Witam.
Wszystko tak jak napisałem w temacie.
Czyli blokada Hijackthis i Menadżera zadań + a.exe oraz flower.exe
Log hijackthis 
http://wklej.org/id/052cb40af9
Z góry dzięki.
Combofix 
http://wklej.org/id/409abe312a
Do tego przy przetwarzaniu combofix napotkał 4x autorun na kazdym z dysków (w tym 1 pendrive) podłączyłem go na specjalnie bo na innym pc wykrylo mi go zainfekowanego
Pobierz ComboFix, ale nie uruchamiaj
Wklej do notatnika:
File::
C:\autorun.inf
C:\WINDOWS\DynoRes99SE.rcs
C:\WINDOWS\system32\a.jpg
C:\test.exe
C:\WINDOWS\system32\Flower.dll
C:\WINDOWS\system32\Flower.exe
Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->
Rozpocznie się usuwanie i powstanie log, daj ten log na forum.
Otwórz notatnik i wklej
zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe
http://img.wklej.org/images/88953CFScri … iemoes.gif
Powinno rozpocząć się usuwanie
Potem log z usuwania Combofix
Proszę bardzo.
http://wklej.org/id/338ed270f0
Wyczyściłem do tego pendrive przy użyciu Flash Disinfector.
Po zabiegu ComboFixem włączyło mi ostrzeżenie o braku włączonej zapory (sam ją wyłączyłem i wywaliłem ostrzeżenia, combofix je przywrócił)
Włączyć zaporę czy nie?
zaporę włacz
Otwórz notatnik i wklej
zapisz jako plik.reg >> wszystkie pliki >> scal z rejestrem >> restart
powstanie plik o takiej ikonie
w który dwa razy klikniesz potwierdzisz chęć dodania do rejestru potem restart
Log wygląda na czysty
zrób optymalizacje uruchamiania http://cybertrash.netarteria.pl/cyber/index.php/topic,378.0.html
usuń ręcznie folder C: \Qoobox usuń instalkę Combofix z dysku.
Wyłącz I włącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl
przeskanuj obszar Mój komputer http://www.kaspersky.pl/virusscanner.html pokaż raport stronę uruchomić przez IE
Czyli ostatecznie przywracanie systemu ma być Włączone?
Log z kasperskyego: http://anrstudio.com/shdw/raport.html
Po wszsytkich czynnościach przywracanie mozesz właczyć
Usuń te e-maile które są zainfekowane:
Pobierz The Avenger
wklej do niego ten tekst:
Files to delete:
C:\Documents and Settings\Administrator\Pulpit\vnc-4_1_2-x86_win32.exe
D:\Recycled\ctfmon.exe
E:\My Downloads\belle Bajm.mp3
E:\My Downloads\bonanza theme.mp3
E:\My Downloads\love me soundtrack z lejdis.mp3
E:\System Volume Information\_restore{9A888153-DA59-407E-9B89-5BD0FA2417A4}\RP1\A0000019.exe
kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.
Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt
Po trym powinno byc ok ale przeskanuj dla pewności jeszcze raz i daj raport na forum
Nie jestem w stanie włączyć Avangera. Wywala mi się taka seria błąd:
Usuń te pliki ręcznie i daj nowy skan
Tego pliku nie ma. (oczywiście nie jest ukryty, ani systemowy, bo włączyłem ich pokazywanie)
Odmowa dostępu
Resztę wywaliłem.
Przy okazji odsłonienia plików systemowych zauważyłem, że NADAL na każdym dysku jest autorun.inf i test.exe. Wszystkie wywaliłem ręcznie, jedynie z pendrive nie mogę się go pozbyć, nie można go również sformatować.
E:\System Volume Information_restore{9A888153-DA59-407E-9B89-5BD0FA2417A4}\RP1\A0000019.exe
to powinno pomóc
Wyłącz i Włącz przywracanie systemu na wszystkich dyskach. Instrukcja
Przeskanuj combofixem i kasperskim daj logi na forum
Combofix http://www.wklej.org/id/51a1952036
Nowy raport kasperskyego http://anrstudio.com/shdw/raport.html
Wyłącz i Włącz przywracanie systemu na wszystkich dyskach. Instrukcja
Pobierz ComboFix, ale nie uruchamiaj
Wklej do notatnika:
File::
C:\test.exe
C:\WINDOWS\system32\a.jpg
C:\WINDOWS\system32\Flower.dll
C:\WINDOWS\system32\Flower.exe
Folder::
D:\Recycled
Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\ShuiNiu.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\svch0st.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\Systom.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->
Rozpocznie się usuwanie i powstanie log, daj ten log na forum.
W jakim celu za każdym razem trzeba wyłączać i włączać przywracanie?
W celu zresetowania zapisanych punktów przywracania?
otwórz notatnik i wklej
Z menu Notatnika -> Plik -> Zapisz jako -> Zmień rozszerzenie z .txt na wszystkie pliki -> zapisz pod nazwą Fix.reg
Uruchom ten plik, uruchom ponownie komputer
Usuń ręcznie folder C:\Qoobox ,usuń instalkę Combofix z dysku
Przeczyść komputer Ccleanerem
Wykonaj optymalizację autostartu
Wyłącz przywracanie systemu na wszystkich dyskach. Instrukcja
Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum
Włącz przywracanie systemu.
Raport z kasperskyego: http://shdw.pl/tmp/raport.html
Ten test.exe się przykleił i co go usunę to się pojawia znowu…
Pobierz The Avenger
wklej do niego ten tekst:
Files to delete:
E:\System Volume Information\_restore{9A888153-DA59-407E-9B89-5BD0FA2417A4}\RP1\A0000019.exe
kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.
Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt
Pokaz log z Combofix