robert17
(Robertw1)
23 Sierpień 2008 09:37
#1
Witam,
Proszę o sprawdzenie logów z ComboFix i HiJack i instrukcje co dalej z tym zrobić. Chyba mam jakiegoś wirusa na kompie bo ciągle mi wyskakują komunikaty w ESET, że komputer jest zagrożony.
http://wklej.org/id/467/ - log z ComboFix
http://wklej.org/id/468/ log z Hijack
huber2t
(huber2t)
23 Sierpień 2008 09:44
#2
Pobierz ComboFix , ale nie uruchamiaj
Otwórz notatnik i wklej do niego:
File::
C:\WINDOWS\system32\3962338002.dat
C:\WINDOWS\system32\604262
C:\Documents and Settings\Robert1\svscchost.exe
C:\msntunvw.exe
Registry::
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Vyc47.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Winae25.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Windh60.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wineh36.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Winfi46.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Winfj47.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wingj60.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Winhk82.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Winhl02.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Winin25.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Winmq58.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Winqt58.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Winru03.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wintx71.sys]
Driver::
Vyc47
Winae25
Wineh36
Winfi46
Winfj47
Wingj60
Winhk82
Winhl02
Winin25
Winmq58
Winqt58
Winru03
Wintx71
Windh60
Plik -> zapisz jako -> CFScript.txt .
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->
Rozpocznie się usuwanie i powstanie log, który dasz na forum.
Logi dajesz na wklej.eu lub na http://wklej.org a w poście dajesz tylko link
huber2t
(huber2t)
23 Sierpień 2008 10:29
#4
Pobierz ComboFix , ale nie uruchamiaj
Otwórz notatnik i wklej do niego:
Registry::
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Vyc47.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Winae25.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Windh60.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wineh36.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Winfi46.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Winfj47.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wingj60.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Winhk82.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Winhl02.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Winin25.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Winmq58.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Winqt58.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Winru03.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wintx71.sys]
Folder::
C:\WINDOWS\system32\604262
Plik -> zapisz jako -> CFScript.txt .
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->
Rozpocznie się usuwanie i powstanie log, który dasz na forum.
Logi dajesz na wklej.eu lub na http://wklej.org a w poście dajesz tylko link
robert17
(Robertw1)
23 Sierpień 2008 10:31
#5
Mam jeszcze jeden problem od dłuższego czasu: Podczas oglądania różnych filmów w internecie lub podczas ściągania plików restartuje mi się komputer. Czy po tych zabiegach z ComboFixem ten problem może ustąpić czy jest inny powód tego problemu?
huber2t
(huber2t)
23 Sierpień 2008 10:32
#6
Możliwy jest inny powód ale to się okaże
robert17
(Robertw1)
23 Sierpień 2008 10:39
#7
huber2t
(huber2t)
23 Sierpień 2008 10:45
#8
usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.
Przeczyść komputer Ccleanerem
Wykonaj optymalizację autostartu
Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja
Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum
lub
Dr.WEB CureIt!
JNJN
(JNJN)
23 Sierpień 2008 10:51
#9
Proszę zmienić temat na konkretny, opcja edytuj.JNJN
robert17
(Robertw1)
23 Sierpień 2008 13:28
#10
Zrobilem wszystko zgodnie z zaleceniami oprócz skanowania antyvirusem bo właśnie w momencie skanowania pojawia się problem restrtu komputera. Skanuje około 50% i następuje samoczynny restart. W podglądzie zdarzeń po restarcie znalazłem wpisy:
Drukarka PDF4U Adobe PDF Creator nie została zainicjowana, ponieważ nie można było znaleźć odpowiedniego sterownika PDF4U Adobe PDF Creator.
lub
Uruchomienie polecenia At40.job nie powiodło się, ponieważ wystąpił następujący błąd:
Nie można odnaleźć określonego pliku.
robert17
(Robertw1)
23 Sierpień 2008 14:06
#11
Po połączeniu z internetem już nie wyskakuje komunikat z NODa o zagrożeniu. Sprawdzałem poprzednie ostrzeżenia i był to trojan “wigon”. Dr.WEB CureIt nie wykrył żadnego wirusa a kaspersky do 49% wykrywa 1 wirus ale nie mogę sprawdzić jaki bo nie mogę ukończyć skanowania. Próbuję kolejny raz może się uda.
robert17
(Robertw1)
23 Sierpień 2008 20:57
#12
Mam raport z Kaspercky online scaner: http://wklej.org/id/582/
Proszę o dalsze instrukcje
Leon1
(Leon$)
23 Sierpień 2008 21:07
#13
Pobierz i uruchom narzędzie The Avenger Zaznaczasz tekst podany do usunięcia na forum
kopiuj >> klikasz na Paste Script from Clipboard >> Execute >> Potwierdzasz i zgadzasz się na restart klikając OK .
Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt
robert17
(Robertw1)
23 Sierpień 2008 21:17
#14
raport z avengera:
Logfile of The Avenger Version 2.0, © by Swandog46
http://swandog46.geekstogo.com
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
File “C:\Documents and Settings\All Users\Dane aplikacji\ncfcnarg\rglizwje.exe” deleted successfully.
File “D:\System Volume Information_restore{B9B71552-070B-4004-9CAB-619A468B048B}\RP8\A0000277.EXE” deleted successfully.
Completed script processing.
*******************
Finished! Terminate.
robert17
(Robertw1)
23 Sierpień 2008 21:30
#16
wielkie dzięki. Mam nadzieje że wszystko będzie ok.