Elektroda.pl
Elektroda.pl
X

Search our partners

Find the latest content on electronic components. Datasheets.com
Elektroda.pl
Please add exception to AdBlock for elektroda.pl.
If you watch the ads, you support portal and users.

pomocy zlapalem bardzo upartego dialera !

buh 06 Apr 2005 21:34 5396 34
Telkom Telmor
  • #1
    buh
    Level 22  
    dzisiaj popoludniu kiedy szperalem w necie na stronkach o grze gta vice city znalazlem taka stronke jedna na wyszukiwarce onetu tam lepiej wam radze nie szukajcie bo tam w tych linkach sa najczescie dialery albo wirusy . i tak zaczelo sie uruchomilem ta gre i zacial mi sie komp kiedy go chcialem uruchomic to sie strasznie dlugo logowalo chyba ze 5 minut a potem sie uruchamial (wyswietlal te pliki co mam na pulpicie a zwykle robi mi sie to okolo 30 sekund a tu 20 minut) i potem niem ialem zadnych plikow na pulpicie po za koszem i microsoft outlookiem i jeszcze byla ikonka jakiejs laski i nazywala sie XXX ale ich bylo dwie i to byly skroty a zamiast tapety bylo takie cos zmieszczam screena i jak klikam prawym to mi sie nie chce otworzyc podmenu co robic pomozcie jak wiecej informacji piszcie


    aha jeszcze sie nie da zmienic tapetki i iii... to wszystko jak cs jeszcze bedzie nie tak to napisze
  • Telkom Telmor
  • #3
    buh
    Level 22  
    ten pierwszy link e chce sie otworzyc a tego loga to gdzie mam wkleic?


    aha mam nowa wiadomosc ze jak usune ten glowny plik tego dialera czy czegos tam to znowu mi sie sam sciaga lae tak speedem nawet niezdaze tego wylaczyc a i jeszcze co zrobic bo przed zlapaniem go mialem na dysku c: jakies 3 Gb wolnego miejsca a teraz mam zaledwie 250 mb? a na dysku d: wszystko tak jak bylo

    Dodano po 4 [minuty]:

    a jak ja mam tego jakiegos antyvira co jest do sciagniecia w drugim linku rozpakowac skoro jak prawym klikam sie podmenu nierozwija?
  • Telkom Telmor
  • #4
    jannaszek
    Level 39  
    trzeba to wyłączyć w autostarcie, wyłączyć przywracanie systemu ,usuwać w trybie awayjnym no i ten hijackthis ,nieznam tego trojana ale postępowanie jest standardowe,chyba że tak robiłeś już
  • #5
    Kolobos
    IT specialist
    :arrow: buh
    Strona dziala, jest na niej to:
    Quote:
    Sprawy się pokomplikowały i tapeta SlimShield opisana szczegółowo TU, pomimo iż w logu Hijacka pokazuje te same trójowe wpisy, zmieniła taktykę.


    1. Tapeta oferuje zamiast SlimShield inny lewy produkt znany ze starych czarnych tapet SmartSecurity:



    2. Zostaje zablokowany prawy klik tak na Pulpit jak i w exporerze.

    3. Zmiana tapety na inną jest zupełnie niemożliwa.

    4. Z Pulpitu znikają wasze ikony lub ulegają duplikacji. Tapeta bowiem zmienia w rejestrze ścieżkę do folderu Pulpitu do swojego własnego folderu C:\Desktop.


    USUWANIE:


    1. Na początku oczyścić log z HijackThis z "trójek" tak jak to opisane w instrukcji usuwania SlimShield.

    2. Odblokować prawy klik poprzez edycję rejestru. Proszę otworzyć Notatnik i wkleić w nim to:

    REGEDIT4

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
    "NoViewContextMenu"=dword:00000000

    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
    "NoViewContextMenu"=dword:00000000

    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
    "NoSetTaskbar"=dword:00000000

    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
    "NoSaveSettings"=dword:00000000

    Plik >>> Zapisz jako >>> ustaw rozszerzenie na Wszystkie pliki zamiast txt >>> zapisz pod nazwą z rozszerzeniem *.REG np. FIX.REG >>> kliknij podwójnie zrobiony plik i potwierdź.

    Po tej akcji odblokuje się na prawy klik ale nadal we Właściwościach ekranu niemożność zmiany:




    3. Skorygować ścieżkę do prawidłowego folderu Pulpitu by przywrócić własne ikony:


    Start >>> Uruchom >>> regedit i:


    W kluczach:

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders

    HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
    HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders

    HKEY_USERS\S-1-5-21-zmienne numerki\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
    HKEY_USERS\S-1-5-21-zmienne numerki\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders

    Klikacie podwójnie wartość Desktop i wpisujecie:


    Windows 2000/XP/2003:

    %USERPROFILE%\Desktop (Windows ENG) lub %USERPROFILE%\Pulpit (Windows PL)

    Windows 98/Me:

    %WinDir%\Desktop (Windows ENG) lub %WinDir%\Pulpit (Windows PL)



    W kluczach:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders

    Klikacie podwójnie wartość Common Desktop i wpisujecie:

    Windows 2000/XP/2003:

    %ALLUSERSPROFILE%\Desktop (Windows ENG) lub %ALLUSERSPROFILE%\Pulpit (Windows PL)

    Zauważcie, że jest to "ALL". Jeśli się tu pomylicie dostaniecie duplikowanie ikon w nieskończoność!



    4. Mamy już całość. Wykołowałam która to restrykcja i czerwona tapetka nie przedstawia już żadnych trudności:

    Start >>> Uruchom >>> regedit i w kluczu:

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

    Kliknąć prawym na wartość o nazwie Wallpaper i ją skasować. Nastąpi natychmiastowy debloker wyboru nowej tapety.



    Nie zapomnijcie z dysku skasować plik C:\Windows\desktop.html i folder C:\Desktop


    Oczywiscie wszystko pochodzi z:
    http://www.searchengines.pl/phpbb203/index.php?showtopic=31936

    Pewnie masz zablokowana ta strone albo zepsuty internet ;-)
  • #6
    User removed account
    User removed account  
  • #7
    jannaszek
    Level 39  
    ale on złapał trojana..
  • #8
    User removed account
    User removed account  
  • #9
    marek216

    Level 43  
    masz dwa wyjścia albo posłuchac kolobosa albo zrobic kopie cennych plików i zainstalowac wszystko na nowo

    cokolwiek zrobisz zrób to na odpiętej sieci i zainstaluj sobie firewalla i antywira
  • #10
    buh
    Level 22  
    myslem nad tym zeby zrobic kopie instalk i nagrac nap lyty ale nie zadne lustra tych plikow robic tylko normalnie jakos dane nagram (troche plytek zleci ja mam tego ok 30 GB a dysk mam 60 GB) ale trzeba i przynajmniej sie przyda na potem i potem wziasc i zrobic formata a potem all na nowo instalowac ale mniej roboty bylo by chyba z uzyciem pomocy Kolobosa uratowales mnie Kolobos dziekuje Ci!!!!!!!!!! :]
    aha i czy ktos moglby mi zrobic te pliki ktore sa na tej stronce co podal Kolobos bo niebardazo cos kapuje i prosilbym je przeslac na e-mail djbuh(malpa)op.pl

    dziekuje za wszsytko jak sie uda to napisze posta jak nie to tez i potem jak to zrobie juz to dam wam po 3 punkty dziekuje jeszcze bardzo bardzo mocno i pozdrawiam!!!!!

    p.s. co zrobic z tym teraz sie przed chwila dowiedzielm ze mam mysze z rolko do przewijania i jak krece ta rolko to niedziala ano jak klikam a wczesniej bylo wszsytko ok pomozciem i z tym tez


    z gory dziekuje bardzo mocno i pozdrawiam
  • #13
    Kolobos
    IT specialist
    :arrow: buh
    Tylko jeden plik masz utworzyc i wkleic do niego to:

    REGEDIT4

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
    "NoViewContextMenu"=dword:00000000

    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
    "NoViewContextMenu"=dword:00000000

    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
    "NoSetTaskbar"=dword:00000000

    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
    "NoSaveSettings"=dword:00000000

    Nastepnei zapisac ten plik jako fix.reg i kliknac na nim dwa razy :-)

    Reszte zmian dokonujesz recznie w rejestrze, zreszta wspomniane wczesniej tez mozesz sam zmienic :-)

    Najlepiej wklej tez tutaj na forum log z hijackthis:
    http://www.spychecker.com/program/hijackthis.html
  • #14
    buh
    Level 22  
    aha to ten log to jest ten tekst co pod koniec skanowania w tym hijackthis wyskakuje? i to mam tak wkleic na tym forum ??? tylko prosze o szbka odpowiedz bo musze to jeszcze dzisaj zrobic

    Dodano po 3 [minuty]:

    kurde w koncu jak ja to mam zrobic ja juz sam nie iwem wybralem ta droge bez fomatowania to podajcie co i jak po kolei bo juz sie w tym zupelnie pogubilem gdzie jakiego loga wkleic? i jak w koncu usunac tego trojana wrednego juz mnie wnerwia sil do niego juz nie mam !!!(=)-:::
  • #15
    childmaker
    Level 35  
    Najpierw Scan, potem Save log np na pulpit i wklej go na posta
  • #16
    Kolobos
    IT specialist
    :arrow: buh
    Log to jest ten plik tekstowy co Ci sie otwiera i jego zawartosc wklej tutaj na forum.
  • #17
    buh
    Level 22  
    tu na posta czy tam na posta bo ktos tu podla jeszcze jedno forum byl taki lnk jhak cos to podaje narazie tu:



    Logfile of HijackThis v1.99.1
    Scan saved at 12:15:32, on 2005-04-08
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\LEXBCES.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\LEXPPS.EXE
    C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
    C:\WINDOWS\System32\twtsnidr.exe
    C:\WINDOWS\System32\taskswitch.exe
    C:\WINDOWS\nmmst.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\WINDOWS\System32\CTHELPER.EXE
    C:\Program Files\Common files\SearchUpgrader\SearchUpgrader.exe
    C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
    C:\Program Files\Common Files\CMEII\CMESys.exe
    C:\WINDOWS\System32\paytime.exe
    C:\windows\saap.exe
    C:\WINDOWS\System32\ap9h4qmo.exe
    C:\PROGRA~1\COMMON~1\WinTools\WToolsA.exe
    C:\PROGRA~1\Toolbar\TBPS.exe
    C:\WINDOWS\Fth.exe
    C:\WINDOWS\System32\___r.exe
    C:\WINDOWS\System32\drivers\CDAC11BA.EXE
    C:\Gadu-Gadu\Gadu-Gadu\gg.exe
    C:\PROGRA~1\COMMON~1\krzz\krzzm.exe
    C:\WINDOWS\System32\paytime.exe
    C:\Program Files\Common Files\GMT\GMT.exe
    C:\WINDOWS\___n.EXE
    C:\WINDOWS\System32\CTsvcCDA.exe
    C:\PROGRA~1\COMMON~1\krzz\krzza.exe
    C:\WINDOWS\System32\rundll32.exe
    C:\PROGRA~1\Toolbar\PIB.exe
    C:\Program Files\Common Files\WinTools\WSup.exe
    C:\Program Files\Norton AntiVirus\navapsvc.exe
    C:\WINDOWS\system32\cmd.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\Program Files\Norton AntiVirus\SAVScan.exe
    C:\WINDOWS\system32\cmd.exe
    C:\Program Files\mozilla.org\MozillaFirebird\MozillaFirebird.exe
    C:\WINDOWS\system32\cmd.exe
    C:\Desktop\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.websearch.com/ie.aspx?tb_id=50162
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.websearch.com/ie.aspx?tb_id=50162
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = res://C:\PROGRA~1\Toolbar\toolbar.dll/sa
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.websearch.com/ie.aspx?tb_id=50162
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = res://C:\PROGRA~1\Toolbar\toolbar.dll/sa
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.onet.pl/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
    R3 - URLSearchHook: (no name) - {CA0E28FA-1AFD-4C21-A8DC-70EB5BE2F076} - C:\Program Files\SurfSideKick 2\SskBho.dll
    O2 - BHO: DLMaxObj Class - {00000000-59D4-4008-9058-080011001200} - C:\WINDOWS\dlmax.dll
    O2 - BHO: NavErrRedir Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL
    O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - C:\PROGRA~1\COMMON~1\WinTools\WToolsB.dll
    O2 - BHO: (no name) - {8952A998-1E7E-4716-B23D-3DBE03910972} - C:\PROGRA~1\Toolbar\toolbar.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\WINDOWS\Downloaded Program Files\googlenav.dll
    O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_5_0.dll (file missing)
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
    O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL
    O3 - Toolbar: ISTbar - {FAA356E4-D317-42a6-AB41-A3021C6E7D52} - C:\Program Files\ISTbar\istbarcm.dll
    O3 - Toolbar: &Search Toolbar - {339BB23F-A864-48C0-A59F-29EA915965EC} - C:\PROGRA~1\Toolbar\toolbar.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [APVXDWIN] "C:\Documents and Settings\Krzysztof Kałuza.KA-3T6LNVTZ5MBL\Pulpit\Programs\Panda Anitivirus Titanium 7.0\APVXDWIN.EXE" /s
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
    O4 - HKLM\..\Run: [hggbpfclivsq] C:\WINDOWS\System32\twtsnidr.exe
    O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe
    O4 - HKLM\..\Run: [ajXPA] C:\WINDOWS\frfschlc.exe
    O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Różne\Deamon Tools\daemon.exe" -lang 1033
    O4 - HKLM\..\Run: [Ijgumx] C:\Program Files\Pxjvm\Ysyi.exe
    O4 - HKLM\..\Run: [_Cat2] C:\WINDOWS\nmstt.exe
    O4 - HKLM\..\Run: [_Cat1] C:\WINDOWS\nmmst.exe
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [iTunesHelper] C:\Documents and Settings\Krzysztof Kałuza.KA-3T6LNVTZ5MBL\Pulpit\Quick Time Player\iTunesHelper.exe
    O4 - HKLM\..\Run: [IST Service] C:\Program Files\ISTsvc\istsvc.exe
    O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
    O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
    O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
    O4 - HKLM\..\Run: [SearchUpgrader] C:\Program Files\Common files\SearchUpgrader\SearchUpgrader.exe
    O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
    O4 - HKLM\..\Run: [AltnetPointsManager] c:\program files\altnet\points manager\points manager.exe -s
    O4 - HKLM\..\Run: [CMESys] "C:\Program Files\Common Files\CMEII\CMESys.exe"
    O4 - HKLM\..\Run: [WinVNC] "C:\Program Files\UltraVNC\WinVNC.exe" -servicehelper
    O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe
    O4 - HKLM\..\Run: [Vko] C:\WINDOWS\System32\Ghk.exe
    O4 - HKLM\..\Run: [Disk Keeper] C:\DOCUME~1\KRZYSZ~2.KA-\USTAWI~1\Temp\keep.exe
    O4 - HKLM\..\Run: [SurfSideKick 2] C:\Program Files\SurfSideKick 2\Ssk.exe
    O4 - HKLM\..\Run: [saap] c:\windows\saap.exe
    O4 - HKLM\..\Run: [ap9h4qmo] C:\WINDOWS\System32\ap9h4qmo.exe
    O4 - HKLM\..\Run: [WinTools] C:\PROGRA~1\COMMON~1\WinTools\WToolsA.exe
    O4 - HKLM\..\Run: [TBPS] C:\PROGRA~1\Toolbar\TBPS.exe
    O4 - HKLM\..\Run: [Mal] C:\WINDOWS\Buq.exe
    O4 - HKLM\..\Run: [Lbf] C:\WINDOWS\System32\Hhl.exe
    O4 - HKLM\..\Run: [Lfp] C:\WINDOWS\System32\App.exe
    O4 - HKLM\..\Run: [Asi] C:\WINDOWS\Kir.exe
    O4 - HKLM\..\Run: [dkzabiv] C:\WINDOWS\dkzabiv.exe
    O4 - HKLM\..\Run: [Niq] C:\WINDOWS\System32\Gks.exe
    O4 - HKLM\..\Run: [Ret] C:\WINDOWS\System32\Sqd.exe
    O4 - HKLM\..\Run: [Kmd] C:\WINDOWS\System32\Kcn.exe
    O4 - HKLM\..\Run: [Ldb] C:\WINDOWS\Gov.exe
    O4 - HKLM\..\Run: [Gue] C:\WINDOWS\Fth.exe
    O4 - HKLM\..\Run: [Microsoft Synchronization Manager] ___synmgr.exe
    O4 - HKLM\..\Run: [Microsoft Windows DHCP] C:\WINDOWS\System32\___r.exe
    O4 - HKLM\..\Run: [Rqg] C:\WINDOWS\Gbk.exe
    O4 - HKLM\..\Run: [Rap] C:\WINDOWS\Mhh.exe
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [Kia] C:\WINDOWS\System32\Chc.exe
    O4 - HKLM\..\Run: [Sbi] C:\WINDOWS\Tcu.exe
    O4 - HKLM\..\Run: [Snl] C:\WINDOWS\System32\Ghm.exe
    O4 - HKLM\..\Run: [Gbt] C:\WINDOWS\Tik.exe
    O4 - HKLM\..\RunServices: [Microsoft Synchronization Manager] ___synmgr.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [Skype] "D:\Skype\Skype.exe" /nosplash /minimized
    O4 - HKCU\..\Run: [NBJ] "C:\Documents and Settings\Krzysztof Kałuza.KA-3T6LNVTZ5MBL\Pulpit\Programs\Nero 6\Nero BackItUp\NBJ.exe"
    O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
    O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Gadu-Gadu\Gadu-Gadu\gg.exe" /tray
    O4 - HKCU\..\Run: [krzz] C:\PROGRA~1\COMMON~1\krzz\krzzm.exe
    O4 - HKCU\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe
    O4 - HKCU\..\Run: [Vko] C:\WINDOWS\System32\Ghk.exe
    O4 - HKCU\..\Run: [SurfSideKick 2] C:\Program Files\SurfSideKick 2\Ssk.exe
    O4 - HKCU\..\Run: [Mal] C:\WINDOWS\Buq.exe
    O4 - HKCU\..\Run: [Lbf] C:\WINDOWS\System32\Hhl.exe
    O4 - HKCU\..\Run: [Lfp] C:\WINDOWS\System32\App.exe
    O4 - HKCU\..\Run: [Asi] C:\WINDOWS\Kir.exe
    O4 - HKCU\..\Run: [Niq] C:\WINDOWS\System32\Gks.exe
    O4 - HKCU\..\Run: [Ret] C:\WINDOWS\System32\Sqd.exe
    O4 - HKCU\..\Run: [Kmd] C:\WINDOWS\System32\Kcn.exe
    O4 - HKCU\..\Run: [Gqc] C:\WINDOWS\Eab.exe
    O4 - HKCU\..\Run: [Ldb] C:\WINDOWS\Gov.exe
    O4 - HKCU\..\Run: [Gue] C:\WINDOWS\Fth.exe
    O4 - HKCU\..\Run: [Rqg] C:\WINDOWS\Gbk.exe
    O4 - HKCU\..\Run: [Rap] C:\WINDOWS\Mhh.exe
    O4 - HKCU\..\Run: [Kia] C:\WINDOWS\System32\Chc.exe
    O4 - HKCU\..\Run: [Microsoft Synchronization Manager] ___synmgr.exe
    O4 - HKCU\..\Run: [Sbi] C:\WINDOWS\Tcu.exe
    O4 - HKCU\..\Run: [Snl] C:\WINDOWS\System32\Ghm.exe
    O4 - HKCU\..\Run: [Gbt] C:\WINDOWS\Tik.exe
    O4 - Startup: UniSpiker-2.6.lnk = ?
    O4 - Global Startup: Microsoft Office.lnk = D:\Microsoft Office XP\Office10\OSA.EXE
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: GStartup.lnk = C:\Program Files\Common Files\GMT\GMT.exe
    O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmsearch.html
    O8 - Extra context menu item: Backward &Links - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmbacklinks.html
    O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmcache.html
    O8 - Extra context menu item: Download All by FlashGet - C:\Program Files\FlashGet\jc_all.htm
    O8 - Extra context menu item: Download using FlashGet - C:\Program Files\FlashGet\jc_link.htm
    O8 - Extra context menu item: Si&milar Pages - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmsimilar.html
    O8 - Extra context menu item: Web Rebates - file://C:\Program Files\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_04\bin\npjpi142_04.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_04\bin\npjpi142_04.dll
    O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Program Files\SideFind\sidefind13.dll (file missing)
    O9 - Extra button: UCmore Info - {33740AEB-2856-4004-B84B-37E2C0D4F13D} - C:\Program Files\UC Info\WebBand.dll
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe (file missing)
    O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe (file missing)
    O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
    O15 - Trusted Zone: *.blazefind.com
    O15 - Trusted Zone: *.clickspring.net
    O15 - Trusted Zone: *.flingstone.com
    O15 - Trusted Zone: *.iframedollars.biz
    O15 - Trusted Zone: *.mt-download.com
    O15 - Trusted Zone: *.my-internet.info
    O15 - Trusted Zone: *.searchbarcash.com
    O15 - Trusted Zone: *.searchmiracle.com
    O15 - Trusted Zone: *.skoobidoo.com
    O15 - Trusted Zone: *.slotch.com
    O15 - Trusted Zone: *.slotchbar.com
    O15 - Trusted Zone: *.windupdates.com
    O15 - Trusted Zone: *.xxxtoolbar.com
    O15 - Trusted Zone: *.ysbweb.com
    O15 - Trusted Zone: *.blazefind.com (HKLM)
    O15 - Trusted Zone: *.clickspring.net (HKLM)
    O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
    O15 - Trusted Zone: *.flingstone.com (HKLM)
    O15 - Trusted Zone: *.iframedollars.biz (HKLM)
    O15 - Trusted Zone: *.mt-download.com (HKLM)
    O15 - Trusted Zone: *.my-internet.info (HKLM)
    O15 - Trusted Zone: *.searchbarcash.com (HKLM)
    O15 - Trusted Zone: *.searchmiracle.com (HKLM)
    O15 - Trusted Zone: *.skoobidoo.com (HKLM)
    O15 - Trusted Zone: *.slotch.com (HKLM)
    O15 - Trusted Zone: *.slotchbar.com (HKLM)
    O15 - Trusted Zone: *.windupdates.com (HKLM)
    O15 - Trusted Zone: *.xxxtoolbar.com (HKLM)
    O15 - Trusted Zone: *.ysbweb.com (HKLM)
    O15 - Trusted IP range: 213.159.117.202
    O15 - Trusted IP range: 213.159.117.202 (HKLM)
    O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15009/CTSUEng.cab
    O16 - DPF: {12398DD6-40AA-4C40-A4EC-A42CFC0DE797} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab
    O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt...c7a7871c4433:f935afd94b59acb5b2871e1680669ddd
    O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
    O16 - DPF: {288C5F13-7E52-4ADA-A32E-F5BF9D125F98} (CR64Loader Object) - http://www.miniclip.com/inflaterball/miniclipGameLoader.dll
    O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://appldnld.m7z.net/content.info.apple.co...W/win/019-0312.20050111.MmVrT/iTunesSetup.exe
    O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} (Google Activate) - http://toolbar.google.com/data/pl/big/1.1.62-big/GoogleNav.cab
    O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab
    O16 - DPF: {92F02779-6D88-4958-8AD3-83C12D86ADC7} - http://www.netsprint.pl/toolbar/komputerswiat/toolbar.cab
    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
    O16 - DPF: {E56347B0-6C2B-4C2E-939F-EE513EAC80BC} (Creative Product Registration ActiveX Control Module) - http://www.creative.com/register/OCXs/CtORWebClientNoMFC.cab
    O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab
    O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/15010/CTPID.cab
    O18 - Protocol: tpro - {FF76A5DA-6158-4439-99FF-EDC1B3FE100C} - C:\PROGRA~1\Toolbar\toolbar.dll
    O20 - Winlogon Notify: drct16 - C:\WINDOWS\SYSTEM32\drct16.dll
    O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
    O23 - Service: Symantec Password Validation (ccPwdSvc) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
    O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
    O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
    O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe
    O23 - Service: Machine Debug Manager (MDM) - Unknown owner - C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
    O23 - Service: Usługa Auto Protect programu Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
    O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
    O23 - Service: Panda anti-virus service (PAVSRV) - Unknown owner - C:\Documents and Settings\Krzysztof Kałuza.KA-3T6LNVTZ5MBL\Pulpit\Programs\Panda Anitivirus Titanium 7.0\pavsrv51.exe (file missing)
    O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
    O23 - Service: ScriptBlocking Service (SBService) - Unknown owner - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
    O23 - Service: SymWMI Service (SymWSC) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
    O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Program Files\UltraVNC\WinVNC.exe" -service (file missing)
  • #19
    Kolobos
    IT specialist
    Ale sobie smietnik zrobiles ;-)

    Podczas startu systemu nacisnij F8 i uruchom tryb awaryjny, nastepnie uruchom jeszcze raz hijackthis wybierz do a system scan only i zaznacz "ptaszki" przy tych wpisach:

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.websearch.com/ie.aspx?tb_id=50162
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.websearch.com/ie.aspx?tb_id=50162
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = res://C:\PROGRA~1\Toolbar\toolbar.dll/sa
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.websearch.com/ie.aspx?tb_id=50162
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = res://C:\PROGRA~1\Toolbar\toolbar.dll/sa
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.onet.pl/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
    R3 - URLSearchHook: (no name) - {CA0E28FA-1AFD-4C21-A8DC-70EB5BE2F076} - C:\Program Files\SurfSideKick 2\SskBho.dll
    O2 - BHO: DLMaxObj Class - {00000000-59D4-4008-9058-080011001200} - C:\WINDOWS\dlmax.dll
    O2 - BHO: NavErrRedir Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL
    O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL
    O2 - BHO: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - C:\PROGRA~1\COMMON~1\WinTools\WToolsB.dll
    O2 - BHO: (no name) - {8952A998-1E7E-4716-B23D-3DBE03910972} - C:\PROGRA~1\Toolbar\toolbar.dll
    O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_5_0.dll (file missing)
    O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
    O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL
    O3 - Toolbar: ISTbar - {FAA356E4-D317-42a6-AB41-A3021C6E7D52} - C:\Program Files\ISTbar\istbarcm.dll
    O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
    O4 - HKLM\..\Run: [hggbpfclivsq] C:\WINDOWS\System32\twtsnidr.exe
    O4 - HKLM\..\Run: [ajXPA] C:\WINDOWS\frfschlc.exe
    O4 - HKLM\..\Run: [Ijgumx] C:\Program Files\Pxjvm\Ysyi.exe
    O4 - HKLM\..\Run: [_Cat2] C:\WINDOWS\nmstt.exe
    O4 - HKLM\..\Run: [_Cat1] C:\WINDOWS\nmmst.exe
    O4 - HKLM\..\Run: [IST Service] C:\Program Files\ISTsvc\istsvc.exe
    O4 - HKLM\..\Run: [SearchUpgrader] C:\Program Files\Common files\SearchUpgrader\SearchUpgrader.exe
    O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
    O4 - HKLM\..\Run: [AltnetPointsManager] c:\program files\altnet\points manager\points manager.exe -s
    O4 - HKLM\..\Run: [CMESys] "C:\Program Files\Common Files\CMEII\CMESys.exe"
    O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe
    O4 - HKLM\..\Run: [Vko] C:\WINDOWS\System32\Ghk.exe
    O4 - HKLM\..\Run: [Disk Keeper] C:\DOCUME~1\KRZYSZ~2.KA-\USTAWI~1\Temp\keep.exe
    O4 - HKLM\..\Run: [SurfSideKick 2] C:\Program Files\SurfSideKick 2\Ssk.exe
    O4 - HKLM\..\Run: [saap] c:\windows\saap.exe
    O4 - HKLM\..\Run: [ap9h4qmo] C:\WINDOWS\System32\ap9h4qmo.exe
    O4 - HKLM\..\Run: [WinTools] C:\PROGRA~1\COMMON~1\WinTools\WToolsA.exe
    O4 - HKLM\..\Run: [TBPS] C:\PROGRA~1\Toolbar\TBPS.exe
    O4 - HKLM\..\Run: [Mal] C:\WINDOWS\Buq.exe
    O4 - HKLM\..\Run: [Lbf] C:\WINDOWS\System32\Hhl.exe
    O4 - HKLM\..\Run: [Lfp] C:\WINDOWS\System32\App.exe
    O4 - HKLM\..\Run: [Asi] C:\WINDOWS\Kir.exe
    O4 - HKLM\..\Run: [dkzabiv] C:\WINDOWS\dkzabiv.exe
    O4 - HKLM\..\Run: [Niq] C:\WINDOWS\System32\Gks.exe
    O4 - HKLM\..\Run: [Ret] C:\WINDOWS\System32\Sqd.exe
    O4 - HKLM\..\Run: [Kmd] C:\WINDOWS\System32\Kcn.exe
    O4 - HKLM\..\Run: [Ldb] C:\WINDOWS\Gov.exe
    O4 - HKLM\..\Run: [Gue] C:\WINDOWS\Fth.exe
    O4 - HKLM\..\Run: [Microsoft Synchronization Manager] ___synmgr.exe
    O4 - HKLM\..\Run: [Microsoft Windows DHCP] C:\WINDOWS\System32\___r.exe
    O4 - HKLM\..\Run: [Rqg] C:\WINDOWS\Gbk.exe
    O4 - HKLM\..\Run: [Rap] C:\WINDOWS\Mhh.exe
    O4 - HKLM\..\Run: [Kia] C:\WINDOWS\System32\Chc.exe
    O4 - HKLM\..\Run: [Sbi] C:\WINDOWS\Tcu.exe
    O4 - HKLM\..\Run: [Snl] C:\WINDOWS\System32\Ghm.exe
    O4 - HKLM\..\Run: [Gbt] C:\WINDOWS\Tik.exe
    O4 - HKLM\..\RunServices: [Microsoft Synchronization Manager] ___synmgr.exe
    O4 - HKCU\..\Run: [krzz] C:\PROGRA~1\COMMON~1\krzz\krzzm.exe
    O4 - HKCU\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe
    O4 - HKCU\..\Run: [Vko] C:\WINDOWS\System32\Ghk.exe
    O4 - HKCU\..\Run: [SurfSideKick 2] C:\Program Files\SurfSideKick 2\Ssk.exe
    O4 - HKCU\..\Run: [Mal] C:\WINDOWS\Buq.exe
    O4 - HKCU\..\Run: [Lbf] C:\WINDOWS\System32\Hhl.exe
    O4 - HKCU\..\Run: [Lfp] C:\WINDOWS\System32\App.exe
    O4 - HKCU\..\Run: [Asi] C:\WINDOWS\Kir.exe
    O4 - HKCU\..\Run: [Niq] C:\WINDOWS\System32\Gks.exe
    O4 - HKCU\..\Run: [Ret] C:\WINDOWS\System32\Sqd.exe
    O4 - HKCU\..\Run: [Kmd] C:\WINDOWS\System32\Kcn.exe
    O4 - HKCU\..\Run: [Gqc] C:\WINDOWS\Eab.exe
    O4 - HKCU\..\Run: [Ldb] C:\WINDOWS\Gov.exe
    O4 - HKCU\..\Run: [Gue] C:\WINDOWS\Fth.exe
    O4 - HKCU\..\Run: [Rqg] C:\WINDOWS\Gbk.exe
    O4 - HKCU\..\Run: [Rap] C:\WINDOWS\Mhh.exe
    O4 - HKCU\..\Run: [Kia] C:\WINDOWS\System32\Chc.exe
    O4 - HKCU\..\Run: [Microsoft Synchronization Manager] ___synmgr.exe
    O4 - HKCU\..\Run: [Sbi] C:\WINDOWS\Tcu.exe
    O4 - HKCU\..\Run: [Snl] C:\WINDOWS\System32\Ghm.exe
    O4 - HKCU\..\Run: [Gbt] C:\WINDOWS\Tik.exe
    O4 - Global Startup: GStartup.lnk = C:\Program Files\Common Files\GMT\GMT.exe
    O8 - Extra context menu item: Web Rebates - file://C:\Program Files\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
    O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Program Files\SideFind\sidefind13.dll (file missing)
    O9 - Extra button: UCmore Info - {33740AEB-2856-4004-B84B-37E2C0D4F13D} - C:\Program Files\UC Info\WebBand.dll
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O15 - Trusted Zone: *.blazefind.com
    O15 - Trusted Zone: *.clickspring.net
    O15 - Trusted Zone: *.flingstone.com
    O15 - Trusted Zone: *.iframedollars.biz
    O15 - Trusted Zone: *.mt-download.com
    O15 - Trusted Zone: *.my-internet.info
    O15 - Trusted Zone: *.searchbarcash.com
    O15 - Trusted Zone: *.searchmiracle.com
    O15 - Trusted Zone: *.skoobidoo.com
    O15 - Trusted Zone: *.slotch.com
    O15 - Trusted Zone: *.slotchbar.com
    O15 - Trusted Zone: *.windupdates.com
    O15 - Trusted Zone: *.xxxtoolbar.com
    O15 - Trusted Zone: *.ysbweb.com
    O15 - Trusted Zone: *.blazefind.com (HKLM)
    O15 - Trusted Zone: *.clickspring.net (HKLM)
    O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
    O15 - Trusted Zone: *.flingstone.com (HKLM)
    O15 - Trusted Zone: *.iframedollars.biz (HKLM)
    O15 - Trusted Zone: *.mt-download.com (HKLM)
    O15 - Trusted Zone: *.my-internet.info (HKLM)
    O15 - Trusted Zone: *.searchbarcash.com (HKLM)
    O15 - Trusted Zone: *.searchmiracle.com (HKLM)
    O15 - Trusted Zone: *.skoobidoo.com (HKLM)
    O15 - Trusted Zone: *.slotch.com (HKLM)
    O15 - Trusted Zone: *.slotchbar.com (HKLM)
    O15 - Trusted Zone: *.windupdates.com (HKLM)
    O15 - Trusted Zone: *.xxxtoolbar.com (HKLM)
    O15 - Trusted Zone: *.ysbweb.com (HKLM)
    O15 - Trusted IP range: 213.159.117.202
    O15 - Trusted IP range: 213.159.117.202 (HKLM)
    O16 - DPF: {12398DD6-40AA-4C40-A4EC-A42CFC0DE797} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab
    O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?
    O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
    O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab
    O20 - Winlogon Notify: drct16 - C:\WINDOWS\SYSTEM32\drct16.dll

    I nacisnij Fix Checked uruchom ponownie komputer i wklej nowy log z hijackthis.
    Masz duzo roznych trojanow, wiec usuniecie troche zajmie.
  • #20
    childmaker
    Level 35  
    kolobos tu jest masa CWS-ów. Czemu od razu fixujesz hijackiem? Jest od tego CWShredder i najpierw nim niech przeleci kompa a resztki usunie hijack.
  • #21
    Kolobos
    IT specialist
    :arrow: childmaker
    Dlatego, zeby log sie zmniejszyl, a to co zostanie to juz dalej roznymi programami itd.

    np. do usuniecia tego:
    O20 - Winlogon Notify: drct16 - C:\WINDOWS\SYSTEM32\drct16.dll
    Opis jest tutaj:
    http://www.searchengines.pl/phpbb203/index.php?showtopic=12510&st=0&p=109496&#entry132561

    Ale autorwi postu sie nie otwiera w ogole searchengines, a szkoda bo wszystko tam jest.

    Do tapety tutaj:
    http://www.searchengines.pl/phpbb203/index.ph...bf9112af979dcec5cf2bc0c061d2d&showtopic=31936
  • #22
    childmaker
    Level 35  
    Quote:
    Dlatego, zeby log się zmniejszyl, a to co zostanie to juz dalej roznymi programami itd.

    CWShredder ma zaimplementowane polecenia usuwania całych CWS-ów. Jeśli wytniesz niektóre wpisy, potem może byc problem z identyfikacją. Po co sobie utrudniać. Jak przeleci cwshredderem to i tak log się skurczy.

    Spojrzyj na to:
    http://www.searchengines.pl/phpbb203/index.php?showtopic=14185
  • #23
    buh
    Level 22  
    ludzie to jest nie dowairy zrobilem ten plik na to zeby sie rozwijalo podmenu i niedzialalo wiec wylaczylem kompa a potem jak chcialem sie zalogowac wpisywalem haslo i inic zaden pulpit sie nie pokazal nawet za ok 20 minut i wylaczylem znowu kompa teraz zalaczam loguje sie i wszsytko jak nowe pliki na pulpicie poukladane moze nie tak jak mialem kiedys ale nie sa zkopiowane i nawet podmenu sie rozwija tylko jakies szare i wszsytkie ustawienia jak dawniej tak jak bym na nowow zainstalowal system ale z tymi plikami co mialem wczesniej co sie moglo satc przez ten jeden dzien?!?!?!?!?!!?


    TO JAKIS CUD!!!
  • #24
    childmaker
    Level 35  
    Wyglada jakbyś zrobił przywracanie systemu :)
  • #25
    buh
    Level 22  
    no jak wedlug ciebie tak wyglada ze zrobilem przywracanie systemu to jestes w bledzie moze haker ktory wlasnie przea tego trojana steruje moim kompem tak zrobil zeby wsszsytko wygladalo ok ale jak sie zobaczy glebiej to jest tak:

    nie ma polskich znakow
    jest szare podmenu a nie takie zoltawe
    stery do karty dzwiekowej sa poprawne a sie dzwieku nie da odtwarzac i wyskakuje co jakies 40 minut taki komunikat (sa biale napisy na granatowym tle) ze tam cos odlicza i po 100 sekundach sie sam komp resetuje to jest jakis komunikat zwiazany z oprogramowaniem


    aha i co zrobic z tym bo zawsze jak wchodze na kompa sciaga mi sie ten dialer ten plik wirusa co ma ta babke za ikonke i zawsze ja musze usuwac bo inaczej mam ciagle jakies bledy w programach jak to zrobic zeby juz sie wiecej nie sciagal ten wirus???!?!?!
  • #26
    childmaker
    Level 35  
    Wyglada na to, że złapałes kolejnego trojanka :).
    Zassałeś CWShreddera i przeskanowałeś kompa?
    Mam wrażenie, że nic nie zrobiłeś.
    Poza tym zabezpiecz się, bo w koło bedziesz chwytał jakieś paskudztwa. Zainstaluj sobie Microsoft AntiSpyware. Jest co prawda w wersji beta jeszcze, ale to porządny progsik i zdążył zebrac wiele pochlebnych opinii. Dodatkowo SpywareBlaster - uniemozliwia wejścia na strony z CWS.
    Nie zapominaj o częstych updatach.


    Po analizie Twojego poprzedniego loga wynika iż masz tego szkodnika. Jako że nie otwiera Ci się strona wklejam jak się go pozbyć.

    Wariant CWS: systime.exe / 213.159.117.134


    Objawy:

    Następuje przekierowanie na stronę searchmeup.com lub 213.159.117.134 a strona ta implementuje dialera. Dialerek ma nazwy w stylu: 125930.exe, 125932.exe.... itd = u każdego będzie inny numer! Po wykonaniu skanu za pomocą HijackThis pokaże się coś takiego:


    QUOTE
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php

    O4 - HKLM\..\Run: [SysTime] C:\WINDOWS\SYSTEM\systime.exe *
    O4 - HKCU\..\Run: [SysTime] C:\WINDOWS\SYSTEM\systime.exe

    O15 - Trusted IP range: 213.159.117.202
    O15 - Trusted IP range: 213.159.117.202 (HKLM)


    Dodatkowo mogą się jeszcze pojawić wejścia O16 z adresem 213.159.117.150:

    O16 - DPF: {5458F9F7-9549-75D4-2FB7-6A36009B92A7} - http://213.159.117.150/1/rdgPL10.exe *
    O16 - DPF: {08F9B026-4ECE-0B2B-59ED-60DD2C2D155D} - http://213.159.117.150/1/rdgUS121.exe
    O16 - DPF: {11111111-1111-1111-1111-111111111111} - mhtml:file://C:NXSFT.MHT!http://213.159.117.150:80/iex/ofile.exe?url=http://213.159.117.150:80/dexAU10.exe


    * Plik systime.exe może mieć inną nazwę. Starsze wersje tego trojana operowały wintime.exe lub dktime.exe a ostatnio pojawiła się nowa wersja aplikująca plik paytime.exe.


    * Doprawdy kuriozalny przykład loga z multi-powieleniem O16 jest TU.



    Usuwanie:

    1. Restartujesz komputer w trybie awaryjnym czyli jak się resetuje klikaj nieustannie w klawisz F8 (na niektórych kompach jest to F5).

    2. Puszczasz w ruch HijackThis i haczykujesz oraz klikasz Fix checked wszystkie wpisy wymienione wcześniej. Może by problem z O15 - Trusted IP range więc skorzystaj z pliku resetowania Zones. Ściągnij DelDomains.inf >>> prawy klik na plik >>> opcja Instaluj.

    3. Kasujesz plik systime.exe.
  • #27
    zcalok
    Level 11  
    Przestańcie się bawić, bo to może trwać wiele dłużej niż sformatowanie dysku i ponowne zainstalowanie systemu oraz programów, oczywiście po zainstalowaniu programów ochronnych i przed podłączeniem do sieci, a na przyszłość polecam unikanie stron z sexem. crackami itp., nie mówiac o tym, iż skutek jest odwrotny do załozongo i jedynie rozsiewa dalej zabytki subkultury hackersiej.
  • #28
    childmaker
    Level 35  
    zcalok wrote:
    Przestańcie się bawić, bo to może trwać wiele dłużej niż sformatowanie dysku i ponowne zainstalowanie systemu oraz programów, oczywiście po zainstalowaniu programów ochronnych i przed podłączeniem do sieci, a na przyszłość polecam unikanie stron z sexem. (nielegalny dodatek) itp., nie mówiac o tym, iż skutek jest odwrotny do załozongo i jedynie rozsiewa dalej zabytki subkultury hackersiej.


    Człowieku!!!
    Poraz drugi widzę Twój post z radą typu -> coś nie działa=format. Może zanim napiszesz kolejny, sformatuj swój dysk, a po instalacji jeszcze raz format, i tak parę razy. Jak Ci się juz to znudzi to może przestaniesz udzielać tak beznadziejnych porad.
  • #30
    zcalok
    Level 11  
    Drogi Childmakerze, przeczytaj całość i innych rady, a nie próbuj wychwalać się swoją wiedzą, bo nic tu nikomu po niej. Rada jest tylko radą, a nie poleceniem, zapewne i tak ostatecznym końcem tej historii bedzie format. A jak nie masz co robićl to weź sie za produkowanie trojanów i wirusów bo na to wygląda z twoich rad, że jesteś w tym zakresie zaangażowany. Zwłaszcza, że już w tej chwili zapewne na skutek czasu jaki zajmujecie np. svchost.exe jest dalej rozsiewany, zamiast niszczony, a to jest pomocnictwem w przestępstwie.