Siema!

Nie za bardzo znam się na wirusikach a coś mi kompa muli ;< więc proszę was o pomoc. Daje tutaj loga z hijack:

Logfile of HijackThis v1.99.1
Scan saved at 13:38:05, on 2007-10-27
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss*****
C:\WINDOWS\system32\csrss*****
C:\WINDOWS\SYSTEM32\winlogon*****
C:\WINDOWS\system32\services*****
C:\WINDOWS\system32\lsass*****
C:\WINDOWS\system32\Ati2evxx*****
C:\WINDOWS\system32\svchost*****
C:\WINDOWS\system32\svchost*****
C:\WINDOWS\System32\svchost*****
C:\WINDOWS\system32\svchost*****
C:\WINDOWS\SYSTEM32\Ati2evxx*****
C:\WINDOWS\system32\userinit*****
C:\WINDOWS\system32\spoolsv*****
C:\WINDOWS\system32\acs*****
C:\WINDOWS\Explorer*****
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx*****
C:\WINDOWS\RTHDCPL*****
C:\Program Files\Apoint2K\Apoint*****
C:\WINDOWS\AGRSMMSG*****
C:\Program Files\TOSHIBA\Touch and Launch\PadExe*****
C:\Program Files\TOSHIBA\E-KEY\CeEKey*****
C:\Program Files\TOSHIBA\TouchPad\TPTray*****
C:\WINDOWS\system32\ZoomingHook*****
C:\WINDOWS\system32\TPSMain*****
C:\Program Files\TOSHIBA\Program narzędziowy TOSHIBA Zooming Utility\SmoothView*****
C:\Program Files\TOSHIBA\Tvs\TvsTray*****
C:\Program Files\TOSHIBA\TOSHIBA Direct Disc Writer\ddwmon*****
C:\Program Files\Java\jre1.5.0_11\bin\jusched*****
C:\Program Files\DAEMON Tools\daemon*****
C:\WINDOWS\system32\rundll32*****
C:\windows\system32\rlvknlg*****
C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder*****
C:\WINDOWS\system32\ctfmon*****
C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd*****
C:\Program Files\Save\Save*****
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNo tifier*****
C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil*****
C:\Program Files\Hamachi\hamachi*****
C:\Program Files\Apoint2K\Apntex*****
C:\WINDOWS\system32\TPSBattM*****
C:\Program Files\IVT Corporation\BlueSoleil\BTNtService*****
C:\Program Files\FRISK Software\F-PROT Antivirus for Windows\FPAVServer*****
C:\WINDOWS\system32\TODDSrv*****
C:\WINDOWS\system32\wdfmgr*****
C:\WINDOWS\system32\UAService7*****
C:\Program Files\Java\jre1.5.0_11\bin\jucheck*****
C:\Program Files\Mozilla Firefox\firefox*****
C:\Documents and Settings\Mateusz\Pulpit\hijackthis_sfx*****
C:\Program Files\HijackThis\HijackThis*****

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.bearshare.com/pl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: My Global Search Bar BHO - {37B85A21-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL
O2 - BHO: URLLink - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Program Files\NewDotNet\newdotnet7_48.dll
O2 - BHO: DealioBHO Class - {6A87B991-A31F-4130-AE72-6D0C294BF082} - C:\Program Files\Dealio\kb106\Dealio.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\sw g.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: Dealio - {E67C74F4-A00A-4F2C-9FEC-FD9DC004A67F} - C:\Program Files\Dealio\kb106\Dealio.dll
O3 - Toolbar: My Global Search Bar - {37B85A29-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx*****"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL*****
O4 - HKLM\..\Run: [Alcmtr] ALCMTR*****
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint*****
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG*****
O4 - HKLM\..\Run: [PadTouch] C:\Program Files\TOSHIBA\Touch and Launch\PadExe*****
O4 - HKLM\..\Run: [CeEKEY] C:\Program Files\TOSHIBA\E-KEY\CeEKey*****
O4 - HKLM\..\Run: [HWSetup] C:\Program Files\TOSHIBA\TOSHIBA Applet\HWSetup***** hwSetUP
O4 - HKLM\..\Run: [SVPWUTIL] C:\Program Files\Toshiba\Windows Utilities\SVPWUTIL***** SVPwUTIL
O4 - HKLM\..\Run: [TPNF] C:\Program Files\TOSHIBA\TouchPad\TPTray*****
O4 - HKLM\..\Run: [Zooming] ZoomingHook*****
O4 - HKLM\..\Run: [TPSMain] TPSMain*****
O4 - HKLM\..\Run: [SmoothView] C:\Program Files\TOSHIBA\Program narzędziowy TOSHIBA Zooming Utility\SmoothView*****
O4 - HKLM\..\Run: [Tvs] C:\Program Files\TOSHIBA\Tvs\TvsTray*****
O4 - HKLM\..\Run: [DDWMon] C:\Program Files\TOSHIBA\TOSHIBA Direct Disc Writer\\ddwmon*****
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched*****"
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon*****" -lang 1033
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,ClientStartup -s
O4 - HKLM\..\Run: [au] C:\Program Files\Dealio\DealioAU*****
O4 - HKLM\..\Run: [RelevantKnowledge] c:\windows\system32\rlvknlg***** -boot
O4 - HKLM\..\Run: [1qaw3edr5] C:\WINDOWS\system32\userinit*****
O4 - HKLM\..\Run: [OrderReminder] C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder*****
O4 - HKCU\..\Run: [CTFMON*****] C:\WINDOWS\system32\ctfmon*****
O4 - HKCU\..\Run: [TOSCDSPD] C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd*****
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs*****" /background
O4 - HKCU\..\Run: [WhenUSave] "C:\Program Files\Save\Save*****"
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNo tifier*****
O4 - HKCU\..\Run: [1qaw3edr5] C:\WINDOWS\system32\userinit*****
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg*****" /tray
O4 - Startup: hamachi.lnk = C:\Program Files\Hamachi\hamachi*****
O4 - Global Startup: BlueSoleil.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9*****
O8 - Extra context menu item: Compare Prices with &Dealio - C:\Program Files\Dealio\kb106\res\DealioSearch.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Dealio - {E908B145-C847-4e85-B315-07E2E70DECF8} - C:\Program Files\Dealio\kb106\Dealio.dll
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Program Files\IrfanView\Ebay\Ebay.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs*****
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs*****
O16 - DPF: {83AFB5CA-ED35-11D4-A452-0080C8D85045} (GameDesire Poker Games) - http://67.15.101.33/g_bin/pl/poker_2_0_0_49.cab
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Usługa konfiguracji Atheros (ACS) - Unknown owner - C:\WINDOWS\system32\acs*****
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx*****
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService*****
O23 - Service: F-PROT Antivirus for Windows system (FPAVServer) - FRISK Software - C:\Program Files\FRISK Software\F-PROT Antivirus for Windows\FPAVServer*****
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService*****
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT*****
O23 - Service: TOSHIBA Optical Disc Drive Service (TODDSrv) - TOSHIBA Corporation - C:\WINDOWS\system32\TODDSrv*****
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7*****

Pozdro Flamon

Nie dziwie się , że ci się komp muli.
Wogole dziwie sie , ze wogole dziala , majac tyle procesow uruchomionych

@up

To jest z rańca pod wieczór jest 2x więcej ;>

EDIT

Skoro mam tyle procesów to które wyłączyć?

Te których nie używasz. :P

O4 - HKCU\..\Run: [1qaw3edr5] C:\WINDOWS\system32\userinit*****

To mi wygląda nieciekawie. Teoretycznie userinit jest procesem systemowym ale nigdy go nie widziałem w kluczach startowych i w dodatku z czymś takim [1qaw3edr5].

Pozatym jakieś spyware. Ściągnij spybot search&destroy powinien pomóc.

Dawno takiego syfa nie widziałem :O
1.Powyłączaj to co niepotrzebne w autostarcie.
2.Masz newdotnet i WhenU save , ale nie usuwaj w hijacku bo neta wywali ;)
Użyj tego:
http://cybertrash.pl/images/tata/New.net%20_Newdotnet.html
i tego
Przejść do Dodaj / Usuń i ODINSTAlOWAĆ: Bearshare, WeatherCast i Save oraz pokasować z C:\Program Files foldery tych obiektów.
Dopiero wtedy usuń:
O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare*****" /pause
O4 - HKCU\..\Run: [WhenUSave] "C:\Programme\Save\Save*****"
3.Zmień antywira na jakiś znany ;)
4.Zrób to wszystko w trybie awaryjnym z wyłączonym przywracaniem plików systemowych. ;)
5.Wywal tą wersję bearshare i używaj tej:
http://www.pobieralnia.pl/plik-4173-bearshare-lite.html
6.Przeskanuj kompa tymi programami:
http://www.searchengines.pl/index.php?showtopic=16762
(oczywiście jednym z nich nie wszystkimi...chyba, że chcesz ;) )
@Edit
Co do O4 - HKLM\..\Run: [1qaw3edr5] C:\WINDOWS\system32\userinit***** to jest to trojan/keylogger:
http://www.scanspyware.net/info/Kbroy.B.htm
Zaraz poszukam "lekarstwa" :)
@Edit 2
Wywal wpis:
O4 - HKLM\..\Run: [1qaw3edr5] C:\WINDOWS\system32\userinit*****
Nie usuwaj pliku userinit***** z dysku !
Następnie otwórz edytor rejestru i wejdź do:
[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\policies\explorer\Run]
i usuń wpis:
"1qaw3edr5"=C:\WINDOWS\system32\userinit*****
Teraz reset kompa i dajesz nowego log'a ;)

Uther jesteś zajebisty ;< dzięki za pomoc masz u mnie notke! :D