Rasatou.exe - jak sie tego syfu pozbyć

IP: *.neoplus.adsl.tpnet.pl 24.05.04, 03:56
Ilekroć pojawia sie proces rasatou tylekroc Neostrada chce mi sie łaczyć z
siecia - co 2-5 sekund. Kasuje plik rasatou.exe w Windows/System32 ale po
sekundzie ten plik znowu tam jest i tak w kółko. skaner on-line go nie wykryw
apodobnie jak Ad-aware> Co mam zrobic? Z gory dziekuje za odpowiedz
    • netsec Re: Rasatou.exe - jak sie tego syfu pozbyć 24.05.04, 09:39
      Gość portalu: Nuno napisał(a):

      > Ilekroć pojawia sie proces rasatou tylekroc Neostrada chce mi sie łaczyć z
      > siecia - co 2-5 sekund. Kasuje plik rasatou.exe w Windows/System32 ale po
      > sekundzie ten plik znowu tam jest i tak w kółko. skaner on-line go nie wykryw
      > apodobnie jak Ad-aware> Co mam zrobic? Z gory dziekuje za odpowiedz

      Jeśli masz XP to włącz zaporę Internetową we właściwościach Twojego połączenia do Internetu. W innym wypadku zainstaluj Firewall np.ZoneAlarm free.
      download.zonelabs.com/bin/free/1012_zl/zlsSetup_45_594_000.exe
      Zamiast skanować skanerami on-line zainstaluj na stałe program antywirusowy AVAST4 Home. Bezpłatny program antywirusowy po polsku.
      Wersję polską możesz ściągnąć stąd www.avast.com/i_idt_1016.html
      Przed instalacją zarejestruj się tu www.avast.com/i_kat_207.php?lang=ENG
      Dzięki rejestracji mailem otrzymasz klucz rejestracyjny, który umożliwi bezpłatną aktualizacje bazy wirusów przez 14 miesięcy.
      Ściągnij HijackThis 209.133.47.12/~merijn/files/HijackThis.exe
      Wykonaj Scan i po tym Save Log.
      Zawartość pliku z save log wklej na forum, zobaczymy co się tam dzieje.
      • Gość: Nuno Re: Rasatou.exe - jak sie tego syfu pozbyć IP: *.neoplus.adsl.tpnet.pl 24.05.04, 14:10
        Save Log z mojego kompa:


        Logfile of HijackThis v1.97.7
        Scan saved at 14:08:51, on 2004-05-24
        Platform: Windows XP (WinNT 5.01.2600)
        MSIE: Internet Explorer v6.00 (6.00.2600.0000)

        Running processes:
        C:\WINDOWS\System32\smss.exe
        C:\WINDOWS\system32\winlogon.exe
        C:\WINDOWS\system32\services.exe
        C:\WINDOWS\system32\lsass.exe
        C:\WINDOWS\system32\svchost.exe
        C:\WINDOWS\System32\svchost.exe
        C:\WINDOWS\Explorer.EXE
        C:\WINDOWS\system32\spoolsv.exe
        C:\WINDOWS\System32\smss32.exe
        C:\Program Files\Wanadoo\taskbaricon.exe
        C:\WINDOWS\Mixer.exe
        C:\Program Files\Winamp\Winampa.exe
        C:\WINDOWS\System32\ctfmon.exe
        C:\Program Files\Messenger\msmsgs.exe
        C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
        C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
        C:\Program Files\Microsoft Office\Office10\WINWORD.EXE
        C:\Program Files\Wanadoo\EspaceWanadoo.exe
        C:\Program Files\Wanadoo\ComComp.exe
        C:\Program Files\Wanadoo\Watch.exe
        C:\Program Files\Internet Explorer\iexplore.exe
        C:\Program Files\Outlook Express\msimn.exe
        C:\Program Files\Gadu-Gadu\gg.exe
        C:\Program Files\HijackThis.exe

        R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
        www.onet.pl/
        R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada
        Plus wita Cie w Internecie
        R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
        O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program
        Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
        O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
        C:\WINDOWS\System32\msdxm.ocx
        O4 - HKLM\..\Run: [Microsoft Update] iknyxuh.exe
        O4 - HKLM\..\Run: [WinHID] WinHID.exe
        O4 - HKLM\..\Run: [Windows Session Manager] smss32.exe
        O4 - HKLM\..\Run: [Microsoft Update Time] wuam.exe
        O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
        O4 - HKLM\..\Run: [WOOTASKBARICON] C:\Program Files\Wanadoo\taskbaricon.exe
        O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
        O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"
        O4 - HKLM\..\RunServices: [Microsoft Update] iknyxuh.exe
        O4 - HKLM\..\RunServices: [WinHID] WinHID.exe
        O4 - HKLM\..\RunServices: [Windows Session Manager] smss32.exe
        O4 - HKLM\..\RunServices: [Microsoft Update Time] wuam.exe
        O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
        O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
        O4 - HKCU\..\Run: [Microsoft Update] iknyxuh.exe
        O4 - HKCU\..\Run: [Microsoft Update Time] wuam.exe
        O4 - HKCU\..\Run: [Windows Session Manager] smss32.exe
        O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
        O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0
        \Distillr\AcroTray.exe
        O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840
        \dslmon.exe
        O4 - Global Startup: GStartup.lnk = C:\Program Files\Common Files\GMT\GMT.exe
        O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
        Office\Office10\OSA.EXE
        O8 - Extra context menu item: E&ksport do programu Microsoft Excel -
        res://C:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
        O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
        O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) -
        v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38126.4055787037
        O16 - DPF: {A8658086-E6AC-4957-BC8E-7D54A7E8A78E} (SassCln Object) -
        www.microsoft.com/security/controls/Sasser/20/SassCln.CAB
        O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
        bezpieczenstwo.onet.pl/skaner/SkanerOnline.cab
        O17 - HKLM\System\CCS\Services\Tcpip\..\{119B4AC8-0F13-40FF-A2DE-D3D4F2C4FC1A}:
        NameServer = 194.204.152.34 217.98.63.164
        O17 - HKLM\System\CS1\Services\Tcpip\..\{119B4AC8-0F13-40FF-A2DE-D3D4F2C4FC1A}:
        NameServer = 194.204.152.34 217.98.63.164



        dzieki za pomoc i prosze o dlasze instrukcje bo ja sie na tym kompletnie nie
        znam
        • netsec Re: Rasatou.exe - jak sie tego syfu pozbyć 24.05.04, 14:40
          Gość portalu: Nuno napisał(a):

          > Save Log z mojego kompa:
          > Logfile of HijackThis v1.97.7
          > Scan saved at 14:08:51, on 2004-05-24
          > Platform: Windows XP (WinNT 5.01.2600)
          > MSIE: Internet Explorer v6.00 (6.00.2600.0000)


          Na początek włącz Zapore tu masz opis jak to wykonać:
          www.microsoft.com/poland/security/protect/windowsxp/firewall.aspx
          Uruchom ponownie HijackTHis, wykonaj SCAN i zaznacz dokładnie te pozycje:

          O4 - HKLM\..\Run: [Microsoft Update] iknyxuh.exe
          O4 - HKLM\..\Run: [WinHID] WinHID.exe
          O4 - HKLM\..\Run: [Windows Session Manager] smss32.exe
          O4 - HKLM\..\Run: [Microsoft Update Time] wuam.exe
          O4 - HKLM\..\RunServices: [Microsoft Update] iknyxuh.exe
          O4 - HKLM\..\RunServices: [WinHID] WinHID.exe
          O4 - HKLM\..\RunServices: [Windows Session Manager] smss32.exe
          O4 - HKLM\..\RunServices: [Microsoft Update Time] wuam.exe
          O4 - HKCU\..\Run: [Microsoft Update] iknyxuh.exe
          O4 - HKCU\..\Run: [Microsoft Update Time] wuam.exe
          O4 - HKCU\..\Run: [Windows Session Manager] smss32.exe
          O4 - Global Startup: GStartup.lnk = C:\Program Files\Common Files\GMT\GMT.exe

          Po zaznaczeniu wykonaj FIX CHECKED i OK. Uruchom komputer ponownie.

          W Opcjach Internetowych wyczyść
          Tymczasowe pliki Internetowe (Wszystkie) i Cooki.

          Odinstaluj w Panelu sterowania Dodaj/Usuń programy wszystkie
          programy, co do których nie masz pewności, że Ci są potrzebne.

          Z menu START wybierz Uruchom wpisz %TEMP% i wykasuj wszystkie pliki
          które można skasować. Upewnij się przed tym w Panelu Sterowania => Opcje Folderów, że masz zaznaczone Pokaż ukryte pliki i foldery.

          Uruchom komputer ponownie.

          Zainstaluj AVAST4 Home i przeskanuj wszystkie dyski.

          Po usunięciu wirusów uruchom komputer ponownie i zaktualizuj system w WindowsUpdate o krytyczne poprawki.
          Tutaj masz opisane jak to wykonać www.microsoft.com/poland/security/protect/windowsxp/updates.aspx

          Napisz jak poszło :)
          • Gość: Nuno Re: Rasatou.exe - jak sie tego syfu pozbyć IP: *.neoplus.adsl.tpnet.pl 25.05.04, 13:24
            Dzieki za pomoc teraz mam cos takiego :

            Logfile of HijackThis v1.97.7
            Scan saved at 13:20:33, on 2004-05-25
            Platform: Windows XP (WinNT 5.01.2600)
            MSIE: Internet Explorer v6.00 (6.00.2600.0000)

            Running processes:
            C:\WINDOWS\System32\smss.exe
            C:\WINDOWS\system32\winlogon.exe
            C:\WINDOWS\system32\services.exe
            C:\WINDOWS\system32\lsass.exe
            C:\WINDOWS\system32\svchost.exe
            C:\WINDOWS\System32\svchost.exe
            C:\WINDOWS\system32\spoolsv.exe
            C:\WINDOWS\Explorer.EXE
            C:\Program Files\Wanadoo\taskbaricon.exe
            C:\Program Files\Winamp\Winampa.exe
            C:\WINDOWS\System32\ctfmon.exe
            C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
            C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
            C:\Program Files\Wanadoo\EspaceWanadoo.exe
            C:\Program Files\Wanadoo\ComComp.exe
            C:\Program Files\Wanadoo\Watch.exe
            C:\Program Files\Gadu-Gadu\gg.exe
            C:\Program Files\HijackThis.exe

            R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
            www.onet.pl/
            R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada
            Plus wita Cie w Internecie
            R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
            O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program
            Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
            O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
            C:\WINDOWS\System32\msdxm.ocx
            O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
            O4 - HKLM\..\Run: [WOOTASKBARICON] C:\Program Files\Wanadoo\taskbaricon.exe
            O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
            O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"
            O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
            O4 - HKLM\..\RunServices: [Microsoft Update Time] wuam.exe
            O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
            O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
            O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
            O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0
            \Distillr\AcroTray.exe
            O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840
            \dslmon.exe
            O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
            Office\Office10\OSA.EXE
            O8 - Extra context menu item: E&ksport do programu Microsoft Excel -
            res://C:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
            O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
            O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) -
            v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38126.4055787037
            O16 - DPF: {A8658086-E6AC-4957-BC8E-7D54A7E8A78E} (SassCln Object) -
            www.microsoft.com/security/controls/Sasser/20/SassCln.CAB
            O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
            bezpieczenstwo.onet.pl/skaner/SkanerOnline.cab
            O17 - HKLM\System\CCS\Services\Tcpip\..\{119B4AC8-0F13-40FF-A2DE-D3D4F2C4FC1A}:
            NameServer = 194.204.152.34 217.98.63.164
            O17 - HKLM\System\CS1\Services\Tcpip\..\{119B4AC8-0F13-40FF-A2DE-D3D4F2C4FC1A}:
            NameServer = 194.204.152.34 217.98.63.164

            • netsec Re: Rasatou.exe - jak sie tego syfu pozbyć 25.05.04, 18:55
              Gość portalu: Nuno napisał(a):

              > Dzieki za pomoc teraz mam cos takiego :
              >
              > Logfile of HijackThis v1.97.7
              > Scan saved at 13:20:33, on 2004-05-25
              > Platform: Windows XP (WinNT 5.01.2600)
              > MSIE: Internet Explorer v6.00 (6.00.2600.0000)

              Zazancz w Hijack jeszcze te linie:

              O4 - HKLM\..\RunServices: [Microsoft Update Time] wuam.exe

              Wykonaj FIX CHECKED i restart.
              ZAKTUALIZUJ SYSTEM w WindowsUpdate
Pełna wersja