co to za wirus i jak go usunąć?

[aniamulka]

Witajcie. Ostatnio na pocztę otrzymuję angielskie maile. To napewno wirusy.
Zauważyłam, że komputer zaczął uruchamiać sie dużo wolniej (połączenie z
siecią, GG itd.)Zdarza się również tak, że pojawia sie cała czarna lub biała
plansza a na niej tylko kursor myszki i nic sie nie da zrobić. W programie
Outlook Express dokonują się zmiany w adresie mailowym np. #, słowo poczta
lub zamiast adresu mailowego numer podobny do jakiegoś IP i w związku z tym
nie da sie wysyłać poczty. Skaner mks znalazł i usunął wirusa Trojan.Ixp ,
który zainstalował się tu: Windows/system32/iexplorer.exe . Jak pozbyć się
tego wirusa? Dodam, że mam system XP i antywirus Avast. Pomóżcie - Ania

[amj77]

aniamulka napisała:

> Witajcie. Ostatnio na pocztę otrzymuję angielskie maile. To napewno wirusy.
> Zauważyłam, że komputer zaczął uruchamiać sie dużo wolniej (połączenie z
> siecią, GG itd.)Zdarza się również tak, że pojawia sie cała czarna lub biała
> plansza a na niej tylko kursor myszki i nic sie nie da zrobić. W programie
> Outlook Express dokonują się zmiany w adresie mailowym np. #, słowo poczta
> lub zamiast adresu mailowego numer podobny do jakiegoś IP i w związku z tym
> nie da sie wysyłać poczty. Skaner mks znalazł i usunął wirusa Trojan.Ixp ,
> który zainstalował się tu: Windows/system32/iexplorer.exe . Jak pozbyć się
> tego wirusa? Dodam, że mam system XP i antywirus Avast. Pomóżcie - Ania

Zrób to, co napisane tu:
forum.gazeta.pl/forum/72,2.html?f=430&w=14138514&a=14141345
Punkty 1-6, a potem wklej log z HijackThis.

[aniamulka]

Avast już mam, zaporę internetową mam włączoną, pliki Cooki usunęłam wcześniej.
To te punkty ominąć ?
Ania

[amj77]

aniamulka napisała:

> Avast już mam, zaporę internetową mam włączoną, pliki Cooki usunęłam
wcześniej.
>
> To te punkty ominąć ?
> Ania

Jasne :-)

[aniamulka]

A ten Ad-aware jest bezpłatny?

[amj77]

aniamulka napisała:

> A ten Ad-aware jest bezpłatny?

Tak :-)
tylko pamiętaj, aby go ustawić tak, jak jest napisane w linku.

[aniamulka]

ściągnęłam Ad-adware 6 i postepowałam zgodnie ze wskazówkami. Po zeskanowaniu
pojawiło się : 4 new objects i migajacy robaczek. Co teraz???
Ania

[amj77]

aniamulka napisała:

> ściągnęłam Ad-adware 6 i postepowałam zgodnie ze wskazówkami. Po zeskanowaniu
> pojawiło się : 4 new objects i migajacy robaczek. Co teraz???
> Ania


Zaznaczyć te pozycje (mają być ptaszki przy każdym) i next - zapyta czy usunąc,
kliknij ok :-)

[amj77]

amj77 napisała:

> aniamulka napisała:
>
> > ściągnęłam Ad-adware 6 i postepowałam zgodnie ze wskazówkami. Po zeskanow
> aniu
> > pojawiło się : 4 new objects i migajacy robaczek. Co teraz???
> > Ania
>
>
> Zaznaczyć te pozycje (mają być ptaszki przy każdym) i next - zapyta czy
usunąc,
>
> kliknij ok :-)
>


Jak to zrobisz, ściągnij HijackThis (punkt 7), -> scan -> save log -> skopiuj
log i wklej tu na forum.

[aniamulka]

A co tam można wyczytać z takich log-ów?

Ania

[aniamulka]

Tylko, że tam nie da sie nic zaznaczyć :( Miga robaczek

Ania

[aniamulka]

A może mam tam nacisnąć show logfile?

Ania

[amj77]

aniamulka napisała:

> A może mam tam nacisnąć show logfile?
>
> Ania

nie save log, otworzy sie notatnik i kopiuj NA MYSZKE A POTEM WKLEJ NA FORUM

[aniamulka]

Ale ja miałam na mysli program Ad-aware:) Ja tam nie mogę nic zaznaczyć. Coś
muszę chyba włączyć. Po zeskanowaniu mam: Scan complete, 4 objects recognized -
1 registry keys identyfied, 3 - files identyfied. Chciałabym wkleić na forum
zdjęcie, które wykonałam aby przybliżyć co się teraz dzieje, ale nie wiem jak
to zrobić? Nie mogę tu zrobić opcji wklej.

Ania

[amj77]

aniamulka napisała:

> Ale ja miałam na mysli program Ad-aware:) Ja tam nie mogę nic zaznaczyć. Coś
> muszę chyba włączyć. Po zeskanowaniu mam: Scan complete, 4 objects
recognized -
> 1 registry keys identyfied, 3 - files identyfied. Chciałabym wkleić na forum
> zdjęcie, które wykonałam aby przybliżyć co się teraz dzieje, ale nie wiem jak
> to zrobić? Nie mogę tu zrobić opcji wklej.
>
> Ania
]
Klikaj next, zapyta co zrobić, musisz zaznaczyć te wszystkoe pozycję i next
next next next!!!

[aniamulka]

Tak, tak - już to zrobiłam :))
A teraz wklejam i czekam na pomoc :))


Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
C:\WINDOWS\System32\zjiaaqf.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Gadu-Gadu\gg.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Arek\Ustawienia lokalne\Temporary Internet
Files\Content.IE5\CDERG5I7\HijackThis[1].exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
www.wp.pl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control
Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Microsoft Update] windows32.exe
O4 - HKLM\..\Run: [Microsoft Services] lsrv.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Microsoft Restore] scrgrd.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
O4 - HKLM\..\Run: [MSN Messenger] zjiaaqf.exe
O4 - HKLM\..\Run: [restrictanonymous]

O4 - HKLM\..\RunServices: [Microsoft Update] windows32.exe
O4 - HKLM\..\RunServices: [Microsoft Services] lsrv.exe
O4 - HKLM\..\RunServices: [Microsoft Restore] scrgrd.exe
O4 - HKLM\..\RunServices: [MSN Messenger] zjiaaqf.exe
O4 - HKLM\..\RunServices: [EnableDCOM] N
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Microsoft Update] windows32.exe
O4 - HKCU\..\Run: [Microsoft Services] lsrv.exe
O4 - HKCU\..\Run: [Microsoft Restore] scrgrd.exe
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
O4 - HKCU\..\Run: [MSN Messenger] zjiaaqf.exe
O4 - HKCU\..\RunServices: [MSN Messenger] zjiaaqf.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
skaner.mks.com.pl/SkanerOnline.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{10C5A912-5D30-4B30-8C8B-10482DC1CFE9}:
NameServer = 62.148.85.165,195.114.173.153
O17 - HKLM\System\CS1\Services\Tcpip\..\{10C5A912-5D30-4B30-8C8B-10482DC1CFE9}:
NameServer = 62.148.85.165,195.114.173.153
O17 - HKLM\System\CS2\Services\Tcpip\..\{10C5A912-5D30-4B30-8C8B-10482DC1CFE9}:
NameServer = 62.148.85.165,195.114.173.153

[amj77]

aniamulka napisała:

> Tak, tak - już to zrobiłam :))
> A teraz wklejam i czekam na pomoc :))

czy jest lepiej ???

[aniamulka]

Nadal dosyć wolno uzyskuję połączenie do sieci po uruchomieniu komputera.

Ania

[mickeymouse6]

Powinnaś zaznaczyć kwadraciki po lewej stronie każdego wiersza i kliknąć dalej
(bądź next).

[amj77]

Jesli masz XP to sprawdź czy masz włączoną zaporę Internetową we właściwościach
Twojego
połączenia do Internetu. Tu jest opis jak to wykonać
www.microsoft.com/poland/security/protect/windowsxp/firewall.aspx
Wyłącz przywracanie systemu (tylko XP i Me)
support.microsoft.com/default.aspx?scid=kb;pl;310405
Uruchom komputer w trybie awaryjnym.
Opis support.microsoft.com/default.aspx?scid=KB;PL;315222

Po tym zamknij wszystkie okna przeglądarki Internet Explorer.
Uruchom ponownie HijackTHis. Wykonaj SCAN i zaznacz dokładnie te pozycje:

O4 - HKLM\..\Run: [Microsoft Update] windows32.exe
O4 - HKLM\..\Run: [Microsoft Services] lsrv.exe
O4 - HKLM\..\Run: [Microsoft Restore] scrgrd.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [MSN Messenger] zjiaaqf.exe
O4 - HKLM\..\Run: [restrictanonymous]

O4 - HKLM\..\RunServices: [Microsoft Update] windows32.exe
O4 - HKLM\..\RunServices: [Microsoft Services] lsrv.exe
O4 - HKLM\..\RunServices: [Microsoft Restore] scrgrd.exe
O4 - HKLM\..\RunServices: [MSN Messenger] zjiaaqf.exe
O4 - HKLM\..\RunServices: [EnableDCOM] N
O4 - HKCU\..\Run: [Microsoft Update] windows32.exe
O4 - HKCU\..\Run: [Microsoft Services] lsrv.exe
O4 - HKCU\..\Run: [Microsoft Restore] scrgrd.exe
O4 - HKCU\..\Run: [MSN Messenger] zjiaaqf.exe
O4 - HKCU\..\RunServices: [MSN Messenger] zjiaaqf.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

Po zaznaczeniu wykonaj FIX CHECKED i OK.

Uruchom komputer ponownie w normalny sposób.

Znajdź i usuń pliki windows32.exe, lsrv.exe, scrgrd.exe, zjiaaqf.exe

W Panelu Sterowania => Opcje Internetowe => Tymczasowe pliki Internetowe Usuń
pliki(zaznacz całość off line) i Usuń pliki cooki.

Ściągnij ten wpis do rejestru
www.spywareinfo.com/downloads/tools/IEFIX.reg
Uruchom klikając,i zaakceptuj wpis.


Ściągnij najnowszy CwShedder 209.133.47.12/~merijn/files/CWShredder.exe
Zamknij wszystkie okna Internet Explorer'a uruchom CWShredder i Wykonaj FIX.

Z menu START wybierz Uruchom wpisz %TEMP% i kliknij OK.
W oknie które się pojwi skasuj wszystkie pliki które można skasować. Upewnij
się przed tym, że masz w Panelu Sterownia => Opcje folderów
=> zakładka Widok zaznaczone Pokaż ukryte pliki i foldery.

Zaktualizuj bazę wirusów w Avast i przeskanuj wszystkie dyski.

Przeskanuj system Ad-aware z opcjami opisanymi tu
ralphcaddell.com/pchelp/Ad-aware%20instructions.htm

ZAKTUALIZUJ SYSTEM W WINDOWS UPDATE www.windowsupdate.com

Mimo że niektóre rzeczy robiłas już wcześniej, zrób je koniecznie jeszcze
raz!!! Zrób wszystko w tej kolejności jak masz powyżej :-))

Napisz potem czy jest okej :)

[aniamulka]

A coś tam poważnego siedzi? Jak Wy to wszystko tak szybko rozszyfrowujecie? A
jakie pliki mam usuwać z %temp% - bo ie wiem, które można a które nie

Ania

[amj77]

aniamulka napisała:

> A coś tam poważnego siedzi? Jak Wy to wszystko tak szybko rozszyfrowujecie? A
> jakie pliki mam usuwać z %temp% - bo ie wiem, które można a które nie
>
> Ania

Tak, poważne, ale jak zrobisz, to co jest wyżej, to bedzie wszystko dobrze. I
jakie "Wy"??? Przecież jestem tu jedna ;)
W temp skasuj WSZYSTKO !!

[aniamulka]

Sorry za to Wy :O) Jedna, ale bardzo wytrwała. Trochę mi to wszystko idzie
powolnie, ale muszę sobie dać z tym wszystkim radę :)

Ania

[amj77]

aniamulka napisała:

> Sorry za to Wy :O) Jedna, ale bardzo wytrwała. Trochę mi to wszystko idzie
> powolnie, ale muszę sobie dać z tym wszystkim radę :)
>
> Ania


Dasz radę :-)

[aniamulka]

A istnieje taka możliwość, że podczas wykonywania tych operacji coś się stanie?
Nie chciałabym instalować całego systemu od początku. I co to za robaki u mnie
siedzą? Co one mogą zrobić, uszkodzić?

Ania

[amj77]

aniamulka napisała:

> A istnieje taka możliwość, że podczas wykonywania tych operacji coś się
stanie?
>
> Nie chciałabym instalować całego systemu od początku. I co to za robaki u
mnie
> siedzą? Co one mogą zrobić, uszkodzić?
>
> Ania


Jeśli zrobisz tak, jak jest napisane powyżej, to nic się nie stanie!!!

PS. Myślałam, że już dawno to wszystko zrobiłaś :-(

[aniamulka]

Niestety czasu nie było :) i musiałam wyłączyć komputer :)
Ania

[aniamulka]

Niestety nie wiem co jest grane, ale nie mogę uruchomic komputera w trybie
awaryjnym. Uruchamia się normalnie. I przyznaje, źe przed tymi wszystkimi
operacjami mam pietra :)))

Ania