Problem z komputerem - nie dzialaja niektore strony

Dla specjalistów Bezpieczeństwo
#1

witam, jestem nowa na forum. nigdy wczesniej nie potrzebowalam korzystac z niczyjej pomocy, jednak niestety nie wiem, co zrobic…

problem zaczal sie kilka dni temu. do tej pory komputer dzialal normalnie, jednak w czwartek wlaczylam komputer i niestety, ale przez mozille nie wchodza niektore strony np. google czy gmail (wlaczaja sie normalnie, po wpisaniu czegos w wyszukiwarce lub logowaniu sie do poczty, nie dziala), facebook (nie dziala w ogole), allegro rowniez. to samo w explorerze, jednak tam dziala wiecej stron (google normalnie). oprocz tego, przy kozystaniu z explorera wlaczaja sie okienka z falszywym programem antywirusowym np. antyvirus 2009. zainstalowalam pande, przeskanowalam nia wszystko. i jest ona nadal. wczesniej probowalam takze innymi programami, teraz zaden nic juz nie wykrywa. dowiedzialam sie z forum, ze przydatny moze byc log, choc wczesniej nie mialam pojecia, co to jest. wklejam wiec: http://wklej.org/id/733/ licze na pomoc i pozdrawiam.

#2

Usuń te wpisy w HJT

Uruchom HijackThis - Do a system scan only - w oknie programu pokaże się log - zaznacz kratki przy podanych wpisach - klikasz Fix checked

Pobierz Combofix ale nie uruchamiaj wklej do notatnika:

Zapisz plik jako CFScript.txt najlepiej aby ikonka tego pliku znajdowała się obok ikonki ComboFix.exe

Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe powinno rozpocząć się usuwanie po tym daj log na forum.

Usuń ręcznie folder C:\Qoobox , usuń instalkę Combofix z dysku.

#3

podales 2 wpisy, ktore mam znalesc w HJT, ja mam tam tylko jeden taki. kliknelam fix checked. combofix pobralam, czy mam teraz do notatnika wkleic to , co napisales, czy w tym wypadku jedynie jedna linijka tz. C:\WINDOWS\system32\ulkjqnll.dll i to File:: ? dzieki z gory za pomoc

#4

Wklej wszystko razem z file::.

:slight_smile:

#5

zrobilam wczystko po kolei. log: http://wklej.org/id/738/

przy ponownym uruchamianu systemu (combofix sam to zrobil), pojawil sie komunikat o braku wlasnie tego pliku, ktory usunelam.

dodatkowo panda antyvirus pokazala, ze wykryla zagrozenie: cos o nazwie Psexec.A chyba od razu to usune za pomoca pandy?

przed chwila wlaczylam mozille. dziala poprawnie:) wielkie dzieki.

#6

Pierw usuń pande! Przecież to się nie powinno zaliczać do dziedziny antyvirusów tylko Virósów! Zainstaluj NOD32. A jak chcesz to możesz kupić Experta w którym jest Kaspersky na 90 dni za free, to jest numer 7/2008 :slight_smile: Wyczyść kompa Cclener’em :slight_smile: Może to coś cudem da… ;/

Wejdź w folder c:\windows\system32\drivers\etc\hosts

Znajdź w tym katalogu plik o nazwie hosts.sam (lub hosts - bez rozszerzenia) i go otwórz w notatniku :slight_smile:

Na samym dole powinno być tylko coś takiego:

127.0.0.1 localhost -(“127.0.0.1” - akurat to może być przykład :slight_smile: )

Jeżeli jest co coś podobnego pod tym to usuń te linijki :slight_smile:

#7

Pobierz Combofix ale nie uruchamiaj wklej do notatnika:

Zapisz plik jako CFScript.txt najlepiej aby ikonka tego pliku znajdowała się obok ikonki ComboFix.exe

Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe powinno rozpocząć się usuwanie po tym daj log na forum. Usuń ręcznie folder C:\Qoobox , usuń instalkę Combofix z dysku.

#8

zrobilam wszystko wg. instrukcji, wklejam log: http://wklej.org/id/866/ i czekam na dalsze wskazówki. pozdrawiam.

#9

Log jest w zasadzie czysty, ale jest problem.

To zaznaczone na czerwono to usługa Rootkita znajdującego się w sekcji MBR dysku.

  1. użyj >->Dr.WEB CureIt!

  2. daj log z > mbr.exe > http://www.searchengines.pl/index.php?s … ntry470953

http://www.searchengines.pl/index.php?showtopic=31936

  1. Użyj (w Trybie Awaryjnym)–> SDFix. (niżej na stronie linku).

Pokaż Report.txt znajdujący się w folderze SDFix.

====================

K.

#10

log z mbr.exe:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net


device: opened successfully

user: MBR read successfully

kernel: MBR read successfully

user & kernel MBR OK 

malicious code @ sector 0x17499f00 size 0x2c3 !

copy of MBR has been found in sector 62 !

natomiast SDFix… Panda twierdzi, że to wirus. mam obawy, co do użycia?

pozdrawiam.

#11

1.SDFix ma wbudowane w sobie nardzędzia antykillerowe i antyvirusy twierdzą, że to wirus, tak samo ComboFix.

2.MBR usunął tą infekcję, zrób scan SDFixem.

3.Scan Dr.WEB CureIt!

4.Nowy log z ComboFixa.

=================

K.

#12

skan SDFixem zrobic tak, jak jest napisane na stronie? tj:

#13

Tak, zrób tak jak na tej stronce. :wink:

===============

K.

#14

combofix zrestartowal mi komputer i niestety, ale gdy sie ponownie wlaczal, nie dzialal. tzn. nie ladowal sie nawet windows. uruchomilam go dopiero za pomoca uruchamiania w ostatniej dzialajacej konfiguracji czy cos takiego… :wink: