Pojawił się folder ErrorGuard

Dla specjalistów Bezpieczeństwo
#1

:cry:

Moj komp bardzo wolno sie uruchamia, nie chodza wszystkie programy np Desktop Calendar, w programie Opera nie dziala mi funkcja Poczty (mimo ze wczesniej bylo wszystko ok, teraz taka opcja kompletnie zniknela razem z moimi kontaktami i nie wiem gdzie jest). W ogole Opera strasznie wolno chodzi, IE troche lepiej, ale tez jest zmiana zachowania.

Podejrzewam, ze link wyslany przez znajoma na MSNie ktory otworzyl sie jako “Dana strona nie istnieje” czy cos takiego po angielsku, zadzialal. Kiedy zapytalam ja, co bylo na tej stronie, powiedziala, ze ona mi nic nie wysylala i ze jej komp ma wirusa…

Jestem zalamana bo nie za bardzo sie na tym znam.

Co robic?

Mam tez loga z Ad-Aware? Wkleic? przyda sie?

BARDZO PROSZE O POMOC!!

#2

Nie trzymaj hijacka w TEMPie lub innym katalogu tymczasowym. Umieść go np. na pulpicie.

W trybie awaryjnym z wyłączonym przywracaniem systemu usuń:

Foldery zaznaczone kasujesz ręcznie z dysku natomiast wpisy w HijackThis.

Jeśli nie masz już Yahoo Toolbar to ciachnij także:

Puść w ruch SmitFraudFix z opcji 2 w trybie awaryjnym.

Po wykonaniu pokaż nowy log z HijackThis, SilentRunners oraz zawartość pliku c:\rapport.txt.

#3

pewnie wydam cie sie teraz uposledzona umyslowo, ale przebiegam szybko instrukcje w poszukiwaniu znaczenia tego bardzo ciekawego zwrotu: “w trybie awaryjnym z wylaczonym przywracaniem systemu”… i nie moge tego znalezc. czy jest taka opcja w Hijacku?

bede bardzo wdzieczna za pomoc!

#4

W Hijacku nie ma takiej opcji

Musisz w systemie wyłączyć przywracanie systemu

i uruchomić go w trybie awaryjnym.

#5

dziekuje wam bardzo asterisk i adam9870 jestem bardzo wdzieczna.

troche to trwalo, ale zrobilam chyba wszystko zgodnie z wasza rada.

to sa nowe logi:

HijackThis:

Złączono Posty : 28.01.2007 (Nie) 22:42

SilentRunners:

Złączono Posty : 28.01.2007 (Nie) 22:43

a to jest rapport.txt

#6

Zastosuj Unhookexec.inf. Prawy klawisz myszki na link => zapisz element docelowy jako => wskaż gdzie chcesz zapisać (np. na pulpit) => po pobraniu prawy klawisz myszki na plik => instaluj.

Otwórz Notatnik i wklej w nim to:

Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG >>> kliknij dwa razy na utworzony plik FIX.REG i potwierdź dodanie do rejestru >>> restart.

Proponuję przeczyścić rejestr ponieważ masz wiele pustych kluczy, opis.

Po wykonaniu pokaż nowy log z Silenta.

#7

Log z SilentRunners:

Bardzo dziekuje za pomoc. Co teraz?

#8

Zajrzyj tutaj:

http://forum.dobreprogramy.pl/viewtopic … 559#869559

i przeczytaj o edycji w kluczu HKEY_LOCAL_MACHINE\Software\Classes\scrfile\shell\open\command

#9

dobra, wpisalam “%1” %* w HKEY_LOCAL_MACHINE\Software\Classes\scrfile\shell\open\command

czy mam tez usunac plik NOTEPAD.EXE z dysku?

zrestartowac kompa i puscic Silenta?

Złączono Posty : 29.01.2007 (Pon) 13:20

wyjezdzam zaraz na 2-3 tygodnie. komputer zostaje, nieuzywany. Jesli ktos bedzie mial wolniejsza chwilke to prosze o porade w mojej sprawie.

Przypomne o sobie po powrocie, ale jesli juz beda jakies wskazowki, to od razu je zastosuje.

Dziekuje za pomoc.

#10

nie sprawdzaj logów, gubisz wpisy :evil:

#11

wrocilam juz. i nie bardzo rozumiem ostatnich wskazowek… czy mam wkleic nowego loga? czy jeszcze cos?

komputer chodzi duzo lepiej, ale chcialam sie upewnic ze wszystkich swinstw sie pozbylam…

#12

Wklej nowe logi.

#13

Logfile of HijackThis v1.99.1

Scan saved at 23:01:32, on 2007-02-27

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\S24EvMon.exe

C:\WINDOWS\system32\ZCfgSvc.exe

C:\WINDOWS\system32\1XConfig.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\wltrysvc.exe

C:\WINDOWS\System32\bcmwltry.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Belkin\F5D7051\WLService.exe

C:\Program Files\Belkin\F5D7051\WLanCfgG.exe

C:\Program Files\Eset\nod32krn.exe

C:\WINDOWS\system32\RegSrvc.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\D-Link\Air USB Utility\AirCFG.exe

C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe

C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe

C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe

C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxsrvc.exe

C:\WINDOWS\system32\igfxpers.exe

C:\Program Files\Common Files\Real\Update_OB\realsched.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe

C:\Program Files\Eset\nod32kui.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe

C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe

C:\Program Files\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Opera\Opera.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\WinRAR\WinRAR.exe

C:\DOCUME~1\WACICI~1\USTAWI~1\Temp\Rar$EX00.662\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM…\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,BluetoothAuthenticationAgent

O4 - HKLM…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM…\Run: [D-Link Air USB Utility] C:\Program Files\D-Link\Air USB Utility\AirCFG.exe

O4 - HKLM…\Run: [ANIWZCS2Service] C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe

O4 - HKLM…\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe

O4 - HKLM…\Run: [HP Software Update] C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe

O4 - HKLM…\Run: [HP Component Manager] “C:\Program Files\HP\hpcoretech\hpcmpmgr.exe”

O4 - HKLM…\Run: [PRONoMgr.exe] C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe

O4 - HKLM…\Run: [Adobe Photo Downloader] “C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe”

O4 - HKLM…\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM…\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM…\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM…\Run: [TkBellExe] “C:\Program Files\Common Files\Real\Update_OB\realsched.exe” -osboot

O4 - HKLM…\Run: [QuickTime Task] “C:\Program Files\QuickTime\qttask.exe” -atboottime

O4 - HKLM…\Run: [iTunesHelper] “C:\Program Files\iTunes\iTunesHelper.exe”

O4 - HKLM…\Run: [sunJavaUpdateSched] “C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe”

O4 - HKLM…\Run: [nod32kui] “C:\Program Files\Eset\nod32kui.exe” /WAITSERVICE

O4 - HKCU…\Run: [Gadu-Gadu] “C:\Program Files\Gadu-Gadu\gg.exe” /tray

O4 - HKCU…\Run: [skype] “C:\Program Files\Skype\Phone\Skype.exe” /nosplash /minimized

O4 - HKCU…\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Startup: Desktop Calendar StartUp.lnk = D:\Install\Kalendarz\deskcal\DESKCAL.EXE

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe

O4 - Global Startup: Kodak EasyShare software.lnk = C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe

O4 - Global Startup: KODAK Software Updater.lnk = C:\Program Files\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra ‘Tools’ menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O11 - Options group: [iNTERNATIONAL] International*

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {3BB4FE3B-7A37-11D3-A41E-0060080C03B3} (Entire Screen Builder Web Viewer) - http://vblu.uni-bocconi.it/vblu/NWWClientFull.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda … 5947716018

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/viru … ebscan.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMe … loader.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s … wflash.cab

O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab

O17 - HKLM\System\CCS\Services\Tcpip…{CDE61945-CD76-4677-B863-19D4FFF0089F}: NameServer = 1.253.128.10,1.253.128.11

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll

O20 - Winlogon Notify: Sebring - C:\WINDOWS\system32\LgNotify.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: Belkin High-Speed Mode Wireless G USB Driver (Belkin High-Speed Mode Wireless G USB Network Adapter Service) - Unknown owner - C:\Program Files\Belkin\F5D7051\WLService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe

O23 - Service: Intel NCS NetService (NetSvc) - Intel® Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\system32\RegSrvc.exe

O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\system32\S24EvMon.exe

O23 - Service: Dell Wireless WLAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe

#14

W tym logu czysto. Możesz wkleić jeszcze log z Silenta.

#15

Złączono Posta : 27.02.2007 (Wto) 20:33

przepraszam, uruchomilam przez pomylke skrocona wersje Silent Runnera… teraz ta dluzsza, pelniejsza.

#16

Przeczytaj już zlinkowany przeze mnie post:

http://forum.dobreprogramy.pl/viewtopic … 559#869559

i wykonaj to, co tam jest napisane. Tylko Ty zamiast:

Dokonaj tylko modyfikacji w kluczu:

#17

ok, probuje.

czy “%1”%* wpisuje w “danych wartosci” czy w “nazwie wartosci”? w nazwie w ogole nic nie moge napisac, a jak wpisuje to w danych to tak jakby nie ma efektu, zreszta tak jak widziales wczesniej juz probowalam to wpisac. cos musze robic zle…