Odnawiający się Net-Worm.Win32 w grhwfgh.dll


(Kazbea) #1

Jestem nowym użytkownikiem więc wita serdecznie wszystkich na wstępie :slight_smile:

Mój problem- jakiś czas temu avast zaczął blokował na moim komputerze łączenie z jakąś stroną na którą nigdy nie wchodziłem. Później zaczęły znikać mi obrazki

ikon, oraz przestały działać niektóre programy, wykrywał szkodliwe pliki w cookies mozilli. Usuwałem wirusy róznymi programami. Nastepnego dnia chcąc właczyc komputer uruchomił mi się windows,

ale nie bylo widac paska narzedzi i ikon... zrobilem format c: poinstalowalem wszystko i znowu zaczal sie problem z wirusami posusuwalem wszystko co mi powykrywaly programy, znowu avast zaczal blokowac laczenie z jakas strona. Teraz znowu ta sama historia... Nie właczają się zadne instalki a chce zainstalowac jakies antywirusa innego od avasta. Już wiem, że aby wlaczyc ikony i pasek narzedzi przy starcie musze poprzez ctrl+alt+del uruchomić w poleniu proces explorer.exe. Co zrobić aby nie formatować całego dysku i usunąc te wirusy na dobre? Z góry dziękuję za odpowiedzi.

Daje log z Hijack:

http://wklejto.pl/25777

btw. Wklejająć logi zauważyłem że notatnik też przestał dziłać...


(Leon$) #2

Win32.Virut zaraża wszystkiepliki.exe

1.format wszystkich dysków i partycji bez wyjątku

2.instalacja nowego systemu pod żadnym pozorem nie wolno używać instalek ani sterowników będących wcześniej na zarażonym systemie

3.zainstalować porządny antywirus można 30 dni potestować Kaspersky Anti-Virus http://www.kaspersky.pl/download.html?s=trial

:slight_smile:

leczenie wydaje się zbędną stratą czasu i nerwów


(Kazbea) #3

Witam ponownie. Zrobiłem tak jak kazał Leon$ i myślę, że w tej sytuacji było to najlepsze rozwiązanie. Dziękuję za tą poradę. No więc zainstalowałem teraz anty wirusa Kaspersky no i po jakimś czasie wykrył kilka razy: "Zagrożenie: Net-Worm.Win32.Kido.bx Kaspersky Anti-Virus c:\windows\system32\grhwfgh.dll". Nie wiem czy to ma związek z poprzednią infekcją ale ten wirus chyba co jakiś czas się odnawia. Jakiego darmowego antywira polecacie gdy skończy się już okres mojego darmowego kasperskyego i co sądzicie o tej sytuacji? Jest to nowy wirus czy ma związek z poprzednią infekcją?

Daje log z HijackThis i proszę o sprawdzenie. Pozdrawiam i dziękuję za odpowiedzi :slight_smile:

Log: http://wklejto.pl/25780

Kaspersky zaleca usunięcie pliku c:\windows\system32\grhwfgh.dll i restart komputera. Ale po restarcie błąd odnawia się.


(Monczkin) #4

Canceel , nazwij temat konkretnie i popraw posty z logami, inaczej temat wyleci.

viewtopic.php?f=16&t=66889

viewtopic.php?f=16&t=253052


(jessica) #5

Zajrzyj do tego tematu: >http://forum.hotfix.pl/viewtopic.php?f=42&t=415.

Ten wirus nie ma nic wspólnego z poprzednim wirusem VIRUT.

Daj log z ComboFix , albo sam próbuj usuwać sposobem podanym w linku.

Nowsza instrukcja obsługi ComboFixa >http://www.bleepingcomputer.com/combofix/pl/instrukcja-uzycia-combofix

Log oczywiście wklej na http://wklej.org/, a tu daj tylko link, bo tego wymaga Regulamin.

jessi


(Kazbea) #6

Log z ComboFix:

http://wklej.org/id/51055/


(Leon$) #7

Wyłącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

Otwórz notatnik i wklej

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri ... iemoes.gif

Powinno rozpocząć się usuwanie

Potem log z usuwania Combofix

:slight_smile:


(jessica) #8

1) Ściągnij najpierw łatkę, z linku, który wcześniej podałam, punkt 3 (możesz ściągnąć z podanego tam linku speedyshare, jeszcze da się ściągnąć.

2)

3) Wklej do Notatnika :

File::

c:\windows\system32\grhwfgh.dll


Driver::

habfq

lrkilxop


Registry::

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"7396:TCP"=-

[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\habfq]

[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\lrkilxop]

>>Plik>>Zapisz jako... >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

– podobnie jak na tym obrazku -->cfscript10gm1.gif

Ma się rozpocząć usuwanie. (i powstanie log). Daj ten log.

jessi


(Kazbea) #9

NetSvcs>>prawoklik>>Modyfiku Nie mam tam "habfq" i "lrkilxop". :frowning:


(jessica) #10

Podejrzewam, że mogą być ukryte.

W takim razie, po zainstalowaniu tej koniecznej łatki do Systemu, wykonaj teraz Script ComboFixa.

jessi


(Kazbea) #11

Zainstalowałem łatke i zrobiłem punkt trzeci z CFScript.txt

oto log : http://wklej.org/id/51082/


(jessica) #12

Log jest czysty, choć nie widać, by ComboFix cokolwiek usuwał - wyparowało?

Usuń ręcznie folder C:**** Qoobox.

jessi


(Kazbea) #13

Nie wyparowało. Zapomniałem dopisać zrobiłem drugi skan przy pierwszym było usuwanie ale nie skopiowałem loga. sory :wink: Dzięki wielkie za pomoc :slight_smile: