Dzięki serdeczne wszystkim za pomoc (szczególnie "koledze" El–Nino). Jego ostatni post był kluczowy dla sprawy. Problem tkwił w Ad–watch, który pozwalał zmieniać dane w rejstrze lub sam je modyfikował, uznając za słuszne. Myślę jednak, źe jakieś śmieci, związane z tym zagadnieniem krąźa mi po HDD. Pozdrawiam Wszystkich. :D
Dziekan

Kolego, nie bedziemy przeciez w kazdym poscie powtarzali co masz usunac. Wyzej masz juz odpowiedzi jakich wpisow i plikow masz sie pozbyc. Ad–watcha wylacz przed skanowaniem i FIXowaniem, bo to on przywraca usuniete rzeczy. Systemowi powiedz, zeby pokazal Ci wszystkie pliki ukryte i systemowe. Jesli nie pomaga, uzyj jakiegos programu – moze Total Commandera, Nero ?
Ponadto przed FIXowaniem, wylacz procesy o nazwach takich jak podane wyzej pliki.

Niestety nie udalo mi się znaleźć źadnego z w/w plików. Szukałem na wiele sposobów. Mimo to w msconfig jako element startowy jest plik systime.exe zlokalizowany C:WINDOWSSystem32systime.exe. Załączam log z HijackThis...chociaź nie wiele się tam zmieniło. :(
Nie chciałbym formatować systemu. Z góry dzięki.

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSSystem32Ati2evxx.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSSystem32driversCDAC11BA.EXE
C:Program FilesNorton SystemWorksNorton UtilitiesNPROTECT.EXE
C:WINDOWSExplorer.EXE
C:PROGRA~1NORTON~1SPEEDD~1 opdb.exe
C:Program FilesTrend MicroPC–cillin 2002Tmntsrv.exe
C:Program FilesTrend MicroPC–cillin 2002PCCPFW.exe
C:WINDOWSATK0100Hcontrol.exe
C:WINDOWSSOUNDMAN.EXE
C:Progra~1ASUSPower4 GearBatteryLife.exe
C:Progra~1ATI TechnologiesATI Control Panelatiptaxx.exe
C:Program FilesSynapticsSynTPSynTPLpr.exe
C:Program FilesSynapticsSynTPSynTPEnh.exe
C:Program FilesLavasoftAd–Aware SE ProfessionalAd–Watch.exe
C:Program FilesTrend MicroPC–cillin 2002pccguide.exe
C:Program FilesTrend MicroPC–cillin 2002PCCClient.exe
C:Program FilesTrend MicroPC–cillin 2002Pop3trap.exe
C:WINDOWSSystem32ctfmon.exe
C:WINDOWSATK0100ATKOSD.exe
C:Program FilesAsusAsus ChkMailChkMail.exe
C:Program FilesAsusASUS HotkeyHotkey.exe
C:Program FilesWinampwinamp.exe
C:Program FilesAvant Browseravant.exe
C:Documents and SettingsK&APulpitHijackThis.exe

R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://213.159.117.134/index.php
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = res://C:WINDOWSjygvt.dll/sp.html#29126
R0 – HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://213.159.117.134/index.php
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://213.159.117.134/index.php
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = res://C:WINDOWSjygvt.dll/sp.html#29126
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = res://C:WINDOWSjygvt.dll/sp.html#29126
R0 – HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = http://213.159.117.134/index.php
R1 – HKCUSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = res://C:WINDOWSjygvt.dll/sp.html#29126
R0 – HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = res://C:WINDOWSjygvt.dll/sp.html#29126
R0 – HKCUSoftwareMicrosoftInternet ExplorerMain,Local Page = http://213.159.117.134/index.php
R0 – HKLMSoftwareMicrosoftInternet ExplorerMain,Local Page = http://213.159.117.134/index.php
O2 – BHO: AcroIEHlprObj Class – {06849E9F–C8D7–4D59–B87D–784B7D6BE0B3} – C:Progra~1AdobeAcrobat 5.0ReaderActiveXAcroIEHelper.ocx
O2 – BHO: (no name) – {53707962–6F74–2D53–2644–206D7942484F} – C:Program FilesSpybot – Search & DestroySDHelper.dll
O4 – HKLM..Run: [Hcontrol] C:WINDOWSATK0100Hcontrol.exe
O4 – HKLM..Run: [SoundMan] SOUNDMAN.EXE
O4 – HKLM..Run: [ASUS Live Update] C:Program FilesASUSASUS Live UpdateALU.exe
O4 – HKLM..Run: [Power_Gear] C:Progra~1ASUSPower4 GearBatteryLife.exe 1
O4 – HKLM..Run: [ATIPTA] C:Progra~1ATI TechnologiesATI Control Panelatiptaxx.exe
O4 – HKLM..Run: [SynTPLpr] C:Program FilesSynapticsSynTPSynTPLpr.exe
O4 – HKLM..Run: [SynTPEnh] C:Program FilesSynapticsSynTPSynTPEnh.exe
O4 – HKLM..Run: [QuickTime Task] "C:Program FilesQuickTimeqttask.exe" –atboottime
O4 – HKLM..Run: [NeroCheck] C:WINDOWSsystem32NeroCheck.exe
O4 – HKLM..Run: [AWMON] "C:Program FilesLavasoftAd–Aware SE ProfessionalAd–Watch.exe"
O4 – HKLM..Run: [pccguide.exe] "c:Program FilesTrend MicroPC–cillin 2002pccguide.exe"
O4 – HKLM..Run: [PCCClient.exe] "c:Program FilesTrend MicroPC–cillin 2002PCCClient.exe"
O4 – HKLM..Run: [Pop3trap.exe] "c:Program FilesTrend MicroPC–cillin 2002Pop3trap.exe"
O4 – HKLM..Run: [ATIModeChange] Ati2mdxx.exe
O4 – HKLM..Run: [SysTime] C:WINDOWSSystem32systime.exe
O4 – HKLM..Run: [Windows SyncroAd] C:Program FilesWindows SyncroAdSyncroAd.exe
O4 – HKCU..Run: [CTFMON.EXE] C:WINDOWSSystem32ctfmon.exe
O4 – HKCU..Run: [SysTime] C:WINDOWSSystem32systime.exe
O4 – Global Startup: ASUS ChkMail.lnk = C:Program FilesAsusAsus ChkMailChkMail.exe
O4 – Global Startup: Hotkey.lnk = C:Program FilesAsusASUS HotkeyHotkey.exe
O8 – Extra context menu item: Blokuj wszystkie obrazy z tego serwera – C:Program FilesAvant BrowserAddAllToADBlackList.htm
O8 – Extra context menu item: Dodaj do listy blokowanych reklam – C:Program FilesAvant BrowserAddToADBlackList.htm
O8 – Extra context menu item: Otwórz wszystkie adresy z tej strony... – C:Program FilesAvant BrowserOpenAllLinks.htm
O8 – Extra context menu item: Podświetl – C:Program FilesAvant BrowserHighlight.htm
O8 – Extra context menu item: Szukaj – C:Program FilesAvant BrowserSearch.htm
O9 – Extra button: Messenger – {FB5F1910–F110–11d2–BB9E–00C04F795683} – C:Program FilesMessengermsmsgs.exe
O9 – Extra 'Tools' menuitem: Windows Messenger – {FB5F1910–F110–11d2–BB9E–00C04F795683} – C:Program FilesMessengermsmsgs.exe
O16 – DPF: {2A32B14F–4D29–4EA3–AC54–E9B19F436CE7} (Scanner Class) – http://www.windowsecurity.com/trojanscan/TDECntrl.CAB
O16 – DPF: {2BC66F54–93A8–11D3–BEB6–00105AA9B6AE} (Symantec AntiVirus scanner) – http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 – DPF: {644E432F–49D3–41A1–8DD5–E099162EEEC5} (Symantec RuFSI Utility Class) – http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 – DPF: {9A9307A0–7DA4–4DAF–B042–5009F29E09E1} (ActiveScan Installer Class) – http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 – DPF: {E7544C6C–CFD6–43EA–B4E9–360CEE20BDF7} (MainControl Class) – http://skaner.mks.com.pl/SkanerOnline.cab

dziekan, źadnych z w/w plików nie masz na
HDD ? Wszukaj jeszcze jygvt.dll i usuń tą bibliotekę.
Gdy usuniesz same klucze to i tak odwołanie do nich zostanie utworzone jeśli nie usuniesz ich z dysku.
Pozatym pokaź dziennik ponownie co do tego czasu zrobiłeś.

Wyczyściłem te wpisy w HjjackThis, ale one za chwilę znowu sie pojawiły. Poza tym korzystam z Ad–watch i on mi wykrywa zmiany w rejestrze juz w czasie "fixowania". Szukalem plików na HDD ale nic nie znalazło. Przegladalem i systemowe i ukryte. :(

Porownujesz to co podalem z zawartoscia swojego loga z HJ, zaznaczasz te wpisy w ktorych znajdziesz podane wartosci i klikasz FIX.
Zreszta OK:

zaFIXuj

R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://213.159.117.134/index.php
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = res://C:WINDOWSjygvt.dll/sp.html#29126
R0 – HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://213.159.117.134/index.php
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://213.159.117.134/index.php
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = res://C:WINDOWSjygvt.dll/ sp.html#29126
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = res://C:WINDOWSjygvt.dll/sp.html#29126
R0 – HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = http://213.159.117.134/index.php
R1 – HKCUSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = res://C:WINDOWSjygvt.dll/ sp.html#29126
R0 – HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = res://C:WINDOWSjygvt.dll/ sp.html#29126
R0 – HKCUSoftwareMicrosoftInternet ExplorerMain,Local Page = http://213.159.117.134/index.php
R0 – HKLMSoftwareMicrosoftInternet ExplorerMain,Local Page = http://213.159.117.134/index.php
O1 – Hosts: 64.91.255.87 www.dcsresearch.com
O4 – HKLM..Run: [Windows SyncroAd] C:Program FilesWindows SyncroAdSyncroAd.exe
O4 – HKLM..Run: [SysTime] C:WINDOWSSystem32systime.exe
O4 – HKCU..Run: [SysTime] C:WINDOWSSystem32systime.exe
O14 – IERESET.INF: START_PAGE_URL=http://www.asus.com.tw
O15 – Trusted Zone: *.windupdates.com
O16 – DPF: {14A3221B–1678–1982–A355–7263B1281987} – ms– its:mhtml:file://c: osuch.mht!http://www.awmdabest.com/bltd/ 399.chm::/file.exe

I pousuwaj z dysku znalezione tu pliki. Moga byc ukryte.

Moja wiedza na takie tematy jest mniejsza niz przypuszczasz :) , z wyobraźnią trochę lepiej...
Mogłbyś rozszyfrować to co napisałeś.
Dzięki.

Oprocz exploita (ms– its:mhtml), wpisy z 213.159.117.134, sp.html, Hosts: 64.91.255.87, SyncroAd.exe, systime.exe, windupdates.com, itd.

Próbowałem zrobić tak jak to opisales ale nie mam w task'u procesu systime.exe, ani nie mogę zlokalizowac tych plików które wymieniłeś. Załączam log z Hijack'a.Z góry dzięki.

Logfile of HijackThis v1.98.2
Scan saved at 23:24:14, on 2004–10–20
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSSystem32Ati2evxx.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSExplorer.EXE
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSSystem32driversCDAC11BA.EXE
C:Program FilesNorton SystemWorksNorton UtilitiesNPROTECT.EXE
C:PROGRA~1NORTON~1SPEEDD~1 opdb.exe
C:Program FilesTrend MicroPC–cillin 2002Tmntsrv.exe
C:WINDOWSATK0100Hcontrol.exe
C:WINDOWSSOUNDMAN.EXE
C:Progra~1ASUSPower4 GearBatteryLife.exe
C:Progra~1ATI TechnologiesATI Control Panelatiptaxx.exe
C:Program FilesSynapticsSynTPSynTPLpr.exe
C:Program FilesSynapticsSynTPSynTPEnh.exe
C:Program FilesLavasoftAd–Aware SE ProfessionalAd–Watch.exe
C:Program FilesTrend MicroPC–cillin 2002pccguide.exe
C:Program FilesTrend MicroPC–cillin 2002PCCClient.exe
C:Program FilesTrend MicroPC–cillin 2002Pop3trap.exe
C:WINDOWSSystem32ctfmon.exe
C:Program FilesAsusAsus ChkMailChkMail.exe
C:Program FilesAsusASUS HotkeyHotkey.exe
C:Program FilesTrend MicroPC–cillin 2002PCCPFW.exe
C:WINDOWSATK0100ATKOSD.exe
C:Program FilesAvant Browseravant.exe
C:Program FilesWinampwinamp.exe
C:Program FilesKazaa Lite K++KazaaLite.kpp
C:Documents and SettingsK&APulpitHijackThis.exe

R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://213.159.117.134/index.php
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = res://C:WINDOWSjygvt.dll/sp.html#29126
R0 – HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://213.159.117.134/index.php
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://213.159.117.134/index.php
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = res://C:WINDOWSjygvt.dll/sp.html#29126
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = res://C:WINDOWSjygvt.dll/sp.html#29126
R0 – HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = http://213.159.117.134/index.php
R1 – HKCUSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = res://C:WINDOWSjygvt.dll/sp.html#29126
R0 – HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = res://C:WINDOWSjygvt.dll/sp.html#29126
R0 – HKCUSoftwareMicrosoftInternet ExplorerMain,Local Page = http://213.159.117.134/index.php
R0 – HKLMSoftwareMicrosoftInternet ExplorerMain,Local Page = http://213.159.117.134/index.php
O1 – Hosts: 64.91.255.87 www.dcsresearch.com
O2 – BHO: AcroIEHlprObj Class – {06849E9F–C8D7–4D59–B87D–784B7D6BE0B3} – C:Progra~1AdobeAcrobat 5.0ReaderActiveXAcroIEHelper.ocx
O2 – BHO: (no name) – {53707962–6F74–2D53–2644–206D7942484F} – C:Program FilesSpybot – Search & DestroySDHelper.dll
O4 – HKLM..Run: [Hcontrol] C:WINDOWSATK0100Hcontrol.exe
O4 – HKLM..Run: [SoundMan] SOUNDMAN.EXE
O4 – HKLM..Run: [ASUS Live Update] C:Program FilesASUSASUS Live UpdateALU.exe
O4 – HKLM..Run: [Power_Gear] C:Progra~1ASUSPower4 GearBatteryLife.exe 1
O4 – HKLM..Run: [ATIPTA] C:Progra~1ATI TechnologiesATI Control Panelatiptaxx.exe
O4 – HKLM..Run: [SynTPLpr] C:Program FilesSynapticsSynTPSynTPLpr.exe
O4 – HKLM..Run: [SynTPEnh] C:Program FilesSynapticsSynTPSynTPEnh.exe
O4 – HKLM..Run: [QuickTime Task] "C:Program FilesQuickTimeqttask.exe" –atboottime
O4 – HKLM..Run: [NeroCheck] C:WINDOWSsystem32NeroCheck.exe
O4 – HKLM..Run: [AWMON] "C:Program FilesLavasoftAd–Aware SE ProfessionalAd–Watch.exe"
O4 – HKLM..Run: [pccguide.exe] "c:Program FilesTrend MicroPC–cillin 2002pccguide.exe"
O4 – HKLM..Run: [PCCClient.exe] "c:Program FilesTrend MicroPC–cillin 2002PCCClient.exe"
O4 – HKLM..Run: [Pop3trap.exe] "c:Program FilesTrend MicroPC–cillin 2002Pop3trap.exe"
O4 – HKLM..Run: [ATIModeChange] Ati2mdxx.exe
O4 – HKLM..Run: [Windows SyncroAd] C:Program FilesWindows SyncroAdSyncroAd.exe
O4 – HKLM..Run: [SysTime] C:WINDOWSSystem32systime.exe
O4 – HKCU..Run: [CTFMON.EXE] C:WINDOWSSystem32ctfmon.exe
O4 – HKCU..Run: [SysTime] C:WINDOWSSystem32systime.exe
O4 – Global Startup: ASUS ChkMail.lnk = C:Program FilesAsusAsus ChkMailChkMail.exe
O4 – Global Startup: Hotkey.lnk = C:Program FilesAsusASUS HotkeyHotkey.exe
O8 – Extra context menu item: Blokuj wszystkie obrazy z tego serwera – C:Program FilesAvant BrowserAddAllToADBlackList.htm
O8 – Extra context menu item: Dodaj do listy blokowanych reklam – C:Program FilesAvant BrowserAddToADBlackList.htm
O8 – Extra context menu item: Otwórz wszystkie adresy z tej strony... – C:Program FilesAvant BrowserOpenAllLinks.htm
O8 – Extra context menu item: Podświetl – C:Program FilesAvant BrowserHighlight.htm
O8 – Extra context menu item: Szukaj – C:Program FilesAvant BrowserSearch.htm
O9 – Extra button: Messenger – {FB5F1910–F110–11d2–BB9E–00C04F795683} – C:Program FilesMessengermsmsgs.exe
O9 – Extra 'Tools' menuitem: Windows Messenger – {FB5F1910–F110–11d2–BB9E–00C04F795683} – C:Program FilesMessengermsmsgs.exe
O14 – IERESET.INF: START_PAGE_URL=http://www.asus.com.tw
O15 – Trusted Zone: *.windupdates.com
O16 – DPF: {14A3221B–1678–1982–A355–7263B1281987} – ms–its:mhtml:file://c: osuch.mht!http://www.awmdabest.com/bltd/399.chm::/file.exe
O16 – DPF: {2A32B14F–4D29–4EA3–AC54–E9B19F436CE7} (Scanner Class) – http://www.windowsecurity.com/trojanscan/TDECntrl.CAB
O16 – DPF: {2BC66F54–93A8–11D3–BEB6–00105AA9B6AE} (Symantec AntiVirus scanner) – http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 – DPF: {644E432F–49D3–41A1–8DD5–E099162EEEC5} (Symantec RuFSI Utility Class) – http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 – DPF: {9A9307A0–7DA4–4DAF–B042–5009F29E09E1} (ActiveScan Installer Class) – http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 – DPF: {E7544C6C–CFD6–43EA–B4E9–360CEE20BDF7} (MainControl Class) – http://skaner.mks.com.pl/SkanerOnline.cab

[/list][/url]

Wyłącz Przywracanie systemu,
Zakończ procesy w Task`u:

systime.exe

Wyszukaj zaznaczając ukryte i usuń z HDD :

systime.exe
nvms.dll
mscb.dll
msbe.dll

Napraw :

R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://213.159.117.134/index.php
R0 – HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://213.159.117.134/index.php
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://213.159.117.134/index.php
R0 – HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = http://213.159.117.134/index.php
R0 – HKCUSoftwareMicrosoftInternet ExplorerMain,Local Page = http://213.159.117.134/index.php
R0 – HKLMSoftwareMicrosoftInternet ExplorerMain,Local Page = http://213.159.117.134/index.php

Włącz przywracanie.

BTW, na przyszłość zamieszczaj dziennik w formacie CODE.

Logfile of HijackThis v1.98.2
Scan saved at 22:23:54, on 2004–10–20
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32csrss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesCommon FilesSymantec SharedccEvtMgr.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSSystem32alg.exe
C:Program FilesNorton AntiVirusAdvToolsNPROTECT.EXE
C:WINDOWSSystem32 vsvc32.exe
C:WINDOWSsystem32ONELABSvsmon.exe
C:WINDOWSsystem32ONELABSminilog.exe
C:WINDOWSExplorer.EXE
C:Program FilesTlen.pl len.exe
C:Program FilesGadu–Gadugg.exe
C:Program FilesWinampWinamp.exe
C:Program FilesInternet ExplorerIEXPLORE.EXE
D:ŚciąganeabezpieczeniahijackthisHijackThis.exe

R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://213.159.117.134/index.php
R0 – HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://213.159.117.134/index.php
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://213.159.117.134/index.php
R0 – HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = http://213.159.117.134/index.php
R0 – HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = NOT USED (OK)
R0 – HKCUSoftwareMicrosoftInternet ExplorerMain,Local Page = http://213.159.117.134/index.php
R0 – HKLMSoftwareMicrosoftInternet ExplorerMain,Local Page = http://213.159.117.134/index.php
O2 – BHO: NLS UrlCatcher Class – {AEECBFDA–12FA–4881–BDCE–8C3E1CE4B344} – C:WINDOWSSystem32 vms.dll
O2 – BHO: CB UrlCatcher Class – {CE188402–6EE7–4022–8868–AB25173A3E14} – C:WINDOWSSystem32mscb.dll
O2 – BHO: ADP UrlCatcher Class – {F4E04583–354E–4076–BE7D–ED6A80FD66DA} – C:WINDOWSSystem32msbe.dll
O4 – HKLM..Run: [SysTime] C:WINDOWSSystem32systime.exe
O4 – HKLM..Run: [THGuard] "C:Program FilesTrojanHunter 4.0THGuard.exe"
O4 – HKCU..Run: [Komunikator] C:Program FilesTlen.pl len.exe
O4 – HKCU..Run: [SysTime] C:WINDOWSSystem32systime.exe
O6 – HKCUSoftwarePoliciesMicrosoftInternet ExplorerControl Panel present
O17 – HKLMSystemCCSServicesTcpip..{8DEAC199–6EFE–4C7C–9A2C–B5587B2E7967}: NameServer = 217.30.137.200 217.30.129.149
O17 – HKLMSystemCS1ServicesTcpip..{8DEAC199–6EFE–4C7C–9A2C–B5587B2E7967}: NameServer = 217.30.137.200 217.30.129.149

gombey, wyobraź sobie źe CWShredder, SpyBot – S&D, SpyBlaster posiadają w swojej bazie sygnatury CoolWebSearch.
Jeśli zaktualzowałeś oczywiście owe bazy to nie powino być problemu z identyfikacją i ewentualnym usunięciem.
Z tego co napisałeś wynika źe trafił się Tobie jakiś "nowy wariant" albo poprostu masz stare definicje itd.

Dobra nie leje wody więc do rzeczy.

Zobacz pierwszy przyklejony temat w tym działe ( Hijack This – Analiza ...., nie podaje linka, wykaź się odrobiną chęci ).
Zapodaj log z Hijack This`a to naprowadzimy Ciebie na rozwiązanie.

Jaki znowu przyklejony topic :?: Ja tu chcialem sie dowiedziec czegos o moim problemie a nie zaglebiac sie w regulaminy. Ze nieznalazlem w tym artykule o zmianie strony startowej zadnej skutecznej metody to czekam dalej az mi ktos wkoncu pomoze.

looknij przyklejiny topic i zapoznaj sie z regulaminem forum :/