spróbuj na początek TYM… 8)
przeskanuj Adaware , Pest Patrolem, ETD Security Scanner , Spybot S&D , Scan SPyware , Spyware Doctor lub jakimś on-line skanerem a potem pokaż swój log z Hijacka , może coś da się ustalić
moze pomoc tryb awaryjny f8
Trzy posty jeden pod drugim :roll: :roll: :roll:
Od czego masz
Dokładnie tak kanio0 - są to foldery tworzone przez wirus Redlof.
Ale nawet jak je usuniesz, to podejrzewam - że to sprawy nie załatwi, bo ikonki Ci powrócą przy starcie… bo ich źródłem jest inny, właściwy plik Redlofa, który u Ciebie nie jest rozpoznany przez Hijack’a! Ale oczywiście do wywalenia są na bank!
Strasznie mi Ciebie żal, bo szamoczesz się biedaku już z tym w trzecim topicu!
http://forum.dobreprogramy.pl/viewtopic … sc&start=0
http://forum.dobreprogramy.pl/viewtopic … ht=#126906
Na przyszłość postaraj się trzymać jednego tematu! Jak się nawet topic kończy Twoim postem, to jak napiszesz na drugi dzień kolejny post pod spodem od siebie z dalszą prośbą o pomoc - to nikt Ci za to głowy nie urwie, a przynajmniej będzie porządek!
W tamtych topicach zawiodły niestety wszystkie rady łącznie z gotową szczepionką na Redlofa.
Za wszystko jest odpowiedzialny plik Kernell32 i powinien się on pojawić w logu w takiej postaci:
O4 - HKLM\..\Run: [Kernel32] C:\WINDOWS\SYSTEM\Kernel.dll
Niestety się nie pojawia - a to ten plik jest głównym źródłem Redlofa, a te dwa foldery: folder.htt i desktop.ini - to tylko tzw. dzieciaki Redlofa (oczywiście też wiry).
Masz dokładnie taki sam problem jak syfiosz - tylko u niego będzie sprawa prostsza, bo ten Kernell jest widoczny w Hijacku.
Jedyna rada - to przeszukać kompa i rejestr, pod kątem znalezienia kernell32 i kernel32.dll - tego może być wiele, bo Redlof należy do wirusów rozmnażających się.
W kompie - zaznacz opcję w folderach (pokaż wszystkie pliki) i ręcznie wyszukaj wszystkie nawet najmniejsze pliki z tą nazwą. Pospisuj sobie na kartce ścieżki do każdego z tych plików, ale jeszcze nie kasuj!
Lepiej nie korzystaj z gotowego wyszukiwania plików…
Następnie wejdź w rejestr (obowiązkowo kopia rejestru wcześniej) i ręcznie rozwiń wszystkie, poniższe klucze - również pod kątem przeszukania obu nazw.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Znalezione w rejestrze kasuj bez wahania. Następnie zrestartuj komputer i wróć do listy, gdzie zapisałeś znalezione uprzednio pliki z ręcznego szukania - sprawdź wg zapisanych ścieżek.
Nie powinno nic zostać!
Gdyby jednak coś zostało - spisz dokładnie ścieżki do tych plików i zamieść je tu dla sprawdzenia.
Te ikonki folder.htt i desktop.ini powinny Ci już wtedy same zniknąć z autostartu - jezeli nie, to usuwasz je ręcznie!
Nie zapomnij wyłączyć przywracanie systemu.
Jak Ci się cała operacja powiedzie, wklej log do sprawdzenia!
Coś mi tu nie pasuje… :?
Wejdź we właściwości tego systemowego kernela, który znalazłeś i zobacz na datę jego powstania!
Na pewno dokładnie pamiętasz też datę, kiedy instalowałeś cały system… więc porównaj, czy jest to ta sama data!
Ulubioną zabawką Redlofa jest tworzenie kopii o nazwie jw. w systemie…
A i jeszcze jedno - czy ten odnaleziony przez Ciebie kernel32.dll - jest w Rejestrze, czy też jako wynik ręcznych poszukiwań? Czy też - jedno i drugie…
Ale porównałeś sobie te daty?
Bo żebyś przypadkiem nie pojechał po systemowym… :twisted:
No i coś mi tu nie pasuje, że tylko jest jeden taki plik… :?
No i jeszcze raz pytam - gdzie go znalazłeś: w rejestrze, czy na kompie?
Myślę, że mówisz o tym niby systemowym Kernelu…, którego znalazłeś na kompie - ale jak on został utworzony 10 dni temu, to systemowy na pewno nie jest… ;]
Dlatego też wyjeżdżaj z nim…
W Download Program Files - każdy user ma inne pliki; jest to domyślny katalog, do którego się ściągają się wszystkie pliki i aplikacje - o ile oczywiście nie zaproponujemy innej ścieżki!
Wywal: kernel.vdk i te “z 10 innych” utworzone 10 dni temu.
Wejdź w “Znajdź pliki” i ustaw wyszukiwanie dokładnie na tę datę (czyli te 10 dni wstecz, o których mówisz); bez namysłu wszystkie znalezione po kolei usuń!
Gdybyś miał problem z usunięciem jakiegokolwiek pliku we wszystkich powyższych manewrach, polecam program CopyLock
http://noeld.com/programs.asp?cat=misc
Po usunięciu restart kompa i obowiązkowe czyszczenie rejestru Jv16.
A czy we wszystkich kluczach z rodziny Run w rejestrze, które Ci podałam - nie znalazłeś jakiegokolwiek wpisu kernell32 i kernel32.dll?
Trochę dużo masz kontrolek ActiveX usuń (ale nie koniecznie):
O16 - DPF: {AFD8ED36-EA54-11D6-AC3F-00105ADCF632} (Ntw4 Control) - https://www.brebrokers.pl/res/ntw4.cab
O16 - DPF: {43A848AB-928D-43A0-8B8A-81D953E9F3EE} (XMLFileSaver Class) - https://www.brebrokers.pl/res/EPMXMLFILESAVERCOM.cab
O16 - DPF: komentator - http://sport.onet.pl/komentator.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004 … scan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar … /cabsa.cab
O16 - DPF: {556DDE35-E955-11D0-A707-000000521957} - http://www.xblock.com/download/xclean_micro.exe
O16 - DPF: ppctlcab - http://ppupdates.ca.com/downloads/scanner/ppctlcab.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://ppupdates.ca.com/downloads/scanner/axscanner.cab