Wirusy

TOM7 · 4 Listopad 2004 19:05

Avast wykryl kilka wirosow w podanych plikach ale nie moze ich usunac

c:\program files\micore\expin.dll

c:\program files\micore\micore.exe

c:\program files\micore\runc.exe

c:\program files\micore\wrdget.dll

c:\windows\system32\p2esocks_1016.dll

c:\windows\system32\atpartners.dll

c:\windows\system32\p2esocks_1016.dll

tak na marginesie to caly katalog micore jest zawirusowany . czy moge go usunac?

te wirusy nie da sie naprawic tak muwu avast moge jesdynie

usunac
kwarantana
przeniesc,

Rozumiem ze kwarantanna spowoduje ’ zamrozenie wirusa’ i uniemozliwi mu wyzadzanie szkod?Tak czy nie?

Moje pytanie brzymi co mam zrbbic aby wszystki wirusy zlikwidowac poniewaz strasznie spowalniaja mi komputer ?

payback · 4 Listopad 2004 19:16

usuń

TOM7 · 4 Listopad 2004 19:26

usun--------

czy to sa wazne pliki?

payback · 4 Listopad 2004 19:29

nie.

Kamcia_18 · 4 Listopad 2004 20:00

–F-Secure–

http://support.f-secure.com/enu/home/ols.shtml

–GeCAD (RAV)–

http://www.ravantivirus.com/scan/

sprawdz tymi bo napewno cos jeszcze zostalo

Serek · 4 Listopad 2004 20:31

Jeżeli ten program micore niue jest az tak bardzo wazny to usun go. A potem ponownie zainstaluj!

Shark · 4 Listopad 2004 20:38

Cześć

Widzę, że są to pliki *.dll Najlepiej podaj log hijackthis.zip

Pozdrawiam !

Zbych1 · 4 Listopad 2004 20:53

ja bym sie tez wstrzymał z ich całkowitym usunięciem bo przed chwilą zainstalowałem Avasta (ze względu na trojan downloader) i przeskanowałem system znalazł z 6 badziewi w tym downloadera którego odrazu usunąłem a pozostałe to były własnie z ***.dll i te wrzuciłem do kwaratanny i dobrze zrobiłem bo po ponowym załączeniu kompa system zaczął sie o nie upominać .

TOM7 · 4 Listopad 2004 21:18

Dzieki za wszystki uwagi

A oto log z Hijackthis

Logfile of HijackThis v1.98.1

Scan saved at 22:07:42, on 2004-11-04

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

E:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

E:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe

C:\WINDOWS\System32\rundll32.exe

C:\program files\micore\runc.exe

e:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

e:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\System32\devldr32.exe

E:\Program Files\Shareaza\Shareaza.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Documents and Settings\Tomasz\Pulpit\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\System32\SearchBar.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: F1 Organizer Class - {00000EF1-0786-4633-87C6-1AA7A44296DA} - C:\WINDOWS\System32\ATPART~1.DLL

O2 - BHO: (no name) - {008DB894-99ED-445D-8547-0E7C9808898D} - C:\WINDOWS\mslagent\4b_1,0,1,2_mslagent.dll

O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINDOWS\System32\nvms.dll

O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINDOWS\System32\mscb.dll

O2 - BHO: Url Catcher - {CE31A1F7-3D90-4874-8FBE-A5D97F8BC8F1} - C:\Program Files\Bargain Buddy\bin\apuc.dll (file missing)

O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM…\Run: [avast!] e:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM…\Run: [ashMaiSv] e:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe

O4 - HKLM…\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU…\Run: [instant Access] rundll32.exe p2esocks_1016.dll,InstantAccess

O4 - HKCU…\Run: [micore] \program files\micore\runc.exe

O9 - Extra button: Microsoft® JavaScript® Console - {663F83D0-0715-4AC5-86C3-2F0C44E280E9} - C:\WINDOWS\System32\COMDLG32.OCX

O9 - Extra ‘Tools’ menuitem: JavaScript Console - {663F83D0-0715-4AC5-86C3-2F0C44E280E9} - C:\WINDOWS\System32\COMDLG32.OCX

O9 - Extra button: (no name) - {92D12339-56B0-4554-BBE6-8170A9F14F31} - C:\WINDOWS\System32\COMDLG32.OCX

O9 - Extra button: Microsoft® JavaScript® Console - {A9ED54B7-4ECC-4D86-AD79-CF9D343DC39E} - C:\WINDOWS\System32\COMDLG32.OCX

O9 - Extra ‘Tools’ menuitem: JavaScript Console - {A9ED54B7-4ECC-4D86-AD79-CF9D343DC39E} - C:\WINDOWS\System32\COMDLG32.OCX

O9 - Extra button: Descargas - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - c:\acc-kazemule\local.htm (file missing)

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\PROGRA~1\FlashGet\flashget.exe (file missing)

O9 - Extra ‘Tools’ menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\PROGRA~1\FlashGet\flashget.exe (file missing)

O9 - Extra button: Microsoft® JavaScript® Console - {E7B3490E-D7CD-4046-AD29-82B3423F4B4D} - C:\WINDOWS\System32\COMDLG32.OCX

O9 - Extra ‘Tools’ menuitem: JavaScript Console - {E7B3490E-D7CD-4046-AD29-82B3423F4B4D} - C:\WINDOWS\System32\COMDLG32.OCX

O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - e:\Program Files\IrfanView\Ebay\Ebay.htm

O9 - Extra button: Microsoft® JavaScript® Console - {A9ED54B7-4ECC-4D86-AD79-CF9D343DC39E} - C:\WINDOWS\System32\COMDLG32.OCX (HKCU)

O9 - Extra button: (no name) - {E7B3490E-D7CD-4046-AD29-82B3423F4B4D} - C:\WINDOWS\System32\COMDLG32.OCX (HKCU)

O17 - HKLM\System\CCS\Services\Tcpip…{D7E98A69-0A83-464A-8E07-DC142473D6ED}: NameServer = 192.168.3.1,193.193.75.1

POZDRAWIAM.

kamaa · 4 Listopad 2004 21:24

usuń w trybie awaryjnym lub pod Dos-em

TOM7 · 4 Listopad 2004 21:33

O4 - HKCU…\Run: [micore] \program files\micore\runc.exe

laduje mi sie w autostarci

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

dlaczego 2 pozycje

a w procesach mam nawet ich 4 sztuki , wystarczy 1

zamkna pozostale 3 sztuki

POZDRAWIAM.

Patricko · 4 Listopad 2004 21:37

PROPONUJE FORMATA

i nastepnym razem ostroznie chodzic po internecie…i byc bardzo dobrze zabezpieczonym…powodzenia…zgraj puki mozesz wszystko na plyty i zrob formata…przynajmniej jakos czas leci przy instalacji windowsa :)…moze Linux…raptem tylko 10 wirusow na niego jest…hmmm…moze sam pomysle nad LINUXEM

Kamcia_18 · 4 Listopad 2004 22:17

post1

kasujesz /tryb awaryjny/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C** :\WINDOWS\System32\SearchBar.htm**

O2 - BHO: F1 Organizer Class - {00000EF1-0786-4633-87C6-1AA7A44296DA} - C:\WINDOWS\System32\ATPART~1.DLL

O2 - BHO: (no name) - {008DB894-99ED-445D-8547-0E7C9808898D} - C:\WINDOWS\mslagent\4b_1,0,1,2_mslagent.dll

O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINDOWS\System32\nvms.dll

O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINDOWS\System32\mscb.dll

O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll

O4 - HKCU…\Run: [instant Access] rundll32.exe p2esocks_1016.dll,InstantAccess

O4 - HKCU…\Run: [micore] \program files\micore\runc.exe

O9 - Extra button: Microsoft® JavaScript® Console - {663F83D0-0715-4AC5-86C3-2F0C44E280E9} - C:\WINDOWS\System32\COMDLG32.OCX

O9 - Extra ‘Tools’ menuitem: JavaScript Console - {663F83D0-0715-4AC5-86C3-2F0C44E280E9} - C:\WINDOWS\System32\COMDLG32.OCX

O9 - Extra button: (no name) - {92D12339-56B0-4554-BBE6-8170A9F14F31} - C:\WINDOWS\System32\COMDLG32.OCX

O9 - Extra button: Microsoft® JavaScript® Console - {A9ED54B7-4ECC-4D86-AD79-CF9D343DC39E} - C:\WINDOWS\System32\COMDLG32.OCX

O9 - Extra ‘Tools’ menuitem: JavaScript Console - {A9ED54B7-4ECC-4D86-AD79-CF9D343DC39E} - C:\WINDOWS\System32\COMDLG32.OCX

O9 - Extra button: Descargas - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - c:\acc-

O9 - Extra button: Microsoft® JavaScript® Console - {E7B3490E-D7CD-4046-AD29-82B3423F4B4D} - C:\WINDOWS\System32\COMDLG32.OCX

O9 - Extra ‘Tools’ menuitem: JavaScript Console - {E7B3490E-D7CD-4046-AD29-82B3423F4B4D} - C:\WINDOWS\System32\COMDLG32.OCX

O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - e:\Program Files\IrfanView\Ebay\Ebay.htm

O9 - Extra button: Microsoft® JavaScript® Console - {A9ED54B7-4ECC-4D86-AD79-CF9D343DC39E} - C:\WINDOWS\System32\COMDLG32.OCX (HKCU)

O9 - Extra button: (no name) - {E7B3490E-D7CD-4046-AD29-82B3423F4B4D} - C:\WINDOWS\System32\COMDLG32.OCX (HKCU)

sciagasz PestPatrol

http://download.zonelabs.com/bin/free/p … olHome.exe

INFO:

skanujesz partycje systemowa

Ustawiasz na stale ochrone rzeczywista

Options/AutomaticScans

dajesz Launch

w PPMem, PPControl, CookiePatrol

dalej SpySubtractPRO+CWShredder_v2.00

http://im0.intermute.com/bin/downloads/ … btract.EXE

INFO:

skanujesz system CWShredder jak i SpySubtractPRO

skanujesz skanerami AV

–GeCAD (RAV)–

http://www.ravantivirus.com/scan/

–F-Secure–

http://support.f-secure.com/enu/home/ols.shtml

ps.

1)

instalujesz SP1 ,lub SP2 obowiazkowo

sciagasz Windows Worms Doors Cleaner v1.4.1

zamykasz odpowiednie porty czyli /ALL/ w tym progsie

INFO:

http://forum.dobreprogramy.pl/viewtopic … ht=blaster

2)

wlacz ochrone rzeczywista avast! 4 na /wysoka/ bo /normalna/ przepuszcza i to duzo rzeczy

(testowalam na bazie pliku --ZIP-- zawierajacym pliki zarazone)

ewent.

zmien na BitDefender Free Edition v7

http://www.bitdefender.com/bd/site/down … enu_id=21#

3)

zainstaluj jakas alternatywe dla IE; Opere czy Mozilla

bo naprawde IE nadaje sie tylko do skanerow AV

ewent. nakladka AvantBrowser, Maxthon

i SpywareBlaster

http://www.javacoolsoftware.com/sbdownload.html

jak chcesz korzystac z IE

INFO:

http://forum.dobreprogramy.pl/viewtopic … ht=blaster

a pozycjami dublowanymi np. svchost.exe

sie niemartw bo to normalne, moze byc ,ze nawet kilka programow bedzie uzywac tego samego procesu jednoczesnie

4)

instalujesz firewalla

tu masz linki do darmowych

http://hacking.pl/firewall.php

post2

moj F-Prot ma dla Unix/Linux w bazie samej 402 wirki

jest stanowczo mniej ,ale nie 10 hihhihihi

Waterproof · 5 Listopad 2004 05:39

Z całym szacunkiem - pozwolę sobie mieć nieco odmienne zdanie.

Biblioteki (czyli właśnie *dll) - nigdy nie funkcjonują jako samodzielne jednostki przyporządkowane jednej aplikacji. Każda biblioteka działa jako tzw. wspólny mianownik bardzo wielu procesów, ale fakt - że jakiś plik w ramach tego dll - jest zarażony, nie oznacza - że za wszelką cenę winniśmy tę bibliotekę zostawić… Bo to oznacza dalszą infekcję całego systemu! Wszystko jest do totalnego odstrzału… :twisted: Są inne metody przywracania dll - chociażby posiłkując się gotowymi plikami ze stronki

http://www.dll-files.com/

lub metodami bardziej zawansowanymi! Recepty obligatoryjnej na te zaawansowane nie ma - gdyż wszystko jest zależne od powiązań w systemie itp. Sytuacje, gdy nie mozemy gotowego pliku *dll downloadować, bo nie ma skąd - są niezmiernie rzadkie - i raczej nie dotyczą systemowych bibliotek! :twisted:

A jakich mogą dotyczyć - wolałabym na tym Forum nie mówić…

Warto zwrócić uwagę na fakt - że niektóre wirusy itp. specjalnie instalują swoje wpisy na wzór pseudodll, (to jest jeszcze inna bajka :twisted: ) a także na to - że po usunięciu tychże - prawidłowo pojawiają się monity - o zainstalowanie bibliotek!

Czy nie wypada wtedy z radością na to przystać… :?

A co nam po zwichrowanych bibliotekach…? :?