błagam pomóżcie

IP: 80.51.243.* 15.07.04, 12:04
za kazdym razem jak wlaczam internet pojawia sie strona warning spyware
system error384,w dodatku zmiana strony startowej nie pomaga to ciagle wraca
to jest zapisane w c:winnt/secure/html błagam jak sie tego pozbyc raz na
zawsze
    • netsec Re: błagam pomóżcie 15.07.04, 13:21
      Gość portalu: lukasz napisał(a):

      > za kazdym razem jak wlaczam internet pojawia sie strona warning spyware
      > system error384,w dodatku zmiana strony startowej nie pomaga to ciagle wraca
      > to jest zapisane w c:winnt/secure/html błagam jak sie tego pozbyc raz na
      > zawsze

      Wklej loga z HiJackthis
      • snake_plissken secure.html 23.07.04, 00:08
        Mam to samo :-( Hijack nie może tego g... usunąć.
        Kopia loga:

        Logfile of HijackThis v1.97.7
        Scan saved at 00:06:45, on 04-07-23
        Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
        MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

        Running processes:
        C:\WINDOWS\System32\smss.exe
        C:\WINDOWS\system32\winlogon.exe
        C:\WINDOWS\system32\services.exe
        C:\WINDOWS\system32\lsass.exe
        C:\WINDOWS\system32\svchost.exe
        C:\WINDOWS\System32\svchost.exe
        C:\WINDOWS\system32\spoolsv.exe
        C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
        C:\Program Files\Alwil Software\Avast4\ashServ.exe
        C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
        C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
        C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
        C:\WINDOWS\System32\nvsvc32.exe
        C:\PROGRA~1\NORTON~3\SPEEDD~1\nopdb.exe
        C:\WINDOWS\System32\svchost.exe
        C:\WINDOWS\System32\MsPMSPSv.exe
        C:\WINDOWS\Explorer.EXE
        C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
        C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
        C:\WINDOWS\system.exe
        C:\WINDOWS\System32\ctfmon.exe
        C:\Program Files\Gadu-Gadu\gg.exe
        C:\WINDOWS\System32\scvhost.exe
        C:\Program Files\SAGEM\SAGEM F@st 800-840\DSLMON.exe
        C:\Program Files\Internet Explorer\IEXPLORE.EXE
        C:\Documents and Settings\Snake PL_issken\Moje
        dokumenty\Programy\HijackThis\HijackThis.exe

        R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
        C:\WINDOWS\secure.html
        R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
        C:\WINDOWS\secure.html
        R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
        C:\WINDOWS\secure.html
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
        C:\WINDOWS\secure.html
        R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
        C:\WINDOWS\secure.html
        R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
        C:\WINDOWS\secure.html
        R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
        O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
        O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
        O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -
        atboottime
        O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common
        Files\Real\Update_OB\realsched.exe" -osboot
        O4 - HKLM\..\Run: [System32] C:\WINDOWS\system.exe
        O4 - HKLM\..\Run: [DesktopProf] c:\windows\pulpit.exe ukrt
        O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
        O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
        O4 - HKCU\..\Run: [scvhost.exe] C:\WINDOWS\System32\scvhost.exe
        O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840
        \DSLMON.exe
        O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
        Office\Office10\OSA.EXE
        O8 - Extra context menu item: E&ksport do programu Microsoft Excel -
        res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
        O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
        O16 - DPF: {556DDE35-E955-11D0-A707-000000521957} -
        www.xblock.com/download/xclean_micro.exe
        O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -
        download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
        • netsec Re: secure.html 23.07.04, 10:33
          snake_plissken napisał:

          > Mam to samo :-( Hijack nie może tego g... usunąć.
          > Kopia loga:
          >
          > Logfile of HijackThis v1.97.7
          > Scan saved at 00:06:45, on 04-07-23
          > Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
          > MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

          Sprawdź czy masz włączoną zaporę Internetową we właściwościach Twojego
          połączenia do Internetu. Tu jest opis jak to wykonać
          www.microsoft.com/poland/security/protect/windowsxp/firewall.aspx
          Wyłącz przywracanie systemu (tylko XP i Me)
          support.microsoft.com/default.aspx?scid=kb;pl;310405
          W Panelu Sterowania => Opcje Internetowe => Tymczasowe pliki Internetowe
          Usuń pliki(zaznacz całość off line) i Usuń pliki cooki.

          Uruchom komputer w trybie awaryjnym.
          support.microsoft.com/default.aspx?scid=KB;PL;315222
          Zamknij wszystkie okna przeglądarki Internet Explorer i uruchom ponownie HijackTHis.
          Wykonaj SCAN i zaznacz dokładnie te pozycje:

          R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
          C:\WINDOWS\secure.html
          R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
          C:\WINDOWS\secure.html
          R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
          C:\WINDOWS\secure.html
          R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
          C:\WINDOWS\secure.html
          R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
          C:\WINDOWS\secure.html
          R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
          C:\WINDOWS\secure.html
          O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -
          atboottime
          O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common
          Files\Real\Update_OB\realsched.exe" -osboot
          O4 - HKLM\..\Run: [System32] C:\WINDOWS\system.exe
          O4 - HKLM\..\Run: [DesktopProf] c:\windows\pulpit.exe ukrt
          O4 - HKCU\..\Run: [scvhost.exe] C:\WINDOWS\System32\scvhost.exe
          O16 - DPF: {556DDE35-E955-11D0-A707-000000521957} -
          www.xblock.com/download/xclean_micro.exe

          Po zaznaczeniu wykonaj FIX CHECKED i OK.
          Uruchom komputer ponownie w normalny sposób.

          Odszukaj i usuń pliki
          C:\WINDOWS\secure.html, C:\WINDOWS\system.exe, C:\windows\pulpit.exe,
          C:\WINDOWS\System32\scvhost.exe .

          Ściągnij ten wpis do rejestru
          209.133.47.12/downloads/tools/IEFIX.reg
          209.133.47.200/downloads/tools/IEFIX.reg
          Uruchom klikając i zaakceptuj wpis.

          Ściągnij najnowszy CwShedder

          209.133.47.12/~merijn/files/CWShredder.exe
          209.133.47.200/~merijn/files/CWShredder.exe
          Zamknij wszystkie okna Internet Explorer'a.
          Uruchom CWShredder i wykonaj FIX.

          Przeskanuj system Ad-aware z opcjami opisanymi tu
          ralphcaddell.com/pchelp/Ad-aware%20instructions.htm
          Sprawdź czy baza wirusów w AVAST aktualizuje się i po jej aktualizacji przeskanuj wszystkie dyski.

          Po tym połącz się www.windowsupdate.com i zaktualizuj system o wszystkie krytyczne poprawki. Tutaj masz więcej na ten temat
          www.microsoft.com/poland/security/protect/windowsxp/updates.aspx
          • snake_plissken Re: secure.html 23.07.04, 15:38
            Nie mogę wywalić secure.html z katalogu windows :-/ Usuwam i za sekundę pojawia
            się znowu. Nie mogę też znaleźć pulpit.exe i scvhost.exe. Wszystkie
            wcześniejsze wskazówki wykonałem (zapora była już włączona). Co czynić,
            Mistrzu?? :-)
            • netsec Re: secure.html 23.07.04, 16:25
              snake_plissken napisał:

              > Nie mogę wywalić secure.html z katalogu windows :-/ Usuwam i za
              > sekundę pojawia się znowu. Nie mogę też znaleźć pulpit.exe i
              > scvhost.exe. Wszystkie
              > wcześniejsze wskazówki wykonałem (zapora była już włączona). Co czynić,
              > Mistrzu?? :-)

              Wszystkie operacje powinieneś wykonać po uruchomieniu komputera w trybie
              awaryjnym. Przed tym upewnij się, że masz w Panelu Sterowania
              => Opcjach folderów zakładka Widok zaznaczone Pokaż ukryte pliki i foldery
              i odznaczone Ukryj chronione pliki systemu operacyjnego.

              CWShredder ściągnij stąd
              www.softpedia.com/public/cat/10/17/10-17-150.shtml
              Wykonaj wszystko ponownie dokładnie jak napisałem
              Możesz spróbować uruchomić komputer w trybie awaryjnym z siecią.
              Po wyczyszczeniu kompa linki powinny działać.
              Kolejność czynności jest bardzo istotna.
              • snake_plissken Re: secure.html 23.07.04, 18:59
                OK, już jest dobrze! :-) Usunąłem ten syf o nazwie secure.html
                Wciąż jednak nie otwiera mi się strona, z której miałem pobrać wpisy do
                rejestru.
                (Shreddera już mam nowszego, Ad-aware uaktualniłem i zrobiłem skan, poprawki
                zainstalowałem).
                WIELKIE dzięki, netsec :-)
                • netsec Re: secure.html 23.07.04, 19:33
                  snake_plissken napisał:

                  > OK, już jest dobrze! :-) Usunąłem ten syf o nazwie secure.html
                  > Wciąż jednak nie otwiera mi się strona, z której miałem pobrać wpisy do
                  > rejestru.
                  > (Shreddera już mam nowszego, Ad-aware uaktualniłem i zrobiłem skan, poprawki
                  > zainstalowałem).
                  > WIELKIE dzięki, netsec :-)

                  Wklej nowego loga z HiJack, może coś jeszcze zostało :)
                  • snake_plissken Nowy log 24.07.04, 11:51
                    Oj, coś mi się to nie podoba za bardzo :-)

                    C:\WINDOWS\system32\spoolsv.exe
                    C:\WINDOWS\Explorer.EXE
                    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
                    C:\Program Files\Alwil Software\Avast4\ashServ.exe
                    C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
                    C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
                    C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
                    C:\WINDOWS\System32\nvsvc32.exe
                    C:\PROGRA~1\NORTON~3\SPEEDD~1\nopdb.exe
                    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
                    C:\WINDOWS\System32\svchost.exe
                    C:\WINDOWS\System32\MsPMSPSv.exe
                    C:\WINDOWS\System32\devldr32.exe
                    C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
                    C:\WINDOWS\System32\ctfmon.exe
                    C:\Program Files\Gadu-Gadu\gg.exe
                    C:\Program Files\SAGEM\SAGEM F@st 800-840\DSLMON.exe
                    C:\Program Files\Internet Explorer\iexplore.exe
                    C:\Program Files\WinAdam\winamp.exe
                    C:\Documents and Settings\Snake PL_issken\Moje
                    dokumenty\Programy\HijackThis\HijackThis.exe

                    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
                    www.wp.pl/
                    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
                    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
                    O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
                    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
                    O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
                    O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840
                    \DSLMON.exe
                    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
                    Office\Office10\OSA.EXE
                    O8 - Extra context menu item: E&ksport do programu Microsoft Excel -
                    res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
                    O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
                    O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) -
                    v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38191.3826157407
                    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -
                    download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
                    • netsec Re: Nowy log 24.07.04, 11:55
                      snake_plissken napisał:

                      > Oj, coś mi się to nie podoba za bardzo :-)

                      Coś się dzieje? Tutaj nic nie ma.
                      Może tylko jeszcze ściagnij ten wpis

                      Ściągnij ten wpis do rejestru
                      209.133.47.12/downloads/tools/IEFIX.reglub
                      209.133.47.200/downloads/tools/IEFIX.reg
                      Uruchom klikając i zaakceptuj wpis.
                    • netsec Re: Nowy log 24.07.04, 11:58
                      Jeśli inne plinki nie działają ten plik
                      masz tu www.all.website.pl/spywareinfo/iefix.zip
          • snake_plissken Nie działają też linki 23.07.04, 15:42
            209.133.47.12/downloads/tools/IEFIX.reg
            209.133.47.200/downloads/tools/IEFIX.reg
            209.133.47.12/~merijn/files/CWShredder.exe
            209.133.47.200/~merijn/files/CWShredder.exe
Pełna wersja