odchudzicsie
Zdaje się że usunięcie startówki Kazy odbędzie się poprzez kasację/zmianę nazwy/edycję pliku C:\Program Files\Kazaa Lite Resurrection\web\start.htm o ile jest. Pogrzebałam trochę i ponoć adres startówki:
http://www3.telus.net/EHZ-LADDER/web/start.htm
Na oko dodajmy do pliku HOSTS jeszcze i te:
www3.telus.net
www.downloads-unlimited.com
www.kazaa-plus.net
www.bolton-heaton.freeserve.co.uk/kazaa.htm
www.kazaagold.com
www.kazaa-gold.com
www.kazaaplatinum.com
www.kazaasilver.com
www.kazaa-silver.com
www.kazaabronze.com
www.kazaa-bronze.com
www.kaaza.com
www.kazza.com
www.kaza.com
www.kazaalite.com
www.k-lite.tk
www.kazaa-lite.tk
www.kazaalite.nl
www.kazaa-download.de
k-litetk.com
www.kazaalite.de
www.kazaa.de
www328.ws1.internetservice.com
kazaa.freakin.nl
www.kazaa-file-sharing-downloads.com
www.klitesite.com
www.klite.tk
www.kl-kpp.net
freewebhosting.hostdepartment.com/k/kazaalitetk
www.kazaa.co.kr
k-lite-legal.com
www.kazza.de.tc
www.kazaa.st
grogster.com
www.kazaa-lite-kazza-light-download.com
www.kazaa.baixar.ws
www.visualindicators.org
www.bizrx.org
www.kaza-kaaza.com
www.kazar.com
www.kazaar.com
www.kazzaa.com
www.kazaa-downloads.com
www.kazza-download.com
www.kaaza.de.sr
www.tvdance.com/kazaa
www.get-kazaa-lite.com
...... po przypomniało mi się, że ktoś mnie kiedyś o to pytał z Kazuchą Lite R.
.
Czekam na log z Gmera >>> moduł Usługi. Na razie tu nic nie ma.
Są też inne wyjaśnienia sytuacji: komp muli bo jest PRZEŁADOWANY a problem netu + poczta nie dochodzi bo nawala Tren-Micro Internet Security. To samo może prowokować zaniedbana defragmentacja dysku.
W logu z ComboFixa znalazłem to:
2007-01-27 22:18 <DIR> d-------- C:\My Downloads
Wg TEJ STRONY jest to objaw robaka "Elitper.D", ale równie dobrze sam mogłeś tak nazwać jakiś plik, dziwne tylko, że umieściłeś go bezpośrednio w C:\.
Eeeee tak nie można mówić. Taki folder tworzy mnóstwo programów P2P i Menedżerów pobierania. A nawet inne programy z tej kategorii. Poza tym morda doczytaj opis bo ty go źle interpretujesz:
Elitper.D przeprowadza poniższe akcje:
* Kopiuje się do folderów współdzielonych takich programów jak BearShare, Edonkey2000, Grokster, KaZaA, KaZaA Lite, KMD oraz Morpheus:
%ProgramFiles% Edonkey2000 Incoming
%ProgramFiles% BearShare Shared
%ProgramFiles% Grokster My Grokster
%ProgramFiles% Morpheus My Shared Folder
%ProgramFiles% KaZaA Lite My Shared Folder
%ProgramFiles% Kazaa My Shared Folder
%ProgramFiles% KMD My Shared Folder
%UserProfile% My Documents Downloads
C:My Downloads
To oznacza że on nie tworzy tego folderu tylko w nim umieszcza pliki a folder jest pochodzenia INNEJ APLIKACJI.
2007-01-29 16:59 4704 --ahs---- C:\WINDOWS\system32\kgygaavl.sys
2007-01-29 16:58 104 -r-hs---- C:\WINDOWS\system32\f66ee488cb.sys
To są pliki aplikacji multimedialnych (DivX). Właśnie takie i losowe.
.
Teraz rozumiem skany Symanteca. Wszystkie zielone = twój komp przeszedł testy pomyślnie i jest szczelny wg kategorii Symantec. Czerwony = nie wykryto uaktualnionego oprogramowania antywirusowego. 
Ach ten Symantec = przecież masz Antywirka PE.
Oto plik HOSTS.BAK (tylko to znalazlem - patrz zalacznik)
Ale ja mówiłam o pliku HOSTS a nie jego kopii BAK. 
To dwa różne pliki. Choć u ciebie patrząc po rozmiarze wspólnego 22KB BAK jest prawdopodobne iż BAK jest identyczną kopią pliku HOSTS który na obrazku jest plikiem numer 1. I ten plik masz otworzyć a w nim zamienić IP 216.239.37.101 + 200.193.234.37 na 127.0.0.1 w tych wpisach:
# Illegal sites that try to sell Kazaa Lite or similar progs
200.193.234.37 www.nazwakonta.brturbo.com
216.239.37.101 kazaagold.com
216.239.37.101 www.kazaa-download.de
216.239.37.101 www.mp3downloadhq.com
216.239.37.101 www.easymusicdownload.com
216.239.37.101 easymusicdownload.com
216.239.37.101 www.mp3madeeasy.com
216.239.37.101 www.monstershare.com
216.239.37.101 www.kazaa-plus.net
216.239.37.101 kazaa-plus.net
216.239.37.101 www.kazaa-plus.com
216.239.37.101 www.edonkey.com
216.239.37.101 www.kazaa-file-sharing-downloads.com
216.239.37.101 www.kazaaplatinum.com
216.239.37.101 www.madeformusic.com
216.239.37.101 ikazaa.net
216.239.37.101 www.mp3u.com
216.239.37.101 www.mp3specialty.com
216.239.37.101 music-download-world.com
216.239.37.101 song-download-world.com
216.239.37.101 www.flixs.net
216.239.37.101 www.ishareit.net
216.239.37.101 www.ishareit.com
216.239.37.101 www.download-doctor.com
Ogólnie HOSTS był edytowany przez progsa Spybot.
Odnosnie dzwieku - sam sie usmialem !!! W koncu zrozumialem mowiony teks lamana polszczyzna! Komputer podaje na glos godzine ! Musze poszukac gdzie to siedzi (w jakim prog.) i wylaczyc to.
To pewnie jest lektorem. I nadal nie jest wykluczonym iż to od StartGuard który przecież pełni funkcje shella. A może od tego Organizera?
Ja problemów u ciebie nie widzę.
.
Po skasowaniu tych wszystkich świństw daję jeszcze raz mój log do kontroli
Logfile of HijackThis v1.99.0
Scan saved at 22:22:04, on 2005-02-08
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\WANADOO\taskbaricon.exe
C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Gadu-Gadu\gg.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\Program Files\GetRight\getright.exe
C:\Program Files\GetRight\getright.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\Program Files\Kazaa Lite Rewolucja\kazaalite.kpp
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wpabaln.exe
C:\PROGRA~1\WANADOO\EspaceWanadoo.exe
C:\PROGRA~1\WANADOO\ComComp.exe
C:\PROGRA~1\WANADOO\Watch.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\m\Ustawienia lokalne\Temp\Katalog tymczasowy 2 dla hijackthis.zip\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada Plus wita Cie w Internecie
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Program Files\GetRight\xx2gr.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\taskbaricon.exe
O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Program Files\GetRight\getright.exe
O8 - Extra context menu item: Download with GetRight - C:\Program Files\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Program Files\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O16 - DPF: ppctlcab - http://ppupdates.ca.com/downloads/scanner/ppctlcab.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2454F438-51E7-46E5-955F-D93CBD67E103}: NameServer = 194.204.152.34 217.98.63.164
O17 - HKLM\System\CS1\Services\Tcpip\..\{2454F438-51E7-46E5-955F-D93CBD67E103}: NameServer = 194.204.152.34 217.98.63.164
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Program
Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: Usługa Auto Protect programu Norton AntiVirus - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe