pomocy, wirus! :(:(

Zalogowany [ Niezalogowany ]

F5 tak?

Właśnie skanuje avastem, jakos sie udalo, ale ciagle muli i cos wyskakuje, porno jakies :/

Adam9870 [ ]

Proponowałbyć ściągnąć EWIDO, zainstalowac go, zrobić update i przeskanować nim kompa. Program wyszukuje sporo śmieci i je może usunąć.

Wersja testowa (tral) pozwala korzystanie z programu przez chyba 15 dni.

Dobrym narzędziem do znajdywania różnych śmieci jest program HijackThis. Robi log a wpisy złe można nim usunąć, ale trzeba umiec interpretowac logi z niego. Możesz zrobić log nim i zamiescic na forum to moze ktoś sprawdzi (może wysiu zna się na tych logach :)
Tu pisze jak zrobić log nim.


edit:
Tak, do awaryjnego wchodzisz wciskając F5, a jeżeli nie wejdzie to możesz też wejść F8.

Zalogowany [ Niezalogowany ]

Log:

Logfile of HijackThis v1.99.1
Scan saved at 16:47:17, on 2006-03-11
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\System32\perfserv.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\TEMP\2FE7.tmp
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\inet20091\services.exe
C:\WINDOWS\sysldr32.exe
C:\WINDOWS\sysvx_.exe
C:\WINDOWS\inet20091\mm5.exe
C:\DOCUME~1\Barek\USTAWI~1\Temp\dmx4.tmp
C:\WINDOWS\QmFyZWs\command.exe
C:\Program Files\Network Monitor\netmon.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\UAService7.exe
C:\WINDOWS\System32\sysvx.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Alwil Software\Avast4\ashSimpl.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\WINDOWS\System32\svchost.exe
C:\DOCUME~1\Barek\USTAWI~1\Temp\Rar$EX00.686\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: Shell=explorer.exe "C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00005.exe",perfserv.exe
F3 - REG:win.ini: run=C:\WINDOWS\inet20091\services.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\System32\perfserv.exe
O2 - BHO: HBO Class - ‹5321E378-FFAD-4999-8C62-03CA8155F0B3› - C:\WINDOWS\inet20091\3.02.00.dll
O3 - Toolbar: FlashGet Bar - ‹E0E899AB-F487-11D5-8D29-0050BA6940E3› - C:\PROGRA~1\FLASHGET\fgiebar.dll
O3 - Toolbar: FlashGet Bar - ‹E0E899AB-F487-11D5-8D29-0050BA6940E3› - C:\PROGRA~1\FLASHGET\fgiebar.dll
O3 - Toolbar: Search Toolbar - ‹a19ef336-01d4-48e6-926a-fe7e1c747aed› - C:\WINDOWS\timon3.dll
O3 - Toolbar: UCmore XP - The Search Accelerator - ‹44BE0690-5429-47f0-85BB-3FFD8020233E› - C:\Program Files\TheSearchAccelerator\UCMTSAIE.dll
O4 - HKLM\..\Run: [SystemLoader] C:\WINDOWS\sysldr32.exe
O4 - HKLM\..\Run: [sysvx] C:\WINDOWS\sysvx_.exe
O4 - HKCU\..\Run: [Player Component] C:\WINDOWS\System32\perfserv.exe
O4 - HKCU\..\Run: [xp_system] C:\WINDOWS\inet20091\services.exe
O8 - Extra context menu item: Download All by FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - C:\Program Files\FlashGet\jc_link.htm
O9 - Extra button: (no name) - ‹08B0E5C0-4FCB-11CF-AAA5-00401C608501› - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - ‹08B0E5C0-4FCB-11CF-AAA5-00401C608501› - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Badanie - ‹92780B25-18CC-41C8-B9BE-3C9C571A8263› - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - ‹D6E814A0-E0C5-11d4-8D29-0050BA6940E3› - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - ‹D6E814A0-E0C5-11d4-8D29-0050BA6940E3› - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra button: eBay - Homepage - ‹EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A› - C:\Program Files\IrfanView\Ebay\Ebay.htm
O16 - DPF: ‹E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7› (MainControl Class) -
O20 - Winlogon Notify: Applets - C:\WINDOWS\system32\kt0sl7d71.dll
O20 - Winlogon Notify: gdimxp - C:\WINDOWS\SYSTEM32\gdimxp.dll
O20 - Winlogon Notify: Mixer - C:\WINDOWS\SYSTEM32\sndmixex.dll
O20 - Winlogon Notify: msupdate - C:\WINDOWS\SYSTEM32\msupdate32.dll
O20 - Winlogon Notify: ssldr - C:\WINDOWS\SYSTEM32\ssldr32.dll
O21 - SSODL: Media Explorer - ‹79BC1F3A-CC08-46AA-AC3B-C50DD48AB4C2› - C:\WINDOWS\System32\kbdhdisp.dll
O21 - SSODL: DCOM Server - ‹2C1CD3D7-86AC-4068-93BC-A02304BB8C34› - C:\WINDOWS\System32\dcom_14.dll
O21 - SSODL: Media Explorer - ‹79BC1F3A-CC08-46AA-AC3B-C50DD48AB4C2› - C:\WINDOWS\System32\kbdhdisp.dll
O21 - SSODL: Adobe Acrobat 5.0 - ‹285DCEA0-A7E0-8394-0432-D4A52E1DBCB7› - c:\program files\adobe\acrobat 5.0 ce\reader\dfztl8.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\QmFyZWs\command.exe
O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\System32\UAService7.exe

11.03.2006

16:51

[6]

Adam9870 [ ]

Zalogowany => Najlepiej zarejestruj się na tamtym forum i tam daj loga do sprawdzenia. Tam siedzą eksperci od sprawdzania tych logów. Ostatnio nawet był artyckuł w KŚ Ekspercie o tym programie i do sprawdzania logow na pierwszym miejscu polecili właśnie
Tam poradzą Ci wachowo, co usunąć. Oni mają z logami do cznienia od dawna.

Ja proponowabym:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

1. Wyłacz przywracanie sysa
2. Start do awarynego bez netu
3. Wpisy w Hijacku które wskazałem zaznacz i kliknij Fix checked to zostaną one usunięte
4. Skasuj z dysku plik który poboldowalem
5. Po zrobieniu tego ^ pokaż nowy log z HijackThis.

Grzesiek [ - ! F a f i k ! - ]

Podejrzane wg mnie :)

C:\WINDOWS\TEMP\2FE7.tmp
C:\DOCUME~1\Barek\USTAWI~1\Temp\dmx4.tmp
C:\WINDOWS\QmFyZWs\command.exe

11.03.2006

16:51

[8]

DEXiu [ Konsul ]

Nie chcę tutaj nic insynuować, ale chyba każdy wie albo się domyśla co to za "jakiś program" ściągnąłeś.

Kozi2004 [ Generaďż˝ ]

Skoro wyskakuje jakaś strona to może być dialer. Jeśli tak to ściągnij antydialera.

Zalogowany [ Niezalogowany ]

Nowy log:

Logfile of HijackThis v1.99.1
Scan saved at 16:59:52, on 2006-03-11
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\perfserv.exe
C:\WINDOWS\TEMP\2FE7.tmp
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\inet20091\services.exe
C:\WINDOWS\sysvx_.exe
C:\WINDOWS\inet20091\mm5.exe
C:\WINDOWS\QmFyZWs\command.exe
C:\Program Files\Network Monitor\netmon.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\UAService7.exe
C:\WINDOWS\System32\sysvx.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\TC PowerPack\totalcmd.exe
C:\WINDOWS\explorer.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\Barek\USTAWI~1\Temp\Rar$EX00.228\HijackThis.exe
C:\WINDOWS\System32\svchost.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: Shell=explorer.exe "C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00005.exe",perfserv.exe
F3 - REG:win.ini: run=C:\WINDOWS\inet20091\services.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\System32\perfserv.exe
O2 - BHO: HBO Class - ‹5321E378-FFAD-4999-8C62-03CA8155F0B3› - C:\WINDOWS\inet20091\3.02.00.dll
O3 - Toolbar: FlashGet Bar - ‹E0E899AB-F487-11D5-8D29-0050BA6940E3› - C:\PROGRA~1\FLASHGET\fgiebar.dll
O3 - Toolbar: FlashGet Bar - ‹E0E899AB-F487-11D5-8D29-0050BA6940E3› - C:\PROGRA~1\FLASHGET\fgiebar.dll
O3 - Toolbar: Search Toolbar - ‹a19ef336-01d4-48e6-926a-fe7e1c747aed› - C:\WINDOWS\timon3.dll
O3 - Toolbar: UCmore XP - The Search Accelerator - ‹44BE0690-5429-47f0-85BB-3FFD8020233E› - C:\Program Files\TheSearchAccelerator\UCMTSAIE.dll (file missing)
O4 - HKLM\..\Run: [SystemLoader] C:\WINDOWS\sysldr32.exe
O4 - HKLM\..\Run: [sysvx] C:\WINDOWS\sysvx_.exe
O4 - HKCU\..\Run: [Player Component] C:\WINDOWS\System32\perfserv.exe
O4 - HKCU\..\Run: [xp_system] C:\WINDOWS\inet20091\services.exe
O8 - Extra context menu item: Download All by FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - C:\Program Files\FlashGet\jc_link.htm
O9 - Extra button: (no name) - ‹08B0E5C0-4FCB-11CF-AAA5-00401C608501› - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - ‹08B0E5C0-4FCB-11CF-AAA5-00401C608501› - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Badanie - ‹92780B25-18CC-41C8-B9BE-3C9C571A8263› - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - ‹D6E814A0-E0C5-11d4-8D29-0050BA6940E3› - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - ‹D6E814A0-E0C5-11d4-8D29-0050BA6940E3› - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra button: eBay - Homepage - ‹EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A› - C:\Program Files\IrfanView\Ebay\Ebay.htm
O16 - DPF: ‹E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7› (MainControl Class) -
O20 - Winlogon Notify: Applets - C:\WINDOWS\system32\kt0sl7d71.dll
O20 - Winlogon Notify: gdimxp - C:\WINDOWS\SYSTEM32\gdimxp.dll
O20 - Winlogon Notify: Mixer - C:\WINDOWS\SYSTEM32\sndmixex.dll
O20 - Winlogon Notify: msupdate - C:\WINDOWS\SYSTEM32\msupdate32.dll
O20 - Winlogon Notify: ssldr - C:\WINDOWS\SYSTEM32\ssldr32.dll
O21 - SSODL: Media Explorer - ‹79BC1F3A-CC08-46AA-AC3B-C50DD48AB4C2› - C:\WINDOWS\System32\kbdhdisp.dll
O21 - SSODL: DCOM Server - ‹2C1CD3D7-86AC-4068-93BC-A02304BB8C34› - C:\WINDOWS\System32\dcom_14.dll
O21 - SSODL: Media Explorer - ‹79BC1F3A-CC08-46AA-AC3B-C50DD48AB4C2› - C:\WINDOWS\System32\kbdhdisp.dll
O21 - SSODL: Adobe Acrobat 5.0 - ‹285DCEA0-A7E0-8394-0432-D4A52E1DBCB7› - c:\program files\adobe\acrobat 5.0 ce\reader\dfztl8.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\QmFyZWs\command.exe
O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\System32\UAService7.exe


Ad-Aware zeskanowałem ale niektórych nie mógł usunąć :/
tego pliku :\secure32.html nie da rady:?

Adam9870 [ ]

Te pliki secure32.html już usunołeś :)

R3 - Default URLSearchHook is missing
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\QmFyZWs\command.exe

1. Wyłącz przywracanie systemu
2. Start do awaryjnego bez netu
3. Wpisy w Hijacku które wskazałem zaznacz i kliknij Fix checked to zostaną one usunięte
4. Skasuj z dysku folder który poboldowalem
5. Po zrobieniu tego ^ pokaż nowy log z HijackThis

Ja nie znam sie zabardzo na logach z HijackThis więc radziłbym zamiescic log na forum.dobreprogramy.pl Tam udzielą Ci bardzo fachowej pomocy.

Może masz na pulpicie jakąś podejrzną tapetę z napisem Spyware, Adware albo coś podobnego? Jeżeli tak to zajrzyj tu:

tam są podane sposoby usuwania różnych fałszywych tapet

11.03.2006

17:14

[12]

peners [ SuperNova ]

Wywak te, na bank sa be bo ja je kiedys miałem i Kasperski mi dokładnie cos takiego wywalił.

C:\WINDOWS\inet20091\services.exe
C:\WINDOWS\sysvx_.exe
C:\WINDOWS\inet20091\mm5.exe
C:\WINDOWS\System32\sysvx.exe

UWAGA jak je wyrzucisz to nie przejmuj sie ze jak sie właczy system wywali ci 2 błedy ale nie martw sie nic złego sie nie stanie :P

Adam9870 [ ]

peners => Jak radzisz to radź konkretnie tzn. razem z wpisami.

O4 - HKLM\..\Run: [sysvx] C:\WINDOWS\sysvx_.exe
F3 - REG:win.ini: run=C:\WINDOWS\inet20091\services.exe

1. Wyłącz przywracanie systemu
2. Start do awaryjnego bez netu
3. Wpisy w Hijacku które wskazałem zaznacz i kliknij Fix checked to zostaną one usunięte
4. Skasuj z dysku folder który poboldowalem
5. Po zrobieniu tego ^ pokaż nowy log z HijackThis

Co do tych dwóch ostatnich co podał peners to nie jestem pewnien...

Zalogowany [ Niezalogowany ]

Byłem w trybie awaryjnym, przeskanowałem SpyBotem, Ad-Awarem, ale pokazywaly ze nie da sie wszystkiego usunac. Avast nic nie znalazł
Tapeta sie nie zmienila
Wyłączyc przywracanie wystemu? Dlaczego?

11.03.2006

17:43

[15]

wysiu [ ]

"Najlepiej zarejestruj się na tamtym forum i tam daj loga do sprawdzenia. Tam siedzą eksperci od sprawdzania tych logów."

Eksperci, ktorzy potrafia wkleic loga na strone domowa programu?:)


PS. Gratulacje, widac tam co najmniej 2 rozne wirusy, i 2 rozne trojany:)

Zalogowany [ Niezalogowany ]

wysiu -->> Dzięki wielkie, usunąłem, ale jeden nie chce sie usunąć :(
Jakiś URLSearchHook is missing - ciagle wraca

Flet [ Fletomen ]

Mam pytanie co do tych logów. Gdzie sie je wyswietla ??

wysiu [ ]

Zalogowany -->


Flet --> Uzyj mocy. Mysl.

11.03.2006

18:42

[19]

Flet [ Fletomen ]

Wysiu ---> chyba mam niemoc. Przeczytałem nawet watek "Czy mozna zmienic cos sila umyslu" i nic.

C:\Windows\pfirewall.log <--- czy to to ??

11.03.2006

19:04

[20]

master53 [ Czarnobyl 86 ]

Sorry za offtop ale jak się nazywał ten program którym można było usunąć te pliki które blokował Windows ??

Zalogowany [ Niezalogowany ]

Unlocker


Zrobiłem wszystko to, co mi kazaliście i ciągle nie działa...
wysiu -->> Ten plik .reg co jest na stronie któa mi dałeś cośnie działa, błąd wyskakuje :/ Ręcznie z rejestru skasowałem ten wpis ale lipa, ciągle HiJackThis pokazuje tego URLSearchHook

Adam9870 [ ]

"Eksperci, ktorzy potrafia wkleic loga na strone domowa programu?:) "
wysiu => Oni nie korzystają z takich badziewii jak ten automat. Ten automat się myli. W niektrych wirach to nie wystraczy wawalić wpisu Hijackiem lub tylko pliku ale czasami trzeba użyć innych (bardziej skuteczniejszych) narzędzi.

Zobacz sobie ten temat a w nim post kuz5


Flet => Chodzi Ci o to gdzie ten log sie pokazuje? Tak? Jeżeli tak to po zrobieniu loga w programie to wyskoczy dokument notatnika z logiem, log ten jest zapisany w miejscu gdzie masz program HijackThis . Podałem linka wczesniej do tematu w którym o tym pisze:

wystraczyło poszukać :)

Zalogowany [ Niezalogowany ]

Jednak działa, dodałem plik do rejestru i co dalej? CIągle mi jakieś reklamy wyskakują i srony się same otwierają :/

11.03.2006

19:15

[24]

Adam9870 [ ]

Zalogowany => Pokaż nowy log z HijackThis.

wysiu [ ]

Adam9870 --> I co mam tam wyczytac?
"W niektrych wirach to nie wystraczy wawalić wpisu Hijackiem"
Hijack nic nie wywala.

Zalogowany --> Zobacz plik windows\system32\drivers\etc\hosts. Poza poczatkowymi zaremowanymi (#), powinna byc tam tylko jedna linijka
127.0.0.1 localhost

Adam9870 [ ]

wysiu --->
Jest jeszcze jedna przyczyna krtóra mogli się kierowac, a mianowicie mało jest for na których logi są sprawdzane przez userów, mozna tu wymienić kilka dużych for które nakazuja korzystać z automatów które jak każdy wie myla się, nawet jezeli by podały prawidłowo co usunąc, to co z tego, jak zwykły fix w HijackThis nie pomaga (trzeba znać metode usuwania pewnych szkodników o których napewno automat ci nie napisze), przecież widać ile jest teraz syfu na który trzeba znać metode usuwania bo HijackThis nie da sobie rady

Jeszcze sobie zobacz temat i w nim też post kuz5:

Zalogowany [ Niezalogowany ]

A jak ten hosts otworzyć?

Zalogowany [ Niezalogowany ]

Nowy log:

Logfile of HijackThis v1.99.1
Scan saved at 19:26:16, on 2006-03-11
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\perfserv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINDOWS\System32\UAService7.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Tlen.pl\tlen.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\TC PowerPack\totalcmd.exe
E:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: Shell=explorer.exe,perfserv.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\System32\perfserv.exe
O3 - Toolbar: FlashGet Bar - ‹E0E899AB-F487-11D5-8D29-0050BA6940E3› - C:\PROGRA~1\FLASHGET\fgiebar.dll
O3 - Toolbar: FlashGet Bar - ‹E0E899AB-F487-11D5-8D29-0050BA6940E3› - C:\PROGRA~1\FLASHGET\fgiebar.dll
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O8 - Extra context menu item: Download All by FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - C:\Program Files\FlashGet\jc_link.htm
O9 - Extra button: (no name) - ‹08B0E5C0-4FCB-11CF-AAA5-00401C608501› - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - ‹08B0E5C0-4FCB-11CF-AAA5-00401C608501› - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Badanie - ‹92780B25-18CC-41C8-B9BE-3C9C571A8263› - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - ‹D6E814A0-E0C5-11d4-8D29-0050BA6940E3› - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - ‹D6E814A0-E0C5-11d4-8D29-0050BA6940E3› - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra button: eBay - Homepage - ‹EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A› - C:\Program Files\IrfanView\Ebay\Ebay.htm
O16 - DPF: ‹E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7› (MainControl Class) -
O20 - Winlogon Notify: ShellCompatibility - C:\WINDOWS\system32\lv0o09d3e.dll
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O21 - SSODL: DCOM Server - ‹2C1CD3D7-86AC-4068-93BC-A02304BB8C34› - C:\WINDOWS\System32\dcom_14.dll
O21 - SSODL: Media Explorer - ‹79BC1F3A-CC08-46AA-AC3B-C50DD48AB4C2› - C:\WINDOWS\System32\kbdhdisp.dll
O21 - SSODL: Adobe Acrobat 5.0 - ‹285DCEA0-A7E0-8394-0432-D4A52E1DBCB7› - c:\program files\adobe\acrobat 5.0 ce\reader\dfztl8.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\System32\UAService7.exe

Adam9870 [ ]

Zalogowany => Otwierasz Notatnik (start>>programy>>akcesoria>>notatnik) potem klikasz na Plik >> Otwórz >> Typ pliku zmieniasz na Wszystkie pliki i otwierasz plik hosts

11.03.2006

19:30

[30]

Zalogowany [ Niezalogowany ]

W tym hosts mam aż tyle:

127.0.0.1 sds-qckads.com
127.0.0.1 status.qckads.com
127.0.0.1 www.qoolaid.com
127.0.0.1 www.qoologic.com
127.0.0.1 www.CLKPrecision.com
127.0.0.1 www.urllogic.com
127.0.0.1 www.clkoptimizer.com
127.0.0.1 www.isearch.com
127.0.0.1 isearch.com
127.0.0.1 www.idownload.com
127.0.0.1 idownload.com
127.0.0.1 www.mytotalsearch.com
127.0.0.1 mytotalsearch.com
127.0.0.1 www.lop.com
127.0.0.1 lop.com
127.0.0.1 www.websearch.com
127.0.0.1 websearch.com
127.0.0.1 www.page-not-found.net
127.0.0.1 page-not-found.net
127.0.0.1 www.isearchhere.com
127.0.0.1 isearchhere.com
127.0.0.1 as.adwave.com
127.0.0.1 sr.adwave.com
127.0.0.1 www.adwave.com
127.0.0.1 adwave.com EVENT:HOST:127.0.0.1
127.0.0.1 www.pacimedia.com
127.0.0.1 www.exactsearch.net
127.0.0.1 www.contextplus.net

wywalić wszysyko?

wysiu [ ]

Zostaw 1 linijke, taka, jak napisalem wyzej. Jest mozliwosc, ze plik sie z powrotem zmieni, to pomyslimy.

Zalogowany [ Niezalogowany ]

Nie da rady tego usunąć, zapisuje tylko localhost, a wszystko wraca spowrotem :/

Obscure [ ExcalibuR ]

Wyżuć ten złom przez okno i kup lepszy.

wysiu [ ]

Czyli jeszcze jakis spy siedzi. Przeskanuj kompa np CW Shredderem ( AdAwarem, SpyBot'em, a najlepiej kilkoma (sprobuj teraz w trybie awaryjnym).

Zalogowany [ Niezalogowany ]

wysiu -->> Przeskanowałem tymi trzeba progrtamami w trybie awaryjnym. Ciągle wyskakują strony, reklamy, nie mogę otworzyć Moich Dokumentów, wiesza się menedzer zadań i tego pliku hosts nie mogę opróżnić...

Zalogowany [ Niezalogowany ]

Panel sterowania też nie działa... I co chwilę wyskakuje w trybue awaryjnym błąd explorer.exe i rundll...

11.03.2006

20:42

[37]

Adam9870 [ ]

A próbowałeś skanować EWIDO? Jak nie to pobierz:

zrób update i przeskanuj. Dobry program, często skuteczniejszy nic SpyBot i Adware :)
Może on da rade coś wykryć i wywalić...

Zalogowany [ Niezalogowany ]

Adam9870 -->> Tak próbowałem już...
Usuwałem też w trybie awaryjnym pliki które uruchamiały się podczas systemu i nie pomogło
Chyba pozostaje mi format...

ewuniaw_ [ Pretorianin ]

Może zrób loga w programie Silent Runners i zamieść na forum. On jest dokładniejszy niż HijackThis to może coś się znajdzie głębiej.

a jeżeli nie znajdzie to tylko chyba pozostaje format.

Zalogowany [ Niezalogowany ]

Lipa...
Więc zaraz robie format :/
Da się przekopiować zakładki z Firefoxa jakoś?

Adam9870 [ ]

Wiele rzeczy (m.in zakładki itp) firefox przechowuje w:
C:\Documents and Settings\nazwa usera\Dane aplikacji\Mozilla\Firefox
ale nie wiem który plik odpowiada za zakładki. Najlepiej skopiuj wszystko z tego katalogu a po formacie wklej dane które przed formatem skopiowaleś. Tak zrobisz kopię...

Możesz też użyć wtyczki mozillabackup. Ona kopiuje ustawienia itp....

Zalogowany [ Niezalogowany ]

Adam9870 -->> Już sobie poradziłem ;) Ale i tak wielkie dzięki, dużo mi pomogłeś w tym wątku, wporządku facet z Ciebie ;) Wysiu też - dziękuje :)
Pozdrawiam

FixUS_1 [ Generaďż˝ ]

Zalogowany - używaj programu Symantec Ghost. Służy on do wykonywania obrazu dysku twardego, w tym rejestru. Rób co tydzień obraz dysku C (zachowując poprzedni, tak byś zawsze miał dwie opcje do wyboru). Sam program jest bardzo intuicyjny i jeżeli choć w podstawowym stopniu znasz j. angielski, na pewno sobie poradzisz. Oszczędzi ci to wielu kłopotów w przyszłości (podobnych, do tego z którym aktualnie próbowałeś się uporać). W razie problemów przywracasz dane z obrazu co trwa proporcjonalnie do rozmiaru obrazu (w sumie chyba 7 GB przywracałem w 1,5min, wersją 2003), a tracisz naprawde bardzo niewiele danych (bo save'y z gier, które na pewno posiadasz jako użytkownik tego forum) na pewno masz na innym dysku. Warto też robić update obrazu po jakiejś szczególnej zmianie i wtedy na pewien czas zostawiać sobie 3 obrazy. Z tego typu zabawką niestraszne Ci będą takie problemy ;)

12.03.2006

09:42

[44]

Adam9870 [ ]

Dobrze jest zabezpieczyć się na następny raz przed czymś takim (syfem). Jednym ze sposobów jest robienie obrazów dysków a potem w razie potrzeby otworzenie go :) Po logu widzę, że nie miałeś zainstalowanego dodatku Serwice Pack 2 do systemu. Nie wiem czy teraz nie zaistalujesz go ale jeżeli nie to proponowałbym jednak zainstalować. Dodatek ten poprawia troche bezpieczenstwo w systemie (troche starsze wirusy nie wlazą...).
Dodatek ten możesz pobrać z tąd:

Proponowałbym zaopatrzyć się po formacie w jakiś dobry antywirus oraz firewall. Zwykły avast i np. Kerio mogą nie wystraczyć. Ostatnio w wielu gazetach są zamieszczane antywirusy a przez dalsze numery są aktualizacje do nich miesięczne. Ja od dobrych trzech miesięcy kupuję gazete CHIP, w nim jest (i przez rok będzie) AVG. Całkiem dobry antywirus, prawie żadne śmieci się nie przedostały bo tylko 2 wiry (ale usunął je oczywiście :). Natomiast w chyba PC Formacie będzie przez pół roku ArcaVir. Oczywiście tak jak w CHIPie będzie w każdym numerze kolejna aktualizacja na kolejny miesiąc.
Proponowałbym jeszcze w jakiś firewall się zaopatrzyć, nawet może darmowy. Może ZoneAlarm. Jeszcze jakiś może antyspyware, ja używam Microsoft AntiSpyware i jest ok.
Pozdro :)

FixUS_1 [ Generaďż˝ ]

Ja preferuje Avast! 4.6 Home, systemowy firewall i AdAware SE i obrazy dysków. Jeżeli się umie korzystać z i-netu i nie klika w linki od nieznajomych i nie buszuje po pornostronach to jest w porządku. Osobiście ostatni raz musiałem użyć obrazów, podczas aktualizacji Daemona (zainstalowałem nową wersję, nie wyłączając starej, która emulowała obrazy - gratulacje na @ ~~). Więc myślę, że jeżeli z sieci korzystasz ostrożnie nie ma sensu kompa spowalniać za bardzo choćby firewallem. Nie wiem jak z antywirami poleconymi przez Adama, natomiast Avast! praktycznie wogóle systemu nie zwalnia.

Adam9870 [ ]

ArcaVir-a nie miałem to nie wiem, ale AVG to całkiem dobry antivir nawet warty polecenia :)
Ogólnie to on nie zamula systemu. Miałem wcześniej Nortona System Worksa 2005 oraz Pande Titatnium i Panda to sporo zamula, a norton to troszkę. Co do AVG to on robi codziennie skanowania systemu w poszukiwaniu wirów i innych śmieci i jak robi skanowanie to trochę źle się wtedy praucje. Ale to skanowanie trwa z 40 min i da się wytrzymać. Oczywiście te skanowania codzienne chyba można wyłączyć :) I skanować system tylko wtedy kiedy się chce. A tak poza tym skanowaniem to kompa woogle nie zamula. Nawet na 256 RAMu chodzi dobrze :)

Oczywiście oprócz antyvira możesz robić obrazy dysków i wtedy możesz czuc sie bezpieczny :-))