Nie ma wyjscia
Uruchamiasz w awaryjnym i usuwasz wszystkie te pliki jak leci

wynki ze skanowania Nortonem...:

14yf08fq.exe Adware.FavoriteMan
14yf08fq.exe
addictivetech_NEW.exe Adware WebRebates
aphex.exe Adware GameSpyarcade
ATPartners.dll Adware FavoriteMan
cdt_bbi8016.exe Adware BargainBuddy
cdt_bbi8016[1].exe
eZinstall[1].exe Adware.Ezula
Hbinst.exe Adware Hotbar
Hbinst.exe
mattie54.exe Adware WinFavorites
mattie54[1].exe
overpro.exe Adware StatBlaster
RemF0.exe Adware.Lop
searchbarcash.exe Adware Searchbarcash
WebRebates_Broadspring1_InstallAS.exe Adware WebRebates
WinWildApp.exe Adware OverPro
AcsProxy.dll Trojan Horse
przy okazji usunęło jakiegoś Trojana ByteVerify

nie moźna usunąć :
AcsProxy.dll
14yf08fq.exe
addictivetech_NEW.exe
cdt_bbi8016.exe
cdt_bbi8016[1].exe
eZinstall[1].exe
Hbinst.exe
Hbinst.exe
overpro.exe
RemF0.exe
WebRebates_Broadspring1_InstallAS.exe

ten klucz (czy jak tam to nazwać...) instafin.dll to rozumiem źe znaleźć w hijack this,zaznaczyć i "fix checked" :?:
a w dodaj usuń programy nie ma juź Search Bar'a ,chociaź wtedy dałam na "no to all" :roll:


skanuje narazie Norotnem i jak dotąd wykrył 16 zagroźeń :shock:

zajaffka wylacz na troche tego Nortona

Ten plik cshtp32.ocx to skladnik ISTbar'a wiec :arrow: Yes albo :arrow: Yes to all od razu

Jeszcze to: O2 – BHO: (no name) – {4E7BD74F–2B8D–469E–DCF7–F96DA086B434} – C:WINDOWSDOWNLO~1instafin.dll

nie no znowu sie pojawiło info z Nortona źe odmowa dostępu do acsproxy.dll i nie moźna naprawić :x i jak to teraz zamknąć jak mi wyskakuje co chwilke :?

ok,spróbuje ,ale zauwaźyłam źe przy uruchamianiu kompa włączył sie jakiś proces na chwile,który nazywał sie wmiprvse.exe (lub wpmiprvse.exe,nie pamietam dokładnie,ale raczej to pierwsze) jako USŁUGA SIECIOWA ,po paru sekundach
proces znikł,czy to moźe być coś podejrzenego???


p.s WebRebates i Tv Media usunięte :)

update: przy próbie usunięcia Search Bar wyskakuje takie coś jak niźej w załączniku,dałam na "no to all" nie ryzykując :roll:

teraz to wygląda tak:

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesCommon FilesSymantec SharedccSetMgr.exe
C:Program FilesCommon FilesSymantec SharedccEvtMgr.exe
C:WINDOWSsystem32LEXBCES.EXE
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSsystem32LEXPPS.EXE
C:WINDOWSExplorer.EXE
C:WINDOWSSOUNDMAN.EXE
C:Program FilesJavaj2re1.4.2_03injusched.exe
C:Program FilesQuickTimeqttask.exe
C:Program FilesCommon FilesSymantec SharedccApp.exe
C:Program FilesMessengermsmsgs.exe
C:Program FilesCommon FilesMicrosoft SharedVS7Debugmdm.exe
C:Program FilesNorton AntiVirus avapsvc.exe
C:WINDOWSSystem32 vsvc32.exe
C:Program FilesNorton AntiVirusSAVScan.exe
C:WINDOWSSystem32wuauclt.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesMozilla Firefoxfirefox.exe
E:PROGRAMYHijackThis.exe

R0 – HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://wp.pl/
R0 – HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = http://wp.pl
R0 – HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant =
R0 – HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Łącza
R3 – Default URLSearchHook is missing
O2 – BHO: (no name) – {06849E9F–C8D7–4D59–B87D–784B7D6BE0B3} – C:Program FilesAdobeAcrobat 5.0ReaderActiveXAcroIEHelper.ocx
O2 – BHO: Idea2 SidebarBrowserMonitor Class – {45AD732C–2CE2–4666–B366–B2214AD57A49} – E:Wygląd XPSideBarsbhelp.dll
O2 – BHO: (no name) – {4E7BD74F–2B8D–469E–DCF7–F96DA086B434} – C:WINDOWSDOWNLO~1instafin.dll
O2 – BHO: (no name) – {A5366673–E8CA–11D3–9CD9–0090271D075B} – E:FLASHG~1.60AFLASHGETjccatch.dll
O2 – BHO: NAV Helper – {BDF3E430–B101–42AD–A544–FADC6B084872} – C:Program FilesNorton AntiVirusNavShExt.dll
O3 – Toolbar: FlashGet Bar – {E0E899AB–F487–11D5–8D29–0050BA6940E3} – E:FLASHG~1.60AFLASHGETfgiebar.dll
O3 – Toolbar: &Google – {2318C2B1–4965–11d4–9B18–009027A5CD4F} – C:WINDOWSDownloaded Program Filesgooglenav.dll
O3 – Toolbar: Norton AntiVirus – {42CDD1BF–3FFB–4238–8AD1–7859DF00B1D6} – C:Program FilesNorton AntiVirusNavShExt.dll
O3 – Toolbar: &Radio – {8E718888–423F–11D2–876E–00A0C9082467} – C:WINDOWSSystem32msdxm.ocx
O4 – HKLM..Run: [SoundMan] SOUNDMAN.EXE
O4 – HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSSystem32NvCpl.dll,NvStartup
O4 – HKLM..Run: [nwiz] nwiz.exe /install
O4 – HKLM..Run: [SunJavaUpdateSched] C:Program FilesJavaj2re1.4.2_03injusched.exe
O4 – HKLM..Run: [Resume copy] copyfstq.exe /startup
O4 – HKLM..Run: [QuickTime Task] "C:Program FilesQuickTimeqttask.exe" –atboottime
O4 – HKLM..Run: [ccApp] "C:Program FilesCommon FilesSymantec SharedccApp.exe"
O4 – HKLM..Run: [NAV CfgWiz] C:Program FilesCommon FilesSymantec SharedCfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 – HKCU..Run: [MSMSGS] "C:Program FilesMessengermsmsgs.exe" /background
O4 – HKCU..Run: [STYLEXP] C:Program FilesTGTSoftStyleXPStyleXP.exe –Hide
O4 – HKCU..Run: [WITaj!] rem –– Anulowane uruchamianie programu WITaj! 2000
O4 – Startup: Power Project.lnk = E:GADU GADU 2Gadu–GaduPowerGG.exe
O4 – Global Startup: Adobe Gamma Loader.lnk = C:Program FilesCommon FilesAdobeCalibrationAdobe Gamma Loader.exe
O8 – Extra context menu item: &Google Search – res://C:WINDOWSDownloaded Program Filesgooglenav.dll/cmsearch.html
O8 – Extra context menu item: Backward &Links – res://C:WINDOWSDownloaded Program Filesgooglenav.dll/cmbacklinks.html
O8 – Extra context menu item: Cac&hed Snapshot of Page – res://C:WINDOWSDownloaded Program Filesgooglenav.dll/cmcache.html
O8 – Extra context menu item: E&ksport do programu Microsoft Excel – res://C:PROGRA~1MICROS~2Office10EXCEL.EXE/3000
O8 – Extra context menu item: Si&milar Pages – res://C:WINDOWSDownloaded Program Filesgooglenav.dll/cmsimilar.html
O8 – Extra context menu item: Subscribe in Desktop Sidebar – res://E:Wygląd XPSideBarsbhelp.dll/menuhandler.html
O8 – Extra context menu item: Ściągnij przy pomocy FlashGet'a – E:FlashGet 1.60 aFlashGetjc_link.htm
O8 – Extra context menu item: Ściągnij wszystko przy pomocy FlashGet'a – E:FlashGet 1.60 aFlashGetjc_all.htm
O9 – Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 – Extra button: Subscribe in Desktop Sidebar (HKLM)
O9 – Extra 'Tools' menuitem: Subscribe in Desktop Sidebar (HKLM)
O9 – Extra button: FlashGet (HKLM)
O9 – Extra 'Tools' menuitem: &FlashGet (HKLM)
O9 – Extra button: Messenger (HKLM)
O9 – Extra 'Tools' menuitem: Messenger (HKLM)
O12 – Plugin for .spop: C:Program FilesInternet ExplorerPluginsNPDocBox.dll
O16 – DPF: {0000000A–0000–0010–8000–00AA00389B71} – http://download.microsoft.com/download/d/4/4/d446e8a9–3a86–4b59–bb19–f5bd11b40367/wmavax.CAB
O16 – DPF: {02BF25D5–8C17–4B23–BC80–D3488ABDDC6B} (QuickTime Object) – http://www.apple.com/qtactivex/qtplugin.cab
O16 – DPF: {166B1BCA–3F9C–11CF–8075–444553540000} (Shockwave ActiveX Control) – http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 – DPF: {33564D57–0000–0010–8000–00AA00389B71} – http://download.microsoft.com/download/F/6/E/F6E491A6–77E1–4E20–9F5F–94901338C922/wmv9VCM.CAB
O16 – DPF: {6CB5E471–C305–11D3–99A8–000086395495} (Google Activate) – http://toolbar.google.com/data/pl/big/1.1.62–big/GoogleNav.cab
O16 – DPF: {BFA1F11D–3121–AFE1–4112–894323212DAC} (GINWORDS Class) – http://gryonline.wp.pl/files/words_2_0_0_11.cab
O16 – DPF: {D27CDB6E–AE6D–11CF–96B8–444553540000} (Shockwave Flash Object) – http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

zajaffka nie boj sie i odpal awaryjny bo jak widzisz w normalnym sie znow uruchamia

Wchodzisz w awaryjny a po nastepnym restarcie wybierasz >> uruchom system Windows normalnie i tyle

Ten trojan horse jak widzisz nie jest nazwany "po imieniu" a jedynie zidentyfikowal go jako konia trojanskiego

Według nich musisz:
1.zamknąć przeglądarkę;
2.Dodaj/Usuń Programy w panelu sterowania masz usunąć TopRebates module;
3.skasuj folder "C:/programs files/TopRebates;
4.opróźnij Kosz.
Dodam od siebie, źe na czas wywalania tego świństwa rozłącz się z siecią (zamknij połączenie sieciowe) – to teź moźe stanowić Twój problem z tym, źe nie masz dostępu do tego pliku.

Co do trybu awaryjnego, to raczej przyzwyczaj się do myśli, źe od czasu do czasu będziesz musiała z niego korzystać. A jak? To proste!
Włączasz lub częściej restartujesz komputer.
Jak tylko pojawi się plansza producenta Twojej MOBO naciskasz parę razy F8. Jeźeli się nie pojawia to naciskasz F8 wtedy gdy testuje pamięć i włącza poszczególne systemy i dysk twardy. Pojawia się na chwilkę czarny ekran, by później pojawił się napisy z trybami wyboru uruchomienia.
Masz tam do wyboru m.in.: Tryb awaryjny z uruchmieniem CD, Tryb awaryjny z uruchomieniem sieci itd.
Wybierasz Tryb awaryjny z uruchomieniem CD i czekasz az system uruchomi się trybie awaryjnym.
Powinien pojawić się czarny ekran, na którym w kaźdym rogu pisze "Tryb awaryjny" i okienko informacyjne, w którym wybierasz potwierdzasz info.
Robisz co trzeba i wychodzisz przez Zamknij :arrow: Uruchom ponownie i wsio – czekasz aź komp uruchomi się w trybie normalnym.
To tyle jeźeli chodzi o tryb awaryjny.

PS: Dawno juź nie zaglądałem do trybu awaryjnego to dokładnie nie pamiętam jak one brzmią, ale tak czy siak pisze tryb awaryjny i wybierasz ten ze CD.

PS2: Zobacz teź pomoc systemu Windows.

Mam nadzieję, źe pomogłem.

wyłączyłam aoic.exe i mmod.exe, i nie powróciły,usunełam katalog z mmod.exe i jakiś jeszcze bullseye network
ale chciałam wyłączyć WebRebates0 i WebRebates1 i po chwili znowu sie włączają te dwa i tak w kółko :shock: takźe katalogu z tym czymś nie da sie usunąć...Jest tam napisane jak odinstalować to coś,ale nie bardzo rozumiem tego najniźej

========================================================
Uninstall instructions
========================================================

You can uninstall TopRebates AutoTrack by following these instructions:

(1) Close all your browsers

(2) Add/Remove Programs in the Control Panel and remove the TopRebates
module.

(3) Delete the file folder c:/program files/TopRebates.

(4) Empty your recycle bin.

Like most software programs, TopRebates AutoTrack does add some entries
to your registry but they do not change the behavior of your PC once the
application has been uninstalled. These entries should not be removed
unless done by an experienced computer user.

najbardziej sie jednak obawiam tego Trojana Horse...jakie są skutki pobytu teg czegoś na dysku...bo te webrebates to jeszcze pół biedy bo i tak nie uźywam IE...chociaź usunąć teź by sie przydało

Tak wylacz te procesy normalnie bo widze ze bardzo boisz sie tego awaryjnego :P
Pozbadz sie plikow i katalogow ktore polecilem + usun jeszcze aoic.exe bo o nim nie napisalem
Jesli jest Ci znany to zostaw

a nie moge tych procesow wyłączyć normalnie a nie w awaryjnym? :D (sorry za lamerskie pytania :P )

Widocznie nie jest to wariant ISTbar, który podają niektóre serwisy antyspyware.
Proces moźe uźywać tej biblioteki.
Zastosuj się najpierw do tego co Bobi_robert napisał w sprawie wyłaczenia procesów i ich usunięcia a dopiero potem w awaryjnym usuwaj .dll .

McScr@by:

Spróbuj uźyć Remover`a z linka.

:arrow: http://www.wilderssecurity.net/downloads/rbkiller.exe

"no RapidBlaster processes detected"

Spróbuj uźyć Remover`a z linka.

:arrow: http://www.wilderssecurity.net/downloads/rbkiller.exe

zajaffka:

...a w trybie awaryjnym nigdy nie próbowałam nic robić :shock: Mam takie dręczące mnie pytanie: jak wygląda ten tryb awaryjny i jak powrócić z trybu awaryjnego do normalnego?

Muslalem ze na tak oczywisty temat nie bede sie musial rozpisywac
Istata trybu awaryjnego jest to ze wtedy system laduje tylko podstawowe sterowniki i usługi
Tak wiec nie bedzie ani Nortona ani nic z tych rzeczy

Tryb awaryjny wyglada podobnie jak zwykly
Po zwyklym ponownym uruchomieniu tryb normalny automatycznie sie włacza

no ale rozumiesz okno NAV jest cały czas właczone ,klikam na ok non stop i w kółko pokazuje sie to samo :? (czyli "odmowa dostępu do pliku","nie moźna naprawić tego pliku")
a w trybie awaryjnym nigdy nie próbowałam nic robić :shock: Mam takie dręczące mnie pytanie: jak wygląda ten tryb awaryjny i jak powrócić z trybu awaryjnego do normalnego?

A wylaczone chociaz to okno od NAVa ??
Nie kombinuj juz wyrejestrowywaniem bo widze ze nie przejdzie na razie
Moze sie w ogole nie zarejestrowal bo Norton go szczaił

Wejdz do awaryjnego i tam powinien sie bez problemu usunac jesli w ogole tam bedzie

wkleiłam ten text do uruchom i znowu "funkcja Load Library (C:Windows/system32acsproxy.dll") nie powiodła się–Odmowa dostępu"

Wiec po kolei albo od konca
task – menadzer zadan – ALT + CTRL + DEL

reboot – restart – uruchom ponownie

tryb awaryjny – podczas startu komputera wciskaj F8 i wybierz tryb awaryjny

Wyrejestruj >> wpisz w uruchom zeby bylo łatwiej >> regsvr32 /u acsproxy.dll (skopiuj ten text, wklej do okna uruchom)
Teraz uruchom ponownie

Bobi_robert:

Wylacz przywracanie systemu (jak to zrobic masz w wielu postach)

Ponizsze czynnosci najlepiej wykonaj w trybie awaryjnym

Teraz wylacz w tasku procesy:
aoic.exe
mmod.exe
WebRebates0.exe
WebRebates1.exe

Szukasz i usuwasz:
instafin.dll
C:Program FilesWeb_Rebates
C:PROGRA~1EZULA

FIX:

O2 – BHO: (no name) – {4E7BD74F–2B8D–469E–DCF7–F96DA086B434} – C:WINDOWSDOWNLO~1instafin.dll
O4 – HKLM..Run: [WebRebates0] "C:Program FilesWeb_RebatesWebRebates0.exe"
O8 – Extra context menu item: Web Rebates – file://C:Program FilesWeb_RebatesSy1150Tp1150scri1150a.htm

Ta biblioteke ktora wykryl Norton wyrejestruj i sprobuj usunac
Jesli nie da rady to po reboot'ie

mógłbyś dwie ostatnie linijki przetłumaczyć bardziej jasno...nie znam sie co to jest reboot...nie wiem jak wyrejestrować :( i nie wiem jak włączyć tryb awaryjny...nie wiem teź co to jest task....bez kitu :(