gipson
(Gipson Marcin)
29 Sierpień 2008 22:35
#1
Od 3 dni walczę z najgorszym trojanem, jakim miałem do czynienia.
Jestem po 3 formatach i jeśli nie będziecie w stanie mi pomóc nadejdzie i 4…
Cały problem polega na tym, że z dnia na dzień uaktywnił mi się trojan co blokuje dostęp do mojego komputera, wszystkich dysków oraz menadżera zadań. W trayu jest wielki napis VIRUS ALERT!, ikonki oraz dymki nawołujące do przeskanowania systemu rzekomym antyspyware. Co chwilę wyskakują komunikaty i włącza się przeglądarka z podobnymi treściami.
Scan your system now! Click here to free system scan itp.
Próbowałem usunąć to już wieloma programami, antytrojany, antyspyware, NOD32, Avast…
Nie wiem gdzie ten dziad siedzi, nic nie pomaga. Za każdym razem po formacie instaluje kerio firewalla oraz antywirusa.
Niestety ten trojan siedzi gdzieś głębiej. Format nic nie daje :|.
Log z hijack
http://wklej.eu/index.php?id=5cd2b490cb
Nie wiem jak mam z tym walczyć, ręce już mi opadły… .
huber2t
(huber2t)
30 Sierpień 2008 03:35
#2
fix w hijackthis
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wm … Ojg5&lid=2 O2 - BHO: D - {EF8CD1A9-FB99-3BCB-8AC7-3F3E5ED6758A} - C:\WINDOWS\system32\mmx99912.dll O2 - BHO: QXK Olive - {F85920DB-0233-4BFA-8780-6E9F2E19E93A} - C:\WINDOWS\rodqgpvldlr.dll O3 - Toolbar: qalkfxor - {EB5B47E9-140B-4E4B-B9EF-A0D5BF1DA2AD} - C:\WINDOWS\qalkfxor.dll O4 - HKLM…\Run: [sccs] C:\Documents and Settings\GipsoN\sccs.exe O4 - HKCU…\Run: [Run] “C:\Documents and Settings\GipsoN\Dane aplikacji\Adobe\Manager.exe” O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 O21 - SSODL: rqbmvpso - {405F0ED6-9FBF-4C27-BD84-CA3C99AE66E2} - C:\WINDOWS\rqbmvpso.dll O21 - SSODL: pdoskegl - {F62D44AD-3B82-4DBF-AEBA-EF518F718B7C} - C:\WINDOWS\pdoskegl.dll
Pobierz ComboFix , ale nie uruchamiaj
Otwórz notatnik i wklej do niego:
File::
C:\WINDOWS\system32\mmx99912.dll
C:\WINDOWS\rodqgpvldlr.dll
C:\WINDOWS\qalkfxor.dll
C:\Documents and Settings\GipsoN\sccs.exe
C:\WINDOWS\rqbmvpso.dll
C:\WINDOWS\pdoskegl.dll
Plik -> zapisz jako -> CFScript.txt .
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->
Rozpocznie się usuwanie i powstanie log, który dasz na forum.
Logi dajesz na http://wklej.eu lub na http://wklej.org a w poście dajesz tylko link
Kaka2
(Kaka_117827603)
30 Sierpień 2008 08:08
#3
gipson ,
Zmiana zasad wklejania logów na forum -> viewtopic.php?f=16&t=253052 Proszę poprawić swój wcześniejszy post.
gipson
(Gipson Marcin)
30 Sierpień 2008 09:27
#4
Log z hijack’a po fixie.
http://www.wklej.eu/index.php?id=f24c45b8d8
Z combofixem zrobiłem tak jak kazałeś.
Wyskoczył wiersz poleceń “Please wait, Combofix is preparing to run.”
Następnie komunikat “DISCLAIMER OF WARRANTY ON SOFTWARE.”
"This tool is meant for private use. It should never be used in an unsupervised environment.
If infections are found, it will automatically reboot windows to complete the removal process.
Please ensure all opened windows are closed before proceeding.
This software is provided ‘as is’, without warranty of any kind.
All implied warranties are expressly disclaimed.
If you do not agree to the above terms, please click no to exit."
Oczywiście zaznaczyłem Yes. Na razie nie widziałem żadnego loga.
Leon1
(Leon$)
30 Sierpień 2008 09:33
#6
wpisy
usuń HijackThisem >> Fix checked
Otwórz notatnik i wklej
zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe
http://img.wklej.org/images/88953CFScri … iemoes.gif
Powinno rozpocząć się usuwanie
Potem log z usuwania Combofix
Start >> wyszukaj >> ComboFix.txt
gipson
(Gipson Marcin)
30 Sierpień 2008 09:45
#7
ComboFix Log:
http://www.wklej.eu/index.php?id=79e5f79d3f
HijackThis log po skanowaniu combofixem:
http://www.wklej.eu/index.php?id=7b693b330e
Tego już nie ma w logach hijacka.
Dodam, że znów odzyskałem dostęp do dysków i menu start :).
Leon1
(Leon$)
30 Sierpień 2008 09:53
#8
Otwórz notatnik i wklej
zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe
http://img.wklej.org/images/88953CFScri … iemoes.gif
Powinno rozpocząć się usuwanie
Potem log z usuwania Combofix
gipson
(Gipson Marcin)
30 Sierpień 2008 10:13
#9
Gutek
(Gutek)
30 Sierpień 2008 10:15
#10
Wklej do Notatnika:
Driver::
epfwtdir
>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )
– podobnie jak na tym obrazku –>
(jeśli pojawi się pytanie " 1 or 2 " - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)
Po restarcie usuń ręcznie folder C: * * Qoobox**.
Po tym nowy log z Combo oraz skan http://www.kaspersky.pl/virusscanner.html
gipson
(Gipson Marcin)
30 Sierpień 2008 10:30
#11
Robię tak jak opisałeś, combofix ładuje ten pasek. Niestety potem nic się nie dzieje.
Nie wyskakuje nawet wiersz poleceń.
huber2t
(huber2t)
30 Sierpień 2008 11:09
#12
Sprobuj w trybie awaryjnym
gipson
(Gipson Marcin)
30 Sierpień 2008 13:01
#13
C:\Qoobox usunięte.
Combofix log:
http://www.wklej.eu/index.php?id=ff4c99cae7
Skanowanie Kasperskym trwa ;).
huber2t
(huber2t)
30 Sierpień 2008 13:10
#14
Log wyglada na czysty
usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.
Przeczyść komputer Ccleanerem
Wykonaj optymalizację autostartu
Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja
gipson
(Gipson Marcin)
30 Sierpień 2008 13:32
#15
Zrobione. Dzięki za pomoc chłopaki.
Mała prośba, przejrzyjcie jeszcze logi z hijack’a.
http://wklej.eu/index.php?id=dbfb373e17
Czy na pewno wszystko gra :).
huber2t
(huber2t)
30 Sierpień 2008 13:34
#16
W logu nic nie widzę
Pokąz raport z Kasperskiego
gipson
(Gipson Marcin)
30 Sierpień 2008 13:49
#17
Log z Kasperskiego:
http://wklej.eu/index.php?id=03b50905ce
Skanowałem NOD’em i nic nie znalazł.
jaco1916
(Jaco1916)
3 Wrzesień 2008 02:47
#18
PANOWIE CUDEM TEN TEMAT ZNALAZLEM , JESTEM W TEJ SAMEJ SYTACJI!