Wirus a moze robal
Zeskanowałem kompa skanerami on line i w trybie awaryjnym kasperskim (wykrył trojana ktorego tamte nie wykryły,oczywiscie del))ale dalej mi sie wydaje ze mam wira:
2 svchosty system
2 svchosty usluga sieciowa
1 usluga lokalna
otwarte porty to
tcp
110 pop3
135 epmap
139 netbios–ssn
3306 mysql
udp
123 ntp
137 netbios ns
138 netbios dgm
1900 ssdp
skanowałem ale wydaje mi sie ze mam wira
to mi pisze w programie do ściągania z irca
139 :: Normally Ms Netbios–SSN but could be Chode – God Message worm – Msinit – Netlog – Network – Qaz
hijack nie wiem dlaczego pokazuje tylko 2 procesy svchost
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\D–Tools\daemon.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
C:\WINDOWS\system32\ctfmon.exe
G:\usr\MYSQL\bin\mysqld.exe
C:\Program Files\Kerio\Personal Firewall\persfw.exe
C:\wincmd\WinCmd32.exe
C:\Downloads\hijackthis\HijackThis.exe
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\se.dll/sp.html
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl/
R1 – HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\se.dll/sp.html
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 – HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 – HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.2:8080
R0 – HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 – URLSearchHook: (no name) – {8952A998–1E7E–4716–B23D–3DBE03910972} – (no file)
O2 – BHO: (no name) – {00320615–B6C2–40A6–8F99–F1C52D674FAD} – (no file)
O2 – BHO: AcroIEHlprObj Class – {06849E9F–C8D7–4D59–B87D–784B7D6BE0B3} – C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
O2 – BHO: (no name) – {7012A191–2B5A–4AA9–8013–34E3889C6156} – (no file)
O2 – BHO: IeCatch2 Class – {A5366673–E8CA–11D3–9CD9–0090271D075B} – C:\PROGRA~1\FlashGet\jccatch.dll
O3 – Toolbar: FlashGet Bar – {E0E899AB–F487–11D5–8D29–0050BA6940E3} – C:\PROGRA~1\FlashGet\fgiebar.dll
O4 – HKLM\..\Run: [DAEMON Tools–1033] "C:\Program Files\D–Tools\daemon.exe" –lang 1033
O4 – HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
O4 – HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 – Extra context menu item: E&ksport do programu Microsoft Excel – res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 – Extra context menu item: Ściągnij przy pomocy FlashGet'a – C:\Program Files\FlashGet\jc_link.htm
O8 – Extra context menu item: Ściągnij wszystko przy pomocy FlashGet'a – C:\Program Files\FlashGet\jc_all.htm
O9 – Extra button: (no name) – {08B0E5C0–4FCB–11CF–AAA5–00401C608501} – C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 – Extra 'Tools' menuitem: Sun Java Console – {08B0E5C0–4FCB–11CF–AAA5–00401C608501} – C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 – Extra button: (no name) – {85d1f590–48f4–11d9–9669–0800200c9a66} – %windir%\bdoscandel.exe (file missing)
O9 – Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 – {85d1f590–48f4–11d9–9669–0800200c9a66} – %windir%\bdoscandel.exe (file missing)
O9 – Extra button: Badanie – {92780B25–18CC–41C8–B9BE–3C9C571A8263} – C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 – Extra button: (no name) – {CD67F990–D8E9–11d2–98FE–00C0F0318AFE} – (no file)
O9 – Extra button: FlashGet – {D6E814A0–E0C5–11d4–8D29–0050BA6940E3} – C:\PROGRA~1\FlashGet\flashget.exe
O9 – Extra 'Tools' menuitem: &FlashGet – {D6E814A0–E0C5–11d4–8D29–0050BA6940E3} – C:\PROGRA~1\FlashGet\flashget.exe
O9 – Extra button: Messenger – {FB5F1910–F110–11d2–BB9E–00C04F795683} – C:\Program Files\Messenger\msmsgs.exe
O9 – Extra 'Tools' menuitem: Windows Messenger – {FB5F1910–F110–11d2–BB9E–00C04F795683} – C:\Program Files\Messenger\msmsgs.exe
O16 – DPF: {15AD4789–CDB4–47E1–A9DA–992EE8E6BAD6} – http://public.windupdates.com/get_file.php? bt=ie&p=d9e142b50554d145ae1adefa032956f30588130c7a248 97b98c70b21112bdefdf8e14f292f641a9fbac16900c5eb337458 afea412a57f92bf92a995c7b068353:4988410fc26869297cfaa5002feb2f13
O16 – DPF: {5D86DDB5–BDF9–441B–9E9E–D4730F4EE499} (BDSCANONLINE Control) – http://www.bitdefender.com/scan8/oscan8.cab
O16 – DPF: {7B297BFD–85E4–4092–B2AF–16A91B2EA103} (WScanCtl Class) – http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O16 – DPF: {C5E28B9D–0A68–4B50–94E9–E8F6B4697514} (NsvPlayX Control) – http://www.tv.poloniaonline.us/nsvplayx_vp3_mp3.cab
O16 – DPF: {E7544C6C–CFD6–43EA–B4E9–360CEE20BDF7} (MainControl Class) – http://skaner.mks.com.pl/SkanerOnline.cab
O17 – HKLM\System\CCS\Services\Tcpip\..\{17917715–DBEF–45D1–8923–229777FAD687}: NameServer = 192.168.0.2
O17 – HKLM\System\CS1\Services\Tcpip\..\{17917715–DBEF–45D1–8923–229777FAD687}: NameServer = 192.168.0.2
O17 – HKLM\System\CS2\Services\Tcpip\..\{17917715–DBEF–45D1–8923–229777FAD687}: NameServer = 192.168.0.2
O18 – Filter: text/html – {229F8A67–DD66–4B8C–94ED–B1C1B2734B5B} – (no file)
O18 – Filter: text/plain – {229F8A67–DD66–4B8C–94ED–B1C1B2734B5B} – (no file)
O23 – Service: Ati HotKey Poller – Unknown owner – C:\WINDOWS\system32\Ati2evxx.exe
O23 – Service: ATI Smart – Unknown owner – C:\WINDOWS\system32\ati2sgag.exe
O23 – Service: C–DillaCdaC11BA – Macrovision – C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 – Service: kavsvc – Kaspersky Lab – C:\Program Files\Kaspersky Lab\Kaspersky Anti–Virus Personal\kavsvc.exe
O23 – Service: MySql – Unknown owner – G:\usr/MYSQL/bin/mysqld.exe
O23 – Service: Panda Firewall Service (PAVFIRES) – Unknown owner – C:\Program Files\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe (file missing)
O23 – Service: Panda anti–virus service (PAVSRV) – Unknown owner – C:\Program Files\Panda Software\Panda Antivirus Platinum\pavsrv51.exe (file missing)
O23 – Service: Kerio Personal Firewall (PersFw) – Kerio Technologies – C:\Program Files\Kerio\Personal Firewall\persfw.exe
O23 – Service: Power Manager (PowerManager) – Unknown owner – C:\WINDOWS\svchost.exe (file missing)
O23 – Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) – Unknown owner – %ProgramFiles%\WinPcap\rpcapd.exe" –d –f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
2 svchosty system
2 svchosty usluga sieciowa
1 usluga lokalna
otwarte porty to
tcp
110 pop3
135 epmap
139 netbios–ssn
3306 mysql
udp
123 ntp
137 netbios ns
138 netbios dgm
1900 ssdp
skanowałem ale wydaje mi sie ze mam wira
to mi pisze w programie do ściągania z irca
139 :: Normally Ms Netbios–SSN but could be Chode – God Message worm – Msinit – Netlog – Network – Qaz
hijack nie wiem dlaczego pokazuje tylko 2 procesy svchost
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\D–Tools\daemon.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
C:\WINDOWS\system32\ctfmon.exe
G:\usr\MYSQL\bin\mysqld.exe
C:\Program Files\Kerio\Personal Firewall\persfw.exe
C:\wincmd\WinCmd32.exe
C:\Downloads\hijackthis\HijackThis.exe
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\se.dll/sp.html
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl/
R1 – HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\se.dll/sp.html
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 – HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 – HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.2:8080
R0 – HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 – URLSearchHook: (no name) – {8952A998–1E7E–4716–B23D–3DBE03910972} – (no file)
O2 – BHO: (no name) – {00320615–B6C2–40A6–8F99–F1C52D674FAD} – (no file)
O2 – BHO: AcroIEHlprObj Class – {06849E9F–C8D7–4D59–B87D–784B7D6BE0B3} – C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
O2 – BHO: (no name) – {7012A191–2B5A–4AA9–8013–34E3889C6156} – (no file)
O2 – BHO: IeCatch2 Class – {A5366673–E8CA–11D3–9CD9–0090271D075B} – C:\PROGRA~1\FlashGet\jccatch.dll
O3 – Toolbar: FlashGet Bar – {E0E899AB–F487–11D5–8D29–0050BA6940E3} – C:\PROGRA~1\FlashGet\fgiebar.dll
O4 – HKLM\..\Run: [DAEMON Tools–1033] "C:\Program Files\D–Tools\daemon.exe" –lang 1033
O4 – HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
O4 – HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 – Extra context menu item: E&ksport do programu Microsoft Excel – res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 – Extra context menu item: Ściągnij przy pomocy FlashGet'a – C:\Program Files\FlashGet\jc_link.htm
O8 – Extra context menu item: Ściągnij wszystko przy pomocy FlashGet'a – C:\Program Files\FlashGet\jc_all.htm
O9 – Extra button: (no name) – {08B0E5C0–4FCB–11CF–AAA5–00401C608501} – C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 – Extra 'Tools' menuitem: Sun Java Console – {08B0E5C0–4FCB–11CF–AAA5–00401C608501} – C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 – Extra button: (no name) – {85d1f590–48f4–11d9–9669–0800200c9a66} – %windir%\bdoscandel.exe (file missing)
O9 – Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 – {85d1f590–48f4–11d9–9669–0800200c9a66} – %windir%\bdoscandel.exe (file missing)
O9 – Extra button: Badanie – {92780B25–18CC–41C8–B9BE–3C9C571A8263} – C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 – Extra button: (no name) – {CD67F990–D8E9–11d2–98FE–00C0F0318AFE} – (no file)
O9 – Extra button: FlashGet – {D6E814A0–E0C5–11d4–8D29–0050BA6940E3} – C:\PROGRA~1\FlashGet\flashget.exe
O9 – Extra 'Tools' menuitem: &FlashGet – {D6E814A0–E0C5–11d4–8D29–0050BA6940E3} – C:\PROGRA~1\FlashGet\flashget.exe
O9 – Extra button: Messenger – {FB5F1910–F110–11d2–BB9E–00C04F795683} – C:\Program Files\Messenger\msmsgs.exe
O9 – Extra 'Tools' menuitem: Windows Messenger – {FB5F1910–F110–11d2–BB9E–00C04F795683} – C:\Program Files\Messenger\msmsgs.exe
O16 – DPF: {15AD4789–CDB4–47E1–A9DA–992EE8E6BAD6} – http://public.windupdates.com/get_file.php? bt=ie&p=d9e142b50554d145ae1adefa032956f30588130c7a248 97b98c70b21112bdefdf8e14f292f641a9fbac16900c5eb337458 afea412a57f92bf92a995c7b068353:4988410fc26869297cfaa5002feb2f13
O16 – DPF: {5D86DDB5–BDF9–441B–9E9E–D4730F4EE499} (BDSCANONLINE Control) – http://www.bitdefender.com/scan8/oscan8.cab
O16 – DPF: {7B297BFD–85E4–4092–B2AF–16A91B2EA103} (WScanCtl Class) – http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O16 – DPF: {C5E28B9D–0A68–4B50–94E9–E8F6B4697514} (NsvPlayX Control) – http://www.tv.poloniaonline.us/nsvplayx_vp3_mp3.cab
O16 – DPF: {E7544C6C–CFD6–43EA–B4E9–360CEE20BDF7} (MainControl Class) – http://skaner.mks.com.pl/SkanerOnline.cab
O17 – HKLM\System\CCS\Services\Tcpip\..\{17917715–DBEF–45D1–8923–229777FAD687}: NameServer = 192.168.0.2
O17 – HKLM\System\CS1\Services\Tcpip\..\{17917715–DBEF–45D1–8923–229777FAD687}: NameServer = 192.168.0.2
O17 – HKLM\System\CS2\Services\Tcpip\..\{17917715–DBEF–45D1–8923–229777FAD687}: NameServer = 192.168.0.2
O18 – Filter: text/html – {229F8A67–DD66–4B8C–94ED–B1C1B2734B5B} – (no file)
O18 – Filter: text/plain – {229F8A67–DD66–4B8C–94ED–B1C1B2734B5B} – (no file)
O23 – Service: Ati HotKey Poller – Unknown owner – C:\WINDOWS\system32\Ati2evxx.exe
O23 – Service: ATI Smart – Unknown owner – C:\WINDOWS\system32\ati2sgag.exe
O23 – Service: C–DillaCdaC11BA – Macrovision – C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 – Service: kavsvc – Kaspersky Lab – C:\Program Files\Kaspersky Lab\Kaspersky Anti–Virus Personal\kavsvc.exe
O23 – Service: MySql – Unknown owner – G:\usr/MYSQL/bin/mysqld.exe
O23 – Service: Panda Firewall Service (PAVFIRES) – Unknown owner – C:\Program Files\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe (file missing)
O23 – Service: Panda anti–virus service (PAVSRV) – Unknown owner – C:\Program Files\Panda Software\Panda Antivirus Platinum\pavsrv51.exe (file missing)
O23 – Service: Kerio Personal Firewall (PersFw) – Kerio Technologies – C:\Program Files\Kerio\Personal Firewall\persfw.exe
O23 – Service: Power Manager (PowerManager) – Unknown owner – C:\WINDOWS\svchost.exe (file missing)
O23 – Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) – Unknown owner – %ProgramFiles%\WinPcap\rpcapd.exe" –d –f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
Odpowiedzi: 6
023 po Pandzie usuwaj ta sama metoda co usluge fałszywego svchosta.
Ano zostalo. Wyczysc dokladnie rejestr.Mowgli:
Usuwam ale wracają na swoje miejsce ten program to była nie udana instalka cos sie zwaliło kiedys nie dalo sie odinstalowac wiec usunołem regclinerem wszytko z rejestru i normalnie recznie usunołem katalog ale cos zostało :/Wpisy O23 po Pandzie rowniez mozesz usunac.
Nie. To normalne.Dalej mam 5 svchostow to cos znaczy :?:
To taki trojanek –> http://www.glocksoft.com/trojan_list/God_Message_worm.htmMusicie mi powiedziec co to znaczy
139 :: Normally Ms Netbios–SSN but could be Chode – God Message worm – Msinit – Netlog – Network – Qaz
własnie chciałem przetestowac jak szybko sciaga z irca udało sie wbic na pare pokoji ale na jednym dostałem bana przeczytałem gdzies ze to przez otwarty port z trojanem
Wylacz udostepnianie plikow i drukarek. Sprawdz HCU\Software\Microsoft\Windows\CurrentVersion\Run\. Wylacz ActiveX http://acd.ucar.edu/~fredrick/win2k/active_scripting/
W Podgladzie zdarzen znajdziesz wiele informacji. Logi z firewalla rowniez warto prezgladnac./edit gdzie zapisuja sie logi w xp jak ktos atakuje z sieci albo wejdzie na moj dysk
Usuwam ale wracają na swoje miejsce ten program to była nie udana instalka cos sie zwaliło kiedys nie dalo sie odinstalowac wiec usunołem regclinerem wszytko z rejestru i normalnie recznie usunołem katalog ale cos zostało :/Wpisy O23 po Pandzie rowniez mozesz usunac.
nie mam tego plikuPoszukaj rowniez pliku localNRD.dll
Sam instalowałes WinPcap ??
tak chciałem przetestowac nmapa odinstalowałem go bo i tak nie uzywałem
Dalej mam 5 svchostow to cos znaczy :?:
Musicie mi powiedziec co to znaczy
139 :: Normally Ms Netbios–SSN but could be Chode – God Message worm – Msinit – Netlog – Network – Qaz
własnie chciałem przetestowac jak szybko sciaga z irca udało sie wbic na pare pokoji ale na jednym dostałem bana przeczytałem gdzies ze to przez otwarty port z trojanem
Ps.Pszepraszam za bełkot i dziekuje za pomoc
/edit gdzie zapisuja sie logi w xp jak ktos atakuje z sieci albo wejdzie na moj dysk
@Demik – nie masz zielonego pojecia to nie odpowiadaj na przyszłosc. Nie mam zamiaru po Tobie poprawiać.
@Mowgli
Wyłącz przywracanie
Oproznij temp
Sciagnij usuwacz do sp.dll podawany przez EL NINO w FAQ.
Usun:
Poszukaj rowniez pliku localNRD.dll
Prawdziwy svchost znajduje sie w system32 i nie uruchamia sie jako usługa.
Odpalasz services.msc, zatrzymujesz usługe Power Manager
Otwierasz Hijacka, Config >> Misc Tools >> Delete an NT service >> wpisujesz: PowerManager, potwierdzasz
Resetujesz system i pozbywasz sie lewego pliku z podanej lokalizacji
Sam instalowałes WinPcap ??
@Mowgli
Wyłącz przywracanie
Oproznij temp
Sciagnij usuwacz do sp.dll podawany przez EL NINO w FAQ.
Usun:
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\se.dll/sp.html
R1 – HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\se.dll/sp.html
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 – HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R3 – URLSearchHook: (no name) – {8952A998–1E7E–4716–B23D–3DBE03910972} – (no file)
O2 – BHO: (no name) – {7012A191–2B5A–4AA9–8013–34E3889C6156} – (no file)
O9 – Extra button: (no name) – {85d1f590–48f4–11d9–9669–0800200c9a66} – %windir%\bdoscandel.exe (file missing)
O9 – Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 – {85d1f590–48f4–11d9–9669–0800200c9a66} – %windir%\bdoscandel.exe (file missing)
O9 – Extra button: (no name) – {CD67F990–D8E9–11d2–98FE–00C0F0318AFE} – (no file)
O16 – DPF: {15AD4789–CDB4–47E1–A9DA–992EE8E6BAD6} – http://public.windupdates.com/get_file.php? bt=ie&p=d9e142b50554d145ae1adefa032956f30588130c7a248 97b98c70b21112bdefdf8e14f292f641a9fbac16900c5eb337458 afea412a57f92bf92a995c7b068353:4988410fc26869297cfaa5002feb2f13
O18 – Filter: text/html – {229F8A67–DD66–4B8C–94ED–B1C1B2734B5B} – (no file)
O18 – Filter: text/plain – {229F8A67–DD66–4B8C–94ED–B1C1B2734B5B} – (no file)
O2 – BHO: (no name) – {00320615–B6C2–40A6–8F99–F1C52D674FAD} – (no file)
Poszukaj rowniez pliku localNRD.dll
O23 – Service: Power Manager (PowerManager) – Unknown owner – C:\WINDOWS\svchost.exe (file missing)
Prawdziwy svchost znajduje sie w system32 i nie uruchamia sie jako usługa.
Odpalasz services.msc, zatrzymujesz usługe Power Manager
Otwierasz Hijacka, Config >> Misc Tools >> Delete an NT service >> wpisujesz: PowerManager, potwierdzasz
Resetujesz system i pozbywasz sie lewego pliku z podanej lokalizacji
Sam instalowałes WinPcap ??
W przyklejonym FAQ znajdziesz linka do fixa se.dll. Uzyj go i pozniej usuwaj:
Wpisy O23 po Pandzie rowniez mozesz usunac. Po Bitdefender identycznie.
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\se.dll/sp.html
R1 – HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\se.dll/sp.html
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 – HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R3 – URLSearchHook: (no name) – {8952A998–1E7E–4716–B23D–3DBE03910972} – (no file)
O2 – BHO: (no name) – {00320615–B6C2–40A6–8F99–F1C52D674FAD} – (no file)
O2 – BHO: (no name) – {7012A191–2B5A–4AA9–8013–34E3889C6156} – (no file)
O9 – Extra button: (no name) – {CD67F990–D8E9–11d2–98FE–00C0F0318AFE} – (no file)
O16 – DPF: {15AD4789–CDB4–47E1–A9DA–992EE8E6BAD6} – http://public.windupdates.com/get_file.php? bt=ie&p=d9e142b50554d145ae1adefa032956f30588130c7a248 97b98c70b21112bdefdf8e14f292f641a9fbac16900c5eb337458 afea412a57f92bf92a995c7b068353:4988410fc26869297cfaa5002feb2f13
O18 – Filter: text/html – {229F8A67–DD66–4B8C–94ED–B1C1B2734B5B} – (no file)
O18 – Filter: text/plain – {229F8A67–DD66–4B8C–94ED–B1C1B2734B5B} – (no file)
O23 – Service: Power Manager (PowerManager) – Unknown owner – C:\WINDOWS\svchost.exe (file missing)
O23 – Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) – Unknown owner – %ProgramFiles%\WinPcap\rpcapd.exe" –d –f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
Wpisy O23 po Pandzie rowniez mozesz usunac. Po Bitdefender identycznie.
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\se.dll/sp.html
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl/
R1 – HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\se.dll/sp.html
na czysto widze dwa wpisy
oprocz onetu :D
na drugie Flaszgeta masz darmowego??? jesli tak to go wywal
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl/
R1 – HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\se.dll/sp.html
na czysto widze dwa wpisy
oprocz onetu :D
na drugie Flaszgeta masz darmowego??? jesli tak to go wywal