Janusek
(Janusek)
26 Sierpień 2008 13:42
#1
witam!
Cały czas komputer mi się restartował na tym forum dowiedziałem się żeby wyłączyć automatyczny restart po błędzie i sprawdzić jaki jest kod błędu
jest to: 0x0000008E (0x8054AFDZ, 0xB5827AA8, 0x000000)
Z bazy wiedzy Microsoft’u dowiedziałem się że może to być wirus HaxDoor!! Więc zrobiłem tak jak tu jest napisane
http://support.microsoft.com/kb/903251/pl . Niestety nigdzie w podanych ścieżkach kluczy nic nie znalazłem a przynajmniej nic o czym mowa w artykule. Natomiast w:
HKEY_USERS\S-1-5-21-725345543-515967899-2146968213-1003\Software\Microsoft\Search Assistant\ACMru\5603 znalazłem takie pliki jak
mszx23
snp2std
w32tm.exe
oraz w: HKEY_USERS\S-1-5-21-725345543-515967899-2146968213-1003\Software\Microsoft\Search Assistant\ACMru\5604
w32tm.exe
drct16.dll
vdmt16
czy te pliki też mam usunąć??
Korzystałem też z tego artykułu: http://forum.pcformat.pl/archive/index . … -8504.html
i na dysku twardy jedynie znalazłem taki plik %System%\w32tm.exe I też go oczywiście usunąłem.
antywirus Kaspersky (wersja demo, wyłączone przywracanie systemu na wszystkich dyskach) nic nie znalazł.
Na wszelki wypadek podaje jeszcze raz logi z HijackThis: http://wklej.org/id/869/
i combofix: http://wklej.org/id/875/
I jeszcze log z Rootkit Revealer: http://wklej.org/id/880/
huber2t
(huber2t)
26 Sierpień 2008 14:06
#2
Pobierz ComboFix , ale nie uruchamiaj
Otwórz notatnik i wklej do niego:
File::
C:\WINDOWS\SET268.tmp
C:\WINDOWS\SET265.tmp
C:\WINDOWS\SET274.tmp
Plik -> zapisz jako -> CFScript.txt .
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->
Rozpocznie się usuwanie i powstanie log, który dasz na forum.
Logi dajesz na http://wklej.eu lub na http://wklej.org a w poście dajesz tylko link
system
(system)
26 Sierpień 2008 15:31
#3
viewtopic.php?f=16&t=36654
I wykonaj polecenia z 3 postu nt. programu HaxFix
Janusek
(Janusek)
27 Sierpień 2008 07:16
#5
Co prawda już do tego programu doszedłem wcześniej ale sprawdź bo moje logi z pod 02 wyglądają tak:
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Program Files\FlashGet\jccatch.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Program Files\FlashGet\getflash.dll
Czyli nic niema o czym jest mowa w linku podanym przez Ciebie. Jeszcze we wcześniejszym artykule dotyczącym obsługi HaxFix znalazłem omówione logi z numeru 04 którymi też się ten wirus objawia. Ale też kicha :-[
Co jeszcze moglibyście mi poradzić??
huber2t
(huber2t)
27 Sierpień 2008 09:21
#6
combofix usunal wpisy z hjt
Log wyglada na czysty
usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.
Przeczyść komputer Ccleanerem
Wykonaj optymalizację autostartu
Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja
Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum
lub
Dr.WEB CureIt!
Janusek
(Janusek)
27 Sierpień 2008 14:49
#7
djarta
(djarta)
27 Sierpień 2008 15:05
#8
Pobierz —> The Avenger
Wklej do niego ten tekst:
Files to delete:
C:\Documents and Settings\Duda\Pulpit\ANJAAA\Programy\SmileyCentralPFSetup2.2.60.6.exe
D:\Program Files\Passware\ariskkey.dll
D:\Program Files\Passware\ariskkey.exe
D:\System Volume Information\_restore{F530882C-D97C-4C80-BD6B-3DDE66586B87}\RP21\A0019484.exe
Kopiujesz - klikasz na Paste Script from Clipboard - Execute - Potwierdzasz i zgadzasz się na restart klikając OK .
Po wykonaniu skasuj z dysku plik: C:\Avenger\backup.zip i wklej raport na forum C:\avenger.txt
==================
K.
Janusek
(Janusek)
28 Sierpień 2008 07:39
#9
Oto raport z programu Avanger; http://wklej.org/id/1450/
Janusek
(Janusek)
28 Sierpień 2008 10:15
#11
ok. Dzięki na razie. Przetestuję go i dam znać co i jaki.
A co z tymi wpisami w rejestrze??
HKEY_USERS\S-1-5-21-725345543-515967899-2146968213-1003\Software\Microsoft\Search Assistant\ACMru\5603 znalazłem takie pliki jak
mszx23
snp2std
w32tm.exe
oraz w: HKEY_USERS\S-1-5-21-725345543-515967899-2146968213-1003\Software\Microsoft\Search Assistant\ACMru\5604
w32tm.exe
drct16.dll
vdmt16
Tam stosowałem program Rootkit Reveal i ten wpis się pojawił również obok tamtych w rejestrze
Janusek
(Janusek)
28 Sierpień 2008 11:12
#13
Gutek
(Gutek)
28 Sierpień 2008 19:41
#14
Na koniec Proszę pobrać i użyć Malwarebytes’ Anti-Malware
Wciskamy Scan , wybieramy dyski do skanowania i czekamy, na końcu wciskamy Remove Selected i Ok
Janusek
(Janusek)
29 Sierpień 2008 06:55
#15
Janusek
(Janusek)
29 Sierpień 2008 09:04
#17
ok. Jeszcze raz dzięki wszystkim którzy mi pomagali!!