Nicki
(Nicki)
10 Październik 2008 14:06
#1
Otóż podejrzewam, że mam jakiegoś wirusa. Objawy to dłuższy start komputera, samoistnie odświeżający się pulpit. No i przy starcie Comodo Firewall pyta o pozwolenie wykonania jakiejś czynności przez “rundll”.
Oto log .
Z góry dziękuję za wszeką pomoc
Leon1
(Leon$)
10 Październik 2008 14:34
#2
wpisy
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://internetsearchservice.com R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://internetsearchservice.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://internetsearchservice.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://internetsearchservice.com/ie6.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://internetsearchservice.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://internetsearchservice.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://internetsearchservice.com/ie6.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://internetsearchservice.com R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://internetsearchservice.com R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://internetsearchservice.com R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 87.234.234.68:80 R3 - URLSearchHook: (no name) - {0579B4B6-0293-4d73-B02D-5EBB0BA0F0A2} - C:\Program Files\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL O3 - Toolbar: Ask Toolbar - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program Files\AskSBar\bar\1.bin\ASKSBAR.DLL O4 - HKLM…\Run: [907b9908] rundll32.exe “C:\WINDOWS\system32\qormtpxo.dll”,b O4 - HKCU…\Run: [PC Suite Tray] “D:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe” -onlytray O4 - HKLM…\Policies\Explorer\Run: [QuickTimeTask] C:\Program Files\Applications\wcs.exe O20 - AppInit_DLLs: zjslix.dll
usuń HijackThisem >> Fix checked
Pobierz Combofix http://www.searchengines.pl/index.php?s … ntry395642 ale nie włączaj.
Podczas pobierania i skanu Combofixem proszę wyłączyć wszelkie zapory i antywirusy
Otwórz notatnik i wklej
zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe
http://img.wklej.org/images/88953CFScri … iemoes.gif
Powinno rozpocząć się usuwanie
Potem log z usuwania Combofix
Nicki
(Nicki)
10 Październik 2008 16:17
#3
A oto i log z ComboFix: klik
djarta
(djarta)
10 Październik 2008 16:20
#4
Wklej do Notatnika:
File::
C:\WINDOWS\system32\skqgxogk.dll
C:\WINDOWS\system32\grlgimcd.dll
Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C1FEC19E-F893-4b56-9CC7-CFF71BB34693}]
>>Plik>>Zapisz jako… >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
–>
Ma się rozpocząć usuwanie. (i powstanie log).Daj ten log, który powstanie w trakcie usuwania.
Jeśli pójdzie dobrze, to: Po restarcie usuń ręcznie folder C:* * Qoobox.**
===========================
K.
Leon1
(Leon$)
10 Październik 2008 16:36
#5
Otwórz notatnik i wklej
File:: C:\WINDOWS\system32\skqgxogk.dll C:\WINDOWS\system32\grlgimcd.dll Registry:: [-HKEY_LOCAL_MACHINE~\Browser Helper Objects{C1FEC19E-F893-4b56-9CC7-CFF71BB34693}] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] “AppInit_DLLs”=- “AppInit_DLLs”="" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa] “Authentication Packages”=- “Authentication Packages”=hex(7):6d,00,73,00,76,00,31,00,5f,00,30,00,00,00,00,\ 00
zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe
http://img.wklej.org/images/88953CFScri … iemoes.gif
Powinno rozpocząć się usuwanie
Potem log z usuwania Combofix
huber2t
(huber2t)
11 Październik 2008 04:22
#7
W logu nic nie widzę
usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.
Przeczyść komputer Ccleanerem
Wykonaj optymalizację autostartu
Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja
Przeskanuj obszar całego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum
lub
Dr.WEB CureIt!
Nicki
(Nicki)
11 Październik 2008 09:07
#8
Dr.WEB CureIt! niczego nie wykrył, a komp juz szybciej się uruchamia. Dzięki za pomoc