logo elektroda
logo elektroda
X
logo elektroda
REKLAMA
REKLAMA
Adblock/uBlockOrigin/AdGuard mogą powodować znikanie niektórych postów z powodu nowej reguły.

Jak się pozbyć wirusa? Komputer rozsyła wiadomości.

TV SERVICE 27 Gru 2006 17:57 4109 15
REKLAMA
  • #1 3375253
    TV SERVICE
    Poziom 12  
    Posty: 96
    Pomógł: 4
    Ocena: 12
    Otoz komputer sie zainfekowal
    Polega to na tym- po wywolaniu internetu samoistnie probuje wysylac wiadomosci / tak jakby rozsylal spam /
    Zainstalowany jest norton antywirus ale przeskanowanie nim komputera nie przynosi efektow.
    Prosze o porade jak sie pozbyc tego babola ?
  • REKLAMA
  • REKLAMA
  • #4 3375846
    TV SERVICE
    Poziom 12  
    Posty: 96
    Pomógł: 4
    Ocena: 12
    Sciagnalem i urzylem tego Spybot Search & Destroy
    Po zeskanowaniu znaleziono 10 problemow usunieto 9.Do usuniecia pozostal niejaki ,, smitfraund-C" ktory to zadomowil sie w Bibliotece c:\windows\system32\rpcc .dll
    I tego j/w nie chce usunac
    Czy to znaczy,ze kaplica i format
    ???????????
  • #6 3376182
    Kolobos
    Spec od komputerów
    Posty: 85172
    Pomógł: 17169
    Ocena: 10450
    :arrow: TV SERVICE
    Wklej na forum log z hijackthis!
    Oraz log z smitfraudfix.
    Plik rpcc.dll usun przy pomocy killbox'a z zaznaczona opcja delete on reboot.
  • REKLAMA
  • #7 3376956
    TV SERVICE
    Poziom 12  
    Posty: 96
    Pomógł: 4
    Ocena: 12
    plik rpcc.dll zostal usuniety programem killbox.Zrobiono ponowne skanowanie Spybotem-ten juz nie wykryl zadnych nieprawidlowosci.Niestety komputer w dalszym ciagu probuje rozsylac poczte
  • #8 3376968
    Kolobos
    Spec od komputerów
    Posty: 85172
    Pomógł: 17169
    Ocena: 10450
    Wkleisz w koncu to o co Cie prosilem czy bedziesz dalej produkowal kolejne posty?
  • #9 3376972
    jankolo
    Spoczywaj w Pokoju
    Posty: 32197
    Pomógł: 1792
    Ocena: 586
    Czy kolega ma problemy z czytaniem tekstu polskiego ze zrozumieniem? Czy Kolobos napisał cos o skanowaniu przy pomocy spybot-a czy też mowa była o dwóch zupełnie innych programach?
  • #10 3376998
    TV SERVICE
    Poziom 12  
    Posty: 96
    Pomógł: 4
    Ocena: 12
    tronic 1 zasugerowal ten program dajac do niego linka.I dobrze gdyz Skybot wykryl nieprawidlowosci.

    Dodano po 5 [minuty]:

    Wkleilem w wyszukiwarce hijackthis- wyswietlilo sie 37 stron do przeczytania.A ja pracuje na zainfekowanym komputerze i otwarcie jednej strony zajmuje wieki.Tak ze prosze o wyrozumialosc
  • REKLAMA
  • #11 3377022
    Kolobos
    Spec od komputerów
    Posty: 85172
    Pomógł: 17169
    Ocena: 10450
    Skoro nie masz zamiaru wkleic log'a z hijackthis oraz log'a, ktory wygeneruje sie po uzyciu SmitfraudFix to nie ma sensu dalej ciagnac tego watku.
  • #12 3377023
    jankolo
    Spoczywaj w Pokoju
    Posty: 32197
    Pomógł: 1792
    Ocena: 586
    Kolega TV SERVICE wykazuje daleko idącą niechęć do współpracy przy rozwiązywaniu własnego problemu lekceważąc prośby osób próbujących udzielić mu pomocy. Dlatego też TEMAT ZAMYKAM. Jeżeli kolega będzie gotów do udzielenia odpowiedzi na WSZYSTKIE postawione dotychczas pytania to proszę o informację na PW i wtedy ponownie otworzę temat.
  • #13 3377128
    TV SERVICE
    Poziom 12  
    Posty: 96
    Pomógł: 4
    Ocena: 12
    Logfile of HijackThis v1.99.1
    Scan saved at 01:18:28, on 2006-12-28
    Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
    C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
    C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
    C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
    C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
    C:\WINDOWS\system32\RunDll32.exe
    C:\Program Files\Common Files\Symantec Shared\ccApp.exe
    C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
    C:\PROGRA~1\NEOSTR~1\CnxMon.exe
    C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe
    C:\Program Files\QuickTime\qttask.exe
    D:\Anetqa\winamp\winampa.exe
    C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
    C:\Program Files\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
    D:\Program Files\DAP\DAP.EXE
    C:\WINDOWS\system32\wscntfy.exe
    C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
    C:\WINDOWS\explorer.exe
    C:\Program Files\Neostrada TP\NeostradaTP.exe
    C:\Program Files\Neostrada TP\ComComp.exe
    C:\Program Files\Neostrada TP\Watch.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\WINDOWS\system32\services.exe
    C:\Program Files\Norton SystemWorks\Norton AntiVirus\OPScan.exe
    D:\Downloads\filmy\download\hijackthis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://szukaj.wp.pl
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neostrada.pl
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada TP
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
    R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL
    R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
    O1 - Hosts: 213.21.215.181 gg.muchina.com
    O1 - Hosts: 213.21.215.181 ogg.muchina.com
    O1 - Hosts: 213.21.215.181 update.nprotect.net
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\SPYBOT~1\SDHelper.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
    O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
    O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
    O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
    O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
    O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
    O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\NEOSTR~1\CnxMon.exe
    O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe
    O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [WinampAgent] D:\Anetqa\winamp\winampa.exe
    O4 - HKLM\..\Run: [DownloadAccelerator] "D:\Program Files\DAP\DAP.EXE" /STARTUP
    O4 - HKCU\..\Run: [Norton SystemWorks] "C:\Program Files\Norton SystemWorks\cfgwiz.exe" /GUID {05858CFD-5CC4-4ceb-AAAF-CF00BF39736A} /MODE CfgWiz
    O4 - HKCU\..\Run: [Komunikator] "D:\Anetqa\tlen\Tlen.pl\tlen.exe" --confdir=home
    O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
    O4 - HKCU\..\Run: [WinInit] "C:\WINDOWS\system32\~38335312.exe "
    O4 - HKCU\..\Run: [WinUpdate] "C:\WINDOWS\system32\~38370421.exe "
    O4 - HKCU\..\Run: [WinMedia] C:\WINDOWS\system32\~38321531.exe
    O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O8 - Extra context menu item: &Clean Traces - D:\Program Files\DAP\Privacy Package\dapcleanerie.htm
    O8 - Extra context menu item: &Download with &DAP - D:\Program Files\DAP\dapextie.htm
    O8 - Extra context menu item: Download &all with DAP - D:\Program Files\DAP\dapextie2.htm
    O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - http://www.symantec.com/techsupp/asa/ctrl/LSSupCtl.cab
    O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - http://www.symantec.com/techsupp/asa/ctrl/SymAData.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{85C14BDD-035F-4181-9DD0-33AED35B856E}: NameServer = 194.204.152.34 217.98.63.164
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
    O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
    O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
    O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
    O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton AntiVirus\SAVScan.exe
    O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
    O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
    O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe

    SmitFraudFix v2.131

    Scan done at 1:19:14,32, 2006-12-28
    Run from D:\Downloads\filmy\download\SmitfraudFix
    OS: Microsoft Windows XP [Wersja 5.1.2600] - Windows_NT
    The filesystem type is NTFS
    Fix run in normal mode

    »»»»»»»»»»»»»»»»»»»»»»»» C:\


    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\andrzej


    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\andrzej\Application Data


    »»»»»»»»»»»»»»»»»»»»»»»» Start Menu


    »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\andrzej\Ulubione


    »»»»»»»»»»»»»»»»»»»»»»»» Desktop


    »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


    »»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


    »»»»»»»»»»»»»»»»»»»»»»»» Desktop Components



    »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
    !!!Attention, following keys are not inevitably infected!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll


    »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
    !!!Attention, following keys are not inevitably infected!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    "AppInit_DLLs"=""


    »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
    !!!Attention, following keys are not inevitably infected!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "System"=""


    »»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32


    »»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection


    »»»»»»»»»»»»»»»»»»»»»»»» End

    Mam nadzieje ze to pomoze.
    I na przyszłośc prosze piszcie do mnie jak do laika (bez skrutów myślowych) bo ja nie jestem specem od tych spraw ;P
  • #14 3377159
    Kolobos
    Spec od komputerów
    Posty: 85172
    Pomógł: 17169
    Ocena: 10450
    W SmitFraudFix wybierz opcje numer 2.

    Odinstaluj nortona, zapycha tylko system, a i tak Ci w niczym nie pomoze. Zamiast niego zainstaluj np. AntiVir PE oraz ewido (dostepne na google), ktorym przeskanuj system.

    Wywal aplikacje od neostrady, opis masz np. tutaj:
    http://forum.gazeta.pl/forum/72,2.html?f=430&w=38051058&a=38791726

    W hijackthis usun te wpisy:
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neostrada.pl
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada TP
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
    R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL
    R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
    O1 - Hosts: 213.21.215.181 gg.muchina.com
    O1 - Hosts: 213.21.215.181 ogg.muchina.com
    O1 - Hosts: 213.21.215.181 update.nprotect.net
    O4 - HKCU\..\Run: [WinInit] "C:\WINDOWS\system32\~38335312.exe " <- plik usun z dysku.
    O4 - HKCU\..\Run: [WinUpdate] "C:\WINDOWS\system32\~38370421.exe <- ten tez
    O4 - HKCU\..\Run: [WinMedia] C:\WINDOWS\system32\~38321531.exe <- i ten.
    O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - http://www.symantec.com/techsupp/asa/ctrl/LSSupCtl.cab
    O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - http://www.symantec.com/techsupp/asa/ctrl/SymAData.cab
  • #15 3377277
    templar78
    Użytkownik obserwowany
    Posty: 379
    Pomógł: 9
    Ocena: 7
    Przeskanuj komputer w trybie awaryjnym , spróbuj np kasperskym avp
    albo kaspersky internet seciurity mozna sobie darmowe 30 dniowe wersje sciągnąć ze strony www.kasperskylab.pl lub podobnej

    Dodano po 42 [sekundy]:

    www.kaspersky.pl
  • #16 3377461
    TV SERVICE
    Poziom 12  
    Posty: 96
    Pomógł: 4
    Ocena: 12
    Dzis na Elektrodzie jest opis problemu ktory mnie dotknal link
    http://hacking.pl/6348
    Postaram sie postepowac zgodnie z waszymi sugestiami

Podsumowanie tematu

✨ Komputer użytkownika został zainfekowany wirusem, który powoduje automatyczne rozsyłanie spamu po uruchomieniu internetu. Pomimo zainstalowanego programu Norton Antivirus, skanowanie nie wykryło zagrożeń. Zalecano użycie narzędzi takich jak HijackThis, Spybot Search & Destroy oraz SmitFraudFix do identyfikacji i usunięcia złośliwego oprogramowania, w tym wirusa smitfraud-C, który znajdował się w pliku rpcc.dll w katalogu systemowym. Plik rpcc.dll został usunięty przy pomocy KillBox z opcją usunięcia przy ponownym uruchomieniu systemu. Po usunięciu pliku i ponownym skanowaniu Spybotem problem rozsyłania spamu nadal występował. Sugerowano odinstalowanie Nortona i zastąpienie go programami AntiVir PE oraz Ewido, a także skanowanie w trybie awaryjnym za pomocą Kaspersky AVP lub Kaspersky Internet Security (dostępne wersje testowe). Dodatkowo wskazano na konieczność wklejenia logów z HijackThis i SmitFraudFix na forum w celu dalszej analizy. Wskazano również na konieczność usunięcia podejrzanych wpisów w rejestrze i pliku hosts związanych z neostradą i innymi podejrzanymi adresami. Użytkownik otrzymał linki do narzędzi i opisów usuwania infekcji oraz do zewnętrznych źródeł z podobnymi przypadkami.
Podsumowanie AI na podstawie dyskusji. Może zawierać błędy.
REKLAMA