bartekg
(Whiteangel11)
27 Lipiec 2006 10:23
#1
wczoraj wyskoczył mi komunikat o wirusie poczym antywirus sie odinstalował
jak włączyłem ponowie kompa to nie moge uruchomić internet explorera a jak klikam ctrl+alt+delete to pisze menadżer zadań został wyłączony przez administratora. Co zrobić aby było ok?
sdar
(sdar)
27 Lipiec 2006 10:27
#2
Zapoznaj się z TYM tematem i wklej na forum logi z HijackThis oraz Silent Runners
system
(system)
27 Lipiec 2006 10:27
#3
Podaj loga z programu HijackThis . Najprawdopodobniej jakiś syf… Jakiego AV używałeś \ używasz… ?? I jaki firewall ?? Co dalej po odinstalowaniu ?? Zainstalowałeś ponownie czy jak ??
adam9870
(adam9870)
27 Lipiec 2006 10:59
#5
Użyj Windows Worms Doors Cleanera zmień znaczki z disable na enable (wszystkie znaczki maja być na zielono, jezeli któryś z nich bedzie na żółto to go zostaw).
Usuń: (wszystko oczywiście robisz w trybie awaryjnym z wyłączonym przywracaniem systemu)
O2 - BHO: (no name) - {87185E78-A61B-4DB3-965A-3235BBD7A622} - E:\WINDOWS\system32\win32hp.dll O2 - BHO: (no name) - {D44CCDBD-C9C1-44C7-9A6B-74B250FD070F} - E:\WINDOWS\system32\winnuts.dll O4 - HKLM…\Run: [win32hlp] E:\WINDOWS\System32\win32hlp.exe O4 - HKLM…\Run: [ControlPanel] E:\WINDOWS\System32\cmd32.exe internat.dll,LoadKeyboardProfile O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - E:\WINDOWS\web\related.htm O9 - Extra ‘Tools’ menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - E:\WINDOWS\web\related.htm
Pliki i foldery zaznaczone usuwasz ręcznie z dysku natomiast wpisy w HijackThis.
Opróżnij katalog TEMP. Najlepiej w awaryjnym zrób tak:
Start => Uruchom => wpisz cmd => RD /S /Q “E:\Documents and Settings\ Nazwa Twojego konta \Ustawienia lokalne\Temp”
Pobierz program Ewido zrób update i przeskanuj.
Po wykonaniu w/w dajesz nowy log z HijackThis plus z SilentRunners .
bartekg
(Whiteangel11)
27 Lipiec 2006 11:14
#6
Możesz mi to wytłumaczyc ? bo zrobiłem to z tym programem na początku i są wszystkie znaczki zielone! Co dalej?
adam9870
(adam9870)
27 Lipiec 2006 11:18
#7
Dobrze.
Przywracanie systemu tak wyłączasz:
Tryb awaryjny tak ładujesz:
Po wciśnięciu klawisza włączającego komputer szybko naciskach i trzymasz klawisz F5. W niektórych komputerach klawiszem tym nie można wejść to trzeba klawiszem F8. Potem będzie lista systemów do wyboru, wybierasz “Tryb awaryjny”, i system będzie uruchamiać się w trybie awaryjnym.
Potem uruchamiasz HijackThis i wybierasz “Do a system scan only”. Pokaże się lista wpisów, zaznaczasz wpisy które podałem i klikasz na “Fix checked”. Wpisy zostaną usunięte.
Następnie szukasz plików które zaznaczyłem na czerwono (ścieżki masz podane) i usuwasz je. Jakby co to włącz pokazywanie ukrytych plików i folderów bo one mogą być ukryte :? Tutaj masz napisane jak włączyć pokazywanie ukrytych:
http://forum.dobreprogramy.pl/viewtopic … 684#622684
Potem Start => Uruchom => wpisz cmd => RD /S /Q “E:\Documents and Settings\ Nazwa Twojego konta \Ustawienia lokalne\Temp”
Wychodzisz z awaryjnego. Pobieasz ewido, robisz update bazy wirusów, skanujesz.
Po wszystkim robisz log z HijackThis i SilentRunners (opis w przyklejonym)
skasować razem z dllką internat.dll
skasuj pogrubiony plik , a wpis hijackiem ,wklej całego loga z silent runners (czekaj na komunikat done)
bartekg
(Whiteangel11)
27 Lipiec 2006 11:41
#11
Logfile of HijackThis v1.99.1 Scan saved at 13:41:34, on 2006-07-27 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: E:\WINDOWS\System32\smss.exe E:\WINDOWS\SYSTEM32\winlogon.exe E:\WINDOWS\system32\services.exe E:\WINDOWS\system32\lsass.exe E:\WINDOWS\system32\svchost.exe E:\WINDOWS\System32\svchost.exe E:\WINDOWS\Explorer.EXE F:\firefox.exe E:\Documents and Settings\Bartek\Pulpit\HijackThis.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.telsten.com:3128 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINDOWS\System32\msdxm.ocx O4 - HKLM…\Run: [NeroFilterCheck] E:\WINDOWS\system32\NeroCheck.exe O4 - HKLM…\Run: [CTSysVol] F:\Creative\Surround Mixer\CTSysVol.exe /r O4 - HKLM…\Run: [sbUsb AudCtrl] RunDll32 sbusbdll.dll,RCMonitor O4 - HKLM…\Run: [updReg] E:\WINDOWS\UpdReg.EXE O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM…\Run: [nwiz] nwiz.exe /install O4 - HKLM…\Run: [NvMediaCenter] RUNDLL32.EXE E:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM…\Run: [RaidTool] E:\Program Files\VIA\RAID\raid_tool.exe O4 - HKCU…\Run: [MSMSGS] “E:\Program Files\Messenger\msmsgs.exe” /background O4 - HKCU…\Run: [RemoteCenter] F:\Creative\RemoteControl\RCMan.EXE O4 - HKCU…\Run: [Hide IP Platinum] F:\Hide IP Platinum\hideippla.exe O4 - HKCU…\Run: [eMuleAutoStart] F:\eMule\emule.exe -AutoStart O4 - Startup: Screen Saver Control.lnk = E:\WINDOWS\FSScrCtl.exe O4 - Startup: Y’z Toolbar.lnk = E:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe O4 - Global Startup: Microsoft Office.lnk = E:\Program Files\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://F:\OFFICE11\EXCEL.EXE/3000 O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/aol … _en_dl.cab O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - E:\WINDOWS\System32\CTsvcCDA.EXE O23 - Service: lxcc_device - Lexmark International, Inc. - E:\WINDOWS\System32\lxcccoms.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\System32\nvsvc32.exe
Złączono Posta : 27.07.2006 (Czw) 11:43
“Silent Runners.vbs”, revision 46, http://www.silentrunners.org/ Operating System: Windows XP Output limited to non-default values, except where indicated by “{++}” Startup items buried in registry: --------------------------------- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} “MSMSGS” = ““E:\Program Files\Messenger\msmsgs.exe” /background” [MS] “RemoteCenter” = “F:\Creative\RemoteControl\RCMan.EXE” [“Creative Technology Ltd”] “Hide IP Platinum” = “F:\Hide IP Platinum\hideippla.exe” [file not found] “eMuleAutoStart” = “F:\eMule\emule.exe -AutoStart” [“http://www.emule-project.net ”] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} “NeroFilterCheck” = “E:\WINDOWS\system32\NeroCheck.exe” [“Ahead Software Gmbh”] “CTSysVol” = “F:\Creative\Surround Mixer\CTSysVol.exe /r” [“Creative Technology Ltd”] “SbUsb AudCtrl” = “RunDll32 sbusbdll.dll,RCMonitor” [MS] “UpdReg” = “E:\WINDOWS\UpdReg.EXE” [“Creative Technology Ltd.”] “NvCplDaemon” = “RUNDLL32.EXE E:\WINDOWS\System32\NvCpl.dll,NvStartup” [MS] “nwiz” = “nwiz.exe /install” [“NVIDIA Corporation”] “NvMediaCenter” = “RUNDLL32.EXE E:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit” [MS] “RaidTool” = “E:\Program Files\VIA\RAID\raid_tool.exe” [file not found] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}(Default) = (no title provided) -> {HKLM…CLSID} = “AcroIEHlprObj Class” \InProcServer32(Default) = “E:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll” [“Adobe Systems Incorporated”] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ “{42071714-76d4-11d1-8b24-00a0c9068ff3}” = “Rozszerzenie CPL kadrowania wyświetlania” -> {HKLM…CLSID} = “Rozszerzenie CPL kadrowania wyświetlania” \InProcServer32(Default) = “deskpan.dll” [file not found] “{88895560-9AA2-1069-930E-00AA0030EBC8}” = “Rozszerzenie ikony HyperTerminalu” -> {HKLM…CLSID} = “HyperTerminal Icon Ext” \InProcServer32(Default) = “E:\WINDOWS\System32\hticons.dll” [file not found] “{ABC70703-32AF-11d4-90C4-D483A70F4825}” = “CMenuExtender” -> {HKLM…CLSID} = “CMenuExtender” \InProcServer32(Default) = “E:\WINDOWS\BricoPacks\Vista Inspirat\iColorFolder\CMExt.dll” [“Revenger inc.”] “{ED65AC21-B24F-11d3-BA80-00C0CA16AA37}” = “Siemens Device” -> {HKLM…CLSID} = “Siemens Device” \InProcServer32(Default) = “F:\MPM\DES\DESShellExt.dll” [“Siemens AG”] “{ED65AC22-B24F-11d3-BA80-00C0CA16AA37}” = “Siemens Device ContextMenuHandler” -> {HKLM…CLSID} = “Siemens Device ContextMenuHandler” \InProcServer32(Default) = “F:\MPM\DES\DESShellExt.dll” [“Siemens AG”] “{ED65AC23-B24F-11d3-BA80-00C0CA16AA37}” = “Siemens SX1 PropertySheetHandler” -> {HKLM…CLSID} = “Siemens Device PropertySheetHandler” \InProcServer32(Default) = “F:\MPM\DES\DESShellExt.dll” [“Siemens AG”] “{B41DB860-8EE4-11D2-9906-E49FADC173CA}” = “WinRAR shell extension” -> {HKLM…CLSID} = “WinRAR” \InProcServer32(Default) = “E:\Program Files\WinRAR\rarext.dll” [null data] “{A70C977A-BF00-412C-90B7-034C51DA2439}” = “NvCpl DesktopContext Class” -> {HKLM…CLSID} = “DesktopContext Class” \InProcServer32(Default) = “E:\WINDOWS\System32\nvcpl.dll” [“NVIDIA Corporation”] “{FFB699E0-306A-11d3-8BD1-00104B6F7516}” = “Play on my TV helper” -> {HKLM…CLSID} = “NVIDIA CPL Extension” \InProcServer32(Default) = “E:\WINDOWS\System32\nvcpl.dll” [“NVIDIA Corporation”] “{1CDB2949-8F65-4355-8456-263E7C208A5D}” = “Desktop Explorer” -> {HKLM…CLSID} = “Desktop Explorer” \InProcServer32(Default) = “E:\WINDOWS\System32\nvshell.dll” [“NVIDIA Corporation”] “{1E9B04FB-F9E5-4718-997B-B8DA88302A47}” = “Desktop Explorer Menu” -> {HKLM…CLSID} = (no title provided) \InProcServer32(Default) = “E:\WINDOWS\System32\nvshell.dll” [“NVIDIA Corporation”] “{1E9B04FB-F9E5-4718-997B-B8DA88302A48}” = “nView Desktop Context Menu” -> {HKLM…CLSID} = “nView Desktop Context Menu” \InProcServer32(Default) = “E:\WINDOWS\System32\nvshell.dll” [“NVIDIA Corporation”] “{0006F045-0000-0000-C000-000000000046}” = “Microsoft Outlook Custom Icon Handler” -> {HKLM…CLSID} = “Rozszerzenie ikon plików programu Outlook” \InProcServer32(Default) = “E:\PROGRA~1\MICROS~2\Office\OLKFSTUB.DLL” [MS] HKLM\Software\Classes*\shellex\ContextMenuHandlers\ WinRAR(Default) = “{B41DB860-8EE4-11D2-9906-E49FADC173CA}” -> {HKLM…CLSID} = “WinRAR” \InProcServer32(Default) = “E:\Program Files\WinRAR\rarext.dll” [null data] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ CMenuExtender(Default) = “{ABC70703-32AF-11d4-90C4-D483A70F4825}” -> {HKLM…CLSID} = “CMenuExtender” \InProcServer32(Default) = “E:\WINDOWS\BricoPacks\Vista Inspirat\iColorFolder\CMExt.dll” [“Revenger inc.”] WinRAR(Default) = “{B41DB860-8EE4-11D2-9906-E49FADC173CA}” -> {HKLM…CLSID} = “WinRAR” \InProcServer32(Default) = “E:\Program Files\WinRAR\rarext.dll” [null data] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ WinRAR(Default) = “{B41DB860-8EE4-11D2-9906-E49FADC173CA}” -> {HKLM…CLSID} = “WinRAR” \InProcServer32(Default) = “E:\Program Files\WinRAR\rarext.dll” [null data] Active Desktop and Wallpaper: ----------------------------- Active Desktop is disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState HKCU\Control Panel\Desktop\ “Wallpaper” = “E:\Documents and Settings\Bartek\Dane aplikacji\Microsoft\Internet Explorer\Tapeta programu Internet Explorer.bmp” Enabled Screen Saver: --------------------- HKCU\Control Panel\Desktop\ “SCRNSAVE.EXE” = “E:\WINDOWS\System32\logon.scr” [MS] Startup items in “Bartek” & “All Users” startup folders: -------------------------------------------------------- E:\Documents and Settings\Bartek\Menu Start\Programy\Autostart “Screen Saver Control” -> shortcut to: “E:\WINDOWS\FSScrCtl.exe” [file not found] “Y’z Toolbar” -> shortcut to: “E:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe” [“Y’z@Home”] E:\Documents and Settings\All Users\Menu Start\Programy\Autostart “Microsoft Office” -> shortcut to: “E:\Program Files\Microsoft Office\Office\OSA9.EXE -b -l” [MS] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = “%SystemRoot%\System32\mswsock.dll” [MS] 000000000002\LibraryPath = “%SystemRoot%\System32\winrnr.dll” [MS] 000000000003\LibraryPath = “%SystemRoot%\System32\mswsock.dll” [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 11 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05
logi ok, chociaż silent ucięty,ale dalej nie będzie nic co nas by zainteresowało.
bartekg
(Whiteangel11)
27 Lipiec 2006 11:46
#13
wkleić jeszcze raz??? bo cos mi chyba nie wychodzi
Jak chcesz, menadżer już działa czy jeszcze jest zablokowany ? jakie masz jeszcze problemy .
bartekg
(Whiteangel11)
27 Lipiec 2006 12:04
#15
no właśnie menadżer jest ciągle zablokowany jak go odblokować?
Otwórz notatnik i wklej:
Plik>>>zapisz jako>>zmień rozszerzenie z .txt na wszystkie pliki>>>zapisz pod nazwą FIX.REG i uruchom
bartekg
(Whiteangel11)
27 Lipiec 2006 12:14
#17
wileki dzięki wszystko działa jestem pełen podziwu! :o