ja23
(Adamu23)
26 Styczeń 2009 20:56
#1
Czesc.Mam prosbe zwiazana ze sprawdzeniem loga - http://www.wklejto.pl/24004
Strasznie spowalnia mi komputer, poza tym przekierowuje na adresy w przegladarce, gdzie niby skanuje mi komputer i wykrywa mnostwo spyware i kaze zakupic oprogramowanie.Z gory dzieki za szybka odp.
Leon1
(Leon$)
26 Styczeń 2009 21:22
#2
Pobierz Combofix http://www.searchengines.pl/index.php?s … ntry395642 uruchom dwuklikiem pokaż log
Podczas pobierania i skanu Combofixem proszę wyłączyć wszelkie zapory i antywirusy
ja23
(Adamu23)
26 Styczeń 2009 22:21
#3
Oto log z combofix
http://wklejto.pl/24020
Troche dlugo trwalo ale mialem problem ze sciagnieciem programu.
Jak to teraz wyglada?
Prosze o w miare szybka odp!
jessica
(jessica)
26 Styczeń 2009 22:54
#4
Jeden Rootkit usunięty, ale został jeszcze Rootkit mieszczący się w sektorze MBR dysku.
Użyj -->SDFix -na dole strony z linku
Pokaż Report.txt znajdujący się w folderze SDFix.
Sprawdź skuteczność przy pomocy > mbr.exe >http://www.searchengines.pl/index.php?show…mp;#entry470953 (scan trwa tylko 2 sekundy)
Daj ten log.
Wklej do Notatnika :
File::
C:\w98.com
C:\gy.exe
C:\x2csvg.exe
d:\w98.com
d:\gy.exe
d:\x2csvg.exe
c:\windows\system32\nmdfgds2.dll
c:\windows\system32\nmdfgds1.dll
c:\windows\AhnRpta.exe
c:\windows\system32\olhrwef.exe
c:\windows\system32\nmdfgds0.dll
c:\windows\system32\vbsdfe0.dll
c:\windows\system32\vbsdfe1.dll
C:\6fnlpetp.exe
d:\6fnlpetp.exe
c:\windows\system32\afmain0.dll
c:\windows\system32\afmain1.dll
c:\windows\system32\afmain2.dll
c:\windows\TEMP\9.tmp
Driver::
{DEF85C80-216A-43ab-AF70-1665EDBE2780}
Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"cdoosoft"=
"EXPLORER.EXE"=-
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{BB4C402F-882A-4526-8C08-51278EA437C1}"=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{12c5bc68-9557-11dd-ac2d-0018f66609b7}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2442cf74-9dd4-11dd-ac41-0018f66609b7}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{536f1f04-e024-11dd-acd7-0018f66609b7}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{80ad2d00-caad-11dd-ac9f-0018f66609b7}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9445d212-8bef-11dd-ac0e-0018f66609b7}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ca57ad16-3a31-11dd-ab30-0018f66609b7}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ef5f8bdd-e359-11dd-acde-0018f66609b7}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fbb41e83-2c0f-11dd-aaff-000ad96ee45e}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fe982cdd-da6f-11dd-acc9-0018f66609b7}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ffe7200e-33d2-11dd-ab0f-0018f66609b7}]
[-HKEY_LOCAL_MACHINE\System\ControlSet003\Services\{DEF85C80-216A-43ab-AF70-1665EDBE2780}]
>>Plik>>Zapisz jako… >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
– podobnie jak na tym obrazku –>
Ma się rozpocząć usuwanie. (i powstanie log). Daj ten log.
jessi
ja23
(Adamu23)
27 Styczeń 2009 00:03
#5
Po kolei:
report z SDFix - http://wklejto.pl/24036
z mbr wyszlo mi cos takiego - http://wklejto.pl/24037
a to log z combofix - http://wklejto.pl/24038
co dalej?
jessica
(jessica)
27 Styczeń 2009 06:40
#6
@ja23
Nie poszło to najlepiej, jak widać.
A więc teraz musisz wykonać punkt “3” i “4” z opisu “mbr.exe” (czyli coś mniej więcej tak:
3. W celu wykonania czyszczenia MBR należy zastartować do trybu awaryjnego z obsługą linii komend, a w linii komend wpisać polecenie C:\mbr.exe -f (spacja między mbr.exe a -f) i ENTER. C:\Documents and settings\Administrator>C:\mbr.exe -f 4. Restartujemy komputer już normalnie. Uruchamiamy narzędzie mbr.exe ponownie z dwukliku, by uzyskać kolejny log potwierdzający naprawę.
Dasz ten końcowy log do sprawdzenia.
jessi
ja23
(Adamu23)
27 Styczeń 2009 18:26
#8
Gdy wpisuje ta komende czyli C:\mbr.exe -f
to pod spodem wyskaskuje mi komunikat “nazwa C:\mbr.exe -f nie jest rozpoznawalna jako polecenie wewnetrzne lub zewnetrzne, program wykonywalny lub plik wsadowy”
pokazuje nastepnie zebym ponownie wpisal polecenie?
Co w takim wypadku zrobic?
Leon1
(Leon$)
27 Styczeń 2009 18:31
#9
czy robisz to w trybie awaryjnym
:?:
ja23
(Adamu23)
27 Styczeń 2009 18:33
#10
Tak wchodze w tryb awaryjny z wpisywaniem polecen,
jessica
(jessica)
27 Styczeń 2009 18:45
#11
ja23
(Adamu23)
27 Styczeń 2009 19:07
#12
Poszlo chyba wszystko dobrze:)Wyszlo cos takiego - krotkie,wiec wklejam od razu tu:
"Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK "
Czy to wszystko czy jeszcze cos powinienem zrobic?
Leon1
(Leon$)
27 Styczeń 2009 19:23
#13
Pobierz CCleaner http://www.filehippo.com/download_ccleaner/
przeskanuj nim i wyczyść rejestr.
zrób optymalizacje uruchamiania
http://cybertrash.netarteria.pl/cyber/i … 378.0.html
usuń ręcznie folder C: \Qoobox usuń instalkę Combofix z dysku.
Wyłącz I włącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl
przeskanuj obszar Mój komputer http://www.kaspersky.pl/virusscanner.html gdy będą wirusy pokaż raport
ja23
(Adamu23)
27 Styczeń 2009 21:21
#14
Oto raport z kaspersky’ego:
http://wklejto.pl/24209
Wyszly trzy zagrozenia
jessica
(jessica)
27 Styczeń 2009 21:39
#15
Nie wiem, czy zostały usunięte, bo z raportu to nie wynika, więc na wszelki wypadek:
Wklej do Notatnika :
File::
C:\Downloads\postcard.exe
C:\WINDOWS\system32\dk\lmz3.bmp
D:\sq.com
>>Plik>>Zapisz jako… >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
– podobnie jak na tym obrazku –>
Ma się rozpocząć usuwanie. (i powstanie log).
jessi
ja23
(Adamu23)
27 Styczeń 2009 21:54
#16
Oto powstaly log:
http://wklejto.pl/24215
mam nadzieje,ze juz wszystko jest w porzadku:)
jessica
(jessica)
27 Styczeń 2009 21:59
#17
Do Notatnika wklej:
Windows Registry Editor Version 5.00
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Downloads\\postcard(1).exe"=-
Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na: “Wszystkie pliki” >>> Zapisz jako FIX.REG >>>
plik uruchom (dwuklik i OK).
Zrestartuj komputer.
Ja też mam nadzieję, że już będzie OK.
jessi
ja23
(Adamu23)
27 Styczeń 2009 22:12
#18
Dziekuje bardzo za pomoc:)