Samowolnie wyskakuje okno IE z adresem systemerrorfixer.com

Peter2005 · 19 Styczeń 2008 22:21

Witam wszystkich na forum!

Proszę o radę, jak usunąć wirusa, którego mam od wczoraj w komputerze.

Na dolnym pasku obok przełącznika klawiatury pojawiła wię czerwona ikona z białym krzyżykiem, a na ekranie co chwilę pojawiały się angielskie ostrzeżenia ostrzeżenia o wirusie, zachęcające do pobrania programu, który go niby usunie. Okienka te nie dało się zamykać, a Menedżer zadań Windows dodatkowo został zablokowany. Uruchomiłem starego Ad-aware 6.0, który wykrył wpis blokujący wpis w rejestrze i usunął go.

Potem przeskanowałem komputer programem NOD32. Ten wykrył i wirusa Win32/Aware.Vapsup.K w kilka bibliotekach dll i w jednym pliku w katalogu System Volume Information na dysku C i zmienił nazwy tych zainfekowanych plików.

Następnie zauważyłem, że w Internet Explorerze pojawił się poderzany pasek narzędzi “The egodktf”, który wyłączyłem, co oczywiście nie rozwiązało problemu.

Teraz zamiast okienek z ostrzeżeniami co jakiś czas samowolnie otwiera się puste okno Internet Explorera, które ma w polu adresu wpisane adresy typu:

albo

itp.

Proszę, poradźcie mi, jak się tego pozbyć.

Oto mój log z programu HijackThis:

http://www.wklej.org/id/bd17da898f

addmir · 20 Styczeń 2008 11:23

Użyj SmitFraudFix, w trybie 2. Tu masz opis.

Przeskanuj system Spybot Search & Destroy i najnowszym Ad-aware.

Potem kolejny log

Peter2005 · 20 Styczeń 2008 17:57

Dziękuję za radę.

Zrobiłem tak, jak napisałeś:

SmitFraudFix - opcja 2 uruchomiona w trybie awaryjnym Windows
Spybot Search & Destroy - w zwykłym trybie Windows:

Za pierwszym uruchomieniem znałazł:

trojan Smitfraud-C.MSVPS - plik c:\windows\dat.txt
trojan Zlob.Downloader.vcd - jeden klucz w rejestrze

i obydwa obiekty usunął.

Za drugim uruchomieniem nie znalazł nic.

Pobrałem, zainstałowałem i uruchomiłem Ad-aware 2007:

znalazł 20 cookies, które usunął.

Potem ponownie profilaktycznie przetestowałem Spybot Search & Destroy’em:

ponownie znalazł trojana Smitfraud-C.MSVPS - plik c:\windows\dat.txt

Okna IE już nie wyskakują, natomiast w górnej części przeglądarki się pojawia pasek z ostrzeżeniem “Warning: possible spyware or adware infection! Click here to scan your computer for spyware and adware…”, polecającym skorzystać z rzekomego skanera na stronie

. Z tej propozycji oczywiście nie skorzystałem.

A więc trojan nadal siedzi w moim komputerze

Oto aktualny log z programu HijackThis:

http://wklej.org/id/3a57566769

Prozeglądam tę listę, ale nie mam pojęcia, który proces mam zakończyć i jak zrobić, żeby się ponownie nie uruchamiał.

Gutek · 20 Styczeń 2008 19:22

Użyj SmitFraudFix wybierz opcji nr 2 , oczywiście w trybie awaryjnym i po tym nowy - Daj log z ComboFix

Peter2005 · 20 Styczeń 2008 20:38

Gutek2222, dziękuję za radę.

Jeszcze przed przeczytaniem twojego postu zmieniłem nazwę biblioteki c:\windows\dopfwrlgwx.dll na c:\windows\dopfwrlgwx.dll.VIR i ponownie uruchomiłem system. Dzięki temu w c:\windows przestał się pojawiać plik dat.txt. Dzięki temu Spybot Search & Destroy już nie wykrył obecność Smitfraud-C.MSVPS, jednak nadal zgłaszał obecność trojana Zlob.Downloader.vcd.

Wg twojej rady ponownie w trybie awaryjnym uruchomiłem SmitFraudFix, a potem w trybie zwakłym ComboFix.

Oto log z ComboFix: http://wklej.org/id/d69a410d1e

Teraz jeszcze raz sprawdziłem Spybot Search & Destroy’em. Nic nie znalazł. Czy to możliwe, że robaków już nie ma?

Gutek · 20 Styczeń 2008 21:44

Wklej do Notatnika:

File::

C:\WINDOWS\winini.exe(1).VVIR

C:\WINDOWS\dopfwrlgwx.dll.VIR 

C:\WINDOWS\dopfwrlgwx.dll

C:\WINDOWS\aslpmqk.dll 

C:\WINDOWS\fknxwqf.exe

C:\Program Files\Gadu-Gadu\ggwhook.dll


Registry::

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{5415A533-17B1-4A38-B3CA-70AEEF8C41AC}] 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] 

"aslpmqk"=- 

"bxsnvqt"=-

>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku –>

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: ** Qoobox**.

Po tym nowy log z Combo

Peter2005 · 20 Styczeń 2008 23:14

Zrobiłem zgodnie z instrukcją.

Oto nowy log z ComboFix’a: http://wklej.org/id/72202715e9

Gutek · 21 Styczeń 2008 00:07

Skan AVG Anti-Spyware 7.5 po update

Peter2005 · 22 Styczeń 2008 01:11

Gutek2222, wielkie dzięki!

Jest czysto. AVG, Ad-aware i Spybot-SD znajdują tylko ciasteczka - nic więcej.

Jeszcze raz DZIĘKI za wszystkie rady.