--> Archiwum Forum
qsc [ Chor��y ]
Wirus, prosze o pomoc.
Na samym poczatku mowie ze wiem iz kiedys byl watek na podobny temat, ale za Chiny Ludowe nie moge sie dokopac.
Po uruchomieniu systemu zamiast tapety mam czarne tlo z nastepujacym komunikatem ==
Odpalam Ad-aware, aktualizuje, nie znajduje nic ciekawego.
Odpalam internetowego MKS-a, znalazl mi wirusa Trojan.Psw.Shnlg.A2 w plik p4381.tmp. Nieusuwalny. Reczna proba usuniecia pod trybem awaryjnym rowniez zakonczona porazka.
Zalaczam loga z HijackThis
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\shnlog.exe
C:\WINDOWS\System32\sstray.exe
D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\intmon.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\System32\Ati2evxx.exe
D:\Program Files\Alwil Software\Avast4\ashServ.exe
D:\Program Files\Kerio\Personal Firewall\persfw.exe
D:\Program Files\Alwil Software\Avast4\ashWebSv.exe
D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
D:\Program Files\Opera\Opera.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\stary\Pulpit\HijackThis.exe
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = aboutblank
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = httpwww.security2k.netsearch.phpqq=%1
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = httpwww.security2k.netbar.html
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = httpwww.security2k.netsearch.phpqq=%1
R1 - HKCUSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = httpwww.security2k.netsearch.phpqq=%1
R1 - HKCUSoftwareMicrosoftInternet ExplorerSearch,CustomizeSearch = httpwww.security2k.netsearch.phpqq=%1
R1 - HKCUSoftwareMicrosoftInternet ExplorerSearchURL,(Default) = httpwww.security2k.netsearch.phpqq=%1
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Local Page = httpwww.security2k.net
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Łącza
F2 - REGsystem.ini Shell=Explorer.exe, msmsgs.exe
O2 - BHO HP Class - ‹FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA› - CWINDOWSSystem32hp4381.tmp
O3 - Toolbar &Radio - ‹8E718888-423F-11D2-876E-00A0C9082467› - CWINDOWSSystem32msdxm.ocx
O4 - HKLM..Run [nForce Tray Options] sstray.exe r
O4 - HKLM..Run [avast!] DPROGRA~1ALWILS~1Avast4ashDisp.exe
O4 - HKLM..Run [ATIPTA] CProgram FilesATI TechnologiesATI Control Panelatiptaxx.exe
O4 - HKLM..Run [NeroFilterCheck] CWINDOWSsystem32NeroCheck.exe
O4 - HKLM..Run [RegSvr32] CWINDOWSSystem32msmsgs.exe
O9 - Extra button (no name) - ‹08B0E5C0-4FCB-11CF-AAA5-00401C608501› - CProgram FilesJavaj2re1.4.1_01binnpjpi141_01.dll
O9 - Extra 'Tools' menuitem Sun Java Console - ‹08B0E5C0-4FCB-11CF-AAA5-00401C608501› - CProgram FilesJavaj2re1.4.1_01binnpjpi141_01.dll
O12 - Plugin for .spop CProgram FilesInternet ExplorerPluginsNPDocBox.dll
O15 - Trusted Zone .searchmeup.com
O16 - DPF ‹E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7› (MainControl Class) - httpskaner.mks.com.plSkanerOnline.cab
O23 - Service avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - DProgram FilesAlwil SoftwareAvast4aswUpdSv.exe
O23 - Service Ati HotKey Poller - Unknown owner - CWINDOWSSystem32Ati2evxx.exe
O23 - Service ATI Smart - Unknown owner - CWINDOWSsystem32ati2sgag.exe
O23 - Service avast! Antivirus - Unknown owner - DProgram FilesAlwil SoftwareAvast4ashServ.exe
O23 - Service avast! Mail Scanner - Unknown owner - DProgram FilesAlwil SoftwareAvast4ashMaiSv.exe service (file missing)
O23 - Service avast! Web Scanner - Unknown owner - DProgram FilesAlwil SoftwareAvast4ashWebSv.exe service (file missing)
O23 - Service Kerio Personal Firewall (PersFw) - Kerio Technologies - DProgram FilesKerioPersonal Firewallpersfw.exe
To jak, ktos mi pomoze co mam zrobic by wszystko wrocilo do normy ? Boje sie ze jak sam zaczne grzebac, cos jeszcze bardziej popsuje.
Z gory dziekuje.
WoNti [ Pretorianin ]
Ja nie wiem o co chodzi :D
Ale :
Wgraj :
-Adaware se plus i zaktualizuj i przeskanuj kompa
-Reg cleaner i to samo
-Avasta masz to tez przeskanuj
Jak nie to :
-ktos inny ci pomoze
Romanujan [ Konstruktor Katapult ]
Gdzieś w panelu sterowania, w ustawieniach wyświetlania i Active Desktop jest opcja, dzięki której na pulpicie wyświetlana jest zawartość strony WWW - musisz ją znaleźć (ja Ci w tym na razie nie pomogę, bo nie mam pod ręką Windowsa) i wyłączyć. Często zdarza się, że program atywirusowy lub anty-adware usuwa trojana, ale takie resztki jak ta na Twoim pulpicie nadal pozostają.
Gonsiur [ Angel of Death ]
Wirus siedzi dalej to wiem na pewno :). Najlepiej byloby zrobic formata, a jesli nie chcesz to hmm. Wklej swojego loga z hjt na forum virus center (link ponizej) tam powinni ci pomoc, ja nie chce nic kombinowac bo jeszcze sie spsuje bardziej niz jest i bedziesz na mnie zly ;d.
https://forum.viruscenter.pl/
@$D@F [ Generaďż˝ ]
a mi sie wydaje ze to nie jest wirus, tylko bardzo upirdliwy program, po kliknieciu na "click here" otwiera sie pewnie strona z "antywirusem" za ktorego musisz zaplacic, w rzeczywistosci jest to program tylko do tego "wirusa" a ludzie na tym zarabiaja
Aceofbase [ El Mariachi ]
Taa, mialem dokladnie ten sam problem juz dwa razy, tez kombinowalem z Ad-Aware'em, antyvirami, z przywracaniem systemu, konsolami oczyszczania rejestru, w koncu na czuja wywalalem wszystkie podejrzane pliki z katalogow systemowych (a tryb awaryjny wogole mi sie nie uruchamial przez to badziewie). I tak wszystko na nic. Usunalem wiekszosc kat. sys. (zeby mi to bardziewie przypadkiem gdzies nie przetrwalo :/) i zrobilem reinstalke kompa (dwa razy ;)).
Jedyny, moim zdaniem, sposob na unikniecie tego na przyszlosc to:
1. Zainstalowac Opere,Firefox'a, Avanta czy jakas jeszcze inna alternatywe do IE
2. Unikac porno stronek ;D
Milka^_^ [ Baszar ]
Cofnij system. Ja miałem coś takiego i za żadne skarby nie chciało się usunąć Ad-awarem i innymi duperelami.
ES_Lechu [ Konsul ]
Ja polecam zrobic tak jak Ja... (po wielu takich przypadkach jak Ty miales,usowania z resjestru podejrzanych plikow z adresem tej strony itp. , udalo mi sie zuzyskac norm pulpit) ale to bez sensu, ja zawsze robie formatke po czyms takim (ostatnio robie sobie format raz na 1rok, potem uzywam programu PowerQuest Drive Image, i nim robie sobie "kopie zapasowa" ktora zapisuje na dysku ktory lezy w szufladzie, robie sobie kopie dysku C i D i gdy padnie C to kopiuje dokumenty na D i wgrywam C od nowa z wczesniej zrobionej kopii)...
pozdro
qsc [ Chor��y ]
Raport z placu boju:
Avast nie wykrywa nic groznego. Cofniecie systemu nie pomaga, formata wole nie robic, przynajmniej nie teraz. Stwierdzam, ze jest to ten program o ktorym mowi @$D@F.
Moze jednak ktos wie jak to wywalic ?
gen. płk H. Guderian [ Generaďż˝ ]
qsc ---> jeśli chodzi o ten plik *.tmp to spróbuj odpalić dosa a nie tryb awaryjny i w ten sposób wywalić. zakłądam że znasz komendy dosa :]
Gonsiur [ Angel of Death ]
C:\WINDOWS\System32\shnlog.exe
C:\WINDOWS\System32\intmon.exe
Usun te 2 pliki, jesli nie da rady to najpierw w menadzerze zadan zamknij procesy z nimi powiazane (powinny sie nazywac shnlog.exe i intmon.exe). Jesli dalej nie beda chcialy sie usunac to sprobuj w trybie awaryjnym lub programem killbox, czy tam kill box (juz nie pamietam ;D). Nastepnie Start-->Uruchom-->msconfig i w zakladce Uruchamianie odznacz te pliki oraz ewentualnie inne syfy jesli jakies beda.
Pliki *.tmp albo usuwaj spod dosa lub kill boxem
qsc [ Chor��y ]
Gonsiur, pliki usunalem, odnosnikow do nich w msconfig nie bylo, plik *.tmp w jakis dziwny sposob po prostu zniknal. Bez zmian oczywiscie :(
Gen. plk H. Guderian - ech, koment dosa nie znam, poza tym mam XP :)
gen. płk H. Guderian [ Generaďż˝ ]
qsc ---> zrób dyskietke startową. fromatując dyskietke i zaznaczając że ma ona być startowa. potem z niej odpal system. komendy to c: d: e: - tak zmieniasz dyski. dir - wykaz plików i katalogów. żeby wejść do katalogu piszesz np cd c:\windows czy inną ścieżke. kasujesz plik wchodząc do katalogu w którym jest i pisząc: del nazwa pliku.rozszeżenie
traton [ Pretorianin ]
Miałem to samo u mnie pomógł AD Avare SE Personal Build 1.05 i Spy Booth Search i Destroy 1.4. Używałem dwóch na raz więc nie wiem który pomógł. Oczywiście kilka restartów i kilkakrotne użycie programów.