Wariactwo kompa - krzyżyk w tray'u, wyskakujące ostrzeżenia


(Agntx) #1

Tak to jest, gdy się puści kuzyna do komputera. Po kilku minutach wracam, a tu restart, poznikały ikonki, tapeta to zachęcenie do pobrania antyvirusa, nie działa menedżer zadań, użycie proca dochodzi do 100%, w prawym dolnym rogu mruga czerwony krzyżyk, wyskakują ostrzeżenia o wirusach, pojawia się Internet Explorer i "wykrywa" wirusy + jakieś pornole ( :o ) ze zdjęciami - cały komp wariuje. Dodatkowo fokusuje mi na losowe okna i ledwo mogę pisać. Wszystkie łatki zainstalowane, aktualny soft, Kaspersky coś tam wykrył, Spybot również. Pousuwałem, a tu jakieś skróty do stron internetowych się porobiły. RATUNKU! !!

Grzebałem w Autoruns i Hijack This. Poniżej log z Hijack:

Kurde, ponad dwa lata bez syfu, a tu kuzyn w kilka minut coś ściągnął z neta...


(huber2t) #2

fix w hijackthis

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\WINDOWS\ogxtsepr.dll

C:\WINDOWS\dsktbwfe.dll

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

02f8f1e3c410a4cc.gif

Powinno się rozpocząć usuwanie i powstanie log, daj ten log na forum.

Jeśli wszystko pójdzie dobrze, to po restarcie usuń ręcznie folder C: \Qoobox


(Agntx) #3

Zrobiłem, jak radziłeś. Po restarcie ComboFix "wisiał" dobre kilkanaście minut bez odpowiedzi, więc go zamknąłem i wylogowałem się, by potem wejść z powrotem na swoje konto i dorwać tego loga. Oto on:


(huber2t) #4

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\WINDOWS\system32\kfqdcohd.ini

C:\WINDOWS\system32\sbsnkzsb.exe

C:\WINDOWS\system32\drivers\nmwcdnsu.sys

C:\WINDOWS\system32\drivers\ccdcmbo.sys

C:\WINDOWS\system32\drivers\ccdcmb.sys

C:\WINDOWS\system32\drivers\nmwcdnsuc.sys

C:\WINDOWS\system32\drivers\usbser_lowerfltj.sys

C:\WINDOWS\system32\drivers\usbser_lowerflt.sys

C:\WINDOWS\system32\drivers\Msft_Kernel_ccdcmb_01005.Wdf


Folder::

C:\Documents and Settings\All Users\Dane aplikacji\qbmlszat

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

02f8f1e3c410a4cc.gif

Powinno się rozpocząć usuwanie i powstanie log, daj ten log na forum.

Jeśli wszystko pójdzie dobrze, to po restarcie usuń ręcznie folder C: \Qoobox


(Agntx) #5

OK, kolego. Zrobiłem, co mi poradziłeś. Tym razem proces doszedł bez przerw do końca. Aha, jako ciekawostkę dodam, że SPybot znalazł takie oto głupoty:

Komp był czysty tuż przed infekcją, bo skanowałem akurat Spybotem. A oto log:


(huber2t) #6

otwórz notatnik i wklej

zapisz jako typ wszystkie pliki i pod nazwą plik.reg

Uruchom ten plik, uruchom ponownie komputer


(Agntx) #7

OK, dodałem do rejestru. Jak do tej pory nie wyskoczył żaden komunikat o rzekomych wirusach czy jakiś pornolach :wink:

Stary, jesteś na prawdę wielki! Sam bym sobie nie dał rady, a format tylko w ostateczności. DZIĘKÓWA!


(Leon$) #8

Popełniłeś błąd w kluczu brak minusika

Do Agntx

Otwórz notatnik i wklej

zapisz jako plik.reg >> wszystkie pliki >> scal z rejestrem >> restart

b57f17008275c957m.jpg

powstanie plik o takiej ikonie

062aec4c9b51c033m.jpg

w który dwa razy klikniesz potwierdzisz chęć dodania do rejestru potem restart

Wyłącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

usuń ręcznie folder C: \Qoobox usuń instalkę Combofix z dysku.

przeskanuj tym http://www.kaspersky.pl/virusscanner.html pokaż raport

włącz przywracanie systemu

:slight_smile:


(Agntx) #9

Oto raport ze skanera:


(Leon$) #10

usuń to jest ci już nie potrzebne

Powinno być OK

:slight_smile:


(Agntx) #11

Zrobiłem skan Kasperskim i usunąłem to, co trzeba. System wydaje się działać normalnie.

Jeszcze raz dzięki za pomoc!


(Gutek) #12

Zmiana zasad wklejania logów na forum - viewtopic.php?f=16&t=213350