paroovka
3 Wrzesień 2008 21:51
#1
Cześć,
przedwczoraj, niczym największy idiota głupio wpuściłem do swojego komputera jakiś straszny wirus. Objawia się m.in. hasłem VIRUS ALERT! obok zegara na pasku zadań, zmienionym menu Start uniemożliwiającym dostęp do mojego komputera i panelu sterowania jak i polecenia Uruchom. Nie mogę też zainstalować żadnego oprogramowania anty spyware’owego, nie mogę uruchomić menedżera zadań, pulpit został podmieniony na inny … i pewnie pojawiło się jeszcze kilka innych objawów, o których prawdopodobnie nawet nie wiem.
oto mój log:
http://wklejto.pl/9519
BARDZO proszę o możliwie jak najszybszą pomoc w tym temacie. Zaznaczam, ze jestem totalnym laikiem w temacie logów, więc w miarę możliwości proszę o instrukcje postępowania pisane jak dla przedszkolaka
Z góry dziękuję za pomoc
seba90
4 Wrzesień 2008 05:16
#2
Usuń te wpisy w HJT
Uruchom HijackThis - Do a system scan only - w oknie programu pokaże się log - zaznacz kratki przy podanych wpisach - klikasz Fix checked
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wm … Ojg5&lid=2 O2 - BHO: QXK Olive - {3B1279B8-58C1-41AA-A972-F20853DD2296} - C:\WINDOWS\vanwxemgqml.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: D - {C600FA4D-0390-339C-9D62-70E0A4A7C356} - C:\WINDOWS\system32\mmx33833.dll O3 - Toolbar: gksraemq - {0F4D1291-8DEF-4D4E-AA11-D5B4DD8945C2} - C:\WINDOWS\gksraemq.dll O4 - HKCU…\Run: [\VIEC.exe] C:\Windows\System32\VIEC.exe O4 - HKCU…\Run: [\VIED.exe] C:\Windows\System32\VIED.exe O4 - HKCU…\Run: [\VIEE.exe] C:\Windows\System32\VIEE.exe O4 - HKCU…\Run: [\VIEF.exe] C:\Windows\System32\VIEF.exe O4 - HKCU…\Run: [Antivirus] C:\Program Files\MSA\MSA.exe O4 - HKCU…\Run: [\VIE1.exe] C:\Windows\System32\VIE1.exe O4 - HKCU…\Run: [\VIE2.exe] C:\Windows\System32\VIE2.exe O4 - HKCU…\Run: [\VIE3.exe] C:\Windows\System32\VIE3.exe O4 - HKCU…\Run: [\VIE4.exe] C:\Windows\System32\VIE4.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 O8 - Extra context menu item: &Winamp Search - C:\Documents and Settings\All Users\Dane aplikacji\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
Pobierz Combofix
Zapisz plik jako CFScript.txt najlepiej aby ikonka tego pliku znajdowała się obok ikonki ComboFix.exe
Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe powinno rozpocząć się usuwanie po tym daj log na forum.
Usuń ręcznie folder C:\Qoobox , usuń instalkę Combofix z dysku.
paroovka
4 Wrzesień 2008 17:46
#4
Hej,
przede wszystkim dziekuję za pomoc
Co do mnie - niestety po wykonaniu zaleconych czynności nadal stan jest taki, jak zaraz po zawirusowaniu.
Oto mój log:
http://wklejto.pl/9561
mam cały czas nadzieję, że mimo wszytko uda się uratować mój system. Będę niezwykle wdzięczny za dalszą pomoc.
Leon1
4 Wrzesień 2008 18:37
#5
wpisy
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wm … Ojg5&lid=2 O2 - BHO: QXK Olive - {FB96E578-CFA7-4DF4-BF60-94AD5005D2EF} - C:\WINDOWS\vanwxemgtdr.dll O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 O21 - SSODL: dgksvbpn - {FBE51FE3-2FDA-472A-8E37-A4A5980C1B07} - C:\WINDOWS\dgksvbpn.dll O21 - SSODL: xrdwbfgn - {037738B4-D682-43F7-A460-989611303FB9} - C:\WINDOWS\xrdwbfgn.dll
usuń HijackThisem >> Fix checked
Pobierz Combofix http://www.searchengines.pl/index.php?s … ntry395642 ale nie włączaj.
Podczas pobierania i skanu Combofixem proszę wyłączyć wszelkie zapory i antywirusy
Otwórz notatnik i wklej
zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe
http://img.wklej.org/images/88953CFScri … iemoes.gif
Powinno rozpocząć się usuwanie
Potem log z usuwania Combofix
paroovka
4 Wrzesień 2008 20:35
#6
O rany julek! Wygląda na to, że się udało!
Oto log:
http://wklejto.pl/9574
Mam nadzieję, że wszystko udało się wyczyścić - w każdym razie nie zauważyłem żadnych większych problemów - wszystko zdaje się działać tak, jak przed feralnym zawirusowaniem.
BAAAAARDZO DZIĘKUJĘ! Jestem napawdę pod niesamowicie wielkim wrażeniem.
Leon1
4 Wrzesień 2008 21:04
#7
Wylecz pendriva lub kartę pamięci http://www.softpedia.com/get/Security/S … Tool.shtml
Flash Disinfector http://www.searchengines.pl/index.php?s … ntry369724
lub format
Otwórz notatnik i wklej
zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe
http://img.wklej.org/images/88953CFScri … iemoes.gif
Powinno rozpocząć się usuwanie
Potem log z usuwania Combofix
paroovka
4 Wrzesień 2008 21:36
#8
no właśnie po napisaniu poprzedniego posta poszperałem trochę po komputerze i okazało się, że kilka rzeczy jeszcze nie jest ok - np. WVA - ten podejrzany program znajdował się w panelu sterowania i ikony na pulpicie wyglądały trochę dziwnie… ale teraz już te problemy nie występują. Oto log:
http://wklejto.pl/9583
Czy teraz wszystko już jest ok?
Log wygląda na czysty.
usuń folder C: \Qoobox oraz instalkę Combofix z dysku.
Przeczyść system oraz rejestr CCleaner
Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja
Przeskanuj obszar Mój komputer Kaspersky Online Scanner
lub Dr.WEB CureIt!
paroovka
5 Wrzesień 2008 21:11
#10
Cześć,
oto raport, jakie się wygenerował z Kaspersky’ego. Oczywiście po wykonaniu wszystkich zaleconych wcześniej czynności:
http://wklejto.pl/9638
Leon1
5 Wrzesień 2008 21:25
#11
Pobierz i uruchom narzędzie The Avenger
kopiuj >> klikasz na Paste Script from Clipboard >> Execute >> Potwierdzasz i zgadzasz się na restart klikając OK .
Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt
pobierz i zastosuj ATF Cleaner http://cybertrash.pl/images/tata/ATF/ATF.html
paroovka
5 Wrzesień 2008 21:55
#12
Zrobiłem to co miałem zrobić a oto raport z Avengera:
http://wklejto.pl/9639
i jak teraz? wszystko już w porządku?
Leon1
5 Wrzesień 2008 22:02
#13
usunięte
dla pewności możesz użyć Kasperskieg
ale powinno być OK
paroovka
5 Wrzesień 2008 22:04
#14
FANTASTYCZNIE!
Bardzo, bardzo bardzo dziękuję za pomoc. 
Jestem pod wielkim wrażeniem, tego co wszyscy pomagający tu robią.
