Spowolniony net


(Bobeeq) #1

Witam, mam jakiegoś wirusa, który spowalnia mi działanie przeglądarki. Poza tym nie mogę nawet wyłączyć komputera poprzez start->zamknij - nie ma tej opcji, jest tylko logoff... Daje więc loga;


(jessica) #2

"Dealio" to jest taki niechciany dodatek instalowany z innymi programami.

Tak więc sam go zainstalowałeś, choć pewnie nieświadomie.

Możesz go usunąć normalnie, tak jak każdy inny program - poprzez "Dodaj/Usuń programy".

Te w/w wpisy sfiksuj w Hijacku ("020" na razie i tak nie znikną, bo najpierw trzeba usunąć pliki):

>>Hijack>>scan(Do a system scan only)>>zaznacz je >> Fix checked.

Ściągnij ComboFix (na dole tej strony z linku).

Wklej do Notatnika :

File::

C:\Program Files\Dealio\kb106\Dealio.dll

C:\WINDOWS\Temp\startdrv.exe

c:\windows\system32\mlljhef.dll

C:\WINDOWS\SYSTEM32\dspsl1.dll


Folder::

C:\Program Files\Dealio\kb106

C:\Program Files\Dealio

>>Plik>>Zapisz jako... >>> CFScript (najwygodniej będzie,

jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

(czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku -->

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie.

Po restarcie usuń ręcznie folder C: **** Qoobox.

Potem daj tu log z ComboFixa.

Log wklej na http://wklej.org/, a w poście daj tylko link.

jessi


(Bobeeq) #3

http://wklej.org/id/5fd78ac90b


(jessica) #4

No, miałeś nawet Rootkity! :slight_smile: A właściwie - jednego dalej masz, mimo iż ComboFix już go raz usunął!

Wklej do Notatnika :

File::

C:\WINDOWS\system32\jkhfg.exe

C:\dymrrl.exe

C:\ximlwn.exe

C:\WINDOWS\system32\ntio256.sys

C:\WINDOWS\system32\protector.exe


Registry::

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"startdrv"=-

[-HKEY_LOCAL_MACHINE\system\ControlSet001\Services\ntio256]

>>Plik>>Zapisz jako... >>> CFScript (najwygodniej będzie,

jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

(czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku -->

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie.

Po restarcie usuń ręcznie folder C: **** Qoobox.

Potem daj nowy log z ComboFixa.

jessi


(Bobeeq) #5

http://wklej.org/id/3b647dfe1a


(jessica) #6

Niestety, tego Rootkita jakoś nie daje się usunąć.

Nie wiem, co go ciągle trzyma.?

Zrób sobie log z Hijacka, i zobacz, czy nie pojawił się wpis "F2" z tym "ntio256"?

Jeśli jest, to go sfiksuj w Hijacku:

>>Hijack>>scan(Do a system scan only)>>zaznacz je >> Fix checked.

Zrobimy jeszcze raz próbę usuwania:

Wklej do Notatnika :

File::

C:\WINDOWS\system32\ntio256.sys

C:\WINDOWS\system32\protector.exe

>>Plik>>Zapisz jako... >>> CFScript (najwygodniej będzie,

jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

(czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku -->

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie.

Po restarcie usuń ręcznie folder C: **** Qoobox.

Zastanawia mnie ten folder "Web Download" - u mnie takiego nie ma, a u Ciebie powstał minutę przed powstaniem Rootkita - może to ma ze sobą związek?

Jeśli ten "ntio" dalej będzie w nowym logu ComboFixa, to daj tu dwa logi z GMER, na ustawieniach:

1) >>gmer>>Rootkit>>Szukaj>>Kopiuj>>CTRL+V do Notatnika (zapisz gdzieś)

2) >>Rootkit>>zaznacz tylko "Usługi" i "Pokaż wszystko">>Szukaj>>Kopiuj>>CTRL+V do Notatnika (zapisz gdzieś)

Ponieważ logi będą długie, więc wklej na http://wklej.org/, a w poście daj tylko link.

jessi


(Bobeeq) #7

combofix

gmer 1 ust.

gmer 2 ust.

w folderze web download sa pliki: (obrazek jpg. z zawartoscia folderu)

http://s009.wyslijto.pl/?file_id=78382908017326353534


(jessica) #8

Chyba ten "ntio" przestraszył się GMERa, bo dał się usunąć! :slight_smile:

Nie wiem, co jest w "web download", bo u mnie ta strona się w ogóle nie otwiera.

W logu GMERa widać Trojana.

Uruchom GMER>>gmer.zip>>gmer.exe

Rozwiń>>>zakładka CMD >>zaznacz CMD ---w górne czarne pole wklej to:

Kliknij „Uruchom” z prawej strony. Komputer powinien się samoczynnie wyłączyć i włączyć.

Potem daj log z ComboFixa lub log z GMERA (ten "usługowy"), by sprawdzić, czy GMER usunął.

jessi


(Bobeeq) #9

http://wklej.org/id/92dda92705

dalej nie mam przycisku do wylaczania pc, tylko log off


(Gutek) #10

kontrolnie - Pobierz program SDFix

-


(Bobeeq) #11

http://wklej.org/id/d57d35d683

Pojawił się button do wyłączania PC


(Gutek) #12

Skan AVG Anti-Spyware 7.5 po update + raport :wink: