langaml
(Langaml)
15 Listopad 2009 22:26
#1
Witam
Proszę o pomoc - mój komputer jest zapewne zarażony. Na ogół nie chce wyświetlać stron i podaje standardowy komunikat (nie można wyświetlić strony). Czasem wyświetli jak kilka razy próbuję odświeżenia żądanego adresu. Wkrótce po uruchomieniu (nie zawsze) pojawia się komunikat, że svchost.exe wygenerował błędy i nastąpi jego zamknięcie. Bywa, że po uruchomieniu pojawia się okienko dos-owe z komunikatem, że jest jakiś problem z aplikacją upds.exe (kompletnie nie wiem o co chodzi). załączam log hijack i proszę o pomoc co i w jakiej kolejności zrobić.
a to moj log:
http://www.wklej.org/id/206566/
jessica
(jessica)
16 Listopad 2009 00:35
#2
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.bearshare.com/sidebar.html?src=ssb R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.bearshare.com/sidebar.html?src=ssb R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb R3 - URLSearchHook: BearShare MediaBar - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - E:\Program Files\BearShare applications\BearShare MediaBar\MediaBar.dll O2 - BHO: (no name) - {85F685C3-20D9-4943-95E4-EB4224056C3F} - (no file) O2 - BHO: XBTP02634 - {F97DA966-F09D-4cab-BF29-75A0026986EA} - E:\PROGRA~1\BEARSH~2\BEARSH~2\MediaBar.dll O3 - Toolbar: (no name) - {37B85A29-692B-4205-9CAD-2626E4993404} - (no file) O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file) O3 - Toolbar: BearShare MediaBar - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - E:\Program Files\BearShare applications\BearShare MediaBar\MediaBar.dll O3 - Toolbar: (no name) - {85F685C3-20D9-4943-95E4-EB4224056C3F} - (no file)
Te w/w wpisy sfiksuj w Hijacku:
>>Hijack>>scan(Do a system scan only)>>zaznacz je >>Fix checked.
Odpowiedź automatyczna: Log z Hijacka w dzisiejszych czasach to za mało, bo większość infekcji potrafi go ominąć. Zalecany log: >OTL Mile widziany dodatkowo log z >SRENG (Po uruchomieniu klik “SmartScan”, zaznacz “Verify…”, klik “Scan”, czekasz na raport, klik na “Save…”, potem na “Close”).
W OTL przed skanowaniem, ustaw jeszcze dodatkowe opcje poprzez wklejenie do pola “Custom Scans/Fixes”:
Następnie przestaw “Processes” i “Modules” na “All”, inne ustawienia zrób zgodnie z opisem narzędzia, i potem kliknij “Run Scan”,
Logi wklej na http://wklejto.pl/ , a w poście daj tylko linki(czyli skopiuj adres z paska adresów)
jessi
langaml
(Langaml)
18 Listopad 2009 10:39
#3
Monczkin
(Monczkin)
18 Listopad 2009 10:49
#4
langaml , popraw proszę tytuł na normalny konkretny. Zapoznaj się z zasadami nazywania tematów na forum. Inaczej temat zostanie usunięty.
jessica
(jessica)
18 Listopad 2009 11:38
#5
W logu OTL widać, że masz CONFICKERA.
Uruchom OTL i w oknie Custom Scans/Fixes wklej to:
:OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://search.bearshare.com/sidebar.html?src=ssb IE - HKCU…\URLSearchHook: {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - E:\Program Files\BearShare Applications\BearShare MediaBar\MediaBar.dll (IE Toolbar) O3 - HKLM…\Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - No CLSID value found. O3 - HKLM…\Toolbar: (no name) - {37B85A29-692B-4205-9CAD-2626E4993404} - No CLSID value found. O3 - HKLM…\Toolbar: (no name) - {85F685C3-20D9-4943-95E4-EB4224056C3F} - Reg Error: Value error. File not found O3 - HKLM…\Toolbar: (BearShare MediaBar) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - E:\Program Files\BearShare Applications\BearShare MediaBar\MediaBar.dll (IE Toolbar) O3 - HKCU…\Toolbar\ShellBrowser: (no name) - {37B85A29-692B-4205-9CAD-2626E4993404} - No CLSID value found. O3 - HKCU…\Toolbar\ShellBrowser: (BearShare MediaBar) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - E:\Program Files\BearShare Applications\BearShare MediaBar\MediaBar.dll (IE Toolbar) O3 - HKCU…\Toolbar\WebBrowser: (BearShare MediaBar) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - E:\Program Files\BearShare Applications\BearShare MediaBar\MediaBar.dll (IE Toolbar) O4 - HKLM…\Run: [RTHDCPL] File not found O4 - HKLM…\Run: [skyTel] File not found O4 - HKLM…\Run: [sMSERIAL] File not found O4 - HKLM…\Run: [userFaultCheck] File not found O4 - HKCU…\Run: [CTFMON.EXE] File not found O4 - HKCU…\Run: [Expressivo] File not found O4 - HKCU…\Run: [ExprOElauncher] File not found O4 - HKCU…\Run: [fachesdz] File not found O4 - HKCU…\Run: [Google Update] File not found O4 - HKCU…\Run: [mqxxnahn] File not found O4 - HKCU…\Run: [MSMSGS] File not found NetSvcs: eknou - E:\WINDOWS\system32\jmgbfryb.dll :Files E:\WINDOWS\system32\jmgbfryb.dll E:\WINDOWS\System32\vbsdfe1.dll E:\WINDOWS\System32\vbsdfe0.dll E:\WINDOWS\System32\mstmdm.dll E:\w98.com F:\w98.com E:\e.com F:\e.com E:\WINDOWS\system32\hwzipcfy.exe> E:\WINDOWS\system32\ormbebal.exe :Services eknou :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\eknou] :Commands [emptytemp] [resethosts] [Reboot]
Kliknij w Run Fix . Zatwierdź restart komputera.
Następnie uruchom OTL ponownie, tym razem wywołaj opcję Run Scan.
Pokaż nowy log OTL.txt oraz log z czyszczenia.
jessi
langaml
(Langaml)
18 Listopad 2009 17:35
#6
do admina: jak zmienic temat?
do jessi:
zrobilem to co napisales ale komp strasznie muli i chyba nic sie nie robi (tak 10min). to jest prtsc:
[http://rapidshare.com/files/308846344/b … u.bmp.html](http://rapidshare.com/files/308846344/bez tytu u.bmp.html)
jessica
(jessica)
18 Listopad 2009 17:57
#7
podpowiedź za Admina:
w swoim pierwszym poście kliknij u góry na przycisk “EDYTUJ”, potem w pole “Tytuł” wpisz: Wirus Conficker i kliknij u dołu na “Wyślij”.
Ja nie mam dostępu do "rapidshare, więc nie zobaczę, co tam jest.
Jeśli OTL się zawiesił, to trzeba czekać, bo twardy restart może się źle skończyć, kilka dni temu tak się właśnie skończyło.
jessi
langaml
(Langaml)
18 Listopad 2009 20:15
#8
nie no spokojnie przez ctrl+alt+del mozna wylaczyc OTL i tak zrobilem
ale co dalej?
bo probowalem ponownie i dalej meczy sie
jessica
(jessica)
18 Listopad 2009 20:22
#9
Daj log z ComboFix
EDIT:
Tylko od razu przy ściąganiu zapisz go pod jakąś inną nazwą (np. nmnmkk.com )
jessi
langaml
(Langaml)
18 Listopad 2009 23:25
#10
jessica
(jessica)
19 Listopad 2009 08:06
#11
Oba logi są z ComboFixa - po co dwa takie same?
Wklej do Notatnika :
File::
e:\windows\system32\jmgbfryb.dll
e:\windows\system32\mstmdm.dll
NetSvc::
eknou
Driver::
eknou
Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5749:TCP"=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"SuperHidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""
>>Plik>>Zapisz jako… >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
-------->
Ma się rozpocząć usuwanie. (i powstanie log).
Daj ten log, który powstanie w trakcie usuwania.
jessi
langaml
(Langaml)
20 Listopad 2009 16:09
#12
http://wklej.org/id/211079/ to jest ten log
chyba jest juz ok bo nie widze ze cos jest sciagane
jessica
(jessica)
20 Listopad 2009 16:28
#13
Tak, czysto.
Usuń ręcznie folder C:* * Qoobox**.
Usuń kopie szkodników z folderu “System Volume Information” poprzez chwilowe wyłączenie “Przywracania Systemu”:
>START>Panel Sterowania>System>Przywracanie Systemu>>zaznacz w okienku przy “Wyłącz przywracanie na wszystkich dyskach”>Zastosuj>OK. (W czasie tego chwilowego wyłączenia te kopie usuną się samoczynnie, więc nie ma potrzeby zaglądania do folderu.) Potem możesz powrócić do poprzedniego ustawienia (czyli usunąć zaznaczenie z okienka).
jessi
langaml
(Langaml)
20 Listopad 2009 16:38
#14
dzieki wielkie za ogromna pomoc
jessi moglbys mi pomoc jeszcze z tym problem-plytami-dvd-pokazuje-nowe-puste-t364615.html
???