Witam.

Dzisiaj miałem tak zwanego virusa Look2Me… chodzi o to że wchodzę na pulpit z 8 minut , komputer muli…

Pakiet svchost.exe dochodzi do 50 k.

Brat usunoł dziś tego vira. Po jego wyjezdzie okazalo sie ze znów jest.

Jak widać już prawie ranek a ja się męczę z tym virem.

Proszę o pomoc

Oto log ;

Tutaj nie widać żadnego Look2Me, prawdę mówiąc to nie wiem czy on jeszcze gdzieś grasuje.

Wklej logi z OTL i gmer

http://www.searchengines.pl/index.php?s … t&p=392369

http://www.gmer.net/

Logi wklejasz na www.wklej.org a tutaj tylko link.

Może i nie widać ale po pakietach svchostu tak. Nie wiem z jakiej racji znów się pojawił … Ale Look2Me-Destroyer nic nie może znaleźć…

Oto jak wygląda ten sv ;/

A ogólnie to na pulpit dzisiaj 1,5min wchodziłem ;p Więc jakoś lepiej ale i tak jak ściągam np. 2 mb to z 5 min czekam aż wyskoczy w FF że plik ściągnięto (przy tym zacina się FF)…

Więc.

OTL skanuje i wyskoczył tak error :

ale niby dalej skanuje. chyba (Scanning HKEY_CURRENT_USER file associations keys…) i już tak 3 min…

GMER skanuje wciąż…

Jak coś jak będe posiadał logi to z edytuje Więc spójrz czasem

EDIT!

OTL nadal chyba stoi… i pisze tak jak wyżej…

http://wklej.org/id/112801/

GMER skanuje…

Tutaj nic nie widać. Jeśli już coś może być to rootkit lub trefna biblioteka podczepiona pod svchosta, ewentualnie resztki Look2Me (jeśli był) w rejestrze spowalniające start systemu.

Przede wszystkim daj log z gmer.

Również wykonaj dokładny skan Malwarebytes Anti-Malware, jeśli coś znajdzie - usuń i wklej log.

http://dobreprogramy.pl/index.php?dz=2& … lware+1.37

GMER dalej się robił… ja w tym czasie pojechalem zalatwic sprawy… wracam komp zresetowany . odpalam pulpit … zamulka . no to wale skana Spyware Doctorem … a tu co ?

I jednak mówiłem coś jest … wcześniej tego nie było widać… przejadę look4my destroyerem tera , nie będę usuwał spyware doctorem

Ten obrazek z Spyware Doctor’a nic nie mówi. Podaj dokładną lokalizację tych plików.

To może być w temp. Zastosuj ATF, zaznacz wszystko do czyszczenia.

http://cybertrash.pl/images/tata/ATF/ATF.html

Potem dokładny skan Malwarebytes Anti-Malware (link w moim poprzednim poście). Wklej log.

ATF wywalił z 200 MB bzdetów

Anti Malware nic nie wykrył:

Skanowanie zrób jednak pełne.

Dalej jest ten problem?

Poza tym zrób skan Spyware Doctor’em i jak coś znajdzie to postaraj się podać ścieżki do tych plików oraz nowy log z OTL.

No i przydała by się aktualizacja do XP SP3.

robiłem pełne i po 40 minutach nie mogłem zobaczyć jaki postęp. klikam w pasku na Malware i nic . pc się zaciął ;/

to jest jakieś chore . (ten otl)

2 raz skan i wyskakuje błąd i stoi na (Scanning HKEY_CURRENT_USER file associations keys…)

a tak poza tym to dzisiaj skanowałem Spyware Doctorem na pełnym skanie :

czy to aż takie groźne ? (dziwne że w Speedfanie) - ale już nie ma tego pliku

a gdzieś czytałem na jakimś forum by zastosować Windows Worms Doors Cleaner … ok odpalam i ?

ale po kliknięciu ok mogę normalnie wejść do programu . a by bylo dobrze maja być X-y ?

Skoro już ComboFix’a pobrałeś to go uruchom i pokaż log. Jak nie będzie chciał się uruchomić to pobierz od nowa.

Wyłącz na czas pobierania i skanu antywirusa i firewall’a.

Masz XP z SP2 tak więc takich atrakcji ze strony robaków sieciowych możesz doświadczać.

W WWDC wszystko przełączasz na disable (zielono), jak stracisz internet to przy NetBios cofnij zmianę żeby był na żółto.

W końcu coś usunął ten Combofix …

http://www.wklej.org/id/113526/

a ogólnie to dziękuję za pomoc Mam nadzieje że pomożesz mi wyzwolić się od tego badziewia …

edit :

chyba to skasować ?

O4 - HKLM…\Run: [Alcmtr] ALCMTR.EXE

i co z tym bo mnei dziwi . czemu coś z Combofixem ?

O23 - Service: PEVSystemStart - Unknown owner - cmd /k start /i “/dC:” “C:\ComboFix\HIDEC.exe” “C:\WINDOWS\system32\CF26857.exe” /c RD /S/Q $RECYCLE.bin \RECYCLER \RECYCLED (file missing)

Widzę, że ComboFix’em to się już wcześniej konkretnie porządziłeś.

Ten plik wygląda na czyściciela po Look2Me. A w logu zaś nic.

Jak chcesz, to od Realteka, lepiej odznacz przez msconfig.

Gdzie to się pojawiło? W HT?

Martwy sterownik do usunięcia. Start => Uruchom => cmd, wpisz

sc delete FXDrv32

Wykonaj jeszcze skan Dr.WEB CureIt, wklej log

http://dobreprogramy.pl/index.php?dz=2& … 00.4.06190

O23 - Service: PEVSystemStart - Unknown owner - cmd /k start /i “/dC:” “C:\ComboFix\HIDEC.exe” “C:\WINDOWS\system32\CF26857.exe” /c RD /S/Q $RECYCLE.bin \RECYCLER \RECYCLED (file missing)

niby usuneło ale po kolejnym skanie HJT znów jest …

właśnie 2/3 h skanuje Dr.Web Niedługo log bo prawie ponad połowa ;D

HijackThis nie usuwa tych wejść.

To wygląda na zabłąkane wpisy po uruchomieniu ComboFix’a których nie usunął/przywrócił.

To na koniec.

O taki log chodzi ? troche mały…

http://www.wklej.org/id/113903/

Dr.WEB usunął w przeważającej części narzędzia czyszczące. Ale też kilka śmieci.

Jak stoi sytuacja? Bo ja doprawdy nic tutaj nie widzę.

hmm komp muli . zacina sie np FF gdy odpale z 3 karty ktore sie laduja i nastepna albo gdzies klike ;/

svchosty są dwa po ok 40k ;/

ok teraz zauwazylem ze jeden juz jest i tylko do 20k wyciaga

Co do spasionego svchost to może być wynikiem usług, niekoniecznie infekcji, pod niego podpiętych.

W jaki sposób i jakimi programami brat usuwał tą infekcję, bo tu widać Look2Me Destroyer, SmitfraudFix, HT, ComboFix, jeszcze coś? Zachowały się jakieś logi z tamtego usuwania? Jeśli tak to zaprezentuj.

Nie podałeś loga z gmer, staraj się go zrobić, może w awaryjnym. Może coś więcej pokaże.

hmm brat chyba oprócz to SpywareDoctorem , NOD32 Eset Smart Seciurity + Antivirus 4 , SDFix. Napiszę do niego smsa

A tu daje dla sprawdzenia jeszcze:

OTL .

Skanowałem 3 blędy były potym jak plik txt sie utworzyl az zamknelo aplikacje (OTL)

http://www.wklej.org/id/114028/

–

pulpit nawet szybko wszedł - 10 sek ale nadal komp ostro muli…

svchost - 65k ;o

To jakas masakra ;/ nawet tego g*wn4 nie mozna wykryc i usunąć co to powoduje ?

daje jeszcze raz skana z Malware bo był 1 plik zainfekowany .

http://wklej.org/id/114232/

Usuń wszystko co znalazł Malwarebytes!