Kuzyn Namieszał W Kompie, Proszę O Pomoc

87.105.200.* napisał:

Witam.
Kuzyn miał dzisiaj dostęp do mojego kompa (sam nie ma netu). Nie wiem co nawyprawiał, bo ja jeszcze wirusa w życiu nie miałem. Przyznał się, że był na stronie z panienkami. I coś mi chyba wrzucił na kompa. Nie wiem czy istotne jest to, że zmieniłem ZA na Sygate Firewall dziś, jeszcze wszystkich reguł nie porobiłem, ale musiałem wyjść z domu i zostawić kuzyna. On coś próbował naprawić i poinstalował właśnie nie wiem co:
1) takie coś mam na pulpicie
http://img53.imageshack.us/my.php?image=pulpit7gx.jpg
nie wiem co to za progr., gdzie jego lokalizacja
2) w pasku zadań,miga więc zrobiłem 2 screeny
http://img221.imageshack.us/my.php?image=screenshot23yn.jpg
http://img107.imageshack.us/my.php?image=screenshot33mb.jpg
przy tej ikonce pojawia się info,ale nie da rady zrobić screena,więc zrobiłem zdjęcie:
http://img107.imageshack.us/my.php?image=zdj281cie5to.jpg
3) ad-aware znalazło:
http://img53.imageshack.us/my.php?image=adaware0kp.jpg
4) ewido zainstalowałem przed chwilą,znalazło,ale nie usuwa, bo próbowałem skan parę razy:
http://img53.imageshack.us/my.php?image=adaware0kp.jpg
5) gdy włączyłem hijack to pokazało się:
http://img107.imageshack.us/my.php?image=hijack0kv.jpg
http://img221.imageshack.us/my.php?image=hijack14wf.jpg

Log:
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
D:\programy\progr. do ochrony\sygate firewall\smc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
D:\programy\PROGR~2.DOO\AVG\avgamsvr.exe
D:\programy\PROGR~2.DOO\AVG\avgupsvc.exe
D:\programy\PROGR~2.DOO\AVG\avgemc.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
D:\programy\progr. do ochrony\ewido anti-malware\ewidoctrl.exe
C:\WINDOWS\System32\GEARSec.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
D:\programy\PROGR~2.DOO\AVG\avgcc.exe
D:\programy\narzędziowe\S2kCtl.exe
D:\programy\progr. do ochrony\Ad-Aware SE Personal\Ad-Aware.exe
D:\programy\progr. do grafiki\HandySnap\HandySnap.exe
C:\WINDOWS\explorer.exe
D:\programy\progr. do grafiki\HandySnap\HandySnap.exe
D:\programy\progr. do ochrony\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Nothing - {686a161d-5bd1-4999-8832-6393f41e564c} - C:\WINDOWS\system32\hp100.tmp
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [AVG7_CC] D:\programy\PROGR~2.DOO\AVG\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [SmcService] D:\programy\PROGR~2.DOO\SYGATE~1\smc.exe -startgui
O4 - HKLM\..\RunOnce: [AAW] "D:\programy\progr. do ochrony\Ad-Aware SE Personal\Ad-Aware.exe" "+b1"
O4 - Startup: Skrót do S2kCtl.exe.lnk = ?
O4 - User Startup: Skrót do S2kCtl.exe.lnk = ?
O8 - Extra context menu item: &Clean Traces - D:\programy\progr. do internetu\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - D:\programy\progr. do internetu\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - D:\programy\progr. do internetu\DAP\dapextie2.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{5B8CC4E1-58C9-4907-ADFE-1C0DB3C72110}: NameServer = 213.30.129.149,217.30.137.200
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - D:\programy\PROGR~2.DOO\AVG\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - D:\programy\PROGR~2.DOO\AVG\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - D:\programy\PROGR~2.DOO\AVG\avgemc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: ewido security suite control - ewido networks - D:\programy\progr. do ochrony\ewido anti-malware\ewidoctrl.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: Norton Ghost - Symantec Corporation - C:\Program Files\Norton Ghost\Agent\VProSvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - D:\programy\progr. do ochrony\sygate firewall\smc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - D:\programy\progr. do czyszczenia\tuneUp utilities\WinStylerThemeSvc.exe


Dodam, że skanowałem AVG, czyściłem regcleanerem, ad-aware,spyboot'em, cccleaner'em. Tyle, że za każdym razem się pojawiają znów.

212.186.128.* napisał:

HiJackThis tu wklej:
http://www.hijackthis.de/
bedziesz wiedzial co "wywalic"
a jak to ...
napisz jak nie pojdzie

195.177.196.* napisał:

ale czy na pewno czysciles i wywalales wszystko przy trybie awaryjnym systemu? jesli nie no to jasne ze bedzie wszystko powracalo

83.15.51.* napisał:

Mialem tą paskudę ostatnio. Przyznam że trochę namęczyłem się żeby ją usunąć.
przy uruchamianiu przeglądarki otwiera ci się strona jakieś firmy oferująca oprogramowanie antivir.
To taki paskudny i uparty advare.
Co możesz zrobić?
Proces odpowiedzialny za ikonkę w tray to : avgcc.exe
Próba wyłączenia procesu nic nie da, poprostu nie da się, a jak się da to pojawia się na nowo.
Zrób tak
Najpierw odinstaluj oprogramowanie odpowiedzialne za te ikonki z pierwszego screena. Znajdź to w dodaj usuń programy
Przeleć komputer skanerem online Panda active scan. Znajdzie ci on adware, pliki: avgcc.exe, downloader, i coś tam jeszcze, nie pamiętam dokładnie co. narazie nie przejmuj się plikami cookie, one też tam będą jako adware. zajmiesz się nimi później
następnie Uruchom regedit w zakladce szukanie wpisz: avgcc.exe i szukaj, kazdy znaleziony klucz itp usuwaj, naciskając f3 szukasz dalej, aż pokaże że wyszukiwanie zakończone. Uwaga, nie usówaj wszystkich kluczy które ci się pokażą, tylko te na których program się zatrzmał.
Najlepiej rób tak: w wyszukiwaniu wpisz: avgcc.exe jak znajdzie wpis naciśnij poprostu "delete" po czym naciśnij f3 aż pokaże że wyszukiwanie zakończone.
Postąp identycznie z każdą nazwą którą znajdzie panda active scan jako advare.
teraz w tray wyłącz: avgcc.exe Jak już to zrobisz usuń pliki z dysku. Panda pokazuje pełną ścieżkę dostęku więc zapisz je aby wiedzieć gdzie szukać.
Teraz zajmij się przeglądark ie, bo chociaż usunąłeś tą paskudę, nadal jako strona startowa bedzie otwierać się strona tej "chorej " firmy.
Usuń wszystkie pliki internetowe: zakładka narzędzia - opcje internetowe - ogólne - usuń wszyskie pliki internetowe, obok usuń cookie.
Miłej zabawy

80.53.93.* napisał:

Dzisiaj ten adware też mi się zadomowił. Tylko w moim wypadku nie ma tego pliku avgcc.exe. Były 3 inne odpowiedzialne za ikonki ale je skasowałem w trybie awaryjnym. Tylko ta strona w przeglądarce jak wychodziła tak wychodzi. Nie ma także żadnych podejrzanych procesów. Co mam jeszcze zrobić?

83.19.73.* napisał:

Najprościej - próbuj różnymi antyvirami avast home edition, mks, kaspersky a jak nic nie dadzą to format, nakopać do du*y kuzynowi (niech sobie kupi gazetkę), drugi błąd to używanie IE (ja u siebie wywaliłem wszelkie linki do tego programu tak by nikt nawet przypadkowo jego nie uruchomił) - na FireFoxie takich cudów nie ma a dodatkowe wtyczki wyłapują różne skrypty, które po cichu instalują Ci na kompie taki syf.
Wywal w trybie awaryjnym:

często nic to nie da bo to samo pojawi się po restarcie pod inna nazwą.
Ja kilka dni walczyłem z czymś podobnym bo zachciało mi się surfować na IE - dopiero format pomógł, dlatego od dawna jestem zwolennikiem FireFox'a i mam spokój.

212.122.214.* napisał:

zainstaluj sobie spyboot, ma sporo funkcji i niezla baze takich wlasnie glupot
i koniecznie zmien przegladarke na jedyna sluszna Firefox

00 01 02 03 04 05 06 07 08 09 10 11 12 13