Odnawiający się Net-Worm.Win32 w grhwfgh.dll

Dla specjalistów Bezpieczeństwo
#1

Jestem nowym użytkownikiem więc wita serdecznie wszystkich na wstępie :slight_smile:

Mój problem- jakiś czas temu avast zaczął blokował na moim komputerze łączenie z jakąś stroną na którą nigdy nie wchodziłem. Później zaczęły znikać mi obrazki

ikon, oraz przestały działać niektóre programy, wykrywał szkodliwe pliki w cookies mozilli. Usuwałem wirusy róznymi programami. Nastepnego dnia chcąc właczyc komputer uruchomił mi się windows,

ale nie bylo widac paska narzedzi i ikon… zrobilem format c: poinstalowalem wszystko i znowu zaczal sie problem z wirusami posusuwalem wszystko co mi powykrywaly programy, znowu avast zaczal blokowac laczenie z jakas strona. Teraz znowu ta sama historia… Nie właczają się zadne instalki a chce zainstalowac jakies antywirusa innego od avasta. Już wiem, że aby wlaczyc ikony i pasek narzedzi przy starcie musze poprzez ctrl+alt+del uruchomić w poleniu proces explorer.exe. Co zrobić aby nie formatować całego dysku i usunąc te wirusy na dobre? Z góry dziękuję za odpowiedzi.

Daje log z Hijack:

http://wklejto.pl/25777

btw. Wklejająć logi zauważyłem że notatnik też przestał dziłać…

#2

Win32.Virut zaraża wszystkiepliki.exe

1.format wszystkich dysków i partycji bez wyjątku

2.instalacja nowego systemu pod żadnym pozorem nie wolno używać instalek ani sterowników będących wcześniej na zarażonym systemie

3.zainstalować porządny antywirus można 30 dni potestować Kaspersky Anti-Virus http://www.kaspersky.pl/download.html?s=trial

:slight_smile:

leczenie wydaje się zbędną stratą czasu i nerwów

#3

Witam ponownie. Zrobiłem tak jak kazał Leon$ i myślę, że w tej sytuacji było to najlepsze rozwiązanie. Dziękuję za tą poradę. No więc zainstalowałem teraz anty wirusa Kaspersky no i po jakimś czasie wykrył kilka razy: “Zagrożenie: Net-Worm.Win32.Kido.bx Kaspersky Anti-Virus c:\windows\system32\grhwfgh.dll”. Nie wiem czy to ma związek z poprzednią infekcją ale ten wirus chyba co jakiś czas się odnawia. Jakiego darmowego antywira polecacie gdy skończy się już okres mojego darmowego kasperskyego i co sądzicie o tej sytuacji? Jest to nowy wirus czy ma związek z poprzednią infekcją?

Daje log z HijackThis i proszę o sprawdzenie. Pozdrawiam i dziękuję za odpowiedzi :slight_smile:

Log: http://wklejto.pl/25780

Kaspersky zaleca usunięcie pliku c:\windows\system32\grhwfgh.dll i restart komputera. Ale po restarcie błąd odnawia się.

#4

Canceel , nazwij temat konkretnie i popraw posty z logami, inaczej temat wyleci.

viewtopic.php?f=16&t=66889

viewtopic.php?f=16&t=253052

#5

Zajrzyj do tego tematu: >http://forum.hotfix.pl/viewtopic.php?f=42&t=415.

Ten wirus nie ma nic wspólnego z poprzednim wirusem VIRUT.

Daj log z ComboFix , albo sam próbuj usuwać sposobem podanym w linku.

Nowsza instrukcja obsługi ComboFixa >http://www.bleepingcomputer.com/combofix/pl/instrukcja-uzycia-combofix

Log oczywiście wklej na http://wklej.org/, a tu daj tylko link, bo tego wymaga Regulamin.

jessi

#6

Log z ComboFix:

http://wklej.org/id/51055/

#7

Wyłącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

Otwórz notatnik i wklej

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri … iemoes.gif

Powinno rozpocząć się usuwanie

Potem log z usuwania Combofix

:slight_smile:

#8

  1. Ściągnij najpierw łatkę, z linku, który wcześniej podałam, punkt 3 (możesz ściągnąć z podanego tam linku speedyshare, jeszcze da się ściągnąć.

  1. Wklej do Notatnika :

    File::

    c:\windows\system32\grhwfgh.dll

    Driver::

    habfq

    lrkilxop

    Registry::

    [HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

    “7396:TCP”=-

    [-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\habfq]

    [-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\lrkilxop]

>>Plik>>Zapisz jako… >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

– podobnie jak na tym obrazku –>cfscript10gm1.gif

Ma się rozpocząć usuwanie. (i powstanie log). Daj ten log.

jessi

#9

NetSvcs>>prawoklik>>Modyfiku Nie mam tam “habfq” i “lrkilxop”. :frowning:

#10

Podejrzewam, że mogą być ukryte.

W takim razie, po zainstalowaniu tej koniecznej łatki do Systemu, wykonaj teraz Script ComboFixa.

jessi

#11

Zainstalowałem łatke i zrobiłem punkt trzeci z CFScript.txt

oto log : http://wklej.org/id/51082/

#12

Log jest czysty, choć nie widać, by ComboFix cokolwiek usuwał - wyparowało?

Usuń ręcznie folder C:** Qoobox**.

jessi

#13

Nie wyparowało. Zapomniałem dopisać zrobiłem drugi skan przy pierwszym było usuwanie ale nie skopiowałem loga. sory :wink: Dzięki wielkie za pomoc :slight_smile: