Problem z wirusami/antywirem


(Emosik) #1

mam problem z wirusami...mimo tego ze mialem firewalla ciagle mi sie sciagaly jakies syfy na kompa...jestem po formacie i dalej mi sie ciagle sciagaja jakies wiry,trojany itp.I chcialem tez zapytac dlaczego jak robie scandisca jakims antywirusem to w kazdym pliku .exe antywirus widzi jakiegos trojana? :expressionless:

a oto log do spr na wszelki wypadek...


(Gutek) #2

Start >>> Uruchom >>> services.msc >>> zatrzymaj i wyłącz Microsoft authenticate service , a wpisy usuń HJT

Użyj Pocket Killbox. Zaznaczasz opcję Delete on Reboot oraz All Files i w polu Full Path of File to Delete wklejasz ścieżki

C:\WINDOWS\System32\ctpmon.exe

C:\WINDOWS\System32\msasvc.exe

i naciskasz X czerwony. Program poprosi o reset kompa ... czyli resetujesz.

Skan AVG Anti-Spyware 7.5 po update :wink:

Daj logi z Silenta i HJT


(Emosik) #3

nie wiem o co chodzi ale sciagnelem se avasta i jak robie scana to w kazdym pliku exe znajduje w32:trojan-gen lub jakiegos Trojano P . I za kazdym razem jak sie polacze z netem to jak wejde do dysku C: to tam whuj jakis plikow -wirusow ;/ .moge je usunac ale nie zawsze..to wtedy musze najpierw wylaczyc w menadzerze zadan...dlaczego mnie tak napastuja ?:expressionless: te wirusy HELP


(adam9870) #4

Użyj Windows Worms Doors Cleanera zmień znaczki z disable na enable (wszystkie znaczki maja być na zielono, jeżeli któryś z nich będzie na żółto to go zostaw). Po użyciu narzędzia wymagany jest restart.

Wykonaj to co napisał Gutek i wklej logi, o które prosił.


(Emosik) #5

mialem juz wczesniej tego wid doors cleanera ale nic to nie dawalo...teraz tez nic nie dalo..i znowu wchodze do dysku C a tam jakies syfiaste pliki...w tym ciagle sie sciaga wbwc chyba...


(adam9870) #6

Start > uruchom => cmd => w konsoli, która się otworzy wpisz:

Ściągasz program KillBox, zaznaczasz Delete on reboot , w polu full path of file wklej ścieżki:

C:\WINDOWS\system32\ctpmon.exe

C:\WINDOWS\system32\rpcc.dll

C:\WINDOWS\system32\msasvc.exe

c:\windows\system32\msvcrtd.exe

po wklejeniu każdej ścieżki z osobna klikasz na czerwonego iksa, ale dopiero po wklejeniu ostatniej zgadzasz się na restart.

Usuń wpisy HJT.

Puść w SmitFraudFix z opcji numer 2 w trybie awaryjnym.

Po wykonaniu pokaż nowy log z HijackThis, SilentRunners oraz zawartość pliku c:\rapport.txt.


(Emosik) #7

dalej to samo..

a oto logi:

HijackThis

SilentRunners :


(Gutek) #8

Użyj http://www.internetinspiration.co.uk/ro ... #uninstall oraz jeszcze raz to co napisał adam9870 - czyli Pocket Killbox


(Emosik) #9

nie bardzo rozumiem co tu zrobic i gdzie sciagnac z tej strony...bo cos chyba nie dziala..


(adam9870) #10

Masz użyć narzędzia Roguefix i wkleić raport oraz komplet nowych logów.

Opis tego narzędzia znajduje się TUTAJ (patrz przed ostatni post).


(adam9870) #11

Użyj jeszcze raz Roguefix oraz SmitFraudFix, a dodatkowo przeskanuj http://www.ewido.net/en/ i wrzuć raporty oraz nowe logi


(Emosik) #12

nie dziala ten link


(adam9870) #13

Który link nie działa? U mnie wszystkie linki działają, sprawdzałem przed chwilką.


(Emosik) #14

nie dziala ten link ze skanerem...

oto logi ;


(adam9870) #15

Start => uruchom => cmd => wpisz:

Ściągasz program KillBox, zaznaczasz Delete on reboot , w polu full path of file wklej ścieżki:

C:\WINDOWS\system32\rpcc.dll

C:\WINDOWS\system32\svshost.dll

C:\WINDOWS\system32\msasvc.exe

c:\windows\system32\msvcrtd.exe

po wklejeniu każdej ścieżki z osobna klikasz na czerwonego iksa, ale dopiero po wklejeniu ostatniej zgadzasz się na restart.

Otwórz Notatnik i wklej w nim to:

Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG >>> kliknij dwa razy na utworzony plik FIX.REG i potwierdź dodanie do rejestru >>> restart.

Usuń wpisy HJT.

Czy sam ustawiałeś te restrykcje?

Jeśli nie to usuń.

Przeskanuj plik na stronie http://virusscan.jotti.org/, a jeśli okaże się szkodnikiem - usuń w trybie awaryjnym plik ręcznie, a wpis HJT.

Puść w ruch SmitFraudFix z opcji 2 w trybie awaryjnym i pokaż raport oraz nowe logi.


(Emosik) #16

z smitfraudfix ;

SmitFraudFix v2.138


Scan done at 18:19:04,87, 2007-02-06

Run from C:\SmitfraudFix

OS: Microsoft Windows XP [Wersja 5.1.2600] - Windows_NT

The filesystem type is NTFS

Fix run in safe mode


»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!Attention, following keys are not inevitably infected!


SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Killing process



»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix


GenericRenosFix by S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


C:\WINDOWS\system32\autosys.exe Deleted

C:\WINDOWS\system32\ctpmon.exe Deleted


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files



»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!Attention, following keys are not inevitably infected!


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=" "



»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning


Registry Cleaning done. 


»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!Attention, following keys are not inevitably infected!


SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll



»»»»»»»»»»»»»»»»»»»»»»»» End




HJT:





Logfile of HijackThis v1.99.1

Scan saved at 18:24:15, on 2007-02-06

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\msasvc.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\wuauclt.exe

D:\instalkii\hijackthis\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.bearshare.com/pl/

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://gadnet.hit.gemius.pl/hitredir/id=zPo1NCL6AXKdP4W1n5gYEmYT33NN4C7WCUbU.Zv92rn.o7/stparam=saknqlhtjm/url=http://www.cacharel.pl

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: My Global Search Bar BHO - {37B85A21-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL

O3 - Toolbar: My Global Search Bar - {37B85A29-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray

O4 - HKCU\..\Run: [Komunikator] "C:\Program Files\Tlen.pl\tlen.exe" --confdir=home

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\system32\msasvc.exe[/code]

no kurr... przeciez ciagle to samo mi powtarzacie od 10 postow...ciagle te rpcc.dll powraca...jutro zrobie

format calego dysku bo do tej pory tylko C;/ robilem..I powiedzcie mi plz co mam zainstalowac dla ochrony

przed tym syfem..?


(adam9870) #17

Ściągasz program KillBox, zaznaczasz Delete on reboot , w polu full path of file wklej ścieżkę:

C:\WINDOWS\system32\rpcc.dll

Klikasz X czerwony i restart kompa.

Start => uruchom => cmd => wpisz:

Plik i foldery zaznaczony kasujesz ręcznie z dysku w trybie awaryjnym natomiast wpisy w HijackThis.

Przeskanuj http://www.ewido.net/en/ i http://kaspersky.pl/virusscanner.html i pokaż nowy log z HJT i Silenta.


(Emosik) #18

kasperskim wlasnie robie scana..a ten 2 link nie dziala -nie otwiera sie ta strona


(adam9870) #19

Start => uruchom => cmd => wpisz:

Ściągasz program KillBox, zaznaczasz Delete on reboot , w polu full path of file wklej ścieżki:

C:\WINDOWS\system32\msasvc.exe

C:\WINDOWS\system32\ctpmon.exe

C:\WINDOWS\system32\rpcc.dll

po wklejeniu każdej ścieżki z osobna klikasz na czerwonego iksa, ale dopiero po wklejeniu ostatniej zgadzasz się na restart.

Usuń wpisy HJT.

Potem przeskanuj jakimś skanerem on-line i wrzuć raport oraz nowe log i


(Emosik) #20

nie bylo tych pogrubionych zanim nie wlaczylem neta :slight_smile: