Ściągnąłem linuxa live-cd i chce go odpalić aby usunąć wirusy. Tylko chodzi o to, że nie wiem, gdzie są pliki związane z tymi robakami. Oto wirusy :Worm.Beagle.Vr, Worm.Beagle.Of, Downloader.Beagle.Ij, Trojan.Downloader.Beagle.Po oraz wirus, ktorego pliki są procesami: hldrrr.exe, flec006.exe i wintems.exe. Z dwoma pierwszymi się uporałem ale trzeci został i pewnie tamte dwa powrócą na zmianę będą się włączać. Czytałem sporo o tym robaku na różnych forach i wiem że bardzo trudno go usunąć gdyż blokuje różne programy i nie można wyświetlić ukrytych plików. U mnie właśnie tak jest. Nie chce się włączyć combofix, avenger, avast, próbowałem zainstalować eset smart security ale nie może włączyć usługi ekrn. Teraz pare razy skanowałem ArcaMicroscan i pare wirusów zniknęło ale nie wszystkie bo program nie jest skuteczny. Hijackthis się odpala ale nic nie pomaga, w SDFix-ie catchme nie chce zaskoczyć (na trybie awaryjnym, który udało mi się przywrócić). Dlatego chcę się tych wszystkich śmieci pozbyć ręcznie przez linuxa (poza tym nie mogę uzyskać dostępu do System Volume Information, a we właściwościach folderu nawet nie ma zakładki zabezpieczenia). Dlatego potrzebuje dokładnych lokalizacji do plików, które są lub mogą być powiązane z wyżej wspomnianymi wirusami. Czy ktoś mógłby się dla mnie tym zająć?
Pobierz Combofix http://www.searchengines.pl/index.php?s … ntry395642 przeskanuj daj log
Wyłącz I włącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl
Pobierz ComboFix, ale nie uruchamiaj
Wklej do notatnika:
File::
C:\WINDOWS\system32\drivers\srosa.sys.vir
C:\temp\abmaster.dll
C:\temp\avfix.exe
C:\Program Files\AdVantage\AdVantage.exe
Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdVantage]
Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->
Rozpocznie się usuwanie i powstanie log, daj ten log na forum.
Log wyglada na czysty
Usuń ręcznie folder C:\Qoobox ,usuń instalkę Combofix z dysku
Przeczyść komputer Ccleanerem
Wykonaj optymalizację autostartu
Wyłącz przywracanie systemu na wszystkich dyskach. Instrukcja
Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum
Włącz przywracanie systemu.
W logu nadal pozostałości po Beagle:
Wklej do notatnika:
Registry::
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"drvsyskit"=-
"german.exe"=-
Plik -> zapisz jako -> CFScript.txt i przeciągnij na ikonę ComboFix.exe.
Mogę ten log z kasperskiego wysłać na jakąś stronę (np. wkej) bo jest bardzo obszerny i nie mieści sie w poście.
Tak wyślij na te stronę co podałeś i daj na forum link
no właśnie ja tylko podałem wklej ale reszty adresu nie znam. Masz może jakąś do polecenia?
Usuń ten plik:
C:!KillBox\hldrrr.exe
Na wklej.org nie ma całego logu a więc postaraj sie sam usunąć wirusy które tam będą
Mam jeszcze kilka problemów. M.in.: niektóre programy są nadal blokowane przez ten wirus: avast, avenger, Hijackthis i inne, które mogłyby mu zagrozić. Co Zrobić?
W dniu 24.05.2008 , o godzinie 22:01 został dopisany post przez zibi47
Dobra, mam jeszcze dwa problemy: wyżej wspomniane blokowanie sie avengera i hijackthis, ale pewnie reistall pomoże. Drugi problem: przy każdym starcie zaraz po zalogowaniu automatycznie pojawia się okno moje dokumenty a czasami podwójnie. Patrzyłem w autostart - nic tam nie ma. Patrzyłem w rejestr (microsoft/windows/current version/run) - też nic tam nie ma. Przez easy cleaner też nic. Czy to są jeszcze poazostałości po tym wirusie, który już wyleczyłem? Proszę o odpowiedź bo autostart tego folderu jest denerwujący.
zibi47 , proszę natychmiast dostosować swoje posty do regulaminu. Logi wklejamy według zasad podanych w dziale bezpieczeństwo …
Zastosuj Kaspersky Virus Removal Tool, on nie tylko wykrywa zainfekowane obiekty, jak skaner online, ale również je dezynfekuje.
Zastosuj OTMoveIt i usuń pozostałości po narzędziach dezynfekujących.( OTMoveIt musi uzyskać dostęp do internetu)
Wszystkie niedziałające programy musisz przeinstalować.