Pomocy

adpawl · 24 Styczeń 2005 17:30

W awaryjnym z wyłączonym przywracaniem plików!

Pliki i katalogi oznaczone na czerwono ręcznie wykasuj z dysku!

Usuń te wpisy, potem jeszcze koniecznie skan cwshredder’em, pestpatrolem i spybotem etc. (oczywiście po zrobieniu update’a ) linki: http://download.zonelabs.com/bin/free/p … olHome.exe http://download.softpedia.ro/software/A … sd14b2.exe http://cwshredder.net/bin/CWShredder.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://results.dashbar.com/search?c=274 … er=2.1.0.0 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O3 - Toolbar: DashBar Toolbar - {CC90CDA0-74A0-45b4-80EF-D89CA8C249B8} - C:\PROGRAM FILES\DASHBAR\DASHBAR21.DLL O4 - HKLM…\Run: [CMESys] “C:\PROGRAM FILES\COMMON FILES\CMEII\CMESYS.EXE” O4 - HKLM…\Run: [Admanager Controller] C:\PROGRAM FILES\ADMANAGER CONTROLLER\ADMANCTL.EXE O4 - HKLM…\Run: [WindUp] C:\WINDOWS\WindUp.exe O4 - Startup: GStartup.lnk = C:\Program Files\Common Files\GMT\GMT.exe O4 - Startup: FOLDER.HTT O4 - Global Startup: FOLDER.HTT O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra ‘Tools’ menuitem: Show Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm i możesz wywalic te kontrolki: O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C1} (GameDesire Pool 8) - http://67.15.101.3/g_bin/pl/billard8_2_0_0_21.cab O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C5} (GameDesire Snooker) - http://67.15.101.3/g_bin/pl/snooker_2_0_0_21.cab O16 - DPF: {881290B9-F53C-4676-8DAF-3DBEFC297308} (GameDesire Makao) - http://67.15.101.3/g_bin/pl/makao_2_0_0_15.cab O16 - DPF: {1A781DED-C22D-4153-3213-A3211E29DF13} (GameDesire Card Games) - http://67.15.101.3/g_bin/pl/cards_2_0_0_58.cab O16 - DPF: {A6212120-01D4-11D5-9A39-0080C8D85044} (GameDesire Slots 70th) - http://67.15.101.3/g_bin/pl/slots70_2_0_0_21.cab O16 - DPF: {ECEAD8AE-01D6-11D5-9A39-0080C8D85044} (GameDesire Slots 80th) - http://67.15.101.3/g_bin/pl/slots80_2_0_0_20.cab O16 - DPF: {83AFB5CA-ED35-11D4-A452-0080C8D85045} (GameDesire Poker Games) - http://67.15.101.3/g_bin/pl/poker_2_0_0_36.cab O16 - DPF: {18506D80-9B80-11D4-82C2-0080C8D7ED4A} (GameDesire Roulette) - http://67.15.101.3/g_bin/pl/roulette_2_0_0_15.cab O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C2} (GameDesire Pool 9) - http://67.15.101.3/g_bin/pl/billard9_2_0_0_22.cab To możesz wyłączyć z autostartu: Start Uruchom: msconfig, Start Programy Autostart O4 - HKLM…\Run: [internat.exe] internat.exe O4 - HKLM…\Run: [TkBellExe] “C:\Program Files\Common Files\Real\Update_OB\realsched.exe” -osboot O4 - HKLM…\Run: [QuickTime Task] “C:\WINDOWS\SYSTEM\QTTASK.EXE” -atboottime O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

syfiosz · 24 Styczeń 2005 19:19

Miałem podobny problem z tym pulpitem na Win98 :-x , dodatkowo ikony mi się zmieniały, np. dokument Wordu otwierał mi całkiem inny program . Niestety w serwisie zrobili mi formata

adpawl · 24 Styczeń 2005 20:56

Dwie pierwsze grupy wpisów wywalasz w Hijacku: zaznaczasz podane i Fix checked…

Ostatnią grupę “To możesz wyłączyć z autostartu” wyłączasz w msconfig,

zakładka “Uruchamianie” - tam odznaczasz podane i zatwierdzasz zmiany.

na wszelki wypadek tak to wygląda:

musg · 24 Styczeń 2005 21:00

i jak zrobisz to co wyzej daj jeszcze raz loga.Oczywiscie po przeskanowaniu

minio · 24 Styczeń 2005 21:30

Tak jest

Raul · 25 Styczeń 2005 16:39

F1 - win.ini: load=C:\MEDIAPAC\vi_grm.exe

O4 - Startup: FOLDER.HTT

O4 - Global Startup: FOLDER.HTT

wejdź w uruchom w msconfig i poszukaj tam go jak nie ma to przeskanuj tym

przeskanuj antyszpiegiem PestPatrol

http://download.zonelabs.com/bin/free/p … olHome.exe

PestPatrolINFO: (konfig. opis)

http://www.searchengines.pl/phpbb203/in … entry72774

zajnstaluj i zrób skan tymi narzedziami

HiJackThis

http://www.thatcomputerguy.us/downloads-cat4.html

CWShredder

http://www.majorgeeks.com/download4086.html

Ad-Aware

http://www.majorgeeks.com/download.php?det=506

Spy Sweeper 2.6.1

http://www.majorgeeks.com/download.php?det=3263

Damian · 25 Styczeń 2005 19:45

O16 - DPF: {AFD8ED36-EA54-11D6-AC3F-00105ADCF632} (Ntw4 Control) - https://www.brebrokers.pl/res/ntw4.cab

O16 - DPF: {43A848AB-928D-43A0-8B8A-81D953E9F3EE} (XMLFileSaver Class) - https://www.brebrokers.pl/res/EPMXMLFILESAVERCOM.cab

Ten mnie zastanawia:

O4 - Startup: FOLDER.HTT

O4 - Global Startup: FOLDER.HTT

Raul · 26 Styczeń 2005 10:06

Te wpisy co ci podałem USUŃŃŃ

adpawl · 26 Styczeń 2005 12:52

http://www.sysinternals.com/files/procexp9x.zip

Ciachnij proces wykorzystujący ten plik tym softem … a potem …sam wiesz co.

adpawl · 26 Styczeń 2005 13:06

adpawl · 26 Styczeń 2005 13:12

tak … albo zmień jego nazwę np. na windup.old (w razie czego łatwiej przywrócisz potem)

adpawl · 26 Styczeń 2005 13:30

Musisz się dowiedzieć przez co jest używany…

W programie ProcessExplorer - Find i tam wstukujesz, lub sprawdzasz w właściwościach procesu. Potem go killujesz a plik mozesz wtedy skasować…

Lub posługujesz się takim softem: http://www.bleepingcomputer.com/files/s … illBox.zip

Waterproof · 27 Styczeń 2005 04:46

No i dobrze myślałeś od pierwszego postu, że masz do czynienia z wirusem Redlof, a wpisy od niego masz tu:

O4 - Startup: FOLDER.HTT

O4 - Global Startup: FOLDER.HTT

Są różne wersje tego wirusa, ale foldery .htt są dla niego charakterystyczne.

Zresztą poczytaj o tym wirusie:

http://www.mks.com.pl/baza.html?show=de … on&id=2021

Znalazłam na stronie GDaty szczepionkę na tego syfa, ściągnij i przeskanuj tą szczepionką (te szczepionki działają samodzielnie również wtedy, jak nie masz ich antyvira na stanie, tylko swój).

http://szczepionki.gdata.pl/szukaj.php? … f&thread=1