Wirus Conficker


(Langaml) #1

Witam

Proszę o pomoc - mój komputer jest zapewne zarażony. Na ogół nie chce wyświetlać stron i podaje standardowy komunikat (nie można wyświetlić strony). Czasem wyświetli jak kilka razy próbuję odświeżenia żądanego adresu. Wkrótce po uruchomieniu (nie zawsze) pojawia się komunikat, że svchost.exe wygenerował błędy i nastąpi jego zamknięcie. Bywa, że po uruchomieniu pojawia się okienko dos-owe z komunikatem, że jest jakiś problem z aplikacją upds.exe (kompletnie nie wiem o co chodzi). załączam log hijack i proszę o pomoc co i w jakiej kolejności zrobić.

a to moj log:

http://www.wklej.org/id/206566/


(jessica) #2

Te w/w wpisy sfiksuj w Hijacku:

>>Hijack>>scan(Do a system scan only)>>zaznacz je >>Fix checked.

W OTL przed skanowaniem, ustaw jeszcze dodatkowe opcje poprzez wklejenie do pola "Custom Scans/Fixes":

Następnie przestaw "Processes" i "Modules" na "All", inne ustawienia zrób zgodnie z opisem narzędzia, i potem kliknij "Run Scan",

Logi wklej na http://wklejto.pl/, a w poście daj tylko linki(czyli skopiuj adres z paska adresów)

jessi


(Langaml) #3

http://wklej.org/id/209037/ z OTL

http://wklej.org/id/209039/ z sreng

z gory dzieki


(Monczkin) #4

langaml , popraw proszę tytuł na normalny konkretny. Zapoznaj się z zasadami nazywania tematów na forum. Inaczej temat zostanie usunięty.


(jessica) #5

W logu OTL widać, że masz CONFICKERA.

Uruchom OTL i w oknie Custom Scans/Fixes wklej to:

Kliknij w Run Fix. Zatwierdź restart komputera.

Następnie uruchom OTL ponownie, tym razem wywołaj opcję Run Scan.

Pokaż nowy log OTL.txt oraz log z czyszczenia.

jessi


(Langaml) #6

do admina: jak zmienic temat?

do jessi:

zrobilem to co napisales ale komp strasznie muli i chyba nic sie nie robi (tak 10min). to jest prtsc:

[http://rapidshare.com/files/308846344/b ... u.bmp.html](http://rapidshare.com/files/308846344/bez tytu u.bmp.html)


(jessica) #7

podpowiedź za Admina:

w swoim pierwszym poście kliknij u góry na przycisk "EDYTUJ", potem w pole "Tytuł" wpisz: Wirus Conficker i kliknij u dołu na "Wyślij".

Ja nie mam dostępu do "rapidshare, więc nie zobaczę, co tam jest.

Jeśli OTL się zawiesił, to trzeba czekać, bo twardy restart może się źle skończyć, kilka dni temu tak się właśnie skończyło.

jessi


(Langaml) #8

nie no spokojnie przez ctrl+alt+del mozna wylaczyc OTL i tak zrobilem

ale co dalej?

bo probowalem ponownie i dalej meczy sie


(jessica) #9

Daj log z ComboFix

EDIT:

Tylko od razu przy ściąganiu zapisz go pod jakąś inną nazwą (np. nmnmkk.com)

jessi


(Langaml) #10

http://wklej.org/id/209748/ z log.txt

http://wklej.org/id/209749/ z combofix.txt


(jessica) #11

Oba logi są z ComboFixa - po co dwa takie same?

Wklej do Notatnika :

File::

e:\windows\system32\jmgbfryb.dll

e:\windows\system32\mstmdm.dll


NetSvc::

eknou


Driver::

eknou


Registry::

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"5749:TCP"=-

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]

"SuperHidden"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]

"Hidden"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]

"ShowSuperHidden"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]

"CheckedValue"=dword:00000001

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]

@=""

>>Plik>>Zapisz jako... >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

-------->cfscript10gm1.gif

Ma się rozpocząć usuwanie. (i powstanie log).

Daj ten log, który powstanie w trakcie usuwania.

jessi


(Langaml) #12

http://wklej.org/id/211079/ to jest ten log

chyba jest juz ok bo nie widze ze cos jest sciagane


(jessica) #13

Tak, czysto.

Usuń ręcznie folder C:**** Qoobox.

Usuń kopie szkodników z folderu "System Volume Information" poprzez chwilowe wyłączenie "Przywracania Systemu":

jessi


(Langaml) #14

dzieki wielkie za ogromna pomoc

jessi moglbys mi pomoc jeszcze z tym problem-plytami-dvd-pokazuje-nowe-puste-t364615.html

????