EL NINO:

W takim razie uruchom kompa z plyty, wejdz do konsoli odzyskiwania i usun po kolei recznie:
del C:WINDOWSSystem32TGBRFV_.exe
del C:WINDOWSSystem32TGBRFV_5.dll
del C:WINDOWSSystem32TGBRFV_.dll
del C:WINDOWSSystem32TGBRFV_5.exe

Pomoglo, serdecznie dzieki EL NINO, jak rowniez reszcie ktorzy mi pomagali – wins i Bobi_robert.
Dzieki

Plyta instalacyjna z xp

no wlasnie jaka plyta to mam zrobic?
rozumiem ze chodzi o zabootowanie, ale skad wziasc taka plyte oraz jak sie wchodzi do konsoli odzyskiwania?

1jedrzej1:

W zwyklym szukaczu wina tez nie widzi
Oczywiscie opcje ukrytych i systemowych zaznaczone na pokazywanie

W takim razie uruchom kompa z plyty, wejdz do konsoli odzyskiwania i usun po kolei recznie:
del C:WINDOWSSystem32TGBRFV_.exe
del C:WINDOWSSystem32TGBRFV_5.dll
del C:WINDOWSSystem32TGBRFV_.dll
del C:WINDOWSSystem32TGBRFV_5.exe

EL NINO:

Czytasz dokladnie komunikaty ? Czy czasem program nie zamierza usunac jakiegos aktualnie uzywanego pliku i dlatego potrzebuje restartu ?

Hm, mozliwe ze chce go usunac, poniewaz moze sie w nim znajdowac ten trojan co mnie przesladuje. Jest taka opcja? Bo tak na chlopski rozum wyglada

Dokladnie czytam, pniewaz nie moge zwyklym print screenem zrobic zrzutu to nie zamieszcilem go, dziwne, bo zawsze w windowsie zrzut pscre dzialal, ale pozwolilem sobie dokladnie spisac co tam jest napisane i przedstawilem to w poscie wyrzej

Dziwna sprawa, jak wyszukuje Total Commanderem to te pliki widzi, natomiast jak ma mnie do nich doprowadzic, abym mogl jest skasowac to juz ich nie widze w folderze w TC. Co jest grane?
W zwyklym szukaczu wina tez nie widzi
Oczywiscie opcje ukrytych i systemowych zaznaczone na pokazywanie

1jedrzej1:

... pojawia sie okienko z tym co pisalem wczesniej i uruchamia ponowie kompa po minucie

Czytasz dokladnie komunikaty ? Czy czasem program nie zamierza usunac jakiegos aktualnie uzywanego pliku i dlatego potrzebuje restartu ?

"Powiedz" systemowi aby pokazal Ci pliki ukryte oraz systemowe a pozniej wyszukaj i usun:
C:WINDOWSSystem32TGBRFV_.exe
C:WINDOWSSystem32TGBRFV_5.dll
C:WINDOWSSystem32TGBRFV_.dll
C:WINDOWSSystem32TGBRFV_5.exe

Napewno ten

1jedrzej1:

mam teraz wersje 1,05 z najnowszymi updatami i nadal jest ten sam problem, zaczynam skanowac, pokazuje ze cos znalazlo, i pojawia sie okienko z tym co pisalem wczesniej i uruchamia ponowie kompa po minucie

Załacz zapore
Czy oby napewno ten plik to "services.exe"

mam teraz wersje 1,05 z najnowszymi updatami i nadal jest ten sam problem, zaczynam skanowac, pokazuje ze cos znalazlo, i pojawia sie okienko z tym co pisalem wczesniej i uruchamia ponowie kompa po minucie

A CWSa mam 2,11, sprawdzilem, i cos widzialo, ale nie pomoglo.

Zrobilem fixa tej linijki co pisales i nic.

1jedrzej1:

AdA SE Personal build 1.04 z najnowszą bazą.

Naprawic czyli usunac ?
Jak nie to jak naprawic?

Naprawic czyli FIX
Ad–awere >> stary, sciagnij nowszy build i sprobuj
Bzyknij jeszcze CWShredderem

AdA SE Personal build 1.04 z najnowszą bazą.

Naprawic czyli usunac ?
Jak nie to jak naprawic?

Napraw:

F2 – REG:system.ini: UserInit=Userinit.exe,

Co to za wersja Ad–awere ??

Przegladam poprzyklejane posty w Bezpieczenstwo i chcialem zastosowac sie do posta:
http://www.centrumxp.pl/forum/viewtopic.php?t=14198
Podczas proby sprawdzeniem programem ad aware po aktualizacji (sbs&d juz sprawdzilem, nic nie ma) wyskakuje mi okienka ze koputer zostanie ponownie uruchomiany za minute i taki teks:
"Proces systemowy services.exe zostal nieoczekiwanie zakonczony z kodem stanu 0"
O co chodzi? Na forum nie znalazlem nic o kodzie zero

To ja sie podepne

Moj log:

Logfile of HijackThis v1.97.7
Scan saved at 14:30:45, on 2004–12–11
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32csrss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesTGTSoftStyleXPStyleXPService.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:Program FilesAlwil SoftwareAvast4aswUpdSv.exe
C:Program FilesAlwil SoftwareAvast4ashServ.exe
C:Program FilesCommon FilesMicrosoft SharedVS7DEBUGMDM.EXE
C:WINDOWSSystem32 vsvc32.exe
C:Program FilesAlwil SoftwareAvast4ashMaiSv.exe
C:WINDOWSSystem32alg.exe
C:WINDOWSExplorer.EXE
C:PROGRA~1ALWILS~1Avast4ashDisp.exe
C:Program FilesGameDeviceDriverRFPIcon.exe
C:WINDOWSsystem32ctfmon.exe
C:Program FilesSpybot – Search & DestroyTeaTimer.exe
C:Program FilesD–Link AirPlusAirPlus.exe
C:Program FilesGadu–Gadugg.exe
C:Program FilesInternet Exploreriexplore.exe
C:Program FilesInternet Exploreriexplore.exe
C:Program Files otalcmdTOTALCMD.EXE
C:––=Download=––HijackThis.exe

R0 – HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Łącza
F2 – REG:system.ini: UserInit=Userinit.exe,
O2 – BHO: (no name) – {06849E9F–C8D7–4D59–B87D–784B7D6BE0B3} – C:Program FilesAdobeAcrobat 7.0ActiveXAcroIEHelper.dll
O2 – BHO: (no name) – {53707962–6F74–2D53–2644–206D7942484F} – C:Program FilesSpybot – Search & DestroySDHelper.dll
O2 – BHO: (no name) – {A5366673–E8CA–11D3–9CD9–0090271D075B} – C:PROGRA~1FlashGetjccatch.dll
O3 – Toolbar: FlashGet Bar – {E0E899AB–F487–11D5–8D29–0050BA6940E3} – C:PROGRA~1FlashGetfgiebar.dll
O4 – HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSSystem32NvCpl.dll,NvStartup
O4 – HKLM..Run: [NvMediaCenter] RUNDLL32.EXE C:WINDOWSSystem32NvMcTray.dll,NvTaskbarInit
O4 – HKLM..Run: [avast!] C:PROGRA~1ALWILS~1Avast4ashDisp.exe
O4 – HKLM..Run: [RTBatteryMeter] C:Program FilesGameDeviceDriverRFPIcon.exe
O4 – HKCU..Run: [CTFMON.EXE] C:WINDOWSsystem32ctfmon.exe
O4 – HKCU..Run: [Gadu–Gadu] "C:Program FilesGadu–GaduPowergg.exe" /tray
O4 – HKCU..Run: [SpybotSD TeaTimer] C:Program FilesSpybot – Search & DestroyTeaTimer.exe
O4 – Global Startup: D–Link AirPlus.lnk = ?
O8 – Extra context menu item: E&ksport do programu Microsoft Excel – res://C:PROGRA~1MICROS~2OFFICE11EXCEL.EXE/3000
O8 – Extra context menu item: Ściągnij przy pomocy FlashGet'a – C:Program FilesFlashGetjc_link.htm
O8 – Extra context menu item: Ściągnij wszystko przy pomocy FlashGet'a – C:Program FilesFlashGetjc_all.htm
O9 – Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 – Extra button: Badanie (HKLM)
O9 – Extra button: FlashGet (HKLM)
O9 – Extra 'Tools' menuitem: &FlashGet (HKLM)
O16 – DPF: {166B1BCA–3F9C–11CF–8075–444553540000} (Shockwave ActiveX Control) – http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 – DPF: {D27CDB6E–AE6D–11CF–96B8–444553540000} (Shockwave Flash Object) – http://fpdownload.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 – HKLMSystemCCSServicesTcpip..{A85B054C–C3F4–4898–8744–4937E8AF25EF}: NameServer = 194.204.159.1,194.204.152.34

Mam jakiegos wirka, czy trojana co do startowej dodaje mi non stop (nawet po zmianie) na strone http://xysearch.biz/?wmid=3305

Dzięki Ci Robi_robert za pomoc.
Wszystko jest juź OK.
Jedna tylko sprawa, nie mogłem usunąć folderu inet10055 kiedy system działał w normalnym trybie, więc wszedłem do trybu awaryjnego i tam go usunąłem. Po uruchomieniu windowsa w normalnym trybie juź nie musiałem zakańczać procesu services.exe bo po prostu go nie było (nie włączył się). Resztę zrobiłem tak jak mi radziłeś.
Jeszcze raz dzięki.
Pozdrawiam :D

Wylacz przywracanie
Zakoncz proces:
services.exe (nie systemowy)

Usun:
C:WINDOWSinet10055

Fix:

R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = http://szukaj.wp.pl
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = http://www.neostrada.pl
R0 – HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.searchportal.info/10055/
F3 – REG:win.ini: run=C:WINDOWSinet10055services.exe
O2 – BHO: (no name) – {5321E378–FFAD–4999–8C62–03CA8155F0B3} – (no file)
O4 – HKLM..Run: [xp_system] C:WINDOWSinet10055services.exe
O4 – HKCU..Run: [xp_system] C:WINDOWSinet10055services.exe