Co zrobić, by usunąć niechciane wpisy w Menadźerze zadań?
Od pewnego czasu prześladują mnie ścieźki dostępu umieszczone w Autostarcie i Menadźerze zadań do usuniętych wcześniej programów. Jednym z nich jest link do Isass.exe, którego nie mogę usunąć źadnym z dostępnych programów. Po usunięciu z rejestru link znika na chwilę, lecz potem pojawia się ponownie. Uruchamiam Menadźera zadań, wyłączam usługę, lecz czynność ta powoduje aktywację Issas'a i komputer wyłącz się. Pomóźcie!!! Moźe ktoś spotkał się z podobnym przypadkiem. Będę niezmierna wdzięczny za ewentualną pomoc.
Mój e–mail: kar_k@interia.pl
Pozdrawiam!!!
Kazik
Mój e–mail: kar_k@interia.pl
Pozdrawiam!!!
Kazik
Odpowiedzi: 6
Sprawdziłem wszystkie dostępne metody. Za kolejnym razem udało mi się usunąć niechciany proces, lecz po jego usunięciu doznałem szoku, gdyź system po restarcie za nic w świecie nia dał się uruchomić, wobec tego zmuszony zostałem do sformatowania dysku.
Dziękuję za cenne uwagi.
Pozdrawiam wszystkich na forum.
Kazik
Dziękuję za cenne uwagi.
Pozdrawiam wszystkich na forum.
Kazik
Log nie jest cały, obciąłeś nagłówek i widok procesów.
Trzeba kliknąc w programie SAVE LOG badz za pierwszym razem skopiowac to co Ci w notatniku wyskoczy.
Sciezki do tych plików wklej do programu Pocket Killbox.
Zaznacz usuwanie po rozruchu systemu, wklej sciezki po kolei, ale chęc resetu potwierdz dopiero na końcu
Cały log podrzuć w następnym poście.
Trzeba kliknąc w programie SAVE LOG badz za pierwszym razem skopiowac to co Ci w notatniku wyskoczy.
R0 – HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blanc HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
F2 – REG:system.ini: Shell=
O4 – HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 –k
O4 – HKLM\..\Run: [uppeqf] c:\windows\system32\ynutws.exe
O4 – HKLM\..\Run: [tqhxgie] c:\windows\system32\gqnfuqr.exe
O4 – HKLM\..\Run: [fmxjqn] c:\windows\system32\fepxfdz.exe
O4 – HKLM\..\Run: [ndmrjpb] c:\windows\system32\gkbbxgv.exe
Sciezki do tych plików wklej do programu Pocket Killbox.
Zaznacz usuwanie po rozruchu systemu, wklej sciezki po kolei, ale chęc resetu potwierdz dopiero na końcu
Cały log podrzuć w następnym poście.
Dziękuję za cenne uwagi. Metod, które proponujecie juź uźywałem, włącznie z Hijak'em, jednak bez rezultatu
Zgodnie z tym co powiedzieliście skopiowałem część LOG–u Hijacka. Oto on:
O4 – HKLM\..\Run: [uppeqf] c:\windows\system32\ynutws.exe –– Pliku nie ma w systemie
O4 – HKLM\..\Run: [tqhxgie] c:\windows\system32\gqnfuqr.exe –– Pliku nie ma w systemie
O4 – HKLM\..\Run: [fmxjqn] c:\windows\system32\fepxfdz.exe –– Pliku nie ma w systemie
O4 – HKLM\..\Run: [ndmrjpb] c:\windows\system32\gkbbxgv.exe –– Pliku nie ma w systemie
C:\WINDOWS\system32\lsass.exe –– x
O4 – HKCU\..\Run: [ParagonCTF] C:\Paragon HDM\CTF\CTF.exe /clear –– Program usunięty
poniźej podaję cały plik LOG Hijacka:
R0 – HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blanc
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 – HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 – HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 – HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
F2 – REG:system.ini: Shell=
O2 – BHO: IDM Helper – {0055C089–8582–441B–A0BF–17B458C2A3A8} – C:\Program Files\Internet Download Manager\IDMIECC.dll
O2 – BHO: AcroIEHlprObj Class – {06849E9F–C8D7–4D59–B87D–784B7D6BE0B3} – C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 – HKLM\..\Run: [SystemTray] SysTray.Exe
O4 – HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 – HKLM\..\Run: [nwiz] nwiz.exe /install
O4 – HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 – HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 – HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 – HKLM\..\Run: [AWMON] "C:\PROGRA~1\Lavasoft\AD–AWA~1\Ad–Watch.exe"
O4 – HKLM\..\Run: [DiskeeperSystray] "C:\Program Files\Executive Software\Diskeeper\DkIcon.exe"
O4 – HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 – HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 –k
O4 – HKLM\..\Run: [uppeqf] c:\windows\system32\ynutws.exe –– x
O4 – HKLM\..\Run: [tqhxgie] c:\windows\system32\gqnfuqr.exe –– x
O4 – HKLM\..\Run: [fmxjqn] c:\windows\system32\fepxfdz.exe –– x
O4 – HKLM\..\Run: [ndmrjpb] c:\windows\system32\gkbbxgv.exe –– x
O4 – HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 – HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\nbj.exe"
O4 – HKCU\..\Run: [RAMSaverPro] C:\Program Files\WinTools\RAM Saver Pro\ramsaverpro.exe
O4 – HKCU\..\Run: [AWMON] "C:\PROGRA~1\Lavasoft\AD–AWA~1\Ad–Watch.exe"
O4 – HKCU\..\Run: [ParagonCTF] C:\Paragon HDM\CTF\CTF.exe /clear –– x
O4 – HKCU\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE
O4 – Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 – Extra context menu item: Download All Links with IDM – C:\Program Files\Internet Download Manager\IEGetAll.htm
O8 – Extra context menu item: Download with IDM – C:\Program Files\Internet Download Manager\IEExt.htm
O8 – Extra context menu item: Pobierz z &BitSpirit – C:\Program Files\BitSpirit\bsurl.htm
O9 – Extra button: (no name) – {08B0E5C0–4FCB–11CF–AAA5–00401C608501} – C:\Program Files\Java\j2re1.4.2_07\bin\npjpi142_07.dll
O9 – Extra 'Tools' menuitem: Sun Java Console – {08B0E5C0–4FCB–11CF–AAA5–00401C608501} – C:\Program Files\Java\j2re1.4.2_07\bin\npjpi142_07.dll
O9 – Extra button: Acronis Pop–up Blocker – {2E071ADC–ADF8–4b4b–8ACB–EDC49E6D45A2} – C:\PROGRA~1\Acronis\PRIVAC~1\Blocker.dll
O9 – Extra 'Tools' menuitem: Acronis Pop–up Blocker – {2E071ADC–ADF8–4b4b–8ACB–EDC49E6D45A2} – C:\PROGRA~1\Acronis\PRIVAC~1\Blocker.dll
O9 – Extra button: Pop–Up Blocker – {84536FE2–ABCD–3586–DCAB–40E286323737} – C:\WINDOWS\System32\shdocvw.dll
O9 – Extra 'Tools' menuitem: Pop–Up Blocker – {84536FE2–ABCD–3586–DCAB–40E286323737} – C:\WINDOWS\System32\shdocvw.dll
O9 – Extra button: eBay – Homepage – {EF79EAC5–3452–4E02–B8BD–BA4C89F1AC7A} – C:\Program Files\IrfanView\Ebay\Ebay.htm
O10 – Unknown file in Winsock LSP: c:\windows\system32\idmmbc.dll
O10 – Unknown file in Winsock LSP: c:\windows\system32\idmmbc.dll
O10 – Unknown file in Winsock LSP: c:\windows\system32\idmmbc.dll
O10 – Unknown file in Winsock LSP: c:\windows\system32\idmmbc.dll
O10 – Unknown file in Winsock LSP: c:\windows\system32\idmmbc.dll
O23 – Service: Acronis Scheduler2 Service (AcrSch2Svc) – Acronis – C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
O23 – Service: AVG7 Alert Manager Server (Avg7Alrt) – GRISOFT, s.r.o. – C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 – Service: AVG7 Update Service (Avg7UpdSvc) – GRISOFT, s.r.o. – C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 – Service: Diskeeper – Executive Software International, Inc. – C:\Program Files\Executive Software\Diskeeper\DkService.exe
O23 – Service: InCD Helper (InCDsrv) – Nero AG – C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 – Service: NVIDIA Display Driver Service (NVSvc) – NVIDIA Corporation – C:\WINDOWS\system32\nvsvc32.exe
O23 – Service: Process Activity Monitor (paamsrv) – Unknown owner – C:\Program Files\Common Files\Acronis\ProcessActivityMonitor\paamsrv.exe
Zgodnie z tym co powiedzieliście skopiowałem część LOG–u Hijacka. Oto on:
O4 – HKLM\..\Run: [uppeqf] c:\windows\system32\ynutws.exe –– Pliku nie ma w systemie
O4 – HKLM\..\Run: [tqhxgie] c:\windows\system32\gqnfuqr.exe –– Pliku nie ma w systemie
O4 – HKLM\..\Run: [fmxjqn] c:\windows\system32\fepxfdz.exe –– Pliku nie ma w systemie
O4 – HKLM\..\Run: [ndmrjpb] c:\windows\system32\gkbbxgv.exe –– Pliku nie ma w systemie
C:\WINDOWS\system32\lsass.exe –– x
O4 – HKCU\..\Run: [ParagonCTF] C:\Paragon HDM\CTF\CTF.exe /clear –– Program usunięty
poniźej podaję cały plik LOG Hijacka:
R0 – HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blanc
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 – HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 – HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 – HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
F2 – REG:system.ini: Shell=
O2 – BHO: IDM Helper – {0055C089–8582–441B–A0BF–17B458C2A3A8} – C:\Program Files\Internet Download Manager\IDMIECC.dll
O2 – BHO: AcroIEHlprObj Class – {06849E9F–C8D7–4D59–B87D–784B7D6BE0B3} – C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 – HKLM\..\Run: [SystemTray] SysTray.Exe
O4 – HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 – HKLM\..\Run: [nwiz] nwiz.exe /install
O4 – HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 – HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 – HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 – HKLM\..\Run: [AWMON] "C:\PROGRA~1\Lavasoft\AD–AWA~1\Ad–Watch.exe"
O4 – HKLM\..\Run: [DiskeeperSystray] "C:\Program Files\Executive Software\Diskeeper\DkIcon.exe"
O4 – HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 – HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 –k
O4 – HKLM\..\Run: [uppeqf] c:\windows\system32\ynutws.exe –– x
O4 – HKLM\..\Run: [tqhxgie] c:\windows\system32\gqnfuqr.exe –– x
O4 – HKLM\..\Run: [fmxjqn] c:\windows\system32\fepxfdz.exe –– x
O4 – HKLM\..\Run: [ndmrjpb] c:\windows\system32\gkbbxgv.exe –– x
O4 – HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 – HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\nbj.exe"
O4 – HKCU\..\Run: [RAMSaverPro] C:\Program Files\WinTools\RAM Saver Pro\ramsaverpro.exe
O4 – HKCU\..\Run: [AWMON] "C:\PROGRA~1\Lavasoft\AD–AWA~1\Ad–Watch.exe"
O4 – HKCU\..\Run: [ParagonCTF] C:\Paragon HDM\CTF\CTF.exe /clear –– x
O4 – HKCU\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE
O4 – Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 – Extra context menu item: Download All Links with IDM – C:\Program Files\Internet Download Manager\IEGetAll.htm
O8 – Extra context menu item: Download with IDM – C:\Program Files\Internet Download Manager\IEExt.htm
O8 – Extra context menu item: Pobierz z &BitSpirit – C:\Program Files\BitSpirit\bsurl.htm
O9 – Extra button: (no name) – {08B0E5C0–4FCB–11CF–AAA5–00401C608501} – C:\Program Files\Java\j2re1.4.2_07\bin\npjpi142_07.dll
O9 – Extra 'Tools' menuitem: Sun Java Console – {08B0E5C0–4FCB–11CF–AAA5–00401C608501} – C:\Program Files\Java\j2re1.4.2_07\bin\npjpi142_07.dll
O9 – Extra button: Acronis Pop–up Blocker – {2E071ADC–ADF8–4b4b–8ACB–EDC49E6D45A2} – C:\PROGRA~1\Acronis\PRIVAC~1\Blocker.dll
O9 – Extra 'Tools' menuitem: Acronis Pop–up Blocker – {2E071ADC–ADF8–4b4b–8ACB–EDC49E6D45A2} – C:\PROGRA~1\Acronis\PRIVAC~1\Blocker.dll
O9 – Extra button: Pop–Up Blocker – {84536FE2–ABCD–3586–DCAB–40E286323737} – C:\WINDOWS\System32\shdocvw.dll
O9 – Extra 'Tools' menuitem: Pop–Up Blocker – {84536FE2–ABCD–3586–DCAB–40E286323737} – C:\WINDOWS\System32\shdocvw.dll
O9 – Extra button: eBay – Homepage – {EF79EAC5–3452–4E02–B8BD–BA4C89F1AC7A} – C:\Program Files\IrfanView\Ebay\Ebay.htm
O10 – Unknown file in Winsock LSP: c:\windows\system32\idmmbc.dll
O10 – Unknown file in Winsock LSP: c:\windows\system32\idmmbc.dll
O10 – Unknown file in Winsock LSP: c:\windows\system32\idmmbc.dll
O10 – Unknown file in Winsock LSP: c:\windows\system32\idmmbc.dll
O10 – Unknown file in Winsock LSP: c:\windows\system32\idmmbc.dll
O23 – Service: Acronis Scheduler2 Service (AcrSch2Svc) – Acronis – C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
O23 – Service: AVG7 Alert Manager Server (Avg7Alrt) – GRISOFT, s.r.o. – C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 – Service: AVG7 Update Service (Avg7UpdSvc) – GRISOFT, s.r.o. – C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 – Service: Diskeeper – Executive Software International, Inc. – C:\Program Files\Executive Software\Diskeeper\DkService.exe
O23 – Service: InCD Helper (InCDsrv) – Nero AG – C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 – Service: NVIDIA Display Driver Service (NVSvc) – NVIDIA Corporation – C:\WINDOWS\system32\nvsvc32.exe
O23 – Service: Process Activity Monitor (paamsrv) – Unknown owner – C:\Program Files\Common Files\Acronis\ProcessActivityMonitor\paamsrv.exe
forum.dobreprogramy.pl/viewtopic.php?t=32416
Poczytaj sobie o tym co masz i jak sie tego pozbyć/Sasser/.Pozdrawiam.
Poczytaj sobie o tym co masz i jak sie tego pozbyć/Sasser/.Pozdrawiam.
Bobi:
Żółty – subtelna oczkolwiek znacząca róźnica.
lsass – plik systemowy
Isass – robal, zauwaź, ze pisane przez duźe 'i', ściema
Tak więc przywracać chyba nie ma czego.
Nie wiem – być moźe masz rację – jednak zauwaź, źe Kazik napisał, źe po zabiciu lsass.exe komputer mu się wyłącza – stąd wziąłem domysł, źe zabija proces systemowy do którego coś się dokleiło (a on jedynie literówkę popełnił przy przepisywaniu). Czy słusznie myślałem, czy babola walnąłem, to się okaźe po wrzuceniu loga ;)
Żółty – subtelna oczkolwiek znacząca róźnica.
lsass – plik systemowy
Isass – robal, zauwaź, ze pisane przez duźe 'i', ściema
Tak więc przywracać chyba nie ma czego.
Kazik – w dziale bezpieczeństwo masz przyklejony temat a w nim z kolei link do programu HijackThis.
Sciągnij, zrób log i przedstaw go tu na forum.
lsass – plik systemowy
Isass – robal, zauwaź, ze pisane przez duźe 'i', ściema
Tak więc przywracać chyba nie ma czego.
Kazik – w dziale bezpieczeństwo masz przyklejony temat a w nim z kolei link do programu HijackThis.
Sciągnij, zrób log i przedstaw go tu na forum.
Strona 1 / 1