kd34610 Opublikowano 29 Listopada 2014 Zgłoś Udostępnij Opublikowano 29 Listopada 2014 Witam Mam na komputerze wirusa (programy dziwnie działają, w przeglądarkach otwierają się reklamy), którego nie znajdują programy wirusowe. Będę bardzo wdzięczny za pomoc przy usuwaniu wirusa. Mój system - Windows 7 64-bitowy Logi w załączniku FRST.txt Addition.txt Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 29 Listopada 2014 Zgłoś Udostępnij Opublikowano 29 Listopada 2014 Był używany ComboFix i na ten temat: KLIK. Po edycji tematu nadal brakuje dwóch raportów: FRST Shortcut oraz GMER. Odpowiadasz mi już w nowym poście, nie edytuj pierwszego: Mam na komputerze wirusa (programy dziwnie działają, w przeglądarkach otwierają się reklamy), którego nie znajdują programy wirusowe. Opisz bliżej problemy "programy dziwnie działają, w przeglądarkach otwierają się reklamy", czyli dokładnie co to znaczy "dziwnie" oraz jakie reklamy (adresy) i w których przeglądarkach (we wszystkich, czy tylko wybranej). W podanych raportach nie widać żadnych oznak infekcji, więc opisz co widzisz i gdzie, gdyż pomoże mi to szukać przyczyny. Wstępnie na razie doczyść system z różnych odpadkowych wpisów po odinstalowanych programach: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 ezGOSvc; C:\Windows\SysWOW64\ezGOSvc.dll [80256 2011-06-11] () NETSVC: ezGOSvc -> C:\Windows\SysWOW64\ezGOSvc.dll () HKU\S-1-5-18\...\Run: [bitdefender Wallet Agent] => "C:\Program Files\Bitdefender\Bitdefender\pmbxag.exe" HKU\S-1-5-18\...\Run: [bitdefender Wallet] => "C:\Program Files\Bitdefender\Bitdefender\pwdmanui.exe" --hidden --nowizard HKU\S-1-5-18\...\Run: [bitdefender Wallet Application Agent] => "C:\Program Files\Bitdefender\Bitdefender\antispam32\bdapppassmgr.exe" ShellIconOverlayIdentifiers: [__SafeBox1] -> {152C96EB-288E-4EDC-B7C6-D21F8250ADF3} => No File ShellIconOverlayIdentifiers: [__SafeBox2] -> {342DAA0B-D796-460D-8566-901E08A1CCAD} => No File ShellIconOverlayIdentifiers: [__SafeBox3] -> {57595DAE-1AE1-4D97-A49E-67CBB53B52DF} => No File ShellIconOverlayIdentifiers: [__SafeBox4] -> {33816773-98AE-4723-ADE0-EBE54C8B5A67} => No File BootExecute: autocheck autochk * URLSearchHook: HKU\S-1-5-21-3549357173-1526242869-3047463242-1000 - (No Name) - {A3BC75A2-1F87-4686-AA43-5347D756017C} - No File URLSearchHook: HKU\S-1-5-21-3549357173-1526242869-3047463242-1000 - (No Name) - {51a86bb3-6602-4c85-92a5-130ee4864f13} - No File SearchScopes: HKU\S-1-5-21-3549357173-1526242869-3047463242-1000 -> {6F7460B9-15FD-4C8A-A706-449DBAB5DF1E} URL = http://search.avg.com/route/?d=4de22af3&v=7.4.22.4&i=26&tp=chrome&q={searchTerms}&lng={language}&iy=&ychte=us Toolbar: HKU\S-1-5-21-3549357173-1526242869-3047463242-1000 -> No Name - {759D9886-0C6F-4498-BAB6-4A5F47C6C72F} - No File DPF: HKLM-x32 {644E432F-49D3-41A1-8DD5-E099162EEEC5} http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab Handler: gopher - {79eac9e4-baf9-11ce-8c82-00aa004ba90b} - C:\Windows\system32\urlmon.dll (Microsoft Corporation) Handler: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - No File FF HKLM\...\Firefox\Extensions: [{C1CA7765-44E4-452e-9D00-A04F3D434281}] - FF HKLM\...\Thunderbird\Extensions: [bdThunderbird@bitdefender.com] - C:\Program Files\Bitdefender\Bitdefender\bdtbext FF HKLM-x32\...\Firefox\Extensions: [{C1CA7765-44E4-452e-9D00-A04F3D434281}] - FF HKLM-x32\...\Firefox\Extensions: [{3252b9ae-c69a-4eaf-9502-dc9c1f6c009e}] - C:\Program Files (x86)\Microsoft\Search Enhancement Pack\Default Manager\DMExtension FF HKLM-x32\...\Firefox\Extensions: [ffpwdman@bitdefender.com] - C:\Program Files\Bitdefender\Bitdefender\Antispam32\ffpwdman FF HKLM-x32\...\Thunderbird\Extensions: [bdThunderbird@bitdefender.com] - C:\Program Files\Bitdefender\Bitdefender\bdtbext CHR HKLM-x32\...\Chrome\Extension: [ccahoghmggldkcdjiebjkidpfongdfbl] - C:\Program Files\Bitdefender\Bitdefender\Antispam32\pmbxcr.crx [] CHR HKLM-x32\...\Chrome\Extension: [naipdapbimiiikbbgjcpbgmfhnlbagpj] - C:\Users\Admin\AppData\Local\Temp\naipdapbimiiikbbgjcpbgmfhnlbagpj.crx [] FF Plugin-x32: @adobe.com/ShockwavePlayer -> C:\Windows\system32\Adobe\Director\np32dsw.dll No File FF Plugin-x32: Adobe Reader -> C:\Program Files (x86)\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll No File U4 bdselfpr; No ImagePath S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X] S3 Prot6Flt; system32\DRIVERS\Prot6Flt.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver" AlternateDataStreams: C:\Users\Admin\Downloads\avg_free_x64_all_2015_5577a8546.exe:BDU AlternateDataStreams: C:\Users\Admin\Downloads\ccsetup419.exe:BDU AlternateDataStreams: C:\Users\Admin\Downloads\kss12.0.1.340_pl.exe:BDU AlternateDataStreams: C:\Users\Admin\Downloads\mbam-setup-2.0.3.1025.exe:BDU AlternateDataStreams: C:\Users\Admin\Downloads\msert.exe:BDU AlternateDataStreams: C:\Users\Admin\Downloads\RSIT.exe:BDU C:\Program Files (x86)\mozilla firefox\plugins C:\Program Files\Bitdefender C:\ProgramData\*.bdinstall.bin C:\ProgramData\TEMP C:\Users\Admin\AppData\Local\Avg2015 C:\Users\Admin\AppData\Roaming\AVG C:\Users\Admin\AppData\Roaming\AVG2013 C:\Users\Admin\AppData\Roaming\Bitdefender C:\Users\Admin\AppData\Roaming\FreeVideoConverter C:\Users\Admin\AppData\Roaming\QuickScan C:\Users\Admin\AppData\Roaming\TuneUp Software C:\Users\Admin\Downloads\AdwCleaner_*.exe C:\Users\Admin\Downloads\OTL*.exe C:\Windows\SysWOW64\ezGOSvc.dll Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f CMD: sc config "Mobile Broadband. RunOuc" start= disabled CMD: ipconfig /flushdns EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Są tu szczątki niepoprawnie odinstalowanego BitDefendera. Część z nich usuwana powyższym skryptem. Przejdź w Tryb awaryjny Windows i zastosuj narzędzie BitDefender Uninstall Tool (Consumer) (wybierz stosowną edycję, która była w komputerze). 3. Przejdź z powrotem w Tryb normalny i zrób nowy log FRST z opcji Scan (bez Addition, ale zaznacz Shortcut, by powstał brakujący log) + zaległy GMER. Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner (był używany). . Odnośnik do komentarza
kd34610 Opublikowano 15 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 15 Grudnia 2014 Dziękuję za odpowiedź. Szczegółowy opis problemu: W przeglądarce (np. Google Chrome, Internet Explorer) pojawiają się reklamy, nawet jeśli ich nie ma na tej stronie np. hxxp://forum.polygamia.pl/po-godzinach/ktos-cos-popsul/ Dodatkowo otwierają się okna z reklamami w miejscach, w których normalnie tak się nie działo (przykładowa reklama to hxxp://w.prize44.com/readys/Browser_survey/iphone6/a/index-pl-PL.html?voluumdata=vid..00000005-8c02-467d-8000-000000000000__vpid..87184800-6dd3-11e4-8afc-7e9336678809__caid..6e977eff-b680-4e83-9abc-d9014dd12783__lid..86248539-ea80-4b3e-87e8-a52781b9ef3f__rt..R__oid1..ef89a3fb-4676-4a2a-8ff7-ce4fd0955216__var1..561741&id=561741&cid=20zbXt2uDxhcCeeN3yVN7b1xQ76p000 Dodatkowo przeglądarka Google Chrome działa w sposób inny niż poprzednio (np. historia otwiera się w tej samej karcie – wcześniej otwierała się w nowej karcie). Także program Windows Live Mail działa w sposób inny niż poprzednio. Zamieszczam brakujące logi: A. "log-gmer" to log, który automatycznie powstaje po uruchomieniu programu, jednak wydaje mi się, że wykrył więcej zagrożeń niż: B. "log-gmer1" - log dysku C (systemowego) Wszystko zrobiłem zgodnie z instrukcją, jedynie nie udało mi się użyć BitDefender Uninstall Tool (Consumer) ze względu na limity pobierania przez internet (ustawione przez dostawcę), jednak postaram się jak najszybciej to zrobić. Będę bardzo wdzięczny za pomoc FRST.txt Shortcut.txt Fixlog.txt log-gmer.txt log-gmer1.txt AdwCleanerR9.txt Odnośnik do komentarza
picasso Opublikowano 16 Grudnia 2014 Zgłoś Udostępnij Opublikowano 16 Grudnia 2014 W przeglądarce (np. Google Chrome, Internet Explorer) pojawiają się reklamy, nawet jeśli ich nie ma na tej stronie Tu jednak jest infekcja na poziomie DNS. Wg Whois poniższe adresy są szwedzkie (a Twoje IP na forum wskazuje na polskiego dostawcę): KLIK. Tcpip\..\Interfaces\{9E346E7E-7711-47CD-BAAD-532E34B4173D}: [NameServer] 195.67.199.18 195.67.199.19 Tcpip\..\Interfaces\{C5235646-2713-4123-AA52-BD97F5F80C81}: [NameServer] 195.67.199.18 195.67.199.19 Te adresy DNS figurowały we wcześniejszym raporcie. Jakieś zaćmienie miałam, chyba mi się coś z Notatnika przy obróbce raportu "ucięło", bo w skrypcie zadałam uzupełniającą komendę ipconfig /flushdns (nie zadaję jej bezpodstawnie). Dodatkowo przeglądarka Google Chrome działa w sposób inny niż poprzednio (np. historia otwiera się w tej samej karcie – wcześniej otwierała się w nowej karcie). To nie wydaje się powiązane wcale z infekcją. W jaki sposób otwierasz Historię - z poziomu menu? Poza tym, użyłeś frazę "np." - czyli co jeszcze nie działa jak poprzednio? Także program Windows Live Mail działa w sposób inny niż poprzednio. Na czym polega zmiana? Poprzednie zadania w większości wykonane, będą jeszcze dodatkowe poprawki. Nowa porcja zadań: 1. Ustaw w Windows pożądane adresy DNS: KLIK. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = FF HKLM\...\Firefox\Extensions: [{C1CA7765-44E4-452e-9D00-A04F3D434281}] - FF HKLM-x32\...\Firefox\Extensions: [{C1CA7765-44E4-452e-9D00-A04F3D434281}] - R0 avc3; C:\Windows\System32\DRIVERS\avc3.sys [1260120 2014-08-14] (BitDefender) R1 avgtp; C:\Windows\system32\drivers\avgtpx64.sys [50976 2014-08-13] (AVG Technologies) R1 BDVEDISK; C:\Windows\System32\DRIVERS\bdvedisk.sys [76944 2012-04-17] (BitDefender) U2 ezGOSvc; No ImagePath C:\Windows\System32\DRIVERS\avc3.sys C:\Windows\system32\drivers\avgtpx64.sys C:\Windows\System32\DRIVERS\bdvedisk.sys CMD: ipconfig /flushdns EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. Powstanie fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt Odnośnik do komentarza
kd34610 Opublikowano 16 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 16 Grudnia 2014 Tak, historię otwieram z poziomu menu. Jeśli chodzi o program Windows Live Mail to jak przechodzę do nowej skrzynki (np. z odbiorczej do wysłanych) to wiadomości wpływają od lewej do prawej (tak jak przejście na prezentacjach), a nie jak wcześniej "normalnie" się otwierały bez żadnych przejść. A wszystko rozpoczęło się od momentu, kiedy wszedłem na stronę dziwnego pochodzenia. Dodam, że korzystam czasem z komputera ze Szwecji (nie teraz) - nie wiem czy to ma znaczenie. W załączeniu dodaje nowe logi i z niecierpliwością czekam na odpowiedź Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 17 Grudnia 2014 Zgłoś Udostępnij Opublikowano 17 Grudnia 2014 Co właściwieś robiłeś w punkcie 1? Nie ma żadnych zmian, szkodliwe adresy DNS są nadal na miejscu: Tcpip\..\Interfaces\{9E346E7E-7711-47CD-BAAD-532E34B4173D}: [NameServer] 195.67.199.18 195.67.199.19 Tcpip\..\Interfaces\{C5235646-2713-4123-AA52-BD97F5F80C81}: [NameServer] 195.67.199.18 195.67.199.19 Odnośnik do komentarza
kd34610 Opublikowano 17 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 17 Grudnia 2014 Przepraszam, ale źle zrobiłem punkt 1. Które logi mam wykonać po wprowadzeniu zmian? Czy po zmianie ustawień będę mógł korzystać z internetu w innych miejscach np. Wi-Fi poza domem? Odnośnik do komentarza
picasso Opublikowano 17 Grudnia 2014 Zgłoś Udostępnij Opublikowano 17 Grudnia 2014 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Odnośnik do komentarza
kd34610 Opublikowano 17 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 17 Grudnia 2014 Czy po ustawieniu pożądanych adresów DNS będę mógł korzystać z internetu w innych miejscach np. Wi-Fi poza domem? Odnośnik do komentarza
picasso Opublikowano 17 Grudnia 2014 Zgłoś Udostępnij Opublikowano 17 Grudnia 2014 Ustawiasz sobie np. adresy Google, które są uniwersalne. I tu jest zdefektowany DNS po stronie Windows, pobierany z routera jest inny. Przy przełączaniu do innych sieci DNS będzie pobierany z innych urządzeń. DNS ustawiony na sztywno w Windows na adresy Google pozostanie ten sam. Odnośnik do komentarza
kd34610 Opublikowano 17 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 17 Grudnia 2014 W załączeniu nowy log FRST.txt Odnośnik do komentarza
picasso Opublikowano 17 Grudnia 2014 Zgłoś Udostępnij Opublikowano 17 Grudnia 2014 Owszem, ustawiałeś DNS, ale nie dla wszystkich interfejsów sieciowych. Pojawił się nowy wpis z 8.8.8.8 (tylko Podstawowy ustawiłeś, Zapasowego brak). Nadal stoją dwa te same co poprzednio interfejsy sieciowe ze zdefektowanym DNS: Tcpip\..\Interfaces\{9E346E7E-7711-47CD-BAAD-532E34B4173D}: [NameServer] 195.67.199.18 195.67.199.19 Tcpip\..\Interfaces\{ADBCDD41-9109-4ECC-9302-B03FAB4DEEEE}: [NameServer] 8.8.8.8 Tcpip\..\Interfaces\{C5235646-2713-4123-AA52-BD97F5F80C81}: [NameServer] 195.67.199.18 195.67.199.19 Tcpip\..\Interfaces\{F4597B08-196C-46F5-A9BE-ED51D00C1DE8}: [NameServer] 0.0.0.0 W jaki sposób modyfikujesz adresy DNS i dla którego połączenia? Odnośnik do komentarza
kd34610 Opublikowano 17 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 17 Grudnia 2014 Dla Protokół internetowy w wersji 4 (TCP/IPv4) Kilknąłem użyj następujących adresów DNS: Preferowany: 8.8.8.8 I teraz dopisałem jeszcze: 8.8.4.4 poniżej Odnośnik do komentarza
picasso Opublikowano 18 Grudnia 2014 Zgłoś Udostępnij Opublikowano 18 Grudnia 2014 Ja się pytam dla którego połączenia / czy dla wszystkich wykonujesz tę modyfikację. Co jest w Panel sterowania > Sieć i Internet > Centrum sieci i udostępniania > Zmień ustawienia karty sieciowej > ile połączeń widać i czy wszystkie po kolei edytujesz? Odnośnik do komentarza
kd34610 Opublikowano 18 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 18 Grudnia 2014 Zaraz zamieszcze lowy log zamieszczam nowy log teraz na pewno wszystko jest zaznaczone FRST (1).txt Odnośnik do komentarza
picasso Opublikowano 18 Grudnia 2014 Zgłoś Udostępnij Opublikowano 18 Grudnia 2014 No cóż, nadal jest tu problem, mnożą się interfejsy sieciowe, a te zainfekowane stoją jak przyklejone: Tcpip\..\Interfaces\{942B69E3-5AA8-4CEF-9BA8-7C28D00B06AC}: [NameServer] 8.8.8.8,8.8.4.4 Tcpip\..\Interfaces\{9E346E7E-7711-47CD-BAAD-532E34B4173D}: [NameServer] 195.67.199.18 195.67.199.19 Tcpip\..\Interfaces\{ADBCDD41-9109-4ECC-9302-B03FAB4DEEEE}: [NameServer] 8.8.8.8,8.8.4.4 Tcpip\..\Interfaces\{B293D576-C748-4EF3-AC14-91C53867425B}: [NameServer] 8.8.8.8,8.8.4.4 Tcpip\..\Interfaces\{C5235646-2713-4123-AA52-BD97F5F80C81}: [NameServer] 195.67.199.18 195.67.199.19 Tcpip\..\Interfaces\{C90A61BD-CF8B-461F-93D2-298A2CF26EB5}: [NameServer] 8.8.8.8,8.8.4.4 Tcpip\..\Interfaces\{F4597B08-196C-46F5-A9BE-ED51D00C1DE8}: [NameServer] 8.8.8.8,8.8.4.4 Poproszę o zrzut ekranu z Panel sterowania > Sieć i Internet > Centrum sieci i udostępniania > Zmień ustawienia karty sieciowej > widok całego okna + opisanie które pozycje z widocznych w oknie były edytowane. Odnośnik do komentarza
kd34610 Opublikowano 18 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 18 Grudnia 2014 Wszystkie okna zmodyfikowalem Protokol internetowy w wersji 4 DNS zmienilem na 8.8.8.8 Odnośnik do komentarza
picasso Opublikowano 18 Grudnia 2014 Zgłoś Udostępnij Opublikowano 18 Grudnia 2014 Na obrazku jest 6 połączeń, w logu obecnie 7 wpisów. W związku z tym zrobię inaczej, usunę te wartości skryptem FRST: 1. Otwórz Notatnik i wklej w nim: Tcpip\..\Interfaces\{9E346E7E-7711-47CD-BAAD-532E34B4173D}: [NameServer] 195.67.199.18 195.67.199.19 Tcpip\..\Interfaces\{C5235646-2713-4123-AA52-BD97F5F80C81}: [NameServer] 195.67.199.18 195.67.199.19 Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart i powstanie kolejny fixlog.txt. 2. Wróć do edycji połączeń i dla każdego odwróć poprzednie edycje, tzn. wymaż adresy Google Podstawowy + Zapasowy i przełącz na "Automatyczne pobieranie". Zresetuj system. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Odnośnik do komentarza
kd34610 Opublikowano 20 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 20 Grudnia 2014 Zamieszczam nowy log po wykonaniu wskazanych czynności FRST.txt Odnośnik do komentarza
picasso Opublikowano 20 Grudnia 2014 Zgłoś Udostępnij Opublikowano 20 Grudnia 2014 Wszystkie wpisy typu "NameServer" zniknęły z raportu. Podstawowe pytanie: czy reklamy / przekierowania nadal występują? Odnośnik do komentarza
kd34610 Opublikowano 20 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 20 Grudnia 2014 Niestety nadal występują Odnośnik do komentarza
picasso Opublikowano 21 Grudnia 2014 Zgłoś Udostępnij Opublikowano 21 Grudnia 2014 W takim razie wrócę jeszcze do wpisu DNS pobieranego z routera, to adres prywatny, więc nie wygląda per se szkodliwie, ale może problemem jest tu właśnie router: Tcpip\Parameters: [DhcpNameServer] 10.2.255.1 Proponuję sprawdzić co się stanie po resecie routera. 1. Zaloguj się do routera: Zmień ustawienia DNS na adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. 2. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie i podaj zwrotny wynik: KLIK. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się