Odgovorov v temi: 17

[rokcasel]

Prosim za pomoč. Uspelo mi je dobiti virus, ki ga fsicure on line scaner definira kot Gen:Variant.Barys.4006 (virus), vendar ga ne more izbrisati. Virus se manifestira kot flash slikica na ekranu. HijachThis mi je izpisal tole:

F2 - REG:system.ini: UserInit=userinit.exe
O1 - Hosts: ::1 localhost
O1 - Hosts: 149.5.18.173 www.google-analytics.com.
O1 - Hosts: 149.5.18.173 ad-emea.doubleclick.net.
O1 - Hosts: 149.5.18.173 www.statcounter.com.
O1 - Hosts: 108.163.215.51 www.google-analytics.com.
O1 - Hosts: 108.163.215.51 ad-emea.doubleclick.net.
O1 - Hosts: 108.163.215.51 www.statcounter.com.

Baje se da zadeva odpraviti z vpisom blokade za navedene strani v host file, vendar popravljene datoteke ne morem shraniti. Mi lahko kdo pomaga? Se komu sanja, kje sem lahko ta virus staknil?

Lep pozdrav,
Rok

[xfirestorm]

Shraniti je ne moreš, ker nimaš pravic za zapis v direktorij kje se hosts datoteka nahaja.

Ali odpreš notepad kot administrator, ali pa shraniš hosts file na namizje in ga ročno prekopiraš v originalni direktorij.

[rokcasel]

Hvala, to se skušal narediti, vendar mi ne uspe. Lahko prekopiram, vendar ne morem shraniti prekopiranega, oziroma se shrani samo na novi lokaciji v mapo etc pa ne. Imam Visto, če se v njej dela morda kaj drugače. Danes sta se mi sami instalirali dve dodatni host datoteki, katerih ikonci sta beli in imata v sredini majhen moder kvadratek. Morda veš kaj bi to bilo?

Hvala za hiter odgovor.

Oh, morda še to. Strani sem blokiral na vseh možnih lokacijah, a ne pomaga. Zapis, ki ga želim vnesti oziroma shraniti v host file je sledeč:

127.0.0.1 localhost
127.0.0.1 www.google-analytics.com # My filters
127.0.0.1 google-analytics.com # My filters
127.0.0.1 ssl.google-analytics.com # My filters
127.0.0.1 www.google-analytics.com. # My filters
127.0.0.1 ad-emea.doubleclick.net. # My filters
127.0.0.1 www.statcounter.com. # My filters
127.0.0.1 www.google-analytics.com # My filters
127.0.0.1 ad-emea.doubleclick.net # My filters
127.0.0.1 www.statcounter.com # My filters

Je to pravilno? Morda kdo ve, koliko je zadeva nevarna?

Lep pozdrav,
Rok

[rokcasel]

Naj dopolnim; verjetno je virus prišel v računalnik, vse kaže na to, kot lažna posodobitve za Adobe Flash Player.

Hosts file ne znam odpreti kot administratorja, čeprav se drugače Notepad seveda odpre kot administrator, vendar se datoteke potem ne da shraniti v mapo etc, oziroma jo shraniti pod drugim imenom in potem preimenovati v hosts. Kaj je dovolj, da mapo hosts shranim na namizje ter original poskušam zbrisati; če nato resetiram računalnik, se bo tako spremenjena datoteka lahko prestavila na v njeno pravo lokacijo? Naredil sem tudi tako, a mi ni uspelo. Kaj delam narobe?

[xfirestorm]

Nisi razumel.
Odpreš normalno ter shraniš na namizje recimo. Ne v mapo etc.
Ko imaš shranjeno na namizju, datoteko prekopiraš v mapo etc.

[rokcasel]

Hvala, vendar mi očitno nekaj dela probleme. Prekopiral sem v etc, vendar se ne da shraniti pod imenom hosts. Težko jo shranim tudi pod drugim imenom, vendar kasneje ne morem imena spremeniti v hosts. Lahko pa seveda mapo hosts shranim kjerkoli drugje. Nekaj očitno delam hudo narobe, a mi ni jasno kaj. Verjetno je kaka malenkost, ki je ne opazim. Morda avtomatično naredim nekaj, kar vedno delam, a v tem primeru tega ne bi smel. Sanja se mi ne, zdaj sem res že na robu obupa, ker tako enostavnega opravila ne zmorem narediti. Poskusil sem že na vse načine, a ne gre in ne gre.

[rokcasel]

Narejeno, potrebno je bilo dvakrat resetirati računalnik, bo brisanju originalne file in po kopiranju popravljene host file.

Vendar ni pomagalo. Virus je še vedno na računalniku. Baner se prikazuje na večini internetnih strani.

HijachThis pokaže tole:

Running processes:
C:\Program Files (x86)\EgisTec\MyWinLocker 3\x86\mwlDaemon.exe
C:\Windows\PLFSetI.exe
C:\Program Files (x86)\NewTech Infosystems\Acer Backup Manager\BackupManagerTray.exe
C:\Program Files (x86)\EgisTec Egis Software Update\EgisUpdate.exe
C:\Program Files (x86)\Launch Manager\LManager.exe
C:\Program Files (x86)\Acer Arcade Deluxe\Acer Arcade Deluxe\ArcadeDeluxeAgent.exe
C:\Program Files (x86)\Acer Arcade Deluxe\PlayMovie\PMVService.exe
C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Windows\SysWOW64\Macromed\Flash\FlashUtil10u_ActiveX.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Program Files (x86)\Trend Micro\HiJackThis\HiJackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://homepage.acer...68z1i5t4751a27s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.si/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://homepage.acer...68z1i5t4751a27s
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft....k/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft....k/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://homepage.acer...68z1i5t4751a27s
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
O1 - Hosts: ::1 localhost
O1 - Hosts: 149.5.18.173 www.google-analytics.com.
O1 - Hosts: 149.5.18.173 ad-emea.doubleclick.net.
O1 - Hosts: 149.5.18.173 www.statcounter.com.
O1 - Hosts: 108.163.215.51 www.google-analytics.com.
O1 - Hosts: 108.163.215.51 ad-emea.doubleclick.net.
O1 - Hosts: 108.163.215.51 www.statcounter.com.
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll
O4 - HKLM\..\Run: [BackupManagerTray] "C:\Program Files (x86)\NewTech Infosystems\Acer Backup Manager\BackupManagerTray.exe" -h -k
O4 - HKLM\..\Run: [EgisTecLiveUpdate] "C:\Program Files (x86)\EgisTec Egis Software Update\EgisUpdate.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [LManager] C:\Program Files (x86)\Launch Manager\LManager.exe
O4 - HKLM\..\Run: [ArcadeDeluxeAgent] "C:\Program Files (x86)\Acer Arcade Deluxe\Acer Arcade Deluxe\ArcadeDeluxeAgent.exe"
O4 - HKLM\..\Run: [PlayMovie] "C:\Program Files (x86)\Acer Arcade Deluxe\PlayMovie\PMVService.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files (x86)\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETWORK SERVICE')
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files (x86)\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - LSI Corporation - C:\Program Files\LSI SoftModem\agr64svc.exe
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: AMD External Events Utility - Unknown owner - C:\Windows\system32\atiesrxx.exe (file missing)
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: Acer ePower Service (ePowerSvc) - Acer Incorporated - C:\Program Files\Acer\Acer ePower Management\ePowerSvc.exe
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: GRegService (Greg_Service) - Acer Incorporated - C:\Program Files (x86)\Acer\Registration\GregHSRW.exe
O23 - Service: Google Update Service (gupdate1ca59841bd65cb6) (gupdate1ca59841bd65cb6) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: Google Update Service (gupdatem) (gupdatem) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: MyWinLocker Service (MWLService) - Egis Technology Inc. - C:\Program Files (x86)\EgisTec\MyWinLocker 3\x86\\MWLService.exe
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NTI Backup Now 5 Backup Service (NTIBackupSvc) - NewTech InfoSystems, Inc. - C:\Program Files (x86)\NewTech Infosystems\NTI Backup Now 5\BackupSvc.exe
O23 - Service: NTI Backup Now 5 Scheduler Service (NTISchedulerSvc) - NewTech Infosystems, Inc. - C:\Program Files (x86)\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\Wat\WatUX.exe,-601 (WatAdminSvc) - Unknown owner - C:\Windows\system32\Wat\WatAdminSvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)
--
End of file - 8363 bytes

Morda kdo lahko pomaga in pove, kako odstraniti to nadlogo?

[rokcasel]

Zdaj se mi odpirata kar dva banerja. Takole izgleda slika, morda kdo zadevo pozna?

[Pentium]

Narejeno, potrebno je bilo dvakrat resetirati računalnik, bo brisanju originalne file in po kopiranju popravljene host file.

Vendar ni pomagalo. Virus je še vedno na računalniku. Baner se prikazuje na večini internetnih strani.

HijachThis pokaže tole:

Running processes:
C:\Program Files (x86)\EgisTec\MyWinLocker 3\x86\mwlDaemon.exe
C:\Windows\PLFSetI.exe
C:\Program Files (x86)\NewTech Infosystems\Acer Backup Manager\BackupManagerTray.exe
C:\Program Files (x86)\EgisTec Egis Software Update\EgisUpdate.exe
C:\Program Files (x86)\Launch Manager\LManager.exe
C:\Program Files (x86)\Acer Arcade Deluxe\Acer Arcade Deluxe\ArcadeDeluxeAgent.exe
C:\Program Files (x86)\Acer Arcade Deluxe\PlayMovie\PMVService.exe
C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Windows\SysWOW64\Macromed\Flash\FlashUtil10u_ActiveX.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Program Files (x86)\Trend Micro\HiJackThis\HiJackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://homepage.acer...68z1i5t4751a27s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.si/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://homepage.acer...68z1i5t4751a27s
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft....k/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft....k/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://homepage.acer...68z1i5t4751a27s
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
O1 - Hosts: ::1 localhost
O1 - Hosts: 149.5.18.173 www.google-analytics.com.
O1 - Hosts: 149.5.18.173 ad-emea.doubleclick.net.
O1 - Hosts: 149.5.18.173 www.statcounter.com.
O1 - Hosts: 108.163.215.51 www.google-analytics.com.
O1 - Hosts: 108.163.215.51 ad-emea.doubleclick.net.
O1 - Hosts: 108.163.215.51 www.statcounter.com.
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll
O4 - HKLM\..\Run: [BackupManagerTray] "C:\Program Files (x86)\NewTech Infosystems\Acer Backup Manager\BackupManagerTray.exe" -h -k
O4 - HKLM\..\Run: [EgisTecLiveUpdate] "C:\Program Files (x86)\EgisTec Egis Software Update\EgisUpdate.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [LManager] C:\Program Files (x86)\Launch Manager\LManager.exe
O4 - HKLM\..\Run: [ArcadeDeluxeAgent] "C:\Program Files (x86)\Acer Arcade Deluxe\Acer Arcade Deluxe\ArcadeDeluxeAgent.exe"
O4 - HKLM\..\Run: [PlayMovie] "C:\Program Files (x86)\Acer Arcade Deluxe\PlayMovie\PMVService.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files (x86)\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETWORK SERVICE')
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files (x86)\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - LSI Corporation - C:\Program Files\LSI SoftModem\agr64svc.exe
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: AMD External Events Utility - Unknown owner - C:\Windows\system32\atiesrxx.exe (file missing)
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: Acer ePower Service (ePowerSvc) - Acer Incorporated - C:\Program Files\Acer\Acer ePower Management\ePowerSvc.exe
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: GRegService (Greg_Service) - Acer Incorporated - C:\Program Files (x86)\Acer\Registration\GregHSRW.exe
O23 - Service: Google Update Service (gupdate1ca59841bd65cb6) (gupdate1ca59841bd65cb6) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: Google Update Service (gupdatem) (gupdatem) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: MyWinLocker Service (MWLService) - Egis Technology Inc. - C:\Program Files (x86)\EgisTec\MyWinLocker 3\x86\\MWLService.exe
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NTI Backup Now 5 Backup Service (NTIBackupSvc) - NewTech InfoSystems, Inc. - C:\Program Files (x86)\NewTech Infosystems\NTI Backup Now 5\BackupSvc.exe
O23 - Service: NTI Backup Now 5 Scheduler Service (NTISchedulerSvc) - NewTech Infosystems, Inc. - C:\Program Files (x86)\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\Wat\WatUX.exe,-601 (WatAdminSvc) - Unknown owner - C:\Windows\system32\Wat\WatAdminSvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)
--
End of file - 8363 bytes

Morda kdo lahko pomaga in pove, kako odstraniti to nadlogo?

Za začetek prenese brskalnik Google Chrome ali Firefox, ker IE je že sam en velik FAIL.
Kot drugo ti svetujem, da namestiš kakšen dober antivirusni program in kakšnega Malwarebytes in temeljito prečistiš PC, ker je veliko stvari v logu, ki niso normalne.
Preveri pa tudi msconfig in zapri procese ob zagonu, katere ne potrebuješ in kateri ti delujejo tuji...

In kar se mene tiče bi pobrisal ven:

Seveda je to na lastno odgovornost in mogoče pred tem na internetu preglej in pa preberi ali je kakšen določen del datotek del sistema ali je neznana... Pa tudi backup se mi zdi, da lahko narediš preden ostraniš vse kar misliš da ni OK.

[rokcasel]

Najlepša hvala za tvoj odgovor. Dal si mi misliti in upam, da bom kaj koristnega potegnil iz vsega tega. Upal sem, da se kdo najde, ki bo poznal ta virus in tudi način odstranitve. Iskaj sem tudi po tujih straneh, vendar je bil edini nasvet ta s spremembo hosts datoteke, ki sem jo tudi spremenil, a ni nič pomagalo.

Morda samo nekaj besed o zgodovini. Ta računalnik imam že dve leti, vedno delam brez antivirusa in ni še bil okužen. Pred tem sem deset let delal z raznimi antivirusnimi programi, Adawerjem in drugimi čistilci spyware, malware in drugih žužkov, pa se je vedno našla kaka okužba. Večino programov sem pred skeniranjem s HijackThis izključil in ponovil z vsemi vključenimi programi tako, da zdaj vem, kateri zagotovo niso okuženi. Morda je IE zate zanič, vendar se mu ne mislim odpovedati.

Hvala, ker si označil okužene datoteke. Vem, da so okuženi vsi izpisi pod 023, skype pod 018 je verjetno neokužen, pri 04 sem kolebal pri Adobe, skoraj prepričan pa sem, da je okužena Java, ArkadeDeluxe so del Acerja, kot je del tudi PLFSetI.exe, vendar je lahko to tudi virus. Bom preveril še z Malwarebytes. Računalnik sem preverjal z Glary Utilites profesional, z KasperskiLab, FSicure online, ki mi je tudi našel okuženo datoteko, ki je pa žal ne more popraviti: Gen:Variant.Barys.4006 (virus) C:\Users\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\22\19C58456-453F3420.0

Ima kdo še kako idejo, kako se znebim virusa?

Hvala obema za dosedanjo pomoč. Lep pozdrav, Rok

[Simon Hocevar]

Definitivno je tukaj edina dokončna rešitev format c:, karkoli "pacaš" z raznimi antivirusi, skoraj gotovo ne boš imel virus-free računalnika. V izogib bodočim neprijetnostim (ki jih lahko povzročijo virusi) priporočam ali Windows backup restore, ali pa format in gor Windows 7.

p.s. brez antivirusa seveda misliš, da nisi dobil nobenega virusa - ampak si gotovo ga, le da za to nisi vedel , priporočam kak Avast, toliko da ti pove, če slučajno odpiraš kakšno sumljivo stran itd...

lp

[Pentium]

Nisem rekel, da so vse te datoteke okužene, jaz sem označil kaj bi jaz ugasnil, kar bi seveda pomagalo pri izbrisu te nesnage, ki si jo dobil in kot drugo bi imel hitrejši zagon PCja in mogoče tudi samo delovanje.
IE sem pa označil kot zanič, ker je veliko bolj dovzeten za luknje, napade in različne toolbare in stvari s katerimi posledično okužiš PC. Seveda je pa vedno vse na tebi kaj in kako boš ravnal, da boš zaščitil datoteke in OS pred takimi stvarmi, ki so se ti zgodile.

Pa še to, v hosts file nimaš e-naslovov, vendar samo redirect narejen, sam jih pa najbrž ne moreš spreminjati ker jih verjetno upravlja nek virus ali malware, ki ti ne pusti spreminjanja omenjene datoteke oziroma jo stalno na novo prepisuje z izbranimi vrednostmi...

[rokcasel]

Pentium, tako kot si napisal, sem te tudi razumel. Želel sem le čimbolj podrobno opisati situacijo in ne kritizirati tebe, kot si morda razumel.

Kakorkoli že situacija je taka, da je crknil računalnik. Pravzaprav ni crknil, temveč se skuša prižgati, kar traja in traja, končno pride do faze, kje se vpiše geslo uporabnika, potem se prikaže črn ekdan z modrim okencem, kjer piše dumping driver. Kdo zadevo pozna in morda ve za rešitev, če sploh še kakšna je?

Včeraj sem računalnik pregledal online še z drugima on-line antivirusoma Pando in Kasperskim, noben ni odkril ničesar, Panda nekaj piškotkov. Danes pa to sr***e.

Definitivno je tukaj edina dokončna rešitev format c:,

Bolje bi bilo namesto, da sem iskal rešitev za odpravo virusa, da bi pobral dol pomembne podatke in zadevo formatiral. Bom vedel za drugič, vendar si nisme mislil, da je zadeva tako nevarna. Čudilo me je, da na internetu ni še najti nobene rešitve, vendar sem vseeno upal na najboljše. Izkazalo se je, da zaman. Zdaj računalnika niti formatirati ne morem več, ker ne gre več v safe mode. Draga šola, ki je ne bi mogel preprečiti noben antivirusni program, žal.

Hvala za pomoč tudi tebi. Lep pozdrav, Rok

[Pentium]

Podatke še vedno lahko dobiš ali z uporabo kakšnega Linux live CDja, kjer lahko vidiš strukturo diska in skopiraš pomembne datoteke na kakšen zunanji medij,
ali uporabiš Hirens Boot CD ali kakšnega podobnega, kjer lahko tudi narediš kopijo celotne particije in jo shraniš na kakšen zunanji medij - dober primer je Norton Ghost.
In seveda potem ko formatiraš in namestiš nov sistem samo preneseš želene datoteke na nov OS.

[rokcasel]

Evo me, tu sem na okuženem računalniku. Trma dela svoje in uspelo mi je, računalnik je spet OK, tudi z vašo pomočjo. Virus sem dobil, kot sem domneval preko Java Sun posodobitve. Požrl je sistemske datoteke. Previdno s posodabljanjem programov.

Hvala vsem, ki ste se oglasili z nasveti.

Lep pozdrav, Rok

[Simon Hocevar]

No, ko sem rekel format C:, sem vsekakor prej mislil na rešitev podatkov. Kot so ti že povedali, live CD-ji so super, vse lako rešiš na ključ ali zunanji trdi disk. Če tudi to ne gre, lahko pa še vedno vzameš disk ven, vstaviš v drug računalnik in nastaviš da ne boota iz tvojega. Nato lepo skopiraš stvari in podatki so spet na varnem.

Sam se že dalj časa ukvarjam z računalniki, in se za tak poseg nebi nikoli odločil, saj mi danes prenos podatkov in format in inštalacija vseh programov nazaj vzame cca. 1 uro...precej manj kot si ti porabil za iskanje rešitve, ki verjetno sploh ni dokončna

No...važno da spet dela lp

[rokcasel]

Točno, tudi sam sem mislil predvsem na rešitev podatkov. Ko so bili podatki na varnem, spomnil sem se, da sem nekoč na zunanji trdi disk zapekel podatke v Linoxu, s katerimi naj bi zunanji trdi disk deloval kot live CD, kot mi je svetoval Pentium. Ko so bili podatki na varnem, sem začel eksperimentirati z računalnikom. Pokvarjen je bil že itak in kaj več kot pokvariti ga ne morem, sem si mislil. Ne vem, če poznate moder kvadrat, ki se prikaže na črnem ekranu, nekaj takega kot blue screen of death. Izgledalo je popolnoma brezupno.

Spomnil sem se, da sem si nekoč shranil navodila, kako popraviti računalnik samo z ponovno nastavitvijo registrov. Nisem imel pa pojma, kje imam shranjene te podatke. Vendar je bilo zame pomembno, da se to da. Ker nikakor nisem mogel priti v safe mode, sem tuhtal in tuhtal kako narediti in že začel razstavljati računalnik, da zamenjam trdi disk, pa sem se zaustavil in poskusil ponovno z zagonsko disketo. Na moje veliko začudenje, je računalnik izpisal prve stavke zagona in takrat sem vstopil v safe mode. Počistil računalnik in uredil registre. Nobenega formatiranja ni bilo potrebno narediti. Zdaj normalno dela, če ne še bolje kot pred okužbo.

Morda bo tale zapis pomagal še komu. Na Googlu sem našel, da so prvi primer takega virusa našli v Nemčiji v okolici Berlina pred petimi dnevi. Ne posodabljajte programov, če to ni nujno potrebno tudi, če mislite, da prihaja z originalne strani in je stran varna.

Zadeve se ne bi nikoli več lotil na tak način, a zdaj vsaj vem, kako ravnati v takih primerih. Verjetno bi, kot pravi Simon računalnik le formatiral, vendar zdaj vem, da so še druge poti.

Vsi ste mi pomagali priti do rešitve, zato se vam ponovno zahvaljujem.

Lep pozdrav,
Rok

[Pentium]

Sicer vse lepo in prav, vendar nevem kaj se ti je zgodilo z Javo, ker za te težave še nisem slišal.
Da bi ti posodobitev uničila karkoli, razen če seveda ni bil PC predhodno okužen in je Java izzvala zagon česa takega...