log:/

[mia012]

prosze o sprawdzenie loga, bo duzo smieci mi sie chyba napchało

Kod: Zaznacz wszystko

Logfile of HijackThis v1.99.1
Scan saved at 17:05:44, on 05-08-08
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAM FILES\KASPERSKY LAB\KASPERSKY ANTI-VIRUS PERSONAL\KAVSVC.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAM FILES\NEOSTRADA TP\TASKBARICON.EXE
C:\PROGRAM FILES\ADTOOLS SERVICE\ADTOOLS.EXE
C:\WINDOWS\SYSTEM\EC5HIFC9.EXE
C:\PROGRAM FILES\KASPERSKY LAB\KASPERSKY ANTI-VIRUS PERSONAL\KAV.EXE
C:\PROGRAM FILES\KASPERSKY LAB\KASPERSKY ANTI-HACKER\KAVPF.EXE
C:\PROGRAM FILES\ADTOOLS SERVICE\ADTOOLSKEEP.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAM FILES\NEOSTRADA TP\NEOSTRADATP.EXE
C:\PROGRAM FILES\WINRAR\WINRAR.EXE
C:\PROGRAM FILES\NEOSTRADA TP\COMCOMP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\PROGRAM FILES\NEOSTRADA TP\WATCH.EXE
C:\WINDOWS\TEMP\RAR$EX01.984\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada TP
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe
O4 - HKLM\..\Run: [AdTools Service] C:\PROGRAM FILES\ADTOOLS SERVICE\ADTOOLS.EXE
O4 - HKLM\..\Run: [ec5hifc9] C:\WINDOWS\SYSTEM\ec5hifc9.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\PROGRAM FILES\KASPERSKY LAB\KASPERSKY ANTI-VIRUS PERSONAL\KAV.EXE" /minimize
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [kavsvc] "C:\PROGRAM FILES\KASPERSKY LAB\KASPERSKY ANTI-VIRUS PERSONAL\kavsvc.exe"
O4 - Startup: Kaspersky Anti-Hacker.lnk = C:\Program Files\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Pobierz z &BitSpirit - C:\PROGRAM FILES\BITSPIRIT\bsurl.htm
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - ms-its:mhtml:file://c:\adsuntdt.mht!http://adextension.com/ext2/lca.chm::/Bridge-c139.cab
O16 - DPF: {99410CDE-6F16-42ce-9D49-3807F78F0287} (ClientInstaller Class) - http://www.180searchassistant.com/180saax.cab

[michu1990]

Pogrubiony folder wraz z plikami kasujesz ręcznie oraz wpis z Hijacka w trybie awaryjnym [F8] w czasie bootowania systemu z wyłączonym przywracaniem systemu.. Najpierw szukasz jednak nazwy pogrubionego w dodaj.usuń programy w Panelu Sterowania.

O4 - HKLM\..\Run: [AdTools Service] C:\Program Files\AdTools Service\AdTools.exe

odinstaluj tylkoAdTools Service a folder ręcznie skasuj w trybie awaryjnym

Usuń: oczywiście w trybie awaryjnym z wyłączonym przywracaniem systemu.

O16 - DPF: {99410CDE-6F16-42ce-9D49-3807F78F0287} (ClientInstaller Class) - http://www.180searchassistant.com/180saax.cab

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - ms-its:mhtml:file://c:\adsuntdt.mht!http://adextension.com/ext2/lca.chm::/Bridge-c139.cab

O4 - HKLM\..\Run: [AdTools Service] C:\PROGRAM FILES\ADTOOLS SERVICE\ADTOOLS.EXE

Start>>uruchom>>msconfig>>uruchamianie>>i odznaczasz ADTOOLS.EXE

Koniec

[mia012]

czasie bootowania systemu z wyłączonym przywracaniem systemu.. Najpierw szukasz jednak nazwy pogrubionego w dodaj.usuń programy

hmmm czegos tu nie rozumiem :] jak wylaczyć (i gdzie) opcje przywracania systemu?

edit : aha msconfig spoko a co z wyłaczeniem przywracania systemu?

[michu1990]

Jak jesteś w windowsie to właściwości mój komputer>>przywracanie systemu>>i zaznaczasz wyłącz przywracanie......
Później restart kompa i trzymasz f8 pokaże się taka lista wyboru (jak bootować system) wybierasz w trybie awaryjnym, może się długo wgrywać. Potem wchodzisz w hijacka ciągle jesteś w trybie awaryjnym
usuwasz ten wpis z ci podałem potem zamykasz hijacka i usuwasz folder ręcznie
A tamte pozostałe usuń w normalnym trybie windowsa

[@Marcin]

Kolega wyżej zapomniał o tym jeszcze
To wywal ręcznie:

Kod: Zaznacz wszystko

C:\PROGRAM FILES\ADTOOLS SERVICE\ADTOOLS.EXE

PZDR

[kozak]

Kolega wyżej zapomniał o tym jeszcze

O czym ty mówisz, jak zapomniał czytaj dokładniej

O4 - HKLM\..\Run: [AdTools Service] C:\Program Files\AdTools Service\AdTools.exe

odinstaluj tylkoAdTools Service a folder ręcznie skasuj w trybie awaryjnym

A jeżeli chodzi o zapominanie to ty jak i kolega zapomniał jeszcze o tym:

O4 - HKLM\..\Run: [ec5hifc9] C:\WINDOWS\SYSTEM\ec5hifc9.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

Pogrubiony plik usuń recznie z dysku oczywiście

w trybie awaryjnym

[mia012]

oki dzięki zrobiłam tak pokasowało sie prawie wszystko wiec wklejam nowego loga mam nadzieje ze czysty
aha bo w dodaj/usuń mam kolejny dziwny program. Nie wiem czy HjT to wykrywa nie wiem czy mam go recznie usunąć w awaryjnym czy poprostu odinstaluj dlatego zamieszczam screena http://xthost.info/pohjoinen/printsc.jpg

Kod: Zaznacz wszystko

Logfile of HijackThis v1.99.1
Scan saved at 12:42:11, on 05-08-09
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAM FILES\NEOSTRADA TP\TASKBARICON.EXE
C:\PROGRAM FILES\KASPERSKY LAB\KASPERSKY ANTI-HACKER\KAVPF.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAM FILES\WINRAR\WINRAR.EXE
C:\WINDOWS\TEMP\RAR$EX00.330\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada TP
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - Startup: Kaspersky Anti-Hacker.lnk = C:\Program Files\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Pobierz z &BitSpirit - C:\PROGRAM FILES\BITSPIRIT\bsurl.htm
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll


[@Marcin]

Logo masz czyste.

w dodaj/usuń mam kolejny dziwny program. Nie wiem czy HjT to wykrywa nie wiem czy mam go recznie usunąć w awaryjnym czy poprostu odinstaluj dlatego zamieszczam screena http://xthost.info/pohjoinen/printsc.jpg

cashback.exe
What is it?
Top Rebates - cashback.exe

What does it do?
adware plus possible trojan downloader! We highly suggest getting rid of this pest for security and system stability reasons.

Removal Instructions:

Destroy Autorun:
Delete the following keys
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\webrebates,
and/OR
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\webrebates0,

Reboot your system then:

Make sure you click start --> Run and type in msconfig. Then select the startup tab. Any references to the processes below.

End Processes (may or may not exist):
2805e.exe
arupdate.exe
cashback.exe
cb.exe
djtopr1150.exe
flash.exe
nls.exe
disp1150.exe
webrebates0.exe
webrebates1.exe
webrebates_cdt_installsilent.exe
unstsa3.exe

Unregister DLLs:
C:\windows\3_0_1browserhelper3.dll
C:\windows\neti.dll
C:\windows\system32\imgconv.dll
C:\windows\system32\vic32.dll

Remove Directories:
C:\Program Files\web_rebates
C:\Windows\winskw

Ten program jeszcze wywal jakimś programem do czyszczenia rejestru
Masz tu kilka przykładowych programów:
http://www.iamnotageek.com/a/138-p1.php

PZDR