Wirus blokuje internet!

Dnia 16 stycznia 2009r. przestał mi działać internet. Zupełnie nie wiem dlaczego. Postanowiłem włączyć przywracanie systemu na dzień 15 stycznia i internet znów zaczął działać. Czy to oznacza, że miałem jakiegoś wirusa? Czy jeżeli powrócę do ustawień z przed przywrócenia systemu, to internet będzie działał? Dodam, że mam neostradę, a błąd, jaki mi wyskakiwał, to “nazwa użytkownika i/lub hasło są nieprawidłowe w tej domenie”, chociaż robiłem wszystko tak jak zawsze, tz. logowanie itd… A jak nie to, to “Komputer zdalny nie odpowiedział…” Proszę pomóżcie. I jak można sprawdzić, czy komputer jest na 100% czysty. Hijackiem?

Podaj log z HijackThis. Instrukcja :arrow: viewtopic.php?f=16&t=36654

Podaj log z Combofix. Instrukcja :arrow: viewtopic.php?f=16&t=36654

Logi dajesz na wklej.org lub wklej.eu a w poście podajesz tylko link.

Bez paniki. Miałem dokładnie to samo. Po telefonie do Biura Obsługi okazało się że 16.01.09 Neostrada miała awarię. Przypuszczalny czas usunięcia awarii ok. godziny 1 16/17.01. Dziś już wszystko śmiga. Objawy miałem identyczne jak opisujesz i postępowałem dokładnie tak samo.

Logi z Hijack this i ComboFix:

- Hijack This : http://wklej.org/id/40582/

- ComboFix: http://wklej.org/id/40585/

Fix w HijackThis. Instrukcja :arrow: viewtopic.php?f=16&t=36654

Log z Combofixa do sprawdzenia.

Czyli, że jak to pousuwam, to znaczy, że mój komp jest czysty?

Dodane 17.01.2009 (So) 21:07

Pousuwałem mniej więcej to co pokazałeś, ale nie wszystko. Niektóre z tych rzeczy pojawiają się tylko w logu,np:

R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - (no file)

O2 - BHO: (no name) - {6D023EBF-70B8-45A6-9ED5-556515FA0FE4} - (no file)

O2 - BHO: Mirar - {9A9C9B69-F908-4AAB-8D0C-10EA8997F37E} - (no file)

O3 - Toolbar: Mirar - {9A9C9B68-F908-4AAB-8D0C-10EA8997F37E} - (no file)

Tego nie ma w tym okienku, gdzie jest “Fix checked”, tylko jest w logu, czyli pliku w notatniku.

Czy mam jeszcze raz coś zrobić z tym combo fixem?

Do wyleczenia pendrive z wirusów użyj tych programów

otwórz notatnik i wklej

Z menu Notatnika -> Plik -> Zapisz jako -> Zmień rozszerzenie z .txt na wszystkie pliki -> zapisz pod nazwą Fix.reg

Uruchom ten plik, uruchom ponownie komputer

usuń ręcznie folder C:\Qoobox , usuń instalkę Combofix z dysku.

Przeczyść system Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar całego komputera http://www.kaspersky.pl/virusscanner.html Daj raport z niego na forum

lub

Dr.WEB CureIt!

sorki, ale tych wpisów z optymalizacji autostartu kompletnie nie mogę znaleźć. Kasacji z prawokliku u mnie nie ma, bo autostart jest pusty, w javie nic takiego nie ma. To samo tyczy się “msconfig”. Nie mogę tam niczego znaleźć.

Dodane 17.01.2009 (So) 23:54

Postanowiłem zrobić te kroki:

otwórz notatnik i wklej

Windows Registry Editor Version 5.00

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

Z menu Notatnika -> Plik -> Zapisz jako -> Zmień rozszerzenie z .txt na wszystkie pliki -> zapisz pod nazwą Fix.reg

Uruchom ten plik, uruchom ponownie komputer

usuń ręcznie folder C:\Qoobox , usuń instalkę Combofix z dysku.

Przeczyść system Ccleanerem

Przeskanuj obszar całego komputera Dr.WEB CureIt!

Dodane 18.01.2009 (N) 1:55

Dr.Web Curelt! wykrył mi coś takiego:

A0132035.bat;C:\System Volume Information_restore{A291243B-23F1-419D-B57B-E7466D51CA7D}\RP452;Prawdopodobnie BATCH.Virus;Niewyleczalny.Usunięty.;

A0132060.DLL;C:\System Volume Information_restore{A291243B-23F1-419D-B57B-E7466D51CA7D}\RP453;Tool.Hatkeys;Niewyleczalny.Usunięty.;

A0132068.bat;C:\System Volume Information_restore{A291243B-23F1-419D-B57B-E7466D51CA7D}\RP453;Prawdopodobnie BATCH.Virus;Niewyleczalny.Usunięty.;

pskill.exe;C:\WINDOWS\system32;Tool.Prockill;Niewyleczalny.Usunięty.;

Dodane 18.01.2009 (N) 2:01

Czy te wirusy to coś groźnego?

I jeszcze jedno. Avast wykrywa mi czasami jakąś bombę dekompresyjną i nie może jej przeskanować. Po każdym jej usunięciu ponawia się. Jest to najczęściej w

C:\Documents and Settings\Wojtek\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\0s7epugp.default\Cache

Czasami Mozille podmieniało na operę.

Czy bomba dekompresyjna to coś groźnego i czy należy się jej obawiać?

Pobierz The Avenger

wklej do niego ten tekst:

Files to delete:

C:\Documents and Settings\Wojtek\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\0s7epugp.default\Cache

C:\Documents and Settings\Wojtek\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\0s7epugp.default

kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

http://wklej.org/id/40881/

To link do raportu z Avengera.

Co oznaczają te wirusy z Dr.Web Curelt!?

Pobierz The Avenger, zaznacz poniższy tekst

Skopiuj :arrow: Kliknij na Paste Script from Clipboard :arrow: Execute :arrow: Potwierdzasz i zgadzasz się na restart klikając OK.

:!: Po wykonaniu skasuj z dysku C:\Avenger\backup.zip i wklej raport na forum C:\avenger.txt

Instrukcja programu :arrow: http://helpc.eu/viewtopic.php?f=26&t=20

Link do avenger.txt

http://wklej.org/id/40907/

Foldery zostały usunięte. Dla pewności możesz przeskanować system jeszcze raz.