Spysherif–––po walce...proszę sprawdzić loga!!
Czas mnie gonił i jakoś sam co nieco porobiłem..pulpit wrócił do normy, poznikały brzydkie słoneczka i krzyźyki...czy według ciebie jeszcze coś trzeba usunąć?podaje loga
Logfile of HijackThis v1.99.1
Scan saved at 02:45:19, on 2005–10–29
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\csrss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\spoolsv.exe
F:\Program Files\MKS\Bin\NetMonSV.exe
F:\Program Files\ewido\security suite\ewidoctrl.exe
F:\Program Files\ewido\security suite\ewidoguard.exe
F:\Program Files\MKS\Bin\mksmonsv.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\System32\wdfmgr.exe
F:\WINDOWS\Explorer.EXE
F:\WINDOWS\SOUNDMAN.EXE
F:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
F:\Program Files\MKS\Bin\ABregmon.exe
F:\Program Files\Microtek\ScanWizard 5\ScannerFinder.exe
F:\Program Files\MKS\Bin\mks_scan.exe
F:\Program Files\Kalendarz XP\Kalendarz.exe
F:\Program Files\D–Link AirPlus\AirPlus.exe
F:\Program Files\Corel\Graphics9\Register\Remind32.exe
F:\WINDOWS\System32\wuauclt.exe
F:\Program Files\Internet Explorer\iexplore.exe
F:\Documents and Settings\Radek\Pulpit\Nie ruszać\hijackthis\HijackThis.exe
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.95.218.172/index.php
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl/
R1 – HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.95.218.172/index.php
R0 – HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://195.95.218.172/index.php
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.95.218.172/index.php
R0 – HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.95.218.172/index.php
R1 – HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://w3cache.galas.tuchow.pl/proxy.pac
R0 – HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 – BHO: AcroIEHlprObj Class – {06849E9F–C8D7–4D59–B87D–784B7D6BE0B3} – F:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 – BHO: (no name) – {78364D99–A640–4ddf–B91A–67EFF8373045} – F:\WINDOWS\System32\appwiy.dll
O2 – BHO: ReadFile Class – {811ABD55–9D94–4892–AB46–11D7DA29B8AE} – F:\WINDOWS\System32\RFA2.dll
O2 – BHO: (no name) – {91259102–F52D–E42A–57ed–EDA392644311} – F:\WINDOWS\System32\svcpy.dll (file missing)
O3 – Toolbar: &Radio – {8E718888–423F–11D2–876E–00A0C9082467} – F:\WINDOWS\System32\msdxm.ocx
O4 – HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 – HKLM\..\Run: [HPDJ Taskbar Utility] F:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 – HKLM\..\Run: [NeroFilterCheck] F:\WINDOWS\system32\NeroCheck.exe
O4 – HKLM\..\Run: [MKS_MENU] F:\Program Files\MKS\Bin\mks_menu.exe
O4 – HKLM\..\Run: [ABREGMON] F:\Program Files\MKS\Bin\ABregmon.exe
O4 – Startup: Rejestrowanie produktów Corela.lnk = F:\Program Files\Corel\Graphics9\Register\Remind32.exe
O4 – Global Startup: Microsoft Office.lnk = F:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 – Global Startup: Microtek Scanner Finder.lnk = F:\Program Files\Microtek\ScanWizard 5\ScannerFinder.exe
O4 – Global Startup: Kalendarz XP.lnk = F:\Program Files\Kalendarz XP\Kalendarz.exe
O4 – Global Startup: D–Link AirPlus.lnk = ?
O12 – Plugin for .bcf: F:\Program Files\Internet Explorer\Plugins\NPBelv32.dll
O12 – Plugin for .spop: F:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 – DPF: {17492023–C23A–453E–A040–C7C580BBF700} (Windows Genuine Advantage Validation Tool) – http://go.microsoft.com/fwlink/?linkid=39204
O16 – DPF: {6414512B–B978–451D–A0D8–FCFDF33E833C} (WUWebControl Class) – http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120758474530
O16 – DPF: {82CF9738–0BDA–4AAF–AB08–5AC5875FF3BB} (YMultiRecord Class) – file://F:\Program Files\Angielski z Cambridge – demo\lekcje\localplayer\recording\yrecording.cab
O16 – DPF: {E7544C6C–CFD6–43EA–B4E9–360CEE20BDF7} (MainControl Class) – http://skaner.mks.com.pl/SkanerOnline.cab
O17 – HKLM\System\CCS\Services\Tcpip\..\{63FEDFAC–6D06–4BF1–8742–72DC1E1B8963}: NameServer = 192.168.3.1
O20 – Winlogon Notify: tcpG4T – tcpG4T.dll (file missing)
O21 – SSODL: SysTray.Excn – {1722ECFF–4356–4f5b–B534–E67294FE75E9} – F:\WINDOWS\System32\hkcnmkid.dll (file missing)
O21 – SSODL: Internet Explorer – {F28A40D7–AD0E–034A–C651–5F0ED76232E6} – F:\WINDOWS\System32\Kceoedhl.dll (file missing)
O21 – SSODL: SysTray.Excn2 – {1722ECFF–4356–4f5b–B534–E67294FE75E9} – F:\WINDOWS\System32\hkcnmkid.dll (file missing)
O21 – SSODL: SysTray.Exsn – {2368D1FC–2F5C–4f1b–B124–E67214FC78E2} – F:\WINDOWS\System32\miflehph.dll
O21 – SSODL: SysTray.Exsh – {1768ECFC–4F5C–4f5b–B134–D67294FC78E9} – F:\WINDOWS\System32\npcjopgp.dll
O21 – SSODL: SysTray.Exrn – {4368ECFC–4F5C–4f3b–B934–D67494FC78E0} – F:\WINDOWS\System32\opjqooqh.dll
O23 – Service: ArcaBit NetMonitor (ABNetMon) – ArcaBit sp. z o.o. – F:\Program Files\MKS\Bin\NetMonSV.exe
O23 – Service: ewido security suite control – ewido networks – F:\Program Files\ewido\security suite\ewidoctrl.exe
O23 – Service: ewido security suite guard – ewido networks – F:\Program Files\ewido\security suite\ewidoguard.exe
O23 – Service: MkSUpdateInt – MkS Sp. z o. o. – F:\Program Files\MKS\bin\MkSUpdateInt.exe
O23 – Service: MkS_Vir Monitor (MksVirMonSvc) – Unknown owner – F:\Program Files\MKS\Bin\mksmonsv.exe
O23 – Service: MkS_Scan – Unknown owner – F:\Program Files\MKS\Bin\mks_scan.exe
O23 – Service: NVIDIA Driver Helper Service (NVSvc) – NVIDIA Corporation – F:\WINDOWS\System32\nvsvc32.exe
Odpowiedzi: 5
Sciągnij więc sobie program Pocket Killbox, wklej w nim ścieźki do tych plików i zaznacz usuwanie po ponownym rozruchu.
Sprawdź jakie nawe nazwt mają pliki których nazwy zmienił skaner, znajdziesz to najprawdopodobnie gdzies w dzienniku skanowania o ile takie jest tworzony.
Sprawdź jakie nawe nazwt mają pliki których nazwy zmienił skaner, znajdziesz to najprawdopodobnie gdzies w dzienniku skanowania o ile takie jest tworzony.
Cześć..to znowu ja.Dzięki za dotychczasową pomoc...oto log po usunięciu RO...
Niestety nie odnalazłem Kceoedhl.dll, ani tcpG4T.dll w System32 lub System...mimo zaleceń. Mam sugestie i sorki, ze nie wpadłem na to od razu...pierwszym działaniem po zaraźeniu było przeskanowanie przezemnie pandą on–line i ona wykryła mi/zapisałem na kartce tylko zapomniałem/ ale nie ubiła tylko zmieniła nazwę...F\WINDOWS\System32\paytime.exe––sugerując trojan.Startpage.Mg
F\WINDOWS\System32\onfhpdgc.dll––sugerując Worm.Prox.J
F\WINDOWS\System32\Kceoedhl.dll––sugerujac Trojan.Pador.Gen.6219.MX
wszystkie te pozycje miały by zmienione nazwy...czy to coś daje?, a jak nie to jak tego szukać...zwłaszcza, ze sugerowany wpis Kceoedhl...no istnieje tu gdzieś?...proszę o kontakt
Logfile of HijackThis v1.99.1
Scan saved at 11:43:53, on 2005–11–02
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\spoolsv.exe
F:\Program Files\MKS\Bin\NetMonSV.exe
F:\Program Files\ewido\security suite\ewidoctrl.exe
F:\Program Files\MKS\Bin\mksmonsv.exe
F:\WINDOWS\System32\nvsvc32.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\Explorer.EXE
F:\WINDOWS\SOUNDMAN.EXE
F:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
F:\Program Files\MKS\Bin\mks_menu.exe
F:\Program Files\MKS\Bin\ABregmon.exe
F:\Program Files\Microtek\ScanWizard 5\ScannerFinder.exe
F:\Program Files\Kalendarz XP\Kalendarz.exe
F:\Program Files\D–Link AirPlus\AirPlus.exe
F:\Program Files\Corel\Graphics9\Register\Remind32.exe
F:\Program Files\MKS\Bin\mks_scan.exe
F:\WINDOWS\System32\wuauclt.exe
F:\WINDOWS\System32\wuauclt.exe
F:\Documents and Settings\Radek\Moje dokumenty\bezpieczeństwo\hijackthis\HijackThis.exe
R1 – HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://w3cache.galas.tuchow.pl/proxy.pac
R0 – HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 – BHO: AcroIEHlprObj Class – {06849E9F–C8D7–4D59–B87D–784B7D6BE0B3} – F:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 – Toolbar: &Radio – {8E718888–423F–11D2–876E–00A0C9082467} – F:\WINDOWS\System32\msdxm.ocx
O4 – HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 – HKLM\..\Run: [HPDJ Taskbar Utility] F:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 – HKLM\..\Run: [NeroFilterCheck] F:\WINDOWS\system32\NeroCheck.exe
O4 – HKLM\..\Run: [MKS_MENU] F:\Program Files\MKS\Bin\mks_menu.exe
O4 – HKLM\..\Run: [ABREGMON] F:\Program Files\MKS\Bin\ABregmon.exe
O4 – Startup: Rejestrowanie produktów Corela.lnk = F:\Program Files\Corel\Graphics9\Register\Remind32.exe
O4 – Global Startup: Microsoft Office.lnk = F:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 – Global Startup: Microtek Scanner Finder.lnk = F:\Program Files\Microtek\ScanWizard 5\ScannerFinder.exe
O4 – Global Startup: Kalendarz XP.lnk = F:\Program Files\Kalendarz XP\Kalendarz.exe
O4 – Global Startup: D–Link AirPlus.lnk = ?
O12 – Plugin for .bcf: F:\Program Files\Internet Explorer\Plugins\NPBelv32.dll
O12 – Plugin for .spop: F:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 – DPF: {17492023–C23A–453E–A040–C7C580BBF700} (Windows Genuine Advantage Validation Tool) – http://go.microsoft.com/fwlink/?linkid=39204
O16 – DPF: {6414512B–B978–451D–A0D8–FCFDF33E833C} (WUWebControl Class) – http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120758474530
O16 – DPF: {82CF9738–0BDA–4AAF–AB08–5AC5875FF3BB} (YMultiRecord Class) – file://F:\Program Files\Angielski z Cambridge – demo\lekcje\localplayer\recording\yrecording.cab
O16 – DPF: {E7544C6C–CFD6–43EA–B4E9–360CEE20BDF7} (MainControl Class) – http://skaner.mks.com.pl/SkanerOnline.cab
O17 – HKLM\System\CCS\Services\Tcpip\..\{63FEDFAC–6D06–4BF1–8742–72DC1E1B8963}: NameServer = 192.168.3.1
O23 – Service: ArcaBit NetMonitor (ABNetMon) – ArcaBit sp. z o.o. – F:\Program Files\MKS\Bin\NetMonSV.exe
O23 – Service: ewido security suite control – ewido networks – F:\Program Files\ewido\security suite\ewidoctrl.exe
O23 – Service: MkSUpdateInt – MkS Sp. z o. o. – F:\Program Files\MKS\bin\MkSUpdateInt.exe
O23 – Service: MkS_Vir Monitor (MksVirMonSvc) – Unknown owner – F:\Program Files\MKS\Bin\mksmonsv.exe
O23 – Service: MkS_Scan – Unknown owner – F:\Program Files\MKS\Bin\mks_scan.exe
O23 – Service: NVIDIA Driver Helper Service (NVSvc) – NVIDIA Corporation – F:\WINDOWS\System32\nvsvc32.exe
Niestety nie odnalazłem Kceoedhl.dll, ani tcpG4T.dll w System32 lub System...mimo zaleceń. Mam sugestie i sorki, ze nie wpadłem na to od razu...pierwszym działaniem po zaraźeniu było przeskanowanie przezemnie pandą on–line i ona wykryła mi/zapisałem na kartce tylko zapomniałem/ ale nie ubiła tylko zmieniła nazwę...F\WINDOWS\System32\paytime.exe––sugerując trojan.Startpage.Mg
F\WINDOWS\System32\onfhpdgc.dll––sugerując Worm.Prox.J
F\WINDOWS\System32\Kceoedhl.dll––sugerujac Trojan.Pador.Gen.6219.MX
wszystkie te pozycje miały by zmienione nazwy...czy to coś daje?, a jak nie to jak tego szukać...zwłaszcza, ze sugerowany wpis Kceoedhl...no istnieje tu gdzieś?...proszę o kontakt
Smieci dzialaja jedynie na tym systemie na ktorym nastapilo "zarazenie". Jesli na W98 nie korzystales z neta, nie zauwazyles zadnych niepokojacych objawow, nie musisz go czyscic.Łowczy67:
1.mam na kompie postawiony teź win98...czy z niego tez podac log, jezeli zarazenie było na xp?
W dalszym ciagu zostaja "R–ki". Usuwales ?
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.95.218.172/index.php
R1 – HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.95.218.172/index.php
R0 – HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://195.95.218.172/index.php
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.95.218.172/index.php
R0 – HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.95.218.172/index.php
Plikow ktorych nie znalazles musisz lepiej poszukac. Zalacz pokazywanie plikow ukrytych i systemowych – w oknie np. Moj komputer, menu Narzedzia –> Opcje folderow –> zakladka Widok.
Dzięki za komentarz do wcześniejszego loga.zrobiłem co polecono i podaje nowy log.mam 2 pytania...1.mam na kompie postawiony teź win98...czy z niego tez podac log, jezeli zarazenie było na xp?...2.do hjk wstawiłem podane z loga scieźki. Natomiast nie znalazłem ,,ręcznie,, w F/WINDOWS/SYSTEM32/Kceoedhl.dll, ani.....
––––––––––––––––––/tcpG4T.dll....??...
dzięki za pomoc i...proszę o jeszcze chwilkę wytrwałości ze staruszkiem :wink: :wink:
––––––––––––––––––/tcpG4T.dll....??...
dzięki za pomoc i...proszę o jeszcze chwilkę wytrwałości ze staruszkiem :wink: :wink:
Logfile of HijackThis v1.99.1
Scan saved at 19:31:05, on 2005–10–29
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\Explorer.EXE
F:\Documents and Settings\Radek\Pulpit\Nie ruszać\hijackthis\HijackThis.exe
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.95.218.172/index.php
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl/
R1 – HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.95.218.172/index.php
R0 – HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://195.95.218.172/index.php
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.95.218.172/index.php
R0 – HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.95.218.172/index.php
R1 – HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://w3cache.galas.tuchow.pl/proxy.pac
R0 – HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 – BHO: AcroIEHlprObj Class – {06849E9F–C8D7–4D59–B87D–784B7D6BE0B3} – F:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 – Toolbar: &Radio – {8E718888–423F–11D2–876E–00A0C9082467} – F:\WINDOWS\System32\msdxm.ocx
O4 – HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 – HKLM\..\Run: [HPDJ Taskbar Utility] F:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 – HKLM\..\Run: [NeroFilterCheck] F:\WINDOWS\system32\NeroCheck.exe
O4 – HKLM\..\Run: [MKS_MENU] F:\Program Files\MKS\Bin\mks_menu.exe
O4 – HKLM\..\Run: [ABREGMON] F:\Program Files\MKS\Bin\ABregmon.exe
O4 – Startup: Rejestrowanie produktów Corela.lnk = F:\Program Files\Corel\Graphics9\Register\Remind32.exe
O4 – Global Startup: Microsoft Office.lnk = F:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 – Global Startup: Microtek Scanner Finder.lnk = F:\Program Files\Microtek\ScanWizard 5\ScannerFinder.exe
O4 – Global Startup: Kalendarz XP.lnk = F:\Program Files\Kalendarz XP\Kalendarz.exe
O4 – Global Startup: D–Link AirPlus.lnk = ?
O12 – Plugin for .bcf: F:\Program Files\Internet Explorer\Plugins\NPBelv32.dll
O12 – Plugin for .spop: F:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 – DPF: {17492023–C23A–453E–A040–C7C580BBF700} (Windows Genuine Advantage Validation Tool) – http://go.microsoft.com/fwlink/?linkid=39204
O16 – DPF: {6414512B–B978–451D–A0D8–FCFDF33E833C} (WUWebControl Class) – http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120758474530
O16 – DPF: {82CF9738–0BDA–4AAF–AB08–5AC5875FF3BB} (YMultiRecord Class) – file://F:\Program Files\Angielski z Cambridge – demo\lekcje\localplayer\recording\yrecording.cab
O16 – DPF: {E7544C6C–CFD6–43EA–B4E9–360CEE20BDF7} (MainControl Class) – http://skaner.mks.com.pl/SkanerOnline.cab
O17 – HKLM\System\CCS\Services\Tcpip\..\{63FEDFAC–6D06–4BF1–8742–72DC1E1B8963}: NameServer = 192.168.3.1
O23 – Service: ArcaBit NetMonitor (ABNetMon) – ArcaBit sp. z o.o. – F:\Program Files\MKS\Bin\NetMonSV.exe
O23 – Service: ewido security suite control – ewido networks – F:\Program Files\ewido\security suite\ewidoctrl.exe
O23 – Service: ewido security suite guard – ewido networks – F:\Program Files\ewido\security suite\ewidoguard.exe
O23 – Service: MkSUpdateInt – MkS Sp. z o. o. – F:\Program Files\MKS\bin\MkSUpdateInt.exe
O23 – Service: MkS_Vir Monitor (MksVirMonSvc) – Unknown owner – F:\Program Files\MKS\Bin\mksmonsv.exe
O23 – Service: MkS_Scan – Unknown owner – F:\Program Files\MKS\Bin\mks_scan.exe
O23 – Service: NVIDIA Driver Helper Service (NVSvc) – NVIDIA Corporation – F:\WINDOWS\System32\nvsvc32.exe
Do usunięcia zostało Ci:
Mam nadzieję, źe wyłączyłeś wcześniej przywracanie.
Masz do przerobienia opis usuwania trojana Haxdoor.AG
Wcześniejszy temat z logiem sprzed usuwania poleciał na śmietnik. Trzeba było w jednym temacie kontynuować.
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.95.218.172/index.php
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl/
R1 – HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.95.218.172/index.php
R0 – HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://195.95.218.172/index.php
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.95.218.172/index.php
R0 – HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.95.218.172/index.php
O2 – BHO: (no name) – {78364D99–A640–4ddf–B91A–67EFF8373045} – F:\WINDOWS\System32\appwiy.dll
O2 – BHO: ReadFile Class – {811ABD55–9D94–4892–AB46–11D7DA29B8AE} – F:\WINDOWS\System32\RFA2.dll
O2 – BHO: (no name) – {91259102–F52D–E42A–57ed–EDA392644311} – F:\WINDOWS\System32\svcpy.dll (file missing)
O20 – Winlogon Notify: tcpG4T – tcpG4T.dll (file missing)
O21 – SSODL: SysTray.Excn – {1722ECFF–4356–4f5b–B534–E67294FE75E9} – F:\WINDOWS\System32\hkcnmkid.dll (file missing)
O21 – SSODL: Internet Explorer – {F28A40D7–AD0E–034A–C651–5F0ED76232E6} – F:\WINDOWS\System32\Kceoedhl.dll (file missing)
O21 – SSODL: SysTray.Excn2 – {1722ECFF–4356–4f5b–B534–E67294FE75E9} – F:\WINDOWS\System32\hkcnmkid.dll (file missing)
O21 – SSODL: SysTray.Exsn – {2368D1FC–2F5C–4f1b–B124–E67214FC78E2} – F:\WINDOWS\System32\miflehph.dll
O21 – SSODL: SysTray.Exsh – {1768ECFC–4F5C–4f5b–B134–D67294FC78E9} – F:\WINDOWS\System32\npcjopgp.dll
O21 – SSODL: SysTray.Exrn – {4368ECFC–4F5C–4f3b–B934–D67494FC78E0} – F:\WINDOWS\System32\opjqooqh.dll
Mam nadzieję, źe wyłączyłeś wcześniej przywracanie.
Masz do przerobienia opis usuwania trojana Haxdoor.AG
Wcześniejszy temat z logiem sprzed usuwania poleciał na śmietnik. Trzeba było w jednym temacie kontynuować.
Strona 1 / 1