Szukam pomocy

cffok · 17 Czerwiec 2008 09:38

Niedawno na moim komputerze zainstalowało się trochę syfu. Początkowo pojawiał mi się aktywny pulpit z napisem po angielsku że komputer jest zainfekowany, obok zegara również. Występowały problemy z windowsem oraz mksvirusem, otóż winda pokazywała że nie może sie automatycznie aktualizować (Windows XP SP2, oryginał) tak samo było z MKS-Virusem . Przy pomocy SpyBota udało mi się usunąć większość szkodliwego oprogramowania, aczkolwiek do tej pory w przeglądarce internetowej (Mozilla Firefox) nie działają mi żadne wyszkuwiarki (google, netsprint itd). Czasem działa, ale bardzo wolno w IE. Dodatkowo po każdym usunięciu oprogramowaniu szkodliwego, po uruchomieniu przeglądarki te spyware pojawiają się ponownie. W Przeglądarce na różnych stronach otwierają mi się bannery że mój komputer jest zainfekowany.

Postanowiłem użyć HJT, aczkolwiek niezbyt wiem co należy usunąć, dlatego zwracam się z prośbą o pomoc:

http://wklej.org/id/b61739367c

Pozdrawiam

addmir · 17 Czerwiec 2008 13:15

FIX:

O2 - BHO: (no name) - {1C8323F7-6700-4979-9671-A14D082E4F3B} - C:\WINDOWS\system32\efcBurOg.dll (file missing) O2 - BHO: (no name) - {6C6765EA-B577-4125-93AF-1838D583A079} - C:\WINDOWS\system32\wvUlkHXQ.dll (file missing) O2 - BHO: (no name) - {78EEC531-431E-446A-99A3-35DCB307BD89} - C:\WINDOWS\system32\tuvVMFuS.dll (file missing) O2 - BHO: (no name) - {7BF35B6F-822C-4030-B347-B68760697E2F} - C:\WINDOWS\system32\yaywutTn.dll (file missing) O2 - BHO: (no name) - {81EA3F36-357A-435A-8741-52C27CCC9F21} - C:\WINDOWS\system32\qoMfdcYq.dll (file missing) O3 - Toolbar: rtsplgob - {13DB4CF9-A377-42C1-8E49-96428FC8582C} - C:\WINDOWS\rtsplgob.dll (file missing) O4 - HKLM…\Run: [advap32] C:\DOCUME~1\Magik\USTAWI~1\Temp\rbnpsrv.exe/r O4 - HKLM…\Run: [bM433a302d] Rundll32.exe “C:\WINDOWS\system32\qdfrnnes.dll”,s O4 - HKLM…\Run: [lanmanwrk.exe clean] C:\WINDOWS\System32\lanmanwrk.exe clean O4 - HKLM…\Run: [KernelDrv.exe clean] C:\WINDOWS\System32\KernelDrv.exe clean O20 - Winlogon Notify: qoMfdcYq - qoMfdcYq.dll (file missing) O20 - Winlogon Notify: yaywutTn - yaywutTn.dll (file missing) O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll O21 - SSODL: rnopbfgt - {B340F752-1911-4899-AD68-EB5F55277A4D} - C:\WINDOWS\rnopbfgt.dll (file missing) O21 - SSODL: xkefqtgs - {4D7C37EC-54F0-4F4F-AF10-CB4151BB2F26} - C:\WINDOWS\xkefqtgs.dll (file missing)

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\WINDOWS\system32\efcBurOg.dll

C:\WINDOWS\system32\wvUlkHXQ.dll

C:\WINDOWS\system32\tuvVMFuS.dll

C:\WINDOWS\system32\yaywutTn.dll

C:\WINDOWS\system32\qoMfdcYq.dll

C:\WINDOWS\rtsplgob.dll

C:\DOCUME~1\Magik\USTAWI~1\Temp\rbnpsrv.exe

C:\WINDOWS\system32\qdfrnnes.dll

C:\WINDOWS\System32\lanmanwrk.exe

C:\WINDOWS\System32\KernelDrv.exe

C:\WINDOWS\SYSTEM32\WinCtrl32.dll

C:\WINDOWS\rnopbfgt.dll

C:\WINDOWS\xkefqtgs.dll

Plik -> zapisz jako -> CFScript.txt

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

Powinno się rozpocząć usuwanie i powstanie log, daj ten log na forum + nowy log z HijackThis.

Jeśli wszystko pójdzie dobrze, to po restarcie usuń ręcznie folder C: ** Qoobox**

Przeczyść foldery tymczasowe za pomocą np CCleaner

cffok · 17 Czerwiec 2008 13:53

Log z ComboFix:

http://www.wklej.org/id/09cd15e1f4

Log z HJT:

http://www.wklej.org/id/b7ff9f4dfd

Dzięki! Teraz wszystko działa mi jak powinno. Mogę się zapytać gdzie mogę znaleźć coś o czytaniu logów z HJT?

adpawl · 17 Czerwiec 2008 14:44

cffok, zmień tytuł “Szukam pomocy” na konkretny -inaczej temat poleci do śmietnika.

huber2t · 18 Czerwiec 2008 21:23

otwórz notatnik i wklej

Windows Registry Editor Version 5.00 [-HKEY_LOCAL_MACHINE~\Browser Helper Objects{1C8323F7-6700-4979-9671-A14D082E4F3B}] [-HKEY_LOCAL_MACHINE~\Browser Helper Objects{6C6765EA-B577-4125-93AF-1838D583A079}] [-HKEY_LOCAL_MACHINE~\Browser Helper Objects{78EEC531-431E-446A-99A3-35DCB307BD89}] [-HKEY_LOCAL_MACHINE~\Browser Helper Objects{7BF35B6F-822C-4030-B347-B68760697E2F}] [-HKEY_LOCAL_MACHINE~\Browser Helper Objects{81EA3F36-357A-435A-8741-52C27CCC9F21}] [-HKEY_LOCAL_MACHINE~\Browser Helper Objects{1C8323F7-6700-4979-9671-A14D082E4F3B}] [-HKEY_LOCAL_MACHINE~\Browser Helper Objects{6C6765EA-B577-4125-93AF-1838D583A079}] [-HKEY_LOCAL_MACHINE~\Browser Helper Objects{78EEC531-431E-446A-99A3-35DCB307BD89}] [-HKEY_LOCAL_MACHINE~\Browser Helper Objects{7BF35B6F-822C-4030-B347-B68760697E2F}] [-HKEY_LOCAL_MACHINE~\Browser Helper Objects{81EA3F36-357A-435A-8741-52C27CCC9F21}] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wingu88.sys] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\000000af] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BM433a302d]

Z menu Notatnika -> Plik -> Zapisz jako -> Zmień rozszerzenie z .txt na wszystkie pliki -> zapisz pod nazwą Fix.reg

Uruchom ten plik, uruchom ponownie komputer

usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.

Przeczyść komputer Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum

lub

Dr.WEB CureIt!