Dzikie linki w Ulubionych


(Lila) #1

Tak, jak w temacie. W Ulubionych wciaz pojawiaja mi sie odsylacze do stron pornograficznych, wciaz tych samych (to wkurzajace i nudne, bo juz je cale znam :lol: ). Ja je wywalam, a one z powrotem. Czyscilam juz rejestry jv16pt, sprawdzalam Antispyware i Avast. Czysto. Co to moze byc?


(La Verdad) #2

daj loga z hijacka


(Kuz5) #3

A ciachnij je w trybie awaryjnym z wyłączonym przywracaniem systemu.

Nie zaszkodzi jak go zapodasz.

Zrób skan programami:

:arrow: PestPatrol

:arrow: Spybot Search & Destroy 1.4

:arrow: Ad-aware SE Personal

:arrow: CWShredder


(Lila) #4

Oto moj log:

Logfile of HijackThis v1.99.1

Scan saved at 17:53:04, on 2005-07-08

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\mszy.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\iprw32.exe

C:\Program Files\Microsoft AntiSpyware\gcasServ.exe

C:\WINDOWS\SYSTEM32\qttask.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\OpenOffice.org1.1.3\program\soffice.exe

C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe

C:\WINDOWS\system32\win32.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Windows Media Player\wmplayer.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\DOCUME~1\trala\USTAWI~1\Temp\Katalog tymczasowy 2 dla hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\jmcxw.dll/sp.html#55135

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\jmcxw.dll/sp.html#55135

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\jmcxw.dll/sp.html#55135

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\jmcxw.dll/sp.html#55135

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\jmcxw.dll/sp.html#55135

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\jmcxw.dll/sp.html#55135

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\jmcxw.dll/sp.html#55135

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.aster.pl/aster.pac

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Á´˝Ó

R3 - Default URLSearchHook is missing

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0 CE\READER\ACTIVEX\ACROIEHELPER.OCX

O2 - BHO: Class - {7F1029E8-9DB7-E8D4-F170-3D4D58BD46F6} - C:\WINDOWS\system32\ntzh.dll

O2 - BHO: Class - {8E869DA4-13C2-5AA0-B6F2-F22912FA2161} - C:\WINDOWS\system32\ntzh.dll

O2 - BHO: Class - {A834AC59-2634-D4B7-4DAA-AF1DF490683A} - C:\WINDOWS\system32\ntzh.dll

O2 - BHO: Class - {A9659AEA-2632-DFBF-F6E1-3F28772CC3D1} - C:\WINDOWS\system32\ntzh.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O2 - BHO: Class - {B4A66C99-C92B-7841-7ACF-6680078422AD} - C:\WINDOWS\system32\ntzh.dll

O2 - BHO: Class - {FE151F00-353B-C722-83B9-392A8A0FE913} - C:\WINDOWS\system32\ntzh.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM..\Run: [internat.exe] internat.exe

O4 - HKLM..\Run: [Zasobnik systemowy] SysTray.Exe

O4 - HKLM..\Run: [iexplore.exe] C:\Program Files\Internet Explorer\iexplore.exe

O4 - HKLM..\Run: [iprw32.exe] C:\WINDOWS\system32\iprw32.exe

O4 - HKLM..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKLM..\Run: [ield.exe] C:\WINDOWS\system32\ield.exe

O4 - HKLM..\Run: [iphl32.exe] C:\WINDOWS\system32\iphl32.exe

O4 - HKLM..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM32\qttask.exe" -atboottime

O4 - HKLM..\RunOnce: [mszy.exe] C:\WINDOWS\mszy.exe

O4 - HKCU..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU..\Run: [wupd] C:\WINDOWS\system32\win32.exe

O4 - HKCU..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - Global Startup: OpenOffice.org 1.1.3.lnk = C:\Program Files\OpenOffice.org1.1.3\program\quickstart.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Translate into English - res://c:\program files\google\GoogleToolbar1.dll/cmtrans.html

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O15 - Trusted Zone: *.slotchbar.com

O15 - Trusted Zone: *.ysbweb.com

O15 - Trusted Zone: *.slotchbar.com (HKLM)

O15 - Trusted Zone: *.ysbweb.com (HKLM)

O15 - Trusted IP range: 81.222.131.59

O15 - Trusted IP range: 81.222.131.59 (HKLM)

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid= ... lcid=0x409

O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/activex/EP ... 0-3-18.cab

O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/games-ww/plw/games4.cab

O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite.ne ... tector.cab

O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·şÄÖ`I) - Unknown owner - C:\WINDOWS\system32\appya.exe

O23 - Service: Macromedia Licensing Service - Macromedia - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe


(La Verdad) #5

to usuwasz


(Lila) #6

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - to tez?


(Vidia1) #7

la_verdad - nie podałeś wszystkich szkodliwych wpisów.

To napewno nie jest potrzebne:

info :arrow: http://www.searchengines.pl/phpbb203/in ... ntry105446

banzai_bin koniecznie poczekaj, aż jeszcze ktoś sprawdzi tego loga :!: :roll:


(boczi) #8

http://hijackthis.prv.pl

I długa praca, obserwacja "sprawdzaczy" i znajomość wielu procesów systemowych.

Dodam, że wszystkie wpisy kasujesz w trybie awaryjnym z wyłączonym przywracniem systemu!


(Lila) #9

w trybie awaryjnym z wyłączonym przywracniem systemu

hmmm. Nigdy tego nie robilam. Tzn. wiem jak sie uruchamia w awaryjnym (F 8 ). I z odłączonym netem. Ale jak sie usuwa chwasty? Moge prosic bardziej lopatologicznie? Tak dla lamy? :slight_smile:


(boczi) #10

Wszystkie czynności wykonujesz w trybie awaryjnym [F8] w czasie bootowania komputera z wyłączonym przywracaniem systemu. Gdybyś nie wiedział, jak to zrobić, zobacz TU.


(Daro U) #11

że się tak wyrażę, te wpisy to kolega banzai_bin ma prawidłowe, bo coś nikt o nich nie wspomina, a nigdy się z nimi nie spotkałem, system też takowych plików nie posiada


(La Verdad) #12

czemu jak wchodze na te stronke to nie chce jej wyświetlić? czy to prawidłowa stronka ??


(boczi) #13

Mi się wyświetla.

Jest to alias do adresu:

http://forum.dobreprogramy.pl/viewtopic.php?t=17593

Moze podsumuję, co usunąć, bo bałagan się zrobił.

Przyda się KillBox do usuwania plików z systemu. Pogrubione pliki/foldery usuwasz.

http://www.downloads.subratam.org/KillBox.zip

Info:

Odpalasz Killboxa zaznacz opcję Delete on Reboot następnie w polu Full Path of File to Delete wklej ścieżkę (przykład):

C:\WINDOWS\System32\xxx.exe

następnie program będzie pytał o restart (oczywiście zgadzasz się).

C:\WINDOWS\ mszy.exe

C:\WINDOWS\system32\ iprw32.exe

C:\WINDOWS\system32\ win32.exe

C:\WINDOWS\system32\ ntzh.dll

Z Hijackthis kasujesz:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\jmcxw.dll/sp.html#55135

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\jmcxw.dll/sp.html#55135

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\jmcxw.dll/sp.html#55135

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\jmcxw.dll/sp.html#55135

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\jmcxw.dll/sp.html#55135

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\jmcxw.dll/sp.html#55135

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\jmcxw.dll/sp.html#55135

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet 


R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Á´˝Ó

R3 - Default URLSearchHook is missing

Kasujesz także wpisy 015:

O15 - Trusted Zone: *.slotchbar.com

O15 - Trusted Zone: *.ysbweb.com

O15 - Trusted Zone: *.slotchbar.com (HKLM)

O15 - Trusted Zone: *.ysbweb.com (HKLM)

O15 - Trusted IP range: 81.222.131.59

O15 - Trusted IP range: 81.222.131.59 (HKLM)

Jeśli któreś będą powracały, używasz KillTrusted 0.6.http://www.searchengines.pl/phpbb203/in ... opic=26221Kasacja kontrolek:

O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/games-ww/plw/games4.cab

Na razie to tyle, zastanawiam się jeszcze nad wpisem:

O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·şÄÖ`I) - Unknown owner - C:\WINDOWS\system32\appya.exe

Po tych znaczkach i żadnego info w Google śmiem twierdzić, że to syf.

Kasacja także więc:

C:\WINDOWS\system32\ appya.exe

Po czynnościach skan skanerami online i programami anty:

Zrób skan programami:

:arrow: PestPatrol

:arrow: Spybot Search & Destroy 1.4

:arrow: Ad-aware SE Personal

:arrow: CWShredder

I nowy log.


(Czornyaa) #14

jonias zostaw sprawdzanie logow ludziom co sie na tym znaja

to samo dotyczy la_verdad

to jest prawidlowe GoogleToolbar - pasek Google


(Lila) #15

Można też umieścić swojego loga na strnie [http]

Log zostanie sprawdzony automatycznie i zostaną pokazane wyniki dotyczące tego co usunąć a czego nie.


(boczi) #16

Co to ma za znaczenie? Jest to napisane w przyklejonym temacie.

Dałem opis usuwania i zastosuj się do rad.

Tam nie ma sposobów usuwania, etc.

I baardzo często automat się myli.


(Lila) #17

Log po wielkim sprzątaniu. Chyba nie pomogło, bo nadal mam w ulubionych pornoski, a str. główna wciąż blank. Spojrzy ktoś?

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Microsoft AntiSpyware\gcasServ.exe

C:\WINDOWS\system32\ield.exe

C:\WINDOWS\SYSTEM32\qttask.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe

C:\WINDOWS\netui.exe

C:\Program Files\OpenOffice.org1.1.3\program\soffice.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\DOCUME~1\trala\USTAWI~1\Temp\Katalog tymczasowy 6 dla hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\bwzhs.dll/sp.html#55135

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\bwzhs.dll/sp.html#55135

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\bwzhs.dll/sp.html#55135

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\bwzhs.dll/sp.html#55135

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\bwzhs.dll/sp.html#55135

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\bwzhs.dll/sp.html#55135

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\bwzhs.dll/sp.html#55135

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R3 - Default URLSearchHook is missing

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0 CE\READER\ACTIVEX\ACROIEHELPER.OCX

O2 - BHO: Class - {7B852FD1-75E7-FC74-B7E9-ADEF49ABB2B2} - C:\WINDOWS\netui.dll

O4 - HKLM..\Run: [internat.exe] internat.exe

O4 - HKLM..\Run: [Zasobnik systemowy] SysTray.Exe

O4 - HKLM..\Run: [iexplore.exe] C:\Program Files\Internet Explorer\iexplore.exe

O4 - HKLM..\Run: [iprw32.exe] C:\WINDOWS\system32\iprw32.exe

O4 - HKLM..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKLM..\Run: [ield.exe] C:\WINDOWS\system32\ield.exe

O4 - HKLM..\Run: [iphl32.exe] C:\WINDOWS\system32\iphl32.exe

O4 - HKLM..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM32\qttask.exe" -atboottime

O4 - HKLM..\RunOnce: [netui.exe] C:\WINDOWS\netui.exe

O4 - HKCU..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU..\Run: [wupd] C:\WINDOWS\system32\win32.exe

O4 - HKCU..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - Global Startup: OpenOffice.org 1.1.3.lnk = C:\Program Files\OpenOffice.org1.1.3\program\quickstart.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid= ... lcid=0x409

O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/activex/EP ... 0-3-18.cab

O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite.ne ... tector.cab

O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·şÄÖ`I) - Unknown owner - C:\WINDOWS\system32\appya.exe (file missing)

O23 - Service: Macromedia Licensing Service - Macromedia - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe


(boczi) #18

Znów coś wlazło!

Nie widzę antywirusa ani firewalla...

Zainstaluj koniecznie

C:\WINDOWS\system32\ ield.exe

Wywalasz z Hijackthis

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\bwzhs.dll/sp.html#55135

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\bwzhs.dll/sp.html#55135

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\bwzhs.dll/sp.html#55135

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\bwzhs.dll/sp.html#55135

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\bwzhs.dll/sp.html#55135

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\bwzhs.dll/sp.html#55135

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\bwzhs.dll/sp.html#55135

   	R3 - Default URLSearchHook is missing

   	O4 - HKLM\..\Run: [iexplore.exe] C:\Program Files\Internet Explorer\iexplore.exe  	

O4 - HKLM\..\Run: [iprw32.exe] C:\WINDOWS\system32\iprw32.exe

   	O4 - HKLM\..\Run: [ield.exe] C:\WINDOWS\system32\ield.exe

   	O4 - HKLM\..\Run: [iphl32.exe] C:\WINDOWS\system32\iphl32.exe

   	O4 - HKCU\..\Run: [wupd] C:\WINDOWS\system32\win32.exe

Co do wpisu:

Start -> Uruchom -> services.msc

Wyszukujesz tą usługę i zatrzymujesz (szukasz RCP Helper itp.)

I wchodzisz w Hijackthis -> Open the misctools section -> Delete an NT service -> appya.exe

Nowy log.

Skan programami anty!


(Lila) #19

antywir - Avast nic nie wykrywa. Firewalla tez juz mam (chociaz zawalnia system).

-jak zatrzymuję? Nie wciskając Uruchom? Niewiele więcej da się tutaj zrobić. Można jeszcze obejrzeć Właściwości, a tam ścieżka do wykonywalnego:

C:\WINDOWS\system32\appya.exe/s

wyskakuje okno: "Service appya.exe was not found in the Registry. Make sure you entered the short name of the service. , vbExclamation"

Nie ma poprawy, więc

:

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\netui.exe

C:\WINDOWS\msnm32.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\Microsoft AntiSpyware\gcasServ.exe

C:\WINDOWS\SYSTEM32\qttask.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\OpenOffice.org1.1.3\program\soffice.exe

C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\DOCUME~1\trala\USTAWI~1\Temp\Katalog tymczasowy 7 dla hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\bwzhs.dll/sp.html#55135

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\bwzhs.dll/sp.html#55135

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\bwzhs.dll/sp.html#55135

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\bwzhs.dll/sp.html#55135

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\bwzhs.dll/sp.html#55135

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\bwzhs.dll/sp.html#55135

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\bwzhs.dll/sp.html#55135

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R3 - Default URLSearchHook is missing

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0 CE\READER\ACTIVEX\ACROIEHELPER.OCX

O2 - BHO: Class - {7B852FD1-75E7-FC74-B7E9-ADEF49ABB2B2} - C:\WINDOWS\netui.dll

O4 - HKLM..\Run: [internat.exe] internat.exe

O4 - HKLM..\Run: [Zasobnik systemowy] SysTray.Exe

O4 - HKLM..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKLM..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM32\qttask.exe" -atboottime

O4 - HKLM..\Run: [msnm32.exe] C:\WINDOWS\msnm32.exe

O4 - HKLM..\RunOnce: [netui.exe] C:\WINDOWS\netui.exe

O4 - HKCU..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - Global Startup: OpenOffice.org 1.1.3.lnk = C:\Program Files\OpenOffice.org1.1.3\program\quickstart.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid= ... lcid=0x409

O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/activex/EP ... 0-3-18.cab

O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite.ne ... tector.cab

O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·şÄÖ`I) - Unknown owner - C:\WINDOWS\system32\appya.exe (file missing)

O23 - Service: Macromedia Licensing Service - Macromedia - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe


(Musg) #20

na poczatek sciagasz ten program i zamykasz nim wszystkie porty

http://www.amnezja.org/pl/html/modules. ... e&sid=1509

nastepnie przelec system programem:

naciskasz fix ---leci samo

teraz log:

do ubicia dwoch wpisow zainstaluj:

http://www.bleepingcomputer.com/files/killbox.php

Odpalasz Killboxa zaznacz opcję Delete on Reboot następnie w polu Full Path of File to Delete wklej ścieżkę:

C:\WINDOWS\msnm32.exe

C:\WINDOWS\netui.exe

następnie po wklejeniu tych dwoch wpisow do killboxa(jeden po drugim) program będzie pytał o restart (oczywiście zgadzasz się)

na koniec zostaje:

wejdz>>> Start > Uruchom >wpisz>> services.msc >>> zatrzymaj i wyłącz

ten proces>>> Remote Procedure Call (RPC) Helper

(nacisnij prawoklik na ten proces >>>wlasciwosci>>>tryb uruchamiania >rozwin i zaznacz wyłączony)

zostaw w spokoju IE i uzywaj innej przegladarki