mgirlm
(Mm30)
21 Sierpień 2007 18:07
#1
Witam,
Proszę o pomoc. Jako zypełny laik komputerowy muszę zmierzyć się z problemem natretnego reklamiarza. Od jakiegoś czasu przy zamykaniu systemu mam problem bo pojawia się program brdr, który musi byc zamkniety manualnie, bo inaczej kom. się nie wyłączy. Uzywam od dłuższego czasu avast wersja 4.7 professional, który co jakiś czas daje alert o wykryciu reklamiarza. Mam niby nie wpadać w panikę, ale bierze mnie nie powiem co, bo avast ani go nie usuwa ani zalecana kwarantanna nie pomaga.Dostaję alert,że zainfekowany plik to C:\WINDOWS\system32\twinrmdt.exe, ale za groma nie mogę go znaleźć, bo jestem zupełny cienias w tej kwestii i nie ma wokół mnie jakiś informatyków do pomocy, więc sama muszę sobie poradzić. Proszę o krok-po-kroku guidance,please. Obiecuję dozgonna wdzięczność! mgirlm
jessica
(jessica)
21 Sierpień 2007 18:11
#2
Tak “w ciemno” to się nie da. I na dodatek KRZYCZYSZ na nas!
Daj log z ComboFixa (na dole tej strony z linku) -
Log wklej na http://wklej.org/ , a w poście daj tylko link.
Mile widziany byłby także log z HijackThis.
jessi
kryzelek
(Matil)
21 Sierpień 2007 18:57
#4
Prosze cię mgirlm, nie pisz z caps lockiem, wiem że nie jestem moderatorem etc. ale z capsem bardzo trudno się to czyta :lol:
mgirlm
(Mm30)
21 Sierpień 2007 19:01
#5
juz nie będę, obiecuję i przepraszam jeszcze raz
Gutek
(Gutek)
21 Sierpień 2007 19:02
#6
Użyj SmitFraudFix wybierz opcji nr 2 , oczywiście w trybie awaryjnym i po tym nowy log z Combofix
Uwaga: Jak wklejasz loga to obejmuj go znacznikiem (tagiem) CODE lub QUOTE
Pobierz program SDFix
jessica
(jessica)
21 Sierpień 2007 19:05
#7
Z logu ComboFixa wynika, że te wpisy są już bezplikowe, więc je sfiksuj w Hijacku:
>>Hijack>>scan(Do a system scan only)>>zaznacz je >> Fix checked .
Wklej do Notatnika :
File::
C:\WINDOWS\system32\winpfz32.sys
Folder::
C:\DOCUME~1\Marta\DANEAP~1\Hold Knob Second
C:\Program Files\Hold Knob Second
>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie,
jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
(czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )
– podobnie jak na tym obrazku -->http://i12.tinypic.com/4l761r5.gif
(jeśli pojawi się pytanie " 1 or 2 " - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie.
Po restarcie usuń ręcznie folder C: * * Qoobox**.
Nie wiem, które jeszcze wpisy należą do infekcji “LOP” , którą dodatkowo masz.
Te wpisy trudno rozpoznać, bo są podobne do normalnych Aplikacji/progamów.
Daj potem lo z ComboFixa.
EDIT:
Pisałam w tym czasie, gdy dostałaś już odpowiedź, ale możesz wykonać zarówno moje zalecenie, jak i @Gutka2222 - nie są ze sobą sprzeczne, tylko się uzupełniają.
jessi
Gutek
(Gutek)
21 Sierpień 2007 19:27
#8
mgirlm proszę użyj jeszcze SmitFraudFix i SDFix
Monczkin
(Monczkin)
22 Sierpień 2007 07:31
#9
mgirlm NIE KRZYCZ, zmień litery na małe i popraw posta z logami, obejmując je znacznikami. Inaczej temat wyleci.
mgirlm
(Mm30)
22 Sierpień 2007 09:04
#10
Postąpując zgodnie z instrukcjami zrobiłam to co kazała mi jessica , napotkałam problem-przy robieniu scanu systemu w Hijack’u jednego bezplikowego wpisu nie znalazłam, chodzi o O4 - HKLM…\Run: [{2D-D7-75-56-ZN}] C:\windows\system32\lqdsrngr.exe P2D002 , resztę sfiksowałam.
Następnie przy przeciąganiu pliku CFScript na plik ComboFix.exe odezwał się avast - wykrył konia trojańskiego (Win32:Dadobra-EY w C:\ComboFix\Cfiles.cf)
Dodaję log z ComboFix’a, który otrzymałam już po wszystkim:
ComboFix 07-08-17.2 - “Marta” 2007-08-22 10:09:42.2 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.75 [GMT 2:00] Command switches used :: C:\Documents and Settings\Marta\Pulpit\CFScript.txt * Created a new restore point FILE:: C:\WINDOWS\system32\winpfz32.sys ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) C:\DOCUME~1\Marta\DANEAP~1\Hold Knob Second C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe\ C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe\ C:\Program Files\Alwil Software\Avast4\ashServ.exe\ C:\Program Files\Alwil Software\Avast4\ashWebSv.exe\ C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe\ C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE\ C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe\ C:\Program Files\Internet Explorer\iexplore.exe\ C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe\ C:\Program Files\Messenger\MSMSGS.EXE\ C:\Program Files\MSN Messenger\MsnMsgr.Exe\ C:\Program Files\MSN Messenger\usnsvc.exe\ C:\Program Files\Trend Micro\HijackThis\HijackThis.exe\ C:\WINDOWS\system32\ctfmon.exe\ C:\WINDOWS\System32\nvsvc32.exe\ C:\WINDOWS\system32\RunDll32.exe\ C:\WINDOWS\system32\spoolsv.exe\ C:\WINDOWS\system32\winpfz32.sys ((((((((((((((((((((((((( Files Created from 2007-07-22 to 2007-08-22 ))))))))))))))))))))))))))))))) 2007-08-21 20:14 51,200 --a------ C:\WINDOWS\nircmd.exe 2007-08-21 16:01 2007-08-21 14:03 2007-08-21 14:02 77,312 --a------ C:\WINDOWS\system32\ztvunace26.dll 2007-08-21 14:02 75,264 --a------ C:\WINDOWS\system32\unacev2.dll 2007-08-21 14:02 69,632 --a------ C:\WINDOWS\system32\ztvcabinet.dll 2007-08-21 14:02 162,304 --a------ C:\WINDOWS\system32\ztvunrar36.dll 2007-08-21 14:02 153,088 --a------ C:\WINDOWS\system32\UNRAR3.dll 2007-08-21 13:29 2007-08-20 21:11 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll 2007-08-20 17:09 2007-08-20 13:52 2007-08-20 13:52 2007-08-20 13:52 2007-08-19 20:21 2007-08-19 20:21 2007-08-15 14:36 0 --a------ C:\WINDOWS\popcreg.dat 2007-08-15 14:36 0 --a------ C:\WINDOWS\popcinfot.dat 2007-08-14 14:56 2007-08-14 12:01 2007-08-14 12:00 2007-08-14 11:58 2007-08-14 09:13 2007-08-13 19:59 2007-08-13 19:58 2007-08-12 15:18 2007-08-10 20:50 2007-08-10 16:11 2007-08-10 16:01 2007-08-01 14:09 43,520 --------- C:\WINDOWS\system32\CmdLineExt03.dll 2007-07-31 18:28 63,488 --------- C:\WINDOWS\system32\unam4ie.exe 2007-07-31 18:28 4,608 --------- C:\WINDOWS\system32\w95inf32.dll 2007-07-31 18:28 38,160 --------- C:\WINDOWS\system32\LMRTREND.dll 2007-07-31 18:28 2,272 --------- C:\WINDOWS\system32\w95inf16.dll 2007-07-31 18:28 194,320 --------- C:\WINDOWS\system32\qcut.dll 2007-07-31 18:28 182,032 --------- C:\WINDOWS\system32\dxtmsft3.dll 2007-07-31 18:28 10,240 --------- C:\WINDOWS\system32\vidx16.dll 2007-07-31 17:43 2007-07-30 08:53 152,064 --a------ C:\WINDOWS\snap.dat 2007-07-30 08:41 85,376 --a------ C:\WINDOWS\system32\drivers\NABTSFEC.sys 2007-07-30 08:41 54,784 --------- C:\WINDOWS\system32\vfwwdm32.dll 2007-07-30 08:41 5,504 --a------ C:\WINDOWS\system32\drivers\MSTEE.sys 2007-07-30 08:41 19,328 --a------ C:\WINDOWS\system32\drivers\WSTCODEC.SYS 2007-07-30 08:41 17,024 --a------ C:\WINDOWS\system32\drivers\CCDECODE.sys 2007-07-30 08:41 15,360 --a------ C:\WINDOWS\system32\drivers\StreamIP.sys 2007-07-30 08:41 11,136 --a------ C:\WINDOWS\system32\drivers\SLIP.sys 2007-07-30 08:41 10,880 --a------ C:\WINDOWS\system32\drivers\NdisIP.sys 2007-07-30 08:39 53,248 --a------ C:\WINDOWS\ap561.exe 2007-07-30 08:39 119,798 --a------ C:\WINDOWS\system32\drivers\spca561.sys 2007-07-30 08:39 118,784 --a------ C:\WINDOWS\ShowBmp.exe 2007-07-30 08:39 2007-07-30 08:28 5,632 --------- C:\WINDOWS\system32\ptpusb.dll 2007-07-30 08:28 159,232 --------- C:\WINDOWS\system32\ptpusd.dll 2007-07-30 08:28 15,104 --a------ C:\WINDOWS\system32\drivers\usbscan.sys 2007-07-24 22:34 2007-07-24 22:34 (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-08-20 19:27 --------- d-------- C:\DOCUME~1\Marta\DANEAP~1\uTorrent 2007-08-20 16:31 --------- d–h----- C:\Program Files\InstallShield Installation Information 2007-08-14 20:29 --------- d-------- C:\Program Files\Google 2007-08-14 19:53 --------- d-------- C:\DOCUME~1\Marta\DANEAP~1\Google 2007-07-30 08:21 --------- d-------- C:\Program Files\Canon 2007-07-30 08:17 --------- d-------- C:\Program Files\Common Files\InstallShield 2007-07-28 00:07 783224 --a------ C:\WINDOWS\system32\aswBoot.exe 2007-07-28 00:02 94416 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys 2007-07-28 00:02 92848 --a------ C:\WINDOWS\system32\drivers\aswmon.sys 2007-07-28 00:00 23152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys 2007-07-27 23:59 42912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys 2007-07-27 23:58 26624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys 2007-07-27 23:57 95608 --a------ C:\WINDOWS\system32\AVASTSS.scr 2007-07-15 15:02 --------- d-------- C:\Program Files\BFG 2007-07-08 09:38 --------- d-------- C:\Program Files\VideoLAN 2007-07-07 20:14 --------- d-------- C:\DOCUME~1\Marta\DANEAP~1\vlc 2007-07-07 19:57 --------- d-------- C:\Program Files\Hold Knob Second 2007-07-01 14:22 --------- d-------- C:\Program Files\flashFONT 2007-06-26 08:10 1104896 --a------ C:\WINDOWS\system32\msxml3.dll 2007-06-19 15:32 282112 --a------ C:\WINDOWS\system32\gdi32.dll 2007-06-13 15:23 1034752 --a------ C:\WINDOWS\explorer.exe 2001-11-23 06:08 712704 --a------ C:\WINDOWS\inf\OTHER\AUDIO3D.DLL --------- C:\DOCUME~1\Marta\DANEAP~1\Folder przesyłania Share-to-Web ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “SunJavaUpdateSched”=“C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe” [2007-07-12 04:00] “avast!”=“C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe” [2007-07-28 00:03] “Cmaudio”=“cmicnfg.cpl” [] “CM-SmWizard”=“C:\WINDOWS\System\SmWizard.exe” [2003-08-29 06:02] “NvCplDaemon”=“C:\WINDOWS\System32\NvCpl.dll” [2003-07-18 09:08] “nwiz”=“nwiz.exe” [2003-07-18 09:08 C:\WINDOWS\system32\nwiz.exe] “Easy-PrintToolBox”=“C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.exe” [2004-01-14 13:10] “Adobe Reader Speed Launcher”=“C:\ADOBE READER\Reader\Reader_sl.exe” [2007-05-11 03:06] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “CTFMON.EXE”=“C:\WINDOWS\system32\ctfmon.exe” [2004-08-04 00:44] “MsnMsgr”=“C:\Program Files\MSN Messenger\MsnMsgr.exe” [2007-01-19 12:54] “MSMSGS”=“C:\Program Files\Messenger\MSMSGS.exe” [2004-10-13 18:24] “swg”=“C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe” [2007-08-17 18:49] R2 SetupNT;SetupNT;C:\WINDOWS\system32\SetupNT.sys R3 FETNDISB;VIA Rhine Family Fast Ethernet Adapter Driver Service;C:\WINDOWS\system32\DRIVERS\fetnd5b.sys S3 FETNDIS;Sterownik NT karty VIA PCI 10/100Mb Fast Ethernet;C:\WINDOWS\system32\DRIVERS\fetnd5.sys S3 NTSIM;NTSIM;??\C:\WINDOWS\System32\ntsim.sys ************************************************************************** catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-08-22 10:12:12 Windows 5.1.2600 Dodatek Service Pack 2 NTFS scanning hidden processes … scanning hidden autostart entries … scanning hidden files … scan completed successfully hidden files: 0 ************************************************************************** Completion time: 2007-08-22 10:13:01 C:\ComboFix-quarantined-files.txt … 2007-08-22 10:12 C:\ComboFix2.txt … 2007-08-21 20:20 — E O F —
jessica
(jessica)
22 Sierpień 2007 10:08
#11
Coś tu jest niejasnego.
Oprócz plików, które miały być usunięte, ComboFix usunął także inne pliki, a przynajmniej tak wynika z jego sekcji “Other Deletions” w logu.
Są tam widoczne, oprócz złych plików, także zupełnie prawidłowe i potrzebne pliki.
Sprawdź, czy to tylko pomyłka w logu, czy też rzeczywiście ComboFix popełnił straszną pomyłkę i usunął prawidłowe pliki.
Te zaznaczone na czerwono miały być usunięte, - pozostałe nie miały być usuwane.
Sprawdź, wg ścieżek, czy faktycznie ComboFix je usunął.
Jeśli rzeczywiście je usunął to mamy wielki kłopot.
Gdyby nie została usunięta Kwarantanna (C:\Qoobox), to można by z niej wyciągnąć te potrzebne pliki.
Jeśli nie miałaś wyłączonego “Przywracania Systemu”, to można by przywrócić System do jakiejś daty, gdy System był dobry.
Ale jeśli “Przywracanie” masz wyłączone, to pozostanie tylko reinstalacja systemu i programu.
Nigdy dotąd nie spotkałam się z taką pomyłką ComboFixa.
Miejmy nadzieję, że to tylko pomyłka w logu, a nie w usuwaniu!
jessi
mgirlm
(Mm30)
22 Sierpień 2007 11:15
#12
próbowałam znaleźć usunięte pliki, ale wyglada na to że w komputerze nie ma ich, za to gdy chcę uruchomić program Combofix avast pokazuje mi informację o tym koniu trojańskim -(Win32:Dadobra-EY w C:\ComboFix\Cfiles.cf) . Poza tym nic nie rozumiem, bo problem, od którego to sie zaczęlo zniknął-avast nie ryczy, że mam Win32:Ad-ware, a przy zamykaniu komputera nie ma natrętnego programu brdr, który musiałam wyłączać ręcznie. Wygląda na to,że program,który miał mi pomóc obrócił się przeciwko mnie. Próbowałam wykonać akcję,którą zalecał użytkownik Guttek 2222, ale wydaje mi się,że mam cos nie tak z administratorem. Nie piszę o tym, bo kojarzę,że ten problem był na rzecz u mnie jakieś 2 miesiące temu jak mój znajomy robił mi komputer-dopiero jak się z nim spotkam wyjaśnię tę kwestję, bo nie pamiętam. mam jeszcze pytanie co mam dalej robić? Od jakiś dwóch tygodni na moją skrzynkę, “ktoś” przysyła mi rzekomo kartki, ale po odtwarciu avast znowu ryczy,że to trojan! Co mam dalej robic z moim kompem? - z r o z p a c z o n a
Złączono Posta : 22.08.2007 (Sro) 13:25
te programy co miały być usunięte działają co do jednego, więc o co tu chodzi? mam wyrzucić tego zainfekowanego combofixa z komputera i czy to coś pomoże?co dalej?
jessica
(jessica)
22 Sierpień 2007 11:35
#13
Antivirusy często wszczynają alarm na ComboFixa, bo on ma wbudowany w siebie moduł niszczenia “wirusów”, a niby skąd Antivirus ma wiedzieć, że ten moduł usuwa tylko “wirusy”.
Można ustawić w Antivirusie, żeby omijał ComboFixa.
Chociaż, jeśli ComboFix u Ciebie usuwa prawidłowe pliki, to może rzeczywiście jest jakiś zarażony.?
Możesz go usunąć, a zainstalować ewentualnie potem od nowa.
Mam nadzieję, że te programy bez tych usuniętych plików będą cały czas jakoś działały.
jessi