Co to za wirus? HELP

ziomek1007 · 16 Styczeń 2008 15:10

Witam próbowałem już chyba na niego wszystkiego i nic mianowicie.

Mam wirusa który przekierowuje mnie na jakieś strony za każdym razem jak wpisze jakąś muszę klikać kilka razy aż w końcu wejdzie na tę prawidłową. Mam kasperskiego skanowałem wykryło jakieś inne, ściągnąłem Trojan remower z dobre programy i też nic. Jakie macie propozycje Oczywiście aktualizowałem bazy wirusów tu i tu.

Pozdro

Leon1 · 16 Styczeń 2008 15:25

Przeskanuj system Combofix em log na forum

potem HijackThis em log na forum

Ciuci · 16 Styczeń 2008 15:25

Daj loga z HijackThis viewtopic.php?f=16&t=36654

ziomek1007 · 16 Styczeń 2008 15:35

Oto log Z programu “Hijack” link: http://wklej.org/id/9550f29c47. Nie zwracajcie uwagi na użytkownika eminem sie znalazł to mój głupi brat mi taki format zrobił :roll: . Więc może znajdziecie przyczynę???

Leon1 · 16 Styczeń 2008 16:18

wpisy

O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - (no file)

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

O3 - Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - (no file)

O4 - HKCU\..\Run: [HEXelon MAX] "C:\Documents and Settings\eminem sie znalazl\Pulpit\HEXelonMAX6\hexelon.exe" /auto

O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)

O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe (file missing)

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe (file missing)

O17 - HKLM\System\CCS\Services\Tcpip\..\{50EF66CA-AC6D-4236-8F35-82784AF15B8C}: NameServer = 85.255.115.38,85.255.112.9

O17 - HKLM\System\CCS\Services\Tcpip\..\{ABCEF97C-315C-433D-BCB8-0F7D2DDE54DB}: NameServer = 85.255.115.38,85.255.112.9

O17 - HKLM\System\CCS\Services\Tcpip\..\{C8AB8B43-C0A7-46B1-A903-DFA380C15C03}: NameServer = 85.255.115.38,85.255.112.9

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.38 85.255.112.9

O17 - HKLM\System\CS1\Services\Tcpip\..\{50EF66CA-AC6D-4236-8F35-82784AF15B8C}: NameServer = 85.255.115.38,85.255.112.9

O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.115.38 85.255.112.9

O17 - HKLM\System\CS3\Services\Tcpip\..\{50EF66CA-AC6D-4236-8F35-82784AF15B8C}: NameServer = 85.255.115.38,85.255.112.9

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.38 85.255.112.9

O23 - Service: AutoExNT - Unknown owner - C:\WINDOWS\system32\AutoExNT.Exe

usuń HijackThisem >> Fix checked

start >> uruchom >> cmd

sc stop AutoExNT

sc delete AutoExNT

ziomek1007 · 16 Styczeń 2008 16:29

dzięki wam Pomogło Pozdro

ziomek1007 · 16 Styczeń 2008 16:46

Jednak za wcześnie to powiedziałem znów to samo przekierowuje mnie na jakie “daytotals” :(???

arekmalek · 16 Styczeń 2008 16:50

Leon ci nic nie pomogl bo wskazał tylko wpisy do usunięcia a tam rootkit :lol:

Daj nowy log +

Użyj w trybie awrayjnym Fixwareout

ziomek1007 · 16 Styczeń 2008 17:11

Oto log http://wklej.org/id/0030260f1a

Leon1 · 16 Styczeń 2008 17:52

A gdzie log Combofixa

1.Ponadto wyłącz przywracanie systemu na wszystkich dyskach

2.skan Combofixem log na forum

3.skan HijackThisem log na forum

ziomek1007 · 16 Styczeń 2008 18:05

a jak sie wyłącza przywracanie i po co tak???

pr0ton · 16 Styczeń 2008 18:10

bo wirusy siedzą w folderze “restore” - gdzie są przechowywane pliki potrzebne do przywracania systemu.

Pulpit>>>>Prawy przycisk myszy na Mój Komputer>>>>Właściwości>>>>zakładka: Przywracanie systemu>>>>zaznacz: Wyłącz przywracanie systemu na wszystkich dyskach>>>>>Zastosuj>>>>>>OK

ziomek1007 · 16 Styczeń 2008 18:34

Witam więc

Log z “Hijack” http://wklej.org/id/9550f29c47

Log z “Combofix” http://wklej.org/id/071a20c399

Log z “Fixwareout” http://wklej.org/id/0030260f1a

Przypominam mój problem: przy wpisaniu adresu strony przekierowuje mnie automatycznie na jakieś “daytotals”

Pozdro

Leon1 · 16 Styczeń 2008 19:20

Po co dajesz ten sam log HijackThis co poprzednio

miałeś dać nowy aktualny log [-X

ziomek1007 · 16 Styczeń 2008 20:20

Dobra i tak dzięki wszystkim format jutro robie i będzie wporzo>pozdro

Gutek · 16 Styczeń 2008 22:16

Zrób jeszcze raz skan Combo i daj log

eld · 17 Styczeń 2008 11:35

Też mam tego syfa daytotals itp

oto moje logi

http://wklej.org/id/d5281234f8

http://wklej.org/id/91af4ce3b3

pomoże ktoś ?

ziomek1007 · 17 Styczeń 2008 14:52

Ożywiam temat Bo mam nie typowy problem gdy włożę płytę do dvd-romu i sie wczyta każdy plik jaki tam jest ma ikonę “Mozilli firefox” macie coś na to??

Pozdro

Leon1 · 17 Styczeń 2008 15:48

Czy jesteś już po formacie ?

Spróbuj tego

Otwórz notatnik i wklej

Windows Registry Editor Version 5.00 


[HKEY_CURRENT_USER\Control Panel\desktop\WindowMetrics] 

"Shell Icon BPP"="16" 

"Shell Icon Size"="32" 


[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer] 

"NoSaveSettings"=dword:00000000

zapisz jako plik.reg >> wszystkie pliki >> scal z rejestrem >> restart

powstanie plik o takiej ikonie

w który dwa razy klikniesz potwierdzisz chęć dodania do rejestru potem restart

ziomek1007 · 17 Styczeń 2008 20:16

Ej jest takie coś jak “Generic host Process for Win32 Services” i mam program Windows worms doors cleaner i jak zakoncze tam te porty to nie spowolni mi neta bo czytałem tu jak jeden chłopak sie skarżył???