Bloodhound.Exploit.6 Proszę o sprawdzenie Loga
Pomóźcie laikowi... :cry:
Załapałem wirusa Bloodhound.Exploit.6 i w źaden mi znany sposób nie mogę się go pozbyć. Ciągle zmienia mi stronę startową przeglądarki na:
http://www.hotoffers.info/179/
Norton nie chce (nie potrafi)go odnaleźć i usunąć. Skanowałem Ad–Aware SE i wykrył mi:
IEHijacker.Hotoffers (klucz rejestru)
IEHijacker.Hotoffers (wartość rejestru)
Possible Browser Hijack attempt
Usunąłem je, ale one "zmartwychwstały", usunąłem znowu... i znowu itd. Nadal są!!!
Próbowałem "hotoffers" usunąć z Rejestru, ale teź bezskutecznie. Mam juź dość. Wkleję Loga i mam nadzieję, źe ktoś mądrzejszy ode mnie go sprawdzi i wytłumaczy mi co mam zrobić.
Proszę o pomoc.
Jak juź pisałem na początku jestem kompletnym laikiem więc proszę nie tylko napisać co usunąć, ale teź jak to zrobić. Z góry bardzo dziękuję.
Logfile of HijackThis v1.99.1
Scan saved at 20:26:37, on 2005–03–22
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Common Files\Symantec Shared\ccProxy.exe
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\PROGRA~1\NORTON~1\NORTON~1\GHOSTS~2.EXE
C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\Program Files\Creative\SBLive\AudioHQ\AHQTB.EXE
C:\Program Files\Microsoft IntelliPoint\point32.exe
C:\PROGRA~1\T–Media\MMHotKey.EXE
C:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Paragon Software\Paragon CD–ROM Emulator\tray.exe
C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MemStat XP\MemStat.exe
C:\Program Files\WinKey\WinKey.exe
C:\Program Files\WinBar\WinBar.exe
C:\Program Files\Gadu–Gadu\gg.exe
C:\Downloads\hijackthis\HijackThis.exe
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotoffers.info/179/
R1 – HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = http://www.tranexp.com;http://www.tranexp.com
R0 – HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
R3 – Default URLSearchHook is missing
O2 – BHO: AcroIEHlprObj Class – {06849E9F–C8D7–4D59–B87D–784B7D6BE0B3} – C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
O2 – BHO: Web assistant – {9ECB9560–04F9–4bbc–943D–298DDF1699E1} – C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll
O2 – BHO: IeCatch2 Class – {A5366673–E8CA–11D3–9CD9–0090271D075B} – C:\PROGRA~1\FlashGet\jccatch.dll
O2 – BHO: NAV Helper – {BDF3E430–B101–42AD–A544–FADC6B084872} – C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 – Toolbar: &Radio – {8E718888–423F–11D2–876E–00A0C9082467} – C:\WINDOWS\System32\msdxm.ocx
O3 – Toolbar: FlashGet Bar – {E0E899AB–F487–11D5–8D29–0050BA6940E3} – C:\PROGRA~1\FlashGet\fgiebar.dll
O3 – Toolbar: Web assistant – {0B53EAC3–8D69–4b9e–9B19–A37C9A5676A7} – C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll
O3 – Toolbar: Norton AntiVirus – {42CDD1BF–3FFB–4238–8AD1–7859DF00B1D6} – C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 – HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 – HKLM\..\Run: [AHQInit] C:\Program Files\Creative\SBLive\Program\AHQInit.exe
O4 – HKLM\..\Run: [AudioHQ] C:\Program Files\Creative\SBLive\AudioHQ\AHQTB.EXE
O4 – HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 – HKLM\..\Run: [CloneCDElbyCDFL] "C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 – HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"
O4 – HKLM\..\Run: [KE9801] C:\PROGRA~1\T–Media\MMHotKey.EXE
O4 – HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 –k
O4 – HKLM\..\Run: [fdbzakll] C:\WINDOWS\ycsdhj.exe
O4 – HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" –atboottime
O4 – HKLM\..\Run: [GhostStartTrayApp] C:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
O4 – HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 – HKLM\..\Run: [URLLSTCK.exe] C:\Program Files\Norton Internet Security\UrlLstCk.exe
O4 – HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 – HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe
O4 – HKLM\..\Run: [tray.exe] "C:\Program Files\Paragon Software\Paragon CD–ROM Emulator\tray.exe"
O4 – HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
O4 – HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 – HKLM\..\Run: [nwiz] nwiz.exe /install
O4 – HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 – HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 – HKCU\..\Run: [MemStat] C:\Program Files\MemStat XP\MemStat.exe
O4 – HKCU\..\Run: [Gadu–Gadu] "C:\Program Files\Gadu–Gadu\gg.exe" /tray
O4 – Startup: WinBar.lnk = C:\Program Files\WinBar\WinBar.exe
O4 – Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 – Global Startup: WinKey.lnk = C:\Program Files\WinKey\WinKey.exe
O8 – Extra context menu item: E&ksport do programu Microsoft Excel – res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 – Extra context menu item: Ściągnij przy pomocy FlashGet'a – C:\PROGRA~1\FlashGet\jc_link.htm
O8 – Extra context menu item: Ściągnij wszystko przy pomocy FlashGet'a – C:\PROGRA~1\FlashGet\jc_all.htm
O9 – Extra button: (no name) – {08B0E5C0–4FCB–11CF–AAA5–00401C608501} – C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 – Extra 'Tools' menuitem: Sun Java Console – {08B0E5C0–4FCB–11CF–AAA5–00401C608501} – C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 – Extra button: FlashGet – {D6E814A0–E0C5–11d4–8D29–0050BA6940E3} – C:\PROGRA~1\FlashGet\flashget.exe
O9 – Extra 'Tools' menuitem: &FlashGet – {D6E814A0–E0C5–11d4–8D29–0050BA6940E3} – C:\PROGRA~1\FlashGet\flashget.exe
O16 – DPF: {31B7EB4E–8B4B–11D1–A789–00A0CC6651A8} (Cult3D ActiveX Player) – http://www.cult3d.com/download/cult.cab
O16 – DPF: {644E432F–49D3–41A1–8DD5–E099162EEEC5} (Symantec RuFSI Utility Class) – http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 – DPF: {F5192746–22D6–41BD–9D2D–1E75D14FBD3C} – http://download.rfwnad.com/cab/crack.CAB
O23 – Service: Symantec Event Manager (ccEvtMgr) – Symantec Corporation – C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 – Service: Symantec Network Proxy (ccProxy) – Symantec Corporation – C:\Program Files\Common Files\Symantec Shared\ccProxy.exe
O23 – Service: Symantec Password Validation (ccPwdSvc) – Symantec Corporation – C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 – Service: Symantec Settings Manager (ccSetMgr) – Symantec Corporation – C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 – Service: Creative Service for CDROM Access – Creative Technology Ltd – C:\WINDOWS\System32\CTsvcCDA.EXE
O23 – Service: GhostStartService – Symantec Corporation – C:\PROGRA~1\NORTON~1\NORTON~1\GHOSTS~2.EXE
O23 – Service: LexBce Server (LexBceS) – Lexmark International, Inc. – C:\WINDOWS\system32\LEXBCES.EXE
O23 – Service: Usługa Auto Protect programu Norton AntiVirus (navapsvc) – Symantec Corporation – C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 – Service: Norton Unerase Protection (NProtectService) – Symantec Corporation – C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O23 – Service: NVIDIA Display Driver Service (NVSvc) – NVIDIA Corporation – C:\WINDOWS\System32\nvsvc32.exe
O23 – Service: SAVScan – Symantec Corporation – C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 – Service: ScriptBlocking Service (SBService) – Symantec Corporation – C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 – Service: Symantec Network Drivers Service (SNDSrvc) – Symantec Corporation – C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 – Service: Speed Disk service – Symantec Corporation – C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
O23 – Service: SymWMI Service (SymWSC) – Symantec Corporation – C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
Załapałem wirusa Bloodhound.Exploit.6 i w źaden mi znany sposób nie mogę się go pozbyć. Ciągle zmienia mi stronę startową przeglądarki na:
http://www.hotoffers.info/179/
Norton nie chce (nie potrafi)go odnaleźć i usunąć. Skanowałem Ad–Aware SE i wykrył mi:
IEHijacker.Hotoffers (klucz rejestru)
IEHijacker.Hotoffers (wartość rejestru)
Possible Browser Hijack attempt
Usunąłem je, ale one "zmartwychwstały", usunąłem znowu... i znowu itd. Nadal są!!!
Próbowałem "hotoffers" usunąć z Rejestru, ale teź bezskutecznie. Mam juź dość. Wkleję Loga i mam nadzieję, źe ktoś mądrzejszy ode mnie go sprawdzi i wytłumaczy mi co mam zrobić.
Proszę o pomoc.
Jak juź pisałem na początku jestem kompletnym laikiem więc proszę nie tylko napisać co usunąć, ale teź jak to zrobić. Z góry bardzo dziękuję.
Logfile of HijackThis v1.99.1
Scan saved at 20:26:37, on 2005–03–22
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Common Files\Symantec Shared\ccProxy.exe
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\PROGRA~1\NORTON~1\NORTON~1\GHOSTS~2.EXE
C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\Program Files\Creative\SBLive\AudioHQ\AHQTB.EXE
C:\Program Files\Microsoft IntelliPoint\point32.exe
C:\PROGRA~1\T–Media\MMHotKey.EXE
C:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Paragon Software\Paragon CD–ROM Emulator\tray.exe
C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MemStat XP\MemStat.exe
C:\Program Files\WinKey\WinKey.exe
C:\Program Files\WinBar\WinBar.exe
C:\Program Files\Gadu–Gadu\gg.exe
C:\Downloads\hijackthis\HijackThis.exe
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotoffers.info/179/
R1 – HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = http://www.tranexp.com;http://www.tranexp.com
R0 – HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
R3 – Default URLSearchHook is missing
O2 – BHO: AcroIEHlprObj Class – {06849E9F–C8D7–4D59–B87D–784B7D6BE0B3} – C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
O2 – BHO: Web assistant – {9ECB9560–04F9–4bbc–943D–298DDF1699E1} – C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll
O2 – BHO: IeCatch2 Class – {A5366673–E8CA–11D3–9CD9–0090271D075B} – C:\PROGRA~1\FlashGet\jccatch.dll
O2 – BHO: NAV Helper – {BDF3E430–B101–42AD–A544–FADC6B084872} – C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 – Toolbar: &Radio – {8E718888–423F–11D2–876E–00A0C9082467} – C:\WINDOWS\System32\msdxm.ocx
O3 – Toolbar: FlashGet Bar – {E0E899AB–F487–11D5–8D29–0050BA6940E3} – C:\PROGRA~1\FlashGet\fgiebar.dll
O3 – Toolbar: Web assistant – {0B53EAC3–8D69–4b9e–9B19–A37C9A5676A7} – C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll
O3 – Toolbar: Norton AntiVirus – {42CDD1BF–3FFB–4238–8AD1–7859DF00B1D6} – C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 – HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 – HKLM\..\Run: [AHQInit] C:\Program Files\Creative\SBLive\Program\AHQInit.exe
O4 – HKLM\..\Run: [AudioHQ] C:\Program Files\Creative\SBLive\AudioHQ\AHQTB.EXE
O4 – HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 – HKLM\..\Run: [CloneCDElbyCDFL] "C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 – HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"
O4 – HKLM\..\Run: [KE9801] C:\PROGRA~1\T–Media\MMHotKey.EXE
O4 – HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 –k
O4 – HKLM\..\Run: [fdbzakll] C:\WINDOWS\ycsdhj.exe
O4 – HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" –atboottime
O4 – HKLM\..\Run: [GhostStartTrayApp] C:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
O4 – HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 – HKLM\..\Run: [URLLSTCK.exe] C:\Program Files\Norton Internet Security\UrlLstCk.exe
O4 – HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 – HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe
O4 – HKLM\..\Run: [tray.exe] "C:\Program Files\Paragon Software\Paragon CD–ROM Emulator\tray.exe"
O4 – HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
O4 – HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 – HKLM\..\Run: [nwiz] nwiz.exe /install
O4 – HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 – HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 – HKCU\..\Run: [MemStat] C:\Program Files\MemStat XP\MemStat.exe
O4 – HKCU\..\Run: [Gadu–Gadu] "C:\Program Files\Gadu–Gadu\gg.exe" /tray
O4 – Startup: WinBar.lnk = C:\Program Files\WinBar\WinBar.exe
O4 – Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 – Global Startup: WinKey.lnk = C:\Program Files\WinKey\WinKey.exe
O8 – Extra context menu item: E&ksport do programu Microsoft Excel – res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 – Extra context menu item: Ściągnij przy pomocy FlashGet'a – C:\PROGRA~1\FlashGet\jc_link.htm
O8 – Extra context menu item: Ściągnij wszystko przy pomocy FlashGet'a – C:\PROGRA~1\FlashGet\jc_all.htm
O9 – Extra button: (no name) – {08B0E5C0–4FCB–11CF–AAA5–00401C608501} – C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 – Extra 'Tools' menuitem: Sun Java Console – {08B0E5C0–4FCB–11CF–AAA5–00401C608501} – C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 – Extra button: FlashGet – {D6E814A0–E0C5–11d4–8D29–0050BA6940E3} – C:\PROGRA~1\FlashGet\flashget.exe
O9 – Extra 'Tools' menuitem: &FlashGet – {D6E814A0–E0C5–11d4–8D29–0050BA6940E3} – C:\PROGRA~1\FlashGet\flashget.exe
O16 – DPF: {31B7EB4E–8B4B–11D1–A789–00A0CC6651A8} (Cult3D ActiveX Player) – http://www.cult3d.com/download/cult.cab
O16 – DPF: {644E432F–49D3–41A1–8DD5–E099162EEEC5} (Symantec RuFSI Utility Class) – http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 – DPF: {F5192746–22D6–41BD–9D2D–1E75D14FBD3C} – http://download.rfwnad.com/cab/crack.CAB
O23 – Service: Symantec Event Manager (ccEvtMgr) – Symantec Corporation – C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 – Service: Symantec Network Proxy (ccProxy) – Symantec Corporation – C:\Program Files\Common Files\Symantec Shared\ccProxy.exe
O23 – Service: Symantec Password Validation (ccPwdSvc) – Symantec Corporation – C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 – Service: Symantec Settings Manager (ccSetMgr) – Symantec Corporation – C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 – Service: Creative Service for CDROM Access – Creative Technology Ltd – C:\WINDOWS\System32\CTsvcCDA.EXE
O23 – Service: GhostStartService – Symantec Corporation – C:\PROGRA~1\NORTON~1\NORTON~1\GHOSTS~2.EXE
O23 – Service: LexBce Server (LexBceS) – Lexmark International, Inc. – C:\WINDOWS\system32\LEXBCES.EXE
O23 – Service: Usługa Auto Protect programu Norton AntiVirus (navapsvc) – Symantec Corporation – C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 – Service: Norton Unerase Protection (NProtectService) – Symantec Corporation – C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O23 – Service: NVIDIA Display Driver Service (NVSvc) – NVIDIA Corporation – C:\WINDOWS\System32\nvsvc32.exe
O23 – Service: SAVScan – Symantec Corporation – C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 – Service: ScriptBlocking Service (SBService) – Symantec Corporation – C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 – Service: Symantec Network Drivers Service (SNDSrvc) – Symantec Corporation – C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 – Service: Speed Disk service – Symantec Corporation – C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
O23 – Service: SymWMI Service (SymWSC) – Symantec Corporation – C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
Odpowiedzi: 20
Otwierasz Windows Update np. ze Startu, bedzie chciał zainstalowac kontrolke wiec ja sciagnij, pozniej wyszuka aktualizacje i zaklepiesz te ktore chcesz sciagnać. Czytaj dokładnie komunikaty a poradzisz sobie bez wiekszych problemow.
Jeszcze nigdy nic nie pobierałem z Windows Update. Gdzie dokładnie mam szukać i co wybrać? Czy muszę mieć SP1, źeby instalować łatki, czy to nie ma znaczenia?
MichalB1973:
Poszukuję łatek do Windowsa łatających błędy w zabezpieczeniach itp. Co byście mi doradzili? Czego uźyć, w jakiej kolejności i skąd je pobrać.
Windows Update ale spieszyc sie musisz, bo pozniej bedziesz musial SP2 zainstalowac zeby z WU updaty sciagac.
PS: Cierpliwosci u nas dostatek :wink:
Wiem, źe temat moźna uznać za zakończony ale chciałbym się jeszcze dowiedzieć jak zabezpieczyć się na przyszłość przed takimi i podobnymi problemami.
Nadmieniam, źe nie chodzi mi o źadne aplikacje uruchamiane razem z systemem ani o pełne SP1 i SP2.
Poszukuję łatek do Windowsa łatających błędy w zabezpieczeniach itp. Co byście mi doradzili? Czego uźyć, w jakiej kolejności i skąd je pobrać.
Mam nadzieję, źe nie naduźywam Waszej cierpliwości... :wink:
Nadmieniam, źe nie chodzi mi o źadne aplikacje uruchamiane razem z systemem ani o pełne SP1 i SP2.
Poszukuję łatek do Windowsa łatających błędy w zabezpieczeniach itp. Co byście mi doradzili? Czego uźyć, w jakiej kolejności i skąd je pobrać.
Mam nadzieję, źe nie naduźywam Waszej cierpliwości... :wink:
Tylko jedną wadę mamy – krzyku nie lubimy :wink:
Nie chcę Wam zbytnio podmaślać, ale naprawdę jesteście
Nie źebyś się podlizywał :P ;)
WSPANIALI, MĄDRZY, INTELIGENTNI I UCZYNNI
piękni, skromni i bogaci ;)
Panowie !!!
Dodałem jeszcze raz FIX do rejestru i sprawdiłem logi z HijackThis i Silenta. Nigdzie nie znalazłem tego świństwa. Wydaje się, źe wszystko jest OK. :P
Dziękuję Wam wszystkim za pomoc !!!
Nie chcę Wam zbytnio podmaślać, ale naprawdę jesteście:
WSPANIALI, MĄDRZY, INTELIGENTNI I UCZYNNI.
Jeszcze raz dziękuję i pozdrawiam.
Michał
Dodałem jeszcze raz FIX do rejestru i sprawdiłem logi z HijackThis i Silenta. Nigdzie nie znalazłem tego świństwa. Wydaje się, źe wszystko jest OK. :P
Dziękuję Wam wszystkim za pomoc !!!
Nie chcę Wam zbytnio podmaślać, ale naprawdę jesteście:
WSPANIALI, MĄDRZY, INTELIGENTNI I UCZYNNI.
Jeszcze raz dziękuję i pozdrawiam.
Michał
O tym czy dodawać czy nie to juź Ci Bobi_robertnapisał
Nie iwem tylko dlaczego w trybie awaryjnym, a nie normalnym ?
PS.
Bobi_robert – działa tylko pod warunkiem, źe nie jest specyficzny dla systemu, a jakiś taki "ogólnowojskowy" bardziej.
Dodaj do rejestru i zobacz czy klucz zniknał.
Nie iwem tylko dlaczego w trybie awaryjnym, a nie normalnym ?
PS.
Bobi_robert – działa tylko pod warunkiem, źe nie jest specyficzny dla systemu, a jakiś taki "ogólnowojskowy" bardziej.
Na wszelki wypadek i kosmetycznie dodaj obojetnie w jakiej postaci ten plik do rejestru.
Jesli Cie to tak gryzie to mozesz zapodać log z Hijacka, ale IMO to zbedne juz teraz.
Jesli Cie to tak gryzie to mozesz zapodać log z Hijacka, ale IMO to zbedne juz teraz.
Do wywalenia systr.dlluźyłem konsoli, a Fix dodałem przy normalnej pracy systemu. Panowie wy się kłócicie, a ja nie wiem co dalej?
Czy mam utworzyć ten "nowy" FIX według receptury Rebe i dodać go do rejestru w trybie awaryjnym?
Podać te logi?
Napiszcie
Czy mam utworzyć ten "nowy" FIX według receptury Rebe i dodać go do rejestru w trybie awaryjnym?
Podać te logi?
Napiszcie
Taka mała dywagacja ze mej strony.
Nagłowek w postaci "REGEDIT4" dziala zarowno pod XP jak ze starszymi Windowsami natomiast "Windows Registry..." juz tylko w XP i W2k3 i W2k(?) ale reki sobie uciac nie dam
Wiec jaki z tego wniosek ?? Uzywac starszego gdyz uniwersalniejszy jest.
Pozostaje oczywiscie kwestia nieco innej struktury kluczy w rejestrach roznych Windowsów, ale IMO w tej specyficznej sytuacji jest tak samo.
Update bo widze ze Rebe odpowiedzial, masz Rebe w systemie HJT ??
Jesli tak to najpierw wyeksportuj klucz HKEY_LOCAL_MACHINE\SOFTWARE\Soeperman Enterprises Ltd.\HijackThis
Pozniej otworz notatnik i wklej do niego
Zapisz z rozszerzeniem reg (najpierw wszystkie pliki)
Dodaj do rejestru i zobacz czy klucz zniknał.
Pozniej oczywsicie dodasz sobie ten, ktory wczesniej wyeksportowałes
Nagłowek w postaci "REGEDIT4" dziala zarowno pod XP jak ze starszymi Windowsami natomiast "Windows Registry..." juz tylko w XP i W2k3 i W2k(?) ale reki sobie uciac nie dam
Wiec jaki z tego wniosek ?? Uzywac starszego gdyz uniwersalniejszy jest.
Pozostaje oczywiscie kwestia nieco innej struktury kluczy w rejestrach roznych Windowsów, ale IMO w tej specyficznej sytuacji jest tak samo.
Update bo widze ze Rebe odpowiedzial, masz Rebe w systemie HJT ??
Jesli tak to najpierw wyeksportuj klucz HKEY_LOCAL_MACHINE\SOFTWARE\Soeperman Enterprises Ltd.\HijackThis
Pozniej otworz notatnik i wklej do niego
REGEDIT4
[–HKEY_LOCAL_MACHINE\SOFTWARE\Soeperman Enterprises Ltd.\HijackThis]
Zapisz z rozszerzeniem reg (najpierw wszystkie pliki)
Dodaj do rejestru i zobacz czy klucz zniknał.
Pozniej oczywsicie dodasz sobie ten, ktory wczesniej wyeksportowałes
A *** tam kurna, bo i tak czy to nagłowek REGEDIT4 czy Windows Registry Editor Version 5.00 to i tak działa.
Sprawdziłem – co prawda z innym wpisem, ale ...*** tam,a nie "i tak działa" – "Nie moźna zaimportoawać pliku .... Nie jest plikiem rejestru..."
W awaryjnym czy konsoli uzyles ?Wystartowałem system w awaryjnym...
Zamiast:
REGEDIT4
[–HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{12345678–0000–0010–8000–00AAFF6D2EA4}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{12345678–0000–0010–8000–00AAFF6D2EA4}"=–
walnij:
Windows Registry Editor Version 5.00
[–HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{12345678–0000–0010–8000–00AAFF6D2EA4}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{12345678–0000–0010–8000–00AAFF6D2EA4}"=–
Logi ? Sam juz potrafisz znalezc to swinstwo. Jesli w HJ nie bedzie i w Silencie nie bedzie tego:
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\
INFECTION WARNING! "{12345678–0000–0010–8000–00AAFF6D2EA4}" = "Sysctl Desktop Handler"
–> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\systr.dll" [null data]
...mozna przyjac ze czysto.
Rebe, pastowane lepiej wchodza :P .
Pacz Pan jakie Sokole Oko nam sie trafilo Bobik :mrgreen: .
To znaczy Tobie kurna, bo starocie podajesz :P .
Ma spoko oko ;)
A *** tam kurna, bo i tak czy to nagłowek REGEDIT4 czy Windows Registry Editor Version 5.00 to i tak działa.
MichalB1973 i dobrze ze juz jest okey.
Loga juz dawać nie musisz chyba ze bardzo chcesz to daj z Hijack THis
MichalB1973 i dobrze ze juz jest okey.
Loga juz dawać nie musisz chyba ze bardzo chcesz to daj z Hijack THis
Wystartowałem system w awaryjnym i wykonałem wasze polecenia. Po restarcie kompa dodałem ten FIX do rejestru (dodałem go w takiej postaci jaką podał mi Bobi_robert, bo wiadomość od Rebe odczytałem po wszystkim – z resztą i tak nie wiedziałbym jak go zmienić).
Następnie poprzez HijackThis usunąłem:
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotoffers.info/179/
Ponownie zrestartowałem kompa i po sprawdzeniu w opcjach internetowych okazało się, źe Hotoffers zaginął :!: :P :P :P
Wreszcie mogę ustawić własną stronę startową!
Dzięki !!!
Czy moglibyście jeszcze raz zerknąć na mojego loga i sprawdzić czy aby napewno wszystko jest OK?
Napiszcie tylko czy podać loga z HijackThis czy z Silenta? Moźe podać obydwa?
Następnie poprzez HijackThis usunąłem:
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotoffers.info/179/
Ponownie zrestartowałem kompa i po sprawdzeniu w opcjach internetowych okazało się, źe Hotoffers zaginął :!: :P :P :P
Wreszcie mogę ustawić własną stronę startową!
Dzięki !!!
Czy moglibyście jeszcze raz zerknąć na mojego loga i sprawdzić czy aby napewno wszystko jest OK?
Napiszcie tylko czy podać loga z HijackThis czy z Silenta? Moźe podać obydwa?
Pacz Pan jakie Sokole Oko nam sie trafilo Bobik :mrgreen: .
To znaczy Tobie kurna, bo starocie podajesz :P .
......... się EL NINO. :lol: – Nie mówiłem Ci, źe mi zona "aczki" z okazji świąt wyczyściła ? :mrgreen:
Pacz Pan jakie Sokole Oko nam sie trafilo Bobik :mrgreen: .
To znaczy Tobie kurna, bo starocie podajesz :P .
To znaczy Tobie kurna, bo starocie podajesz :P .
MichalB1973 – jedna uwaga techniczna na przyszłość – nie "REGEDIT4" – wpisy do rejestru zaczynają się od:
"Windows Registry Editor Version 5.00"
Przynajmniej w systemie, o kórym mowa w tym wątku.
"Windows Registry Editor Version 5.00"
Przynajmniej w systemie, o kórym mowa w tym wątku.
Tak wpisujesz komende, klikasz ENTER i wpisujesz exit aby z konsoli wylezc.
Komenda wyglada tak:
Tego fixa tez jeszcze raz do rejestru dodaj bo jak widzisz Sillent go pokazał.
Komenda wyglada tak:
del C:\WINDOWS\System32\systr.dll
Tego fixa tez jeszcze raz do rejestru dodaj bo jak widzisz Sillent go pokazał.