Win32:Adware-gen Pomocy-jak się tego pozbyć?


(Mm30) #1

Witam,

Proszę o pomoc. Jako zypełny laik komputerowy muszę zmierzyć się z problemem natretnego reklamiarza. Od jakiegoś czasu przy zamykaniu systemu mam problem bo pojawia się program brdr, który musi byc zamkniety manualnie, bo inaczej kom. się nie wyłączy. Uzywam od dłuższego czasu avast wersja 4.7 professional, który co jakiś czas daje alert o wykryciu reklamiarza. Mam niby nie wpadać w panikę, ale bierze mnie nie powiem co, bo avast ani go nie usuwa ani zalecana kwarantanna nie pomaga.Dostaję alert,że zainfekowany plik to C:\WINDOWS\system32\twinrmdt.exe, ale za groma nie mogę go znaleźć, bo jestem zupełny cienias w tej kwestii i nie ma wokół mnie jakiś informatyków do pomocy, więc sama muszę sobie poradzić. Proszę o krok-po-kroku guidance,please. Obiecuję dozgonna wdzięczność! mgirlm


(jessica) #2

Tak "w ciemno" to się nie da. :slight_smile: I na dodatek KRZYCZYSZ na nas! :frowning:

Daj log z ComboFixa (na dole tej strony z linku) -

Log wklej na http://wklej.org/, a w poście daj tylko link.

Mile widziany byłby także log z HijackThis. :slight_smile: :slight_smile:

jessi


(Mm30) #3


(Matil) #4

Prosze cię mgirlm, nie pisz z caps lockiem, wiem że nie jestem moderatorem etc. ale z capsem bardzo trudno się to czyta :lol:


(Mm30) #5

juz nie będę, obiecuję i przepraszam jeszcze raz


(Gutek) #6

Użyj SmitFraudFix wybierz opcji nr 2 , oczywiście w trybie awaryjnym i po tym nowy log z Combofix

Uwaga: Jak wklejasz loga to obejmuj go znacznikiem (tagiem) CODE lub QUOTE

Pobierz program SDFix

-


(jessica) #7

Z logu ComboFixa wynika, że te wpisy są już bezplikowe, więc je sfiksuj w Hijacku:

>>Hijack>>scan(Do a system scan only)>>zaznacz je >> Fix checked.

Wklej do Notatnika :

File::

C:\WINDOWS\system32\winpfz32.sys


Folder::

C:\DOCUME~1\Marta\DANEAP~1\Hold Knob Second

C:\Program Files\Hold Knob Second

>>Plik>>Zapisz jako... >>> CFScript (najwygodniej będzie,

jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

(czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku -->

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie.

Po restarcie usuń ręcznie folder C: **** Qoobox.

Nie wiem, które jeszcze wpisy należą do infekcji "LOP" , którą dodatkowo masz.

Te wpisy trudno rozpoznać, bo są podobne do normalnych Aplikacji/progamów.

Daj potem lo z ComboFixa.

EDIT:

Pisałam w tym czasie, gdy dostałaś już odpowiedź, ale możesz wykonać zarówno moje zalecenie, jak i @Gutka2222 - nie są ze sobą sprzeczne, tylko się uzupełniają. :slight_smile:

jessi


(Gutek) #8

mgirlm proszę użyj jeszcze SmitFraudFix i SDFix


(Monczkin) #9

mgirlm NIE KRZYCZ, zmień litery na małe i popraw posta z logami, obejmując je znacznikami. Inaczej temat wyleci.


(Mm30) #10

Postąpując zgodnie z instrukcjami zrobiłam to co kazała mi jessica , napotkałam problem-przy robieniu scanu systemu w Hijack'u jednego bezplikowego wpisu nie znalazłam, chodzi o O4 - HKLM..\Run: [{2D-D7-75-56-ZN}] C:\windows\system32\lqdsrngr.exe P2D002 , resztę sfiksowałam.

Następnie przy przeciąganiu pliku CFScript na plik ComboFix.exe odezwał się avast - wykrył konia trojańskiego (Win32:Dadobra-EY w C:\ComboFix\Cfiles.cf)

Dodaję log z ComboFix'a, który otrzymałam już po wszystkim:


(jessica) #11

Coś tu jest niejasnego.

Oprócz plików, które miały być usunięte, ComboFix usunął także inne pliki, a przynajmniej tak wynika z jego sekcji "Other Deletions" w logu.

Są tam widoczne, oprócz złych plików, także zupełnie prawidłowe i potrzebne pliki.

Sprawdź, czy to tylko pomyłka w logu, czy też rzeczywiście ComboFix popełnił straszną pomyłkę i usunął prawidłowe pliki.

Te zaznaczone na czerwono miały być usunięte, - pozostałe nie miały być usuwane.

Sprawdź, wg ścieżek, czy faktycznie ComboFix je usunął.

Jeśli rzeczywiście je usunął to mamy wielki kłopot.

Gdyby nie została usunięta Kwarantanna (C:\Qoobox), to można by z niej wyciągnąć te potrzebne pliki.

Jeśli nie miałaś wyłączonego "Przywracania Systemu", to można by przywrócić System do jakiejś daty, gdy System był dobry.

Ale jeśli "Przywracanie" masz wyłączone, to pozostanie tylko reinstalacja systemu i programu. :frowning: :frowning:

Nigdy dotąd nie spotkałam się z taką pomyłką ComboFixa.

Miejmy nadzieję, że to tylko pomyłka w logu, a nie w usuwaniu!

jessi


(Mm30) #12

próbowałam znaleźć usunięte pliki, ale wyglada na to że w komputerze nie ma ich, za to gdy chcę uruchomić program Combofix avast pokazuje mi informację o tym koniu trojańskim -(Win32:Dadobra-EY w C:\ComboFix\Cfiles.cf) . Poza tym nic nie rozumiem, bo problem, od którego to sie zaczęlo zniknął-avast nie ryczy, że mam Win32:Ad-ware, a przy zamykaniu komputera nie ma natrętnego programu brdr, który musiałam wyłączać ręcznie. Wygląda na to,że program,który miał mi pomóc obrócił się przeciwko mnie. Próbowałam wykonać akcję,którą zalecał użytkownik Guttek 2222, ale wydaje mi się,że mam cos nie tak z administratorem. Nie piszę o tym, bo kojarzę,że ten problem był na rzecz u mnie jakieś 2 miesiące temu jak mój znajomy robił mi komputer-dopiero jak się z nim spotkam wyjaśnię tę kwestję, bo nie pamiętam. mam jeszcze pytanie co mam dalej robić? Od jakiś dwóch tygodni na moją skrzynkę, "ktoś" przysyła mi rzekomo kartki, ale po odtwarciu avast znowu ryczy,że to trojan! Co mam dalej robic z moim kompem? - z r o z p a c z o n a

Złączono Posta : 22.08.2007 (Sro) 13:25

te programy co miały być usunięte działają co do jednego, więc o co tu chodzi? mam wyrzucić tego zainfekowanego combofixa z komputera i czy to coś pomoże?co dalej?


(jessica) #13

Antivirusy często wszczynają alarm na ComboFixa, bo on ma wbudowany w siebie moduł niszczenia "wirusów", a niby skąd Antivirus ma wiedzieć, że ten moduł usuwa tylko "wirusy". :slight_smile:

Można ustawić w Antivirusie, żeby omijał ComboFixa.

Chociaż, jeśli ComboFix u Ciebie usuwa prawidłowe pliki, to może rzeczywiście jest jakiś zarażony.?

Możesz go usunąć, a zainstalować ewentualnie potem od nowa.

Mam nadzieję, że te programy bez tych usuniętych plików będą cały czas jakoś działały. :frowning:

jessi


(Gutek) #14

Pobierz program SDFix

-