Ciągły virus PROSZE O POMOC!!:(

[ArtuRPGpl 0]

Siema, sciagnlem jakis plik przez przypadek z neta jakis 13kb i teraz ciagle nie ustajaco avast wygrywa jakis virus co moge zrobic zeby go doszczetnie skasowac??

[Treant 0]

1. Skasuj w IE wszystkie pliki tymczasowe i całą zawartość offline.
2. Nie pracuj na koncie administratora.
3. Zmień przeglądarkę.
P.S. Szkoda, że ten temat stał się polem dyskusji i inwektyw, które niewiele wniosły do rozwiązania problemu.

[AgayKhan 0]

Szkoda, że zapomniałem linka. Jakiś Amerykanin sprzedawał swój program antyspyware''owy. Klientów miał sporo, ino ten program absolutnie nic nie robił.

[Xantus 0]

1. Wlacz tryb awaryjny i wykasuj wszystko co jest w Temporary Interent Files
2. W katalogu Windows wyczyc katalog Downloaded Program Files.
3. Start --> Uruchom wpisz ''msconfig'' i zrob screena z zakladki Uruchamianie (przydac sie moze screen procesow tez)
4. Przeskanuj jakims on-line skanerem (te dzialaja chyba tylko pod IE), jak nadal cos bedzie to pisz i sie pomysli
5. Zainstaluj i uzywaj dobrej przegladarki (do wyboru)
- Firefox - banalnie prosta
- Opera - rozbudowana
- Orca - rozbudowana (moja ulubiona ;)
6. Nie sciagaj wiecej crackow

AgayKhan --> Jak masz tylko takie porady to lepiej nic nie pisz.

[MandiATO 0]

Dnia 23.04.2006 o 00:48, Treant napisał:

P.S. Szkoda, że ten temat stał się polem dyskusji i inwektyw, które niewiele wniosły do rozwiązania
problemu.

Nie wiem czy zauwazyles, poza wylapywaniem inwektyw, prosbe skierowana do ArtuRPGpl przez dwie osoby na tym forum o wklejenie tutaj loga z HiJackThis... W ciemno nie wiedzac gdzie mu sie to podczepilo ciezko wyrokowac co zrobic, szczegolnie jak jakis badziew wpisal sie do hostfiles i przy kazdym polaczeniu z sieci polaczenie idzie przez jakis serwer posredni zamiast normalnych dns''ow i cos IE sciaga, lub ma cos w autostarcie, samo czyszczenie katalogow tymczasowych w tym wypadku nic nie da, tak samo jak w tej chwili przejscie na prace na koncie ograniczonym.Najpierw trzeba pomoc mu usunac problem z odnawianiem sie tego wirusa, potem mozna zalecac srodki ostroznosci na przyszlosc. A poki nie mamy pojecia o jego sekwencji startowej, zmianach w hostfiles oraz podczepionych kontrolkach activex pod IE to gdybac mozemy sobie do.... a nawet i dluzej.

[ArtuRPGpl 0]

Jak czyszcze ten plik Temporary Interent Files no to on i tak zaraz jest zapelnion wiec to jest syzyfdowa praca, a jak avast wykyraw virus i daje usun no to pisze ze plik jest uzywany albo cos takeigo dalem screeny wyzej

[pimpor 0]

Ja radze Ci usunąć windowsa i właściwie wszystko co masz na dysku(chyba, że masz coś ważnego to możesz to wypalić na dvd-rw) potem zainstalować odrazu nowego win ale bez IE(zresztą można usunąć IE w dodaj-usuń programy tam w składnikach systemu) ale ważne aby ktoś Ci ściągnął albo Opere albo Mozille. No i najlepiej gdybyś miał Win XP z SP2 bo bezpieczniej:) Ja w tej chwili nie mam IE, nie mam tez żadnego antyvira i komp chodzi dobrze korzystam z Mozilli Fire fox''a(co jakiś czas instaluje tylko jakąś bogatą kilkudniową wersje jakiego antyvira i sprawdzam sobie co mam na dysku, od pewnego czasu naprawdę nic mi się nie ściągnęło, a nie używam żadnego antyvira bo zajmuja tylko dodatkową pamięć). Wtedy ustaw sobie tylko, żeby nie wyświetlało ci okienek pop-up(czy jakos tak) i tych skryptów różnych i powinienieś mieć kłopot z wirusami z głowy. No chyba, że będziesz bezmyślnie ściągał pliki z różnych nieznanych Ci żródeł. I to najlepsza metoda na uciążliwego virusa jeśli ciągle nie możesz sobie dać z nim rady. A inne łatwiejsze to poszukać jakichś darmowych wersji jakiegoś antyvira(często w jakichś gazetach są 30 dniowe albo 7 dniowe) i za pomocą jakiegoś usunąć. Ja np. dostałem najnowszego norton internet security przy zakupie nowej płyty głównej.

[ArtuRPGpl 0]

Hmm virus mi wyskakuje jak jestem IE wlonczony jak jestem w siecie ale nie jest wlonczony no to nie wyskakuje, bo to taka ramka wyskakuej co jakis czas, a teraz mam non stop avasta wwylonczonegoale krude boje sie wchodzic na konto ale musze:(

[MandiATO 0]

Dnia 23.04.2006 o 12:16, ArtuRPGpl napisał:

Jak czyszcze ten plik Temporary Interent Files no to on i tak zaraz jest zapelnion wiec to
jest syzyfdowa praca, a jak avast wykyraw virus i daje usun no to pisze ze plik jest uzywany
albo cos takeigo dalem screeny wyzej

I będzie się zapełniał, gdyż tam IE trzyma swoje pliki tymczasowe (buforuje przeglądane strony)...

Znów się powtórzę, ale co tam... Avast nie może usunąć pliku, gdyż jest on w użyciu. Już raz pisałem możesz wymusić uruchomienie Avasta przed uruchomieniem systemu, wtedy wykryje i usunie wirusa, bo system jeszcze nie będzie wczytany i nie będzie blokował dostępu do pliku, ale czy zaraz wirus znowu sie nie pojawi nie wiem, póki nie widzę loga z HiJackThis...

Jak wymusić skanowanie przed uruchomieniem systemu? Uruchamiasz Avasta i z menu programu wybierasz: "Ustaw skanowanie podczas rozruchu..." i uruchamiasz ponownie system... Powinno pójść bez problemu, gdyż na rysunkach widzę, że masz XP. W domyślnej skórce avasta menu się otwiera gadżetem przypominającym przycisk eject. (przepraszam, ale bardziej łopatologicznie to ja już nie potrafię)

[MandiATO 0]

Dnia 23.04.2006 o 12:35, ArtuRPGpl napisał:

Hmm virus mi wyskakuje jak jestem IE wlonczony jak jestem w siecie ale nie jest wlonczony no
to nie wyskakuje, bo to taka ramka wyskakuej co jakis czas, a teraz mam non stop avasta wwylonczonegoale
krude boje sie wchodzic na konto ale musze:(

Skoro wyskakuje ramka, to znaczy, ze Avast zabronil wykonania wirusa, wiec mozesz pracowac smialo... Jak usunac wirusa pisalem w moim poprzednim poscie. A wylaczanie antywirusa jest najgorszym co mozesz w tej sytuacji zrobic.

[Xantus 0]

Dnia 23.04.2006 o 12:16, ArtuRPGpl napisał:

Jak czyszcze ten plik Temporary Interent Files no to on i tak zaraz jest zapelnion wiec to
jest syzyfdowa praca, a jak avast wykyraw virus i daje usun no to pisze ze plik jest uzywany
albo cos takeigo dalem screeny wyzej

Dlatego wlasnie masz wlaczyc tryb awaryjny i wykasowac recznie te pliki (mozesz sprobowac wykasowac w normalnym trybie ale z wylaczonym IE). Wchodzisz do tego katalogu, zaznaczasz wszystko i wciskasz usun.

[AgayKhan 0]

Musisz jeszcze sprawdzić, czy Ci wirus jakiś portów nie pootwierał.

[ArtuRPGpl 0]

Czy to normalne ze w katalogu windows sa takie pliki, ostanio mi w3 frozen throne nie dziala na battle necie:/ moze to przez ten virus oto te 2 pliki a 3 screen to cos mi wsyakuje co jakies 10 minut i to szybko wylanczam

ps. zaraz dodam 3

[ArtuRPGpl 0]

no to 3 screen

[Dark_Templar 0]

Zrób tak jak radzi Xantus.

TRYB AWARYJNY>Usuwasz wszystko z odpowiednich folderów internetowych

Proponuję także opcją "Wyszukaj" (wciąż tryb awaryjny) znaleźć pliki, które się utworzyły się wtedy gdy ściągnął się wirus (pamiętasz przybliżoną godzinę?) i je usunąć.

[Tomi_323 0]

Można wiedzieć co zrobiłeś w związku z tym wirusem?

Miałeś tyle porad, miałeś dać log z HijackThis i nic :P

[ArtuRPGpl 0]

Dnia 23.04.2006 o 14:15, Tomi_323 napisał:

Można wiedzieć co zrobiłeś w związku z tym wirusem?

Miałeś tyle porad, miałeś dać log z HijackThis i nic :P

Zaraz dam, ale juz avast nie wykryaw caly czas ze z siecie virus idzie

[ArtuRPGpl 0]

Logfile of HijackThis v1.99.1
Scan saved at 14:39:00, on 2006-04-23
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\SurfAccuracy\SAcc.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\expIorer.exe
C:\WINDOWS\svjer.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Gadu-Gadu\gg.exe
C:\WINDOWS\system32\WgaTray.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Documents and Settings\Administrator\Moje dokumenty\?asks\w?auclt.exe
C:\WINDOWS\system32\RaConfig.exe
E:\BitLord\BitLord.exe
C:\Program Files\Gadu-Gadu\gg.exe
C:\WINDOWS\system32\SSEMBL~1\csrss.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Administrator\Pulpit\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = prosearching.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.2020search.com/search/9884/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = prosearching.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = prosearching.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = prosearching.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = prosearching.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.2020search.com/search/9884/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = prosearching.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = prosearching.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = prosearching.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.2020search.com/search/9884/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.2020search.com/search/9884/search.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = prosearching.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = prosearching.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
R3 - URLSearchHook: (no name) - {3F66A982-6B14-32CA-35A1-3446E192D99A} - C:\WINDOWS\system32\qfmefrqa.dll
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0 CE\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Windows Resources - {2D38A51A-23C9-48a1-A33C-48675AA2B494} - C:\WINDOWS\winres.dll
O2 - BHO: (no name) - {3F66A982-6B14-32CA-35A1-3446E192D99A} - C:\WINDOWS\system32\qfmefrqa.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [BearShare] "E:\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [SurfAccuracy] C:\Program Files\SurfAccuracy\SAcc.exe
O4 - HKLM\..\Run: [I downloaded pirated Software from P2P and now I post my Hijack log] C:\WINDOWS\system32\warez.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Media Gateway] C:\WINDOWS\system32\expIorer.exe
O4 - HKLM\..\Run: [ReJf5vH] C:\WINDOWS\svjer.exe
O4 - HKLM\..\Run: [winupdates] C:\Program Files\winupdates\winupdates.exe /auto
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
O4 - HKCU\..\Run: [NBJ] "C:\PROGRA~1\Ahead\NEROBA~1\NBJ.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Tsts] "C:\WINDOWS\system32\SSEMBL~1\csrss.exe" -vt yazr
O4 - HKCU\..\Run: [Nqkikl] C:\Documents and Settings\Administrator\Moje dokumenty\?asks\w?auclt.exe
O4 - Startup: Ubisoft register.lnk = C:\Program Files\Ubisoft\Register\schedule.exe
O4 - Global Startup: RaConfig.lnk = C:\WINDOWS\system32\RaConfig.exe
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra ''Tools'' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Program Files\SideFind\sidefind.dll (file missing)
O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra ''Tools'' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.i-lookup.com
O15 - Trusted Zone: *.offshoreclicks.com
O15 - Trusted Zone: *.teensguru.com
O15 - Trusted Zone: *.xxxtoolbar.com
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.pl/resources/virusscanner/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} (Installer Class) - http://www.ysbweb.com/ist/softwares/v4.0/ysb_regular.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/activex/EPUWALControl_v1-0-3-18.cab
O16 - DPF: {74CD40EA-EF77-4BAD-808A-B5982DA73F20} - http://yax-download.yazzle.net/YazzleActiveX.cab?refid=1162
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} - http://www.mt-download.com/MediaTicketsInstaller.cab?refid=5071
O16 - DPF: {BE833F39-1E0C-468C-BA70-25AAEE55775E} (System Requirements Lab) - http://www.systemrequirementslab.com/sysreqlab.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7D8914DC-5821-4323-9051-A8C4396E288E}: NameServer = 10.0.0.1
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: winjyg32 - C:\WINDOWS\SYSTEM32\winjyg32.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe


Oto to troche długie sroki ale no dodaje wkoncu to na temat:) O to chodzilo?

[ArtuRPGpl 0]

No i co teraz? jak wlonczyc tego avasta zeby sie zrobil przy wlonczaniu systemu? i cos wam dal ten raport?

[Pan_Sza 0]

Użyj programu, który pozwoli nie ładawać plików Windowsa. Np. Power Toolsa, wyłącz procesy i odinstaluj.
Prostsze niż używanie maszynki do golenia :)

[ArtuRPGpl 0]

Dnia 23.04.2006 o 15:40, Pan_Sza napisał:

Użyj programu, który pozwoli nie ładawać plików Windowsa. Np. Power Toolsa, wyłącz procesy
i odinstaluj.
Prostsze niż używanie maszynki do golenia :)

Nierozumie:) Jakbyscie mogli powiedzcie co sie dzieje z moim kompem i jakie mam kroki dokladnie pojdac, bo dopiero sie ucze, wiece mam 14 lat, wsumie to jest ta 6 z infy ale...no takich rzeczy niewiem, troche mi wstyd ale tu musze sie zdac na was, z góry dzieki:)