PSGuard


(Muertes) #1

Dzień dobry :frowning: mam "mały" problem,przyplątało mi się coś takiego jak PSGuard, udało mi się, już wyczyścić komputer ale niestety nie mogę odzyskać pulpitu :frowning: help me please!! Mam takie wrażenie, że brat jak wróci z wakacji mnie zabije :((( dodatkowo zainstalowałam Kazę i mam wrażenie, że razem z tym zainstalowało się pełno "syfu" czy coś z tego jest niebezpieczne???

Z góry dziękuję za jakąkolwiek pomoc! !!

Logfile of HijackThis v1.99.1

Scan saved at 15:50:58, on 2005-09-08

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\PROGRA~1\NEOSTR~1\CnxMon.exe

C:\Program Files\Neostrada TP\taskbaricon.exe

D:\Program Files\Winamp\winampa.exe

C:\WINDOWS\System32\RunDll32.exe

C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe

C:\WINDOWS\System32\P2P Networking\P2P Networking.exe

D:\Program Files\Blue Haven Media\KaZooM\KaZooM.exe

C:\Program Files\Bargain Buddy\bin\bargains.exe

C:\Program Files\Save\Save.exe

C:\program files\180searchassistant\sac.exe

C:\Program Files\Altnet\Points Manager\Points Manager.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\WeatherCast\Weather.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\PROGRA~1\Altnet\DOWNLO~1\asm.exe

C:\WINDOWS\System32\wuauclt.exe

D:\Program Files\Kazaa\kazaa.exe

C:\PROGRA~1\Altnet\DOWNLO~1\adm4005.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\WinRAR\WinRAR.exe

C:\DOCUME~1\UYTKOW~1\USTAWI~1\Temp\Rar$EX00.484\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL

O1 - Hosts: 216.177.73.139 auto.search.msn.com

O1 - Hosts: 216.177.73.139 search.netscape.com

O1 - Hosts: 216.177.73.139 ieautosearch

O2 - BHO: IPInsigtObj Class - {000004CC-E4FF-4F2C-BC30-DBEF0B983BC9} - d:\PROGRA~1\BLUEHA~1\KaZooM\ipinsigt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SuperBar - {136A9D1D-1F4B-43D4-8359-6F2382449255} - C:\Program Files\SUPERBAR\SUPERBAR1.dll

O2 - BHO: Need2Find Bar BHO - {4D1C4E81-A32A-416b-BCDB-33B3EF3617D3} - C:\Program Files\Need2Find\bar\2.bin\ND2FNBAR.DLL

O2 - BHO: RXResultTracker Class - {59879FA4-4790-461c-A1CC-4EC4DE4CA483} - (no file)

O2 - BHO: BHO.clsUrlSearch - {730F2451-A3FE-4A72-938C-FC8A74F15978} - C:\WINDOWS\System\BHO.DLL

O2 - BHO: Url Catcher - {CE31A1F7-3D90-4874-8FBE-A5D97F8BC8F1} - C:\PROGRA~1\BARGAI~1\bin\apuc.dll

O2 - BHO: ZToolbar Activator Class - {FFF5092F-7172-4018-827B-FA5868FB0478} - (no file)

O3 - Toolbar: SuperBar - {856BD0C0-1B3D-47E1-872A-27A9B586E786} - C:\Program Files\SUPERBAR\SUPERBAR1.dll

O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\NEOSTR~1\CnxMon.exe

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\Program Files\Neostrada TP\taskbaricon.exe

O4 - HKLM\..\Run: [yahoo inc.] ypages.exe

O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe

O4 - HKLM\..\Run: [WinampAgent] D:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe

O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize

O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART

O4 - HKLM\..\Run: [KaZooM] D:\Program Files\Blue Haven Media\KaZooM\KaZooM.exe

O4 - HKLM\..\Run: [WinStart] C:\WINDOWS\System\WinStart.exe -boot

O4 - HKLM\..\Run: [Bargains] C:\Program Files\Bargain Buddy\bin\bargains.exe

O4 - HKLM\..\Run: [WhenUSave] C:\Program Files\Save\Save.exe

O4 - HKLM\..\Run: [EbatesMoeMoneyMaker] wjview /cp:p "C:\Program Files\EbatesMoeMoneyMaker\System\Code" Main lp: "C:\Program Files\EbatesMoeMoneyMaker"

O4 - HKLM\..\Run: [EKRUB] C:\WINDOWS\EKRUB.exe

O4 - HKLM\..\Run: [sac] c:\program files\180searchassistant\sac.exe

O4 - HKLM\..\Run: [AltnetPointsManager] C:\Program Files\Altnet\Points Manager\Points Manager.exe -s 

O4 - HKLM\..\RunServices: [yahoo inc.] ypages.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [yahoo inc.] ypages.exe

O4 - HKCU\..\Run: [Komunikator] D:\Program Files\Tlen.pl\tlen.exe

O4 - HKCU\..\Run: [WeatherCast] C:\Program Files\WeatherCast\Weather.exe /q

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O8 - Extra context menu item: Search - http://kw.bar.need2find.com/KW/menusearch.html?p=KW

O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) - 

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1122669236902

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab

O16 - DPF: {AB8638BB-79E8-4E9D-ABF2-8F33054E3941} (Guesser Class) - http://czat.onet.pl/client/kalambury/NetPunGame1.dll

O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4571/mcfscan.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{79EB221C-5C34-45AB-BABF-4DAE18FEBB81}: NameServer = 194.204.152.34 217.98.63.164

O18 - Filter: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - (no file)

O21 - SSODL: AIDA32_is1 - {007DA398-8D32-087A-0CB9-04345C5B7E95} - (no file)

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

(Qbek50) #2

syf nieziemski :

przeskanuj dysk tym i wywal wszystko :

Panda

http://www.pandasoftware.com/activescan … ncipal.htm

Kaspersky

http://kaspersky.pl/services.html?s=online_vir_chk

mks_vir

http://skaner.mks.com.pl/

CWShredder 2.15

http://cwshredder.net/bin/CWShredder.exe

SpyBot - Search & Destroy v1.4 PL

http://www.see-cure.de/files/spybotsd14.exe

Ad-aware SE Personal 1.06

ftp://ftp.download.com/pub/windows/aawsepersonal.exe

PestPatrol

http://download.zonelabs.com/bin/free/p … olHome.exe

potem wrzuc log z HijackThis 8)


(fiesta) #3

Gregor nie każ instalować SP2 na zasyfiony system :!: :!: :!:

Nie wiesz nie piszesz :!: :!: :!:


(Muertes) #4

To co mam teraz zrobić? Przeskanować online?


(fiesta) #5

Te są On-line:

Te należy ściągnąć, zainstalować, ściągnąc aktualizację i dopiero scanować:

Po wszystkim:


(Gutek) #6
  1. Wyłączyć Przywracanie systemu w XP TU

  2. Zastartować do trybu awaryjnego bez internetu(opis w linku wyżej).

  3. Zaznaczyć wskazane wpisy w Hijacku i kliknąć Fix checked. Wpisy zostaną usunięte.

  4. Skasować z dysku pliki i foldery, które podkreśliłem na czerwono

  5. Dokończyć skanerami online - Scanery do wyboru

  6. Pokazać nowy log :stuck_out_tongue:


(Muertes) #7

"Walka do końca, nie format " - podoba mi się to hasło :slight_smile: na razie odinstalowałam tą wstrętną kazę - żródło wszelkich nieszczęść, skanuję i usuwam. Jak tylko skończę wkleję loga :slight_smile: już teraz dziękuję i pozdrawiam

Złączono Posta : 08.09.2005 (Czw) 20:01

Zrobiłam wszystko tak jak pisaliście, usunęłam i pliki i wpisy w rejestrze. Niestety pulpitu nie udało się odzyskać i obawiam się, że chyba nie da się tego zrobić :frowning: na razie wygląda to tak, że pulpit przeskakuje z białego na beżowy, po kliknięciu prawym przyciskiem na pulpicie nie ma dostępu do opcji zmiany desktopu :frowning: nie ma także takiej opcji po wejściu do panelu sterowania/ekran :frowning: nie ma po prostu fizycznie zakładek odpowiedzialnych za zmianę opcji pulpitu :frowning:

oto co znalazłam na temat tego g…a http://wirusy.antivirenkit.pl/pl/opis/T … nt.ct.html

Załączam też najnowszego loga:

Logfile of HijackThis v1.99.1

Scan saved at 20:01:44, on 2005-09-08

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\PROGRA~1\NEOSTR~1\CnxMon.exe

C:\Program Files\Neostrada TP\taskbaricon.exe

D:\Program Files\Winamp\winampa.exe

C:\WINDOWS\System32\RunDll32.exe

C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Program Files\Microsoft Office\Office\WINWORD.EXE

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\WINDOWS\System32\wuauclt.exe

C:\DOCUME~1\UYTKOW~1\USTAWI~1\Temp\Rar$EX00.281\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\NEOSTR~1\CnxMon.exe

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\Program Files\Neostrada TP\taskbaricon.exe

O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe

O4 - HKLM\..\Run: [WinampAgent] D:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe

O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [Komunikator] D:\Program Files\Tlen.pl\tlen.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1122669236902

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {AB8638BB-79E8-4E9D-ABF2-8F33054E3941} (Guesser Class) - http://czat.onet.pl/client/kalambury/NetPunGame1.dll

O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4571/mcfscan.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{79EB221C-5C34-45AB-BABF-4DAE18FEBB81}: NameServer = 194.204.152.34 217.98.63.164

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

(Gutek) #8

Desktop Recovery Kit użyj i poowinno pomóc :stuck_out_tongue:


(Muertes) #9

Troszkę pomogło, ale nie do końca :frowning: pulpit udało się zmienić, ale nie udało się odzyskać zakładek, po kliknięciu prawym przyciskiem na pulpicie pokazuje się ekran “właściwości:ekran” ale niestety są tam tylko cztery zakładki (kompozycja,wygaszacz,wygląd,ustawienia) wcześniej wydaje mi się było dużo więcej :frowning: czy to mozna jeszcze jakoś odzyskać?

Dziękuję za dotychczasową pomoc!

Jak można komuś wpisać pochwałę??? :slight_smile:


(Kuz5) #10

Poczytaj na samym dole tematu


(Muertes) #11

Chciałabym podziękować detektywowi, fieście, gutkowi2222 oraz kuz5 za okazaną mi pomoc :slight_smile: w ciągu jednego dnia pomogliście mi rozwiązać problem, z którym od kilku dni nie potrafili sobie poradzić fachowcy z “supportu” Kaspersky Lab oraz GData, jeszcze raz dziękuję i serdecznie pozdrawiam :slight_smile: jestem wam bardzo wdzięczna!Bardzo!


(lazikar) #12

Jednak jak mówi Regulamin nie można dawać wszystkim pochwał. Możesz się zwrócić z prośbą do Moderatora, aby zaakceptował takie rozwiązanie.

Niektóre pochwały kasuje.