lolek2417
12 Kwiecień 2010 18:24
#1
Witam otóż mam następujący problem wczoraj pożyczyłem od kolegi pendriva i na nim były dwa podejrzane pliki ghost nethood i windows wykasowalem je nagralem mu co mialem nagrac i oddalem dzis patrze a te same pliki sa na wszystkich moich partycjach http://wklej.org/id/314756/ nie wiem niech ktoś mi doradzi a i jeszcze jedno kasuje te pliki wlacze byle CS wyskoczy mi blad i na partycji na ktorej jest gra pokazuja sie znowu.
deFco247
12 Kwiecień 2010 18:31
#2
Przeszukiwałeś dysk w poszukiwaniu loga? Start -> Wyszukaj -> Combofix.txt ??
Pokaż logi z narzędzia OTL
Ustawiasz go jak na tym obrazku Custom Scans/Fixes tekst:
Klikasz Run Scan .
Pokazujesz dwa wynikowe logi OTL.txt + Extras.txt
lolek2417
13 Kwiecień 2010 04:29
#3
http://wklej.to/wTrp
http://wklej.to/GCxK
– Dodane 13.04.2010 (Wt) 11:21 –
i co dalej??
– Dodane 13.04.2010 (Wt) 12:19 –
nadal mam to samo cały cząs juz wszędzie są te pliki
deFco247
13 Kwiecień 2010 12:18
#4
W białe dolne okno Custom Scans/Fixes w OTL wklej:
:OTL PRC - [2010-04-12 20:49:06 | 000,177,664 | ---- | M] (gy) – C:\WINDOWS\Fonts\11FC9111111.com IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.localstrike.com.ar/ O3 - HKLM…\Toolbar: (no name) - - No CLSID value found. O3 - HKU.DEFAULT…\Toolbar\ShellBrowser: (no name) - {57CC715D-37CA-44E4-9EC2-8C2CBDDB25EC} - No CLSID value found. O3 - HKU.DEFAULT…\Toolbar\WebBrowser: (no name) - {57CC715D-37CA-44E4-9EC2-8C2CBDDB25EC} - No CLSID value found. O3 - HKU\S-1-5-18…\Toolbar\ShellBrowser: (no name) - {57CC715D-37CA-44E4-9EC2-8C2CBDDB25EC} - No CLSID value found. O3 - HKU\S-1-5-18…\Toolbar\WebBrowser: (no name) - {57CC715D-37CA-44E4-9EC2-8C2CBDDB25EC} - No CLSID value found. O4 - HKLM…\Run: [D] File not found O4 - HKLM…\Run: [TempCom] C:\WINDOWS\Fonts\11FC9111111.com (gy) O4 - HKU\S-1-5-21-1482476501-2025429265-725345543-1003…\Run: [cdoosoft] C:\DOCUME~1\GRZE~1\USTAWI~1\Temp\herss.exe File not found O16 - DPF: {CAFEEFAC-0014-0000-0003-ABCDEFFEDCBA} Reg Error: Key error. (Java Plug-in 1.4.0_03) O20 - HKLM Winlogon: Shell - ("") - File not found O20 - Winlogon\Notify\dimsntfy: DllName - Reg Error: Value error. - Reg Error: Value error. File not found O35 - HKLM…exefile [open] – C:\WINDOWS\svchost.com “%1” %* () O37 - HKLM…exe [@ = exefile] – C:\WINDOWS\svchost.com “%1” %* () MsConfig - StartUpFolder: C:^Documents and Settings^GrzeŚ^Menu Start^Programy^Autostart^ctfmon.exe - - File not found MsConfig - StartUpReg: cdoosoft - hkey= - key= - C:\DOCUME~1\GRZE~1\USTAWI~1\Temp\herss.exe File not found MsConfig - StartUpReg: NeroFilterCheck - hkey= - key= - File not found MsConfig - StartUpReg: TempCom - hkey= - key= - C:\WINDOWS\Fonts\D41AA1111111.com (gy) [2010-04-12 20:47:36 | 000,177,664 | ---- | C] (gy) – C:\WINDOWS\Fonts\11FC911111.com [2010-04-12 20:47:36 | 000,177,664 | ---- | C] (gy) – C:\WINDOWS\Fonts\11FC91111.com [2010-04-12 20:47:36 | 000,177,664 | ---- | C] (gy) – C:\WINDOWS\Fonts\11FC9111.com [2010-04-12 20:47:36 | 000,177,664 | ---- | C] (gy) – C:\WINDOWS\Fonts\11FC911.com [2010-04-12 20:47:36 | 000,177,664 | ---- | C] (gy) – C:\WINDOWS\Fonts\11FC91.com [2010-04-12 20:47:36 | 000,177,664 | ---- | C] (gy) – C:\WINDOWS\Fonts\11FC9.com [2010-04-12 19:41:13 | 000,094,720 | ---- | C] (gy) – C:\WINDOWS\Fonts\D41AA11111.com [2010-04-12 19:36:07 | 000,094,720 | ---- | C] (gy) – C:\WINDOWS\Fonts\D41AA1111.com [2010-04-12 19:36:07 | 000,094,720 | ---- | C] (gy) – C:\WINDOWS\Fonts\D41AA111.com [2010-04-12 19:35:21 | 000,094,720 | ---- | C] (gy) – C:\WINDOWS\Fonts\D41AA11.com [2010-04-12 17:51:34 | 000,094,720 | ---- | C] (gy) – C:\WINDOWS\Fonts\D41AA1.com [2010-04-06 22:10:33 | 000,177,664 | ---- | C] (gy) – C:\WINDOWS\Fonts\11FC9111111.com [2010-04-06 22:10:33 | 000,136,192 | -H-- | C] (gy) – C:\Program Files\Program Files.exe [2010-04-06 22:10:33 | 000,136,192 | ---- | C] (gy) – C:\WINDOWS\Fonts\D41AA1111111.com [2010-04-06 22:10:33 | 000,094,720 | ---- | C] (gy) – C:\WINDOWS\Fonts\D41AA111111.com [2010-04-06 22:10:33 | 000,094,720 | ---- | C] (gy) – C:\WINDOWS\Fonts\D41AA.com [2010-04-13 06:21:30 | 000,000,070 | ---- | M] () – C:\WINDOWS\directx.sys [2010-04-12 20:09:05 | 003,995,817 | R— | M] () – C:\Documents and Settings\GrzeŚ\Pulpit\ComboFix.exe [2010-04-12 20:07:53 | 000,041,472 | ---- | M] () – C:\WINDOWS\svchost.com :Commands [emptytemp] [resethosts] [start explorer]
Run Fix . Restart, jeśli będzie potrzebny.
Potem log z usuwania (raport, który wyskoczy po usuwaniu OTL-em) oraz nowy log robiony opcją Run Scan .
lolek2417
13 Kwiecień 2010 15:36
#5
http://wklej.to/en2z po run fixie
http://wklej.to/540T po zwyklym skanowaniu
dodam jeszcze ze na jednej z partycji pokazaly mi się nowe pliki m.im pbyqfn.exe jakiś detskop.ini itp a ten ghost windows itp nadal są:/
deFco247
13 Kwiecień 2010 15:48
#6
Ten pierwszy plik jest szkodliwy i należy go usunąć, natomiast drugi nie, o ile nie popełniłeś literówki (autorun.in f jest już szkodliwy).
No to trzeba usuwać do skutku…
W białe dolne okno Custom Scans/Fixes w OTL wklej:
:OTL [2010-04-06 22:10:33 | 000,177,664 | -H-- | C] (gy) – C:\WINDOWS\WINDOWS.exe [2010-04-06 22:10:33 | 000,177,664 | -H-- | C] (gy) – C:\WINDOWS.EXE [2010-04-06 22:10:33 | 000,177,664 | ---- | C] (gy) – C:\Ghost.bat [2010-04-06 22:10:33 | 000,177,664 | ---- | C] (gy) – C:\WINDOWS\Fonts\11FC91111111.com [2010-04-13 07:03:21 | 000,000,943 | -HS- | M] () – C:\Program Files\folder.htt [2010-04-13 07:03:21 | 000,000,937 | -HS- | M] () – C:\folder.htt :Commands [start explorer]
Run Fix . Restart, jeśli będzie potrzebny.
Potem log z usuwania (raport, który wyskoczy po usuwaniu OTL-em) oraz nowy log robiony opcją Run Scan .
lolek2417
13 Kwiecień 2010 16:05
#7
http://wklej.to/RHnf po fixie
http://wklej.to/OXKx po skanowaniu
skasowalem tamten plik.
deFco247
13 Kwiecień 2010 16:17
#8
Chyba jednak to tak nie pójdzie…
Pobierz Combofix
Przed uruchomieniem odinstaluj wszelkie programy tworzące wirtualne napędy (Daemon Tools, Alcohol itp.) oraz usuń sterownik SPTD narzędziem SPTDInst Uninstall (jeśli będzie zszarzałe, to OK).
Podczas pobierania i skanowania Combofixem należy wyłączyć wszelkie antywirusy i firewalle .
Otwórz Notatnik i wklej do niego:
Plik zapisz pod nazwą CFScript , najlepiej w tym samym folderze co Combofix.exe
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę Combofix.exe
Powinno się rozpocząć usuwanie.
_ Potem dajesz log z usuwania Combofix. _
lolek2417
13 Kwiecień 2010 16:40
#9
mam juz problem niby alcohol usunalem pobieram ten program ale nie chce mi sie zainstalowac klikam na niego i nic
– Dodane 13.04.2010 (Wt) 18:55 –
http://wklej.to/SfqY scan combofixem
deFco247
13 Kwiecień 2010 19:44
#10
Teraz wiem dlaczego to nie chciało wejść…
Otwórz Notatnik i wklej do niego:
Plik zapisz pod nazwą CFScript , najlepiej w tym samym folderze co Combofix.exe
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę Combofix.exe
Powinno się rozpocząć usuwanie.
_ Potem dajesz log z usuwania Combofix. _
deFco247
14 Kwiecień 2010 16:27
#12
“Duchów” w logu już nie widać.
Zastosuj OTC
Wyłącz i włącz Przywracanie Systemu na wszystkich dyskach. Instrukcja XP Vista Windows 7
Wykonaj pełny skan Dr.Web CureIt
Gdy będą wirusy, pokaż raport.
No i obowiązkowe aktualizacje:
XP Service Pack 3 Internet Explorer 8
Java 6 Update 19 K-Lite Codec Pack 5.8.3
lolek2417
14 Kwiecień 2010 16:36
#13
No i obowiązkowe aktualizacje:
Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.2180)
XP Service Pack 3 + Internet Explorer 8 (nawet nieużywany wymaga aktualizacji, gdyż wpływa on na pewną część funkcji w systemie)
to jest mi nie potrzebne;]
Decos20
14 Kwiecień 2010 16:45
#14
Jeżeli chcesz zaglądać do tego działu jak najrzadziej to jednak to zrób
lolek2417
14 Kwiecień 2010 20:32
#15
mam pewien problem:/ mianowicie ten Dr.Web wywala mi same aplikacje zobacz/ i do tego w kazdym folderze mam jakiś plik exe. np Program Files–> Program files.exe Muzyka–> Muzyka.exe itp:/ nie wiem jak sie tego pozbyc od razu zaznaczam że malwareanty itp nie daje rady nie wyszukuje ich:/ http://www.fotosik.pl/pokaz_obrazek/633dec5cfa8ee952.html
deFco247
14 Kwiecień 2010 20:36
#16
Na tym zdjęciu nic nie widzę.
Pozostaje więc usuwanie, które kiedyś zaleciłem w tym przypadku - ręczne usuwanie tych plików w trybie awaryjnym .
lolek2417
14 Kwiecień 2010 20:40
#17
przybliz sobie;] i zobaczysz wirusa neshta;/
deFco247
15 Kwiecień 2010 13:43
#18
Na tym zdjęciu naprawdę nic nie widać, skoro jest przeskalowane.
uzywalem malwareanty-malware ale nic nie dalo rady combofixem tez ale znowu cos sie z nim dzieje i nie mam logów. do tej pory wirus już zrobił coś z firefoxem i winrarem i ogólnie coś mam nie tak z komputerem:/ daje logi z hijacka http://wklej.org/id/314756/ nie wiem niech ktoś mi doradzi a i jeszcze jedno kasuje te pliki wlacze byle CS wyskoczy mi blad i na partycji na ktorej jest gra pokazuja sie znowu.
