Problemy z trojanami i obcymi uzytkownikami


(Iziolkowski) #1

Witam. Moj problem z kompem zaczal sie kiedy go wczoraj wlaczylem i okazalo sie ze Norton wykryl i usunal dwa trojany Dropper i Backdoor. Zaraz potem przeskanowalem kompa i nic nie znalazlem ale po chwili okazalo sie ze "wysylam" mnostwo meili (okolo 150) ktore Norton skanuje. po wyslaniu okazalo sie ze nie dziala AutoProtekt ( i za nic nie mozna go wlaczyc) w Nortonie i funkcja"Skanowanie poczty elektronicznej". W tym czasie otwieraly mi sie co jakis czas okienka z niechcianymi stronami i zainstalowal sie program CiD Help ale go usunalem. A na wieczor przy wylanczaniu kompa okazalo sie ze poza mna na kompie zalogowanych jest jeszcze dwoch uzytkownikow, jednym z nich byl jakis "Napastnik". I ci uzytkownicy najbardziej mnie martwia.

Uzywam: Windows XP Profesional, Internet Explorer

A oto moj log


(adam9870) #2

Masz trojana Vundo, który powoduje te wszystkie problemy.

Nie trzymaj hijacka w TEMPie lub innym katalogu tymczasowym. Umieść go np. na pulpicie.

Użyj Windows Worms Doors Cleanera zmień znaczki z disable na enable (wszystkie znaczki maja być na zielono, jeżeli któryś z nich będzie na żółto to go zostaw). Po użyciu narzędzia wymagany jest restart.

Ściągasz program KillBox, zaznaczasz Delete on reboot , w polu full path of file wklej ścieżki:

H:\WINDOWS\system32\service.dll

H:\WINDOWS\system\remdlg32.dll

H:\WINDOWS\system32\qxcqtnyr.dll

po wklejeniu każdej ścieżki z osobna klikasz na czerwonego iksa, ale dopiero po wklejeniu ostatniej zgadzasz się na restart.

Usuń wpisy HJT.

Użyj VundoFix + Trojan.Vundo Removal Tool + VirtumundoBeGone.

Po wykonaniu pokaż nowy log z hjt, SilentRunners, log numer 1 z L2Mfix i zawartość pliku c:\vundofix.txt


(Iziolkowski) #3

Ok zrobilem wszystko co mi kazales a oto log z hjt

"Silent Runners.vbs", revision R50, http://www.silentrunners.org/

Operating System: Windows XP SP2

Output limited to non-default values, except where indicated by "{++}"

Startup items buried in registry:


HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}

"CTFMON.EXE" = "H:\WINDOWS\system32\ctfmon.exe" [MS]

"MSMSGS" = ""H:\Program Files\Messenger\msmsgs.exe" /background" [MS]

"PowerBar" = "(empty string)" [file not found]

"Gadu-Gadu" = ""H:\Program Files\Gadu-Gadu\gg.exe" /tray" ["Gadu-Gadu S.A."]

"BitComet" = ""H:\Program Files\BitComet\BitComet.exe"" ["www.BitComet.com"]

"eMuleAutoStart" = "H:\Program Files\eMule\emule.exe -AutoStart" ["http://www.emule-project.net"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}

"RTHDCPL" = "RTHDCPL.EXE" ["Realtek Semiconductor Corp."]

"NvCplDaemon" = "RUNDLL32.EXE H:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS]

"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]

"NvMediaCenter" = "RunDLL32.exe NvMCTray.dll,NvTaskbarInit" [MS]

"RemoteControl" = ""H:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"" ["Cyberlink Corp."]

"NeroFilterCheck" = "H:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]

"LGODDFU" = ""H:\Program Files\lg_fwupdate\fwupdate.exe"" [null data]

"ccApp" = "H:\Program Files\Common Files\Symantec Shared\ccApp.exe" ["Symantec Corporation"]

"ccRegVfy" = "H:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe" ["Symantec Corporation"]

"Symantec NetDriver Monitor" = "H:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer" ["Symantec Corporation"]

"SunJavaUpdateSched" = ""H:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"" ["Sun Microsystems, Inc."]

"DllRunning" = "rundll32.exe "H:\WINDOWS\system32\kynewstl.dll",setvm" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\

{02E60F0E-0497-4F6D-9214-39335A631A70}(Default) = (no title provided)

-> {HKLM...CLSID} = "CIEPl Object"

\InProcServer32(Default) = "H:\WINDOWS\system32\service.dll" [null data]

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}(Default) = (no title provided)

-> {HKLM...CLSID} = "AcroIEHlprObj Class"

\InProcServer32(Default) = "H:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx" [empty string]

{22BF413B-C6D2-4d91-82A9-A0F997BA588C}(Default) = "Skype add-on (mastermind)"

-> {HKLM...CLSID} = "Skype add-on (mastermind)"

\InProcServer32(Default) = "H:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL" ["Skype Technologies S.A."]

{39F7E362-828A-4B5A-BCAF-5B79BFDFEA60}(Default) = "BitComet ClickCapture"

-> {HKLM...CLSID} = "BitComet Helper"

\InProcServer32(Default) = "H:\Program Files\BitComet\tools\BitCometBHO.dll" [null data]

{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}(Default) = (no title provided)

-> {HKLM...CLSID} = "SSVHelper Class"

\InProcServer32(Default) = "H:\Program Files\Java\jre1.5.0_11\bin\ssv.dll" ["Sun Microsystems, Inc."]

{AA58ED58-01DD-4d91-8333-CF10577473F7}(Default) = (no title provided)

-> {HKLM...CLSID} = "Google Toolbar Helper"

\InProcServer32(Default) = "h:\program files\google\googletoolbar3.dll" ["Google Inc."]

{BDF3E430-B101-42AD-A544-FADC6B084872}(Default) = "NAV Helper"

-> {HKLM...CLSID} = "CNavExtBho Class"

\InProcServer32(Default) = "H:\Program Files\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\

"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Rozszerzenie CPL kadrowania wyświetlania"

-> {HKLM...CLSID} = "Rozszerzenie CPL kadrowania wyświetlania"

\InProcServer32(Default) = "deskpan.dll" [file not found]

"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Rozszerzenie ikony HyperTerminalu"

-> {HKLM...CLSID} = "HyperTerminal Icon Ext"

\InProcServer32(Default) = "H:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]

"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"

-> {HKLM...CLSID} = "DesktopContext Class"

\InProcServer32(Default) = "H:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]

"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"

-> {HKLM...CLSID} = "NVIDIA CPL Extension"

\InProcServer32(Default) = "H:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]

"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"

-> {HKLM...CLSID} = "Desktop Explorer"

\InProcServer32(Default) = "H:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]

"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"

-> {HKLM...CLSID} = (no title provided)

\InProcServer32(Default) = "H:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]

"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"

-> {HKLM...CLSID} = "nView Desktop Context Menu"

\InProcServer32(Default) = "H:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]

"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"

-> {HKLM...CLSID} = "WinRAR"

\InProcServer32(Default) = "H:\Program Files\WinRAR\rarext.dll" [null data]

"{950FF917-7A57-46BC-8017-59D9BF474000}" = "Shell Extension for CDRW"

-> {HKLM...CLSID} = "Shell Extension for CDRW"

\InProcServer32(Default) = "H:\Program Files\Ahead\InCD\incdshx.dll" ["Nero AG"]

"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"

-> {HKLM...CLSID} = (no title provided)

\InProcServer32(Default) = "H:\Program Files\Microsoft Office\OFFICE11\msohev.dll" [MS]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\

<> service\DLLName = "service.dll" [null data]

HKLM\Software\Classes\PROTOCOLS\Filter\

<> text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"

-> {HKLM...CLSID} = (no title provided)

\InProcServer32(Default) = "H:\Program Files\Common Files\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]

HKLM\Software\Classes*\shellex\ContextMenuHandlers\

Symantec.Norton.Antivirus.IEContextMenu(Default) = "{5345A4D5-41EB-4A2F-9616-CE1D4F6C35B2}"

-> {HKLM...CLSID} = "IEContextMenu Class"

\InProcServer32(Default) = "H:\Program Files\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]

WinRAR(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

-> {HKLM...CLSID} = "WinRAR"

\InProcServer32(Default) = "H:\Program Files\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\

WinRAR(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

-> {HKLM...CLSID} = "WinRAR"

\InProcServer32(Default) = "H:\Program Files\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\

Symantec.Norton.Antivirus.IEContextMenu(Default) = "{5345A4D5-41EB-4A2F-9616-CE1D4F6C35B2}"

-> {HKLM...CLSID} = "IEContextMenu Class"

\InProcServer32(Default) = "H:\Program Files\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]

WinRAR(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

-> {HKLM...CLSID} = "WinRAR"

\InProcServer32(Default) = "H:\Program Files\WinRAR\rarext.dll" [null data]

Group Policies {GPedit.msc branch and setting}:


Note: detected settings may not have any effect.

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001

{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|

Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001

{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|

Devices: Allow undock without having to log on}

Active Desktop and Wallpaper:


Active Desktop may be disabled at this entry:

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:

HKCU\Software\Microsoft\Internet Explorer\Desktop\General\

"Wallpaper" = "H:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Dane aplikacji\Microsoft\Wallpaper1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:

HKCU\Control Panel\Desktop\

"Wallpaper" = "H:\Documents and Settings\Kasia\Ustawienia lokalne\Dane aplikacji\Microsoft\Wallpaper1.bmp"

Enabled Screen Saver:


HKCU\Control Panel\Desktop\

"SCRNSAVE.EXE" = "H:\WINDOWS\System32\logon.scr" [MS]

Enabled Scheduled Tasks:


"Symantec NetDetect" -> launches: "H:\Program Files\Symantec\LiveUpdate\NDETECT.EXE" ["Symantec Corporation"]

Winsock2 Service Provider DLLs:


Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}

000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]

000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}

0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:

%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 11

%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05

Toolbars, Explorer Bars, Extensions:


Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\

"{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6}"

-> {HKLM...CLSID} = "Norton AntiVirus"

\InProcServer32(Default) = "H:\Program Files\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\

"{2318C2B1-4965-11D4-9B18-009027A5CD4F}"

-> {HKLM...CLSID} = "&Google"

\InProcServer32(Default) = "h:\program files\google\googletoolbar3.dll" ["Google Inc."]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\

"{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6}" = "Norton AntiVirus"

-> {HKLM...CLSID} = "Norton AntiVirus"

\InProcServer32(Default) = "H:\Program Files\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]

"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = (no title provided)

-> {HKLM...CLSID} = "&Google"

\InProcServer32(Default) = "h:\program files\google\googletoolbar3.dll" ["Google Inc."]

Explorer Bars

HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\

HKLM\Software\Classes\CLSID{FF059E31-CC5A-4E2E-BF3B-96E929D65503}(Default) = "&Badanie"

Implemented Categories{00021493-0000-0000-C000-000000000046}\ [vertical bar]

InProcServer32(Default) = "H:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL" [MS]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\

{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\

"MenuText" = "Sun Java Console"

"CLSIDExtension" = "{CAFEEFAC-0015-0000-0011-ABCDEFFEDCBC}"

-> {HKCU...CLSID} = "Java Plug-in 1.5.0_11"

\InProcServer32(Default) = "H:\Program Files\Java\jre1.5.0_11\bin\ssv.dll" ["Sun Microsystems, Inc."]

-> {HKLM...CLSID} = "Java Plug-in 1.5.0_11"

\InProcServer32(Default) = "H:\Program Files\Java\jre1.5.0_11\bin\npjpi150_11.dll" ["Sun Microsystems, Inc."]

{77BF5300-1474-4EC7-9980-D32B190E9B07}\

"ButtonText" = "Skype"

"CLSIDExtension" = "{77BF5300-1474-4EC7-9980-D32B190E9B07}"

-> {HKLM...CLSID} = "Skype add-on (button)"

\InProcServer32(Default) = "H:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL" ["Skype Technologies S.A."]

{92780B25-18CC-41C8-B9BE-3C9C571A8263}\

"ButtonText" = "Badanie"

{FB5F1910-F110-11D2-BB9E-00C04F795683}\

"ButtonText" = "Messenger"

"MenuText" = "Windows Messenger"

"Exec" = "H:\Program Files\Messenger\msmsgs.exe" [MS]

Running Services (Display Name, Service Name, Path {Service DLL}):


ATK Keyboard Service, ATKKeyboardService, "H:\WINDOWS\ATKKBService.exe" ["ASUSTeK COMPUTER INC."]

InCD Helper, InCDsrv, "H:\Program Files\Ahead\InCD\InCDsrv.exe" ["Nero AG"]

LightScribeService Direct Disc Labeling Service, LightScribeService, ""H:\Program Files\Common Files\LightScribe\LSSrvc.exe"" ["Hewlett-Packard Company"]

NVIDIA Display Driver Service, NVSvc, "H:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"]

Symantec Event Manager, ccEvtMgr, ""H:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe"" ["Symantec Corporation"]

Usługa Auto-Protect w programie Norton AntiVirus, navapsvc, "H:\Program Files\Norton AntiVirus\navapsvc.exe" ["Symantec Corporation"]

Print Monitors:


HKLM\System\CurrentControlSet\Control\Print\Monitors\

Microsoft Document Imaging Writer Monitor\Driver = "mdimon.dll" [MS]


<>: Suspicious data at a malware launch point.

  • This report excludes default entries except where indicated.

  • To see *everywhere* the script checks and *everything* it finds,

launch it from a command prompt or a shortcut with the -all parameter.

  • The search for DESKTOP.INI DLL launch points on all local fixed drives

took 60 seconds.

---------- (total run time: 114 seconds)

oraz log nr 1 z L2Mfix


(adam9870) #4

Przeskanuj plik H:\WINDOWS\SYSTEM32\bitcom~1.dll na stronie http://www.virustotal.com/ a jeśli okaże się szkodliwy to ścieżkę do niego również wklej w Killboxie.

Ściągasz program KillBox, zaznaczasz Delete on reboot , w polu full path of file wklej ścieżki:

H:\WINDOWS\SYSTEM32\kynewstl.dll

H:\WINDOWS\SYSTEM32\service.dll

H:\WINDOWS\SYSTEM32\mcrh.tmp

H:\WINDOWS\System32\ospcont.dat

H:\WINDOWS\System32\ltswenyk.ini

H:\WINDOWS\System32{51947A44-CAB3-430E-A964-33671011D95C}.dat

po wklejeniu każdej ścieżki z osobna klikasz na czerwonego iksa, ale dopiero po wklejeniu ostatniej zgadzasz się na restart.

Otwórz Notatnik i wklej w nim to:

Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG i uruchom go w trybie awaryjnym.

Usuń wpisy HJT jeśli będą.

Po wykonaniu wklej komplet nowych logów.


(Iziolkowski) #5

zrobilem co moglem ale kilka wpisao nie udalo mi sie usunac killboxem, oraz 2 z 3 wpisow w hjt (jednego nie bylo).przesylam logi i prosze o dalsza pomoc

hjt

Złączono Posta : 03.03.2007 (Sob) 11:52

teraz Silent Runner

Złączono Posta : 03.03.2007 (Sob) 11:53

L2Mfix


(adam9870) #6

Co z plikiem bitcom~1.dll? Przeskanowałeś go? i jak wyniki? Jeśli jest szkodliwy to w Gmerze w zakładce CMD z zaznaczoną opcją CMD.EXE dodaj komendy:

Pobierz Gmer'a.

Teraz czynności będziesz wykonywał w Gmerze więc uruchom go, poczekaj chwilkę, kliknij na zakładkę >>> w celu otworzenia pozostałych.

  • W zakładce CMD z zaznaczoną opcją CMD.EXE wklej:

  • W zakładce CMD z zaznaczoną opcją REGEDIT.EXE wklej:

  • W zakładce Procesy wybierz Zabij wszystko. Teraz poczekaj cierpliwie aż zniknie pulpit etc. - zostanie tylko okienko Gmer'a.

  • Wróc do zakładki CMD i kliknij Uruchom. Najpierw przy zaznaczonej opcji CMD.EXE , a potem przy zaznaczonej opcji REGEDIT.EXE.

  • W zakładce Procesy przez trzy kropki ( ... ) wskaż Hijacka i skasuj w nim następujące wpisy:

Teraz reset i pokaż nowe logi (hijack, silent i log numer 1 z l2mfix).


(Iziolkowski) #7

Sorki ze nie wspomnialem o tym pliku ale byl czysty,zadnego wirusa ani innego smiecia.

Poprzez te rozne procesy ktore juz wykonalem na kompie po twoim doradztwie nastapilo kilka pewnych zmian: od czczwartku komp juz mi nie wysyla tych meili samoczynnie, nie loguje sie juz nikt na moim kompie (przynajmniej ich juz nie widze) ale za to czesto pokazuje mi blad IEXPLORER.EXE i nastepuje wylaczenie strony, a i strasznie wolno chodzi mi internet. co mam dalej robic?


(adam9870) #8

Zrób to, co napisałem. Czyli użyj Gmer'a i pokaż komplet nowych logów.


(Iziolkowski) #9

zrobilem co moglem ale kilku wpisow juz nie moglem znalesc na hjt

teraz logi

na poczatku hjt

Złączono Posta : 03.03.2007 (Sob) 21:52

teraz silent runner

Złączono Posta : 03.03.2007 (Sob) 21:53

oraz L2Mfix


(adam9870) #10

W Gmerze w zakładce CMD z zaznaczoną opcją CMD.EXE wklej:

I kliknij z prawej strony na Uruchom. Po chwilce zostanie samo okienko Gmer'a, zostaną wykonane polecenia i komputer samoczynnie się zrestartuje.

Po wykonaniu pokaż nowy log z l2mfix.


(Iziolkowski) #11

niestety nie udalo mi sie skasowac zadnego pliku z systemu 32 nie wiem jak z pozostalymi ale jak by co to przesylam log z L2Mfix


(adam9870) #12

W Gmerze w zakładce Procesy wybierz Gmer awaryjny. Komputer się uruchomi ponownie i zostaniesz spytany czy chcesz zabić wszystkie procesy. Oczywiście zgadzasz się na to. Gdy już zostaną zabite wszystkie procesy to w zakładce Procesy kliknij Pliki i skasuj ręcznie pliki:

Po wykonaniu wklej nowy log z l2mfix.


(Iziolkowski) #13

witam usunalem te pliki recznie w gmerze tak jak doradziles. ale wczoraj przed wylaczeniem kompa sprawdzilem go ad-aware i okazalo sie ze znalazl mi on nastepnego trojana o nazwie SHUTDOWN, niby usunal go ale boje sie ze to nie ostatni trojan na moim kompie. aha i zapomnialem ze jeszcze skusilem sie na skanowanie mks virem on line i okazalo sie ze ten znalazl mi trojana downloadera i tez niby go usunal. przesylam log z L2Mfix i czekam na pozytywna odpowiedz ze to juz koniec klopotow :o)


(adam9870) #14

Już jest Ok.

Na koniec możesz przeskanować programem AVG Anti-Spyware po wcześniejszym zaktualizowaniu baz sygnatur.


(Iziolkowski) #15

no niby wszystko ok avg znalazl i usunal kilka cookies, ponizej raport:

AVG Anti-Spyware - Scan Report


  • Created at: 15:14:54 2007-03-04

  • Scan result:

H:\System Volume Information_restore{39BAFB8B-24C3-4E86-8353-A8FC8347D48B}\RP40\A0017050.sys -> Rootkit.Agent.dw : No action taken.

H:\Documents and Settings\Kasia\Cookies\kasia@ad.adocean[1].txt -> TrackingCookie.Adocean : No action taken.

H:\Documents and Settings\Kasia\Cookies\kasia@gde.adocean[2].txt -> TrackingCookie.Adocean : No action taken.

H:\Documents and Settings\Kasia\Cookies\kasia@gg.adocean[2].txt -> TrackingCookie.Adocean : No action taken.

H:\Documents and Settings\Kasia\Cookies\kasia@gg.adocean[3].txt -> TrackingCookie.Adocean : No action taken.

H:\Documents and Settings\Kasia\Cookies\kasia@idg.adocean[2].txt -> TrackingCookie.Adocean : No action taken.

H:\Documents and Settings\Kasia\Cookies\kasia@my.adocean[2].txt -> TrackingCookie.Adocean : No action taken.

H:\Documents and Settings\Kasia\Cookies\kasia@pracuj.adocean[2].txt -> TrackingCookie.Adocean : No action taken.

H:\Documents and Settings\Kasia\Cookies\kasia@cpvfeed[2].txt -> TrackingCookie.Cpvfeed : No action taken.

H:\Documents and Settings\Kasia\Cookies\kasia@doubleclick[1].txt -> TrackingCookie.Doubleclick : No action taken.

H:\Documents and Settings\Kasia\Cookies\kasia@ilead.itrack[1].txt -> TrackingCookie.Itrack : No action taken.

H:\Documents and Settings\Kasia\Cookies\kasia@tradedoubler[1].txt -> TrackingCookie.Tradedoubler : No action taken.

H:\Documents and Settings\Kasia\Cookies\kasia@statse.webtrendslive[1].txt -> TrackingCookie.Webtrendslive : No action taken.

::Report end

Ale ciagle mam problem z IEXPLORER.EXE ciagle mi pokazuje ze jest jakis blad i strona bedzie zamknieta (a to wkurza). da sie cos z tym zrobic?


(adam9870) #16

Kliknij prawym klawiszem myszki na ikonę Mój komputer >>> wybierz Właściwości >>> przejdź na zakładkę Przywracanie systemu >>> zaznacz opcję Wyłącz przywracanie systemu na wszystkich dyskach i dalej tylko potwierdź. Spowoduje to wyczyszczenie folderu System Volume Information. Oczywiście potem możesz z powrotem włączyć przywracanie.

Zajrzyj tutaj:

http://forum.dobreprogramy.pl/viewtopic.php?t=78806


(Iziolkowski) #17

skoro juz po wszystkim (mysle o trojanach) to jeszcze pobawie sie z tym IE i wsio bedzie ok. dziekuje i pozdrawiam jestem bardzo wdzieczny