Starszliwie zamulony komp, czasami się programy nie chcą uruchamiać itp. itd.
http://www.wklej.org/id/191444/ HijackThis log
http://www.wklej.org/id/191447/ OTL log
Pomóżcie bo sie pracowac na takim czyms nie da :d
Starszliwie zamulony komp, czasami się programy nie chcą uruchamiać itp. itd.
http://www.wklej.org/id/191444/ HijackThis log
http://www.wklej.org/id/191447/ OTL log
Pomóżcie bo sie pracowac na takim czyms nie da :d
Uruchom OTL i w oknie Custom Scans/Fixes wklej to:
Kliknij w Run Fix. Zatwierdź restart komputera.
Następnie uruchom OTL ponownie, tym razem wywołaj opcję Run Scan.
Pokaż nowy log OTL.txt oraz log z czyszczenia.
jessi
Log po czysczeniu, po restarcie komputera: http://www.wklej.org/id/191562/
Nowy log OTL: http://www.wklej.org/id/191566/
Nie wiem, co to za dziwadło.
Sprawdź je na --> JOTTI/ albo na VIRUSTOTAL. albo na VIRSCAN.
Ma atrybut ***hidden***, więc:
Jeśli okaże się “zły”, to go dopisz (C:\WINDOWS\system32\scyehbni.dll) do poniższego Scriptu, poniżej
:Files
Uruchom OTL i w oknie Custom Scans/Fixes wklej to:
Kliknij w Run Fix. Zatwierdź restart komputera.
Następnie uruchom OTL ponownie, tym razem wywołaj opcję Run Scan.
Pokaż nowy log OTL.txt oraz log z czyszczenia.
jessi
Dopisałeś ten plik, więc wnioskuję, że jest “zły”.
Ale się nie usunął, więc:
Uruchom OTL i w oknie Custom Scans/Fixes wklej to:
Kliknij w Run Fix. Zatwierdź restart komputera.
Następnie uruchom OTL ponownie, tym razem wywołaj opcję Run Scan.
Pokaż nowy log OTL.txt oraz log z czyszczenia.
Jeśli zauważysz w nowym logu, że ten plik dalej jest, to:
dasz log z >SRENG
(Po uruchomieniu kliknij “SmartScan”, zaznacz “Verify…”, kliknij “Scan”, czekasz na raport, klik na “Save…”, potem na “Close”).
jessi
Niestety ale po oczyszczeniu ten plik nadal się nie usunął (w logu była informacja: …move failed… czy coś podobnego)a więc daje log
SRENG: http://www.wklej.org/id/191644/
OTL.txt: http://www.wklej.org/id/191646/
Niby się usunął, bo w logu OTL go nie ma.
W logu SRENG jest, ale który log był wcześniej robiony:
Poza tym w logu SRENGa to wygląda, jak wirus CONFICKER! Może to tylko tak wygląda…
Wg mnie, lepiej to sprawdzić, (choć zrobisz, jak uważasz).
Na CONFICKERA, to potrzebny jest log z ComboFix
jessi
Bardzo możliwe że komputer złapał bardzo dużo i bardzo żlego syfu… ponieważ przez DŁUGI okres czasu WOGÓLE nie miał kompletnie nic aby walczyć z tymi robakami itp. (zero antywirusa[najczesciej byl wylaczony], zero firewalla, zero antyspawera itd. itp.) więc daje log
COMBOFIX: http://www.wklej.org/id/191682/
A jednak jest CONFICKER!
Przy okazji w logu ComboFixa są inne infekcje, które nie były widoczne ani w OTL, ani w SRENG!
Wklej do Notatnika :
File::
C:\lhh3v.exe
C:\qcod.exe
C:\o8tf6l.exe
C:\mjafm.exe
C:\qcoageh.exe
C:\ph.exe
C:\q0.exe
C:\10nb.exe
C:\9cquqs.exe
C:\xbvv0.exe
c:\program files\owcstp16.dll
c:\recycler\S-1-5-21-1482476501-1644491937-682003330-1013\iuhx32.exe
d:\lhh3v.exe
d:\qcod.exe
d:\o8tf6l.exe
d:\mjafm.exe
d:\qcoageh.exe
d:\ph.exe
d:\q0.exe
d:\10nb.exe
d:\9cquqs.exe
d:\xbvv0.exe
Folder::
c:\recycler
NetSvc::
xzidfsul
Driver::
xzidfsul
Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5374:TCP"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{28B0E5C2-99CB-11CF-AYX5-00401C648513}]
>>Plik>>Zapisz jako… >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
-------->
Ma się rozpocząć usuwanie. (i powstanie log).
Daj ten log, który powstanie w trakcie usuwania.
jessi
Wklej do Notatnika :
File::
C:\WINDOWS\system32\scyehbni.dll
Driver::
xzidfsul
NetSvc::
xzidfsul
>>Plik>>Zapisz jako… >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
-------->
Ma się rozpocząć usuwanie. (i powstanie log).
Daj ten log, który powstanie w trakcie usuwania.
Coś to się nie usuwa…
Wklej do Notatnika :
Driver::
xzidfsul
NetSvc::
xzidfsul
Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\xzidfsul]
[-HKEY_LOCAL_MACHINE\System\ControlSet002\Services\xzidfsul]
>>Plik>>Zapisz jako… >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
-------->
Ma się rozpocząć usuwanie. (i powstanie log).
Daj ten log, który powstanie w trakcie usuwania.
jessi
Nie wiem, dlaczego nie daje się usunąć. Przeglądałam jeszcze raz log ze SRENGa, by zobaczyć, czy nie jest podczepiony do jakiegoś innego procesu, ale nie jest podczepiony.
Wypróbujemy różne warianty usuwania:
>>Start >>> Uruchom >>> wybierz (lub wpisz) cmd >> zastosować tę komendę (po niej wciśnij “ENTER”):
Avenger>>
wklej do niego ten tekst:
Drivers to delete:
xzidfsul
xzidfsul
"Time Windows"
Kliknij w " Execute" i zatwierdź restart komputera. Zrestartuj komputer. Daj Raport z Avengera z C:\avenger.txt. 3. Wklej do Notatnika :
Driver::
xzidfsul
xzidfsul
"Time Windows"
>>Plik>>Zapisz jako… >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
Ma się rozpocząć usuwanie. (i powstanie log).
Daj ten log, który powstanie w trakcie usuwania.
jessi
Nie było tego.
AD1. Sukces- komunikat o usunięciu
AD2. AVENGER: http://www.wklej.org/id/192246/
AD3. COMBOFIX: http://www.wklej.org/id/192249/
Dodatkowo daje logi z:
No, wreszcie się udało!
Sprzątanie:
>>SRENG>>"System Repair>>karta “Browser Add-ons”>>wyszukuj i zaznaczaj:
i po kolei klikaj na przycisk “Delete Selected”.
W OTL kliknij na przycisk “CleanUp” - to go usunie.
Usuń ręcznie folder C:** Qoobox**.
Usuń kopie szkodników z folderu “System Volume Information” poprzez chwilowe wyłączenie “Przywracania Systemu”:
Jeśli nie masz na bieżąco aktualizowanego Systemu, to zaraz podam Ci link do koniecznej łatki, w celu uniemożliwienia w przyszłości infekcji CONFICKERA, choć tylko z sieci, bo z pendrive będzie i tak mógł się przedostać na komputer.
MS08-067 łatka Pobierz >http://www.microsoft.com/downloads/results.aspx?pocId=&freetext=ms08-067&DisplayLang=pl
Przejrzyj listę i kliknij na link, który odpowiada Twojej wersji systemu Windows.
Następnie należy pobrać plik ze strony, która otwiera się i zapisz go na pulpicie.
Wystarczy dwukrotnie kliknąć na plik, który został pobrany z witryny firmy Microsoft i postępuj zgodnie z instrukcjami, aby zainstalować łatkę. Pozwoli to uniknąć ponownego zakażenia po usunięciu “Confickera”.
W OTL widzę te puste, bezplikowe klucze, SRENG ich jednak nie widzi.
Jeśli masz przypadkiem HijackThis, to:
Te w/w wpisy sfiksuj w Hijacku:
>>Hijack>>scan(Do a system scan only)>>zaznacz je >>Fix checked.
Dzięki temu System przy starcie komputera nie będzie tracił czasu na poszukiwanie nieistniejących plików.
Jeśli nie masz Hijacka, to zostaw to, jak jest.
jessi