Trojan Byte.Verify
Jak pozbyć się trojana Byte.Verify ????? tylko nie odsyłajcie mnie na tą angielską strone symateca, bo i tak nic z tego nie wiem
Odpowiedzi: 15
Wyglada na czysty. Tak wiec jesli juz zrobilas to co wyzej i nic sie nie dzieje, to mozna sadzic ze jest OK.
Przeskanuj jeszcze tym HiJackiem, porownaj wpisy z tymi ktore mialas usunac i ewentualnie usun niepotrzebne.
Przeskanuj jeszcze tym HiJackiem, porownaj wpisy z tymi ktore mialas usunac i ewentualnie usun niepotrzebne.
i oto on :D
Zapisz go jako .jpg bo pliki .bmp sa zablokowane na forum.
"zrobiłam to" z tym obrazkiem i mam go zapisanego na kompie ale jak chce wysłać to pisze źe rozszerzenie tego pliku bmp jest niedozwolone
"zrobiłam to" z tym obrazkiem i mam go zapisanego na kompie ale jak chce wysłać to pisze źe rozszerzenie tego pliku bmp jest niedozwolone
Naprawde nie ma uruchomionego takiego procesu ?Ania:
nie moge znaleźć takiego procesu jak "user32.exe", nie ma takiego
Zrobmy tak – zarejestruj sie (to nic nie kosztuje), uruchom Task managera wciskajac klawisze Ctrl+Alt+Del, przejdz do zakladki Procesy, rozciagnij w dol aby bylo widac wszystkie, nacisnij klawisze Alt+PrtSc, otworz Painta (z Programy –>Akcesoria), nacisnij Ctrl+V i w momencie gdy pojawi sie obrazek daj Zapisz jako. Ten zapisany obrazek bedziesz mogla dolaczyc do kolejnego posta.
No a "log", to to cos, co pokazuje HiJack po przeskanowaniu komputera a moze zapisac w pliku tekstowym (chyba). Zrob to samo co zrobilas w poscie wyzej – daj co Ci znow "wyszlo".
sorki, ale ja na prawde nie znam sie wcale na kompach :( :( :( nie moge znaleźć takiego procesu jak "user32.exe", nie ma takiego, aha i jak juź w końcu to wszystko zrobie to gdzie mam dać to "log" ?
Teraz zaznacz w tym programie te rzeczy i nacisnij "FIX".
Ponadto wylacz wczesniej w Task managerze (Ctrl+Alt+Del) proces o nazwie "user32.exe" (Backdoor.Freeweb wg Kasperskiego) i usun z dysku pliki: mmtask.dll, readme.txt, user32.exe
To cos co widac powyzej – "C:WINDOWSwtupdaterwcmdmgr.exe" to WildTangent ktory miedzy innymi moze udostepniac rozne informacje z komputera, w tym miedzy innymi nazwisko, mail, rodzaj CPU, konfiguracje komputera a i rowniez nazwy i wersje oprogramowania.
Po calym zamieszaniu i restarcie kompa daj jeszcze raz log.
C:Program FilesMessengermsmsgs.exe
C:WINDOWSwtupdaterwcmdmgr.exe
R1 – HKCUSoftwareMicrosoftInternet Explorer,SearchURL = http://searchmyrequest.com
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = http://searchmyrequest.com
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = http://searchmyrequest.com
R0 – HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = http://searchmyrequest.com
R0 – HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = http://searchmyrequest.com
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,HomeOldSP = http://searchmyrequest.com
O1 – Hosts: 217.96.35.130 auto.search.msn.com
O4 – HKLM..Run: [System32] "user32.exe" –user
O4 – HKLM..Run: [wcmdmgr] C:WINDOWSwtupdaterwcmdmgrl.exe –launch
Ponadto wylacz wczesniej w Task managerze (Ctrl+Alt+Del) proces o nazwie "user32.exe" (Backdoor.Freeweb wg Kasperskiego) i usun z dysku pliki: mmtask.dll, readme.txt, user32.exe
To cos co widac powyzej – "C:WINDOWSwtupdaterwcmdmgr.exe" to WildTangent ktory miedzy innymi moze udostepniac rozne informacje z komputera, w tym miedzy innymi nazwisko, mail, rodzaj CPU, konfiguracje komputera a i rowniez nazwy i wersje oprogramowania.
Po calym zamieszaniu i restarcie kompa daj jeszcze raz log.
więc wyczyściłam te pliki jeszcze raz i od razu przeskanowałam HiJackiem o oto co mi wyszło:
Logfile of HijackThis v1.97.7
Scan saved at 14:10:26, on 2004–05–27
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSExplorer.EXE
C:WINDOWSMixer.exe
C:PROGRA~1NORTON~1 avapw32.exe
C:Program FilesPERFECT SERIESOptical Mouse3.0MOUSE32A.EXE
C:Program FilesMessengermsmsgs.exe
C:WINDOWSwtupdaterwcmdmgr.exe
C:WINDOWSSystem32ctfmon.exe
C:Program FilesMultimedia Easy Keyboard NTeasykey.exe
C:Program FilesNorton AntiVirus avapsvc.exe
C:Documents and SettingsAdministratorPulpithijackthisHijackThis.exe
R1 – HKCUSoftwareMicrosoftInternet Explorer,SearchURL = http://searchmyrequest.com
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = http://searchmyrequest.com
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = http://searchmyrequest.com
R0 – HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.wp.pl/
R0 – HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = http://searchmyrequest.com
R0 – HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = http://searchmyrequest.com
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,HomeOldSP = http://searchmyrequest.com
R0 – HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Łącza
O1 – Hosts: 217.96.35.130 auto.search.msn.com
O2 – BHO: NAV Helper – {BDF3E430–B101–42AD–A544–FADC6B084872} – C:Program FilesNorton AntiVirusNavShExt.dll
O3 – Toolbar: &Radio – {8E718888–423F–11D2–876E–00A0C9082467} – C:WINDOWSSystem32msdxm.ocx
O3 – Toolbar: Norton AntiVirus – {42CDD1BF–3FFB–4238–8AD1–7859DF00B1D6} – C:Program FilesNorton AntiVirusNavShExt.dll
O4 – HKLM..Run: [C–Media Mixer] Mixer.exe /startup
O4 – HKLM..Run: [NeroCheck] C:WINDOWSSystem32\NeroCheck.exe
O4 – HKLM..Run: [NAV Agent] C:PROGRA~1NORTON~1 avapw32.exe
O4 – HKLM..Run: [LWBMOUSE] C:Program FilesPERFECT SERIESOptical Mouse3.0MOUSE32A.EXE
O4 – HKLM..Run: [System32] "user32.exe" –user
O4 – HKLM..Run: [wcmdmgr] C:WINDOWSwtupdaterwcmdmgrl.exe –launch
O4 – HKCU..Run: [MSMSGS] "C:Program FilesMessengermsmsgs.exe" /background
O4 – HKCU..Run: [ctfmon.exe] C:WINDOWSSystem32ctfmon.exe
O4 – HKCU..Run: [Symantec NetDriver Monitor] C:PROGRA~1SymantecLIVEUP~1SNDMon.EXE
O4 – HKCU..Run: [Gadu–Gadu] "D:ProgramyGadu–GaduPowergg.exe" /tray
O4 – Global Startup: Microsoft Office.lnk = C:Program FilesMicrosoft OfficeOfficeOSA9.EXE
O4 – Global Startup: Multimedia Easy Keyboard.lnk = C:Program FilesMultimedia Easy Keyboard NTeasykey.exe
O9 – Extra button: Related (HKLM)
O9 – Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 – DPF: {02BCC737–B171–4746–94C9–0D8A0B2C0089} (Microsoft Office Template and Media Control) – http://office.microsoft.com/templates/ieawsdc.cab
O16 – DPF: {166B1BCA–3F9C–11CF–8075–444553540000} (Shockwave ActiveX Control) – http://fpdownload.macromedia.com/pub/shockwave/cabs/director/swdir.cab
O16 – DPF: {9A9307A0–7DA4–4DAF–B042–5009F29E09E1} (ActiveScan Installer Class) – http://www.pandasoftware.es/activescan/as/asinst.cab
O16 – DPF: {9F1C11AA–197B–4942–BA54–47A8489BB47F} (Update Class) – http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38049.2264236111
O16 – DPF: {D27CDB6E–AE6D–11CF–96B8–444553540000} (Shockwave Flash Object) – http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
i co teraz ?? :? :?
Logfile of HijackThis v1.97.7
Scan saved at 14:10:26, on 2004–05–27
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSExplorer.EXE
C:WINDOWSMixer.exe
C:PROGRA~1NORTON~1 avapw32.exe
C:Program FilesPERFECT SERIESOptical Mouse3.0MOUSE32A.EXE
C:Program FilesMessengermsmsgs.exe
C:WINDOWSwtupdaterwcmdmgr.exe
C:WINDOWSSystem32ctfmon.exe
C:Program FilesMultimedia Easy Keyboard NTeasykey.exe
C:Program FilesNorton AntiVirus avapsvc.exe
C:Documents and SettingsAdministratorPulpithijackthisHijackThis.exe
R1 – HKCUSoftwareMicrosoftInternet Explorer,SearchURL = http://searchmyrequest.com
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = http://searchmyrequest.com
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = http://searchmyrequest.com
R0 – HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.wp.pl/
R0 – HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = http://searchmyrequest.com
R0 – HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = http://searchmyrequest.com
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,HomeOldSP = http://searchmyrequest.com
R0 – HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Łącza
O1 – Hosts: 217.96.35.130 auto.search.msn.com
O2 – BHO: NAV Helper – {BDF3E430–B101–42AD–A544–FADC6B084872} – C:Program FilesNorton AntiVirusNavShExt.dll
O3 – Toolbar: &Radio – {8E718888–423F–11D2–876E–00A0C9082467} – C:WINDOWSSystem32msdxm.ocx
O3 – Toolbar: Norton AntiVirus – {42CDD1BF–3FFB–4238–8AD1–7859DF00B1D6} – C:Program FilesNorton AntiVirusNavShExt.dll
O4 – HKLM..Run: [C–Media Mixer] Mixer.exe /startup
O4 – HKLM..Run: [NeroCheck] C:WINDOWSSystem32\NeroCheck.exe
O4 – HKLM..Run: [NAV Agent] C:PROGRA~1NORTON~1 avapw32.exe
O4 – HKLM..Run: [LWBMOUSE] C:Program FilesPERFECT SERIESOptical Mouse3.0MOUSE32A.EXE
O4 – HKLM..Run: [System32] "user32.exe" –user
O4 – HKLM..Run: [wcmdmgr] C:WINDOWSwtupdaterwcmdmgrl.exe –launch
O4 – HKCU..Run: [MSMSGS] "C:Program FilesMessengermsmsgs.exe" /background
O4 – HKCU..Run: [ctfmon.exe] C:WINDOWSSystem32ctfmon.exe
O4 – HKCU..Run: [Symantec NetDriver Monitor] C:PROGRA~1SymantecLIVEUP~1SNDMon.EXE
O4 – HKCU..Run: [Gadu–Gadu] "D:ProgramyGadu–GaduPowergg.exe" /tray
O4 – Global Startup: Microsoft Office.lnk = C:Program FilesMicrosoft OfficeOfficeOSA9.EXE
O4 – Global Startup: Multimedia Easy Keyboard.lnk = C:Program FilesMultimedia Easy Keyboard NTeasykey.exe
O9 – Extra button: Related (HKLM)
O9 – Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 – DPF: {02BCC737–B171–4746–94C9–0D8A0B2C0089} (Microsoft Office Template and Media Control) – http://office.microsoft.com/templates/ieawsdc.cab
O16 – DPF: {166B1BCA–3F9C–11CF–8075–444553540000} (Shockwave ActiveX Control) – http://fpdownload.macromedia.com/pub/shockwave/cabs/director/swdir.cab
O16 – DPF: {9A9307A0–7DA4–4DAF–B042–5009F29E09E1} (ActiveScan Installer Class) – http://www.pandasoftware.es/activescan/as/asinst.cab
O16 – DPF: {9F1C11AA–197B–4942–BA54–47A8489BB47F} (Update Class) – http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38049.2264236111
O16 – DPF: {D27CDB6E–AE6D–11CF–96B8–444553540000} (Shockwave Flash Object) – http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
i co teraz ?? :? :?
napiszcie co mam dalej robić
EL NINO mnie prosił bym Ci napisał źebyś komputer sprzedała, ale nie iwem czy to rozwiązanie Cię usatysfakcjonuje – swoją drogą dlaczego sam tego nie napisał? :wink:
Skoro wyczyscilas doslownie wszystko, to zaraz "po", powinnas przeskanowac komputer. I nie pisac ze przedwczoraj cos tam.napiszcie co mam dalej robić
A HiJack This to program, o ktorym znajdziesz w co drugim temacie w tym dziale. Zas linki do pobrania znajdziesz w co trzecim.
dzieeki :D zrobiłam wszystko tak jak kazałeś (co do jednego pliku :D ) skanowanie antywirusowe robiłam chyba przed wczoraj, ale nic nie wykrył (Norton AntiVirus) bo te zakaźone pliki mam juź od dawna w kwarantannie i nie brał ich pod uwagę.
Te pliki to: counter.class, Dummy.class, VerifierBug.class ale nie ma podanej ich lokalizacji
napiszcie co mam dalej robić
Te pliki to: counter.class, Dummy.class, VerifierBug.class ale nie ma podanej ich lokalizacji
napiszcie co mam dalej robić
Mój komputer; włąściwości; Przywracanie systemu (zakładka); wyłącz przywracanie systemu na wszystkich dyskach
Tempy wyczyścisz uźywając Oczyszczania dysku lub ręcznie:
C:Documents and SettingsTwoja_nazwa_kontaUstawienia lokalne
tu wyczyść zawartość folderów:
Historia, Temp, Temporary Internet Files
Najpierw w widoku dowolnego folderu: narzędzia; opcje folderów; widok; pokaź ukryte pliki i foldery
http://tomcoyote.com/hjt/ stąd ściągniesz HiJacka i poczytasz o nim
Tempy wyczyścisz uźywając Oczyszczania dysku lub ręcznie:
C:Documents and SettingsTwoja_nazwa_kontaUstawienia lokalne
tu wyczyść zawartość folderów:
Historia, Temp, Temporary Internet Files
Najpierw w widoku dowolnego folderu: narzędzia; opcje folderów; widok; pokaź ukryte pliki i foldery
http://tomcoyote.com/hjt/ stąd ściągniesz HiJacka i poczytasz o nim
a gdzie mogę wyłączyć to "przywracanie systemu" ??
Co to jest to "HiJack This " ??
nie wiem czy dobrze zrobiłam ale te pliki tymczasowe z przeglądarki usunęłam tak NARZĘDZIA –> OPCJE INTERNETOWE –> USUŃ PLIKI COOKE
Co to jest to "HiJack This " ??
nie wiem czy dobrze zrobiłam ale te pliki tymczasowe z przeglądarki usunęłam tak NARZĘDZIA –> OPCJE INTERNETOWE –> USUŃ PLIKI COOKE
Wedlug strony Symanteca, powinnas wylaczyc przywracanie systemu oraz np. systemowym "czyscicielem" dysku usunac cala historie plikow tymczasowych przegladarki oraz inne sieci w folderach Temp no i przeskanowac programem antywirusowym.
Jesli juz to zrobisz (ale dokladnie – nawet usuwajac recznie), przeskanuj system HiJack Thisem i wklej tu log w znaczniki "Code".
Jesli juz to zrobisz (ale dokladnie – nawet usuwajac recznie), przeskanuj system HiJack Thisem i wklej tu log w znaczniki "Code".
Strona 1 / 1