wyskakujace okna/LOG HIJACKTHIS

[Gość: DMT]

Przyznaje, odwiedzalem pewne strony podwyzszonego ryzyka, ale mam
zainstalowane:

firewall: zone labs
antywirus: antivir personal edition
oraz AdAware do czyszczenia rejestru/walki z robakami etc.

A mimo wszystko w tydzien po instalowaniu windowsa na swierzo i powyzszych
programow, zaczely mi ni stad ni z owad na pulpicie wyskakiwac mini okna
explorera z reklamami strip poker itd. Jak sie tego pozbyc, jak to usunac,
przeszukuje dysk antyvirem, znajduje i usowa wirusy ale to dalej wyskakuje
(np co 15 minut, wyrzucajac mnie z programu w ktorym akurat jestem) Co robic?

HIJACKthis LOG:

Logfile of HijackThis v1.99.1
Scan saved at 22:12:42, on 2005-03-08
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\csrss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\Program Files\Media Pass\MediaPass.exe
D:\Program Files\AVPersonal\AVGNT.EXE
D:\WINDOWS\SOUNDMAN.EXE
D:\WINDOWS\System32\sstray.exe
D:\WINDOWS\System32\nvraidservice.exe
D:\WINDOWS\System32\RUNDLL32.EXE
D:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
D:\Program Files\Media Pass\MediaPassK.exe
D:\Program Files\Winamp\winampa.exe
D:\WINDOWS\System32\ctfmon.exe
D:\Program Files\Messenger\msmsgs.exe
D:\Program Files\Gadu-Gadu\gg.exe
D:\Program Files\AVPersonal\AVGUARD.EXE
D:\Program Files\AVPersonal\AVWUPSRV.EXE
D:\WINDOWS\System32\drivers\CDAC11BA.EXE
D:\WINDOWS\System32\nvsvc32.exe
D:\WINDOWS\system32\ZONELABS\vsmon.exe
D:\WINDOWS\System32\wbem\unsecapp.exe
D:\WINDOWS\System32\wbem\wmiprvse.exe
F:\ANTY SYF WEAPONS\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) =
clearsurfing.net/srch.php?qq=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL =
about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: Name - {45E590A1-2852-4BC3-838E-92F22863756E} - D:\WINDOWS\System32
\msgdz.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
D:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} -
D:\WINDOWS\System32\iecustom32.dll
O4 - HKLM\..\Run: [AVGCtrl] "D:\Program Files\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NVRaidService] D:\WINDOWS\System32\nvraidservice.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32
\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32
\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Zone Labs Client] "D:\Program Files\Zone
Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [WinampAgent] D:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Media Pass] D:\Program Files\Media Pass\MediaPass.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "D:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Gadu-Gadu] "D:\Program Files\Gadu-Gadu\gg.exe" /tray
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-
its:mhtml:file://C:\foo.mht!
bin.wordsx.cc/xS5IVMQgca_eh75VHCqOPps.chm::/on-line.exe
O16 - DPF: {11212111-2121-1311-1141-115611111222} - ms-its:mhtml:file://d:
oo.mht!69.50.166.213/users/john/web/axe/x.chm::/update.exe
O16 - DPF: {11311111-1111-1111-1111-111111111157} -
file://C:\Recycled\Q330995.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{3F22739B-F357-4BE2-A1BA-
D71459405A07}: NameServer = 69.50.184.84,195.225.176.37
O17 - HKLM\System\CCS\Services\Tcpip\..\{42E08836-2351-4DBD-B43A-
375DA854764B}: NameServer = 69.50.184.84,195.225.176.37
O17 - HKLM\System\CCS\Services\Tcpip\..\{967A3EE0-E963-41AC-AF38-
2A7315905F2E}: NameServer = 69.50.184.84,195.225.176.37
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH -
D:\Program Files\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany -
D:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: C-DillaCdaC11BA - Macrovision - D:\WINDOWS\System32
\drivers\CDAC11BA.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation -
D:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. -
D:\WINDOWS\system32\ZONELABS\vsmon.exe

[Gość: neder]

Gość portalu: DMT napisał(a):

> Przyznaje, odwiedzalem pewne strony podwyzszonego ryzyka, ale mam
> zainstalowane:
>
> firewall: zone labs
> antywirus: antivir personal edition
> oraz AdAware do czyszczenia rejestru/walki z robakami etc.

no i co tego jak nawet nie masz SP1, a co dopiero mówic o SP2 :-/

Wyłączasz przywracanie systemu, uruchamiasz komputer w trybie awaryjnym,
uruchamiasz HJ ponownie, wybierasz "do a system scan only" i zaznaczasz te
pozycje:


> R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
> about:blank
> R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
> about:blank
> R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
> R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
> R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
> R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL =
> about:blank
> R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
> about:blank
> R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
> about:blank
> R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
> about:blank
> R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
> about:blank
> R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
> O2 - BHO: Name - {45E590A1-2852-4BC3-838E-92F22863756E} - D:\WINDOWS\System32
> \msgdz.dll
> O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} -
> D:\WINDOWS\System32\iecustom32.dll
> O4 - HKLM\..\Run: [NVRaidService] D:\WINDOWS\System32\nvraidservice.exe
> O4 - HKLM\..\Run: [WinampAgent] D:\Program Files\Winamp\winampa.exe
> O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-
> its:mhtml:file://C:\foo.mht!
> bin.wordsx.cc/xS5IVMQgca_eh75VHCqOPps.chm::/on-line.exe
> O16 - DPF: {11212111-2121-1311-1141-115611111222} - ms-its:mhtml:file://d:
> oo.mht!69.50.166.213/users/john/web/axe/x.chm::/update.exe
> O16 - DPF: {11311111-1111-1111-1111-111111111157} -
> file://C:\Recycled\Q330995.exe


+ kilka kosmetycznych poprawek w sekcji 04 - popatrz i zdecyduj, czy są Ci one
niezbędne przy autostarcie systemu - jesli nie to zaznaczasz

> O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
> O4 - HKLM\..\Run: [Media Pass] D:\Program Files\Media Pass\MediaPass.exe
> O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE


zaznaczasz Fix checked


przeskanuj kompa ad-aware'em, spybot search&destroy, antywirem.

restart komputera - uruchamianie już w trybie normalnym. jako że nie masz SP2
wskazana by była instalacja
www.windowsupdate.com inaczej masz dziurawy sysytem i efekty takie jakie
są:( Tyle że SP2 ma ponad 200MB więc trochę Cię czeka ściagnaia. Ale PZU...



i pamietaj o wyłączeniu przywracania systemu podczas usuwania
panel sterowania>wydajnosc>system i wylacz przywracanie systemu.Po calej
operacj -włącz


PS. masz dziwne rzeczy w kompie - łażąc po stronach szukając info o sekcji 016
złapałam 3 wiry...a może po prostu mam dzis pecha:(


pzdr.

[Gość: f0tqa]

ja bym proponowała zmiane przeglądarki, lub chociazby nakładke na exprolera np.
Awant Browser (blokuje wyskakujące okienka). Pozatym przeskanuj pliki
antywirem, polecam mks'a on line. jezeli masz firewalla, to np. jak skorzystasz
z nakładki bedziesz mogl zablokowac w ogole dostep exprolera do internetu. ja
tak zrobilam i zadowolona jestem :). pozdrawiam