Problem ze zlosliwymi wpisami do rejestru


(Hummit) #1

Mam problem z takim bajeriem jak CoolWebSearch zlapal mnie na jakiejs stronce i nie moge go wywalic juz probowalem Ad-awarem 6 i Spy & Destroyem i nic nie dziala. Co prawda wykrywa go i usuwa ale on na non stopie wraca. Razem z nim probowalem wywalac niektore rzeczy z katalogu TEMP i to pod biosem bo windows nie chcial. Mam Win 98. POMOCY !!


(Jr14) #2

Spróbuj wejść w tryb awaryjny i wtedy wywalić, może to coś pomoże.


(Adarek) #3

To jest trojan CWS . Usuwasz to programem CWShredder.

Jeśli to jest nowa wersja tego Cws to nie da rady . Facet co robi program

CWShredder poszedł na " emeryturę" i nie robi już nowych wersji . Jak nie pomoże to ręcznie programem HijackThis. http://www.majorgeeks.com/download3155.html

Ostatnio CWS tak się maskuje że łolaboga... Ma ukryte loadery

Jak sam nic nie znajdziesz to wklej tu loga ( opcja save log) ....

Ps . Szukaj odrazu nową Jave firnu Sun. bo pewnie będzie trzeba zmienić.


(Xiao19) #4

http://www.spywareinfo.com/~merijn/files/CWShredder.exe

http://www.spywareinfo.com/~merijn/files/HijackThis.exe

powinno pomoc ,potem wywal wszystkie wpisy w rejestrze o nim _

:wink:


(Hummit) #5

Brakuje mi jakiejs biblioteki MSVBVM60.DLL i nie chce sie zainstalowac :shock:


(Adarek) #6

Już trojanek zadziałał i ci prewencyjnie usuną . Może tak być że programy do jego usuwania nie bendę sie uruchamieć albo nie działać prawidłowo. ( Albo jej nie miałeś)

Zaraz ci powiem co dalej.

Jdz na stronę do http://www.dll-files.com/dllindex/dll-f ... l?msvbvm60 i zazsaj ExpressZIP.


(Biedronka01) #7

Ja także walczę z tym samym problemem prawie cały dzień! I nic! Sciagnelam Cws i Hijack i nie pomoglo :frowning:


(Adarek) #8

Ewka- wklej log z Hijack z opisem ale załuż nowy temat bo tu siedzi hummit. Jakoś sie Ci postaramy pomóc. :slight_smile:


(Biedronka01) #9

Zebym to ja jeszcze wiedziala co to znaczy wklej log z Hijack to by bylo dobrze :slight_smile:

No ale ok,znikam stad.


(Adarek) #10

Ewka ,w Hijack naciskasz Scan program zrobi co trzeba i po chwili naciskasz Save log Wyskakuje okienko - po prawej stronie zaznaczasz pulpit i klikasz Zapisz. Zamykasz Hijack , Na ekranie masz teraz plik o nazwie hijackthis.log Otwierasz i zaznaczasz cały tekst naciskająć prawy przycisk myszy ( na niebiesko) puszczas go i naciskasz teraz lewy zaznaczsz kopiuj otwierasz forum piszesz temat i opis, klikasz prawym na myszy i zaznaczasz wklej. Jest.

Proste . Ale trochę pisania miałem :smiley:

Powodzenia

PS. doładny opis na

http://www.searchengines.pl/phpbb203/in ... opic=15989


(Biedronka01) #11

Wielkie dzieki!

zaraz to zrobie-i wkleje w nowy temat.


(Hummit) #12

OK udalo mi sie wywalic tego skurczybyka tym Shrederem z zolwi ninja! Ale zrobilem tak ze sciagnalem brakujace biblioteki. Podaje przy okazji fajnego linka z bibliotekami http://www.jik.com.pl/dll.htm slaby transfer ale widzialem tam wiele nazw ktore czesto pojawiaja sie w errorach. Tak nawiasem mowiac to ten CWS dokleil mi rozszerzenie do notatnika tak ze nie dzialal juz myslalem ze mi usunal go w ogole! A notatnika to nie wiem czy mozna przywrocic do Windowsa bez reinstalacji. Dzieki wszystkim za pomoc! Najlepsze polaczenie to jednak Hijack this i Ad aware!


(Adarek) #13

Notatnik można przywrcić normalnie z płyty trzeba znaleśc na niej

notepad.exe. Kopiuj-wklej do windows\system

Sprawdzaj często system Hijack this bo skubaniec lubi wracać :smiley: :smiley:


(Hummit) #14

No i znowu wrocil ten paskud. Ale objawia sie jedynie zmienianiem mi strony glownej na "about:blank". Wykrakales :?


(Adarek) #15

Pobierasz program FINDnFIX.exe http://freeatlast100.100free.com

Odłanczasz sie od netu.

uruchamiasz plik "!log!.bat" poczekaj, aż skończy skanować

Program zapisze log.txt.

W log.txt pod " Locked or 'Suspect' file(s) found... " powinnien być namiar na ukryty plik. Jesli go nie ma to znacze że tym go nie złapiemy.

Jezscze raz Hijack i usuwasz wszystkie lewe wpisy przy wyłączonym

necie (wyciągnij kabelek) i w trybie awaryjnym kasujesz wpisy.

Zmieniłeś Jave MS na Java Sun??


(Hummit) #16

ale pisze "XP only!" a ja mam Win 98


(Adarek) #17

sory , przeoczyłem ze to do XP

Startj do trybu awaryjnego

Idziesz do kluczy rejesrtu i w :

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

szukasz ukrytego pliku.

W tym awaryjnym może być widoczny nie działa jego maskowanie

Szukasz Ondj.dll ,xxasa.dll. itp. To tylko przykłady. Kasujesz lewe wpisy

(Zapisz sobie na kartxce jego nazwę)

Idziesz na stronę

http://www.searchengines.pl/phpbb203/in ... opic=14185

i pobierasz programy

StartDreck i Win98Fix. Szukasz nimi dziadów.

Postępujesz jak tam jest opisane( Dla sys. 98)

Powodzenia i daj znac jak poszło. :slight_smile:


(Hummit) #18

Zrobilem tak jak kazali na tym forum ale w obydwu momentach nie pokazalo mi nazwy tego superukrytego pliku. Za pierwszym razem stalo sie cos dziwnego bo mialem wlaczony monitor antywirusowy i wykrylo jakiegos wira wlasnie w pliku .dll ale nie udalo mi sie go odnalezc jednak znam jego nazwe. Probowalem juz pod dosem go wywalic ale nie moge go znalezc. :frowning:


(Adarek) #19

Miałem nosa że do trudny przypadek.

Przeleć wszystkie warianty usuwania CWS jakie opisała picasso Jak nic ne znajdziesz to tylko do niej z logien HijackThis. http://www.majorgeeks.com/download3155.html

Ps. Tu też wklej , zobacze go.

Odłączałeś sie od netu i wstawiłeś nową Jave????? To Ważne!

Ps 2. Jak sie nazywał ten dll???


(Hummit) #20
Logfile of HijackThis v1.98.0

Scan saved at 23:29:23, on 04-07-14

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)


Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\EXPLORER.EXE

C:\PROGRAM FILES\MICROSOFT SQL SERVER\80\TOOLS\BINN\SQLMANGR.EXE

C:\PROGRAM FILES\MICROSOFT SQL SERVER\MSSQL$INSERTGT\BINN\SQLSERVR.EXE

C:\PROGRAM FILES\GADU-GADU\GG.EXE

C:\PROGRAM FILES\WINAMP\WINAMP.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\WINDOWS\SYSTEM\PSTORES.EXE

C:\WINDOWS\SYSTEM\RNAAPP.EXE

C:\WINDOWS\SYSTEM\TAPISRV.EXE

C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE

C:\WINDOWS\PULPIT\HIJACKTHIS.EXE


[b]R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/[/b] [i](<-- to mi sie pokazuje jak zmienie strone startowa)[/i]

O4 - HKLM\..\Run: [AVGCtrl] "C:\PROGRA~1\AVPERS~1\AVGCTRL.EXE" /min

O4 - Startup: Service Manager.lnk = C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe

O4 - Startup: SQL Server Instance INSERTGT.lnk = C:\Program Files\Microsoft SQL Server\80\Tools\Binn\scm.exe

plik nazywa sie KBDKI.DLL a tej JAVY nie zmienialem ale chodzi Ci o Wirtualna Maszyna?