netnet007
(Netnet007)
2 Grudzień 2009 15:25
#1
Witam!
Przeskanowałem dziś komputer nod32 i wyskoczył mi Conficker, czytałem że on sciąga inne virusy. Chce się go w 100% pozbyć, nodem nie idzie go usunąć bo inne aplikacje używają virusa (czytałem że mógł się podpiąć pod proces system, explorer itp.)
Log z combofixa: http://www.sendspace.pl/file/3a1f1133d01b122a9c5a0c1
deFco247
(deFco247)
2 Grudzień 2009 16:03
#2
Zawartość logów wklejasz na wklej.org lub wklej.to , a w poście dajesz link.
Otwórz Notatnik i wklej do niego:
Plik zapisz pod nazwą CFScript , najlepiej w tym samym folderze co Combofix.exe
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę Combofix.exe
Powinno się rozpocząć usuwanie.
_ Potem dajesz log z usuwania Combofix. _
netnet007
(Netnet007)
2 Grudzień 2009 17:10
#3
Po przeniesieniu txt na combofix.exe wyskoczyło mi coś takiego:
http://i49.tinypic.com/16i5tx.jpg
deFco247
(deFco247)
2 Grudzień 2009 17:13
#4
Wszelkie programy typu antywirus, firewall całkowicie wyłączone?
Usuń tego Combofixa: Start -> Uruchom… -> Combofix /uninstall
Pobierz go na nowo zmieniając już w czasie pobierania nazwę na losową z rozszerzeniem .com
Po tym zastosuj skrypt.
netnet007
(Netnet007)
3 Grudzień 2009 08:09
#5
Sformatowałem system, usunąłem partycje i utworzyłem jeszcze raz, czy virus się usunął ?
Musiałem to zrobić bo później nawet myszka mi nie chodziła ani internet.
PS. W czasie instalacji programu, gdy system kopiował pliki do folderu windows miałem problemy, pisało, że nie można skopiować kilku plików, musiałem klikać pomiń.
Log z combofixa po formacie:
http://wklej.to/mNp1
deFco247
(deFco247)
3 Grudzień 2009 09:01
#6
No niestety Conficker powrócił, gdyż tuż po instalacji system jest niezałatany i staje się otwartą bramą dla infekcji.
Otwórz Notatnik i wklej do niego:
Plik zapisz pod nazwą CFScript , najlepiej w tym samym folderze co Combofix.exe
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę Combofix.exe
Powinno się rozpocząć usuwanie.
_ Potem dajesz log z usuwania Combofix. _
Uzupełnij system o wszelkie łatki z Windows Update.
Zastosuj się do instrukcji: http://www.bezpieczenstwosystemow.pl/in … pic=4809.0
netnet007
(Netnet007)
3 Grudzień 2009 09:07
#7
Log po przeciągnięciu na conficker.exe
http://wklej.to/G26o
deFco247
(deFco247)
3 Grudzień 2009 09:11
#8
Lecimy dalej…
Otwórz Notatnik i wklej do niego:
Plik zapisz pod nazwą CFScript , najlepiej w tym samym folderze co Combofix.exe
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę Combofix.exe
Powinno się rozpocząć usuwanie.
_ Potem dajesz log z usuwania Combofix. _
netnet007
(Netnet007)
3 Grudzień 2009 09:21
#9
Po zrobieniu tego wyłączył i włączył mi się komputer, później piszę że trwa przygotowywanie loga aż nagle pojawił się niebieski ekran na sekunde i wyłączył i włączył się komputer i nie mam wyników, ale ten Script w notatniku zniknął z pulpitu.
Tutaj kliknąłem na combofix i zrobiłem skanowanie normalne, wyniki:
http://wklej.to/3wL8
deFco247
(deFco247)
3 Grudzień 2009 09:27
#10
Pobierz SystemLook .
Wklej w niego:
Klikasz Look i wklejasz wynikowy log.
deFco247
(deFco247)
3 Grudzień 2009 09:31
#12
Jak na razie wszystko wygląda dobrze.
Start -> Uruchom… -> Combofix /uninstall
Wykonaj pełny skan DR WEB CureIt .
Gdy będą wirusy pokaż raport.
Wyczyść rejestr i dysk CCleaner oraz wyłącz nim zbędniki z autostartu (Narzędzia -> Autostart).
Pozamykaj porty WWDC .
No i zaktualizuj system o wszystkie niezbędne łatki tak jak pisałem wcześniej + Service Pack 3 .
netnet007
(Netnet007)
3 Grudzień 2009 09:40
#13
Chyba mam dalej wirusa bo nie mogę pobrać SP 3 tutaj: http://www.dobreprogramy.pl/Windows-XP- … 12243.html
Może blokować połączenie do strony Microsoftu, na http://www.microsoft.com/ też nie mogę wejść.
A ty możesz, może błąd serwera jest ?
PS. już przy skanowaniu mam dwa zagrozenia:
deFco247
(deFco247)
3 Grudzień 2009 09:54
#14
Strona działa.
Trafiłeś akurat na cięższą do usunięcia odmianę tego robaka
Najprawdopodobniej ktoś z sieci ciągle cię infekuje, albo masz kopie tego na pendrive.
Zastosuj Flash Disinfector .
Zastosuj w trybie awaryjnym narzędzia, które podałem wcześniej ( http://www.bezpieczenstwosystemow.pl/in … pic=4809.0 )
Spraw sobie jakiegoś porządnego firewalla.
Combofix - nowy log .
netnet007
(Netnet007)
3 Grudzień 2009 10:01
#15
Nawet jak mam na pendrive to nie używam go teraz to użyć tego Flash Disinfector’a ?
Co do tego: http://www.bezpieczenstwosystemow.pl/in … pic=4809.0
Gdy próbuje pobrać tą łatkę, jest ona na SP2 i SP3, ja mam SP1, czyli muszę zainstalować SP3 najpierw, tylko skąd go pobrać jak blokuje mi do microsoftu ?
Loga z combofix’a wrzucę jak skończe skanowanie Dr. web
A jakiego firewalla sprawić sobie?
A co jakbym np. teraz zainstalował Viste albo Linuxa ?
deFco247
(deFco247)
3 Grudzień 2009 10:04
#16
Jeśli możesz - użyj proxy.
Ewentualnie pobierz u kogoś programy te łatki i usuwacze Confickera i przenieś je na swój komputer.
Zastosuj je przy całkowicie odłączonej sieci (kabel odłączony).
Firewalle: http://www.searchengines.pl/Zapory-siec … 38712.html
Polecam Comodo Firewall, lecz przy jego instalacji odznacz HopSurf Toolbar .
netnet007
(Netnet007)
3 Grudzień 2009 10:22
#17
A co jakbym zainstalować Viste albo Linuxa, jest jakieś wyjście z tej sytuacji ?
A jak nie to zrobić to tak jak jest tutaj opisane: http://www.bezpieczenstwosystemow.pl/in … pic=4809.0
I zainstalować Comodo i co później ?
Nawet jak mam na pendrive to nie używam go teraz to użyć tego Flash Disinfector’a ? I czym on usunie mi wszystkie dane z PenDrive ?
Teraz mi takie coś wyskoczyło :
deFco247
(deFco247)
3 Grudzień 2009 11:58
#18
Flash Disinfector nie usunie żadnych danych poza ewentualnymi infekcjami.
Użyj go na każdym dysku.
Gdzie log Combofix?
netnet007
(Netnet007)
3 Grudzień 2009 16:49
#19
Jeszcze na innym forum napisali mi żebym wkleił takie coś do notatnika:
Wkleiłem i tutaj log po wklejeniu:
ComboFix:
http://wklej.to/59gc
OTL:
http://wklej.to/8OQh
Extras z OTL:
http://wklej.to/c65a
deFco247
(deFco247)
3 Grudzień 2009 18:42
#20
Zamiast zakładać drugi wątek mogłeś się dopisać do tego.
Wklej w OTL to co tam zapisałeś i Run Fix .
Poza tym skąd żeś wziął te opcje do uruchomienia przed kliknięciem Run Scan ?
Sądzę, że rozwiązywanie problemu na dwóch forach może tylko pogorszyć sprawę.
Log Combofix czysty, nie widać w nim Confickera.
Zastosowałeś narzędzia do jego usuwania?