Duża infekcja - wirus restartujący kompa


(Dark Sarker) #1

Witam. Miałem wczoraj niemały problem. Komputer mi się strasznie mulił, a w autostarcie (msconfig) miałem pełno podróbek plików windowsa (svhost.EXE itp.) Podhaczałem, ale one cały czas z powrotem się włączały. Wpadłem na pomysł dania loga z Hijackthis na forum. Ale gdy wpisałem w przeglądarkę tą frazę, komputer momentalnie się zresetował. Awaryjny nie pomagał. TO samo z ComboFixem, ale jego udało mi się zgrać na mp3 od kumpla i odpalić. Usunął wiele, ale w autostarcie 3 zostały jakies podróby. Teraz juz mogę pobierać antywirusy, ale podaję do sprawdzenia loga z Hijack'a i ComboFixa.

CB:

http://wklej.org/id/369152/

HT:

http://wklej.org/id/369153/


(jessica) #2

BRONTOK!

Wklej do Notatnika :

File::

f:\documents and settings\Dawid\Menu Start\Programy\Autostart\ctfmon.exe

f:\windows\pss\ctfmon.exe

f:\documents and settings\Drumcio\Menu Start\Programy\Autostart\Empty.pif


Folder::

f:\documents and settings\anuszek\Ustawienia lokalne\Dane aplikacji\Ok-SendMail-Bron-tok

f:\documents and settings\anuszek\Ustawienia lokalne\Dane aplikacji\Loc.Mail.Bron.Tok

f:\documents and settings\Drumcio\Ustawienia lokalne\Dane aplikacji\Ok-SendMail-Bron-tok

f:\documents and settings\Drumcio\Ustawienia lokalne\Dane aplikacji\Loc.Mail.Bron.Tok

f:\documents and settings\Dawid\Ustawienia lokalne\Dane aplikacji\Ok-SendMail-Bron-tok

f:\documents and settings\Dawid\Ustawienia lokalne\Dane aplikacji\Loc.Mail.Bron.Tok


Registry::

[-HKLM\~\startupfolder\F:^Documents and Settings^Drumcio^Menu Start^Programy^Autostart^ctfmon.exe]

[-HKLM\~\startupfolder\F:^Documents and Settings^Drumcio^Menu Start^Programy^Autostart^Empty.pif]

>>Plik>>Zapisz jako... >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

-------->cfscript10gm1.gif

Ma się rozpocząć usuwanie. (i powstanie log).

Daj ten log, który powstanie w trakcie usuwania.

Użyj MBAM http://www.dobreprogramy.pl/Malwarebytes-AntiMalware,Program,Windows,13117.html

Co wykryje, niech usunie, a raport tu dasz.

jessi


(Dark Sarker) #3

Proszę:

http://wklej.org/id/369407/

Tam CB, teraz szybkie z MalwareBytes, bo potem na pełnym czysto:

http://wklej.org/id/369410/


(jessica) #4

Z logu wynika, że ComboFix nie był uruchomiony Scriptem, więc powtórz usuwanie, bo wszystko w logu dalej jest.

jessi


(Dark Sarker) #5

Nowy MalwareBytes, jeszcze więcej...

http://wklej.org/id/369646/

Mam problem z tym scriptem, robię to co piszesz, ale uruchamia mi się to okienko czy akceptuję to, że autor nie daje gwarancji, daję tak i Combo się normalnie uruchamia...

EDIT:

Pisze, że komendy pobrano z tego pliku, to chyba wyszło:

http://wklej.org/id/369654/