Bobi zrobił mały błąd. Znaczniki quote wstawił za daleko. Prawidłowy plik wygląda w ten sposób:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe"
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

"dodaj do rejestru:
Windows Registry Editor Version 5.00"

Nie mam pojecia jak sie cos dodaje do rejestru ;/ zapisalam ten ".reg" ale nie wiem co dalej z nim zrobic:P moze jestem jakas glupia ale prosze mnie uświadomic, bo po kliknieciu 2 razy myszką pokazuje mi źe określony plik nie jest skryptem rejestru.

F2 – REG:system.ini: Shell=explorer.exe "C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe" C:\WINDOWS\SERVICES.EXE
F2 – REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\WINDOWS\SERVICES.EXE

Z dysku usuń:
C:\WINDOWS\SERVICES.EXE
C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe

Wklej taki tekst do notatnika i zapisz go z rozszerzeniem reg, potem dodaj do rejestru:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe"
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

mój log :

Logfile of HijackThis v1.99.1
Scan saved at 09:18:54, on 2006–02–10
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Gadu–Gadu\gg.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Downloads\HijackThis.exe

R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/
F2 – REG:system.ini: Shell=explorer.exe "C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe" C:\WINDOWS\SERVICES.EXE
F2 – REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\WINDOWS\SERVICES.EXE
O2 – BHO: (no name) – {A5366673–E8CA–11D3–9CD9–0090271D075B} – (no file)
O3 – Toolbar: &Radio – {8E718888–423F–11D2–876E–00A0C9082467} – C:\WINDOWS\System32\msdxm.ocx
O3 – Toolbar: FlashGet Bar – {E0E899AB–F487–11D5–8D29–0050BA6940E3} – C:\PROGRA~1\FlashGet\fgiebar.dll
O4 – HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 – HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 – HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 – HKLM\..\Run: [Overnet] C:\Program Files\Overnet\eDonkey2000.exe –t
O4 – HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 – HKCU\..\Run: [Gadu–Gadu] "C:\Program Files\Gadu–Gadu\gg.exe" /tray
O8 – Extra context menu item: Download All by FlashGet – C:\Program Files\FlashGet\jc_all.htm
O8 – Extra context menu item: Download using FlashGet – C:\Program Files\FlashGet\jc_link.htm
O8 – Extra context menu item: E&ksport do programu Microsoft Excel – res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 – Extra button: Badanie – {92780B25–18CC–41C8–B9BE–3C9C571A8263} – C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 – Extra button: Related – {c95fe080–8f5d–11d2–a20b–00aa003c157a} – C:\WINDOWS\web\related.htm
O9 – Extra 'Tools' menuitem: Show &Related Links – {c95fe080–8f5d–11d2–a20b–00aa003c157a} – C:\WINDOWS\web\related.htm
O9 – Extra button: FlashGet – {D6E814A0–E0C5–11d4–8D29–0050BA6940E3} – C:\PROGRA~1\FlashGet\flashget.exe
O9 – Extra 'Tools' menuitem: &FlashGet – {D6E814A0–E0C5–11d4–8D29–0050BA6940E3} – C:\PROGRA~1\FlashGet\flashget.exe
O16 – DPF: {FDDBE2B8–6602–4AD8–946D–94C5A32FA6C6} (GameDesire Pool 8UK) – http://67.15.101.3/g_bin/pl/billard8UK_2_0_0_24.cab
O17 – HKLM\System\CCS\Services\Tcpip\..\{8829713C–6B82–429A–8605–19AB649CEC28}: NameServer = 194.204.159.1,194.204.152.34
O17 – HKLM\System\CS1\Services\Tcpip\..\{8829713C–6B82–429A–8605–19AB649CEC28}: NameServer = 194.204.159.1,194.204.152.34
O17 – HKLM\System\CS2\Services\Tcpip\..\{8829713C–6B82–429A–8605–19AB649CEC28}: NameServer = 194.204.159.1,194.204.152.34

no dobra ja tez mam kolorowy monitor

takie samo, nie znaczy to samo. Log z HJT

no dobra ja tez mam kolorowy monitor

takie samo, nie znaczy to samo. Log z HJT

no dobra ja tez mam kolorowy monitor. jest zielony, czasem róźowy a czasem taki czarny źe zupełnie nic nie widać:] Co mam z tym zrobić jasno i wyraźnie bo tu juz namieszane chyba zostało troche w tym temacie.

w84u:

nie dam Ci szansy napisać 13554 posta ;)

Napisze se gdzie indziej :wink: .
...ziemia lekką ? :P

El Nino, drogi przyjacielu, nie dam Ci szansy napisać 13554 posta ;) . Niech Ci będzie.

w84u:

zapisując tam potrzebne info źródła skąd mają ładować się moduły trojana.

, a nie o moźliwości załadowania z tamtąd pliku...

OK. Jesli usuniemy wirusa, jak piszesz z "... katalogi temp, cache przeglądarek, punkty przywracanie systemu, url itp.", co uruchomi taki "skrot" ?
"...trojan zmienia nazwy i lokalizację." ? W takim razie tworzony jest nowy "skrot", poniewaz stary, ze starymi wpisami, jest nieprawidlowy.
Taka zabawa z usuwaniem plikow z Prefetch jest zupelnie niepotrzebna.

Drogi El Nino, źle odczytałeś to o czym napisałem.

zapisując tam potrzebne info źródła skąd mają ładować się moduły trojana.

, a nie o moźliwości załadowania z tamtąd pliku, czyli , jak napisałeś "skróty", i dlatego te informacje naleźy usunąć, szczególnie, gdy trojan zmienia nazwy i lokalizację. Pozdrowienia ;)

w84u:

Nie wiem, czego dotyczy pytanie, czy "boot only", czy "prefetch".

Mniejsza z tym, napisales ociupine na ten temat. Z tym, ze jest to informacja bledna, nieprawdziwa. Zarowno w plikach (w \Prefetch) o nazwach identycznych z nazwami uruchamianych programow, jak i w pliku layout.ini nie ma zadnych informacji sluzacych odtworzeniu usunietego pliku. Pliki folderu Prefetch to "skróty" do uruchamianych programow, natomiast w pliku layout.ini znajduja sie jedynie informacje o tym, w jakiej "kolejnosci" z nich korzystano.

Trochę spóźniona odpowiedź, ale mam nadzieję, źe wybaczysz El Nino :) Nie wiem, czego dotyczy pytanie, czy "boot only", czy "prefetch". Spora część trojanów potrafi w Prefetch (layout.ini) zapisać potrzebne informacje do odtworzenia po "usunięciu" z dysku, zapisując tam potrzebne info źródła skąd mają ładować się moduły trojana. Mogą to być katalogi temp, cache przeglądarek, punkty przywracanie systemu, url itp. Z tego teź powodu zasugerowałem wyczyszczenie wspomianych folderów. Jako, źe niektórym uźyszkodnikom zdarza się nie wiedzieć jak, proponuję uźycie narzędzi, które to to znacznie upraszczają. Mam nadzieję, źe moja odpowiedź Cię usatysfakcjonowała. Przypadki zalecanego wyczyszczenia prefetch znajdziesz wpisując w Google np. "shell386.exe prefetch". Z powaźaniem ;)

Wyobraźnia jest waźniejsza niź wiedza

myślę (jeśli myślę), źe jedno, bez drugiego jest g.. warte. Nie ma potrzeby stopniowania ;)

w84u:

...i wyczyść prefetch oraz ustaw na "Monitor boot file launch only".

Dlaczego ? Po co ?

To jest sprawa drugorzędna, a co z pozostałymi sugestiami (@Bobi) i moimi?

Witam. Więc jest tak :
Ten program który mi napisałes A1CLEANZ jest świetny. Znalaźł mi ponad tysiac prblemów.!!

Tylko oczywiście jest to trial i usuwa niestety tylko 10 ! :( Ską moge wziąć FULL VERSJE tego programu?

Pozdrawiam

Spróbuj jeszcze tego http://noahdfear.geekstogo.com/click%20counter/click.php?id=1 , być moźe to inny wariant trojana. Wyszukaj wpisująć w systemowej szukajce shell386.exe* (z gwiazdką) i znalezione wpisy usuń .(lub lepiej uźyj http://www.commoncomputers.com/download/Windows–XP–Prefetch–Clean–And–Control.exe i wyczyść prefetch oraz ustaw na "Monitor boot file launch only". Moźesz teź uźyć dummy files, otwórz Notatnik i "zapisz jako" shell386.exe i podmień na miejsce orginalnego w system 32.
PS No i wyczyść wszystkie cache, temp itd. przy pomocy tego łatwego w obsłudze softu http://superwin.swmirror.com/a1cleanz.exe

Poszukaj i usun z dysku następujące pliki:

C:\WINDOWS\adw.htm
C:\WINDOWS\System32\intxt.exe
C:\WINDOWS\System32\shell386.exe
C:\WINDOWS\System32\mswinb32.exe
C:\WINDOWS\System32\mswinb32.dll
C:\WINDOWS\System32\mswinup32.dll
C:\WINDOWS\System32\mswinf32.dll
C:\WINDOWS\System32\mswinf32.exe
C:\WINDOWS\System32\mswinxml.dll
C:\WINDOWS\System32\winapi32.dll
C:\WINDOWS\System32\winlfl32.dll

Mogą być one ukryte, albo mieć atrybut systemowych.
W razie czego usun je w konsoli odzyskiwania. Moźesz w tym celu zrobic plik fix.bat, wsadzić do do C:\Windows i odpalic w konsoli poprzez batch fix.bat
Tekst jaki umieścisz w bacie wg schamatu.

cd C:\WINDOWS\System32
attrib –r –s –h nazwa_pliku
del nazwa_pliku

Za nazwa_pliku podstawisz wszystkie dll i exe w/w.

W rejestrze wyczyść Wallpaper w kluczu HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\General

Nic sie nie zmieniło !!

Killbox i tak nie usunął tego shella 386.exe :(:(

Pierwszy raz widze cos takiego. Sam sie pulpit zmienia !! Róźne odcienie zieleni !! Co za ciekawy wirus, robak czy co to tam jest !!

AHA i wiecie co jeszcze !! Ciągle pojawia mi sie strona http://www.adwarepunisher.com !!!
Wyskakuje co pięć minut !!!

Co dalej ?? :)

Siemka !!

Druga metoda nic nie dała !!
Teraz spróbuje tą pierwszą jeźeli uda mi sie włączyć awaryjny !! :):)

P.S
To log z SpSeHijfixa >>>>



(2–3–06 21:04:37) SPSeHjFix started v1.1.2
(2–3–06 21:04:37) OS: WinXP Dodatek Service Pack 2 (5.1.2600)
(2–3–06 21:04:37) Language: polski
(2–3–06 21:04:37) Win–Path: C:\WINDOWS
(2–3–06 21:04:37) System–Path: C:\WINDOWS\system32
(2–3–06 21:04:37) Temp–Path: C:\DOCUME~1\User\USTAWI~1\Temp\
(2–3–06 21:04:56) Disinfection started
(2–3–06 21:04:56) Bad–Dll(IEP): (not found)
(2–3–06 21:04:56) Bad–Dll(IEP) in BHO: (not found)
(2–3–06 21:04:56) UBF: 4 – UBB: 4 – UBR: 14
(2–3–06 21:04:56) UBF: 4 – UBB: 4 – UBR: 14
(2–3–06 21:04:56) Bad IE–pages: (none)
(2–3–06 21:04:56) Stealth–String not found
(2–3–06 21:04:56) Not infected–>END