Co to za wirus? HELP


(Ziomek1077) #1

Witam próbowałem już chyba na niego wszystkiego i nic mianowicie.

Mam wirusa który przekierowuje mnie na jakieś strony za każdym razem jak wpisze jakąś muszę klikać kilka razy aż w końcu wejdzie na tę prawidłową. Mam kasperskiego skanowałem wykryło jakieś inne, ściągnąłem Trojan remower z dobre programy i też nic. Jakie macie propozycje Oczywiście aktualizowałem bazy wirusów tu i tu.

Pozdro :frowning:


(Leon$) #2

Przeskanuj system Combofix em log na forum

potem HijackThis em log na forum

:slight_smile:


(Ciuci) #3

Daj loga z HijackThis viewtopic.php?f=16&t=36654


(Ziomek1077) #4

Oto log Z programu "Hijack" link: http://wklej.org/id/9550f29c47. Nie zwracajcie uwagi na użytkownika eminem sie znalazł to mój głupi brat mi taki format zrobił :roll: . Więc może znajdziecie przyczynę???


(Leon$) #5

wpisy

O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - (no file)

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

O3 - Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - (no file)

O4 - HKCU\..\Run: [HEXelon MAX] "C:\Documents and Settings\eminem sie znalazl\Pulpit\HEXelonMAX6\hexelon.exe" /auto

O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)

O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe (file missing)

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe (file missing)

O17 - HKLM\System\CCS\Services\Tcpip\..\{50EF66CA-AC6D-4236-8F35-82784AF15B8C}: NameServer = 85.255.115.38,85.255.112.9

O17 - HKLM\System\CCS\Services\Tcpip\..\{ABCEF97C-315C-433D-BCB8-0F7D2DDE54DB}: NameServer = 85.255.115.38,85.255.112.9

O17 - HKLM\System\CCS\Services\Tcpip\..\{C8AB8B43-C0A7-46B1-A903-DFA380C15C03}: NameServer = 85.255.115.38,85.255.112.9

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.38 85.255.112.9

O17 - HKLM\System\CS1\Services\Tcpip\..\{50EF66CA-AC6D-4236-8F35-82784AF15B8C}: NameServer = 85.255.115.38,85.255.112.9

O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.115.38 85.255.112.9

O17 - HKLM\System\CS3\Services\Tcpip\..\{50EF66CA-AC6D-4236-8F35-82784AF15B8C}: NameServer = 85.255.115.38,85.255.112.9

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.38 85.255.112.9

O23 - Service: AutoExNT - Unknown owner - C:\WINDOWS\system32\AutoExNT.Exe

usuń HijackThisem >> Fix checked

start >> uruchom >> cmd

sc stop AutoExNT

sc delete AutoExNT

:slight_smile:


(Ziomek1077) #6

dzięki wam Pomogło Pozdro :slight_smile: :slight_smile:


(Ziomek1077) #7

Jednak za wcześnie to powiedziałem :frowning: znów to samo przekierowuje mnie na jakie "daytotals" :(????


(Arekmalek) #8

Leon ci nic nie pomogl bo wskazał tylko wpisy do usunięcia a tam rootkit :lol:

Daj nowy log +

Użyj w trybie awrayjnym Fixwareout


(Ziomek1077) #9

Oto log http://wklej.org/id/0030260f1a


(Leon$) #10

A gdzie log Combofixa

1.Ponadto wyłącz przywracanie systemu na wszystkich dyskach

2.skan Combofixem log na forum

3.skan HijackThisem log na forum

:slight_smile:


(Ziomek1077) #11

a jak sie wyłącza przywracanie i po co tak???


(Tomekolszewski) #12

bo wirusy siedzą w folderze "restore" - gdzie są przechowywane pliki potrzebne do przywracania systemu.

Pulpit>>>>Prawy przycisk myszy na Mój Komputer>>>>Właściwości>>>>zakładka: Przywracanie systemu>>>>zaznacz: Wyłącz przywracanie systemu na wszystkich dyskach>>>>>Zastosuj>>>>>>OK


(Ziomek1077) #13

Witam więc

Log z "Hijack" http://wklej.org/id/9550f29c47

Log z "Combofix" http://wklej.org/id/071a20c399

Log z "Fixwareout" http://wklej.org/id/0030260f1a

Przypominam mój problem: przy wpisaniu adresu strony przekierowuje mnie automatycznie na jakieś "daytotals"

Pozdro


(Leon$) #14

Po co dajesz ten sam log HijackThis co poprzednio

miałeś dać nowy aktualny log [-X


(Ziomek1077) #15

Dobra i tak dzięki wszystkim format jutro robie i będzie wporzo>pozdro


(Gutek) #16

Zrób jeszcze raz skan Combo i daj log :wink:


(Eld1) #17

Też mam tego syfa daytotals itp

oto moje logi

http://wklej.org/id/d5281234f8

http://wklej.org/id/91af4ce3b3

pomoże ktoś ?


(Ziomek1077) #18

Ożywiam temat Bo mam nie typowy problem gdy włożę płytę do dvd-romu i sie wczyta każdy plik jaki tam jest ma ikonę "Mozilli firefox" macie coś na to??

Pozdro


(Leon$) #19

Czy jesteś już po formacie ?

Spróbuj tego

Otwórz notatnik i wklej

Windows Registry Editor Version 5.00 


[HKEY_CURRENT_USER\Control Panel\desktop\WindowMetrics] 

"Shell Icon BPP"="16" 

"Shell Icon Size"="32" 


[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer] 

"NoSaveSettings"=dword:00000000

zapisz jako plik.reg >> wszystkie pliki >> scal z rejestrem >> restart

b57f17008275c957m.jpg

powstanie plik o takiej ikonie

062aec4c9b51c033m.jpg

w który dwa razy klikniesz potwierdzisz chęć dodania do rejestru potem restart

:slight_smile:


(Ziomek1077) #20

Ej jest takie coś jak "Generic host Process for Win32 Services" i mam program Windows worms doors cleaner i jak zakoncze tam te porty to nie spowolni mi neta bo czytałem tu jak jeden chłopak sie skarżył???????