prosim kontrola logu

Místo pro vaše HiJackThis logy a logy z dalších programů…

Moderátoři: Mods_senior, Security team

sas
Level 2
Level 2
Příspěvky: 165
Registrován: říjen 06
Pohlaví: Nespecifikováno
Stav:
Offline

Příspěvekod sas » 12 říj 2006 20:04

17 kusu jsem nenasel,registry jse nasel u 2 ty key nesouhlasi, myslim ze bude jednodussi to reinstalovat windos jestli to tedy pomuze.pc uz facha driv to neslo ani vypnout ani reinstalovat tak mi napis prosimte jestli to mam reinstalo. diky moc ses klasa.

Reklama
Uživatelský avatar
mijaja
Tvůrce článků
Level 6.5
Level 6.5
Příspěvky: 4136
Registrován: září 05
Bydliště: Zlín
Pohlaví: Muž
Stav:
Offline
Kontakt:

Příspěvekod mijaja » 12 říj 2006 20:16

No dle mého reinstal je nechutné vítězství hrubého železa nad lidským důvtipem. :D Faktem je, že jak už máš hodně zaneřáděné registry i disk různými pozůstatky po dávno vymazaných programech, tak i když tam žádného vira mít nemusíš, je to s formátem disku to nejlepší. Pokud ale máš wokna ještě čisté, jen s těmito několika problémky, ještě bych to zvážil. Je to na tobě. Jestli se rozhodneš pro reinstal, tak tohle uzavřeme, jestli chceš pokračovat tady, tak bych potřeboval označit, které z těch výše vypsaných souborů a klíčů jsi nenašel.

sas
Level 2
Level 2
Příspěvky: 165
Registrován: říjen 06
Pohlaví: Nespecifikováno
Stav:
Offline

Příspěvekod sas » 13 říj 2006 17:43

C:\winstall.exe
C:\WINDOWS\System32\IeHelperEx.dll
C:\WINDOWS\System32\ide21201.vxd

C:\WINDOWS\System32\kernels8.exe
C:\WINDOWS\System32\spoolsvv.exe -
C:\WINDOWS\System32\mspostsp.exe
C:\WINDOWS\System32\sysvx.exe
C:\WINDOWS\System32\vxh8jkdq5.exe
C:\WINDOWS\System32\vxh8jkdq6.exe
C:\WINDOWS\System32\vxh8jkdq7.exe

C:\WINDOWS\gpinstall.exe
C:\WINDOWS\vb.ini
C:\WINDOWS\sysldr32.exe

C:\Program Files\istbar
C:\Program Files\sidefind
C:\Program Files\web_rebates
složce C:\WINDOWS\System32\ipsec6mon.dll


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{78364D99-A640-4ddf-B91A-67EFF8373045}

HKEY_CLASSES_ROOT\CLSID\{78364D99-A640-4ddf-B91A-67EFF8373045}

registry jsem nasel , ale ty key nesouhlasi.

Uživatelský avatar
mijaja
Tvůrce článků
Level 6.5
Level 6.5
Příspěvky: 4136
Registrován: září 05
Bydliště: Zlín
Pohlaví: Muž
Stav:
Offline
Kontakt:

Příspěvekod mijaja » 13 říj 2006 19:11

Máš nastaveno v Možnostech složky zobrazování skrytých a systémových souborů? Tohle jsou přece soubory běžně zobrazené v woknech a měly by jít odmazat.

sas
Level 2
Level 2
Příspěvky: 165
Registrován: říjen 06
Pohlaví: Nespecifikováno
Stav:
Offline

Příspěvekod sas » 14 říj 2006 12:13

jo vtom ctverecku jsem udelal fajku u toho z obrazeni.

Uživatelský avatar
mijaja
Tvůrce článků
Level 6.5
Level 6.5
Příspěvky: 4136
Registrován: září 05
Bydliště: Zlín
Pohlaví: Muž
Stav:
Offline
Kontakt:

Příspěvekod mijaja » 14 říj 2006 13:15

Dobře. Tak tedy stáhni si Killbox a rozbal jej na Plochu.

Tohle, co je v kódu zkopíruj do Notepadu a ulož taky na Ploše:


Kód: Vybrat vše

C:\winstall.exe
C:\WINDOWS\System32\IeHelperEx.dll
C:\WINDOWS\System32\ide21201.vxd
C:\WINDOWS\System32\kernels8.exe
C:\WINDOWS\System32\spoolsvv.exe -
C:\WINDOWS\System32\mspostsp.exe
C:\WINDOWS\System32\sysvx.exe
C:\WINDOWS\System32\vxh8jkdq5.exe
C:\WINDOWS\System32\vxh8jkdq6.exe
C:\WINDOWS\System32\vxh8jkdq7.exe
C:\WINDOWS\gpinstall.exe
C:\WINDOWS\vb.ini
C:\WINDOWS\sysldr32.exe
C:\Program Files\istbar
C:\Program Files\sidefind
C:\Program Files\web_rebates
složce C:\WINDOWS\System32\ipsec6mon.dll



Restartuj do nouzáku. Otevři ten Notepad, spusť Killbox a do okénka zkopíruj text z toho Notepadu (nehleď na to, že okénko je malé a text dlouhý) Potom zaškrtni volbu Delete On Reboot a zmáčkni červený kruh s křížkem. Komp bude chtít do restartu, tak to povol.

No a uvidíme.....

sas
Level 2
Level 2
Příspěvky: 165
Registrován: říjen 06
Pohlaví: Nespecifikováno
Stav:
Offline

Příspěvekod sas » 17 říj 2006 18:59

kdyz jsem to kopiroval do toho killeru tak to v tom okne naskocilo c..winstall.exe dal sem delete reboot a pak to cerveny tlacitko naskoci okno delete next reboot dam ano naskoci tlacitko s odpoctem kdyz ho nezmacknu tak skoci pending file rename operation dam ok a nic se nedeje , to sami kdyz to tlacitko s odpoctem zmacknu akorat skoci okno abort shut down now ,dam ok anic tak nevim asi jsem neco podelal .

Uživatelský avatar
mijaja
Tvůrce článků
Level 6.5
Level 6.5
Příspěvky: 4136
Registrován: září 05
Bydliště: Zlín
Pohlaví: Muž
Stav:
Offline
Kontakt:

Příspěvekod mijaja » 17 říj 2006 19:33

Dobře, uděláme to jinak.
Stáhni si SmitFraudFix a Avenger

Vypni Obnovu systému, aby se šmejdi nedrželi tam a restartuj.

Nejdříve to pročisti Smitfraudfixem.

Spustíš SmitFraudFix - objeví se modrá obrazovka aplikace a stiskneš volbu 2.
Nechej proskenovat počítač.
Pokud budeš dotázán, zda povolíš čištění registrů (Do you want to clean the registry ?), stiskni klávesu Y (pozor na záměnu Y a Z na klávesnici)
Pokud budeš dotázán na odstranění zavirovaných souborů z počítače (Replace infected file ?), stiskneš opět klávesu Y.
Po skončení Smitfrauda restartuj a pokračuj dále


Spusť Avenger

Zvolíš možnost Input script manually a klikni na ikonu lupy
- Do nového prázdného okna zkopírujte celý tento text (bylo by vhodné si jej uložit na plochu do Notepadu):


Kód: Vybrat vše

C:\winstall.exe
C:\WINDOWS\System32\IeHelperEx.dll
C:\WINDOWS\System32\ide21201.vxd
C:\WINDOWS\System32\kernels8.exe
C:\WINDOWS\System32\spoolsvv.exe -
C:\WINDOWS\System32\mspostsp.exe
C:\WINDOWS\System32\sysvx.exe
C:\WINDOWS\System32\vxh8jkdq5.exe
C:\WINDOWS\System32\vxh8jkdq6.exe
C:\WINDOWS\System32\vxh8jkdq7.exe
C:\WINDOWS\gpinstall.exe
C:\WINDOWS\vb.ini
C:\WINDOWS\sysldr32.exe
C:\Program Files\istbar
C:\Program Files\sidefind
C:\Program Files\web_rebates
složce C:\WINDOWS\System32\ipsec6mon.dll


Potom klikni na Done
Klikni na ikonu semaforu pro spuštění programu a nakonec klikni na OK. Komp se restartuje a dej nový log na kontrolu.

sas
Level 2
Level 2
Příspěvky: 165
Registrován: říjen 06
Pohlaví: Nespecifikováno
Stav:
Offline

Příspěvekod sas » 18 říj 2006 19:55

tak jsem se nejak prokousal do do toho avengru az do casti kdy kliknu na semafor tam vyskoci okno confirm execution dam ano a skoci okno error- selected file doesnot apper to be a valid script.

Uživatelský avatar
mijaja
Tvůrce článků
Level 6.5
Level 6.5
Příspěvky: 4136
Registrován: září 05
Bydliště: Zlín
Pohlaví: Muž
Stav:
Offline
Kontakt:

Příspěvekod mijaja » 18 říj 2006 20:07

Tak jestli to nechce avenger takhle do scriptu, budeš je muset jednotlivě vymazávat v Killboxu. Akorát u knihoven (soubory *.dll) zaškrtni ještě i i okénko Unregister dll before deleting.

Kód: Vybrat vše

C:\winstall.exe
C:\WINDOWS\System32\ide21201.vxd
C:\WINDOWS\System32\kernels8.exe
C:\WINDOWS\System32\spoolsvv.exe -
C:\WINDOWS\System32\mspostsp.exe
C:\WINDOWS\System32\sysvx.exe
C:\WINDOWS\System32\vxh8jkdq5.exe
C:\WINDOWS\System32\vxh8jkdq6.exe
C:\WINDOWS\System32\vxh8jkdq7.exe
C:\WINDOWS\gpinstall.exe
C:\WINDOWS\vb.ini
C:\WINDOWS\sysldr32.exe
C:\Program Files\istbar
C:\Program Files\sidefind
C:\Program Files\web_rebates


Kód: Vybrat vše

C:\WINDOWS\System32\IeHelperEx.dll
C:\WINDOWS\System32\ipsec6mon.dll


Nejpodivnější na to je, že to jsou soubory, které se normálně dají najít v Průzkumníku a vymazat.

sas
Level 2
Level 2
Příspěvky: 165
Registrován: říjen 06
Pohlaví: Nespecifikováno
Stav:
Offline

Příspěvekod sas » 19 říj 2006 18:23

bohuzel ten killbox se chova jako predesle i kdyz to tam davam po jednom souboru

Uživatelský avatar
fredik
člen Security týmu
Master Level 7
Master Level 7
Příspěvky: 4680
Registrován: červenec 06
Pohlaví: Muž
Stav:
Offline

Příspěvekod fredik » 19 říj 2006 19:05

Zadej do Avenger toto, dál pokračuj podle instrukci co psal mijaja

Kód: Vybrat vše

Files to delete:
C:\winstall.exe
C:\WINDOWS\System32\IeHelperEx.dll
C:\WINDOWS\System32\ide21201.vxd
C:\WINDOWS\System32\kernels8.exe
C:\WINDOWS\System32\spoolsvv.exe
C:\WINDOWS\System32\mspostsp.exe
C:\WINDOWS\System32\sysvx.exe
C:\WINDOWS\System32\vxh8jkdq5.exe
C:\WINDOWS\System32\vxh8jkdq6.exe
C:\WINDOWS\System32\vxh8jkdq7.exe
C:\WINDOWS\gpinstall.exe
C:\WINDOWS\vb.ini
C:\WINDOWS\sysldr32.exe
C:\WINDOWS\System32\ipsec6mon.dll

Folders to delete:
C:\Program Files\istbar
C:\Program Files\sidefind
C:\Program Files\web_rebates


Zpět na “HiJackThis”

Kdo je online

Uživatelé prohlížející si toto fórum: Žádní registrovaní uživatelé a 7 hostů