Pomocy, tray systemowy, tarcza czerwona z "x" zmieniajaca sie na niebieska z "?"

kaka2b · #1 (**permalink**) 06.01.2008, 16:59

w pasku systemowym pojawila mi sie ikonka tarczy niebieskiej z znakiem zapytania zmieniajaca sie co chwile na czerwona tarcze z znakiem iksa i wyskakuje dymek System Alert!! klikajac na nia otwiera mi sie strona w IE VirusProtect po angielsku niewiem jak usunac ta tarcze pomozcie

mr.n0b0dy · #2 (**permalink**) 06.01.2008, 17:31

Log z Combofix pokaż + log z hijackthis (właśnie w tej kolejności je utwórz). Jak czegoś nie wiesz na temat tych programówto użyj googli (opis hijackthis znajduje się też na tym forum w dziale Bezpieczeństwo).

kaka2b · #3 (**permalink**) 06.01.2008, 18:22

ComboFix + hijackthis.zip njapierw byl combofix a pozniej hijackthis

mr.n0b0dy · #4 (**permalink**) 06.01.2008, 22:00

Combofix sporo już wykasował badziewia...
Wyłącz przywracanie systemu na czas walki ze syfem (potem możesz włączyć na nowo) --> http://cybertrash.pl/Tata/Wiedza/PRZ...20SYSTEMU.html
Opróżnij katalogi z plikami tymczasowymi (takie jak: c:\Documents and Settings\twójlogin\Ustawienia lokalne\Temp\ oraz c:\Documents and Settings\twójlogin\Ustawienia lokalne\Temporary Internet Files ), jak będziesz miał z jakimś plikiem problem to używasz programu KillBox.
Zastosuj program WWDC (znaczki mają być ustawione na zielono lub pomarańczowo).
W hijackthis fixujesz:

Kod:

O3 - Toolbar: (no name) - {07AA283A-43D7-4CBE-A064-32A21112D94D} - (no file)

Kod:

 	O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZNxmk789YYPL

Kod:

O9 - Extra button: (no name) - {B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - (no file)

Kod:

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralFWBIniti alSetup1.0.0.15-3.cab

jeżeli to nie są Twoje DNS-y (a mam wrażenie, że nie) to fixujesz też te wpisy:

Kod:

O17 - HKLM\System\CCS\Services\Tcpip\..\{191BBC72-95B3-44C1-86FA-EBE82C28913E}: NameServer = 85.255.115.155,85.255.112.128

Kod:

O17 - HKLM\System\CCS\Services\Tcpip\..\{449C6385-AE9C-4399-B6AF-4ED9CBAA293A}: NameServer = 85.255.115.155,85.255.112.128

Kod:

O17 - HKLM\System\CCS\Services\Tcpip\..\{EC802B9A-454B-43DE-A09A-6BD2E2A83BAD}: NameServer = 85.255.115.155,85.255.112.128

Kod:

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.155 85.255.112.128

Kod:

O17 - HKLM\System\CS1\Services\Tcpip\..\{191BBC72-95B3-44C1-86FA-EBE82C28913E}: NameServer = 85.255.115.155,85.255.112.128

Kod:

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.155 85.255.112.128

Kod:

O17 - HKLM\System\CS2\Services\Tcpip\..\{191BBC72-95B3-44C1-86FA-EBE82C28913E}: NameServer = 85.255.115.155,85.255.112.128

Kod:

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.155 85.255.112.128

odszukujesz też na dysku i usuwasz to (potem wpis fixujesz w hijacku):

Kod:

O22 - SharedTaskScheduler: end - {aaad3a22-1c07-45f5-bfb3-e9a8c3b382fe} - C:\WINDOWS\system32\fsehfcu.dll

ten wpis też dziwny jak dla mnie, moim zdaniem nie zaszkodzi go zafixować:

Kod:

O24 - Desktop Component 0: (no name) - file:///C:/DOCUME~1/XXX/USTAWI~1/Temp/msohtml1/01/clip_image001.jpg

Możesz też zastosować program FixwareOut --> http://www.searchengines.pl/index.ph...dpost&p=368559
Jeżeli pojawią się problemy z ustawieniem prawidłowych DNS i dostępie do sieci to stosujesz się do tego tematu --> http://www.searchengines.pl/index.ph...5&#entry225445

Po wszystkim dajesz logi z Combofix i hijackthis oraz raport z FixwareOut.

kaka2b · #5 (**permalink**) 06.01.2008, 23:48

combofix+hijackthis+fixwareout.zip mialem problemy z usunieciem dwoch plikow z folderu temp killboxiem probowalem na rozne sposoby i tak ich nie wykasowalme ale robilem dalej z twoimi instrukcjami i wszystko sie udalo tarcza zniknela

wielki dzieki

dzordzu_xd · #6 (**permalink**) 06.01.2008, 23:49

Ja jeszcze wrócę do loga z CF
To jest podejrzane:

Kod:

C:\WINDOWS\yttupax.dll
C:\Program Files\Save\Save.exe

więc przeskanuj na:

Kod:

http://www.virustotal.com/pl/

jeśli cokolwiek znajdzie to kasuj w Killboxie

To od razu do usunięcia:

Kod:

C:\Program Files\Seekmo\bin\10.0.275.0\OEAddOn.exe
C:\Program Files\Seekmo\bin\10.0.275.0\SeekmoSA.exe
C:\Program Files\Zango\bin\10.0.275.0\OEAddOn.exe
C:\Program Files\Zango\bin\10.0.275.0\ZangoSA.exe

Po tym usuwasz w rejestrze te wpisy:

Kod:

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SeekmoOE]
			C:\Program Files\Seekmo\bin\10.0.275.0\OEAddOn.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SeekmoSA]
			C:\Program Files\Seekmo\bin\10.0.275.0\SeekmoSA.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ZangoOE]
			C:\Program Files\Zango\bin\10.0.275.0\OEAddOn.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ZangoSA]
			C:\Program Files\Zango\bin\10.0.275.0\ZangoSA.exe

kaka2b · #7 (**permalink**) 07.01.2008, 14:35

Przeskanowałem yttupax.dll i nic nie wykryło tego drugiego pliku nie było na dysku . Cztery kolejne pliki seekmo i zango ich też nie było na dysku.
Wpisy z rejestru usunąłem .

dzordzu_xd · #8 (**permalink**) 07.01.2008, 17:41

Czyli po problemie

kaka2b · #9 (**permalink**) 08.01.2008, 17:48

wielki dzieki jeszcze raz

Szybka odpowiedź
Po Twoich działaniach wystąpiły następujące błędy

OK
Weryfikacja obrazka Wiadomość: Kliknij jedną z ikon szybkiej odpowiedzi w postach powyżej w celu aktywacji tego okna. Opcje Zacytować wiadomość podczas odpowiedzi? Dodawanie szybkiej odpowiedzi - Proszę czekać!

Narzędzia wątku	Przeszukaj ten temat
Wersja do druku Wyślij na email	Przeszukaj ten temat: Zaawansowane wyszukiwanie
Wygląd
Wygląd liniowy Wygląd mieszany Wygląd wątkowy

Podobne wątki
Temat	Autor wątku	Forum	Odpowiedzi	Ostatni post/autor
[audiobooki] "Świętoszek" Moliera oraz "Granice" Zofii Nałkowskiej	macik	poszukiwania	2	04.08.2009 18:21
""Tarcza antyrakietowa" jako akt wojny" - Noam Chomsky	Ojciec_Mariana	Świat	19	28.04.2009 16:48
"Telewizja PLWAM" - nowy film twórców "Gotuj z Hitlerem" i "Jaka to nalewka"	maruszek	filmik, kabarety i audio	6	06.04.2009 19:56
Można zmienić "Zapraszamy" albo te "muzyczke" podczas startu ?	robben16	windows	6	06.02.2009 13:52
"Kołek" rządzi na Krokusowej - artykol o Lodzkiej "szkole" w GW	grzehu	Polska	5	29.04.2006 21:10