Problem z DNSem - WIRUS!?!


(system) #1

Nie mogę połączyć się internetem - cały czas adres DNSa podmieniany jest na 85.255.114.54

Logi:

:arrow: HiJackThis:

http://www.wklej.org/id/29288/

:arrow: ComboFix:

http://www.wklej.org/id/29289/

Proszę o analizę logów i pomoc w usunięcia robactwa.


(popula) #2

Użyj narzędzia FixwareOut


(huber2t) #3

fix w hijackthis

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

Folder::

C:\resycled

Plik -> zapisz jako -> CFScript.txt.

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->

cfscript10uc2.gif

Rozpocznie się usuwanie i powstanie log, który dasz na forum.

Logi dajesz na http://wklej.eu lub na http://wklej.org a w poście dajesz tylko link


(system) #4

Log CF po wykonaniu powyższych czynności:

http://wklej.org/id/29386/

Niestety DNS jest nadal podmieniany:(

I jeszcze log z Fixwareout:

http://wklej.org/id/29388/

I nadal bez zmian :frowning:


(Spandau) #5

Nic się nie usunęło dodatkowo log trochę obcięty

Pobierz The Avenger zaznacz poniższy tekst

kopiujesz - klikasz na Paste Script from Clipboard - Execute - Potwierdzasz i zgadzasz się na restart klikając OK.

Po wykonaniu skasuj z dysku plik: C:\Avenger\backup.zip i wklej raport na forum C:\avenger.txt

Instrukcja obsługi programu http://cybertrash.pl/images/tata/Avenger/Avenger.html

usuń ręcznie folder C: \Qoobox oraz instalkę Combofix z dysku.

Przeczyść system oraz rejestr CCleaner

Wykonaj optymalizacje Autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar Mój komputer Kaspersky Online Scanner Przeskanuj system daj raport na forum

lub Dr.WEB CureIt!

Z logu Fixwareout wynika że program wyczyścił co mógł ale ponieważ mogło coś pozostać zobacz ten wątek jak ręcznie przywrócić prawidłowe DNS http://www.searchengines.pl/index.php?s ... ntry225445


(system) #6

Tym razem chyba się udało, net działa, DNSy są prawidłowe DrWeb też trochę posprzątał.

Log z Avenger'a:

http://wklej.org/id/29500/

Log z DrWeb'a:

http://wklej.org/id/29502/

Log z HJT:

http://wklej.org/id/29504/

Serdecznie dziękuję za pomoc i proszę o sprawdzenie, czy rzeczywiście już jest czysto.

pozdrawiam

Greg71

PS. W C:\Windows\system32\drivers znalazłem jeszcze plik msqpdxserv.sys. Na wszelki wypadek wywaliłem...


(Spandau) #7

Usuń te wpisy w HJT

Uruchom HijackThis - Do a system scan only - w oknie programu pokaże się log - zaznacz kratki przy podanych wpisach - klikasz Fix checked

Avenger i DrWeb usunęły co trzeba


(system) #8

Jeszcze raz serdecznie dziękuję za pomoc :smiley: