Po otwarciu strony zaatakowały mnie trojany


(martha2810@o2.p) #1

Witam…wszystkich. Od razu nadmienię, że to mój pierwszy komputer mam go od 2 tygodni a ja jestem całkowitym nowicjuszem i już mam pełne majtki. Wlazłem na jakąś stronę „nie dla dzieci” i coś mnie napadło. Najpierw avast zaczął mi wyrzucać że mam trojany czy wirusy, sam już nie wiem….pulpit zmienił mi się na czarny z napisem „your komputer is danger” na pasku obok zegara jest jakaś dodatkowa ikona krzyżyk na czerwonym tle jak na niego kliknę to instaluje mi się jakiś programik i skanuje system, wywala od groma wirusów ale jak chcę je wywalić to chce kasę za pełną wersję…Koleś podpowiedział mi że mam przeskanować system tym programem wkleić loga na forum i poprosić o pomoc, więc to robię……..Proszę o dokładne instrukcję bo inaczej chyba sobie nie poradzę.


(Bbieniol) #2

W trybie awaryjnym z wyłączonym przywracaniem systemu usuwasz (wpisy Hijackiem, pliki/foldery na czerwono ręcznie z dysku (w razie problemów z usuwaniem plików użyj narzędzia KillBox):

Po zabiegach nowy log z Hijacka + log z Silent Runners


(martha2810@o2.p) #3

dzięki Bieniol......troche pomogło ale nadal mam czarny ekran i nie mogę ustawić innej tapety.......tak jakby zakładka pulpit był nieaktywna oto moje nowe logi;

"Silent Runners.vbs", revision 46, http://www.silentrunners.org/

Operating System: Windows XP

Output limited to non-default values, except where indicated by "{++}"

Startup items buried in registry:


HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}

"CTFMON.EXE" = "C:\WINDOWS\System32\ctfmon.exe" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}

"avast!" = "C:\PROGRA~1\MOJEPR~1\ALWILS~1\Avast4\ashDisp.exe" [null data]

"gcasServ" = ""C:\Program Files\Moje Programy\Microsoft AntiSpyware\gcasServ.exe"" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}(Default) = (no title provided)

-> {HKLM...CLSID} = "AcroIEHlprObj Class"

\InProcServer32(Default) = "C:\Program Files\Moje Programy\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]

{31FF080D-12A3-439A-A2EF-4BA95A3148E8}(Default) = (no title provided)

-> {HKLM...CLSID} = "bho2gr Class"

\InProcServer32(Default) = "C:\Program Files\Moje Programy\GetRight\xx2gr.dll" ["Headlight Software, Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\

"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Rozszerzenie CPL kadrowania wyświetlania"

-> {HKLM...CLSID} = "Rozszerzenie CPL kadrowania wyświetlania"

\InProcServer32(Default) = "deskpan.dll" [file not found]

"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Rozszerzenie ikony HyperTerminalu"

-> {HKLM...CLSID} = "HyperTerminal Icon Ext"

\InProcServer32(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]


(Bbieniol) #4

Hijack już czysty :slight_smile:

Co do Silenta, to jest urwany - poczekaj na komunikat, że log skońzcony - dopiero wtedy wklej go na forum

Jak dostaniemy cały log z Silenta, to rozwiążemy sprawę :slight_smile:


(martha2810@o2.p) #5


(Bbieniol) #6

Uruchamiasz narzędzie KillBox, zaznaczasz Delete on reboot , w polu full path of file wklej ścieżkę:

C:\WINDOWS\desktop.html

Klikasz X i restart kompa

Otwórz notatnik i wklej w nim to:

Plik --> zapisz jako --> zmień rozszerzenie na wszystkie pliki --> zapisz pod nazwą FIX.REG

W trybie awaryjnym odpal plik FIX.REG i potwierdź dodanie do rejestru i reset kompa :slight_smile:


(martha2810@o2.p) #7

Dzięki Bieniol jesteś wielki, wszystko wróciło do normy........jestem Twoim wielkim dłużnikiem.....jeszcze raz wielkie dzięki. :stuck_out_tongue: