Walka z Malware Doctor

Witam. Ten niechciany program włączył mi się dzisiaj rano przy urychamianiu kompa. Już od jakiegoś czasu męczą mnie różne problemy załapane w sieci, ale z tym dziadem nie potrafię sobie poradzić. Oczywiście program Spybot Search & Destroy nic nie pomógł, a nawet zaszkodził… Mam na dysku HijackThis, instalke ComboFix oraz folder Qoobox na dysku C. Co robić na sam pierw?

Hm skoro masz folder Qoobox to znaczy że użyłeś Combofixa więc daj log z tego programu na forum

Dodatkowo pobierz Malwarebytes http://dobreprogramy.pl/index.php?dz=2& … lware+1.36 Wykonaj pełne skanowanie usuń co znajdzie, daj log na forum

Logi wklej na www.wklejto.pl lub http://www.wklej.org/ a w poście daj tylko linka

Poszło. Już się Malware Doctor nie włączył. Nie rozumiem co mam usunąć, bo przecież ten program sam pousuwał. Oto log z ComboFixa po skanowaniu: http://wklej.org/id/95987/

Dodane 26.05.2009 (Wt) 12:49

A tu jeszcze skan z Malwarebytes: http://www.wklej.org/id/96000/

Co teraz?

wklej do notatnika:

Zapisz plik jako CFScript.txt najlepiej aby ikonka tego pliku znajdowała się obok ikonki ComboFix.exe

Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe powinno rozpocząć się usuwanie po tym daj log na forum.

Loga wklej na www.wklejto.pl lub http://www.wklej.org/ a w poście daj linka

Przeskanuj plik c:\windows\system32\drivers\ ndis.sys tutaj http://www.virustotal.com/pl/ daj raport na forum

Tutaj log z ComboFixa: http://wklej.org/id/96021/

Log wygląda na czysty.

usuń ręcznie folder C: \Qoobox oraz instalkę Combofix z dysku.

Przeczyść system oraz rejestr CCleaner

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

A to analiza pliku ze strony podanej wcześniej: http://www.wklej.org/id/96024/

Musimy podmienić ten plik. Masz Windows XP SP2?

svchost.exe też jest prawdopodobnie zainfekowany.

tak właśnie wyodrębniam te pliki

Jaki plik podmienić? Tak, mam XP SP2. Program Dr. WEB znalazł w szybkim skanowaniu wirusa w pliku c:\windows\system32\drivers i go usunął, lecz zarzadał płyty z Windowsem, a jej nie posiadam. Zignorowałem rządanie.

Pobierz te pliki dla twojego systemu i zachowaj na dysku *C:*

http://rapidshare.com/files/237397436/ndis.sys.html

http://rapidshare.com/files/237400066/svchost.exe.html

Następnie pobierz Combofix nie uruchamiaj

wklej do notatnika

Zapisz plik jako CFScript.txt najlepiej aby ikonka tego pliku znajdowała się obok ikonki ComboFix.exe

Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe powinno rozpocząć się usuwanie po tym daj log na forum.

http://rapidshare.com/files/237397436/ndis.sys.html - tego pliku nie da się pobrać, bo wyskakuje błąd. Jest jakieś inne źródło?

A stąd http://www.sendspace.pl/file/3378uUeG/

Spróbowałem przez inna przeglądarkę, to mi napisało: “Błąd. Odmowa dostępu. Sprawdź czy dysk nie jest zapełniony, lub chroniony przed zapisem oraz czy plik nie jest aktualnie używany…” Nie da rady go pobrać. I co teraz?

Jeśli działa Ci email to podaj go na PW wyśle Ci ten plik na Twój email. Albo pobierz ten plik gdzieś na zewnątrz nagraj na pendrive lub CD

Próbowałem skopiować z pendriva, ale ten sam błąd, wiec przez maila będzie to samo. I co teraz?

Czy plik svchost.exe udało Ci się skopiować na dysk c:, jeśli tak to

Podepnij pendrive do komputera

zmień skrypt do Combofixa

zamiast c:\ndis.sys podaj lokalizacje twojego pliku na pendrive i uruchom skryptem Combofixa

Log z ComboFixa: http://wklej.org/id/96509/

Jeśli dasz radę to przeskanuj ten plik c:\windows\system32\ svchost.exe tutaj http://www.virustotal.com/pl/ daj raport na forum