_ARThe
(Diwad)
30 Lipiec 2008 17:45
#1
http://www.wklej.org/id/c5c922091a - tryb awaryjny użytkownik administrator
http://www.wklej.org/id/c94b663055 - tryb awaryjny tu występują objawy wirusa
Wirus bardzo upierdliwy. Koło zegarka napis wirus alert! co chwile wyskakujące okienka i chmurki informujące o zainfekowaniu.
Co chwile otwiera się przeglądarka z jakąś stroną z której mam pobrać antidotum.
Menadżer zadań, edytor rejestru, dyski C i D - zablokowane.
Menu start strasznie okrojone.
Leon1
(Leon$)
30 Lipiec 2008 18:27
#2
wpisy
O2 - BHO: QXK Olive - {73DBA9DC-3633-4958-9034-01132EE94A9D} - C:\WINDOWS\nfavxwdbxgd.dll O3 - Toolbar: fdkowvbp - {26422E77-A827-4834-8FC5-08EE3EF7E211} - C:\WINDOWS\fdkowvbp.dll O4 - HKLM…\Run: [advap32] C:\DOCUME~1\Dawid\USTAWI~1\Temp\scksexde.exe/r O4 - HKCU…\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 O4 - HKCU…\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,4,N O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra ‘Tools’ menuitem: @xpsp3res.dll ,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll O21 - SSODL: eqvwamkl - {97FA20DB-6DF4-43D7-B253-3BB930FA8436} - C:\WINDOWS\eqvwamkl.dll O21 - SSODL: wnslvxtf - {B91B967A-0A2E-425F-BE69-60D6E970BAEE} - C:\WINDOWS\wnslvxtf.dll
usuń HijackThisem >> Fix checked
Pobierz Combofix http://www.searchengines.pl/index.php?s … ntry395642 ale nie włączaj.
Otwórz notatnik i wklej
zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe
http://img.wklej.org/images/88953CFScri … iemoes.gif
Powinno rozpocząć się usuwanie
Potem log z usuwania Combofix
drugie konto
wpisy
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wm … Ojg5&lid=2 O2 - BHO: QXK Olive - {73DBA9DC-3633-4958-9034-01132EE94A9D} - C:\WINDOWS\nfavxwdbxgd.dll O3 - Toolbar: fdkowvbp - {26422E77-A827-4834-8FC5-08EE3EF7E211} - C:\WINDOWS\fdkowvbp.dll O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra ‘Tools’ menuitem: @xpsp3res.dll ,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll O21 - SSODL: eqvwamkl - {97FA20DB-6DF4-43D7-B253-3BB930FA8436} - C:\WINDOWS\eqvwamkl.dll O21 - SSODL: wnslvxtf - {B91B967A-0A2E-425F-BE69-60D6E970BAEE} - C:\WINDOWS\wnslvxtf.dll
usuń HijackThisem >> Fix checked
Otwórz notatnik i wklej
zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe
http://img.wklej.org/images/88953CFScri … iemoes.gif
Powinno rozpocząć się usuwanie
Potem log z usuwania Combofix
po zrobieniu na Admin. na drugim koncie może niektórych wpisów już nie być usuń te które znajdziesz
_ARThe
(Diwad)
30 Lipiec 2008 19:40
#3
zacząłem od konta administratora i po usunięciu błędów w hijack i combofix zniknęły one również z drugiego użytkownika.
http://www.wklej.org/id/89c9b4588c - log z konta administratora z combofix
wszystkie objawy wirusa ustąpiły na koncie administratora i pierwszego uzytkownika
na koncie drugiego uzytkownika wiekszosc objawów jeszcze zostało: okrojone menu start, zablokowany menadżer zadan itd.
wiec dołączam log trzeciego uzytkownika http://www.wklej.org/id/40711a3794
już dziękuje bo i tak dużo już się poprawiło
Leon1
(Leon$)
30 Lipiec 2008 19:58
#4
trzeci
wpisy
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wm … Ojg5&lid=2 O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
usuń HijackThisem >> Fix checked
administrator
log czysty
zrób optymalizacje uruchamiania
http://cybertrash.netarteria.pl/cyber/i … 378.0.html
usuń ręcznie folder C: \Qoobox usuń instalkę Combofix z dysku.
Wyłącz I włącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl
przeskanuj obszar Mój komputer http://www.kaspersky.pl/virusscanner.html pokaż raport stronę uruchomić przez IE
_ARThe
(Diwad)
30 Lipiec 2008 23:49
#5
Raport ze skanowania kasperskym
http://www.wklej.org/id/6cb356e9f6
chyba większość ograniczeń usunąłem w rejestrze
dzięki bardzo