tragedia , prosze sprawdzcie mi loga

[patrol69]

Prosze pomozcie mi co zrobic bo juz jestem tak zdesperowany ze mysle nawet o format a tego juz bym nie przezyl

Kod: Zaznacz wszystko

Logfile of HijackThis v1.99.1
Scan saved at 23:03:50, on 2005-10-08
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programki\Panda Antivirus Platinum\APVXDWIN.EXE
C:\Programki\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Program Files\Common Files\PCSuite\DataLayer\DataLayer.exe
C:\Program Files\QuickTime\qttask.exe
C:\Programki\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Program Files\Gadu-Gadu\gg.exe
C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe
C:\Programki\JTV\JTVRemote.exe
C:\PROGRA~1\COMMON~1\PCSuite\Services\SERVIC~1.EXE
C:\PROGRA~1\COMMON~1\Nokia\MPAPI\MPAPI3s.exe
C:\WINDOWS\System32\cmdtel.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programki\Panda Antivirus Platinum\pavsrv51.exe
C:\Programki\Panda Antivirus Platinum\AVENGINE.EXE
C:\Programki\Panda Antivirus Platinum\pavProxy.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\explorer.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Programki\totalcmd\TOTALCMD.EXE
C:\Internet\do wypakowania\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [SCANINICIO] "C:\Programki\Panda Antivirus Platinum\Inicio.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programki\Panda Antivirus Platinum\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programki\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKLM\..\Run: [DataLayer] C:\Program Files\Common Files\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Overnet] C:\Programki\Overnet0,53a\Overnet.exe -t
O4 - HKLM\..\Run: [MediaKey] C:\PROGRA~1\INTERN~2\MEDIAKEY.EXE
O4 - HKLM\..\Run: [SysMemory manager] c:\windows\system32\mdms.exe
O4 - HKLM\..\Run: [combo.exe] combo.exe
O4 - HKCU\..\Run: [Skype] "C:\Programki\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [PcSync] C:\Programki\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
O4 - HKCU\..\Run: [Shell] "C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe"
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - Startup: JTVRemote.lnk = C:\Programki\JTV\JTVRemote.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c282.cab
O20 - Winlogon Notify: tcpG4T - C:\WINDOWS\SYSTEM32\tcpG4T.dll
O23 - Service: Loading Outpost Connections (KDE) - Unknown owner - C:\WINDOWS\System32\cmdtel.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Programki\Panda Antivirus Platinum\Firewall\PavFires.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Programki\Panda Antivirus Platinum\pavsrv51.exe



Pomozcie Prosze z calego serca

Autor postu otrzymał pochwałę

[jeff]

wyłącz przywracanie systemu.Start do trybu awaryjnego i kasujesz ręcznie pogrubione pliki/foldery:

C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe
C:\WINDOWS\System32\cmdtel.exe
c:\windows\system32\mdms.exe -> Trojan.Repsamo
C:\winstall.exe
C:\WINDOWS\SYSTEM32\tcpG4T.dll -> Backdoor.Haxdoor.AG

potem kasujesz wpisy w Hijacku:

O4 - HKLM\..\Run: [SysMemory manager] c:\windows\system32\mdms.exe
O4 - HKLM\..\Run: [combo.exe] combo.exe
O4 - HKCU\..\Run: [Shell] "C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe"
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c282.cab
O20 - Winlogon Notify: tcpG4T - C:\WINDOWS\SYSTEM32\tcpG4T.dll

O23 - Service: Loading Outpost Connections (KDE) - Unknown owner - C:\WINDOWS\System32\cmdtel.exe

Start => Uruchom => wpisz services.msc => zatrzymaj i wyłącz proces Loading Outpost Connections nastepnie odpalasz HijackThis Misc Tools => Delete NT service => wpisz KDE => Ok i zresetuj komputer.

usuwanie Trojan.Repsamo

http://www.searchengines.pl/phpbb203/index.php?showtopic=12510&pid=188758&mode=threaded&show=&st=30&#entry188758

usuwanie Backdoor.Haxdoor.AG

http://www.searchengines.pl/phpbb203/index.php?showtopic=43082&view=findpost&p=194000

[patrol69]

usuwanie Trojan.Repsamo

http://www.searchengines.pl/phpbb203/index.php?showtopic=12510&pid=188758&mode=threaded&show=&st=30&#entry188758

usuwanie Backdoor.Haxdoor.AG

http://www.searchengines.pl/phpbb203/index.php?showtopic=43082&view=findpost&p=194000

te dwie strony przez ten cholerny syf nie chca mi sie nawet wyswietlic !!
Zrobilem tak jak mi kazales ,ale to nic nie pomoglo
prosze pomozcie pliska!!

[jeff]

daj nowego loga

[patrol69]

oto i on

Kod: Zaznacz wszystko

Logfile of HijackThis v1.99.1
Scan saved at 11:24:44, on 2005-10-09
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programki\Panda Antivirus Platinum\APVXDWIN.EXE
C:\Programki\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Program Files\Common Files\PCSuite\DataLayer\DataLayer.exe
C:\Program Files\QuickTime\qttask.exe
C:\Programki\Overnet0,53a\Overnet.exe
C:\Programki\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Program Files\Gadu-Gadu\gg.exe
C:\Programki\JTV\JTVRemote.exe
C:\PROGRA~1\COMMON~1\PCSuite\Services\SERVIC~1.EXE
C:\PROGRA~1\COMMON~1\Nokia\MPAPI\MPAPI3s.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programki\Panda Antivirus Platinum\pavsrv51.exe
C:\Programki\Panda Antivirus Platinum\AVENGINE.EXE
C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00003.exe
C:\Programki\Panda Antivirus Platinum\pavProxy.exe
C:\Programki\Ad-aware 6\Ad-watch.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Programki\totalcmd\TOTALCMD.EXE
C:\Internet\do wypakowania\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
F2 - REG:system.ini: Shell=explorer.exe                                                                                                    "C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00003.exe"
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [SCANINICIO] "C:\Programki\Panda Antivirus Platinum\Inicio.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programki\Panda Antivirus Platinum\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programki\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKLM\..\Run: [DataLayer] C:\Program Files\Common Files\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Overnet] C:\Programki\Overnet0,53a\Overnet.exe -t
O4 - HKLM\..\Run: [MediaKey] C:\PROGRA~1\INTERN~2\MEDIAKEY.EXE
O4 - HKLM\..\Run: [SysMemory manager] c:\windows\system32\mdms.exe
O4 - HKLM\..\Run: [combo.exe] combo.exe
O4 - HKCU\..\Run: [Skype] "C:\Programki\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [PcSync] C:\Programki\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
O4 - HKCU\..\Run: [Shell] "C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe"
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - Startup: JTVRemote.lnk = C:\Programki\JTV\JTVRemote.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O20 - Winlogon Notify: tcpG4T - C:\WINDOWS\SYSTEM32\tcpG4T.dll
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Programki\Panda Antivirus Platinum\Firewall\PavFires.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Programki\Panda Antivirus Platinum\pavsrv51.exe



[jeff]

Ściągnij KillBoxa
http://www.downloads.subratam.org/KillBox.zip

Zaznaczasz opcję Delete on Reboot następnie w polu Full Path of File to Delete wklej ścieżkę :

C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00003.exe

następnie program będzie pytał o restart - zgadzasz się

odpalasz ponownie i tym razem zmieniasz ścieżkę:

c:\windows\system32\mdms.exe
C:\winstall.exe
C:\WINDOWS\SYSTEM32\tcpG4T.dll

odnajdujesz plik combo.exe na dysku, i wklejasz w ścieżkę Killboxa jego lokalizację i kasujesz

potem lecą wpisy w Hijacku:

F2 - REG:system.ini: Shell=explorer.exe "C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00003.exe"
O4 - HKLM\..\Run: [SysMemory manager] c:\windows\system32\mdms.exe
O4 - HKLM\..\Run: [combo.exe] combo.exe
O4 - HKCU\..\Run: [Shell] "C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe"
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O20 - Winlogon Notify: tcpG4T - C:\WINDOWS\SYSTEM32\tcpG4T.dll

[patrol69]

to wszystko co napisales zrobic w trybie awaryjnym??

[jeff]

to wszystko co napisales zrobic w trybie awaryjnym??

TAK z wyłączonym przywracaniem systemu - Mój komputer -> Właściwości-> Przywracanie systemu -> Wyłącz przywracanie systemu na wszystkich dyskach i zaptaszczasz wszystko

[patrol69]

sorry ze tak cie caly czas wypytuje ale mam jeszcze pytanie jak to zrobic

tym razem zmieniasz ścieżkę:

c:\windows\system32\mdms.exe
C:\winstall.exe
C:\WINDOWS\SYSTEM32\tcpG4T.dll

[jeff]

robisz tak samo jak za pierwszym razem

Zaznaczasz opcję Delete on Reboot następnie w polu Full Path of File to Delete wklej ścieżkę :

C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00003.exe

z tym ze zmieniasz ścieżkę i wklejasz :

c:\windows\system32\mdms.exe

reset - i znów odpalasz Killboxa i znów to samo tylko wklejasz inne ścieżki:

c:\windows\system32\mdms.exe
C:\winstall.exe
C:\WINDOWS\SYSTEM32\tcpG4T.dll


po każdym skasowaniu pliku reset i czynnosc powtarzasz

[patrol69]

bardzo, bardzo ci dziekuje kurde w porzo koles z ciebie jest!!

Powoli zaczyna wszystko dochodzic do normy, tylko ze tapetki jeszcze nie moge zmienic,a ma ona jakas ramke a w srodku napisane YOUR SYSTEM IS INFECTED blala bla bla

[jeff]

wrzuć jeszcze raz loga z Hijacka a także z Silent Runners:

Ściągnij ten program na dysk i odpal

http://www.silentrunners.org/Silent%20Runners.zip

Pojawi się okienko i klikasz na "Nie ", dzięki czemu otrzymamy pełen log. Poczekaj chwile aż pojawi się info że log już gotowy i wklej zawartość txt na forum

[patrol69]

tutaj masz log z hijacka

Kod: Zaznacz wszystko

Logfile of HijackThis v1.99.1
Scan saved at 12:43:18, on 2005-10-09
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programki\Panda Antivirus Platinum\APVXDWIN.EXE
C:\Programki\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Program Files\Common Files\PCSuite\DataLayer\DataLayer.exe
C:\Program Files\QuickTime\qttask.exe
C:\Programki\Overnet0,53a\Overnet.exe
C:\Programki\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Program Files\Gadu-Gadu\gg.exe
C:\Programki\JTV\JTVRemote.exe
C:\PROGRA~1\COMMON~1\PCSuite\Services\SERVIC~1.EXE
C:\PROGRA~1\COMMON~1\Nokia\MPAPI\MPAPI3s.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programki\Panda Antivirus Platinum\pavsrv51.exe
C:\Programki\Panda Antivirus Platinum\AVENGINE.EXE
C:\Programki\Panda Antivirus Platinum\pavProxy.exe
C:\Programki\Ad-aware 6\Ad-watch.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Programki\totalcmd\TOTALCMD.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Internet\do wypakowania\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [SCANINICIO] "C:\Programki\Panda Antivirus Platinum\Inicio.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programki\Panda Antivirus Platinum\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programki\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKLM\..\Run: [DataLayer] C:\Program Files\Common Files\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Overnet] C:\Programki\Overnet0,53a\Overnet.exe -t
O4 - HKLM\..\Run: [MediaKey] C:\PROGRA~1\INTERN~2\MEDIAKEY.EXE
O4 - HKLM\..\Run: [SysMemory manager] c:\windows\system32\mdms.exe
O4 - HKLM\..\Run: [combo.exe] combo.exe
O4 - HKCU\..\Run: [Skype] "C:\Programki\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [PcSync] C:\Programki\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
O4 - HKCU\..\Run: [Shell] "C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe"
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - Startup: JTVRemote.lnk = C:\Programki\JTV\JTVRemote.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Programki\Panda Antivirus Platinum\Firewall\PavFires.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Programki\Panda Antivirus Platinum\pavsrv51.exe



a z tego drugiego programu nie moge wkleic loga bo wyskakuje ramka pandy ze `skrypt jest zablokowany`

[jeff]

powtarzasz czynność z Killboxem:

Zaznaczasz opcję Delete on Reboot następnie w polu Full Path of File to Delete wklej ścieżkę :

c:\windows\system32\mdms.exe
C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe
C:\winstall.exe

następnie program będzie pytał o restart - zgadzasz się

odnajdujesz plik combo.exe na dysku, i wklejasz w ścieżkę Killboxa jego lokalizację i kasujesz

a z tego drugiego programu nie moge wkleic loga bo wyskakuje ramka pandy ze `skrypt jest zablokowany`

wyłącz na czas skanu Pande i daj loga

[patrol69]

Kod: Zaznacz wszystko

c:\windows\system32\mdms.exe
C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe
C:\winstall.exe


kurcze tego chyba nie idzie usunac probowalem juz roznymi sposobami a tu nic zawsze po restarcie wraca na nowo;(

[jeff]

użyj Windows Worms Doors Cleanera
http://www.firewallleaktester.com/wwdc.htm

i pozmieniaj znaczki z disable na enable.

i próbuj z Killboxem

wklej loga z Silenta

[patrol69]

dobra wszystko gra tylko jak zmienic ta tapetke

[jeff]

dobra wszystko gra tylko jak zmienic ta tapetke

człowieku, jak wszystko gra ?????

gdzie log z Silenta ??

[patrol69]

no w koncu udalo mi sie zrobic ten log trzymaj

Kod: Zaznacz wszystko

"Silent Runners.vbs", revision 41, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"Skype" = ""C:\Programki\Skype\Phone\Skype.exe" /nosplash /minimized" [file not found]
"PcSync" = "C:\Programki\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog" ["Time Information Services Ltd."]
"Gadu-Gadu" = ""C:\Program Files\Gadu-Gadu\gg.exe" /tray" ["sms-express.com"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"SiSUSBRG" = "C:\WINDOWS\SiSUSBrg.exe" ["Silicon Integrated Systems Corp."]
"NvCplDaemon" = "RUNDLL32.EXE NvQTwk,NvCplDaemon initialize" [MS]
"SCANINICIO" = ""C:\Programki\Panda Antivirus Platinum\Inicio.exe"" ["Panda Software"]
"APVXDWIN" = ""C:\Programki\Panda Antivirus Platinum\APVXDWIN.EXE" /s" ["Panda Software International"]
"PCSuiteTrayApplication" = "C:\Programki\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray" ["Nokia"]
"DataLayer" = "C:\Program Files\Common Files\PCSuite\DataLayer\DataLayer.exe" ["Nokia Mobile Phones Ltd."]
"QuickTime Task" = ""C:\Program Files\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"Overnet" = "C:\Programki\Overnet0,53a\Overnet.exe -t" [empty string]
"MediaKey" = "C:\PROGRA~1\INTERN~2\MEDIAKEY.EXE" ["Dritek System Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Rozszerzenie CPL kadrowania wyświetlania"
  -> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Rozszerzenie ikony HyperTerminalu"
  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Eksplorator pulpitów"
  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{65756541-C65C-11CD-0000-4B656E696100}" = "Panda Antivirus"
  -> {CLSID}\InProcServer32\(Default) = "C:\Programki\Panda Antivirus Platinum\pavOLE.dll" ["Panda Software"]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
  -> {CLSID}\InProcServer32\(Default) = "C:\Programki\win rar\rarext.dll" [null data]
"{40950107-FEA6-4d53-A65F-B2DCBA57DD58}" = "Nokia Phone Browser"
  -> {CLSID}\InProcServer32\(Default) = "C:\Programki\Nokia\Nokia PC Suite 6\PhoneBrowser.dll" ["Nokia"]
"{FBFE7864-D495-41f0-B7DC-4BB601CC295E}" = "Contact View"
  -> {CLSID}\InProcServer32\(Default) = "C:\Programki\Nokia\Nokia PC Suite 6\ContactView.dll" ["Nokia"]
"{C0C4375A-5B72-4efe-929D-3B848C3A1E91}" = "Message View"
  -> {CLSID}\InProcServer32\(Default) = "C:\Programki\Nokia\Nokia PC Suite 6\MessageView.dll" ["Nokia"]
"{32020A01-506E-484D-A2A8-BE3CF17601C3}" = "AlcoholShellEx"
  -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\ALCOHO~1\ALCOHO~1\AXShlEx.dll" ["Alcohol Soft Development Team"]
"{5E2121EE-0300-11D4-8D3B-444553540000}" = "st"
  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\winacpi.dll" [file not found]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\
INFECTION WARNING! "{B212D577-05B7-4963-911E-4A8588160DFA}" = "Memory monitor"
  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\q13935978.dll" [file not found]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
Panda Antivirus\(Default) = "{65756541-C65C-11CD-0000-4B656E696100}"
  -> {CLSID}\InProcServer32\(Default) = "C:\Programki\Panda Antivirus Platinum\pavOLE.dll" ["Panda Software"]
sysacpildap\(Default) = "{5E2121EE-0300-11D4-8D3B-444553540000}"
  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\winacpi.dll" [file not found]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
  -> {CLSID}\InProcServer32\(Default) = "C:\Programki\win rar\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
  -> {CLSID}\InProcServer32\(Default) = "C:\Programki\win rar\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
Panda Antivirus\(Default) = "{65756541-C65C-11CD-0000-4B656E696100}"
  -> {CLSID}\InProcServer32\(Default) = "C:\Programki\Panda Antivirus Platinum\pavOLE.dll" ["Panda Software"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
  -> {CLSID}\InProcServer32\(Default) = "C:\Programki\win rar\rarext.dll" [null data]


Group Policies [Description] {enabled Group Policy setting}:
------------------------------------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
HIJACK WARNING! "ForceActiveDesktopOn"=dword:00000001
[enables Active Desktop and prevents disabling it]
{User Configuration|Administrative Templates|Desktop|Active Desktop|
Enable Active Desktop}

HIJACK WARNING! "Wallpaper" = "C:\WINDOWS\desktop.html"
[disables the Display Properties|Desktop (tab) (except the "Customize
Desktop..." button); selects wallpaper if Active Desktop is enabled]
{User Configuration|Administrative Templates|Desktop|Active Desktop|
Active Desktop Wallpaper|Wallpaper Name:}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop enabled via Group Policy.

Wallpaper selected via Group Policy.


Startup items in "PatroL" & "All Users" startup folders:
--------------------------------------------------------

C:\Documents and Settings\PatroL\Menu Start\Programy\Autostart
"JTVRemote" -> shortcut to: "C:\Programki\JTV\JTVRemote.exe" [null data]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 13
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Console"
"CLSIDExtension" = "{08B0E5C0-4FCB-11CF-AAA5-00401C608501}"


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

NVIDIA Driver Helper Service, NVSvc, "C:\WINDOWS\System32\nvsvc32.exe" ["NVIDIA Corporation"]
Panda anti-virus service, PAVSRV, "C:\Programki\Panda Antivirus Platinum\pavsrv51.exe" ["Panda Software"]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
  launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
  took 61 seconds.
+ The search for all Registry CLSIDs containing dormant Explorer Bars
  took 17 seconds.
---------- (total run time: 114 seconds)


i co o tym myslisz??

[jeff]

odpalasz killboxa - robisz czynności opisane wyżej i wklejasz ścieżkę:

C:\WINDOWS\desktop.html

reset i ponownie uruchamiasz i wklejasz ścieżkę:

C:\WINDOWS\q13935978.dll

to samo z tym:

C:\WINDOWS\System32\winacpi.dll

jak to zrobisz i powtórz czynność z kilboxem ale z wpisami

c:\windows\system32\mdms.exe
C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe
C:\winstall.exe

i dodatkowo z combo.exe


po robocie ponownie 2 logi z HJT i Silenta