobe\Calibration\Adobe Gamma Loader.exe
              O8 - Extra context menu item: E&ksport do programu Microsoft Excel -
              res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
              O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -
              C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
              O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Program
              Files\AntiVirenKit\AVKService.exe
              O23 - Service: Strażnik AVK (AVKWCtl) - Unknown owner - C:\Program
              Files\AntiVirenKit\AVKWCtl.exe
              O23 - Service: NVIDIA Driver Helper Service (nvsvc) - NVIDIA Corporation -
              C:\WINDOWS\System32\nvsvc32.exe

              • neder Re:sprawdzenie czy wszystko usunelo sie poprawnie 23.09.05, 21:29
                skoro pisże Ci ż emas zusunąć wpisu np 01 i dla przykłądu:
                > R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
                > 195.95.218.172/index.php
                > R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
                > 195.95.218.172/index.php
                i inne (nie będe teraz się powtarzac bo znowu post się nie wysle) to jeśli
                wygenerujesz nowego loga i widzisz że te wpisy ciągle są to po co go wklejasz?
                Robisz Ty w ogóle cokolwiek z tym HJ? Bo prawde mówiąc wygląda tak jakbyć cały
                czas wklejał tego samego loga bez rzadnych zmian. spróbuj pouwalać to wszystko w
                awaryjnym. Może teraz pomoże. Przed wklejeniem kolejnego loga sprawdź dokładnie
                czy sa nadal wpisy, które podałam do usunięcia.
                • neder Re:sprawdzenie czy wszystko usunelo sie poprawnie 23.09.05, 21:30
                  > bez rzadnych zmian.

                  żadnych ofcourse
              • Gość: Kolobos Re:sprawdzenie czy wszystko usunelo sie poprawnie IP: *.warszawa.sdi.tpnet.pl 24.09.05, 00:10
                Odrazu na wstepie napisze, ze nie czytalem reszty postow wiec nie wiem co
                zostalo juz podane, a co nie :P
                Ale widze, ze wam sie watek ciagnie wiec postanowilem napisac :-)

                Platform: Windows XP (WinNT 5.01.2600)
                MSIE: Internet Explorer v6.00 (6.00.2600.0000)
                Piracki windows bez aktualizacji wiec nie mozesz uzywac IE, zmien przegladarke
                na Opere lub Firefox inaczej zaraz znowu bedziesz mial syf.

                Skan tym:
                download.microsoft.com/download/8/1/5/815d2d60-49b5-44dc-ae35-fca2f2c6f0cc/MicrosoftAntiSpywareInstall.exe
                download.ewido.net/ewido-setup.exe <- zrob update przed skanowaniem, po
                przeskanowaniu odinstaluj.
                Zamknij porty tym:
                www.firewallleaktester.com/tools/wwdc.exe

                W hijackthis usun:

                R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
                195.95.218.172/index.php
                R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
                195.95.218.172/index.php
                R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
                195.95.218.172/index.php
                R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
                195.95.218.172/index.php
                R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
                195.95.218.172/index.php
                O1 - Hosts: 127.0.0.4 n-glx.s-redirect.com
                O1 - Hosts: 127.0.0.4 x.full-tgp.net
                O1 - Hosts: 127.0.0.4 counter.sexmaniack.com
                O1 - Hosts: 127.0.0.4 autoescrowpay.com
                O1 - Hosts: 127.0.0.4 www.autoescrowpay.com
                O1 - Hosts: 127.0.0.4 www.awmdabest.com
                O1 - Hosts: 127.0.0.4 www.sexfiles.nu
                O1 - Hosts: 127.0.0.4 awmdabest.com
                O1 - Hosts: 127.0.0.4 sexfiles.nu
                O1 - Hosts: 127.0.0.4 allforadult.com
                O1 - Hosts: 127.0.0.4 www.allforadult.com
                O1 - Hosts: 127.0.0.4 www.iframe.biz
                O1 - Hosts: 127.0.0.4 iframe.biz
                O1 - Hosts: 127.0.0.4 www.newiframe.biz
                O1 - Hosts: 127.0.0.4 newiframe.biz
                O1 - Hosts: 127.0.0.4 www.vesbiz.biz
                O1 - Hosts: 127.0.0.4 vesbiz.biz
                O1 - Hosts: 127.0.0.4 www.pi..to.biz
                O1 - Hosts: 127.0.0.4 pi..to.biz
                O1 - Hosts: 127.0.0.4 www.aaasexypics.com
                O1 - Hosts: 127.0.0.4 aaasexypics.com
                O1 - Hosts: 127.0.0.4 www.virgin-tgp.net
                O1 - Hosts: 127.0.0.4 virgin-tgp.net
                O1 - Hosts: 127.0.0.4 www.awmcash.biz
                O1 - Hosts: 127.0.0.4 awmcash.biz
                O1 - Hosts: 127.0.0.4 buldog-stats.com
                O1 - Hosts: 127.0.0.4 www.buldog-stats.com
                O1 - Hosts: 127.0.0.4 fregat.drocherway.com
                O1 - Hosts: 127.0.0.4 slutmania.biz
                O1 - Hosts: 127.0.0.4 www.slutmania.biz
                O1 - Hosts: 127.0.0.4 toolbarpartner.com
                O1 - Hosts: 127.0.0.4 www.toolbarpartner.com
                O1 - Hosts: 127.0.0.4 www.megapornix.com
                O1 - Hosts: 127.0.0.4 megapornix.com
                O1 - Hosts: 127.0.0.4 www.sp2fucked.biz
                O1 - Hosts: 127.0.0.4 sp2fucked.biz
                O1 - Hosts: 127.0.0.4 greg-tut.com
                O1 - Hosts: 127.0.0.4 www.greg-tut.com
                O1 - Hosts: 127.0.0.4 nylonsexy.com
                O1 - Hosts: 127.0.0.4 www.nylonsexy.com
                O1 - Hosts: 127.0.0.4 vparivalka.com
                O1 - Hosts: 127.0.0.4 www.vparivalka.com
                O1 - Hosts: 127.0.0.4 iframeprofit.com
                O1 - Hosts: 127.0.0.4 www.iframeprofit.com
                O1 - Hosts: 127.0.0.4 topsearch10.com
                O1 - Hosts: 127.0.0.4 www.topsearch10.com
                O1 - Hosts: 127.0.0.4 statscash.biz
                O1 - Hosts: 127.0.0.4 www.statscash.biz
                O1 - Hosts: 127.0.0.4 vxiframe.biz
                O1 - Hosts: 127.0.0.4 www.vxiframe.biz
                O1 - Hosts: 127.0.0.4 crazy-toolbar.com
                O1 - Hosts: 127.0.0.4 www.crazy-toolbar.com
                O1 - Hosts: 127.0.0.4 topcash.biz
                O1 - Hosts: 127.0.0.4 www.topcash.biz
                O1 - Hosts: 127.0.0.4 loadcash.biz
                O1 - Hosts: 127.0.0.4 www.loadcash.biz
                O1 - Hosts: 127.0.0.4 txiframe.biz
                O1 - Hosts: 127.0.0.4 www.txiframe.biz
                O1 - Hosts: 127.0.0.4 procounter.biz
                O1 - Hosts: 127.0.0.4 www.procounter.biz
                O1 - Hosts: 127.0.0.4 advadmin.biz
                O1 - Hosts: 127.0.0.4 www.advadmin.biz
                O1 - Hosts: 127.0.0.4 trafficbest.net
                O1 - Hosts: 127.0.0.4 www.trafficbest.net
                O1 - Hosts: 127.0.0.4 besthvac.com
                O1 - Hosts: 127.0.0.4 www.besthvac.com
                O1 - Hosts: 127.0.0.4 traff4.com
                O1 - Hosts: 127.0.0.4 www.traff4.com
                O1 - Hosts: 127.0.0.4 ambush-script.com
                O1 - Hosts: 127.0.0.4 www.ambush-script.com
                O1 - Hosts: 127.0.0.4 beehappyy.biz
                O1 - Hosts: 127.0.0.4 www.beehappyy.biz
                O1 - Hosts: 127.0.0.4 tracktraff.cc
                O1 - Hosts: 127.0.0.4 www.tracktraff.cc
                O1 - Hosts: 127.0.0.4 allcount.net
                O1 - Hosts: 127.0.0.4 www.allcount.net
                O1 - Hosts: 127.0.0.4 onedayoffer.biz
                O1 - Hosts: 127.0.0.4 www.onedayoffer.biz
                O4 - HKLM\..\Run: [wcmdmgr] C:\WINDOWS\wt\updater\wcmdmgrl.exe -launch <-
                wylacz w msconfig.
                O4 - HKLM\..\Run: [Services] C:\WINDOWS\services.exe $ <- usun plik
                O4 - HKLM\..\Run: [SysMemory manager] c:\windows\system32\mdms.exe <- usun
                plik, reszta opis usuwania jest tutaj:
                securityresponse.symantec.com/avcenter/venc/data/trojan.repsamo.html
                O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe <- usun plik
                O4 - HKCU\..\Run: [Shell] "C:\Program Files\Common Files\Microsoft Shared\Web
                Folders\ibm00001.exe" <- usun plik i uruchom:
                www.kellys-korner-xp.com/regs_edits/exefix.reg
                O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe <- usun plik
                O4 - HKCU\..\Run: [SNInstall] C:\winstall.exe
                O4 - HKCU\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe

                Jak cos nie bedzie chcialo sie usunac to sciagnij killbox (znajdziesz na
                google) i usun przy jego uzyciu z opcja delete on reboot.

                Tapete tez masz zepsuta?
                www.searchengines.pl/phpbb203/index.php?showtopic=31936

                To tyle.
                • neder Re:sprawdzenie czy wszystko usunelo sie poprawnie 24.09.05, 00:22
                  hehe jaka jestem z siebie dumna ;P napisałam wszystko to samo ;P
                  a wątek się ciągnie bo autor ze 3 razy wklejał takiego samego loga z całym tym
                  syfem niby po usuwaniu.


                  do autora wątku - podaję róznice jakbyś się pogubił ;)
                  nie byłam pewna co do tego:
                  > O4 - HKLM\..\Run: [Services] C:\WINDOWS\services.exe $ <- usun plik

                  no i plus to
                  > O4 - HKCU\..\Run: [Shell] "C:\Program Files\Common Files\Microsoft Shared\Web
                  > Folders\ibm00001.exe" <- usun plik i uruchom:
                  > www.kellys-korner-xp.com/regs_edits/exefix.reg


                  that's all ;)
            • Gość: tata1959 Re:sprawdzenie czy wszystko usunelo sie poprawnie IP: *.neoplus.adsl.tpnet.pl 23.09.05, 21:24
              witaj
              tak....przecież @ neder dała ci linka na searchengines.pl
              były kilkudniowe kłopoty na Forum SE ,ale już jest OK!
              pozdrawiam
              .
              • Gość: tata1959 Re:sprawdzenie czy wszystko usunelo sie poprawnie IP: *.neoplus.adsl.tpnet.pl 23.09.05, 21:28
                tak..wszystko siedzi ,i...zapomniałeś jeszcze o Trojan.Repsamo
Pełna wersja