Problemy z robalami


(system) #1

Witam. Wczoraj otworzyłem pewnego linka, którego otrzymałem w wiadomości na gg od jakiegoś nieznajomego :frowning: Po kilku sekundach wyskoczyła tapeta alarmująca, że mój komputer jest zainfekowany. Pojawił się również dymek namawiający do skorzystania z odpowiedniego programu, który został automatycznie zainstalowany (płatny, BraveSentry ). Inne objawy zarobaczenia mojego systemu to:

- zablokowanie menedżera zadań przez "administratora"

- zamykanie explorera po kliknięciu prawym przyciskiem na folderze

- spowolnienie internetu

Po użyciu kilku programów -SpyBot S&D, Ewido Anti-Malware, CounterSpy i Ad-Aware, udało się usunąć kilka objawów. Nie ma już problemu z tapetą, dymkiem i menedżerem zadań, ale nęka mnie ten zamykający się explorer. Proszę o sprawdzenie mojego loga i pomoc.


(adam9870) #2

Użyj Windows Worms Doors Cleanera zmień znaczki z disable na enable (wszystkie znaczki maja być na zielono, jezeli któryś z nich bedzie na żółto to go zostaw).

Usuń: (wszystko oczywiście robisz w trybie awaryjnym z wyłączonym przywracaniem systemu)

Pliki i foldery zaznaczone usuwasz ręcznie z dysku natomiast wpisy w HijackThis.

Pobierz program Ewido zrób update i przeskanuj.

Po wykonaniu w/w dajesz nowy log z HijackThis plus z SilentRunners.

Co do menagera to zajrzyj może:

http://forum.dobreprogramy.pl/viewtopic ... 551#555551


(system) #3

Zapomniałem powiedzieć, że nie da się usunąć pliku. Wtedy też wyłącza się explorer, nawet kiedy używam delete.

Przeszedłem do trybu awaryjnego i zauważyłem, że oprócz mojego profilu jest też profil "administrator". Zalogowałem się tam i zobaczyłem, że połowa ikon jest usunięta.


(adam9870) #4

Jak będziesz wchodzić do awaryjnego to są dwa konta co najmniej. Twoje i administrator. Wybierasz TWOJE.

Jeżeli tak nie da sie plików usunąć to pobierz od normalnym KillBox. A pod awaryjnym uruchamiasz, zaznaczasz Delete on reboot , w polu full path of file wklej ścieżkę:

C:\WINDOWS**** winlogon.exe

I to samo robisz z resztą plików. Jak wkleisz to klikasz X czerwony i restart kompa (restart dopiero po usunięciu ostatniego pliku).


(system) #5

Na samym dole jest log już po usunięciu plików i wpisów, które wskazałeś. Mam nadzieję, że wszystko zrobiłem dobrze. Niestety explorer nadal się wyłącza i pokazuje się co jakiś czas taki komunikat:

Komunikat.jpg

Komunikat2.jpg

Natomiast kiedy chcę odpalić Silent Runnersa to wyskakuje takie coś:

Komunikat3.jpg


(Gutek) #6

Możesz użyć komendy: Start >>> Uruchom >>> services.msc i też możesz wyłaczyć Usługę posłańca :slight_smile:

Co do Silenta odpowiedź masz - http://www.searchengines.pl/phpbb203/in ... opic=15989

użyj Unlocker 1.8.3 http://ccollomb.free.fr/unlocker/ aby usunąć plik należy wybrać na niego prawym myszy a następnie opcje unlocker. Na dole wybieramy opcje "UWOLNIJ WSZYSTKIE"

Następnie należy wybrać akcje i mamy do wyboru "skasuj" "zmień nazwe" "przesuń" W przypadku naszego złośliwego pliku wybieramy oczywiście "skasuj"


(system) #7

Log z Silent Runnersa:

Niestety nie mogę użyć Unlokera, bo kiedy klikam na jakiś plik lub folder prawym przyciskiem to wyskakuje błąd explorera i trzeba go zamknąć.

explorer.jpg


(Gutek) #8

Otwórz Notatnik i wklej w nim to:

Plik >>> Zapisz jako >>> Ustaw rozszerzenie z TXT na Wszystkie pliki >>> zapisz pod nazwą FIX.REG >>> kliknij podwójnie zrobiony plik i potwierdź >>> reset kompa


(system) #9

Niestety, zrobiłem, zresetowałem i... nadal to samo. Do tego wcześniej wyłączyłem Usługę Posłaniec, a po resecie znowu działa.


(Gutek) #10

Innym narzędziem jest XP-Antispy odinstaluj messengera, zaznacz opcję w ustawieniach.

daj nowy log z Silenta


(system) #11

Nadal wyłącza mi się explorer.exe :frowning: Wiem, że jestem uciążliwy, przepraszam, ale to nie moja wina...


(Kuz5) #12

Siedzi nadal:

Plik spróbuj usunąć programem Pocket Killbox czyli odpalasz Killboxa zaznacz opcję Delete on Reboot następnie w polu Full Path of File to Delete wklej ścieżke:

C:\Documents and Settings\All Users.WINDOWS\Dokumenty\Settings**** artm_new.dll

następnie program będzie pytał o restart (oczywiście zgadzasz sie)

Otwórz notatnik i wklej w nim:

Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG i uruchom go w trybie awaryjnym

Co do posłańca, to pozbyłeś sie go czy nie ??


(system) #13

Plik dodatkowo przed użyciem killbox-a wyrejestruj zrób tak

Start -> uruchom: i wklej

I ok. I teraz użyj killbox-a powinno zejść


(system) #14

Z tego co pokazał KillBox, usunąłem ten plik. Posłaniec też już nie "przychodzi" :slight_smile: Ale nadal explorer.exe się wyłącza...


(Kuz5) #15

No pliku juz nie ma ale pozostał wpis w rejestrze:

Otwórz notatnik i wklej w nim to:

Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG i uruchom go w trybie awaryjnym

Explorera mozesz podmienic z konsoli odzyskiwania:

Odpalasz konsole i wklepujesz polecenie:

expand X:\i386\explorer.ex_ C:\Windows\explorer.exe

Gdzie X - to litera napedu

A C - litera dysku systemowego


(system) #16

Explorer nie chce się podmienić ani przez wiersz poleceń, ani przez Total Commandera...


(system) #17

Bo masz to zrobic w konsoli a nie w wierszu poleceń. Opis jak wejść do konsoli. TU


(system) #18

Sorry, źle przeczytałem :slight_smile:

Próbowałem też to zrobić w konsoli, ale pokazuje się komunikat:

Nie można utworzyć pliku explorer.exe

Zdekompresowano 0 plików