wojt-ga
(Wojtek Tata)
2 Styczeń 2006 13:52
#1
Cześć mam problem w 98 internet explorer uruchamia sie sam i załączają się różne strony
http://…/normal/yyy102.html
zawsze z tym roszerzeniem
skanowałem kopmuter ad-aware w wynikach wyświetla że jest to malware i są takie obiekty
w raporcie jest : C:\WINDOWS\SYSTEM\kmrnel32.dll
C:\WINDOWS\hosts po usunięciu zawiesza się pulpit i trzeba kilka razy zrestartować komputer a to dalej jest skanowałem jeszcze:
CWShredder 2.19
Spybot Search & Destroy
i niestety nic to nie dało może ktoś by mi powiedział jak to usunąć
jeszcze jedno na skrzynkę email przychodzą różne e maile.
Czy ktoś może mi pomóc!
D111
(D@n!el)
2 Styczeń 2006 13:57
#2
Spam. Włącz sobie antyspam na poczcie.
Jeśli to są maile od portalu mailowego to nic nie poradzisz.
wojt-ga
(Wojtek Tata)
2 Styczeń 2006 14:06
#3
Te emaile przychodzą co kilka dni a strony otwierają się co chiwlę czasami kilka w czasie 30minut.
Gumis88Krk
(Tomusiontko88)
2 Styczeń 2006 14:35
#4
najlepszym rozwiazaniem chyba bedzie wklejenie loga w nowym postcie
tu masz napisane co i jak:)
wojt-ga
(Wojtek Tata)
3 Styczeń 2006 13:28
#5
Logfile of HijackThis v1.99.1 Scan saved at 14:10:41, on 06-01-03 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\PROGRAM FILES\KASPERSKY LAB\KASPERSKY ANTI-VIRUS DLA STACJI ROBOCZEJ\AVPCC.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\PROGRAM FILES\KASPERSKY LAB\KASPERSKY ANTI-VIRUS DLA STACJI ROBOCZEJ\AVPM.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\RUNDLL32.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\INTERNAT.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\CFGSAFE\AUTOCHK.EXE C:\PROGRAM FILES\KASPERSKY LAB\KASPERSKY ANTI-VIRUS DLA STACJI ROBOCZEJ\AVPCC.EXE C:\IFSAPP\RUNTIME\GSW32.EXE C:\PROGRAM FILES\MICROSOFT OFFICE\OFFICE\OSA.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\WINDOWS\PULPIT\PROGRAMY ANTYWIRUSOWE\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza R3 - Default URLSearchHook is missing O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM…\Run: [scanRegistry] c:\windows\scanregw.exe /autorun O4 - HKLM…\Run: [TaskMonitor] c:\windows\taskmon.exe O4 - HKLM…\Run: [internat.exe] internat.exe O4 - HKLM…\Run: [systemTray] SysTray.Exe O4 - HKLM…\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM…\Run: [ConfigSafe] C:\CFGSAFE\AUTOCHK.EXE O4 - HKLM…\Run: [GDRIVE] C:\IBMTOOLS\IBMBOOT\GDRIVE.EXE -N O4 - HKLM…\Run: [ZIBMACC] c:\windows\rundll.exe setupx.dll,InstallHinfSection DefaultInstall 128 C:\WINDOWS\INF\ZIBMACC.INF O4 - HKLM…\Run: [AVPCC] “C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus dla stacji roboczej\avpcc.exe” /wait O4 - HKLM…\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM…\RunServices: [AVPCC Service] “C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus dla stacji roboczej\avpcc.exe” /Service O4 - Startup: Skrót do gsw32.lnk = C:\ifsapp\runtime\gsw32.exe O4 - Startup: Uruchamianie pakietu Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE O4 - Startup: Microsoft Find Fast.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan … asinst.cab O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = Domain O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = numer serwera O20 - Winlogon Notify: st3 - C:\WINDOWS\Q35464.DLL (file missing) O21 - SSODL: DDE - {F33812FB-F35C-4674-90F6-FD757C419C51} - (no file) O21 - SSODL: Module - {429F4BB8-7BF7-4152-8011-3C6F9EB7E892} - C:\WINDOWS\SYSTEM\chp.dll (file missing)
przesyłam logo mam nadzieję że coś można będzie z na podstawie tego stwierdzić. pozdrawiam
====================================
Uwaga: Jak wklejasz loga to obejmuj go znacznikiem (tagiem) CODE lub QUOTE
Proponuje poczytać TEN temat i zobacz jaka jest prośba do userów wklejających loga.
Pozdrawiam kuz5
jacolok
(Jacolok)
3 Styczeń 2006 13:36
#6
Fix checked w hijacku i powinno wystarczyć. Daj logo z silent runners.
Gutek
(Gutek)
3 Styczeń 2006 15:48
#7
nie szalej nie szalej Office chcesz skasowac?
R3 - Default URLSearchHook is missing O4 - HKLM…\Run: [ZIBMACC] c:\windows\rundll.exe setupx.dll,InstallHinfSection DefaultInstall 128 C:\WINDOWS\INF\ZIBMACC.INF O20 - Winlogon Notify: st3 - C:\WINDOWS\Q35464.DLL (file missing) O21 - SSODL: DDE - {F33812FB-F35C-4674-90F6-FD757C419C51} - (no file) O21 - SSODL: Module - {429F4BB8-7BF7-4152-8011-3C6F9EB7E892} - C:\WINDOWS\SYSTEM\chp.dll (file missing)
wpisy usuń hijackiem, a pliki ręcznie w trybie awaryjnym
Zastosuj usuwanie TROJAN STYDLER
Daj log z Silenta - Silent opis: http://www.searchengines.pl/phpbb203/in … opic=15989
wojt-ga
(Wojtek Tata)
3 Styczeń 2006 19:38
#8
Wszystko ok jutro zajmę się tym bo to jest komputer kolegi w pracy i niestety niechciałbym go unicestwić. Muszę to zrobić ostrożnie żeby było co z niego zbierać.
Gutek
(Gutek)
3 Styczeń 2006 21:54
#9
Do dzieła i nowe logi z hijacka i Silenta - Silent opis: http://www.searchengines.pl/phpbb203/in … opic=15989
wojt-ga
(Wojtek Tata)
5 Styczeń 2006 08:39
#10
Nie mogę niesety instalować dodatkowych elementów które są potrzebe do uruchomienia tego programu do utworzenia loga. Może jest jakieś inne rozwiązanie zastanawiałem się czy nie moża zablokować internet explorera aby uniemożliwić uruchamiania tych stron? A może jest jakiś darmowy program który można zainstalować żeby blokował ich uruchamianie.
kacz2n
(Kacz2n)
5 Styczeń 2006 08:45
#11
To wygląda niestety jak pozostałości po VX2.BetterInternet
Więc bez dodatkowych narzędzi się nie obejdzie, no a poza tym możesz potem usunąć te narzedzia.
wojt-ga
(Wojtek Tata)
5 Styczeń 2006 11:06
#12
To jest dokładnie to co jest opisane.
To wygląda niestety jak pozostałości po VX2.BetterInternet
Ale jak to usunąć w 98 bo tam jest podane jak usunąć w XP i 2000
kacz2n
(Kacz2n)
5 Styczeń 2006 12:21
#13
Sorki moje niedopatrzenie tu masz usuwanie dla win 98: VX2.BetterInternetWin98
Wklej też log na forum z l2mfix z opcji 1.
wojt-ga
(Wojtek Tata)
5 Styczeń 2006 17:31
#15
Jestem za VX2.BetterInternet ponieważ te adresy oprócz pierwszego napewno widziałem jak również te emitikopny z opisu
Myślę że jutro to sprawdzę, po sprawdzeniu napewno się odezwę.
Gutek
(Gutek)
5 Styczeń 2006 17:36
#16