W was ostatnia nadzieja.

[comando]

Witam. Przgladajac to forum, widze ze sa tutaj ludzie, ktozy znaja sie na komputerach. Naweet bardzo dobrze. Dlatego w was ostatnia nadzieja. Powiem w czym mam problem.

Jakies 3-4 miesiace temu dostałem na gadu gadu linka. Jakis koles przedstawil sie jako tomek bla bla bla i kazal wejsc w linka, bo niby to byla jego fotka. Adres mial w sobie adres IP. Od tamtego momentu pojawia sie na kompie banner. Zawsze jak chce wejsc na jakas strone to pojawia mi sie wlasnie ten baner. Ne wiem co mam zrobic. Oto jak on wyglada.

OBRAZEK --> To jest przyklad jak np: ten banner pokazuje sie w shout boxie.

Pomocy to jest nie do wytrzymania.

 

[..ClaRoX..]

No jak od 3-4 miesięcy tak masz, to ja Ci współczuję

Wiesz podobnych tematów było ba tym forum było bardzo dużo. Twój problem tkwi w tym, że masz jakiegoś wirusa, a dokładnie spyware. Aby je usunąć musisz użyć jakiegoś programu antywirusowego (np. Avast, NOD32, ArcaVir) lub jakiegoś skanera on-line (np. PandActiveScan)

Jak już znajdzie Ci wirusa, musisz go tylko usunąć

Życzę powodzenia

 

[comando]

To teraz uwaga. Po wykorzystaniu chyba wszystkich dostepnych programow anty wirusowych oraz wspopracy meilowej z pracownikiem arcavir TO COS NADAL jest. Nie da sie tego usunac zadnym programem. TO wyglada tak, jakby tego czegos na moim kompie nie bylo.

 

[methoodo]

spyware serch & destroy

Spyware serch & destroy powinien ci pomóc, ja z niego kożystam i dobrze działa

 

[comando]

juz dawno probowalem. Pracowanik arkavira mi poradzil i nic nie wykryl

Blagam niech mi ktos pomoze.

 

[Hunter]

jak nie umiesz sobie z tym poradzic to zgraj to co wazne na cd, usun partycje, nastepnie sformatuj i instaluj na nowo wingowno =)

 

[..ClaRoX..]

Ściągnij sobie program HijackThis. Jego zadaniem jest wyświetlenia wszyskich aplikacji, które uruchamiają się przy autostarcie. Jeżeli nie będziesz czaił raportu stworzonego przez HijackThis to wklej go tutaj, na forum

Jeżeli ten wirus, z którym masz takie problemy nie będzie uruchamiany przy starcie sytemu to masz duże prawdopodobieństwo, że udało Ci się go pokonać i komp będzie już normalnie pracował. Co prawda istnieje jeszcze prawdopodobieństwo, że korzysta on z mechanizmów startowych jakiegoś innego pliku systemowego, bądź złapałeś rootkita, przez co jest on niewidzialny dla AV (może pomorze Rootkit Revelaer - rootkity usuwa się w trybie awarynym, a często musisz użyć wersji LiveCD Windowsa). Może podmianie uległ jakiś plik przeglądarki IE, dlatego zainstaluj sobie Operę bądź Firefoxa

A to, że wiekszość programów antywirusowych ma problem z wykryciem, tego świństwa, to może dlatego, że został on napisany przez właśnie tego kolesia, który podrzucił Ci linka - wiesz jest on mało rozpowszechniony i AV nie radzą sobie z jego wykryciem (większość wirusów staje się wykrywalna dopiero po tym, jak jakiś klient wyśle podejrzany plik do producenta AV, bądź w wyniku wymiany sygnatur wirusów przez producentów AV). Dlatego każdego AV ustawiaj na maksymalną heurystykę (czasem powoduje fałszywe alarmy, ale łapie wirusy, które jako tako są jeszcze niewykrywalne)

Reinstalację Windowsa zostaw na ostatnią chwilę, gdy zawiodą już wszystkie inne środki :!:

 

[comando]

<div class='quotetop'>CYTAT("..::ClaRoX::..")</div>

Ściągnij sobie program HijackThis. Jego zadaniem jest wyświetlenia wszyskich aplikacji, które uruchamiają się przy autostarcie. Jeżeli nie będziesz czaił raportu stworzonego przez HijackThis to wklej go tutaj, na forum

[/b]

A więc tak. Otoz juz uzywalem tego programu, jednakze zamieszcze tutaj to co otrzymalem.

Logfile of HijackThis v1.99.1
Scan saved at 16:11:43, on 2006-01-30
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSExplorer.EXE
Crogram FilesGadu-Gadugg.exe
Crogram FilesMessengermsmsgs.exe
Crogram FilesArcaBitArcaVirNetMonSV.exe
Crogram FilesArcaBitCommonArcaBit.Core.Configurator2.exe
Crogram FilesArcaBitArcaVirAvMon.exe
Crogram FilesArcaBitCommonTaskScheduler.exe
Crogram FilesArcaBitCommonArcaBit.Core.LoggingService.exe
Crogram FilesAresAres.exe
Crogram FilesMozilla Firefoxfirefox.exe
Crogram FilesInternet Exploreriexplore.exe
Cocuments and SettingsMathevvMoje dokumentyHijackThis.exe

R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page =
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Local Page =
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Local Page =
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Łącza
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - Crogram FilesSpybot - Search & DestroySDHelper.dll
O4 - HKCU..Run: [Gadu-Gadu] "Crogram FilesGadu-Gadugg.exe" /tray
O4 - HKCU..Run: [ares] "Crogram FilesAresAres.exe" -h
O4 - HKCU..Run: [MSMSGS] "Crogram FilesMessengermsmsgs.exe" /background
O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C1} (GameDesire Pool 8) - http://67.15.101.3/g_bin/pl/billard8_2_0_0_24.cab
O20 - Winlogon Notify: TS_LogonListener - C:WINDOWSSYSTEM32TS_LogonListener.dll
O23 - Service: ArcaBit NetMonitor (ABNetMon) - ArcaBit - Crogram FilesArcaBitArcaVirNetMonSV.exe
O23 - Service: ArcaBit.Core.Configurator - ArcaBit - Crogram FilesArcaBitCommonArcaBit.Core.Configurator2.exe
O23 - Service: ArcaBit.Core.LoggingService - ArcaBit - Crogram FilesArcaBitCommonArcaBit.Core.LoggingService.exe
O23 - Service: ArcaBit.TaskScheduler - ArcaBit sp. z o.o. - Crogram FilesArcaBitCommonTaskScheduler.exe
O23 - Service: ArcaVir Antivirus Monitor Service (ArcaVirMonitor) - ArcaBit - Crogram FilesArcaBitArcaVirAvMon.exe

Co prawda istnieje jeszcze prawdopodobieństwo, że korzysta on z mechanizmów startowych jakiegoś innego pliku systemowego, bądź złapałeś rootkita, przez co jest on niewidzialny dla AV (może pomorze Rootkit Revelaer - rootkity usuwa się w trybie awarynym, a często musisz użyć wersji LiveCD Windowsa).[/b]

Otoz na jakims forum, ktors wlasnie kazal mi tak odpalic kompa, i polecil abym wpisal jaksa komende. Podzialao chyba to, ale na mieisiac teraz znowu wrocil

Może podmianie uległ jakiś plik przeglądarki IE, dlatego zainstaluj sobie Operę bądź Firefoxa

[/b]

Mam to i to. Na kazdym sie pojawia.

Reinstalację Windowsa zostaw na ostatnią chwilę, gdy zawiodą już wszystkie inne środki :!:

 

[..ClaRoX..]

O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C1} (GameDesire Pool  - [url]http://67.15.101.3/g_bin/pl/billard8_2_0_0_24.cab[/url]

Do usunięcia, IP to należy do "iana.org" - słynej z rozsyłania spyware

O20 - Winlogon Notify: TS_LogonListener - C:WINDOWSSYSTEM32TS_LogonListener.dll

usunąć, żaden plik (bibloteka) sytemowa to nie jest, a sam ten plik TS_LogonListener.dll sterylnie ująć (najlepiej spakować w trybie awaryjnym) i wysłać do producenta jakiegoś AV

............... narazie zrób to co napisałem powyżej, jak nie pomorze to będziemy dalej kombinować

 

[fryderyk]

HELP

ZRÓB REINSTALKE SYSA I PO SPRAWIE, po tem zainstaluj XP SP2(jesli masz xp) spybota jakiegos firewalla i pozadnego antyvira

 

[..ClaRoX..]

ZRÓB REINSTALKE SYSA I PO SPRAWIE[/b]

Droga najkrótsza, ale jak najbardziej nie polecana :!: Teraz, próbując usunąć go ręcznie przynajmiej się czegoś nauczy, a nie, że pójdzie na łatwiznę

Nie ma takiego świństwa, którego nie dało by się usunąć, są tylko lepsze i gorsze metody ukrycia wira w systemie

Syf, który ma kolega comando jest tym, "lepiej się ukrywającym" - jednak jak go usunie to będzie miał wtedy dużą satysfakcję - a tak: reinstal=złożenie broni=porażka.

comando - nie poddawaj się, walcz do końca :!: Pozdrawiam

 

[comando]

Clarox nawt nie wiesz jak milo jest mi slyszez, ze chcesz mi pomoc. Bo wielu probowalo i wielu konczylo po kilku probach. To co mi kazales zrobic usunalem ale nie pomoglo ;/

 

[..ClaRoX..]

Wiesz, wczoraj jak czytałem Twój post myślałem, że nie potfrafisz sobie poradzić z oczywistą rzeczą, jednak dzisiaj wiem, że jest inaczej

Jednak cały czas powtarzam - nie ma takiego wira, którego nie dało by się usunąć - są tylko lepsze i gorsze metody jego ukrycia :!:

W Twoim przypadku mam 2 hipotezy:

|1| Wirus, którego Ty złapałeś podszywa się pod inny plik systemowy - został on podmieniony lub nastapiła iniekcja kodu tegoż pliku. Za każdym razem uruchamia się używając mechanizmu startowego, tegoż właśnie pliku. Na liście procesów ani w autostarcie nie widzimy go, ponieważ po co mu osobny proces (bądź wpis w autostarcie) skoro on korzysta z dobrodziejstawa innego, ważnego, systemowego pliku. To, że nie jest wykrywalny to oczywiste - nie każdy wirus jest od razu wykrywalny przez AV (pisałem powyżej, jak wygląda przybliżona procedura docierania wirusa do laboratorium AV).

Co w takim raziem masz zrobić...?
Zainstaluj sobie jakiegoś pożądnego AV - polecam Kaspersky AV Personal Pro - zaktualizuj go, w opcjach ustaw maksymalną ochronę, nadmiarowe bazy sygnatur wirusów - niech tępi wszelkie wiry, trojany, robaki, dialery, spyware itp. Przeskanuj cały dysk - może akurat się uda

Link do downloadu Kaspersky'ego
Zainstaluj firewalla - polecam Kerio Personal Firewall - ustaw go w "tryb nauki" (przy instalacji się wybiera). Tam w tym komunikacje, który Ci się wyświetla jak otwierasz przeglądarkę pisze, że rozsyłasz spam - więc jeżeli to prawda to kiedy wir będzie próbował się połączyć z netem na porcie smtp (25) to będziemy mieć już ścieżkę do niego - spisz lokalizację i usuń w trybie awaryjnym. Link do downloadu Kerio
Przeskanuj jeszcze kompa jakimiś skanerami on-line, może doinstaluj jakieś antyspyware (np. Microsoft Anti-Spyware) Tutaj po lewej stronie masz całą artylerię skaerów on-line.
Wejdź w c/WINDOWS, znajdź plik HOSTS - otwórz notatnikiem i wykasuj całą jego zawartość (może pozostać tylko "#") - określony wpis w tym pliku powoduje, że Twoja przeglądarka nie łączy się z serwerm DNS, tylko od razu łączy ze wskazanym w tym pliku adresem IP (coś w stylu pharmingu). Mało prawdopodobne, że to Ci pomorze, ale może akurat

|2| Masz rootkita, przez co żaden AV nie może go wykryć, gdyż rootkit sam siebie ukrywa - swój plik i proces. Szerzej o rootkita było w tym temacie

Co w takim raziem masz zrobić...?
Może przeskanować dysk AV z użyciem dyskietek ratunkowych (zrobienie takich dyskietek umożliwia wiele AV, np. Panda), może z trybu awaryjnego sprawdzić HijacThis'em, może z trybu awaryjnego z obsługą sieci zrobić skanowanie AV on-line. A właśnie, czy w trybie awaryjnym też pojawia Ci się ten komunikat, gdy włączasz przeglądarkę ?? Po za tym, ściągnąj program Rootkit Revealer, wynik skanowania zamieścić tutaj. Przypomnij sobie jeszcze maksymalnie dokałdną datę, kiedy nastąpiła infekcja

(ja np. jak bym miał taki problem co to bym zrobił delete wszystkich plików systemowych, bądź do który chmiał bym podejrzenia z tego okresu

Najwyżej pojawił by się monit, o "braku systemowych plików i o włożenie płyty instalacyjnej" a w najgorszym wypadku komp by się nie włączył - wtedy konsola odzyskiwania systemu i wgrało by się zpowrotem potrzebne pliki

).

 

[fl3a]

Zrob screena albo wypisz pliki z katalogow c:Windows i c:Windowssystem32. Chodzi tylko o najmlodsze pliki. Jesli znasz przyblizony czas kiedy zaczal sie twoj problem mozesz na tej podstawie wskazac i weliminowac pliki szkodliwe (*.dll, *.ocx, *.exe, ...). Mysle ze po pozbyciu sie tego gowna zrozumiesz Ty i wielu innych uzytkownikow jaki blad popelniacie. Nawet nie zdajecie sobie sprawy z faktu ze AV sa wam do niczego nie potrzebne a juz na pewno do nieskutecznej walki z prymitywnymi robakami etc. A wystarczy tylko stworzyc uzytkownika z ograniczonymi prawami i na nim smigac. Jak potrzebujemy cos zainstalowac wowczas korzystamy z uslugi Run As... i juz po wpisaniu hasla Admina proces odpala sie z jego uprawnieniami. Mozesz jeszcze sprobowac narzedzia Gmer. Ma ono zaimplementowany ciekawy mechanizm - zreszta przeczytajcie sami. To ze AV nie radza sobie z roznego rodzaju ukrywaniem swiadczy wylacznie o ich kiepskim wykonaniu - poniewaz wszystko jest schematyczne - panowie z AV nie czytaja rootkit.com

 

[comando]

Oki Panowie. Zerobie to co radzicie. Napisze jak skoncze czy pomoglo.

 

[comando]

Panowie mysle ze cos juz mamy.

A wiec tak. Zaczalem najpierw od propoztcji ..::ClaRoX::... Zainstalowalem program Kerio. Troche na poczatku mialem zamote z nim ale po 5 minutach juz wiedzialem o co biega. Naggle pokazal sie komunikat, ze chce sie polaczyc z jakims adresem zaczynajacym sie na 66 czy jakos tak. Dalem komende blokuj. Kiedy doszedlem do momentu, ze moglem sie laczyc z internetem to nagle chcial sie pokazac ten baner. W pasku byl jego adres ale zamiast obrazka byl napis (w moim tlumacznieu zablokowany przez Kerio). Ale nie moglem przez to chodizc po necie, bo nie widzialem banera i czerwonej informacji ze moge dalej kozystac. Wiec jedyne co osiagnalem to to, ze nie pokazydwal sie baner. Ale sam w sobie nadal jest w kompie. co dalej robic. Mysle ze to juz cos.

 

[..ClaRoX..]

Kiedy doszedlem do momentu, ze moglem sie laczyc z internetem to nagle chcial sie pokazac ten baner. W pasku byl jego adres ale zamiast obrazka byl napis (w moim tlumacznieu zablokowany przez Kerio). Ale nie moglem przez to chodizc po necie, bo nie widzialem banera i czerwonej informacji ze moge dalej kozystac. Wiec jedyne co osiagnalem to to, ze nie pokazydwal sie baner[/b]

Daj screena

Naggle pokazal sie komunikat, ze chce sie polaczyc z jakims adresem zaczynajacym sie na 66 czy jakos tak. Dalem komende blokuj[/b]

Jak Ci się wyświetliło zapytanie Kerio, czy dopuścić do połączenia to miałeś 3 przyciski: DOPUŚĆ, BLOKUJ i SZCZEGÓŁY. Ważnie jest tutaj, abyś kliknął przycisk SZCZEGÓŁY, gdyż spowoduje to zwiększenie rozmiaru okna Kerio o informacje na dole, w których znajduje się ścieżka pliku, który próbował się połączyć z netem np.

Ścieżka do aplikacji: c:WINDOWSsystem32msiexec.exe

Opis aplikacji: WindowsŽ installer

Wersja pliku: 3.1.4000.1823

Nazwa produktu: Windows Installer - Unicode

Wersja produktu: 3.1.4000.1823

Utworzono: 2004/8/3, 22:44:24

Ostatnia zmiana: 2005/5/4, 13:45:36

Ostatni dostęp: 2005/12/1, 17:20:39



Proces uruchomiony przez: d:PROGRAMYSteganos Safe 8safe8int.exe

Opis aplikacji: safe8int.exe

Wersja pliku: 

Nazwa produktu: 

Wersja produktu: 

Utworzono: 2005/11/19, 18:20:57

Ostatnia zmiana: 2005/10/19, 16:24:12

Ostatni dostęp: 2005/11/25, 10:40:26

To jest dla nas ważne - będziemy mieć lokalizację i nazwę pliku to będzimy mogli go usunąć :!: Jeżeli wtedy, przy blokowaniu zanaczyłeś opcję "twórz regułę i nie pytaj więcej" to otwórz Kerio, przejdź na zakładkę "Ochrona sieci"/"Aplikacje" i wykasuj wpis, który świadczy o zablokowaniu akcji połączenia z tym adresem zaczynającym się od 6... (67.15.101.3 ?). Jak byś nie wiedział, która to, to usuń wszystkie (tak wiesz, intuicyjnie, nie usuwaj tych, co do których wiesz, że są np. regułami uruchamiania sterowników do karty graficznej itp.)

 

[comando]

A WIEC TO WYGLADA TAK:

Z PROGRAMEM PROGRAMU:

BEZ PROGRAMU:

Zaczynam juz tracic nadzieje.

 

[..ClaRoX..]

Napis w pierszym od góry screenie ("Ad blocked here by KPF") świadczy, że strona ta została zablokowana przez Kerio.

zamiast obrazka byl napis (w moim tlumacznieu zablokowany przez Kerio). Ale nie moglem przez to chodizc po necie, bo nie widzialem banera i czerwonej informacji ze moge dalej kozystac[/b]

Świństwo, które masz powoduje, że gdy tylko włączysz przeglądarkę od razu otwiera się jakaś strona (212.203.13.....), dlaczego jednak nie możesz nawet gdy ona jest aktywna włączyć innej strony (użyć przycisku "nowa" i w nowej zakładce wpisać adres nowej strony)? Znaczy domyślam się pewnie, strona z tym niechcianym komunikatem wyskakuje jakby na pierwszy plan i blokuje Ci dostęp do reszty przycisków :evil:

Zaczynam juz tracic nadzieje[/b]

Wiem, że to Ci przeszkadza, ale skoro wytrzymałeś 3-4 miechy, to może jeszcze okażesz cierpliwość

Postaraj się zdobyć lokalizację pliku, który łączy się z netem, bądź inicjuje przeglądarkę do otwarcia danej strony (tej z komunikatem). Zrobisz to przez odczytanie szczegółow w trakcje wyświetlenia pytania przez Kerio o pozwolenie. Pamiętaj, to że wirus włącza daną stronę w przeglądarce jest łapane przez Kerio (do momentu, kiedy utworzysz regłułę, ale regułę można usunąc i znów się będzie pytał). Postaraj podać się tutaj wszelkie adresy IP jakie tam Ci się pokazują.

Użyj programu Rootkit Revealer i tego, o którym pisał fl3a (Gmer) :!:

 

[comando]

A wiec tak. Zawsze jak chce sie wlaczyc ten baner pokazuje sie IP.

212.203.133.34