proszę o pomoc! po podłączeniu do sieci ściągają się wirusy
moj log
proszę o pomoc! po podłączeniu do sieci ściągają się wirusy
moj log
Wiersz:
lsass.exe, czyli Local Security Authority Service wywołuje on samoczynne wyłącznie systemu.
To jest wirus Worm32.Sasser, który ma różne odmiany A,B,C itp.
Przeskanuj kompa skanerem online.
Aby nie “łapać” wirusów po prostu zainstaluj (jeśli nie masz) firewalla.
Pozdrowienia 8)
piotralek :o :o
hiihi znowu ta sama historia nie wprawadzaj ludzi w blad
a co do Loga daj mi czas bo troche tego jest
zaraz sie nim zajme i nic sam niekombinuj
kasujesz tak /tryb awaryjny/
R3 - URLSearchHook: (no name) - {6CC1C918-AE8B-4373-A5B4-28BA1851E39A} - (no file)
O2 - BHO: (no name) - {3B249E6F-7CA5-4F33-85A1-FA3F04A459E6} - (no file)
O2 - BHO: (no name) - {C5183ABC-EB6E-4E05-B8C9-500A16B6CF94} - (no file)
O4 - HKLM…\Run: [Printer] C:\windows\system32\wintme.exe
[znasz zostawiasz /NIE/ kasujesz]
O8 - Extra context menu item: Web Search - C:\WINDOWS\ex.htm
O13 - WWW. Prefix: http://ehttp.cc/ ?
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.xxxtoolbar.com
/sciagasz/
PestPatrol
INFO:
skanujesz partycje systemowa
Ustawiasz na stale ochrone rzeczywista
Options/AutomaticScans
dajesz Launch
w PPMem, PPControl, CookiePatrol.
Spybot Search and Destroy V1.3.2b - tym dzialasz dalej
http://js-http.skycn.net:8181/down/spybotsd132b.exe
/mirror/
http://xj-http.skycn.net:8080/down/spybotsd132b.exe
skan skanerami AV
–F-Secure–
http://support.f-secure.com/enu/home/ols.shtml
–GeCAD (RAV)–
http://www.ravantivirus.com/scan/
–Softwin (BitDefender)–
http://www.bitdefender.com/scan/licence.php
do 016-ActiveX szczegolnie tych groznych (zabezpieczenie przegladarek)
uzyj softu SpywareBlaster
http://www.javacoolsoftware.com/sbdownload.html
INFO:
wyłącz przywracanie sys.
Start kompa do trybu awaryjnego
Za pomoćą HT usuń
R3 - URLSearchHook: (no name) - {6CC1C918-AE8B-4373-A5B4-28BA1851E39A} - (no file)
O2 - BHO: (no name) - {3B249E6F-7CA5-4F33-85A1-FA3F04A459E6} - (no file)
O2 - BHO: (no name) - {C5183ABC-EB6E-4E05-B8C9-500A16B6CF94} - (no file)
O2 - BHO: (no name) - {CE7C3CF0-4B15-11D1-ABED-709549C10000} - C:\WINDOWS\system32\StopzillaBH0.dll
Znajdz na dyski i usuń StopzillaBH0.dll Ubij proces . albo : Start -> uruchom -> regsvr32 \u C:\WINDOWS\System32\ tu wpisujesz nazwe pliku - i klikasz Teraz znajdz i usuń. To jest plik ukryty. To jest trojan Użyj :Pestpatrol poierz mu odrazu najnowsze bazy danych
O8 - Extra context menu item: Web Search - C:\WINDOWS\ex.htm
O13 - WWW. Prefix: http://ehttp.cc/?
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.xxxtoolbar.com
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7m.cab
O16 - DPF: {11111111-1111-1111-1111-511111113457} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111113458} - file://c:\x.cab
O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Recycled\Q330995.exe
O16 - DPF: {1F831FAC-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) -
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday) -
O16 - DPF: {AE56372C-B4F5-11D4-A415-00108302FDFD} -
Użyj teraz tego :
W kluczach:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main oraz
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main
Default_Page_URL = [www.zły wpis.com] >>> usuwasz
Default_Search_URL = [www.zły wpis.com] >>> usuwasz
Search Bar = [www.zły wpis.com] >>> usuwasz
Search Page = [www.zły wpis.com] >>> usuwasz
Start Page = [www.dobry wpis.com] >>> w tu jest wpis stronki startowej
Use Search Assistant = “yes” >>> zmieniasz na “no”
W kluczach:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search oraz
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search
CustomizeSearch = [www.zły wpis.com] >>> usuwasz
SearchAssistant = [www.zły wpis.com] >>> usuwasz
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchURL
[www.syf.com] >>> usuwasz
Sprawdzasz jeszcze klucze gdzie sie ładuja wirki i trojany:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg
Jak nie masz wszystkich kluczy to sie nie przejmuj. Moze ich nie być.
O2 - BHO: (no name) - {CE7C3CF0-4B15-11D1-ABED-709549C10000} - C:\WINDOWS\system32\StopzillaBH0.dll
Phylby
powiedz skad wiesz ze to jest trojan, czy wogle jest
podaj jakas stronke se oblukam co pisze ze tak
chyba o to ci chodzilo z tym linkiem na dole
http://download.intermute.com/?p=sp&o=1005A
przekonales sie do progsu, juz nieraz mi uratowal skore
wiec jest spox
Ja trojany wyczuwan na odległość . Nosem ! :lol: :lol: :lol:
Przekonamy sie zresztą zaraz. Jak się jarek_c odezwie.
Po usunięciu co trzeba jarek_c daj nowego loga ale nowszą wersją HijackThis v1.98.2.
I powiedz jak sie stronki zachowują .
Ps.
Kamcia_18
To jest pełna wersja ? cha cha…
Ps .
Dobra - znieniłem nicki.
Piotralek to lepiej żeby się w sprawie logów nie zabierał głosu o czym świadczy jego post powyżej.
To jest log jarka_c
Jak PRO to chyba pełna …
Zainstaluj jeszcze SP2 …
No Phylby - niezły węch … :-o
wielkie dzieki dla wszystkich…czytam to czytam i czytam i biore sie do roboty…troche mi to zajmie…raz jeszcze dzieki…
Phylby, kolego tu niema nic nosem jak niemasz potwierdzenia
i pewnosci to nic niepisz
bo wprowadzasz ludzi w blad bo ta pozycja na stronie
/02 - BHO czyli Browser Helper Objects/
/O3 - Paski narzędziowe w IE/
–BHO & Toolbar List–
http://www.sysinfo.org/bholist.php
jest czysta
widac ze lubimy posty zmieniac cio hehehe
dobre
popelniamy bledy
Daruj sobie takie uwagi
Niestety nie pomogło, po restarcie kompa zaczeły ładować się trojany
nowy log
Start do awaryjnego
usuń ręcznie
C:\WINDOWS\System32\twink64.exe
Za pomoćą HT
usuń
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_5_0.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_5_0.dll
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\System32\twink64.exe internat.dll,LoadKeyboardProfile
O4 - HKCU\..\Run: [Easimp3] C:\PROGRA~1\EASIMP3\Easimp3.exe minimized
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.xxxtoolbar.com
Sprawdz czy nie masz czegoś nie chcianego w Dodaj/Usuń Użyj teraz CWShredder Version 2.0 Pestpatrol Ad-Aware SE Personal Odwiedz: http://skaner.mks.com.pl/http://security.symantec.com/sscv6/defa … &venid=symhttp://www.pandasoftware.com/activescan … IdPais=152http://www.pestscan.com/http://www.spywareinfo.com/xscan.phphttp://www.webroot.com/services/spyaudit_03.htmPs . Jeszcze masz
O4 - HKLM\..\Run: [Printer] C:\windows\system32\wintme.exe
Usuń to ręcznie - wintme.exe zbij proces jak ma i dopiero usuwaj. i za pomocą HT. Co ta za aura.exe?
O4 - HKCU\..\Run: [Ctpi] C:\Documents and Settings\Jarek.JAREK-RYY444FIR\Dane aplikacji\aura.exe