problem z acstart16.exe

IP: *.neoplus.adsl.tpnet.pl 16.06.06, 22:57
Witam
Mam spory problem z plikiem acstart16.exe, przy wchodzeniu na koto wyskakuje podwójnie błąd tego pliku, net dziwnie sie zachowuje (pobiera i wysyła dużo bajtów) lekko laguje, czasem system sie restartuje, uruchamiają sie reklamy itp. I teraz pytanie: Formatować C: ? Czy może jest inny sposób? poniżej wklejam log z hijackthis

Logfile of HijackThis v1.99.1
Scan saved at 22:46:58, on 2006-06-16
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SYSTEM32\rundll32.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\Spik\Spik.exe
C:\defender26.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\a095e4c8.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\WINDOWS\system32\devldr32.exe
C:\WINDOWS\Lg\command.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\services.exe
C:\Program Files\Opera\Opera.exe
D:\CWShredder.exe
D:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,cbovbrq.exe
O3 - Toolbar: (no name) - {9A9C9B68-F908-4AAB-8D0C-10EA8997F37E} - (no file)
O3 - Toolbar: (no name) - {9A9C9B68-F908-4AAB-8D0C-10EA8997F37E} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [Spik] C:\Program Files\Spik\Spik.exe -autostart
O4 - HKLM\..\RunServices: [jssvc23] jsssvc.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [EdHTML] C:\Program Files\Binboy\EdHTMLv5.0\EdHTML.exe /none
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [wkcgr] C:\WINDOWS\system32\bvqnqm.exe reg_run
O4 - HKCU\..\Run: [a095e4c8.exe] C:\Documents and Settings\Mateusz\Ustawienia lokalne\Dane aplikacji\a095e4c8.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [WinMedia] C:\Documents3072.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Przyspieszenie uruchomienia programu AutoCAD.lnk = C:\Program Files\Common Files\Autodesk Shared\acstart16.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: *.elitemediagroup.net
O15 - Trusted Zone: *.media-motor.net
O15 - Trusted Zone: *.mmohsix.com
O15 - Trusted Zone: awbeta.net-nucleus.com (HKLM)
O16 - DPF: {83AFB5CA-ED35-11D4-A452-0080C8D85045} (GameDesire Poker Games) - 67.15.101.3/g_bin/pl/poker_2_0_0_39.cab
O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C1} (GameDesire Pool 8) - 67.15.101.3/g_bin/pl/billard8_2_0_0_24.cab
O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C2} (GameDesire Pool 9) - 67.15.101.3/g_bin/pl/billard9_2_0_0_24.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{50023088-1AD5-4633-A80D-0311ACC60DE0}: NameServer = 194.204.152.34 217.98.63.164
O18 - Protocol: wpmsg - {2E0AC5A0-3597-11D6-B3ED-0001021DC1C3} - C:\Program Files\Spik\url_wpmsg.dll
O20 - AppInit_DLLs: C:\WINDOWS\system32\attrib.dll
O20 - Winlogon Notify: ShellServiceObjectDelayLoad - C:\WINDOWS\system32\dD0mlid1180.dll
O20 - Winlogon Notify: winm32 - C:\WINDOWS\SYSTEM32\winm32.dll
O21 - SSODL: DCOM Server - {2C1CD3D7-86AC-4068-93BC-A02304BB8C34} - (no file)
O21 - SSODL: UAekQBnrbnGuXk - {DC05C3D0-76AF-697A-9422-40A0B798E4BA} - (no file)
O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\Lg\command.exe
O23 - Service: CWShredder Service - InterMute, Inc. - D:\CWShredder.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe

-----------------
Prosił bym o POMOC (jak krowie na rowie bo nic z tego nie kumam)
    • Gość: k Re: problem z acstart16.exe IP: *.warszawa.sdi.tpnet.pl 16.06.06, 23:13
      Nie ma nic glupszego niz formatowanie dysku z byle powodu.

      Masz caly system zainfekowany, a chcesz usuwac plik autocad'a (acstart16.exe)
      heh.

      Usun look2me, do tego uzyj killbox'a do usuwania opornych plikow, a na koniec
      przeskanuj system przy pomocy ewido.
      Wszystko to masz opisane w przyklejonym poscie, lacznie z opisem jak usunac
      uslugi.

      W menadzerze zadan zakoncz:
      C:\defender26.exe
      C:\WINDOWS\system32\a095e4c8.exe
      Oba pliki usun z dysku.

      W hjt usun:
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
      R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
      about:blank
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
      R3 - Default URLSearchHook is missing
      F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,cbovbrq.exe <-
      plik cbovbrq.exe usun z dysku.
      O3 - Toolbar: (no name) - {9A9C9B68-F908-4AAB-8D0C-10EA8997F37E} - (no file)
      O3 - Toolbar: (no name) - {9A9C9B68-F908-4AAB-8D0C-10EA8997F37E} - (no file)
      O4 - HKLM\..\RunServices: [jssvc23] jsssvc.exe <- plik usun z dysku.
      O4 - HKCU\..\Run: [wkcgr] C:\WINDOWS\system32\bvqnqm.exe reg_run <- plik usun z
      dysku.
      O4 - HKCU\..\Run: [a095e4c8.exe] C:\Documents and Settings\Mateusz\Ustawienia
      lokalne\Dane aplikacji\a095e4c8.exe <- plik usun z dysku.
      O4 - HKCU\..\Run: [WinMedia] C:\Documents3072.exe <- plik usun z dysku.
      O15 - Trusted Zone: *.elitemediagroup.net
      O15 - Trusted Zone: *.media-motor.net
      O15 - Trusted Zone: *.mmohsix.com
      O15 - Trusted Zone: awbeta.net-nucleus.com (HKLM)
      O20 - AppInit_DLLs: C:\WINDOWS\system32\attrib.dll <- plik usun z dysku.
      O20 - Winlogon Notify: ShellServiceObjectDelayLoad - C:\WINDOWS\system32
      \dD0mlid1180.dll
      O20 - Winlogon Notify: winm32 - C:\WINDOWS\SYSTEM32\winm32.dll <- plik usun z
      dysku.
      O21 - SSODL: DCOM Server - {2C1CD3D7-86AC-4068-93BC-A02304BB8C34} - (no file)
      O21 - SSODL: UAekQBnrbnGuXk - {DC05C3D0-76AF-697A-9422-40A0B798E4BA} - (no file)

      Usluga do kasacji:
      O23 - Service: Command Service (cmdService) - Unknown owner -
      C:\WINDOWS\Lg\command.exe
      ta tez zbedna:
      O23 - Service: CWShredder Service - InterMute, Inc. - D:\CWShredder.exe

      > Prosił bym o POMOC (jak krowie na rowie bo nic z tego nie kumam)

      Wystarczy tylko umiec czytac.

      Jak juz wszystko zrobisz to wklej nowy log.
      • Gość: Zasilacz Re: problem z acstart16.exe IP: *.neoplus.adsl.tpnet.pl 16.06.06, 23:47
        jestem na etapie menadżera zadań

        C:\WINDOWS\system32\a095e4c8.exe (wyłączony i usunięty)
        natomiast tego drugiego nie było w zadaniach więc tylko go usunołem

        ...jade dalej
      • Gość: Zasilacz Re: problem z acstart16.exe IP: *.neoplus.adsl.tpnet.pl 17.06.06, 00:16
        Ok zrobione (był małe problemy: niektórych plików które miałrm usunąć nie było, a jeden sie nie dał nawet killbox'em -> C:\WINDOWS\SYSTEM32\winm32.dll )

        Logfile of HijackThis v1.99.1
        Scan saved at 00:11:44, on 2006-06-17
        Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
        MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

        Running processes:
        C:\WINDOWS\System32\smss.exe
        C:\WINDOWS\system32\services.exe
        C:\WINDOWS\system32\lsass.exe
        C:\WINDOWS\system32\svchost.exe
        C:\WINDOWS\System32\svchost.exe
        C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
        C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
        C:\WINDOWS\system32\spoolsv.exe
        C:\WINDOWS\SYSTEM32\rundll32.exe
        C:\WINDOWS\SOUNDMAN.EXE
        C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
        C:\Program Files\Spik\Spik.exe
        C:\Program Files\Common Files\Symantec Shared\ccApp.exe
        C:\WINDOWS\system32\ctfmon.exe
        C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
        C:\WINDOWS\system32\devldr32.exe
        C:\Program Files\ewido anti-malware\ewidoctrl.exe
        C:\Program Files\ewido anti-malware\ewidoguard.exe
        C:\WINDOWS\system32\nvsvc32.exe
        C:\WINDOWS\system32\svchost.exe
        C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
        C:\WINDOWS\system32\services.exe
        C:\Program Files\Opera\Opera.exe
        D:\HijackThis.exe

        R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/
        R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
        R3 - Default URLSearchHook is missing
        O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
        O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
        O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
        O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
        O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
        O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
        O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
        O4 - HKLM\..\Run: [Spik] C:\Program Files\Spik\Spik.exe -autostart
        O4 - HKLM\..\RunServices: [jssvc23] jsssvc.exe
        O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
        O4 - HKCU\..\Run: [EdHTML] C:\Program Files\Binboy\EdHTMLv5.0\EdHTML.exe /none
        O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
        O4 - HKCU\..\Run: [wkcgr] C:\WINDOWS\system32\bvqnqm.exe reg_run
        O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
        O4 - HKCU\..\Run: [WinMedia] C:\Documents3072.exe
        O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
        O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
        O4 - Global Startup: Przyspieszenie uruchomienia programu AutoCAD.lnk = C:\Program Files\Common Files\Autodesk Shared\acstart16.exe
        O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
        O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
        O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
        O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
        O16 - DPF: {83AFB5CA-ED35-11D4-A452-0080C8D85045} (GameDesire Poker Games) - 67.15.101.3/g_bin/pl/poker_2_0_0_39.cab
        O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C1} (GameDesire Pool 8) - 67.15.101.3/g_bin/pl/billard8_2_0_0_24.cab
        O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C2} (GameDesire Pool 9) - 67.15.101.3/g_bin/pl/billard9_2_0_0_24.cab
        O17 - HKLM\System\CCS\Services\Tcpip\..\{50023088-1AD5-4633-A80D-0311ACC60DE0}: NameServer = 194.204.152.34 217.98.63.164
        O18 - Protocol: wpmsg - {2E0AC5A0-3597-11D6-B3ED-0001021DC1C3} - C:\Program Files\Spik\url_wpmsg.dll
        O20 - Winlogon Notify: MS-DOS Emulation - C:\WINDOWS\system32\h0j4la1q1d.dll
        O20 - Winlogon Notify: winm32 - C:\WINDOWS\SYSTEM32\winm32.dll
        O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
        O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
        O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
        O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
        O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\Lg\command.exe (file missing)
        O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
        O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe
        O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
        O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
        O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe

        • Gość: k Re: problem z acstart16.exe IP: *.warszawa.sdi.tpnet.pl 17.06.06, 00:25
          Nie zrobione.

          Odinstaluj nortona i zainstaluj Avast.

          Zostaly te wpisy do kasacji i pliki do usuniecia:
          R3 - Default URLSearchHook is missing
          O4 - HKLM\..\RunServices: [jssvc23] jsssvc.exe
          O4 - HKCU\..\Run: [wkcgr] C:\WINDOWS\system32\bvqnqm.exe reg_run
          O4 - HKCU\..\Run: [WinMedia] C:\Documents3072.exe
          Dalej masz look2me:
          O20 - Winlogon Notify: MS-DOS Emulation - C:\WINDOWS\system32\h0j4la1q1d.dll

          Usluga do kasacji:
          O23 - Service: Command Service (cmdService) - Unknown owner -
          C:\WINDOWS\Lg\command.exe (file missing)

          Miales usunac look2me wiec zrob to:
          forum.gazeta.pl/forum/72,2.html?f=430&w=38051058&a=38141868
          Tu masz opis jak usunac usluge:
          forum.gazeta.pl/forum/72,2.html?f=430&w=38051058&a=38796981

          Sciagnij to, uruchom, wybierz opcje 1 i log ktory sie utworzy (na c:\) wklej na
          forum:
          users.telenet.be/marcvn/tools/haxfix.exe
          • Gość: Zasilacz Re: problem z acstart16.exe IP: *.neoplus.adsl.tpnet.pl 17.06.06, 01:04
            look2me usunolem programem kill2me

            jeżeli chodzi o nortona to nie moge go odinstalować do końca (nie mam go na dysku ale nadal mi widnieje w "Dodaj usuń programy" ale tylko wpis, niestety czyszczenie nie pomaga, chyba że znasz jakiś programik)

            C:\Documents3072.exe -> nie dało sie usunąć (This File could not be Deleted)
            C:\WINDOWS\system32\h0j4la1q1d.dll -> nie dało sie usunąć (This File could not be Deleted)
            jsssvc.exe -> nie można znaleźć pliku
            C:\WINDOWS\system32\bvqnqm.exe -> nie było tam tego pliku (był w C:/!KillBox usunięte oczywiście z tamtąd)

            ewido pluje sie cały czas o winm32.dll w C:\WINDOWS\system32 (Infection: Backdoor.Haxdoor.ja) nie może usunąć

            usługi:
            CWShredder Service i cmdService wyłączyłem przez "Start->Uruchom"

            oto log
            HAXFIX logfile - by Marckie
            --------------
            version 2.44
            2006-06-17 0:56:14,39

            checking for a3d files....
            a3d files found
            ps.a3d

            checking for matching notify keys....
            matching notify keys found
            winm

            checking for matching services....
            matching services found
            winm32
            winm64

            checking for matching safeboot services....
            matching safeboot services found
            winm32.sys
            winm64.sys

            -----------------
            Logfile of HijackThis v1.99.1
            Scan saved at 01:02:49, on 2006-06-17
            Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
            MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

            Running processes:
            C:\WINDOWS\System32\smss.exe
            C:\WINDOWS\system32\services.exe
            C:\WINDOWS\system32\lsass.exe
            C:\WINDOWS\system32\svchost.exe
            C:\WINDOWS\System32\svchost.exe
            C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
            C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
            C:\WINDOWS\system32\spoolsv.exe
            C:\WINDOWS\SYSTEM32\rundll32.exe
            C:\WINDOWS\SOUNDMAN.EXE
            C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
            C:\Program Files\Spik\Spik.exe
            C:\Program Files\Common Files\Symantec Shared\ccApp.exe
            C:\WINDOWS\system32\ctfmon.exe
            C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
            C:\WINDOWS\system32\devldr32.exe
            C:\Program Files\ewido anti-malware\ewidoctrl.exe
            C:\Program Files\ewido anti-malware\ewidoguard.exe
            C:\WINDOWS\system32\nvsvc32.exe
            C:\WINDOWS\system32\svchost.exe
            C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
            C:\WINDOWS\system32\services.exe
            C:\Program Files\Opera\Opera.exe
            C:\DOCUME~1\Mateusz\USTAWI~1\Temp\winqdee.exe
            C:\DOCUME~1\Mateusz\USTAWI~1\Temp\winqvtfok.exe
            C:\DOCUME~1\Mateusz\USTAWI~1\Temp\winyfrxsg.exe
            C:\WINDOWS\system32\notepad.exe
            D:\HijackThis.exe

            R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = v4.windowsupdate.microsoft.com/
            R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
            R3 - Default URLSearchHook is missing
            O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
            O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
            O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
            O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
            O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
            O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
            O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
            O4 - HKLM\..\Run: [Spik] C:\Program Files\Spik\Spik.exe -autostart
            O4 - HKLM\..\Run: [defender] C:\\defender26.exe
            O4 - HKLM\..\Run: [anufqk] C:\WINDOWS\system32\bvqnqm.exe reg_run
            O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
            O4 - HKLM\..\Run: [a095e4c8.exe] C:\WINDOWS\system32\a095e4c8.exe
            O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
            O4 - HKCU\..\Run: [EdHTML] C:\Program Files\Binboy\EdHTMLv5.0\EdHTML.exe /none
            O4 - HKCU\..\Run: [EdHTML] C:\Program Files\Binboy\EdHTMLv5.0\EdHTML.exe /none
            O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
            O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
            O4 - HKCU\..\Run: [WinMedia] C:\Documents3072.exe
            O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
            O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
            O4 - Global Startup: Przyspieszenie uruchomienia programu AutoCAD.lnk = C:\Program Files\Common Files\Autodesk Shared\acstart16.exe
            O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
            O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
            O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
            O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
            O16 - DPF: {83AFB5CA-ED35-11D4-A452-0080C8D85045} (GameDesire Poker Games) - 67.15.101.3/g_bin/pl/poker_2_0_0_39.cab
            O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C1} (GameDesire Pool 8) - 67.15.101.3/g_bin/pl/billard8_2_0_0_24.cab
            O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C2} (GameDesire Pool 9) - 67.15.101.3/g_bin/pl/billard9_2_0_0_24.cab
            O17 - HKLM\System\CCS\Services\Tcpip\..\{50023088-1AD5-4633-A80D-0311ACC60DE0}: NameServer = 194.204.152.34 217.98.63.164
            O18 - Protocol: wpmsg - {2E0AC5A0-3597-11D6-B3ED-0001021DC1C3} - C:\Program Files\Spik\url_wpmsg.dll
            O20 - Winlogon Notify: MS-DOS Emulation - C:\WINDOWS\system32\h0j4la1q1d.dll
            O20 - Winlogon Notify: winm32 - C:\WINDOWS\SYSTEM32\winm32.dll
            O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
            O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
            O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
            O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
            O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
            O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe
            O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
            O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
            O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe

            • wiewia1 Re: problem z acstart16.exe 17.06.06, 08:51
              Użyj narżedzia HaxFix users.telenet.be/marcvn/tools/haxfix.exe (Interesuje cię ten wpis. O20 - Winlogon Notify: winm32 - C:\WINDOWS\SYSTEM32\winm32.dll)
              Po pojawieniu się okiemka wciśnij enter następnie podaj nazwe. Wpisujesz taką winm Jeśli haxdoor zostanie znaleziony. Zamkniesz wszystkie aplikacje zostaw tylko okienko programu. Wybierz eneter i komp zresetuje się. Po restarcie pojawi się z powrotem okno programu i wpisz jescze raz nazwe haxdor-a winm
              Program na końcu utworzy log.Wklej go na forum.

              PO jego użyciu masz zastosować ponownie Look2Me-Destroyer
            • Gość: k Re: problem z acstart16.exe IP: *.warszawa.sdi.tpnet.pl 17.06.06, 10:33
              Norton jest na dysku i nawet dziala.

              Zaznacz w killbox opcje delete on reboot i dopiero porobuj usunac.

              Nowa infekcja, zakoncz i usun wszystko z temp:
              C:\DOCUME~1\Mateusz\USTAWI~1\Temp\winqdee.exe
              C:\DOCUME~1\Mateusz\USTAWI~1\Temp\winqvtfok.exe
              C:\DOCUME~1\Mateusz\USTAWI~1\Temp\winyfrxsg.exe

              W hjt usun:
              R3 - Default URLSearchHook is missing
              O4 - HKLM\..\Run: [defender] C:\\defender26.exe
              O4 - HKLM\..\Run: [anufqk] C:\WINDOWS\system32\bvqnqm.exe reg_run
              O4 - HKLM\..\Run: [a095e4c8.exe] C:\WINDOWS\system32\a095e4c8.exe
              O4 - HKCU\..\Run: [WinMedia] C:\Documents3072.exe

              Postaraj sie tym razem usunac, sprobuj w trybie awaryjnym.

              Nastepnie nowy log...
              • Gość: Zasilacz Re: problem z acstart16.exe IP: *.neoplus.adsl.tpnet.pl 18.06.06, 01:05
                wróciłem z pracki i odpaliłem kompa, avast! zrestartował go i przeskanował (znalazł około 750 zarażonych plików trojanami i innmym badziewiem)
                dam nowego loga

                Logfile of HijackThis v1.99.1
                Scan saved at 01:01:30, on 2006-06-18
                Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
                MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

                Running processes:
                C:\WINDOWS\System32\smss.exe
                C:\WINDOWS\SYSTEM32\winlogon.exe
                C:\WINDOWS\system32\services.exe
                C:\WINDOWS\system32\lsass.exe
                C:\WINDOWS\system32\svchost.exe
                C:\WINDOWS\System32\svchost.exe
                C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
                C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
                C:\WINDOWS\system32\spoolsv.exe
                C:\WINDOWS\SYSTEM32\rundll32.exe
                C:\WINDOWS\Explorer.EXE
                C:\WINDOWS\SOUNDMAN.EXE
                C:\Program Files\Spik\Spik.exe
                C:\Program Files\Common Files\Symantec Shared\ccApp.exe
                C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
                C:\WINDOWS\system32\ctfmon.exe
                C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
                C:\WINDOWS\system32\devldr32.exe
                C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
                C:\Program Files\Alwil Software\Avast4\ashServ.exe
                C:\Program Files\ewido anti-malware\ewidoctrl.exe
                C:\Program Files\ewido anti-malware\ewidoguard.exe
                C:\WINDOWS\system32\nvsvc32.exe
                C:\WINDOWS\system32\svchost.exe
                C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
                C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
                C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
                C:\WINDOWS\system32\services.exe
                C:\Program Files\Opera\Opera.exe
                C:\Program Files\WinRAR\WinRAR.exe
                D:\HijackThis.exe

                R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = v4.windowsupdate.microsoft.com/
                R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
                O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
                O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
                O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
                O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
                O4 - HKLM\..\Run: [Spik] C:\Program Files\Spik\Spik.exe -autostart
                O4 - HKLM\..\Run: [defender] C:\\defender26.exe
                O4 - HKLM\..\Run: [anufqk] C:\WINDOWS\system32\bvqnqm.exe reg_run
                O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
                O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
                O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
                O4 - HKLM\..\RunServices: [jssvc23] jsssvc.exe
                O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
                O4 - HKCU\..\Run: [EdHTML] C:\Program Files\Binboy\EdHTMLv5.0\EdHTML.exe /none
                O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
                O4 - HKCU\..\Run: [WinMedia] C:\Documents3072.exe
                O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
                O4 - Global Startup: Przyspieszenie uruchomienia programu AutoCAD.lnk = C:\Program Files\Common Files\Autodesk Shared\acstart16.exe
                O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
                O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
                O16 - DPF: {83AFB5CA-ED35-11D4-A452-0080C8D85045} (GameDesire Poker Games) - 67.15.101.3/g_bin/pl/poker_2_0_0_39.cab
                O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C1} (GameDesire Pool 8) - 67.15.101.3/g_bin/pl/billard8_2_0_0_24.cab
                O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C2} (GameDesire Pool 9) - 67.15.101.3/g_bin/pl/billard9_2_0_0_24.cab
                O17 - HKLM\System\CCS\Services\Tcpip\..\{50023088-1AD5-4633-A80D-0311ACC60DE0}: NameServer = 194.204.152.34 217.98.63.164
                O18 - Protocol: wpmsg - {2E0AC5A0-3597-11D6-B3ED-0001021DC1C3} - C:\Program Files\Spik\url_wpmsg.dll
                O20 - Winlogon Notify: MS-DOS Emulation - C:\WINDOWS\system32\p0n8la5u1d.dll
                O20 - Winlogon Notify: winm32 - winm32.dll (file missing)
                O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
                O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
                O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
                O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
                O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
                O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
                O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
                O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
                O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
                O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe
                O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
                O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
                O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
                • wiewia1 Re: problem z acstart16.exe 18.06.06, 10:10
                  No zostało jeszcze. Nie zawiele pusuwałes. A głównie look2me masz podane wyżej jak to usunąć. Zrób to w pierwszej kolejności. Przy usuwaniu look2me net na zero bo pliki będą wracać.

                  Dodatkowo usun to w hijackthis i pliki s dysku

                  O4 - HKLM\..\Run: [defender] C:\\defender26.exe=>usuń plik
                  O4 - HKLM\..\Run: [anufqk] C:\WINDOWS\system32\bvqnqm.exe reg_run=> usuń plik
                  O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
                  O4 - HKLM\..\RunServices: [jssvc23] jsssvc.exe
                  O4 - HKCU\..\Run: [WinMedia] C:\Documents3072.exe=> usuń plik
                  O20 - Winlogon Notify: winm32 - winm32.dll (file missing)

                  Pamiętaj najpierw usuwasz look2me potem reszte. Po wszystkim nowe logi plus daj do sprawdzenia loga z HaxFix tak dla pewności

Pełna wersja