falcon00
(Whisky Rr)
4 Luty 2010 16:42
#1
Witam mam oto taki problem,
przy zalogowaniu się na każdy z profili na moim kompie, pojawia się tabliczka „ SPYWARE ALERT! ” -
Po kliknięciu „ OK ” AntiVir wyświetla dwa razy tabliczkę z info o - “JS/FakeAlert.btg Java script virus”
Mimo odznaczenia delete i ok, przy ponownym logowaniu jest nadal to samo,
a w okolicach zegara " czerwony krzyżyk " i co chwila dymek z info.
Oraz na środku pulpitu tabliczka, co jakiś czas z info o : “TROJANSPM/LX”
Zmieniła się ; tapeta, nie działają programy takie jak :
Paint, Real Player , czy Windows Media Player .
BARDZO PROSZĘ o pomoc, co zrobić by pozbyć się tego .
I prosze napiszcie, czy to normalne, że GMR skanowal komputer w przeszło 2 godziny ??
Gutek
(Gutek)
4 Luty 2010 19:09
#2
Uruchom OTL i w oknie Custom Scans/Fixes wklej to:
:Processes Explorer.EXE :OTL PRC - [2010-02-04 14:51:59 | 000,293,376 | ---- | M] () – C:\Documents and Settings\Ja\Pulpit\fue1z20g.exe PRC - [2010-02-03 23:01:03 | 000,054,272 | ---- | M] () – C:\WINDOWS\system32\smss32.exe IE - HKCU…\URLSearchHook: {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\Search Settings\kb128\SearchSettings.dll (Spigot, Inc.) O2 - BHO: (SearchSettings Class) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\Search Settings\kb128\SearchSettings.dll (Spigot, Inc.) O3 - HKCU…\Toolbar\WebBrowser: (no name) - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - No CLSID value found. O4 - HKLM…\Run: [searchSettings] C:\Program Files\Search Settings\SearchSettings.exe (Spigot, Inc.) O4 - HKLM…\Run: [smss32.exe] C:\WINDOWS\system32\smss32.exe () O4 - HKCU…\Run: [smss32.exe] C:\WINDOWS\system32\smss32.exe ( O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\winlogon32.exe) - C:\WINDOWS\system32\winlogon32.exe () O33 - MountPoints2{7574856a-2a4a-11dd-95e6-000fea59ff3e}\Shell\Auto\command - “” = activexdebugger32.exe f O33 - MountPoints2{7574856a-2a4a-11dd-95e6-000fea59ff3e}\Shell\explore\Command - “” = activexdebugger32.exe f O33 - MountPoints2{7574856a-2a4a-11dd-95e6-000fea59ff3e}\Shell\open\Command - “” = activexdebugger32.exe f O33 - MountPoints2\D\Shell - “” = AutoRun O33 - MountPoints2\D\Shell\AutoRun\command - “” = D:\AutoRun\Demo.exe – File not found [2010-02-04 15:39:54 | 000,792,064 | ---- | M] () – C:\WINDOWS\System32\drivers\bfawxkup.sys [2010-02-04 15:28:14 | 000,000,000 | ---- | M] () – C:\WINDOWS\System32\6334.exe [2010-02-04 15:08:13 | 000,000,000 | ---- | M] () – C:\WINDOWS\System32\18467.exe [2010-02-04 14:51:59 | 000,293,376 | ---- | M] () – C:\Documents and Settings\Ja\Pulpit\fue1z20g.exe [2010-02-04 14:48:12 | 000,000,000 | ---- | M] () – C:\WINDOWS\System32\IS15.exe [2010-02-04 14:48:12 | 000,000,000 | ---- | M] () – C:\WINDOWS\System32\helper32.dll [2010-02-04 14:48:12 | 000,000,000 | ---- | M] () – C:\WINDOWS\System32\41.exe [2010-02-04 10:25:32 | 000,000,000 | ---- | M] () – C:\WINDOWS\System32\26500.exe [2010-02-03 23:06:36 | 000,000,227 | ---- | M] () – C:\WINDOWS\system.ini [2010-02-03 23:01:03 | 000,054,272 | ---- | M] () – C:\WINDOWS\System32\winlogon32.exe [2010-02-03 23:01:03 | 000,054,272 | ---- | M] () – C:\WINDOWS\System32\smss32.exe [2010-02-04 14:51:57 | 000,293,376 | ---- | C] () – C:\Documents and Settings\Ja\Pulpit\fue1z20g.exe [2010-02-04 10:25:32 | 000,000,000 | ---- | C] () – C:\WINDOWS\System32\26500.exe [2010-02-03 23:53:49 | 000,000,000 | ---- | C] () – C:\WINDOWS\System32\6334.exe [2010-02-03 23:33:48 | 000,000,000 | ---- | C] () – C:\WINDOWS\System32\18467.exe [2010-02-03 23:05:17 | 000,000,000 | ---- | C] () – C:\WINDOWS\System32\IS15.exe [2010-02-03 23:05:17 | 000,000,000 | ---- | C] () – C:\WINDOWS\System32\41.exe [2010-02-03 23:05:16 | 000,000,000 | ---- | C] () – C:\WINDOWS\System32\helper32.dll [2010-02-03 22:58:09 | 000,054,272 | ---- | C] () – C:\WINDOWS\System32\winlogon32.exe [2010-02-03 22:57:43 | 000,054,272 | ---- | C] () – C:\WINDOWS\System32\smss32.exe :Files C:\Program Files\Search Settings C:\WINDOWS\System32\drivers\bfawxkup.sys C:\Documents and Settings\Ja\Pulpit\fue1z20g.exe C:\WINDOWS\System32\26500.exe C:\WINDOWS\System32\6334.exe C:\WINDOWS\System32\18467.exe C:\WINDOWS\System32\IS15.exe C:\WINDOWS\System32\41.exe C:\WINDOWS\System32\helper32.dll C:\WINDOWS\System32\winlogon32.exe C:\WINDOWS\System32\smss32.exe :Services bfawxkup :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] [Reboot]
Kliknij w Run Fix . Zatwierdź restart komputera.
Następnie uruchom OTL ponownie, tym razem wywołaj opcję Run Scan.
Pokaż nowy log OTL.txt oraz log z czyszczenia.
jessica
(jessica)
4 Luty 2010 22:20
#4
OTL najwyraźniej nie radzi sobie z usunięciem Rootkita, więc najpierw usuniemy tego Rootkita, a potem resztę:
Ściągnij -->Avenger .
wklej do niego ten tekst:
Files to delete:
C:\WINDOWS\System32\drivers\bfawxkup.sys
C:\WINDOWS\System32\IS15.exe
C:\WINDOWS\System32\41.exe
C:\WINDOWS\System32\helper32.dll
C:\WINDOWS\System32\24464.exe
C:\WINDOWS\System32\26962.exe
C:\WINDOWS\System32\29358.exe
C:\WINDOWS\System32\11478.exe
C:\WINDOWS\System32\15724.exe
C:\WINDOWS\System32\19169.exe
C:\WINDOWS\System32\26500.exe
C:\WINDOWS\System32\6334.exe
C:\WINDOWS\System32\18467.exe
C:\Documents and Settings\NetworkService\Dane aplikacji\fvgqad.dat
Registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\bfawxkup
HKLM\SYSTEM\ControlSet003\Services\bfawxkup
Drivers to delete:
bfawxkup
Kliknij w " Execute " i zatwierdź restart komputera.
Zrestartuj komputer.
Daj Raport z Avengera z C:\avenger.txt .
Potem:
Uruchom OTL i w oknie Custom Scans/Fixes wklej to:
:OTL O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1 O15 - HKLM…Trusted Domains: buy-internetsecurity10.com ([]http in Trusted sites) O15 - HKLM…Trusted Domains: buy-is2010.com ([]http in Trusted sites) O15 - HKCU…Trusted Domains: buy-internetsecurity10.com ([]http in Trusted sites) O15 - HKCU…Trusted Domains: buy-is2010.com ([]http in Trusted sites) O15 - HKCU…Trusted Domains: is10-soft-download.com ([]http in Trusted sites) O15 - HKCU…Trusted Domains: is-software-download.com ([]http in Trusted sites) O15 - HKCU…Trusted Domains: is-software-download25.com ([]http in Trusted sites) [2010-02-04 21:35:19 | 000,000,000 | ---- | M] () – C:\WINDOWS\System32\41.exe [2010-02-04 21:35:17 | 000,000,000 | ---- | M] () – C:\WINDOWS\System32\helper32.dll [2010-02-04 21:15:06 | 000,000,000 | ---- | M] () – C:\WINDOWS\System32\24464.exe [2010-02-04 20:54:51 | 000,000,000 | ---- | M] () – C:\WINDOWS\System32\26962.exe [2010-02-04 20:34:37 | 000,000,000 | ---- | M] () – C:\WINDOWS\System32\29358.exe [2010-02-04 20:14:31 | 000,000,000 | ---- | M] () – C:\WINDOWS\System32\11478.exe [2010-02-04 19:54:16 | 000,000,000 | ---- | M] () – C:\WINDOWS\System32\15724.exe [2010-02-04 19:34:02 | 000,000,000 | ---- | M] () – C:\WINDOWS\System32\19169.exe [2010-02-04 19:13:57 | 000,000,000 | ---- | M] () – C:\WINDOWS\System32\26500.exe [2010-02-04 18:53:52 | 000,000,000 | ---- | M] () – C:\WINDOWS\System32\6334.exe [2010-02-04 18:33:31 | 000,000,000 | ---- | M] () – C:\WINDOWS\System32\18467.exe [2009-12-18 21:21:15 | 000,000,016 | ---- | C] () – C:\Documents and Settings\NetworkService\Dane aplikacji\fvgqad.dat :Files C:\WINDOWS\System32\IS15.exe :Commands [emptytemp] [Reboot]
Kliknij w Run Fix . Zatwierdź restart komputera.
Następnie uruchom OTL ponownie, tym razem kliknij “Run Scan”.
Pokaż nowy log OTL.txt oraz log z usuwania.
jessi
falcon00
(Whisky Rr)
4 Luty 2010 23:08
#5
Spojrz takie coś mi wyszło :
Dobrze jest ?
P.S. Jest taki problemik teraz, jak loguje sie na swoj profil, to restartuje mi kompa, ale jak sie zalogowałem na inny to od razu wyskakuje txt. taki :
P.S.II Obecnie problem z restartem kompa ustał, ale loguje bardzo długo profil, nadal tapety nie mozna zmienić, i cały czas widać pliki ukryte .
Czy to nie oznacza, że czeka mnie instalka na nowo systemu ?? Czy da się jeszcze z tym coś zrobic ?
Gutek
(Gutek)
4 Luty 2010 23:32
#6
falcon00
(Whisky Rr)
4 Luty 2010 23:42
#7
Okay, dzieki wam za pomoc, jutro powalcze ( tzn. dzisiaj ) z tym co podałes i napisze jakie skutki,
jedyne co moge napisać teraz to o CClener - uzywam, jezeli codzi o rejestr, to :
Skanuje - pokazuje jakies rzeczy do naprawy,
Naprawiam,
Skanuje ponownie - pokazuje że jest czysto,
ale po ponownym właczeniu kompa, pewne rzeczy powracaja .
Monczkin
(Monczkin)
5 Luty 2010 06:49
#8
falcon00
(Whisky Rr)
5 Luty 2010 13:54
#9
Więc tak, wyłaczyłem co dałem rade by nie włacząło się przy starcie systemu, następnie
przeprowadziłem pełne skanowanie programem cureit,
który znalazł 3 trojany, i usunoł je + 3 zainfekowane pliki, które są w folderze
" Quarantine "
o takich nazwach :
descript.ion
jar_cache22020.tmp
jar_cache33792.tmp
Zapomniałem wam wcześniej napisać że nie mozna było wywołać Menadżera zadań Windows za pomocą Ctrl+Alt+Del,
A po usunieciu tych trojanów już można : więc jest za kazdym razem lepiej .
Ale nadal nie zupełnie dobrze :
Wciąż nie można zmienić tapety, i bardzo długi jest czas oczekiwania, na logujący sie profil .
A te pliki ukryte, po prostu wyłaczyłem w --> narzędzia, --> opcje folderów - bo cały czas były widoczne .
Na razie wszystkie programy działają, i musze powiedziec wam, że wszystko zaczeło działać szybciej niż dotychczas .
Ale obawiam się, że nie oznacza to, że komp jest czysty - prawda ?
Podrzucic wam loga ??? z OTL ?
falcon00
(Whisky Rr)
5 Luty 2010 22:27
#11
Prosze o to Log, z tymi samymi ustawieniami w OTL’u co poprzednio
Gutek
(Gutek)
5 Luty 2010 22:31
#12
Daj log z System Repair Engineer
Smart Scan -> klikasz Scan .
Po skanie klikasz w okienku Save Reports i wklejasz zawartość powstałego logu.
>>>> otl-gmer-rsit-dds-inne-instrukcje-t370405.html
Gutek
(Gutek)
5 Luty 2010 22:54
#14
System Repair Engineer zakładka Boot Items >> Services >> Drivers >> odszukaj i usuń
Uruchom System Repair Engineer zakładka System Repair >> Browser Add-ons >> odszukaj i usuń
falcon00
(Whisky Rr)
5 Luty 2010 23:23
#15
System Repair Engineer zakładka Boot Items >> Services >> Drivers >>
Odnalazłem odznaczyłem --> del. ale nic sie nie zmieniło wpisy widnieja nadal,
natomiast tutaj - Uruchom System Repair Engineer zakładka System Repair >> Browser Add-ons >>
Wszystko odnalezione i przy kazdym widnieje napis delete
Co teraz ??
Gutek
(Gutek)
6 Luty 2010 09:26
#16
To zrób jeszcze raz log z System Repair Engineer
Gutek
(Gutek)
6 Luty 2010 12:06
#18
Nie mogę otworzyć tego linka
falcon00
(Whisky Rr)
6 Luty 2010 13:08
#19
Nie możesz bo wogole ta strona przestała działać, ja nie moge wejsc na wklej.org , wiec wrzucam tutaj :
Gutek
(Gutek)
6 Luty 2010 19:14
#20
Jeszcze ten wpis usuń:
Uruchom System Repair Engineer zakładka System Repair >> Browser Add-ons >> odszukaj i usuń