Win32/Betalire zepsuł mi dzień...

22.09.2005

21:11

[3]

master53 [ Czarnobyl 86 ]

sprawdź Hijack This-em czy nie ma podejżanych procesów.

UrbachPaproch [ Pretorianin ]

Dzięki za rady.

Ad-awara mam, ale pół roku temu skończyła się licencja. Może jest za stary, by wykryć dziadostwo.

Sprawdzę też tego Hijack Thisa - może pomoże...

KRIS_007 [ 1mm[]R+4l ]

Ad-awara mam, ale pół roku temu skończyła się licencja. Może jest za stary, by wykryć dziadostwo.

Przeciez jest Ad-aware personal, gdzie nie ma problemu ze sciaganiem definicji z sieci.

UrbachPaproch [ Pretorianin ]

@Kris_007

Niby personal, ale nie chce się updatować, jak kiedyś, gdy co 1-3 dni były jakieś updaty.

Kombinuję, jak to przeskoczyć - instalować od nowa, czy jak?

Poza tym:
- oczyściłem rejestr z 15 pustych wpisów (liczyłem, że trafię wirusa)
- wyciąłem ręcznie pliki zainfekowane - antywir ich nie wykrywa, ale komp dalej zachowywał się dziwnie, wyskakiwały okienka, odgłos błędu (ale bez okna), pasek reklamowy w IE itd.
- dlatego zmieniłem firewalla na darmowy Kerio Personal - tam przynajmniej przez miesiąc mam spokój z adami i podobnym ustrojstwem...

Ale sądząc, że przy wyłączaniu pokazało się info "pokapoka6.exe nie daje się zamknąć" czy coś w tym rodzaju, wnoszę, że problem dalej gdzieś siedzi.

Czy internetowe skanowanie np. przez Mks może wyleczyć mi kompa, czy dać sobie spokój?

I co to jest ten Hijack This? Nie mogę jakoś tego namierzyć...

UrbachPaproch [ Pretorianin ]

Liczę na to, że z rana znajdzie się jakiś weteran zwalczania wirusów :)

23.09.2005

08:58

[8]

slowik [ NightInGale ]

no to plan kontrataku ;-)
1.zlokalizuj wirusa/robaka czy inne dziadostwo (ctr+alt+del) jesli nie jestes pewny czy to ten proces to masz net'a (jesli znasz wszystkie procesu ktore powinny byc uruchomione w tle to zabij rezte)
2.probujesz zabic procesy (zakonczyc ) jednoczesnie zapamietujac ich nazwy
3.niektore exe beda sie odpalac od nowa itd ... no to nazwa pliku -> rejestr -> wyszukaj i wywalasz z calego rejestru ta nazwe (tylko pamietaj ze niektore procesy chociaz nie chca sie zakonczyc to nie sa wirusy)
4. rejestr->HCU->software->miskrosoft->windows->currentversion->run (z roznymi odmianami) i HLM -> sciezka identyczna jak w HCU no i tutaj masz autostart wywlaj wszystko co ci sie podoba zncaczy sie co chcesz zeby ci sie nie uruchamialo (niektore to jakies funkcje systemu ...u mnie ze 2 sie taki laduja ...)
5.najlepsza czesc c:\windows\system32 i tutaj szukasz tych plikow i je wywalasz (okazjonalnie w c:\windows i gdzie pobadnie jesli jakis zlosliwiec)
6. jesli w ie jest dalej ten toolbar to rejestr->wywalasz kazdy klucz ktory sie tak nazywa ;-) (akurat to u iebie testowalem i dziala :-) to co powyzej testowane bylo nie na moim sprzecie tak wiec wieksza delikatnosc byla ;-) )
7.zmieniasz przegladarke z ie na JAKAKOLWIEK inna jesli sie muusisz dalej z nia meczyc zainstaluj jakiegos b dobrego firewall'a i antywirua (firewall+trojan trap=tiny peronal firewall jak dotad nie przepuscil mi zadnego mikroba :) )
8cieszysz sie z okresu pokoju ;-)

UrbachPaproch [ Pretorianin ]

@Slowik

1.zlokalizuj wirusa/robaka czy inne dziadostwo (ctr+alt+del) jesli nie jestes pewny czy to ten proces to masz net'a (jesli znasz wszystkie procesu ktore powinny byc uruchomione w tle to zabij rezte)

No właśnie - najpierw muszę się nauczyć, do czego służy każdy proces w tle, a czego mogę się pozbyć. A nie chcę się pozbywać nie tylko procesów systemowych, ale np. antywirusa czy firewalla, które sobie chodzą, i słusznie :)

Poszukam w sieci, może są jakieś rady na ten temat.

3.niektore exe beda sie odpalac od nowa itd ... no to nazwa pliku -> rejestr -> wyszukaj i wywalasz z calego rejestru ta nazwe (tylko pamietaj ze niektore procesy chociaz nie chca sie zakonczyc to nie sa wirusy)

No właśnie. Tu tkwi pies.
Ale jest w opisie do wirusa fragment poświęcony temu, co wyczynia Win32/Betalire w rejestrach. Jak się poduczę, to go wytnę stamtąd i już. Ale trochę potrwa, zanim będę wiedział, co wyciąć, by nie reinstalować windy od nowa...

PS Na drugim, zdrowym kompie nie działa mi Dodaj/Usuń programy. A chcę usunąć aplikację do Neostrady. Czy wywalać to właśnie z rejestrów?

23.09.2005

09:17

[10]

slowik [ NightInGale ]

rejestr to jest zcentralizowany config dla calego systemu (wole system rozproszony ...) i jesli jakas funkcja dotyczy systemu na bank jest w rejestrze ;-) (niemsz zainstalowanego tweakul na tym kompie jesli tak to tam zajrzyj bo dodan/uun moglo zostac wylaczone)

zabijanie procesow nie boli zawsze zobaczysz czy cos ci przez przypadek nie zniklo

jesli czas naprawy>reinstalacja calego softu lepiej reinstaluj mi to zajmuje maxymalnie 0.5h ...

UrbachPaproch [ Pretorianin ]

A cóż to takiego "tweakul"? Program do gmerania w systemie?
Nic takiego nie instalowałem, więc jeśli nie ma "w zestawie", to musiałbym tego szukać w sieci.

A co do reinstalacji - nie jestem w stanie sam postawić kompa w domu. Zawsze wyskakuje coś ze sterownikami, czegoś brakuje, coś nie chce się skonfigurować, potem nie ma netu, nie ma łączności między maszynami (mam dwie), trzeba wzywać speca itd. Nie mam kasy, ani czasu na parę dni gmerania.

Muszę poradzić sobie z tym, co jest. I tak system trzyma się już 3 lata bez infekcji, więc nieźle - i tyleż żyje bez większych problemów (aż do czasu...)

mietek syn mleczarza [ Pretorianin ]

Pierwszy sposob:
1. Zabijasz proces: pokapoka
2. Lokalizujesz klucze pokapoka w rejestrze i je usuwasz. Beda one znajdowac sie gdzies tutaj:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEX
3. Usuwasz cala zawartosc folderow tymczasowych C:\Documents and Settings\nazwauzytkownika\Local Settings\Temp
4. Usuwasz te wpisy z rejestru:
HKCU\Software\Microsoft\Internet Explorer\Main\Search Page
HKCU\Software\Microsoft\Internet Explorer\Main\Search Bar
HKCU\Software\Microsoft\Internet Explorer\SearchURL
HKCU\Software\Microsoft\Internet Explorer\Search\SearchAssistant
5. Restartujesz kompa w celu sprawdzenia efektow swojej ciezkiej pracy.

Drugi sposob:
1. HiJackThis https://www.majorgeeks.com/download3155.html
2. Sciagasz program
3. Odpalasz program
4. Uruchamiasz scan
5. Wklejasz loga z programu na forum bym mogl go przeanalizowac
6. Nastepnie ja mowie ci co masz usunac
7. Restartujesz kompa w celu sprawdzenia efektow swojej ciezkiej pracy.

UrbachPaproch [ Pretorianin ]

Trochę to trwało, bo postanowiłem jeszcze raz: skanować antywirem (1,5 godziny), użyć adawara i regcleanera w trybie awaryjnym, oraz oczyścić: c:\winnt\temp oraz Document and Settings\Administrator\Ustawienia lokalne (i tu dwa katalogi: Temp oraz Temporary Internet Files).

Mam nadzieję, że nie narobiłem głupstw.

Użyłem także programiku CWS, ale nieiwele to pomogło.
Log z programu HijackThis wskazał na pokapoka6.exe, który wyciąłem, a log który jest po tej akcji, wygląda tak (i teraz czuję się, jakbym spodnie ściągał publicznie):

C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\CA\Common\Alert\ALERT.EXE
C:\WINNT\System32\svchost.exe
C:\Program Files\CA\eTrust\InoculateIT\InoRpc.exe
C:\Program Files\CA\eTrust\InoculateIT\InoRT.exe
C:\Program Files\CA\eTrust\InoculateIT\InoTask.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINNT\LogWatNT.exe
C:\WINNT\system32\nprotect.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\CA\eTrust\InoculateIT\realmon.exe
C:\WINNT\PowerS.exe
C:\Program Files\Winamp\Winampa.exe
C:\WINNT\system32\RunDll32.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINNT\system32\RUNDLL32.EXE
C:\WINNT\etb\pokapoka70.exe
C:\WINNT\system32\internat.exe
C:\Program Files\Prolink\PlayTV Pro\TVRMVCR.EXE
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Prolink\PlayTV Pro\TVSCHL.EXE
C:\Program Files\Microsoft Office\Office\Winword.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Administrator\Pulpit\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = https://www.quicksearch360.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.quicksearch360.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.quicksearch360.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = https://www.quicksearch360.com/sp2.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Realtime Monitor] "C:\Program Files\CA\eTrust\InoculateIT\realmon.exe"
O4 - HKLM\..\Run: [PowerS] C:\WINNT\PowerS.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RealJukeboxSystray] C:\Program Files\Real\RealJukebox\tsystray.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Windows Shell] C:\WINNT\system32\shell32.exe
O4 - HKLM\..\Run: [I downloaded pirated Software I post my Hijack Log] C:\WINNT\system32\_.gof
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [System service70] C:\WINNT\etb\pokapoka70.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Remote Controller.lnk = C:\Program Files\Prolink\PlayTV Pro\TVRMVCR.EXE
O4 - Global Startup: TV Scheduler.lnk = C:\Program Files\Prolink\PlayTV Pro\TVSCHL.EXE
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O16 - DPF: ‹23B7A816-3647-49D2-9756-6F41CE8F9201› (ddm_download.ddm_control) - https://bins.dynamicdesktopmedia.com/cab/ddm_control.CAB
O16 - DPF: ‹FA9740A2-5802-42E2-B509-81186EEB3C42› (WABControl Class) - https://www.linkedin.com/cab/wabctrl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\‹12B157DD-CDD7-44CD-B77A-CAC85295F936›: NameServer = 212.76.33.1,212.76.32.1
O17 - HKLM\System\CS1\Services\Tcpip\..\‹12B157DD-CDD7-44CD-B77A-CAC85295F936›: NameServer = 212.76.33.1,212.76.32.1
O17 - HKLM\System\CS2\Services\Tcpip\..\‹12B157DD-CDD7-44CD-B77A-CAC85295F936›: NameServer = 212.76.33.1,212.76.32.1
O23 - Service: Alert Notification Server - Computer Associates International, Inc. - C:\Program Files\CA\Common\Alert\ALERT.EXE
O23 - Service: Usługa administracyjna Menedżera dysków logicznych (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: eTrust InoculateIT RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust\InoculateIT\InoRpc.exe
O23 - Service: eTrust InoculateIT Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust\InoculateIT\InoRT.exe
O23 - Service: eTrust InoculateIT Job Server (InoTask) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust\InoculateIT\InoTask.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Event Log Watch (LogWatch) - Unknown owner - C:\WINNT\LogWatNT.exe
O23 - Service: Protected Exchange (MainService) - Unknown owner - C:\WINNT\system32\nprotect.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe

I co Wy na to? Szczególnie liczę na pomoc Pana Mietka!

UrbachPaproch [ Pretorianin ]

1. Zabijasz proces: pokapoka

Nie było go wśród działających procesów. Dziwne, pojawia się w chwili wyłączania kompa, bo sygnalizuje go firewall.

2. Lokalizujesz klucze pokapoka w rejestrze i je usuwasz. Beda one znajdowac sie gdzies tutaj:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
...
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEX

Albo oślepłem, albo nie ma tego ostatniego adresu. Pozostałe sprawdziłem i w niektórych pokapoka była. Wywaliłem ją stamtąd.

3. Usuwasz cala zawartosc folderow tymczasowych C:\Documents and Settings\nazwauzytkownika\Local Settings\Temp

Chyba tylko w trybie awaryjnym. Bo normalnie miałem tam 5 plików i tylko 1 dał się usunąć w zwykłym trybie. Spróbuję więc w tym drugim.

4. Usuwasz te wpisy z rejestru:
HKCU\Software\Microsoft\Internet Explorer\Main\Search Page
HKCU\Software\Microsoft\Internet Explorer\Main\Search Bar
HKCU\Software\Microsoft\Internet Explorer\SearchURL
HKCU\Software\Microsoft\Internet Explorer\Search\SearchAssistant

Ale całe "katalogi" czy tylko ich zawartość: domyślna wartość itd. ?
Wyciąłem tylko zawartość, zostawiając wartości domyślne.

5. Restartujesz kompa w celu sprawdzenia efektow swojej ciezkiej pracy.

Właśnie sprawdzam....

mietek syn mleczarza [ Pretorianin ]

Sorki ze mnie tak dlugo nie bylo bowiem musialem wyjsc z domku pozalatwiac pewne sprawy.
Co do twojego problemu to odpal hijackthis i usun:

C:\WINNT\etb\pokapoka70.exe
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = https://www.quicksearch360.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.quicksearch360.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.quicksearch360.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = https://www.quicksearch360.com/sp2.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O4 - HKLM\..\Run: [System service70] C:\WINNT\etb\pokapoka70.exe

Po tym zabiegu nie bedziesz musial grzebac juz w rejestrze.

23.09.2005

16:53

[16]

slowik [ NightInGale ]

procesy do potencjalnego wywalenia :
C:\WINNT\LogWatNT.exe
C:\WINNT\system32\nprotect.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\PowerS.exe
C:\WINNT\system32\internat.exe

UrbachPaproch [ Pretorianin ]

@ Mietek

Czy ja powinienem działać tym Hijackiem w trybie zwykłym? A może w awaryjnym? Bo fixuję (jak rozumiem to właśnie wycina linię z rejestrów czy coś w tym guście), a linijka po ponowny skanowaniu znowu jest na miejscu - mowa o pokapoka, czyli o:
O4 - HKLM\..\Run: [System service70] C:\WINNT\etb\pokapoka70.exe

Po skasowaniu miałem z 8 komunikatów firewalla, że różne aplikacje chcą uruchomić pokapoka6.exe - a były to: program do używania DLL jako plików (lub coś w tym guście), coś do monitora stacjonarnego, kalkulator itd. Wszędzie dałem regułę, żeby blokować.

Ale pokapoka i tak wróciła.

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = https://www.quicksearch360.com/sp2.php

Tego nie było. Dziwne.
A reszta skasowana i się nie pojawiła.

---
@Slowik

C:\WINNT\LogWatNT.exe
C:\WINNT\system32\nprotect.exe

Te rzeczy wracają. Nie da się ich trwale wywalić za pomocą Hijacka, a usuwane z procesów bronią się jakimś komunikatem, że nie da rady.

C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\internat.exe

Tego nie widzę w Hijacku - dziwne, nie?

C:\WINNT\system32\stisvc.exe

To jest w procesach, ale znikło w Hijacku. W procesach nie da się zamknąć.

C:\WINNT\PowerS.exe

To poszło.

23.09.2005

18:31

[18]

slowik [ NightInGale ]

przeciez pisalem jesli chwasta nieda sie wyrwac to najpierw w rejestrze musi wyleciec pozniej bez wiekszych problemow usowasz ...

UrbachPaproch [ Pretorianin ]

Wybacz, robię to po raz pierwszy i cały czas mam poczucie, że jeden bład i system leży, a ja wyrywam sobie resztki włosów.

Czyli jak Hijack nie działa lub proces wywalany z "procesów" wraca, to namierzyć go w rejestrze i wywalić?

To właściwie robi ten HijackThis? Czyści rejestr, ale nie do końca? Zamyka procesy?

cotton_eye_joe [ maniaq ]

pokazuje WSZYSTKO co sie uruchamia auto przy starcie win.
i wywala te, ktore zaznaczasz. to + troche zdrowego rozsadku i zaden wir/trojan sie nie uchowa.

slowik [ NightInGale ]

Urbach===>zeby winshit nie ruszyl musialbys wywalic cos wiecej nizeli klucze odpowiedzialne za wirusa ... zawsze mozna zrobic kopie zapasowa rejestru (eksport) tam wiec o co sie boisz ...

mietek syn mleczarza [ Pretorianin ]

HijackThis zabija dzialajace procesy i usuwa wpisy z rejestru by te po ponownym uruchomieniu kompa sie spowrotem nie pojawily. Jesli po zabiciu procesy automatycznie powracaja to oznacza to ze jest jakis inny dzialajacy proces ktory je przywraca. Sprawdz czy napewno wszystkie wpisy pokapoka sa usuniete z HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run. Najlepiej zrob jakiegos screena i wklej tutaj. Usun rowniez folder c:/winnt/etb ale najpierw wejdz do niego odpal plik etb.ini i wklej tu jego zawartosc.

UrbachPaproch [ Pretorianin ]

@ Mietek

Sprawdz czy napewno wszystkie wpisy pokapoka sa usuniete z HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run.

Usuwałem stamtąd, ale teraz znowu jest. Usuwanie nic nie daje, bo jak sprawdziłem Hijackiem i znalazłem pokę, to odświerzyłem rejest i znowu tam siedział.

Podaję screena do rejestru tuż po oczyszczeniu pliku.

A tego c:\winnt\etb nie mam - ani katalogu o takiej nazwie, ani nigdzie w całym kompie pliku etb.ini. Chyba, że to jakiś skrót :)

@ Cotton-eye-Joe

Tu nie tylko rozsądek jest potrzebny, ale i ociupina doświadczenia... Ale uczę się tak szybko, jak potrafię na stare lata.

@ Słowik

To podpowiedz jeszcze piernikowi jak się robi kopię rejestru i co potem z nią trzeba zrobić, jak komp się położy :)

UrbachPaproch [ Pretorianin ]

Zrestartowałem kompa i spróbowałem wyciąć pokę z rejestru z tego adresu, który podałeś powyżej i sprawdzić odświerzanie. Zaraz pojawia się na nowo.

Spróbuję go jeszcze poszukać...

UrbachPaproch [ Pretorianin ]

A, no i mam jeszcze jedno zjawisko.

Zacząłem szukać w rejestrze "pokapoka". Po 3-4 minutach szukania (jeszcze nie doszedł do powyższej linijki) pojawiło się ostrzeżenie, że brakuje pamięci i coś tam coś tam. Kilka sekund później pojawił się niebieski ekran śmierci i zaczęło się "zrzucanie fizycznej pamięci na dysk" czy coś w tym rodzaju. Następnie maszyna się zrestartowała.

Wcześniej się coś podobnego nie zdarzało. Ale odkąd złapałem tego wirusa pojawia się czasem info o braku pamięci. Zapycha mi pamięć, bydle.

slowik [ NightInGale ]

no dobra net jest ... ^^

no to tak :
rejestr->eksport tak sie robi kopie rejestru

a z autostartu wywalilbym : (exe tez wywalic mozna ... ewentualnie spakowac do archiwum z haslem)

Windows shell (ostatnio wywalilem syfa ktory sie podawal za jakas aplikacje graficzna ...)
mobsync o ile nie instalowales czegos takiego
Nero tez bym wywalil ale nie ze wzgledu na podejrzenie o wirusa ale ten syf nie jest potrzebny (nero jest cacy dopuki nie pracuje mi masa agentow w tle ...)
i i downloaded pirated soft tez :D oczywiscie plik do ktorego skrot sie odnosi takze ...

23.09.2005

22:11

[27]

slowik [ NightInGale ]

a bym zapomnial ten ysf co sie podawal za jakis bajer do grafiki nie dawal zainstalowac antywirusa jak i jego zauktualizowac

slowik [ NightInGale ]

a rozumiem ze pracujesz na ukrytych plikach pokazanych tak samo i tych chronionych przez winshit'a

mietek syn mleczarza [ Pretorianin ]

Troche polazilem po zagranicznych stronkach i udalo mi sie cos znalezc.
1. Sciagnij: https://www.downloads.subratam.org/LQfix.zip
2. Wypakuj ten program ale go nie uruchamiaj.
3. Wylacz komputer i odlacz go od internetu.
4. Wlacz komputer w trybie awaryjnym.
5. Wejdz w moj komputer->narzedzia->opcje folderow->widok i zaznacz pokaz ukryte pliki i foldery oraz odhacz: ukryj chronione pliki sytemu, ukryj rozszerzenia znanych typow plikow.
6. Uruchom wypakowany wczesniej lqfix.bat poczym zamknij dosowe okienko ktore sie pojawi.
7. Odpal HijackThis i usun wszystkie pokapoka. Mozesz rowniez usunac inne wspomniane przez slowika procesy w tym shell32.exe ktory rowniez jest wirusem.
8. Usun folder c:/winnt/etb (wczesniej go nie widziales bo pewnie byl ukryty).
9. Wlacz ponownie kompa w normalnym trybie z podlaczonym internetem i przeskanuj go jakims skanerem online.

UrbachPaproch [ Pretorianin ]

Do tej zabawy zabiorę się rano, bo dziś moja kobieta ma mnie już dość wkurzonego i restartującego maszynę.

Czy onlinowy skaner MKS-a może być na koniec tych operacji? Mogę poszukać czegoś innego, ale tego już znam i nie muszę szukać (btw., w bazie danych wirusów mks-a nie ma Win32/Betalire... więc może poszukam czegoś innego).

Jestem bardzo wdzięczny za życzliwość i cierpliwość do starego pierdoły.

24.09.2005

10:04

[31]

slowik [ NightInGale ]

blehehe skan online :D dobra sciema :D

zainstaluj sobie powaznego antywirusa avast/kasperky darmowy/platny i zrob skanowanie podczas rozruchu systemu ...

jesli chcesz cos do wywalania makroba to na norton'ie cos moze byc ;-)

mietek syn mleczarza [ Pretorianin ]

Czy sciema to nie wiem, sam mam watpliwosci co do dzialania skanerow online'owych ale napisalem tylko to co wyczytalem z tej stronki: https://www.techsupportforum.com/computer/topic/65061-1.html

UrbachPaproch [ Pretorianin ]

PANOWIE!

JESTEM ZDROWY! Tzn. komputer jest zdrowy. Ale po kolei.

5. Wejdz w moj komputer->narzedzia->opcje folderow->widok i zaznacz pokaz ukryte pliki i foldery oraz odhacz: ukryj chronione pliki sytemu, ukryj rozszerzenia znanych typow plikow.

Mam tak ustawione od zawsze. Już kiedyś coś reperowałem i musiałem się połapać, że nie widzę połowy ważnych plików :)

7. Odpal HijackThis i usun wszystkie pokapoka. Mozesz rowniez usunac inne wspomniane przez slowika procesy w tym shell32.exe ktory rowniez jest wirusem.

Nie było żadnych pokapoka! Ani jednego!

Nie udało się również trwale wywalić:

C:\WINNT\LogWatNT.exe
C:\WINNT\system32\nprotect.exe
C:\WINNT\System32\WBEM\WinMgmt.exe

Po prostu stale wracały. A tych:

C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\PowerS.exe
C:\WINNT\system32\internat.exe

Nie mogłem wypatrzyć w Hijacku. Na dowód: log z Hijacka:

Logfile of HijackThis v1.99.1
Scan saved at 12:15:29, on 2005-09-24
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\NOTEPAD.EXE
C:\Documents and Settings\Administrator\Pulpit\hijackthis\HijackThis.exe

No, miałem otwarte te dwa ostatnie w tle, fakt.

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Realtime Monitor] "C:\Program Files\CA\eTrust\InoculateIT\realmon.exe"
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RealJukeboxSystray] C:\Program Files\Real\RealJukebox\tsystray.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - Global Startup: Remote Controller.lnk = C:\Program Files\Prolink\PlayTV Pro\TVRMVCR.EXE
O4 - Global Startup: TV Scheduler.lnk = C:\Program Files\Prolink\PlayTV Pro\TVSCHL.EXE
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O16 - DPF: ‹23B7A816-3647-49D2-9756-6F41CE8F9201› (ddm_download.ddm_control) - https://bins.dynamicdesktopmedia.com/cab/ddm_control.CAB
O16 - DPF: ‹FA9740A2-5802-42E2-B509-81186EEB3C42› (WABControl Class) - https://www.linkedin.com/cab/wabctrl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\‹12B157DD-CDD7-44CD-B77A-CAC85295F936›: NameServer = 212.76.33.1,212.76.32.1
O17 - HKLM\System\CS1\Services\Tcpip\..\‹12B157DD-CDD7-44CD-B77A-CAC85295F936›: NameServer = 212.76.33.1,212.76.32.1
O17 - HKLM\System\CS2\Services\Tcpip\..\‹12B157DD-CDD7-44CD-B77A-CAC85295F936›: NameServer = 212.76.33.1,212.76.32.1
O23 - Service: Alert Notification Server - Computer Associates International, Inc. - C:\Program Files\CA\Common\Alert\ALERT.EXE
O23 - Service: Usługa administracyjna Menedżera dysków logicznych (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: eTrust InoculateIT RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust\InoculateIT\InoRpc.exe
O23 - Service: eTrust InoculateIT Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust\InoculateIT\InoRT.exe
O23 - Service: eTrust InoculateIT Job Server (InoTask) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust\InoculateIT\InoTask.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Event Log Watch (LogWatch) - Unknown owner - C:\WINNT\LogWatNT.exe
O23 - Service: Protected Exchange (MainService) - Unknown owner - C:\WINNT\system32\nprotect.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe

8. Usun folder c:/winnt/etb (wczesniej go nie widziales bo pewnie byl ukryty).

Nie było tego na kompie!!!

9. Wlacz ponownie kompa w normalnym trybie z podlaczonym internetem i przeskanuj go jakims skanerem online.

Skanowanie on-line nic nie dało. Ufam, że jestem czysty, ha!

Panowie, kłaniam się w pas.

Macie serdeczne podziękowania od mojej pani, która już buduje swój zamek w Stronghold 2.

Czuję się zobowiązany i gdybym mógł się jakoś zrewanżować - to dajcie znać.
Jeśli jesteście z Wwy, to mogę zaprosić na dobrą herbatę i palenie sziszy przy sączących się z głośników pieśniach kawwali (ew. po prostu piwo) :)

slowik [ NightInGale ]

Urbach===>tez se lubie zamki budowac w stronghold 2 ;-)

co do tych co sie nie daja wywalic sprawdz na necie jaka jest tego geneza i ie ich pozbadz jesli uwarzasz je za niepotrzebne ... lub niebezpieczne bo niektore syfy sa niegrozne nawet ich nie widac n a kompie tylko ze z czasem tego wiecej moze sie pojawic :/

24.09.2005

12:40

[35]

slowik [ NightInGale ]

a w wawie jestem od 29 ;-)

UrbachPaproch [ Pretorianin ]

No niestety, aż tak szybkiego happy endu nie będzie.

Komputer działał poprawnie 2 restarty.
Za 3 razem miałem freeze po załadowaniu pulpitu - nie pakowały się ikony do rogu (antywirus, firewall itd.). Po prostu wisi.

Potem znowu ruszył. Kobieta grała w Strongholda 2. Potem RTW, a potem... Stronghold już nie chciał zadziałać - informacja o tym, że nie może otworzyć jakiegoś pliku.
No to restart - freeze, restart - wszedł. Zdeinstalowałem Strongholda, bo myślę - może coś z tych rejestrów wyciąłem nie tak, zainstaluję jeszcze raz, to będzie git. Zdeinstalowałem, kazał się restartować.

No i od tej pory już nie włącza się w trybie zwykłym.

Próbować odzyskać te zmienione Hijackiem fragmenty rejestru? (oprócz pokapoka i shell32 oczywiście) Co robić?

Chyba dojrzewam do decyzji o kompletnej reinstalacji systemu. To już 3 dzień zmagań i końca nie widać...

UrbachPaproch [ Pretorianin ]

Mam na oku 2 linijki z rejestrów, które kasując mogą powodować ten efekt. Cofnę je w trybie awaryjny (hijack).

UrbachPaproch [ Pretorianin ]

Wygląda na to, że kompa wiesza mi linijka:

O4 - HKLM\..\Run: [I downloaded pirated Software I post my Hijack Log] C:\WINNT\system32\_.gof

Cofnąłem i działa - 3 restarty próbne przeszły pomyślnie.

Acha, próbowałem powywalać pozostałe programy skaczące w tle. Ponieważ procesów wyłączyć się nie da, to próbowałem wywalać te programiki, które wskazał Hijack. I tak:

internat.exe, mstask.exe + dll, stisvc.exe oraz winmgmt.exe powstają na nowo

zaś nprotect.exe i longWatNT - nie, więc w rejestrze jest komunikat file missing (hijack tak pokazuje, ale nie potrafi wyciąć tych linijek - wracają).

Wydaje mi się (złudzenie?), że komputer troszkę szybciej się włącza.

PS W logu hijacka widzę coś takiego:

C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\CA\Common\Alert\ALERT.EXE
C:\WINNT\System32\svchost.exe
C:\Program Files\CA\eTrust\InoculateIT\InoRpc.exe
C:\Program Files\CA\eTrust\InoculateIT\InoRT.exe
C:\Program Files\CA\eTrust\InoculateIT\InoTask.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\CA\eTrust\InoculateIT\realmon.exe
C:\Program Files\Winamp\Winampa.exe
C:\WINNT\system32\RunDll32.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINNT\system32\RUNDLL32.EXE
C:\Program Files\Prolink\PlayTV Pro\TVRMVCR.EXE
C:\Program Files\Prolink\PlayTV Pro\TVSCHL.EXE
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Documents and Settings\Administrator\Pulpit\hijackthis\HijackThis.exe


To jest jakieś podejrzane... Właśnie szukam czegoś na ten temat w sieci.

24.09.2005

19:07

[39]

slowik [ NightInGale ]

Urbach===>tak jak pisalem to nie jest koniec :D ctr+alt+del to twoje podstawowe narzedzie !!
i teraz zabijasz procesy do skutku (najlepiej zainstaluj avasta i skan podczas rozruchu) te ktore sie nei beda chcialy sie zamknac robisz ctrl+f wyszukujesz i wywalasz klucze (nie wpisy klucze to te "katalogi" z wpisami) i zabijasz proces wtedy to wyszukujesz drania i go recznie usowasz

NIE uruchamiaj ponownie pc'ta dopuki sie nie pozbedziesz makrobow restart to nie jest zabieg majacy ci pomoc po pomyslnym wywaleniu syfu masz autostart czyli te klucze z Run w rejestrze (wyzej pisalem co i jak) jesli to nie pomoze to hijackthis ma podglad urzywanych przez aplikaje plikow dll ktory ci sie nie spodoba na google i czytasz o nim jesli jest be wywalasz go z pamieci hijackthis i pozniej z system32

wiesz chyba co oznacza 'i downloaded ... '?? :P

24.09.2005

19:12

[40]

slowik [ NightInGale ]

svchost jest wporzadku odpalany 3 razy tez u mnie jest tak wiec nie w tym rzecz :-) jakbys mial svhost to bys sie zaczynal martwic ;-)

24.09.2005

19:34

[41]

Aceofbase [ El Mariachi ]

lol a ja mam 6 svchost'ów

UrbachPaproch [ Pretorianin ]

@ Slowik

Ten Avast to jakiś fajowy program antywirusowy? Bo eTrust Inoculate sprawdzał mi się do tej pory, a teraz wymiękł, bo wirus wszedł przed updatem.

Co do reszty - spróbuję jutro posiedzieć nad wywaleniem tych dziwnych plików i wcześniej poczytam o nich w necie.

Czyli:
1. Sprawdzam w procesach czy są, próbuję wywalić, jak się nie da (i jak się da to chyba też :), zaglądam do rejestru
2. Szukam tych katalogów z wpisami o nazwie pliku i wycinam całe katalogi
3. Znajduję ew. pliki exe na dysku, wycinam je
4. Szukam w Run/ w rejestrze wpisów z tymi plikami i wywalam

Czy to wszystko w trybie zwykłym, czy awaryjnym?

Nie rozumiem, co mam zrobić potem z tymi dll. Hijack powie mi, jakich dll używa dany niepożadany proces, więc jeśli coś w necie przeczytam, że jakiś program jest be to wywalam i program, i dll za pomocą najpierw Hijacka, a potem z rejestru ręcznie z System32?

Ale będę cwany, jak to wszystko pojmę :)

PS Wiem, co oznacza "I downloaded...". Ciekawe, który program mi to zafundował :)

UrbachPaproch [ Pretorianin ]

PPS Zapomniałem dopisać, że wysłałem do Ciebie maila na adres podany w profilu GOL. Chyba nie jest aktualny, bo ani widu, ani słychu :)

24.09.2005

20:29

[44]

slowik [ NightInGale ]

aktualny jak njbardziej :-) tylko sprawdzam go okolo 3 razy dziennie ...

avast to najlepszy darmowy antywirus ...

tryb niema znaczenia tutaj u tutaj syfy sie zaladuja keidys w awaryjnym sie nie ladowaly ale wiesz technologia posowa sie do przodu :D

dll to opcja dla najwiekszych upierdliwcow ... jak bedzie wszystko cacy to nie zawracaj sobie glowy

mietek syn mleczarza [ Pretorianin ]

No to fajnie ze wreszcie udalo ci sie rozwiazac problem. Co do avasta to uzywam go od ponad roku, do tego zapora z windows xp sp2 i przegladarka firefox i nie mam najmniejszych problemow z wirusami. Jesli chodzi o HijackThis to najlepiej nim dzialac w trybie awaryjnym, bez dostepu do netu z wylaczonym przywracaniem systemu.

UrbachPaproch [ Pretorianin ]

Lobbujecie tego Avasta, że jeśli kiedykolwiek Inoculatowi noga się podwinie raz jeszcze, to idzie na wygnanie, a zastąpi go właśnie Avast :)

---

@Mietek

bez dostepu do netu z wylaczonym przywracaniem systemu
A gdzie się wyłacza przywracanie systemu? I jak potem ew. postawić system, jak coś polegnie :)

PS A Ty nie lubisz piwa? Ja też. W takim razie zapraszam ponownie na herbatę i fajkę wodną (ale tylko soft, czyli tytoń, arabska muzyka i ew. mogę zrobić taniec brzucha). Wszystko w Wwie, więc mam nadzieję, że w niej mieszkasz lub czasem bywasz.

mietek syn mleczarza [ Pretorianin ]

Z tego co widze to posiadasz windowsa nt a nie wiem czy tam jest taka opcja. W windows xp przywracanie systemu wylacza sie w: prawyprzyciskmyszy na moj komputer->wlasciwosci->przywracanie systemu.

Piwo oczywiscie pijam ale mieszkam w slupsku, a to skutecznie uniemozliwia wspolne biesiadowanie przy tym trunku... no chyba ze wirtualnie https://ziza.ru/2005/06/20/uderzhit-svoe-pivo.html
Jesli chodzi o taniec brzucha w meskim wykonaniu to... yhm... ekhm... mysle ze nie bardzo by mi sie spodobal.

slowik [ NightInGale ]

mietek===>win2k lubi sie instalowac w c:\winnt :-) tak wiec ;-) zreszta xp to nt tylko 5.01 itd ...

Urbach===>avast dobra rzecz
przywracnie systemu jest od win meee
jak postawic system ?? jesli bedziesz pewny ze sie pozbyles tego syfu i system gryzie glebe no to mozesz zrobic naprawe systemu (xp to ma niewiem jak 2k) jesli sie nieda no to instalujesz system od nowa tylko pamietajac o tym ze: trzeba sformatowac partycje c:\ przy tym przenoszac dane na inna lub wywalic katalog c:\winnt (najlepiej spod innej instalacji :) ) i zainstalowac bez wiekszych problemow od nowa system zachowujac stare smieci ;-) (oczywiscie reinstalacja niektorych programow bedzie niezbedna)

UrbachPaproch [ Pretorianin ]

Właśnie, a propos stawiania na nowo systemu. Skorzystam jeszcze z Waszej życzliwości.

Otóż na drugiej maszynie mam inny dziwny problem. Miałem jakieś spięcie, a może piorun pokonał możliwości listwy zasilającej (nie chcę myśleć, że to był wirus), i zjadło mi część profilu admina w którym siedzę. Po dłuższym namyśle, czytaniu rad mądrych ludzi itd. wszystkie ważne pliki odzyskałem i wrzuciłem do profilu, który komp sam mi założył po awarii, czyli profilu profilu Administrator.Urbach. Należy od do grupy administratorów i ma pełne uprawnienia, choć wygląda, jakby nie miał :)

Dlaczego?

1. Dodaj Usuń programy nie działa. Jeśli program nie ma sam w sobie deinstalacji lub program do instalowania nie ma opcji usuń, to nie mogę się go pozbyć. Głupio.

2. Program do robienia porządku na dysku - Diskeeper - nie chce się włączyć informując, że dysk jest zablokowany przez chkdsk (który ma się na nim włączyć, bo system znalazł błędy w systemie plików. Ale przy włączaniu nie ma skandiskowania. Co więcej, robiłem mu już 5-poziomowe chkdskowanie (chdsk c: /f /c) - od tej pory przy włączaniu nie chce się chkdskować, ale Diskeeper dalej gada swoje.

Ki diabeł?

mietek syn mleczarza [ Pretorianin ]

Niestety nie bardzo potrafie ci tu pomoc. Moze szkody po ów awarii sa zbyt duze i przyszedl czas na przeinstalowanie systemu. Jesli chodzi o usuwanie programow mozesz uzyc Reg Cleaner'a. Jest to program do czyszczenia rejestru, ktory ma mozliwosc odinstalowywania programow.

slowik [ NightInGale ]

ze tak powiem reinstalacja tego programu + naprawa systemu (znaczy sie ponowna instalacja ale to juz opisywalem ...) lub windoctor norton'a on potrafi naprawiac rozne szkody

ciesz sie ze pierun nie spalil czagos wiecej ... mi juz 2 sieciowki przy wylaczonym pc'cie poszly z dymem

UrbachPaproch [ Pretorianin ]

Powolutku dojrzewam do reinstalacji, ale póki co zarchiwizuję sobie wszystkie ważne pliki, stery, dokumenty itd. i będę czekał, aż zepsuje się raz jeszcze lub posunie w niefunkcjonalności.

Dziękuję za info i RegCleanerze - nie wiedziałem, że ma opcję deinstalacji. Pożyteczne, ale muszę przeczytać sobie, jak zdeinstalować tą okropną aplikację neostrady (usuwałem ręcznie wpisy z rejestru, ale nie wszystkie, bo trochę się cykałem - to samo z Sagemem, teraz użyłem reg cleanera - ciekawe, co jeszcze trzeba wyciąć, by się tego pozbyć :) Poczytam, zobaczę.

A co do spalenia się części, to kiedyś dywanem i kapciami (elektrostatyka) zepsułem: 2 porty com i w końcu całą płytę główną. To mój rekord :) A piorun to ponoć pozmieniał mi opcję w BIOSie :) Przygody, ach te przygody...

mietek syn mleczarza [ Pretorianin ]

Ja neostrade zalozylem sobie tydzien temu i juz po pierwszym dniu jej uzytkowania wywalilem ta smieszna aplikacje i skonfigurowalem sobie neo recznie. Sterownikow od sagema nie usuwaj bo sa one potrzebne.

UrbachPaproch [ Pretorianin ]

Ale ja już nie używam Sagema. Na czas nieokreślony kumpel użyczył mi routera z modemem Zyxela.

Od tego momentu miałem na powrót net na obu i złapałem wirusa - i wróciliśmy do początku tej historii, czyli do początku wątku :)

27.09.2005

13:44

[55]

slowik [ NightInGale ]

no tak historia lubi sie powtarzac :-)

co do elektrostatyki robienie czegokolweik przy pc'cie jest z gory obwarowane tym ze lepiej sie zlapac za grzejnik i odelektryzowac ;-) inaczej takim spieciem mozemy sobie jakas czesc usmarzyc :)

uwazaj jak stery wywalac bedziesz bo to moj najczestszy powod reinstacji reczne wyrzucanie sterownikow ktore byly potrzebne :P