Oki czyli wszystko od nowa :P

W Killboxie wpisujesz ścieźki:

C:WINDOWSSystem32dowsock.dll
C:WINDOWSSystem32fppo0373e.dll
C:WINDOWSSystem32l82slif7182.dll
C:WINDOWSSystem32hofinst.dll
C:WINDOWSSystem32i0240afqed2e0.dll
C:WINDOWSSystem32h0l2la3o1d.dll

i usuwasz to według instrukcji z linka–wszystko dokładnie tak, jak jest tam podane i w takiej kolejności!!!

Odpowiedzialne klucze:

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionInternet SettingsUser AgentPost Platform]
"{C216FC90–F8FC–49D1–A6A4–DA53F6A607B2}"=""

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonNotifyControls Folder]

Prościej niź tam jest nie da się opisać. :D

Hej,
dzikei za porady, ale coś jeszcze chyba zostało bo własnie mi wyskoczyła jakaś strona. Komp się źonie dzisiaj 3x wyłączał.
Zrobiłem wszystko w awaryjnym. Z findit rzeczywiście tych plików nie było to wpisałem ściezki w kilboxie
Poniźej logi.

Logfile of HijackThis v1.99.0
Scan saved at 18:24:47, on 01/17/2005
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesCommon FilesSymantec SharedccSetMgr.exe
C:Program FilesCommon FilesSymantec SharedccEvtMgr.exe
C:WINDOWSsystem32 undll32.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSExplorer.EXE
C:WINDOWSsystem32 tvdm.exe
C:WINDOWSSystem32spooldriversw32x863hpztsb04.exe
C:WINDOWSTBPanel.exe
C:Program FilesMKSBinmks_mail.exe
C:Program FilesWinampWinampa.exe
C:WINDOWSSOUNDMAN.EXE
C:PROGRA~1VIRTUA~1SystemVCDPlay.exe
C:WINDOWSsystem32RUNDLL32.EXE
C:Program FilesCommon FilesSymantec SharedccApp.exe
C:Program Filesone LabsoneAlarmzlclient.exe
C:WINDOWSsystem32ctfmon.exe
C:WINDOWSSYSTEM32GEARSEC.EXE
C:Program FilesGadu–Gadugg.exe
C:Program FilesCommon FilesMicrosoft SharedVS7Debugmdm.exe
C:Program FilesMKSBinmksmonsv.exe
C:Program FilesMSIPC Alert 4PCAlert4.exe
C:Program FilesMessengermsmsgs.exe
C:Program FilesVirtual CD v4SystemVCDTray.exe
C:Program FilesNorton AntiVirus avapsvc.exe
C:WINDOWSSystem32 vsvc32.exe
C:Program FilesNorton AntiVirusSAVScan.exe
C:WINDOWSSystem32 cpsvcs.exe
C:WINDOWSSystem32snmp.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesVirtual CD v4Systemvcdsecs.exe
C:WINDOWSsystem32oneLabsvsmon.exe
C:Program FilesCommon FilesSymantec SharedSecurity CenterSymWSC.exe
C:Program FilesMKSBinmks_scan.exe
C:WINDOWSsystem32wuauclt.exe
E:HijackThis.exe

R0 – HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Łącza
F3 – REG:win.ini: load=C:YDPDictwatch.exe
O1 – Hosts: 69.20.16.183 auto.search.msn.com
O1 – Hosts: 69.20.16.183 search.netscape.com
O1 – Hosts: 69.20.16.183 ieautosearch
O3 – Toolbar: Norton AntiVirus – {42CDD1BF–3FFB–4238–8AD1–7859DF00B1D6} – C:Program FilesNorton AntiVirusNavShExt.dll
O4 – HKLM..Run: [HPDJ Taskbar Utility] C:WINDOWSSystem32spooldriversw32x863hpztsb04.exe
O4 – HKLM..Run: [NeroFilterCheck] C:WINDOWSsystem32NeroCheck.exe
O4 – HKLM..Run: [Gainward] C:WINDOWSTBPanel.exe /A
O4 – HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSSystem32NvCpl.dll,NvStartup
O4 – HKLM..Run: [nwiz] nwiz.exe /install
O4 – HKLM..Run: [MailScanner] C:Program FilesMKSBinmks_mail.exe
O4 – HKLM..Run: [WinampAgent] "C:Program FilesWinampWinampa.exe"
O4 – HKLM..Run: [SoundMan] SOUNDMAN.EXE
O4 – HKLM..Run: [VCDPlayer] C:PROGRA~1VIRTUA~1SystemVCDPlay.exe
O4 – HKLM..Run: [NvMediaCenter] RUNDLL32.EXE C:WINDOWSSystem32NvMcTray.dll,NvTaskbarInit
O4 – HKLM..Run: [ccApp] "C:Program FilesCommon FilesSymantec SharedccApp.exe"
O4 – HKLM..Run: [NAV CfgWiz] C:Program FilesCommon FilesSymantec SharedCfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 – HKLM..Run: [Zone Labs Client] "C:Program Filesone LabsoneAlarmzlclient.exe"
O4 – HKCU..Run: [ctfmon.exe] C:WINDOWSsystem32ctfmon.exe
O4 – HKCU..Run: [Gadu–Gadu] "C:Program FilesGadu–Gadugg.exe" /tray
O4 – Global Startup: Menu mks_vir.lnk = C:Program FilesMKSBinmks_menu.exe
O4 – Global Startup: PC Alert 4.lnk = C:Program FilesMSIPC Alert 4PCAlert4.exe
O8 – Extra context menu item: E&ksport do programu Microsoft Excel – res://C:PROGRA~1MICROS~2Office10EXCEL.EXE/3000
O9 – Extra button: Messenger – {FB5F1910–F110–11d2–BB9E–00C04F795683} – C:Program FilesMessengermsmsgs.exe
O9 – Extra 'Tools' menuitem: Windows Messenger – {FB5F1910–F110–11d2–BB9E–00C04F795683} – C:Program FilesMessengermsmsgs.exe
O12 – Plugin for .pdf: C:Program FilesInternet ExplorerPLUGINS ppdf32.dll
O16 – DPF: {27527D31–447B–11D5–A46E–0001023B4289} (CoGSManager Class) – http://gamingzone.ubisoft.com/dev/packages/GSManager.cab
O23 – Service: Symantec Event Manager – Symantec Corporation – C:Program FilesCommon FilesSymantec SharedccEvtMgr.exe
O23 – Service: Symantec Password Validation – Symantec Corporation – C:Program FilesCommon FilesSymantec SharedccPwdSvc.exe
O23 – Service: Symantec Settings Manager – Symantec Corporation – C:Program FilesCommon FilesSymantec SharedccSetMgr.exe
O23 – Service: GEARSecurity – GEAR Software – C:WINDOWSSYSTEM32GEARSEC.EXE
O23 – Service: MkSUpdateInt – MkS Sp. z o. o. – C:Program FilesMKSinMkSUpdateInt.exe
O23 – Service: MkS_Vir Monitor – Unknown – C:Program FilesMKSBinmksmonsv.exe
O23 – Service: MkS_Scan – Unknown – C:Program FilesMKSBinmks_scan.exe
O23 – Service: Usługa Auto Protect programu Norton AntiVirus – Symantec Corporation – C:Program FilesNorton AntiVirus avapsvc.exe
O23 – Service: NVIDIA Display Driver Service – NVIDIA Corporation – C:WINDOWSSystem32 vsvc32.exe
O23 – Service: SAVScan – Symantec Corporation – C:Program FilesNorton AntiVirusSAVScan.exe
O23 – Service: ScriptBlocking Service – Symantec Corporation – C:PROGRA~1COMMON~1SYMANT~1SCRIPT~1SBServ.exe
O23 – Service: SymWMI Service – Symantec Corporation – C:Program FilesCommon FilesSymantec SharedSecurity CenterSymWSC.exe
O23 – Service: Virtual CD v4 Security service – H+H Software GmbH – C:Program FilesVirtual CD v4Systemvcdsecs.exe
O23 – Service: TrueVector Internet Monitor – Zone Labs Inc. – C:WINDOWSsystem32oneLabsvsmon.exe




Warning! This utility will find legitimate files in addition to malware.
Do not remove anything unless you are sure you know what you're doing.

––––––– System Files in System32 Directory –––––––

Wolumin w stacji C nie ma etykiety.
Numer seryjny woluminu: 0477–3026

Katalog: C:WINDOWSSystem32

01/17/2005 18:22 223072 dowsock.dll
01/17/2005 18:22 223445 fppo0373e.dll
01/17/2005 17:26 223072 l82slif7182.dll
01/17/2005 17:15 225044 hofinst.dll
01/17/2005 10:36 225044 i0240afqed2e0.dll
01/16/2005 00:27 225634 h0l2la3o1d.dll
01/09/2005 20:54 dllcache
08/05/2004 11:38 Microsoft
6 plik(w) 1345311 bajtw
2 katalog(w) 2752167936 bajtw wolnych

––––––– Hidden Files in System32 Directory –––––––

Wolumin w stacji C nie ma etykiety.
Numer seryjny woluminu: 0477–3026

Katalog: C:WINDOWSSystem32

01/17/2005 18:23 890 vsconfig.xml
01/09/2005 20:54 dllcache
01/07/2005 17:41 4212 zllictbl.dat
08/24/2004 20:47 488 WindowsLogon.manifest
08/24/2004 20:47 488 logonui.exe.manifest
08/24/2004 20:47 749 sapi.cpl.manifest
08/24/2004 20:47 749 nwc.cpl.manifest
08/24/2004 20:47 749 ncpa.cpl.manifest
08/24/2004 20:47 749 wuaucpl.cpl.manifest
08/24/2004 20:47 749 cdplayer.exe.manifest
9 plik(w) 9823 bajtw
1 katalog(w) 2752167936 bajtw wolnych

–––––––––– Files Named "Guard" –––––––––––––

Wolumin w stacji C nie ma etykiety.
Numer seryjny woluminu: 0477–3026

Katalog: C:WINDOWSSystem32


––––––––– Temp Files in System32 Directory ––––––––

Wolumin w stacji C nie ma etykiety.
Numer seryjny woluminu: 0477–3026

Katalog: C:WINDOWSSystem32

03/09/2002 02:53 3416141 OLD5C1.tmp
10/26/2001 16:45 2596 CONFIG.TMP
2 plik(w) 3418737 bajtw
0 katalog(w) 2752167936 bajtw wolnych

–––––––––––––––– User Agent ––––––––––––

REGEDIT4

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionInternet SettingsUser AgentPost Platform]
"{C216FC90–F8FC–49D1–A6A4–DA53F6A607B2}"=""


–––––––––––– Keys Under Notify ––––––––––––

REGEDIT4

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonNotify]

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonNotifyControls Folder]
"Asynchronous"=dword:00000000
"DllName"="C:\WINDOWS\system32\l82slif7182.dll"
"Impersonate"=dword:00000000
"Logon"="WinLogon"
"Logoff"="WinLogoff"
"Shutdown"="WinShutdown"

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonNotifycrypt32chain]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,72,79,70,74,33,32,2e,64,6c,6c,00
"Logoff"="ChainWlxLogoffEvent"

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonNotifycryptnet]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,72,79,70,74,6e,65,74,2e,64,6c,6c,00
"Logoff"="CryptnetWlxLogoffEvent"

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonNotifycscdll]
"DLLName"="cscdll.dll"
"Logon"="WinlogonLogonEvent"
"Logoff"="WinlogonLogoffEvent"
"ScreenSaver"="WinlogonScreenSaverEvent"
"Startup"="WinlogonStartupEvent"
"Shutdown"="WinlogonShutdownEvent"
"StartShell"="WinlogonStartShellEvent"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonNotifyScCertProp]
"DLLName"="wlnotify.dll"
"Logon"="SCardStartCertProp"
"Logoff"="SCardStopCertProp"
"Lock"="SCardSuspendCertProp"
"Unlock"="SCardResumeCertProp"
"Enabled"=dword:00000001
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonNotifySchedule]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,6c,6e,6f,74,69,66,79,2e,64,6c,6c,00
"Impersonate"=dword:00000000
"StartShell"="SchedStartShell"
"Logoff"="SchedEventLogOff"

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonNotifysclgntfy]
"Logoff"="WLEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
"DllName"=hex(2):73,63,6c,67,6e,74,66,79,2e,64,6c,6c,00

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonNotifySensLogn]
"DLLName"="WlNotify.dll"
"Lock"="SensLockEvent"
"Logon"="SensLogonEvent"
"Logoff"="SensLogoffEvent"
"Safe"=dword:00000001
"MaxWait"=dword:00000258
"StartScreenSaver"="SensStartScreenSaverEvent"
"StopScreenSaver"="SensStopScreenSaverEvent"
"Startup"="SensStartupEvent"
"Shutdown"="SensShutdownEvent"
"StartShell"="SensStartShellEvent"
"PostShell"="SensPostShellEvent"
"Disconnect"="SensDisconnectEvent"
"Reconnect"="SensReconnectEvent"
"Unlock"="SensUnlockEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonNotify ermsrv]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,6c,6e,6f,74,69,66,79,2e,64,6c,6c,00
"Impersonate"=dword:00000000
"Logoff"="TSEventLogoff"
"Logon"="TSEventLogon"
"PostShell"="TSEventPostShell"
"Shutdown"="TSEventShutdown"
"StartShell"="TSEventStartShell"
"Startup"="TSEventStartup"
"MaxWait"=dword:00000258
"Reconnect"="TSEventReconnect"
"Disconnect"="TSEventDisconnect"

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonNotifywlballoon]
"DLLName"="wlnotify.dll"
"Logon"="RegisterTicketExpiredNotificationEvent"
"Logoff"="UnregisterTicketExpiredNotificationEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001


–––––––––––––––– Xfind Locked Files –––––––––––––––––

Nazwa 'Xfind' nie jest rozpoznawana jako polecenie wewn©trzne lub zewn©trzne,
program wykonywalny lub plik wsadowy.

–––––––––––––– XFind Qoologic Results ––––––––––––––

Nazwa 'Xfind' nie jest rozpoznawana jako polecenie wewn©trzne lub zewn©trzne,
program wykonywalny lub plik wsadowy.
Nazwa 'Xfind' nie jest rozpoznawana jako polecenie wewn©trzne lub zewn©trzne,
program wykonywalny lub plik wsadowy.

–––––––––––––– XFind Aspack Results –––––––––––––––

Nazwa 'Xfind' nie jest rozpoznawana jako polecenie wewn©trzne lub zewn©trzne,
program wykonywalny lub plik wsadowy.
Nazwa 'Xfind' nie jest rozpoznawana jako polecenie wewn©trzne lub zewn©trzne,
program wykonywalny lub plik wsadowy.

–––––––––––––– Locate.com Results –––––––––––––––


Dzięki serdeczne

Hej,
dzikei za porady, ale coś jeszcze chyba zostało bo własnie mi wyskoczyła jakaś strona. Komp się źonie dzisiaj 3x wyłączał.
Zrobiłem wszystko w awaryjnym. Z findit rzeczywiście tych plików nie było to wpisałem ściezki w kilboxie
Poniźej logi.

Logfile of HijackThis v1.99.0
Scan saved at 18:24:47, on 01/17/2005
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesCommon FilesSymantec SharedccSetMgr.exe
C:Program FilesCommon FilesSymantec SharedccEvtMgr.exe
C:WINDOWSsystem32 undll32.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSExplorer.EXE
C:WINDOWSsystem32 tvdm.exe
C:WINDOWSSystem32spooldriversw32x863hpztsb04.exe
C:WINDOWSTBPanel.exe
C:Program FilesMKSBinmks_mail.exe
C:Program FilesWinampWinampa.exe
C:WINDOWSSOUNDMAN.EXE
C:PROGRA~1VIRTUA~1SystemVCDPlay.exe
C:WINDOWSsystem32RUNDLL32.EXE
C:Program FilesCommon FilesSymantec SharedccApp.exe
C:Program Filesone LabsoneAlarmzlclient.exe
C:WINDOWSsystem32ctfmon.exe
C:WINDOWSSYSTEM32GEARSEC.EXE
C:Program FilesGadu–Gadugg.exe
C:Program FilesCommon FilesMicrosoft SharedVS7Debugmdm.exe
C:Program FilesMKSBinmksmonsv.exe
C:Program FilesMSIPC Alert 4PCAlert4.exe
C:Program FilesMessengermsmsgs.exe
C:Program FilesVirtual CD v4SystemVCDTray.exe
C:Program FilesNorton AntiVirus avapsvc.exe
C:WINDOWSSystem32 vsvc32.exe
C:Program FilesNorton AntiVirusSAVScan.exe
C:WINDOWSSystem32 cpsvcs.exe
C:WINDOWSSystem32snmp.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesVirtual CD v4Systemvcdsecs.exe
C:WINDOWSsystem32oneLabsvsmon.exe
C:Program FilesCommon FilesSymantec SharedSecurity CenterSymWSC.exe
C:Program FilesMKSBinmks_scan.exe
C:WINDOWSsystem32wuauclt.exe
E:HijackThis.exe

R0 – HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Łącza
F3 – REG:win.ini: load=C:YDPDictwatch.exe
O1 – Hosts: 69.20.16.183 auto.search.msn.com
O1 – Hosts: 69.20.16.183 search.netscape.com
O1 – Hosts: 69.20.16.183 ieautosearch
O3 – Toolbar: Norton AntiVirus – {42CDD1BF–3FFB–4238–8AD1–7859DF00B1D6} – C:Program FilesNorton AntiVirusNavShExt.dll
O4 – HKLM..Run: [HPDJ Taskbar Utility] C:WINDOWSSystem32spooldriversw32x863hpztsb04.exe
O4 – HKLM..Run: [NeroFilterCheck] C:WINDOWSsystem32NeroCheck.exe
O4 – HKLM..Run: [Gainward] C:WINDOWSTBPanel.exe /A
O4 – HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSSystem32NvCpl.dll,NvStartup
O4 – HKLM..Run: [nwiz] nwiz.exe /install
O4 – HKLM..Run: [MailScanner] C:Program FilesMKSBinmks_mail.exe
O4 – HKLM..Run: [WinampAgent] "C:Program FilesWinampWinampa.exe"
O4 – HKLM..Run: [SoundMan] SOUNDMAN.EXE
O4 – HKLM..Run: [VCDPlayer] C:PROGRA~1VIRTUA~1SystemVCDPlay.exe
O4 – HKLM..Run: [NvMediaCenter] RUNDLL32.EXE C:WINDOWSSystem32NvMcTray.dll,NvTaskbarInit
O4 – HKLM..Run: [ccApp] "C:Program FilesCommon FilesSymantec SharedccApp.exe"
O4 – HKLM..Run: [NAV CfgWiz] C:Program FilesCommon FilesSymantec SharedCfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 – HKLM..Run: [Zone Labs Client] "C:Program Filesone LabsoneAlarmzlclient.exe"
O4 – HKCU..Run: [ctfmon.exe] C:WINDOWSsystem32ctfmon.exe
O4 – HKCU..Run: [Gadu–Gadu] "C:Program FilesGadu–Gadugg.exe" /tray
O4 – Global Startup: Menu mks_vir.lnk = C:Program FilesMKSBinmks_menu.exe
O4 – Global Startup: PC Alert 4.lnk = C:Program FilesMSIPC Alert 4PCAlert4.exe
O8 – Extra context menu item: E&ksport do programu Microsoft Excel – res://C:PROGRA~1MICROS~2Office10EXCEL.EXE/3000
O9 – Extra button: Messenger – {FB5F1910–F110–11d2–BB9E–00C04F795683} – C:Program FilesMessengermsmsgs.exe
O9 – Extra 'Tools' menuitem: Windows Messenger – {FB5F1910–F110–11d2–BB9E–00C04F795683} – C:Program FilesMessengermsmsgs.exe
O12 – Plugin for .pdf: C:Program FilesInternet ExplorerPLUGINS ppdf32.dll
O16 – DPF: {27527D31–447B–11D5–A46E–0001023B4289} (CoGSManager Class) – http://gamingzone.ubisoft.com/dev/packages/GSManager.cab
O23 – Service: Symantec Event Manager – Symantec Corporation – C:Program FilesCommon FilesSymantec SharedccEvtMgr.exe
O23 – Service: Symantec Password Validation – Symantec Corporation – C:Program FilesCommon FilesSymantec SharedccPwdSvc.exe
O23 – Service: Symantec Settings Manager – Symantec Corporation – C:Program FilesCommon FilesSymantec SharedccSetMgr.exe
O23 – Service: GEARSecurity – GEAR Software – C:WINDOWSSYSTEM32GEARSEC.EXE
O23 – Service: MkSUpdateInt – MkS Sp. z o. o. – C:Program FilesMKSinMkSUpdateInt.exe
O23 – Service: MkS_Vir Monitor – Unknown – C:Program FilesMKSBinmksmonsv.exe
O23 – Service: MkS_Scan – Unknown – C:Program FilesMKSBinmks_scan.exe
O23 – Service: Usługa Auto Protect programu Norton AntiVirus – Symantec Corporation – C:Program FilesNorton AntiVirus avapsvc.exe
O23 – Service: NVIDIA Display Driver Service – NVIDIA Corporation – C:WINDOWSSystem32 vsvc32.exe
O23 – Service: SAVScan – Symantec Corporation – C:Program FilesNorton AntiVirusSAVScan.exe
O23 – Service: ScriptBlocking Service – Symantec Corporation – C:PROGRA~1COMMON~1SYMANT~1SCRIPT~1SBServ.exe
O23 – Service: SymWMI Service – Symantec Corporation – C:Program FilesCommon FilesSymantec SharedSecurity CenterSymWSC.exe
O23 – Service: Virtual CD v4 Security service – H+H Software GmbH – C:Program FilesVirtual CD v4Systemvcdsecs.exe
O23 – Service: TrueVector Internet Monitor – Zone Labs Inc. – C:WINDOWSsystem32oneLabsvsmon.exe




Warning! This utility will find legitimate files in addition to malware.
Do not remove anything unless you are sure you know what you're doing.

––––––– System Files in System32 Directory –––––––

Wolumin w stacji C nie ma etykiety.
Numer seryjny woluminu: 0477–3026

Katalog: C:WINDOWSSystem32

01/17/2005 18:22 223072 dowsock.dll
01/17/2005 18:22 223445 fppo0373e.dll
01/17/2005 17:26 223072 l82slif7182.dll
01/17/2005 17:15 225044 hofinst.dll
01/17/2005 10:36 225044 i0240afqed2e0.dll
01/16/2005 00:27 225634 h0l2la3o1d.dll
01/09/2005 20:54 dllcache
08/05/2004 11:38 Microsoft
6 plik(w) 1345311 bajtw
2 katalog(w) 2752167936 bajtw wolnych

––––––– Hidden Files in System32 Directory –––––––

Wolumin w stacji C nie ma etykiety.
Numer seryjny woluminu: 0477–3026

Katalog: C:WINDOWSSystem32

01/17/2005 18:23 890 vsconfig.xml
01/09/2005 20:54 dllcache
01/07/2005 17:41 4212 zllictbl.dat
08/24/2004 20:47 488 WindowsLogon.manifest
08/24/2004 20:47 488 logonui.exe.manifest
08/24/2004 20:47 749 sapi.cpl.manifest
08/24/2004 20:47 749 nwc.cpl.manifest
08/24/2004 20:47 749 ncpa.cpl.manifest
08/24/2004 20:47 749 wuaucpl.cpl.manifest
08/24/2004 20:47 749 cdplayer.exe.manifest
9 plik(w) 9823 bajtw
1 katalog(w) 2752167936 bajtw wolnych

–––––––––– Files Named "Guard" –––––––––––––

Wolumin w stacji C nie ma etykiety.
Numer seryjny woluminu: 0477–3026

Katalog: C:WINDOWSSystem32


––––––––– Temp Files in System32 Directory ––––––––

Wolumin w stacji C nie ma etykiety.
Numer seryjny woluminu: 0477–3026

Katalog: C:WINDOWSSystem32

03/09/2002 02:53 3416141 OLD5C1.tmp
10/26/2001 16:45 2596 CONFIG.TMP
2 plik(w) 3418737 bajtw
0 katalog(w) 2752167936 bajtw wolnych

–––––––––––––––– User Agent ––––––––––––

REGEDIT4

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionInternet SettingsUser AgentPost Platform]
"{C216FC90–F8FC–49D1–A6A4–DA53F6A607B2}"=""


–––––––––––– Keys Under Notify ––––––––––––

REGEDIT4

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonNotify]

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonNotifyControls Folder]
"Asynchronous"=dword:00000000
"DllName"="C:\WINDOWS\system32\l82slif7182.dll"
"Impersonate"=dword:00000000
"Logon"="WinLogon"
"Logoff"="WinLogoff"
"Shutdown"="WinShutdown"

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonNotifycrypt32chain]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,72,79,70,74,33,32,2e,64,6c,6c,00
"Logoff"="ChainWlxLogoffEvent"

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonNotifycryptnet]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,72,79,70,74,6e,65,74,2e,64,6c,6c,00
"Logoff"="CryptnetWlxLogoffEvent"

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonNotifycscdll]
"DLLName"="cscdll.dll"
"Logon"="WinlogonLogonEvent"
"Logoff"="WinlogonLogoffEvent"
"ScreenSaver"="WinlogonScreenSaverEvent"
"Startup"="WinlogonStartupEvent"
"Shutdown"="WinlogonShutdownEvent"
"StartShell"="WinlogonStartShellEvent"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonNotifyScCertProp]
"DLLName"="wlnotify.dll"
"Logon"="SCardStartCertProp"
"Logoff"="SCardStopCertProp"
"Lock"="SCardSuspendCertProp"
"Unlock"="SCardResumeCertProp"
"Enabled"=dword:00000001
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonNotifySchedule]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,6c,6e,6f,74,69,66,79,2e,64,6c,6c,00
"Impersonate"=dword:00000000
"StartShell"="SchedStartShell"
"Logoff"="SchedEventLogOff"

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonNotifysclgntfy]
"Logoff"="WLEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
"DllName"=hex(2):73,63,6c,67,6e,74,66,79,2e,64,6c,6c,00

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonNotifySensLogn]
"DLLName"="WlNotify.dll"
"Lock"="SensLockEvent"
"Logon"="SensLogonEvent"
"Logoff"="SensLogoffEvent"
"Safe"=dword:00000001
"MaxWait"=dword:00000258
"StartScreenSaver"="SensStartScreenSaverEvent"
"StopScreenSaver"="SensStopScreenSaverEvent"
"Startup"="SensStartupEvent"
"Shutdown"="SensShutdownEvent"
"StartShell"="SensStartShellEvent"
"PostShell"="SensPostShellEvent"
"Disconnect"="SensDisconnectEvent"
"Reconnect"="SensReconnectEvent"
"Unlock"="SensUnlockEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonNotify ermsrv]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,6c,6e,6f,74,69,66,79,2e,64,6c,6c,00
"Impersonate"=dword:00000000
"Logoff"="TSEventLogoff"
"Logon"="TSEventLogon"
"PostShell"="TSEventPostShell"
"Shutdown"="TSEventShutdown"
"StartShell"="TSEventStartShell"
"Startup"="TSEventStartup"
"MaxWait"=dword:00000258
"Reconnect"="TSEventReconnect"
"Disconnect"="TSEventDisconnect"

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonNotifywlballoon]
"DLLName"="wlnotify.dll"
"Logon"="RegisterTicketExpiredNotificationEvent"
"Logoff"="UnregisterTicketExpiredNotificationEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001


–––––––––––––––– Xfind Locked Files –––––––––––––––––

Nazwa 'Xfind' nie jest rozpoznawana jako polecenie wewn©trzne lub zewn©trzne,
program wykonywalny lub plik wsadowy.

–––––––––––––– XFind Qoologic Results ––––––––––––––

Nazwa 'Xfind' nie jest rozpoznawana jako polecenie wewn©trzne lub zewn©trzne,
program wykonywalny lub plik wsadowy.
Nazwa 'Xfind' nie jest rozpoznawana jako polecenie wewn©trzne lub zewn©trzne,
program wykonywalny lub plik wsadowy.

–––––––––––––– XFind Aspack Results –––––––––––––––

Nazwa 'Xfind' nie jest rozpoznawana jako polecenie wewn©trzne lub zewn©trzne,
program wykonywalny lub plik wsadowy.
Nazwa 'Xfind' nie jest rozpoznawana jako polecenie wewn©trzne lub zewn©trzne,
program wykonywalny lub plik wsadowy.

–––––––––––––– Locate.com Results –––––––––––––––


Dzięki serdeczne

Ok. Dzieki wieczorem popróbuję.
Pozdrawiam

Tak jak napisał Bobi_robert
Te pierwsze zaznazasz w Hijack i fix, a te pliki .dll usuwasz Killboxem.
Zastosuj się do tamtej instrukcji.

Bobi_robert:

FIX:

R3 – Default URLSearchHook is missing
O1 – Hosts: 69.20.16.183 auto.search.msn.com
O1 – Hosts: 69.20.16.183 search.netscape.com
O1 – Hosts: 69.20.16.183 ieautosearch
O1 – Hosts: 69.20.16.183 ieautosearch
O1 – Hosts: 69.20.16.183 ieautosearch
O1 – Hosts: 69.20.16.183 ieautosearch
O1 – Hosts: 69.20.16.183 ieautosearch
O1 – Hosts: 69.20.16.183 ieautosearch
O15 – Trusted Zone: *.iframedollars.biz
O15 – Trusted Zone: *.skoobidoo.com
O15 – Trusted Zone: *.slotchbar.com
O15 – Trusted Zone: *.windupdates.com
O15 – Trusted Zone: *.iframedollars.biz (HKLM)
O15 – Trusted Zone: *.skoobidoo.com (HKLM)
O15 – Trusted Zone: *.slotchbar.com (HKLM)
O15 – Trusted Zone: *.windupdates.com (HKLM)
O16 – DPF: {79849612–A98F–45B8–95E9–4D13C7B6B35C} – http://iframedollars.biz/tb/loader2.ocx

Ze strony FindIt do wywalenia:

01/15/2005 15:38 225634 dinu0159e.dll
01/14/2005 21:53 225044 jtnq0755e.dll
01/14/2005 21:11 225634 q0rq0a95ed.dll
01/13/2005 21:27 223264 s0880aluedq80.dll
01/13/2005 09:07 223086 n84slih7184.dll
01/10/2005 21:43 225798 dnnu0159e.dll
01/09/2005 20:54 dllcache
01/09/2005 18:23 223008 en06l1ds1.dll
01/09/2005 18:12 222863 hr2205foe.dll
01/08/2005 18:45 226278 o0840alqedqe0.dll
01/08/2005 18:38 222738 en60l1jm1.dll
01/08/2005 00:12 222894 i0600ajmedoa0.dll
01/06/2005 21:59 222525 dn0s01d7e.dll
01/04/2005 16:56 223058 en0sl1d71.dll
01/04/2005 13:43 223122 i206lcds1f06.dll
01/02/2005 17:16 223083 ennsl1571.dll

Dzięki za odp. Czyli zaznaczam te pozycje w hijackit i robię fix?
Jestem tochę amatro więc prosze o wyrozumiałość :–)

comet:

Jak dla mnie to ten plik zostaje:

01/09/2005 20:54 dllcache

Jestem tego samego zdania
To tylko wpis podkreslajacy lokalizacje plikow ponizej
C:Windowssystem32dllcache (katalog ukryty i systemowy)
Przez nieuwage nie obciety

Pliki najlepiej wywalac w awaryjnym, Killbox moze sobie niedokonca "na zywca" poradzic, po reboocie owszem.
Net tez ma byc odciety

Aha zapomniałbym, przywracanie wyłaczone – podstawowa sprawa

Witam

Jak dla mnie to ten plik zostaje:

01/09/2005 20:54 dllcache

a reszta tak, jak wyźej.Killbox i lot z kompa.

A to są klucze odpowiedzialne za powracanie syfu:

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionInternet SettingsUser AgentPost Platform]
"{C216FC90–F8FC–49D1–A6A4–DA53F6A607B2}"=""

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonNotifyNls]

Powodzenia

FIX:

R3 – Default URLSearchHook is missing
O1 – Hosts: 69.20.16.183 auto.search.msn.com
O1 – Hosts: 69.20.16.183 search.netscape.com
O1 – Hosts: 69.20.16.183 ieautosearch
O1 – Hosts: 69.20.16.183 ieautosearch
O1 – Hosts: 69.20.16.183 ieautosearch
O1 – Hosts: 69.20.16.183 ieautosearch
O1 – Hosts: 69.20.16.183 ieautosearch
O1 – Hosts: 69.20.16.183 ieautosearch
O15 – Trusted Zone: *.iframedollars.biz
O15 – Trusted Zone: *.skoobidoo.com
O15 – Trusted Zone: *.slotchbar.com
O15 – Trusted Zone: *.windupdates.com
O15 – Trusted Zone: *.iframedollars.biz (HKLM)
O15 – Trusted Zone: *.skoobidoo.com (HKLM)
O15 – Trusted Zone: *.slotchbar.com (HKLM)
O15 – Trusted Zone: *.windupdates.com (HKLM)
O16 – DPF: {79849612–A98F–45B8–95E9–4D13C7B6B35C} – http://iframedollars.biz/tb/loader2.ocx

Ze strony FindIt do wywalenia:

01/15/2005 15:38 225634 dinu0159e.dll
01/14/2005 21:53 225044 jtnq0755e.dll
01/14/2005 21:11 225634 q0rq0a95ed.dll
01/13/2005 21:27 223264 s0880aluedq80.dll
01/13/2005 09:07 223086 n84slih7184.dll
01/10/2005 21:43 225798 dnnu0159e.dll
01/09/2005 20:54 dllcache
01/09/2005 18:23 223008 en06l1ds1.dll
01/09/2005 18:12 222863 hr2205foe.dll
01/08/2005 18:45 226278 o0840alqedqe0.dll
01/08/2005 18:38 222738 en60l1jm1.dll
01/08/2005 00:12 222894 i0600ajmedoa0.dll
01/06/2005 21:59 222525 dn0s01d7e.dll
01/04/2005 16:56 223058 en0sl1d71.dll
01/04/2005 13:43 223122 i206lcds1f06.dll
01/02/2005 17:16 223083 ennsl1571.dll

Witaj, sorry, ale nie mogłem odpisać.
Poniźej moje aktualne logi hijacka i find ot. Jak moźesz to zerknij proszę. Pozdrawiam

Logfile of HijackThis v1.99.0
Scan saved at 17:59:37, on 01/15/2005
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesCommon FilesSymantec SharedccSetMgr.exe
C:Program FilesCommon FilesSymantec SharedccEvtMgr.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSsystem32 undll32.exe
C:WINDOWSSYSTEM32GEARSEC.EXE
C:Program FilesCommon FilesMicrosoft SharedVS7Debugmdm.exe
C:Program FilesMKSBinmksmonsv.exe
C:WINDOWSExplorer.EXE
C:Program FilesNorton AntiVirus avapsvc.exe
C:WINDOWSSystem32 vsvc32.exe
C:Program FilesNorton AntiVirusSAVScan.exe
C:WINDOWSSystem32 cpsvcs.exe
C:WINDOWSSystem32snmp.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesVirtual CD v4Systemvcdsecs.exe
C:WINDOWSsystem32oneLabsvsmon.exe
C:Program FilesCommon FilesSymantec SharedSecurity CenterSymWSC.exe
C:WINDOWSsystem32 tvdm.exe
C:WINDOWSSystem32spooldriversw32x863hpztsb04.exe
C:WINDOWSTBPanel.exe
C:Program FilesMKSBinmks_mail.exe
C:Program FilesWinampWinampa.exe
C:WINDOWSSOUNDMAN.EXE
C:PROGRA~1VIRTUA~1SystemVCDPlay.exe
C:Program FilesCommon FilesSymantec SharedccApp.exe
C:Program Filesone LabsoneAlarmzlclient.exe
C:WINDOWSsystem32ctfmon.exe
C:Program FilesGadu–Gadugg.exe
C:program filessteamsteam.exe
C:Program FilesMSIPC Alert 4PCAlert4.exe
C:Program FilesVirtual CD v4SystemVCDTray.exe
C:Program FilesMKSBinmks_scan.exe
C:Program FilesMessengermsmsgs.exe
C:Program FilesMicrosoft OfficeOffice10OUTLOOK.EXE
C:Program FilesMicrosoft OfficeOffice10WINWORD.EXE
C:Program FilesInternet Exploreriexplore.exe
C:Program FilesInternet Exploreriexplore.exe
E:HijackThis.exe

R0 – HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Łącza
R3 – Default URLSearchHook is missing
F3 – REG:win.ini: load=C:YDPDictwatch.exe
O1 – Hosts: 69.20.16.183 auto.search.msn.com
O1 – Hosts: 69.20.16.183 search.netscape.com
O1 – Hosts: 69.20.16.183 ieautosearch
O1 – Hosts: 69.20.16.183 ieautosearch
O1 – Hosts: 69.20.16.183 ieautosearch
O1 – Hosts: 69.20.16.183 ieautosearch
O1 – Hosts: 69.20.16.183 ieautosearch
O1 – Hosts: 69.20.16.183 ieautosearch
O3 – Toolbar: Norton AntiVirus – {42CDD1BF–3FFB–4238–8AD1–7859DF00B1D6} – C:Program FilesNorton AntiVirusNavShExt.dll
O4 – HKLM..Run: [HPDJ Taskbar Utility] C:WINDOWSSystem32spooldriversw32x863hpztsb04.exe
O4 – HKLM..Run: [NeroFilterCheck] C:WINDOWSsystem32NeroCheck.exe
O4 – HKLM..Run: [Gainward] C:WINDOWSTBPanel.exe /A
O4 – HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSSystem32NvCpl.dll,NvStartup
O4 – HKLM..Run: [nwiz] nwiz.exe /install
O4 – HKLM..Run: [MailScanner] C:Program FilesMKSBinmks_mail.exe
O4 – HKLM..Run: [WinampAgent] "C:Program FilesWinampWinampa.exe"
O4 – HKLM..Run: [SoundMan] SOUNDMAN.EXE
O4 – HKLM..Run: [VCDPlayer] C:PROGRA~1VIRTUA~1SystemVCDPlay.exe
O4 – HKLM..Run: [NvMediaCenter] RUNDLL32.EXE C:WINDOWSSystem32NvMcTray.dll,NvTaskbarInit
O4 – HKLM..Run: [ccApp] "C:Program FilesCommon FilesSymantec SharedccApp.exe"
O4 – HKLM..Run: [NAV CfgWiz] C:Program FilesCommon FilesSymantec SharedCfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 – HKLM..Run: [Zone Labs Client] "C:Program Filesone LabsoneAlarmzlclient.exe"
O4 – HKCU..Run: [ctfmon.exe] C:WINDOWSsystem32ctfmon.exe
O4 – HKCU..Run: [Gadu–Gadu] "C:Program FilesGadu–Gadugg.exe" /tray
O4 – HKCU..Run: [Steam] "c:program filessteamsteam.exe" –silent
O4 – Global Startup: Menu mks_vir.lnk = C:Program FilesMKSBinmks_menu.exe
O4 – Global Startup: PC Alert 4.lnk = C:Program FilesMSIPC Alert 4PCAlert4.exe
O8 – Extra context menu item: E&ksport do programu Microsoft Excel – res://C:PROGRA~1MICROS~2Office10EXCEL.EXE/3000
O9 – Extra button: Messenger – {FB5F1910–F110–11d2–BB9E–00C04F795683} – C:Program FilesMessengermsmsgs.exe
O9 – Extra 'Tools' menuitem: Windows Messenger – {FB5F1910–F110–11d2–BB9E–00C04F795683} – C:Program FilesMessengermsmsgs.exe
O12 – Plugin for .pdf: C:Program FilesInternet ExplorerPLUGINS ppdf32.dll
O15 – Trusted Zone: *.iframedollars.biz
O15 – Trusted Zone: *.skoobidoo.com
O15 – Trusted Zone: *.slotchbar.com
O15 – Trusted Zone: *.windupdates.com
O15 – Trusted Zone: *.iframedollars.biz (HKLM)
O15 – Trusted Zone: *.skoobidoo.com (HKLM)
O15 – Trusted Zone: *.slotchbar.com (HKLM)
O15 – Trusted Zone: *.windupdates.com (HKLM)
O16 – DPF: {27527D31–447B–11D5–A46E–0001023B4289} (CoGSManager Class) – http://gamingzone.ubisoft.com/dev/packages/GSManager.cab
O16 – DPF: {79849612–A98F–45B8–95E9–4D13C7B6B35C} – http://iframedollars.biz/tb/loader2.ocx
O23 – Service: Symantec Event Manager – Symantec Corporation – C:Program FilesCommon FilesSymantec SharedccEvtMgr.exe
O23 – Service: Symantec Password Validation – Symantec Corporation – C:Program FilesCommon FilesSymantec SharedccPwdSvc.exe
O23 – Service: Symantec Settings Manager – Symantec Corporation – C:Program FilesCommon FilesSymantec SharedccSetMgr.exe
O23 – Service: GEARSecurity – GEAR Software – C:WINDOWSSYSTEM32GEARSEC.EXE
O23 – Service: MkSUpdateInt – MkS Sp. z o. o. – C:Program FilesMKSinMkSUpdateInt.exe
O23 – Service: MkS_Vir Monitor – Unknown – C:Program FilesMKSBinmksmonsv.exe
O23 – Service: MkS_Scan – Unknown – C:Program FilesMKSBinmks_scan.exe
O23 – Service: Usługa Auto Protect programu Norton AntiVirus – Symantec Corporation – C:Program FilesNorton AntiVirus avapsvc.exe
O23 – Service: NVIDIA Display Driver Service – NVIDIA Corporation – C:WINDOWSSystem32 vsvc32.exe
O23 – Service: SAVScan – Symantec Corporation – C:Program FilesNorton AntiVirusSAVScan.exe
O23 – Service: ScriptBlocking Service – Symantec Corporation – C:PROGRA~1COMMON~1SYMANT~1SCRIPT~1SBServ.exe
O23 – Service: SymWMI Service – Symantec Corporation – C:Program FilesCommon FilesSymantec SharedSecurity CenterSymWSC.exe
O23 – Service: Virtual CD v4 Security service – H+H Software GmbH – C:Program FilesVirtual CD v4Systemvcdsecs.exe
O23 – Service: TrueVector Internet Monitor – Zone Labs Inc. – C:WINDOWSsystem32oneLabsvsmon.exe



Warning! This utility will find legitimate files in addition to malware.
Do not remove anything unless you are sure you know what you're doing.

––––––– System Files in System32 Directory –––––––

Wolumin w stacji C nie ma etykiety.
Numer seryjny woluminu: 0477–3026

Katalog: C:WINDOWSSystem32

01/15/2005 15:38 225634 dinu0159e.dll
01/14/2005 21:53 225044 jtnq0755e.dll
01/14/2005 21:11 225634 q0rq0a95ed.dll
01/13/2005 21:27 223264 s0880aluedq80.dll
01/13/2005 09:07 223086 n84slih7184.dll
01/10/2005 21:43 225798 dnnu0159e.dll
01/09/2005 20:54 dllcache
01/09/2005 18:23 223008 en06l1ds1.dll
01/09/2005 18:12 222863 hr2205foe.dll
01/08/2005 18:45 226278 o0840alqedqe0.dll
01/08/2005 18:38 222738 en60l1jm1.dll
01/08/2005 00:12 222894 i0600ajmedoa0.dll
01/06/2005 21:59 222525 dn0s01d7e.dll
01/04/2005 16:56 223058 en0sl1d71.dll
01/04/2005 13:43 223122 i206lcds1f06.dll
01/02/2005 17:16 223083 ennsl1571.dll
08/05/2004 11:38 Microsoft
15 plik(w) 3358029 bajtw
2 katalog(w) 2427183104 bajtw wolnych

––––––– Hidden Files in System32 Directory –––––––

Wolumin w stacji C nie ma etykiety.
Numer seryjny woluminu: 0477–3026

Katalog: C:WINDOWSSystem32

01/15/2005 15:39 890 vsconfig.xml
01/09/2005 20:54 dllcache
01/07/2005 17:41 4212 zllictbl.dat
08/24/2004 20:47 488 WindowsLogon.manifest
08/24/2004 20:47 488 logonui.exe.manifest
08/24/2004 20:47 749 sapi.cpl.manifest
08/24/2004 20:47 749 nwc.cpl.manifest
08/24/2004 20:47 749 ncpa.cpl.manifest
08/24/2004 20:47 749 wuaucpl.cpl.manifest
08/24/2004 20:47 749 cdplayer.exe.manifest
9 plik(w) 9823 bajtw
1 katalog(w) 2427183104 bajtw wolnych

–––––––––– Files Named "Guard" –––––––––––––

Wolumin w stacji C nie ma etykiety.
Numer seryjny woluminu: 0477–3026

Katalog: C:WINDOWSSystem32


––––––––– Temp Files in System32 Directory ––––––––

Wolumin w stacji C nie ma etykiety.
Numer seryjny woluminu: 0477–3026

Katalog: C:WINDOWSSystem32

03/09/2002 02:53 3416141 OLD5C1.tmp
10/26/2001 16:45 2596 CONFIG.TMP
2 plik(w) 3418737 bajtw
0 katalog(w) 2427174912 bajtw wolnych

–––––––––––––––– User Agent ––––––––––––

REGEDIT4

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionInternet SettingsUser AgentPost Platform]
"{C216FC90–F8FC–49D1–A6A4–DA53F6A607B2}"=""


–––––––––––– Keys Under Notify ––––––––––––

REGEDIT4

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonNotify]

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonNotifycrypt32chain]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,72,79,70,74,33,32,2e,64,6c,6c,00
"Logoff"="ChainWlxLogoffEvent"

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonNotifycryptnet]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,72,79,70,74,6e,65,74,2e,64,6c,6c,00
"Logoff"="CryptnetWlxLogoffEvent"

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonNotifycscdll]
"DLLName"="cscdll.dll"
"Logon"="WinlogonLogonEvent"
"Logoff"="WinlogonLogoffEvent"
"ScreenSaver"="WinlogonScreenSaverEvent"
"Startup"="WinlogonStartupEvent"
"Shutdown"="WinlogonShutdownEvent"
"StartShell"="WinlogonStartShellEvent"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonNotifyNls]
"Asynchronous"=dword:00000000
"DllName"="C:\WINDOWS\system32\q0rq0a95ed.dll"
"Impersonate"=dword:00000000
"Logon"="WinLogon"
"Logoff"="WinLogoff"
"Shutdown"="WinShutdown"

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonNotifyScCertProp]
"DLLName"="wlnotify.dll"
"Logon"="SCardStartCertProp"
"Logoff"="SCardStopCertProp"
"Lock"="SCardSuspendCertProp"
"Unlock"="SCardResumeCertProp"
"Enabled"=dword:00000001
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonNotifySchedule]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,6c,6e,6f,74,69,66,79,2e,64,6c,6c,00
"Impersonate"=dword:00000000
"StartShell"="SchedStartShell"
"Logoff"="SchedEventLogOff"

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonNotifysclgntfy]
"Logoff"="WLEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
"DllName"=hex(2):73,63,6c,67,6e,74,66,79,2e,64,6c,6c,00

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonNotifySensLogn]
"DLLName"="WlNotify.dll"
"Lock"="SensLockEvent"
"Logon"="SensLogonEvent"
"Logoff"="SensLogoffEvent"
"Safe"=dword:00000001
"MaxWait"=dword:00000258
"StartScreenSaver"="SensStartScreenSaverEvent"
"StopScreenSaver"="SensStopScreenSaverEvent"
"Startup"="SensStartupEvent"
"Shutdown"="SensShutdownEvent"
"StartShell"="SensStartShellEvent"
"PostShell"="SensPostShellEvent"
"Disconnect"="SensDisconnectEvent"
"Reconnect"="SensReconnectEvent"
"Unlock"="SensUnlockEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonNotify ermsrv]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,6c,6e,6f,74,69,66,79,2e,64,6c,6c,00
"Impersonate"=dword:00000000
"Logoff"="TSEventLogoff"
"Logon"="TSEventLogon"
"PostShell"="TSEventPostShell"
"Shutdown"="TSEventShutdown"
"StartShell"="TSEventStartShell"
"Startup"="TSEventStartup"
"MaxWait"=dword:00000258
"Reconnect"="TSEventReconnect"
"Disconnect"="TSEventDisconnect"

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonNotifywlballoon]
"DLLName"="wlnotify.dll"
"Logon"="RegisterTicketExpiredNotificationEvent"
"Logoff"="UnregisterTicketExpiredNotificationEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001


–––––––––––––––– Xfind Locked Files –––––––––––––––––

Nazwa 'Xfind' nie jest rozpoznawana jako polecenie wewn©trzne lub zewn©trzne,
program wykonywalny lub plik wsadowy.

–––––––––––––– XFind Qoologic Results ––––––––––––––

Nazwa 'Xfind' nie jest rozpoznawana jako polecenie wewn©trzne lub zewn©trzne,
program wykonywalny lub plik wsadowy.
Nazwa 'Xfind' nie jest rozpoznawana jako polecenie wewn©trzne lub zewn©trzne,
program wykonywalny lub plik wsadowy.

–––––––––––––– XFind Aspack Results –––––––––––––––

Nazwa 'Xfind' nie jest rozpoznawana jako polecenie wewn©trzne lub zewn©trzne,
program wykonywalny lub plik wsadowy.
Nazwa 'Xfind' nie jest rozpoznawana jako polecenie wewn©trzne lub zewn©trzne,
program wykonywalny lub plik wsadowy.

–––––––––––––– Locate.com Results –––––––––––––––


Witam.
U Ciebie jest trochę więcej roboty ale damy radę.Mi teź się czasami wyłączał komp więc się nie martw.
Postaram się pomóc, ale powiedz mi, czy to jest log przed usunięciem tego klucza czy po?
Muszę znać odpowiedź na to pytanie, bo ten syf po nieudanym usunięciu lub usunięciu nie wszystkich składników wraca na kompa i ma inne nazwy plików niź dotychczas :!: A w takim przypadku trzeba zrobić ponowny skan Findit'em i rozpoznać nazy plików .dll :cry:
Więc zrób jeszcze raz skan tym progsem i powiedz czy logi wyglądają identycznie :wink:

EDIT Jaki klucz wyciąłeś :?:

Witaj,
wyciąłem ten klucz, ale jest to samo. Dodatkwo mi się sam komp czasem wyłącza :(
Oto mój log.
Jak moźesz to napisz odp dla amatora :–)

Warning! This utility will find legitimate files in addition to malware.
Do not remove anything unless you are sure you know what you're doing.

––––––– System Files in System32 Directory –––––––

Wolumin w stacji C nie ma etykiety.
Numer seryjny woluminu: 0477–3026

Katalog: C:WINDOWSSystem32

2005–01–09 18:37 225798 cimaddin.dll
2005–01–09 18:37 226171 fppo0373e.dll
2005–01–09 18:23 223008 en06l1ds1.dll
2005–01–09 18:12 222863 hr2205foe.dll
2005–01–08 20:21 225798 f0l02a3mgd.dll
2005–01–08 18:45 226278 o0840alqedqe0.dll
2005–01–08 18:38 222738 en60l1jm1.dll
2005–01–08 17:35 dllcache
2005–01–08 00:12 222894 i0600ajmedoa0.dll
2005–01–06 21:59 222525 dn0s01d7e.dll
2005–01–04 16:56 223058 en0sl1d71.dll
2005–01–04 13:43 223122 i206lcds1f06.dll
2005–01–02 17:16 223083 ennsl1571.dll
2004–08–05 11:38 Microsoft
12 plik(w) 2687336 bajtw
2 katalog(w) 1982836736 bajtw wolnych

––––––– Hidden Files in System32 Directory –––––––

Wolumin w stacji C nie ma etykiety.
Numer seryjny woluminu: 0477–3026

Katalog: C:WINDOWSSystem32

2005–01–09 18:37 890 vsconfig.xml
2005–01–08 17:35 dllcache
2005–01–07 17:41 4212 zllictbl.dat
2004–08–24 20:47 488 WindowsLogon.manifest
2004–08–24 20:47 488 logonui.exe.manifest
2004–08–24 20:47 749 sapi.cpl.manifest
2004–08–24 20:47 749 nwc.cpl.manifest
2004–08–24 20:47 749 ncpa.cpl.manifest
2004–08–24 20:47 749 wuaucpl.cpl.manifest
2004–08–24 20:47 749 cdplayer.exe.manifest
9 plik(w) 9823 bajtw
1 katalog(w) 1982836736 bajtw wolnych

–––––––––– Files Named "Guard" –––––––––––––

Wolumin w stacji C nie ma etykiety.
Numer seryjny woluminu: 0477–3026

Katalog: C:WINDOWSSystem32


––––––––– Temp Files in System32 Directory ––––––––

Wolumin w stacji C nie ma etykiety.
Numer seryjny woluminu: 0477–3026

Katalog: C:WINDOWSSystem32

2002–03–09 02:53 3416141 OLD5C1.tmp
2001–10–26 16:45 2596 CONFIG.TMP
2 plik(w) 3418737 bajtw
0 katalog(w) 1982836736 bajtw wolnych

–––––––––––––––– User Agent ––––––––––––

REGEDIT4

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionInternet SettingsUser AgentPost Platform]
"{C216FC90–F8FC–49D1–A6A4–DA53F6A607B2}"=""


–––––––––––– Keys Under Notify ––––––––––––

REGEDIT4

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonNotify]

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonNotifycrypt32chain]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,72,79,70,74,33,32,2e,64,6c,6c,00
"Logoff"="ChainWlxLogoffEvent"

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonNotifycryptnet]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,72,79,70,74,6e,65,74,2e,64,6c,6c,00
"Logoff"="CryptnetWlxLogoffEvent"

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonNotifycscdll]
"DLLName"="cscdll.dll"
"Logon"="WinlogonLogonEvent"
"Logoff"="WinlogonLogoffEvent"
"ScreenSaver"="WinlogonScreenSaverEvent"
"Startup"="WinlogonStartupEvent"
"Shutdown"="WinlogonShutdownEvent"
"StartShell"="WinlogonStartShellEvent"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonNotifyScCertProp]
"DLLName"="wlnotify.dll"
"Logon"="SCardStartCertProp"
"Logoff"="SCardStopCertProp"
"Lock"="SCardSuspendCertProp"
"Unlock"="SCardResumeCertProp"
"Enabled"=dword:00000001
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonNotifySchedule]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,6c,6e,6f,74,69,66,79,2e,64,6c,6c,00
"Impersonate"=dword:00000000
"StartShell"="SchedStartShell"
"Logoff"="SchedEventLogOff"

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonNotifysclgntfy]
"Logoff"="WLEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
"DllName"=hex(2):73,63,6c,67,6e,74,66,79,2e,64,6c,6c,00

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonNotifySensLogn]
"DLLName"="WlNotify.dll"
"Lock"="SensLockEvent"
"Logon"="SensLogonEvent"
"Logoff"="SensLogoffEvent"
"Safe"=dword:00000001
"MaxWait"=dword:00000258
"StartScreenSaver"="SensStartScreenSaverEvent"
"StopScreenSaver"="SensStopScreenSaverEvent"
"Startup"="SensStartupEvent"
"Shutdown"="SensShutdownEvent"
"StartShell"="SensStartShellEvent"
"PostShell"="SensPostShellEvent"
"Disconnect"="SensDisconnectEvent"
"Reconnect"="SensReconnectEvent"
"Unlock"="SensUnlockEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonNotifyShell Extensions]
"Asynchronous"=dword:00000000
"DllName"="C:\WINDOWS\system32\f0l02a3mgd.dll"
"Impersonate"=dword:00000000
"Logon"="WinLogon"
"Logoff"="WinLogoff"
"Shutdown"="WinShutdown"

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonNotify ermsrv]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,6c,6e,6f,74,69,66,79,2e,64,6c,6c,00
"Impersonate"=dword:00000000
"Logoff"="TSEventLogoff"
"Logon"="TSEventLogon"
"PostShell"="TSEventPostShell"
"Shutdown"="TSEventShutdown"
"StartShell"="TSEventStartShell"
"Startup"="TSEventStartup"
"MaxWait"=dword:00000258
"Reconnect"="TSEventReconnect"
"Disconnect"="TSEventDisconnect"

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonNotifywlballoon]
"DLLName"="wlnotify.dll"
"Logon"="RegisterTicketExpiredNotificationEvent"
"Logoff"="UnregisterTicketExpiredNotificationEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001


–––––––––––––––– Xfind Locked Files –––––––––––––––––

Nazwa 'Xfind' nie jest rozpoznawana jako polecenie wewn©trzne lub zewn©trzne,
program wykonywalny lub plik wsadowy.

–––––––––––––– XFind Qoologic Results ––––––––––––––

Nazwa 'Xfind' nie jest rozpoznawana jako polecenie wewn©trzne lub zewn©trzne,
program wykonywalny lub plik wsadowy.
Nazwa 'Xfind' nie jest rozpoznawana jako polecenie wewn©trzne lub zewn©trzne,
program wykonywalny lub plik wsadowy.

–––––––––––––– XFind Aspack Results –––––––––––––––

Nazwa 'Xfind' nie jest rozpoznawana jako polecenie wewn©trzne lub zewn©trzne,
program wykonywalny lub plik wsadowy.
Nazwa 'Xfind' nie jest rozpoznawana jako polecenie wewn©trzne lub zewn©trzne,
program wykonywalny lub plik wsadowy.

–––––––––––––– Locate.com Results –––––––––––––––



Dzieki

No to chyba jest po kłopocie :)
Kolega arcymag narazie ma spokój.

A czy jackuc poradził sobie z tym problemem?

Jeśli nie to zastosuj się do wskazówek które podałem arcymagowi

Witam. Masz ten sam syf co ja miałem i nieźle trzeba się namęczyć źeby to usunąć.Jest to szpieg VX2.

Na początek moźesz ściągnąć TEN programik i wkleić z niego log.

Potrzebny będzie teź KillBox
Jak zrobisz log z Findit dołącz go na forum to razem moźe coś wykombinujemy.
Pozdrówka

Moźe da się coś zrobić.
Pozdórwka

Coś znalazłem na ten temat :(
http://dlugijm.republika.pl/O_stronie.htm

Niestety nadal są wpisy :?
Z HJT usuń

R3 – Default URLSearchHook is missing
O1 – Hosts: 69.20.16.183 ieautosearch
O1 – Hosts: 69.20.16.183 auto.search.msn.com
O1 – Hosts: 69.20.16.183 search.netscape.com
O1 – Hosts: 69.20.16.183 ieautosearch
O1 – Hosts: 69.20.16.183 ieautosearch
O1 – Hosts: 69.20.16.183 ieautosearch
O1 – Hosts: 69.20.16.183 ieautosearch
O1 – Hosts: 69.20.16.183 ieautosearch

Zresetuj kompa, włącz ponownie zrób jeszcze raz logi z Findit i HJT i podaj na maila lub PW.

Oto logi z highjacka i findita po zabiegu. Czy pomogło czas pokaźe.

Logfile of HijackThis v1.99.0
Scan saved at 15:56:09, on 2005–01–09
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSExplorer.EXE
C:Program FilesAlwil SoftwareAvast4aswUpdSv.exe
C:Program FilesAlwil SoftwareAvast4ashServ.exe
C:WINDOWSSystem32 vsvc32.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesAlwil SoftwareAvast4ashMaiSv.exe
C:PROGRA~1ALWILS~1Avast4ashDisp.exe
C:Program FilesJavaj2re1.4.2_06injusched.exe
C:WINDOWSSystem32 tsmod.exe
C:Program FilesGadu–Gadugg.exe
C:Program FilesKazaa Lite Rewolucjakazaalite.kpp
C:Program FilesMessengermsmsgs.exe
D:Moje dokumentyzegarynka.exe
C:Documents and SettingsArcymagPulpitczyszczenieHijackThis.exe
C:Program FilesOutlook Expressmsimn.exe

R0 – HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.onet.pl/
R0 – HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Łącza
R3 – Default URLSearchHook is missing
O1 – Hosts: 69.20.16.183 ieautosearch
O1 – Hosts: 69.20.16.183 auto.search.msn.com
O1 – Hosts: 69.20.16.183 search.netscape.com
O1 – Hosts: 69.20.16.183 ieautosearch
O1 – Hosts: 69.20.16.183 ieautosearch
O1 – Hosts: 69.20.16.183 ieautosearch
O1 – Hosts: 69.20.16.183 ieautosearch
O1 – Hosts: 69.20.16.183 ieautosearch
O3 – Toolbar: &Radio – {8E718888–423F–11D2–876E–00A0C9082467} – C:WINDOWSSystem32msdxm.ocx
O4 – HKLM..Run: [Golden Eye] C:Program FilesGolden Eyegoldeneye.exe
O4 – HKLM..Run: [avast!] C:PROGRA~1ALWILS~1Avast4ashDisp.exe
O4 – HKLM..Run: [SunJavaUpdateSched] C:Program FilesJavaj2re1.4.2_06injusched.exe
O4 – HKLM..Run: [KAZAA] "C:Program FilesKazaa Lite Rewolucjakpp.exe" "C:Program FilesKazaa Lite Rewolucjakazaalite.kpp" /SYSTRAY
O4 – HKLM..Run: [ntsmod] C:WINDOWSSystem32 tsmod.exe
O4 – HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSSystem32NvCpl.dll,NvStartup
O4 – HKLM..Run: [nwiz] nwiz.exe /install
O4 – HKLM..Run: [NvMediaCenter] RUNDLL32.EXE C:WINDOWSSystem32NvMcTray.dll,NvTaskbarInit
O4 – HKCU..Run: [Gadu–Gadu] C:Program FilesGadu–Gadugg.exe /tray
O4 – HKCU..Run: [MSMSGS] "C:Program FilesMessengermsmsgs.exe" /background
O4 – HKCU..Run: [Zegarynka] D:Moje dokumentyzegarynka.exe
O9 – Extra button: (no name) – {08B0E5C0–4FCB–11CF–AAA5–00401C608501} – C:Program FilesJavaj2re1.4.2_06in pjpi142_06.dll
O9 – Extra 'Tools' menuitem: Sun Java Console – {08B0E5C0–4FCB–11CF–AAA5–00401C608501} – C:Program FilesJavaj2re1.4.2_06in pjpi142_06.dll
O9 – Extra button: eBay – Homepage – {EF79EAC5–3452–4E02–B8BD–BA4C89F1AC7A} – C:Program FilesIrfanViewEbayEbay.htm (file missing)
O16 – DPF: {15AD4789–CDB4–47E1–A9DA–992EE8E6BAD6} – ms–its:mhtml:file://c: osuxxx.mht!http://www.kazaalite.pl/xa/xa.chm::/bridge–c274.cab
O16 – DPF: {E7544C6C–CFD6–43EA–B4E9–360CEE20BDF7} (MainControl Class) – http://skaner.mks.com.pl/SkanerOnline.cab
O16 – DPF: {FDDBE2B8–6602–4AD8–946D–94C5A32FA6C1} (GameDesire Pool 8) – http://67.15.101.3/g_bin/pl/billard8_2_0_0_21.cab
O23 – Service: avast! iAVS4 Control Service – Unknown – C:Program FilesAlwil SoftwareAvast4aswUpdSv.exe
O23 – Service: avast! Antivirus – Unknown – C:Program FilesAlwil SoftwareAvast4ashServ.exe
O23 – Service: avast! Mail Scanner – ALWIL Software – C:Program FilesAlwil SoftwareAvast4ashMaiSv.exe
O23 – Service: NVIDIA Display Driver Service – NVIDIA Corporation – C:WINDOWSSystem32 vsvc32.exe



Warning! This utility will find legitimate files in addition to malware.
Do not remove anything unless you are sure you know what you're doing.

––––––– System Files in System32 Directory –––––––

Warning! This utility will find legitimate files in addition to malware.
Do not remove anything unless you are sure you know what you're doing.

––––––– System Files in System32 Directory –––––––

Warning! This utility will find legitimate files in addition to malware.
Do not remove anything unless you are sure you know what you're doing.

––––––– System Files in System32 Directory –––––––

Wolumin w stacji C nie ma etykiety.
Numer seryjny woluminu: DC3A–FECA

Katalog: C:WINDOWSSystem32

2005–01–09 13:23 dllcache
0 plik(w) 0 bajtw
1 katalog(w) 3420545024 bajtw wolnych

––––––– Hidden Files in System32 Directory –––––––

Wolumin w stacji C nie ma etykiety.
Numer seryjny woluminu: DC3A–FECA

Katalog: C:WINDOWSSystem32

2005–01–09 13:23 dllcache
2005–01–04 12:02 79 LHGSYFE
2005–01–04 09:48 488 logonui.exe.manifest
2005–01–04 09:48 488 WindowsLogon.manifest
2005–01–04 09:48 749 nwc.cpl.manifest
2005–01–04 09:48 749 sapi.cpl.manifest
2005–01–04 09:48 749 ncpa.cpl.manifest
2005–01–04 09:48 749 cdplayer.exe.manifest
2005–01–04 09:48 749 wuaucpl.cpl.manifest
8 plik(w) 4800 bajtw
1 katalog(w) 3420545024 bajtw wolnych

–––––––––– Files Named "Guard" –––––––––––––

Wolumin w stacji C nie ma etykiety.
Numer seryjny woluminu: DC3A–FECA

Katalog: C:WINDOWSSystem32


––––––––– Temp Files in System32 Directory ––––––––

Wolumin w stacji C nie ma etykiety.
Numer seryjny woluminu: DC3A–FECA

Katalog: C:WINDOWSSystem32

2001–10–26 16:45 2596 CONFIG.TMP
1 plik(w) 2596 bajtw
0 katalog(w) 3420545024 bajtw wolnych

–––––––––––––––– User Agent ––––––––––––

REGEDIT4

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionInternet SettingsUser AgentPost Platform]


–––––––––––– Keys Under Notify ––––––––––––

REGEDIT4

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonNotify]

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonNotifycrypt32chain]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,72,79,70,74,33,32,2e,64,6c,6c,00
"Logoff"="ChainWlxLogoffEvent"

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonNotifycryptnet]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,72,79,70,74,6e,65,74,2e,64,6c,6c,00
"Logoff"="CryptnetWlxLogoffEvent"

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonNotifycscdll]
"DLLName"="cscdll.dll"
"Logon"="WinlogonLogonEvent"
"Logoff"="WinlogonLogoffEvent"
"ScreenSaver"="WinlogonScreenSaverEvent"
"Startup"="WinlogonStartupEvent"
"Shutdown"="WinlogonShutdownEvent"
"StartShell"="WinlogonStartShellEvent"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonNotifyScCertProp]
"DLLName"="wlnotify.dll"
"Logon"="SCardStartCertProp"
"Logoff"="SCardStopCertProp"
"Lock"="SCardSuspendCertProp"
"Unlock"="SCardResumeCertProp"
"Enabled"=dword:00000001
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonNotifySchedule]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,6c,6e,6f,74,69,66,79,2e,64,6c,6c,00
"Impersonate"=dword:00000000
"StartShell"="SchedStartShell"
"Logoff"="SchedEventLogOff"

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonNotifysclgntfy]
"Logoff"="WLEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
"DllName"=hex(2):73,63,6c,67,6e,74,66,79,2e,64,6c,6c,00

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonNotifySensLogn]
"DLLName"="WlNotify.dll"
"Lock"="SensLockEvent"
"Logon"="SensLogonEvent"
"Logoff"="SensLogoffEvent"
"Safe"=dword:00000001
"MaxWait"=dword:00000258
"StartScreenSaver"="SensStartScreenSaverEvent"
"StopScreenSaver"="SensStopScreenSaverEvent"
"Startup"="SensStartupEvent"
"Shutdown"="SensShutdownEvent"
"StartShell"="SensStartShellEvent"
"PostShell"="SensPostShellEvent"
"Disconnect"="SensDisconnectEvent"
"Reconnect"="SensReconnectEvent"
"Unlock"="SensUnlockEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonNotify ermsrv]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,6c,6e,6f,74,69,66,79,2e,64,6c,6c,00
"Impersonate"=dword:00000000
"Logoff"="TSEventLogoff"
"Logon"="TSEventLogon"
"PostShell"="TSEventPostShell"
"Shutdown"="TSEventShutdown"
"StartShell"="TSEventStartShell"
"Startup"="TSEventStartup"
"MaxWait"=dword:00000258
"Reconnect"="TSEventReconnect"
"Disconnect"="TSEventDisconnect"

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonNotifyThemes]
"Asynchronous"=dword:00000000
"DllName"="C:\WINDOWS\system32\e6200gfme62a0.dll"
"Impersonate"=dword:00000000
"Logon"="WinLogon"
"Logoff"="WinLogoff"
"Shutdown"="WinShutdown"

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonNotifywlballoon]
"DLLName"="wlnotify.dll"
"Logon"="RegisterTicketExpiredNotificationEvent"
"Logoff"="UnregisterTicketExpiredNotificationEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001


–––––––––––––––– Xfind Locked Files –––––––––––––––––


–––––––––––––– XFind Qoologic Results ––––––––––––––

Invalid search path

–––––––––––––– XFind Aspack Results –––––––––––––––

Invalid search path

–––––––––––––– Locate.com Results –––––––––––––––

C:WINDOWSSYSTEM32\r cdplay~1.man Tue 2005–01–04 9:48:08 A..HR 749 0,73 K
lhgsyfe Tue 2005–01–04 12:02:18 A..H. 79 0,07 K
logonu~1.man Tue 2005–01–04 9:48:18 A..HR 488 0,48 K
ncpacp~1.man Tue 2005–01–04 9:48:08 A..HR 749 0,73 K
nwccpl~1.man Tue 2005–01–04 9:48:08 A..HR 749 0,73 K
sapicp~1.man Tue 2005–01–04 9:48:08 A..HR 749 0,73 K
window~1.man Tue 2005–01–04 9:48:18 A..HR 488 0,48 K
wuaucp~1.man Tue 2005–01–04 9:48:08 A..HR 749 0,73 K

8 items found: 8 files, 0 directories.
Total of file sizes: 4 800 bytes 4,69 K

Wyłączasz neta całkowicie!!!

No to trzeba będzie włączyć KillBox i wpisać ścieźki plików:

C:WINDOWSSystem32 jrsptb.dll
C:WINDOWSSystem32e6200gfme62a0.dll
C:WINDOWSSystem32ktlml7311.dll
C:WINDOWSSystem32guard.tmp

Po kaźdej wpisanej ścieźce klikasz przycisk z czerwonym kółkiem i znaczkiem X.
Zapisz te pliki(na kartce czy gdzie Ci się tam podoba) których program ten nie mógł znaleźć lub skasować.
Zaznaczasz opcję "Delete on Reboot" i wklej ścieźki tych plików, których nie mogłeś usunąć poprzednio.Po kaźdorazowym wpisaniu ścieźki KillBox bedzie pytał o restet więc klikasz NO i wpisujesz następną ścieźkę. Po skasowaniu ostatniego pliku dajesz YES i resetujesz kompa.


Na koniec usuwasz z rejestru

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionInternet SettingsUser AgentPost Platform]
"{142C746A–B049–4F1B–9224–B2D74C3E24B4}"=""

i to

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonNotifySharedDLLs]

Przy pisaniu tego postu kierowałem się podwieszonymi tematami autorstwa picasso (dokładny opis krok po kroku).

Oto log z findit:

Warning! This utility will find legitimate files in addition to malware.
Do not remove anything unless you are sure you know what you're doing.

––––––– System Files in System32 Directory –––––––

Wolumin w stacji C nie ma etykiety.
Numer seryjny woluminu: DC3A–FECA

Katalog: C:WINDOWSSystem32

2005–01–09 13:23 dllcache
2005–01–09 09:25 224871 njrsptb.dll
2005–01–09 09:15 224871 e6200gfme62a0.dll
2005–01–09 03:03 224871 ktlml7311.dll
3 plik(w) 674613 bajtw
1 katalog(w) 3428405248 bajtw wolnych

––––––– Hidden Files in System32 Directory –––––––

Wolumin w stacji C nie ma etykiety.
Numer seryjny woluminu: DC3A–FECA

Katalog: C:WINDOWSSystem32

2005–01–09 13:23 dllcache
2005–01–04 12:02 79 LHGSYFE
2005–01–04 09:48 488 logonui.exe.manifest
2005–01–04 09:48 488 WindowsLogon.manifest
2005–01–04 09:48 749 nwc.cpl.manifest
2005–01–04 09:48 749 sapi.cpl.manifest
2005–01–04 09:48 749 ncpa.cpl.manifest
2005–01–04 09:48 749 cdplayer.exe.manifest
2005–01–04 09:48 749 wuaucpl.cpl.manifest
8 plik(w) 4800 bajtw
1 katalog(w) 3428405248 bajtw wolnych

–––––––––– Files Named "Guard" –––––––––––––

Wolumin w stacji C nie ma etykiety.
Numer seryjny woluminu: DC3A–FECA

Katalog: C:WINDOWSSystem32

2005–01–09 09:26 224871 guard.tmp
1 plik(w) 224871 bajtw
0 katalog(w) 3428405248 bajtw wolnych

––––––––– Temp Files in System32 Directory ––––––––

Wolumin w stacji C nie ma etykiety.
Numer seryjny woluminu: DC3A–FECA

Katalog: C:WINDOWSSystem32

2005–01–09 09:26 224871 guard.tmp
2001–10–26 16:45 2596 CONFIG.TMP
2 plik(w) 227467 bajtw
0 katalog(w) 3428405248 bajtw wolnych

–––––––––––––––– User Agent ––––––––––––

REGEDIT4

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionInternet SettingsUser AgentPost Platform]
"{142C746A–B049–4F1B–9224–B2D74C3E24B4}"=""


–––––––––––– Keys Under Notify ––––––––––––

REGEDIT4

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonNotify]

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonNotifycrypt32chain]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,72,79,70,74,33,32,2e,64,6c,6c,00
"Logoff"="ChainWlxLogoffEvent"

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonNotifycryptnet]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,72,79,70,74,6e,65,74,2e,64,6c,6c,00
"Logoff"="CryptnetWlxLogoffEvent"

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonNotifycscdll]
"DLLName"="cscdll.dll"
"Logon"="WinlogonLogonEvent"
"Logoff"="WinlogonLogoffEvent"
"ScreenSaver"="WinlogonScreenSaverEvent"
"Startup"="WinlogonStartupEvent"
"Shutdown"="WinlogonShutdownEvent"
"StartShell"="WinlogonStartShellEvent"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonNotifyScCertProp]
"DLLName"="wlnotify.dll"
"Logon"="SCardStartCertProp"
"Logoff"="SCardStopCertProp"
"Lock"="SCardSuspendCertProp"
"Unlock"="SCardResumeCertProp"
"Enabled"=dword:00000001
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonNotifySchedule]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,6c,6e,6f,74,69,66,79,2e,64,6c,6c,00
"Impersonate"=dword:00000000
"StartShell"="SchedStartShell"
"Logoff"="SchedEventLogOff"

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonNotifysclgntfy]
"Logoff"="WLEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
"DllName"=hex(2):73,63,6c,67,6e,74,66,79,2e,64,6c,6c,00

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonNotifySensLogn]
"DLLName"="WlNotify.dll"
"Lock"="SensLockEvent"
"Logon"="SensLogonEvent"
"Logoff"="SensLogoffEvent"
"Safe"=dword:00000001
"MaxWait"=dword:00000258
"StartScreenSaver"="SensStartScreenSaverEvent"
"StopScreenSaver"="SensStopScreenSaverEvent"
"Startup"="SensStartupEvent"
"Shutdown"="SensShutdownEvent"
"StartShell"="SensStartShellEvent"
"PostShell"="SensPostShellEvent"
"Disconnect"="SensDisconnectEvent"
"Reconnect"="SensReconnectEvent"
"Unlock"="SensUnlockEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonNotifySharedDLLs]
"Asynchronous"=dword:00000000
"DllName"="C:\WINDOWS\system32\ktlml7311.dll"
"Impersonate"=dword:00000000
"Logon"="WinLogon"
"Logoff"="WinLogoff"
"Shutdown"="WinShutdown"

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonNotify ermsrv]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,6c,6e,6f,74,69,66,79,2e,64,6c,6c,00
"Impersonate"=dword:00000000
"Logoff"="TSEventLogoff"
"Logon"="TSEventLogon"
"PostShell"="TSEventPostShell"
"Shutdown"="TSEventShutdown"
"StartShell"="TSEventStartShell"
"Startup"="TSEventStartup"
"MaxWait"=dword:00000258
"Reconnect"="TSEventReconnect"
"Disconnect"="TSEventDisconnect"

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonNotifywlballoon]
"DLLName"="wlnotify.dll"
"Logon"="RegisterTicketExpiredNotificationEvent"
"Logoff"="UnregisterTicketExpiredNotificationEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001


–––––––––––––––– Xfind Locked Files –––––––––––––––––

C:WINDOWSSystem32E6200G~1.DLL +++ File read error

–––––––––––––– XFind Qoologic Results ––––––––––––––

C:WINDOWSSystem32E6200G~1.DLL +++ File read error
Invalid search path

–––––––––––––– XFind Aspack Results –––––––––––––––

C:WINDOWSSystem32E6200G~1.DLL +++ File read error
Invalid search path

–––––––––––––– Locate.com Results –––––––––––––––

C:WINDOWSSYSTEM32\r cdplay~1.man Tue 2005–01–04 9:48:08 A..HR 749 0,73 K
e6200g~1.dll Sun 2005–01–09 9:15:32 ..S.R 224 871 219,60 K
ktlml7~1.dll Sun 2005–01–09 3:03:56 ..S.R 224 871 219,60 K
lhgsyfe Tue 2005–01–04 12:02:18 A..H. 79 0,07 K
logonu~1.man Tue 2005–01–04 9:48:18 A..HR 488 0,48 K
ncpacp~1.man Tue 2005–01–04 9:48:08 A..HR 749 0,73 K
njrsptb.dll Sun 2005–01–09 9:25:42 ..S.R 224 871 219,60 K
nwccpl~1.man Tue 2005–01–04 9:48:08 A..HR 749 0,73 K
sapicp~1.man Tue 2005–01–04 9:48:08 A..HR 749 0,73 K
window~1.man Tue 2005–01–04 9:48:18 A..HR 488 0,48 K
wuaucp~1.man Tue 2005–01–04 9:48:08 A..HR 749 0,73 K

11 items found: 11 files, 0 directories.
Total of file sizes: 679 413 bytes 663,49 K

Witam. Masz ten sam syf co ja miałem i nieźle trzeba się namęczyć źeby to usunąć.Jest to szpieg VX2.

Na początek moźesz ściągnąć TEN programik, uruchamiasz Find.bat–––>zapisujesz log i wklejasz go na forum.

Potrzebny będzie teź KillBox
Jak zrobisz log z Findit dołącz go na forum to razem moźe coś wykombinujemy.
Pozdrówka

Proszę o analizę

Logfile of HijackThis v1.99.0
Scan saved at 09:37:13, on 2005–01–09
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSExplorer.EXE
C:PROGRA~1ALWILS~1Avast4ashDisp.exe
C:Program FilesJavaj2re1.4.2_06injusched.exe
C:WINDOWSSystem32 tsmod.exe
C:Program FilesMessengermsmsgs.exe
C:Program FilesKazaa Lite Rewolucjakazaalite.kpp
D:Moje dokumentyzegarynka.exe
C:Program FilesAlwil SoftwareAvast4aswUpdSv.exe
C:Program FilesAlwil SoftwareAvast4ashServ.exe
C:WINDOWSSystem32 vsvc32.exe
C:Program FilesAlwil SoftwareAvast4setupavast.setup
C:Program FilesAlwil SoftwareAvast4ashMaiSv.exe
C:Program FilesGadu–Gadugg.exe
C:WINDOWSsystem32 undll32.exe
C:Program FilesOutlook Expressmsimn.exe
C:Program FilesInternet Exploreriexplore.exe
C:Documents and SettingsArcymagPulpitczyszczenieHijackThis.exe

R0 – HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.onet.pl/
R0 – HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Łącza
R3 – Default URLSearchHook is missing
O1 – Hosts: 69.20.16.183 ieautosearch
O1 – Hosts: 69.20.16.183 auto.search.msn.com
O1 – Hosts: 69.20.16.183 search.netscape.com
O1 – Hosts: 69.20.16.183 ieautosearch
O1 – Hosts: 69.20.16.183 ieautosearch
O1 – Hosts: 69.20.16.183 ieautosearch
O1 – Hosts: 69.20.16.183 ieautosearch
O3 – Toolbar: &Radio – {8E718888–423F–11D2–876E–00A0C9082467} – C:WINDOWSSystem32msdxm.ocx
O4 – HKLM..Run: [Golden Eye] C:Program FilesGolden Eyegoldeneye.exe
O4 – HKLM..Run: [avast!] C:PROGRA~1ALWILS~1Avast4ashDisp.exe
O4 – HKLM..Run: [SunJavaUpdateSched] C:Program FilesJavaj2re1.4.2_06injusched.exe
O4 – HKLM..Run: [KAZAA] "C:Program FilesKazaa Lite Rewolucjakpp.exe" "C:Program FilesKazaa Lite Rewolucjakazaalite.kpp" /SYSTRAY
O4 – HKLM..Run: [ntsmod] C:WINDOWSSystem32 tsmod.exe
O4 – HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSSystem32NvCpl.dll,NvStartup
O4 – HKLM..Run: [nwiz] nwiz.exe /install
O4 – HKLM..Run: [NvMediaCenter] RUNDLL32.EXE C:WINDOWSSystem32NvMcTray.dll,NvTaskbarInit
O4 – HKCU..Run: [Gadu–Gadu] C:Program FilesGadu–Gadugg.exe /tray
O4 – HKCU..Run: [MSMSGS] "C:Program FilesMessengermsmsgs.exe" /background
O4 – HKCU..Run: [Zegarynka] D:Moje dokumentyzegarynka.exe
O9 – Extra button: (no name) – {08B0E5C0–4FCB–11CF–AAA5–00401C608501} – C:Program FilesJavaj2re1.4.2_06in pjpi142_06.dll
O9 – Extra 'Tools' menuitem: Sun Java Console – {08B0E5C0–4FCB–11CF–AAA5–00401C608501} – C:Program FilesJavaj2re1.4.2_06in pjpi142_06.dll
O9 – Extra button: eBay – Homepage – {EF79EAC5–3452–4E02–B8BD–BA4C89F1AC7A} – C:Program FilesIrfanViewEbayEbay.htm (file missing)
O16 – DPF: {15AD4789–CDB4–47E1–A9DA–992EE8E6BAD6} – ms–its:mhtml:file://c: osuxxx.mht!http://www.kazaalite.pl/xa/xa.chm::/bridge–c274.cab
O16 – DPF: {E7544C6C–CFD6–43EA–B4E9–360CEE20BDF7} (MainControl Class) – http://skaner.mks.com.pl/SkanerOnline.cab
O16 – DPF: {FDDBE2B8–6602–4AD8–946D–94C5A32FA6C1} (GameDesire Pool 8) – http://67.15.101.3/g_bin/pl/billard8_2_0_0_21.cab
O23 – Service: avast! iAVS4 Control Service – Unknown – C:Program FilesAlwil SoftwareAvast4aswUpdSv.exe
O23 – Service: avast! Antivirus – Unknown – C:Program FilesAlwil SoftwareAvast4ashServ.exe
O23 – Service: avast! Mail Scanner – ALWIL Software – C:Program FilesAlwil SoftwareAvast4ashMaiSv.exe
O23 – Service: NVIDIA Display Driver Service – NVIDIA Corporation – C:WINDOWSSystem32 vsvc32.exe