Jestem nowa na tym forum i niezbyt dobrze znam sie na komputerze (a nawet bardzo słabo) dlatego z góry proszę o wyrozumiałość.

Kilka tygodni temu zainstowaliśmy noda i okazało się, że komputer był bardzo zawirusowany - nod to pousuwał. często skanujemy komp i ostatnio pokazuje sie informacja, że jest odmiana jakiegoś trojana, że usunieto i poddano kwarantannie. Dziś postanowiłam, przeskanować go innym programem - wybrałam jakiś “doctor…” - nie pamietam nazwy, bo go już odinstalowałam - i on pokazał, że jest jakiś trojan i pokazał pliki, które były zainfekowane. Oto co mi napisał:

WINLOGON.EXE

C\WINDOWS\SYSTEM32\WLCtrl32.dll

HKEY_LOCAL_MACHINESOFTWARE\MICROSOFT\WindowsNT\CurrentVersio\Notify\WLCTRL32,StartShell

HKEY_LOCAL_MACHINESOFTWARE\MICROSOFT\WindowsNT\CurrentVersio\Notify\WLCTRL32, Immerso…(przepisywałam na kartkę i teraz nie umiem odczytać…)

HKEY_LOCAL_MACHINESOFTWARE\MICROSOFT\WindowsNT\CurrentVersio\Notify\WLCTRL32,Asp…(j.w.)

HKEY_LOCAL_MACHINESOFTWARE\MICROSOFT\WindowsNT\CurrentVersio\Notify\WLCTRL32, DLLName

Próbowałam to usunąć ale nie dało się.

nod pokazał ze jest cos i nie umie tego usunąć.

zainstalowałam HijackThis, cos pokazuje w notatniku, a ja nie wiem co robić.

Proszę o pomoc. ![-o<

Pokaż log z ComboFix i HiJackThis. opis

Logi

z ComboFix

http://wklej.org/id/8b4ca8d9cf

z HijackThis

http://wklej.org/id/9fec41bfcf

Przepraszam :oops:

Wklej do Notatnika :

File::

C:\WINDOWS\system32\drivers\Kmp81.sys

C:\WINDOWS\system32\drivers\Ort25.sys

C:\WINDOWS\system32\drivers\Ehk47.sys

C:\WINDOWS\system32\drivers\Vac25.sys

C:\WINDOWS\system32\drivers\Svx14.sys

C:\WINDOWS\system32\drivers\Wad48.sys

C:\WINDOWS\system32\drivers\Gjl03.sys

C:\WINDOWS\system32\drivers\Uyb46.sys

C:\WINDOWS\system32\drivers\Fik58.sys

C:\WINDOWS\system32\drivers\Fik46.sys

C:\WINDOWS\system32\drivers\Yce47.sys

C:\WINDOWS\system32\drivers\Svy26.sys

C:\WINDOWS\system32\drivers\Jmp71.sys

C:\WINDOWS\system32\drivers\Gjm60.sys

C:\WINDOWS\system32\drivers\Svx15.sys

C:\WINDOWS\system32\drivers\Ehk60.sys

C:\WINDOWS\system32\drivers\Mqt47.sys

C:\WINDOWS\system32\drivers\Jmp70.sys

C:\WINDOWS\system32\drivers\Qtv35.sys

C:\WINDOWS\system32\drivers\Ilo13.sys

C:\WINDOWS\system32\drivers\Yce70.sys

C:\WINDOWS\system32\drivers\Dik70.sys


Folder::

C:\FOUND.005

C:\FOUND.004

C:\FOUND.003

C:\FOUND.002

C:\FOUND.001

C:\FOUND.000


Driver::

Dik70

Yce70

Ilo13

Qtv35

Jmp70

Mqt47

Ehk60

Svx15

Gjm60

Jmp71

Svy26

Yce47

Fik46

Fik58

Uyb46

Gjl03

Kmp81

Ort25

Ehk47

Vac25

Svx14

Wad48

Psu47

Qtw03

Qtw25

Rux70

Swy68

Xbe24

Xbe71

Hln13

Lor57

Lpr70



Registry::

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"zzzHPSETUP"=-

"Glock Suite 1.1"=-

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Dik70.sys]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Ehk47.sys]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Ehk60.sys]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Fik46.sys]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Fik58.sys]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Gjl03.sys]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Gjm60.sys]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Hln13.sys]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Ilo13.sys]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Jmp70.sys]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Jmp71.sys]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Kmp81.sys]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lor57.sys]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lpr70.sys]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Mqt47.sys]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Ort25.sys]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Psu47.sys]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Qtv35.sys]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Qtw03.sys]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Qtw25.sys]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Rux70.sys]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Svx14.sys]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Svx15.sys]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Svy26.sys]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Swy68.sys]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Uyb46.sys]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Vac25.sys]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wad48.sys]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Xbe24.sys]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Xbe71.sys]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Yce47.sys]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Yce70.sys]

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PayTime]

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\_Cat4]

>>Plik>>Zapisz jako… >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

–>

Ma się rozpocząć usuwanie. (i powstanie log). Daj ten log, który powstanie w trakcie usuwania.

Jeśli pójdzie dobrze, to: Po restarcie usuń ręcznie folder C:** Qoobox**.

jessi

Teraz chyba dobrze wkleiłam

http://wklej.org/id/148fd4653e

W dniu 29.04.2008 , o godzinie 17:42 został dopisany post przez mmarta

I ten folder usunełam.

Mam nadzieję, że już będzie dobrze. Bardzo Ci dziękuję i powiedz co jeszcze mam zrobić

W logu nic nie widzę

Przeskanuj komputer tym (uruchom przez IE) http://www.kaspersky.pl/virusscanner.html Daj raport z niego na forum

Właśnie przeskanowałam Kasperskim i niestety sa wirusy

Oto raport:

http://wklej.org/id/f059f2c17e

Co powinnam zrobić?

Pobierz Avenger

wklej do niego ten tekst:

Files to delete:

C:\WINDOWS\defhtat.hta

kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Nazwij temat konkretnie i popraw posty.

viewtopic.php?f=16&t=66889

viewtopic.php?f=16&t=213350

Przeczytaj je + regulamin. Inaczej wyciągnę konsekwencję.

Posty chyba poprawiłam, a nazwać konkretniej nie umiem - bo sie na komputerze prawie nie znam. Przykro mi.

Wcześniej przychodziło mi do głowy tylko: “Ratumku! Jakieś wirusy!” - obecny temat chyba jest bardziej konkretny.

Co dokładnie sie stało napisałam w pierwszym poście. Lepiej tego zrobić nie umiem. :oops:

W dniu 30.04.2008 , o godzinie 17:06 został dopisany post przez mmarta

Oto raport z avenger:

http://wklej.org/id/7f60e6dc40

Chyba coś się nie bardzo usuneło

Przeskanuj komputer tym (uruchom przez IE) http://www.kaspersky.pl/virusscanner.html Daj raport z niego na forum

przeskanowałam, chyba juz jest dobrze. Oto raport:

http://wklej.org/id/bedb67205e

bardzo dziękuję.

Jak można zapobiegać tym draństwom w przyszłości?

Komputer jest czysty od wirusów

Należy mieć dobry program antywirusowy np. Kaspersky, zapore ogniową, a poza tym trzeba myśleć co się robi na komputerze

Co to jest zapora ogniowa? :oops:

I druga sprawa:

Co to znaczy? czy nie wchodzić na niektóre strony?, nie kopiować tekstów? jestem n-lką i czasem korzystam z publikacji innych n-li.

A o kasperskim pomyślimy - mamy NODa

Dzięki.

zapora ogniowa http://pl.wikipedia.org/wiki/Zapora_sieciowa

Masz racje trzeba uwarzać po jakich stronach sie chodzi i wogule