Dodaj do ulubionych

c:windows\system32\winsys32.exe

05.08.07, 20:12
W systemie mam program trojan, raz pokazuje że jest on w:
c:WINDOWS\system32\winsys32.exe
innym razem w
c:WINDOWS\system32\netdiag.exe

Po usunięciu mks vir on line lub avast pojawia sie znowu. Odłącza połączenia z
niektórymi serwerami.

Proszę o pomoc..

oto logi z hijackthis
wklej.org/id/5b3a5675a2
Obserwuj wątek
    • Gość: Kolobos Re: c:windows\system32\winsys32.exe IP: *.escom.net.pl 05.08.07, 20:17
      Dlaczego tylko log z hijackthis, a gdzie jest log z combofix?

      Zamknij porty przy pomocy wwdc, w menadzerze zadan zakoncz:
      C:\WINDOWS\System32\winsys32.exe
      C:\WINDOWS\System32\Systinfo.exe

      W hijackthis usun:
      O4 - HKLM\..\Run: [Microsoft] winsys32.exe
      O4 - HKLM\..\Run: [Systinfo] Systinfo.exe
      O4 - HKLM\..\RunServices: [Microsoft] winsys32.exe
      O4 - HKLM\..\RunServices: [Systinfo] Systinfo.exe
      O4 - HKCU\..\Run: [Systinfo] Systinfo.exe

      Wspomniane pliki usun z dysku.
      Jak juz to zrobisz to daj nowy log z hijackthis + log z combofix.
    • p-b1 Re: c:windows\system32\winsys32.exe 05.08.07, 20:18
      a oto logi z combofix
      wklej.org/id/4f045dffc0
      • p-b1 Re: c:windows\system32\winsys32.exe 05.08.07, 20:33
        wklej.org/id/99721ee5e4
        • p-b1 Re: c:windows\system32\winsys32.exe 05.08.07, 20:39
          wklej.org/id/a4c56a8d1d
        • Gość: Kolobos Re: c:windows\system32\winsys32.exe IP: *.escom.net.pl 05.08.07, 20:40
          Mialas usunac te pliki:
          C:\WINDOWS\system32\Systinfo.exe
          C:\WINDOWS\system32\winsys32.exe

          Wklej do notatnika to:
          REGEDIT4

          [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
          "Microsoft"=-
          "Systinfo"=-

          [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
          "Systinfo"=-

          [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices]
          "Microsoft"=-
          "Systinfo"=-

          [HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
          "Systinfo"=-

          Zapisz jako fix.reg i uruchom.
          • p-b1 Re: c:windows\system32\winsys32.exe 05.08.07, 20:46
            ok, zrobilem to wszystko i prosze o sprawwdzenie logów
            hijackthis wklej.org/id/d52ea91e8a
            zaraz podam combofix
          • p-b1 Re: c:windows\system32\winsys32.exe 05.08.07, 20:51
            logi combofix
            wklej.org/id/91e4c3f588
            • Gość: Kolobos Re: c:windows\system32\winsys32.exe IP: *.escom.net.pl 05.08.07, 21:16
              Nowe logi nie sa potrzebne, a na przyszlosc pisz wszystko w jednym poscie.
              • p-b1 Re: c:windows\system32\winsys32.exe 05.08.07, 21:25
                oki, dzieki za pomoc, jakiego antywirusa uzywać żeby chronic sie przed takimi
                problemami?
                • Gość: Kolobos Re: c:windows\system32\winsys32.exe IP: *.escom.net.pl 05.08.07, 22:00
                  Z programow AntiVir PE, SuperAntiSpyware lub AVG AntiSpyware.
                  Ale programy nic Ci nie pomoga jak bedziesz sciagac trojany, trzeba korzystac z internetu z glowa. Nie uzywac IE, nie sciagac dziwnych plikow ze stron ktorych sie nie zna. Nie uruchamiac zalacznikow z trojanami itd.
                  • Gość: Kolobos Re: c:windows\system32\winsys32.exe IP: *.escom.net.pl 10.08.07, 13:46
                    Masz pisac tutaj zamiast zakladac nowy watek i zasmiecac!

                    Zakoncz:
                    C:\WINDOWS\System32\winsys32.exe

                    W hjt:
                    O4 - HKLM\..\Run: [Microsoft] winsys32.exe
                    O4 - HKLM\..\RunServices: [Microsoft] winsys32.exe

                    Plik usun.

                    Zreszta opis usuniecia jest w tym watku, wiec zupelnie nie rozumiem dlaczego zakladasz nowy zamiast samemu usunac?
                    • p-b1 Re: c:windows\system32\winsys32.exe 10.08.07, 14:05
                      Kolego nie wiem po co sie denerwujesz, nie wszyscy sa tak obcykani w te sprawy,
                      daj szanse nauczyc sie. A nie milej byloby napisac to w normalnym tonie a nie
                      tak. To tylko na marginesie.
                      OK, dzieki za pomoc.
                      • Gość: Kolobos Re: c:windows\system32\winsys32.exe IP: *.escom.net.pl 10.08.07, 14:36
                        > nie wszyscy sa tak obcykani w te sprawy, daj szanse nauczyc sie.

                        Nauczyc czytac? Przeciez wszystko zostalo juz napisane w poprzednim Twoim watku. Wykazujesz sie skrajnym lenistwem i ignorancja. Nie ma to nic wspolnego z wiedza dotyczaca komputerow, ktora nie jest w ogole potrzebna.

                        > A nie milej byloby napisac to w normalnym tonie a nie tak.

                        Nie stosujesz sie do zasad panujacych na forum (na kazdym forum!) i takie sa tego efekty.
                        • p-b1 Re: c:windows\system32\winsys32.exe 10.08.07, 21:01
                          > Nauczyc czytac?
                          > Wykazujesz sie skrajnym lenistwem i ignorancja.
                          Kolego trochę taktu i kultury !

                          Nie ma to nic wspolnego z wie
                          > dza dotyczaca komputerow, ktora nie jest w ogole potrzebna.
                          Chyba nie wiesz co piszesz!

                          > > A nie milej byloby napisac to w normalnym tonie a nie tak.
                          >
                          > Nie stosujesz sie do zasad panujacych na forum (na kazdym forum!) i takie sa te
                          > go efekty.
                          Nikt nie jest idealny- każdy popełnia błędy.Pouczyś czy zwrócić uwagę zawsze
                          mozna ale nie w tak ironiczny sposób.

                          Kolego!
                          To jest moja opinia co do formy przekazywania informacji.
                          Więc zastanów sie nad tym. Co do Twoich porad to są w 100% skuteczne,
                          no ale te ironiczne teksty...


    • p-b1 Re: c:windows\system32\winsys32.exe 14.09.07, 10:28
      znowu to samo
      oto loga
      wklej.org/id/cf4c5c320c
      wklej.org/id/8669ef6e8a
      • Gość: Kolobos Re: c:windows\system32\winsys32.exe IP: *.escom.net.pl 14.09.07, 16:29
        > znowu to samo

        Nie to samo, tym razem zainstalowales sobie wiecej trojanow..

        Zainstaluj SP2. Odinstaluj Avast, zainstaluj SuperAntiSpyware, Comodo Firewall oraz AntiVir PE do tego zamknij porty przy pomocy wwdc. Nie uzywaj Internet Explorera ani Outlooka, zamiast tego Opera/Firefox oraz Thunderbird. Odinstaluj bearshare i zainstaluj klienta bez spyware'u, np cos z tego:
        forum.gazeta.pl/forum/72,2.html?f=430&w=47053185&a=47056084
        W menadzerze jak zwykle zakoncz:
        C:\WINDOWS\System32\winsys32.exe

        W hijackthis usun:
        R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = search.bearshare.com/sidebar.html?src=ssb
        R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = search.bearshare.com/sidebar.html?src=ssb
        R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = search.bearshare.com/sidebar.html?src=ssb
        R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = google.bearshare.com/pl/
        R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
        R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = search.bearshare.com/sidebar.html?src=ssb
        R3 - URLSearchHook: (no name) - {1BB22D38-A411-4B13-A746-C2A4F4EC7344} - (no file)
        O2 - BHO: XBTP01621 - {F6104497-54FD-4688-9162-5115CC8AB0FB} - C:\PROGRA~1\BEARSH~1\BEARSH~2\MediaBar.dll
        O3 - Toolbar: BearShare MediaBar - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - C:\Program Files\BearShare applications\BearShare MediaBar\MediaBar.dll
        O4 - HKLM\..\Run: [Microsoft] winsys32.exe
        O4 - HKLM\..\Run: [ViewPoint] ViewpointService.exe
        O4 - HKLM\..\RunServices: [Microsoft] winsys32.exe
        O4 - HKLM\..\RunServices: [ViewPoint] ViewpointService.exe
        O4 - HKCU\..\Run: [ViewPoint] ViewpointService.exe

        Usluga do kasacji:
        O23 - Service: JavaIFX - Unknown owner - C:\WINDOWS\java\JavaIFX\services.exe

        Usuwasz o tak: Start->Uruchom i tam wpisujesz:
        sc stop JavaIFX
        sc delete JavaIFX

        Z dysku usuwasz:
        C:\DOCUME~1\Pawel\payload.dat
        C:\WINDOWS\system32\winsys32.exe
        C:\WINDOWS\system32\ViewpointService.exe
        oraz katalog javaifx:
        C:\WINDOWS\java\JavaIFX

        Po wszystkim daj nowe logi oraz log z SDFix zrobiony w trybie awaryjnym oraz log z Silent Runners (wszystko na wklej).
        • p-b1 Re: c:windows\system32\winsys32.exe 15.09.07, 18:22
          oto loga
          wklej.org/id/22ff78e0cf
          wklej.org/id/b9477f7735
          wklej.org/id/8d388a84bb
          wklej.org/id/c5ba197f68
          proszę o sprawdzenie
          • Gość: Kolobos Re: c:windows\system32\winsys32.exe IP: *.escom.net.pl 15.09.07, 19:35
            Zostala usluga do kasacji:
            O23 - Service: JavaIFX - Unknown owner - C:\WINDOWS\java\JavaIFX\services.exe (file missing)

            Start->Uruchom->cmd
            i tam:
            sc stop JavaIFX
            oraz:
            sc delete JavaIFX

            Reszta jest ok.
Inne wątki na temat:

Nie masz jeszcze konta? Zarejestruj się


Nakarm Pajacyka