MalWarrior problem z usuwaniem złośliwego oprogramowania!


(system) #1

Czy Ktoś mógłby mi pomóc usunąć to badziewie? !!


(huber2t) #2

Podaj log z Hijackthis


(Agatonster) #3

jak2006 ,

Poczytaj - Konkretne tematy... ze zwróceniem szczególnej uwagi na pierwszy post.

Proszę poprawić tytuł tematu na konkretny, mówiący o problemie.

W celu dokonania zaleconej korekty - proszę użyć przycisku ac7a4cd89050aa6e.gifprzy poście otwierającym ten temat.

Zignorowanie zalecenia będzie skutkowało usunięciem tematu do Kosza - Twój kolejy post - OT już tam ląduje. :?


(system) #4

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 19:43, on 2008-05-16


(huber2t) #5

fix w hijackthis

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\WINDOWS\pvnsmfor.dll

C:\WINDOWS\system32\ctfmona.exe

C:\DOCUME~1\JANUSZ~1\USTAWI~1\Temp\stdcons.exe

C:\WINDOWS\mpfanvqg.dll

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

02f8f1e3c410a4cc.gif

Rozpocznie się usuwanie i powstanie log, daj ten log na forum.


(Agatonster) #6

jak2006 ,

W związku ze zmianą, jaka obowiązuje przy wklejaniu logów na forum, przeczytaj i zastosuj się do Tematu

Temat przenoszę do właściwego dla logów działu.


(system) #7

Niestety mój komputer przestał reagować na jakiekolwiek polecenia łącznie z próbą wyłączenia...

W dniu 16.05.2008 , o godzinie 20:57 został dopisany post przez jak2006

po awaryjnym uruchomieniu znowu odpalił! ale problrm pozostał...


(Leon$) #8

pokaż log Combofix

:slight_smile:


(system) #9

czyli mam powtórzyć czynność z Hijackthis?


(Leon$) #10

po prostu włącz Combofix i pokaż log na forum

:slight_smile:


(system) #11

przez combofixa logi brak, natomiast przez hijacktis wygląda tak http://wklej.org/id/ad0c5d9980 co dalej?


(Leon$) #12

wpisy

usuń HijackThisem >> Fix checked

Pobierz i uruchom narzędzie The Avenger Zaznaczasz tekst podany do usunięcia na forum

kopiuj >> klikasz na Paste Script from Clipboard >> Execute >> Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

napisz co z Combo czy nie możesz uruchomić czy nie możesz znaleźć loga czy po prostu wyłączasz go przed skończeniem skanowania

:slight_smile:


(system) #13

Na razie bardzo, bardzo dziękuję odezwę się jutro! Pozdrawiam

W dniu 16.05.2008 , o godzinie 23:22 został dopisany post przez jak2006

Myślałem Leon, że masz Mnie dość i poszedłeś spać raport http://wklej.org/id/b776329b6b Problem chyba zniknął oprócz głupiego napisu na tapecie! Jestem Ci dozgonnie wdzięczny! Bóg zapłać dobry Człowieku!


(Leon$) #14

Pobierz program SDFix

-


(system) #15

Zgodnie ze wskazówkami http://wklej.org/id/37d8dd1f60, Leon jesteś WIELKI, zazdroszczę :lol: Ci wiedzy..

W dniu 17.05.2008 , o godzinie 0:17 został dopisany post przez jak2006

a i jeszcze raport z SDFix

Restoring Windows Registry Values

Restoring Windows Default Hosts File

Restoring Default Desktop Wallpaper

Rebooting

Checking Files :

Trojan Files Found:

C:\WINDOWS\SYSTEM32\CTFMONB.BMP - Deleted

C:\WINDOWS\oadkxrts.exe - Deleted


(huber2t) #16

Do wyleczenia pendrive z wirusów użyj

Perlovg Removal Tool

Flash Disinfector

lub format

fix w hijackthis

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\WINDOWS\system32\mdfiwkft.dll

C:\WINDOWS\system32\WinCtrl32.dll

C:\WINDOWS\SYSTEM32\WinNt32.dll

C:\WINDOWS\system32\deNpAJlm.ini2

C:\WINDOWS\exnk.exe

C:\WINDOWS\system32\hgGyVOhH.dll


Registry::

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{CD863FA3-3C16-460E-8D7E-B4102A0179EB}]

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{EF4CC146-43C9-4741-8D21-EB5035A4EBEC}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SunJavaUpdateSched"=-

WinampAgent"=-

"4e14b9e0"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]

"{EF4CC146-43C9-4741-8D21-EB5035A4EBEC}"=-

[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\efcARklM]

[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WinCtrl32]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

02f8f1e3c410a4cc.gif

Rozpocznie się usuwanie i powstanie log, daj ten log na forum.


(system) #17

I powstało cuś takiego http://wklej.org/id/19cf276706, avast krzyczy mi że mam jeszcze pliki zainfekowane... :frowning: Ale jestem z Was Panowie dumni usunęliście TO BADZIEWIE MALWARRIOR, Hubert wstajesz o tak nieprzyzwoitych porach jak ja!


(huber2t) #18

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\WINDOWS\system32\WinCtrl32.dll 

C:\WINDOWS\system32\tfkwifdm.tmp

C:\WINDOWS\system32\qwqvmndn.ini 

C:\WINDOWS\system32\uupyhmne.ini 

C:\WINDOWS\system32\toehusat.ini


Registry::

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"dla"=-

WinampAgent"=-

[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WinCtrl32]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

02f8f1e3c410a4cc.gif

Rozpocznie się usuwanie i powstanie log, daj ten log na forum.


(system) #19

wygląda to tak: http://wklej.org/id/5f785553c3 !


(huber2t) #20

otwórz notatnik i wklej

Z menu Notatnika -> Plik -> Zapisz jako -> Zmień rozszerzenie z .txt na wszystkie pliki -> zapisz pod nazwą Fix.reg

Uruchom ten plik, uruchom ponownie komputer

start>>uruchom>>>cmd

sc stop emT43

sc delete emT43

sc stop fnU42

sc deletefnU42

sc stop Hou41

sc delete Hou41

sc stop krY31

sc delete krY31

sc stop muC65

sc delete muC65

sc stop nuB85

sc delete nuB85

sc stop pxF53

sc delete pxF53

sc stop qxF32

sc delete qxF32

po każdym poleceniu enter

Usuń ręcznie folder C:\Qoobox,usuń instalkę Combofix z dysku

Przeczyść komputer Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj komputer tym (uruchom przez IE) http://www.kaspersky.pl/virusscanner.html Daj raport z niego na forum

Włącz przywracanie systemu.