Win32/polipos


(Szymon Wiencek) #1

infekcja nastapila najprawdopodobniej z niezaufanego pendriva ... avira free sobie nie poradzil ... przeinstalowalem na AVG free niby zadzialal ale dalej co chwila wyskakuje ze cos jest zainfekowane

HJT:


(deFco247) #2

Zawartość logów wklejasz na wklej.org, wklej.to lub nopaste.pl, a w poście dajesz link.

Vundo w pełnej okazałości...

Wyłącz i włącz Przywracanie systemu na wszystkich dyskach. Instrukcja XP.

Pobierz Dr.Web CureIt, już w czasie pobierania zmień mu nazwę na losową z rozszerzeniem .com

Wykonaj pełny skan , lecz co się da, reszta do usunięcia.

Następnie pobierz KVRT, również pełny skan, lecz/usuwaj co znajdzie.

Następnie pobierz Combofix, zapisz w podobny sposób jak Dr.Web - pod losową nazwą z rozszerzeniem .com.

Przed uruchomieniem odinstaluj wszelkie programy tworzące wirtualne napędy (Daemon Tools, Alcohol itp.) oraz usuń sterownik SPTD narzędziem SPTDInst z opcji Uninstall (jeśli będzie zszarzałe, to OK).

Podczas pobierania i skanowania Combofixem należy wyłączyć wszelkie antywirusy i firewalle.

Pokaż log.


(Szymon Wiencek) #3

logo combo po Dr Web i KVRT

http://wklej.org/id/275746/


(deFco247) #4

To nie jest log Combofix, nawet nie wiem z czego to jest.

Chociaż informacji podaje dosyć dużo...


(Szymon Wiencek) #5

tym razem combo chyba wlasciwe juz

http://wklej.org/id/275766/


(deFco247) #6

Otwórz Notatnik i wklej do niego:

c:\program files\AVG\AVG9\avgtray .exe

c:\program files\iTunes\ituneshelper .exe

c:\program files\Java\jre6\bin\jusched .exe

c:\program files\Lenovo\Client Security Solution\cssauth .exe

c:\program files\Lenovo\PkgMgr\HOTKEY\tphkmgr .exe

c:\program files\QuickTime\qttask .exe

c:\program files\Razer\Diamondback\razerhid .exe

c:\program files\ThinkPad\ConnectUtilities\actray .exe

c:\program files\ThinkPad\ConnectUtilities\acwlicon .exe

c:\program files\ThinkPad\Utilities\tpkmapap .exe

c:\program files\ThinkVantage\PrdCtr\lpmgr .exe

c:\program files\Toshiba\TOSHIBA Multimedia Center\Surround Mixer\ctsysvol .exe


Registry::

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"cssauth"=-

"ACWLIcon"=-

Plik zapisz pod nazwą CFScript , najlepiej w tym samym folderze co Combofix.exe

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę Combofix.exe

Powinno się rozpocząć usuwanie.

_ Potem dajesz log z usuwania Combofix. _


(Szymon Wiencek) #7

log po usuwaniu cimbofix`em

http://wklej.org/id/275829/


(deFco247) #8

W logu nadal widać pliki podmienione przez Vundo:

c:\program files\AVG\AVG9\avgtray .exe

c:\program files\iTunes\ituneshelper .exe

c:\program files\Java\jre6\bin\jusched .exe

c:\program files\Lenovo\Client Security Solution\cssauth .exe

c:\program files\Lenovo\PkgMgr\HOTKEY\tphkmgr .exe

c:\program files\QuickTime\qttask .exe

c:\program files\Razer\Diamondback\razerhid .exe

c:\program files\ThinkPad\ConnectUtilities\actray .exe

c:\program files\ThinkPad\ConnectUtilities\acwlicon .exe

c:\program files\ThinkPad\Utilities\tpkmapap .exe

c:\program files\ThinkVantage\PrdCtr\lpmgr .exe

c:\program files\Toshiba\TOSHIBA Multimedia Center\Surround Mixer\ctsysvol .exe

Spróbuj je ręcznie usunąć w trybie awaryjnym. http://technet.microsoft.com/pl-pl/libr ... 10%29.aspx

Po tym zastosuj OTC.

Wyczyść rejestr i dysk CCleaner.

No i reinstalacja całego uszkodzonego oprogramowania.


(Szymon Wiencek) #9

tzn usunac te wszystkie pliki? wirusow juz nie ma? moge zamiast reinstalowac programy uzyce backupu IBM ktory robilem instalacji systemu?


(deFco247) #10

Jeśli masz taki backup, to będziesz musiał partycję systemową formatować o ile się nie mylę.

Te pliki to w zasadzie są wirusy. Vundo to taki szkodnik, który podmienia pliki programów trojanami.


(Szymon Wiencek) #11

daje log combofix po nastepujacych czynnosciach reczne usuwanie zainfekowanych plikow OTC, CC, eset online scanner

http://wklej.org/id/276060/

mam nadzieje ze juz bedzie czysto bo straty w systemie olbrzymie nawt notatnika, IE i installera mi usunelo :frowning:


(deFco247) #12

Do usunięcia jeszcze:

c:\program files\ThinkVantage\PrdCtr\lpmgr .exe

Poza tym w logu czysto.

Start -> Uruchom... -> Combofix /uninstall

Na brak systemowych plików użyj polecenia sfc /scannow: http://www.elektroda.pl/rtvforum/topic1374149.html


(Szymon Wiencek) #13

urzylem tej komendy sfc/scannow niby wszystko ok ale instalator windows nadal nie dziala i nie moge wielu rzeczy zainstalowac :confused:


(deFco247) #14

On nie jest dołączany do systemu, więc musisz go zainstalować oddzielnie od nowa.

u ż yłem


(Szymon Wiencek) #15

z instalerem sie uporalem w koncu ... ale po zainstalowaniu AVG free i Anti Malware oba wykrywy polipa i cryptora w plikach chyba odzyskiwania systemu c:/... restrore ... co dalej dawac jakies logi czy usunac to jakos mozna?


(deFco247) #16

Wyłącz i włącz Przywracanie Systemu na wszystkich dyskach. Instrukcja XP.