co to za wirus i jak sobie dac z nim rade?

17.05.05, 17:22
Dzis wykrylam w kompie dziwnego wirusa. Osobiscie podejrzrewam ze to Cool Web
search ale nie jestem pewna. Zczelo sie od tego ze podmienilo mi strone
glowna i podczas odpalania przegladarki otwieralo kilka okienek z reklamami.
Po jakichs 2 minutach przegladarka sama sie zamykala. dodatkowo mamy atrakcje
w postaci paska wuszukiwania umiejscowionego kolo systray'a. CWShredder
znalalzl 2 sztuki tych zamieniaczy stron lownych i je usunal. Udalo sie
ustawic nasza strone glowna a nawet odpalic antywira. wir znalazl 2 trojany i
jakis adaware, ale nie sprawdza do konca bo cos go wylacza.
Co radzicie?
    • neder Re: co to za wirus i jak sobie dac z nim rade? 17.05.05, 17:27
      najpierw przeskanuj CWShrederem, potem wklej loig z HJ
      www.mgregor.republika.pl
      • neder Re: co to za wirus i jak sobie dac z nim rade? 17.05.05, 17:29
        CWShredder
        www.idg.pl/ftp/pc_3671/CWShredder%201.58.html
        • labeg Re: co to za wirus i jak sobie dac z nim rade? 17.05.05, 17:52
          Logfile of HijackThis v1.99.1
          Scan saved at 17:44:58, on 2005-05-17
          Platform: Windows XP (WinNT 5.01.2600)
          MSIE: Internet Explorer v6.00 (6.00.2600.0000)

          Running processes:
          C:\WINDOWS\System32\smss.exe
          C:\WINDOWS\system32\csrss.exe
          C:\WINDOWS\system32\services.exe
          C:\WINDOWS\system32\lsass.exe
          C:\WINDOWS\system32\svchost.exe
          C:\WINDOWS\System32\svchost.exe
          C:\WINDOWS\System32\svchost.exe
          C:\WINDOWS\System32\svchost.exe
          C:\WINDOWS\system32\spoolsv.exe
          C:\WINDOWS\System32\svchost.exe
          D:\Robert\Mp3\Winamp\winampa.exe
          C:\WINDOWS\isrvs\desktop.exe
          C:\WINDOWS\System32\Services\{CE7F8171-C57A-477C-B955-0C0C114F2E08}\SVCHOST.EXE
          C:\Program Files\Messenger\msmsgs.exe
          C:\Documents and Settings\Robert\Dane aplikacji\ocob.exe
          c:\windows\system32\vcpeoun.exe
          C:\Documents and Settings\Robert\Pulpit\HijackThis.exe

          R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
          81.222.131.49/index.php
          R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
          www.onet.pl/
          R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
          81.222.131.49/index.php
          R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
          81.222.131.49/index.php
          R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
          81.222.131.49/index.php
          R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
          81.222.131.49/index.php
          R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
          R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no
          file)
          O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
          C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
          O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program
          Files\Spybot - Search & Destroy\SDHelper.dll
          O2 - BHO: IE Update Class - {5B4AB8E2-6DC5-477A-B637-BF3C1A2E5993} -
          C:\WINDOWS\isrvs\sysupd.dll
          O2 - BHO: (no name) - {A0269420-A638-4509-889C-8FC3CC85DA7E} -
          C:\WINDOWS\drexinit.dll
          O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
          C:\WINDOWS\System32\msdxm.ocx
          O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
          O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
          O4 - HKLM\..\Run: [WinampAgent] D:\Robert\Mp3\Winamp\winampa.exe
          O4 - HKLM\..\Run: [Desktop Search] C:\WINDOWS\isrvs\desktop.exe
          O4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exe
          O4 - HKLM\..\Run: [Service Host] C:\WINDOWS\System32\Services\{CE7F8171-C57A-
          477C-B955-0C0C114F2E08}\SVCHOST.EXE
          O4 - HKLM\..\Run: [wymtoz] c:\windows\system32\vcpeoun.exe
          O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02
          \bin\jusched.exe
          O4 - HKLM\..\Run: [qjkhxfd] c:\windows\system32\golwyhc.exe
          O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe
          O4 - HKLM\..\Run: [53FX32S] txf3msp.exe
          O4 - HKLM\..\Run: [Disk Keeper] C:\WINDOWS\System32\Services\{CE7F8171-C57A-
          477C-B955-0C0C114F2E08}\SECURITY.EXE
          O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
          O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
          O4 - HKCU\..\Run: [Onem] C:\Documents and Settings\Robert\Dane
          aplikacji\ocob.exe
          O4 - HKCU\..\Run: [System] C:\WINDOWS\svchost.exe
          O4 - HKCU\..\Run: [K0w7RSe8j] tsakpart.exe
          O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
          O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common
          Files\Adobe\Calibration\Adobe Gamma Loader.exe
          O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
          Office\Office\OSA9.EXE
          O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
          C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
          O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-
          00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
          O15 - Trusted Zone: *.skoobidoo.com
          O15 - Trusted Zone: *.slotchbar.com
          O15 - Trusted Zone: *.windupdates.com
          O15 - Trusted Zone: *.skoobidoo.com (HKLM)
          O15 - Trusted Zone: *.slotchbar.com (HKLM)
          O15 - Trusted Zone: *.windupdates.com (HKLM)
          O15 - Trusted IP range: 81.222.131.59
          O15 - Trusted IP range: 81.222.131.59 (HKLM)
          O16 - DPF: {92ECE6FA-AC2E-4042-BFAE-0C8608E52A43} (SignActivX Control) -
          www.bph.pl/pi/components/SignActivX.cab
          O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -
          www.pandasoftware.com/activescan/as5/asinst.cab
          O16 - DPF: {A9ED6AA2-D9D4-4D71-9586-E293E2E3580B} (GameDesire
          Marbies&Diamonds) - 67.15.101.3/g_bin/pl/marbles_2_0_0_21.cab
          O16 - DPF: {BFA1F11D-3121-AFE1-4112-894323212DAC} (GameDesire Word Games) -
          67.15.101.3/g_bin/pl/words_2_0_0_36.cab
          O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
          skaner.mks.com.pl/SkanerOnline.cab
          O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C1} (GameDesire Pool 8) -
          67.15.101.3/g_bin/pl/billard8_2_0_0_22.cab
          O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} -
          C:\WINDOWS\isrvs\mfiltis.dll
          O20 - Winlogon Notify: drct16 - C:\WINDOWS\SYSTEM32\drct16.dll
          O23 - Service: System Startup Service (SvcProc) - Unknown owner -
          C:\WINDOWS\svcproc.exe
          O23 - Service: ZESOFT - Unknown owner - C:\WINDOWS\zeta.exe (file missing)

          • Gość: Kolobos Re: co to za wirus i jak sobie dac z nim rade? IP: *.warszawa.sdi.tpnet.pl 17.05.05, 18:03
            Tutaj masz opisy usuniecia tego co zwykle:
            iSearch "Desktop Search":
            www.searchengines.pl/phpbb203/index.php?
            showtopic=12510&st=0&p=109496&#entry135478
            oraz Backdoor.Haxdoor
            www.searchengines.pl/phpbb203/index.php?showtopic=12510&st=0&p=109496&#entry132561

            Jak juz to zrobisz to w hijackthis zaznaczasz te wpisy:

            R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
            81.222.131.49/index.php
            R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
            81.222.131.49/index.php
            R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
            81.222.131.49/index.php
            R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
            81.222.131.49/index.php
            R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
            81.222.131.49/index.php
            R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no
            file)
            O2 - BHO: IE Update Class - {5B4AB8E2-6DC5-477A-B637-BF3C1A2E5993} -
            C:\WINDOWS\isrvs\sysupd.dll
            O2 - BHO: (no name) - {A0269420-A638-4509-889C-8FC3CC85DA7E} -
            C:\WINDOWS\drexinit.dll
            O4 - HKLM\..\Run: [Desktop Search] C:\WINDOWS\isrvs\desktop.exe
            O4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exe
            O4 - HKLM\..\Run: [Service Host] C:\WINDOWS\System32\Services\{CE7F8171-C57A-
            477C-B955-0C0C114F2E08}\SVCHOST.EXE
            O4 - HKLM\..\Run: [wymtoz] c:\windows\system32\vcpeoun.exe
            O4 - HKLM\..\Run: [qjkhxfd] c:\windows\system32\golwyhc.exe
            O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe
            O4 - HKLM\..\Run: [53FX32S] txf3msp.exe
            O4 - HKLM\..\Run: [Disk Keeper] C:\WINDOWS\System32\Services\{CE7F8171-C57A-
            477C-B955-0C0C114F2E08}\SECURITY.EXE
            O4 - HKCU\..\Run: [Onem] C:\Documents and Settings\Robert\Dane
            aplikacji\ocob.exe
            O4 - HKCU\..\Run: [System] C:\WINDOWS\svchost.exe
            O4 - HKCU\..\Run: [K0w7RSe8j] tsakpart.exe
            O15 - Trusted Zone: *.skoobidoo.com
            O15 - Trusted Zone: *.slotchbar.com
            O15 - Trusted Zone: *.windupdates.com
            O15 - Trusted Zone: *.skoobidoo.com (HKLM)
            O15 - Trusted Zone: *.slotchbar.com (HKLM)
            O15 - Trusted Zone: *.windupdates.com (HKLM)
            O15 - Trusted IP range: 81.222.131.59
            O15 - Trusted IP range: 81.222.131.59 (HKLM)
            O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} -
            C:\WINDOWS\isrvs\mfiltis.dll
            O20 - Winlogon Notify: drct16 - C:\WINDOWS\SYSTEM32\drct16.dll
            O23 - Service: System Startup Service (SvcProc) - Unknown owner -
            C:\WINDOWS\svcproc.exe
            O23 - Service: ZESOFT - Unknown owner - C:\WINDOWS\zeta.exe (file missing)

            I Fix Checked, nastepnie sciagasz:
            www.downloads.subratam.org/KillBox.zip
            Rozpakuj, zaznacz Delete file on reboot wklej sciezke do pliku (sam/a nie
            szukaj tylko wklejaj gotowa) i naciskaj czerwony przycisk ale na pytanie o
            reset odpowiadaj nie i tak zrob z tymi plikami:

            C:\WINDOWS\svcproc.exe
            C:\WINDOWS\SYSTEM32\drct16.dll
            C:\WINDOWS\isrvs\mfiltis.dll
            C:\WINDOWS\System32\Services\{CE7F8171-C57A-
            477C-B955-0C0C114F2E08}\SECURITY.EXE
            C:\Documents and Settings\Robert\Dane aplikacji\ocob.exe
            C:\WINDOWS\svchost.exe
            tsakpart.exe <- powinno byc gdzies w system32 jak reszta
            C:\WINDOWS\isrvs\sysupd.dll
            po wszystkim kasujesz caly katalog isrvs co zreszta masz napisane w opisie na
            gorze.
            C:\WINDOWS\drexinit.dll
            C:\WINDOWS\isrvs\desktop.exe
            C:\WINDOWS\isrvs\ffisearch.exe
            C:\WINDOWS\System32\Services\{CE7F8171-C57A-
            477C-B955-0C0C114F2E08}\SVCHOST.EXE
            c:\windows\system32\vcpeoun.exe
            c:\windows\system32\golwyhc.exe
            C:\WINDOWS\System32\paytime.exe
            txf3msp.exe

            Do tego odwiedz:
            www.windowsupdate.com
            www.java.com

            Zainstaluj:

            download.microsoft.com/download/ie6sp1/finrel/6_sp1/W98NT42KMeXP/PL/ie6setup.exe
            www.safer-networking.org/pl/mirrors/index.html <- SpyBot S&D ->
            przeskanuj i wlacz ochrone przegladarki
            www.javacoolsoftware.com/spywareblaster.html <- SpywareBlaster -> wlacz
            ochrone przegladarki
            www.wilderssecurity.net/spywareguard.html <- SpywareGuard

            Na koniec wklej nowy log z hijackthis.

            • labeg Re: co to za wirus i jak sobie dac z nim rade? 17.05.05, 19:56
              Kolobos, dzieki za wskazowki - z checia poczytalabym forum, o ktorym piszesz
              ale ciagle nie chce mnie polaczyc ze wskazanym przez ciebie tematem. Co za
              okropny wirus sie przyplatal! Probuje cokolwiek wyszukiwac np. na google i
              otwiera mi sie strona z wynikami www.clicksearchclick.com
              Poza tym antywir wykryl Trojany : Nail.A1, Adware.Isearch, Delprot.A,
              Dowlnloader.Ieser.A i Agent. Cp.
              Hijacka troche poczyscilam ale wraca badziewie!
              • Gość: Kolobos Re: co to za wirus i jak sobie dac z nim rade? IP: *.warszawa.sdi.tpnet.pl 17.05.05, 20:07
                Zrob wszystko co napisalem, oczywiscie wszystko rob w trybie awaryjnym (F5 lub
                F8 przy starcie systemu).
                • labeg Re: co to za wirus i jak sobie dac z nim rade? 18.05.05, 11:05
                  Dzien 2 walki :)
                  W trybie awaryjnym nie mozna zaznaczyc pol w hijackthis bo myszka nie dziala.
                  Co robic?
                  • Gość: Kolobos Re: co to za wirus i jak sobie dac z nim rade? IP: *.warszawa.sdi.tpnet.pl 18.05.05, 11:44
                    Uzyc klawiatury?
                    TAB wybierasz co chcesz zaznaczyc/uruchomic
                    Spacja zaznaczasz
                    Enterem zatwierdzasz i tyle.

                    Ale i tak musisz skasowac jeszcze pliki, to tez mozesz zrobic przy uzyciu
                    klawiatury tak samo jak wczesniej.
Pełna wersja