teraz sciągnij jeden z programików zabezpiezających na przyszłość, chyba nie masz ochoty przechodzić tej gechenny na nowo ;),polecam browser hijack blaster

no wlasnie tego pliku tam nie ma
ale jak narazie jest wszystko OK

To sie ciesze.
Plik 1.exe miales w c:Recycled ?

P.S. Rozdzielilem Twoje posty od przyklejonego tematu.

wreszcie pomoglo cos...wielkie dzieki :)

nicox:

R1 – HKCUSoftwareMicrosoftInternet Explorer,SearchURL = http://www.spidersearch.com/frame_results.php
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = http://www.spidersearch.com/frame_results.php
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = http://www.spidersearch.com/frame_results.php
R1 – HKCUSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = http://www.spidersearch.com/frame_results.php
R0 – HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = http://www.spidersearch.com/frame_results.php
R3 – URLSearchHook: (no name) – _{CFBFAE00–17A6–11D0–99CB–00C04FD64497} – (no file)
O2 – BHO: ohb – {086CEFD5–A88D–4981–8915–D51F04360ED1} – D:WINDOWSSystem32winalot32.dll
O2 – BHO: (no name) – {F7F808F0–6F7D–442C–93E3–4A4827C2E4C8} – D:WINDOWS em214.dll
O3 – Toolbar: (no name) – {8B224779–3B0E–4FEA–8AE1–B66C20DD840F} – D:WINDOWSSystem32winalot32.dll
O16 – DPF: {11111111–1111–1111–1111–111111111123} – file://c:Recycled1.exe
O16 – DPF: {99802379–7362–40E2–9D28–8A3B9AF880B7} (iiittt Class) –

Usun te smieci lacznie z czyszczeniem z dysku podanych tutaj bibliotek – winalot32.dll i nem214.dll. Oprocze tego usunalbym wiecej, ale to zalezy od Ciebie. Mozesz zrobic wczesniej kopie rejestru.

nicox:

R0 – HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = http://red.clientapps.yahoo.com/customize/ie/defaults/stp/ymsgr*http://my.yahoo.com
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Search Bar = http://home.microsoft.com/access/allinone.asp
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://red.clientapps.yahoo.com/customize/ie/defaults/stp/ymsgr*http://my.yahoo.com
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http://red.clientapps.yahoo.com/customize/ie/defaults/su/ymsgr/*http://www.yahoo.com
R1 – HKCUSoftwareMicrosoftInternet ExplorerSearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ie/defaults/su/ymsgr/*http://www.yahoo.com
O4 – HKCU..Run: [EdHTML] E:Programyedhatml_5.0EdHTML.exe /none
O16 – DPF: {1EB17D1C–141D–4D9D–91CB–24D99215851D} – http://akamai.downloadv3.com/binaries/IA/netia32_EN_XP.cab
O16 – DPF: {30528230–99F7–4BB4–88D8–FA1D4F56A2AB} (YInstStarter Class) – http://download.yahoo.com/dl/installs/yinst0401.cab
O16 – DPF: {75D1F3B2–2A21–11D7–97B9–0010DC2A6243} (SecureLogin.SecureControl) – http://secure2.comned.com/signuptemplates/ActiveSecurity.cab
O16 – DPF: {99802379–7362–40E2–9D28–8A3B9AF880B7} (iiittt Class) –
O16 – DPF: {AD7FAFB0–16D6–40C3–AF27–585D6E6453FD} – http://dload.ipbill.com/del/loader.cab
http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1009_1035_pack_XP.cab

Logfile of HijackThis v1.97.7
Scan saved at 17:25:31, on 2004–05–20
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:WINDOWSSystem32smss.exe
D:WINDOWSsystem32winlogon.exe
D:WINDOWSsystem32services.exe
D:WINDOWSsystem32lsass.exe
D:WINDOWSsystem32svchost.exe
D:WINDOWSSystem32svchost.exe
D:WINDOWSsystem32spoolsv.exe
D:Program FilesCommon FilesSymantec SharedccEvtMgr.exe
E:Programy is avapsvc.exe
E:Programy orton internet securityNISUM.EXE
D:WINDOWSSystem32 vsvc32.exe
D:WINDOWSsystem32 _server.exe
E:ProgramySygateSmc.exe
D:WINDOWSSystem32svchost.exe
E:Programy orton internet securityccPxySvc.exe
D:WINDOWSExplorer.EXE
D:Program FilesCommon FilesSymantec SharedccApp.exe
E:ProgramyGadu–Gadugg.exe
E:ProgramyWinamp5winamp.exe
E:ProgramyeMuleemule.exe
D:Program FilesInternet Exploreriexplore.exe
D:Program FilesYahoo!MessengerYPager.exe
D:Documents and Settings icoxPulpithijackthis.exe

R1 – HKCUSoftwareMicrosoftInternet Explorer,SearchURL = http://www.spidersearch.com/frame_results.php
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = http://www.spidersearch.com/frame_results.php
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = http://www.spidersearch.com/frame_results.php
R0 – HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.onet.pl/
R1 – HKCUSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = http://www.spidersearch.com/frame_results.php
R0 – HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = http://red.clientapps.yahoo.com/customize/ie/defaults/stp/ymsgr*http://my.yahoo.com
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Search Bar = http://home.microsoft.com/access/allinone.asp
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://red.clientapps.yahoo.com/customize/ie/defaults/stp/ymsgr*http://my.yahoo.com
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http://red.clientapps.yahoo.com/customize/ie/defaults/su/ymsgr/*http://www.yahoo.com
R0 – HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = http://www.spidersearch.com/frame_results.php
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Window Title = N I C O X wita Cie w Internecie
R1 – HKCUSoftwareMicrosoftInternet ExplorerSearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ie/defaults/su/ymsgr/*http://www.yahoo.com
R0 – HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Łącza
R3 – URLSearchHook: (no name) – _{CFBFAE00–17A6–11D0–99CB–00C04FD64497} – (no file)
O2 – BHO: (no name) – {06849E9F–C8D7–4D59–B87D–784B7D6BE0B3} – D:Program FilesAdobeAcrobat 5.0ReaderActiveXAcroIEHelper.ocx
O2 – BHO: ohb – {086CEFD5–A88D–4981–8915–D51F04360ED1} – D:WINDOWSSystem32winalot32.dll
O2 – BHO: (no name) – {BDF3E430–B101–42AD–A544–FADC6B084872} – E:Programy isNavShExt.dll
O2 – BHO: (no name) – {F7F808F0–6F7D–442C–93E3–4A4827C2E4C8} – D:WINDOWS em214.dll
O3 – Toolbar: &Radio – {8E718888–423F–11D2–876E–00A0C9082467} – D:WINDOWSSystem32msdxm.ocx
O3 – Toolbar: Norton AntiVirus – {42CDD1BF–3FFB–4238–8AD1–7859DF00B1D6} – E:Programy isNavShExt.dll
O3 – Toolbar: (no name) – {8B224779–3B0E–4FEA–8AE1–B66C20DD840F} – D:WINDOWSSystem32winalot32.dll
O4 – HKLM..Run: [SpeedTouch USB Diagnostics] "D:Program FilesAlcatelSpeedTouch USBDragdiag.exe" /icon
O4 – HKLM..Run: [WOOWATCH] D:PROGRA~1WanadooWatch.exe
O4 – HKLM..Run: [WOOTASKBARICON] D:PROGRA~1WanadooTaskbarIcon.exe
O4 – HKLM..Run: [SmcService] E:ProgramySygateSmc.exe –startgui
O4 – HKLM..Run: [ccApp] "D:Program FilesCommon FilesSymantec SharedccApp.exe"
O4 – HKLM..Run: [ccRegVfy] "D:Program FilesCommon FilesSymantec SharedccRegVfy.exe"
O4 – HKLM..Run: [Resume copy] copyfstq.exe /startup
O4 – HKLM..Run: [NvCplDaemon] RUNDLL32.EXE D:WINDOWSSystem32NvCpl.dll,NvStartup
O4 – HKLM..Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 – HKLM..Run: [PDF Converter Registry Controller] "E:ProgramyacrobatpdfconvertRegistryController.exe"
O4 – HKLM..Run: [NeroFilterCheck] D:WINDOWSsystem32NeroCheck.exe
O4 – HKLM..Run: [MSConfig] D:WINDOWSPCHealthHelpCtrBinariesMSConfig.exe /auto
O4 – HKCU..Run: [EdHTML] E:Programyedhatml_5.0EdHTML.exe /none
O4 – Global Startup: Microsoft Office.lnk = E:ProgramyMicrosoft OfficeOfficeOSA9.EXE
O8 – Extra context menu item: Open PDF in Word – res://E:ProgramyacrobatpdfconvertIEShellExt.dll /100
O9 – Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 – Extra button: Messenger (HKLM)
O9 – Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O9 – Extra button: Related (HKLM)
O9 – Extra 'Tools' menuitem: Show &Related Links (HKLM)
O12 – Plugin for .spop: D:Program FilesInternet ExplorerPluginsNPDocBox.dll
O16 – DPF: {11111111–1111–1111–1111–111111111123} – file://c:Recycled1.exe
O16 – DPF: {1EB17D1C–141D–4D9D–91CB–24D99215851D} – http://akamai.downloadv3.com/binaries/IA/netia32_EN_XP.cab
O16 – DPF: {30528230–99F7–4BB4–88D8–FA1D4F56A2AB} (YInstStarter Class) – http://download.yahoo.com/dl/installs/yinst0401.cab
O16 – DPF: {75D1F3B2–2A21–11D7–97B9–0010DC2A6243} (SecureLogin.SecureControl) – http://secure2.comned.com/signuptemplates/ActiveSecurity.cab
O16 – DPF: {99802379–7362–40E2–9D28–8A3B9AF880B7} (iiittt Class) –
O16 – DPF: {9F1C11AA–197B–4942–BA54–47A8489BB47F} (Update Class) – http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38067.540787037
O16 – DPF: {AD7FAFB0–16D6–40C3–AF27–585D6E6453FD} – http://dload.ipbill.com/del/loader.cab
O16 – DPF: {B3A5878E–5B4C–4D12–9156–4D7FD8D0AF6C} (Cltbuilder Class) – http://akamai.downloadv3.com/binaries/one2one/one2oneSvcEN.cab
O16 – DPF: {CEFB7B49–9652–464F–8AFD–A577C0500F39} (EGP2ECOM Class) – http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1009_1035_pack_XP.cab
O16 – DPF: {D27CDB6E–AE6D–11CF–96B8–444553540000} (Shockwave Flash Object) – http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 – HKLMSystemCCSServicesTcpip..{B35C7857–4A4B–456C–B6AD–B72463EFFA84}: NameServer = 194.204.152.34 217.98.63.164

a co wyswietla Hijack This, masz sceena..

Szkoda ze nie przeskanowales HiJack Thisem, jak Ci pisalem i nie wrzuciles tutaj loga.
Tak w ciemno:
C:WINDOWSSystem32meb.dll – jezeli masz ta biblioteke, to usun. Poza tym wszystkie wpisy w rejestrze z nia zwiazane, szczegolnie w czesci HK_Classes_Root – CLSIDy, oraz wpisy ktore podales wyzej.
Mozesz takze sprobowac http://www3.enigmasoftwaregroup.com/download/spyhunterS.exe ktory rowniez w zamysle ma usuwac tego typu scierwo.

w msconfig w uruchamianie nie widze nic czego bym nieznal oprocz 2 wpisow:
NvCplDaemon; RUNDLL32.EXE D:WINDOWSSystem32NvCpl.dll,NvStartup; HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
i
RunDll32 cmicnfg.cpl,CMICtrlWnd; Cmaudio; HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
chyba cos z grafika i dzwiekiem ale niewiem nieznam sie

moze jeszcze jakies instrukcje ktore by mi pomogly?? :(

ten programik nie pomogl ale napewno cos ma z tym wspolnego bo mialem wpisy zwiazane z traffichog .... jeszcze poabawie sie tymi programami i msconfig i zobacze czy cos pomoze

Po usunieciu tej biblioteki probowales przeskanowac system Ad–aware lub Spy Botem ? Jeszcze raz HijackThis ? Patrzyles jakie procesy masz uruchomione ? Msconfig ?
To jest podobno narzedzie do usuwania – http://www.traffichog.com/toolbar/uninstall.exe

udalo mi sie usunac plik zlrsgbc i wpisy z nim zwiazane w rejestrze
ale zostaly wpisy ktore sie odnawiaja po kazdym uruchomieniu IE
te wpisy to :
HKEY_CURRENT_USERSoftwareMicrosoftInternet Explorer; SearchURL; http://www.spidersearch.com/frame_results.php

HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain; Search Bar; http://www.spidersearch.com/frame_results.php

HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain; Search Page; http://www.spidersearch.com/frame_results.php

HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerSearch; SearchAssistant; http://www.spidersearch.com/frame_results.php

HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerSearch; SearchAssistant; http://www.spidersearch.com/frame_results.php

po mimo usunieciu ich wszystkich nadal sie donawiaja–po ponowna uruchomieniu IE
juz nieiwem czego dalej szukac i co ejszce moge zrobic :(

Zobacz czy w trybie awaryjnym pusci Cie do kasowania tego pliku – zlrsgbc.dll. Natomiast jesli nie, to odpal komputer z plyty, wejdz do konsoli odzyskiwania i skasuj go recznie przez "del D:Documents and Settings icoxUstawienia lokalneTempzlrsgbc.dll a pozniej zrob porzadek w rejestrze

na partycji(D) z systemem XP to ntfs a na pozostalych fat32

System masz na FAT32 czy na NTFS ?

nikt mi nie jest w stanie pomoc??? :( denerwuje mnie ten gowniany pasek i ze mam jakies gowno w rejestrze yhh :x

mam XP a w rejestrze tam gdzie podales mam odbccp32.cpl i ncpa.cpl oba ustawione w wartosci na 'no'
ncpa.cpl – Network and connectivity Applet
odbccp32.cpl – ODBC Applet

Potrzebujesz przywrócić ustawienia panelu sterowania IE.
1)(Nie dotyczy win 2000 i xp).
Znajdz plik o nazwie "control.ini" . Otwórz go w Notepad (jeden z najlepszych edytorów html) http://www.notepad.org/
Moźesz znaleźć coś takiego jak :
[don't load]
inetcpl.cpl=yes
Skasuj "inetcpl.cpl=yes" ustawienie pod "[don't load]".
Zachowaj i zamknij po czym spróbuj panel kontrolny ponowie. Jesli nie zostaly zachowane zmiany zrestartul komputer , powinno zadziałać.
2)W windows 2000–Xp Start >> edycja rejestru Regedit >> znajdź klucz :HKEY_CURRENT_USERControl Paneldon't load.
Znajdź czy inetcpl.cpl jest wymieniony .
Jesli jest, to skasuj ten wpis .
Zobacz liste nazw plikow w panelu kontrolnym : http://www.spywareinfo.com/articles/hijacked/#applets .