Wirus, który chce mi ściągnąć jakieś oprogramowanie

neji · 29 Grudzień 2008 17:21

Witam,

Złapałem wirusa, który zmienił mi tapetę na jakieś wściekle czerwone kwadraty, zablokował dostęp do menadżera urządzeń, oraz rozłącza firefoxa i internet expolera. Jedyną stroną na jaką mogę wejść jest witryna, z której mogę ściągnąć jakieś oprogramowanie anty wirusowe, oczywiście wcześniej wpłacając pewną sumę pieniędzy. Dodatkowo ciągle wyskakuje ikonka o jakiś błędach i powiadomienia, że można ściągnąć oprogramowanie z wcześniej wymienionej stronki. Skanowałem komputer nodem, który nic nie wykrył.

Bardzo proszę o pomoc.

Logi z hijackthis : http://www.wklej.org/id/32888/

Leon1 · 29 Grudzień 2008 17:25

Pobierz Combofix http://www.searchengines.pl/index.php?s … ntry395642 uruchom dwuklikiem pokaż log

Podczas pobierania i skanu Combofixem proszę wyłączyć wszelkie zapory i antywirusy

potem nowy log HijackThis

MichaelP · 29 Grudzień 2008 17:29

O2 - BHO: (no name) - SOFTWARE - (no file) O2 - BHO: (no name) - {1559C6FD-8BDE-476E-98C7-871E59193FCE} - (no file) O2 - BHO: (no name) - {7DBA5E61-9C51-4365-ACD2-DE684E133F8C} - (no file) O2 - BHO: (no name) - {A4F94C0C-54A7-4DB1-9AF3-B22E63D00401} - (no file) O2 - BHO: C:\WINDOWS\system32\diskperff.dll - {A82BE883-EE51-4FAB-85B4-9432C6056673} - C:\WINDOWS\system32\diskperff.dll O4 - HKLM…\Run: [Microsoft Windows Update] wupdate.exe O4 - HKLM…\Run: [Microsoft Update] msconfg.exe O4 - HKLM…\Run: [Microsoft IT Update] winsyst32.exe O4 - HKLM…\Run: [odb] C:\WINDOWS\odb.exe O4 - HKLM…\Run: [updateWin] C:\WINDOWS\system32\3dviewern.exe O4 - HKLM…\RunServices: [Microsoft Update] msconfg.exe O4 - HKLM…\RunServices: [Microsoft Windows Update] wupdate.exe O4 - HKLM…\RunServices: [0D111723] C:\WINDOWS\System32\gikpuobybc.exe O4 - HKLM…\RunServices: [Microsoft IT Update] winsyst32.exe O4 - HKLM…\RunServices: [Microsoft-Updates] svxhost.exe O4 - HKLM…\RunServices: [Microsoft Services] lsrv.exe O4 - HKLM…\RunServices: [updateWin] C:\WINDOWS\system32\3dviewern.exe O4 - HKCU…\Run: [updateWin] C:\WINDOWS\system32\3dviewern.exe O4 - HKCU…\RunServices: [updateWin] C:\WINDOWS\system32\3dviewern.exe O4 - HKUS\S-1-5-18…\Run: [Microsoft IT Update] winsyst32.exe (User ‘SYSTEM’) O4 - HKUS\S-1-5-18…\Run: [Microsoft Services] lsrv.exe (User ‘SYSTEM’) O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing) O9 - Extra ‘Tools’ menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing) O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll O14 - IERESET.INF: START_PAGE_URL=http://www.pcworld.pl O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C5} (GameDesire Snooker) - http://67.15.101.3/g_bin/pl/snooker_2_0_0_28.cab

Fix w HijackThis. Instrukcja viewtopic.php?f=16&t=36654

Podejrzane wpisy:

Podaj log z Combofix. Instrukcja viewtopic.php?f=16&t=36654

Logi dajesz na wklej.org lub wklej.eu a w poście podajesz tylko link.

neji · 29 Grudzień 2008 18:01

Ściągnąłem combofixa z dwóch różnych stron i za każdym razem podczas uruchomienia wyskakuje mi błąd: “Some installation files are corrupt. Please download a fresh copy and retry the installation”. Sprawdziłem na drugim komputerze i tam programik działa. Usunąłem wpis podany przez Michael Parker, niestety nic nie pomogło …

Wklejam nowy log z Hijackthis : http://wklej.org/id/32904/

MichaelP · 29 Grudzień 2008 18:06

Wpisy w HijackThis przywróciły się.

Pobierz i zastosuj Malwarebytes’ Anti-Malware Uruchom pełne skanowanie jeżeli coś znajdzie, to usuń. Następnie daj loga na forum.

neji · 29 Grudzień 2008 18:27

Niestety dalej nie działa próbowałem zmienić nazwę i uruchamiać awaryjnie. Zapora i antywirus są wyłączone. Dalej wyskakuje ten sam błąd. Czy jest taka możliwość, że ten błąd wyskakuje bo nie ściągnąłem combofixa na komputerze, który skanuje ?

huber2t · 29 Grudzień 2008 18:29

Próbowałeś tego?

neji · 29 Grudzień 2008 19:39

Zeskanowałem komputer. Program wykrył 24 zainfekowane pliki. Chciałem je usunąć tak jak to jest napisane w instrukcji, niestety wyświetlił się komunikat: “edycja rejestru została wyłączona przez administratora”, po czym program się zawiesił … wcześniej dwa razy wyskoczył komunikat o tym, że regedit jest wyłączony i nastąpi jego włączenie.

MichaelP · 29 Grudzień 2008 19:49

http://helpc.eu/viewtopic.php?f=5&t=398

Przeskanuj jeszcze raz.

neji · 29 Grudzień 2008 19:55

niestety Malwarebytes’ Anti-Malware tak się zawiesił, że musiałem zresetować komputer i teraz nie włącza mi się nic oprócz tapety Na każdym loginie pustka … nie mogę kliknąć prawym ani nic zrobić … Jedyne co powróciło to menadżer zadań coś mi się zdaje, że czeka mnie format

spróbuję awaryjnie uruchomić komputer

MichaelP · 29 Grudzień 2008 19:56

Spróbuj wejść w tryb awaryjny i uruchomić Malwarebytes’ Anti-Malware.

neji · 29 Grudzień 2008 21:53

w końcu udało mi się zeskanować komputer Oto log: http://wklej.org/id/33007/

Niestety dalej po zalogowaniu się wyskakuje tylko tapeta

I przepraszam za posta pod postem …

spandaupol · 30 Grudzień 2008 08:20

Spróbuj teraz uruchomić Combofix przeskanuj system i daj log na forum.

neji · 30 Grudzień 2008 09:46

Chciałbym niestety tak jak mówię, nie mam nic na pulpicie. Jakby się zepsuł proces explorer.exe. Próbowałem go na nowo zainicjować jednak cały czas się wyłącza. Próbowałem z płyty instalacyjnej naprawić obecną instalację, jednak nie mogę na nowo zapisać tego procesu. Czy jest jeszcze jakaś inna możliwość ?

Udało mi się włączyć combo fixa przez menadżera urządzeń. Niestety dalej wyskakuje ten sam błąd, o którym wcześniej wspomniałem.

spandaupol · 30 Grudzień 2008 09:50

W trybie awaryjnym windows to samo? Bo widzę że Malwarebytes uruchomił się w awaryjnym

neji · 30 Grudzień 2008 09:51

Niestety tak. Malwarebytes uruchomiłem z wiersza poleceń.

spandaupol · 30 Grudzień 2008 09:54

Pobierz Combofixa stąd (nazwa specjalnie zmieniona)

http://rapidshare.com/files/177187819/124.com.exe.html Combofix

Następnie wejdź w tryb awaryjny windows (F8 przed bootem windowsa) i spróbuj uruchomić Combofixa tak jak Malwarebytes

neji · 30 Grudzień 2008 10:14

Na reszcie udało się uruchomić combofixa. Oto log: http://wklej.org/id/33125/

spandaupol · 30 Grudzień 2008 10:48

Poniższe pliki możesz usunąć ręcznie

Znajdź i usuń ręcznie katalog c:\recycled

Wklej do notatnika

Z menu Notatnika wybierasz - Plik - Zapisz jako - Zmieniasz rozszerzenie z .txt na wszystkie pliki - zapisz pod nazwą Fix.reg

Uruchom ten plik, potwierdź dodanie do rejestru, uruchom ponownie komputer.

Log wygląda na czysty.

usuń ręcznie folder C: \Qoobox oraz instalkę Combofix z dysku.

Przeczyść system oraz rejestr CCleaner

Wykonaj optymalizacje Autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar Mój komputer Kaspersky Online Scanner Przeskanuj system daj raport na forum

lub Dr.WEB CureIt!

neji · 30 Grudzień 2008 11:55

Zrobiłem wszystko jak mi Pan polecił. Kaspersky nic nie wykazał, niestety dalej nie włącza mi się explorer.exe. Czy ma Pan może jeszcze jakiś pomysł jak temu zaradzić ?