Oglądasz wypowiedzi znalezione dla frazy: Microsoft delete
Temat: Dziwny przypadek
Zarobaczyles sie.
Zamknij porty przy pomocy wwdc.exe
W hjt usun:
O2 - BHO: (no name) - {4D0AB837-35A2-4C0E-B9E4-BC23E49DD13C} -
C:WINDOWSsystem32ddcayaa.dll <- plik usun z dysku.
O20 - AppInit_DLLs:
O20 - Winlogon Notify: ddcayaa - C:WINDOWSSYSTEM32ddcayaa.dll
O20 - Winlogon Notify: pmnkjih - C:WINDOWSSYSTEM32pmnkjih.dll <- i ten.
Usluga do kasacji:
O23 - Service:
Microsoft update Service - Unknown owner -
C:WINDOWSSystem32dllcachemsiupdate32.exe
Start->Uruchom->sc stop "
Microsoft update Service"
oraz: sc
delete "
Microsoft update Service"
na koniec usuwasz plik C:WINDOWSSystem32dllcachemsiupdate32.exe z dysku.
Przeczytaj wszystkie posty z tego wątku
Temat: Proszę o sprawdzenie loga
Zainstaluj SP2, zamknij tez porty przy pomocy wwdc.exe
Odinstaluj: Ewido, AVG AntiSpyware, Spyware Doctor, Norton,
Microsoft AntiSpyware, Avast.
Zmien przegladarke na Opere lub FF i nie uzywaj IE, tak samo OE zmien na Thunderbird'a. Nie sciagaj tez crackow itp smieci z programow p2p oraz www.
W hjt usun:
F2 - REG:system.ini: Shell=explorer.exe
Start->Uruchom->cmd i wpisz tam:
sc stop "
Microsoft Windows TCP Protocol"
sc stop MSDisk
sc stop MSWindows
sc
delete MSDisk
sc
delete "
Microsoft Windows TCP Protocol"
sc
delete MSWindows
Daj log z SDFix zrobiony w trybie awaryjnym + log z gmera z zakladki rootkit.
Sprawdz ktorys z tych zainfekowanych plikow tutaj:
virusscan.jotti.org/ i wklej co znalazly skanery.
Przeczytaj wszystkie posty z tego wątku
Temat: Proszę o sprawdzenie loga
Zamknięcie F2 - REG:system.ini: Shell=explorer.exe nie było potrzebne bo już
było zamknięte.
Z polecenia CMD nie udało się wykonać
sc stop "
Microsoft Windows TCP Protocol"
sc stop MSWindows
sc
delete "
Microsoft Windows TCP Protocol"
sc
delete MSWindows
- Odmowa.
Zadanie skanowania trudno było wykonać bo komp sie wieszał, pracę blokowały
pliki wyłapywane przez Antyvir jako infekcje itp.Po wielu próbach udało mi się i
wklejam logi na
www.wklej.org/id/78d707a6f6.
Gmer'a musiałem puszczać po każdym dysku osobno , bo przy całości komp się
wieszał albo całkiem zamknął(system stracił stabilność bo coś z plikiem
Isass.exe....)po właczeniu chciał wysłać komunikat o przyczynie
(E:WINDOWSMinidumpMini120107-01.dmp,
E:DOCUME~1domUSTAWI~1TempWER1.tmp.dir00sysdata.xml,
BCCode : e3 BCP1 : F15C4BCC BCP2 : 82BCCDA8 BCP3 : 00000000 ,
BCP4 : 00000002 OSVer : 5_1_2600 SP : 1_0 Product : 256_1 .)
Przy skanowaniu Gmer'em kolejnych dysków (najpierw E,C) na trzecim i dalej po
skanowaniu dysków (G,H,I ,L, M) dał komunikat, że odnalazł modyfikacje systemu
wskazujące na obecność Rootkit'a.
Myślę, że coś dalej siedzi i rozsyła pliki "infekcyjne"
Pozdrawiam.
Przeczytaj wszystkie posty z tego wątku
Temat: Prośba o sparwdzenie loga. Nie wykrywalny wirus?
Zamknij porty przy pomocy wwdc.exe, uzyj tez:
downloads.subratam.org/Fixwareout.exe <- po uzyciu utworzy sie log, ktory wklej na forum.
W hjt usun:
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} -
C:WINDOWSweb
elated.htm
O9 - Extra 'Tools' menuitem: Show &Related Links -
{c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:WINDOWSweb
elated.htm
O17 -
HKLMSystemCCSServicesTcpip..{2338AEF0-DE13-4992-B97D-1C4F0561E1AF}:
NameServer = 85.255.116.110,85.255.112.113
Usluga do kasacji:
O23 - Service:
Microsoft Agent - Unknown owner -
C:WINDOWSSystem32dllcachelkmhost.exe
Start->Uruchom->sc stop "
Microsoft Agent"
oraz: sc
delete "
Microsoft Agen"
Plik C:WINDOWSSystem32dllcachelkmhost.exe usun z dysku.
Przeskanuj system przy pomocy ewido.
Przeczytaj wszystkie posty z tego wątku
Temat: whistler
Czy ktos z was juz testowal bete windyXP? Jak z zabezpieczeniami?
Jakby ktos chcial to mam kilka zrzutow ekranu, interface jest calkiem nowy
(cos dla estetow).
pozdrawia nick
Wszystko jest zlamane. Ponizej zamieszczam opis z cracka a pliki moge
podeslac na priva.
Windows XP (codename whistler) crack by Solarix1
2464a - Beta 2
Product-Key
QB2BW-8PJ2D-9X7JK-BCCRT-D233Y
(I) Pre-Installation Perperations if you didn't download my ISO:
-Extract the .ISO with ISObuster or any other iso extracter
1. Delete idwlog.exe and sysparse.exe from the i386 folder of the
installation folder
2. Replace winlogon.ex_, setupreg.hiv and setupp.ini (i386 folder also) with
those provided in the
files provided in the PreInstall folder.
(II) Post Installation After 100% and final reboot (Safe Mode):
1. Boot into Safe Mode - F8 at startup
2. Start -Control Panel -Admin Tools -CPU Management -Local Users
-Delete Microsoft Account and Help Account
-Change guest password
-Rename Administrator
3. Now U need to edit the Registery which is Really easy to do
-Start -Run
-regedit
-HKEYSoftwareMicrosoftWindowsNTCurrentVersion
-Modify "RegDone" to 1
-HKEYSoftwareMicrosoftWindowsNTCurrentVersionWinLogon
-Modify "Activation Required" to 0
-HKEYSoftwareMicrosoftWindowsNTCurrentVersionWinLogon
-Modify "SFCDisable" to 1
-Close Regedit
4. The final step:
-Start -Run
*Copy and past these commands one at a time in the run box.
- regsvr32.exe -u regwizc.dll
- regsvr32.exe -u licdll.dll
Przeczytaj wszystkie posty z tego wątku
Temat: atte
W hijackthis usun:
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page =
www.neostrada.pl/
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Window Title = Neostrada TP
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} -
E:PROGRA~1NEOSTR~1SEARCH~1.DLL
O4 - HKLM..Run: [MSN Messenger] msnmsigr.exe
O4 - HKLM..Run: [winsysupd] C:windowswinsysupd4.exe <- usun plik
O4 - HKLM..RunServices: [MSN Messenger] msnmsigr.exe <- usun plik
O4 - HKLM..RunOnce: [isDeleteMe] "E:WINDOWSSystem32cmd.exe" /c
"E:DOCUME~1antekUSTAWI~1TempisDel.bat" <- usun wszystko z temp
O4 - HKLM..RunOnce: [MyWebSearch bar Uninstall] rundll32
E:PROGRA~1UNINST~1.DLL,O
O8 - Extra context menu item: &Search -
bar.mywebsearch.com/menusearch.html?p=ZCfox000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} -
E:WINDOWSweb
elated.htm
O9 - Extra 'Tools' menuitem: Show &Related Links -
{c95fe080-8f5d-11d2-a20b-00aa003c157a} - E:WINDOWSweb
elated.htm
Usun usluge:
O23 - Service:
MicroSoft Media Tools - Unknown owner - E:WINDOWSMSmedia.exe
sc stop "
MicroSoft Media Tools"
sc
delete "
MicroSoft Media Tools"
Zrob skan:
ftp://download.hirekmedia.hu/ssfsetup1_0.exe <- zrob update przed skanowaniem,
po przeskanowaniu odinstaluj.
download.ewido.net/ewido-setup.exe <- zrob update przed skanowaniem, po
przeskanowaniu odinstaluj.
Zamknij porty w wwdc:
www.firewallleaktester.com/tools/wwdc.exe
Zainstaluj aktualizacje:
www.windowsupdate.com/
Usun katalog:
E:Program FilesMyWebSearch
E:WINDOWSsystem32
driv.sys
Wylacz przywracanie systemu w opcjach systemu i usun plik:
E:System Volume Information\_restore{4C68BEB7-6314-4239-B0A9-BFF30F014DED}RP58
stub_113_4_0_4_0[1].exe
Usun cale ie temp:
E:WINDOWSsystem32configsystemprofileUstawienia lokalneTemporary Internet
FilesContent.IE5C5Y70XU3
Oraz zrob skan tym:
www.idg.pl/ftp/pc_7644/Szczepionka.G.DATA.123.html
Przeczytaj wszystkie posty z tego wątku
Temat: Sprawdzenie loga + łatka
Jaka latke? Masz pelno spyware'u w tym look2me!
W menadzerze zadan zakoncz:
C:WINDOWSSystem32msnmisgi.exe
W hijackthis usun:
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Window Title = Neostrada
Plus wita Cie w Internecie
O4 - HKLM..Run: [MSN Messenger] msnmisgi.exe <- usun plik z dysku
O4 - HKLM..RunServices: [MSN Messenger] msnmisgi.exe
O4 - HKCU..Run: [MSN Messenger] msnmisgi.exe
O20 - Winlogon Notify: App Management - C:WINDOWSsystem32fp6m03j1e.dll
(file missing) <- tutaj masz look2me
O20 - Winlogon Notify: Setup - C:WINDOWSsystem32c000ladm1d0a.dll (file
missing) <- i tu.
O20 - Winlogon Notify: Shell Extensions - C:WINDOWSsystem32dtnwsock.dll <-
usun plik z dysku.
Usun uslugi:
O23 - Service: Command Service (cmdService) - Unknown owner -
C:WINDOWSYWRhcwcommand.exe (file missing)
O23 - Service:
MicroSoft Media Tools - Unknown owner - C:WINDOWSMSmedia.exe
(file missing)
Start->Uruchom->cmd i tam wpisz:
sc stop cmdService
sc stop "
MicroSoft Media Tools"
sc
delete "
MicroSoft Media Tools"
sc
delete cmdService
Zrob skan tym:
ftp://download.hirekmedia.hu/ssfsetup1_0.exe <- zrob update przed skanowaniem,
po przeskanowaniu odinstaluj.
download.ewido.net/ewido-setup.exe <- zrob update przed skanowaniem, po
przeskanowaniu odinstaluj.
Zamknij porty w wwdc:
www.firewallleaktester.com/tools/wwdc.exe
Look2me:
www.simplytech.it/L2MRemover/index_e.htm
www.softpedia.com/get/Internet/Popup-Ad-Spyware-Blockers/Killme.shtml
Jezeli to nie pomoze to usun recznie:
www.searchengines.pl/phpbb203/index.php?
showtopic=12510&st=30&p=109496entry114917
Po wszystkim wklej nowy log.
Przeczytaj wszystkie posty z tego wątku
Temat: Atak trojanów
W zakladce rootkit oznacz wszystko zostawiajac tylko: uslugi oraz pokaz wszystko.
Sciagnij:
downloads.andymanchesta.com/RemovalTools/SDFix.exe
Uruchom komputer w trybie awaryjnym bez obslugi sieci.
Uzyj SDFix (koniecznie w trybie awaryjnym!)
Kasacja uslugi:
Start->Uruchom->cmd
wpisz tam:
sc stop "
Microsoft Media"
sc
delete "
Microsoft Media"
W menadzerze zadan zakoncz:
C:WINDOWSSystem32wbemscricon.exe
W hijackthis usun:
O4 - HKLM..RunServices: [Auto File System Conversion Utility] C:WINDOWSSystem32wbemscricon.exe
O4 - HKCU..Run: [Auto File System Conversion Utility] C:WINDOWSSystem32wbemscricon.exe
O4 - HKCU..RunServices: [Auto File System Conversion Utility] C:WINDOWSSystem32wbemscricon.exe
O4 - HKUSS-1-5-18..Run: [Auto File System Conversion Utility] C:WINDOWSSystem32wbemscricon.exe (User 'SYSTEM')
O4 - HKUSS-1-5-18..RunServices: [Auto File System Conversion Utility] C:WINDOWSSystem32wbemscricon.exe (User 'SYSTEM')
O4 - HKUS.DEFAULT..RunServices: [Auto File System Conversion Utility] C:WINDOWSSystem32wbemscricon.exe (User 'Default user')
Z dysku usun:
C:WINDOWSSystem32dllcacheRtsecar.exe
C:WINDOWSsystem32scricon.exe
C:WINDOWSsystem32DVCStateBkp-{00000000-00000000-0000000F-00001102-00000002-80651102}.dat
C:WINDOWSsystem32DVCState-{00000000-00000000-0000000F-00001102-00000002-80651102}.dat
Uruchom regedit, przedz do:
[HKEY_USERS.defaultsoftwaremicrosoftwindowscurrentversion
un] i usun tam ten pusty wpis: "<NO NAME>"=
Wklej do notatnika to:
REGEDIT4
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionShell ExtensionsApproved]
"{F66C617F-6ECE-4199-B0C5-E38BD5964CCB}"=-
"{E5EF2911-5A9F-49B5-A1EF-91C5280321E4}"=-
"{94B6E79F-D31B-4A58-8127-B9B583EA25D8}"=-
"{2AB49F5C-9212-4EFC-A6CD-51FBA635F804}"=-
"{AC9E704C-1AB9-4013-9F80-5735D6D26943}"=-
Zapisz jako fix.reg i uruchom.
Po wszystkim daj log z sdfix, combofix oraz hjt + ten z gmera z uslugami.
Przeczytaj wszystkie posty z tego wątku
Temat: sprawdzanie loga z hijack this
W menadzerze zadan zakoncz:
C:WINDOWSsystem32clcl3.exe
C:WINDOWSsystem32v7.exe
C:DOCUME~1adminUSTAWI~1Tempjdon.exe <- usun wszystkie pliki z temp.
C:3456346345643.exe
C:syst.exe
C:xx1232255.exe
C:DOCUME~1adminUSTAWI~1Temp3443631707.exe
Wszystkie te pliki usun z dysku.
W hjt usun:
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,SearchAssistant =
search.bearshare.com/sidebar.html?src=ssb
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar =
search.bearshare.com/sidebar.html?src=ssb
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page =
search.bearshare.com/sidebar.html?src=ssb
R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant =
search.bearshare.com/sidebar.html?src=ssb
R1 - HKCUSoftwareMicrosoftInternet Connection Wizard,ShellNext =
www.neostrada.pl/
R3 - URLSearchHook: BearShare MediaBar - {D3DEE18F-DB64-4BEB-9FF1-
E1F0A5033E4A} - (no file)
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} -
(no file)
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} -
(no file)
O2 - BHO: XBTP02634 Class - {F97DA966-F09D-4cab-BF29-75A0026986EA} - (no file)
O3 - Toolbar: BearShare MediaBar - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} -
(no file)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no
file)
O4 - HKLM..Run: [clcl3] C:WINDOWSsystem32clcl3.exe
O4 - HKLM..Run: [VaCtrls] v7
O4 - HKLM..Run: [net32] C:WINDOWSsvhost.exe <- plik usun z dysku.
Uslugi do kasacji:
O23 - Service: ieupdater1 (
Microsoft IEUpdater1) - Unknown owner -
C:Documents and Settingsadminie_updater.exe <- plik usun z dysku.
O23 - Service: QoS RSVP RSVPBITS (RSVPBITS) - Unknown owner -
C:WINDOWSsystem321045t.exe
Oba pliki usun po usunieciu uslug.
Start->Uruchom->sc stop "
Microsoft IEUpdater1"
oraz: sc
delete "
Microsoft IEUpdater1"
nastepni: sc stop RSVPBITS
i na koniec: sc
delete RSVPBITS
Zrob tez skan tym:
www.pandasoftware.com/activescan/pol/activescan_principal.htm
www.spywareinfo.com/xscan.php
www.bitdefender.com/scan8/ie.html
Przeczytaj wszystkie posty z tego wątku
zanotowane.pldoc.pisz.plpdf.pisz.plerfly06132.opx.pl