oto co :
wyłacz przywracanie systemt
start do trybu awaryjnego
Masz trojana CWS więc ża pomocą HT usuń
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\bzdil.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\bzdil.dll/sp.html#29126
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\bzdil.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\bzdil.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\bzdil.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\bzdil.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=192.168.0.1:808;gopher=192.168.0.1:808;http=192.168.0.1:808;https=192.168.0.1:808;socks=192.168.0.1:1080
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: Shell=explorer.exe
O4 - HKLM\..\Run: [CCProxy] C:\CCProxy\CCProxy.exe
O15 - Trusted Zone: www.techland.pl
O16 - DPF: {10000000-1000-0000-1000-000000000000} - file://C:\Program Files\Internet Explorer\ksphyvbv.exe
Trojan siedzi w C:\WINDOWS i nazwał siebie bzdil.dll
Znajdz na dysku pliki/foldery o nazwach:
ksphyvbv.exe , CCProxy.exe , i je usuń ręcznie , szukaj też w kluczach rejestru
Wyrejestruj plik bzdil.dll z systemu
Start -> uruchom ->
regsvr32 \u C:\WINDOWS\System32\ tu wpisujesz nazwe pliku
- i klikasz
Znajdujesz bzdil.dll i usuwasz jak ma proces -w co watpie zeby sie ujawnił - to ubij i dopiero usuwaj.
Teraz sprwdasz system programem
http://www.dobreprogramy.com/index.php?dz=2&id=657&t=55
Robisz restart , scan HT i jeszcze raz wklejasz nowego loga.
Ten trojanek nie jest taki prosty do usunięcia , ale zobaczymy…
Jednak ja nadal widze problem O15 - Trusted Zone: http://www.techland.pl
To mi nadal nie dziala tzn ta stronka… a po co było wogóle to włączanie awaryjnego??? czy bez niego nie usunął bym blizd.dll??
Aha i jeszcze jendo cały cas gdy włączam IE pokazuje mi sie u dołu “Zaufane witrtyny” a gdy zmieniam w opcjach IE “zabezpieczenia” na Internet to i tak po włączenie IE pokazują mi sięzaufane witryny :evil:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=192.168.0.1:808;gopher=192.168.0.1:808;http=192.168.0.1:808;https=192.168.0.1:808;socks=192.168.0.1:1080
O4 - HKLM\..\Run: [CCProxy] C:\CCProxy\CCProxy.exe
O4 - HKLM\..\RunServices: [Windows Firewall Manager] msfw.exe
Start do awaryjnego
Usuń
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=192.168.0.1:808;gopher=192.168.0.1:808;http=192.168.0.1:808;https=192.168.0.1:808;socks=192.168.0.1:1080
O4 - HKLM\..\RunServices: [Windows Firewall Manager] msfw.exe
O15 - Trusted Zone: http://www.searchengines.pl
Znajdz i usuń msfw.exe Szukaj w plikach ukrytych. Przeszukaj klucze HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce Sprawdz jeszcze HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults
W każdym z kluczy z osobna wyszukaj w okienku po prawej stronie wartość o nazwie http. Powinno mieć przypisaną liczbę 3 a zapewne ma przypisaną 2. Kliknij podwójnie w http i w okienku wpisz 3.
Po restarcie sprawdz czy masz jeszcze wpis O15
no ok usnięte
nie idzie odnależć nawet w ukrytych
rozumiem że tu miałem poszukac tych wirków które się usuchamiają RUN
nic nie znalazłem
po przeszukaniu pierwszy klucz “brudny” wpisalem 3, drugi klucz wartość 3
nie ma wpisu w HT 015
I co dalej??
Nic - jest OK
A stronki chodzą prawidłowo?
Na wszelki wypadek przeleć jeszcze CWShredder 1.59.1
i odwiedz wszystkie scanery. Jak coś badzie do usunięcia i sie nie da to scan i usuwanie w awaryjnym
http://security.symantec.com/sscv6/defa … &venid=sym
http://www.pandasoftware.com/activescan … IdPais=152
http://www.spywareinfo.com/xscan.php
http://www.webroot.com/services/spyaudit_03.htm
Na końcu zainstaluj
SpywareBlaster
http://www.javacoolsoftware.com/spywareblaster.html
Wszystkie darmowe.
Ps.
W WinPatrol sprawdz jeszcze:
Na zakładce Opcje klikasz Pokaż plik HOSTS… Otworzy sie w notatniku.
Usuwasz wszysko za wyjątkiem 127.0.0.1 localhost
Zaznacz zablokuj plik HOSTS i ustaw WinPatrol na start z systemam. Od tej pory jak coś ci sie zacznie pchać do systemu to wyskoczy alert i usłyszysz szczekanie psa
no własnie proble z odswierzaniem na stronkach tzn. nie odswierz bierzacych informacji ale to juz sie sam pobawie
do czego on służy???
jest wersja PL do niego??
SpywareBlaster nie ma wersji pl. Dodaje odpowiednie wpisy do rejestru
dzięki czemu znane komponenty szpiegowskie sie nie instalują.
Tu krótki opis
Program jest prosty, nie zajmuje panięci .