"Pokaż ukryte pliki i foldery" nie działa;

danmog · 9 Luty 2009 14:09

Log z Combofixa: http://www.wklejto.pl/25687

Jak się szybko tego pozbyć ?

Pzdr.

Danny

system · 9 Luty 2009 15:29

Wklej do Notatnika:

File::

C:\w98.com

C:\a2h2.com

C:\hl80c6b1.com

c:\windows\AhnRpta.exe

D:\w98.com

D:\a2h2.com

D:\hl80c6b1.com


Registry::

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

>>Plik>>Zapisz jako… >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

Ma się rozpocząć usuwanie. (i powstanie log). Daj ten log.

danmog · 9 Luty 2009 15:59

Log z Combofixa: http://www.wklejto.pl/25701

Poza tym, jak w poprzednich przypadkach (sorry, że nie napisałem od razu), po zeskanowaniu Combofixem pojawiła się na pulpicie ikonka IE i plik txt pod nazwą “catchme” o treści:

"catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-02-09 16:46:16

Windows 5.1.2600 Dodatek Service Pack 3 NTFS

scanning hidden files …

IPC error: 2 Nie można odnaleźć określonego pliku.

scan completed successfully

hidden files: 0

"

Pozdrawiam

huber2t · 9 Luty 2009 16:18

Usuń plik:

c:\windows\OLD13B.tmp

Do wyleczenia pendrive z wirusów użyj tych programów

usuń ręcznie folder C:\Qoobox , usuń instalkę Combofix z dysku.

Przeczyść system Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar całego komputera http://www.kaspersky.pl/virusscanner.html Daj raport z niego na forum

danmog · 10 Luty 2009 14:37

Optymalizację autostartu zrobiłem pobieżnie, bo nie miałem na to za bardzo czasu.

Raport z Kaspersky: http://www.wklejto.pl/25792

W raporcie są wyszczególnione wirusy wychwycone przez Clamwina. Jak poradzić sobie z resztą ?

Pozdrawiam

Leon1 · 10 Luty 2009 14:56

Pobierz Combofix http://www.searchengines.pl/index.php?s … ntry395642 ale nie włączaj.

Podczas pobierania i skanu Combofixem proszę wyłączyć wszelkie zapory i antywirusy

Otwórz notatnik i wklej

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri … iemoes.gif

Powinno rozpocząć się usuwanie

Potem log z usuwania Combofix

danmog · 10 Luty 2009 17:08

Log z Combofixa: http://www.wklejto.pl/25810

1.exe usunałem wcześniej ręcznie.

Zapomniałem tylko wyłączyc tego nieszczęsnego Clamwina. Jakby co moge jeszcze raz przeskanowac.

Co to za plik “catchme” ? Jakiś windowsowski, czy generowany przez wirus ? Nazwa dwuznaczna…

Mam nadzieję, że prowadzicie mnie dobrą drogą Na wszelki wypadek wszystkie dane zapisałem na przenośnym dysku

Leon1 · 11 Luty 2009 15:30

zastosuj ATF Cleaner http://cybertrash.pl/images/tata/ATF/ATF.html

Otwórz notatnik i wklej

File:: C:\2aaxaiy.exe c:\windows\AhnRpta.exe C:\Documents and Settings\All Users.clamwin\quarantine\infected.e.cmd.vir C:\Documents and Settings\All Users.clamwin\quarantine\infected.gfqgq.cmd.vir C:\Documents and Settings\All Users.clamwin\quarantine\infected.gy.exe C:\Documents and Settings\All Users.clamwin\quarantine\infected.gy.exe.000 C:\Documents and Settings\All Users.clamwin\quarantine\infected.kamsoft.exe.vir Registry:: [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] “CheckedValue”=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\ShowAll] “CheckedValue”=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID{BB4C402F-882A-4526-8C08-51278EA437C1}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID{BB4C402F-882A-8C08-4526-51278EA437C1}]

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri … iemoes.gif

Powinno rozpocząć się usuwanie

Potem log z usuwania Combofix

potem skan Kasperskim

danmog · 12 Luty 2009 12:49

Skan Combofixem tym razem po wyłączeniu Clamwina.

Skan Kasperskym po ponownym uruchomieniu kompa, po wyłaczeniu Clamwina i po skasowaniu instalki Combofix.

Log z Combofixa: http://www.wklejto.pl/26065

Raport z Kasperskyego: http://www.wklejto.pl/26066

Wygląda na to że jest O.K.

Prosze tylko o potwierdzenie.

Leon1 · 12 Luty 2009 15:52

Pobierz CCleaner http://www.filehippo.com/download_ccleaner/

przeskanuj nim i wyczyść rejestr.

zrób optymalizacje uruchamiania

http://cybertrash.netarteria.pl/cyber/i … 378.0.html

usuń ręcznie folder C: \Qoobox usuń instalkę Combofix z dysku.

Wyłącz I włącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

danmog · 13 Luty 2009 09:43

Zrobione.

Tylko przy optymalizacji autostartu mała uwaga:

Odznaczyłem “Check for updates automatically”, ale HijackThis podaje mi ciągle w logach:

O4 - HKLM…\Run: [sunJavaUpdateSched] “C:\Program Files\Java\jre6\bin\jusched.exe”

Czy jest to O.K. ?

Poza tym nie mogę skasować “Autostart” prawoklikiem, bo pojawia sie komunikat, że jest to folder systemowy i nie można go skasować. Ale żaden z logów wymienionych na stronie o optymalizacji autostartu odnośnie skasowania opcji “Autostart”, nie wygenerował mi Hijack This, więc nie wiem czy jest sens kasować “Autostart”.

Leon1 · 13 Luty 2009 15:05

autostartu się nie kasuje można skasować skróty znajdujące się w autostarcie

danmog · 13 Luty 2009 16:17

Dobrze wiedzieć

– Dodane 16.02.2009 (Pn) 10:44 –

Ponawiam prośbę o odpowiedź.

Odznaczyłem “Check for updates automatically”, ale HijackThis podaje mi ciągle w logach:

O4 - HKLM…\Run: [sunJavaUpdateSched] “C:\Program Files\Java\jre6\bin\jusched.exe”

Czy jest to O.K. ?

Pozdrawiam