Warm bagle, plik mdelk.exe

magda888 · 13 Kwiecień 2008 19:31

Witam.

Scaner mks vir online znalazł mi kilka trojanów które juz usunęłam oraz wymienionego w temacie robaka. Nie mogę usunąć pliku mdelk.exe ręcznie, nie mogę też właczyć zadnych programów anty vir . Hi jack this również nie da się właczyć jak i combo fix a także SDfix…nie mam juz pojecia co robić .bardzo prosże o pomoc, nie znam się na tym kompletnie.

laszjwrz · 13 Kwiecień 2008 19:48

A uruchamiasz SDFix w trybie awaryjnym?

magda888 · 13 Kwiecień 2008 20:33

tryb awaryjny nie działa

laszjwrz · 13 Kwiecień 2008 20:39

Tzn co? Coś się dzieje szczególnego? Przed załadowaniem windowsa (białe znaczki po włączeniu komputera ) wciśnij F8.

huber2t · 14 Kwiecień 2008 01:43

Combofix uruchom tak: podczas pobierania zapisujemy nie pod nazwą ComboFix.exe tylko z kreską pomiędzy:

Combo-Fix.exe

A to do Hijackthis

Alternatywna wersja: hijackthis.com (Rozszerzenie *.COM na okoliczność wirusów blokujących uruchamianie *.EXE)

magda888 · 14 Kwiecień 2008 19:30

Tryb awaryjny nie działa, tzn wciskam f8, wybieram, pojawia sie na dole jakiś pasek literek które sie zmieniaja (nie wiem jak to określić), potem komp się restartuje i jest informacja ze nie udało sie uruchomić trybu awaryjnego i zeby wybrać tryb normalny. uruchomiłam combo fixa zapisanego z kreska. pojawił się komunikat że przygotowuje sie do startu a potem okienko " roughly 1/100 machines failed to make it through the disinfection process" i nie wiem czy to zostawić dalej, tzn kliknąć że chce kontynuowac czy lepiej nie?

Leon1 · 14 Kwiecień 2008 19:49

Tak zatwierdź

pod tym adresem masz opis ściągania,uruchamiania oraz komunikaty pojawiające się w Comofixe

magda888 · 14 Kwiecień 2008 21:17

Udało się combofixem.

http://wklej.org/id/966adf330e

http://wklej.org/id/6e69c71c98

nie wiem czy można wklejac tak w dwóch plikach, ale nie zmieściło sie wszystko w jedym.

huber2t · 15 Kwiecień 2008 02:11

Przeskanuj tem plik tym http://www.kaspersky.pl/virusscanner.html Daj log z niego na forum

C:\WINDOWS\system32\A063835DFA.sys

otwórz notatnik i wklej

zapisz jako typ wszystkie pliki i pod nazwą plik.reg

Uruchom ten plik, uruchom ponownie komputer

magda888 · 15 Kwiecień 2008 14:23

Testowany plik: A063835DFA.sys

Rozmiar testowanego pliku: 88 bajtów

Typ testowanego pliku: application/octet-stream

Do testu wykorzystano rozszerzone antywirusowe bazy danych z dnia 15-04-2008, wykrywające 706835 szkodników (wirusów, trojanów, programów spyware itp.).

A063835DFA.sys - OK

Leon1 · 15 Kwiecień 2008 14:37

Wyłącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

Otwórz notatnik i wklej

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri … iemoes.gif

Powinno rozpocząć się usuwanie

Potem log z usuwania Combofix

magda888 · 15 Kwiecień 2008 16:26

http://wklej.org/id/ed10de1473

Leon1 · 15 Kwiecień 2008 16:47

Log wygląda na czysty

zrób optymalizacje uruchamiania http://cybertrash.netarteria.pl/cyber/index.php/topic,378.0.html

usuń ręcznie folder C: \Qoobox usuń instalkę Combofix z dysku.

przeskanuj Mój komputer tym http://www.kaspersky.pl/virusscanner.html pokaż raport

włącz przywracanie systemu

jessica · 15 Kwiecień 2008 16:58

W logu widzę dwie niepokojące rzeczy:

To zostało oczywiście usunięte, ale…

To znak, że BAGLE próbuje się odradzać. A jeśli tak jest, to może oznaczać, że masz zarażone jakieś Twoje programy, i przydałoby się wykryć, które to programy i je usunąć, bo mają wstrzyknięty w siebie kod tego BAGLE, co umożliwia mu odradzanie się po każdym restarcie komputera.

Dlatego radziłabym, tak na wszelki wypadek, przeskanować System przy pomocy > Kaspersky Virus Removal Tool —>http://www.searchengines.pl/index.php?showtopic=18695&pid=457742 (skanowanie trwa wiele godzin).

Jeśli się na to zdecydujesz, to daj tu z niego tylko górną część raportu (do napisu “Events”).

Druga niepokojąca rzecz:

Pod folder “system32” podczepił się szkodliwy strumień.

C:\WINDOWS\system32:svchost.exe --> zły

C:\WINDOWS\system32\svchost.exe --> dobry

Boję się użyć ComboFixa do jego usunięcie, bo ComboFix potrafi w takich sytuacjach nieźle “narozrabiać”.

Ale trzeba przynajmniej usunąć klucz tego strumienia:

Do Notatnika wklej:

Windows Registry Editor Version 5.00


[-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{50C413FA-25F9-4C54-EB6C-03AE71A313CE}]

Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na: “Wszystkie pliki” >>> Zapisz jako FIX.REG >>>

plik uruchom (dwuklik i OK- zgódź się na dodanie do Rejestru).

Zrestartuj komputer.

jessi

magda888 · 15 Kwiecień 2008 21:52

Oto raport:

Scan

Scanned: 398962

Detected: 1

Untreated: 0

Start time: 2008-04-15 19:48:30

Duration: 03:52:28

Finish time: 2008-04-15 23:40:58

Detected

Status Object

deleted: adware not-a-virus:AdWare.Win32.Shopper.q File: C:\Program Files\Secured IE\Secured IE - Installer.exe//data0016//data0005

jessica · 16 Kwiecień 2008 10:07

Aha, taki wynik skanu oznacza, że o BAGLE możesz już zapomnieć.

Zakładam, że już usunęłaś ten klucz strumienia (poprzez “Fix.Reg”) ?

jessi

magda888 · 16 Kwiecień 2008 12:23

tak, usunęłam.

Antywirus już działa! :razz: Dziękuję bardzo bardzo serdecznie wszystkim za pomoc.