prosze o sprawdzenie loga - spysheriff

[robert7000]

Czy ktoś może mi pomóc? Komp mi sie restartuje i stronki same otwierają.. Oto mój log. Pomóżcie!!


Logfile of HijackThis v1.99.1
Scan saved at 19:49:38, on 2005-11-24
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:/WINDOWS/System32/smss.exe
C:/WINDOWS/system32/services.exe
C:/WINDOWS/system32/lsass.exe
C:/WINDOWS/system32/svchost.exe
C:/WINDOWS/System32/svchost.exe
C:/WINDOWS/System32/devldr32.exe
C:/WINDOWS/msstream.exe
C:/Program Files/Internet Explorer/IEXPLORE.EXE
C:/Program Files/Internet Explorer/IEXPLORE.EXE
C:/WINDOWS/system32/rundll32.exe
C:/Program Files/Gadu-Gadu/gg.exe
C:/Documents and Settings/X/Pulpit/Początki eFeL/hijackthis/HijackThis.exe

R1 - HKCU/Software/Microsoft/Internet Explorer/Main,Default_Page_URL = /4.3.10
R1 - HKCU/Software/Microsoft/Internet Explorer/Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU/Software/Microsoft/Internet Explorer/Main,Search Page = google.pl
R0 - HKCU/Software/Microsoft/Internet Explorer/Main,Start Page = /4.3.10
R1 - HKLM/Software/Microsoft/Internet Explorer/Main,Default_Page_URL = /4.3.10
R1 - HKLM/Software/Microsoft/Internet Explorer/Main,Search Page = google.pl
R0 - HKLM/Software/Microsoft/Internet Explorer/Main,Start Page = /4.3.10
R1 - HKCU/Software/Microsoft/Internet Explorer/Main,First Home Page = /4.3.10
R0 - HKCU/Software/Microsoft/Internet Explorer/Main,Local Page = /4.3.10
R1 - HKLM/Software/Microsoft/Internet Explorer/Main,First Home Page = /4.3.10
R0 - HKLM/Software/Microsoft/Internet Explorer/Main,Local Page = /4.3.10
R0 - HKCU/Software/Microsoft/Internet Explorer/Toolbar,LinksFolderName = Łącza
F2 - REG:system.ini: Shell=explorer.exe "C:/Program Files/Common Files/Microsoft Shared/Web Folders/ibm00001.exe"
F3 - REG:win.ini: load=c:/progra~1/collins/watch.exe
O1 - Hosts: ST:127.0.0.1
O1 - Hosts: ia.com
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:/WINDOWS/System32/msdxm.ocx
O3 - Toolbar: UCmore XP - The Search Accelerator - {44BE0690-5429-47f0-85BB-3FFD8020233E} - C:/Program Files/TheSearchAccelerator/UCMTSAIE.dll
O4 - HKLM/../Run: [AVGCtrl] C:/Program Files/AVPersonal/AVGNT.EXE /min
O4 - HKLM/../Run: [Resume copy] copyfstq.exe /startup
O4 - HKLM/../Run: [NvCplDaemon] RUNDLL32.EXE C:/WINDOWS/System32/NvCpl.dll,NvStartup
O4 - HKLM/../Run: [nwiz] nwiz.exe /install
O4 - HKLM/../Run: [NvMediaCenter] RUNDLL32.EXE C:/WINDOWS/System32/NvMcTray.dll,NvTaskbarInit
O4 - HKLM/../Run: [Memcharge] "C:/Program Files/PC Accelerator 2004 Standard/mem.exe"
O4 - HKLM/../Run: [KernelFaultCheck] %systemroot%/system32/dumprep 0 -k
O4 - HKLM/../Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM/../Run: [UpdReg] C:/WINDOWS/UpdReg.EXE
O4 - HKLM/../Run: [Jet Detection] "C:/Program Files/Creative/SBLive/PROGRAM/ADGJDet.exe"
O4 - HKLM/../Run: [AudioHQ] C:/Program Files/Creative/SBLive/AudioHQ/AHQTB.EXE
O4 - HKLM/../Run: [CTRegRun] C:/WINDOWS/CTRegRun.EXE
O4 - HKLM/../Run: [Disc Detector] C:/Program Files/Creative/ShareDLL/CtNotify.exe
O4 - HKLM/../Run: [NeroCheck] C:/WINDOWS/system32/NeroCheck.exe
O4 - HKLM/../Run: [SysMemory manager] c:/windows/system32/mdms.exe
O4 - HKLM/../Run: [Debugger] C:/WINDOWS/msstream.exe
O4 - HKLM/../Run: [adtech2005] C:/windows/adtech2005.exe
O4 - HKLM/../Run: [SmcService] C:/PROGRA~1/Sygate/SPF/Smc.exe -startgui
O4 - HKCU/../Run: [CTFMON.EXE] C:/WINDOWS/System32/ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:/Program Files/Microsoft Office/Office/OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:/WINDOWS/web/related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:/WINDOWS/web/related.htm
O15 - Trusted Zone: http://skaner.mks.com.pl
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1095771129223
O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab
O20 - Winlogon Notify: avpe32 - C:/WINDOWS/SYSTEM32/avpe32.dll
O20 - Winlogon Notify: OptimalLayout - C:/WINDOWS/system32/mv2sl9f71.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:/Program Files/AVPersonal/AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:/Program Files/AVPersonal/AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:/WINDOWS/System32/CTsvcCDA.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:/WINDOWS/System32/nvsvc32.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:/Program Files/Sygate/SPF/Smc.exe

Autor postu otrzymał pochwałę

[Tom@szek]

Po usunięciu podanych wpisów - kłania się SP2.

Strart do trybu awaryjnego po wyłączeniu przywracania systemu ( właściwości -> mój komp. przywracanie)
Pogrubione pliki usuwasz ręcznie z systemu po usunięciu z hijachthis.

R1 - HKCU/Software/Microsoft/Internet Explorer/Main,Default_Page_URL = /4.3.10
R1 - HKCU/Software/Microsoft/Internet Explorer/Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU/Software/Microsoft/Internet Explorer/Main,Search Page = google.pl
R0 - HKCU/Software/Microsoft/Internet Explorer/Main,Start Page = /4.3.10
R1 - HKLM/Software/Microsoft/Internet Explorer/Main,Default_Page_URL = /4.3.10
R1 - HKLM/Software/Microsoft/Internet Explorer/Main,Search Page = google.pl
R0 - HKLM/Software/Microsoft/Internet Explorer/Main,Start Page = /4.3.10
R1 - HKCU/Software/Microsoft/Internet Explorer/Main,First Home Page = /4.3.10
R0 - HKCU/Software/Microsoft/Internet Explorer/Main,Local Page = /4.3.10
R1 - HKLM/Software/Microsoft/Internet Explorer/Main,First Home Page = /4.3.10
R0 - HKLM/Software/Microsoft/Internet Explorer/Main,Local Page = /4.3.10

F2 - REG:system.ini: Shell=explorer.exe "C:/Program Files/Common Files/Microsoft Shared/Web Folders/ibm00001.exe"

O1 - Hosts: ia.com

O3 - Toolbar: UCmore XP - The Search Accelerator - {44BE0690-5429-47f0-85BB-3FFD8020233E} - C:/Program Files/TheSearchAccelerator/UCMTSAIE.dll

O4 - HKLM/../Run: [SysMemory manager] c:/windows/system32/mdms.exe

O4 - HKLM/../Run: [Debugger] C:/WINDOWS/msstream.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:/WINDOWS/web/related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:/WINDOWS/web/related.htm

Autor postu otrzymał pochwałę

[robert7000]

Usunałem te logi, pliki ibm00001.exe, mdms.exe, msstream.exe również. Stronki już sie nie pojawiają samoczynnie (w trybie awaryjnym tez sie pojawialy, ale niestety nie moge odpalić kompa w trybie normalnym, zaraz po załadowaniu windowsa pojawia sie ladnie pulpit i zaraz po nim reset. Poza tym InternetExplorer przestał działać ale mam Opere. Czy można coś jeszcze z tym zrobić? Oto log:


Logfile of HijackThis v1.99.1
Scan saved at 01:52:19, on 2005-11-25
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:/WINDOWS/System32/smss.exe
C:/WINDOWS/system32/services.exe
C:/WINDOWS/system32/lsass.exe
C:/WINDOWS/system32/svchost.exe
C:/WINDOWS/System32/svchost.exe
C:/WINDOWS/System32/devldr32.exe
C:/WINDOWS/system32/rundll32.exe
C:/Program Files/Opera/Opera.exe
C:/Documents and Settings/X/Pulpit/Początki eFeL/hijackthis/HijackThis.exe

R1 - HKCU/Software/Microsoft/Internet Explorer/Main,Default_Page_URL = /4.3.10
R0 - HKCU/Software/Microsoft/Internet Explorer/Main,Start Page = /4.3.10
R1 - HKLM/Software/Microsoft/Internet Explorer/Main,Default_Page_URL = /4.3.10
R0 - HKLM/Software/Microsoft/Internet Explorer/Main,Start Page = /4.3.10
R1 - HKCU/Software/Microsoft/Internet Explorer/Main,First Home Page = /4.3.10
R0 - HKCU/Software/Microsoft/Internet Explorer/Main,Local Page = /4.3.10
R1 - HKLM/Software/Microsoft/Internet Explorer/Main,First Home Page = /4.3.10
R0 - HKLM/Software/Microsoft/Internet Explorer/Main,Local Page = /4.3.10
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:/WINDOWS/System32/msdxm.ocx
O4 - HKLM/../Run: [AVGCtrl] C:/Program Files/AVPersonal/AVGNT.EXE /min
O4 - HKLM/../Run: [Resume copy] copyfstq.exe /startup
O4 - HKLM/../Run: [NvCplDaemon] RUNDLL32.EXE C:/WINDOWS/System32/NvCpl.dll,NvStartup
O4 - HKLM/../Run: [nwiz] nwiz.exe /install
O4 - HKLM/../Run: [NvMediaCenter] RUNDLL32.EXE C:/WINDOWS/System32/NvMcTray.dll,NvTaskbarInit
O4 - HKLM/../Run: [Memcharge] "C:/Program Files/PC Accelerator 2004 Standard/mem.exe"
O4 - HKLM/../Run: [KernelFaultCheck] %systemroot%/system32/dumprep 0 -k
O4 - HKLM/../Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM/../Run: [UpdReg] C:/WINDOWS/UpdReg.EXE
O4 - HKLM/../Run: [Jet Detection] "C:/Program Files/Creative/SBLive/PROGRAM/ADGJDet.exe"
O4 - HKLM/../Run: [AudioHQ] C:/Program Files/Creative/SBLive/AudioHQ/AHQTB.EXE
O4 - HKLM/../Run: [CTRegRun] C:/WINDOWS/CTRegRun.EXE
O4 - HKLM/../Run: [Disc Detector] C:/Program Files/Creative/ShareDLL/CtNotify.exe
O4 - HKLM/../Run: [NeroCheck] C:/WINDOWS/system32/NeroCheck.exe
O4 - HKLM/../Run: [SmcService] C:/PROGRA~1/Sygate/SPF/Smc.exe -startgui
O4 - HKLM/../Run: [Media Pass] C:/Program Files/Media Pass/MediaPassK.exe
O4 - HKCU/../Run: [CTFMON.EXE] C:/WINDOWS/System32/ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:/Program Files/Microsoft Office/Office/OSA9.EXE
O15 - Trusted Zone: http://skaner.mks.com.pl
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - ms-its:mhtml:file://c:/nesunel.mht!http://adextension.com/ext1/lca.chm::/bridge-c18.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1095771129223
O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab
O20 - Winlogon Notify: avpe32 - C:/WINDOWS/SYSTEM32/avpe32.dll
O20 - Winlogon Notify: ShellScrap - C:/WINDOWS/system32/hr8u05l9e.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:/Program Files/AVPersonal/AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:/Program Files/AVPersonal/AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:/WINDOWS/System32/CTsvcCDA.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:/WINDOWS/System32/nvsvc32.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:/Program Files/Sygate/SPF/Smc.exe

[Red]

usuwasz z wylaczonym przywracaniem systemu w xp i w trybie awaryjnym f8:

R1 - HKCU/Software/Microsoft/Internet Explorer/Main,Default_Page_URL = /4.3.10
R0 - HKCU/Software/Microsoft/Internet Explorer/Main,Start Page = /4.3.10
R1 - HKLM/Software/Microsoft/Internet Explorer/Main,Default_Page_URL = /4.3.10
R0 - HKLM/Software/Microsoft/Internet Explorer/Main,Start Page = /4.3.10
R1 - HKCU/Software/Microsoft/Internet Explorer/Main,First Home Page = /4.3.10
R0 - HKCU/Software/Microsoft/Internet Explorer/Main,Local Page = /4.3.10
R1 - HKLM/Software/Microsoft/Internet Explorer/Main,First Home Page = /4.3.10
R0 - HKLM/Software/Microsoft/Internet Explorer/Main,Local Page = /4.3.10

O4 - HKLM/../Run: [Media Pass] C:/Program Files/Media Pass/MediaPassK.exe

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - ms-its:mhtml:file://c:/nesunel.mht!http://adextension.com/ext1/lca.chm::/bridge- c18.cab

to co pogrubione usuwasz recznie z program files lub z dodaj usun>>chodzi o Media Pass reszta leci za pomocą fix w hijacku

nastepnie:
1. Sciagnij i uruchom (wypakuj) programik http://www.atribune.org/downloads/l2mfix.exe
odłacz sie całkowicie od netu i w trybie awaryjnym
2. Odpal go przez l2mfix.bat z jego folderu
3. Uruchom w nim opcje 2 - Run fix
4. Czekaj cierpliwie na zakonczenie i nie przejmuj sie "wywaleniem" pulpitu
5. Pokaz log ktory dostaniesz po zakonczeniu
6. Pokaz log z HJ

[robert7000]

MediaPass usunięte.

Co do I2mfix to zainstalowalem go, odłączyłem neta, uruchomiłem, wybralem opcje 2 - run fix pojawily sie takie komunikaty(Nie moglem ich skopiować więc napisałem poniżej)

"This fix will reboot automatically.
Password will be entered automatically.
KeyPress, V3.0, by Tony McNamara

Wpisz hasło dla L2MFIX
Trwa podejmowanie próby uruchomienia switch.bat przez użytkownika...
BŁĄD PROGRAMU RUNAS: Nie można uruchomić - switch.bat
1084: Tej usługi nie można uruchomić w trybie awaryjnym
Processing Cleanup.
..
The system is ready to reboot now. The log.txt will be in the I2mfix folder after the reboot if it does not open on its own. Please fix the missing file 020 with hijackthis.
after the reboot
Aby kontynuować, naciśnij dowolny klawisz"

Poczym nastąpił restart..
log.txt jest pusty. 2 razy probowałem i nic się tam nie zapisało.

Komp w trybie normalnym nadal się restartuje i "wolniej myśli".. Niestety


Oto ostatni log:



Logfile of HijackThis v1.99.1
Scan saved at 05:28:31, on 2005-11-25
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:/WINDOWS/System32/smss.exe
C:/WINDOWS/system32/services.exe
C:/WINDOWS/system32/savedump.exe
C:/WINDOWS/system32/lsass.exe
C:/WINDOWS/system32/svchost.exe
C:/WINDOWS/System32/svchost.exe
C:/WINDOWS/System32/devldr32.exe
C:/Program Files/Opera/Opera.exe
C:/Documents and Settings/X/Pulpit/Początki eFeL/hijackthis/HijackThis.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:/WINDOWS/System32/msdxm.ocx
O4 - HKLM/../Run: [AVGCtrl] "C:/Program Files/AVPersonal/AVGNT.EXE" /min
O4 - HKLM/../Run: [Resume copy] copyfstq.exe /startup
O4 - HKLM/../Run: [NvCplDaemon] RUNDLL32.EXE C:/WINDOWS/System32/NvCpl.dll,NvStartup
O4 - HKLM/../Run: [nwiz] nwiz.exe /install
O4 - HKLM/../Run: [NvMediaCenter] RUNDLL32.EXE C:/WINDOWS/System32/NvMcTray.dll,NvTaskbarInit
O4 - HKLM/../Run: [Memcharge] "C:/Program Files/PC Accelerator 2004 Standard/mem.exe"
O4 - HKLM/../Run: [KernelFaultCheck] %systemroot%/system32/dumprep 0 -k
O4 - HKLM/../Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM/../Run: [UpdReg] C:/WINDOWS/UpdReg.EXE
O4 - HKLM/../Run: [Jet Detection] "C:/Program Files/Creative/SBLive/PROGRAM/ADGJDet.exe"
O4 - HKLM/../Run: [AudioHQ] C:/Program Files/Creative/SBLive/AudioHQ/AHQTB.EXE
O4 - HKLM/../Run: [CTRegRun] C:/WINDOWS/CTRegRun.EXE
O4 - HKLM/../Run: [Disc Detector] C:/Program Files/Creative/ShareDLL/CtNotify.exe
O4 - HKLM/../Run: [NeroCheck] C:/WINDOWS/system32/NeroCheck.exe
O4 - HKLM/../Run: [SmcService] C:/PROGRA~1/Sygate/SPF/smc.exe -startgui
O4 - HKCU/../Run: [CTFMON.EXE] C:/WINDOWS/System32/ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:/Program Files/Microsoft Office/Office/OSA9.EXE
O15 - Trusted Zone: http://skaner.mks.com.pl
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1095771129223
O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab
O20 - Winlogon Notify: avpe32 - C:/WINDOWS/SYSTEM32/avpe32.dll
O20 - Winlogon Notify: WebCheck - C:/WINDOWS/system32/enp4l17q1.dll (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:/PROGRAM FILES/AVPERSONAL/AVGUARD.EXE
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - Unknown owner - C:/PROGRA~1/Grisoft/AVGFRE~1/avgamsvr.exe (file missing)
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:/Program Files/AVPersonal/AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:/WINDOWS/System32/CTsvcCDA.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:/WINDOWS/System32/nvsvc32.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:/Program Files/Sygate/SPF/smc.exe

[Red]

sciagasz:
http://www.bleepingcomputer.com/files/killbox.php

wbijasz sie w tryb awaryjny f8
odpalasz Killboxa zaznacz opcję Delete on Reboot następnie w polu Full Path of File to Delete wklej scieżke:
C:/WINDOWS/system32/enp4l17q1.dll,wciskasz x i zostaniesz zapytany o restart ,nie zgadzasz sie i wklejasz drugą sciezke tj:
C:/WINDOWS/SYSTEM32/avpe32.dll tym razem zgadzasz sie
następnie program będzie pytał o restart-potwierdzasz
i teraz sprobuj iruchomic I2mfix>>opcja 2

Autor postu otrzymał pochwałę

[robert7000]

C:/WINDOWS/system32/enp4l17q1.dll - przy Delete on Reboot nic sie nie pojawia. Przy standard kill pojawia sie komunikat ze ten plik nie istnieje.
C:/WINDOWS/SYSTEM32/avpe32.dll - przy Delete on Reboot nic sie nie pojawia (chociaż w tym wypadku avpe32.dll było podświetlone). Przy standard kill pojawia sie komunikat ze nie mozna usunąć. Replace chyba da sie zrobic ale nie wiem czy to cos da.
Obie lokalizacje sprawdzalem ręcznie i nie znalazlem tych plików..
Jak myslisz czy da sie cos jeszcze z tym fantem zrobić? W trybie awaryjnym komp dziala ok, w normalnym po chwili sie restartuje..

LOG:

Kod: Zaznacz wszystko

Logfile of HijackThis v1.99.1
Scan saved at 07:51:50, on 2005-11-25
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:/WINDOWS/System32/smss.exe
C:/WINDOWS/system32/services.exe
C:/WINDOWS/system32/lsass.exe
C:/WINDOWS/system32/svchost.exe
C:/WINDOWS/System32/svchost.exe
C:/WINDOWS/System32/devldr32.exe
C:/Program Files/Gadu-Gadu/gg.exe
C:/Program Files/Opera/Opera.exe
C:/Documents and Settings/X/Pulpit/Początki eFeL/hijackthis/HijackThis.exe
C:/Documents and Settings/X/Pulpit/Początki eFeL/KillBox1/KillBox.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:/WINDOWS/System32/msdxm.ocx
O4 - HKLM/../Run: [AVGCtrl] "C:/Program Files/AVPersonal/AVGNT.EXE" /min
O4 - HKLM/../Run: [Resume copy] copyfstq.exe /startup
O4 - HKLM/../Run: [NvCplDaemon] RUNDLL32.EXE C:/WINDOWS/System32/NvCpl.dll,NvStartup
O4 - HKLM/../Run: [nwiz] nwiz.exe /install
O4 - HKLM/../Run: [NvMediaCenter] RUNDLL32.EXE C:/WINDOWS/System32/NvMcTray.dll,NvTaskbarInit
O4 - HKLM/../Run: [Memcharge] "C:/Program Files/PC Accelerator 2004 Standard/mem.exe"
O4 - HKLM/../Run: [KernelFaultCheck] %systemroot%/system32/dumprep 0 -k
O4 - HKLM/../Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM/../Run: [UpdReg] C:/WINDOWS/UpdReg.EXE
O4 - HKLM/../Run: [Jet Detection] "C:/Program Files/Creative/SBLive/PROGRAM/ADGJDet.exe"
O4 - HKLM/../Run: [AudioHQ] C:/Program Files/Creative/SBLive/AudioHQ/AHQTB.EXE
O4 - HKLM/../Run: [CTRegRun] C:/WINDOWS/CTRegRun.EXE
O4 - HKLM/../Run: [Disc Detector] C:/Program Files/Creative/ShareDLL/CtNotify.exe
O4 - HKLM/../Run: [NeroCheck] C:/WINDOWS/system32/NeroCheck.exe
O4 - HKLM/../Run: [SmcService] C:/PROGRA~1/Sygate/SPF/smc.exe -startgui
O4 - HKLM/../Run: [AVG7_CC] C:/PROGRA~1/Grisoft/AVGFRE~1/avgcc.exe /STARTUP
O4 - HKCU/../Run: [CTFMON.EXE] C:/WINDOWS/System32/ctfmon.exe
O4 - HKCU/../Run: [AVG7_Run] C:/PROGRA~1/Grisoft/AVGFRE~1/avgw.exe /RUNONCE
O4 - Global Startup: Microsoft Office.lnk = C:/Program Files/Microsoft Office/Office/OSA9.EXE
O15 - Trusted Zone: http://skaner.mks.com.pl
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1095771129223
O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab
O20 - Winlogon Notify: avpe32 - C:/WINDOWS/SYSTEM32/avpe32.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:/PROGRAM FILES/AVPERSONAL/AVGUARD.EXE
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:/PROGRA~1/Grisoft/AVGFRE~1/avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:/PROGRA~1/Grisoft/AVGFRE~1/avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:/PROGRA~1/Grisoft/AVGFRE~1/avgemc.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:/Program Files/AVPersonal/AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:/WINDOWS/System32/CTsvcCDA.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:/WINDOWS/System32/nvsvc32.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:/Program Files/Sygate/SPF/smc.exe

[jeff]

robert7000

przeczytaj temat jak sie umieszcza log-a w tagach

http://forum.programosy.pl/hijackthis-gtobsuga-i-umieszczanie-loga-vt9452.html

[robert7000]

ok

[ Dodano: Dzisiaj o 10:50 ]
Dzięki za pomoc!
Już wszystko działa. zainstalowalem nowego firewalla i poblem zniknął, od razu wykrył i zablokował gościa.
"Somebody is scanning your computer.
Your computer's UDP ports:
4081, 2, 1029, and 1030 have been scanned from 61.156.238.238.."
(i od tego momentu przestał się wyłączać komp)
Co jakiś probuje robić port scan.
61.156.238.238 - trzeba gościa namierzyć;)
Pozdrawiam i jeszcze raz dzieki!