Forum PCLab.pl: Jak usunąć wirusa - Forum PCLab.pl

Skocz do zawartości

Dodaj obrazek

Otwarty

Ikona Ostatnio dodane tematy

Ikona Najnowsze pliki

Strona 1 z 1
  • Nie możesz rozpocząć nowego tematu
  • Nie możesz odpowiadać w tym temacie

Jak usunąć wirusa TR/Agent.6938.A --> tmpC3.tmp Oceń temat: -----

#1 Użytkownik jest niedostępny   nonda Ikona

  • Wile_E
  • PipPipPipPipPip
  • Grupa: Forumowicze
  • Postów: 1624
  • Dołączył: Pn, 18 Cze 07

Napisany 13 Październik 2008 - 19:48

Avira go wykrywa, kiedy wchodzie do "Mój komputer", albo gdy usuwam tempy CCleanerem. Pyta co z nim zrobić, wybieram "Delete" i klikam Ok. Nic to nie pomaga, bo plik ten i tak zostaje w tym folderze "Documents and Settings" ...-> "Temp", i gdy powtarzam wyżej wymienione czynności problem powraca, nawet po restarcie.
Usunąć się go nie da z tego folderu " odmowa dostępu "
Co robić ??

#2 Użytkownik jest niedostępny   Venom22 Ikona

  • Dyskutant
  • PipPip
  • Grupa: Forumowicze
  • Postów: 58
  • Dołączył: Nd, 05 Paź 08

Napisany 13 Październik 2008 - 19:55

Spróbuj przeskanować gruntownie system MAM :

http://www.programosy.pl/program,malwareby...ti-malware.html

Pamiętaj o aktualizacjach.

Pozdrawiam.

#3 Użytkownik jest niedostępny   nonda Ikona

  • Wile_E
  • PipPipPipPipPip
  • Grupa: Forumowicze
  • Postów: 1624
  • Dołączył: Pn, 18 Cze 07

Napisany 14 Październik 2008 - 20:43

Avira jak i ThreatFire mnie zawiedli. Z jednego wirusa "tmpC3.tmp" namnożyły się 3 podobne, do tego zarażony został także dysk D. ThreatFire też wykrywa jakiegoś innego ( w "system32" ), którego Avira nie znajduję; ale także nie potrafi sobie z nim poradzić. Aktualnie straciłem dostęp do moich dysków, system windows nie może znaleźć pliku "resycled boot.com".

Chyba wrócę do Noda.
Obydwa wyżej wymienione programy po przeskanowaniu systemu, nie wyświetliły żadnego komunikatu z możliwością naprawienia, bądź usunięcia zagrożeń. W przypadku Aviry po przeskanowaniu jest pokazana tylko liczba wirusów, lub innych badziewi. Oczywiście jest możliwy do zobaczenia jakiś raport, ale jest on tak czytelny i przejrzysty że szok - nie wiadomo gdzie jest napisane coś o wirusach. W innych AV od razu po skanie jest wyświetlane " ile/czego/gdzie/co zrobić " Dopiero po zajrzeniu do zakładki "Kwarantanna" można coś konkretnego odczytać, jednakże nie da się nic usunąć na stałe, żadnych trojanów, czy Malware. Jedynie ze stanowiska "kwarantanny" można wyczyścić, co nie zmienia faktu, że zostaną na kompie. Ile razy zeskanuje kompa, zawsze to samo wyskakuje, a nawet więcej ( niektóre Trojany, które mam na dysku, są niegroźne, albo źle zdiagnozowane - bo bez tych pliczków niektóre gry/programy nie chcę się uruchomić, albo zainstalować. Jestem świadom ich obecności, mam je od dłuższego czasu ). W kwarantannie mam także: netianet.exe, sporo plików z D:\System volume information, oraz wyżej wspomniany resycled boot.com. ( na dwóch dyskach ).
Zarówno jeden jak i drugi program, wyświetla możliwość likwidacji zagrożenia, jedynie gdy złapie je na gorąco, jeśli wyczuje to ochrona rezydentna. Niestety po gruntownym skanie, nie ma takiej możliwości.
Paradoksalnie w Avirze opcja "Delete" nie działa, co mogę zaobserwować używając CCleanera, bądź próbując otworzyć któryś z dysków. Przy każdej z tych czynności Avira znajduje i usuwa "tmpC3.tmp", za każdym razem nieskutecznie.
Jeszcze wczoraj w tempach znajdował się tylko jeden trojan (tmpC3.tmp), dzisiaj mam dwa następne (tmp8.tmp i tmp23.tmp )

Oto moje Logi z hijackThis:
KLIK

Ten post był edytowany przez nonda dnia: 14 Październik 2008 - 20:48


#4 Użytkownik jest niedostępny   yngve Ikona

  • Orator
  • PipPipPipPip
  • Grupa: Forumowicze
  • Postów: 521
  • Dołączył: Pt, 25 Lip 08

Napisany 15 Październik 2008 - 08:51

Fix:
O4 - HKLM\..\Run: [C:\WINDOWS\system32\kdwut.exe] C:\WINDOWS\system32\kdwut.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{0FDA9F54-458D-4EC3-83A2-1A532ABB9376}: NameServer = 85.255.112.107;85.255.112.200
O17 - HKLM\System\CS1\Services\Tcpip\..\{0FDA9F54-458D-4EC3-83A2-1A532ABB9376}: NameServer = 85.255.112.107;85.255.112.200
Te powyższe wpisy mi się nie podobają. Gdybyś jednak miał problem z połączeniem z internetem możesz te dwa ostatnie przywrócić po zafixowaniu za pomocą HJT > View the list of backups > zaznaczasz wpisy i Restore.

Combofix


Poniższą zawartość wklej do notatnika i zapisz plik pod nazwą CFScript.txt
Następnie plik ten przeciągamy na ikonę programu Combofix.
File::
C:\WINDOWS\system32\kdwut.exe

Dodaj obrazek



i wklej log z combofixa.


EDIT

A jak masz skonfigurowaną avirę? Ustaw w Configuration > Scanner > Scan all files; zaznacz wszystkie opcje w Additional settings; w Action for cancering files ustaw Automatic > Primary Action - repair; Secondary action - delete. Archives > All archive type; Heuristic > High detection level.

Urucham Avire i przeskanuj partycje w trybie avaryjnym.

Jak wejsc w tryb awaryjny?
Podczas startu Windowsa należy nacisnąć klawisz F8 i wybrac tę opcję w menu.

Ten post był edytowany przez yngve dnia: 15 Październik 2008 - 09:15


#5 Użytkownik jest niedostępny   nonda Ikona

  • Wile_E
  • PipPipPipPipPip
  • Grupa: Forumowicze
  • Postów: 1624
  • Dołączył: Pn, 18 Cze 07

Napisany 15 Październik 2008 - 16:37

Zapomniałem wczoraj dodać, że kdwut.exe ( + dwa inne świństwa ) znalazł Pc Tools ThreatFire, ale nic z nimi nie zrobił. Jedynie co mogłem z nimi zrobić to umieścić w kwarantannie, ale to nic nie daje.

Cytuj

Ustaw w Configuration > Scanner > Scan all files; zaznacz wszystkie opcje w Additional settings; w Action for cancering files ustaw Automatic > Primary Action - repair; Secondary action - delete. Archives > All archive type; Heuristic > High detection level
tak miałem ustawione, ale po skanie nie wyskakuje żadna informacja - co i gdzie. chyba wszystko ląduje w kwarantannie. Za każdym razem jak skanuje system, nie zależnie czy usunę te pliki z kwarantanny, czy nie, to i tak zawsze znajduje to samo.

PS. Przed skanem ComboFixa, trzeba wyłączyć wszystkie programy zabezpieczające, ale owego ThreatFire nie można ( nawet w usługach ). Co robić ?? ( zostawić, czy skasować )
A zafiksowanie kdwut.exe HijackThis nie dałoby tego samego rezultatu co ComboFix ??

Ten post był edytowany przez nonda dnia: 15 Październik 2008 - 16:54


#6 Użytkownik jest niedostępny   yngve Ikona

  • Orator
  • PipPipPipPip
  • Grupa: Forumowicze
  • Postów: 521
  • Dołączył: Pt, 25 Lip 08

Napisany 15 Październik 2008 - 20:01

Zobacz postnonda, o 15 Październik 2008, 17:37, napisał(a):

Zapomniałem wczoraj dodać, że kdwut.exe ( + dwa inne świństwa ) znalazł Pc Tools ThreatFire, ale nic z nimi nie zrobił. Jedynie co mogłem z nimi zrobić to umieścić w kwarantannie, ale to nic nie daje.

tak miałem ustawione, ale po skanie nie wyskakuje żadna informacja - co i gdzie. chyba wszystko ląduje w kwarantannie. Za każdym razem jak skanuje system, nie zależnie czy usunę te pliki z kwarantanny, czy nie, to i tak zawsze znajduje to samo.

PS. Przed skanem ComboFixa, trzeba wyłączyć wszystkie programy zabezpieczające, ale owego ThreatFire nie można ( nawet w usługach ). Co robić ?? ( zostawić, czy skasować )
A zafiksowanie kdwut.exe HijackThis nie dałoby tego samego rezultatu co ComboFix ??


Aby wyłączyć ThreatFire należy kliknąć prawym przyciskiem na jego myszy na ikone w trayu suspend. Z avirą podobnie PPM i masz tam Antivir Guard Enable - odznacz. Potem po=stepuj tak jak napisalem w powyzszym poscie. Do kwarantany nie bedzie kopiowac avira jezeli tam nie zaznaczyles takiej opcji.

Zapisz sciezki do infekcji, które nie mogły zostać usunięte. Spokojnie je usuniesz za pomoca combofixa. Poza tym tak jak mówiłem. W trybie avaryjny przeskanuj avira oraz Malwarebytes' Anti-Malware, który jest vardzo dobry na takie infekcje.

PS. Później będę, bo lece mecz oglądać.

#7 Użytkownik jest niedostępny   nonda Ikona

  • Wile_E
  • PipPipPipPipPip
  • Grupa: Forumowicze
  • Postów: 1624
  • Dołączył: Pn, 18 Cze 07

Napisany 15 Październik 2008 - 20:59

Dobra juro się tym zajmę.

Oto aktualny obrazek z Aviry, dlaczego nie kasuje tylko do kwarantanny daje ?? ( nie ma tu kdwut.exe - tylko w Pc tools )
Dodaj obrazek

te pliczki od MU nie są groźne, bez nich gra nie chce się odpalić. Mam je już od dawna - nie sprawiają problemu ( zresztą ci co grali ze mną, mówili że to nie wirus ).
Nie wiem czy ten AV się jakoś zaktualizował, ale wcześniej jeszcze były dwa pliczki z innego folderu związanego z MU.

Ten post był edytowany przez nonda dnia: 15 Październik 2008 - 21:05


#8 Użytkownik jest niedostępny   yngve Ikona

  • Orator
  • PipPipPipPip
  • Grupa: Forumowicze
  • Postów: 521
  • Dołączył: Pt, 25 Lip 08

Napisany 15 Październik 2008 - 22:19

Zobacz postnonda, o 15 Październik 2008, 21:59, napisał(a):

Dobra juro się tym zajmę.

Oto aktualny obrazek z Aviry, dlaczego nie kasuje tylko do kwarantanny daje ?? ( nie ma tu kdwut.exe - tylko w Pc tools )
Dodaj obrazek

te pliczki od MU nie są groźne, bez nich gra nie chce się odpalić. Mam je już od dawna - nie sprawiają problemu ( zresztą ci co grali ze mną, mówili że to nie wirus ).
Nie wiem czy ten AV się jakoś zaktualizował, ale wcześniej jeszcze były dwa pliczki z innego folderu związanego z MU.


Po pierwsze - dlaczego dodaje do kwarantany? bo masz taka opcje zaznaczoną Copy file before action to quarantine. a po co jest ta opcja? Abys mógł zwerfikować czy to jest na pewno wirus czy może nie i wtedy mozesz przywrocic go z powrotem. Antywirusy widza bardzo czesto patche jako trojany, bo one de facto tak dzialają. Masz pewność, że plik jest czysty i działanie tego "trojana" - patche'a jest zamierzone, to go nie kasujesz. Nie chcesz aby Ci dodawał do kwarantany - to odznaczasz ta opcje w konfiguracji.

Przeciez usuwa Ci te wirusy. Najpierw kopiuje do kwarantany, potem podejmuje akcję naprawy a jak nie moze naprawic usuwa. W kwarantanie masz kopie (unieszkodliwione, zablokowane) wirusów, które możesz sobie usunąć za pomoca prostego delete, a jak stwierdzisz, ze plik jest ok, to mozesz przywrocic go. Source to zrodlo skad pochodzi plik, ale to nie oznacza, ze on tam jest.

Poza tym jak nie masz pewnosci czy dany plik jest czysty to zalecam sie go pozbyc, bo rownie czesto takie patche moga byc prawdziwymi trojanami. Warto sprawdzic dany plik Malwarebytes, a takze http://virusscan.jotti.org/ oraz poszukac odpowiedzi na google, gdzie czesto znajdziesz odpwiedz, czy dany plik jest wirusem, trojanem itd. czy jest czysty, bo na pewno nie jestes pierwszym uzytkownikiem, który spotakl na drodze z tym dylematem.

... i czy to bedzie Nod32 czy Avira, czy jakis inny antywirus one dzialaja na tej samej zasadzie.



Kiedy dasz log z combofixa? Jezlei chcesz pomocy, to dajesz log, bez niego mam za malo informacji aby Ci pomoc. Przeskanowałes partycje Malwarebytes? Jaki efekt? Nic o tym nie piszesz...


EDIT:

Mam jeszcze takie pytanie - jak dopusciles do infekcji? Skoro Avira wykrywa te wirusy, to podczas ich sciagania, instalowania na pewno byłbys powiadomiony przez modul guard działający w tle o niebezpiecznych, zarazonych plikach i ich działanie byłoby zablokowane zgodnie z Twoją wolą (ustawieniami, decyzją) oczywiscie.

Jeżeli czesto instalujesz gry, programy z patche'mi to nie pracuj na koncie administratora, tylko z ograniczeniami, wtedy byś sie ustrzegł takich problemów.

Ten post był edytowany przez yngve dnia: 15 Październik 2008 - 23:03


#9 Użytkownik jest niedostępny   nonda Ikona

  • Wile_E
  • PipPipPipPipPip
  • Grupa: Forumowicze
  • Postów: 1624
  • Dołączył: Pn, 18 Cze 07

Napisany 19 Październik 2008 - 12:37

Cytuj

Aby wyłączyć ThreatFire należy kliknąć prawym przyciskiem na jego myszy na ikone w trayu suspend.
Wiem że suspend wyłącza ThreatFire, ale jego usługa i tak zostaje aktywna.

Cytuj

Po pierwsze - dlaczego dodaje do kwarantany? bo masz taka opcje zaznaczoną Copy file before action to quarantine. a po co jest ta opcja? Abys mógł zwerfikować czy to jest na pewno wirus czy może nie i wtedy mozesz przywrocic go z powrotem. Antywirusy widza bardzo czesto patche jako trojany, bo one de facto tak dzialają. Masz pewność, że plik jest czysty i działanie tego "trojana" - patche'a jest zamierzone, to go nie kasujesz. Nie chcesz aby Ci dodawał do kwarantany - to odznaczasz ta opcje w konfiguracji.
1. Jak zmienię tą opcję, to co się będzie pokazywało po zakończonym skanie ?? jakiś komunikat o możliwości usunięcia/przywrócenia danych zagrożeń ??
2. Jak usunąć definitywnie z komputera pliki znajdujące się w kwarantannie ?? Gdy klikam " delete from Quarantine " to nic to nie pomaga, bo po ponownym skanie i tak wszystko wraca tam z powrotem do " Kwarantanny ". ( proszę o screena - Dodaj obrazek a oto moja aktualna Kwarantanna )

Cytuj

Mam jeszcze takie pytanie - jak dopusciles do infekcji? Skoro Avira wykrywa te wirusy, to podczas ich sciagania, instalowania na pewno byłbys powiadomiony przez modul guard działający w tle o niebezpiecznych, zarazonych plikach i ich działanie byłoby zablokowane zgodnie z Twoją wolą (ustawieniami, decyzją) oczywiscie.
Infekcja wynikała z mojej winy. chciałem z pewnej strony ściągnąć Ad Munchera, który będzie chodził za free ( Adblock Plus + formułka o której pisałeś, nie zadowala mnie, AM dużo lepszy, jednakże ma też i wady ). Gdy kliknąłem żeby zasysał, wyskoczył mi komunikat Aviry że to Trojan, więc zaznaczyłem " delete " i OK, do ściągania nie doszło. Po paru godzinach, gdy chciałem wyczyścić Cleanerem tempy, wyskoczył mi identyczny komunikat, wiec znowu " delete i OK " - niestety za każdym razem gdy chciałem użyć Cleanera sytuacja się powtarzała ( choć po zatwierdzeniu czynności Aviry, program działał normalnie ). To samo się działo gdy chciałem wejść na dysk C - pierw komunikat, potem dysk. Doszedłem że te trojany znajdują się w C:\Documents and Settings\...\...\ TEMP, ale za żadne skarby nie dało się ich usunąć. Następnego dnia straciłem dostęp do dysków.


Cytuj

Kiedy dasz log z combofixa? Jezlei chcesz pomocy, to dajesz log, bez niego mam za malo informacji aby Ci pomoc. Przeskanowałes partycje Malwarebytes? Jaki efekt? Nic o tym nie piszesz...
Wczoraj miałem trochę więcej czasu, więc wziąłem się za ComboFixa. Powyłączałem wszystkie programy, a także usługi od zabezpieczeń ( Comondo, AV, TF ), i zacząłem majstrować. Program staną na wysokości zadania, usuną te wirusy. Długo skanował, i nawet zrestartował komputer. ThearFire i Avira po dzisiejszych skanach, nie wykrywają już tych śmieci.


Wczoraj jeszcze raz przeskanowałem Combofixem, za drugim razem trwało to dużo krócej, i nie zrestartował kompa.
Add - remove + ComboFix-quarantined-files + ComboFix
Czy coś jest jeszcze nie tak ?? ( HijackHist dużo przejrzystszy )

Usunąć te foldery na dysku które powstały przez ComboFixa ??

PS> Wczoraj miałem napisać tego posta, ale dostałem nerwicy, gdy zamiast zmienić zakładkę kliknąłem przypadkiem " odśwież "

Ten post był edytowany przez nonda dnia: 19 Październik 2008 - 12:53


#10 Użytkownik jest niedostępny   yngve Ikona

  • Orator
  • PipPipPipPip
  • Grupa: Forumowicze
  • Postów: 521
  • Dołączył: Pt, 25 Lip 08

Napisany 19 Październik 2008 - 15:02

ThreatFire
Suspend, czyli zawieszenie, które oznacza, że program TF zostaje wyłczony. Jednak jego usługa (proces) będzie widoczny Menedzerze zadan, ale program nie będzie Ciebie chronił w tym czasie, a więc i nie będzie miał możliwości wpaść w konflikt z combofixem. A o to nam chodziło.

Jak wyłczyć całkowicie TF, badz inny program?
Np. korzystajac z programu Starter, którego Tobie poleciłem. Po pierwsze należy wejść na zakładkę Autostarty, kliknac na wszystkie sekcje i następnie odnaleść i odhaczyc wpis od TF. Potem przejdz do zakłądki usług (services) i tutaj znajdz usługę od TF i PPM i zaznaczasz status usługi jako disabled. No i robisz restart aby zobaczyć efekt. Gdy chcesz włączyć go ponowanie to wracasz do pierwotnych ustawien.

Cytuj

1. Jak zmienię tą opcję, to co się będzie pokazywało po zakończonym skanie ?? jakiś komunikat o możliwości usunięcia/przywrócenia danych zagrożeń ??


Jeżeli ustawiłes w konfiguracji automatyczne kopiowanie do kwarantanny, nastepnie leczenie zainfekowanego pliku a w przypadku nie mozliwosci wyleczenia - usuniecie pliku zarażonego, więc jak wyłączysz ta opcje to pominie to własnie kopiowanie i automatycznie usunie plik. Nie bedzie zadnego komunikatu, bo wlasnie po to jest automatyzacja. Mozesz ustawic tez opcje Interactive, ktora bedzie Ciebie za kazdym razem pytac co ma zrobic. Wybor nalezy do Ciebie jak ustawisz.

Cytuj

2. Jak usunąć definitywnie z komputera pliki znajdujące się w kwarantannie ?? Gdy klikam " delete from Quarantine " to nic to nie pomaga, bo po ponownym skanie i tak wszystko wraca tam z powrotem do " Kwarantanny ". ( proszę o screena - Dodaj obrazek a oto moja aktualna Kwarantanna )


delete from Quarantine - tak ta opcja usuwa z kwarantanny zainfekowane, badz podejrzane o infekcje pliki.
Prawdopodobnie infekcje dalej pozostawaly w systemie i po ponownym skanie znow infekcje byly kopiowane do kwarantanny. Czy użyłeś Aviry w trybie awaryjnym?

Cytuj

Infekcja wynikała z mojej winy. chciałem z pewnej strony ściągnąć Ad Munchera, który będzie chodził za free ( Adblock Plus + formułka o której pisałeś, nie zadowala mnie, AM dużo lepszy, jednakże ma też i wady ). Gdy kliknąłem żeby zasysał, wyskoczył mi komunikat Aviry że to Trojan, więc zaznaczyłem " delete " i OK, do ściągania nie doszło. Po paru godzinach, gdy chciałem wyczyścić Cleanerem tempy, wyskoczył mi identyczny komunikat, wiec znowu " delete i OK " - niestety za każdym razem gdy chciałem użyć Cleanera sytuacja się powtarzała ( choć po zatwierdzeniu czynności Aviry, program działał normalnie ). To samo się działo gdy chciałem wejść na dysk C - pierw komunikat, potem dysk. Doszedłem że te trojany znajdują się w C:\Documents and Settings\...\...\ TEMP, ale za żadne skarby nie dało się ich usunąć. Następnego dnia straciłem dostęp do dysków.


( Adblock Plus + formułka o której pisałeś, nie zadowala mnie, AM dużo lepszy, jednakże ma też i wady - spoko to tylko moja sugestia w celach optymalizacyjnych, o ktore sie pytales. Jak chcesz więcej możliwości to mozesz sprobowac dodatkowo addonu Webdeveloper co da Ci pare nowych funkcji. Ale jak chcesz uzywac AM to się jego trzymaj.

Mimo wszystko avira powinna usunac trojana skoro dales delete. Podejrzewam, ze sie tamtej infekcji pozbyla. Podejrzewam rowniez, ze mogles jakas inna infekcje zbagatelizowac, zignorowales i nie zablokowales jej. Nie widze dokladnie czy to jest jeden i ten sam trojan we wszystkich plikach czy moze sa rozne, w kadym badz raziedo infekcji doszlo i pewnie miales w tym swoj jakis udzial. Wspominales cos o tym ze przez jakis okres (chyba tygodnia) wylaczyles wszystkie zabezpiecznia, moze taka praktyka mogla spowodowac infekcje. Moze w jakism momencie gdy miales wylaczonego antywira cos instalowales? Mogles miec wylaczona opcje skanowania archiwow (dlatego infekcja mogla by nie byc wykryta podczas gruntownego skanowania) i gdy np. po wylaczeniu ochrony guard wypakowales jakis plik, program z archiwum i wtedy doszlo do infekcji. Mozna gdybac... :D


http://images38.foto...3863f18f047.jpg
Tutaj masz możliwosc przerzucenia plikow tymczasowych, wszystkich odpadkow aviry do jednego katalogu TEMP np. C:\Temp i tam możesz przekirowac jej katalog tymczasowy.
Dodaj obrazek

Dodatkowo warto przerzucic do jednego katalogu pozostale katalogi tymczasowe. PPM na Moj komputer >> Właściwości >> Zaawansowane >> Zmienne srodowiskowe i tam zmieniasz sciezke katalogow tymczasowych na C:\Temp (na screenie jest D:\Temp - oczywiscie wybor sciezki zalezy od Ciebie).

Stare sciezki po restarcie oproznij ew. skasuj.
Dodaj obrazek

Dodatkowo w katalogu Documents and Settings\nazwa_usera\Ustawienia lokalne\... masz tutaj tez Katalogi ktore warto oprozniac - Historia, Temporary internet Files. Mozna ustawic sobie automatyczne kasowanie cache'u, historii, prywatnych danych przy zamykaniu firefoxa.

Jak chcesz, to mozesz sobie włączyc aby automatycznie podczas startu ccleaner usuwal Tobie katalogi tymczasowe, czyli rowniez Twoj np. C:\Temp. Wystarczy wejsc w Opcje >>> Ustawienia >>> i zaptaszkowac Automatycznie czysc komputer podczas startu systemu. Nastepnie zakladka Dołącznie >>> i tutaj wskazujesz swoj katalog C:\Temp i inne katalogi jakie chcesz aby byly automatycznie czyszczone podczas startu systemu. Potem przejdz do zakladki Zaawanosowane i tam odznacz W katalogach Temp usuwaj wyłącznie pliki starsze nic 48h.


Cytuj

Wczoraj miałem trochę więcej czasu, więc wziąłem się za ComboFixa. Powyłączałem wszystkie programy, a także usługi od zabezpieczeń ( Comondo, AV, TF ), i zacząłem majstrować. Program staną na wysokości zadania, usuną te wirusy. Długo skanował, i nawet zrestartował komputer. ThearFire i Avira po dzisiejszych skanach, nie wykrywają już tych śmieci.


Log z combofixa wygladaj juz chyba dobrze. Masz pare plikow typu *.tmp. Warto wiec przeskanowac partycje jakims dobrym odsyfiaczem. Darmowe - cleangp, odkurzacz.

Cytuj

Usunąć te foldery na dysku które powstały przez ComboFixa ??

Menu Start>>>uruchom i w okienku wklepujesz scieżkę do combofix.exe np. C:\ComboFix /u i naciskasz Enter
Odinstaluje Ci wszystkie narzedzia, bo jest ich troche, ktore wrzucil do systemu, a katalog Qoobox recznie skasuj.

Cytuj

PS> Wczoraj miałem napisać tego posta, ale dostałem nerwicy, gdy zamiast zmienić zakładkę kliknąłem przypadkiem " odśwież "


Hehe... wiem cos o tym. Tez pare razy delikatnie ujmujac "nerwicy dostałem". Zapisuj najlepiej w jakims notatniku, wordzie a na koniec wklej na forum ;)



Na koniec dodam, ze BearShare nie jest do konca bezpieczny. Jezeli juz go instalujesz to tylko wersje lite tego programu. osobiscie bym się jego pozbyl dla pewnosci.

Wiele programów P2P kryje w sobie ukrytą niespodziankę, przemycają ze sobą inne oprogramowanie ( ten sposób dystrybucji nazywany jest bundleware) najczęściej są to programy szpiegujące.

Zainfekowane: BearShare, KaZaA, Imesh, eDonkey, LimeWire, Morpheus, Blubster, Grokster, NeoNapster, Piolet;
Czyste: BearShare Lite, iMesh Light, Soulseek, Ares, Azureus, BitComet, Bittorrent, eMule, Shareaza, µTorrent.

Ten post był edytowany przez yngve dnia: 19 Październik 2008 - 15:13


#11 Użytkownik jest niedostępny   nonda Ikona

  • Wile_E
  • PipPipPipPipPip
  • Grupa: Forumowicze
  • Postów: 1624
  • Dołączył: Pn, 18 Cze 07

Napisany 19 Październik 2008 - 20:34

Cytuj

delete from Quarantine - tak ta opcja usuwa z kwarantanny zainfekowane, badz podejrzane o infekcje pliki.
Prawdopodobnie infekcje dalej pozostawaly w systemie i po ponownym skanie znow infekcje byly kopiowane do kwarantanny. Czy użyłeś Aviry w trybie awaryjnym?
No i przeskanowałem w trybie awaryjnym. Długo to trwało, ale znalazł 3 infekcje, które były znajdywane także w normalny trybie. Potem przeskanowałem już normalnie - i to samo co wcześniej. " delete from Quarantine " w moim przypadku usuwa tylko z kwarantanny, a nie z systemu/dysku. Mogę te pliki usunąć ręcznie ( w przypadku folderów związanych z MU ), ale chciałbym żeby Avira zrobiła to za mnie - przecież to należny do jej kompetencji.
Jutro zaznaczę w opcjach " Interactive " i popróbuje.

Cytuj

Mimo wszystko avira powinna usunac trojana skoro dales delete. Podejrzewam, ze sie tamtej infekcji pozbyla. Podejrzewam rowniez, ze mogles jakas inna infekcje zbagatelizowac, zignorowales i nie zablokowales jej. Nie widze dokladnie czy to jest jeden i ten sam trojan we wszystkich plikach czy moze sa rozne, w kadym badz raziedo infekcji doszlo i pewnie miales w tym swoj jakis udzial. Wspominales cos o tym ze przez jakis okres (chyba tygodnia) wylaczyles wszystkie zabezpiecznia, moze taka praktyka mogla spowodowac infekcje. Moze w jakism momencie gdy miales wylaczonego antywira cos instalowales? Mogles miec wylaczona opcje skanowania archiwow (dlatego infekcja mogla by nie byc wykryta podczas gruntownego skanowania) i gdy np. po wylaczeniu ochrony guard wypakowales jakis plik, program z archiwum i wtedy doszlo do infekcji. Mozna gdybac
Pierwszego dnia był tylko jeden plik ( Trojan ) w TEMP, następnego już dwa i jeden w C:/ windows/ temp. kdwut.exe odkryłem też drugiego dnia po infekcji ( skan TF-em ). Nie pamiętam czy drugiego, czy trzeciego dnia straciłem kontrole nad dyskami. Po tym okresie bez zabezpieczeń, przeskanowałem kompa czym się da i nic ciekawego nie było ( tylko to samo co w screenie - post 9 )

Cytuj

Dodatkowo warto przerzucic do jednego katalogu pozostale katalogi tymczasowe. PPM na Moj komputer >> Właściwości >> Zaawansowane >> Zmienne srodowiskowe i tam zmieniasz sciezke katalogow tymczasowych na C:\Temp (na screenie jest D:\Temp - oczywiscie wybor sciezki zalezy od Ciebie).
Czyli pliki tymczasowe z całego komputera będę tylko i wyłącznie w nowo stworzonym folderze ??

Cytuj

Na koniec dodam, ze BearShare nie jest do konca bezpieczny
Nowe wersję Beara są do niczego, a stare coraz ciężej znaleźć. Dlatego mam tą, może poszukam starej "lite"

Cytuj

( Adblock Plus + formułka o której pisałeś, nie zadowala mnie, AM dużo lepszy, jednakże ma też i wady - spoko to tylko moja sugestia w celach optymalizacyjnych, o ktore sie pytales. Jak chcesz więcej możliwości to mozesz sprobowac dodatkowo addonu Webdeveloper co da Ci pare nowych funkcji. Ale jak chcesz uzywac AM to się jego trzymaj.
Miałem założyć oddzielny temat z anty reklamiarzami " czy lepszy jakiś program, czy wtyczka do FF - bo jest kilka " W nim miałem umieścić co mi się nie podoba zarówno w AM, jak i Adblock plus. Na razie działają obydwa, ale niekiedy jestem zmuszony to wyłączenia któregoś z nich ( zależy od strony )


Po skanie w trybie awaryjnym zauważyłem że powstał mi folder w " Documents and Settings " o nazwie " Administrator " - nie miałem tego wcześniej, nie jest mi to potrzebne, chce mieć tylko jedne konto użytkownika. Co z tym zrobić.

Chcę się jeszcze zabrać za jeden podpunkt z twojego poradnika:
6. ZAMYKANIE PORTÓW ORAZ OCHRONA PLIKU HOSTS - czy trudno to obczaić ?? i czy opłaca się za to brać ??

PS. Pisałeś też że można mieć ładny windows, który nie zżera dużo zasobów. Ja zamierzam skorzystać z tej strony - tak jak zawsze. Pewnie to nie jest oszczęne rozwiązanie, ale nie mam żadnych namiarów, alby zrobić to na odwrót.

Ten post był edytowany przez nonda dnia: 19 Październik 2008 - 21:04


#12 Użytkownik jest niedostępny   yngve Ikona

  • Orator
  • PipPipPipPip
  • Grupa: Forumowicze
  • Postów: 521
  • Dołączył: Pt, 25 Lip 08

Napisany 20 Październik 2008 - 21:41

Jutro Ci odpisze na priv, odpowiem na Twoje wątpliwości, bo i tak na temat tuningu wygladu będę musiał posiłkować się linkami, których nie mógłbym umieścić tutaj na forum, a poza tym to jest już wątek do innego działu chyba;)

Ten post był edytowany przez yngve dnia: 20 Październik 2008 - 21:44


#13 Użytkownik jest niedostępny   Galaxy Ikona

  • Orator
  • PipPipPipPip
  • Grupa: Forumowicze
  • Postów: 623
  • Dołączył: Nd, 22 Lip 07

Napisany 25 Styczeń 2009 - 09:29

Jak uzyskac dostep do D:System Volume Information?
Do System Volume Information na dysku C normalnie mam dostep, a do D niemam. Chce go usunac bo mam tam win32.Sector12.

Kiedu probuje wlaczyc/usunac to.
D:System Volume Information nie jest dostepny
Odmmowa dostepu

#14 Użytkownik jest niedostępny   tehawanka Ikona

  • Niedostępny
  • PipPipPipPipPip
  • Grupa: Forumowicze
  • Postów: 6867
  • Dołączył: Pn, 21 Lip 08

Napisany 25 Styczeń 2009 - 09:37

System Volume Information opróżnij przez chwilowe wyłączenie przywracania systemu:
Start >>> Panel sterowania >>> System >>> Przywracanie systemu >>> zaznacz: Wyłącz Przywracanie systemu na wszystkich dyskach >>> OK

#15 Użytkownik jest niedostępny   Galaxy Ikona

  • Orator
  • PipPipPipPip
  • Grupa: Forumowicze
  • Postów: 623
  • Dołączył: Nd, 22 Lip 07

Napisany 25 Styczeń 2009 - 09:56

Tak tez robilem.

#16 Użytkownik jest niedostępny   tehawanka Ikona

  • Niedostępny
  • PipPipPipPipPip
  • Grupa: Forumowicze
  • Postów: 6867
  • Dołączył: Pn, 21 Lip 08

Napisany 25 Styczeń 2009 - 13:11

http://support.micro...om/kb/309531/pl

#17 Użytkownik jest niedostępny   Galaxy Ikona

  • Orator
  • PipPipPipPip
  • Grupa: Forumowicze
  • Postów: 623
  • Dołączył: Nd, 22 Lip 07

Napisany 25 Styczeń 2009 - 15:10

Dobra usunelem :-P
Wystarczylo zrobic to co podal tehawaka tylko ze tez na D, a ja wczesniej zrobilem to tylko na C.

Strona 1 z 1
  • Nie możesz rozpocząć nowego tematu
  • Nie możesz odpowiadać w tym temacie

1 Użytkowników czyta ten temat
0 użytkowników, 1 gości, 0 anonimowych