Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek dla www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

falszywa tapeta(warning you're in danger)

24 Lut 2005 15:14 1827 7
  • Poziom 11  
    scan z hijackthis:
    Logfile of HijackThis v1.99.1
    Scan saved at 14:35:54, on 2005-02-24
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\acs.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
    C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
    C:\Program Files\Ad-Protect\ad-protect.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\Gadu-Gadu\gg.exe
    C:\Program Files\Ad-Protect\ad-protect.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Documents and Settings\Athlon\Dane aplikacji\atpc.exe
    C:\Program Files\PLANET WL-8310\WLANPRO.exe
    C:\WINDOWS\System32\wuauclt.exe
    C:\WINDOWS\System32\wuauclt.exe
    C:\Program Files\Microsoft Office\Office\WINWORD.EXE
    C:\WINDOWS\msagent\AgentSvr.exe
    A:\hijackthis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: Tubby - {9EAC0102-5E61-2312-BC2D-4D54434D5443} - C:\WINDOWS\System32\MTC.dll
    O2 - BHO: CIEExtension Object - {B51DC573-E998-4834-9B45-BAB7C2AE0A75} - C:\Program Files\Ad-Protect\ADPIEmonitor.dll
    O2 - BHO: Cls - {CF021F40-3E14-23A5-CBA2-7173706D1316} - C:\WINDOWS\System32\spm1316.dll
    O2 - BHO: Cls - {CF021F40-3E14-23A5-CBA2-717765721316} - C:\WINDOWS\System32\wer1316.dll
    O2 - BHO: (no name) - {E8168349-2DA4-4B75-8AD1-B23486B5D2F3} - C:\WINDOWS\System32\bbaf.dll
    O3 - Toolbar: Search Toolbar - {9EAC0102-5E61-2312-BC2D-4D54434D5443} - C:\WINDOWS\System32\MTC.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
    O4 - HKLM\..\Run: [Ad-Protect] C:\Program Files\Ad-Protect\ad-protect.exe /s
    O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\runsrv32.exe
    O4 - HKCU\..\Run: [Spyware Vanisher] c:\spywarevanisher-free\FreeScanner.exe -FastScan
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [Aiso] C:\Documents and Settings\Athlon\Dane aplikacji\atpc.exe
    O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\runsrv32.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
    O4 - Global Startup: PLANET WL-8310 Configuration Utility.lnk = ?
    O4 - Global Startup: Reg.lnk = ?
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C: oo.mht!http://195.225.177.13/11221/online.chm::/on-line.exe
    O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7m.cab
    O16 - DPF: {11111111-1111-1111-1111-511111113457} - file://c:\x.cab
    O16 - DPF: {11111111-1111-1111-1111-511111113458} - file://c:\x.cab
    O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://c:\nosuch.mht!http://www.foxik.com/6/files.chm::/file.exe
    O16 - DPF: {9EAC0102-5E61-2312-BC2D-000000000000} (Search Toolbar) - http://www.awmdabest.com/cabl/195/tubby.cab
    O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - file://c:\x.cab
    O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{9E59E910-7042-4612-8FBC-E4B4F195DBBE}: NameServer = 192.168.5.49
    O18 - Filter: text/html - {9F62BA16-1CFD-40F8-A105-1BD6A7CF8BD8} - C:\WINDOWS\System32\bbaf.dll
    O18 - Filter: text/plain - {9F62BA16-1CFD-40F8-A105-1BD6A7CF8BD8} - C:\WINDOWS\System32\bbaf.dll
    O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2 (file missing)
    O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\System32\acs.exe
    O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

    moze Wy cos zaradzicie:)
  • Spec od komputerów
    Gdzie masz chociaz SP1 ? Do tego masz stare IE.
    www.windowsupdate.com i to juz.
    Nastepnie przeskanuj SpyBot S&D i zainstaluj SpywareBlaster + firewall i antyvirus.Przeskanuj jakims skanerem online na poczatek linki masz w przyklejonym poscie.
    I dopiero zrob log z hijackthis, a co do tego to tutaj masz:
    http://www.hijackthis.de/logfiles/9303456d4635e6b6f402792f32778ff1.html

    Czerwone mozesz usunac odrazu, co do zoltych to wpisuj kazdy plik w google i zobacz co o nim pisza, jak nie znajdzie nic to mozesz usunac, jak bedzie napisane ze to spyware/trojan to tez usun :-)
  • Poziom 12  
    Ja widzę tutaj coś takiego:

    sop napisał:
    scan z hijackthis:
    Logfile of HijackThis v1.99.1
    Scan saved at 14:35:54, on 2005-02-24
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe - usługa systemowa
    C:\WINDOWS\system32\winlogon.exe - usługa systemowa
    C:\WINDOWS\system32\services.exe - usługa systemowa
    C:\WINDOWS\system32\lsass.exe - usługa systemowa
    C:\WINDOWS\system32\svchost.exe - usługa systemowa (lokalna)
    C:\WINDOWS\System32\svchost.exe - usługa systemowa (sieciowa)
    C:\WINDOWS\System32\acs.exe - NAD TYM SIĘ ZASTANÓW, czy nie jest to program zainstalowany przez Ciebie!
    C:\WINDOWS\Explorer.EXE - Explorator Windows
    C:\WINDOWS\system32\spoolsv.exe - bufor wydruku
    C:\WINDOWS\System32\nvsvc32.exe - Zarządza kartą NVidia
    C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe - Java, ikona z miśkiem, JEDYNA IKONA Z MIŚKIEM, która może znajdować się w twoim kompie, każda inna to problemy
    C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe - zarządzanie drukarką HP (masz ikonkę w tray'u)
    C:\Program Files\Ad-Protect\ad-protect.exe - tym chyba chcesz usuwać trojany/oprogramowanie szpiegujące, ale możesz spokojnie odinstalować, bo jak widać nie zdaje egzaminu u Ciebie
    C:\Program Files\Messenger\msmsgs.exe - WindowsMessenger - otwórz go i w opcjachustaw, żebynie uruchamiał się przy starcie - no, chyba, że go używasz, ale raczej nie, bo masz GG :>
    C:\Program Files\Gadu-Gadu\gg.exe - GG
    C:\Program Files\Ad-Protect\ad-protect.exe - teraz widzę, że to jest jeden z twoich problemów, na pewno odinstaluj AD-Protect, bo nie powinien sioę uruchamiać 2 razy, jeśli to jest normalny program
    C:\WINDOWS\System32\ctfmon.exe - Masz SoundBlaster Live albo Audigy :))
    C:\Documents and Settings\Athlon\Dane aplikacji\atpc.exe - to też jakiś twój program
    C:\Program Files\PLANET WL-8310\WLANPRO.exe - korzystasz z radiówki :)))
    C:\WINDOWS\System32\wuauclt.exe - WindowsUpdate
    C:\WINDOWS\System32\wuauclt.exe - WindowsUpdate
    C:\Program Files\Microsoft Office\Office\WINWORD.EXE - miałeś uruchomionego Worda kiedy skanowałeś system
    C:\WINDOWS\msagent\AgentSvr.exe - menedżer zadań Windowsa, ja go zawsze wyłączam
    A:\hijackthis\HijackThis.exe - stąd wyciągnąłeś loga

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure - OK
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure - OK
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure - OK
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure - OK
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure - OK
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure - OK
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank - OK
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank - OK
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - OK
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza - OK
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll - OK
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll - OK
    O2 - BHO: Tubby - {9EAC0102-5E61-2312-BC2D-4D54434D5443} - C:\WINDOWS\System32\MTC.dll - To nie wiem co to jest, ale raczej OK, bo chyba zainstalowałeś sobie dodatkowy ToolBar do IE
    O2 - BHO: CIEExtension Object - {B51DC573-E998-4834-9B45-BAB7C2AE0A75} - C:\Program Files\Ad-Protect\ADPIEmonitor.dll - OK
    O2 - BHO: Cls - {CF021F40-3E14-23A5-CBA2-7173706D1316} - C:\WINDOWS\System32\spm1316.dll - OK
    O2 - BHO: Cls - {CF021F40-3E14-23A5-CBA2-717765721316} - C:\WINDOWS\System32\wer1316.dll - OK
    O2 - BHO: (no name) - {E8168349-2DA4-4B75-8AD1-B23486B5D2F3} - C:\WINDOWS\System32\bbaf.dll - OK
    O3 - Toolbar: Search Toolbar - {9EAC0102-5E61-2312-BC2D-4D54434D5443} - C:\WINDOWS\System32\MTC.dll - No właśnie.... Tolbar do IE
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx - OK
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe - OK
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install - wstawia Ci ikonkę nVidia do tray'a
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE - plik systemowy, uruchamia biblioteki, np user32.dll
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe - Masz nero z uruchomionym Nero SmartStart
    O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe - Drukarka HP DeskJet
    O4 - HKLM\..\Run: [Ad-Protect] C:\Program Files\Ad-Protect\ad-protect.exe /s - Znowu ten AD-PROTECT... Ja bym go odinstalował...
    O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\runsrv32.exe - to powinieneś zobaczyć tylko jeden raz, wskazuje na to "RunOnce", ale nawet jak tak nier jest, to nic nie szkodzi
    O4 - HKCU\..\Run: [Spyware Vanisher] c:\spywarevanisher-free\FreeScanner.exe -FastScan - to też odinstaluj, bo nie spełnia swojej funkcji
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background - to znaczy, że MsMessenger uruchamia się przy starcie Windows, wyłącz w opcjach
    O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray - GG w tray'u, jeśli usuniesz "/tray" to przy starcie otworzy normalne okno
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe - Creative SoundBlaster Live/Audigy
    O4 - HKCU\..\Run: [Aiso] C:\Documents and Settings\Athlon\Dane aplikacji\atpc.exe - to jakiś twój program, ale sam wiesz od czego :)))
    O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\runsrv32.exev - nie przeszkadza
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE - to należy do MsOffice, od Office 97 zawsze jest instalowany, jeśli usuniesz ikonkę z Autostart, to nie będzie się pojawiało. Nie zauważyłem błędów w pracy Office po usunięciu tej ikonki
    O4 - Global Startup: PLANET WL-8310 Configuration Utility.lnk = ? - Radiówka
    O4 - Global Startup: Reg.lnk = ? - to niby skanowanie rejestru
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll - Znowu Sun JAVA
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll - Znowu JAVA
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm - ikonka "Pokaż pokrewne" w IE
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm - jak wyżej
    O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C: oo.mht!http://195.225.177.13/11221/online.chm::/on-line.exe - to jakiś plik pomocy, ale głowy sobie uciąć nie dam
    O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7m.cab - JAVA, archiwum chyba instalacyjne
    O16 - DPF: {11111111-1111-1111-1111-511111113457} - file://c:\x.cab - znowu archiwum
    O16 - DPF: {11111111-1111-1111-1111-511111113458} - file://c:\x.cab - jak wyżej
    O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://c:\nosuch.mht!http://www.foxik.com/6/files.chm::/file.exe - to grzecznie informuje Cię, że nie ma takiego pliku tutaj albo tam :))
    O16 - DPF: {9EAC0102-5E61-2312-BC2D-000000000000} (Search Toolbar) - http://www.awmdabest.com/cabl/195/tubby.cab - to jest twój toolbar do IE
    O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - file://c:\x.cab - Ech... znowu? Co ty ładujesz do tego kompa?
    O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab - Naprawdę DOBRY pomysł - używaj jak najczęściej!
    O17 - HKLM\System\CCS\Services\Tcpip\..\{9E59E910-7042-4612-8FBC-E4B4F195DBBE}: NameServer = 192.168.5.49 - to ma związek z twoją radiówką, tylko nie pasuje mi to 49 na końcu IP, w każdym razie to serwer DNS
    O18 - Filter: text/html - {9F62BA16-1CFD-40F8-A105-1BD6A7CF8BD8} - C:\WINDOWS\System32\bbaf.dll - nie wiem co to może być, ale raczej nie o to chodzi w twoim przypadku
    O18 - Filter: text/plain - {9F62BA16-1CFD-40F8-A105-1BD6A7CF8BD8} - C:\WINDOWS\System32\bbaf.dll - jak wyżej
    O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2 (file missing) - brakuje jakiegoś pliku systemowego, być może przypadkiem go usunąłeś, ale możliwe, że zrobił to MKS.
    O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\System32\acs.exe - to jakiś twój program
    O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe - sam wiesz...

    moze Wy cos zaradzicie:)


    Owszem, poradzę, ale tylko w małym stopniu. Bo sam nie wiem dokładnie jak to usunąć, nie jestem technikiem informatykiem.
    Problem w tym, że dałeś sobie odpalić na kompie jakiegoś cookie z netu, który zainstalował Ci w kompie pewien plik, który uruchamia się przy każdym starcie Windowsa i zmienia Ci domyślne ustawienia IE. Nie znajdziesz go, bo zmienia swoją nazwę przy każdym uruchomieniu.
    Założę się, że wygląda to tak:
    Uruchamiasz IE, w IE widzisz na starcie jakąś stronkę, do której zawsze trafisz cokolwiek byś nie wpisał w miejscu URL.
    Jak zamkniesz Ie, to i tak na całym ekranie widzisz "You're in danger".
    Na krótką chwilę pomoże kombinacja ctrl+alt+del i zamknięcie wszystkich procesów "iexplore.exe" - 100% pewności...
    No tak, ale po uruchomieniu IE sytuacja wróci do normy.

    Rady:
    Po pierwsze kombinacja ctrl+alt+del
    W TaskManagerze zakładka procesy i klik w "Nazwa użytkownika" - posortuje Ci procesy i te, które są uruchomione niby przez Ciebie będą u góry.
    Zamykasz wszystkie procesy, które są "dziwne", tzn. patrz wyżej jak opisałem tego loga. Pierwszym celem są te o nazwach typu "aaafgty" albo coś takiego. Zapisuj nazwy - WAŻNE!!!
    Jak pozamykasz te "dziwne" procesy, to odpal IE i wyczyść cache z plików cookie, w ogóle wszystko wyczyść. Zmień stronę startową na np. http://www.google.pl. NIE zamykaj IE!
    Jeszcze raz task manager i zobacz, czy któryś z "dziwnych procesów się nie pojawił, jeśli tak, to go wywal jeszcze raz.
    Teraz zapisz ustawienia IE, zamknij go i otwórz ponownie - powinien powitać Cię google :))
    Jeśli tak się nie stało, to jeszcze raz to samo, ale spróbuj pozamieniać kolejność kroków. Musi zadziałać!

    Teraz uruchamiasz "regedit" (edytor rejestru systemowego)
    w edytorze dajesz wyszukiwanie i szukasz "http://"
    Potem szukasz następnych itd... Zamiast Edycja->Znajdź następny możesz naciskać klawisz F3
    Każdy klucz, który znajdzie w rejestrze, a który zaczyna się od http:// i nie jest to podobne do http://msnsearch (MicroSoftNetwork) to jest twój problem.
    Teraz zamieniaj wszystko na np. http://www.google.pl
    Aha! Adresów, które są "poprawne" = tj. np. java.com albo jakieś inne znane - nie zmieniaj, zostaw jak są, bo nie ma potrzeby.
    Możesz też zostawić wszystkie klucze typu "Helplink", "urlupdateinfo", "urlinfoabout" bez zmian, bo to i tak nic nie da.
    Zmnieniaj tylko te, które mają jakieś dziwne numerki, albo te, które widzisz przy starcie IE w polu URL - trochę odwagi, na pewno zajarzysz o co chodzi :)) Po prostu czytaj nazwy kluczy (albo ogólnie to co widzisz nad/pod danym kluczem) i będziesz wiedział co i jak.

    UWAŻAJ!!!UWAŻAJ!!!
    Bo w końcu jeden z kluczy będzie się nazywał "DefaultPrefix" - i ten i TYLKO ten klucz ma mieć wartość "http://" jest to wartość, którą zarówno IE jak i mozilla czy opera wstawia jako domyślny przedrostek do URL. Np. jeśli wpisujesz "www.onet.pl", to wtedy IE interpretuje to jako "http://www.onet.pl" bo dopisuje sobie sam ten przedrostek.
    Możliwe, że powtarza się dwa albo trzy razy. Tak samo z kluczem "Prefixes"

    Dobra... Przeleciałeś cały rejestr... Teraz wróć spowrotem na początek rejestru i terazszukaj "Run", ale zaznacz opcję, żeby wyszukiwał tylko całe ciągi. Trafisz na klucz, w którym są wpisane wszystkie programy uruchamiane przystarcie systemu.
    Zostaw to co jest potrzebne, czyli w Twoim przypadku będzie jakoś tak:
    GG
    NeroCheck
    SunJavaUpdateShed (jushed.exe)
    (ctfmon.exe)
    NvidiaDisplay (nwiz.exe)
    (hpztsb05.exe)
    (wlanpro.exe)
    i jeszcze parę innych
    Jeśli nazwa Ci nie pasuje, tzn. nie instalowałeś takiego programu to wywal śmiało - najwyżej przestanie coś działać i zainstalujesz jeszcze raz.
    To co pousuwasz, to zapisz na boku - WAŻNE!
    Klucz "Run" powtarza się 3-4 razy i w każdym jest trochę inaczej, ale zasada jak wyżej.
    teraz szukaj "RunOnce" (też zaznacz "wyszukuj tylko całe ciągi")- tutaj nic nie powinno być, o ile akurat nie uruchamiałeś żadnego instalatora/deinstalatora

    Dobra... Procesy pozamykane, rejestr wyczyszczony...

    Teraz możesz spróbować złowić tego robala... Raczej się nie uda, ale....
    Start->wyszukaj->pliki lub foldery
    W zaawansowanych ustawieniach zaznaczasz, żeby szukał w folderach systemowych i ukrytych... gdzieś franca siedzi, chociaż wątpię, że go znajdziesz, ale spróbować warto.
    O ile wiem, to siedzi gdzieś w C:\Documents and Settings\NetworkService\Ustawienia lokalne\Temporary Internet Files\Content.IE5
    tutaj masz jeszcze kilka folderów, zależnie od tego jak intensywnie korzystasz z kompa, ale gdzieś tutaj na bank.
    Jak nie tutaj, to leć po kolei wszystko co masz w "Documents and Settings" - gdzieś znajdziesz cholerstwo.
    Aha, dobrze, jeśli w widoku folderu uaktywnisz opcję "pokazuj foldery ukryte i systemowe" bo inaczej to tylko dokumenty zobaczysz :P
    Nawet jak go nie usuniesz, to sprawa wróci w 99% do normy, bo wywaliłeś wpisy z rejestru.
    Piszę, że w 99%, bo ostatnio przeprowadzałem taką operację jakieś pół roku temu i teraz dokładnie nie pamiętam co i jak, ale wiem, że NA 100% da się kompa wyleczyć!.

    Teraz pozdrowienia dla Pana/i KOLOBOS...
    Jak na specjalistę z trzecim poziomem, to po pierwsze nawet nie zadał sobie trudu przeczytania twojego postu i powinien wiedzieć, że tego nie usuniesz żadnym AD-warem czy czymś takim, bo nie jest to robal szkodliwy w sensie szkód dla systemu. Po prostu operuje w odpowiedni sposób przeglądarką internetową i nic poza tym; nic nie wysyła do sieci ani nie infekuje żadnych plików. To dlatego nie ma nic na ten temat w raporcie z hijackthis. Musisz to wywalić ręcznie i inaczej się nie da!

    Powodzenia!

    PS: Nawet jak Ci się nie powiedzie, to zrób reinstall systemu i zainstaluj wszystkie poprawki a na pewno ServicePack2 - ma taki fajny system blokowania niepożądanych programów. Jeśli nie masz windowsa, który by przyjął SP2, to zainstaluj sobie np. ZoneAlarm - też blokuje działanie programów, których sam nie chcesz uruchomić.

    Dodano po 10 [minuty]:

    Uffff. Ciężko było, ale jakoś wybrnąłem...

    Zapomniałem tylko dopisać, że jest też całkiem możliwe, że problem siedzi tylko w rejestrze, a programu żadnego nie ma, ale do tego dojdziesz sam.

    Jeszcze raz Powodzenia!
  • Poziom 32  
    Witam.

    A gdzie program antywirusowy?

    C:\WINDOWS\Temporary Internet Files\Content.IE5\6RW6KUIQ\viewtopic[4].htm

    C:\WINDOWS\Temporary Internet Files\Content.IE5\81IBW5UZ\viewtopic[5].htm

    C:\WINDOWS\Temporary Internet Files\Content.IE5\6RW6KUIQ\posting[1].htm

    Zainfekowanyny wirusem: Bloodhound.Exploit.6

    Pozdrawiam.
  • Poziom 12  
    elbob napisał:
    Witam.

    A gdzie program antywirusowy?

    C:\WINDOWS\Temporary Internet Files\Content.IE5\6RW6KUIQ\viewtopic[4].htm

    C:\WINDOWS\Temporary Internet Files\Content.IE5\81IBW5UZ\viewtopic[5].htm

    C:\WINDOWS\Temporary Internet Files\Content.IE5\6RW6KUIQ\posting[1].htm

    Zainfekowanyny wirusem: Bloodhound.Exploit.6

    Pozdrawiam.


    Nie ma żadnego wirusa...
    Nie wiem, czy patrzycie, ale w logu widać "MKS_Vir Skaner Online"
    Chyba mi nie wciśniecie kitu, że MKS_Vir jest nieaktualny, albo nie widzi jakiegoś Bloodhound.Exploit.6
  • Poziom 32  
    Sir_Hans napisał:


    Nie ma żadnego wirusa...
    Nie wiem, czy patrzycie, ale w logu widać "MKS_Vir Skaner Online"
    Chyba mi nie wciśniecie kitu, że MKS_Vir jest nieaktualny, albo nie widzi jakiegoś Bloodhound.Exploit.6


    Witam.

    Może tak a może nie - dla zainteresowanych -

    http://www.google.pl/search?hl=pl&q=Blood....6&btnG=Szukaj+z+Google%21&lr=lang_pl

    http://securityresponse.symantec.com/avcenter/venc/data/bloodhound.exploit.6.html

    Pozdrawiam.
  • Spec od komputerów
    :arrow: Sir_Hans
    Nie ukrywam, ze Twoja analiza loga troche mnie rozbawila, tak samo jak to co do mnie napisales ;-) W przeciwienstwie do Ciebie ja wiem co pisze i co trzeba zrobic, za to Ty wprowadzasz tylko autora w blad i radzisz mu reinstalacje systemu.
    I nic nie da tutaj zamykanie IE skoro strona jest na plupicie ale wystarczy wylaczyc active desktop i zniknie, nie trzeba nic cudowac.Do tego jedyne na czym sie skoncentrowales to IE, mimo ze autor ma tone dialerow/trojanow/spyware'u, ktore dla Ciebie sa normalnymi plikami oraz plikami pomocy.W koncu active desktop nie ustawil sie sam wiec trzeba usunac caly spyware itp.
    Nie trzeba nic zmieniac w rejestrze od tego jest hijackthis, ktory pokazuje co nalezy usunac i mozna to zrobic przy jego pomocy.
    Na przyszlosc zastanow sie przed napisaniem takiego posta.

    A co do Bloodhound.Exploit.6 to jak to okresliles pliki pomocy ;-)

    O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://c:\nosuch.mht!http://www.foxik.com/6/files.chm::/file.exe - to grzecznie informuje Cię, że nie ma takiego pliku tutaj albo tam )
    O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://c:\nosuch.mht!http://www.foxik.com/6/files.chm::/file.exe - to grzecznie informuje Cię, że nie ma takiego pliku tutaj albo tam )

    Chyba kazdy normalny antyvirus pokazuje alarm :-)

    :arrow: sop
    Teraz podam wlasciwa analize loga, chociaz mialem tego nie robic, ale jak widze cos takiego to chyba musze ;-)

    Najpierw zamknac w menadzerze zadan:
    C:\Program Files\Ad-Protect\ad-protect.exe
    C:\Program Files\Ad-Protect\ad-protect.exe
    C:\Documents and Settings\Athlon\Dane aplikacji\atpc.exe

    Nastepnie przy uzyciu hijackthis:
    wszystkie R1 i R0
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
    O2 - BHO: Tubby - {9EAC0102-5E61-2312-BC2D-4D54434D5443} - C:\WINDOWS\System32\MTC.dll
    O2 - BHO: CIEExtension Object - {B51DC573-E998-4834-9B45-BAB7C2AE0A75} - C:\Program Files\Ad-Protect\ADPIEmonitor.dll
    O2 - BHO: Cls - {CF021F40-3E14-23A5-CBA2-7173706D1316} - C:\WINDOWS\System32\spm1316.dll
    O2 - BHO: Cls - {CF021F40-3E14-23A5-CBA2-717765721316} - C:\WINDOWS\System32\wer1316.dll
    O2 - BHO: (no name) - {E8168349-2DA4-4B75-8AD1-B23486B5D2F3} - C:\WINDOWS\System32\bbaf.dll
    O3 - Toolbar: Search Toolbar - {9EAC0102-5E61-2312-BC2D-4D54434D5443} - C:\WINDOWS\System32\MTC.dll
    O4 - HKLM\..\Run: [Ad-Protect] C:\Program Files\Ad-Protect\ad-protect.exe /s <- to tez wywal
    O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\runsrv32.exe
    O4 - HKCU\..\Run: [Spyware Vanisher] c:\spywarevanisher-free\FreeScanner.exe -FastScan <- skoro masz SpyBot'a to usun to (odinstaluj)
    O4 - HKCU\..\Run: [Aiso] C:\Documents and Settings\Athlon\Dane aplikacji\atpc.exe
    O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\runsrv32.exe
    O4 - Global Startup: Reg.lnk = ? <- co to za skrot? sprawdz to i jak nie jest to nic co znasz to usun
    O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C: oo.mht!http://195.225.177.13/11221/online.chm::/on-line.exe
    O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7m.cab
    O16 - DPF: {11111111-1111-1111-1111-511111113457} - file://c:\x.cab
    O16 - DPF: {11111111-1111-1111-1111-511111113458} - file://c:\x.cab
    O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://c:\nosuch.mht!http://www.foxik.com/6/files.chm::/file.exe
    O16 - DPF: {9EAC0102-5E61-2312-BC2D-000000000000} (Search Toolbar) - http://www.awmdabest.com/cabl/195/tubby.cab
    O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - file://c:\x.cab
    O18 - Filter: text/html - {9F62BA16-1CFD-40F8-A105-1BD6A7CF8BD8} - C:\WINDOWS\System32\bbaf.dll
    O18 - Filter: text/plain - {9F62BA16-1CFD-40F8-A105-1BD6A7CF8BD8} - C:\WINDOWS\System32\bbaf.dll
    O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2 (file missing)

    Oczywiscie wylacz tez wspomniany wczesniej Active Destkop, znajdziesz go we wlasciwosciach ekranu w Panelu Sterowania.
  • Poziom 17  
    Spy Sweeper - Do usuwania programów szpiegujących, zmieniających domyślną stronę startową przeglądarki itd.