squeet
(squeet)
18 Lipiec 2005 12:56
#1
Podczas szukania pewnego pliku kumplowi nagle wywalił monit ze Spy Sherif , że komputer jest zainfekowany… Nie znam tej aplikacji, a na pewno nie instalowałem tego na kompie kumplowi :evil:
Po chwili strona startowa została podmieniona na Cool WWW Search, poinstalował się SEX, a ten program kazał zapłacić za siebie No i oczywiście wtedy ma mi usunąć to ;/
Poza tym na tapecie mam teraz Critical Warning z wiadomym alertem (system zainfekowany, dopóki nie usuniesz sypware, nie będziesz mógł korzystać z kompa)…
Dobrze, że jest 2 komp, bo z tamtego ledwo wydobyłem log z Hijacka
Oto on:
Domyślam sie, co ciachnąć, ale wolałbym sie upewnić…
Niepokoi mnie ten pogrubiony wpis… Dlatego nie wykonałem żadnego restartu…
Kyniu6
(Krzysieknd2)
18 Lipiec 2005 13:33
#2
Co do pogrubionego wpisu to nie wiem
squeet
(squeet)
18 Lipiec 2005 13:39
#3
No to wiem, ale muszę to zrobić w trybie awaryjnym. A nie wiem, co to za brakujący dll . Może się później system nie podnieść, jak zrobię restart…
Drapacz
(Eden 18)
18 Lipiec 2005 13:45
#4
O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\system32\paytime.exe
O4 - HKCU\..\Run: [SpySheriff] C:\Program Files\SpySheriff\SpySheriff.exe
te wpisy usun recznie z dysku ten w hijacku
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
wyłącz z autostartu Start=>Uruchom=>Wpisz polecenie msconfig=>Zakładka Uruchamianie i odchacz:
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
Jeżeli nie używasz Windows Messenger to go usuń:
Start=>Uruchom=>Wpisz polecenie
RunDll32 advpack.dll,LaunchINFSection %windir%\INF\msmsgs.inf,BLC.Remove
lub programem xp-AntiSpy
Póżniej daj log na nowo .
squeet
(squeet)
18 Lipiec 2005 13:52
#5
oki, już robię…
a powiedz mi, co z tym pogrubionym wpisem? co to za plik dll, którego brakuje?
kuz5
(Kuz5)
18 Lipiec 2005 14:10
#6
Po pierwsze panowie wpisy obejmujcie znacznikiem(tagiem) CODE , a po drugie podawajcie cały syf a nie jego cześć wraz z całądefinicją usuniecia go.
W Dodaj/Usuń odinstaluj SpySheriff
Usuń: (wszystko oczywiście robisz w trybie awaryjnym z wyłączonym przywracaniem systemu)
Załapałeś Backdoor.Haxdoor wersja D
Sposób usunięcia jestTUTAJ pierwsze co ubij go.
Pliki na czerwono usun ręcznie z dysku
Jak bedziesz miał problem z usunieciem jakiegos pliku to pisz
detektyw
(Qbek50)
18 Lipiec 2005 14:16
#7
w trybie awaryjnym do ubicia:
jak skasujesz to daj nowy log
greghS
(Czornyaa)
18 Lipiec 2005 14:45
#8
falszywe Hosts: kasujesz tak w HijackThis
Confing… zakladka Misc Tools/Open hosts file manager
wywalasz falszywki ALL 127.0.0.3 zostawiasz tylko 127.0.0.1 localhost
dalej po usunieciu folderow/plikow podanych przez
kuz5
tym skanujesz kompa
ETD Security Scanner
http://fileforum.betanews.com/detail/ET … 98226708/1
oraz skanerami AV
–F-Secure–
http://support.f-secure.com/enu/home/ols.shtml
–GeCAD (RAV)–
http://www.ravantivirus.com/scan/
lub
–Softwin (BitDefender)–
http://www.bitdefender.com/scan/licence.php
dajesz nowego loga
squeet
(squeet)
18 Lipiec 2005 14:54
#9
W międzyczasie, jak nikt nie odpowiadał, skanowałem Ad-Aware i Spybot - te programy znalazły bardzo dużo śmieci i je powywalały… Możliwe, że dlatego nie mam już pewnych plików tutaj…
Złączono Posta : 18.07.2005 (Pon) 17:09
Logfile of HijackThis v1.99.1 Scan saved at 17:11:13, on 2005-07-18 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Winamp\Winampa.exe C:\Program Files\QuickTime\qttask.exe C:\WINDOWS\nmstt.exe C:\Program Files\Gadu-Gadu\gg.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\wuauclt.exe C:\Documents and Settings\Trevor\Pulpit\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {78364D99-A640-4ddf-B91A-67EFF8373045} - C:\WINDOWS\system32\appwiz.dll O4 - HKLM…\Run: [_Cat2] C:\WINDOWS\nmstt.exe O4 - HKLM…\Run: [QuickTime Task] “C:\Program Files\QuickTime\qttask.exe” -atboottime O4 - HKLM…\Run: [WinampAgent] “C:\Program Files\Winamp\Winampa.exe” O4 - HKCU…\Run: [Gadu-Gadu] “C:\Program Files\Gadu-Gadu\gg.exe” /tray O4 - HKCU…\Run: [wupd] C:\WINDOWS\system32\symcsvc.exe
Ubiłem dziada :lol:
kuz5
(Kuz5)
18 Lipiec 2005 15:36
#10
Usuń: (wszystko oczywiście robisz w trybie awaryjnym z wyłączonym przywracaniem systemu)
Z plikami na czerwono wiesz co zrobić…
Kosmetyka:
Start=>Uruchom=>Wpisz polecenie msconfig=>Zakładka Uruchamianie i odchacz:
Jak to wszystko zrobisz to loga bedziesz miał cacy
squeet
(squeet)
18 Lipiec 2005 19:22
#11
kuz5:
loga bedziesz miał cacy
Nie ja, kolega :clever:
Ale normalnie co za dym był
Dziękuję za pomoc, udało się wygrać :bukiet: