ajuto prosze sprawdzcie loga z tym syfem :(
Logfile of HijackThis v1.99.1
Scan saved at 13:57:48, on 2005–08–06
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
C:\Program Files\Gadu–Gadu\gg.exe
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\instalki_programow\hijackthis\HijackThis.exe
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\se.dll/space.html
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 – HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\se.dll/space.html
R1 – HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 – HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 – HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 – HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 – HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
R3 – Default URLSearchHook is missing
O2 – BHO: &EliteBar – {28CAEFF3–0F18–4036–B504–51D73BD81ABC} – C:\WINDOWS\EliteToolBar\EliteToolBar version 60.dll
O2 – BHO: (no name) – {FD757EEE–F39D–42B1–97D6–2328790A1C5C} – C:\WINDOWS\System32\lbbf.dll (file missing)
O4 – HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
O4 – HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\se.dll,DllInstall
O4 – HKLM\..\Run: [checkrun] C:\windows\system32\eliteewi32.exe
O4 – HKCU\..\Run: [Gadu–Gadu] "C:\Program Files\Gadu–Gadu\gg.exe" /tray
O4 – Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 – Extra context menu item: Ściągnij przy pomocy FlashGet'a – C:\Program Files\FlashGet\jc_link.htm
O8 – Extra context menu item: Ściągnij wszystko przy pomocy FlashGet'a – C:\Program Files\FlashGet\jc_all.htm
O9 – Extra button: (no name) – {08B0E5C0–4FCB–11CF–AAA5–00401C608501} – C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 – Extra 'Tools' menuitem: Sun Java Console – {08B0E5C0–4FCB–11CF–AAA5–00401C608501} – C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 – Extra button: Related – {c95fe080–8f5d–11d2–a20b–00aa003c157a} – C:\WINDOWS\web\related.htm
O9 – Extra 'Tools' menuitem: Show &Related Links – {c95fe080–8f5d–11d2–a20b–00aa003c157a} – C:\WINDOWS\web\related.htm
O9 – Extra button: FlashGet – {D6E814A0–E0C5–11d4–8D29–0050BA6940E3} – C:\PROGRA~1\FlashGet\flashget.exe
O9 – Extra 'Tools' menuitem: &FlashGet – {D6E814A0–E0C5–11d4–8D29–0050BA6940E3} – C:\PROGRA~1\FlashGet\flashget.exe
O12 – Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 – DPF: {112857FE–03FF–11D5–9A3F–0080C8D85044} (GameDesire Solitaires) – http://67.15.101.3/g_bin/pl/solitaire_2_0_0_18.cab
O16 – DPF: {15AD4789–CDB4–47E1–A9DA–992EE8E6BAD6} – ms–its:mhtml:file://c:\nosuklc.mht!http://kazaalite.pl/stats/loud.chm::/Bridge–c139.cab
O16 – DPF: {BFA1F11D–3121–AFE1–4112–894323212DAC} (GameDesire Word Games) – http://67.15.101.3/g_bin/pl/words_2_0_0_36.cab
O16 – DPF: {FDDBE2B8–6602–4AD8–946D–94C5A32FA6C1} (GameDesire Pool 8) – http://67.15.101.3/g_bin/pl/billard8_2_0_0_22.cab
O18 – Filter: text/html – {63937E05–893C–4431–A2C0–AE0D1A25C8F8} – C:\WINDOWS\System32\lbbf.dll
O18 – Filter: text/plain – {63937E05–893C–4431–A2C0–AE0D1A25C8F8} – C:\WINDOWS\System32\lbbf.dll
O20 – Winlogon Notify: style2 – C:\WINDOWS\q4372857_disk.dll
po za tym mam problemy z pulpitem ale gdzies widziałem odpowiedni topic wiec chyba sobie dam rade.
z góry dzieki
pozdro
Scan saved at 13:57:48, on 2005–08–06
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
C:\Program Files\Gadu–Gadu\gg.exe
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\instalki_programow\hijackthis\HijackThis.exe
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\se.dll/space.html
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 – HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\se.dll/space.html
R1 – HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 – HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 – HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 – HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 – HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
R3 – Default URLSearchHook is missing
O2 – BHO: &EliteBar – {28CAEFF3–0F18–4036–B504–51D73BD81ABC} – C:\WINDOWS\EliteToolBar\EliteToolBar version 60.dll
O2 – BHO: (no name) – {FD757EEE–F39D–42B1–97D6–2328790A1C5C} – C:\WINDOWS\System32\lbbf.dll (file missing)
O4 – HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
O4 – HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\se.dll,DllInstall
O4 – HKLM\..\Run: [checkrun] C:\windows\system32\eliteewi32.exe
O4 – HKCU\..\Run: [Gadu–Gadu] "C:\Program Files\Gadu–Gadu\gg.exe" /tray
O4 – Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 – Extra context menu item: Ściągnij przy pomocy FlashGet'a – C:\Program Files\FlashGet\jc_link.htm
O8 – Extra context menu item: Ściągnij wszystko przy pomocy FlashGet'a – C:\Program Files\FlashGet\jc_all.htm
O9 – Extra button: (no name) – {08B0E5C0–4FCB–11CF–AAA5–00401C608501} – C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 – Extra 'Tools' menuitem: Sun Java Console – {08B0E5C0–4FCB–11CF–AAA5–00401C608501} – C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 – Extra button: Related – {c95fe080–8f5d–11d2–a20b–00aa003c157a} – C:\WINDOWS\web\related.htm
O9 – Extra 'Tools' menuitem: Show &Related Links – {c95fe080–8f5d–11d2–a20b–00aa003c157a} – C:\WINDOWS\web\related.htm
O9 – Extra button: FlashGet – {D6E814A0–E0C5–11d4–8D29–0050BA6940E3} – C:\PROGRA~1\FlashGet\flashget.exe
O9 – Extra 'Tools' menuitem: &FlashGet – {D6E814A0–E0C5–11d4–8D29–0050BA6940E3} – C:\PROGRA~1\FlashGet\flashget.exe
O12 – Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 – DPF: {112857FE–03FF–11D5–9A3F–0080C8D85044} (GameDesire Solitaires) – http://67.15.101.3/g_bin/pl/solitaire_2_0_0_18.cab
O16 – DPF: {15AD4789–CDB4–47E1–A9DA–992EE8E6BAD6} – ms–its:mhtml:file://c:\nosuklc.mht!http://kazaalite.pl/stats/loud.chm::/Bridge–c139.cab
O16 – DPF: {BFA1F11D–3121–AFE1–4112–894323212DAC} (GameDesire Word Games) – http://67.15.101.3/g_bin/pl/words_2_0_0_36.cab
O16 – DPF: {FDDBE2B8–6602–4AD8–946D–94C5A32FA6C1} (GameDesire Pool 8) – http://67.15.101.3/g_bin/pl/billard8_2_0_0_22.cab
O18 – Filter: text/html – {63937E05–893C–4431–A2C0–AE0D1A25C8F8} – C:\WINDOWS\System32\lbbf.dll
O18 – Filter: text/plain – {63937E05–893C–4431–A2C0–AE0D1A25C8F8} – C:\WINDOWS\System32\lbbf.dll
O20 – Winlogon Notify: style2 – C:\WINDOWS\q4372857_disk.dll
po za tym mam problemy z pulpitem ale gdzies widziałem odpowiedni topic wiec chyba sobie dam rade.
z góry dzieki
pozdro
Odpowiedzi: 16
Trzeba jeszcze ukatrupić syfiastą usługę Power Menager i jej plik C:\WINDOWS\svchost.exe, oraz plik Stydlera i to co on tam w rejestrze zostawia.
Otwórz w tym celu notatnik i wklej do niego:
Standardowo, zapisujesz to z rozszerzeniem REG
Uruchom system w awaryjnym, odpal wiersz poleceń i wpisz:
sc stop PowerManager
sc delete PowerManager
Ewentualnie to samo w HJT, Config >> Misc Tools >> Delete an NT service, w okno wklepujesz PowerManager i resetujesz system.
Przedostatnia rzecz to wklejenie sciezek do syfiastych plików w Pocket Killbox.
Otwierasz go, zaznaczasz "Delete on reboot" i w pole wklejasz najpierw C:\WINDOWS\q4372857_disk.dll a pozniej C:\WINDOWS\svchost.exe
Reset potwierdzasz jak wkleisz ostatni plik
Koncówka to dodanie tego fixa do rejestru.
Otwórz w tym celu notatnik i wklej do niego:
Windows Registry Editor Version 5.00
[–HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\style2]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{6AC3806F–8B39–4746–9C38–6B01CB7331FF}"=–
[–HKEY_CLASSES_ROOT\CLSID\{6AC3806F–8B39–4746–9C38–6B01CB7331FF}]
[–HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6AC3806F–8B39–4746–9C38–6B01CB7331FF}]
[–HKEY_CURRENT_USER\Software\Microsoft\style2]
Standardowo, zapisujesz to z rozszerzeniem REG
Uruchom system w awaryjnym, odpal wiersz poleceń i wpisz:
sc stop PowerManager
sc delete PowerManager
Ewentualnie to samo w HJT, Config >> Misc Tools >> Delete an NT service, w okno wklepujesz PowerManager i resetujesz system.
Przedostatnia rzecz to wklejenie sciezek do syfiastych plików w Pocket Killbox.
Otwierasz go, zaznaczasz "Delete on reboot" i w pole wklejasz najpierw C:\WINDOWS\q4372857_disk.dll a pozniej C:\WINDOWS\svchost.exe
Reset potwierdzasz jak wkleisz ostatni plik
Koncówka to dodanie tego fixa do rejestru.
takwiec powywalałem to w trybie awaryjnym i logi wygladaja czysto tylko nadal jest mały problem
Mianowicie po ustawieniu tapety na pulpit i klikniecu ikony przegladarki tapeta znika i mam znowu czarne tło pulpitu :evil: :? :shock: :(
:?
ijeszcze jedno sprawdziłem własnie i nadal jest
a ja go usunełem :x
Mianowicie po ustawieniu tapety na pulpit i klikniecu ikony przegladarki tapeta znika i mam znowu czarne tło pulpitu :evil: :? :shock: :(
:?
ijeszcze jedno sprawdziłem własnie i nadal jest
C;\windows\svchost.exe
a ja go usunełem :x
Najpierw ta biblioteka:
Pozniej to:
C:\WINDOWS\svchost.exe
O4 – HKLM\..\Run: [checkrun] C:\windows\system32\eliteewi32.exe
vegatin:
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\
INFECTION WARNING! "{B212D577–05B7–4963–911E–4A8588160DFA}" = "Memory monitor"
–> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\q4372857_disk.dll" [null data]
Pozniej to:
C:\WINDOWS\svchost.exe
O4 – HKLM\..\Run: [checkrun] C:\windows\system32\eliteewi32.exe
tutaj log z silent runners
a tutaj z HijackThis
:)
"Silent Runners.vbs", revision 39, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non–default values, except where indicated by "{++}"
Startup items buried in registry:
–––––––––––––––––––––––––––––––––
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"Gadu–Gadu" = ""C:\Program Files\Gadu–Gadu\gg.exe" /tray" ["sms–express.com"]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"SunJavaUpdateSched" = "C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe" ["Sun Microsystems, Inc."]
"checkrun" = "C:\windows\system32\eliteewi32.exe" [file not found]
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714–76d4–11d1–8b24–00a0c9068ff3}" = "Rozszerzenie CPL kadrowania wyświetlania"
–> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560–9AA2–1069–930E–00AA0030EBC8}" = "Rozszerzenie ikony HyperTerminalu"
–> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{59850401–6664–101B–B21C–00AA004BA90B}" = "Microsoft Office Binder Unbind"
–> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office\1045\UNBIND.DLL" [MS]
"{0006F045–0000–0000–C000–000000000046}" = "Microsoft Outlook Custom Icon Handler"
–> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office\OLKFSTUB.DLL" [MS]
"{B41DB860–8EE4–11D2–9906–E49FADC173CA}" = "WinRAR shell extension"
–> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\
INFECTION WARNING! "{B212D577–05B7–4963–911E–4A8588160DFA}" = "Memory monitor"
–> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\q4372857_disk.dll" [null data]
HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860–8EE4–11D2–9906–E49FADC173CA}"
–> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860–8EE4–11D2–9906–E49FADC173CA}"
–> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860–8EE4–11D2–9906–E49FADC173CA}"
–> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
Active Desktop and Wallpaper:
–––––––––––––––––––––––––––––
Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState
HKCU\Control Panel\Desktop\
"Wallpaper" = "(Brak)"
Enabled Screen Saver:
–––––––––––––––––––––
HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS]
Startup items in "Administrator" & "All Users" startup folders:
–––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
C:\Documents and Settings\All Users\Menu Start\Programy\Autostart
"Microsoft Office" –> shortcut to: "C:\Program Files\Microsoft Office\Office\OSA9.EXE –b –l" [MS]
Winsock2 Service Provider DLLs:
–––––––––––––––––––––––––––––––
Namespace Service Providers
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
Transport Service Providers
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 – 03, 06 – 11
%SystemRoot%\system32\rsvpsp.dll [MS], 04 – 05
Toolbars, Explorer Bars, Extensions:
––––––––––––––––––––––––––––––––––––
Extensions (Tools menu items, main toolbar menu buttons)
HKLM\Software\Microsoft\Internet Explorer\Extensions\
{D6E814A0–E0C5–11D4–8D29–0050BA6940E3}\
"ButtonText" = "FlashGet"
"MenuText" = "&FlashGet"
"Exec" = "C:\PROGRA~1\FlashGet\flashget.exe" ["Amaze Soft"]
Running Services (Display Name, Service Name, Path {Service DLL}):
––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
Power Manager, PowerManager, "C:\WINDOWS\svchost.exe" [MS]
––––––––––
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the –all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the –supp parameter or answer "Yes" at the first message box.
–––––––––– (total run time: 52 seconds, including 7 seconds for message boxes)
a tutaj z HijackThis
Logfile of HijackThis v1.99.1
Scan saved at 23:14:59, on 2005–08–08
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Gadu–Gadu\gg.exe
C:\WINDOWS\system32\NOTEPAD.EXE
D:\instalki_programow\hijackthis\HijackThis.exe
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.interia.pl/
R0 – HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O4 – HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
O4 – HKLM\..\Run: [checkrun] C:\windows\system32\eliteewi32.exe
O4 – HKCU\..\Run: [Gadu–Gadu] "C:\Program Files\Gadu–Gadu\gg.exe" /tray
O4 – Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 – Extra context menu item: Ściągnij przy pomocy FlashGet'a – C:\Program Files\FlashGet\jc_link.htm
O8 – Extra context menu item: Ściągnij wszystko przy pomocy FlashGet'a – C:\Program Files\FlashGet\jc_all.htm
O9 – Extra button: FlashGet – {D6E814A0–E0C5–11d4–8D29–0050BA6940E3} – C:\PROGRA~1\FlashGet\flashget.exe
O9 – Extra 'Tools' menuitem: &FlashGet – {D6E814A0–E0C5–11d4–8D29–0050BA6940E3} – C:\PROGRA~1\FlashGet\flashget.exe
:)
Stwórz jeszcze log programem Silent Runners i nastepny Hijacka bo ewidentnie syf skądś startuje, a jesli tak to powinno się to pokazac.
Co do tych reklam to nie pochadzą one przypadkiem od posłańca, jesli tak to wyłącz go w services.msc
Co do tych reklam to nie pochadzą one przypadkiem od posłańca, jesli tak to wyłącz go w services.msc
EL NINO dzieki za ten problemik rozwiazał cześc problemów mianowicie usunoł ta tapete i odblokował mozliwość zmiany ale gdy zmieniam tapete na inna po 3 sekundach robi sie brak tapety i czarny pulpit tzn tło :(
Bobi zrobiłem wszystko wg wskazówek i z eliteewi32.exe nie było problemów poprostu usunoł
wppp.html ,intell32.exe nie ma takiego pliku sciezki takie standardowe ble ble.
oleext.dll, oleext32.dll jak chciałem del to odmowa dostępu :|
nadal w mioim rejestrze jest to
po za tym wczesniej nie wspomniałem ale jak wchodze do systemu juz wszytsko ladnei sie właczy po niedługim czasie pokazuje sie komunikat i cos tam bredzi o połaczeniu za 3,66zł/min i jest tak i nie
Raz na jakis czas wyskakuja okienka explorera takie niestandardowej wielkosci i w srodku nie ma takiej strony teoretyczni chyba mialy to byc reklamy
i co dalej :?:
Bobi zrobiłem wszystko wg wskazówek i z eliteewi32.exe nie było problemów poprostu usunoł
wppp.html ,intell32.exe nie ma takiego pliku sciezki takie standardowe ble ble.
oleext.dll, oleext32.dll jak chciałem del to odmowa dostępu :|
nadal w mioim rejestrze jest to
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\eliteewi32.exe
po za tym wczesniej nie wspomniałem ale jak wchodze do systemu juz wszytsko ladnei sie właczy po niedługim czasie pokazuje sie komunikat i cos tam bredzi o połaczeniu za 3,66zł/min i jest tak i nie
Raz na jakis czas wyskakuja okienka explorera takie niestandardowej wielkosci i w srodku nie ma takiej strony teoretyczni chyba mialy to byc reklamy
i co dalej :?:
Uzyj tego programiku –> http://www.simplytech.it/ETRemover/ETRemover_v130.zip
Uzyj tego programiku –> http://www.simplytech.it/ETRemover/ETRemover_v130.zip
Odpal system w trybie awaryjnym z wierszem polecen i wklep po kolei.
cd C:\Windows\system32
attrib –r –s –h eliteewi32.exe
del eliteewi32.exe
Analogicznie zrób z plikami: intell32.exe, oleext.dll, oleext32.dll, wppp.html
Teraz wszystkie wartości w RUN z rejestru nie powinny juz powracać.
Ponaprawiaj jeszcze rejestr wg opisu z linka.
cd C:\Windows\system32
attrib –r –s –h eliteewi32.exe
del eliteewi32.exe
Analogicznie zrób z plikami: intell32.exe, oleext.dll, oleext32.dll, wppp.html
Teraz wszystkie wartości w RUN z rejestru nie powinny juz powracać.
Ponaprawiaj jeszcze rejestr wg opisu z linka.
Odpal system w trybie awaryjnym z wierszem polecen i wklep po kolei.
cd C:\Windows\system32
attrib –r –s –h eliteewi32.exe
del eliteewi32.exe
Analogicznie zrób z plikami: intell32.exe, oleext.dll, oleext32.dll, wppp.html
Teraz wszystkie wartości w RUN z rejestru nie powinny juz powracać.
Ponaprawiaj jeszcze rejestr wg opisu z linka.
cd C:\Windows\system32
attrib –r –s –h eliteewi32.exe
del eliteewi32.exe
Analogicznie zrób z plikami: intell32.exe, oleext.dll, oleext32.dll, wppp.html
Teraz wszystkie wartości w RUN z rejestru nie powinny juz powracać.
Ponaprawiaj jeszcze rejestr wg opisu z linka.
wpadłem na tak genialny pomysł zeby go "ubić" ani HijackThis ani killbox nic nie daje, nie mogą go usunąc
po za tym staram sie usunac tego syfa z pulpitu i tak wiec postepujac zgodnie z instrukcją
plik intell32.exe nie stnieje ale to nie problem mam tam swój eliteewi32.exe i kulturalnie delete go a tu *** jak w morde strzelił. niby sie skasował za 3 sekundy wracam do tego subkey'a HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run a tam eliteewi32.exe i zonk
co z tym fantem HELP !!
po za tym staram sie usunac tego syfa z pulpitu i tak wiec postepujac zgodnie z instrukcją
Navigate to the subkey:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
In the right pane, delete the value:
"intell32.exe" = "%System%\intell32.exe"
plik intell32.exe nie stnieje ale to nie problem mam tam swój eliteewi32.exe i kulturalnie delete go a tu *** jak w morde strzelił. niby sie skasował za 3 sekundy wracam do tego subkey'a HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run a tam eliteewi32.exe i zonk
co z tym fantem HELP !!
Skoro pliku rzeczywiscie nie widzisz, to dlaczego nie ubijesz go w ciemno narzedziem w Hijacku albo Killboxem ?
Pliki o losowych trzylierowych nazwach to nie ta infekcja, a pozatym w tamtym temacie to jedynie przykład.
Opis tego trojana od Symanteca: http://securityresponse.symantec.com/avcenter/venc/data/trojan.desktophijack.c.html
Pliki o losowych trzylierowych nazwach to nie ta infekcja, a pozatym w tamtym temacie to jedynie przykład.
Opis tego trojana od Symanteca: http://securityresponse.symantec.com/avcenter/venc/data/trojan.desktophijack.c.html
tak więc
svchost faktycznie nie usunełem za pierwszym razem bije sie w piers i zwracam honor :D
teraz jest duzy problem pliku
nie ma :| poprostu widmo :| sprawdzałem szukałem nie ma nie jest ukryty ani nic poprostu nie ma
ale to nie najmniejszy problem co z tym pulpitem to mnie najmocniej męczy. Nic sie na niego nie sprawdza prosze o fachowa pomoc
pozdrawiam
svchost faktycznie nie usunełem za pierwszym razem bije sie w piers i zwracam honor :D
teraz jest duzy problem pliku
C:\windows\system32\eliteewi32.exe
nie ma :| poprostu widmo :| sprawdzałem szukałem nie ma nie jest ukryty ani nic poprostu nie ma
ale to nie najmniejszy problem co z tym pulpitem to mnie najmocniej męczy. Nic sie na niego nie sprawdza prosze o fachowa pomoc
pozdrawiam
Oczywiscie ze mozesz. Albo w awaryjnym, albo w Hijacku nacisnij Config, nastepnie Misc Tools i Delete a file on reboot a w okienku podajesz lokalizacje pliku.nie moge wywalić
O4 – HKLM\..\Run: [checkrun] C:\windows\system32\eliteewi32.exe
Svchosta z folderu \windows rowniez nie usunales. Stosuj sie prosze do wskazowek.
tak wiec nadal jest problem
log wyglada teraz tak
nie moge wywalić
i giga problem z pulpitem mianowicie wyglada on tak
próbowałem to zmienic ale z tych plików nie mama ani jednego na kompie
czyli zonk prosze co z tym fantem zorbic
pozdrawiam
log wyglada teraz tak
Logfile of HijackThis v1.99.1
Scan saved at 16:53:01, on 2005–08–06
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
C:\WINDOWS\regedit.exe
C:\Program Files\Gadu–Gadu\gg.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\instalki_programow\hijackthis\HijackThis.exe
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.interia.pl/
R0 – HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O4 – HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
O4 – HKLM\..\Run: [checkrun] C:\windows\system32\eliteewi32.exe
O4 – HKCU\..\Run: [Gadu–Gadu] "C:\Program Files\Gadu–Gadu\gg.exe" /tray
O4 – Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 – Extra context menu item: Ściągnij przy pomocy FlashGet'a – C:\Program Files\FlashGet\jc_link.htm
O8 – Extra context menu item: Ściągnij wszystko przy pomocy FlashGet'a – C:\Program Files\FlashGet\jc_all.htm
O9 – Extra button: FlashGet – {D6E814A0–E0C5–11d4–8D29–0050BA6940E3} – C:\PROGRA~1\FlashGet\flashget.exe
O9 – Extra 'Tools' menuitem: &FlashGet – {D6E814A0–E0C5–11d4–8D29–0050BA6940E3} – C:\PROGRA~1\FlashGet\flashget.exe
nie moge wywalić
O4 – HKLM\..\Run: [checkrun] C:\windows\system32\eliteewi32.exe
i giga problem z pulpitem mianowicie wyglada on tak
próbowałem to zmienic ale z tych plików nie mama ani jednego na kompie
O4 – HKLM\..\Run: [Erp] C:\WINDOWS\Osr.exe
O4 – HKLM\..\Run: [Gsl] C:\WINDOWS\System32\Alm.exe
O4 – HKLM\..\Run: [Igo] C:\WINDOWS\Run.exe
O4 – HKLM\..\Run: [Kgn] C:\WINDOWS\System32\Tmv.exe
O4 – HKLM\..\Run: [Itq] C:\WINDOWS\Huu.exe
O4 – HKLM\..\Run: [Dnn] C:\WINDOWS\System32\Eun.exe
O4 – HKLM\..\Run: [Bcr] C:\WINDOWS\Ojf.exe
O4 – HKLM\..\Run: [Gjm] C:\WINDOWS\Gih.exe
O4 – HKLM\..\Run: [Fvt] C:\WINDOWS\Ita.exe
O4 – HKLM\..\Run: [Jkb] C:\WINDOWS\Rdm.exe
O4 – HKLM\..\Run: [Arh] C:\WINDOWS\System32\Kbk.exe
tego tez nie ma
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer
>> NoViewContextMenu
Kod:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
>> NoViewContextMenu
>> NoSetTaskbar
>> NoSaveSettings
czyli zonk prosze co z tym fantem zorbic
pozdrawiam
Wylączasz przywracanie systemu
Z poczatku leci fix na sp.dll linkowany w przyklejonym FAQ
Następnie zakanczasz proces svchost.exe ale w tasku uruchomiony przez usera.
Problemy z pulpitem/explorerem to efekt działania biblioteki z ostatniego wpisy, na forum był podobny temat – chyba do niego dotarłeś jak piszesz
Usun plik C:\WINDOWS\svchost.exe, zwroc uwage na lokalizacje
Przeczyśc Tempy
Z poczatku leci fix na sp.dll linkowany w przyklejonym FAQ
Następnie zakanczasz proces svchost.exe ale w tasku uruchomiony przez usera.
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\se.dll/space.html
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 – HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\se.dll/space.html
R1 – HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 – HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 – HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 – HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R3 – Default URLSearchHook is missing
O2 – BHO: &EliteBar – {28CAEFF3–0F18–4036–B504–51D73BD81ABC} – C:\WINDOWS\EliteToolBar\EliteToolBar version 60.dll
O2 – BHO: (no name) – {FD757EEE–F39D–42B1–97D6–2328790A1C5C} – C:\WINDOWS\System32\lbbf.dll (file missing)
O4 – HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\se.dll,DllInstall
O4 – HKLM\..\Run: [checkrun] C:\windows\system32\eliteewi32.exe
O9 – Extra button: Related – {c95fe080–8f5d–11d2–a20b–00aa003c157a} – C:\WINDOWS\web\related.htm
O9 – Extra 'Tools' menuitem: Show &Related Links – {c95fe080–8f5d–11d2–a20b–00aa003c157a} – C:\WINDOWS\web\related.htm
O16 – DPF: {15AD4789–CDB4–47E1–A9DA–992EE8E6BAD6} – ms–its:mhtml:file://c:\nosuklc.mht!http://kazaalite.pl/stats/loud.chm::/Bridge–c139.cab
O18 – Filter: text/html – {63937E05–893C–4431–A2C0–AE0D1A25C8F8} – C:\WINDOWS\System32\lbbf.dll
O18 – Filter: text/plain – {63937E05–893C–4431–A2C0–AE0D1A25C8F8} – C:\WINDOWS\System32\lbbf.dll
O20 – Winlogon Notify: style2 – C:\WINDOWS\q4372857_disk.dll
Problemy z pulpitem/explorerem to efekt działania biblioteki z ostatniego wpisy, na forum był podobny temat – chyba do niego dotarłeś jak piszesz
Usun plik C:\WINDOWS\svchost.exe, zwroc uwage na lokalizacje
Przeczyśc Tempy
Strona 1 / 1