Program fałszywy - nie kieruj się nim - syf!
Ok, skan wszystkimi z mojej listy i nowy log.
Czy mam zainstalować program microsoft NET Framework 1.1??
jesli chcesz to zainstaluj ,nie jest jednak konieczny
Przy instalowaniu PestPatrol wyskoczył mi plik do pobierania i pobrałem. Teraz komputer się pyta czy instalować Microsoft Net Framework? i nie wiem czy tak czy nie. Pomóżcie.
tak jak sie ciebie pyta to zainstaluj go
Ten program PestPAtrol też chyba trzeba kupić, bo nie chce skanować. Dam wam loga:
Logfile of HijackThis v1.99.1
Scan saved at 21:51:15, on 2005-06-18
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\msiexec.exe
C:\Program Files\CA\SharedComponents\CA_LIC\lic98rmt.exe
C:\Program Files\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\PROGRA~1\NEOSTR~1\CnxMon.exe
C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe
C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
C:\WINDOWS\System32\postvkns.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\uhss\abtr.exe
C:\WINDOWS\System32\r?gsvr32.exe
C:\Program Files\SpySheriff\SpySheriff.exe
C:\PROGRA~1\NEOSTR~1\NeostradaTP.exe
C:\PROGRA~1\NEOSTR~1\ComComp.exe
C:\PROGRA~1\NEOSTR~1\Watch.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Common Files\pestpatrol\ppRemoteService.exe
C:\Documents and Settings\Administrator\Moje dokumenty\hjijack\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.95.218.172/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://szukaj.wp.pl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neostrada.pl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.95.218.172/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://195.95.218.172/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.95.218.172/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.95.218.172/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada TP
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
R3 - URLSearchHook: (no name) - _{08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file)
O2 - BHO: SABHO - {21B4ACC4-8874-4AEC-AEAC-F567A249B4D4} - c:\program files\zangoclient\zanuhook.dll (file missing)
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O2 - BHO: (no name) - {88773515-86DF-A521-85E7-AC0FD39B4FC4} - C:\WINDOWS\System32\lqivhy.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NVRTCLK] C:\WINDOWS\System32\NVRTCLK\NVRTClk.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\NEOSTR~1\CnxMon.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [eDonkey2000] "C:\Program Files\eDonkey2000\eDonkey2000.exe" -t
O4 - HKLM\..\Run: [EasyMessage] "C:\PROGRA~1\ZANGOA~1\ZANGOM~1\em2.exe" -wait
O4 - HKLM\..\Run: [_Cat1] C:\WINDOWS\nmmst.exe
O4 - HKLM\..\Run: [postvkns] C:\WINDOWS\System32\postvkns.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\Gadu-Gadu\gg.exe" /tray
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [Rutm] C:\Program Files\uhss\abtr.exe
O4 - HKCU\..\Run: [Hhrp] C:\WINDOWS\System32\r?gsvr32.exe
O4 - HKCU\..\Run: [SpySheriff] C:\Program Files\SpySheriff\SpySheriff.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O15 - Trusted Zone: *.bestcounter.biz
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.ysbweb.com
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted Zone: *.ysbweb.com (HKLM)
O15 - Trusted IP range: 195.95.218.170
O15 - Trusted IP range: 195.95.218.170 (HKLM)
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c11.cab
O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{41D3B500-22A5-45F1-AE9B-41341573C169}: NameServer = 194.204.152.34 217.98.63.164
O23 - Service: CA License Client (CA_LIC_CLNT) - Computer Associates International Inc. - C:\Program Files\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: Event Log Watch (LogWatch) - Computer Associates - C:\Program Files\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PestPatrol Remote - Computer Associates International, Inc. - C:\Program Files\Common Files\pestpatrol\ppRemoteService.exenie wiem czy zauważyłeś, ale jest 22.43 kiedy to piszę - nikt nie ma obowiązku siedzieć tu całą dobe - do tego jest sobota, weekend i ciekawe filmy w telewizji :twisted:
i tak już uzyskałeś dużą pomoc, więc daruj sobie takie teksty. Poczekaj. :evil: w ten sposób tylko zniechęcasz innych do pomocy
Ktoś to dokończy, jeśli będzie mógł.
Proszę bardzo.
Wszystkie czynności wykonujesz w trybie awaryjnym, czyli wciskasz [F8] w czasie bootowania komputera. Uprzednio jednak wyłącz przywracanie systemu w XP.
Przydatny w czasie czynności program:
Sposób na usuwanie:
Odpalasz Killboxa, zaznaczasz opcję Delete on Reboot, następnie w polu Full Path of File to Delete wklejasz daną ścieżkę, np:
C:\WINDOWS\System32\winupdate.exe
następnie program będzie pytał o restart (oczywiście zgadzasz się).
Usuwasz program SpySheriff, jest fałszywy
I postępujesz tak z plikami:
C:\Program Files\uhss\ abtr.exe
Plik z pytajnikiem - info o jego kasacji:
http://www.searchengines.pl/phpbb203/in … ntry106066
C:\WINDOWS\System32\ r?gsvr32.exe
Kasacja wpisów z Hijacka:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.95.218.172/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.95.218.172/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://195.95.218.172/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.95.218.172/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.95.218.172/index.php
Próbujesz znaleźć na dysku (jeśli znajdziesz, oczywiście kasujesz): c:\program files\zangoclient\ zanuhook.dll C:\WINDOWS\System32\ lqivhy.dll C:\WINDOWS\ nmmst.exe C:\WINDOWS\System32\ postvkns.exe C:\ winstall.exe Kasacja wpisów z Hijacka:
O15 - Trusted Zone: *.bestcounter.biz
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.ysbweb.com
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted Zone: *.ysbweb.com (HKLM)
O15 - Trusted IP range: 195.95.218.170
O15 - Trusted IP range: 195.95.218.170 (HKLM)
Jeśli niektóre wpisy będą stawiały opór, użyj programu KillTrusted.
http://www.searchengines.pl/phpbb203/in … ost&id=459
To na razie tyle, po czynnościah nowy log.
Ale syf.
Pominę już, że brak łatek, SP, i AV/firewall.
boczi ominąłeś troche syfu:
Wyczyść katalog TEMP
Start=>Uruchom=>%temp%=>I usuń wszystko co sie tam znajduje
Usuń: (wszystko oczywiście robisz w trybie awaryjnym z wyłączonym przywracaniem systemu)
Ten wpis z kreseczką “_” usuniesz edytorem rejestru Registrar Lite
Uruchom edytor w pole Address wklej ścieżke
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks i kliknij Go poczym zostaniesz przeniesiony do tego klucza. Po prawej stronie będzie widoczny wpis _{08C06D61-F1F3-4799-86F8-BE1A89362C85} wszystkie inne wpisy z taką samą kreseczką także kasujesz i z prawokliku kasujesz wpisy.
Pliki i foldery na czerwono usun ręcznie z dysku
Jeżeli wpisy 015 będą stawiać opór to usuń je narzędziem KillTrusted 0.7
Jeżeli bedzie problem ze znalezieniem pliku z pytajnikiem czyli ten:
To w C:\WINDOWS\System32 prawoklik i posortuj według nazw
wtedy ten r?gsvr32.exe będzie na samym spodzie
Jeżeli beda jakieś problemy z usunięciem zaznaczonych plików na czerwono to usuń je programem Pocket Killbox czyli odpalasz Killboxa zaznacz opcję Delete on Reboot następnie w polu Full Path of File to Delete wklej ścieżke:
c:\program files\zangoclient** zanuhook.dll**
następnie program będzie pytał o restart (oczywiście zgadzasz sie)
I to samo możesz zrobić ze ścieżkami:
C:\WINDOWS\System32** lqivhy.dll**
C:\WINDOWS** nmmst.exe**
C:\WINDOWS\System32** postvkns.exe**
C:** winstall.exe**
C:\Program Files\uhss** abtr.exe**
C:\Program Files\SpySheriff** SpySheriff.exe**
Ok. Dzięki za pomoc, ale zrobię to jak będę u wujka, bo to jego log, więc proszę o niekasowanie tego tematu.
Tematy na forum nie są kasowane. 