Z tego zainfekowanego usun FIXem a pozniej przeszukaj dysk i usun te pliki po ewentualnym wylaczeniu w Task managerze lub w trybie awaryjnym (nie jestem pewien tego pierwszego):

C:WINDOWSSystem32WTLXPan.Exe

C:WINDOWSSystem32 tsysteme.exe
c: oool.exe
c:meedias.exe
O2 – BHO: (no name) – {000020DD–C72E–4113–AF77–DD56626C6C42} – C:WINDOWS waintec.dll (file missing)
O2 – BHO: PK IE Plugin – {1E1B2879–88FF–11D3–8D96–D7ACAC95951A} – C:WINDOWSSystem32pkwb.dll (file missing)
O4 – HKLM..Run: [WTLXPan] WTLXPan.Exe
O4 – HKLM..Run: [KernelFaultCheck] %systemroot%system32dumprep 0 –k
O4 – HKLM..Run: [ist service uninstall] C:WINDOWSmstasks2.exe /u
O4 – HKLM..Run: [IST Service] C:Program FilesISTsvcistsvc.exe
O4 – HKLM..Run: [Microsoft Update Machine] ntsysteme.exe
O4 – HKLM..RunServices: [Microsoft Update Machine] ntsysteme.exe
O4 – HKCU..Run: [Microsoft Update Machine] ntsysteme.exe
O8 – Extra context menu item: E&ksport do programu Microsoft Excel – res://C:PROGRA~1MICROS~2OFFICE11EXCEL.EXE/3000
O16 – DPF: {9C691A33–7DDA–4C2F–BE4C–C176083F35CF} (brdg Class) – http://www2.flingstone.com/cab/2000XP/ClickYesToContinue/bridge.cab
O16 – DPF: {9EB320CE–BE1D–4304–A081–4B4665414BEF} – http://www.mt–download.com/MediaTicketsInstaller.cab

W tym nowo zainstalowanym masz rowniez "ntsysteme.exe ".

A to log z "czystej" świeźej instalki XP (zainstalowany Norton i mks)


Logfile of HijackThis v1.97.7
Scan saved at 14:46:31, on 2004–08–18
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSSystem32Ati2evxx.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesCommon FilesSymantec SharedccSetMgr.exe
C:Program FilesCommon FilesSymantec SharedccEvtMgr.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSsystem32Ati2evxx.exe
C:WINDOWSExplorer.EXE
C:Program FilesCommon FilesSymantec SharedccApp.exe
C:Program FilesATI TechnologiesATI Control Panelatiptaxx.exe
C:WINDOWSSystem32ctfmon.exe
C:Program FilesMessengermsmsgs.exe
C:WINDOWSSystem32 tsysteme.exe
C:Program FilesNorton AntiVirus avapsvc.exe
C:Program FilesNorton AntiVirusAdvToolsNPROTECT.EXE
C:Program FilesCommon FilesSymantec SharedCCPD–LCsymlcsvc.exe
C:Program FilesNorton AntiVirusSAVScan.exe
C:WINDOWSSystem32wuauclt.exe
I:HijackThis.exe

R0 – HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page =
http://www.onet.pl/
R0 – HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName
= Łącza
O2 – BHO: NAV Helper – {BDF3E430–B101–42AD–A544–FADC6B084872} –
C:Program FilesNorton AntiVirusNavShExt.dll
O3 – Toolbar: &Radio – {8E718888–423F–11D2–876E–00A0C9082467} –
C:WINDOWSSystem32msdxm.ocx
O3 – Toolbar: Norton AntiVirus –
{42CDD1BF–3FFB–4238–8AD1–7859DF00B1D6} – C:Program FilesNorton
AntiVirusNavShExt.dll
O4 – HKLM..Run: [ccApp] "C:Program FilesCommon FilesSymantec
SharedccApp.exe"
O4 – HKLM..Run: [Advanced Tools Check]
C:PROGRA~1NORTON~1AdvToolsADVCHK.EXE
O4 – HKLM..Run: [ATIPTA] C:Program FilesATI TechnologiesATI
Control Panelatiptaxx.exe
O4 – HKLM..Run: [Microsoft Update Machine] ntsysteme.exe
O4 – HKLM..RunServices: [Microsoft Update Machine] ntsysteme.exe
O4 – HKCU..Run: [CTFMON.EXE] C:WINDOWSSystem32ctfmon.exe
O4 – HKCU..Run: [MSMSGS] "C:Program FilesMessengermsmsgs.exe"
/background
O4 – HKCU..Run: [Microsoft Update Machine] ntsysteme.exe
O9 – Extra button: Related (HKLM)
O9 – Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 – DPF: {D27CDB6E–AE6D–11CF–96B8–444553540000} (Shockwave Flash
Object) –
http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 – DPF: {E7544C6C–CFD6–43EA–B4E9–360CEE20BDF7} (MainControl Class)
– http://skaner.mks.com.pl/SkanerOnline.cab

To jest log z drugiego PC, przed chwilą zainfekowanego.

Logfile of HijackThis v1.97.7
Scan saved at 16:14:46, on 2004–08–18
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesCommon FilesSymantec SharedccSetMgr.exe
C:Program FilesCommon FilesSymantec SharedccEvtMgr.exe
C:WINDOWSExplorer.EXE
C:WINDOWSsystem32spoolsv.exe
C:Program FilesCommon FilesSymantec SharedccApp.exe
C:WINDOWSanvshell.exe
C:WINDOWSSystem32WTLXPan.Exe
C:Program FilesExecutive SoftwareDiskeeperDkService.exe
C:WINDOWSSystem32spooldriversw32x863hpztsb09.exe
C:Program FilesCommon FilesRealUpdate_OB ealsched.exe
C:Program FilesNorton SystemWorksNorton Antivirus avapsvc.exe
C:PROGRA~1NORTON~1NORTON~2NPROTECT.EXE
C:WINDOWSSystem32 vsvc32.exe
C:PROGRA~1NORTON~1NORTON~2SPEEDD~1NOPDB.EXE
C:WINDOWSSystem32svchost.exe
C:Program FilesCyberLinkPowerDVDPDVDServ.exe
C:WINDOWSSystem32msg32.exe
C:WINDOWSSystem32 tsysteme.exe
C:WINDOWSSystem32ctfmon.exe
C:Program FilesGadu–Gadugg.exe
C:Program FilesNorton SystemWorksNorton AntivirusSAVScan.exe
c: oool.exe
c:meedias.exe
C:Program FilesInternet ExplorerIEXPLORE.EXE
C:Documents and SettingsxPulpitałąxznikiXPkrytyczne poprawkiHijackThis.exe

R0 – HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.wp.pl/
O2 – BHO: (no name) – {000020DD–C72E–4113–AF77–DD56626C6C42} – C:WINDOWS waintec.dll (file missing)
O2 – BHO: (no name) – {06849E9F–C8D7–4D59–B87D–784B7D6BE0B3} – C:Program FilesAdobeAcrobat 6.0 CEReaderActiveXAcroIEHelper.dll
O2 – BHO: PK IE Plugin – {1E1B2879–88FF–11D3–8D96–D7ACAC95951A} – C:WINDOWSSystem32pkwb.dll (file missing)
O2 – BHO: NAV Helper – {BDF3E430–B101–42AD–A544–FADC6B084872} – C:Program FilesNorton SystemWorksNorton AntivirusNavShExt.dll
O3 – Toolbar: &Radio – {8E718888–423F–11D2–876E–00A0C9082467} – C:WINDOWSSystem32msdxm.ocx
O3 – Toolbar: Norton AntiVirus – {42CDD1BF–3FFB–4238–8AD1–7859DF00B1D6} – C:Program FilesNorton SystemWorksNorton AntivirusNavShExt.dll
O4 – HKLM..Run: [ccApp] "C:Program FilesCommon FilesSymantec SharedccApp.exe"
O4 – HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSSystem32NvCpl.dll,NvStartup
O4 – HKLM..Run: [nwiz] nwiz.exe /install
O4 – HKLM..Run: [anvshell] anvshell.exe
O4 – HKLM..Run: [LiveNote] livenote.exe
O4 – HKLM..Run: [WTLXPan] WTLXPan.Exe
O4 – HKLM..Run: [NeroFilterCheck] C:WINDOWSsystem32NeroCheck.exe
O4 – HKLM..Run: [CloneCDElbyCDFL] "C:Program FilesElaborate BytesCloneCDElbyCheck.exe" /L ElbyCDFL
O4 – HKLM..Run: [HPDJ Taskbar Utility] C:WINDOWSSystem32spooldriversw32x863hpztsb09.exe
O4 – HKLM..Run: [TkBellExe] "C:Program FilesCommon FilesRealUpdate_OB ealsched.exe" –osboot
O4 – HKLM..Run: [PinnacleDriverCheck] C:WINDOWSSystem32PSDrvCheck.exe –CheckReg
O4 – HKLM..Run: [KernelFaultCheck] %systemroot%system32dumprep 0 –k
O4 – HKLM..Run: [ist service uninstall] C:WINDOWSmstasks2.exe /u
O4 – HKLM..Run: [IST Service] C:Program FilesISTsvcistsvc.exe
O4 – HKLM..Run: [Internet Optimizer] "C:Program FilesInternet Optimizeroptimize.exe"
O4 – HKLM..Run: [PSDrvCheck] "c:program filesedition.5programPSDrvCheck.exe" –CheckReg
O4 – HKLM..Run: [RemoteControl] C:Program FilesCyberLinkPowerDVDPDVDServ.exe
O4 – HKLM..Run: [QuickTime Task] "C:Program FilesQuickTimeqttask.exe" –atboottime
O4 – HKLM..Run: [EW Message Server] msg32.exe
O4 – HKLM..Run: [Microsoft Update Machine] ntsysteme.exe
O4 – HKLM..RunServices: [Microsoft Update Machine] ntsysteme.exe
O4 – HKCU..Run: [CTFMON.EXE] C:WINDOWSSystem32ctfmon.exe
O4 – HKCU..Run: [Gadu–Gadu] "C:Program FilesGadu–Gadugg.exe" /tray
O4 – HKCU..Run: [Norton SystemWorks] C:Program FilesCommon FilesSymantec SharedCfgWiz.exe /GUID {DA9935BA–22F7–44ee–BD12–BD8B87700BEA}
O4 – HKCU..Run: [ClockSync] C:Program FilesClockSyncSync.exe
O4 – HKCU..Run: [Microsoft Update Machine] ntsysteme.exe
O8 – Extra context menu item: E&ksport do programu Microsoft Excel – res://C:PROGRA~1MICROS~2OFFICE11EXCEL.EXE/3000
O9 – Extra button: Badanie (HKLM)
O9 – Extra button: Related (HKLM)
O9 – Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 – DPF: {166B1BCA–3F9C–11CF–8075–444553540000} (Shockwave ActiveX Control) – http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 – DPF: {92ECE6FA–AC2E–4042–BFAE–0C8608E52A43} (SignActivX Control) – https://www.bph.pl/pi/components/SignActivX.cab
O16 – DPF: {9C691A33–7DDA–4C2F–BE4C–C176083F35CF} (brdg Class) – http://www2.flingstone.com/cab/2000XP/ClickYesToContinue/bridge.cab
O16 – DPF: {9EB320CE–BE1D–4304–A081–4B4665414BEF} – http://www.mt–download.com/MediaTicketsInstaller.cab
O16 – DPF: {D27CDB6E–AE6D–11CF–96B8–444553540000} (Shockwave Flash Object) – http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 – DPF: {E7544C6C–CFD6–43EA–B4E9–360CEE20BDF7} (MainControl Class) – http://skaner.mks.com.pl/SkanerOnline.cab

Nie zrzut ekranu a z zapisanego loga txt wklej/skopiuj zawartosc.

Log potem, bo pisze źe niedozwolone rozszrzenie pliku...muszę zobaczyć co to znaczy (nie wysyłałem jesze załączników na tym forum...)

No i właśnie z drugim PC stało się to samo...Zastanawiam się czy to przypadkiem nie kafejka do której jestem podłączony nie serwuje mi tych niespodzianek...
Przesyłam log z HiJack'a

kurz:

Zainstalowałem wszystkie opisane na forum programiki

Zastosuj wiec ponownie HiJack'a i wklej tu log.

Zainstalowałem wszystkie opisane na forum programiki dokonałem aktualizacji XP i dalej to samo. Po włączeniu komputera po ok 10min (nic nie robiąc, nie wchodząc do sieci) wyskakują okienka (najczęściej z takim adresem:http://srchbarchatthere.321.cn
a na dysku C pod katalogiem Windows pojawiają się pliki:toool, sbc, meedias.
Co robić?

powiem tak, zakładając,źe to wirus, są microby,które potrafią ''przeźyć'' format.zamiast formatować trzeba było pokazać najpierw loga hijackthis.
''Czy jest moźliwe, źe gdzieś ktoś namierzył ten komputer i automatycznie zaraz po włączeniu do sieci infekuje się?''.
Jeśli masz trojana na tej maszynie to czemu nie..
Przeskanować moźesz tym http://www.softpedia.com/public/cat/10/17/10–17–150.shtml ,
http://www.bitdefender.com/scan/license.php

Tak od razu i to do mnie? :0) Mam stojący obok drugi komputer który idzie po tym samym łączu (tylko wewnętrzne ip ma inne) i nic do niego nie przychodzi...Czy jest moźliwe, źe gdzieś ktoś namierzył ten komputer i automatycznie zaraz po włączeniu do sieci infekuje się? Pytam bo zastanawiam się czy jest sens formatować dyski i reinstalować system, skoro i tak to przylezie :0(

Bo sobie z sieci przyszły.

Uźywam Nortona AV i Mksonline. Ale jak to moźliwe, źeby na czystej kopii systemu nie robiąć praktycznie nie wykonując źadnych działań pojawiały się wirusy? Jak instalowałem po sformatowaniu dysku system na nowo, internet miałem odłączony. Zainstalowałem system, zainstalowałem Nortona AV i zrobiłem skanowanie–zero wirusów.Po podłączeniu internetu po jakiś 10min juź się pojawiły i Norton je wykrył...

To gdzie Ty wszedłes, a to co Ciebie "odwiedziło" to dwie óźne kwestie.
Nie podąleś nic o stosowanych zabezpieczeniach – zakładam, źe nawet FW systemowy jest wyłaczony, a innego pewnikiem brak – ot i skutki.
Programy antywirusowe – jak sama nazwa wskazuje – nie są najskuteczniejszą bronią w walce z "całoksztąłtem" zagroźeń z sieci płynących.
Sięgnij do przyklejonych – w tym dziale – tematów i zapoznaj się zarówno z tym czym jak i w jaki sposób takie kłopoty zneutralizować i unikać ich w przyszłości.