markus147
(Markus147)
12 Kwiecień 2008 08:58
#1
Witam!
Pojawia mi się ciągle dymek z napisem: “Your computer is infected …”. Zorientowałem się, że mam wirusa: braviax. oprócz tego antywirus ciągle informuje o usunięciu trojanów, które na nowo pojawiają się po restarcie komputera
Poniżej podaje log z HiJackThis.
http://wklej.org/id/0a22f352c1
addmir
(Dmirecki)
12 Kwiecień 2008 09:06
#2
FIX:
O2 - BHO: (no name) - {08DA2010-7EDA-4194-B349-4162AB871FCE} - C:\WINDOWS\system32\mllml.dll O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\SYSTEM32\hgghfeb.dll O4 - HKLM…\Run: [141e5e07] rundll32.exe “C:\WINDOWS\system32\vmeomruh.dll”,b O4 - HKLM…\Run: [bM172d6d9b] Rundll32.exe “C:\WINDOWS\system32\jrcbyxdb.dll”,s O17 - HKLM\System\CCS\Services\Tcpip…{6CB5CCB2-C6DF-40A3-A110-22F158B4BBCD}: NameServer = 85.255.116.73 85.255.112.187 O17 - HKLM\System\CS1\Services\Tcpip…{6CB5CCB2-C6DF-40A3-A110-22F158B4BBCD}: NameServer = 85.255.116.73 85.255.112.187 O20 - Winlogon Notify: hgghfeb - C:\WINDOWS\SYSTEM32\hgghfeb.dll O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
Pobierz ComboFix , ale nie uruchamiaj
Wklej do notatnika:
File::
C:\WINDOWS\system32\mllml.dll
C:\WINDOWS\SYSTEM32\hgghfeb.dll
C:\WINDOWS\system32\vmeomruh.dll
C:\WINDOWS\system32\jrcbyxdb.dll
Plik -> zapisz jako -> CFScript.txt
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->
Powinno się rozpocząć usuwanie i powstanie log, daj ten log na forum + nowy log z HijackThis.
Jeśli wszystko pójdzie dobrze, to po restarcie usuń ręcznie folder C: * * Qoobox**
Użyj FixwareOut. Link w moim podpisie
markus147
(Markus147)
12 Kwiecień 2008 09:38
#3
ComboFix udało się uruchomić dopiero po zmianie nazwy (podobnie zresztą jak HijackThis), kiedy pasek postępu dotarł do konca pojawił sie komunikat: “You cannot rename ComboFix as omboFix. Please use another name”
Poniżej zamieszczam log z HijackThis:
http://wklej.org/id/01ca7040fd
addmir
(Dmirecki)
12 Kwiecień 2008 10:00
#4
Spróbuj pobrać i użyć jeszcze raz ComboFix. Zapisz go jako Combo-Fix.exe
markus147
(Markus147)
12 Kwiecień 2008 10:23
#5
Teraz wszystko poszło dobrze
log z ComboFix:
http://wklej.org/id/89a02687a5
i z HighjackThis:
http://wklej.org/id/c0af4f8ff1
huber2t
(huber2t)
12 Kwiecień 2008 10:30
#6
fix w hijackthis
Pobierz ComboFix , ale nie uruchamiaj
Wklej do notatnika:
File::
C:\WINDOWS\gwgzcy.exe
C:\WINDOWS\gvwjxr.dll
C:\WINDOWS\gmucjk.exe
C:\WINDOWS\gntkqu.exe
C:\WINDOWS\sysxrdpw.exe
C:\WINDOWS\system32\vpjrnwfl.ini
C:\WINDOWS\system32\skkmifvp.ini
Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->
Powinno się rozpocząć usuwanie i powstanie log, daj ten log na forum.
Jeśli wszystko pójdzie dobrze, to po restarcie usuń ręcznie folder C: \Qoobox
markus147
(Markus147)
12 Kwiecień 2008 10:46
#7
Leon1
(Leon$)
12 Kwiecień 2008 17:00
#9
Wyłącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl
start >> uruchom >> cmd
sc stop EverestDriver >> Enter
sc delete EverestDriver >> Enter
Log wygląda na czysty
usuń ręcznie folder C: \Qoobox usuń instalkę Combofix z dysku.
przeskanuj tym http://www.kaspersky.pl/virusscanner.html pokaż raport
włącz przywracanie systemu
markus147
(Markus147)
13 Kwiecień 2008 17:37
#10