se3a
(se3a)
17 Październik 2008 08:28
#1
Witam, mam problem. Otóż do mojego komputera wkradł się jakiś wirus, bynajmniej system tak to odczytuje.
Na pasku zadań przy godzinie pojawił się komunikat, a w zasadzie napis: VIRUS ALERT.
Oto błędy które pojawiły się po zainfekowaniu komputera:
napis Virus Alert przy godzinie
nowe programy na pulpicie: Malware Defender, Protect Your Privacy, System Error Fixer
część ikon gier znikła z pulpitu
w menu start brak panelu sterowania, programów, opcji wyloguj oraz restart komputera
kiedy chcę włączyć menedżera zadań (ctrl+alt+del) wychodzi, że administrator wyłączył tę opcję
Firefox się nie włącza - wychodzi awaria
Teraz skanuję system anty wirusem (Symantec Antivirus), jak na razie program nie znalazł żadnych. Macie jakiś sposób na tego robaka, lub jakieś inne pomysły?
Czy został mi tylko format dysku C?
natarcie1
(natarcie_)
17 Październik 2008 08:35
#2
se3a
(se3a)
17 Październik 2008 08:49
#3
Logi:
Dodam tylko, że po skanowaniu komputera Combofix’em napis Virus Alert znikł, lecz pozostałe błędy nadal są. Teraz wszedłem w katalogi gier, a tam nie ma w ogóle ikon i nie mogę w nic grać
Usuń te wpisy w HJT (niektórych może już nie być więc się nie przejmuj)
Uruchom HijackThis - Do a system scan only - w oknie programu pokaże się log - zaznacz kratki przy podanych wpisach - klikasz Fix checked
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wm … Ojg5&lid=2 O2 - BHO: QXK Olive - {083B32AD-4448-4F60-B38B-BBD1C8197630} - C:\WINDOWS\grfxbanodkx.dll O3 - Toolbar: rosqxvmn - {148BDBE0-051C-4B70-84B3-889274D33E60} - C:\WINDOWS\rosqxvmn.dll O4 - HKLM…\Run: [C] C:\WINDOWS\system32\RegSvr32.exe /s C:\WINDOWS\system32\V0420Cvw.dll O4 - HKLM…\Run: [V0420Mon.exe] C:\WINDOWS\V0420Mon.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 O9 - Extra button: Wyślij do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - (no file) O9 - Extra ‘Tools’ menuitem: Wyślij &do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - (no file) O20 - AppInit_DLLs: syrxdo.dll O21 - SSODL: srvact - {18E80BB4-A9E3-0489-3B0F-090AB52F67C5} - C:\Program Files\pxmvqig\srvact.dll O21 - SSODL: ngwstxfd - {A9398870-7CDB-4C6B-9EB5-3690C3C30E4F} - C:\WINDOWS\ngwstxfd.dll O21 - SSODL: qrbgltos - {F4568A69-B7FB-4880-BB5F-61BE27DAE7A5} - C:\WINDOWS\qrbgltos.dll
Pobierz Combofix ale nie uruchamiaj wklej do notatnika:
Zapisz plik jako CFScript.txt najlepiej aby ikonka tego pliku znajdowała się obok ikonki ComboFix.exe
Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe powinno rozpocząć się usuwanie po tym daj log na forum.
Loga wklej na http://www.wklejto.pl lub http://www.wklej.org/ a w poście daj linka
se3a
(se3a)
17 Październik 2008 09:45
#5
ComboFix to jednak cudo, zrobiłem to co napisał powyżej spandaupol i wszystko wróciło do normy.
Na pulpicie są ikony, w menu start też wszystko jest.
Dzięki chłopaki naprawdę.
Jeszcze logi, o które prosiłeś:
Aha, jeszcze pytanko. Po skanowaniu pojawił się folder Qoobox - mogę go usunąć?
Logi wyglądają na czyste.
usuń ręcznie folder C: \Qoobox oraz instalkę Combofix z dysku.
Przeczyść system oraz rejestr CCleaner
Wykonaj optymalizacje Autostartu
Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja
Przeskanuj obszar Mój komputer Kaspersky Online Scanner Uruchom pod IE daj raport na forum
lub Dr.WEB CureIt!
se3a
(se3a)
17 Październik 2008 11:47
#7
Coś znów się pieprzy - przepraszam za określenie.
System znów nie chce uruchomić przeglądarki Firefox, jak na razie tylko to. AntyWirus zaczął wyszukiwac wirusy, dokładnie:
pliki zarażone: windfr.exe, WevKx1zFE1[1].exe, pwrmgr.exe RWLjxMcq3[1].exe
Klikam aby je usunął, ale dalej wychodzą…
System narobił na każdym dysku pliki Autorun.exe
Nie wiem, czy skanować jeszcze raz komputer ComboFixem?
Jeśli wcześniej tego nie miałeś możesz usunąć
Wyłącz przywracanie systemu na wszystkich dyskach. Instrukcja
Pobierz i użyj Malwarebytes’ Anti-Malware Instrukcja i program tutaj http://cybertrash.pl/Tata/MBAM/Malwareb … lware.html Wykonaj pełne skanowanie. Daj log na forum.
se3a
(se3a)
17 Październik 2008 13:08
#9
Zainstalowałem Kasperskiego, program na powitanie znalazł sześć trojanów na dysku C:/, a pamiętajmy, że mam trzy dyski…
Dalej skanuję dysk C:/ zobaczę czy coś się zmieni.
spandaupol
(Spandau)
17 Październik 2008 13:10
#10
se3a:
Zainstalowałem Kasperskiego, program na powitanie znalazł sześć trojanów na dysku C:/, a pamiętajmy, że mam trzy dyski… Dalej skanuję dysk C:/ zobaczę czy coś się zmieni.
Daj raport z Kasperskiego na forum oczywiście po zakończeniu skanowania obszaru Mój komputer
se3a
(se3a)
18 Październik 2008 08:10
#11
Raport ze skanowania:
Pełne skanowanie: zakończono 2008-10-17 15:36 (zdarzeń: 22, obiektów: 244836, czas: 00:39:29) 2008-10-17 15:36 Zadanie zostało zakończone 2008-10-17 15:36 Nieprzetworzony: Heur.Trojan.Generic C:\Documents and Settings\Daniel & Sebastian\Ustawienia lokalne\Temporary Internet Files\Content.IE5\YAEZNLA9\nd82m0[1] Zapisano w raporcie 2008-10-17 15:36 Zagrożenie: Heur.Trojan.Generic C:\Documents and Settings\Daniel & Sebastian\Ustawienia lokalne\Temporary Internet Files\Content.IE5\YAEZNLA9\nd82m0[1] 2008-10-17 15:36 Zagrożenie: Heur.Trojan.Generic C:\WINDOWS\system32\foacqsun.dll 2008-10-17 15:36 Zagrożenie: Heur.Trojan.Generic C:\WINDOWS\system32\awtUoPiJ.dll 2008-10-17 15:33 Nieprzetworzony: Heur.Trojan.Generic C:\WINDOWS\system32\foacqsun.dll Odroczony 2008-10-17 15:33 Zagrożenie: Heur.Trojan.Generic C:\WINDOWS\system32\foacqsun.dll 2008-10-17 15:33 Nieprzetworzony: Heur.Trojan.Generic C:\WINDOWS\system32\awtUoPiJ.dll Odroczony 2008-10-17 15:33 Zagrożenie: Heur.Trojan.Generic C:\WINDOWS\system32\awtUoPiJ.dll 2008-10-17 15:05 Nieprzetworzony: Heur.Trojan.Generic C:\Documents and Settings\Daniel & Sebastian\Ustawienia lokalne\Temporary Internet Files\Content.IE5\YAEZNLA9\nd82m0[1] Odroczony 2008-10-17 15:05 Zagrożenie: Heur.Trojan.Generic C:\Documents and Settings\Daniel & Sebastian\Ustawienia lokalne\Temporary Internet Files\Content.IE5\YAEZNLA9\nd82m0[1] 2008-10-17 15:05 Nieprzetworzony: Heur.Trojan.Generic C:\Documents and Settings\Daniel & Sebastian\Ustawienia lokalne\Temporary Internet Files\Content.IE5\M9BZOPPU\cntr[2] Odroczony 2008-10-17 15:05 Zagrożenie: Heur.Trojan.Generic C:\Documents and Settings\Daniel & Sebastian\Ustawienia lokalne\Temporary Internet Files\Content.IE5\M9BZOPPU\cntr[2] 2008-10-17 15:05 Nieprzetworzony: Heur.Trojan.Generic C:\Documents and Settings\Daniel & Sebastian\Ustawienia lokalne\Temporary Internet Files\Content.IE5\M9BZOPPU\cntr[1] Odroczony 2008-10-17 15:05 Zagrożenie: Heur.Trojan.Generic C:\Documents and Settings\Daniel & Sebastian\Ustawienia lokalne\Temporary Internet Files\Content.IE5\M9BZOPPU\cntr[1] 2008-10-17 15:05 Nieprzetworzony: Trojan-Downloader.Win32.Agent.ahbi C:\Documents and Settings\Daniel & Sebastian\Ustawienia lokalne\temp\dl.exe Odroczony 2008-10-17 15:05 Zagrożenie: Trojan-Downloader.Win32.Agent.ahbi C:\Documents and Settings\Daniel & Sebastian\Ustawienia lokalne\temp\dl.exe 2008-10-17 15:03 Nieprzetworzony: Trojan-Downloader.Win32.Agent.ahbi C:\Documents and Settings\Daniel & Sebastian\Pulpit\crack\pes2009.exe/dl.exe Odroczony 2008-10-17 15:03 Zagrożenie: Trojan-Downloader.Win32.Agent.ahbi C:\Documents and Settings\Daniel & Sebastian\Pulpit\crack\pes2009.exe/dl.exe 2008-10-17 14:57 Nieprzetworzony: Trojan-Downloader.Win32.Agent.ahbi C:\Autorun.exe Odroczony 2008-10-17 14:57 Zagrożenie: Trojan-Downloader.Win32.Agent.ahbi C:\Autorun.exe 2008-10-17 14:56 Zadanie zostało uruchomione
Wszystko wydaje się być ok, teraz defragmentuję dysk. Potem przejadę dla spokoju PC Combofixem - oczywiście podam log.
spandaupol
(Spandau)
18 Październik 2008 09:19
#12
Wyłącz przywracanie systemu na wszystkich dyskach. Instrukcja
Pobierz Combofix ale nie uruchamiaj wklej do notatnika:
Zapisz plik jako CFScript.txt najlepiej aby ikonka tego pliku znajdowała się obok ikonki ComboFix.exe
Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe powinno rozpocząć się usuwanie po tym daj log na forum.
Loga wklej na www.wklejto.pl lub http://www.wklej.org/ a w poście daj linka
spandaupol
(Spandau)
18 Październik 2008 14:13
#14
Log wygląda na czysty.
usuń ręcznie folder C: \Qoobox oraz instalkę Combofix z dysku.
Przeczyść system oraz rejestr CCleaner
Wykonaj optymalizacje Autostartu
Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja
Przeskanuj obszar Mój komputer Kaspersky Online Scanner Uruchom pod IE daj raport na forum
lub Dr.WEB CureIt!
mahosia
(Xiz)
27 Październik 2008 22:37
#16
se3a:
Witam, mam problem. Otóż do mojego komputera wkradł się jakiś wirus, bynajmniej system tak to odczytuje. Na pasku zadań przy godzinie pojawił się komunikat, a w zasadzie napis: VIRUS ALERT.
Hej! Też mnie ■■■■■■■ odwiedziła i się tu dokształcam na Waszych doświadczeniach. Przeskanowałam system combofixem i otrzymałam takiego oto loga: http://www.wklejto.pl/13263 , a później spuściłam CFScripta na combofixa i otrzymałam takiego loga: http://www.wklej.org/id/13174/ . Póżniej zrestartowałam kompa i wywaliłam tego pana na “Q” z dysku C. Na koniec powymietywałam system, poskanowałam czym się dało i czemu w miarę ufam - na razie system działa, ale nadal się nad nim trzęsę. Bardzo proszę kogoś życzliwego, np. Spandaupola o zerknięcie na logi i danie mi odpowiedzi czy jest się jeszcze czego bać. Dziękuję z góry i pozdrawiam serdecznie!
P.S. Po wszystkim jeszcze się przejechałam doradzanym tu DR WEBEm i znalazł mi kilka trojanów… jak? czemu? ręce opadają… Wyświetlił mi się też komunikat w Doktorze, że Archiwum Combo.exe jest zainfekowane i pytanie czy przenieść - jak wciskam tak, to odmawia dostępu, więc musiałam wcisnąć nie. ech…
system
(system)
28 Październik 2008 13:18
#17
Tak jak napisal spandaupol uzyj tego programu Malwarebytes’ Anti-Malware, mialem to samo ale ten program zlikwidowal tego trojana. U mnie byly melodyjki, zmiana tapety na hiperlacze a co najlepsze zmienil mi uprawnienia i sam zajal konto administratora, byl bol ale program pomogl.
huber2t
(huber2t)
29 Październik 2008 04:53
#18
Pobierz ComboFix , ale nie uruchamiaj
Wklej do notatnika:
File::
C:\WINDOWS\vwnskbot.dll
C:\WINDOWS\qnflkotm.dll
C:\WINDOWS\woprdagt.exe
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"qnflkotm"=-
Plik -> zapisz jako -> CFScript.txt .
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->
Rozpocznie się usuwanie i powstanie log, który dasz na forum.
Logi dajesz na http://wklej.eu lub na http://wklej.org a w poście dajesz tylko link