logo elektroda
logo elektroda
X
logo elektroda
REKLAMA
REKLAMA
Adblock/uBlockOrigin/AdGuard mogą powodować znikanie niektórych postów z powodu nowej reguły.

jak to usunąć: trojan.spooner.f ?

nicola 19 Cze 2004 20:37 13146 35
REKLAMA
  • #1 700731
    nicola
    Poziom 11  
    nie mogę sobie z nim poradzić :cry: może ktoś wie jak go usunąć ? z góry dzięki 8)
  • REKLAMA
  • #2 700766
    md
    Poziom 41  
    Jakim programem go namierzyłaś ?
    Jaki masz sytem operacyjny.
  • REKLAMA
  • #3 700767
    jomek78
    Poziom 24  
    Ad-aware wyczyści trojany diale itd.powodzenia.pozdrawiam.jomek
  • #4 700792
    nicola
    Poziom 11  
    przeskanowałam mks vir i usunęło mi się kilka rzeczy, a teraz udało mi się wyrzucić ostatnią aplikację z dysku C :) tylko, że ona mi powraca co kilka dni i zabawa zaczyna się od poczatku :(

    a i znalazłam jeszcze jednego trojana : downloader.A i też nie ma na niego bata :)

    mam windows XP

    dzięki za pomoc ;)
  • REKLAMA
  • #5 700801
    md
    Poziom 41  
    nicola napisał:
    przeskanowałam mks vir i usunęło mi się kilka rzeczy, a teraz udało mi się wyrzucić ostatnią aplikację z dysku C :) tylko, że ona mi powraca co kilka dni i zabawa zaczyna się od poczatku :(

    a i znalazłam jeszcze jednego trojana : downloader.A i też nie ma niego bata :)

    mam windows XP

    dzięki za pomoc ;)

    To w końcu masz Spoonera, czy nie?
    Walka ze Spoonerem polega na grzebaniu w rejestrze, inne wirusy można załatwić inaczej. Zasadą jest, że zanim podejmiesz działanie, wyłącz przywracanie systemu, bo nowe wirusy chętnie siedzą tam w archiwach.
    Zasada 2; wirusy najlepiej tępić w trybie awaryjnym (podczas startu systemu wciskasz klawisz F8).

    Użyj jeszcze tego skanera on Line: http://security.symantec.com/sscv6/default.asp?langid=ie&venid=sym
  • #6 700817
    jomek78
    Poziom 24  
    Mnie udała się taka sprawa.Znalazłem plik i wywawiłem go "siekierą" z Totala.Popróbuj.pozdrawiam.jomek
  • REKLAMA
  • #7 700822
    md
    Poziom 41  
    jomek78 napisał:
    Mnie udała się taka sprawa.Znalazłem plik i wywawiłem go "siekierą" z Totala.Popróbuj.pozdrawiam.jomek

    A co z rejestrem? Wirus wróci szybciej niż się spodziewasz
  • #8 700831
    nicola
    Poziom 11  
    md, czy ten skaner usunie mi te 2 trojany, bo mam juz dość przeszukiwania na dziś ;) ?

    co do wyłączania przywracania systemu, to znalzłam juz wcześniej taką informację, żeby to wyłączyć i przeskanowac jeszcze raz mks-em, który mi to usunie i po problemie - tylko, że nic z tego nie wyszło

    nie wiem do konca czy ten trojan został usuniety, bo jak mówię wyrzuciłam chyba ostatnią aplikację, która jako jedyna nie zniknęła mi po wcześniejszym skanowaniu
    (poza tym mało sie na tym znam tak na prawdę :P)

    ale może pomożesz mi z tym drugim trojanem :)
  • #9 700834
    md
    Poziom 41  
    nicola napisał:


    ale może pomożesz mi z tym drugim trojanem :)

    Pomogę Ci zwalczyć wszystko, ale musisz ściągnąć HijackThis. Uruchom ten program i wciśnij SCAN. Program wyświetli wyniki szukania. teraz Save Log. Zapisujesz log do pliku. Potem otwierasz plik, zaznaczasz całość > kopiuj i potem wklej to do postu na forum. Ja przeglądnę log i powiem Ci, które wpisy trzeba usunąć (usunie je program HijackThis, trzeba mu je tylko wskazać).
  • #10 700836
    nicola
    Poziom 11  
    dzieki jomek, metoda z siekierą byłaby chyba dla mnie najlepsza :)
    tak, zdecydowanie najbardziej mi sie podoba :)

    wiecie jak to jest - dziewczyna w walce z trojanami ma małe przebicie :) dlatego szukam jakiejś pomocy i proszę się ze mnie nie śmiać (przynajmniej za bardzo :) )
  • #11 700838
    jomek78
    Poziom 24  
    W rejestrze w HKLM-u masz wpis usuń go i bingo.pozdrawiam.jomek
  • #12 700840
    md
    Poziom 41  
    jomek78 napisał:
    W rejestrze w HKLM-u masz wpis usuń go i bingo.pozdrawiam.jomek

    Jesteś orzeł. Powiedz tylko, który wpis? :)
    Wirusy i trojany uruchamiają wiele procesów i trzeba je wszystkie wyłączyć.
  • #13 700851
    nicola
    Poziom 11  
    Logfile of HijackThis v1.97.7
    Scan saved at 21:27:09, on 2004-06-19
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\Program Files\Sygate\SPF\Smc.exe
    C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    C:\WINDOWS\Explorer.exe
    C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
    C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
    C:\WINDOWS\System32\optmouse.exe
    C:\Program Files\DelFin\PromulGate\PgMonitr.exe
    C:\Program Files\DownloadWare\dw.exe
    C:\WINDOWS\System32\rundll32.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\GetRight\getright.exe
    C:\Program Files\GetRight\getright.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\emule\emule.exe
    C:\Program Files\Gadu-Gadu\gg.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Documents and Settings\Tomek Łoń\Pulpit\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://wp.pl/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
    F0 - system.ini: Shell=Explorer.exe C:\WINDOWS\System32\cmd32.exe
    F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\System32\cmd32.exe
    O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: (no name) - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Program Files\NewDotNet\newdotnet5_20.dll
    O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\Program Files\MediaLoads Enhanced\ME2.DLL
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [internat.exe] internat.exe
    O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
    O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
    O4 - HKLM\..\Run: [OPTMOUSEMOUSE] C:\WINDOWS\System32\optmouse.exe
    O4 - HKLM\..\Run: [PromulGate] "C:\Program Files\DelFin\PromulGate\PgMonitr.exe"
    O4 - HKLM\..\Run: [MediaLoads Installer] "C:\Program Files\DownloadWare\dw.exe" /H
    O4 - HKLM\..\Run: [DownloadWare] "C:\Program Files\DownloadWare\dw.exe" /H
    O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup
    O4 - HKLM\..\Run: [windows auto update] msblast.exe
    O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\Smc.exe -startgui
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [Yahoo! Pager] C:\Program Files\Yahoo!\Messenger\ypager.exe -quiet
    O4 - HKCU\..\Run: [Komunikator] C:\Program Files\Tlen.pl\tlen.exe
    O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
    O4 - HKCU\..\Run: [sp] C:\sp.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Program Files\GetRight\getright.exe
    O8 - Extra context menu item: Download with GetRight - C:\Program Files\GetRight\GRdownload.htm
    O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O8 - Extra context menu item: Open with GetRight Browser - C:\Program Files\GetRight\GRbrowse.htm
    O9 - Extra button: Related (HKLM)
    O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
    O10 - Hijacked Internet access by New.Net
    O10 - Hijacked Internet access by New.Net
    O10 - Hijacked Internet access by New.Net
    O10 - Hijacked Internet access by New.Net
    O10 - Hijacked Internet access by New.Net
    O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
    O16 - DPF: komentator - http://sport.onet.pl/komentator.cab
    O16 - DPF: Win32 Classes -
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
    O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab

    udało sie - dzielna jestem :) teraz tylko powiedzcie mi co i jak :)
  • #14 700858
    nicola
    Poziom 11  
    04 sp.exe to na pewno to :)
  • #15 700869
    jomek78
    Poziom 24  
    Zrób ina rejestru wywal na twardo ten wpis sp.exe i daj znać .pozdrawiam.jomek
  • #16 700873
    nicola
    Poziom 11  
    jest tam ktoś?? mam to usunąć? tylko powiedzcie mi jak?
  • #17 700886
    md
    Poziom 41  
    Zaznacz poniższe wpisy i wciśnij FIX ...

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\lsass.exe
    C:\Program Files\Sygate\SPF\Smc.exe
    C:\Program Files\DelFin\PromulGate\PgMonitr.exe
    C:\Program Files\DownloadWare\dw.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\GetRight\getright.exe
    C:\Program Files\GetRight\getright.exe
    C:\Program Files\emule\emule.exe
    C:\Program Files\Gadu-Gadu\gg.exe
    C:\Program Files\Internet Explorer\iexplore.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://wp.pl/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm

    F0 - system.ini: Shell=Explorer.exe C:\WINDOWS\System32\cmd32.exe
    F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\System32\cmd32.exe
    O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
    O2 - BHO: (no name) - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Program Files\NewDotNet\newdotnet5_20.dll
    O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\Program Files\MediaLoads Enhanced\ME2.DLL
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [PromulGate] "C:\Program Files\DelFin\PromulGate\PgMonitr.exe"
    O4 - HKLM\..\Run: [MediaLoads Installer] "C:\Program Files\DownloadWare\dw.exe" /H
    O4 - HKLM\..\Run: [DownloadWare] "C:\Program Files\DownloadWare\dw.exe" /H
    O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup
    O4 - HKLM\..\Run: [windows auto update] msblast.exe
    O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\Smc.exe -startgui
    Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [Yahoo! Pager] C:\Program Files\Yahoo!\Messenger\ypager.exe -quiet
    O4 - HKCU\..\Run: [sp] C:\sp.exe
    O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Program Files\GetRight\getright.exe
    O8 - Extra context menu item: Download with GetRight - C:\Program Files\GetRight\GRdownload.htm
    O8 - Extra context menu item: Open with GetRight Browser - C:\Program Files\GetRight\GRbrowse.htm
    O9 - Extra button: Related (HKLM)
    O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
    O10 - Hijacked Internet access by New.Net
    O10 - Hijacked Internet access by New.Net
    O10 - Hijacked Internet access by New.Net
    O10 - Hijacked Internet access by New.Net
    O10 - Hijacked Internet access by New.Net
    O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
    O16 - DPF: komentator - http://sport.onet.pl/komentator.cab
    O16 - DPF: Win32 Classes -
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
    O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl
  • #18 700889
    nicola
    Poziom 11  
    na pewno wiesz co robimy?? bo jak coś spieprzę to mnie brat zabije :)
  • #19 700890
    md
    Poziom 41  
    nicola napisał:
    jest tam ktoś?? mam to usunąć? tylko powiedzcie mi jak?

    Spokojnie, czuwam, ale wybaczysz, że w międzyczasie się posilę.
    Po usunięciu wpisów restart systemu i zabezpiecz się instalując łatkę "iefix.reg" i program Spywareblaster. W spywareblaster zaznacz opcje ochrony Internet Explorera
  • #20 700893
    md
    Poziom 41  
    nicola napisał:
    na pewno wiesz co robimy?? bo jak coś spieprzę to mnie brat zabije :)

    Ponad 20 lat w fachu, z wirusami walcze na co dzień. Usuwamy tylko wpisy, które są dla systemu zagrożeniem. Jest tego dużo, bo masz nie mało robactwa. Na chwilę wyłączysz tylko eMule itp, ale po wszystkim od nowa uruchomisz co potrzeba.
  • #21 700897
    nicola
    Poziom 11  
    zabezpiecz się instalując łatkę "iefix.reg" i program Spywareblaster. W spywareblaster zaznacz opcje ochrony Internet Explorera[/quote]

    dzieki za radę :) ale powinieneś sie domysleć juz chyba, ze ja pojecia nie mam jak sie łate instaluję 8) poza tym co to jest ten Spywareblaster? do ochrony mam zainstalowany tylko Sygate Personal Firewall i nie wiem co na to mój braciszek jak mu ściagnę coś nowego 8)

    ps. współpraca z tobą to fajana sprawa :D
  • #22 700901
    jomek78
    Poziom 24  
    A znasz coś takiego jak jv16 .SUPER.pozdrawiam.jomek
    PS,www.komputerswiat.pl
  • #23 700904
    md
    Poziom 41  
    nicola napisał:

    dzieki za radę :) ale powinieneś się domysleć juz chyba, ze ja pojecia nie mam jak się łate instaluję 8) poza tym co to jest ten Spywareblaster? do ochrony mam zainstalowany tylko Sygate Personal Firewall i nie wiem co na to mój braciszek jak mu ściagnę coś nowego 8)
    ps. współpraca z tobą to fajana sprawa


    iefix.reg dostępny jest na forum w archiwum iefix.zip. Archiwum rozpakowujesz i dwuklik na iefix.reg - łatka wpisze do rejestru informacje o nowych trojanach, tak by Internet Explorer rozpoznawał zagrożenie. Spywareblaster, to program zabezpieczający przed takimi niespodziankami, jak teraz miałaś. Pomimo Sygate Firewalla trafiło Cię dość skutecznie, jak widzisz. :)
    Wszystko możesz odinstalować, jak się bratu nie spodoba. Jak będzie chciał, to postaram się równieżpodesłać mu te wirusy, które usunęliśmy :) :) :)
  • #24 700916
    nicola
    Poziom 11  
    zaznaczyłam to wszystko (2razy sprawdziłam bo trochę się boję :)) i teraz fix - a później restart i dopiero mam tę łatę zainstalować tak? i jeszcze pytanko - skad wziać Spywareblaster'a :)
  • #25 700933
    md
    Poziom 41  
    nicola napisał:
    zaznaczyłam to wszystko (2razy sprawdziłam bo trochę się boję :)) i teraz fix - a później restart i dopiero mam tę łatę zainstalować tak? i jeszcze pytanko - skad wziać Spywareblaster'a :)

    Jak masz obawy,to odznacz:

    C:\Program Files\Internet Explorer\iexplore.exe
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe


    Wyższe wpisy zaznaczyłem lekko na wyrost, bo widać, że wirusy masz nie od dziś.
    Zaznaczyłem Nvidia itp dlatego, że wirusy doklejają się do różnych plików. Zawsze jednak wszystko można doinstalować (eMule, Nvidia itp.)
    Ale zaraz musisz uruchomić skaner Antywirusowy i przeskanować system.
  • #26 700936
    md
    Poziom 41  
    nicola napisał:
    zaznaczyłam to wszystko (2razy sprawdziłam bo trochę się boję :)) i teraz fix - a później restart i dopiero mam tę łatę zainstalować tak? i jeszcze pytanko - skad wziać Spywareblaster'a :)

    Nie dopisałem: Spywareblaster też jest w załącznikach na forum
  • #27 700937
    jomek78
    Poziom 24  
    Najpiew czytaj posty, a potem odpowiadaj,pozdrawiam.jomek
  • #28 700942
    nicola
    Poziom 11  
    ten system32 to mysle że mozna usunać , a explorera też wyrzucę skoro tak mowisz :)

    biorę sie za to - raz kozie smierć (czy jakos tak:))

    nadal tylko nie mogę tej łaty znaleźć i tego programu ale moze dam radę :)
  • #29 700969
    nicola
    Poziom 11  
    zrobiłam tak jak mówiłeś - właśnie skanuję dysk :) tylko po tej całej "operacji" mam mnóstwo jakichś ikonek na pulpicie - backup czy jakoś tak - co mam z tym zrobić ??
  • #30 700982
    md
    Poziom 41  
    nicola napisał:
    zrobiłam tak jak mówiłeś - właśnie skanuję dysk :) tylko po tej całej "operacji" mam mnóstwo jakichś ikonek na pulpicie - backup czy jakoś tak - co mam z tym zrobić ??

    To są kopie zapasowe na wypadek, gdyby coś poszło nie tak. Potrzymaj je gdieś kilka godzin i jak wszystkko będzie ok, możesz usunąć.
    Programy, o których pisałem, znajdziesz w załącznikach forum. (iefix.zip., Spywareblaster.exe) -przynajmniej wczoraj tam były.
REKLAMA