Mam wirusa trojan DNS.changer


(Staszek P G) #1

mam trojan DNS.changer proszę o pomoc jak go usunąć


(Leon$) #2

:frowning:


(Staszek P G) #3

czy tym usunę problem?

Złączono Posta : 25.02.2007 (Nie) 23:55

mam avasta i spyware doctor ale wir na nowo jest po jakims czasie podczas skanowania


(Joan Sunshine) #4

Wklej logi > HJT + SilentRunners do tego tematu, opis w przyklejonym w "bezpieczeństwie". Wróżyć nie potrafimy.


(Staszek P G) #5

mam już spyware doctor i on usunie wira ale po jakimś czasie dzień dwa jak włączam kompa i robie skan to znowu jest ten sam wirusik...


(Domichaelo) #6

moze kaspersky? a jak nie to foramt.....


(JNJN) #7

staszek0207

Przeczytaj tematy przyklejone w tym dziale i popraw posta.JNJN


(adam9870) #8

Foldery usuń ręcznie z dysku będąc w trybie awaryjnym natomiast wpisy HijackThis.

Otwórz Notatnik i wklej w nim to:

Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG >>> kliknij dwa razy na utworzony plik FIX.REG i potwierdź dodanie do rejestru >>> restart.

Czy sam ustawiałeś te DNS'y? Jeśli nie to również usuń, a dodatkowo puść w ruch FixWareOut i pokaż raport -> c:\fixwareout\report.txt

Spyware Doctor jest programem wątpliwej reputacji dlatego proponuję go usunąć. Sposób usunięcia jest podany tutaj:

http://forum.dobreprogramy.pl/viewtopic ... 332#791332

Po wykonaniu wklej nowe logi.


(adam9870) #9

W logach:

hijack:

silent:

Wpisy HJT proszę skasować i zastosować FIX.REG, który podałem w swoim poprzednim poście. Po wykonaniu wklej nowe logi.


(Staszek P G) #10

nieda się zatwierdzić fix.reg!

Nie można zaimportować C:\Documents and Settings\Piotr\Pulpit\FIX.REG: Określony plik nie jest skryptem rejestru.Można importować tylko binarne pliki rejestru z wewnątrz Edytora rejestru.

Złączono Posta : 26.02.2007 (Pon) 18:21


(adam9870) #11

Usuń wpis HJT.

Start => uruchom => wpisz regedit i kliknij OK => przejdź do klucza:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser

i skasuj z prawokliku znajdującą się tam wartość {F5C93451-2609-4723-A053-5C19516BE1A8}

Po wykonaniu możesz wkleić nowe logi.


(Gutek) #12

Uwaga: Jak wklejasz loga to obejmuj go znacznikiem (tagiem) CODE lub QUOTE - popraw użyj opcji zmień, zobac zjak ja wyżej to zrobiłem

Pozdrawiam Gutek2222


(Staszek P G) #13
[quote]Logfile of HijackThis v1.99.1

Scan saved at 18:40:32, on 2007-02-26

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Common Files\LightScribe\LSSrvc.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\Program Files\Spyware Doctor\sdhelp.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\System32\alg.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\VM303_STI.EXE

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\Winamp\winampa.exe

C:\WINDOWS\system32\RunDLL32.exe

C:\Program Files\Spyware Doctor\swdoctor.exe

C:\Program Files\Desktop Architect\datray.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Documents and Settings\Piotr\Pulpit\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [BigDog303] C:\WINDOWS\VM303_STI.EXE VIMICRO USB PC Camera (ZC0301PLH)

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKCU\..\Run: [Spyware Doctor] "C:\Program Files\Spyware Doctor\swdoctor.exe" /Q

O4 - HKCU\..\Run: [Desktop Architect] "C:\Program Files\Desktop Architect\datray.exe" -S

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Program Files\Spyware Doctor\sdhelp.exe


[/quote]

Złączono Posta : 26.02.2007 (Pon) 18:39

Złączono Posta : 26.02.2007 (Pon) 18:40

nadal nieda sie zatwierdzić FIX.REG.!


(kennex) #14

Adam, czy ten myślnik wpływa jakoś na fixa?


(adam9870) #15

Logi są czyste.

Kosmetyka:

Start >>> uruchom >>> msconfig >>> zakładka Uruchamianie >>> możesz odznaczyć w/w.

Jeśli nie używasz Messenger'a to go usuń: start >>> uruchom >>>> wpisz:

RunDll32 advpack.dll,LaunchINFSection %windir%\INF\msmsgs.inf,BLC.Remove

Myślniki stosuje się w plikach rejestru przy usuwaniu kluczy czyli np. jak w logu widzisz:

I chcesz usunąć klucz {b5146c40-189a-4311-bda9-fbae3e023187} , to otwierasz kwadratowy nawias, wstawiasz myślnik, rozwijasz nazwę klucza (np. HKLM - HKEY_LOCAL_MACHINE), podajesz dalszą ścieżkę, podajesz klucz do usunięcia i zamykasz kwadratowy nawias. I FIX wygląda tak:

Oczywiście w pierwszej linijce wstawiamy nagłówek - Windows Registry Editor Version 5.00 lub REGEDIT4.

Na następny raz w razie jakiś pytań proszę pisać PW.