ark111
(Arkowiec6)
3 Grudzień 2006 13:53
#1
mam problem ponieważ mam wirusa i nie wiem jak go usunąc. avast nie moze go usunąc. nazwa pasożyta: Win32:Delf-CFS [Trj]. bardzo prosze o pomoc
Poczytaj dokładnie:
http://forum.dobreprogramy.pl/viewtopic.php?t=36654
I wklej logi z HijackThis oraz SilentRunners
Joan
(Joan Sunshine)
3 Grudzień 2006 14:52
#4
Wyłączasz przywracanie systemu (Panel sterowania -> System -> Przywracanie systemu -> zaznaczasz „Wyłącz przywracanie systemu” ).
Użyj SmitFraudFix z opcji 2 w trybie awaryjnym.
W HJT odpalonym z trybie awaryjnym zaznaczasz wpisy i klikasz na dole “Fix checked” , to co na czerwono usuwasz ręcznie z dysku:
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sha123.com R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://client.jogo.cn/cdn/browser/sides … ch-en.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://client.jogo.cn/cdn/browser/custo … ch-en.html R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL (file missing) O2 - BHO: CdnForIE Class - {5C3853CF-C7E0-4946-B3FA-1ABDB6F48108} - C:\PROGRA~1\CNNIC\Cdn\cdnforie.dll (file missing) O2 - BHO: BandIE Class - {77FEF28E-EB96-44FF-B511-3185DEA48697} - C:\PROGRA~1\baidu\bar\baidubar.dll O2 - BHO: WMHlprObj Class - {F5824EFB-728A-4726-A5A5-85A68B20EDC3} - C:\PROGRA~1\CNNIC\Cdn\wmhlpr.dll O3 - Toolbar: °Ů¶Čł¬Ľ¶ËŃ°Ô - {B580CF65-E151-49C3-B73F-70B13FCA8E86} - C:\PROGRA~1\baidu\bar\baidubar.dll O4 - HKLM…\Run: [usbn] C:\WINDOWS\system32\usbn.exe -go -c200 -w1 O4 - HKLM…\Run: [rundll] C:\Program Files\Common Files\rundll.exe O4 - HKLM…\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O9 - Extra button: Chinese Navigation - {5C3853CF-C7E0-4946-B3FA-1ABDB6F48108} - C:\PROGRA~1\CNNIC\Cdn\cdnforie.dll (file missing) O9 - Extra ‘Tools’ menuitem: Chinese Navigation - {5C3853CF-C7E0-4946-B3FA-1ABDB6F48108} - C:\PROGRA~1\CNNIC\Cdn\cdnforie.dll (file missing) O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Documents and Settings\Kamil\Pulpit\zdjiecia\Ebay\Ebay.htm (file missing) O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab O16 - DPF: {33331111-1111-1111-1111-622221193458} - file://c:\ex.cab O16 - DPF: {64311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab O16 - DPF: {D7BF3304-138B-4DD5-8 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD3} - http://www.azebar.com/install/azesearch.cab O16 - DPF: {E55FD215-A32E-43FE-A777-A7E8F165F551} (Flatcast Viewer 4.15) - http://data.flatcast.com/NpFv415.dll O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - C:\WINDOWS\System32\vbsys2.dll (file missing)
Dajesz nowe logi z HJT i Silent Runners (zaznaczasz No i czekasz aż skończy pracować w tle) oraz koniecznie raport ze SmitFraudFix – plik c:\rapport.txt.
Bieniol
(Bbieniol)
3 Grudzień 2006 16:01
#5
Przed usuwaniem tego wszystkiego poczytaj -> Rootkit "Made in China"
I oprócz logów, o które prosi Joan , wrzuć jeszcze log z Gmera
Rootkit >>> zaznaczone Pokaż wszystko >>> wskazane tylko Usługi >>> Szukaj >>> Kopiuj >>> CTRL+V do Notatnika
Rootkit >>> odznaczone Pokaż wszystko >>> wskazane wszystkie obiekty do skanu >>> Szukaj >>> Kopiuj >>> CTRL+V do Notatnika