GreenWoman
(Creepygreenwoman)
25 Sierpień 2008 06:15
#1
miałam problem opisywany już wcześniej - pseudo antywirus nieopatrznie zainstalowany, zmienia się tapeta na ‘warning, your computer is infected’ itd, znikają zakładki w właściwościach ekranu, internet zaczyna dziwnie działać - nie da się śćiągąć plików, ani wysyłać formularzy. avast stwierdza przy włączaniu, że jest wirus w pamięci operacyjnej, każe robić restart i skanowanie przed uruchomieniem windowsa, wywala po kilka trojanów, ale po włączeniu alarmuje, że wirus dalej jest. zatem skan od nowa. nic.
w logu z hijack this znalazłam ze dwa syfy, pozbyłam się ich. potem zapuściłam SDFixa w trybie awaryjnym, powywalał sporo syfu, net i pulpit wrócił do stanu normalnego. przeskanowałam avastem - o wirusie w pamięci operacyjnej już nie wywala, ale wykrył jeszcze jakieś 3 wiruchy, które usunął pomyślnie. wygląda, że wszystko ok, ale ze mnie specjalista nie jest i chcę mieć pewność, że syf zwalczony.
bardzo proszę o sprawdzenie loga.
raport z SDFixa:
http://www.wklejto.pl/8723
log z hijack this:
http://www.wklejto.pl/8722
edit: skanuję obecnie malwarebytes, i wykrywa cholernie dużo zainfekowanych obiektów.
Usuń te wpisy w HJT
Uruchom HijackThis - Do a system scan only - w oknie programu pokaże się log - zaznacz kratki przy podanych wpisach - klikasz Fix checked
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O3 - Toolbar: My Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL O4 - HKLM…\Run: [MyWebSearch Plugin] rundll32 C:\PROGRA~1\MYWEBS~1\bar\1.bin\M3PLUGIN.DLL,UPF O4 - HKLM…\Run: [My Web Search Bar] rundll32 C:\PROGRA~1\MYWEBS~1\bar\1.bin\MWSBAR.DLL,S O4 - HKLM…\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe O4 - HKCU…\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredi … p=ZJfox000
Pobierz Combofix ale nie uruchamiaj wklej do notatnika:
Zapisz plik jako CFScript.txt najlepiej aby ikonka tego pliku znajdowała się obok ikonki ComboFix.exe
Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe powinno rozpocząć się usuwanie po tym daj log na forum.
Usuń ręcznie folder C:\Qoobox , usuń instalkę Combofix z dysku.
GreenWoman
(Creepygreenwoman)
25 Sierpień 2008 06:38
#3
Start - Uruchom - wpisujesz cmd.exe Enter
sc stop ZDCndis5 Enter
sc delete ZDCndis5 Enter
po każdej linijce Enter
Log wygląda na czysty.
usuń folder C: \Qoobox oraz instalkę Combofix z dysku.
Przeczyść system oraz rejestr CCleaner
Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja
Przeskanuj obszar Mój komputer Kaspersky Online Scanner Uruchom pod IE daj raport na forum
lub Dr.WEB CureIt!
djarta
(djarta)
25 Sierpień 2008 06:48
#5
Czysto.
Usuń ręcznie folder C:* * Qoobox**,
Usuń instalkę ComboFix z dysku.
Wykonaj optymalizację autostartu
Przeczyść komputer Ccleanerem
Wyłącz i włącz przywracanie systemu na wszystkich dyskach.Instrukcja
Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html ( uruchom przez IE ) Daj raport z niego na forum.
lub
Dr.WEB CureIt! .
===================
K.
GreenWoman
(Creepygreenwoman)
25 Sierpień 2008 20:04
#6
raport z kasperskiego nie wygląda za dobrze
http://www.wklejto.pl/8784
Leon1
(Leon$)
25 Sierpień 2008 20:56
#7
log ucięty w tym co widać żadnego wirusa nie ma
daj resztę raportu
GreenWoman
(Creepygreenwoman)
25 Sierpień 2008 20:58
#8
ups, rzeczywiście, przepraszam. za długi był czy coś, tu jest całość w każdym razie:
http://www.wklej.org/id/988/
edit: wytłumaczy ktos idiotce [czyt. mnie] o co chodzi z tym ‘Object is locked pominięty’
Leon1
(Leon$)
25 Sierpień 2008 21:11
#9
Pobierz i uruchom narzędzie The Avenger Zaznaczasz tekst podany do usunięcia na forum
kopiuj >> klikasz na Paste Script from Clipboard >> Execute >> Potwierdzasz i zgadzasz się na restart klikając OK .
Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt
on-line tylko sprawdza pliki wyszukuje wiry ale nie usuwa więc pomija
GreenWoman
(Creepygreenwoman)
25 Sierpień 2008 21:27
#10
no tak, rzeczywiście
raport:
http://www.wklej.org/id/995/
Leon1
(Leon$)
25 Sierpień 2008 21:48
#11
wszystko usunięte powinno być OK
GreenWoman
(Creepygreenwoman)
25 Sierpień 2008 21:52
#12
w takim razie wielkie dzięki za pomoc