al23
(Aleksandergorka)
27 Sierpień 2008 11:32
#21
Dzieki ale to znów na nic. Ja nie mogę zobaczyc tych ukrytych plików bo mnie nie puszcza.
Wszedłem jednak przez Total Commandera i wyczyściłem wszystko na C. Sprawdzam pozostałe partycje a w każdej z nich siedzą te same pliki które wczesniej wyrzucałem z C. Jest jeszcze wszędzie plik autorun.inf oprócz tamtych??? Czy jego też mam sie pozbyć ? Na dodatek nie mogę wejść do tych dysków normalnie bo pyta się czym ma je otworzyć?
Wejdź w tryb awaryjny windows Instrukcja tutaj http://forum.pcformat.pl/showthread.php?tid=13358
Pobierz Combofix spróbuj uruchomić
al23
(Aleksandergorka)
27 Sierpień 2008 12:23
#23
Dzięki za poradę z tym trybem awaryjnym. ComboFix poszedł. Podaje logi:
ComboFix 08-08-26.02 - alek 2008-08-27 14:11:04.1 - NTFSx86 NETWORK
djarta
(djarta)
27 Sierpień 2008 12:31
#24
Wylecz pendriva lub kartę pamięci
Perlovga Removal Tool
Flash Disinfector
lub format
Wklej do Notatnika :
File::
C:\WINDOWS\system32\ckvo1.dll
C:\WINDOWS\Internet Logs\xDB4.tmp
C:\WINDOWS\Internet Logs\xDB3.tmp
C:\WINDOWS\Internet Logs\xDB2.tmp
C:\WINDOWS\Internet Logs\xDB1.tmp
Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\I]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\J]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\K]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\L]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{574e0630-36c5-11db-a386-806d6172696f}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{574e0631-36c5-11db-a386-806d6172696f}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{574e0632-36c5-11db-a386-806d6172696f}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{574e0633-36c5-11db-a386-806d6172696f}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c8cda71a-36b1-11db-b74d-806d6172696f}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c8cda71b-36b1-11db-b74d-806d6172696f}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c8cda71c-36b1-11db-b74d-806d6172696f}]
>>Plik>>Zapisz jako… >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
–>
Ma się rozpocząć usuwanie. (i powstanie log).Daj ten log, który powstanie w trakcie usuwania.
Jeśli pójdzie dobrze, to: Po restarcie usuń ręcznie folder C:* * Qoobox.**
================
K.
system
(system)
27 Sierpień 2008 12:36
#25
Człowieku! Masz archiwum wirusów! :o :o :o :o Zmień antywirusa to po 1 a po drugie chyba tylko format każdego dysku cię uratuje! Zobacz ile tego jest. Naprawdę formacik każdego dysku się przyda i przede wszystkim: zmień antywirusa!
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
D:\Autorun.inf
D:\uvg.com
E:\Autorun.inf
E:\uvg.com
F:\Autorun.inf
F:\uvg.com
I:\Autorun.inf
I:\uvg.com
J:\Autorun.inf
J:\uvg.com
K:\Autorun.inf
K:\uvg.com
L:\Autorun.inf
2008-08-27 14:13 . 2008-08-27 14:13 53,248 --a------ C:\Temp\catchme.dll
2008-08-27 12:24 . 2008-08-08 07:04 545 --a------ C:\WINDOWS\UC.PIF
2008-08-27 12:24 . 2008-08-08 07:04 545 --a------ C:\WINDOWS\RAR.PIF
2008-08-27 12:24 . 2008-08-08 07:04 545 --a------ C:\WINDOWS\PKZIP.PIF
2008-08-27 12:24 . 2008-08-08 07:04 545 --a------ C:\WINDOWS\PKUNZIP.PIF
2008-08-27 12:24 . 2008-08-08 07:04 545 --a------ C:\WINDOWS\NOCLOSE.PIF
2008-08-27 12:24 . 2008-08-08 07:04 545 --a------ C:\WINDOWS\LHA.PIF
2008-08-27 12:24 . 2008-08-08 07:04 545 --a------ C:\WINDOWS\ARJ.PIF
2008-07-09 07:05 75,248 ----a-w C:\WINDOWS\zllsputility.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
\Shell\AutoRun\command - ph.com
\Shell\explore\Command - ph.com
\Shell\open\Command - ph.com
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]
\Shell\AutoRun\command - ph.com
\Shell\explore\Command - ph.com
\Shell\open\Command - ph.com
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F]
\Shell\AutoRun\command - ph.com
\Shell\explore\Command - ph.com
\Shell\open\Command - ph.com
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\I]
\Shell\AutoRun\command - ph.com
\Shell\explore\Command - ph.com
\Shell\open\Command - ph.com
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\J]
\Shell\AutoRun\command - ph.com
\Shell\explore\Command - ph.com
\Shell\open\Command - ph.com
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\K]
\Shell\AutoRun\command - ph.com
\Shell\explore\Command - ph.com
\Shell\open\Command - ph.com
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\L]
\Shell\AutoRun\command - ph.com
\Shell\explore\Command - ph.com
\Shell\open\Command - ph.com
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{574e0630-36c5-11db-a386-806d6172696f}]
\Shell\AutoRun\command - ph.com
\Shell\explore\Command - ph.com
\Shell\open\Command - ph.com
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{574e0631-36c5-11db-a386-806d6172696f}]
\Shell\AutoRun\command - ph.com
\Shell\explore\Command - ph.com
\Shell\open\Command - ph.com
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{574e0632-36c5-11db-a386-806d6172696f}]
\Shell\AutoRun\command - ph.com
\Shell\explore\Command - ph.com
\Shell\open\Command - ph.com
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{574e0633-36c5-11db-a386-806d6172696f}]
\Shell\AutoRun\command - ph.com
\Shell\explore\Command - ph.com
\Shell\open\Command - ph.com
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c8cda71a-36b1-11db-b74d-806d6172696f}]
\Shell\AutoRun\command - ph.com
\Shell\explore\Command - ph.com
\Shell\open\Command - ph.com
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c8cda71b-36b1-11db-b74d-806d6172696f}]
\Shell\AutoRun\command - ph.com
\Shell\explore\Command - ph.com
\Shell\open\Command - ph.com
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c8cda71c-36b1-11db-b74d-806d6172696f}]
\Shell\AutoRun\command - ph.com
\Shell\explore\Command - ph.com
\Shell\open\Command - ph.com
.
- - - - ORPHANS REMOVED - - - -
HKCU-Run-kamsoft - C:\WINDOWS\system32\ckvo.exe
Pobierz Combofix ale nie uruchamiaj wklej do notatnika:
Zapisz plik jako CFScript.txt najlepiej aby ikonka tego pliku znajdowała się obok ikonki ComboFix.exe
Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe powinno rozpocząć się usuwanie po tym daj log na forum.
Usuń ręcznie folder C:\Qoobox , usuń instalkę Combofix z dysku.
Pobierz ATF Cleaner http://dobreprogramy.pl/index.php?dz=19 … TF+Cleaner wyczyść wszystkie katalogi Temp
Monczkin
(Monczkin)
27 Sierpień 2008 14:00
#28
al23 , poczytaj te tematy i popraw temat oraz posta.
viewtopic.php?f=16&t=66889
viewtopic.php?f=16&t=253052
huber2t
(huber2t)
28 Sierpień 2008 04:15
#30
Pobierz ComboFix , ale nie uruchamiaj
Otwórz notatnik i wklej do niego:
File::
C:\Temp\catchme.dll
C:\WINDOWS\Internet Logs\xDB1.tmp
Plik -> zapisz jako -> CFScript.txt .
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->
Rozpocznie się usuwanie i powstanie log, który dasz na forum.
Logi dajesz na http://wklej.eu lub na http://wklej.org a w poście dajesz tylko link
al23
(Aleksandergorka)
28 Sierpień 2008 07:14
#31
Oto kolejne logi z ComboFixa:
http://wklejto.pl/8977
huber2t
(huber2t)
28 Sierpień 2008 07:17
#32
Usuń ręcznie to:
usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.
Przeczyść komputer Ccleanerem
Wykonaj optymalizację autostartu
Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja
Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum
lub
Dr.WEB CureIt!
al23
(Aleksandergorka)
28 Sierpień 2008 11:15
#33
Oto raport z Kasperskiego :
http://wklejto.pl/9007
Pobierz The Avenger zaznacz poniższy tekst
kopiujesz - klikasz na Paste Script from Clipboard - Execute - Potwierdzasz i zgadzasz się na restart klikając OK.
Po wykonaniu skasuj z dysku plik: C:\Avenger\backup.zip i wklej raport na forum C:\avenger.txt
al23
(Aleksandergorka)
28 Sierpień 2008 11:42
#35
Oto raport z The Avenger:
http://wklejto.pl/9013
Pliki usunięte powinno być OK. Możesz dla pewności przeskanować raz jeszcze.
al23
(Aleksandergorka)
28 Sierpień 2008 11:46
#37
Jak na razie dzięki. Przeskanuję raz jeszcze i dam info.
al23
(Aleksandergorka)
28 Sierpień 2008 14:37
#38
Oto raport z Kasperskiego:
http://wklejto.pl/9034
Czy informacja na temat zainfekowanych obiektów powinna mnie martwić czy tak już musi być?
al23
(Aleksandergorka)
28 Sierpień 2008 15:26
#40
Wielkie dzięki tym którzy mi pomagali
Mam jeszcze jedno pytanko. Domyślam się skąd przyniosłem to paskudztwo. Zdjęcia z wakacji wklejałem do bloga w “różnych” kawiarenkach internetowych. Wrzuciłem jedną kartę ze zdjęciami w domu i mi się wszystko posypało. Mam jeszcze 4 karty i nie chcę przechodzić tego wszystkiego od nowa. Czy coś można tu zrobić bez oczywiście straty zdjęć(format) ? Chyba że to był inny powód a karty są czyste(CF).
Jak się okazało wszystkie karty były zawiruszone oraz 2 pendrivy które używałem. Postarałem sie usunąć to paskudztwo ale nie wiem czy jeszcze coś nie zostało. Proszę o zerkniecie na logi z ComboFixa:
http://wklejto.pl/9112