czy mógł by ktoś looknąć na mojego loga?

[michał s.]

niektóre anty viry i antyspamy nie wykryły nic ale coś jest nie tak
przeleciałem pandą i nnymi i o dziwo pełno,sprawdziłem jeszcze czymś innym i masa,proszę pomóc musze mieć czystego kompa(muszę na nim pracować) z góry dziekuję

Kod: Zaznacz wszystko

Logfile of HijackThis v1.99.1
Scan saved at 15:24:43, on 06-01-30
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\PROGRAM FILES\COMMON FILES\SYMANTEC SHARED\CCEVTMGR.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\IRMON.EXE
C:\PROGRAM FILES\LAVASOFT\AD-AWARE SE PROFESSIONAL\AD-WATCH.EXE
C:\PROGRAM FILES\COMMON FILES\SYMANTEC SHARED\CCAPP.EXE
C:\PROGRAM FILES\OLYMPUS\CAMEDIA MASTER 4.2\CM_CAMERA.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAM FILES\GADU-GADU\GG.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\PULPIT\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.eu.microsoft.com/poland/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [IrMon] IrMon.exe
O4 - HKLM\..\Run: [AWMON] "C:\PROGRAM FILES\LAVASOFT\AD-AWARE SE PROFESSIONAL\AD-WATCH.EXE"
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMON.EXE /Consumer
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [ImInstaller_IncrediMail] C:\WINDOWS\TEMP\ImInstaller\IncrediMail\IMLOADER.EXE -startup -product IncrediMail
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Program Files\Common Files\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunOnce: [InnoSetupRegFile.0000000001] "C:\WINDOWS\is-F3OU8.exe" /REG
O4 - HKCU\..\Run: [Spyware Doctor] "C:\PROGRAM FILES\SPYWARE DOCTOR\SWDOCTOR.EXE" /Q
O4 - Startup: CAMEDIA Master.lnk = C:\Program Files\OLYMPUS\CAMEDIA Master 4.2\CM_camera.exe
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
O15 - Trusted IP range: 67.19.185.246
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O21 - SSODL: OLE Automation Module - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - (no file)
O21 - SSODL: Web Event Logger - {7EFBAEFF-EE02-1333-ABDF-416572E5D639} - (no file)

Kod: Zaznacz wszystko

StartupList report, 06-01-30, 16:43:07
StartupList version: 1.52.2
Started from : C:\WINDOWS\PULPIT\HIJACKTHIS.EXE
Detected: Windows 98 SE (Win9x 4.10.2222A)
Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106)
* Using default options
==================================================

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\PROGRAM FILES\COMMON FILES\SYMANTEC SHARED\CCEVTMGR.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\IRMON.EXE
C:\PROGRAM FILES\LAVASOFT\AD-AWARE SE PROFESSIONAL\AD-WATCH.EXE
C:\PROGRAM FILES\COMMON FILES\SYMANTEC SHARED\CCAPP.EXE
C:\PROGRAM FILES\OLYMPUS\CAMEDIA MASTER 4.2\CM_CAMERA.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAM FILES\GADU-GADU\GG.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAM FILES\OUTLOOK EXPRESS\MSIMN.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\PULPIT\HIJACKTHIS.EXE

--------------------------------------------------

Listing of startup folders:

Shell folders Startup:
[C:\WINDOWS\Menu Start\Programy\Autostart]
CAMEDIA Master.lnk = C:\Program Files\OLYMPUS\CAMEDIA Master 4.2\CM_camera.exe

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

internat.exe = internat.exe
ScanRegistry = C:\WINDOWS\scanregw.exe /autorun
TaskMonitor = C:\WINDOWS\taskmon.exe
SystemTray = SysTray.Exe
IrMon = IrMon.exe
AWMON = "C:\PROGRAM FILES\LAVASOFT\AD-AWARE SE PROFESSIONAL\AD-WATCH.EXE"
ccApp = "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
ccRegVfy = "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
Symantec NetDriver Monitor = C:\PROGRA~1\SYMNET~1\SNDMON.EXE /Consumer
LoadPowerProfile = Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
ImInstaller_IncrediMail = C:\WINDOWS\TEMP\ImInstaller\IncrediMail\IMLOADER.EXE -startup -product IncrediMail

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce

InnoSetupRegFile.0000000001 = "C:\WINDOWS\is-F3OU8.exe" /REG

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

ccEvtMgr = "C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe"
ScriptBlocking = "C:\Program Files\Common Files\Symantec Shared\Script Blocking\SBServ.exe" -reg
SchedulingAgent = mstask.exe

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

Spyware Doctor = "C:\PROGRAM FILES\SPYWARE DOCTOR\SWDOCTOR.EXE" /Q

--------------------------------------------------

File association entry for .TXT:
HKEY_CLASSES_ROOT\txtfile\shell\open\command

(Default) = C:\WINDOWS\NOTEPAD.EXE %1

--------------------------------------------------

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

Shell=Explorer.exe
SCRNSAVE.EXE=
drivers=mmsystem.dll power.drv

--------------------------------------------------

C:\WINDOWS\WININIT.BAK listing:
(Created 30/1/2006, 12:7:20)

[rename]
NUL=C:\WINDOWS\TEMP\_iu14D2N.tmp
NUL=C:\WINDOWS\TEMP\A~NSISU_.EXE

--------------------------------------------------

C:\AUTOEXEC.BAT listing:

mode con codepage prepare=((852) C:\WINDOWS\COMMAND\ega.cpi)
mode con codepage select=852
keyb pl,,C:\WINDOWS\COMMAND\keybrd4.sys

--------------------------------------------------


Enumerating Browser Helper Objects:

(no name) - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
NAV Helper - C:\Program Files\Norton AntiVirus\NavShExt.dll - {BDF3E430-B101-42AD-A544-FADC6B084872}

--------------------------------------------------

Enumerating Task Scheduler jobs:

Rozpoczęcie aplikacji dostrajania.job
Symantec NetDetect.job
Konserwacja — programy Defragmentacji.job
Konserwacja — Scandisk.job
Konserwacja — Porządkowanie dysku.job

--------------------------------------------------

Enumerating Download Program Files:

[Shockwave Flash Object]
InProcServer32 = C:\WINDOWS\SYSTEM\FLASH.OCX
CODEBASE = http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

[ActiveScan Installer Class]
InProcServer32 = C:\WINDOWS\DOWNLOADED PROGRAM FILES\ASINST.DLL
CODEBASE = http://acs.pandasoftware.com/activescan/as5free/asinst.cab

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

WebCheck: C:\WINDOWS\SYSTEM\WEBCHECK.DLL
OLE Automation Module: *Registry key not found*
Web Event Logger: *Registry key not found*

--------------------------------------------------
End of report, 5 741 bytes
Report generated in 0,184 seconds

Command line options:
   /verbose  - to add additional info on each section
   /complete - to include empty sections and unsuspicious data
   /full     - to include several rarely-important sections
   /force9x  - to include Win9x-only startups even if running on WinNT
   /forcent  - to include WinNT-only startups even if running on Win9x
   /forceall - to include all Win9x and WinNT startups, regardless of platform
   /history  - to list version history only

[jeff]

poczytaj

http://forum.programosy.pl/hijackthis-gtobsuga-i-umieszczanie-loga-vt9452.html

i zobacz jak sie umieszcza log-a w tagach

[michał s.]

porawione wstawienie(przepraszam za poprzednią wersję)
prosiłbym o lookniecie na loga
z góry dziekuję

[Tom@szek]

Wszystko usuwasz w trybie awaryjnym.
Pogrubione pliki ręcznie z dysku po usunieciu woisów w hijackthis.

O4 - HKLM\..\RunOnce: [InnoSetupRegFile.0000000001] "C:\WINDOWS\is-F3OU8.exe" /REG

Odinstaluj ten program i usuń plik.

O4 - HKCU\..\Run: [Spyware Doctor] "C:\PROGRAM FILES\SPYWARE DOCTOR\SWDOCTOR.EXE" /Q

O15 - Trusted IP range: 67.19.185.246

Troj/Small-FW

O21 - SSODL: OLE Automation Module - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - (no file)

O21 - SSODL: Web Event Logger - {7EFBAEFF-EE02-1333-ABDF-416572E5D639} - (no file)

[michał s.]

najfajniesze jest to że w katalogu windows i na kompie nie mogę znaleść pliku: is-F30U8.exe
nie mam zainstalowanego programu spyware doctor(miałem ale już został odinstalowany)dodaj usuń programy nie występuje spyware doctor i na kompie też nie
więc co robić wklejam loga może coś się zmieniło
dziekuję
dalej to samo?nie mogę wyrzucić inredimail

Kod: Zaznacz wszystko

Logfile of HijackThis v1.99.1
Scan saved at 07:14:51, on 06-01-31
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\PROGRAM FILES\COMMON FILES\SYMANTEC SHARED\CCEVTMGR.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\IRMON.EXE
C:\PROGRAM FILES\LAVASOFT\AD-AWARE SE PROFESSIONAL\AD-WATCH.EXE
C:\PROGRAM FILES\COMMON FILES\SYMANTEC SHARED\CCAPP.EXE
C:\PROGRAM FILES\OLYMPUS\CAMEDIA MASTER 4.2\CM_CAMERA.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\PULPIT\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.eu.microsoft.com/poland/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [IrMon] IrMon.exe
O4 - HKLM\..\Run: [AWMON] "C:\PROGRAM FILES\LAVASOFT\AD-AWARE SE PROFESSIONAL\AD-WATCH.EXE"
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMON.EXE /Consumer
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [ImInstaller_IncrediMail] C:\WINDOWS\TEMP\ImInstaller\IncrediMail\IMLOADER.EXE -startup -product IncrediMail
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Program Files\Common Files\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunOnce: [InnoSetupRegFile.0000000001] "C:\WINDOWS\is-F3OU8.exe" /REG
O4 - HKCU\..\Run: [Spyware Doctor] "C:\PROGRAM FILES\SPYWARE DOCTOR\SWDOCTOR.EXE" /Q
O4 - Startup: CAMEDIA Master.lnk = C:\Program Files\OLYMPUS\CAMEDIA Master 4.2\CM_camera.exe
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
O15 - Trusted IP range: 67.19.185.246
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O21 - SSODL: OLE Automation Module - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - (no file)
O21 - SSODL: Web Event Logger - {7EFBAEFF-EE02-1333-ABDF-416572E5D639} - (no file)

[jeff]

pozostało

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
O4 - HKLM\..\RunOnce: [InnoSetupRegFile.0000000001] "C:\WINDOWS\is-F3OU8.exe" /REG
O15 - Trusted IP range: 67.19.185.246
O21 - SSODL: OLE Automation Module - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - (no file)
O21 - SSODL: Web Event Logger - {7EFBAEFF-EE02-1333-ABDF-416572E5D639} - (no file)

[Garret]

Ktoś wie może co to za plik????

Kod: Zaznacz wszystko

C:\WINDOWS\SYSTEM\INTERNAT.EXE

[Red]

C:\WINDOWS\SYSTEM\INTERNAT.EXE

nie ruszaj tego ,jest prawidłowy

[michał s.]

wszystko to co zostało
04.........z plikiem is-f30u8.exe(nie mogę go znaleść)mam ustawione zeby pokazywało wszystkie pliki nie ma go tam (szukane recznie i wyszukiwarką)
015......trusted ip skasowane w trybie awaryjnym po odpaleniu wraca
021......
021.........tak samo to
R1 tez skasowane i wraca explorer odpala sie na stronie "explorera nowego"skasowane wraca
proszę o pomoc nie wiem jak sobie dać z tym rade
z góry dziekuję

[Red]

no to daj raz jeszcze log z hijacka....... ,


daj log z :

otwierasz link>>> http://www.silentrunners.org/Silent%20Runners.vbs >>zapisujesz jako na pulpicie>>klikasz dwa razy >>masz wybor i wybierasz no>>i czekasz troszke az wygeneruje sie cały log do konca
wrzucasz na forum

oraz daj log z:

http://www.thatcomputerguy.us/downloads/findit9xme.zip

Rozpakuj >>> uruchom *Find.bat* >>> pokaż zawartość *output.txt*

I opisz swoj problem ,bo zupełnie nie wiadomo co dzieje sie z kompem >>wiecej informacji

[michał s.]

w trakcie odpalania z pulpitu pokazuje mi sie alert z nortona "złośliwy skrypt" co robić zezwolić na odpalenię?

[Red]

w trakcie odpalania z pulpitu pokazuje mi sie alert z nortona

WYLACZ na ten czas nortona

[michał s.]

Kod: Zaznacz wszystko

"Silent Runners.vbs", revision 43, http://www.silentrunners.org/
Operating System: Windows 98
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"Spyware Doctor" = ""C:\PROGRAM FILES\SPYWARE DOCTOR\SWDOCTOR.EXE" /Q" [file not found]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"internat.exe" = "internat.exe" [MS]
"ScanRegistry" = "C:\WINDOWS\scanregw.exe /autorun" [MS]
"TaskMonitor" = "C:\WINDOWS\taskmon.exe" [MS]
"SystemTray" = "SysTray.Exe" [MS]
"IrMon" = "IrMon.exe" [MS]
"AWMON" = ""C:\PROGRAM FILES\LAVASOFT\AD-AWARE SE PROFESSIONAL\AD-WATCH.EXE"" ["Lavasoft Sweden"]
"ccApp" = ""C:\Program Files\Common Files\Symantec Shared\ccApp.exe"" ["Symantec Corporation"]
"ccRegVfy" = ""C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"" ["Symantec Corporation"]
"Symantec NetDriver Monitor" = "C:\PROGRA~1\SYMNET~1\SNDMON.EXE /Consumer" ["Symantec Corporation"]
"LoadPowerProfile" = "Rundll32.exe powrprof.dll,LoadCurrentPwrScheme" [MS]
"ImInstaller_IncrediMail" = "C:\WINDOWS\TEMP\ImInstaller\IncrediMail\IMLOADER.EXE -startup -product IncrediMail" [file not found]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\ {++}
"InnoSetupRegFile.0000000001" = ""C:\WINDOWS\is-F3OU8.exe" /REG" [file not found]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\ {++}
"ccEvtMgr" = ""C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe"" ["Symantec Corporation"]
"ScriptBlocking" = ""C:\Program Files\Common Files\Symantec Shared\Script Blocking\SBServ.exe" -reg" ["Symantec Corporation"]
"SchedulingAgent" = "mstask.exe" [MS]

HKLM\Software\Microsoft\Active Setup\Installed Components\
PerUser_Dialer_Inis\(Default) = "Instalator systemu Windows — Telefon"
                    \StubPath   = "rundll.exe C:\WINDOWS\SYSTEM\setupx.dll,InstallHinfSection PerUser_Dialer_Inis_remove 64 C:\WINDOWS\INF\appletpp.inf" [MS]
{44BBA842-CC51-11CF-AAFA-00AA00B6015C}\(Default) = "NetMeeting 3.0"
                                       \StubPath   = "rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Remove.PerUser.W95" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
  -> {CLSID}\InProcServer32\(Default) = "C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX" ["("]
{BDF3E430-B101-42AD-A544-FADC6B084872}\(Default) = "NAV Helper"
  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
  -> {CLSID}\InProcServer32\(Default) = "C:\PROGRAM FILES\WINRAR\rarext.dll" [null data]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\SYSTEM\NVSHELL.DLL" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\SYSTEM\NVSHELL.DLL" ["NVIDIA Corporation"]
"{BB7DF450-F119-11CD-8465-00AA00425D90}" = "Microsoft Access Custom Icon Handler"
  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Microsoft Office\Office\soa800.dll" [MS]
"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Exchange"
  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Windows Messaging\mlshext.dll" [MS]
"{59850401-6664-101B-B21C-00AA004BA90B}" = "Microsoft Office Binder Explode"
  -> {CLSID}\InProcServer32\(Default) = "C:\PROGRAM FILES\MICROSOFT OFFICE\OFFICE\UNBIND.DLL" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Microsoft Office\Office\olkfstub.dll" [MS]
"{2E9D3540-211C-11d0-A5F2-00A0248C37BE}" = "Nero Shell Extension Property Sheet"
  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Ahead\Nero\neroshx.dll" ["ahead software gmbh im stoeckmaedle 6 76307 karlsbad, germany Fax: ++49-7248-911-888 e-mail: info@ahead.de"]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
  -> {CLSID}\InProcServer32\(Default) = "C:\PROGRAM FILES\WINRAR\rarext.dll" [null data]
Symantec.Norton.Antivirus.IEContextMenu\(Default) = "{5345A4D5-41EB-4A2F-9616-CE1D4F6C35B2}"
  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
  -> {CLSID}\InProcServer32\(Default) = "C:\PROGRAM FILES\WINRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
  -> {CLSID}\InProcServer32\(Default) = "C:\PROGRAM FILES\WINRAR\rarext.dll" [null data]
Symantec.Norton.Antivirus.IEContextMenu\(Default) = "{5345A4D5-41EB-4A2F-9616-CE1D4F6C35B2}"
  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is enabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\Profiles\mike\Dane aplikacji\OLYMPUS\Camedia Master 4\Wallpaper\CAMEDIA Master Wallpaper.bmp"


Startup items in "Startup" & "All Users...Startup" folders:
-----------------------------------------------------------

C:\WINDOWS\Menu Start\Programy\Autostart
"CAMEDIA Master" -> shortcut to: "C:\Program Files\OLYMPUS\CAMEDIA Master 4.2\CM_camera.exe" ["OLYMPUS CORPORATION"]


Enabled Scheduled Tasks:
------------------------

"Rozpoczęcie aplikacji dostrajania" -> launches: "walign" [MS]
"Symantec NetDetect" -> launches: "C:\PROGRAM FILES\SYMANTEC\LIVEUPDATE\NDETECT.EXE" ["Symantec Corporation"]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "C:\WINDOWS\SYSTEM\rnr20.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
00000000000#\PackedCatalogItem (contains) DLL [Company Name], (at) # range:
C:\WINDOWS\SYSTEM\mswsosp.dll [MS], 1
C:\WINDOWS\SYSTEM\msafd.dll [MS], 2 - 4
C:\WINDOWS\SYSTEM\rsvpsp.dll [MS], 5 - 6


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6}" = "Norton AntiVirus" [from CLSID]
  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]

HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\
"{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6}" = "Norton AntiVirus" [from CLSID]
  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6}" = "Norton AntiVirus"
  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]


Miscellaneous IE Hijack Points
------------------------------

HKLM\Software\Microsoft\Internet Explorer\Version = (invalid data)
The Internet Explorer version cannot be found!

C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")
The contents of IERESET.INF cannot be reliably checked!

Added lines (compared with English-language version):
[Strings]: START_PAGE_URL="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
[Strings]: MS_START_PAGE_URL="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"

Missing lines (compared with English-language version):
[Strings]: 2 lines


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
  launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
  took 12 seconds.
+ The search for all Registry CLSIDs containing dormant Explorer Bars
  took 16 seconds.
---------- (total run time: 59 seconds)

[jeff]

log obciety - poczekaj cierpliwie jak dostaniesz info ze juz sie wygenerował i podeslij nam wtedy na forum

[michał s.]

wleiłem na górze tzn poprwiłem ,przepraszam

[Red]

Reszta logów?

[michał s.]

wkleiłem do powyższego postu tzn wyciełem i wkleiłem cały
nie mogę dać sobie rady z drugim logiem nic sie nie dzieje
dysk chodzi potem przestaje (czasmi bład przy tworzeniu pliku)i
co do objawów kompa mam powklejane coś w rejestrach i nie można tego usunąć,explorer odpala sam stronę(ustawienia jako czystą nic nie dają)zmulił się a ostatnio numer IP mojej sieci(8osób) został dopisany do czarnej listy spamowej już jest ok ale muszę mieć pewność że u mnie jest ok

[ Dodano: Dzisiaj o 9:52 ]
coś chyba się dzieje może będę miał drugiego loga czekam na zakończenie działania programu

[ Dodano: Dzisiaj o 10:05 ]

Kod: Zaznacz wszystko

Warning! This utility will find legitimate files in addition to malware.   
Do not remove anything unless you are sure you know what you're doing.

Warning! This utility will find legitimate files in addition to malware.   
Do not remove anything unless you are sure you know what you're doing.

Warning! This utility will find legitimate files in addition to malware.   
Do not remove anything unless you are sure you know what you're doing.

Warning! This utility will find legitimate files in addition to malware.   
Do not remove anything unless you are sure you know what you're doing.

------- System Files in System Directory -------


Wolumin w stacji dysk˘w C nie ma etykiety
Numer seryjny woluminu: 7EAC-7542
Katalog C:\WINDOWS\SYSTEM

{3C8D8~1 DAT            32  05.05.23  17:59 {3C8D8650-CBB4-11D9-B3FB-00E04D0090F0}.dat
         1 plik(˘w)                32 bajt˘w
         0 katalog(˘w)       5 719,48 MB wolnych

------- System Files in System Directory -------


Wolumin w stacji dysk˘w C nie ma etykiety
Numer seryjny woluminu: 7EAC-7542
Katalog C:\WINDOWS\SYSTEM

{3C8D8~1 DAT            32  05.05.23  17:59 {3C8D8650-CBB4-11D9-B3FB-00E04D0090F0}.dat
         1 plik(˘w)                32 bajt˘w
         0 katalog(˘w)       5 705,87 MB wolnych

------- System Files in System Directory -------


Wolumin w stacji dysk˘w C nie ma etykiety
Numer seryjny woluminu: 7EAC-7542
Katalog C:\WINDOWS\SYSTEM

{3C8D8~1 DAT            32  05.05.23  17:59 {3C8D8650-CBB4-11D9-B3FB-00E04D0090F0}.dat
         1 plik(˘w)                32 bajt˘w
         0 katalog(˘w)       5 630,26 MB wolnych

------- System Files in System Directory -------


Wolumin w stacji dysk˘w C nie ma etykiety
Numer seryjny woluminu: 7EAC-7542
Katalog C:\WINDOWS\SYSTEM

{3C8D8~1 DAT            32  05.05.23  17:59 {3C8D8650-CBB4-11D9-B3FB-00E04D0090F0}.dat
         1 plik(˘w)                32 bajt˘w
         0 katalog(˘w)       5 483,66 MB wolnych

------- Hidden Files in System Directory -------


Wolumin w stacji dysk˘w C nie ma etykiety
Numer seryjny woluminu: 7EAC-7542
Katalog C:\WINDOWS\SYSTEM

FOLDER   HTT        13 264  05.08.30   9:27 folder.htt
DESKTOP  INI           266  05.08.30   9:27 desktop.ini
{3C8D8~1 DAT            32  05.05.23  17:59 {3C8D8650-CBB4-11D9-B3FB-00E04D0090F0}.dat
FFASTLOG TXT        22 415  05.01.07  16:44 FFASTLOG.TXT
         4 plik(˘w)            35 977 bajt˘w
         0 katalog(˘w)       5 719,47 MB wolnych

---------------- User Agent ------------

------- Hidden Files in System Directory -------


Wolumin w stacji dysk˘w C nie ma etykiety
Numer seryjny woluminu: 7EAC-7542
Katalog C:\WINDOWS\SYSTEM

FOLDER   HTT        13 264  05.08.30   9:27 folder.htt
DESKTOP  INI           266  05.08.30   9:27 desktop.ini
{3C8D8~1 DAT            32  05.05.23  17:59 {3C8D8650-CBB4-11D9-B3FB-00E04D0090F0}.dat
FFASTLOG TXT        22 415  05.01.07  16:44 FFASTLOG.TXT
         4 plik(˘w)            35 977 bajt˘w
         0 katalog(˘w)       5 705,87 MB wolnych

---------------- User Agent ------------

------- Hidden Files in System Directory -------


Wolumin w stacji dysk˘w C nie ma etykiety
Numer seryjny woluminu: 7EAC-7542
Katalog C:\WINDOWS\SYSTEM

FOLDER   HTT        13 264  05.08.30   9:27 folder.htt
DESKTOP  INI           266  05.08.30   9:27 desktop.ini
{3C8D8~1 DAT            32  05.05.23  17:59 {3C8D8650-CBB4-11D9-B3FB-00E04D0090F0}.dat
FFASTLOG TXT        22 415  05.01.07  16:44 FFASTLOG.TXT
         4 plik(˘w)            35 977 bajt˘w
         0 katalog(˘w)       5 630,26 MB wolnych

---------------- User Agent ------------

------- Hidden Files in System Directory -------


Wolumin w stacji dysk˘w C nie ma etykiety
Numer seryjny woluminu: 7EAC-7542
Katalog C:\WINDOWS\SYSTEM

FOLDER   HTT        13 264  05.08.30   9:27 folder.htt
DESKTOP  INI           266  05.08.30   9:27 desktop.ini
{3C8D8~1 DAT            32  05.05.23  17:59 {3C8D8650-CBB4-11D9-B3FB-00E04D0090F0}.dat
FFASTLOG TXT        22 415  05.01.07  16:44 FFASTLOG.TXT
         4 plik(˘w)            35 977 bajt˘w
         0 katalog(˘w)       5 483,66 MB wolnych

---------------- User Agent ------------

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
"{9673DCD7-45E5-48F3-AFA1-FD9267C2E098}"=""


------------------ Locate.com Results ------------------

No matches found.

------------------ Locate.com Results ------------------

No matches found.

------------------ Locate.com Results ------------------

No matches found.

------------------ Locate.com Results ------------------

No matches found.

------------ Strings.exe Qoologic Results ------------


-------------- Strings.exe Aspack Results -------------

C:\WINDOWS\SYSTEM\SWFLASH6.OCX: .aspack

----------------- HKLM Run Key ------------------

-------------- Strings.exe Umonitor Results -------------
-------------- Strings.exe Umonitor Results -------------
-------------- Strings.exe Umonitor Results -------------

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe"
"ScanRegistry"="C:\\WINDOWS\\scanregw.exe /autorun"
"TaskMonitor"="C:\\WINDOWS\\taskmon.exe"
"SystemTray"="SysTray.Exe"
"IrMon"="IrMon.exe"
"AWMON"="\"C:\\PROGRAM FILES\\LAVASOFT\\AD-AWARE SE PROFESSIONAL\\AD-WATCH.EXE\""
"ccApp"="\"C:\\Program Files\\Common Files\\Symantec Shared\\ccApp.exe\""
"ccRegVfy"="\"C:\\Program Files\\Common Files\\Symantec Shared\\ccRegVfy.exe\""
"Symantec NetDriver Monitor"="C:\\PROGRA~1\\SYMNET~1\\SNDMON.EXE /Consumer"
"LoadPowerProfile"="Rundll32.exe powrprof.dll,LoadCurrentPwrScheme"
"ImInstaller_IncrediMail"="C:\\WINDOWS\\TEMP\\ImInstaller\\IncrediMail\\IMLOADER.EXE -startup -product IncrediMail"



[Red]

w logu masz cos takiego :

FOLDER HTT 13 264 05.08.30 9:27 folder.htt
DESKTOP INI 266 05.08.30 9:27 desktop.ini

Wejdz sobie na tą stronkę i zobacz :

http://www.dagma.pl/new/oprogramowanie.php?idn=ostrzezenia_wiecej_tech&id=51

na samym koncu są identyczne pliki

tu masz sposoby usuwania podane:

http://www.trendmicro.com/download/dcs.asp

[michał s.]

który program wybrać z listy trend?
poleciałem na stronę do usuwania, http://www.trendmicro.com/download/dcs.asp) posciągałem programy,scanowało z 3godz i nic nie znalazło
a już wiemy ze taki wirus jest
prosiłbym o podanie programu z listy firmy która pan podał który usunie mi tego robala
z góry dziekuję

[Red]

http://www.trendmicro.com/ftp/products/tsc/tsc.zip

http://www.trendmicro.com/ftp/products/tsc/sysclean.com

to powinny byc te.... i nie pan tylko Red