namolny wiruch
skanowałam skanerem on–line mks_vir kompa chyba z kilkanaście razy i zakaźdym razem wyskakiwało, ze mam wirusa
C:\WINDOWS\system32\wuamkop32.exe(1).VIR
Trojan.Rbot.Gen.
gdy wyskoczyło takie okienko klikneła na opcje skasuj, ale zaraz po tym wyskoczyło to samo okienko ale z aktywnymi tylo przyciskami kontynuuj i przerwij skanowanie... w ostatniej fazie skanowania, co skaner on–line pokazuje ten taki wykaz było ze wirusa nie usunięto... i tak do znudzenia...
jak mam sie tego namola pozbyć ??
C:\WINDOWS\system32\wuamkop32.exe(1).VIR
Trojan.Rbot.Gen.
gdy wyskoczyło takie okienko klikneła na opcje skasuj, ale zaraz po tym wyskoczyło to samo okienko ale z aktywnymi tylo przyciskami kontynuuj i przerwij skanowanie... w ostatniej fazie skanowania, co skaner on–line pokazuje ten taki wykaz było ze wirusa nie usunięto... i tak do znudzenia...
jak mam sie tego namola pozbyć ??
Odpowiedzi: 11
Skoro wiesz gdzie plik jest to po prostu musisz go wywalić.
Zakańczasz proces, a plik do kosza posyłasz.
Tak robisz z kaźdym zaraźonym plikiem, który skaner wykryje.
Najlepiej skanuj w trybie awaryjnym i wtedy problemu z usunięciem pliku przez skaner nie powinno być.
Mozesz jeszcze ściągnąc jakies specjalne szczepionki–usuwacze do tego robala: http://www.f–secure.com/v–descs/rbot.shtml
Przykro mi ale inaczej jak w ten sposób to sobie nie poradzisz.
Zakańczasz proces, a plik do kosza posyłasz.
Tak robisz z kaźdym zaraźonym plikiem, który skaner wykryje.
Najlepiej skanuj w trybie awaryjnym i wtedy problemu z usunięciem pliku przez skaner nie powinno być.
Mozesz jeszcze ściągnąc jakies specjalne szczepionki–usuwacze do tego robala: http://www.f–secure.com/v–descs/rbot.shtml
Przykro mi ale inaczej jak w ten sposób to sobie nie poradzisz.
ehh ja juz nie wiem :cry: niby przeszeukałam coprawda przez wyszukaj tego wuamkop32.exe ale on chyba gdzies tam siedzi... w procesach jest, skaner on–line teź mi to wykrywał ... ehh :?
Moja propozycja jest taka.
1. Wyciepnij oczywiscie ten katalog z dysku i wyłącz przywracanie systemu.
2. Poszukaj na dysku plików o takich samych nazwach oraz odwołan w rejestrze.
3. Przeleć system antywirusem z aktualnymi bazami i jeśli nic wiekszego nie znajdzie to scanerami on–line
1. Wyciepnij oczywiscie ten katalog z dysku i wyłącz przywracanie systemu.
2. Poszukaj na dysku plików o takich samych nazwach oraz odwołan w rejestrze.
3. Przeleć system antywirusem z aktualnymi bazami i jeśli nic wiekszego nie znajdzie to scanerami on–line
hmm.. no i znowu problem, zrobiłam jak mówiłeś z tym Killboxem i pewnie mi to usuneło ..
dziśw chodze do folderu Mój Komputer na dysk C i patrze jakiś polder o nazwie !Submit, z racji ze go wcześnie go tam, nie było (chyba ze był tylko go niewidziałąm) no to ja otwieram go i patrzea a tam niespodzianka ... są te dwa pliki czy co to tam jest ... wuamkop32 i xpjava .. skąd sie one tam wzieły ?? czy ten folder teszmam usówać ??
dziśw chodze do folderu Mój Komputer na dysk C i patrze jakiś polder o nazwie !Submit, z racji ze go wcześnie go tam, nie było (chyba ze był tylko go niewidziałąm) no to ja otwieram go i patrzea a tam niespodzianka ... są te dwa pliki czy co to tam jest ... wuamkop32 i xpjava .. skąd sie one tam wzieły ?? czy ten folder teszmam usówać ??
dafnis:
...tego xpjava w system32 to tego czegoś tam niebyło ...
Pewnie było, ale to jeszcze trzeba nakazac systemowi pokazać pliki ukryte oraz czasem systemowe bo i pod takie podszywac się lubią.
Więcej informacji nawet z obrazkami w FAQ w tym dziale.
Jeśli mimo tego pliku nie dojrzysz to posłuź się Kilboxem.
Opis równiez w FAQ tyle, źe przy okazji usuwania czerwonej tapety.
nom powoli sie w tym łapie :)
e no właśnie a propos jeszcze tego xpjava w system32 to tego czegoś tam niebyło ...
e no właśnie a propos jeszcze tego xpjava w system32 to tego czegoś tam niebyło ...
F2 – REG:system.ini: UserInit=userinit.exe,xpjava.exe
Wiesz chyba co zrobić ?
Tak na marginesie – to teź częsć Rbot'a
oks thx wszystko sie udało :) dzięki , ale jeszcvze tak dla pewnoscio soprawdzicie loga ?? :) thx pozdro :*
Logfile of HijackThis v1.99.1
Scan saved at 16:20:18, on 2005–06–06
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\xpjava.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Winamp\Winampa.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
C:\Program Files\Anti–Trojan–55\ATWatch.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Gadu–Gadu\gg.exe
C:\Program Files\SAGEM\SAGEM F@st 800–840\DSLMON.exe
C:\Program Files\Wanadoo\EspaceWanadoo.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\Program Files\Wanadoo\Watch.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\cmd.exe
C:\Program Files\Winamp\Winamp.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Izus\Pulpit\HijackThis.exe
C:\WINDOWS\System32\wuauclt.exe
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada Plus wita Cie w Internecie
R0 – HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
F2 – REG:system.ini: UserInit=userinit.exe,xpjava.exe
O3 – Toolbar: &Radio – {8E718888–423F–11D2–876E–00A0C9082467} – C:\WINDOWS\System32\msdxm.ocx
O4 – HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 – HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 – HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 – HKLM\..\Run: [nwiz] nwiz.exe /install
O4 – HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 – HKLM\..\Run: [Resume copy] copyfstq.exe /startup
O4 – HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"
O4 – HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 – HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 – HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 – HKLM\..\Run: [Anti–Trojan–Watch] C:\Program Files\Anti–Trojan–55\ATWatch.exe
O4 – HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 – HKCU\..\Run: [Gadu–Gadu] "C:\Program Files\Gadu–Gadu\gg.exe" /tray
O4 – Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800–840\DSLMON.exe
O8 – Extra context menu item: E&ksport do programu Microsoft Excel – res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 – Extra button: Badanie – {92780B25–18CC–41C8–B9BE–3C9C571A8263} – C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 – DPF: {9A9307A0–7DA4–4DAF–B042–5009F29E09E1} (ActiveScan Installer Class) – http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 – DPF: {E7544C6C–CFD6–43EA–B4E9–360CEE20BDF7} (MainControl Class) – http://skaner.mks.com.pl/SkanerOnline.cab
O17 – HKLM\System\CCS\Services\Tcpip\..\{5CEE4170–721E–476A–BD64–B6087B47B320}: NameServer = 194.204.152.34 217.98.63.164
O17 – HKLM\System\CS1\Services\Tcpip\..\{5CEE4170–721E–476A–BD64–B6087B47B320}: NameServer = 194.204.152.34 217.98.63.164
O23 – Service: avast! iAVS4 Control Service (aswUpdSv) – Unknown owner – C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 – Service: avast! Antivirus – Unknown owner – C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 – Service: NVIDIA Display Driver Service (NVSvc) – NVIDIA Corporation – C:\WINDOWS\System32\nvsvc32.exe
Logfile of HijackThis v1.99.1
Scan saved at 16:20:18, on 2005–06–06
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\xpjava.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Winamp\Winampa.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
C:\Program Files\Anti–Trojan–55\ATWatch.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Gadu–Gadu\gg.exe
C:\Program Files\SAGEM\SAGEM F@st 800–840\DSLMON.exe
C:\Program Files\Wanadoo\EspaceWanadoo.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\Program Files\Wanadoo\Watch.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\cmd.exe
C:\Program Files\Winamp\Winamp.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Izus\Pulpit\HijackThis.exe
C:\WINDOWS\System32\wuauclt.exe
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada Plus wita Cie w Internecie
R0 – HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
F2 – REG:system.ini: UserInit=userinit.exe,xpjava.exe
O3 – Toolbar: &Radio – {8E718888–423F–11D2–876E–00A0C9082467} – C:\WINDOWS\System32\msdxm.ocx
O4 – HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 – HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 – HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 – HKLM\..\Run: [nwiz] nwiz.exe /install
O4 – HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 – HKLM\..\Run: [Resume copy] copyfstq.exe /startup
O4 – HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"
O4 – HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 – HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 – HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 – HKLM\..\Run: [Anti–Trojan–Watch] C:\Program Files\Anti–Trojan–55\ATWatch.exe
O4 – HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 – HKCU\..\Run: [Gadu–Gadu] "C:\Program Files\Gadu–Gadu\gg.exe" /tray
O4 – Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800–840\DSLMON.exe
O8 – Extra context menu item: E&ksport do programu Microsoft Excel – res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 – Extra button: Badanie – {92780B25–18CC–41C8–B9BE–3C9C571A8263} – C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 – DPF: {9A9307A0–7DA4–4DAF–B042–5009F29E09E1} (ActiveScan Installer Class) – http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 – DPF: {E7544C6C–CFD6–43EA–B4E9–360CEE20BDF7} (MainControl Class) – http://skaner.mks.com.pl/SkanerOnline.cab
O17 – HKLM\System\CCS\Services\Tcpip\..\{5CEE4170–721E–476A–BD64–B6087B47B320}: NameServer = 194.204.152.34 217.98.63.164
O17 – HKLM\System\CS1\Services\Tcpip\..\{5CEE4170–721E–476A–BD64–B6087B47B320}: NameServer = 194.204.152.34 217.98.63.164
O23 – Service: avast! iAVS4 Control Service (aswUpdSv) – Unknown owner – C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 – Service: avast! Antivirus – Unknown owner – C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 – Service: NVIDIA Display Driver Service (NVSvc) – NVIDIA Corporation – C:\WINDOWS\System32\nvsvc32.exe
Do awaryjnego dostaniesz się klepiąc podczas startu kompa w klawisz F8.
Z listy wybierasz tryb awaryjny, a w nim wyszukujesz wskazane pliki oraz odwołania do nich w innych miejscach rejestru niź te, które HijackThis wskazał w swoim logu.
Przeskanuj jeszcze antywirusem z aktualnymi sygnaturami.
Z listy wybierasz tryb awaryjny, a w nim wyszukujesz wskazane pliki oraz odwołania do nich w innych miejscach rejestru niź te, które HijackThis wskazał w swoim logu.
Przeskanuj jeszcze antywirusem z aktualnymi sygnaturami.
no właśnie chodzi o to, ze powywalałam to co Ad@$ pisał alenadal jest tak jak wyzej pisałam...
hmm a jak to zrobi,ć w tym awaryjnym, wyjaśni miktoś krok po kroczQ ??
hmm a jak to zrobi,ć w tym awaryjnym, wyjaśni miktoś krok po kroczQ ??
Ad@$ pisał w TYM temacie źeby robala przytępić ?
Czemu sie do jego wskazówek nie stosujesz ?
Skaner nie daje rady sam bo pewnie plik jest w uzyciu.
Wyłączasz proces i recznie plik kasujesz.
Nie w normalnym to w awaryjnym pójdzie.
Czemu sie do jego wskazówek nie stosujesz ?
Skaner nie daje rady sam bo pewnie plik jest w uzyciu.
Wyłączasz proces i recznie plik kasujesz.
Nie w normalnym to w awaryjnym pójdzie.
Strona 1 / 1