Problemy z IE
Witam. Otóź od odbrych kilkunastu dni męczę się z usuwaniem mnóstwa programów typu adware i wirusów. Z tymi drugimi udało mi się jakoś uporać, było to kilka trojanów. Ostatnio jednak przezyłem prawdziwy atak dialerów na mój komputer. Niektóre z pewnością pozostają wciąź nie usunięte, poniewaź na moim komputerze mają miejsce niechciane procesy. Pisze właśnie w tej sprawie.
1. Przeglądarka Internet Explorer od kilku dni nie działa poprawnie. Wczytywanie stron internetowych kończy się na tym, źe widzę puste, białe pole na miejscu strony, lub takie coś:
Jak widać na załączonym obrazku, jest to skutek wczytywania strony centrumxp.pl w IE.
2. Drugi problem dotyczy niebywale upartych, wyskakujących pop–upów. Są to strony www1.hooowah.com, www2.hooowah.com itd. aź do www10.hooowah.com.
Niemam pojęcia jak sie tego pozbyć, gdy sprawdzałem czy w internecie jest to jaki znany spyware, okazało się źe były przypadki występowania tej niechcianej aplikacji. Jednak propozycje zaźegnania tego problemu były na moim komputerze bezuźyteczne, z racji tego źe wiersze w rejestrze, w których rzekomo instaluje się ten adware nie istnieją. Przeskanowałem komputer programem ad–aware, silent runners, CWShredder(nic nie wykrył), oraz Hijack This. Ad–aware znajduje stale jakieś dwie podejrzane aplikacje + wiersze rejestru, ale po kazdym ich usunięciu pojawiają się na nowo. Silent Runners nie wykrywa nic ciekawego. Wyniki przeszukiwania programem Hijack This przedstawiam tutaj:
Bardzo proszę o pomoc
Pozdrawiam
Nober.
1. Przeglądarka Internet Explorer od kilku dni nie działa poprawnie. Wczytywanie stron internetowych kończy się na tym, źe widzę puste, białe pole na miejscu strony, lub takie coś:
Jak widać na załączonym obrazku, jest to skutek wczytywania strony centrumxp.pl w IE.
2. Drugi problem dotyczy niebywale upartych, wyskakujących pop–upów. Są to strony www1.hooowah.com, www2.hooowah.com itd. aź do www10.hooowah.com.
Niemam pojęcia jak sie tego pozbyć, gdy sprawdzałem czy w internecie jest to jaki znany spyware, okazało się źe były przypadki występowania tej niechcianej aplikacji. Jednak propozycje zaźegnania tego problemu były na moim komputerze bezuźyteczne, z racji tego źe wiersze w rejestrze, w których rzekomo instaluje się ten adware nie istnieją. Przeskanowałem komputer programem ad–aware, silent runners, CWShredder(nic nie wykrył), oraz Hijack This. Ad–aware znajduje stale jakieś dwie podejrzane aplikacje + wiersze rejestru, ale po kazdym ich usunięciu pojawiają się na nowo. Silent Runners nie wykrywa nic ciekawego. Wyniki przeszukiwania programem Hijack This przedstawiam tutaj:
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\3Com_DMI\3CDMINIC.EXE
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe
C:\windows\system32\mdms.exe
C:\Program Files\Spybot – Search & Destroy\TeaTimer.exe
C:\Program Files\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe
C:\Program Files\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\WINDOWS\twain_32\A4S2_600\WATCH.EXE
C:\MSCAN\Msoffice\panel.exe
C:\Program Files\Winamp\Winamp.exe
C:\Program Files\Gadu–Gadu\gg.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Opera7\Opera.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Documents and Settings\Filip\Pulpit\Bajery\Bezpieczeństwo\HijackThis.exe
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.onet.pl
R1 – HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = w3cache.rozanka.wroc.pl:8080
O2 – BHO: VBRunDLL Class – {197B8CA4–E215–46DD–8F33–E0544A80E5C4} – C:\WINDOWS\System32\vbrundll.dll (file missing)
O2 – BHO: URLLink Class – {4A2AACF3–ADF6–11D5–98A9–00E018981B9E} – C:\Program Files\NewDotNet\newdotnet6_38.dll
O2 – BHO: (no name) – {53707962–6F74–2D53–2644–206D7942484F} – C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 – BHO: (no name) – {78364D99–A640–4ddf–B91A–67EFF8373045} – C:\WINDOWS\system32\appwiz.dll
O4 – HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 – HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 – HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 – HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 – HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
O4 – HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup –s
O4 – HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 – HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" –start
O4 – HKLM\..\Run: [SysMemory manager] c:\windows\system32\mdms.exe
O4 – HKLM\..\Run: [regsync] C:\WINDOWS\System32\regsync.exe
O4 – HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot – Search & Destroy\TeaTimer.exe
O4 – Startup: Watch.lnk = C:\WINDOWS\twain_32\A4S2_600\WATCH.EXE
O4 – Global Startup: Picture Package Menu.lnk = ?
O4 – Global Startup: Picture Package VCD Maker.lnk = ?
O4 – Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 – Extra context menu item: E&ksport do programu Microsoft Excel – res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 – Extra button: Badanie – {92780B25–18CC–41C8–B9BE–3C9C571A8263} – C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O10 – Hijacked Internet access by New.Net
O10 – Hijacked Internet access by New.Net
O10 – Hijacked Internet access by New.Net
O15 – Trusted Zone: *.windupdates.com (HKLM)
O16 – DPF: {37A49D66–2735–4BB9–8503–82BA5E2333D0} (MailCfg Control) – http://poczta.wp.pl/autoryzacja/mailcfg.ocx
O16 – DPF: {6414512B–B978–451D–A0D8–FCFDF33E833C} (WUWebControl Class) – http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1121753793690
O16 – DPF: {E7544C6C–CFD6–43EA–B4E9–360CEE20BDF7} (MainControl Class) – http://skaner.mks.com.pl/SkanerOnline.cab
O20 – Winlogon Notify: drct16 – C:\WINDOWS\SYSTEM32\drct16.dll
O23 – Service: 3Com DMI Agent (3ComDMIService) – 3Com Corporation – C:\WINDOWS\System32\3Com_DMI\3CDMINIC.EXE
O23 – Service: Ati HotKey Poller – Unknown owner – C:\WINDOWS\System32\Ati2evxx.exe
O23 – Service: ATI Smart – Unknown owner – C:\WINDOWS\system32\ati2sgag.exe
O23 – Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) – Analog Devices, Inc. – C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
Bardzo proszę o pomoc
Pozdrawiam
Nober.
Odpowiedzi: 20
Co nowego:
Problem z ikonami rozwiązany – wszystko gra.
– Kłopoty są jednak z wczytującymi się stronami adware.
– Kilka kluczy z rejestru powraca na swoje miejsce pomimo mojego dokładnego kasowania wszystkich wartości zgodnie z zaleceniami.
– Zainstalowałem program antywirusowy. Wykrywa jakieś ataki sieciowe typy LSASS Exploit. Prosiłbym o podanie mi jakiegoś dobrego firewalla, bo próbując uruchomić ten systemowy pokazuje mi się komunikat mówiący, źe 'ta usługa nie jest zainstalowana', kiedy ona była dostępna jakiś czas temu.
– Na koniec coś cynicznego. Moźna wiedzieć gdzie ustawia się Mozille jako domyślną przeglądarkę, i jak skasować IE, w przypadku gdy system twierdzi iź jest ona uźywana i nie mozna jej skasować?
Pozdrawiam
Nober.
Problem z ikonami rozwiązany – wszystko gra.
– Kłopoty są jednak z wczytującymi się stronami adware.
– Kilka kluczy z rejestru powraca na swoje miejsce pomimo mojego dokładnego kasowania wszystkich wartości zgodnie z zaleceniami.
– Zainstalowałem program antywirusowy. Wykrywa jakieś ataki sieciowe typy LSASS Exploit. Prosiłbym o podanie mi jakiegoś dobrego firewalla, bo próbując uruchomić ten systemowy pokazuje mi się komunikat mówiący, źe 'ta usługa nie jest zainstalowana', kiedy ona była dostępna jakiś czas temu.
– Na koniec coś cynicznego. Moźna wiedzieć gdzie ustawia się Mozille jako domyślną przeglądarkę, i jak skasować IE, w przypadku gdy system twierdzi iź jest ona uźywana i nie mozna jej skasować?
Pozdrawiam
Nober.
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Shell Extensions]
"Asynchronous"=dword:00000000
"DllName"="C:\\WINDOWS\\system32\\j6n2lg5o16.dll"
"Impersonate"=dword:00000000
"Logon"="WinLogon"
"Logoff"="WinLogoff"
"Shutdown"="WinShutdown"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{5E2121EE–0300–11D4–8D3B–444553540000}"="st"
"{F8715AC6–74A2–46B1–8877–23C73073D864}"=""
[HKEY_CLASSES_ROOT\CLSID\{F8715AC6–74A2–46B1–8877–23C73073D864}]
To st jest od Repsamo, tak samo jak winacpi. Poszukaj CLSIDa i tak samo go usuń.
Wszystkie pliki wymienione wyglądają syfiasto. Pamietaj źe usuwasz wszystkie biblioteki za jednym razem bo potrafia sie odnawiać. Moźesz sobie zrobić bata i w konsoli odzyskiwania poscić batch.
Podawałem jak to zrobic, w szukajkę "batch" zaznaczyć ten dział.
Poprawka, zrozumiałem o co chodzi :) Powinienem zaprezentowac loga z L2MFIX:
L2MFIX find log 1.04a
These are the registry keys present
**********************************************************************************
Winlogon/notify:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\
6c,00,00,00
"Logoff"="ChainWlxLogoffEvent"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Logoff"="CryptnetWlxLogoffEvent"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
"DLLName"="cscdll.dll"
"Logon"="WinlogonLogonEvent"
"Logoff"="WinlogonLogoffEvent"
"ScreenSaver"="WinlogonScreenSaverEvent"
"Startup"="WinlogonStartupEvent"
"Shutdown"="WinlogonShutdownEvent"
"StartShell"="WinlogonStartShellEvent"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]
"DLLName"="wlnotify.dll"
"Logon"="SCardStartCertProp"
"Logoff"="SCardStopCertProp"
"Lock"="SCardSuspendCertProp"
"Unlock"="SCardResumeCertProp"
"Enabled"=dword:00000001
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"StartShell"="SchedStartShell"
"Logoff"="SchedEventLogOff"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
"Logoff"="WLEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
"DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
"DLLName"="WlNotify.dll"
"Lock"="SensLockEvent"
"Logon"="SensLogonEvent"
"Logoff"="SensLogoffEvent"
"Safe"=dword:00000001
"MaxWait"=dword:00000258
"StartScreenSaver"="SensStartScreenSaverEvent"
"StopScreenSaver"="SensStopScreenSaverEvent"
"Startup"="SensStartupEvent"
"Shutdown"="SensShutdownEvent"
"StartShell"="SensStartShellEvent"
"PostShell"="SensPostShellEvent"
"Disconnect"="SensDisconnectEvent"
"Reconnect"="SensReconnectEvent"
"Unlock"="SensUnlockEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Shell Extensions]
"Asynchronous"=dword:00000000
"DllName"="C:\\WINDOWS\\system32\\j6n2lg5o16.dll"
"Impersonate"=dword:00000000
"Logon"="WinLogon"
"Logoff"="WinLogoff"
"Shutdown"="WinShutdown"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"Logoff"="TSEventLogoff"
"Logon"="TSEventLogon"
"PostShell"="TSEventPostShell"
"Shutdown"="TSEventShutdown"
"StartShell"="TSEventStartShell"
"Startup"="TSEventStartup"
"MaxWait"=dword:00000258
"Reconnect"="TSEventReconnect"
"Disconnect"="TSEventDisconnect"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]
"DLLName"="wlnotify.dll"
"Logon"="RegisterTicketExpiredNotificationEvent"
"Logoff"="UnregisterTicketExpiredNotificationEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wzcnotif]
"DLLName"="wzcdlg.dll"
"Logon"="WZCEventLogon"
"Logoff"="WZCEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000000
RegDACL 5.1 – Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999–2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!
Access Control List for Registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify:
(NI) ALLOW Full access ZARZDZANIE NT\SYSTEM
(IO) ALLOW Full access ZARZDZANIE NT\SYSTEM
(ID–CI) DENY ––C––––––– BUILTIN\Administratorzy
(ID–NI) ALLOW Read BUILTIN\Uytkownicy
(ID–IO) ALLOW Read BUILTIN\Uytkownicy
(ID–NI) ALLOW Full access BUILTIN\Administratorzy
(ID–IO) ALLOW Full access BUILTIN\Administratorzy
(ID–NI) ALLOW Full access ZARZDZANIE NT\SYSTEM
(ID–IO) ALLOW Full access ZARZDZANIE NT\SYSTEM
(ID–IO) ALLOW Full access TWRCA–WACICIEL
**********************************************************************************
useragent:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
"{1E4CF064–8A00–DE7C–3C4B–5066F8F96FEE}"=""
**********************************************************************************
Shell Extension key:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{00022613–0000–0000–C000–000000000046}"="Karta wˆa˜ciwo˜ci pliku multimedialnego"
"{176d6597–26d3–11d1–b350–080036a75b03}"="ZarzĄdzanie skanerem ICM"
"{1F2E5C40–9550–11CE–99D2–00AA006E086C}"="Strona zabezpiecze NTFS"
"{3EA48300–8CF6–101B–84FB–666CCB9BCD32}"="Strona wˆa˜ciwo˜ci OLE Docfile"
"{40dd6e20–7c17–11ce–a804–00aa003ca9f6}"="Rozszerzenia powˆoki dla udostpniania zasobw"
"{41E300E0–78B6–11ce–849B–444553540000}"="PlusPack CPL Extension"
"{42071712–76d4–11d1–8b24–00a0c9068ff3}"="Rozszerzenie CPL karty graficznej"
"{42071713–76d4–11d1–8b24–00a0c9068ff3}"="Rozszerzenie CPL monitora wy˜wietlania"
"{42071714–76d4–11d1–8b24–00a0c9068ff3}"="Rozszerzenie CPL kadrowania wy˜wietlania"
"{4E40F770–369C–11d0–8922–00A024AB2DBB}"="Strona zabezpiecze usˆugi DS"
"{513D916F–2A8E–4F51–AEAB–0CBC76FB1AF8}"="Strona zgodno˜ci"
"{56117100–C0CD–101B–81E2–00AA004AE837}"="Program obsˆugi danych wycinkowych powˆoki"
"{59099400–57FF–11CE–BD94–0020AF85B590}"="Rozszerzenie Disc Copy"
"{59be4990–f85c–11ce–aff7–00aa003ca9f6}"="Rozszerzenia powˆoki dla obiektw Microsoft Windows Network"
"{5DB2625A–54DF–11D0–B6C4–0800091AA605}"="ZarzĄdzanie monitorem ICM"
"{675F097E–4C4D–11D0–B6C1–0800091AA605}"="ZarzĄdzanie drukarkĄ ICM"
"{764BF0E1–F219–11ce–972D–00AA00A14F56}"="Rozszerzenia powˆoki dla kompresji plikw"
"{77597368–7b15–11d0–a0c2–080036af3f03}"="Rozszerzenie powˆoki drukarek sieci Web"
"{7988B573–EC89–11cf–9C00–00AA00A14F56}"="Disk Quota UI"
"{853FE2B1–B769–11d0–9C4E–00C04FB6C6FA}"="Menu kontekstowe szyfrowania"
"{85BBD920–42A0–1069–A2E4–08002B30309D}"="Aktwka"
"{88895560–9AA2–1069–930E–00AA0030EBC8}"="Rozszerzenie ikony HyperTerminalu"
"{BD84B380–8CA2–1069–AB1D–08000948F534}"="Fonts"
"{DBCE2480–C732–101B–BE72–BA78E9AD5B27}"="Profil ICC"
"{F37C5810–4D3F–11d0–B4BF–00AA00BBB723}"="Strona zabezpiecze drukarek"
"{f81e9010–6ea4–11ce–a7ff–00aa003ca9f6}"="Rozszerzenia powˆoki dla udostpniania zasobw"
"{f92e8c40–3d33–11d2–b1aa–080036a75b03}"="Display TroubleShoot CPL Extension"
"{7444C717–39BF–11D1–8CD9–00C04FC29D45}"="Rozszerzenie Crypto PKO"
"{7444C719–39BF–11D1–8CD9–00C04FC29D45}"="Rozszerzenie Crypto Sign"
"{7007ACC7–3202–11D1–AAD2–00805FC1270E}"="PoˆĄczenia sieciowe"
"{992CFFA0–F557–101A–88EC–00DD010CCC48}"="PoˆĄczenia sieciowe"
"{E211B736–43FD–11D1–9EFB–0000F8757FCD}"="&Skanery i aparaty fotograficzne"
"{FB0C9C8A–6C50–11D1–9F1D–0000F8757FCD}"="&Skanery i aparaty fotograficzne"
"{905667aa–acd6–11d2–8080–00805f6596d2}"="&Skanery i aparaty fotograficzne"
"{3F953603–1008–4f6e–A73A–04AAC7A992F1}"="&Skanery i aparaty fotograficzne"
"{83bbcbf3–b28a–4919–a5aa–73027445d672}"="&Skanery i aparaty fotograficzne"
"{F0152790–D56E–4445–850E–4F3117DB740C}"="Remote Sessions CPL Extension"
"{5F327514–6C5E–4d60–8F16–D07FA08A78ED}"="Auto Update Property Sheet Extension"
"{60254CA5–953B–11CF–8C96–00AA00B8708C}"="Rozszerzenia powˆoki dla hosta skryptw systemu Windows"
"{2206CDB2–19C1–11D1–89E0–00C04FD7A829}"="Microsoft Data Link"
"{DD2110F0–9EEF–11cf–8D8E–00AA0060F5BF}"="Tasks Folder Icon Handler"
"{797F1E90–9EDD–11cf–8D8E–00AA0060F5BF}"="Tasks Folder Shell Extension"
"{D6277990–4C6A–11CF–8D87–00AA0060F5BF}"="Zaplanowane zadania"
"{0DF44EAA–FF21–4412–828E–260A8728E7F1}"="Pasek zada i menu Start"
"{2559a1f0–21d7–11d4–bdaf–00c04f60b9f0}"="Wyszukaj"
"{2559a1f1–21d7–11d4–bdaf–00c04f60b9f0}"="Pomoc i obsˆuga techniczna"
"{2559a1f2–21d7–11d4–bdaf–00c04f60b9f0}"="Pomoc i obsˆuga techniczna"
"{2559a1f3–21d7–11d4–bdaf–00c04f60b9f0}"="Uruchom..."
"{2559a1f4–21d7–11d4–bdaf–00c04f60b9f0}"="Internet"
"{2559a1f5–21d7–11d4–bdaf–00c04f60b9f0}"="E–mail"
"{D20EA4E1–3957–11d2–A40B–0C5020524152}"="Czcionki"
"{D20EA4E1–3957–11d2–A40B–0C5020524153}"="Narzdzia administracyjne"
"{875CB1A1–0F29–45de–A1AE–CFB4950D0B78}"="Audio Media Properties Handler"
"{40C3D757–D6E4–4b49–BB41–0E5BBEA28817}"="Video Media Properties Handler"
"{E4B29F9D–D390–480b–92FD–7DDB47101D71}"="Wav Properties Handler"
"{87D62D94–71B3–4b9a–9489–5FE6850DC73E}"="Avi Properties Handler"
"{A6FD9E45–6E44–43f9–8644–08598F5A74D9}"="Midi Properties Handler"
"{c5a40261–cd64–4ccf–84cb–c394da41d590}"="Video Thumbnail Extractor"
"{5E6AB780–7743–11CF–A12B–00AA004AE837}"="Pasek narzdzi programu Microsoft Internet"
"{22BF0C20–6DA7–11D0–B373–00A0C9034938}"="Stan pobierania"
"{91EA3F8B–C99B–11d0–9815–00C04FD91972}"="Folder powˆoki zwikszonej"
"{6413BA2C–B461–11d1–A18A–080036B11A03}"="Folder powˆoki zwikszonej 2"
"{F61FFEC1–754F–11d0–80CA–00AA005B4383}"="BandProxy"
"{7BA4C742–9E81–11CF–99D3–00AA004AE837}"="Pasek przeglĄdarki Microsoft"
"{30D02401–6A81–11d0–8274–00C04FD5AE38}"="Pasek wyszukiwania"
"{32683183–48a0–441b–a342–7c2a440a9478}"="Pasek multimediw"
"{169A0691–8DF9–11d1–A1C4–00C04FD75D13}"="Wyszukiwanie w okienku"
"{07798131–AF23–11d1–9111–00A0C98BA67D}"="Wyszukiwanie w sieci Web"
"{AF4F6510–F982–11d0–8595–00AA004CD6D8}"="Narzdzie opcji drzewa rejestru"
"{01E04581–4EEE–11d0–BFE9–00AA005B4383}"="&Adres"
"{A08C11D2–A228–11d0–825B–00AA005B4383}"="Pole edycji adresu"
"{00BB2763–6A77–11D0–A535–00C04FD7D062}"="Autouzupeˆnianie Microsoft"
"{7376D660–C583–11d0–A3A5–00C04FD706EC}"="Wyodrbnianie obrazw Trident"
"{6756A641–DE71–11d0–831B–00AA005B4383}"="Lista autouzupeˆniania MRU"
"{6935DB93–21E8–4ccc–BEB9–9FE3C77A297A}"="Niestandardowa lista autouzupeˆniania MRU"
"{7e653215–fa25–46bd–a339–34a2790f3cb7}"="Dostpny"
"{acf35015–526e–4230–9596–becbe19f0ac9}"="Pasek podrczny ˜ledzenia"
"{E0E11A09–5CB8–4B6C–8332–E00720A168F2}"="Analizator paska adresu"
"{00BB2764–6A77–11D0–A535–00C04FD7D062}"="Lista autouzupeˆniania historii Microsoft"
"{03C036F1–A186–11D0–824A–00AA005B4383}"="Lista autouzupeˆniania folderu powˆoki Microsoft"
"{00BB2765–6A77–11D0–A535–00C04FD7D062}"="Kontener wielu list autouzupeˆniania Microsoft"
"{ECD4FC4E–521C–11D0–B792–00A0C90312E1}"="Menu witryny paska powˆoki"
"{3CCF8A41–5C85–11d0–9796–00AA00B90ADF}"="Shell DeskBarApp"
"{ECD4FC4C–521C–11D0–B792–00A0C90312E1}"="Pasek pulpitu powˆoki"
"{ECD4FC4D–521C–11D0–B792–00A0C90312E1}"="Shell Rebar BandSite"
"{DD313E04–FEFF–11d1–8ECD–0000F87A470C}"="Pomoc dla uytkownika"
"{EF8AD2D1–AE36–11D1–B2D2–006097DF8C11}"="Globalne ustawienia folderw"
"{EFA24E61–B078–11d0–89E4–00C04FC9E26E}"="Favorites Band"
"{0A89A860–D7B1–11CE–8350–444553540000}"="Shell Automation Inproc Service"
"{E7E4BC40–E76A–11CE–A9BB–00AA004AE837}"="Shell DocObject Viewer"
"{A5E46E3A–8849–11D1–9D8C–00C04FC99D61}"="Microsoft Browser Architecture"
"{FBF23B40–E3F0–101B–8488–00AA003E56F8}"="InternetShortcut"
"{3C374A40–BAE4–11CF–BF7D–00AA006946EE}"="Microsoft Url History Service"
"{FF393560–C2A7–11CF–BFF4–444553540000}"="Historia"
"{7BD29E00–76C1–11CF–9DD0–00A0C9034933}"="Tymczasowe pliki internetowe"
"{7BD29E01–76C1–11CF–9DD0–00A0C9034933}"="Tymczasowe pliki internetowe"
"{CFBFAE00–17A6–11D0–99CB–00C04FD64497}"="Microsoft Url Search Hook"
"{A2B0DD40–CC59–11d0–A3A5–00C04FD706EC}"="Ekran powitalny pakietu IE4"
"{67EA19A0–CCEF–11d0–8024–00C04FD75D13}"="CDF Extension Copy Hook"
"{131A6951–7F78–11D0–A979–00C04FD705A2}"="ISFBand OC"
"{9461b922–3c5a–11d2–bf8b–00c04fb93661}"="Search Assistant OC"
"{3DC7A020–0ACD–11CF–A9BB–00AA004AE837}"="Internet"
"{871C5380–42A0–1069–A2EA–08002B30309D}"="Internet Name Space"
"{EFA24E64–B078–11d0–89E4–00C04FC9E26E}"="Pasek eksploratora"
"{9E56BE60–C50F–11CF–9A2C–00A0C90A90CE}"="Sendmail service"
"{9E56BE61–C50F–11CF–9A2C–00A0C90A90CE}"="Sendmail service"
"{88C6C381–2E85–11D0–94DE–444553540000}"="Folder pamici podrcznej ActiveX"
"{E6FB5E20–DE35–11CF–9C87–00AA005127ED}"="WebCheck"
"{ABBE31D0–6DAE–11D0–BECA–00C04FD940BE}"="Subscription Mgr"
"{F5175861–2688–11d0–9C5E–00AA00A45957}"="Folder subskrypcji"
"{08165EA0–E946–11CF–9C87–00AA005127ED}"="WebCheckWebCrawler"
"{E3A8BDE6–ABCE–11d0–BC4B–00C04FD929DB}"="WebCheckChannelAgent"
"{E8BB6DC0–6B4E–11d0–92DB–00A0C90C2BD7}"="TrayAgent"
"{7D559C10–9FE9–11d0–93F7–00AA0059CE02}"="Code Download Agent"
"{E6CC6978–6B6E–11D0–BECA–00C04FD940BE}"="ConnectionAgent"
"{D8BD2030–6FC9–11D0–864F–00AA006809D9}"="PostAgent"
"{7FC0B86E–5FA7–11d1–BC7C–00C04FD929DB}"="WebCheck SyncMgr Handler"
"{352EC2B7–8B9A–11D1–B8AE–006008059382}"="Meneder aplikacji powˆoki"
"{0B124F8F–91F0–11D1–B8B5–006008059382}"="Wyliczanie zainstalowanych aplikacji"
"{CFCCC7A0–A282–11D1–9082–006008059382}"="Publikator aplikacji Darwin"
"{e84fda7c–1d6a–45f6–b725–cb260c236066}"="Shell Image Verbs"
"{66e4e4fb–f385–4dd0–8d74–a2efd1bc6178}"="Shell Image Data Factory"
"{3F30C968–480A–4C6C–862D–EFC0897BB84B}"="GDI+program wyodrbniajĄcy miniatury plikw"
"{9DBD2C50–62AD–11d0–B806–00C04FD706EC}"="Informacje podsumowujĄce obsˆugi miniatur (DOCFILES)"
"{EAB841A0–9550–11cf–8C16–00805F1408F3}"="Wyodrbnianie miniatur HTML"
"{eb9b1153–3b57–4e68–959a–a3266bc3d7fe}"="Shell Image Property Handler"
"{CC6EEFFB–43F6–46c5–9619–51D571967F7D}"="Kreator publikacji w sieci Web"
"{add36aa8–751a–4579–a266–d66f5202ccbb}"="Zamawianie odbitek w sieci Web"
"{6b33163c–76a5–4b6c–bf21–45de9cd503a1}"="Obiekt powˆoki kreatora publikacji"
"{58f1f272–9240–4f51–b6d4–fd63d1618591}"="Kreator uzyskiwania profilu usˆugi Passport"
"{7A9D77BD–5403–11d2–8785–2E0420524153}"="Konta uytkownikw"
"{BD472F60–27FA–11cf–B8B4–444553540000}"="Compressed (zipped) Folder Right Drag Handler"
"{888DCA60–FC0A–11CF–8F0F–00C04FD7D062}"="Compressed (zipped) Folder SendTo Target"
"{f39a0dc0–9cc8–11d0–a599–00c04fd64433}"="Plik kanaˆu"
"{f3aa0dc0–9cc8–11d0–a599–00c04fd64434}"="Skrt kanaˆu"
"{f3ba0dc0–9cc8–11d0–a599–00c04fd64435}"="Obiekt obsˆugi kanaˆu"
"{f3da0dc0–9cc8–11d0–a599–00c04fd64437}"="Channel Menu"
"{f3ea0dc0–9cc8–11d0–a599–00c04fd64438}"="Channel Properties"
"{63da6ec0–2e98–11cf–8d82–444553540000}"="FTP Folders Webview"
"{883373C3–BF89–11D1–BE35–080036B11A03}"="Microsoft DocProp Shell Ext"
"{A9CF0EAE–901A–4739–A481–E35B73E47F6D}"="Microsoft DocProp Inplace Edit Box Control"
"{8EE97210–FD1F–4B19–91DA–67914005F020}"="Microsoft DocProp Inplace ML Edit Box Control"
"{0EEA25CC–4362–4A12–850B–86EE61B0D3EB}"="Microsoft DocProp Inplace Droplist Combo Control"
"{6A205B57–2567–4A2C–B881–F787FAB579A3}"="Microsoft DocProp Inplace Calendar Control"
"{28F8A4AC–BBB3–4D9B–B177–82BFC914FA33}"="Microsoft DocProp Inplace Time Control"
"{8A23E65E–31C2–11d0–891C–00A024AB2DBB}"="Directory Query UI"
"{9E51E0D0–6E0F–11d2–9601–00C04FA31A86}"="Shell properties for a DS object"
"{163FDC20–2ABC–11d0–88F0–00A024AB2DBB}"="Directory Object Find"
"{F020E586–5264–11d1–A532–0000F8757D7E}"="Directory Start/Search Find"
"{0D45D530–764B–11d0–A1CA–00AA00C16E65}"="Directory Property UI"
"{62AE1F9A–126A–11D0–A14B–0800361B1103}"="Directory Context Menu Verbs"
"{ECF03A33–103D–11d2–854D–006008059367}"="MyDocs Copy Hook"
"{ECF03A32–103D–11d2–854D–006008059367}"="MyDocs Drop Target"
"{4a7ded0a–ad25–11d0–98a8–0800361b1103}"="MyDocs Properties"
"{750fdf0e–2a26–11d1–a3ea–080036587f03}"="Offline Files Menu"
"{10CFC467–4392–11d2–8DB4–00C04FA31A66}"="Offline Files Folder Options"
"{AFDB1F70–2A4C–11d2–9039–00C04F8EEB3E}"="Folder plikw trybu offline"
"{143A62C8–C33B–11D1–84FE–00C04FA34A14}"="Microsoft Agent Character Property Sheet Handler"
"{ECCDF543–45CC–11CE–B9BF–0080C87CDBA6}"="DfsShell"
"{60fd46de–f830–4894–a628–6fa81bc0190d}"="%DESC_PublishDropTarget%"
"{7A80E4A8–8005–11D2–BCF8–00C04F72C717}"="MMC Icon Handler"
"{0CD7A5C0–9F37–11CE–AE65–08002B2E1262}"=".CAB file viewer"
"{32714800–2E5F–11d0–8B85–00AA0044F941}"="&Do osb..."
"{8DD448E6–C188–4aed–AF92–44956194EB1F}"="Windows Media Player Play as Playlist Context Menu Handler"
"{CE3FB1D1–02AE–4a5f–A6E9–D9F1B4073E6C}"="Windows Media Player Burn Audio CD Context Menu Handler"
"{F1B9284F–E9DC–4e68–9D7E–42362A59F0FD}"="Windows Media Player Add to Playlist Context Menu Handler"
"{32020A01–506E–484D–A2A8–BE3CF17601C3}"="AlcoholShellEx"
"{E0D79304–84BE–11CE–9641–444553540000}"="WinZip"
"{E0D79305–84BE–11CE–9641–444553540000}"="WinZip"
"{E0D79306–84BE–11CE–9641–444553540000}"="WinZip"
"{E0D79307–84BE–11CE–9641–444553540000}"="WinZip"
"{B41DB860–8EE4–11D2–9906–E49FADC173CA}"="WinRAR shell extension"
"{BDEADF00–C265–11D0–BCED–00A0C90AB50F}"="Foldery w sieci Web"
"{00020D75–0000–0000–C000–000000000046}"="Microsoft Office Outlook Desktop Icon Handler"
"{0006F045–0000–0000–C000–000000000046}"="Microsoft Office Outlook Custom Icon Handler"
"{42042206–2D85–11D3–8CFF–005004838597}"="Microsoft Office HTML Icon Handler"
@="CorelDRAW Shell Extension Component"
"{640167b4–59b0–47a6–b335–a6b3c0695aea}"="Portable Media Devices"
"{cc86590a–b60a–48e6–996b–41d25ed39a1e}"="Portable Media Devices Menu"
"{5E2121EE–0300–11D4–8D3B–444553540000}"="st"
"{B8323370–FF27–11D2–97B6–204C4F4F5020}"="SmartFTP Shell Extension DLL"
"{F8715AC6–74A2–46B1–8877–23C73073D864}"=""
**********************************************************************************
HKEY ROOT CLASSIDS:
Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\CLSID\{F8715AC6–74A2–46B1–8877–23C73073D864}]
@=""
[HKEY_CLASSES_ROOT\CLSID\{F8715AC6–74A2–46B1–8877–23C73073D864}\Implemented Categories]
@=""
[HKEY_CLASSES_ROOT\CLSID\{F8715AC6–74A2–46B1–8877–23C73073D864}\Implemented Categories\{00021492–0000–0000–C000–000000000046}]
@=""
[HKEY_CLASSES_ROOT\CLSID\{F8715AC6–74A2–46B1–8877–23C73073D864}\InprocServer32]
@="C:\\WINDOWS\\system32\\sqndmail.dll"
"ThreadingModel"="Apartment"
**********************************************************************************
Files Found are not all bad files:
C:\WINDOWS\SYSTEM32\
akbjekod.dll Thu 2005–11–17 21:05:22 A.... 36 864 36,00 K
appwiy.dll Sun 2005–10–30 20:38:42 A.... 65 252 63,72 K
awicap.dll Thu 2005–11–17 21:49:36 ..... 236 264 230,73 K
child.dll Thu 2005–11–17 21:05:28 A.... 14 336 14,00 K
chke.dll Thu 2005–11–17 21:05:38 A.... 53 248 52,00 K
cqflcjic.dll Thu 2005–11–17 21:04:30 A.... 6 657 6,50 K
dn4201~1.dll Thu 2005–11–17 22:00:36 ..S.R 234 117 228,63 K
floop32.dll Thu 2005–11–17 21:04:18 A.... 14 848 14,50 K
k0nola~1.dll Thu 2005–11–17 21:15:36 ..S.R 235 622 230,10 K
kqdhela3.dll Fri 2005–11–18 13:15:24 ..S.R 233 876 228,39 K
macndmgr.dll Thu 2005–11–17 21:58:38 ..... 236 652 231,11 K
mniavi32.dll Thu 2005–11–17 21:52:06 ..... 236 264 230,73 K
msupda~1.dll Thu 2005–11–17 21:04:20 A.... 32 256 31,50 K
mv60l9~1.dll Thu 2005–11–17 21:49:36 ..S.R 237 333 231,77 K
rlutils.dll Thu 2005–11–17 21:54:08 ..S.R 236 380 230,84 K
sqndmail.dll Thu 2005–11–17 22:00:36 ..S.R 233 876 228,39 K
winacpi.dll Thu 2005–11–17 21:55:24 A.... 55 601 54,30 K
17 items found: 17 files (6 H/S), 0 directories.
Total of file sizes: 2 399 446 bytes 2,29 M
Locate .tmp files:
No matches found.
**********************************************************************************
Directory Listing of system files:
Wolumin w stacji C nie ma etykiety.
Numer seryjny woluminu: FC8D–DADB
Katalog: C:\WINDOWS\System32
2005–11–18 13:15 233876 kqdhela3.dll
2005–11–17 22:00 233876 sqndmail.dll
2005–11–17 22:00 234117 dn4201hoe.dll
2005–11–17 21:54 236380 rlutils.dll
2005–11–17 21:49 237333 mv60l9jm1.dll
2005–11–17 21:37 dllcache
2005–11–17 21:15 235622 k0nola531d.dll
2005–08–03 15:09 7168 Thumbs.db
2004–08–12 19:02 Microsoft
7 plik(w) 1418372 bajtw
2 katalog(w) 9458278400 bajtw wolnych
Kilka uwag:
Nie mam takiego katalogu.
Z tego co widziałem cmdService nadal siedzi na moim komputerze.
Czy to jest na przykład folder, taki jaki jest zaznaczony na obrazie poniźej?
http://img464.imageshack.us/img464/3358/screen15np.png
Czy to jest taki ciąg, jaki jest zaznaczony na obrazie poniźej?
http://img464.imageshack.us/img464/4875/screen27vj.png
Jak mam poznać, który to klucz? A moźe trzeba wykasowac wszystkie? Sytuacja przedstawiona poniźej.
http://img464.imageshack.us/img464/1423/screen35zv.png
Za wszelką pomoc dziękuję z góry.
2. Usuwasz cały katalog C:\WINDOWS\U3Rh8WN6eWs
Nie mam takiego katalogu.
1. Start –> uruchom –> cmd i tam wydaj polecenia:
Kod:
sc stop cmdService
sc delete cmdService
Z tego co widziałem cmdService nadal siedzi na moim komputerze.
1. W sekcji zaczynającej się od HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ szukamy podklucza który posiada wartość DllName po pierwsze zapisaną w formie nie hexa, po drugie jako nazwa biblioteki widnieje plik dll o dziwnej oryginalnej nazwie. Przykład:
Czy to jest na przykład folder, taki jaki jest zaznaczony na obrazie poniźej?
http://img464.imageshack.us/img464/3358/screen15np.png
3. W sekcji HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved szukamy ciągów które nie posiadają w danych nazwy. Przykład
Czy to jest taki ciąg, jaki jest zaznaczony na obrazie poniźej?
http://img464.imageshack.us/img464/4875/screen27vj.png
4. W sekcji HKEY_CLASSES_ROOT\CLSID\... program pobiera CLSIDa i eksportuje jego dane. Naleźy usunać cały klucz, przyklądowo HKEY_CLASSES_ROOT\CLSID\{8A19D8CC–6CDA–4FCE–A5B5–9C1F00D51CF4}
Jak mam poznać, który to klucz? A moźe trzeba wykasowac wszystkie? Sytuacja przedstawiona poniźej.
http://img464.imageshack.us/img464/1423/screen35zv.png
Za wszelką pomoc dziękuję z góry.
Co do ikonek to sprawdź tutaj pkt. 4 ew. wcześnejsze, ale ten najbardziej prawdopodobny.
Do ubicia równiez wpisy z secure32.html
Uczyń Operę/Firefoxa domyślna przeglądarką, a prawie wszystkie linki beda sie w niej otwierały.
Do ubicia równiez wpisy z secure32.html
Uczyń Operę/Firefoxa domyślna przeglądarką, a prawie wszystkie linki beda sie w niej otwierały.
Jeszcze trochę zostało – analizator, do którego jest link w przyklejonym temacie o logach autorstwa EL NINO je wskaźe.
Wpis
1. Start –> uruchom –> cmd i tam wydaj polecenia:
2. Usuwasz cały katalog C:\WINDOWS\U3Rh8WN6eWs
Wpis
Wpis
usuń tak:O23 – Service: Command Service (cmdService) – Unknown owner – C:\WINDOWS\U3Rh8WN6eWs\command.exe
1. Start –> uruchom –> cmd i tam wydaj polecenia:
sc stop cmdService
sc delete cmdService
2. Usuwasz cały katalog C:\WINDOWS\U3Rh8WN6eWs
Wpis
– usuniesz korzystając z tego tematuO20 – Winlogon Notify: ModList – C:\WINDOWS\system32\j6n2lg5o16.dll
Pojawił się u mnie kolejny problem. Korzystam juź tylko z Firefoxa, ewentualnie z Opery, IE poszło w odstawkę, choć cały czas jest na moim komputerze. System kojarzy jednak linki z tą ostatnia przeglądarką i po kliknięciu w jakikolwiek uruchamia się produkt firmy Microsoft. Dnia dzisiejszego taki link kliknąłem, absolutnie niewinny i sprawdzony – odwiedzałem juź tą witrynę, i momentalnie zatakowała mnie fala róźnego rodzaju adware'ow. Oto jak wygląda zaistniała sytuacja:
– Podpisy pod ikonami przybrały stałe tło. Wygląda to tak:
http://img382.imageshack.us/img382/4037/screen9mb.png
– W pasku start nie mogę umieszczać ikon szybkiego uruchamiania, po tym jak sam wziąłem się za czyszczenie systemu.
– Po moim kasowaniu log ze skanowania HijackThis skrócił się o około 2/3, i teraz wygląda tak:
– Ponadto przy siedzeniu na jakiejkolwiek stronie (w mozilli) po jakimś czasie zmienia się adres i wczytuje mi się jakaś strona oczywiście o podłoźu adware.
Proszę o jakieś wskazówki co do postępowania.
Pozdrawiam
Nober.
– Podpisy pod ikonami przybrały stałe tło. Wygląda to tak:
http://img382.imageshack.us/img382/4037/screen9mb.png
– W pasku start nie mogę umieszczać ikon szybkiego uruchamiania, po tym jak sam wziąłem się za czyszczenie systemu.
– Po moim kasowaniu log ze skanowania HijackThis skrócił się o około 2/3, i teraz wygląda tak:
Logfile of HijackThis v1.99.1
Scan saved at 22:33:42, on 2005–11–17
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\3Com_DMI\3CDMINIC.EXE
C:\WINDOWS\U3Rh8WN6eWs\command.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\Program Files\Internet Explorer\Iexplore.exe
C:\Program Files\Gadu–Gadu\gg.exe
C:\WINDOWS\System32\Nkbjnj32.exe
C:\WINDOWS\System32\FCIDDADB.exe
C:\WINDOWS\System32\mpcsvc.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\mspaint.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\Filip\Pulpit\Bajery\Bezpieczeństwo\HijackThis.exe
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R1 – HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 – HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 – HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R1 – HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = w3cache.rozanka.wroc.pl:8080
O4 – HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 – HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 – HKLM\..\Run: [SiS Mpc Service] C:\WINDOWS\System32\mpcsvc.exe
O20 – Winlogon Notify: ModList – C:\WINDOWS\system32\j6n2lg5o16.dll
O23 – Service: 3Com DMI Agent (3ComDMIService) – 3Com Corporation – C:\WINDOWS\System32\3Com_DMI\3CDMINIC.EXE
O23 – Service: Ati HotKey Poller – Unknown owner – C:\WINDOWS\System32\Ati2evxx.exe
O23 – Service: Command Service (cmdService) – Unknown owner – C:\WINDOWS\U3Rh8WN6eWs\command.exe
O23 – Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) – Analog Devices, Inc. – C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
– Ponadto przy siedzeniu na jakiejkolwiek stronie (w mozilli) po jakimś czasie zmienia się adres i wczytuje mi się jakaś strona oczywiście o podłoźu adware.
Proszę o jakieś wskazówki co do postępowania.
Pozdrawiam
Nober.
Pojawił się u mnie kolejny problem. Korzystam juź tylko z Firefoxa, ewentualnie z Opery, IE poszło w odstawkę, choć cały czas jest na moim komputerze. System kojarzy jednak linki z tą ostatnia przeglądarką i po kliknięciu w jakikolwiek uruchamia się produkt firmy Microsoft. Dnia dzisiejszego taki link kliknąłem, absolutnie niewinny i sprawdzony – odwiedzałem juź tą witrynę, i momentalnie zatakowała mnie fala róźnego rodzaju adware'ow. Oto jak wygląda zaistniała sytuacja:
– Podpisy pod ikonami przybrały stałe tło. Wygląda to tak:
http://img382.imageshack.us/img382/4037/screen9mb.png
– W pasku start nie mogę umieszczać ikon szybkiego uruchamiania, po tym jak sam wziąłem się za czyszczenie systemu.
– Po moim kasowaniu log ze skanowania HijackThis skrócił się o około 2/3, i teraz wygląda tak:
– Ponadto przy siedzeniu na jakiejkolwiek stronie (w mozilli) po jakimś czasie zmienia się adres i wczytuje mi się jakaś strona oczywiście o podłoźu adware.
Proszę o jakieś wskazówki co do postępowania.
Pozdrawiam
Nober.
– Podpisy pod ikonami przybrały stałe tło. Wygląda to tak:
http://img382.imageshack.us/img382/4037/screen9mb.png
– W pasku start nie mogę umieszczać ikon szybkiego uruchamiania, po tym jak sam wziąłem się za czyszczenie systemu.
– Po moim kasowaniu log ze skanowania HijackThis skrócił się o około 2/3, i teraz wygląda tak:
Logfile of HijackThis v1.99.1
Scan saved at 22:33:42, on 2005–11–17
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\3Com_DMI\3CDMINIC.EXE
C:\WINDOWS\U3Rh8WN6eWs\command.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\Program Files\Internet Explorer\Iexplore.exe
C:\Program Files\Gadu–Gadu\gg.exe
C:\WINDOWS\System32\Nkbjnj32.exe
C:\WINDOWS\System32\FCIDDADB.exe
C:\WINDOWS\System32\mpcsvc.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\mspaint.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\Filip\Pulpit\Bajery\Bezpieczeństwo\HijackThis.exe
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R1 – HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 – HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 – HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R1 – HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = w3cache.rozanka.wroc.pl:8080
O4 – HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 – HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 – HKLM\..\Run: [SiS Mpc Service] C:\WINDOWS\System32\mpcsvc.exe
O20 – Winlogon Notify: ModList – C:\WINDOWS\system32\j6n2lg5o16.dll
O23 – Service: 3Com DMI Agent (3ComDMIService) – 3Com Corporation – C:\WINDOWS\System32\3Com_DMI\3CDMINIC.EXE
O23 – Service: Ati HotKey Poller – Unknown owner – C:\WINDOWS\System32\Ati2evxx.exe
O23 – Service: Command Service (cmdService) – Unknown owner – C:\WINDOWS\U3Rh8WN6eWs\command.exe
O23 – Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) – Analog Devices, Inc. – C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
– Ponadto przy siedzeniu na jakiejkolwiek stronie (w mozilli) po jakimś czasie zmienia się adres i wczytuje mi się jakaś strona oczywiście o podłoźu adware.
Proszę o jakieś wskazówki co do postępowania.
Pozdrawiam
Nober.
lucy:
ten 'cham' był całkiem sympatyczny ;) :)
ps. jw
Co oznacza, źe ktoś się podszył :mrgreen:
ten 'cham' był całkiem sympatyczny ;) :)
ps. jw
ps. jw
Jesli kawal chama, to to bylem ja :mrgreen: .był tam juź El NINO albo ktoś polubił jego nick ;)
P.S. Raczej to drugie.
Bobi , twój udział na forum Opery będzie tylko z korzyścią dla niej ;)
http://my.opera.com/forums/forumdisplay.php?s=&forumid=60
ps. był tam juź El NINO albo ktoś polubił jego nick ;)
eh, ale dziś ściemniam co.. :)
http://my.opera.com/forums/forumdisplay.php?s=&forumid=60
ps. był tam juź El NINO albo ktoś polubił jego nick ;)
eh, ale dziś ściemniam co.. :)
lucy, do Opery mnie akurat przekonywać nie musisz bo korzystam z niej juź od dłuźszego czasu, ale z tym, źe uźywając tej jak i kaźdej innej przeglądarki moźna być na 100% bezpiecznym niestety zgodzić się nie mogę.
PS: Operowcy mi pewnie tego nie wybaczą, ale w tym momencie pisze spod Firefoxa :mrgreen:
Nober, pozbądz się wszystkiego badziewia, jesli to nie pomoźe bedziemy dalej kombinować (reinstalka IE, fixy etc.)
PS: Operowcy mi pewnie tego nie wybaczą, ale w tym momencie pisze spod Firefoxa :mrgreen:
Nober, pozbądz się wszystkiego badziewia, jesli to nie pomoźe bedziemy dalej kombinować (reinstalka IE, fixy etc.)
Hmm ciekawa sprawa. Usunałem te New Net Domains, i te biblioteki, i teraz nie działa w ogole IE, tylko Opera chodzi. Jak dotad nie uporałem się jeszcze z tym drct16, ale wszystko w swoim czasie. Moźna teraz spowodować źeby działał mój Internet Explorer?:/
lucy,zainstaluj Opere...
Winno byc chyba uaktualnij :wink:C:\Program Files\Opera7\Opera.exe
albo po prostu uźywaj wyłącznie Opery a IE traktuj jak zbędną fanaberie Billa G. ;) .
Przekonaj mnie Bobi , źe to jest moźliwe na Operze, tego typu problemy .. 8).
1. To znaczy ze masz wylaczyc przywracanie systemu. Lepiej sam mysl. Hint – pomoc systemowa i haslo "przywracanie systemu".
2. Bedzie dzialal. Po usunieciu New.Net sciagasz lspfix i usuwasz biblioteki ktore Ci pokaze.
http://www.cexx.org/LSPFix.exe
2. Bedzie dzialal. Po usunieciu New.Net sciagasz lspfix i usuwasz biblioteki ktore Ci pokaze.
http://www.cexx.org/LSPFix.exe
1. Co to znaczy źe mam wyłączyć przywracanie systemu? Wolę sam nie myśleć nad tym :)
2. Czy aby na pewno będzie mi działał internet po odinstalowaniu New Net Domains z panelu sterowania? Pamiętam źe kiedyś tak zrobiłem, i chyba przez to nie działał mi internet, trzeba było zrobić format.
Lucy, jakbym nie miał jakiejś innej przeglądarki, to jakbym się tu dostał? Pisałbym od kolegi/koleźanki? :), a moze z kafejki?:P Słaby z ciebie detektyw :)
Pozdrawiam
Nober.
2. Czy aby na pewno będzie mi działał internet po odinstalowaniu New Net Domains z panelu sterowania? Pamiętam źe kiedyś tak zrobiłem, i chyba przez to nie działał mi internet, trzeba było zrobić format.
Lucy, jakbym nie miał jakiejś innej przeglądarki, to jakbym się tu dostał? Pisałbym od kolegi/koleźanki? :), a moze z kafejki?:P Słaby z ciebie detektyw :)
Pozdrawiam
Nober.
lucy,
Winno byc chyba uaktualnij :wink:
zainstaluj Opere...
Winno byc chyba uaktualnij :wink:
C:\Program Files\Opera7\Opera.exe
zainstaluj Opere, Mozille Firefox, nie będziesz miał takich problemów na przyszłość.
Wyłącz przywracanie systemu
Zakoncz proces:
mdms.exe
Usuń:
Ostatni wpis od Haxdoora, na forum sporo o nim, wklep w szukajke drct16.
New.Net przed usuwaniem odistaluj z Dodaj/Usuń
Gdyby to nie pomogło zrób log przy pomocy Silent Runners
Zakoncz proces:
mdms.exe
Usuń:
O2 – BHO: VBRunDLL Class – {197B8CA4–E215–46DD–8F33–E0544A80E5C4} – C:\WINDOWS\System32\vbrundll.dll (file missing)
O2 – BHO: URLLink Class – {4A2AACF3–ADF6–11D5–98A9–00E018981B9E} – C:\Program Files\NewDotNet\newdotnet6_38.dll
O4 – HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup –s
O4 – HKLM\..\Run: [SysMemory manager] c:\windows\system32\mdms.exe
O4 – HKLM\..\Run: [regsync] C:\WINDOWS\System32\regsync.exe
O10 – Hijacked Internet access by New.Net
O10 – Hijacked Internet access by New.Net
O10 – Hijacked Internet access by New.Net
O15 – Trusted Zone: *.windupdates.com (HKLM)
O20 – Winlogon Notify: drct16 – C:\WINDOWS\SYSTEM32\drct16.dll
Ostatni wpis od Haxdoora, na forum sporo o nim, wklep w szukajke drct16.
New.Net przed usuwaniem odistaluj z Dodaj/Usuń
Gdyby to nie pomogło zrób log przy pomocy Silent Runners
Strona 1 / 1