Wirus "d.exe"


(Kajko14) #1

Witam.

Mam problem z wirem. Przekierowuje mi adresy stron internetowych. Uwalił także automatyczne aktualizacje WINdy.

Wklejam logi z hijack-a. Proszę o pomoc.


(Baldys15) #2

sfixuj

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.bearshare.com/sidebar.html?src=ssb

O3 - Toolbar: BearShare MediaBar - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - C:\Program Files\BearShare Applications\BearShare MediaBar\BearShareMediaBar.dll


(Leon$) #3

oprócz tego Pobierz Combofix http://www.searchengines.pl/index.php?s ... ntry395642 przeskanuj daj log

:slight_smile:


(Kajko14) #4

Hmmm, no to mam problem. To badziewie tak narządziło, że Combofix się nie uruchamia... :frowning:


(huber2t) #5

Spróbuj podczas pobierania zapisujemy nie pod nazwą ComboFix.exe tylko z kreską pomiędzy:

Combo-Fix.exe


(Kajko14) #6

Postąpiłem według wskazówek. Podziałało. Tylko po skanie combofixem mam problem z IE. Po około 1 min resetuje kompa. Wklejam logi z combo....


(huber2t) #7

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\d.exe

C:\WINDOWS\system32\adsldpcz.exe

C:\WINDOWS\system32\adsldpi.sys

C:\WINDOWS\system32\aaaamonl.dll

C:\WINDOWS\system32\vtUolkhH.dll

C:\WINDOWS\system32\beep.sys

C:\WINDOWS\system32\4197575735.dat

C:\WINDOWS\system32\winbue32.dll

C:\WINDOWS\system32\qoMdayww.dll

C:\WINDOWS\system32\qoMdayww.dll

C:\WINDOWS\system32\txhpknws.dll


Folder::

C:\Program Files\BearShare Applications\BearShare MediaBar


Registry::

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{166BCB27-FCFD-4588-9BDB-44FC6A02EF35}]

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{74322BF9-DF26-493f-B0DA-6D2FC5E6429E}]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]

"{166BCB27-FCFD-4588-9BDB-44FC6A02EF35}"=-

[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\qoMdayww]

[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winbue32]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\hnR38.sys]

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\1cd7f343]

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BM1fe4c0df]

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Soltek]

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WintelUpdate]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

02f8f1e3c410a4cc.gif

Rozpocznie się usuwanie i powstanie log, daj ten log na forum.

Logi dajesz na http://www.wklej.org


(Kajko14) #8

Log po usunięciu powyższego....


(huber2t) #9

Log wyglada na czysty

Usuń ręcznie folder C:\Qoobox ,usuń instalkę Combofix z dysku

Przeczyść komputer Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum

Włącz przywracanie systemu.


(Kajko14) #10

Wklejam raport po skanowaniu kaspersky-online....

.... ale to już chyba nadwrażliwość kasperkyego. Inny antyvir nic nie wykazał na temat tych plików, natomiast czepił sie innych. A kaspersky nie....


(huber2t) #11

Usuń te pliki:

:slight_smile:


(Kajko14) #12

Tak właśnie zrobiłem :slight_smile: .

Wielkie dzięki za pomoc. Szacun.