Skocz do zawartości




Zdjęcie

Trojan.Downloader.Istbar.Fm


  • Zaloguj się, aby dodać odpowiedź
54 odpowiedzi w tym temacie

#1 Bulinetka0

Bulinetka0

    1

  • Members
  • PipPipPip
  • 66 postów

Napisano 16 wrzesień 2004 - 20:28

Witam! :)
Po raz kolejny zwracam się z prośbą o pomoc. :D Właśnie program antywirusowy ( MKS )wykrył mnie wirusa. Jest nim Trojan.Downloader.Istbar.Fm ( osadzony ):( Niestety mój program antywirusowy nie jest wstanie go usunąć.
Moje pytanie brzmi jak mam usunąć ( i czym ) tego wirusa?
Z góry dziękuję za pomoc.
Pozdrawiam.

Logfile of HijackThis v1.97.7
Scan saved at 21:38:39, on 2004-09-16
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:/WINDOWS/System32/smss.exe
C:/WINDOWS/system32/winlogon.exe
C:/WINDOWS/system32/services.exe
C:/WINDOWS/system32/lsass.exe
C:/WINDOWS/system32/svchost.exe
C:/WINDOWS/System32/svchost.exe
C:/WINDOWS/Explorer.EXE
C:/CD/HijackThis.exe

R0 - HKCU/Software/Microsoft/Internet Explorer/Main,Start Page = http://www.interia.pl/
R0 - HKCU/Software/Microsoft/Internet Explorer/Toolbar,LinksFolderName = Łącza
O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:/WINDOWS/System32/msdxm.ocx
O3 - Toolbar: (no name) - {B195B3B3-8A05-11D3-97A4-0004ACA6948E} - (no file)
O4 - HKLM/../Run: [QuickTime Task] "C:/Program Files/QuickTime/qttask.exe" -atboottime
O4 - HKLM/../Run: [MKS_MENU] C:/Program Files/MKS/Bin/mks_menu.exe
O4 - HKLM/../Run: [TkBellExe] "C:/Program Files/Common Files/Real/Update_OB/realsched.exe" -osboot
O4 - HKLM/../Run: [Hotbar] C:/Program Files/Hotbar/bin/4.5.1.0/HbInst.exe /Upgrade
O4 - HKCU/../Run: [CTFMON.EXE] C:/WINDOWS/System32/ctfmon.exe
O4 - HKCU/../Run: [NetMonSVStat] C:/Program Files/MKS/Bin/netsvst.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:/Program Files/Common Files/Adobe/Calibration/Adobe Gamma Loader.exe
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:/PROGRA~1/MICROS~2/Office10/EXCEL.EXE/3000
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} -
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupd...b?1093949530050
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} - http://v4.windowsupd...8202.1348148148
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macr...ash/swflash.cab
O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.co...kanerOnline.cab




Zmieniony przez - Bulinetka0 w dniu 2004-09-16 21:47:28

#2 Sebart

Sebart

    1

  • Members
  • PipPipPip
  • 7751 postów

Napisano 16 wrzesień 2004 - 21:37

"Właśnie program antywirusowy ( MKS )wykrył mnie wirusa"

To jak wykrył to podaj namiar na ten plik C:/windows/ itd ;)

#3 Bulinetka0

Bulinetka0

    1

  • Members
  • PipPipPip
  • 66 postów

Napisano 16 wrzesień 2004 - 22:36

Log i namiary na ten plik wysłałam emailem. :D

#4 Sebart

Sebart

    1

  • Members
  • PipPipPip
  • 7751 postów

Napisano 16 wrzesień 2004 - 22:57

Na ten plik ta sama odpowiedź... jakby nie poszło "erase now" w normalnym to uruchom w trybie awaryjnym.
http://komputery.katalogi.pl/temat24389/



Logfile of HijackThis v1.97.7
Scan saved at 22:43:00, on 2004-09-16
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:/WINDOWS/System32/smss.exe
C:/WINDOWS/system32/winlogon.exe
C:/WINDOWS/system32/services.exe
C:/WINDOWS/system32/lsass.exe
C:/WINDOWS/system32/svchost.exe
C:/WINDOWS/System32/svchost.exe
C:/WINDOWS/system32/spoolsv.exe
C:/WINDOWS/Explorer.EXE
C:/Program Files/MKS/Bin/NetMonSv.exe
C:/Program Files/MKS/Bin/mks_menu.exe
C:/Program Files/Common Files/Real/Update_OB/realsched.exe
C:/Program Files/MKS/Bin/mksmonsv.exe
C:/Program Files/Hotbar/bin/4.5.1.0/HbInst.exe
C:/WINDOWS/System32/ctfmon.exe
C:/Program Files/MKS/Bin/netsvst.exe
C:/Program Files/MKS/Bin/mks_scan.exe
C:/WINDOWS/System32/wuauclt.exe
C:/WINDOWS/System32/wuauclt.exe
C:/CD/HijackThis.exe

R0 - HKCU/Software/Microsoft/Internet Explorer/Main,Start Page = http://www.interia.pl/
R0 - HKCU/Software/Microsoft/Internet Explorer/Toolbar,LinksFolderName = Łącza
O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:/WINDOWS/System32/msdxm.ocx
O3 - Toolbar: (no name) - {B195B3B3-8A05-11D3-97A4-0004ACA6948E} - (no file)
O4 - HKLM/../Run: [QuickTime Task] "C:/Program Files/QuickTime/qttask.exe" -atboottime
O4 - HKLM/../Run: [MKS_MENU] C:/Program Files/MKS/Bin/mks_menu.exe
O4 - HKLM/../Run: [TkBellExe] "C:/Program Files/Common Files/Real/Update_OB/realsched.exe" -osboot
O4 - HKLM/../Run: [Hotbar] C:/Program Files/Hotbar/bin/4.5.1.0/HbInst.exe /Upgrade
O4 - HKCU/../Run: [CTFMON.EXE] C:/WINDOWS/System32/ctfmon.exe
O4 - HKCU/../Run: [NetMonSVStat] C:/Program Files/MKS/Bin/netsvst.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:/Program Files/Common Files/Adobe/Calibration/Adobe Gamma Loader.exe
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:/PROGRA~1/MICROS~2/Office10/EXCEL.EXE/3000
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} -
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupd...b?1093949530050
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} - http://v4.windowsupd...8202.1348148148
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macr...ash/swflash.cab
O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.co...kanerOnline.cab


Zmieniony przez - Sebart w dniu 2004-09-16 23:58:14

#5 Sebart

Sebart

    1

  • Members
  • PipPipPip
  • 7751 postów

Napisano 16 wrzesień 2004 - 23:04

Panel sterowania -> Automatyczne aktualizacje wyłącz to ;) Najlepiej skorzystaj też z xp-antispy.

to jest syf, może da się go odinstalować poprzez Dodaj/usuń programy ?
C:/Program Files/Hotbar/bin/4.5.1.0/HbInst.exe


te wpisy zaznacz i kasuj

O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - (no file)
O3 - Toolbar: (no name) - {B195B3B3-8A05-11D3-97A4-0004ACA6948E} - (no file)
O4 - HKLM/../Run: [QuickTime Task] "C:/Program Files/QuickTime/qttask.exe" -atboottime
O4 - HKLM/../Run: [TkBellExe] "C:/Program Files/Common Files/Real/Update_OB/realsched.exe" -osboot
O4 - HKLM/../Run: [Hotbar] C:/Program Files/Hotbar/bin/4.5.1.0/HbInst.exe /Upgrade
O4 - Global Startup: Adobe Gamma Loader.lnk = C:/Program Files/Common Files/Adobe/Calibration/Adobe Gamma Loader.exe


Zmieniony przez - Sebart w dniu 2004-09-17 00:04:45

#6 Bulinetka0

Bulinetka0

    1

  • Members
  • PipPipPip
  • 66 postów

Napisano 16 wrzesień 2004 - 23:38

Na ten plik ta sama odpowiedź... jakby nie poszło "erase now" w normalnym to uruchom w trybie awaryjnym.
[http://komputery.kat...pl/temat24389/]

Poszło w trybie awaryjnym.:D Pod sam koniec czyszczenia wyskoczyła mnie plakietka klasyfikatora treści ( nie może być puste okno hasła ). Wpisałam, więc hasło i zatwierdziłam zmiany. Teraz przy otwieraniu przegladarki wyskakuje mnie plakietka, że nie mogę obejrzeć danej strony, będzie to możliwe przy wpisaniu hasła. Za każdym razem mam wpisywać hasło, przecież to totalna głupota.:(

#7 Sebart

Sebart

    1

  • Members
  • PipPipPip
  • 7751 postów

Napisano 16 wrzesień 2004 - 23:40

U mnie kiedyś też pojawiał się ten klasyfikator zawsze dawałem anuluj i spokój %)

Zmieniony przez - Sebart w dniu 2004-09-17 00:41:22

#8 Bulinetka0

Bulinetka0

    1

  • Members
  • PipPipPip
  • 66 postów

Napisano 17 wrzesień 2004 - 00:03

U mnie kiedyś też pojawiał się ten klasyfikator zawsze dawałem anuluj i spokój %)

Jeżeli kliknę na anuluj ( i nie wpiszę hasła )to otwieranie nowej strony zostaje anulowane.:D:D:D Jedynym wyjściem, aby otworzyła mnie się jakakolwiek strona ( nawet forum ) jest wpisanie hasła.:(
Hotbar usunęłam z dodań i usuń programy.
Z hijackthis też wykasowałam podane śieżki.
Panel sterowania - w którym dokładnie miejscu jest opcja automatyczne aktualizacje?
" Najlepiej skorzystaj też z xp-antispy." - a gdzie to znajdę? Co to w ogole jest????


Zmieniony przez - Bulinetka0 w dniu 2004-09-17 01:05:34

#9 Sebart

Sebart

    1

  • Members
  • PipPipPip
  • 7751 postów

Napisano 17 wrzesień 2004 - 00:10

Panel sterowania -> system -> automatyczne aktualizacje

klasyfikator treści
http://komputery.katalogi.pl/temat7646/

xp-antispy
http://www.xp-antispy.org/download_local.php?filecatid=45&mirrorid=0
klik prawym mychy "Zapisz element docelowy jako"

Zmieniony przez - Sebart w dniu 2004-09-17 01:11:05

#10 Bulinetka0

Bulinetka0

    1

  • Members
  • PipPipPip
  • 66 postów

Napisano 17 wrzesień 2004 - 15:03

Klasyfikator treści poprostu wyłączyłam.:)
XP - antispy zainstalowałam, zaznaczyłam kilka opcji i zapisałam zmiany. Pytanie tylko, które opcje jeszcze mam zaznaczyć ( może najlepiej wszystkie? ):D
Przeskanowałam dysk i wykazało, że wirusa juz nie ma.
Wielkie dzięki.
Sog jest już na Twoim koncie. ;)

#11 Sebart

Sebart

    1

  • Members
  • PipPipPip
  • 7751 postów

Napisano 17 wrzesień 2004 - 19:25



ja mom tak %)

#12 Sebart

Sebart

    1

  • Members
  • PipPipPip
  • 7751 postów

Napisano 17 wrzesień 2004 - 19:25





#13 Bulinetka0

Bulinetka0

    1

  • Members
  • PipPipPip
  • 66 postów

Napisano 17 wrzesień 2004 - 20:05

Dzięki.;)

#14 Sebart

Sebart

    1

  • Members
  • PipPipPip
  • 7751 postów

Napisano 17 wrzesień 2004 - 22:28

Masz neo... "ukryj kompa w sieci" też możesz zaznaczyć

#15 Bulinetka0

Bulinetka0

    1

  • Members
  • PipPipPip
  • 66 postów

Napisano 18 wrzesień 2004 - 11:10

"Masz neo... "ukryj kompa w sieci" też możesz zaznaczyć : - nic się przed Tobą nie ukryje.;)Oczywiście żartuje. :D
Zaznaczyłam już daną opcję.:)
Kolejny sog na koncie.:D


#16 Bulinetka0

Bulinetka0

    1

  • Members
  • PipPipPip
  • 66 postów

Napisano 18 wrzesień 2004 - 12:38

Sebart - Ty mnie chyba udusisz.:D
Coś znów podziało się w kompie.:( Gdy klikam na skrót outlook express to przy tej nazwie pojawia się dziwne rozszerzenie Ink. :( Przy wysyłanej poczcie z załącznikiem też pojawia się ten skrót i zmienia rozszerzenie załącznika. Adresat poczty otrzymuje plik z rozszerzeniem zlg.

#17 Sebart

Sebart

    1

  • Members
  • PipPipPip
  • 7751 postów

Napisano 18 wrzesień 2004 - 12:48



cofnij zaznaczenia na

#18 Bulinetka0

Bulinetka0

    1

  • Members
  • PipPipPip
  • 66 postów

Napisano 18 wrzesień 2004 - 13:10

Odznaczyłam podane opcje. Co prawda przy skrócie do outlooka rozszerzenie "Ink" zniknęło, ale nadal pojawia się przy załącznikach dodanych do emailii. W dodatku gdy chcę ponownie uruchomić komputer to zawiesza się on w momencie, gdy na ekranie pojawia się napis " zamykanie systemu windows ".:(

A i jeszcze jedno przez przypadek klikłam na skrót Xip MFC Application - wtedy pokazało się w nowym oknie słoneczko. Nawet nie pamiętam do czego był ściągany ten program. :(

Mam też pytanie dotyczące punktów. Czy sog można dać tylko 1 w danym temacie? Klikłam, że chcę dać Tobie kolejnego soga, ale punktacja na Twoim koncie nie uległa zmianie.:(

Zmieniony przez - Bulinetka0 w dniu 2004-09-18 14:58:09

#19 Sebart

Sebart

    1

  • Members
  • PipPipPip
  • 7751 postów

Napisano 18 wrzesień 2004 - 18:26

Ta dłuższa 'zwieszka' przy wyłączaniu kompa może być poprzez "Czyść stronicowanie plików przy wyłączaniu" o ile korzystasz z pamięci wirtualnej a pewnie tak.
Trochę może jeszcze przedłużać opcja "Czyść cache WWW podczas zamykania systemu"

W razie dalszych problemów spróbuj skorzystać z profilów (górny lewy róg)
Najpierw "sugerowany" zastosuj i restart kompa, po tym jeszcze kontrola mejla ;) Jakby jeszcze była kicha z zawieszanie przy wyłączaniu to jest profil "System domyślny" hrhr %)

SOGa można dać tylko raz w danym dziale.

#20 Bulinetka0

Bulinetka0

    1

  • Members
  • PipPipPip
  • 66 postów

Napisano 19 wrzesień 2004 - 12:41

Najpierw wyłączyłam opcje " Czyść stronicowanie plików przy wyłączaniu", potem "Czyść cache WWW podczas zamykania systemu" zapisałam zmiany i dałam " uruchom ponownie komputer ". Niestety się nie uruchmił, tylko znów zawiesił na "zamykanie systemu windows". Czekałam, czekalam i nic. Myślałam, że jak dam " wyłacz komputer " to chociaż to zadziała, ale równiez nie - w końcu wyłączyłam go z listwy, bo na samoistne wyłączenie się go nie miałam co liczyć.Wtedy stwierdzilam, że moze ktoś pozmieniał coś w panelu sterowania ( zarzadzanie energią ) i dlatego się nie wyłącza, ale wszystko jest jak było.
Ustawiłam profil sugerowany, potem system domyslny i zapisalam zmiany, ale co z tego jak nie mogę zrestartowac kompa.:(


#21 Sebart

Sebart

    1

  • Members
  • PipPipPip
  • 7751 postów

Napisano 19 wrzesień 2004 - 13:22

Sprawdź mimo to ;)
http://komputery.katalogi.pl/temat3218/

restart może być i z listwy ważne aby ponownie kompa uruchomić %)

#22 Bulinetka0

Bulinetka0

    1

  • Members
  • PipPipPip
  • 66 postów

Napisano 19 wrzesień 2004 - 14:04

Obsługa APM jest cały czas włączona.
Odznaczyłam ja, zapisałam zmiany po czym znów zaznaczyłam i zapisałam zmiany i o dziwo komp wreszcie ruszył. Teraz bez problemu się restartuje i zamyka.:D
Niestety nadal przy wysyłanym emailach z załącznikami mam końcówkę INK. :(
A gdybym odinstalowała program XP - Antispy to może wróciłoby wszystko do normy? Tylko jak go odinstalować ( w dodań i usuń programy go nie ma )?

Zmieniony przez - Bulinetka0 w dniu 2004-09-19 16:01:07

#23 Sebart

Sebart

    1

  • Members
  • PipPipPip
  • 7751 postów

Napisano 19 wrzesień 2004 - 16:25

"nadal przy wysyłanym emailach z załącznikami mam końcówkę INK"
Masz tak jak sama wysyłasz mejle czy jak dostajesz od kogoś ?

Odinstalowanie xp-antispy nic nie da, bo zmiany w rejestrze i tak zostaną.


#24 Bulinetka0

Bulinetka0

    1

  • Members
  • PipPipPip
  • 66 postów

Napisano 19 wrzesień 2004 - 16:39

"nadal przy wysyłanym emailach z załącznikami mam końcówkę INK"
Masz tak jak sama wysyłasz mejle czy jak dostajesz od kogoś ?

Odinstalowanie xp-antispy nic nie da, bo zmiany w rejestrze i tak zostaną.

Jak wysyłam mam końcówkę INK - pojawia się ona gdy wysyłam zdjęcia w folderze. Teraz wysłałam samo zdjęcie i koncówka była już prawidłowa.
Jeżeli chodzi o folder to nie ma znaczenia czy go spakuję czy nie - co prawda, gdy skompresuję to u mnie pojawia się prawidłowe rozszerzenie exe, ale u adresata nadal jest takie samo , czyli ZLG.
Emaile, które dostaję mają prawidłowe rozszerzenie.


#25 Sebart

Sebart

    1

  • Members
  • PipPipPip
  • 7751 postów

Napisano 19 wrzesień 2004 - 16:42

Nie masz czasem zainstalowanego firewalla Zone Alarm ?




Użytkownicy przeglądający ten temat: 0

0 użytkowników, 0 gości, 0 anonimowych


Pozycjonowanie strony: Virtual Development