Dodaj do ulubionych

Zanim zadasz pytanie

07.03.06, 14:49
Jeśli masz problemy z trojanami, wirusami i nie wiesz jak się ich pozbyć, to w
swoim pierwszym poście oprócz opisu problemu wklej log z Hijack This. Opis
generowania loga:
www.mgregor.republika.pl
pzdr
--
Destroy everything you touch today
Please destroy me this way
Edytor zaawansowany
  • neder 08.03.06, 15:55
    Nie ma sensu zadawać po raz kolejny tego samego pytania. No chyba, że uważasz,
    że dyskusje w podanych niżej linkach nie rozjaśniły Ci nic w głowie i nadal masz
    wątpliwości:)

    forum.gazeta.pl/forum/72,2.html?f=430&w=27578590&a=27578590
    forum.gazeta.pl/forum/72,2.html?f=430&w=28630031&a=28630031
    forum.gazeta.pl/forum/72,2.html?f=430&w=31130110&a=31130110
    dla słabszego komutera:
    forum.gazeta.pl/forum/72,2.html?f=430&w=23978232&a=23978232

    --
    Destroy everything you touch today
    Please destroy me this way
  • kolobos 08.03.06, 21:26
    W razie pojawienia sie zoltych tojkatow przy UPNP oraz Netbios, wystarczy
    zrobic to co jest opisane tutaj:
    forum.gazeta.pl/forum/72,2.html?f=430&w=34371808&a=34405470
    W razie gdy udostepniamy np. drukarke w sieci lokalnej lub jakies foldery wtedy
    nie zamykamy NetBIOS, jezeli to zrobimy udostepnianie przestanie dzialac.
  • kolobos 08.03.06, 21:20
    Pare przydatnych programow usuwajacych look2me:

    L2MRemover:
    www.simplytech.it/L2MRemover/index_e.htm

    Kill2me:
    www.softpedia.com/get/Internet/Popup-Ad-Spyware-Blockers/Killme.shtml
    Look2Me-Destroyer:
    www.atribune.org/content/view/28/2/

    W razie zepsutego linka wystarczy wpisac nazwe programu w google i sciagnac z
    innej strony.

    Podane programy powinny usunac look2me automatycznie (zapewne do czasu
    pojawienia sie nowszej wersji ktorej nie usuna ;-)).
  • kolobos 08.03.06, 22:01
    Jak sie dostac do menadzera zadan:
    - wystarczy nacisnac alt+ctrl+del i wybrac Menadzera zdadan
    - lub kliknac prawym przyciskiem myszki na pasku start i wybrac Menadzer Zadan
    - mozna tez wpisac w Start->Uruchom->taskmgr.exe

    Jezeli podczas proby uruchomienia wyswietli sie taki komunikat:
    "Menadżer zadań został wyłączony przez administratora"

    Zapewne spowodowal to jakis trojan wiec najpierw trzeba go usunac, po jego
    usunieciu wystarczy wkleic do notatnika to:

    Windows Registry Editor Version 5.00

    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
    "DisableTaskMgr"=-

    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy
    Objects\LocalUser\Software\Microsoft\Windows\CurrentVersion\Policies\System]
    "DisableTaskMgr"=-

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
    "DisableTaskMgr"=-

    Zapisac jako fix.reg i uruchomic, to powinno odblokowac menadzer.
  • neder 09.03.06, 20:50
    Ściągamy chociażby stąd:
    www.bleepingcomputer.com/files/killbox.php
    'Instrukcja obsługi' ;)
    > uruchamiamy
    > zaznaczamy opcję 'delete on reboot'
    > w okienko wklejamy ścieżkę dostępu do pliku (dla niezorientowanych to np: >
    C:\WINDOWS\System32\paytime.exe ;))
    > po usunięciu każdego z plików, będzie się pojawiało pytanie o reset.
    Resetujemy jednak dopiero po usunięciu wszystkich przewidzianych do usunięcia
    plików.


    --
    'Cause we got a PhD in
    Advanced Body Movin'
  • neder 14.03.06, 19:36
    :D

    Jeśli w odpowiedzi na prośbę o sprawdzenie loga pojawi się taki tekst oznacza to
    nic innego, jak te 2 programy (przynajmniej na dzień dzisiejszy ;))

    download.ewido.net/ewido-setup.exe
    linorg.ciagri.usp.br/ftp/pub/windows/anti-spyware/ssfsetup1_0.exe
    Przed skanowaniem należy uaktualnić bazy, po skanownaiu programy odinsalować (są
    to wersje trial, na nic się nam po jakimś czasie zdadzą).


    --
    'Cause we got a PhD in
    Advanced Body Movin'
  • neder 14.03.06, 23:44
    Często zdarza się, że wraz z systemem uruchamiają się procesy, które są
    całkowicie zbędne w autostarcie. Niepotrzebnie działają w tle, obciążając
    system. Niewiele, ale to zawsze jakieś obciążenie. Listę procesów i ich opis
    znajdziecie tu:
    www.republika.pl/elektronikjk/r5.html
    po angielsku (ale wydaje mi się, że czasami nieco jaśniej ;P) opisy można
    znaleźć tu:
    www.processlibrary.com/ -> w okienko wpisujemy nazwę procesu i patrzymy
    czy jest nam potrzebny w autostarcie.


    Najczęstsze tego typu wpisy to:

    > O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    > O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program
    Files\Java\jre1.5.0_06\bin\jusched.exe
    > O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe"
    -atboottime
    > O4 - HKLM\..\Run: [RemoteControl] "C:\Program
    Files\CyberLink\PowerDVD\PDVDServ.exe"
    > O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
    > O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common
    Files\Real\Update_OB\realsched.exe" -osboot
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
    Office\Office10\OSA.EXE

    Jest ich jeszcze trochę, ale to te główne (według mnie oczywiście).

    Wszystko wzięte z jednego loga. Ktoś pobija rekord ;)


    --
    'Cause we got a PhD in
    Advanced Body Movin'
  • neder 14.03.06, 23:45
    Linki powyżej są przydatne nie tylko do sprawdzania wpisów w autostarcie, ale w
    ogóle procesów, które znajdują się w menedżerze zadań. Jeśli jakiś wydaje nam
    się podejrzany, a na powyższych listach go nie ma to możliwe, ze jest to proces
    wirusa, trojana itepe. Robimy wtedy 2 rzeczy:
    1. wpisujemy nazwę procesu w google i sprawdzamy co tam o nim piszą
    2. pytamy się na forum (choć odrobina samodzielności jest tu wskazana ;))


    --
    'Cause we got a PhD in
    Advanced Body Movin'
  • kolobos 19.03.06, 16:21
    - jak wylączyć:

    Klikamy prawym klawiszem myszki na Mój komputer -> z menu kontekstowego
    wybieramy Właściwości (Lub Panel Strowania -> System) następnie przechodzimy do
    zakładki Przywracanie systemu i zaznaczamy pozycję "Wyłącz Przywracane systemu
    na wszystkich dyskach", wychodzimy klikajac OK, a na koniec resetujemy komputer.

    Wyłączenie przywracania usunie wszystkie punkty przywracania, a co za tym idzie
    ewentualne wirusy które sie w nich znajdują.

    W Windows ME przywracanie można wyłaczyć tak:
    Klikamy prawym klawiszem na Mój komputer -> z menu kontekstowego wybieramy
    Właściwości -> Wydajność -> System plików... -> Rozwiązywanie problemów i tam
    zaznaczamy "Wyłącz przywracanie systemu".

    - jak właczyć
    Należy postępować tak samo jak przy wylaczeniu z ta roznica, że
    odznaczamy "Wyłącz Przywracane systemu na wszystkich dyskach"

    Opis z obrazkami znajduje sie np. na stronie G-Data:
    www.gdata.pl/pl/support/avk12_pyt6.html
    Dla Win ME:
    www.gdata.pl/pl/support/avk12_pyt7.html
  • kolobos 19.03.06, 16:27
    Spis fałszywych programow anty* czyli od czego trzymać sie zdaleka:
    www.spywarewarrior.com/rogue_anti-spyware.htm
    Warto przeczytać zanim zacznie się klikać i instalować smiecie :>

  • neder 19.03.06, 17:41
    Sama aplikacja nie jest do niczego potrzebna. Można się jej więc spokojnie
    pozbyć tym bardziej, że czasami miesza ona w stronie startowej, Outlooku itepe.
    Robimy to oczywiście poprzez dodaj/usuń programy. To co najważniejsze, czyli
    sterowniki do modemu zostaną. Teraz wystarczy tylko ustanowić połączenie ręczne:


    -> Dla XP:
    > panel sterowania > połączenia sieciowe > nowe połączenie (ewentualnie Plik >
    nowe połączenie), dalej tak jak na screenach:
    img142.imageshack.us/img142/4403/neoxp9xp.jpg

    -> dla Win 98:
    shider.net/AutoConnect/nowe_polaczenie_98/index.html

    Jeśli aplikacja neostrady nie jest jeszcze w ogóle zainstalowana, to wystarczą
    tylko te instrukcje:
    neostrada.info/instalacja.php -> czyli instalalacja sterowników modemu.
    Dalej obowiązują instrukcje dotyczące połączenia ręcznego. Jeśli jest to
    pierwsze połączenie z Internetem, to w celu rejestracji jako 'Nazwę użytkownika'
    trzeba wpisać 'rejestracja@neostrada.pl' zaś 'Hasło' to 'rejestracja'.


    --
    'Cause we got a PhD in
    Advanced Body Movin'
  • neder 19.03.06, 18:04

    --
    'Cause we got a PhD in
    Advanced Body Movin'
  • kolobos 19.03.06, 19:12
    Skanerem tym mozemy sprawdzic czy dany plik nie jest zarobaczony:
    virusscan.jotti.org/
  • nimeska 02.02.07, 19:07
    i jeszcze, zapewne kilka sie powtórzy
    wiec dla przypomnienia

    Antyszpiegowskie skanery online

    www.trendmicro.com/spyware-scan/
    tiny.pl/w6ll *
    www.pandasoftware.com/products/spyxposer/com/spyxposer_principal.htm *
    www3.ca.com/securityadvisor/pestscan/ *
    www.webroot.com/services/spyaudit_03.htm *
    www.emsisoft.com/en/software/ax/

    Antywirusowe skanery online

    www.bitdefender.com/scan8/ie.html
    mój faworyt – bo bardzo dobry, dziala powoli ale skutecznie i oferuje duże
    możliwości. Skanuje sektor rozruchowy dysku, RAM, dyski twarde i wymienne,
    indywidualne foldery i pliki włącznie z archiwami oraz pocztę.

    www.kaspersky.com/service?chapter=161739400 *
    housecall.trendmicro.com/
    www.pandasoftware.com/products/activescan.htm
    support.f-secure.com/enu/home/ols.shtml
    arcaonline.arcabit.com/index_pl.html
    www.mks.com.pl/skaner/
    tiny.pl/w6l8
    onecare.live.com/site/en-US/center/howsafe.htm?s_cid=mscom_msrt
    us.mcafee.com/root/mfs/default.asp *
    www.commandondemand.com/ *

    * jedynie skanuja nie usuwaja

    Skanery pojedynczych plików (ograniczenia rozmiarów):
    Skanery oparte na wielu maszynkach:

    www.virustotal.com/en/indexf.html (27 skanerów, max waga pliku 10MB)

    virusscan.jotti.org/ (15 skanerów, max waga pliku 15MB)



    --
    Och Ziuta ...
    co raz mniej mnie
    to nie ma znaczenia ...
  • Gość: Kolobos IP: *.escom.net.pl 11.12.06, 15:01
    Skaner ewido w wersji mikro:
    download.ewido.net/ewido_micro.exe
    Skanuje i usuwa bez zbednych wodotryskow.
  • barracuda7110 20.03.06, 00:32
    Za pomocą tego narzędzia można wyłączyć sporo zbędnych funkcji w xp (m.in.
    posłańca):
    www.xp-antispy.org/
    --
    Konfucjusz mówi: Obraz nie Windows, sam się nie zawiesi.
  • kolobos 19.03.06, 18:54
    Jak uzywac Slient Runners:
    - sciagamy na dysk (najlepiej na pulpit):
    www.silentrunners.org/Silent%20Runners.vbs
    - uruchamiamy Silent Runners.vbs , czekamy az program zakonczy dzialanie i
    wygerneruje plik z log'iem, a nastepnie wklejamy zawartosc na forum tak jak
    logi z hjt.

    W razie pojawienia sie problemow z uruchomieniem sprawdzamy czy host skryptow
    jest wlaczony, mozna to zrobic tym programem:
    www.symantec.com/avcenter/noscript.exe
  • kolobos 19.03.06, 19:00
    exefix powinien naprawic wszystkie bledne wpisy w rejestrze dotyczace plikow
    exe.
    Wersja pod XP/W2k
    www.kellys-korner-xp.com/regs_edits/exefix.reg
    (sciagamy na dyski i uruchamiamy plik)

    Wersja pod 9x:
    Wklejamy do notatnika (zmieniamy rozszerzenie notepad.exe na notepad.com wtedy
    sie uruchomi):

    REGEDIT4

    [HKEY_CLASSES_ROOT\exefile\shell\open\command]
    @="\"%1\" %*"

    Zapisujemy jako fix.reg i uruchamiamy.

    Najczesciej uszkodzenie jest spowodowane jakims robakiem wiec najlepiej
    wczesniej go usunac ;-)
  • kolobos 19.03.06, 19:25
    Przykladowe uslugi do kasacji:
    O23 - Service: Windows Logon Process Service (MSWinLogonProcService) -
    Unknown owner - C:\WINDOWS\winlogon.exe" -service (file missing)

    O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network
    Monitor\netmon.exe

    W XP uslugi mozna usunac np. tak:
    Najpierw zatrzymujemy usluge o tak:
    Start->Uruchom->sc stop MSWinLogonProcService

    Nazwa w nawiasie to nazwa uslugi, ktora nalezy wpisac podczas
    zatrzymywania/usuwania, jezeli usluga nie posiada takiej nazwy to nalezy wpisac
    dluga nazwe np: sc stop "Network Monitor".

    Po zatrzymaniu uslugi nalezy ja usunac:
    Start->Uruchom->sc delete MSWinLogonProcService

    W skrocie usuwanie obu uslug sprowadza sie do:
    Start->Uruchom i tam wpisujemy po jednym:
    sc stop "Network Monitor"
    sc stop MSWinLogonProcService
    sc delete "Network Monitor"
    sc delete MSWinLogonProcService

    Uslugi mozna usunac takze przy pomocy hijackthis:
    Hijackthis -> Open Misc Tools -> Delete Nt Service i tam wpisujemy nazwe uslugi
    do kasacji, oczywiscie wczesniej trzeba ja zatrzymac w Start->Uruchom-
    >services.msc
    Warto sprawdzic pare razy czy to napewno usluga o ktora nam chodzi, w przypadku
    usniecia zlej mozna spowodowac uszkodzenie systemu! Najlepiej nic nie kasowac
    bez wczesniejszej konsultacji na forum!
  • neder 19.03.06, 19:35
    -> Windows 98
    Mój Komputer > Narzędzia > Opcje Folderów > stawiamy ptaszka przy 'Pokaż
    wszystkie pliki'


    -> Windows > 98
    Mój Komputer > Narzędzia > Opcje Folderów > Widok > ptaszek przy ' Pokaż ukryte
    pliki i foldery' i brak ptaszka 'Ukryj chronione pliki systemu operacyjnego'


    --
    'Cause we got a PhD in
    Advanced Body Movin'
  • neder 19.03.06, 20:14
    Wygląd w logu:
    O10 - Hijacked Internet access by WebHancer
    O10 - Hijacked Internet access by New.Net

    LSP-Fix ściągamy stąd.

    W okienku po lewej zawsze będą trzy pliki:
    > mswsock.dll
    > winrnr.dll
    > rsvpsp.dll
    img84.imageshack.us/img84/990/lspfix1gh.jpg
    Za nic ich nie ruszać! Mają tam być i tyle.

    > Zaznaczamy opcję 'I know what I'm doing'
    > W oknie 'Keep' zaznaczamy tylko i wyłacznie szkodliwe pliki -> nie usuwaj nic
    jeśli nie jesteś pewien bez konsulatcji na forum.
    > strzałkami (>>) przenosimy plik z okna 'Keep' do 'Remove'
    > Klikamy Finish


    --
    Advanced Body Movin'
  • barracuda7110 20.03.06, 00:35
    free-av.com/
    avast.com/
    --
    Konfucjusz mówi: Obraz nie Windows, sam się nie zawiesi.

Popularne wątki

Nie pamiętasz hasła

lub ?

 

Nie masz jeszcze konta? Zarejestruj się

Nakarm Pajacyka