win32:Rootkit-gen - proszę o pomoc ...

[aniab28]

Avast wykrył mi w/w wirusa...bardzo prosze o pomoc ..
co to właściwie jest za wirus ???
jakie szkody może wyrządzić na komputerze ?? proszę mi napisac..
oto log mam nadzieję że właściwy..
wklej.org/id/26afb5f53c

[Gość: Kolobos]

W jakim pliku i gdzie sie ten plik znajduje?

Odinstaluj MyWebSearch, usun jego wpisy w hijackthis i usun katalog z dysku.

W hjt usun:
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: (no name) - {37B85A29-692B-4205-9CAD-2626E4993404} - (no file)
O3 - Toolbar: (no name) - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - (no file)
O4 - HKLM\..\Run: [My Web Search Bar Search Scope Monitor] "C:\PROGRA~1\MYWEBS~1\bar\1.bin\m3SrchMn.exe" /m=0
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe

Do tego uslugi do kasacji, wpisz w Uruchom:
sc stop CLTNetCnService
sc stop "Harmonogram automatycznej usługi LiveUpdate"
sc stop "LiveUpdate"
sc stop "LiveUpdate Notice Ex"
sc stop "LiveUpdate Notice Service"
sc stop MyWebSearchService
sc delete CLTNetCnService
sc delete "Harmonogram automatycznej usługi LiveUpdate"
sc delete "LiveUpdate"
sc delete "LiveUpdate Notice Ex"
sc delete "LiveUpdate Notice Service"
sc delete MyWebSearchService

Do tego usun pozostalosci po nortonie:
2008-05-31 12:45:42 0 d------

[aniab28]

cyt."Odinstaluj MyWebSearch, usun jego wpisy w hijackthis i usun katalog z dysku."
nie ma "My Web.." na liściue programów do odistalowania - a katalogu nie idzie
usunąc - pisze że musze miec uprawnienia - o jakie uprawnienia chodzi ???

[aniab28]

"2008-05-31 12:45:42 0 d------

[Gość: Kolobos]

Nie wiem, moze administratora.
W takim razie usun w hijackthis + usun katalog, w razie problemow uzyj do usuwania Unlocker'a.

[Gość: xy]

skrobnij do mnie na priv kaka15@wp.pl

[Gość: BURMa.]

Zainfekowany plik to svchost.exe może ???

[Gość: BURMa.]

Jeśli mieliście taki przypadek wczoraj wieczorem to baza avasta była wysypana i
program sugerował że to trojan. Baza dzisiaj została poprawiona. Też troch
nasiedziałem się nad tym wczoraj ale to tylko baza!!!

[Gość: Verb]

A mozesz objasnic jak przywrocic stabilnosc systemu? Odinstalowac Avasta i zrobic reinstalacje XP? Czy jakis inny sposob? Przenoszac svchost.exe do kwarantanny wysypuje sie caly system, lacznie z rejestrem i nic nie pomaga podmiana plikow z plyty instalacyjnej XP. Chcialbym przywrocic poprawne dzialanie systemu bez formatu, instalowania nowego XP poniewaz mam zbyt wiele programow potrzebnych do pracy, ktorych nie posiadam na plytach instalacyjnych :( Z gory dzieki za pomoc!!!

win32:Rootkit-gen - wywalił svchost kompletnie :(

[Gość: Tomek]

Gość portalu: Verb napisał(a):

> Przenoszac svchost.exe do kwarantanny
> wysypuje sie caly system, lacznie z rejestrem i nic nie pomaga podmiana pliko
> w z plyty instalacyjnej XP.

U mnie nie mógł przenieść do kwarantanny (komunikat "Program nie może użyć klienta kwarantanny; Serwer RPC jest niedostępny") więc je przemianował Potem program zażądał włożenia dysku instalacyjnego Win XP żeby ściągnąć z niego prawidłowy svchost.exe. Włożyłem, coś tam pościągał, ale komp nadal świruje, na wiele sposobów:

- po włączeniu lub zresetowaniu startuje o wiele dłużej
- przy starcie systemu nie włącza się antywirus ani firewall, antywirus można włączyć ręcznie ale nie na stałe (nie rezydentnie) tylko do przeskanowania dysku; a Zone Alarm w ogóle nie rusza
- można uruchomić antywirusa z menu Start ale nie można zajrzeć do jego kwarantanny (komunikat jak powyżej)
- nie można uruchomić 'Przywracania systemu', pokazuje się komunikat, że nie można uruchomić, trzeba zrestartować i dopiero uruchomić. Po restarcie to samo
- pasek programów na dole raz się pokazuje a raz nie; po zwinięciu jakiegoś programu do paska na dół nie pojawia się on na nim (w ogóle znika) mimo, że dalej jest uruchomiony

Nie mogę ściągnąć żadnego hijacka ani podobnych z internetu bo jak tu się łączyć bez antywirusa i firewalla, za to z potencjalnym wirusem np. gdzieś w rejestrze. Może przeczyszczenie rejestru CCleanerem pomoże? Bałem się spróbować.

Po pierwsze - co robić? Przynieść z pracy na dysku ten plik svchost i wgrać do windows\system32 ?

Po drugie: co w ogóle robi ten svchost, tzn. czy te awarie to przez jego brak (nawet przy 'czystym' kompie), czy nadal mam wirusa?

[Gość: Kolobos]

Napraw system z plyty instalacyjnej XP.

[Gość: Tomek]

Gość portalu: Kolobos napisał(a):

> Napraw system z plyty instalacyjnej XP.

Jak?! Próbowałem. Wyświetlił tylko, że nagrywarka CD nie jest zgodna z Win XP :(

[Gość: Kolobos]

Kto wyswietlil i co DOKLADNIE? Tu masz opis jak wykonac naprawe:
www.michaelstevenstech.com/XPrepairinstall.htm

[Gość: Tomek]

Gość portalu: Kolobos napisał(a):

> Kto wyswietlil i co DOKLADNIE?

Po włożeniu płyty wcisnąłem sprawdzenie systemu czy tak jakoś (nie pamiętam
dokładnie, bo było już koło północy a ja po ciężkim dniu). Komp porzęził,
porzęził i wyświetlił tylko to, co napisałem wyżej, czyli że program do
nagrywania płyt (Roxio) jest niezgodny z Win XP i mam go usunąć i ew.
zainstalować ponownie. I nic więcej.

> Tu masz opis jak wykonac naprawe:

Tylko jak wykonać najpierw kopie bezpieczeństwa danych, jak nie bardzo można
cokolwiek uruchomić :(

[Gość: Kolobos]

> Po włożeniu płyty wcisnąłem sprawdzenie systemu..

Jaki to ma zwiazek z naprawa systemu?

Zeby wykonac kopie wystarczy podlaczyc pendrive lub dysk i zgrac wazne dane.

"Nie znaleziono punktu wejścia procedury..."

[Gość: Tomek]

Gość portalu: Kolobos napisał(a):

> Tu masz opis jak wykonac naprawe:
> www.michaelstevenstech.com/XPrepairinstall.htm

Robiłem wszystko wg instrukcji z podanego wyżej adresu. Dane udało sie skopiować
na pendriva ręcznie tj. komendami DOS i Volkovem
Instalacja naprawcza szła bez problemu (sprawdzenie plików, kopiowanie plików
itp.) aż do wyświetlenia następującego komunikatu:
---
unregmp2.exe - nie znaleziono punktu wejścia

Nie znaleziono punktu wejścia procedury GetlUMS w bibliotece MSDART.DLL
---
I na tym wszystko stanęło, klikanie OK nic nie daje, innej opcji tam nie ma.
Można coś z tym zrobić?

[Gość: Kolobos]

support.microsoft.com/kb/889288/pl

[Gość: BURMa.]

Jedyne rozwiazanie to dopalenie systemu w trybie awaryjnym i odinstalowanie awasta i uruchomienie systemu normalnie i przegranie danych za pomocą programu total comammder lub jeszcze ostateczna wersja jak ktoś nie ma w systemie SP2 tylko SP1 to zainstalować 2.
System się uruchomi po odinstalowaniu avasta ale bedzię spowolniony ale instalacja pójdzie.Życze powodzenia

[wwwandal1]

forum.gazeta.pl/forum/72,2.html?f=430&w=80428031&wv.x=2&a=80459064