Problem z DNSem - WIRUS!?!

system · 17 Grudzień 2008 20:21

Nie mogę połączyć się internetem - cały czas adres DNSa podmieniany jest na 85.255.114.54

Logi:

HiJackThis:

http://www.wklej.org/id/29288/

ComboFix:

http://www.wklej.org/id/29289/

Proszę o analizę logów i pomoc w usunięcia robactwa.

popula · 17 Grudzień 2008 20:39

Użyj narzędzia FixwareOut

huber2t · 18 Grudzień 2008 05:58

fix w hijackthis

R3 - URLSearchHook: Winamp Search Class - {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Program Files\Winamp Toolbar\winamptb.dll (file missing) O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files\Winamp Toolbar\winamptb.dll (file missing) O2 - BHO: Rmn plugin - {7FED228E-A6F7-49aa-A0BC-76E0A67C53BB} - nod32.dll (file missing) O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll (file missing) O17 - HKLM\System\CCS\Services\Tcpip…{B402EE87-3641-4E95-8A5F-C618173CA58D}: NameServer = 85.255.114.54;85.255.112.26 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.54;85.255.112.26 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.54;85.255.112.26

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

Folder::

C:\resycled

Plik -> zapisz jako -> CFScript.txt.

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->

Rozpocznie się usuwanie i powstanie log, który dasz na forum.

Logi dajesz na http://wklej.eu lub na http://wklej.org a w poście dajesz tylko link

system · 18 Grudzień 2008 06:59

Log CF po wykonaniu powyższych czynności:

http://wklej.org/id/29386/

Niestety DNS jest nadal podmieniany:(

I jeszcze log z Fixwareout:

http://wklej.org/id/29388/

I nadal bez zmian

spandaupol · 18 Grudzień 2008 10:36

Nic się nie usunęło dodatkowo log trochę obcięty

Pobierz The Avenger zaznacz poniższy tekst

kopiujesz - klikasz na Paste Script from Clipboard - Execute - Potwierdzasz i zgadzasz się na restart klikając OK.

Po wykonaniu skasuj z dysku plik: C:\Avenger\backup.zip i wklej raport na forum C:\avenger.txt

Instrukcja obsługi programu http://cybertrash.pl/images/tata/Avenger/Avenger.html

usuń ręcznie folder C: \Qoobox oraz instalkę Combofix z dysku.

Przeczyść system oraz rejestr CCleaner

Wykonaj optymalizacje Autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar Mój komputer Kaspersky Online Scanner Przeskanuj system daj raport na forum

lub Dr.WEB CureIt!

Z logu Fixwareout wynika że program wyczyścił co mógł ale ponieważ mogło coś pozostać zobacz ten wątek jak ręcznie przywrócić prawidłowe DNS http://www.searchengines.pl/index.php?s … ntry225445

system · 18 Grudzień 2008 16:01

Tym razem chyba się udało, net działa, DNSy są prawidłowe DrWeb też trochę posprzątał.

Log z Avenger’a:

http://wklej.org/id/29500/

Log z DrWeb’a:

http://wklej.org/id/29502/

Log z HJT:

http://wklej.org/id/29504/

Serdecznie dziękuję za pomoc i proszę o sprawdzenie, czy rzeczywiście już jest czysto.

pozdrawiam

Greg71

PS. W C:\Windows\system32\drivers znalazłem jeszcze plik msqpdxserv.sys. Na wszelki wypadek wywaliłem…

spandaupol · 18 Grudzień 2008 17:31

Usuń te wpisy w HJT

Uruchom HijackThis - Do a system scan only - w oknie programu pokaże się log - zaznacz kratki przy podanych wpisach - klikasz Fix checked

Avenger i DrWeb usunęły co trzeba

system · 18 Grudzień 2008 20:07

Jeszcze raz serdecznie dziękuję za pomoc