Warm bagle, plik mdelk.exe


(Mod Lishka) #1

Witam.

Scaner mks vir online znalazł mi kilka trojanów które juz usunęłam oraz wymienionego w temacie robaka. Nie mogę usunąć pliku mdelk.exe ręcznie, nie mogę też właczyć zadnych programów anty vir . Hi jack this również nie da się właczyć jak i combo fix a także SDfix..nie mam juz pojecia co robić .bardzo prosże o pomoc, nie znam się na tym kompletnie.


(Laszjwrz) #2

A uruchamiasz SDFix w trybie awaryjnym?


(Mod Lishka) #3

tryb awaryjny nie działa :frowning:


(Laszjwrz) #4

Tzn co? Coś się dzieje szczególnego? Przed załadowaniem windowsa (białe znaczki po włączeniu komputera :slight_smile: ) wciśnij F8.


(huber2t) #5

Combofix uruchom tak: podczas pobierania zapisujemy nie pod nazwą ComboFix.exe tylko z kreską pomiędzy:

Combo-Fix.exe

A to do Hijackthis

Alternatywna wersja: hijackthis.com (Rozszerzenie *.COM na okoliczność wirusów blokujących uruchamianie *.EXE)


(Mod Lishka) #6

Tryb awaryjny nie działa, tzn wciskam f8, wybieram, pojawia sie na dole jakiś pasek literek które sie zmieniaja (nie wiem jak to określić), potem komp się restartuje i jest informacja ze nie udało sie uruchomić trybu awaryjnego i zeby wybrać tryb normalny. uruchomiłam combo fixa zapisanego z kreska. pojawił się komunikat że przygotowuje sie do startu a potem okienko " roughly 1/100 machines failed to make it through the disinfection process" i nie wiem czy to zostawić dalej, tzn kliknąć że chce kontynuowac czy lepiej nie?


(Leon$) #7

Tak zatwierdź

pod tym adresem masz opis ściągania,uruchamiania oraz komunikaty pojawiające się w Comofixe

:slight_smile:


(Mod Lishka) #8

Udało się combofixem.

http://wklej.org/id/966adf330e

http://wklej.org/id/6e69c71c98

nie wiem czy można wklejac tak w dwóch plikach, ale nie zmieściło sie wszystko w jedym.


(huber2t) #9

Przeskanuj tem plik tym http://www.kaspersky.pl/virusscanner.html Daj log z niego na forum

C:\WINDOWS\system32\A063835DFA.sys

otwórz notatnik i wklej

zapisz jako typ wszystkie pliki i pod nazwą plik.reg

Uruchom ten plik, uruchom ponownie komputer


(Mod Lishka) #10

Testowany plik: A063835DFA.sys

Rozmiar testowanego pliku: 88 bajtów

Typ testowanego pliku: application/octet-stream

Do testu wykorzystano rozszerzone antywirusowe bazy danych z dnia 15-04-2008, wykrywające 706835 szkodników (wirusów, trojanów, programów spyware itp.).

A063835DFA.sys - OK


(Leon$) #11

Wyłącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

Otwórz notatnik i wklej

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri … iemoes.gif

Powinno rozpocząć się usuwanie

Potem log z usuwania Combofix

:slight_smile:


(Mod Lishka) #12

http://wklej.org/id/ed10de1473


(Leon$) #13

Log wygląda na czysty

zrób optymalizacje uruchamiania http://cybertrash.netarteria.pl/cyber/index.php/topic,378.0.html

usuń ręcznie folder C: \Qoobox usuń instalkę Combofix z dysku.

przeskanuj Mój komputer tym http://www.kaspersky.pl/virusscanner.html pokaż raport

włącz przywracanie systemu

:slight_smile:


(jessica) #14

W logu widzę dwie niepokojące rzeczy:

To zostało oczywiście usunięte, ale…

To znak, że BAGLE próbuje się odradzać. A jeśli tak jest, to może oznaczać, że masz zarażone jakieś Twoje programy, i przydałoby się wykryć, które to programy i je usunąć, bo mają wstrzyknięty w siebie kod tego BAGLE, co umożliwia mu odradzanie się po każdym restarcie komputera.

Dlatego radziłabym, tak na wszelki wypadek, przeskanować System przy pomocy > Kaspersky Virus Removal Tool —>http://www.searchengines.pl/index.php?showtopic=18695&pid=457742 (skanowanie trwa wiele godzin).

Jeśli się na to zdecydujesz, to daj tu z niego tylko górną część raportu (do napisu “Events”).

Druga niepokojąca rzecz:

Pod folder “system32” podczepił się szkodliwy strumień.

C:\WINDOWS\system32:svchost.exe --> zły

C:\WINDOWS\system32\svchost.exe --> dobry

Boję się użyć ComboFixa do jego usunięcie, bo ComboFix potrafi w takich sytuacjach nieźle “narozrabiać”.

Ale trzeba przynajmniej usunąć klucz tego strumienia:

Do Notatnika wklej:

Windows Registry Editor Version 5.00


[-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{50C413FA-25F9-4C54-EB6C-03AE71A313CE}]

Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na: “Wszystkie pliki” >>> Zapisz jako FIX.REG >>>

plik uruchom (dwuklik i OK- zgódź się na dodanie do Rejestru).

Zrestartuj komputer.

jessi


(Mod Lishka) #15

Oto raport:

Scan


Scanned: 398962

Detected: 1

Untreated: 0

Start time: 2008-04-15 19:48:30

Duration: 03:52:28

Finish time: 2008-04-15 23:40:58

Detected


Status Object


deleted: adware not-a-virus:AdWare.Win32.Shopper.q File: C:\Program Files\Secured IE\Secured IE - Installer.exe//data0016//data0005


(jessica) #16

Aha, taki wynik skanu oznacza, że o BAGLE możesz już zapomnieć.

Zakładam, że już usunęłaś ten klucz strumienia (poprzez “Fix.Reg”) ?

jessi


(Mod Lishka) #17

tak, usunęłam.

Antywirus już działa! :razz: Dziękuję bardzo bardzo serdecznie wszystkim za pomoc. :slight_smile: