nie daję rady

IP: *.internetdsl.tpnet.pl 25.03.06, 21:04
Nie mogę sobie poradzić z WIN2/Dialer.
Próbowałem usunąc za pomocą kilku antyvirów ale bez skutku.
Proszę o sprawdzenie log'a

Logfile of HijackThis v1.99.1
Scan saved at 20:53:24, on 2006-03-25
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\PROGRAM FILES\ESET\NOD32KRN.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\IRMON.EXE
C:\WINDOWS\SYSTEM\LEXBCES.EXE
C:\PROGRAM FILES\WIDCOMM\BLUETOOTH SOFTWARE\BTTRAY.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\LEXPPS.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\PULPIT\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
www.google.pl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: DownloadRedirect Class - {00000000-6CB0-410C-8C3D-8FA8D2011D0A} -
(no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LexStart] lexstart.exe
O4 - HKLM\..\Run: [IrMon] irmon.exe
O4 - HKLM\..\Run: [MKS_MENU] C:\Program Files\MKS\Bin\mks_menu.exe
O4 - HKLM\..\Run: [MKS_MON] C:\Program Files\MKS\Bin\mks_mon.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\RunServices: [NOD32kernel] "C:\Program Files\Eset\nod32krn.exe"
O4 - Startup: Skrót do BTTray.lnk = C:\Program Files\WIDCOMM\Bluetooth
Software\BTTray.exe
O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O16 - DPF: ING Bank Online -
ssl.bsk.com.pl/bskonl/component/INGOnl.cab
O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
www.mks.com.pl/skaner/SkanerOnline.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage
Validation Tool) - go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {92ECE6FA-AC2E-4042-BFAE-0C8608E52A43} (SignActivX Control) -
www.bph.pl/pi/components/SignActivX.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer =
192.168.100.1,193.110.121.20,192.168.151.254

    • neder Re: nie daję rady 25.03.06, 21:22
      W jakim pliku go wykrywa (podaj pełną ścieżkę)? Masz 2 antywiry w autostarcie, a
      to oznacza, że obydwa mają uruchomione monitory, a to oznacza, że tak być nie
      powinno ;)
      • Gość: GOŚĆ Re: nie daję rady IP: *.internetdsl.tpnet.pl 25.03.06, 21:26
        Skanuje NOD32
        Najlepiej podam wszystko:
        Sprawdzone dyski, foldery i zbiory: C:
        C:\_RESTORE\TEMP\A0068773.CPY »RAR »Setup\ShortCut.dll - uszkodzone archiwum
        C:\_RESTORE\TEMP\A0083084.CPY »UPX v12_m2 - błąd w trakcie rozpakowania
        C:\_RESTORE\TEMP\A0086272.CPY »Pklite 1.15 - błąd w trakcie rozpakowania
        C:\_RESTORE\TEMP\A0086275.CPY »Pklite 1.15 - błąd w trakcie rozpakowania
        C:\_RESTORE\TEMP\A0086281.CPY »ZIP »ScanMasterFree0.4.0.0.exe - uszkodzone
        archiwum
        C:\_RESTORE\TEMP\A0087264.CPY »RAR »OBD.exe - uszkodzone archiwum
        C:\_RESTORE\TEMP\A0089717.1 - Win32/Adware.SaveNow Program - usunięty (po
        następnym uruchomieniu komputera) [2]
        C:\_RESTORE\TEMP\A0091897.0 - Win32/VB.D robak - usunięty (po następnym
        uruchomieniu komputera) [2]
        C:\_RESTORE\TEMP\A0095063.CPY »ZIP »wOBD.CAB - uszkodzone archiwum
        C:\_RESTORE\TEMP\A0095261.CPY »CAB »44174.bk - uszkodzone archiwum - zbiór nie
        może być rozpakowany.
        C:\_RESTORE\TEMP\A0096915.0 - Win32/Adware.UCmore Program - usunięty (po
        następnym uruchomieniu komputera) [2]
        C:\_RESTORE\TEMP\UCMTSAIE.1 - Win32/Adware.UCmore Program - usunięty (po
        następnym uruchomieniu komputera) [2]
        C:\_RESTORE\TEMP\A0099346.1 - prawdopodobnie odmiana
        Win32/Adware.MediaTickets Program
        C:\_RESTORE\TEMP\OINS.0 - prawdopodobnie odmiana Win32/Adware.MediaTickets
        Program
        C:\_RESTORE\TEMP\UPBKKB.0 - odmiana Win32/Adware.MediaTickets Program
        C:\_RESTORE\ARCHIVE\FS54.CAB »CAB »A0014681.CPY »CAB »88945.bk CPY - uszkodzone
        archiwum - zbiór nie może być rozpakowany.
        C:\_RESTORE\ARCHIVE\FS122.CAB »CAB »A0021898.CPY »ZIP »Release3029_Mte11040_CIVI
        C_TYPER_Crank - uszkodzone archiwum
        C:\_RESTORE\ARCHIVE\FS122.CAB »CAB »A0021983.CPY »ZIP »Licence.txt - uszkodzone
        archiwum
        C:\_RESTORE\ARCHIVE\FS227.CAB »CAB »A0034031.CPY - Win32/TrojanDownloader.VB.UY
        trojan
        C:\_RESTORE\ARCHIVE\FS228.CAB »CAB »A0034060.CPY - Win32/TrojanDownloader.VB.UY
        trojan
        C:\_RESTORE\ARCHIVE\FS240.CAB »CAB »A0037316.CPY »CAB »68439.bk CPY -
        uszkodzone archiwum - zbiór nie może być rozpakowany.
        C:\_RESTORE\ARCHIVE\FS224.CAB »CAB »A0033979.CPY - Win32/TrojanDownloader.VB.UY
        trojan
        C:\_RESTORE\ARCHIVE\FS223.CAB »CAB »A0033945.CPY - Win32/TrojanDownloader.VB.UY
        trojan
        C:\_RESTORE\ARCHIVE\FS223.CAB »CAB »A0033949.CPY - Win32/TrojanDownloader.VB.UY
        trojan
        C:\_RESTORE\ARCHIVE\FS225.CAB »CAB »A0033983.CPY - Win32/TrojanDownloader.VB.UY
        trojan
        C:\_RESTORE\ARCHIVE\FS225.CAB »CAB »A0033984.CPY - Win32/TrojanDownloader.VB.UY
        trojan
        C:\_RESTORE\ARCHIVE\FS226.CAB »CAB »A0034004.CPY - Win32/TrojanDownloader.VB.UY
        trojan
        C:\_RESTORE\ARCHIVE\FS229.CAB »CAB »A0034171.CPY - Win32/TrojanDownloader.VB.UY
        trojan
        C:\_RESTORE\ARCHIVE\FS221.CAB »CAB »A0033919.CPY - Win32/TrojanDownloader.VB.UY
        trojan
        C:\_RESTORE\ARCHIVE\FS286.CAB »CAB »A0046574.CPY »GZ »A0046574.CPY - błąd -
        nieznane metody kompresji
        C:\_RESTORE\ARCHIVE\FS321.CAB »CAB »A0051100.CPY »ZIP »art255_15012006.pdf -
        uszkodzone archiwum
        C:\WINDOWS\WIN386.SWP - błąd otwarcia (Zbiór jest zablokowany) [4]
        C:\WINDOWS\SYSTEM\tmea\tirt\ctxad-421.0000 »NSIS »NDrv.dll - błąd - nieznane
        metody kompresji
        C:\WINDOWS\SYSTEM\tmea\tirt\ctxad-421.0000 »NSIS »KillProcDLL.dll - wystąpił
        błąd podczas czytania archiwum
        C:\WINDOWS\OPTIONS\INSTALL\DRIVER5.CAB »CAB »gm16.dls - następujące wolumen
        archiwum nie został znalezione
        C:\WINDOWS\OPTIONS\INSTALL\NET3.CAB »CAB »ndspp.nw4 - następujące wolumen
        archiwum nie został znalezione
        C:\WINDOWS\OPTIONS\INSTALL\WIN_8.CAB »CAB »setup.bmp - następujące wolumen
        archiwum nie został znalezione
        C:\WINDOWS\TEMP\win7140.TMP - Win32/Dialer.OY trojan - usunięty
        C:\WINDOWS\Pulpit\OBD 2\OBD_SCA\J1979V1.CAB »CAB »MSDATLST.OCX - następujące
        wolumen archiwum nie został znalezione
        C:\WINDOWS\Pulpit\OBD 2\OBD2\J1979V1.CAB »CAB »MSDATLST.OCX - następujące
        wolumen archiwum nie został znalezione
        C:\WINDOWS\Pulpit\OBD 2\OBD22\OBD-2.ZIP »ZIP »COMDLG16.OC_ - uszkodzone archiwum
        C:\WINDOWS\Pulpit\OBD 2\OBD22\ODBTO~10.EXE »RAR »ODBTOOL\Typelib.dl_ -
        następujące wolumen archiwum nie został znalezione
        C:\WINDOWS\Pulpit\OBD 2\VAG-COM\KEYGEN.EXE »UPX v12_m2 - błąd w trakcie
        rozpakowania
        C:\WINDOWS\Pulpit\OBD 2\VAG-COM\VAG-~133.ZIP »ZIP »KEYGEN.EXE »UPX v12_m2 -
        błąd w trakcie rozpakowania
        C:\WINDOWS\Pulpit\OBD 2\VAG-COM\VAG-~133.ZIP »ZIP »keygen.us.url - niewłaściwa
        suma kontrolna CRC, zbiór może być uszkodzony
        C:\WINDOWS\Pulpit\OBD 2\VAG-COM\VAG-~133\KEYGEN.EXE »UPX v12_m2 - błąd w
        trakcie rozpakowania
        C:\WINDOWS\Pliki Instalatora aktualizacji Windows
        Update\IE_EXTRA.CAB »CAB »t2embed.dll »GZ »t2embed.dll - błąd - nieznane metody
        kompresji
        C:\Program Files\Common Files\PKWARE\PKZIP7
        \Collections\clihelp.ttd »ZIP »tmp/..PKText.CLIHelp.en_US - błąd - zbiór
        zabezpieczony hasłem
        C:\Program Files\Common Files\PKWARE\PKZIP7
        \Collections\Common.ttd »ZIP »tmp/..PKText.Common.en_US - błąd - zbiór
        zabezpieczony hasłem
        C:\Program Files\Common Files\PKWARE\PKZIP7
        \Collections\Common.ttd »ZIP »tmp/..PKText.Common.en_US-RSA - błąd - zbiór
        zabezpieczony hasłem
        C:\Program Files\Common Files\PKWARE\PKZIP7
        \Collections\pkbrowse.ttd »ZIP »tmp/..PKText.PKBrowse.en_US - błąd - zbiór
        zabezpieczony hasłem
        C:\Program Files\Common Files\PKWARE\PKZIP7
        \Collections\PKCmnDlg.ttd »ZIP »tmp/..PKText.PKCmnDlg.en_US - błąd - zbiór
        zabezpieczony hasłem
        C:\Program Files\Common Files\PKWARE\PKZIP7
        \Collections\PKCmnDlg.ttd »ZIP »tmp/..PKText.PKCmnDlg.en_US-SECURE - błąd -
        zbiór zabezpieczony hasłem
        C:\Program Files\Common Files\PKWARE\PKZIP7
        \Collections\PKCOM700.ttd »ZIP »tmp/..PKText.PKCOM700.en_US - błąd - zbiór
        zabezpieczony hasłem
        C:\Program Files\Common Files\PKWARE\PKZIP7
        \Collections\PKCOM700.ttd »ZIP »tmp/..PKText.PKCOM700.en_US-SECURE - błąd -
        zbiór zabezpieczony hasłem
        C:\Program Files\Common Files\PKWARE\PKZIP7
        \Collections\PKMail.ttd »ZIP »tmp/..PKText.PKMail.en_US - błąd - zbiór
        zabezpieczony hasłem
        C:\Program Files\Common Files\PKWARE\PKZIP7
        \Collections\PKMail.ttd »ZIP »tmp/..PKText.PKMail.en_US-RSA - błąd - zbiór
        zabezpieczony hasłem
        C:\Program Files\Common Files\PKWARE\PKZIP7
        \Collections\PKMail.ttd »ZIP »tmp/..PKText.PKMail.en_US-SECURE - błąd - zbiór
        zabezpieczony hasłem
        C:\Program Files\Common Files\PKWARE\PKZIP7
        \Collections\pknsetup.ttd »ZIP »tmp/..PKText.PKNSetup.en_US - błąd - zbiór
        zabezpieczony hasłem
        C:\Program Files\Common Files\PKWARE\PKZIP7
        \Collections\PKOPT700Text.ttd »ZIP »tmp/..PKText.PKOPT700Text.en_US - błąd -
        zbiór zabezpieczony hasłem
        C:\Program Files\Common Files\PKWARE\PKZIP7
        \Collections\PKOPT700Text.ttd »ZIP »tmp/..PKText.PKOPT700Text.en_US-SECURE -
        błąd - zbiór zabezpieczony hasłem
        C:\Program Files\Common Files\PKWARE\PKZIP7
        \Collections\PKSerial.ttd »ZIP »tmp/..PKText.PKSerial.en_US - błąd - zbiór
        zabezpieczony hasłem
        C:\Program Files\Common Files\PKWARE\PKZIP7
        \Collections\PKSerial.ttd »ZIP »tmp/..PKText.PKSerial.en_US-RSA - błąd - zbiór
        zabezpieczony hasłem
        C:\Program Files\Common Files\PKWARE\PKZIP7
        \Collections\PKSerial.ttd »ZIP »tmp/..PKText.PKSerial.en_US-SECURE - błąd -
        zbiór zabezpieczony hasłem
        C:\Program Files\Common Files\PKWARE\PKZIP7
        \Collections\PKTLV700.ttd »ZIP »tmp/..PKText.PKTLV700.en_US - błąd - zbiór
        zabezp
        • kolobos Re: nie daję rady 25.03.06, 21:30
          Wylacz przywracanie systemu (opis co i jak w przyklejonym) i przeskanuj jeszcze
          raz.
          • Gość: GOŚĆ Re: nie daję rady IP: *.internetdsl.tpnet.pl 25.03.06, 21:43
            Usunąłem MKS i 02...
            Przeskanowałem i teraz jest tak:

            Logfile of HijackThis v1.99.1
            Scan saved at 21:39:54, on 2006-03-25
            Platform: Windows ME (Win9x 4.90.3000)
            MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

            Running processes:
            C:\WINDOWS\SYSTEM\KERNEL32.DLL
            C:\WINDOWS\SYSTEM\MSGSRV32.EXE
            C:\WINDOWS\SYSTEM\mmtask.tsk
            C:\WINDOWS\SYSTEM\MPREXE.EXE
            C:\PROGRAM FILES\ESET\NOD32KRN.EXE
            C:\WINDOWS\EXPLORER.EXE
            C:\WINDOWS\SYSTEM\SYSTRAY.EXE
            C:\WINDOWS\SYSTEM\IRMON.EXE
            C:\PROGRAM FILES\ESET\NOD32KUI.EXE
            C:\WINDOWS\SYSTEM\LEXBCES.EXE
            C:\WINDOWS\SYSTEM\RPCSS.EXE
            C:\PROGRAM FILES\WIDCOMM\BLUETOOTH SOFTWARE\BTTRAY.EXE
            C:\WINDOWS\SYSTEM\WMIEXE.EXE
            C:\WINDOWS\SYSTEM\LEXPPS.EXE
            C:\WINDOWS\SYSTEM\PSTORES.EXE
            C:\WINDOWS\PULPIT\HIJACKTHIS\HIJACKTHIS.EXE

            R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
            www.google.pl/
            R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
            O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
            C:\WINDOWS\SYSTEM\MSDXM.OCX
            O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
            O4 - HKLM\..\Run: [LexStart] lexstart.exe
            O4 - HKLM\..\Run: [IrMon] irmon.exe
            O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
            O4 - HKLM\..\Run: [MSConfigReminder] C:\WINDOWS\SYSTEM\msconfig.exe /reminder
            O4 - HKLM\..\RunServices: [NOD32kernel] "C:\Program Files\Eset\nod32krn.exe"
            O4 - Startup: Skrót do BTTray.lnk = C:\Program Files\WIDCOMM\Bluetooth
            Software\BTTray.exe
            O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
            O16 - DPF: ING Bank Online - ssl.bsk.com.pl/bskonl/component/INGOnl.cab
            O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
            www.mks.com.pl/skaner/SkanerOnline.cab
            O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage
            Validation Tool) - go.microsoft.com/fwlink/?linkid=39204
            O16 - DPF: {92ECE6FA-AC2E-4042-BFAE-0C8608E52A43} (SignActivX Control) -
            www.bph.pl/pi/components/SignActivX.cab
            O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer =
            192.168.100.1,193.110.121.20,192.168.151.254

            • kolobos Re: nie daję rady 25.03.06, 21:52
              Log jest ok wiec nie musiales go juz wklejac.
              • Gość: GOŚĆ Re: nie daję rady IP: *.internetdsl.tpnet.pl 25.03.06, 22:00
                Wielkie dzięki kolobos
                Teraz już nic mi nie wyskakuje
                Jest OK
                Dzięki
    • kolobos Re: nie daję rady 25.03.06, 21:22
      Odinstaluj mks i zostaw tylko nod.
      W jakim pliku masz tego dialera?

      Usun:
      O2 - BHO: DownloadRedirect Class - {00000000-6CB0-410C-8C3D-8FA8D2011D0A} -
      (no file)

      Zrob skan przy pomocy SpyBot S&D oraz SpySweeper (linki w przyklejonym).
Pełna wersja