proszę o sprawdzenie loga

25.12.06, 02:00
Logfile of HijackThis v1.99.1
Scan saved at 01:34:31, on 2006-12-25
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avast\aswUpdSv.exe
C:\Program Files\Avast\ashServ.exe
D:\Programy\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Programy\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\Explorer.EXE
D:\Programy\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\inet20000\services.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\PROGRA~1\Avast\ashDisp.exe
D:\Programy\Winamp\winampa.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\Common Files\Onet.pl\AutoUpdate.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\syspools.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\inet20000\wpcem.exe
D:\Programy\Gadu-Gadu\gg.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.8472
\GoogleToolbarNotifier.exe
C:\WINDOWS\System32\taskdir.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Skype\Plugin Manager\SkypePM.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
D:\Programy\Winamp\winamp.exe
C:\WINDOWS\inet20000\mmx543.exe
C:\WINDOWS\inet20000\free.exe
C:\WINDOWS\inet20000\wpcem.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\Programy\BitComet\BitComet.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Internet Explorer\iexplore.exe
D:\Programy\hj\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant =
search.bearshare.com/sidebar.html?src=ssb
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
R3 - URLSearchHook: BearShare MediaBar - {D3DEE18F-DB64-4BEB-9FF1-
E1F0A5033E4A} - C:\Program Files\BearShare applications\BearShare
MediaBar\MediaBar.dll
F3 - REG:win.ini: run=C:\WINDOWS\inet20000\services.exe
O2 - BHO: edit_html Class - {14D1A72D-8705-11D8-B120-0040F46CB696} -
C:\WINDOWS\inet20000\12250115.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} -
C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} -
D:\Programy\BitComet\tools\BitCometBHO.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} -
c:\program files\google\googletoolbar2.dll
O2 - BHO: XBTP02634 - {F97DA966-F09D-4cab-BF29-75A0026986EA} - C:\PROGRA~1
\BEARSH~1\BEARSH~1\MediaBar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: BearShare MediaBar - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} -
C:\Program Files\BearShare applications\BearShare MediaBar\MediaBar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program
files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32
\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32
\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast\ashDisp.exe
O4 - HKLM\..\Run: [WinampAgent] D:\Programy\Winamp\winampa.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software
Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Onet.pl AutoUpdate] C:\Program Files\Common
Files\Onet.pl\AutoUpdate.exe /tsr
O4 - HKLM\..\Run: [7v3j] C:\WINDOWS\System32\z1134.exe gdtgh
O4 - HKLM\..\Run: [xp_system] C:\WINDOWS\inet20000\services.exe
O4 - HKLM\..\Run: [Microsoft WPCEmail] C:\WINDOWS\inet20000\svchost.exe
O4 - HKLM\..\Run: [system spool] C:\WINDOWS\System32\syspools.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Gadu-Gadu] "D:\Programy\Gadu-Gadu\gg.exe" /tray
O4 - HKCU\..\Run: [Skype] "C:\Program
Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [swg] C:\Program
Files\Google\GoogleToolbarNotifier\1.2.908.8472\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [xp_system] C:\WINDOWS\inet20000\services.exe
O4 - HKCU\..\Run: [taskdir] C:\WINDOWS\System32\taskdir.exe
O4 - HKCU\..\Run: [system spool] C:\WINDOWS\System32\syspools.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program
Files\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: Download all links using BitComet -
res://D:\Programy\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Download all videos using BitComet -
res://D:\Programy\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: Download link using &BitComet -
res://D:\Programy\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: E&ksport do programu Microsoft Excel -
res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} -
C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -
C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} -
C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-
00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {A6212120-01D4-11D5-9A39-0080C8D85044} (GameDesire Slots 70th) -
67.15.101.3/g_bin/pl/slots70_2_0_0_30.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} -
C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32\rpcc.dll
O21 - SSODL: CDRecorder026 - {A3BC5E20-0235-1ABF-9CE1-00AA00512026} -
C:\WINDOWS\System32\kswn32.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner -
C:\Program Files\Avast\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program
Files\Avast\ashServ.exe
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program
Files\Avast\ashWebSv.exe" /service (file missing)
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies -
D:\Programy\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation -
C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

    • Gość: Kolobos Re: proszę o sprawdzenie loga IP: *.crowley.pl 25.12.06, 03:26
      Zamknij porty przy pomocy wwdc.exe, przeskanuj system przy pomocy ewido.
      Zmien przegladarke na Opere i nigdy wiecej nie uzywaj IE z racji tego, ze masz piracki windows bez żadnych aktualizacji!

      Sciagnij z google Process Explorer i zakoncz w nim:
      C:\WINDOWS\inet20000\services.exe
      C:\WINDOWS\System32\syspools.exe
      C:\WINDOWS\inet20000\wpcem.exe
      C:\WINDOWS\System32\taskdir.exe
      C:\WINDOWS\inet20000\mmx543.exe
      C:\WINDOWS\inet20000\free.exe
      C:\WINDOWS\inet20000\wpcem.exe
      Wszystkie te pliki + katalog inet20000 usun z dysku.

      W hjt usun:
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant =
      search.bearshare.com/sidebar.html?src=ssb
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
      R3 - URLSearchHook: BearShare MediaBar - {D3DEE18F-DB64-4BEB-9FF1-
      E1F0A5033E4A} - C:\Program Files\BearShare applications\BearShare
      MediaBar\MediaBar.dll
      F3 - REG:win.ini: run=C:\WINDOWS\inet20000\services.exe
      O2 - BHO: edit_html Class - {14D1A72D-8705-11D8-B120-0040F46CB696} -
      C:\WINDOWS\inet20000\12250115.dll
      O2 - BHO: XBTP02634 - {F97DA966-F09D-4cab-BF29-75A0026986EA} - C:\PROGRA~1
      \BEARSH~1\BEARSH~1\MediaBar.dll
      O3 - Toolbar: BearShare MediaBar - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} -
      C:\Program Files\BearShare applications\BearShare MediaBar\MediaBar.dll

      Pliki usun z dysku:
      O4 - HKLM\..\Run: [7v3j] C:\WINDOWS\System32\z1134.exe gdtgh
      O4 - HKLM\..\Run: [xp_system] C:\WINDOWS\inet20000\services.exe
      O4 - HKLM\..\Run: [Microsoft WPCEmail] C:\WINDOWS\inet20000\svchost.exe
      O4 - HKLM\..\Run: [system spool] C:\WINDOWS\System32\syspools.exe
      O4 - HKCU\..\Run: [xp_system] C:\WINDOWS\inet20000\services.exe
      O4 - HKCU\..\Run: [taskdir] C:\WINDOWS\System32\taskdir.exe
      O4 - HKCU\..\Run: [system spool] C:\WINDOWS\System32\syspools.exe
      O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} -
      C:\WINDOWS\web\related.htm
      O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-
      00aa003c157a} - C:\WINDOWS\web\related.htm
      O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32\rpcc.dll <- poczytaj przyklejony post dotyczacy Gadu-Gadu i zrob to co masz w nim napisane.
      O21 - SSODL: CDRecorder026 - {A3BC5E20-0235-1ABF-9CE1-00AA00512026} -
      C:\WINDOWS\System32\kswn32.dll <- plik usun z dysku.

      Uzyj tez: siri.urz.free.fr/Fix/SmitfraudFix_En.php zrob to co masz
      opisane pod "Clean" po uzyciu utworzy sie log, ktory wklej na forum.
      • Gość: sabinkasg Re: proszę o sprawdzenie loga IP: *.elsat.net.pl 25.12.06, 11:09
        Mogę w tym czasie być podłączona do sieci ?? Bo mnie cały czas tak chodźby coś
        mnie atatakowało. Teraz jestem teraz na innym komputerze. Porty woczoraj
        pozamykałm już. Pliki zakażone mam na kwarantannie. Mam zaatakowane pliki np
        gry :/ Narazie zrobię wszystko tak jak opisałeś.
        • Gość: Kolobos Re: proszę o sprawdzenie loga IP: *.crowley.pl 25.12.06, 12:12
          Najlepiej odlacz internet. Zaatakowane czym?
          • Gość: sabinkasg Re: proszę o sprawdzenie loga IP: *.sileman.net.pl 25.12.06, 12:37
            SmitFraudFix v2.131

            Scan done at 12:34:11,54, 2006-12-25
            Run from C:\Documents and Settings\burdzik\Pulpit\SmitfraudFix
            OS: Microsoft Windows XP [Wersja 5.1.2600] - Windows_NT
            The filesystem type is NTFS
            Fix run in normal mode

            »»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
            !!!Attention, following keys are not inevitably infected!!!

            SrchSTS.exe by S!Ri
            Search SharedTaskScheduler's .dll

            »»»»»»»»»»»»»»»»»»»»»»»» Killing process


            »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

            GenericRenosFix by S!Ri


            »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

            C:\WINDOWS\system32\zlbw.dll Deleted
            C:\Program Files\Video ActiveX Object\ Deleted

            »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


            »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
            !!!Attention, following keys are not inevitably infected!!!

            [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
            "System"=""


            »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

            Registry Cleaning done.

            »»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
            !!!Attention, following keys are not inevitably infected!!!

            SrchSTS.exe by S!Ri
            Search SharedTaskScheduler's .dll


            »»»»»»»»»»»»»»»»»»»»»»»» End




            Myśle, ze niczego nie pominełam :)
            I jak ??
      • Gość: Sabinkasg Re: proszę o sprawdzenie loga IP: *.sileman.net.pl 25.12.06, 12:39
        Widzę co pominełam..... skanowanie ewido ale wczoraj skanowałam avastem i miałam pliki na kwarantannie.
        • Gość: Kolobos Re: proszę o sprawdzenie loga IP: *.crowley.pl 25.12.06, 12:45
          To nie wazne, uzyj rowniez ewido, jak juz wszystko zrobisz to wklej nowy log z hijackthis.
          • Gość: sabinkasg Re: proszę o sprawdzenie loga IP: *.sileman.net.pl 25.12.06, 12:47
            Wpisałam ewido i pobrałam na dobreprogramy program AVG Anti-Spiware znajduje mi tam coś posłac screena??
    • Gość: sabinkasg Re: proszę o sprawdzenie loga IP: *.sileman.net.pl 25.12.06, 12:53
      mam raport z tego programu nie wiem co dalej zrobić:

      AVG Anti-Spyware - Scan Report
      ---------------------------------------------------------

      + Created at: 12:52:03 2006-12-25

      + Scan result:



      C:\WINDOWS\system32\actskn45.ocx -> Downloader.IstBar : No action taken.
      C:\Documents and Settings\burdzik\Cookies\burdzik@122.2o7[2].txt -> TrackingCookie.2o7 : No action taken.
      C:\Documents and Settings\burdzik\Cookies\burdzik@2o7[1].txt -> TrackingCookie.2o7 : No action taken.
      C:\Documents and Settings\burdzik\Cookies\burdzik@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : No action taken.
      C:\Documents and Settings\burdzik\Cookies\burdzik@adbrite[2].txt -> TrackingCookie.Adbrite : No action taken.
      C:\Documents and Settings\burdzik\Cookies\burdzik@ad.adocean[2].txt -> TrackingCookie.Adocean : No action taken.
      C:\Documents and Settings\burdzik\Cookies\burdzik@gde.adocean[2].txt -> TrackingCookie.Adocean : No action taken.
      C:\Documents and Settings\burdzik\Cookies\burdzik@gg.adocean[2].txt -> TrackingCookie.Adocean : No action taken.
      C:\Documents and Settings\burdzik\Cookies\burdzik@my.adocean[2].txt -> TrackingCookie.Adocean : No action taken.
      C:\Documents and Settings\burdzik\Cookies\burdzik@advertising[1].txt -> TrackingCookie.Advertising : No action taken.
      C:\Documents and Settings\burdzik\Cookies\burdzik@atdmt[2].txt -> TrackingCookie.Atdmt : No action taken.
      C:\Documents and Settings\burdzik\Cookies\burdzik@casalemedia[2].txt -> TrackingCookie.Casalemedia : No action taken.
      C:\Documents and Settings\burdzik\Cookies\burdzik@cz7.clickzs[2].txt -> TrackingCookie.Clickzs : No action taken.
      C:\Documents and Settings\burdzik\Cookies\burdzik@doubleclick[1].txt -> TrackingCookie.Doubleclick : No action taken.
      C:\Documents and Settings\burdzik\Cookies\burdzik@fastclick[1].txt -> TrackingCookie.Fastclick : No action taken.
      C:\Documents and Settings\burdzik\Cookies\burdzik@media.fastclick[2].txt -> TrackingCookie.Fastclick : No action taken.
      C:\Documents and Settings\burdzik\Cookies\burdzik@hitbox[2].txt -> TrackingCookie.Hitbox : No action taken.
      C:\Documents and Settings\burdzik\Cookies\burdzik@phg.hitbox[1].txt -> TrackingCookie.Hitbox : No action taken.
      C:\Documents and Settings\burdzik\Cookies\burdzik@server.iad.liveperson[1].txt -> TrackingCookie.Liveperson : No action taken.
      C:\Documents and Settings\burdzik\Cookies\burdzik@mediaplex[1].txt -> TrackingCookie.Mediaplex : No action taken.
      C:\Documents and Settings\burdzik\Cookies\burdzik@overture[1].txt -> TrackingCookie.Overture : No action taken.
      C:\Documents and Settings\burdzik\Cookies\burdzik@ads.pointroll[1].txt -> TrackingCookie.Pointroll : No action taken.
      C:\Documents and Settings\burdzik\Cookies\burdzik@questionmarket[2].txt -> TrackingCookie.Questionmarket : No action taken.
      C:\Documents and Settings\burdzik\Cookies\burdzik@serving-sys[1].txt -> TrackingCookie.Serving-sys : No action taken.
      C:\Documents and Settings\burdzik\Cookies\burdzik@cs.sexcounter[2].txt -> TrackingCookie.Sexcounter : No action taken.
      C:\Documents and Settings\burdzik\Cookies\burdzik@sexlist[1].txt -> TrackingCookie.Sexlist : No action taken.
      C:\Documents and Settings\burdzik\Cookies\burdzik@statcounter[1].txt -> TrackingCookie.Statcounter : No action taken.
      C:\Documents and Settings\burdzik\Cookies\burdzik@tradedoubler[2].txt -> TrackingCookie.Tradedoubler : No action taken.
      C:\Documents and Settings\burdzik\Cookies\burdzik@tribalfusion[2].txt -> TrackingCookie.Tribalfusion : No action taken.
      C:\Documents and Settings\burdzik\Cookies\burdzik@statse.webtrendslive[1].txt -> TrackingCookie.Webtrendslive : No action taken.
      C:\Documents and Settings\burdzik\Cookies\burdzik@yadro[1].txt -> TrackingCookie.Yadro : No action taken.
      C:\Documents and Settings\burdzik\Cookies\burdzik@ad.yieldmanager[1].txt -> TrackingCookie.Yieldmanager : No action taken.
      C:\Documents and Settings\burdzik\Cookies\burdzik@zedo[1].txt -> TrackingCookie.Zedo : No action taken.
      C:\WINDOWS\system32\adir.dll -> Worm.Banwarum.f : No action taken.


      ::Report end
    • Gość: sabinkasg Re: proszę o sprawdzenie loga IP: *.sileman.net.pl 25.12.06, 12:56
      A to log z hj

      Logfile of HijackThis v1.99.1
      Scan saved at 12:55:40, on 2006-12-25
      Platform: Windows XP (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 (6.00.2600.0000)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\SOUNDMAN.EXE
      C:\Program Files\Avast\aswUpdSv.exe
      C:\WINDOWS\System32\RUNDLL32.EXE
      C:\PROGRA~1\Avast\ashDisp.exe
      D:\Programy\Winamp\winampa.exe
      C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
      C:\Program Files\Common Files\Onet.pl\AutoUpdate.exe
      C:\Program Files\Avast\ashServ.exe
      C:\Program Files\Internet Explorer\iexplore.exe
      C:\WINDOWS\System32\ctfmon.exe
      D:\Programy\Kerio\Personal Firewall 4\kpf4ss.exe
      C:\Program Files\Skype\Phone\Skype.exe
      C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.8472\GoogleToolbarNotifier.exe
      C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
      C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
      D:\Programy\Kerio\Personal Firewall 4\kpf4gui.exe
      C:\WINDOWS\System32\nvsvc32.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Avast\ashWebSv.exe
      D:\Programy\Kerio\Personal Firewall 4\kpf4gui.exe
      C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
      C:\Program Files\Skype\Plugin Manager\SkypePM.exe
      C:\WINDOWS\System32\wuauclt.exe
      C:\Program Files\Opera\Opera.exe
      C:\WINDOWS\explorer.exe
      C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
      C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
      D:\Programy\hj\HijackThis.exe

      O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
      O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - D:\Programy\BitComet\tools\BitCometBHO.dll
      O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
      O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
      O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
      O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
      O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
      O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
      O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
      O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
      O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast\ashDisp.exe
      O4 - HKLM\..\Run: [WinampAgent] D:\Programy\Winamp\winampa.exe
      O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
      O4 - HKLM\..\Run: [Onet.pl AutoUpdate] C:\Program Files\Common Files\Onet.pl\AutoUpdate.exe /tsr
      O4 - HKLM\..\Run: [system spool] C:\WINDOWS\System32\syspools.exe
      O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
      O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
      O4 - HKCU\..\Run: [Gadu-Gadu] "D:\Programy\Gadu-Gadu\gg.exe" /tray
      O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
      O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.8472\GoogleToolbarNotifier.exe
      O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
      O8 - Extra context menu item: Download all links using BitComet - res://D:\Programy\BitComet\BitComet.exe/AddAllLink.htm
      O8 - Extra context menu item: Download all videos using BitComet - res://D:\Programy\BitComet\BitComet.exe/AddVideo.htm
      O8 - Extra context menu item: Download link using &BitComet - res://D:\Programy\BitComet\BitComet.exe/AddLink.htm
      O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
      O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
      O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
      O16 - DPF: {A6212120-01D4-11D5-9A39-0080C8D85044} (GameDesire Slots 70th) - 67.15.101.3/g_bin/pl/slots70_2_0_0_30.cab
      O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
      O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32\rpcc.dll
      O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Avast\aswUpdSv.exe
      O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Avast\ashServ.exe
      O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Avast\ashWebSv.exe" /service (file missing)
      O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
      O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - D:\Programy\Kerio\Personal Firewall 4\kpf4ss.exe
      O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
      O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

      • Gość: Kolobos Re: proszę o sprawdzenie loga IP: *.crowley.pl 25.12.06, 13:01
        Usun to co znajdzie ewido i nie wklejac log'ow z niego.

        Dlaczego dalej masz:
        O4 - HKLM\..\Run: [system spool] C:\WINDOWS\System32\syspools.exe
        O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32\rpcc.dll

        Masz usunac oba te pliki i oba wpisy w hjt.


        • Gość: sabinkasg Re: proszę o sprawdzenie loga IP: *.elsat.net.pl 25.12.06, 13:18
          teraz znów jestem na swoim kompie!
          Jak zrobię to to będzie w porządku??
        • Gość: sabinkasg Re: proszę o sprawdzenie loga IP: *.sileman.net.pl 25.12.06, 15:27
          Nie umiem skasować:
          > O4 - HKLM\..\Run: [system spool] C:\WINDOWS\System32\syspools.exe
          > O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32\rpcc.dll

          poniewaz kasuje je i po ponownym wykonaniu loga one spowrotem są. Po fiksowaniu kasuję rpcc.dll i nie idzie pisze, że jest używany. A syspools.exe nie widzę wogóle.

          Myślałam o tym by zrobić to w trybie awarayjnym, lecz niestety po wciąśnieciu F8 przy urchaminaniu komputera nie pokazuje mi się okno wyboru w jakim trybie ma się właczyc tylko niebieskie okno na czarny tle, przypominające biosa jednak jest tam tylko do wyboru z jakiego dyzku ma startować.

          Robiłam wczoraj: start-uruchom-msconfig tam wchodziłam w zakładkę botini i zanzaczałam pierwsze okienko. Wówczas po ponownym uruchomieniu włączał sie w trybie awaryjnym.

          Zastanawia mnie to czemu muszę robić w ten sbosób a nie poprzez F8 ponieważ w ten sposób nie mam możliwości wyboru trybu awaryjnego z siecią.

          Nie wiem co dalej robić.

          Jednak teraz nie mam żadnych ataków ani nie wyskakują mi raporty z avasta.

          • Gość: Kolobos Re: proszę o sprawdzenie loga IP: *.crowley.pl 25.12.06, 16:35
            > poniewaz kasuje je i po ponownym wykonaniu loga one spowrotem są. Po
            > fiksowaniu kasuję rpcc.dll i nie idzie pisze, że jest
            > używany.

            Dlaczego masz z tym problem skoro podalem Ci gdzie masz opis jak to usunac?!
            forum.gazeta.pl/forum/72,2.html?f=430&w=52083353
            > A syspools.exe nie widzę wogóle.

            Wiec pewnie juz go nie ma, usun tylko wpis.

            > jednak jest tam tylko do wyboru z jakiego dyzku ma startować.

            Za wczesnie naciskasz...

            > Nie wiem co dalej robić.

            Moze zacznij w koncu czytac to co Ci napisalem zamiast co chwile pisac kolejne.

            Wklej jeszcze log z SilentRunners (w dwoch postach, w jednym sie nie zmiesci z racji limitu na forum).
            • Gość: sabinkasg Re: proszę o sprawdzenie loga IP: *.sileman.net.pl 25.12.06, 17:11
              Ja robię to ale:

              O4 - Startup: MSWin-751683600.exe <- plik usuwamy z dysku.
              O4 - Global Startup: Uninstall.exe <- plik usuwamy z dysku.

              jaka jest ścieżka do tych plików. Wyszukuję je i nie ma ich. Na hj nie mam tego. Albo juz nie widze naprawdę.
              O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32\rpcc.dll <- ten plik usuwamy przy pomocy programu KillBox z zaznaczona opcja
              delete on reboot (instrukcja jest w przyklejonym poscie/naglowku forum)

              wywalam go z hj potem wchodzę na killbox-a ale nie idzie bo jest używany.
              Przepraszam, ze tak zawracam głowe ale naprawdę nie wiem co robię źle. Pierwszy raz tak mnie zaatakowało i jestem w wielikiej kropce. Nie chcę jeszcze bardziej czegoś popsuć.
              • Gość: sabinkasg Re: proszę o sprawdzenie loga IP: *.sileman.net.pl 25.12.06, 17:26
                "Silent Runners.vbs", revision 49, www.silentrunners.org/
                Operating System: Windows XP
                Output limited to non-default values, except where indicated by "{++}"


                Startup items buried in registry:
                ---------------------------------

                HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
                "CTFMON.EXE" = "C:\WINDOWS\System32\ctfmon.exe" [MS]
                "MSMSGS" = ""C:\Program Files\Messenger\msmsgs.exe" /background" [MS]
                "Gadu-Gadu" = ""D:\Programy\Gadu-Gadu\gg.exe" /tray" ["Gadu-Gadu S.A."]
                "Skype" = ""C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized" ["Skype Technologies S.A."]
                "swg" = "C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.8472\GoogleToolbarNotifier.exe" ["Google Inc."]

                HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
                "SoundMan" = "SOUNDMAN.EXE" ["Realtek Semiconductor Corp."]
                "NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup" [MS]
                "nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
                "NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit" [MS]
                "NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
                "avast!" = "C:\PROGRA~1\Avast\ashDisp.exe" [null data]
                "WinampAgent" = "D:\Programy\Winamp\winampa.exe" [null data]
                "HP Software Update" = "C:\Program Files\HP\HP Software Update\HPWuSchd2.exe" ["Hewlett-Packard Development Company, L.P."]
                "Onet.pl AutoUpdate" = "C:\Program Files\Common Files\Onet.pl\AutoUpdate.exe /tsr" ["Onet.pl"]
                "!AVG Anti-Spyware" = ""C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized" ["Anti-Malware Development a.s."]

                HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
                {22BF413B-C6D2-4d91-82A9-A0F997BA588C}\(Default) = "Skype add-on (mastermind)"
                -> {HKLM...CLSID} = "Skype add-on (mastermind)"
                \InProcServer32\(Default) = "C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL" ["Skype Technologies S.A."]
                {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60}\(Default) = "BitComet ClickCapture"
                -> {HKLM...CLSID} = "BitComet Helper"
                \InProcServer32\(Default) = "D:\Programy\BitComet\tools\BitCometBHO.dll" ["BitComet"]
                {AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = (no title provided)
                -> {HKLM...CLSID} = "Google Toolbar Helper"
                \InProcServer32\(Default) = "c:\program files\google\googletoolbar2.dll" ["Google Inc."]

                HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
                "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Rozszerzenie CPL kadrowania wyświetlania"
                -> {HKLM...CLSID} = "Rozszerzenie CPL kadrowania wyświetlania"
                \InProcServer32\(Default) = "deskpan.dll" [file not found]
                "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Rozszerzenie ikony HyperTerminalu"
                -> {HKLM...CLSID} = "HyperTerminal Icon Ext"
                \InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
                "{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
                -> {HKLM...CLSID} = "DesktopContext Class"
                \InProcServer32\(Default) = "C:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"]
                "{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
                -> {HKLM...CLSID} = "NVIDIA CPL Extension"
                \InProcServer32\(Default) = "C:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"]
                "{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
                -> {HKLM...CLSID} = "Desktop Explorer"
                \InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
                -> {HKLM...CLSID} = (no title provided)
                \InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
                "{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
                -> {HKLM...CLSID} = "nView Desktop Context Menu"
                \InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
                "{472083B0-C522-11CF-8763-00608CC02F24}" = "avast"
                -> {HKLM...CLSID} = "avast"
                \InProcServer32\(Default) = "C:\Program Files\Avast\ashShell.dll" ["ALWIL Software"]
                "{E0D79300-84BE-11CE-9641-444553540000}" = "WinZip"
                -> {HKLM...CLSID} = "WinZip"
                \InProcServer32\(Default) = "D:\Programy\WinZip\wzshlext.dll" [null data]
                "{E0D79301-84BE-11CE-9641-444553540000}" = "WinZip"
                -> {HKLM...CLSID} = "WinZip"
                \InProcServer32\(Default) = "D:\Programy\WinZip\wzshlext.dll" [null data]
                "{E0D79302-84BE-11CE-9641-444553540000}" = "WinZip"
                -> {HKLM...CLSID} = "WinZip"
                \InProcServer32\(Default) = "D:\Programy\WinZip\wzshlext.dll" [null data]
                "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
                -> {HKLM...CLSID} = "WinRAR"
                \InProcServer32\(Default) = "D:\Programy\WinRar\rarext.dll" [null data]
                "{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler"
                -> {HKLM...CLSID} = "Microsoft Office Outlook"
                \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL" [MS]
                "{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler"-> {HKLM...CLSID} = "Rozszerzenie ikon plików programu Outlook"
                \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL" [MS]
                "{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
                -> {HKLM...CLSID} = (no title provided)
                \InProcServer32\(Default) = "C:\Program Files\Microsoft Office\OFFICE11\msohev.dll" [MS]

                HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
                <<!>> "{57B86673-276A-48B2-BAE7-C6DBB3020EB8}" = "AVG Anti-Spyware 7.5"
                -> {HKLM...CLSID} = "CShellExecuteHookImpl Object"
                \InProcServer32\(Default) = "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\shellexecutehook.dll" ["Anti-Malware Development a.s."]

                HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
                <<!>> rpcc\DLLName = "C:\WINDOWS\System32\rpcc.dll" [null data]

                HKLM\Software\Classes\PROTOCOLS\Filter\
                <<!>> text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
                -> {HKLM...CLSID} = (no title provided)
                \InProcServer32\(Default) = "C:\Program Files\Common Files\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]

                HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
                avast\(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}"
                -> {HKLM...CLSID} = "avast"
                \InProcServer32\(Default) = "C:\Program Files\Avast\ashShell.dll" ["ALWIL Software"]
                AVG Anti-Spyware\(Default) = "{8934FCEF-F5B8-468f-951F-78A921CD3920}"
                -> {HKLM...CLSID} = "CContextScan Object"
                \InProcServer32\(Default) = "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\context.dll" ["Anti-Malware Development a.s."]
                WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
                -> {HKLM...CLSID} = "WinRAR"
                \InProcServer32\(Default) = "D:\Programy\WinRar\rarext.dll" [null data]
                WinZip\(Default) = "{E0D79300-84BE-11CE-9641-444553540000}"
                -> {HKLM...CLSID} = "WinZip"
                \InProcServer32\(Default) = "D:\Programy\WinZip\wzshlext.dll" [null data]

                HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
                AVG Anti-Spyware\(Default) = "{8934FCEF-F5B8-468f-951F-78A921CD3920}"
                -> {HKLM...CLSID} = "CContextScan Object"
                \InProcServer32\(Default) = "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\context.dll" ["Anti-Malware Development a.s."]
                WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
                -> {HKLM...CLSID} = "WinRAR"
                \InProcServer32\(Default) = "D:\Programy\WinRar\rar
              • Gość: sabinkasg Re: proszę o sprawdzenie loga IP: *.sileman.net.pl 25.12.06, 17:26
                HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
                avast\(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}"
                -> {HKLM...CLSID} = "avast"
                \InProcServer32\(Default) = "C:\Program Files\Avast\ashShell.dll" ["ALWIL Software"]
                WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
                -> {HKLM...CLSID} = "WinRAR"
                \InProcServer32\(Default) = "D:\Programy\WinRar\rarext.dll" [null data]
                WinZip\(Default) = "{E0D79300-84BE-11CE-9641-444553540000}"
                -> {HKLM...CLSID} = "WinZip"
                \InProcServer32\(Default) = "D:\Programy\WinZip\wzshlext.dll" [null data]


                Group Policies {GPedit.msc branch and setting}:
                -----------------------------------------------

                Note: detected settings may not have any effect.

                HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\

                "DisableRegistryTools" = (REG_DWORD) hex:0x00000000
                {User Configuration|Administrative Templates|System|
                Prevent access to registry editing tools}

                HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

                "shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
                {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
                Shutdown: Allow system to be shut down without having to log on}

                "undockwithoutlogon" = (REG_DWORD) hex:0x00000001
                {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
                Devices: Allow undock without having to log on}


                Active Desktop and Wallpaper:
                -----------------------------

                Active Desktop may be disabled at this entry:
                HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

                Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
                HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
                "Wallpaper" = "C:\Documents and Settings\burdzik\Ustawienia lokalne\Dane aplikacji\Microsoft\Wallpaper1.bmp"

                Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
                HKCU\Control Panel\Desktop\
                "Wallpaper" = "C:\Documents and Settings\burdzik\Ustawienia lokalne\Dane aplikacji\Microsoft\Wallpaper1.bmp"


                Enabled Screen Saver:
                ---------------------

                HKCU\Control Panel\Desktop\
                "SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS]


                Startup items in "burdzik" & "All Users" startup folders:
                ---------------------------------------------------------

                C:\Documents and Settings\All Users\Menu Start\Programy\Autostart
                "HP Digital Imaging Monitor" -> shortcut to: "C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe" ["Hewlett-Packard Development Company, L.P."]


                Winsock2 Service Provider DLLs:
                -------------------------------

                Namespace Service Providers

                HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
                000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
                000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
                000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

                Transport Service Providers

                HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
                0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
                %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 11
                %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


                Toolbars, Explorer Bars, Extensions:
                ------------------------------------

                Toolbars

                HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
                "{2318C2B1-4965-11D4-9B18-009027A5CD4F}"
                -> {HKLM...CLSID} = "&Google"
                \InProcServer32\(Default) = "c:\program files\google\googletoolbar2.dll" ["Google Inc."]
                "{D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A}"
                -> {HKLM...CLSID} = "BearShare MediaBar"
                \InProcServer32\(Default) = "C:\Program Files\BearShare applications\BearShare MediaBar\MediaBar.dll" ["IE Toolbar"]

                HKLM\Software\Microsoft\Internet Explorer\Toolbar\
                "{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = (no title provided)
                -> {HKLM...CLSID} = "&Google"
                \InProcServer32\(Default) = "c:\program files\google\googletoolbar2.dll" ["Google Inc."]

                Explorer Bars

                HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\

                HKLM\Software\Classes\CLSID\{FF059E31-CC5A-4E2E-BF3B-96E929D65503}\(Default) = "&Badanie"
                Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
                InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL" [MS]

                Extensions (Tools menu items, main toolbar menu buttons)

                HKLM\Software\Microsoft\Internet Explorer\Extensions\
                {77BF5300-1474-4EC7-9980-D32B190E9B07}\
                "ButtonText" = "Skype"
                "CLSIDExtension" = "{77BF5300-1474-4EC7-9980-D32B190E9B07}"
                -> {HKLM...CLSID} = "Skype add-on (button)"
                \InProcServer32\(Default) = "C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL" ["Skype Technologies S.A."]

                {92780B25-18CC-41C8-B9BE-3C9C571A8263}\
                "ButtonText" = "Badanie"


                Running Services (Display Name, Service Name, Path {Service DLL}):
                ------------------------------------------------------------------

                avast! Antivirus, avast! Antivirus, ""C:\Program Files\Avast\ashServ.exe"" [null data]
                avast! iAVS4 Control Service, aswUpdSv, ""C:\Program Files\Avast\aswUpdSv.exe"" [null data]
                avast! Web Scanner, avast! Web Scanner, ""C:\Program Files\Avast\ashWebSv.exe" /service" ["ALWIL Software"]
                AVG Anti-Spyware Guard, AVG Anti-Spyware Guard, "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe" ["Anti-Malware Development a.s."]
                Kerio Personal Firewall 4, KPF4, "D:\Programy\Kerio\Personal Firewall 4\kpf4ss.exe" ["Kerio Technologies"]
                Machine Debug Manager, MDM, ""C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE"" [MS]
                NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\System32\nvsvc32.exe" ["NVIDIA Corporation"]


                Print Monitors:
                ---------------

                HKLM\System\CurrentControlSet\Control\Print\Monitors\
                HP Standard TCP/IP Port\Driver = "HpTcpMon.dll" ["Hewlett Packard"]
                Microsoft Document Imaging Writer Monitor\Driver = "mdimon.dll" [MS]
                PCL hpz3l054\Driver = "hpz3l054.dll" ["Hewlett-Packard Company"]


                ----------
                <<!>>: Suspicious data at a malware launch point.

                + This report excludes default entries except where indicated.
                + To see *everywhere* the script checks and *everything* it finds,
                launch it from a command prompt or a shortcut with the -all parameter.
                + To search all directories of local fixed drives for DESKTOP.INI
                DLL launch points, use the -supp parameter or answer "No" at the
                first message box and "Yes" at the second message box.
                --------
                • Gość: Kolobos Re: proszę o sprawdzenie loga IP: *.crowley.pl 25.12.06, 17:52
                  > jaka jest ścieżka do tych plików. Wyszukuję je i nie ma ich.

                  Skoro nie ma to nie usuwasz. Ciebie interesuje tylko rpcc.

                  Napisane masz:
                  > ten plik usuwamy przy pomocy programu KillBox z zaznaczona opcja
                  > delete on reboot (instrukcja jest w przyklejonym poscie/naglowku forum)

                  Wiec dlaczego robisz tak:
                  > wchodzę na killbox-a ale nie idzie bo jest używany.

                  Masz zaznaczyc w killbox ptaszka przy delete on reboot.

                  Juz Ci pisalem o czytaniu tego co Ci napisalem, to jedyne czego od Ciebie wymagam. Nie musisz sie na tym znac, jedynie czytac to co masz napisane i wykonac.

                  Wiec zostalo tylko to:
                  HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
                  <<!>> rpcc\DLLName = "C:\WINDOWS\System32\rpcc.dll" [null data]

                  Mam nadzieje, ze tym razem usuniesz plik tak jak Ci napisalem, a nastepnie usuniesz wpis w hjt.

                  Uruchom tez regedit, przejdz do:
                  HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\
                  usun tam: "DisableRegistryTools"

                  Nastepnie przejdz do:
                  HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\ i
                  usun tam: "{D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A}"

                  To wszystko.
                  • Gość: sabinkasg Re: proszę o sprawdzenie loga IP: *.sileman.net.pl 25.12.06, 19:39
                    Zrobiłam wszystko jak napisałeś. Jak teraz sprawdzic czy są jakieś paskudztwa jeszcze ??
                    • Gość: sabinkasg Re: proszę o sprawdzenie loga IP: *.sileman.net.pl 25.12.06, 19:43
                      No zrobiłam wszystko jak już pisałam. A tu nagle wyskakuje z avasta znaleziono wirus/robak

                      Co teraz??



                      • Gość: Kolobos Re: proszę o sprawdzenie loga IP: *.crowley.pl 25.12.06, 20:22
                        Nie wiem co teraz poniewaz nie chcialo Ci sie napisac jaki robak i w jakim pliku...
                        Wyslij mi na maila log z gmera z zakladki rootkit.
                        • Gość: sabinkasg Re: proszę o sprawdzenie loga IP: *.sileman.net.pl 25.12.06, 20:38
                          D:\Gry\Need for speed - CARBON\Support\EasyInfo.exe
                          D:\Gry\Need for speed - CARBON\Support\EReg.exe
                          Win32:Luder-F
                          Wirus/robak


                          teraz przy skanowaniu avastem wyskoczyło. Na C nie znalzł nic. To dałam usuń. Stan wyskakuje Zainfekowane.

                          Ale na koniec w raporcie mam, 60 zarażonych plików, wszystkie usunięte.
                          Jeden mam uszkodzone archiwum CAD.

                          Co mam zrobić z plikami z kwarantanny ??
                          Na początku wrzucałam do kwarantanny
                          • Gość: Kolobos Re: proszę o sprawdzenie loga IP: *.crowley.pl 25.12.06, 20:45
                            > D:\Gry\Need for speed - CARBON\Support\EasyInfo.exe
                            > D:\Gry\Need for speed - CARBON\Support\EReg.exe
                            > Win32:Luder-F
                            > Wirus/robak

                            Jezeli antywirus nie bedzie w stanie wyleczyc tych plikow to je usun.
                            Wylacz te przywracanie systemu.

                            > Co mam zrobić z plikami z kwarantanny ??

                            Usunac.

    • Gość: sabinkasg Re: proszę o sprawdzenie loga IP: *.sileman.net.pl 25.12.06, 20:44
      podaj maila!
      Próbuję pobrać gmera.
      • Gość: Kolobos Re: proszę o sprawdzenie loga IP: *.crowley.pl 25.12.06, 20:47
        Czy musisz co chwile pisac nowy post? Nie mozesz napisac wszystkiego za jednym razem?

        Moj mail to kolobos (at) gazeta.pl
        • Gość: sabinkasg Re: proszę o sprawdzenie loga IP: *.sileman.net.pl 25.12.06, 20:55
          posłałam maila
Pełna wersja