Gość: Kasia IP: *.internetdsl.tpnet.pl 24.11.05, 14:41 Złapałam jakiegoś wirusa, którego nie mogę się pozbyć. Avast go wyłapuje, ale nie usuwa do końca. Wirus pojawia sie pod nazwą: Win32:Trojano-1728[TrJ] Doradźcie co zrobić. Z góry dziękuję Odpowiedz Link Zgłoś czytaj wygodnie posty
neder Re: Win32:Trojano-1728[TrJ] - jak się go pozbyć? 24.11.05, 14:45 co znaczy 'nie usuwa do końca'. spisz sobie jego lokalizację, i spróbuj usunąć ręcznie ale zanim to zrobisz (usuniesz) to napisz tu nazwę i ścieżkę tego pliku, żebyś czegoś ważnego nie wywalila. pzdr Odpowiedz Link Zgłoś
Gość: Kasia Re: Win32:Trojano-1728[TrJ] - jak się go pozbyć? IP: *.internetdsl.tpnet.pl 24.11.05, 14:55 Avast informuje, że lokalizacja jest na: C:\windows\inet20096\alg.exe Ale jak tego szukam to tego nie ma na C. I co z tym fantem zrobić? Usuwam go tylko w momencie jak mi Awast wyrzuca okno z informacją, że jest wirus (do wyboru: usuń do kosza, usuń na dobre,kwarantanna). I mimo wybrania opcji usuń na dobre po chwili znowu to samo, znowu ten wirus ;-(( Odpowiedz Link Zgłoś
sunrise79 Re: Win32:Trojano-1728[TrJ] - jak się go pozbyć? 24.11.05, 15:03 wklej loga z hjt www.mgregor.republika.pl/ Odpowiedz Link Zgłoś
Gość: m Re: Win32:Trojano-1728[TrJ] - jak się go pozbyć? IP: *.neoplus.adsl.tpnet.pl 24.11.05, 15:10 sunrise79 napisała: > wklej loga z hjt www.mgregor.republika.pl/ a sunrise79 wszystko pięknie Ci sprawdzi :) Odpowiedz Link Zgłoś
sunrise79 Re: Win32:Trojano-1728[TrJ] - jak się go pozbyć? 24.11.05, 15:24 poczekaj,poczekaj,jeszcze troche praktyki i sie zdziwisz ;-) (tak pewnie z 10 lat) ostatnio usunęłam sobie wpis 017 po czym było wielkie ups, ale na szczescie t-800 dopomógł radą I nie takie hjt straszne jak go malują a log i tak pewnie bedzie potrzebny pozdro :) Odpowiedz Link Zgłoś
Gość: m Re: Win32:Trojano-1728[TrJ] - jak się go pozbyć? IP: *.neoplus.adsl.tpnet.pl 24.11.05, 15:30 sunrise79 napisała: > poczekaj,poczekaj,jeszcze troche praktyki i sie zdziwisz ;-) > (tak pewnie z 10 lat) może już teraz jakieś małe korepetycje u Kolobosa? to następnego fachowca będzie miało forum wirusy :) > ostatnio usunęłam sobie wpis 017 po czym było wielkie ups, ale na szczescie > t-800 dopomógł radą heh, aż bałaś sie zapytać tutaj, bo wątek na forum komputer się pojawił o ile pamiętam :) > I nie takie hjt straszne jak go malują tak, swoją drogą gdyby nie stronka mgregora to pewnie Kolobos byłby tu bezrobotny. > a log i tak pewnie bedzie potrzebny zapewne, podobnie jak i zmiana przeglądarki na Opere :) pozdrawiam. Odpowiedz Link Zgłoś
sunrise79 Re: Win32:Trojano-1728[TrJ] - jak się go pozbyć? 24.11.05, 15:51 Gość portalu: m napisał(a): > może już teraz jakieś małe korepetycje u Kolobosa? to następnego fachowca > będzie miało forum wirusy :) powiedziałam,poczekaj,pracuje nad tym ;-) > > > ostatnio usunęłam sobie wpis 017 po czym było wielkie ups, ale na szczesc > ie > > t-800 dopomógł radą > > heh, aż bałaś sie zapytać tutaj, bo wątek na forum komputer się pojawił o ile > pamiętam :) Tak pojawił sie i nawet się w nim wypowiadałes :) I nie tyle bałam,co problem pt brak połączenia z serwerem bardziej pasował mi na FK lub FI niz na Wirusy > > > I nie takie hjt straszne jak go malują > > tak, swoją drogą gdyby nie stronka mgregora to pewnie Kolobos byłby tu > bezrobotny. Stronka mgregora + odpowiedni wątek w FAQ na FK + duzo czasu i cierpliwości. Ale mimo wszystko Kolobos jest tu jak najbardziej potrzebny > > > a log i tak pewnie bedzie potrzebny > > zapewne, podobnie jak i zmiana przeglądarki na Opere :) Typujemy dalej jaki procesy ma zamknąć w menedzerze,co wywalić w hjt i czym przeskanowac? > > pozdrawiam. ja tez raz jeszcze I koniec bo zaraz sie Kolobos wkurzy Odpowiedz Link Zgłoś
Gość: Kasia Re: Win32:Trojano-1728[TrJ] - jak się go pozbyć? IP: *.internetdsl.tpnet.pl 25.11.05, 12:13 Wklejam loga: Logfile of HijackThis v1.99.1 Scan saved at 12:09:37, on 05-11-25 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\RPCSS.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\INET20096\WINLOGON.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\INTERNAT.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHWEBSV.EXE C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHMAISV.EXE C:\PROGRAM FILES\GADU-GADU\GG.EXE C:\PROGRAM FILES\NETPANEL\NETPANEL.EXE C:\PROGRAM FILES\WINZIP\WZQKPICK.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\WINDOWS\SYSTEM\WINOA386.MOD C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\WINDOWS\PULPIT\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.gazeta.pl/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza F1 - win.ini: run=C:\WINDOWS\INET20096\WINLOGON.EXE O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 6.0 CE\READER\ACTIVEX\ACROIEHELPER.DLL O2 - BHO: IEHlprObj Class - {CE7C3CF0-4B15-11D1-ABED-709549C10000} - C:\PROGRAM FILES\NETPANEL\IEHELPER.DLL O2 - BHO: HBO Class - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - C:\WINDOWS\inet20096\3.00.11.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [internat.exe] internat.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe O4 - HKLM\..\Run: [NetPanel] "C:\Program Files\NetPanel\Starter.exe" /path="C:\Program Files\NetPanel" O4 - HKLM\..\Run: [avast! Web Scanner] C:\PROGRA~1\ALWILS~1\AVAST4\ASHWEBSV.EXE O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\AVAST4\ashmaisv.exe O4 - HKLM\..\Run: [xp_system] C:\WINDOWS\INET20096\WINLOGON.EXE O4 - HKLM\..\Run: [Microsoft standard protector] C:\WINDOWS\INET20096\SOCKS.EXE 20096 O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [avast!] C:\Program Files\Alwil Software\Avast4 \ashServ.exe O4 - HKCU\..\Run: [Gadu-Gadu] "C:\PROGRAM FILES\GADU-GADU\GG.EXE" /tray O4 - HKCU\..\Run: [xp_system] C:\WINDOWS\INET20096\WINLOGON.EXE O4 - Startup: Microsoft Office.lnk = C:\WINDOWS\Dane aplikacji\Microsoft\Installer\{00000415-78E1-11D2-B60F-006097C998E7}\misc.exe O4 - Startup: WinZip Quick Pick.lnk = C:\PROGRA~1\WINZIP\wzqkpick.exe O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b- 00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - skaner.mks.com.pl/SkanerOnline.cab O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - www2.incredimail.com/contents/setup/downloader/imloader.cab Odpowiedz Link Zgłoś
Gość: k Re: Win32:Trojano-1728[TrJ] - jak się go pozbyć? IP: *.warszawa.sdi.tpnet.pl 25.11.05, 12:21 alt+ctrl+del i zakoncz: C:\WINDOWS\INET20096\WINLOGON.EXE W hijackthis: F1 - win.ini: run=C:\WINDOWS\INET20096\WINLOGON.EXE O2 - BHO: HBO Class - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - C:\WINDOWS\inet20096\3.00.11.dll O4 - HKLM\..\Run: [xp_system] C:\WINDOWS\INET20096\WINLOGON.EXE O4 - HKLM\..\Run: [Microsoft standard protector] C:\WINDOWS\INET20096\SOCKS.EXE 20096 <- usun caly katalog inet20096 O4 - HKCU\..\Run: [xp_system] C:\WINDOWS\INET20096\WINLOGON.EXE O4 - Startup: Microsoft Office.lnk = C:\WINDOWS\Dane aplikacji\Microsoft\Installer\{00000415-78E1-11D2-B60F-006097C998E7}\misc.exe <- usun z autostartu (ale nie w hijackthis) O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b- 00aa003c157a} - C:\WINDOWS\web\related.htm I moze przeskanuj sobie system Ad-Aware oraz SpyBot S&D. Odpowiedz Link Zgłoś