Wazon
22 Sierpień 2005 08:43
#1
Więc tak wszedłem na jakąś strone podaną na kumpla i tak wolno sie ładowała że niechcący kliknałem w coś. Na komputerze zainstalował mi się jakiś toolbar o nazwie Ware Out Scanner & Monitor czy coś takiego, nie było go na liście dodaj/usuń programy, więc wszedłem w program files i usunałem go z opcji uninstall. Problem w tym że nadal mam go na kompie jest to taki pasek narzędzi, próbowałem ale nie moge go zlikwidować samodzielnie. Prosze więc o pomoc zrobiłem scan hijackiem 1,99 oto log:
Logfile of HijackThis v1.99.1 Scan saved at 10:30:42, on 05-08-21 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\ATI2EVXX.EXE C:\WINDOWS\SVCHOST.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\INTERNAT.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\PROGRAM FILES\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE C:\PROGRAM FILES\WINAMP\WINAMPA.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\PROGRAM FILES\WANADOO\TASKBARICON.EXE C:\PROGRAM FILES\SAGEM\SAGEM F@ST 800-840\DSLMON.EXE C:\PROGRAM FILES\NIKON\NKVIEW6\NKVMON.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\WINDOWS\WINHLP32.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\PROGRAM FILES\WINAMP\WINAMP.EXE C:\PROGRAM FILES\GADU-GADU\GG.EXE C:\PROGRAM FILES\WANADOO\ESPACEWANADOO.EXE C:\PROGRAM FILES\WANADOO\COMCOMP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE C:\WINDOWS\PULPIT\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://szukaj.wp.pl R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.d2trade.pl R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada Plus wita Cie w Internecie R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza R3 - Default URLSearchHook is missing O2 - BHO: SponsorAdulto Class - {511F9316-771B-4953-A268-1C36DA667FE9} - C:\WINDOWS\SPONSORADULTO.DLL O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\SYSTEM\LVAKP.DLL O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\PROGRAM FILES\DAP\DAPIEBAR.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\SYSTEM\LVAKP.DLL O4 - HKLM…\Run: [scanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM…\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM…\Run: [internat.exe] internat.exe O4 - HKLM…\Run: [systemTray] SysTray.Exe O4 - HKLM…\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM…\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe O4 - HKLM…\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb04.exe O4 - HKLM…\Run: [P2P NETWORKING] C:\WINDOWS\SYSTEM\P2P NETWORKING\P2P NETWORKING.EXE /AUTOSTART O4 - HKLM…\Run: [bearShare] “C:\PROGRAM FILES\BEARSHARE\BEARSHARE.EXE” /pause O4 - HKLM…\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM…\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe O4 - HKLM…\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\TaskbarIcon.exe O4 - HKLM…\Run: [autoclk] autoclk.exe O4 - HKLM…\RunServices: [ATIPOLL] ati2evxx.exe O4 - HKLM…\RunServices: [ATISmart] C:\WINDOWS\SYSTEM\ati2s9ag.exe O4 - HKLM…\RunServices: [PowerManager] C:\WINDOWS\SVCHOST.EXE O4 - HKLM…\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM…\RunServices: [schedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe O4 - HKCU…\Run: [Gadu-Gadu] “C:\PROGRAM FILES\GADU-GADU\GG.EXE” /tray O4 - HKCU…\Run: [Komunikator] C:\PROGRAM FILES\TLEN.PL\TLEN.EXE O4 - HKCU…\Run: [WareOut] “C:\Program Files\WareOut\WareOut.exe” O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O4 - Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe O4 - Startup: NkvMon.exe.lnk = C:\Program Files\Nikon\NkView6\NkvMon.exe O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE O16 - DPF: {511F9316-771B-4953-A268-1C36DA667FE9} (SponsorAdulto Class) - http://ip.sponsoradulto.com/cab/2/en/Sy … comInt.cab O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) - O16 - DPF: ConferenceRoom Java Client - http://irc.d2jsp.org:8000/java/cr.cab
Będe wdzięczny za pomoc.
Wazon
22 Sierpień 2005 09:12
#2
Sorka można troche jaśniej? Co mam dokładnie zrobić tak po kolei;]
detektyw
22 Sierpień 2005 09:12
#3
wyłącz przywracanie systemu. W trybie awaryjnym usuwasz ręcznie pliki:
potem kasujesz wpisy w Hijacku:
squeet
22 Sierpień 2005 09:18
#4
Poczytaj TEN TEMAT . Powinien Ci pomóc.
Zastosuj się do wskazówek kolegów wyżej izrób, co napisali
Wazon
22 Sierpień 2005 09:20
#5
No ok to juz rozumiem jak usunąć wpisy, ale nigdy nie wyłączałem przywracania systemu bo nie wiem co to jest~~
P.S. mam win 98.
detektyw
22 Sierpień 2005 09:22
#6
cholera pomyliłem sie - 98 nie ma przywracania systemu.
Skasuj to co masz zrobić w awaryjnym tylko 8)
Wazon
22 Sierpień 2005 10:00
#7
Nie wiem dlaczego ale nie moge przejśc w tryb awaryjny, uruchamiam ponownie komputer kilkam F5 albo F8 i nic a f5 to niby tryb awaryjny, jest jakiś inny sposób żeby włączyć komputer w trybie awaryjnym;/??
detektyw
22 Sierpień 2005 10:02
#8
F8 przy starcie budy - z menu wybierasz Tryb Awaryjny
Wazon
22 Sierpień 2005 10:15
#9
No klikam F8 i nic dalej spokojnie sie wlacza komputer
squeet
22 Sierpień 2005 10:17
#10
To jest tak - klikasz F8 zaraz po starcie komputera i trzymasz do oporu, póki nie włączy się okno wyboru
Wazon
22 Sierpień 2005 10:51
#11
No więc pokolei
C:\Program Files\WareOut\WareOut.exe bo taki plik nie istniał. Odpaliłem compa od nowa na normlanym trybie i usunąłem te co się dało z tych podanych do usunięcia, mam jednak dziwny problem, przy skanowaniu ad aware program zawiesza sie na jakims pliku hkey coś tam, hmmm co to może być??
Ofc nie mam już toolbara.
Oto obecny log:
Logfile of HijackThis v1.99.1 Scan saved at 12:58:23, on 05-08-21 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\ATI2EVXX.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\INTERNAT.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\PROGRAM FILES\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE C:\PROGRAM FILES\WINAMP\WINAMPA.EXE C:\PROGRAM FILES\WANADOO\TASKBARICON.EXE C:\PROGRAM FILES\SAGEM\SAGEM F@ST 800-840\DSLMON.EXE C:\PROGRAM FILES\NIKON\NKVIEW6\NKVMON.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAM FILES\GADU-GADU\GG.EXE C:\PROGRAM FILES\WANADOO\ESPACEWANADOO.EXE C:\PROGRAM FILES\WANADOO\COMCOMP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE C:\WINDOWS\PULPIT\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://szukaj.wp.pl R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.d2trade.pl R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada Plus wita Cie w Internecie R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\PROGRAM FILES\DAP\DAPIEBAR.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM…\Run: [scanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM…\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM…\Run: [internat.exe] internat.exe O4 - HKLM…\Run: [systemTray] SysTray.Exe O4 - HKLM…\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM…\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe O4 - HKLM…\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb04.exe O4 - HKLM…\Run: [P2P NETWORKING] C:\WINDOWS\SYSTEM\P2P NETWORKING\P2P NETWORKING.EXE /AUTOSTART O4 - HKLM…\Run: [bearShare] “C:\PROGRAM FILES\BEARSHARE\BEARSHARE.EXE” /pause O4 - HKLM…\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM…\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe O4 - HKLM…\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\TaskbarIcon.exe O4 - HKLM…\Run: [autoclk] autoclk.exe O4 - HKLM…\RunServices: [ATIPOLL] ati2evxx.exe O4 - HKLM…\RunServices: [ATISmart] C:\WINDOWS\SYSTEM\ati2s9ag.exe O4 - HKLM…\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM…\RunServices: [schedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe O4 - HKCU…\Run: [Gadu-Gadu] “C:\PROGRAM FILES\GADU-GADU\GG.EXE” /tray O4 - HKCU…\Run: [Komunikator] C:\PROGRAM FILES\TLEN.PL\TLEN.EXE O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O4 - Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe O4 - Startup: NkvMon.exe.lnk = C:\Program Files\Nikon\NkView6\NkvMon.exe O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE O16 - DPF: ConferenceRoom Java Client - http://irc.d2jsp.org:8000/java/cr.cab
detektyw
22 Sierpień 2005 11:43
#12
to:
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE
Wazon
22 Sierpień 2005 13:01
#13
No niestety po usunięciu tego 09, ad aware nadal się zwiesza w jednym momencie, w momencie skanowania pliku (lub folderu>?):
detektyw
22 Sierpień 2005 13:36
#14
a czy ja mówiłem ze masz to skasowac ? Zasugerowałem że to może miec wpływ bo DAPa jest naszpikowany syfem.
A nie da rady abys zobaczył napisał przy jakim folderze czy pliku sie zawiesza Ad-Aware ?
Wazon
22 Sierpień 2005 14:08
#15
No podczas zawieszenia sie ad aware widać only:
HKEY_LOCAL_MACHINE/Software/…
detektyw
22 Sierpień 2005 14:11
#16
Wazon to moze jest jakis zonk z samym Ad-Aware ? Weź zrób reinstall 8)
Wazon
22 Sierpień 2005 14:13
#17
Hmmm wiesz co zawieszał mi sie już kiedyś tak jak miałem dialera na kompie, wtedy pomógł tylko format.
Btw: Od czasu tego toolbara do teraz co jakiś czas zawiesza mi sie komp zaraz po włączeniu i musze włączać go 2 raz.
detektyw
22 Sierpień 2005 14:20
#18
wrzuć loga ponownie do kontroli 8)
Wazon
22 Sierpień 2005 14:23
#19
Logfile of HijackThis v1.99.1 Scan saved at 16:28:38, on 05-08-21 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\ATI2EVXX.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SVCHOST.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\INTERNAT.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\PROGRAM FILES\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE C:\PROGRAM FILES\WANADOO\TASKBARICON.EXE C:\PROGRAM FILES\WINAMP\WINAMPA.EXE C:\PROGRAM FILES\SAGEM\SAGEM F@ST 800-840\DSLMON.EXE C:\PROGRAM FILES\NIKON\NKVIEW6\NKVMON.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\PROGRAM FILES\GADU-GADU\GG.EXE C:\PROGRAM FILES\WANADOO\ESPACEWANADOO.EXE C:\PROGRAM FILES\WANADOO\COMCOMP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE C:\PROGRAM FILES\WINAMP\WINAMP.EXE C:\WINDOWS\PULPIT\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://szukaj.wp.pl R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.d2trade.pl R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada Plus wita Cie w Internecie R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\PROGRAM FILES\DAP\DAPIEBAR.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM…\Run: [scanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM…\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM…\Run: [internat.exe] internat.exe O4 - HKLM…\Run: [systemTray] SysTray.Exe O4 - HKLM…\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM…\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb04.exe O4 - HKLM…\Run: [P2P NETWORKING] C:\WINDOWS\SYSTEM\P2P NETWORKING\P2P NETWORKING.EXE /AUTOSTART O4 - HKLM…\Run: [bearShare] “C:\PROGRAM FILES\BEARSHARE\BEARSHARE.EXE” /pause O4 - HKLM…\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM…\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe O4 - HKLM…\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\TaskbarIcon.exe O4 - HKLM…\Run: [autoclk] autoclk.exe O4 - HKLM…\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe O4 - HKLM…\RunServices: [ATIPOLL] ati2evxx.exe O4 - HKLM…\RunServices: [ATISmart] C:\WINDOWS\SYSTEM\ati2s9ag.exe O4 - HKLM…\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM…\RunServices: [schedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe O4 - HKLM…\RunServices: [PowerManager] C:\WINDOWS\SVCHOST.EXE O4 - HKCU…\Run: [Gadu-Gadu] “C:\PROGRAM FILES\GADU-GADU\GG.EXE” /tray O4 - HKCU…\Run: [Komunikator] C:\PROGRAM FILES\TLEN.PL\TLEN.EXE O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O4 - Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe O4 - Startup: NkvMon.exe.lnk = C:\Program Files\Nikon\NkView6\NkvMon.exe O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm O16 - DPF: ConferenceRoom Java Client - http://irc.d2jsp.org:8000/java/cr.cab
Próbowałem skanować kilkoma różnymi ad aware normalnie i po reinstallce, każdy zablokowuje się w tym samymy momencie najpierw jest:
“scannig browser chache for the hijack attemps” a potem właśnie staje na tym HKEY co wcześniej pisałem.
detektyw
22 Sierpień 2005 14:35
#20
pozostało:
wejdz w awaryjny - odszukaj plik i go usuń ręcznie a potem powyższy wpis w Hijacku 8)
Wszedłem w tryb awaryjny i usunałem te 3 pliki poza