Wirus alert

_ARThe · 30 Lipiec 2008 17:45

http://www.wklej.org/id/c5c922091a - tryb awaryjny użytkownik administrator

http://www.wklej.org/id/c94b663055 - tryb awaryjny tu występują objawy wirusa

Wirus bardzo upierdliwy. Koło zegarka napis wirus alert! co chwile wyskakujące okienka i chmurki informujące o zainfekowaniu.

Co chwile otwiera się przeglądarka z jakąś stroną z której mam pobrać antidotum.

Menadżer zadań, edytor rejestru, dyski C i D - zablokowane.

Menu start strasznie okrojone.

Leon1 · 30 Lipiec 2008 18:27

wpisy

O2 - BHO: QXK Olive - {73DBA9DC-3633-4958-9034-01132EE94A9D} - C:\WINDOWS\nfavxwdbxgd.dll O3 - Toolbar: fdkowvbp - {26422E77-A827-4834-8FC5-08EE3EF7E211} - C:\WINDOWS\fdkowvbp.dll O4 - HKLM…\Run: [advap32] C:\DOCUME~1\Dawid\USTAWI~1\Temp\scksexde.exe/r O4 - HKCU…\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 O4 - HKCU…\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,4,N O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra ‘Tools’ menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll O21 - SSODL: eqvwamkl - {97FA20DB-6DF4-43D7-B253-3BB930FA8436} - C:\WINDOWS\eqvwamkl.dll O21 - SSODL: wnslvxtf - {B91B967A-0A2E-425F-BE69-60D6E970BAEE} - C:\WINDOWS\wnslvxtf.dll

usuń HijackThisem >> Fix checked

Pobierz Combofix http://www.searchengines.pl/index.php?s … ntry395642 ale nie włączaj.

Otwórz notatnik i wklej

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri … iemoes.gif

Powinno rozpocząć się usuwanie

Potem log z usuwania Combofix

drugie konto

wpisy

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wm … Ojg5&lid=2 O2 - BHO: QXK Olive - {73DBA9DC-3633-4958-9034-01132EE94A9D} - C:\WINDOWS\nfavxwdbxgd.dll O3 - Toolbar: fdkowvbp - {26422E77-A827-4834-8FC5-08EE3EF7E211} - C:\WINDOWS\fdkowvbp.dll O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra ‘Tools’ menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll O21 - SSODL: eqvwamkl - {97FA20DB-6DF4-43D7-B253-3BB930FA8436} - C:\WINDOWS\eqvwamkl.dll O21 - SSODL: wnslvxtf - {B91B967A-0A2E-425F-BE69-60D6E970BAEE} - C:\WINDOWS\wnslvxtf.dll

usuń HijackThisem >> Fix checked

Otwórz notatnik i wklej

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri … iemoes.gif

Powinno rozpocząć się usuwanie

Potem log z usuwania Combofix

po zrobieniu na Admin. na drugim koncie może niektórych wpisów już nie być usuń te które znajdziesz

_ARThe · 30 Lipiec 2008 19:40

zacząłem od konta administratora i po usunięciu błędów w hijack i combofix zniknęły one również z drugiego użytkownika.

http://www.wklej.org/id/89c9b4588c - log z konta administratora z combofix

wszystkie objawy wirusa ustąpiły na koncie administratora i pierwszego uzytkownika

na koncie drugiego uzytkownika wiekszosc objawów jeszcze zostało: okrojone menu start, zablokowany menadżer zadan itd.

wiec dołączam log trzeciego uzytkownika http://www.wklej.org/id/40711a3794

już dziękuje bo i tak dużo już się poprawiło

Leon1 · 30 Lipiec 2008 19:58

trzeci

wpisy

usuń HijackThisem >> Fix checked

administrator

log czysty

zrób optymalizacje uruchamiania

http://cybertrash.netarteria.pl/cyber/i … 378.0.html

usuń ręcznie folder C: \Qoobox usuń instalkę Combofix z dysku.

Wyłącz I włącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

przeskanuj obszar Mój komputer http://www.kaspersky.pl/virusscanner.html pokaż raport stronę uruchomić przez IE

_ARThe · 30 Lipiec 2008 23:49

Raport ze skanowania kasperskym

http://www.wklej.org/id/6cb356e9f6

chyba większość ograniczeń usunąłem w rejestrze

dzięki bardzo

huber2t · 31 Lipiec 2008 03:43

System bez wirusow