coś wyłącza hijacka i inne okna, pliki...

[umberto78]

Ostatnio mam sporo problemów , nie dawno miałem problem z brakiem netu, ale dzieki Red'owi udało mi się z tym problemem uporać, a teraz mam następujący problem: przy próbie odpalenia hijacka, killboxa lub nawet samego folderu gdzie te pliki się znajdują po chwili coś wyłącza uruchominy plik lub otwary folder. Również nie mogę zaistalować każdego innego programu antywirusowego.
W normalnej pracy xp nie moge zrobić loga z hijacka z powyższej przyczyny, (ewentualnie mogę wkleić log z trybu awaryjnego chyba że problem jest znany). Proszę o pomoc!!

[jeff]

ewentualnie mogę wkleić log z trybu awaryjnego chyba że problem jest znany

to wklej

[umberto78]

Miałem problem z wklejeniem loga bo nawet przy otwarciu tego posta okno przeglądarki samo się zamyka za każdym razem . Musiałem zrobić to w pracy.
A oto log:

Logfile of HijackThis v1.99.1
Scan saved at 20:35:41, on 2006-09-15
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\Umberto\Moje dokumenty\instalki\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 68.45.9.119:80
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0 CE\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Winsockett] wmumemmne.exe
O4 - HKLM\..\RunServices: [Winsockett] wmumemmne.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .mpeg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {5A09E43F-A0A7-4ABF-AF80-11367CF1DC8F} (MainControl Class) - http://mks.com.pl/skaner/SkanerOnline.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1105623554632
O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTSvcCDA.exe
O23 - Service: Registry Management Service (RegManServ) - Unknown owner - C:\Program Files\Registry Defragmentation\RegManServ.exe
O23 - Service: World Of Warcraft - Unknown owner - C:\WINDOWS\System32\dllcache\warcraft.exe

Aha, te logi usunąłem ale za każdym razem przy nowym uruchomieniu one wracają:

O4 - HKLM\..\Run: [Winsockett] wmumemmne.exe
O4 - HKLM\..\RunServices: [Winsockett] wmumemmne.exe

[jeff]

wyłącz przywracanie systemu, wejdź w tryb awaryjny i kasujesz wpisy w Hijacku

O4 - HKLM\..\Run: [Winsockett] wmumemmne.exe
O4 - HKLM\..\RunServices: [Winsockett] wmumemmne.exe

odnajdujesz pogrubiony plik i kasujesz go RECZNE.

[umberto78]

tak, widziałem że te logi trzeba usunąć ale to nie rozwiązuje problemu. PO usunięciu:

O4 - HKLM\..\Run: [Winsockett] wmumemmne.exe
O4 - HKLM\..\RunServices: [Winsockett] wmumemmne.exe

logi powracają tylko nazwa "wmumemmne.exe" się zmienia

[jeff]

plik też recznie kasujesz czy tylko wpisy w hijacku

[umberto78]

nie, pliku nie skasowałem tylko wpisy. A ten plik szukać w rejestrze czy gdzieś w folderach?

[jeff]

czy gdzieś w folderach?

zaznacz opcję aby pokazywał Ci ukryte pliki i foldery i wtedy wyszukujesz plik i usuwasz

[Bieniol]

Na 99% będzie w folderze systemowym, dlatego uruchamiasz narzędzie KillBox, zaznaczasz Delete on reboot, w polu full path of file wklej ścieżkę:
C:\WINDOWS\system32\wmumemmne.exe
Klikasz X i restart kompa

[umberto78]

Killboxa mogę uruchomić tylko w trybie awaryjnym, czy to nie robi różnicy gdzie usunę ścieżkę??

[Bieniol]

Ważne, żeby usunąć

[umberto78]

Póki jestem w pracy proszę o sprawdzenie loga z combofixa na wszelki wypadek bo mam tam kilka wątpliwości:

Umberto - 06-09-15 20:42:20,53
ComboFix 06.09.04BT - Running from: C:\Documents and Settings\Andzia.LENCZEWSKI\Pulpit

Microsoft Windows XP [Wersja 5.1.2600]

((((((((((((((((((((((((((((((( Files Created from 2006-08-15 to 2006-09-15 ))))))))))))))))))))))))))))))))))


2006-09-15 20:42 671,744 -r-hs---- C:\WINDOWS\system32\nakoxxxll.exe
2006-09-15 16:15 671,744 -r-hs---- C:\WINDOWS\system32\wmumemmne.exe
2006-09-15 15:58 671,744 -ra------ C:\WINDOWS\system32\jjeuskkie.exe
2006-09-15 15:58 671,744 -r-hs---- C:\WINDOWS\system32\xjrnhljsi.exe
2006-09-15 15:49 0 --a------ C:\WINDOWS\system32\27031_redworld.exe
2006-09-15 14:38 122,880 --a------ C:\WINDOWS\system32\dnscmd.exe
2006-09-14 21:51 171,520 --a------ C:\WINDOWS\system32\LXAESUI.DLL
2006-09-14 21:48 114,968 --a------ C:\WINDOWS\system32\wuauclt.exe
2006-09-14 21:48 1,081,112 --a------ C:\WINDOWS\system32\wuaueng.dll
2006-09-14 21:40 24,661 --a------ C:\WINDOWS\system32\spxcoins.dll
2006-09-14 21:40 13,312 --a------ C:\WINDOWS\system32\irclass.dll
2006-09-05 09:28 571 --a------ C:\WINDOWS\fix.bat
2006-08-26 12:55 221,696 --a------ C:\WINDOWS\system32\qmgr.dll
2006-08-26 12:55 17,408 --a------ C:\WINDOWS\system32\qmgrprxy.dll
2006-08-26 12:54 869,376 --a------ C:\WINDOWS\system32\msdtctm.dll
2006-08-26 12:54 83,968 --a------ C:\WINDOWS\system32\mtxoci.dll
2006-08-26 12:54 582,656 --a------ C:\WINDOWS\system32\catsrvut.dll
2006-08-26 12:54 56,832 --a------ C:\WINDOWS\system32\colbact.dll
2006-08-26 12:54 495,616 --a------ C:\WINDOWS\system32\comuid.dll
2006-08-26 12:54 494,592 --a------ C:\WINDOWS\system32\hypertrm.dll
2006-08-26 12:54 468,480 --a------ C:\WINDOWS\system32\clbcatq.dll
2006-08-26 12:54 359,936 --a------ C:\WINDOWS\system32\msdtcprx.dll
2006-08-26 12:54 215,040 --a------ C:\WINDOWS\system32\catsrv.dll
2006-08-26 12:54 151,040 --a------ C:\WINDOWS\system32\msdtcuiu.dll
2006-08-26 12:54 100,864 --a------ C:\WINDOWS\system32\clbcatex.dll
2006-08-26 12:54 1,172,992 --a------ C:\WINDOWS\system32\comsvcs.dll
2006-08-26 12:46 51,200 --a------ C:\WINDOWS\system32\sfman32.dll
2006-08-26 12:46 495,616 --a------ C:\WINDOWS\system32\sblfx.dll
2006-08-26 12:46 4,096 --a------ C:\WINDOWS\system32\ctwdm32.dll
2006-08-26 12:46 256,512 --a------ C:\WINDOWS\system32\devcon32.dll
2006-08-26 12:46 24,064 --a------ C:\WINDOWS\system32\devldr32.exe


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-08-29 19:50 -------- d-------- C:\Program Files\Spik
2006-08-26 18:57 -------- d-------- C:\Program Files\URUSoft
2006-08-26 18:35 -------- d-------- C:\Program Files\SubEdit-Player
2006-08-26 12:54 -------- d-------- C:\Program Files\Messenger
2006-08-25 12:37 -------- d-------- C:\Program Files\Codec
2006-08-25 12:07 -------- d-------- C:\Program Files\XP Codec Pack
2006-08-04 16:37 73728 --a------ C:\WINDOWS\system32\dpl100.dll
2006-08-04 16:37 196608 --a------ C:\WINDOWS\system32\dtu100.dll
2006-07-27 03:06 3596288 --a------ C:\WINDOWS\system32\qt-dx331.dll
2006-07-13 10:51 700184 --a------ C:\WINDOWS\system32\SkanerOnline.dll
2006-07-03 22:40 620180 --a------ C:\WINDOWS\system32\divx.dll
2006-06-29 15:14 69944 --a------ C:\WINDOWS\system32\SkanerOnlineUninstall.exe
2006-06-28 16:11 675 --a------ C:\fix.reg
2006-06-21 11:43 520192 --a------ C:\WINDOWS\system32\divxsm.exe
2006-06-21 11:42 1044480 --a------ C:\WINDOWS\system32\libdivx.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSConfig"="C:\\WINDOWS\\PCHealth\\HelpCtr\\Binaries\\MSConfig.exe /auto"
"nod32kui"="\"C:\\Program Files\\Eset\\nod32kui.exe\" /WAITSERVICE"
"Winsockett"="nakoxxxll.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"NoChange"="1"
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices]
"Winsockett"="nakoxxxll.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001
"DisableTaskMgr"=dword:00000000

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000005

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Moja bieżąca strona główna"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,e6,00,00,00,00,00,00,00,9a,03,00,00,44,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^abcHood Pager 1.0.lnk]
"backup"="C:\\WINDOWS\\pss\\abcHood Pager 1.0.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\ScannerU\\PageABC\\abcPager\\abcPager.exe -loadstatus -hide"
"item"="abcHood Pager 1.0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Action Manager 32.lnk]
"backup"="C:\\WINDOWS\\pss\\Action Manager 32.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\ScannerU\\AM32.exe "
"item"="Action Manager 32"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Kalendarz XP.lnk]
"backup"="C:\\WINDOWS\\pss\\Kalendarz XP.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\KALEND~1\\KALEND~1.EXE "
"item"="Kalendarz XP"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^TV Remote Control.lnk]
"backup"="C:\\WINDOWS\\pss\\TV Remote Control.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\AVACSM~1\\TV88XU~1\\C8XRCtl.exe "
"item"="TV Remote Control"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\bme91d0e]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="bme91d0e"
"hkey"="HKLM"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\CTFMON.EXE]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ctfmon"
"hkey"="HKCU"
"command"="C:\\WINDOWS\\System32\\ctfmon.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Internet Optimizer]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="optimize"
"hkey"="HKLM"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\msvcc25]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"hkey"="HKLM"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\mysvcig38]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"hkey"="HKLM"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\NBJ]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NBJ"
"hkey"="HKCU"
"command"="\"C:\\Program Files\\Ahead\\Nero BackItUp\\NBJ.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\NeroFilterCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NeroCheck"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\PowerS]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="PowerS"
"hkey"="HKLM"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Preview AdService]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="PrevAdServ"
"hkey"="HKLM"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\pro]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"hkey"="HKCU"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\RemoteControl]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="PDVDServ"
"hkey"="HKLM"
"command"="\"C:\\Program Files\\CyberLink\\PowerDVD\\PDVDServ.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Run]
"key"="SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Windows"
"item"="winlogon"
"hkey"="HKCU"
"command"="C:\\WINDOWS\\inet20004\\winlogon.exe"
"inimapping"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\salm]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="salm"
"hkey"="HKLM"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Speed racer]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="CTSRReg"
"hkey"="HKLM"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Spik]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Spik"
"hkey"="HKLM"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\SunJavaUpdateSched]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="jusched"
"hkey"="HKLM"
"command"="C:\\Program Files\\Java\\jre1.5.0_01\\bin\\jusched.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\UpdReg]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Updreg"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\Updreg.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Warez]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Warez"
"hkey"="HKCU"
"command"="\"C:\\Program Files\\Warez\\Warez.exe\" /minimized"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\WinampAgent]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="winampa"
"hkey"="HKLM"
"command"="C:\\Program Files\\Winamp\\winampa.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Windows installer]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="winstall"
"hkey"="HKCU"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Winsockett]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"hkey"="HKLM"
"inimapping"="0"
"item"="xjrnhljsi"
"command"="xjrnhljsi.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\WMC_AutoUpdate]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"=""
"hkey"="HKLM"
"command"=""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\xp_system]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="winlogon"
"hkey"="HKCU"
"inimapping"="0"



Completion time: 2006-09-15 20:42:42.48
ComboFix.txt

[Red]

2006-09-15 20:42 671,744 -r-hs---- C:\WINDOWS\system32\nakoxxxll.exe
2006-09-15 16:15 671,744 -r-hs---- C:\WINDOWS\system32\wmumemmne.exe
2006-09-15 15:58 671,744 -ra------ C:\WINDOWS\system32\jjeuskkie.exe
2006-09-15 15:58 671,744 -r-hs---- C:\WINDOWS\system32\xjrnhljsi.exe
2006-09-15 15:49 0 --a------ C:\WINDOWS\system32\27031_redworld.exe

to cały czas siedzi i musisz to usunac

[umberto78]

OK, udało się ten problem rozwiązać (samozamykające się okna, pliki...) ale wciąż pozostaje ten proble z krórym walczę od dawna, że nie mogę pozbyć się tego:

O4 - HKLM\..\Run: [Winsockett] wmumemmne.exe
O4 - HKLM\..\RunServices: [Winsockett] wmumemmne.exe

Wpisy usuwam w trybie awaryjnym "hj", killlboxem usuwam ścieżkę:

C:\WINDOWS\system32\wmumemmne.exe

, ale po jakimś czasie (kilka minut) przy normalnej pracy znów powraca (logi O4) tylko zazwyczaj nazwa jest inna np. fnhqnwppd. Operację powtarzałem wile razy bezskutecznie. Próbowałem ręcznie z rejestru usunąć "winsockett" i całą zawartość ale to po chwili powraca.
Teraz log wygląda następująco:

Logfile of HijackThis v1.99.1
Scan saved at 15:54:05, on 2006-09-16
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Eset\nod32kui.exe
C:\WINDOWS\System32\CTSvcCDA.exe
C:\Program Files\Eset\nod32krn.exe
C:\Program Files\Registry Defragmentation\RegManServ.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\devldr32.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Umberto\Moje dokumenty\instalki\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 68.45.9.119:80
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0 CE\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [Winsockett] cfplhfrnq.exe
O4 - HKLM\..\RunServices: [Winsockett] cfplhfrnq.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .mpeg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {5A09E43F-A0A7-4ABF-AF80-11367CF1DC8F} (MainControl Class) - http://mks.com.pl/skaner/SkanerOnline.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1105623554632
O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTSvcCDA.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: Registry Management Service (RegManServ) - Unknown owner - C:\Program Files\Registry Defragmentation\RegManServ.exe

Jak widać:

O4 - HKLM\..\Run: [Winsockett] cfplhfrnq.exe
O4 - HKLM\..\RunServices: [Winsockett] cfplhfrnq.exe

znów są. Jak mam tego się pozbyć raz na zawsze????????????

[Bieniol]

Zasadę usuwania znasz:

O4 - HKLM\..\Run: [Winsockett] cfplhfrnq.exe
O4 - HKLM\..\RunServices: [Winsockett] cfplhfrnq.exe

Użyj Windows Worms Doors Cleanera zmień znaczki z disable na enable (jeżeli jakieś znaczki są żółte, to niech takie zostaną). Po użyciu tego narzędzia wymagany jest reset sysa.

Daj log z Gmer'a , ściągnij>>>uruchom>>>przejdź do zakładki "rootkit">>>wybierz "szukaj">>>czekaż cierpliwie aż program zakończy prace>>>klikasz "kopiuj">>>ctrl + v i wklej do posta.

[umberto78]

Gmer nic nie znalazł

[Red]

Prosze zastosowac dwa narzedzia :
http://siri.urz.free.fr/Fix/SmitfraudFix.php

ewido:

http://www.ewido.net/en/download/