your computer is infected....

[magdajeden]

taki komunikat zacząl mi sie pojawiać na pasku, na dole po prawej stronie,
obok znaczka avasta, zaraz po tym jak avast znalazł robaka. robaka usunęłam,
kompa przeskanowałam przy rozruchu a ikonka (na czerwonym tle biały X) nadal
jest i wyświetla komunikat " your computer is infected! windows has detected
spyware infection! clik here to protect your computer from spyware! i
jeszcze coś tam o recomended, nieważne, bo nawet przy założeniu że jest to
komunikat windowsa - nic nie daje kliknięcie w to, można najwyżej zamknąć
chmurkę, która pojawia sie po chwili znowu.
nie mam żadnego dodatkowo zainstalowanego spyware.
po skanowaniu znalazł jednego wirusa w temporary I.F.
komp chodzi dziwnie wolno i nie otwierają sie niektóre strony.
powie mi ktoś co się dzieje? czy muszę wkleić loga?
bardzo pilnie prosze o pomoc.

[neder]

Znam takie forum gdzie polecasz korzystanie z wyszukiwarki ;P

Efekt:
forum.gazeta.pl/forum/72,2.html?f=430&w=33988702&a=33991222
loga też wklej bo możesz miec więcej śmieci.

pzdr

[magdajeden]

dobra, dobra ;)
już sobie poradziłam ;)
dzieki, masz rację ;)

[neder]

ale loga jeszcze wklej ;)

[magdajeden]

oki, wiesz jak to jest, jak nie ma już tzw armat, to może troszkę później ;)

na razie wszystko działa ;)

[magdajeden]

ostatnie pytanie (loga jeszcze nie mam) - skanowanie on line, kasperskym - jak
usunąć znalezione wirusy?
neder, pomóż, pliss, bez wskazywania na wyszukiwarkę ;) obiecuję, że przez 2
dni bede grzeczna na wnętrzach ;)

[neder]

Napisz w jakich folderach Ci znajduje. Najłatwiej chyba usunąć je poprostu
ręcznie. Albo jak masz zainstalowanego antywirusa to przeskanuj nim.



> obiecuję, że przez 2
> dni bede grzeczna na wnętrzach ;)

jestem juz w tym wieku, że w bajki nie wierzę ;P
;D

[magdajeden]

miałam takie:
c:windows/country.exe
c:windows/kl1.ex
c:windows/tool2.exe
C:\Documents and Settings\Magda\Ustawienia lokalne\Temporary Internet
Files\Content.IE5\0ZUB2TI1\loaderadv588[1].exe
C:\Documents and Settings\Magda\Ustawienia lokalne\Temporary Internet
Files\Content.IE5\0ZUB2TI1\sploitadv588[1].anr

usunęłam ręcznie tylko te konkretne, ale wyszukiwarka znajdywała mi do każdego
z nich jeszcze coś o prawie idenytcznej nazwie tylko z dłuższym rozszerzeniem -
tego bałam sie usunąć. może jednak trzeba było usunąć?

[neder]

ale wyszukiwarka znajdywała mi do każdego
> z nich jeszcze coś o prawie idenytcznej nazwie tylko z dłuższym rozszerzeniem

jak to z dłuższym rozszerzeniem? czyli jakim?

[magdajeden]

może sie zle wyraziłam, ale po usunięciu tego co opisałam powyzej zostało:
COUNTRY.EXE-1422585e.pf ... w katalogu C:windows/prefetch
kl1.exe-OA2F45F7.pf ..... w katalogu jak wyzej

no i analogicznie kolejne.
i co, wywalać?

[neder]

katalog prefetch

14. Skasowanie zawartości katalogu Prefetch (Windows XP Pro/Home)
W przeciwieństwie do wcześniejszych wersji, Windows XP ma dodatkowe miejsce,
gdzie zbierają się tymczasowe pliki wykorzystywane przez system. Jest to folder
WindowsPrefetch na partycji systemowej. Znajduje się tam dość obszerny zbiór
specjalnych tymczasowych plików o rozszerzeniu PF. Wykasowanie wszystkich plików
z tego katalogu może nawet poprawić wydajność systemu operacyjnego. W zależności
- od kilku do kilkudziesięciu megabajtów.

forum.infojama.pl/viewtopic.php?t=25228
możesz stamtąd wywalić wszystko.
pzdr

[magdajeden]

:)dzięki wielkie

proszę o sprawdzenie LOGA!!!

[magdajeden]

Logfile of HijackThis v1.99.1
Scan saved at 13:24:19, on 2006-02-10
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\PROGRA~1\NEOSTR~1\CnxMon.exe
C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\Winamp\winampa.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Neostrada TP\NeostradaTP.exe
C:\Program Files\Neostrada TP\ComComp.exe
C:\Program Files\Neostrada TP\Watch.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Magda\Pulpit\hijackthis\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
www.onet.pl/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada TP
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} -
C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL
F2 - REG:system.ini:
Shell=explorer.exe
"C:\Program Files\Common Files\Microsoft
Shared\Web Folders\ibm00001.exe"
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program
Files\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\NEOSTR~1\CnxMon.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program
Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06
\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Shell] "C:\Program Files\Common Files\Microsoft Shared\Web
Folders\ibm00001.exe"
O8 - Extra context menu item: E&ksport do programu Microsoft Excel -
res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-
00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: 50 FREE MP3s! - {686C970F-1D7D-4469-85D1-4B35763B56CC} -
www.emusic.com?fref=149133 (file missing)
O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -
C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) -
www.kaspersky.pl/resources/virusscanner/kavwebscan_unicode.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) -
www3.ca.com/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {BFA1F11D-3121-AFE1-4112-983219421AEF} (GameDesire 1Player Word
Games) - 67.15.101.3/g_bin/pl/wordssingle_2_0_0_36.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6E7C1AE3-5223-4AF7-B922-15AA89DF933D}:
NameServer = 194.204.152.34 217.98.63.164
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner -
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil
Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil
Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil
Software\Avast4\ashWebSv.exe" /service (file missing)

[kolobos]

forum.gazeta.pl/forum/72,2.html?f=34&w=15679891&a=15680440
ftp://download.hirekmedia.hu/ssfsetup1_0.exe <- zrob update przed skanowaniem,
po przeskanowaniu odinstaluj.
download.ewido.net/ewido-setup.exe <- zrob update przed skanowaniem, po
przeskanowaniu odinstaluj.
Zamknij porty w wwdc:
www.firewallleaktester.com/tools/wwdc.exe
W hijackthis:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada TP
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} -
C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL
F2 - REG:system.ini:
Shell=explorer.exe
"C:\Program Files\Common Files\Microsoft
Shared\Web Folders\ibm00001.exe"
O4 - HKCU\..\Run: [Shell] "C:\Program Files\Common Files\Microsoft Shared\Web
Folders\ibm00001.exe" <- usun plik
O9 - Extra button: 50 FREE MP3s! - {686C970F-1D7D-4469-85D1-4B35763B56CC} -
www.emusic.com?fref=149133 (file missing)

[magdajeden]

skanuję, ale zanim wkleję loga, proszę o odpowiedź na następujące pytania:
1. nie chcę wywalać tego programu związanego z neostradą - nie przeszkadza mi -
czy w logu, które "sprzątnełam" było coś związane z tym programem i może
utrudnic mi teraz jego działanie?
2. mam komputery w sieci domowej - po poprzednim "sprzątaniu" miałam problemy z
udostępnianiem połączenia z mojego kompa do drugiego - co zrobić, lub czego nie
robic, zeby uniknąc tego problemu?
3. mam straszną ilość "temporary int.f." - czy można je usunąć? jesli tak, to
proszę o info jak to sie robi, bo nie mogę tego namierzyć?

za czas jakiś wkleje loga ponownego.

log nr2 + pytanie

[magdajeden]

Logfile of HijackThis v1.99.1
Scan saved at 16:55:08, on 2006-02-10
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\PROGRA~1\NEOSTR~1\CnxMon.exe
C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\Winamp\winampa.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Neostrada TP\NeostradaTP.exe
C:\Program Files\Neostrada TP\ComComp.exe
C:\Program Files\Neostrada TP\Watch.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Magda\Pulpit\hijackthis\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
www.onet.pl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program
Files\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\NEOSTR~1\CnxMon.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program
Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06
\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O8 - Extra context menu item: E&ksport do programu Microsoft Excel -
res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-
00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -
C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) -
www.kaspersky.pl/resources/virusscanner/kavwebscan_unicode.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) -
www3.ca.com/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {BFA1F11D-3121-AFE1-4112-983219421AEF} (GameDesire 1Player Word
Games) - 67.15.101.3/g_bin/pl/wordssingle_2_0_0_36.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6E7C1AE3-5223-4AF7-B922-15AA89DF933D}:
NameServer = 194.204.152.34 217.98.63.164
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner -
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil
Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil
Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil
Software\Avast4\ashWebSv.exe" /service (file missing)




a propos tego co pisałeś wyżej "pozamykaj porty" - po pierwsze jak? bo w tym
programie to niekoniecznie jest jasne. a po drugie i ważniejsze - czy to nie
utrudni komunikacji między dwoma komputerami w sieci domowej??
(nie wiem co to są porty)
na wszelki wypadek jeszcze ich nie zamykałam.

[Gość: k]

Log wyglada ok.
Program od neo zostaw jak chcesz.
W wwdc.exe klikasz na przyciski przy otwartych portach, ale jak nie chcesz to
nie zamykaj.
W opcjach internetowych masz "Usun pliki..".

:)dziex /n/txt/

[magdajeden]