Bybelou
(Bybelou)
16 Wrzesień 2008 15:52
#1
Witam, mam problem, i nie wiem jak sobie z tym poradzić
U mojej kolezanki działa się rzecz dziwna… Otwierajac “Moj komputer” wyskakiwało nam standardowe okienko, ale jak chcieliśmy otworzyc którykolwiek z dysków - zawartość dysku otwierała się w osobnym oknie. Dalsze poruszanie się w drzewie katalogów odbywało się w tym nowo utworzonym oknie.
Wziąłem jej dysk do siebie, zgrałem dane i zrobiłem formata, a po formacie nadal to samo i u mnie ta rzecz dziwna również się dzieje. Tzn na tym systemie na którym bawiłem się jej dyskiem, a na drugim już nie. Nie moge ustawić, żeby pokazywały się pliki ukryte, bo ciągle powraca do poprzednich ustawień. A skaner antiwirusowy nic nie wykrywa…
A pod drugim systemem zobaczyłem, że na każdym dysku są takie dwa takie ukryte pliki:
1u0o8bnq.cmd
autorun.inf
co robic?
Log z ComboFix: http://wklej.org/id/4586/
Log z HijackThis v2.0.2: http://wklej.org/id/4587/
djarta
(djarta)
16 Wrzesień 2008 15:56
#2
Wylecz pendriva lub kartę pamięci
Perlovga Removal Tool
Flash Disinfector
lub format
Wklej do Notatnika :
File::
C:\1u0o8bnq.cmd
D:\1u0o8bnq.cmd
E:\1u0o8bnq.cmd
H:\1u0o8bnq.cmd
I:\1u0o8bnq.cmd
J:\1u0o8bnq.cmd
K:\1u0o8bnq.cmd
L:\1u0o8bnq.cmd
F:\1u0o8bnq.cmd
Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3d0f2d54-8280-11dd-900f-806d6172696f}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3d0f2d55-8280-11dd-900f-806d6172696f}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{66655bb5-829f-11dd-9010-00805fb71614}]
>>Plik>>Zapisz jako… >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
–>
Ma się rozpocząć usuwanie. (i powstanie log).Daj ten log, który powstanie w trakcie usuwania.
Jeśli pójdzie dobrze, to: Po restarcie usuń ręcznie folder C:* * Qoobox.**
==========================
K.
Bybelou
(Bybelou)
16 Wrzesień 2008 16:49
#3
Log utworzony po usuwaniu przez ComboFix: http://wklej.org/id/4600/
mam pytanie odnosnie czyszczenia pamieci flash - czyscic, jesli moze byc zainfekowana tak?
djarta
(djarta)
16 Wrzesień 2008 16:52
#4
Czysto.
Czyść.
Usuń ręcznie folder C:* * Qoobox**,
Usuń instalkę ComboFix z dysku.
Wykonaj optymalizację autostartu
Przeczyść komputer Ccleanerem
Wyłącz i włącz przywracanie systemu na wszystkich dyskach.Instrukcja
Przeskanuj obszar swojego komputera http://www.kaspersky.pl/virusscanner.html ( uruchom przez IE ) Daj raport z niego na forum.
lub
Dr.WEB CureIt! .
=====================
K.
Bybelou
(Bybelou)
17 Wrzesień 2008 04:45
#5
Obszary krytyczne systemu: http://wklej.org/id/4627/
Cale skanowanie systemu: http://wklej.org/id/4687/ - i tutaj cos znalazlo…
co mam z tym zrobić? ;(
dziękuję za pomoc i poświęcony mi czas.
jeśli miałbyś jeszcze czas zerknąć na ten log:
http://wklej.org/id/4688/ - jest on z mojego laptpa. czy tutaj coś jest? i ew. co mam zrobić?
mógłbyś mi wytłumaczyć na jakiej zasadzie tworzy się liste plików do usunięcia poprzez program ComboFix?
jeszcze raz dzieki
huber2t
(huber2t)
17 Wrzesień 2008 04:49
#6
Pobierz The Avenger
wklej do niego ten tekst:
Folders to delete:
C:\System Volume Information\_restore{36ED6625-DDFF-4375-9BDF-6286D50B073E}\RP141
D:\System Volume Information\_restore{36ED6625-DDFF-4375-9BDF-6286D50B073E}\RP141
E:\System Volume Information\_restore{36ED6625-DDFF-4375-9BDF-6286D50B073E}\RP141
H:\System Volume Information\_restore{36ED6625-DDFF-4375-9BDF-6286D50B073E}\RP141
I:\System Volume Information\_restore{36ED6625-DDFF-4375-9BDF-6286D50B073E}\RP141
J:\System Volume Information\_restore{36ED6625-DDFF-4375-9BDF-6286D50B073E}\RP141
K:\System Volume Information\_restore{36ED6625-DDFF-4375-9BDF-6286D50B073E}\RP141
kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.
Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt
Co do combofix:
otwórz notatnik i wklej
Z menu Notatnika -> Plik -> Zapisz jako -> Zmień rozszerzenie z .txt na wszystkie pliki -> zapisz pod nazwą Fix.reg
Uruchom ten plik, uruchom ponownie komputer
Bybelou
(Bybelou)
17 Wrzesień 2008 17:25
#7
raport z Avanger: http://wklej.org/id/4831/
wpis do rejestru dodany.
Bybelou
(Bybelou)
17 Wrzesień 2008 18:22
#9
Dzięki wielkie za pomoc.
Doceniam pracę takich ludzi jak Wy i dziękuję za poświęcony mi czas.
Jesli nie sprawi to Wam kłopotu, proszę o sprawdzenie tego logu.
Czy trzeba coś robić z systemem?
http://wklej.org/id/4688/
Przeskanuję drugi system na tym komputerze, mam nadzieję, że żadnego oprogramowania złośliwego nie znajdzie.
Pozdrawiam
huber2t
(huber2t)
18 Wrzesień 2008 03:47
#10
Pobierz ComboFix , ale nie uruchamiaj
Otwórz notatnik i wklej do niego:
Driver::
wampmysqld
Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{0d5cc5ba-33a9-11dd-86db-005056c00008}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"NvCplDaemon"=-
"NvMediaCenter"=-
"snp2uvc"=-
"WinampAgent"=-
"SunJavaUpdateSched"=-
"NeroFilterCheck"=-
"nwiz"=-
"RTHDCPL"=-
Plik -> zapisz jako -> CFScript.txt .
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->
Rozpocznie się usuwanie i powstanie log, który dasz na forum.
Logi dajesz na http://wklej.eu lub na http://wklej.org a w poście dajesz tylko link
Bybelou
(Bybelou)
18 Wrzesień 2008 08:30
#11
http://wklej.org/id/4930/
log po wykonaniu skryptu.
niestety na sam koniec komputer mi sie zawiesil i musialem wykonywac jeszcze raz
Log wygląda na czysty.
usuń folder C: \Qoobox oraz instalkę Combofix z dysku.
Przeczyść system oraz rejestr CCleaner
Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja
Przeskanuj obszar Mój komputer Kaspersky Online Scanner Uruchom pod IE daj raport na forum
lub Dr.WEB CureIt!