Kouše se mě PC
souboriy které vymažú stejně tam sou zpatky tak co stim -
karlos
- Master Level 8
- Příspěvky: 6445
- Registrován: květen 05
- Bydliště: Domažlice
- Pohlaví:
- Stav:
Offline
Ani ve smyku nejsem odborníkem na viry a podobná svinstva. Přesto si troufnu ti poradit. V první řadě, neházej zbraň na šest do obilí na čtyři. Před pár týdny jsem čistil za pomocí MWAVu počítač v zaměstnání. Neměl jsem tam toho tolik jako ty, jen asi osm, nebo deset řádek. Důsledně jsem se kousal řádek po řádku a nemilosrdně mazal, co to označilo. Ve výpisu je třeba {07b18ea1-a523-4961-b6bb-170de4475cca}, šup do editoru registrů, vyhledat řetězec v úvozovkách a smazat. Stejně tak jsem si ještě v Regeditu našel, jestli někde v registrech není zmínka o některém souboru, který MWAV označil, byla-li, okamžitě přestala být. Vycházel jsem z laické fylosofie, že pouhé smazání z disku nestačí, autor viru určitě nebyl tak hloupý, aby se dal pokořit pouhým delete a posichroval si zadní vrátka v registrech, odkud si spustí zálohu při dalším startu počítače. Možná jsem ubral i něco, co mi někdy bude chybět, ale výpisy jsou čisté, jak slovo přírody a co bude chybět, to je budoucnost, to budu řešit, až to bude chybět. 
Takže s chutí do registrů a držím palce v boji se šmejdy
Takže s chutí do registrů a držím palce v boji se šmejdy
Co nejde silou, jde ještě větší silou... :-)
-
fredik
- člen Security týmu
-
Master Level 7
- Příspěvky: 4680
- Registrován: červenec 06
- Pohlaví:
- Stav:
Offline
No tak ty položky vyhledáš snadněji.
Např.
Tue Aug 01 16:36:48 2006 => System found infected with mywebsearch Spyware/Adware ({07b18ea1-a523-4961-b6bb-170de4475cca})! Action taken: No Action Taken.
Po ukončení Scanu a návratu na počáteční obrazovku když klikneš na tlačítko View Log tak se ti zobrazi dokument z průběhu scanování. Tam si vyhledáš např. {07b18ea1-a523-4961-b6bb-170de4475cca} a po vyhledání ti ukáže cestu v registrech k té položce. A pak už to najdeš a odstaníš v registrech.
Ještě je tu jedna alternativa projet Kasperskym celý počítač a nechat opravit všechno co najde ale zas kaspersky při instalaci odstraní Noda.
Např.
Tue Aug 01 16:36:48 2006 => System found infected with mywebsearch Spyware/Adware ({07b18ea1-a523-4961-b6bb-170de4475cca})! Action taken: No Action Taken.
Po ukončení Scanu a návratu na počáteční obrazovku když klikneš na tlačítko View Log tak se ti zobrazi dokument z průběhu scanování. Tam si vyhledáš např. {07b18ea1-a523-4961-b6bb-170de4475cca} a po vyhledání ti ukáže cestu v registrech k té položce. A pak už to najdeš a odstaníš v registrech.
Ještě je tu jedna alternativa projet Kasperskym celý počítač a nechat opravit všechno co najde ale zas kaspersky při instalaci odstraní Noda.
Zdenku, ty si snad budeš muset odstřihnout internet. Vždyť to není tak dlouho, co jsme čistili celý počítač!
Takže začni s tím, že vypneš Obnovu systému v Tento počítač/Vlastnosti.
1. Ještě jednou si zkontroluj, že máš smazané soubory:
C:\WINDOWS\system32\f3PSSavr.scr
C:\Documents and Settings\All Users\Dokumenty\SmileyCentralPFSetup2.1.50.3-3.ZNfox000.exe
C:\Documents and Settings\All Users\Dokumenty\SmileyCentralPFSetup2.1.50.3-3.ZNfox000(2).exe
2. Podívej se do Ovládací panely/Přidat nebo odebrat programy, jestli tam nenajdeš některou z položek:
mywebsearch
funweb nebo funwebproducts
Jestli ano, odinstaluj je. Pak zkus vyhledat na disku (Start/Hledat), jestli tam nejsou adresáře se stejným jménem. Pokud ano, okamžitě smazat.
3. Spusť editor registrů (Start/Spustit/regedit) a vyhledej tyto položky:
07b18ea1-a523-4961-b6bb-170de4475cca
07b18ea9-a523-4961-b6bb-170de4475cca
147a976f-eee1-4377-8ea7-4716e4cdd239
7473d292-b7bb-4f24-ae82-7e2ce94bb6a9
938aa51a-996c-4884-98ce-80dd16a5c9da
9ff05104-b030-46fc-94b8-81276e4e27df
00a6faf6-072e-44cf-8957-5838f569a31d
00a6faf1-072e-44cf-8957-5838f569a31d
mywebsearch
funwebproducts
Začni odshora - zkopíruj první položku, pomocí Ctrl+F spustíš okno Najít, do okénka Najít ji vložíš a odenteruješ. Jakmile ji najde v registrech, tak pomocí klávesy Delete ji smažeš. Zmáčkneš pak klávesu F3, aby hledal dál. Až napíše hlášku jako Prohledávání registrů skončilo, tak stejným způsobem budeš hledat druhou položku, atd.
4. Po čistce v registrech ještě vyčistíš disk CCleanerem a restartuješ. Uděláš nový log a dáš ho sem.
Takže začni s tím, že vypneš Obnovu systému v Tento počítač/Vlastnosti.
1. Ještě jednou si zkontroluj, že máš smazané soubory:
C:\WINDOWS\system32\f3PSSavr.scr
C:\Documents and Settings\All Users\Dokumenty\SmileyCentralPFSetup2.1.50.3-3.ZNfox000.exe
C:\Documents and Settings\All Users\Dokumenty\SmileyCentralPFSetup2.1.50.3-3.ZNfox000(2).exe
2. Podívej se do Ovládací panely/Přidat nebo odebrat programy, jestli tam nenajdeš některou z položek:
mywebsearch
funweb nebo funwebproducts
Jestli ano, odinstaluj je. Pak zkus vyhledat na disku (Start/Hledat), jestli tam nejsou adresáře se stejným jménem. Pokud ano, okamžitě smazat.
3. Spusť editor registrů (Start/Spustit/regedit) a vyhledej tyto položky:
07b18ea1-a523-4961-b6bb-170de4475cca
07b18ea9-a523-4961-b6bb-170de4475cca
147a976f-eee1-4377-8ea7-4716e4cdd239
7473d292-b7bb-4f24-ae82-7e2ce94bb6a9
938aa51a-996c-4884-98ce-80dd16a5c9da
9ff05104-b030-46fc-94b8-81276e4e27df
00a6faf6-072e-44cf-8957-5838f569a31d
00a6faf1-072e-44cf-8957-5838f569a31d
mywebsearch
funwebproducts
Začni odshora - zkopíruj první položku, pomocí Ctrl+F spustíš okno Najít, do okénka Najít ji vložíš a odenteruješ. Jakmile ji najde v registrech, tak pomocí klávesy Delete ji smažeš. Zmáčkneš pak klávesu F3, aby hledal dál. Až napíše hlášku jako Prohledávání registrů skončilo, tak stejným způsobem budeš hledat druhou položku, atd.
4. Po čistce v registrech ještě vyčistíš disk CCleanerem a restartuješ. Uděláš nový log a dáš ho sem.
Znáte pravidla?
Tipy a triky ve Windows XP
Návody: HijackThis, MWAV, CCleaner (THX to mijaja)
Problémy, které chcete vyřešit pište sem do fóra. Neposílejte je emailem ani po ICQ!
Tipy a triky ve Windows XP
Návody: HijackThis, MWAV, CCleaner (THX to mijaja)
Problémy, které chcete vyřešit pište sem do fóra. Neposílejte je emailem ani po ICQ!
Jak napsal Mikel tak sem udělal vše odstranil 
teda tocosem našel restartoval a udělal novou kontrolu a zde je vysledk 
=> Offending Key found: HKCU\Software\funwebproducts !!!
System found infected with zipitpro Spyware/Adware (irsetup.exe)! Action taken: No Action Taken.
Object "funwebproducts Spyware/Adware" found in File System! Action Taken: No Action Taken.
System found infected with zipitpro Spyware/Adware (irsetup.ini)! Action taken: No Action Taken.
System found infected with zipitpro Spyware/Adware (irsetup.exe)! Action taken: No Action Taken.
System found infected with zipitpro Spyware/Adware (irsetup.ini)! Action taken: No Action Taken.
Offending file found: C:\DOCUME~1\NEPOR~1\LOCALS~1\Temp\irsetup.exe
Sun Aug 06 15:01:17 2006 => System found infected with zipitpro Spyware/Adware (irsetup.exe)! Action taken: No Action Taken.
Offending Key found: HKCU\Software\funwebproducts !!!
Sun Aug 06 15:01:15 2006 => Object "funwebproducts Spyware/Adware" found in File System! Action Taken: No Action Taken.
Offending file found: C:\Documents and Settings\All Users\Plocha\online security guide.url
Sun Aug 06 15:01:28 2006 => System found infected with smitfraud variant Browser Hijacker (online security guide.url)! Action taken: No Action Taken.
System found infected with smitfraud variant Browser Hijacker (security troubleshooting.url)! Action taken: No Action Taken.
=> System found infected with smitfraud variant Browser Hijacker (online security guide.url)! Action taken: No Action Taken.
System found infected with smitfraud variant Browser Hijacker (security troubleshooting.url)! Action taken: No Action Take
a v tom malem okenku je toto
Object "funwebproducts Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "zipitpro Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "zipitpro Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "zipitpro Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "zipitpro Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "smitfraud variant Browser Hijacker" found in File System! Action Taken: No Action Taken.
Object "smitfraud variant Browser Hijacker" found in File System! Action Taken: No Action Taken.
Object "smitfraud variant Browser Hijacker" found in File System! Action Taken: No Action Taken.
Object "smitfraud variant Browser Hijacker" found in File System! Action Taken: No Action Taken.
File C:\Documents and Settings\Nešpor\Dokumenty\ccsetup128.exe tagged as not-a-virus:RiskTool.Win32.PsKill.n. No Action Taken.
teda tocosem našel restartoval a udělal novou kontrolu a zde je vysledk
=> Offending Key found: HKCU\Software\funwebproducts !!!
System found infected with zipitpro Spyware/Adware (irsetup.exe)! Action taken: No Action Taken.
Object "funwebproducts Spyware/Adware" found in File System! Action Taken: No Action Taken.
System found infected with zipitpro Spyware/Adware (irsetup.ini)! Action taken: No Action Taken.
System found infected with zipitpro Spyware/Adware (irsetup.exe)! Action taken: No Action Taken.
System found infected with zipitpro Spyware/Adware (irsetup.ini)! Action taken: No Action Taken.
Offending file found: C:\DOCUME~1\NEPOR~1\LOCALS~1\Temp\irsetup.exe
Sun Aug 06 15:01:17 2006 => System found infected with zipitpro Spyware/Adware (irsetup.exe)! Action taken: No Action Taken.
Offending Key found: HKCU\Software\funwebproducts !!!
Sun Aug 06 15:01:15 2006 => Object "funwebproducts Spyware/Adware" found in File System! Action Taken: No Action Taken.
Offending file found: C:\Documents and Settings\All Users\Plocha\online security guide.url
Sun Aug 06 15:01:28 2006 => System found infected with smitfraud variant Browser Hijacker (online security guide.url)! Action taken: No Action Taken.
System found infected with smitfraud variant Browser Hijacker (security troubleshooting.url)! Action taken: No Action Taken.
=> System found infected with smitfraud variant Browser Hijacker (online security guide.url)! Action taken: No Action Taken.
System found infected with smitfraud variant Browser Hijacker (security troubleshooting.url)! Action taken: No Action Take
a v tom malem okenku je toto
Object "funwebproducts Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "zipitpro Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "zipitpro Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "zipitpro Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "zipitpro Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "smitfraud variant Browser Hijacker" found in File System! Action Taken: No Action Taken.
Object "smitfraud variant Browser Hijacker" found in File System! Action Taken: No Action Taken.
Object "smitfraud variant Browser Hijacker" found in File System! Action Taken: No Action Taken.
Object "smitfraud variant Browser Hijacker" found in File System! Action Taken: No Action Taken.
File C:\Documents and Settings\Nešpor\Dokumenty\ccsetup128.exe tagged as not-a-virus:RiskTool.Win32.PsKill.n. No Action Taken.
-
fredik
- člen Security týmu
-
Master Level 7
- Příspěvky: 4680
- Registrován: červenec 06
- Pohlaví:
- Stav:
Offline
Všechny položky označené infected by se měly smazat. Vzhledem k tomu že tam je dost položek s smitfraud tak stáhni si pro jistotu SmitFraudFixa nachystej na použití
Restartuj do nouzového režimu
Spustíš SmitFraudFix - objeví se modrá obrazovka aplikace a stiskneš volbu 2.
Nechej proskenovat počítač.
Pokud budeš dotázán, zda povolíš čištění registrů (Do you want to clean the registry ?), stiskni klávesu Y (pozor na záměnu Y a Z na klávesnici)
Pokud budeš dotázán na odstranění zavirovaných souborů z počítače (Replace infected file ?), stiskneš opět klávesu Y.
Po ukončení čištění můžeš restartovat PC do normálního režimu
Tady ta položka C:\Documents and Settings\Nešpor\Dokumenty\ccsetup128.exe tagged as not-a-virus:RiskTool.Win32.PsKill.n. No Action Taken. Když si stáhneš novější verzi (zatím poslední je ccsetup131) a té 128 se zbavíš tak už to v logu nebudeš mít. Na druhou stranu na verzi 128 neni nic špatného.
K tomu dotazu nevím jak to má přesně kaspersky ale rezidentní ochrana se skládá z několika modulů jako je standardní štít co hlídá veškeré operace se soubory na disku, potom webovy štít který kontroluje stránky na kterých se pohybuješ (umožňuje monitorování a filtrování veškerého HTTP provozu pocházejícího z webových stránek) potom obsahuje modul na kontrolu pošty atd. Takže když vypneš ten webový (internetový štít) tak furt zůstavá rezidentní ochrana zaplá jen si vypl její jednu komponentu.
Restartuj do nouzového režimu
Spustíš SmitFraudFix - objeví se modrá obrazovka aplikace a stiskneš volbu 2.
Nechej proskenovat počítač.
Pokud budeš dotázán, zda povolíš čištění registrů (Do you want to clean the registry ?), stiskni klávesu Y (pozor na záměnu Y a Z na klávesnici)
Pokud budeš dotázán na odstranění zavirovaných souborů z počítače (Replace infected file ?), stiskneš opět klávesu Y.
Po ukončení čištění můžeš restartovat PC do normálního režimu
Tady ta položka C:\Documents and Settings\Nešpor\Dokumenty\ccsetup128.exe tagged as not-a-virus:RiskTool.Win32.PsKill.n. No Action Taken. Když si stáhneš novější verzi (zatím poslední je ccsetup131) a té 128 se zbavíš tak už to v logu nebudeš mít. Na druhou stranu na verzi 128 neni nic špatného.
K tomu dotazu nevím jak to má přesně kaspersky ale rezidentní ochrana se skládá z několika modulů jako je standardní štít co hlídá veškeré operace se soubory na disku, potom webovy štít který kontroluje stránky na kterých se pohybuješ (umožňuje monitorování a filtrování veškerého HTTP provozu pocházejícího z webových stránek) potom obsahuje modul na kontrolu pošty atd. Takže když vypneš ten webový (internetový štít) tak furt zůstavá rezidentní ochrana zaplá jen si vypl její jednu komponentu.
SmitFraudFix v2.81
Scan done at 9:33:52,31, Łt 08.08.2006
Run from C:\DOCUME~1\NEPOR~1\LOCALS~1\Temp\RarSFX0
OS: Microsoft Windows XP [Verze 5.1.2600] - Windows_NT
Fix ran in normal mode
»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Killing process
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix
GenericRenosFix by S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files
C:\DOCUME~1\ALLUSE~1\Plocha\Online Security Guide.url Deleted
C:\DOCUME~1\ALLUSE~1\Plocha\Security Troubleshooting.url Deleted
C:\DOCUME~1\ALLUSE~1\NABDKA~1\Online Security Guide.url Deleted
C:\DOCUME~1\ALLUSE~1\NABDKA~1\Security Troubleshooting.url Deleted
»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files
»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning
Registry Cleaning done.
»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» End
tak toto je log zSmitFraudFix
Scan done at 9:33:52,31, Łt 08.08.2006
Run from C:\DOCUME~1\NEPOR~1\LOCALS~1\Temp\RarSFX0
OS: Microsoft Windows XP [Verze 5.1.2600] - Windows_NT
Fix ran in normal mode
»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Killing process
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix
GenericRenosFix by S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files
C:\DOCUME~1\ALLUSE~1\Plocha\Online Security Guide.url Deleted
C:\DOCUME~1\ALLUSE~1\Plocha\Security Troubleshooting.url Deleted
C:\DOCUME~1\ALLUSE~1\NABDKA~1\Online Security Guide.url Deleted
C:\DOCUME~1\ALLUSE~1\NABDKA~1\Security Troubleshooting.url Deleted
»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files
»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning
Registry Cleaning done.
»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» End
tak toto je log zSmitFraudFix
Zpět na “Windows 11, 10, 8...”
Kdo je online
Uživatelé prohlížející si toto fórum: Žádní registrovaní uživatelé a 12 hostů