Problem z SmitfraudFix i inne dziwne rzeczy

RickyKaka · 22 Lipiec 2008 10:04

Witam,

Dzisiaj, dziwnym trafem do mojego komputera trafiła masa różnych wirusów. Posiadam program antywirusowy Avira Antivir Personal Edition Classic. Natychmiast mi je powykrywał, i nacisnąłem na Delete, usunął je na pewno, bo komputer chodzi normalnie. Chciałem jeszcze wejść na tryb awaryjny i programem SmitfraudFix te rzeczy pousuwać, bo wiem, że to jest najlepszy program tego typu. Ściągnąłem ten program z internetu (kiedyś, niechcący usunąłem), chciałem go otworzyć na normalnym systemie nie awaryjnym i tu nagle mój antywirus pokazuje, że w tym programie jest wirus o nazwie Back Door, konkretnie w 404Fix.exe. Teraz nijak idzie go uruchomić i nie wiem co dalej. Jak program, który ma pomagać w czymś posiada wirusa?

Proszę o pomoc.

PS. Zostawiam jeszcze link do logów z HijackThis: KLIK

Dlaczego wyskakuje, że ma wirusa? Co zrobić, aby ten program działał jak wcześniej? Proszę o pomoc.

huber2t · 22 Lipiec 2008 10:08

fix w hijackthis

O2 - BHO: MySidesearch Search Assistant - {9506910A-0F94-4ea1-B567-7070428B8B2B} - C:\WINDOWS\System32\mysidesearch_sidebar.dll O4 - HKLM…\Run: [{DA-A9-9D-D6-DW}] c:\windows\system32\rwwnw64d.exe DWram02FF O4 - HKLM…\Run: [runner1] C:\WINDOWS\mrofinu.exe O4 - HKLM…\Run: [ExploreUpdSched] C:\WINDOWS\System32\lcntltdm.exe DWram02FF O4 - S-1-5-18 Startup: Deewoo.lnk = C:\WINDOWS\system32\lcntltdm.exe (User ‘SYSTEM’) O4 - S-1-5-18 Startup: DW_Start.lnk = C:\WINDOWS\system32\rwwnw64d.exe (User ‘SYSTEM’) O4 - .DEFAULT Startup: Deewoo.lnk = C:\WINDOWS\system32\lcntltdm.exe (User ‘Default user’) O4 - .DEFAULT Startup: DW_Start.lnk = C:\WINDOWS\system32\rwwnw64d.exe (User ‘Default user’) O4 - Startup: Deewoo.lnk = C:\WINDOWS\system32\lcntltdm.exe O4 - Startup: DW_Start.lnk = C:\WINDOWS\system32\rwwnw64d.exe

Pobierz ComboFix, ale nie uruchamiaj

Otwórz notatnik i wklej do niego:

File::

C:\WINDOWS\System32\mysidesearch_sidebar.dll

C:\WINDOWS\mrofinu.exe

C:\WINDOWS\system32\lcntltdm.exe

C:\WINDOWS\system32\rwwnw64d.exe

Plik -> zapisz jako -> CFScript.txt.

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

Rozpocznie się usuwanie i powstanie log, który dasz na forum.

Logi dajesz na http://wklejto.pl lub na http://wlej.org a w poście dajesz tylko link

RickyKaka · 22 Lipiec 2008 11:03

A gdzie się te logi z ComboFix zapisują?

Zfixowałem już te logi z HijackThis. Jak na razie tylko logi z w/w programu:

KLIK

W dniu 22.07.2008 , o godzinie 13:03 został dopisany post przez RickyKaka

Sorry za szybkiego posta pod postem, ale nikt by nie zauważył…

Gdzieś tak co 5 minut wyskakuje mi komunikat o nowym wirusie jakimś… na dysku C: pojawia się co chwila folder Temp, i tam siedzą te wirusy. Dodatkowo pojawił się folder o nazwie: “327882R2FWJFW” - nie wiem co to oznacza.

PROSZĘ O POMOC.

spandaupol · 22 Lipiec 2008 11:25

Jest to plik ComboFix.txt domyślnie na dysku C

To jest katalog powstały po użyciu Combofix można usunąć.

RickyKaka · 22 Lipiec 2008 11:31

No właśnie i tam tego nie ma ;/

Robię wszystko po kolei, jak już wyżej pan napisał i nic…

Dodatkowo co chwila tworzy mi się na dysku C folder Temp z wirusami.

huber2t · 22 Lipiec 2008 12:26

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum

RickyKaka · 22 Lipiec 2008 12:38

Kolejny log z jakiegoś tam programu, nie pamiętam jakiego. xD

Thx za pomoc huber2t

KLIK

huber2t · 22 Lipiec 2008 12:41

Pobierz The Avenger

wklej do niego ten tekst:

Files to delete:

C:\WINDOWS\System32\buyxammtacf.exe

C:\WINDOWS\System32\g58.exe

C:\WINDOWS\System32\winpfz33.sys

C:\WINDOWS\System32\lcntltdm.exe

C:\WINDOWS\System32\mysidesearch_sidebar_uninstall.exe

C:\WINDOWS\System32\gside.exe

C:\WINDOWS\mrofinu.exe

C:\WINDOWS\System32\rwwnw64d.exe

kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

RickyKaka · 23 Lipiec 2008 07:12

No i nic ;/ Ten program mi nie działa. Ukończono tylko część żądania ReadProcessMemory lub WriteProcessMemory. - to sie pojawia jak chce go otworzyc na pulpicie. ;/

Jest jeszcze jakiś ratunek czy tylko format? Proszę o pomoc.

W dniu 23.07.2008 , o godzinie 9:12 został dopisany post przez RickyKaka

Witam,

Gdy dzisiaj włączyłem komputer, zobaczyłem, że ten wirus “zabił” mojego antivirusa (Avira Antivir Personal Edition Classic), czy jest jeszcze jakaś szansa, że odzyskam mój komputer? Właśnie ściągam Nod32, może on jakoś mi pomoże…

Da się jeszcze coś z tym zrobić?

huber2t · 23 Lipiec 2008 09:21

Sciągnij Hirens boot cd i jego zbootuj,uruchom wtedy antywirusa i przeskanuj system

RickyKaka · 24 Lipiec 2008 12:51

Zrobiłem formata i wszystko gra… Proszę o zamknięcie tematu.

Tylko nie wiem co się stało… No dobra zaczynam od początku:

Skanowałem NOD32 ok. 6h, znalazło ponad 2500 zainfekowanych plików, wszystkie usunąłem, z czego 5 trojanów. Następnie program polecił, abym dał restart komputerowi, zrobiłem. I gdy chciałem go włączyć już miało się pokazać “Zapraszamy” a tu pokazuje, że mam się zalogować do konta… :x I chciało jakieś hasło, którego w ogóle na komputerze nie było… Mogły to spowodować te wirusy? Dzięki wszystkim za pomoc.