Logi


(Jarek030) #1

proszę o pomoc! po podłączeniu do sieci ściągają się wirusy :frowning:

moj log


(Piotralek) #2

Wiersz:

:arrow: lsass.exe, czyli Local Security Authority Service wywołuje on samoczynne wyłącznie systemu.

:arrow: To jest wirus Worm32.Sasser, który ma różne odmiany A,B,C itp.

:arrow: Przeskanuj kompa skanerem online.

:arrow: Aby nie "łapać" wirusów po prostu zainstaluj (jeśli nie masz) firewalla.

Pozdrowienia 8) !!


(Xiao19) #3

piotralek :o :o

hiihi znowu ta sama historia nie wprawadzaj ludzi w blad

a co do Loga daj mi czas bo troche tego jest

zaraz sie nim zajme i nic sam niekombinuj


(Xiao19) #4

kasujesz tak /tryb awaryjny/

R3 - URLSearchHook: (no name) - {6CC1C918-AE8B-4373-A5B4-28BA1851E39A} - (no file)

O2 - BHO: (no name) - {3B249E6F-7CA5-4F33-85A1-FA3F04A459E6} - (no file)

O2 - BHO: (no name) - {C5183ABC-EB6E-4E05-B8C9-500A16B6CF94} - (no file)

O4 - HKLM..\Run: [Printer] C:\windows\system32\wintme.exe

[znasz zostawiasz /NIE/ kasujesz]

O8 - Extra context menu item: Web Search - C:\WINDOWS\ex.htm

O13 - WWW. Prefix: http://ehttp.cc/ ?

O15 - Trusted Zone: *.blazefind.com

O15 - Trusted Zone: *.clickspring.net

O15 - Trusted Zone: *.flingstone.com

O15 - Trusted Zone: *.mt-download.com

O15 - Trusted Zone: *.my-internet.info

O15 - Trusted Zone: *.searchbarcash.com

O15 - Trusted Zone: *.searchmiracle.com

O15 - Trusted Zone: *.skoobidoo.com

O15 - Trusted Zone: *.slotch.com

O15 - Trusted Zone: *.windupdates.com

O15 - Trusted Zone: *.xxxtoolbar.com

/sciagasz/

PestPatrol

INFO:

skanujesz partycje systemowa

Ustawiasz na stale ochrone rzeczywista

Options/AutomaticScans

dajesz Launch

w PPMem, PPControl, CookiePatrol.

Spybot Search and Destroy V1.3.2b - tym dzialasz dalej

http://js-http.skycn.net:8181/down/spybotsd132b.exe

/mirror/

http://xj-http.skycn.net:8080/down/spybotsd132b.exe

skan skanerami AV

--F-Secure--

http://support.f-secure.com/enu/home/ols.shtml

--GeCAD (RAV)--

http://www.ravantivirus.com/scan/

--Softwin (BitDefender)--

http://www.bitdefender.com/scan/licence.php

do 016-ActiveX szczegolnie tych groznych (zabezpieczenie przegladarek)

uzyj softu SpywareBlaster

http://www.javacoolsoftware.com/sbdownload.html

INFO:

http://forum.dobreprogramy.pl/viewtopic ... ht=blaster


(Adarek) #5

wyłącz przywracanie sys.

Start kompa do trybu awaryjnego

Za pomoćą HT usuń

R3 - URLSearchHook: (no name) - {6CC1C918-AE8B-4373-A5B4-28BA1851E39A} - (no file) 


O2 - BHO: (no name) - {3B249E6F-7CA5-4F33-85A1-FA3F04A459E6} - (no file) 

O2 - BHO: (no name) - {C5183ABC-EB6E-4E05-B8C9-500A16B6CF94} - (no file) 

O2 - BHO: (no name) - {CE7C3CF0-4B15-11D1-ABED-709549C10000} - C:\WINDOWS\system32\StopzillaBH0.dll

Znajdz na dyski i usuń StopzillaBH0.dll Ubij proces . albo : Start -> uruchom -> regsvr32 \u C:\WINDOWS\System32\ tu wpisujesz nazwe pliku - i klikasz Teraz znajdz i usuń. To jest plik ukryty. To jest trojan Użyj :Pestpatrol poierz mu odrazu najnowsze bazy danych

O8 - Extra context menu item: Web Search - C:\WINDOWS\ex.htm 

O13 - WWW. Prefix: http://ehttp.cc/? 

O15 - Trusted Zone: *.blazefind.com 

O15 - Trusted Zone: *.clickspring.net 

O15 - Trusted Zone: *.flingstone.com 

O15 - Trusted Zone: *.mt-download.com 

O15 - Trusted Zone: *.my-internet.info 

O15 - Trusted Zone: *.searchbarcash.com 

O15 - Trusted Zone: *.searchmiracle.com 

O15 - Trusted Zone: *.skoobidoo.com 

O15 - Trusted Zone: *.slotch.com 

O15 - Trusted Zone: *.windupdates.com 

O15 - Trusted Zone: *.xxxtoolbar.com 

O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7m.cab 

O16 - DPF: {11111111-1111-1111-1111-511111113457} - file://c:\x.cab 

O16 - DPF: {11111111-1111-1111-1111-511111113458} - file://c:\x.cab 

O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Recycled\Q330995.exe

O16 - DPF: {1F831FAC-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - 

O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday) -

O16 - DPF: {AE56372C-B4F5-11D4-A415-00108302FDFD} -

Użyj teraz tego :

CWShredder Version 2.0

W kluczach:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main oraz

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main

Default_Page_URL = [www.zły wpis.com] >>> usuwasz

Default_Search_URL = [www.zły wpis.com] >>> usuwasz

Search Bar = [www.zły wpis.com] >>> usuwasz

Search Page = [www.zły wpis.com] >>> usuwasz

Start Page = [www.dobry wpis.com] >>> w tu jest wpis stronki startowej

Use Search Assistant = "yes" >>> zmieniasz na "no"

W kluczach:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search oraz

HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search

CustomizeSearch = [www.zły wpis.com] >>> usuwasz

SearchAssistant = [www.zły wpis.com] >>> usuwasz

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchURL

[www.syf.com] >>> usuwasz

Sprawdzasz jeszcze klucze gdzie sie ładuja wirki i trojany:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg

Jak nie masz wszystkich kluczy to sie nie przejmuj. Moze ich nie być.

:smiley:


(Xiao19) #6

O2 - BHO: (no name) - {CE7C3CF0-4B15-11D1-ABED-709549C10000} - C:\WINDOWS\system32\StopzillaBH0.dll

Phylby

powiedz skad wiesz ze to jest trojan, czy wogle jest

podaj jakas stronke se oblukam co pisze ze tak :wink: :wink:

chyba o to ci chodzilo z tym linkiem na dole

http://download.intermute.com/?p=sp&o=1005A

przekonales sie do progsu, juz nieraz mi uratowal skore

wiec jest spox


(Adarek) #7

Ja trojany wyczuwan na odległość . Nosem ! :lol: :lol: :lol:

Przekonamy sie zresztą zaraz. Jak się jarek_c odezwie.

Po usunięciu co trzeba jarek_c daj nowego loga ale nowszą wersją HijackThis v1.98.2.

HijackThis 1.98.2

I powiedz jak sie stronki zachowują .

:wink:

Ps.

Kamcia_18

To jest pełna wersja ? cha cha... :smiley:

Ps .

Dobra - znieniłem nicki. :smiley:


(fiesta) #8

Piotralek to lepiej żeby się w sprawie logów nie zabierał głosu o czym świadczy jego post powyżej.

To jest log jarka_c :slight_smile: :slight_smile: :slight_smile:


(Dragonlnx) #9

Jak PRO to chyba pełna ... :smiley:

Zainstaluj jeszcze SP2 ....

No Phylby - niezły węch ... :-o


(Jarek030) #10

wielkie dzieki dla wszystkich...czytam to czytam i czytam i biore sie do roboty..troche mi to zajmie..raz jeszcze dzieki..


(Xiao19) #11

Phylby, kolego tu niema nic nosem jak niemasz potwierdzenia

i pewnosci to nic niepisz

bo wprowadzasz ludzi w blad bo ta pozycja na stronie

/02 - BHO czyli Browser Helper Objects/

/O3 - Paski narzędziowe w IE/

--BHO & Toolbar List--

http://www.sysinfo.org/bholist.php

jest czysta :stuck_out_tongue: :stuck_out_tongue:

widac ze lubimy posty zmieniac cio hehehe

:wink: :wink: dobre

popelniamy bledy


(Asterisk) #12

Daruj sobie takie uwagi


(Jarek030) #13

:frowning: Niestety nie pomogło, po restarcie kompa zaczeły ładować się trojany

nowy log


(Adarek) #14

Start do awaryjnego

usuń ręcznie

C:\WINDOWS\System32\twink64.exe

Za pomoćą HT

usuń

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL 

O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_5_0.dll 

O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_5_0.dll 

O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE 

O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\System32\twink64.exe internat.dll,LoadKeyboardProfile 

O4 - HKCU\..\Run: [Easimp3] C:\PROGRA~1\EASIMP3\Easimp3.exe minimized 

O15 - Trusted Zone: *.blazefind.com 

O15 - Trusted Zone: *.clickspring.net 

O15 - Trusted Zone: *.flingstone.com 

O15 - Trusted Zone: *.mt-download.com 

O15 - Trusted Zone: *.my-internet.info 

O15 - Trusted Zone: *.searchbarcash.com 

O15 - Trusted Zone: *.searchmiracle.com 

O15 - Trusted Zone: *.skoobidoo.com 

O15 - Trusted Zone: *.slotch.com 

O15 - Trusted Zone: *.windupdates.com 

O15 - Trusted Zone: *.xxxtoolbar.com

Sprawdz czy nie masz czegoś nie chcianego w Dodaj/Usuń Użyj teraz CWShredder Version 2.0 Pestpatrol Ad-Aware SE Personal Odwiedz: http://skaner.mks.com.pl/http://security.symantec.com/sscv6/defa ... &venid=symhttp://www.pandasoftware.com/activescan ... IdPais=152http://www.pestscan.com/http://www.spywareinfo.com/xscan.phphttp://www.webroot.com/services/spyaudit_03.htmPs . Jeszcze masz

O4 - HKLM\..\Run: [Printer] C:\windows\system32\wintme.exe

Usuń to ręcznie - wintme.exe zbij proces jak ma i dopiero usuwaj. i za pomocą HT. Co ta za aura.exe?

O4 - HKCU\..\Run: [Ctpi] C:\Documents and Settings\Jarek.JAREK-RYY444FIR\Dane aplikacji\aura.exe