wszystko pieknie ładnie ale ten skaner z tego co widze wykrywa ale nieusuwa tego dziadostwa ... szlak by to trafił chyba nieominie mnie formatowanie

Zrob wiec to samo co zrobiono na tm francuskim forum –> http://www.infos–du–net.com/forum/133859–11–security2k.net–invirable
Przeskanuj online kasperskim –> http://www.kaspersky.com/downloads/kws/kavwebscan.html

juz to zrobiłem ale wirus nadal siedzi ... co za dzień masakra

Odszukaj na dysku plik mssearchnet.exe i usun. Niech system pokaze pliki ukryte i systemowe.

pozostało mi usuniecie samego wirusa widocznego na dołaczonymobrazku antywirusy usuwaja go niby ale po ponownym uruchomieniu kompa znów sie pojawia bitdefender go blokuje wiec nic niesciaga bo ten rodzaj wirusów sciaga inne wirusy i programy spyware

To zaznacz i usun w HiJacku:

W.Yanek:

C:\WINDOWS\system32\mssearchnet.exe

Oczywiscie plik z obrazka rowniez. Jesli nie pojdzie w zwykly sposob, usuwaj w trybie awaryjnym.

Dołanczam loga
Logfile of HijackThis v1.99.1
Scan saved at 13:21:55, on 2005–11–01
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Common Files\Softwin\BitDefender Communicator\xcommsvr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\system32\mssearchnet.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Program Files\D–Tools\daemon.exe
C:\Program Files\Softwin\BitDefender8\bdoesrv.exe
C:\Program Files\Softwin\BitDefender8\bdnagent.exe
C:\Program Files\Softwin\BitDefender8\bdswitch.exe
C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Program Files\Google\Gmail Notifier\gnotify.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\BitComet\BitComet.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Common Files\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Softwin\BitDefender8\vsserv.exe
c:\program files\softwin\bitdefender8\bdmcon.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\Yanek\Moje dokumenty\hijackthis\HijackThis.exe

R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl
R0 – HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O3 – Toolbar: &Radio – {8E718888–423F–11D2–876E–00A0C9082467} – C:\WINDOWS\System32\msdxm.ocx
O4 – HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 – HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 – HKLM\..\Run: [DAEMON Tools–1033] "C:\Program Files\D–Tools\daemon.exe" –lang 1045
O4 – HKLM\..\Run: [BDMCon] C:\Program Files\Softwin\BitDefender8\\bdmcon.exe
O4 – HKLM\..\Run: [BDOESRV] C:\Program Files\Softwin\BitDefender8\\bdoesrv.exe
O4 – HKLM\..\Run: [BDNewsAgent] C:\Program Files\Softwin\BitDefender8\\bdnagent.exe
O4 – HKLM\..\Run: [BDSwitchAgent] C:\Program Files\Softwin\BitDefender8\\bdswitch.exe
O4 – HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 – HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 – HKLM\..\Run: [{0228e555–4f9c–4e35–a3ec–b109a192b4c2}] C:\Program Files\Google\Gmail Notifier\gnotify.exe
O4 – HKLM\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 – HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe
O4 – HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 – HKCU\..\Run: [BgMonitor_{79662E04–7C6C–4d9f–84C7–88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe"
O4 – Startup: Spy Sweeper Fix.lnk = C:\Program Files\Webroot\Spy Sweeper\SpySweeperFix.bat
O4 – Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 – Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 – Extra button: (no name) – {08B0E5C0–4FCB–11CF–AAA5–00401C608501} – C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 – Extra 'Tools' menuitem: Sun Java Console – {08B0E5C0–4FCB–11CF–AAA5–00401C608501} – C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll
O16 – DPF: {31B7EB4E–8B4B–11D1–A789–00A0CC6651A8} (Cult3D ActiveX Player) – http://www.cult3d.com/download/cult.cab
O17 – HKLM\System\CCS\Services\Tcpip\..\{EB6DEFF5–797F–4A9F–B236–F4F757F2B4D6}: NameServer = 194.204.159.1,194.204.152.34
O20 – AppInit_DLLs: sockspy.dll sockspy.dll sockspy.dll
O20 – Winlogon Notify: WRNotifier – C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 – Service: Ati HotKey Poller – ATI Technologies Inc. – C:\WINDOWS\System32\Ati2evxx.exe
O23 – Service: ATI Smart – Unknown owner – C:\WINDOWS\system32\ati2sgag.exe
O23 – Service: BitDefender Scan Server (bdss) – Unknown owner – C:\Program Files\Common Files\Softwin\BitDefender Scan Server\bdss.exe
O23 – Service: InCD Helper (InCDsrv) – Ahead Software AG – C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 – Service: Kerio Personal Firewall 4 (KPF4) – Kerio Technologies – C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 – Service: Webroot Spy Sweeper Engine (svcWRSSSDK) – Webroot Software, Inc. – C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
O23 – Service: BitDefender Virus Shield (VSSERV) – SOFTWIN S.R.L. – C:\Program Files\Softwin\BitDefender8\vsserv.exe
O23 – Service: BitDefender Communicator (XCOMM) – Softwin – C:\Program Files\Common Files\Softwin\BitDefender Communicator\xcommsvr.exe

Ostatecznie uporalem sie w sposob nastepujacy (moglem cos pominac bo Hmmm niewiem czy pamietam doklanie...)
tak jak wyzej w postach odlacz kabel internetowy. tryb awaryjny.. uruchamiasz hijacka... skanujesz i wywalasz podejrzane witryny TRUSTED ZONE wszystkie.. oraz programy ladujace sie podczas startu kompa( tylko te podejrzane) pozniej wchodzisz do rejestru i usuwasz jeszce jedna witrynke Trusted zone ktora powinna zostac( jesli dokladnie to samo) po usunieciu juz na prawde wszystkiego wywalasz programiki typu dddd.exe, i te inne z kompa .. moga one byc w folderze uzytkownika (documents&settingsuzytkownik) oraz w glownym katalogu windows.... tez moga być./.. nastepnie szukasz v3.dll jesli jest kasujesz.... powinien byc jeszcze BTGRAB.dll
poprzez konto administratora ogranicz w sposob maxymalny (tylko odczyt) dostep uzytkownika (konto na ktorym pracujesz pod WINDOWS) do Tych kluczy rejestru w ktorych proceder "grzebal i mieszał"

AHA jeszce jedno pamietaj w kluczach ktore opisalemw poprzednich postach zmien wartości odpowiednio z 2 na 3 by IE juz wszystkie witryny traktowac jako internetowe a nie zaufane.

–>Tzar
moźesz napisać jak się z tym ostatecznie uporałeś ?
mam ten sam problem ale nie daje sobie rady :|

Dzieki za Aktywnosc w Temacie :) KOnta usunauem JUZ :) a przegladarki NIezmienie bo Bysmy sie wszyscy zanudzili na smierc a Tak mialem 3 dni zycia jak w filmie sensacyjnym i cos sie dzialo :)))
jeszcze raz dziekuje :)))

BTW , problem zaufanych stron a raczej tych niebezpiecznych ma rozwiązać najnowsza wersja Netscape v.8 ;), wkrótce premiera http://www.pcworld.pl/news/75117.html
ps. alternatywa innych przeglądarek staje się coraz bardziej kusząca, Opera teź szykuje ósemke ;)

Skoro znalazło ten ciag to IMO usun
W razie czego utworzysz sobie nowe konto uzytkownika
Plik ten zawiera to, co podczas logowania jest ładowane do rejestru jako HKEY_CURRENT_USER

Tego programu BYLo mi trzeba!!! DZIEKI WIELKIE :)) ale jest jeszcze cos.... podejrzane wpisy znajduja sie w pliku NTUSER.DAT 2 uzytkownikow MOjego komputera..... co zrobic z TYm fantem usunac konta ??? czy moze da sie mniej drastycznie ??

TzaR, jest taki programik – Agent Ransack. Sciagnij go sobie i kaz mu wyszukac w plikach ciagi uruchamiajacych sie nazw innych plikow. Program jest dosc prosty w obsludze – szukane nazwy/ciagi tekstowe podajesz w okienku "Containing text". Przeszukuje doslownie wszystko, widzi wszystkie pliki (nawet superhidden), wejdzie i do System Volume Information.

niewiem moze niepotrafie sie oBslugiwac ad awarem i ad watchem ale One nic podejrzanego nie widza o ILe ad aware zobaczy jakies wpsiy i usunie tak Ad watch nierozpoznaje zadnych podejrzanych procesow niz w logach nie zapisuje normalnie nic :( a problem istnieje dalej....

Wszystko musisz usuwac przy wyłaczonym kablu od neta i w trybie awaryjnym

{02c20140–76f8–4763–83d5–b660107babcd} wskazuje na Adware.EliteBar.B
Ale nie wydaje mi sie zeby to mogło byc tak wredne
IMO u Ciebie to cos innego

Wez idz do Documents & Settings, znajdz te pliki i zmien im wszystkim rozszerzenia na *.exe1
Biblioteki ktore znajdziesz wyrejestruj i tez do rozszerzenia dopisz 1

Rozmiesc pliki w system32 wg dat i tym, ktore powstaly mniej wiecej w czasie infekcji rowniez zmien rozszerzenia na podane wyzej
Sugeruj sie tym co podpowie HJT co do nazw bibliotek i aplikacji w RUN

Moga tez byc super ukryte dll'ki (odpowiadajace za odtwarzanie sie syfu), ktore moze wytropić Dllcmpare

Strony ktore dodaja sie do trusted zablokuj hosts'em

Masz jakiegoś firewalla i antywirusa ??
Mozesz sciagnac Ad–awere i zapuscic Ad–watcha, pokaze Ci on ktore aplikacje beda sie chciały dodawać do rejestru

zobacz tu http://forum.dobreprogramy.pl/viewtopic.php?p=132634&highlight=#132634

no wiec:
Mechanizm wyglada mniejwiecej tak.
Uruchaamia sie dfe.exe ktore czesto wykonuje nieprawidlowe operacje...i wyskakuje blad wtedy wysztkie okienka IE znikaja jednak procesy sa nadal.... zadaniem dfe.exe jest dodac do witryn zaufanych sterte witryn z ktorych bedzie sciagana cala reszta syfu....
po chwili uruchamiaja sie kolejne procesy....eree.exe , feee.exe, op.exe, htt.exe, 4gfgfg.exe, i na koncu dddd.exe ktory informuje nas ze jest jakims tam niby dialerem....

w katalogu uzytkownika czyli c:documentsand settingsUzytkownik

po uruchomieniu Hijacka oczom moim pokazuja sie Owe witrynki.... oraz pare wpisow np w RUN i pare Plugindownloaderoq (dokladnie jeden)
zaznaczam oczywiscie wszystko co zbedne i FIx...... jednak zostaje jedna witrynka ktorej sie nieda usunac Hijackiem...!!!! wten sposob sprytne
programiki zmuszaja do uruchomienia rejestru.. i zalogowania sie jako administrator:)

poza dodaniem tych witryn....programik zmienia jeszcze wartosci w kluczu zonemap>defaultProtocols>http z 3 na 2 czego wynikiem jest trakotwanie wszystkich http jako zaufane.... przy domyslnych ustawieniach IE dla witryn zaufanych mozna sobie wyobrazic co sie dzieje....
wiec itak instaluje sie PLUGIN do IE o nazwie {02c20140–76f8–4763–83d5–b660107babcd} oczywiscie bez autoryzacji...
To on w pozniejszych uruchomianiach KOmpa czuwa bysmy sie polaczyli z odpowiednimi witrynami badz sciagneli odpowiedni syf

USUWANIE... (nie do konca jeszce rozpracowalem :( )

pierwsze co to wylaczyc polaczenie INTERNETOWE
2 wejsc w IE w narzedzia w zarzadzanie dodatkami i w polu kombi wybrac "Dodatki ktore byly uzywane przez przegladarke IE"(SP02)
tam bedzie widnial PLUGIN {86541–12378131 BLa bLA ten co wyzej napisalem} ktory trzeba wylaczyc.... nastepnie uruchomic Hijacka i usunac wszystkie podejrzane wpissy (oczywiscie zostani witrynka ktorej hijackiem niebedzie sie dalo usunac) wiec wchodzimy do rejestru i usuwamy ja recznie....w kluczu ZOneMAp w ustawieniach protokolow przy http dajemy wszedzie 3 nastepnie czukamy v3.dll
nastepnie uruchamiamy IE i przestawiamy zabezpieczenia ... zaufane na wysoki poziom zabezpieczen (wrazje Jakby) i INternet.... gdyby cos uleglo zmianie to ziekszyc poziom.... pozniej mozemy zeskanowac jeszce antyvirem badz czymkolwiek.... dla uusuniecia gedzies nagromadzonych programow..... To wszystko co narazie moge zrobic....... poniewaz mimo iz sprawa z mojego Punktu widzenia wygl;ada na zakonczona Programiki dalej sie uruchamiaja poczawszy od DFE.exe.... juz niema m pomyslow
aby zabezpieczyc sie przed zmiana rejestru w uprawnieniach zmienilem przywileje mojego konta uzytkownika na takie ktore uniemiozliwiaja zmiane rejestru w Kluczowych KLuczach dla tego procederu.... jest spokoj Programy miela miela ale do rejestru juz nic nie wpisza....

Mimo wszystko jak ktos Ma pomysl co Moze powodowac cykliczne (co ok 10–15 minut) uruchamianie sie tych aplikacji to niech napisze

Wklej moze jeszcze raz nowy log
Trzeba sie czegos zaczepić
Dodaj do tego screen z task menagera
Moze Dllcompare sie na cos zda
Process Explorer i zaobacz jakie biblioteki siedza pod tym felernym procesem

niestety EL NINO przy TYm wpisie jest czysto niema nic..... ale zajauem sie czyms nowym w SP02 mianowicie w narzedziach IE jest zarzadzanie dodatkami... tam znalazlem dziwny dodatek {73473blabla97364bla}

PS jeszce male pytanko... czy wie ktos gdzie w rejestrze odblokowywuje sie mozliwosc dodanie adresow do zaufanych witryn ? Mam to niekatywne !