Zanim zadasz pytanie

[neder]

Jeśli masz problemy z trojanami, wirusami i nie wiesz jak się ich pozbyć, to w
swoim pierwszym poście oprócz opisu problemu wklej log z Hijack This. Opis
generowania loga:
www.mgregor.republika.pl
pzdr

jaki program antywirusowy?

[neder]

Nie ma sensu zadawać po raz kolejny tego samego pytania. No chyba, że uważasz,
że dyskusje w podanych niżej linkach nie rozjaśniły Ci nic w głowie i nadal masz
wątpliwości:)

forum.gazeta.pl/forum/72,2.html?f=430&w=27578590&a=27578590
forum.gazeta.pl/forum/72,2.html?f=430&w=28630031&a=28630031
forum.gazeta.pl/forum/72,2.html?f=430&w=31130110&a=31130110
dla słabszego komutera:
forum.gazeta.pl/forum/72,2.html?f=430&w=23978232&a=23978232

jaki firewall?

[neder]

Podobnie jak w sprawie programów antywirusowych pytanie zadawane było kilkakrotnie:
forum.gazeta.pl/forum/72,2.html?f=430&w=33988543&a=33988543
forum.gazeta.pl/forum/72,2.html?f=430&w=23978232&a=23978232

jak sprawdzić zamknięte firewallem porty - linki:
forum.gazeta.pl/forum/72,2.html?f=430&w=21246561&a=21250758

zamykanie portów wwdc

[neder]

Narzędzie do ściągnięcia tu:
www.firewallleaktester.com/tools/wwdc.exe

Jeśli nie wiesz jak używać tego narzędzia zerknij tu:
kamui.kenshiro.free.fr/wwdc.png

[kolobos]

W razie pojawienia sie zoltych tojkatow przy UPNP oraz Netbios, wystarczy
zrobic to co jest opisane tutaj:
forum.gazeta.pl/forum/72,2.html?f=430&w=34371808&a=34405470
W razie gdy udostepniamy np. drukarke w sieci lokalnej lub jakies foldery wtedy
nie zamykamy NetBIOS, jezeli to zrobimy udostepnianie przestanie dzialac.

Usuwanie look2me.

[kolobos]

Pare przydatnych programow usuwajacych look2me:

L2MRemover:
www.simplytech.it/L2MRemover/index_e.htm

Kill2me:
www.softpedia.com/get/Internet/Popup-Ad-Spyware-Blockers/Killme.shtml
Look2Me-Destroyer:
www.atribune.org/content/view/28/2/

W razie zepsutego linka wystarczy wpisac nazwe programu w google i sciagnac z
innej strony.

Podane programy powinny usunac look2me automatycznie (zapewne do czasu
pojawienia sie nowszej wersji ktorej nie usuna ;-)).

Menadzer zadan.

[kolobos]

Jak sie dostac do menadzera zadan:
- wystarczy nacisnac alt+ctrl+del i wybrac Menadzera zdadan
- lub kliknac prawym przyciskiem myszki na pasku start i wybrac Menadzer Zadan
- mozna tez wpisac w Start->Uruchom->taskmgr.exe

Jezeli podczas proby uruchomienia wyswietli sie taki komunikat:
"Menadżer zadań został wyłączony przez administratora"

Zapewne spowodowal to jakis trojan wiec najpierw trzeba go usunac, po jego
usunieciu wystarczy wkleic do notatnika to:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy
Objects\LocalUser\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"DisableTaskMgr"=-

Zapisac jako fix.reg i uruchomic, to powinno odblokowac menadzer.

[kolobos]

W razie problemow z menadzerzem systemowym, mozna uzyc Process Explorer'a od
Sysinternals:
www.sysinternals.com/Utilities/ProcessExplorer.html

Kill Box

[neder]

Ściągamy chociażby stąd:
www.bleepingcomputer.com/files/killbox.php
'Instrukcja obsługi' ;)
> uruchamiamy
> zaznaczamy opcję 'delete on reboot'
> w okienko wklejamy ścieżkę dostępu do pliku (dla niezorientowanych to np: >
C:\WINDOWS\System32\paytime.exe ;))
> po usunięciu każdego z plików, będzie się pojawiało pytanie o reset.
Resetujemy jednak dopiero po usunięciu wszystkich przewidzianych do usunięcia
plików.

Alternatywne przeglądarki

[barracuda7110]

firefox.pl/
kmeleon.sourceforge.net/
opera.com/

Service pack 2

[barracuda7110]

www.download.net.pl/161/Windows-XP-Service-Pack/

"to co zawsze poleca Kolobos"

[neder]

:D

Jeśli w odpowiedzi na prośbę o sprawdzenie loga pojawi się taki tekst oznacza to
nic innego, jak te 2 programy (przynajmniej na dzień dzisiejszy ;))

download.ewido.net/ewido-setup.exe
linorg.ciagri.usp.br/ftp/pub/windows/anti-spyware/ssfsetup1_0.exe
Przed skanowaniem należy uaktualnić bazy, po skanownaiu programy odinsalować (są
to wersje trial, na nic się nam po jakimś czasie zdadzą).

[neder]

Często zdarza się, że wraz z systemem uruchamiają się procesy, które są
całkowicie zbędne w autostarcie. Niepotrzebnie działają w tle, obciążając
system. Niewiele, ale to zawsze jakieś obciążenie. Listę procesów i ich opis
znajdziecie tu:
www.republika.pl/elektronikjk/r5.html
po angielsku (ale wydaje mi się, że czasami nieco jaśniej ;P) opisy można
znaleźć tu:
www.processlibrary.com/ -> w okienko wpisujemy nazwę procesu i patrzymy
czy jest nam potrzebny w autostarcie.


Najczęstsze tego typu wpisy to:

> O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
> O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program
Files\Java\jre1.5.0_06\bin\jusched.exe
> O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe"
-atboottime
> O4 - HKLM\..\Run: [RemoteControl] "C:\Program
Files\CyberLink\PowerDVD\PDVDServ.exe"
> O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
> O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common
Files\Real\Update_OB\realsched.exe" -osboot
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
Office\Office10\OSA.EXE

Jest ich jeszcze trochę, ale to te główne (według mnie oczywiście).

Wszystko wzięte z jednego loga. Ktoś pobija rekord ;)

[neder]

Linki powyżej są przydatne nie tylko do sprawdzania wpisów w autostarcie, ale w
ogóle procesów, które znajdują się w menedżerze zadań. Jeśli jakiś wydaje nam
się podejrzany, a na powyższych listach go nie ma to możliwe, ze jest to proces
wirusa, trojana itepe. Robimy wtedy 2 rzeczy:
1. wpisujemy nazwę procesu w google i sprawdzamy co tam o nim piszą
2. pytamy się na forum (choć odrobina samodzielności jest tu wskazana ;))

Przywracanie systemu.

[kolobos]

- jak wylączyć:

Klikamy prawym klawiszem myszki na Mój komputer -> z menu kontekstowego
wybieramy Właściwości (Lub Panel Strowania -> System) następnie przechodzimy do
zakładki Przywracanie systemu i zaznaczamy pozycję "Wyłącz Przywracane systemu
na wszystkich dyskach", wychodzimy klikajac OK, a na koniec resetujemy komputer.

Wyłączenie przywracania usunie wszystkie punkty przywracania, a co za tym idzie
ewentualne wirusy które sie w nich znajdują.

W Windows ME przywracanie można wyłaczyć tak:
Klikamy prawym klawiszem na Mój komputer -> z menu kontekstowego wybieramy
Właściwości -> Wydajność -> System plików... -> Rozwiązywanie problemów i tam
zaznaczamy "Wyłącz przywracanie systemu".

- jak właczyć
Należy postępować tak samo jak przy wylaczeniu z ta roznica, że
odznaczamy "Wyłącz Przywracane systemu na wszystkich dyskach"

Opis z obrazkami znajduje sie np. na stronie G-Data:
www.gdata.pl/pl/support/avk12_pyt6.html
Dla Win ME:
www.gdata.pl/pl/support/avk12_pyt7.html

Fałszywe programy anty, czyli czego nie instalować

[kolobos]

Spis fałszywych programow anty* czyli od czego trzymać sie zdaleka:
www.spywarewarrior.com/rogue_anti-spyware.htm
Warto przeczytać zanim zacznie się klikać i instalować smiecie :>

usuwanie aplikacji Neostrady

[neder]

Sama aplikacja nie jest do niczego potrzebna. Można się jej więc spokojnie
pozbyć tym bardziej, że czasami miesza ona w stronie startowej, Outlooku itepe.
Robimy to oczywiście poprzez dodaj/usuń programy. To co najważniejsze, czyli
sterowniki do modemu zostaną. Teraz wystarczy tylko ustanowić połączenie ręczne:


-> Dla XP:
> panel sterowania > połączenia sieciowe > nowe połączenie (ewentualnie Plik >
nowe połączenie), dalej tak jak na screenach:
img142.imageshack.us/img142/4403/neoxp9xp.jpg

-> dla Win 98:
shider.net/AutoConnect/nowe_polaczenie_98/index.html

Jeśli aplikacja neostrady nie jest jeszcze w ogóle zainstalowana, to wystarczą
tylko te instrukcje:
neostrada.info/instalacja.php -> czyli instalalacja sterowników modemu.
Dalej obowiązują instrukcje dotyczące połączenia ręcznego. Jeśli jest to
pierwsze połączenie z Internetem, to w celu rejestracji jako 'Nazwę użytkownika'
trzeba wpisać 'rejestracja@neostrada.pl' zaś 'Hasło' to 'rejestracja'.

skanery online:

[neder]

skanery online

[neder]

pl.trendmicro-europe.com/consumer/housecall/housecall_launch.php
www.pandasoftware.com/activescan/pol/activescan_principal.htm
www.windowsecurity.com/trojanscan/

[kolobos]

Jeszcze pare skanerow online:
www.spywareinfo.com/xscan.php
www.bitdefender.com/scan/licence.php
www.ravantivirus.com/scan/
www.pcpitstop.com/antivirus/default.asp

skaner plikow <a href="http://virusscan.jotti.org/" target="_blank

[kolobos]

Skanerem tym mozemy sprawdzic czy dany plik nie jest zarobaczony:
virusscan.jotti.org/

[nimeska]

i jeszcze, zapewne kilka sie powtórzy
wiec dla przypomnienia

Antyszpiegowskie skanery online

www.trendmicro.com/spyware-scan/
tiny.pl/w6ll *
www.pandasoftware.com/products/spyxposer/com/spyxposer_principal.htm *
www3.ca.com/securityadvisor/pestscan/ *
www.webroot.com/services/spyaudit_03.htm *
www.emsisoft.com/en/software/ax/

Antywirusowe skanery online

www.bitdefender.com/scan8/ie.html
mój faworyt – bo bardzo dobry, dziala powoli ale skutecznie i oferuje duże
możliwości. Skanuje sektor rozruchowy dysku, RAM, dyski twarde i wymienne,
indywidualne foldery i pliki włącznie z archiwami oraz pocztę.

www.kaspersky.com/service?chapter=161739400 *
housecall.trendmicro.com/
www.pandasoftware.com/products/activescan.htm
support.f-secure.com/enu/home/ols.shtml
arcaonline.arcabit.com/index_pl.html
www.mks.com.pl/skaner/
tiny.pl/w6l8
onecare.live.com/site/en-US/center/howsafe.htm?s_cid=mscom_msrt
us.mcafee.com/root/mfs/default.asp *
www.commandondemand.com/ *

* jedynie skanuja nie usuwaja

Skanery pojedynczych plików (ograniczenia rozmiarów):
Skanery oparte na wielu maszynkach:

www.virustotal.com/en/indexf.html (27 skanerów, max waga pliku 10MB)

virusscan.jotti.org/ (15 skanerów, max waga pliku 15MB)

podmiana strony startowej

[neder]

Programy, które powinny sobie poradzić z tym problemem:

CWShredder

SpybotSearch&Destroy

Ad-aware

SpSeHjfix


Zabezpieczenie przed fałszywą stroną startową:
forum.gazeta.pl/forum/72,2.html?f=430&w=14530041&a=14530242

+ pare przydatnych programow anty

[kolobos]

www.safer-networking.org/pl/mirrors/index.html <- SpyBot S&D
www.javacoolsoftware.com/spywareblaster.html <- SpywareBlaster
Po instalacji obu nalezy wlaczyc w opcjach ochrone przegladarki.

www.wilderssecurity.net/spywareguard.html <- SpywareGuard

Windows Defender (angielska wersja beta):
www.microsoft.com/athome/security/spyware/software/default.mspx

Ewido.

[kolobos]

download.ewido.net/ewido-setup.exe

[Gość: Kolobos]

Skaner ewido w wersji mikro:
download.ewido.net/ewido_micro.exe
Skanuje i usuwa bez zbednych wodotryskow.

Usługa posłaniec

[neder]

Pozostaje się już tylko łudzić, że nikt więcej NIGDY o to nie spyta...
forum.gazeta.pl/forum/72,2.html?f=430&w=29968894&a=29968894

[barracuda7110]

Za pomocą tego narzędzia można wyłączyć sporo zbędnych funkcji w xp (m.in.
posłańca):
www.xp-antispy.org/

Silent Runners

[kolobos]

Jak uzywac Slient Runners:
- sciagamy na dysk (najlepiej na pulpit):
www.silentrunners.org/Silent%20Runners.vbs
- uruchamiamy Silent Runners.vbs , czekamy az program zakonczy dzialanie i
wygerneruje plik z log'iem, a nastepnie wklejamy zawartosc na forum tak jak
logi z hjt.

W razie pojawienia sie problemow z uruchomieniem sprawdzamy czy host skryptow
jest wlaczony, mozna to zrobic tym programem:
www.symantec.com/avcenter/noscript.exe

Pliki exe nie uruchamiaja sie.

[kolobos]

exefix powinien naprawic wszystkie bledne wpisy w rejestrze dotyczace plikow
exe.
Wersja pod XP/W2k
www.kellys-korner-xp.com/regs_edits/exefix.reg
(sciagamy na dyski i uruchamiamy plik)

Wersja pod 9x:
Wklejamy do notatnika (zmieniamy rozszerzenie notepad.exe na notepad.com wtedy
sie uruchomi):

REGEDIT4

[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"

Zapisujemy jako fix.reg i uruchamiamy.

Najczesciej uszkodzenie jest spowodowane jakims robakiem wiec najlepiej
wczesniej go usunac ;-)

Usuwanie uslug w XP/W2k.

[kolobos]

Przykladowe uslugi do kasacji:
O23 - Service: Windows Logon Process Service (MSWinLogonProcService) -
Unknown owner - C:\WINDOWS\winlogon.exe" -service (file missing)

O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network
Monitor\netmon.exe

W XP uslugi mozna usunac np. tak:
Najpierw zatrzymujemy usluge o tak:
Start->Uruchom->sc stop MSWinLogonProcService

Nazwa w nawiasie to nazwa uslugi, ktora nalezy wpisac podczas
zatrzymywania/usuwania, jezeli usluga nie posiada takiej nazwy to nalezy wpisac
dluga nazwe np: sc stop "Network Monitor".

Po zatrzymaniu uslugi nalezy ja usunac:
Start->Uruchom->sc delete MSWinLogonProcService

W skrocie usuwanie obu uslug sprowadza sie do:
Start->Uruchom i tam wpisujemy po jednym:
sc stop "Network Monitor"
sc stop MSWinLogonProcService
sc delete "Network Monitor"
sc delete MSWinLogonProcService

Uslugi mozna usunac takze przy pomocy hijackthis:
Hijackthis -> Open Misc Tools -> Delete Nt Service i tam wpisujemy nazwe uslugi
do kasacji, oczywiscie wczesniej trzeba ja zatrzymac w Start->Uruchom-
>services.msc
Warto sprawdzic pare razy czy to napewno usluga o ktora nam chodzi, w przypadku
usniecia zlej mozna spowodowac uszkodzenie systemu! Najlepiej nic nie kasowac
bez wczesniejszej konsultacji na forum!

Pokazywanie ukrytych plików i filderów,

[neder]

-> Windows 98
Mój Komputer > Narzędzia > Opcje Folderów > stawiamy ptaszka przy 'Pokaż
wszystkie pliki'


-> Windows > 98
Mój Komputer > Narzędzia > Opcje Folderów > Widok > ptaszek przy ' Pokaż ukryte
pliki i foldery' i brak ptaszka 'Ukryj chronione pliki systemu operacyjnego'

LSP-Fix -> usuwanie WebHancera i New.Net

[neder]

Wygląd w logu:
O10 - Hijacked Internet access by WebHancer
O10 - Hijacked Internet access by New.Net

LSP-Fix ściągamy stąd.

W okienku po lewej zawsze będą trzy pliki:
> mswsock.dll
> winrnr.dll
> rsvpsp.dll
img84.imageshack.us/img84/990/lspfix1gh.jpg
Za nic ich nie ruszać! Mają tam być i tyle.

> Zaznaczamy opcję 'I know what I'm doing'
> W oknie 'Keep' zaznaczamy tylko i wyłacznie szkodliwe pliki -> nie usuwaj nic
jeśli nie jesteś pewien bez konsulatcji na forum.
> strzałkami (>>) przenosimy plik z okna 'Keep' do 'Remove'
> Klikamy Finish


--
Advanced Body Movin'

Darmowe antywirusy:

[barracuda7110]

free-av.com/
avast.com/