aligator:

... bo fachowca tam nie uświadczysz :lol:

Powaznie ? To pindole to. Nie ide. Myslalem ze tam same fachowcy kurna :P .

P.S. To wiadomo kto – tez *** nie fachowiec ? :shock:

EL NINO:

P.S. aligator, jeszcze troche i swoja kandydature na "oberRedachtora" zloze na wiadomym forum :P .

Czekają na Cię z otwartymi rukami bo fachowca tam nie uświadczysz :lol:

No problem :wink: .

P.S. aligator, jeszcze troche i swoja kandydature na "oberRedachtora" zloze na wiadomym forum :P .

Juz wszystko OK! Oczywiście w pośpiechu chiałem wykasować lsass :)


Jeszcze raz dzieki za pomoc!

Tzn. nie usunales tego pliku ? Musisz go usunac. Jest widoczny w zakladce Procesy w Task Managerze (CTRL+ALT+DEL) ? A jesli jest, to nie da sie go tam wylaczyc ?

Jak narazie dzaiła dzieki! Zjednym problemem, bo nie moge wyłączyć C:WINDOWSSystem32lsac.exe ani wykasować. Chciałem w trybie awaryjnym ale zanim to zrobiłem zaczeło działać. Przynajmniej narazie :)
Jakby co to sie odezwe!


Dzieki wielkie!

Najwazniejszy w tym logu jest "lsac.exe": Gaobot.XW – wykorzystuje rowniez dziury LSASS i RPC DCOM, udostepnia zasoby, wylacza antyviry, firewalle programy monitorujace komputer, itd :P .
W pierwszej kolejnosci wylacz przywracanie systemu, wylacz ten proces w Task Managerze i usun fizycznie z dysku plik "lsac.exe". Przeszukaj rowniez rejestr usuwajac wszystkie wpisy.
W samym HiJack–u zaznacz i usun:

C:WINDOWSSystem32lsac.exe
O4 – HKLM..Run: [Microsoft Update] lsac.exe
O4 – HKLM..RunServices: [Microsoft Update] lsac.exe
O4 – HKCU..Run: [Microsoft Update] lsac.exe

Ponadto nie wiem czy potrzebne sa:

O6 – HKCUSoftwarePoliciesMicrosoftInternet ExplorerRestrictions present
O6 – HKCUSoftwarePoliciesMicrosoftInternet ExplorerControl Panel present

Mozesz rowniez usunac a gdyby cos bylo nie tak, to po prostu przywrocisz.
Uzyj rowniez Ad–aware do przeskanowania a pozniej zalacz (po restarcie) przywracanie systemu.

Witam!

Skanowałem SpyBoot'em na samym początku i nic.
HijackThis był drugim programem którego uźyłem.

I jak na złość zadnej zmiany!

Zerknij na log. Moźe coś poradzisz. Pozatym jak zaistalowałem inna przeglądarke (mozille) było dokładnie to samo. Ja juź nic nie wiem.

P.S. Dzieki za pomoc!



Logfile of HijackThis v1.97.7
Scan saved at 01:19:13, on 2004–06–21
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32LEXBCES.EXE
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSsystem32LEXPPS.EXE
C:WINDOWSSystem32 vsvc32.exe
C:Program FilesAnalog DevicesSoundMAXSMAgent.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSExplorer.EXE
C:Program FilesAnalog DevicesSoundMAXSMax4PNP.exe
C:Program FilesAnalog DevicesSoundMAXSmax4.exe
C:WINDOWSSystem32RUNDLL32.EXE
C:PROGRA~1WanadooTaskbarIcon.exe
C:WINDOWSSystem32lsac.exe
C:Program FilesJavaj2re1.4.2_04injusched.exe
C:Program FilesSpybot – Search & DestroyTeaTimer.exe
C:Program FilesSAGEMSAGEM F@st 800–840DSLMON.exe
C:Program FilesGadu–Gadugg.exe
C:Program FilesInternet Exploreriexplore.exe
D:FTPSoftHijackThis.exe

R0 – HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.wp.pl
R0 – HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.wp.pl
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Window Title = Neostrada Plus wita Cie w Internecie
R0 – HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Łącza
O2 – BHO: (no name) – {06849E9F–C8D7–4D59–B87D–784B7D6BE0B3} – C:Program FilesAdobeAcrobat 6.0 CEReaderActiveXAcroIEHelper.dll
O2 – BHO: (no name) – {53707962–6F74–2D53–2644–206D7942484F} – C:PROGRA~1SPYBOT~1SDHelper.dll
O3 – Toolbar: &Radio – {8E718888–423F–11D2–876E–00A0C9082467} – C:WINDOWSSystem32msdxm.ocx
O4 – HKLM..Run: [SoundMAXPnP] C:Program FilesAnalog DevicesSoundMAXSMax4PNP.exe
O4 – HKLM..Run: [SoundMAX] "C:Program FilesAnalog DevicesSoundMAXSmax4.exe" /tray
O4 – HKLM..Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 – HKLM..Run: [PtiuPbmd] Rundll32.exe ptipbm.dll,SetWriteBack
O4 – HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSSystem32NvCpl.dll,NvStartup
O4 – HKLM..Run: [NvMediaCenter] RUNDLL32.EXE C:WINDOWSSystem32NvMcTray.dll,NvTaskbarInit
O4 – HKLM..Run: [WOOWATCH] C:PROGRA~1WanadooWatch.exe
O4 – HKLM..Run: [WOOTASKBARICON] C:PROGRA~1WanadooTaskbarIcon.exe
O4 – HKLM..Run: [Microsoft Update] lsac.exe
O4 – HKLM..Run: [NeroCheck] C:WINDOWSSystem32NeroCheck.exe
O4 – HKLM..Run: [SunJavaUpdateSched] C:Program FilesJavaj2re1.4.2_04injusched.exe
O4 – HKLM..Run: [WinPatrol PLUS] C:PROGRA~1BILLPS~1WINPAT~1WINPAT~1.EXE
O4 – HKLM..RunServices: [Microsoft Update] lsac.exe
O4 – HKCU..Run: [Microsoft Update] lsac.exe
O4 – HKCU..Run: [SpybotSD TeaTimer] C:Program FilesSpybot – Search & DestroyTeaTimer.exe
O4 – HKLM..RunOnce: [SpybotSnD] "C:Program FilesSpybot – Search & DestroySpybotSD.exe" /autocheck
O4 – Startup: Skrót do PowerGG.lnk = C:Program FilesGadu–GaduPowerGG.exe
O4 – Global Startup: Adobe Gamma Loader.lnk = C:Program FilesCommon FilesAdobeCalibrationAdobe Gamma Loader.exe
O4 – Global Startup: DSLMON.lnk = C:Program FilesSAGEMSAGEM F@st 800–840DSLMON.exe
O6 – HKCUSoftwarePoliciesMicrosoftInternet ExplorerRestrictions present
O6 – HKCUSoftwarePoliciesMicrosoftInternet ExplorerControl Panel present
O9 – Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 – Extra button: Messenger (HKLM)
O9 – Extra 'Tools' menuitem: Messenger (HKLM)
O16 – DPF: {92ECE6FA–AC2E–4042–BFAE–0C8608E52A43} (SignActivX Control) – https://www.bph.pl/pi/components/SignActivX.cab
O16 – DPF: {9F1C11AA–197B–4942–BA54–47A8489BB47F} (Update Class) – http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38146.2173263889
O16 – DPF: {A3009861–330C–4E10–822B–39D16EC8829D} (CRAVOnline Object) – http://www.ravantivirus.com/scan/ravonline.cab
O16 – DPF: {BFA1F11D–3121–AFE1–4112–894323212DAC} (GINWORDS Class) – http://gryonline.wp.pl/files/words_2_0_0_18.cab
O16 – DPF: {D27CDB6E–AE6D–11CF–96B8–444553540000} (Shockwave Flash Object) – http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 – DPF: {E7544C6C–CFD6–43EA–B4E9–360CEE20BDF7} (MainControl Class) – http://skaner.mks.com.pl/SkanerOnline.cab
O17 – HKLMSystemCCSServicesTcpip..{D4A054BD–14A2–463B–BA30–F880C1B77149}: NameServer = 194.204.152.34 217.98.63.164

Kolego, wywal te programy, sciagnij SpyBota i przeskanuj system. To samo mozesz zrobic rowniez za pomoca Adware. Jesli nie pomoze, sciagnij HiJack This, przeskanuj, i wrzuc tu log wynikowy, chyba ze sam zaznaczysz sobie co ma usunac za pomoca przycisku FIX. Pokaz rowniez zrzut (Alt+PrtSc) zakladki procesy Task Managera (Ctrl+Alt+Del).

To znowu ja! Robie wszystko co opisaliscie na forum. Niestety nic nie pomaga! Po skanowaniu znalazło mi wiele robaków i srednio jednego dziennie, ale to nic. Ta strona dalej sie pojawia i kaźe sie instalować.


Po tym jak zaisnalowałm wszytkie te programy do ochrony strony startowej co chwila wyskakuje mi ze zmienia sie strona z www.wp.pl na www.wp.pl. Ja jzu nic nie rozumiem. Jesteście pewni te pojawianie sie tej strony jest związane z nieautoryzowaną zmiany strony strtowej IE. Ta strona pojawia mi sie tylko raz tuź po tym jak właczam IE. a potem jzu wszystko gra. JUz nie wspomne o tym ze od czasu jak zaczeło mi sie to pojawiać bardzo czesto widze niebieski ekran.

Jak macie jakieś nowe pomysły to prosze o pomoc!

nastepny....... http://www.centrumxp.pl/forum/viewtopic.php?t=14198 :?