Do specjalistów !

[zyzio]

wyrejestruj tak: start>uruchom>napisz: regsvr32 /u vbsys.dll

potem znajdz vbsys.dll i - nie rozumiem :-(

[zyzio]

Przecież tak nie można zrobić - odmowa dostępu :-(

[guzia]

VBSYS.DLL inaczej [CoolWebSearch] zawiera baze [ HTML_ADERS.A]

stad wlasnie przekierowuje Cie na różne strony

 

poszukaj tego vbsys.dll w rejestrze wyrejestruj uruchamianie w ten sposób tzn skasuj klucze odwolujace sie i uruchamiajace vbsys.dll, pozniej uruchom jeszcze raz komputer i skasuj ten plik nie powinien sie załadować (bedziesz mial dostep)

[guzia]

zyzio masz maila

[guzia]

dobra ręcznie to idzie bardzo ciężko,

jednym ze sposobów jest zastosowanie takiego softu

Ukryta Zawartość

Zaloguj się, aby zobaczyć treść.

Zaloguj się, aby zobaczyć treść (możliwe logowanie za pomocą )

 

z menu Action wybierasz opcję Delete on Reboot, wskazujesz plik do kasacji i klikasz Process and Reboot. Resetujesz kompa.

Ukryta Zawartość

Zaloguj się, aby zobaczyć treść.

Zaloguj się, aby zobaczyć treść (możliwe logowanie za pomocą )

[zyzio]

Ja nie mogę, nawet dodzwonić się nie mogę do Ciebie, podałeś dobry nr telefonu ?, bo przekierowuje mnie na mieszkanie jakiegoś dziadka ;-))

[zyzio]

Dodzwoniłem się i usunęliśmy tego gada !!! Bardzo, bardzo dziękuję jeszcze raz :)

[zyzio]

Jednak komp chodzi mi zupełnie inaczej - pewne spowolnienie było niestety....PASKUDNE ROBALE !!!

[zyzio]

Specjalnie dla guzi :-)

[obrazekLUKASZ-193150_1.gif]

Ukryta Zawartość

Zaloguj się, aby zobaczyć treść.

Zaloguj się, aby zobaczyć treść (możliwe logowanie za pomocą )

Ukryta Zawartość

Zaloguj się, aby zobaczyć treść.

Zaloguj się, aby zobaczyć treść (możliwe logowanie za pomocą )

[zyzio]

Jeszcze jedna rzecz:

co to jest ?:

Ukryta Zawartość

Zaloguj się, aby zobaczyć treść.

Zaloguj się, aby zobaczyć treść (możliwe logowanie za pomocą ) - jeśli na to kliknąć to wyskakuje pobieranie pliku - typ pliku: lista odwołania certyfikatów.

Ukryta Zawartość

Zaloguj się, aby zobaczyć treść.

Zaloguj się, aby zobaczyć treść (możliwe logowanie za pomocą )

[zyzio]

CryptRetrieveObjectByUrl::InetSchemeProvider to dodatkowe dane o wyzej w/w i IP 12.158.80.10 - mam nadzieję, że to nic groźnego ;-)

[zyzio]

Logfile of HijackThis v1.98.2

Scan saved at 19:46:17, on 2004-10-21

Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:WINDOWSSystem32smss.exe

C:WINDOWSsystem32winlogon.exe

C:WINDOWSsystem32services.exe

C:WINDOWSsystem32lsass.exe

C:WINDOWSsystem32svchost.exe

C:WINDOWSSystem32svchost.exe

C:WINDOWSExplorer.EXE

C:Program FilesCommon FilesSymantec SharedccEvtMgr.exe

C:Program FilesNorton Internet SecurityNISUM.EXE

C:WINDOWSsystem32spoolsv.exe

C:WINDOWSSystem32RunDll32.exe

C:Program FilesCommon FilesSymantec SharedccApp.exe

C:WINDOWSSystem32RUNDLL32.EXE

C:Program FilesGadu-Gadugg.exe

C:Program FilesMessengermsmsgs.exe

C:Program FilesNorton Internet SecurityccPxySvc.exe

C:Program FilesCommon FilesMicrosoft SharedVS7Debugmdm.exe

C:Program FilesNorton AntiVirusnavapsvc.exe

C:Program FilesNorton SystemWorksNorton UtilitiesNPROTECT.EXE

C:WINDOWSSystem32nvsvc32.exe

C:PROGRA~1NORTON~3SPEEDD~1nopdb.exe

C:Program FilesInternet ExplorerIEXPLORE.EXE

C:Program FilesInternet ExplorerIEXPLORE.EXE

C:WINDOWSSystem32ctfmon.exe

C:Program FilesWinRARWinRAR.exe

C:DOCUME~1user1USTAWI~1TempRar$EX00.437HijackThis.exe

 

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page =

Ukryta Zawartość

Zaloguj się, aby zobaczyć treść.

Zaloguj się, aby zobaczyć treść (możliwe logowanie za pomocą )

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:Program FilesNorton AntiVirusNavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:Program FilesNorton AntiVirusNavShExt.dll

O4 - HKLM..Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSSystem32NvCpl.dll,NvStartup

O4 - HKLM..Run: [ccApp] C:Program FilesCommon FilesSymantec SharedccApp.exe

O4 - HKLM..Run: [ccRegVfy] C:Program FilesCommon FilesSymantec SharedccRegVfy.exe

O4 - HKCU..Run: [NvMediaCenter] RUNDLL32.EXE C:WINDOWSSystem32NVMCTRAY.DLL,NvTaskbarInit

O4 - HKCU..Run: [Gadu-Gadu] "C:Program FilesGadu-Gadugg.exe" /tray

O4 - HKCU..Run: [MSMSGS] "C:Program FilesMessengermsmsgs.exe" /background

O4 - Global Startup: Microsoft Office.lnk = C:Program FilesMicrosoft OfficeOffice10OSA.EXE

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:PROGRA~1MICROS~2Office10EXCEL.EXE/3000

O21 - SSODL: SystemCheck - {54645654-2225-4455-44A1-9F4543D34544} - C:WINDOWSSystem32vbsys.dll

 

O kurcze...021, chyba że tak ma być.

Ukryta Zawartość

Zaloguj się, aby zobaczyć treść.

Zaloguj się, aby zobaczyć treść (możliwe logowanie za pomocą )

[zyzio]

Sorry, to ten log, tamten był stary !!!

 

Logfile of HijackThis v1.98.2

Scan saved at 17:24:04, on 2004-10-23

Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:WINDOWSSystem32smss.exe

C:WINDOWSsystem32winlogon.exe

C:WINDOWSsystem32services.exe

C:WINDOWSsystem32lsass.exe

C:WINDOWSsystem32svchost.exe

C:WINDOWSSystem32svchost.exe

C:WINDOWSExplorer.EXE

C:Program FilesCommon FilesSymantec SharedccEvtMgr.exe

C:Program FilesNorton Internet SecurityNISUM.EXE

C:WINDOWSsystem32spoolsv.exe

C:WINDOWSSystem32RunDll32.exe

C:Program FilesCommon FilesSymantec SharedccApp.exe

C:WINDOWSSystem32RUNDLL32.EXE

C:Program FilesGadu-Gadugg.exe

C:Program FilesMessengermsmsgs.exe

C:Program FilesNorton Internet SecurityccPxySvc.exe

C:Program FilesCommon FilesMicrosoft SharedVS7Debugmdm.exe

C:Program FilesNorton AntiVirusnavapsvc.exe

C:Program FilesNorton SystemWorksNorton UtilitiesNPROTECT.EXE

C:WINDOWSSystem32nvsvc32.exe

C:Program FilesWinRARWinRAR.exe

C:DOCUME~1user1USTAWI~1TempRar$EX00.219HijackThis.exe

C:DOCUME~1user1USTAWI~1TempRar$EX00.172HijackThis.exe

 

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page =

Ukryta Zawartość

Zaloguj się, aby zobaczyć treść.

Zaloguj się, aby zobaczyć treść (możliwe logowanie za pomocą )

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:Program FilesNorton AntiVirusNavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:Program FilesNorton AntiVirusNavShExt.dll

O4 - HKLM..Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSSystem32NvCpl.dll,NvStartup

O4 - HKLM..Run: [ccApp] C:Program FilesCommon FilesSymantec SharedccApp.exe

O4 - HKLM..Run: [ccRegVfy] C:Program FilesCommon FilesSymantec SharedccRegVfy.exe

O4 - HKCU..Run: [NvMediaCenter] RUNDLL32.EXE C:WINDOWSSystem32NVMCTRAY.DLL,NvTaskbarInit

O4 - HKCU..Run: [Gadu-Gadu] "C:Program FilesGadu-Gadugg.exe" /tray

O4 - HKCU..Run: [MSMSGS] "C:Program FilesMessengermsmsgs.exe" /background

O4 - Global Startup: Microsoft Office.lnk = C:Program FilesMicrosoft OfficeOffice10OSA.EXE

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:PROGRA~1MICROS~2Office10EXCEL.EXE/3000

O21 - SSODL: SystemCheck - {54645654-2225-4455-44A1-9F4543D34544} - (no file)

Ukryta Zawartość

Zaloguj się, aby zobaczyć treść.

Zaloguj się, aby zobaczyć treść (możliwe logowanie za pomocą )

[guzia]

znowu jest vbsys.dll, pewnie ukrył sie w punktach przywracania systemu

 

punkt z instrukcji zamieszczonej kilka postow temu

1.Wyłącz przywracanie systemu tutaj masz opis jak to wykonać:

www.gdata.pl/pl/support/avk12_pyt7.html

[zyzio]

O21 - SSODL: SystemCheck - {54645654-2225-4455-44A1-9F4543D34544} - (no file) - e nie, chyba tak ma być, choć z robalami nigdy nic nie wiadomo ;-)

[zyzio]

Nie ma to był stary log, powyżej masz nowy :-)

[guzia]

ok w nowym nie ma nic

wywal ta ostatnia linijke to jest smiec po robalu

[zyzio]

Ok, hura, hura :-)

[zyzio]

Nie można wywalić tej ostatniej...jack robi błąd, ale chyba to itak nie ma znaczenia :-)

[guzia]

Verisign to firma autoryzująca transakcje

pewnie zalogowales sie na bezpieczną stronke https://

i wymagała ona sprawdzenia takiego certyfikatu wiec odwolala sie i polaczylo cie z

Ukryta Zawartość

Zaloguj się, aby zobaczyć treść.

Zaloguj się, aby zobaczyć treść (możliwe logowanie za pomocą )

 

stat: 476 / 2289 / 20 CryptRetrieveObjectByUrl::Inet SchemeProvider to dodatkowe dane o wyzej w/w i IP 12.158.80.10 - oznacza ze przeprowadziles polaczenie szyfrowane za pomoca kluczy pewnie od Verisign.

 

spoko system zachowal sie normalnie

 

pozdrowionka

[obrazekLUKASZ-193211_1.gif]

Ukryta Zawartość

Zaloguj się, aby zobaczyć treść.

Zaloguj się, aby zobaczyć treść (możliwe logowanie za pomocą )

Ukryta Zawartość

Zaloguj się, aby zobaczyć treść.

Zaloguj się, aby zobaczyć treść (możliwe logowanie za pomocą )

[zyzio]

A nie jednak wywalił, dobry stary Jack ;-)

[zyzio]

Tak mnie to wciągnęło, ze pewnie zapiszę się na kurs komputerowy dla zaawansowanych :-)

[zyzio]

Jescze mam jedno pytanie:

jak usunąć samotworzący się pusty folder Links w ulubionych ?, chociaż chyba nie ma to żadnego znaczenia.

Pozdrówka.

[kazik]

Może spróbuj go ukryć?

U mnie właśnie zadziałało, ale nie wiem czy się nie przywróci kiedyś.

Ten folder ma linki które są w pasku, więc pewnie nie tak łatwo.

[guzia]

Zyzio,

ustawienia tego folderu sa zapisane w rejestrze systemowym,

proponuje zostawic to w spokoju, bo jest zapisany w wielu miejscach.

Najlepiej zmienic jego nazwe np na AUDIO za pomocą softwaru tuningujacego system

 

polecam TuneUp Utilities 2004

Ukryta Zawartość

Zaloguj się, aby zobaczyć treść.

Zaloguj się, aby zobaczyć treść (możliwe logowanie za pomocą )

Ukryta Zawartość

Zaloguj się, aby zobaczyć treść.

Zaloguj się, aby zobaczyć treść (możliwe logowanie za pomocą )

[zyzio]

Ok, dzięki, zamykam wątek do następnego ataku robala, mam nadzieję, że nie na mój komp ;-)

[guzia]

Dzięki, mam nadzieje ze wszyscy swiadomie zabezpiecza swoje compy i nikt nie bedzie mial problemu z robalami.

Tego wszystkim zycze.

 

pozdrawiam