Mam jakiegoś spyware`a
Mam windows xp professional bez service packów
nie dziala mi hijackthis, gdy chcę go włączyć wyskakuje na chwile jakieś okienko i zaraz znika :P.
Co jakiś czas otwierają mi się różne stronki
X-cleaner Micro Edition cośtam poznajdywał, pousuwałem to ale nadal nic to nie dało…
Pliki które napewno są od tego gówienka to:
dr.exe
drsmartload1.exe
gimmygames11.exe
Installer.exe
MTE3NDI6ODoxNg.exe
zawsze kiedy je usunę odnawiają się.
I need your help :P.
@Edit :
Właśnie wyskoczyło okienko którego się nie da zamknąć:
YourSiteBar Install Screen
do wyboru opcje:
Cancel Complete
I okienko z zango
tu opcje są takie:
Cancel Finish
Do tego takie stronki się odpalają:
http://click-power.com/index1.html
http://clicky.info/index.php
:?
Aha i jeszcze error:
RUNDLL
Podczas próby uruchomienia ““C:\WINDOWS\system32\dhserial.dll”,DllGetVersion” Wystąpił błąd wyjątku.
kuz5
(Kuz5)
23 Luty 2006 16:30
#2
Jakie okienk ??
Masz syf
Możesz jeszcze zapodać loga z programu SilentRunners
Zedytowałem posta więc masz odpowiedź na pytanie ;).
Wiem, że mam syf ale musze go jakoś usunąć nie
Kolejna stronka otworzyła mi się dwukrotnie:
http://popunder.paypopup.com/links.php? … l=&defurl=
http://popunder.paypopup.com/links.php? … l=&defurl=
MaYsTeR
(Mayster X)
23 Luty 2006 16:33
#4
znalazlem cos takiego
http://windowsxp.mvps.org/exefile.htm
… hijackthis z roszczeniem *.COM niestety nie znalazlem ( a takiego wlasnie potrzebujesz )… :? ( linki nie dzialaja ) …
A do tego dokument txt o nazwie: Startup Programs (BOBEQ) 2006-02-23 17.39.03.txt i treści:
“Silent Runners.vbs”, revision 43, http://www.silentrunners.org/ Operating System: Windows XP Output limited to non-default values, except where indicated by “{++}”
MaYster: to ze stronki co podałeś to mi takie coś nie wyskakuje.
to jest takie coś:
Screen
kuz5
(Kuz5)
23 Luty 2006 16:47
#6
Gdzie ??
To jest twoja odpowiedz na moje pytanie
bobasek_89:
A do tego dokument txt o nazwie: Startup Programs (BOBEQ) 2006-02-23 17.39.03.txt i treści: Cytat: “Silent Runners.vbs”, revision 43, http://www.silentrunners.org/ Operating System: Windows XP Output limited to non-default values, except where indicated by “{++}”
To nie cały log poczekaj ok. 1min az wyskoczy komunikat że narzedzie skonczyło skanowanie
Nie mogę się doczekać do takiego komunikatu bo:
Screen
Złączono Posta : 23.02.2006 (Czw) 17:56
Takie okienka…
A na pulpicie wyskakują coraz to nowe ikonki:
Online Dating
Remove Spyware
Cheap Holiday Travel
Free Online Music
… :?
EDIT:
Poscreenowałem co nie co:
Screen1
Screen2
Screen3
Screen4
Screen5
EDIT:
Dodam jeszcze jednego screena:
Screen
Może się przydać…
Robinhio
(Micromac)
23 Luty 2006 18:08
#8
Sprawdz czy mozesz w ogole zeskanowac antywirusem online lub systemowym albo programem antyspyware. Jesli nie mozesz uruchomic Hijacka czeka Cie reczna robota i napisze ci jak to zrobic. Ale najpierw to sprawdz co ci napisalem wyzej.
Sciagnij sobie program Process Viewer stad . Uruchom go i zapisz loga File > Save As i pozniej Kliknij na Tools > Autoruns i z tego tez zapisz loga i wklej tutaj. Z tego co widac masz Adware.ZangoSearch , ale sprawdzimy co jeszcze siedzi.
Zwykły LOG:
??ool32.exe 1976 C:\WINDOWS\system32\?racle\??ool32.exe
cmd.exe 2064 C:\WINDOWS\system32\cmd.exe
command.exe 5004 C:\WINDOWS\Qm9C\command.exe
ctfmon.exe 1880 C:\WINDOWS\System32\ctfmon.exe
explorer.exe 4712 C:\WINDOWS\explorer.exe
firefox.exe 4404 C:\Program Files\Mozilla Firefox\firefox.exe
gg.exe 5352 E:\gg\gg.exe
jusched.exe 1872 C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
l0rd.exe 1808 C:\WINDOWS\System32\l0rd.exe
lsass.exe 628 C:\WINDOWS\system32\lsass.exe
msjava.exe 1824 C:\WINDOWS\System32\msjava.exe
msnservex.exe 1840 C:\WINDOWS\System32\msnservex.exe
netmon.exe 1284 C:\Program Files\Network Monitor\netmon.exe
newfrn.exe 1864 C:\WINDOWS\newfrn.exe
PrcView.exe 5932 E:\Instalki\PrcView\PrcView.exe
services.exe 616 C:\WINDOWS\system32\services.exe
smss.exe 496 C:\WINDOWS\System32\smss.exe
spoolsv.exe 1136 C:\WINDOWS\system32\spoolsv.exe
svchost.exe 796 C:\WINDOWS\system32\svchost.exe
svchost.exe 848 C:\WINDOWS\System32\svchost.exe
sxrose.exe 1800 C:\WINDOWS\System32\sxrose.exe
twra.exe 1968 C:\Program Files\born\twra.exe
utorrent.exe 1748 E:\Instalki\utorrent.exe
winamp.exe 5256 C:\Program Files\Winamp\winamp.exe
winampa.exe 1816 C:\Program Files\Winamp\winampa.exe
winlogon.exe 568 C:\WINDOWS\system32\winlogon.exe
winsysban11.exe 1856 C:\windows\winsysban11.exe
Log z AUTORUN`a:
ctfmon.exe Microsoft Corporation C:\WINDOWS\System32\ctfmon.exe HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
sxrose.exe sxrose.exe HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
msmsgs.exe Microsoft Corporation "C:\Program Files\Messenger\msmsgs.exe" /background HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
gg.exe sms-express.com "E:\gg\gg.exe" /tray HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
msjava.exe msjava.exe HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
tlen.exe C:\Program Files\Tlen.pl\tlen.exe HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
fkiwm.exe C:\PROGRA~1\COMMON~1\fkiw\fkiwm.exe HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
twra.exe "C:\Program Files\born\twra.exe" -vt yazb HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
??ool32.exe C:\WINDOWS\system32\?racle\??ool32.exe HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
sxrose.exe sxrose.exe HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
msjava.exe msjava.exe HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
CTFMON.EXE Microsoft Corporation C:\WINDOWS\System32\CTFMON.EXE HKEY_USERS\.Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
sxrose.exe sxrose.exe HKEY_USERS\.Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
msjava.exe msjava.exe HKEY_USERS\.Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
sxrose.exe sxrose.exe HKEY_USERS\.Default\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
msjava.exe msjava.exe HKEY_USERS\.Default\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
sxrose.exe sxrose.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
l0rd.exe l0rd.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
winampa.exe C:\Program Files\Winamp\winampa.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
msjava.exe msjava.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
daemon.exe DT Soft Ltd. "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
msnservex.exe msnservex.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
winsysupd11.exe . C:\windows\winsysupd11.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
winsysban11.exe ÄÂAIA C:\windows\winsysban11.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
gimmygames11.exe mudes c:\\gimmygames11.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
newfrn.exe _ C:\WINDOWS\newfrn.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
jusched.exe Sun Microsystems, Inc. C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
sxrose.exe sxrose.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
l0rd.exe l0rd.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
msjava.exe msjava.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
msnservex.exe msnservex.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Explorer.exe Microsoft Corporation Explorer.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
userinit.exe Microsoft Corporation C:\WINDOWS\system32\userinit.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
ADOBEG~1.EXE Adobe Systems, Inc. C:\PROGRA~1\COMMON~1\Adobe\CALIBR~1\ADOBEG~1.EXE C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Adobe Gamma Loader.lnk
desktop.ini C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\desktop.ini C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\desktop.ini
desktop.ini C:\Documents and Settings\Łukasz\Menu Start\Programy\Autostart\desktop.ini C:\Documents and Settings\Łukasz\Menu Start\Programy\Autostart\desktop.ini
Wedle życzenia ;).
Robinhio
(Micromac)
23 Luty 2006 18:26
#10
No masz trojany, ale nie odpowiedziales mi czy probowales zeskanowac antywirem online lub systemowym i programem antyspywarem ? Sprawdz czy w Program Files jest folder o nazwie ZangoClient
Nie, nie próbowałem. To czym mam zeskanować?
mks_online? :lol:
A ten antyspyware to jest skaner online? czy zwykły antywir?
Robinhio
(Micromac)
23 Luty 2006 18:42
#12
Tak mozesz tym zeskanowac mks online ale takze tym zainstalowanym w systemie. Wynik podaj tu, jakie wirusy i trojany znalazl. Nie odpowiadasz mi na pytanie czy jest folder w Program Files o nazwie Zango?
Nie ma takiego folderu, jak skonczy się skanować komp to zedytuje posta i napisze co ten mks wykrył ;).
Robinhio
(Micromac)
23 Luty 2006 18:53
#14
Sprawdz teraz:
Start > Ustawienia > Panel Sterowania, przejdz do Dodaj/Usun
programy. Znajdz na liscie Zango Search Tool lub cos o podobnej
nazwie
i drugie
Start > Wyszukaj > Pliki lub foldery. Kliknij na pliki i foldery i wpisz w oknie wyszukiwarki zango a pozniej zango.exe
Tutaj masz screen`a z Dodaj usuń:
Screen
I podrzucam jeszcze loga z hijackthis
Logfile of HijackThis v1.99.1 Scan saved at 18:36:07, on 2006-02-23 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE E:\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.findthewebsiteyouneed.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza R3 - URLSearchHook: (no name) - {F9E24CA0-F31A-EFB8-1EF2-865A62391BBD} - C:\WINDOWS\System32\ciigwdld.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM…\Run: [Compaq Service Drivers] sxrose.exe O4 - HKLM…\Run: [Windows Update Protocol] l0rd.exe O4 - HKLM…\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe O4 - HKLM…\Run: [Microsoft Windows Java] msjava.exe O4 - HKLM…\Run: [DAEMON Tools] “C:\Program Files\DAEMON Tools\daemon.exe” -lang 1033 O4 - HKLM…\Run: [AdobeReaderPro] msnservex.exe O4 - HKLM…\Run: [winsysupd] C:\windows\winsysupd11.exe O4 - HKLM…\Run: [winsysban] C:\windows\winsysban11.exe O4 - HKLM…\Run: [gimmygames] C:\gimmygames11.exe O4 - HKLM…\Run: [NewFrn] C:\WINDOWS\newfrn.exe O4 - HKLM…\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM…\RunServices: [Compaq Service Drivers] sxrose.exe O4 - HKLM…\RunServices: [Windows Update Protocol] l0rd.exe O4 - HKLM…\RunServices: [Microsoft Windows Java] msjava.exe O4 - HKLM…\RunServices: [AdobeReaderPro] msnservex.exe O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU…\Run: [Compaq Service Drivers] sxrose.exe O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background O4 - HKCU…\Run: [Gadu-Gadu] “E:\gg\gg.exe” /tray O4 - HKCU…\Run: [Microsoft Windows Java] msjava.exe O4 - HKCU…\Run: [Komunikator] C:\Program Files\Tlen.pl\tlen.exe O4 - HKCU…\Run: [fkiw] C:\PROGRA~1\COMMON~1\fkiw\fkiwm.exe O4 - HKCU…\Run: [uimu] “C:\Program Files\born\twra.exe” -vt yazb O4 - HKCU…\Run: [bvzvldjc] C:\WINDOWS\system32?racle??ool32.exe O4 - HKCU…\RunServices: [Compaq Service Drivers] sxrose.exe O4 - HKCU…\RunServices: [Microsoft Windows Java] msjava.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll O20 - Winlogon Notify: SMDEn - C:\WINDOWS\system32\m4820eloehqc0.dll (file missing) O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe
Robinhio
(Micromac)
23 Luty 2006 19:27
#16
Wiec zrob tak.
Wyłącz Przywracanie systemu w XP
zrestartuj do trybu awaryjnego
uruchom Hijacka, zaznacz i usun:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.findthewebsiteyouneed.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
R3 - URLSearchHook: (no name) - {F9E24CA0-F31A-EFB8-1EF2-865A62391BBD} - C:\WINDOWS\System32\ciigwdld.dll
O4 - HKLM…\Run: [Compaq Service Drivers] sxrose.exe
O4 - HKLM…\Run: [Windows Update Protocol] l0rd.exe
O4 - HKLM…\Run: [winsysupd] C:\windows\winsysupd11.exe
O4 - HKLM…\Run: [winsysban] C:\windows\winsysban11.exe
O4 - HKLM…\Run: [gimmygames] C:\gimmygames11.exe
O4 - HKLM…\Run: [NewFrn] C:\WINDOWS\newfrn.exe
O4 - HKLM…\RunServices: [Compaq Service Drivers] sxrose.exe
O4 - HKLM…\RunServices: [Windows Update Protocol] l0rd.exe
O4 - HKCU…\Run: [Compaq Service Drivers] sxrose.exe
O4 - HKCU…\Run: [fkiw] C:\PROGRA~1\COMMON~1\fkiw\fkiwm.exe
O4 - HKCU…\Run: [Uimu] “C:\Program Files\born\twra.exe” -vt yazb
O4 - HKCU…\Run: [Bvzvldjc] C:\WINDOWS\system32?racle??ool32.exe
O4 - HKCU…\RunServices: [Compaq Service Drivers] sxrose.exe
Ręcznie usuń pliki. Znajdziesz je wpisujac nazwe w wyszukiwarke winsysupd11.exe winsysban11.exe sxrose.exe l0rd.exe gimmygames11.exe newfrn.exe fkiwm.exe twra.exe ??ool32.exe Sprawdz w dodaj/usun czy jest YourSiteBar Install Screen . Jak jest to usun.Sprobuj uruchomić Hijacka w normalnym trybie i wklej loga. na Zango masz nizej wskazowke: 1.Odlacz sie od internetu 2.Teraz Start > Ustawienia > Panel Sterowania, przejdz do Dodaj/Usun programy. Znajdz na liscie Zango Search Tool lub cos o podobnej nazwie, kliknij na usun. 3. Zamnknij wszystkie okna Internet Explorer i programy 4.Kliknij na Start > Uruchom i wpisz cmd. Po otwarciu okna napisz tak:
cd %ProgramFiles%\ZangoClient\
regsvr32 /u zangohook.dll
Kliknij na Start > Uruchom i wpisz regedit. Przejdz do galezi:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
usuń slowa kluczowe takie jak zanu (zanu.exe) lub Zango TvTimes 6. Zrestartuj komputer 7. Kliknij na Start > Uruchom i wpisz regedit. Usun te galezie ponizej
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
\Browser Helper Objects\ {21B4ACC4-8874-4AEC-AEAC-F567A249B4D4}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\
{0AC49246-419B-4EE0-8917-8818DAAD6A4E}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\
{99410CDE-6F16-42ce-9D49-3807F78F0287}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\
{2B0ECEAC-F597-4858-A542-D966B49055B9}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\
{DDEA2E1D-8555-45E5-AF09-EC9AA4EA27AD}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\
{F1F1E775-1B21-454D-8D38-7C16519969E5}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\
{5B6689B5-C2D4-4DC7-BFD1-24AC17E5FCDA}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\
{21B4ACC4-8874-4AEC-AEAC-F567A249B4D4}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\
{7B178417-3CDA-444F-94FF-312C0A3A78A8}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\
{68BF4626-D66B-4383-A6AF-62E57E9B6CD4}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\
{15EA8944-438E-471E-860D-6743D4383A37}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\
{E5B57AB3-15F8-43A2-ABAC-3E58A9C25818}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ncmyb.SABHO
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ncmyb.SABHO.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ClientAX.ClientInstaller
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ClientAX.ClientInstaller.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ClientAX.RequiredComponent
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ClientAX.RequiredComponent.1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstal
l\zanu
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstal
l\Zango TV Times
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store
Database\Distribution Units \ {99410CDE-6F16-42ce-9D49-3807F78F0287}
HKEY_LOCAL_MACHINE\SOFTWARE\zanu
HKEY_CURRENT_USER\Software\zanu
Zamnknij regedit
usun nastepujace foldery w Program Files lub w C:\
ZangoClient
Zango Applications
10 Uzyj teraz Spyware Doctor 3.5
http://www.spyany.com/program/spywaredoctor.htm
Po usunieciu spyware zrestasrtuj komputer
Jak to zrobisz zrob loga z Hijacka i SilentRun i wklej tutaj
Sprawdz tez programem CWShredder 2.19
Przeskanowałem mks_online, Wyniki:
Wyleczone: 0
Pozostało zarażonych: 6
Przemianowane: 1
Skasowane: 52.
Hijack nadal nie działa w trybie normalnym. Już idę na awaryjny robić to co mówiłeś ;).
@EDIT
Na trybie awaryjnym pousuwałem co miałem usunąć, hijackthis dalej działa jak działał :? brać się za regi, czy wrzucić tu loga z trybu awaryjnego?
Aha, już rozumiem… nie wyłączyłem przywracania systemu i pliki które pousuwałem są nadal… :? jak wyłączyć to przywracanie?
kuz5
(Kuz5)
23 Luty 2006 20:10
#18
To nie wszystko
To do kasacji:
Start => Uruchom => wpisz services.msc => zatrzymaj i wyłącz usługi Command Service i Network Monitor następnie odpalasz HijackThis Misc Tools => Delete NT service => wpisz cmdService => Ok i zresetuj komputer.
Pliki na czerwono usuwasz ręcznie
Daj log nr 1 z narzędzia L2Mfix
To chyba jakas stara wersja javy wywal to:
PPM=>Mój komputer=>Właściwości=>Przywracanie systemu=>“Wyłącz przywracanie systemu”
Robinhio
(Micromac)
23 Luty 2006 20:13
#19
Wyłaczanie przywracaniae systemu
(Mój komputer -> klik prawym i Właściwości -> Przywracanie systemu -> zaznaczamy “Wyłącz Przywracanie systemu na wszystkich dyskach”)
Zrob to po kolei a nie tak jak chcesz inaczej nie usuniesz wszystkiego. Po drugie nie podawaj mi statystyke ile wykryl wirusow tylko nazwy tych wirusow.
Zrob jeszcze tak jak kolega napisal ale nie ma potrzeby usuwania javy.
kuz5
(Kuz5)
23 Luty 2006 20:21
#20
Ma nowsza wiec po co mu tamta:
C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll