mmarta
(Martamajek)
29 Kwiecień 2008 12:10
#1
Jestem nowa na tym forum i niezbyt dobrze znam sie na komputerze (a nawet bardzo słabo) dlatego z góry proszę o wyrozumiałość.
Kilka tygodni temu zainstowaliśmy noda i okazało się, że komputer był bardzo zawirusowany - nod to pousuwał. często skanujemy komp i ostatnio pokazuje sie informacja, że jest odmiana jakiegoś trojana, że usunieto i poddano kwarantannie. Dziś postanowiłam, przeskanować go innym programem - wybrałam jakiś “doctor…” - nie pamietam nazwy, bo go już odinstalowałam - i on pokazał, że jest jakiś trojan i pokazał pliki, które były zainfekowane. Oto co mi napisał:
WINLOGON.EXE
C\WINDOWS\SYSTEM32\WLCtrl32.dll
HKEY_LOCAL_MACHINESOFTWARE\MICROSOFT\WindowsNT\CurrentVersio\Notify\WLCTRL32,StartShell
HKEY_LOCAL_MACHINESOFTWARE\MICROSOFT\WindowsNT\CurrentVersio\Notify\WLCTRL32, Immerso…(przepisywałam na kartkę i teraz nie umiem odczytać…)
HKEY_LOCAL_MACHINESOFTWARE\MICROSOFT\WindowsNT\CurrentVersio\Notify\WLCTRL32,Asp…(j.w.)
HKEY_LOCAL_MACHINESOFTWARE\MICROSOFT\WindowsNT\CurrentVersio\Notify\WLCTRL32, DLLName
Próbowałam to usunąć ale nie dało się.
nod pokazał ze jest cos i nie umie tego usunąć.
zainstalowałam HijackThis, cos pokazuje w notatniku, a ja nie wiem co robić.
Proszę o pomoc. ![-o<
addmir
(Dmirecki)
29 Kwiecień 2008 12:16
#2
mmarta
(Martamajek)
29 Kwiecień 2008 13:04
#3
jessica
(jessica)
29 Kwiecień 2008 15:10
#4
Wklej do Notatnika :
File::
C:\WINDOWS\system32\drivers\Kmp81.sys
C:\WINDOWS\system32\drivers\Ort25.sys
C:\WINDOWS\system32\drivers\Ehk47.sys
C:\WINDOWS\system32\drivers\Vac25.sys
C:\WINDOWS\system32\drivers\Svx14.sys
C:\WINDOWS\system32\drivers\Wad48.sys
C:\WINDOWS\system32\drivers\Gjl03.sys
C:\WINDOWS\system32\drivers\Uyb46.sys
C:\WINDOWS\system32\drivers\Fik58.sys
C:\WINDOWS\system32\drivers\Fik46.sys
C:\WINDOWS\system32\drivers\Yce47.sys
C:\WINDOWS\system32\drivers\Svy26.sys
C:\WINDOWS\system32\drivers\Jmp71.sys
C:\WINDOWS\system32\drivers\Gjm60.sys
C:\WINDOWS\system32\drivers\Svx15.sys
C:\WINDOWS\system32\drivers\Ehk60.sys
C:\WINDOWS\system32\drivers\Mqt47.sys
C:\WINDOWS\system32\drivers\Jmp70.sys
C:\WINDOWS\system32\drivers\Qtv35.sys
C:\WINDOWS\system32\drivers\Ilo13.sys
C:\WINDOWS\system32\drivers\Yce70.sys
C:\WINDOWS\system32\drivers\Dik70.sys
Folder::
C:\FOUND.005
C:\FOUND.004
C:\FOUND.003
C:\FOUND.002
C:\FOUND.001
C:\FOUND.000
Driver::
Dik70
Yce70
Ilo13
Qtv35
Jmp70
Mqt47
Ehk60
Svx15
Gjm60
Jmp71
Svy26
Yce47
Fik46
Fik58
Uyb46
Gjl03
Kmp81
Ort25
Ehk47
Vac25
Svx14
Wad48
Psu47
Qtw03
Qtw25
Rux70
Swy68
Xbe24
Xbe71
Hln13
Lor57
Lpr70
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"zzzHPSETUP"=-
"Glock Suite 1.1"=-
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Dik70.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Ehk47.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Ehk60.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Fik46.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Fik58.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Gjl03.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Gjm60.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Hln13.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Ilo13.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Jmp70.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Jmp71.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Kmp81.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lor57.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lpr70.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Mqt47.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Ort25.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Psu47.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Qtv35.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Qtw03.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Qtw25.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Rux70.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Svx14.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Svx15.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Svy26.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Swy68.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Uyb46.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Vac25.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wad48.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Xbe24.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Xbe71.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Yce47.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Yce70.sys]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PayTime]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\_Cat4]
>>Plik>>Zapisz jako… >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
–>
Ma się rozpocząć usuwanie. (i powstanie log). Daj ten log, który powstanie w trakcie usuwania.
Jeśli pójdzie dobrze, to: Po restarcie usuń ręcznie folder C:* * Qoobox**.
jessi
mmarta
(Martamajek)
29 Kwiecień 2008 15:42
#5
Teraz chyba dobrze wkleiłam
http://wklej.org/id/148fd4653e
W dniu 29.04.2008 , o godzinie 17:42 został dopisany post przez mmarta
I ten folder usunełam.
Mam nadzieję, że już będzie dobrze. Bardzo Ci dziękuję i powiedz co jeszcze mam zrobić
huber2t
(huber2t)
29 Kwiecień 2008 16:08
#6
W logu nic nie widzę
Przeskanuj komputer tym (uruchom przez IE) http://www.kaspersky.pl/virusscanner.html Daj raport z niego na forum
mmarta
(Martamajek)
30 Kwiecień 2008 09:36
#7
Właśnie przeskanowałam Kasperskim i niestety sa wirusy
Oto raport:
http://wklej.org/id/f059f2c17e
Co powinnam zrobić?
huber2t
(huber2t)
30 Kwiecień 2008 09:44
#8
Pobierz Avenger
wklej do niego ten tekst:
Files to delete:
C:\WINDOWS\defhtat.hta
kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.
Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt
Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja
Monczkin
(Monczkin)
30 Kwiecień 2008 09:46
#9
Nazwij temat konkretnie i popraw posty.
viewtopic.php?f=16&t=66889
viewtopic.php?f=16&t=213350
Przeczytaj je + regulamin. Inaczej wyciągnę konsekwencję.
mmarta
(Martamajek)
30 Kwiecień 2008 15:06
#10
Posty chyba poprawiłam, a nazwać konkretniej nie umiem - bo sie na komputerze prawie nie znam. Przykro mi.
Wcześniej przychodziło mi do głowy tylko: “Ratumku! Jakieś wirusy!” - obecny temat chyba jest bardziej konkretny.
Co dokładnie sie stało napisałam w pierwszym poście. Lepiej tego zrobić nie umiem. :oops:
W dniu 30.04.2008 , o godzinie 17:06 został dopisany post przez mmarta
Oto raport z avenger:
http://wklej.org/id/7f60e6dc40
huber2t
(huber2t)
30 Kwiecień 2008 15:08
#11
Chyba coś się nie bardzo usuneło
Przeskanuj komputer tym (uruchom przez IE) http://www.kaspersky.pl/virusscanner.html Daj raport z niego na forum
mmarta
(Martamajek)
30 Kwiecień 2008 15:48
#12
przeskanowałam, chyba juz jest dobrze. Oto raport:
http://wklej.org/id/bedb67205e
bardzo dziękuję.
Jak można zapobiegać tym draństwom w przyszłości?
huber2t
(huber2t)
30 Kwiecień 2008 16:06
#13
Komputer jest czysty od wirusów
Należy mieć dobry program antywirusowy np. Kaspersky, zapore ogniową, a poza tym trzeba myśleć co się robi na komputerze
mmarta
(Martamajek)
30 Kwiecień 2008 16:28
#14
Co to jest zapora ogniowa? :oops:
I druga sprawa:
Co to znaczy? czy nie wchodzić na niektóre strony?, nie kopiować tekstów? jestem n-lką i czasem korzystam z publikacji innych n-li.
A o kasperskim pomyślimy - mamy NODa
Dzięki.
huber2t
(huber2t)
30 Kwiecień 2008 16:32
#15
zapora ogniowa http://pl.wikipedia.org/wiki/Zapora_sieciowa
Masz racje trzeba uwarzać po jakich stronach sie chodzi i wogule