Wirus PROCKILL


(Archicar) #1

Witam!

Próbowałem wejść na stronę producenta wyciągów narciarskich firmy Inter Glob z Bielska i po kliknięciu linka wyłączył się komputer. Po chwili sam siezrestartował ale już coś sie działo bo zanim pokazał pulpit myślał sporo czasu. Potem Avast wyrzucił info o wirusie Win32:Small CHC [trj] a następnie Win32:Srizbi.

Próbowałem usunąć te wirusy Smitfraudfixem i chyba się udało bo ich jużnie pokazuje ani Avast ani Cureit. Cureit jednak znajduje ciągle coś takiego:

ComboFix.bat C:\ComboFix Prawdopodobnie BATCH.Virus

ListDlls.cfexe C:\ComboFix Trojan.Proxy.2804 Usunięty

Process.exe C:\Documents and Settings\Pawel\Pulpit\antivir Tool.Prockill

To samo ale po ..\antivir\SmitfraudFix Tool.Prockill

Restart.exe C:...\SmitfraudFix Tool.ShutDown.11

Process.exe C:\Program Files\HaxFix Tool.Prockill

Co toi wszystko znaczy..?? Czy te programy są zainfekowane czy co to jest..??

Komputer niby chodzi normalnie choć może nieco ale bardzo nieznacznie przymula.

Proszę o dobre wieści.:wink:

Pozdrawiam

Paweł T.


(Dawidex11) #2

Podaj logi z HijackThis i ComboFix .


(Baldys15) #3

wrzuć loga z hijackthisa.


(Archicar) #4

Jeszcze potem z SmitfraudFixa z opcji 2:

http://wklej.org/id/e7aeb2a67d

Potem też z Smitfraudfixa z ocji 1 (pewnie nie potrzenie..):

http://wklej.org/id/ebbd5d2e4a

oraz na koniec Log z Combofixa:

http://wklej.org/id/a7ac4ea60c

No i co teraz dalej...? Widzicie tam coś wirusowatego..??


(Gutek) #5

Wklej do Notatnika:

Driver::

KTYXVEH

LMYEAA

NSXTNWTG

PEAACYNUOXH

SBCXOYONP

SetupNTGLM7X

TNU

>>Plik>>Zapisz jako... >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku -->88953CFScript-createdbyMiekiemoes.gif

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: **** Qoobox.

Po tym nowy log z Combo


(Archicar) #6

No to tak:

Zrobiłem co napisane. Przeciągnąłem ikonkę CFScript.txt na Combofix.exe i wystartowało. Komputer sam się zrestartował lecz nie padło pytanie o 1 czy 2. Powstał log taki:

http://wklej.org/id/539482366c

Potem usunąłem ten folder C:\Qoobox recznie.

Potem dałem znów Combofix'a i taki dał log:

http://wklej.org/id/1e97312365

Komputer znacznie przyspieszył po tym wszystkim... Czy to jużkoniec problemu..??


(Archicar) #7

Dziś rano zeskanowałem komputer Cureit'em i oto co napisało:

OBIEKT ŚCIEŻKA STATUS REAKCJA

restart.exe C:\Documents and Settings..\Smitrfraudfix Tool.Shutdown.11

process.exe C:\Documents and Settings..\antivir Tool.Prockill

Process.exe C:\Documents and settings..\SmitfradFix Tool.Prockill

Process.exe C:\Program Files\HaxFix Tool.Prockill

A0000076.bat C:\System Volume Information_restore{FC... Prawdopodobnie SCRIPT.Virus

A0000070.bat C:\ jak wyżej Prawdopodobnie BATCH.Virus

A0000038.bat C:\ jak wyżej Prawdopodobnie SCRIPT.Virus

A0000031.bat C:\ jak wyżej Prawdopodobnie BATCH.Virus

Co to znów takiego..?? Cureit oznacza to jako "Hacktools" i "Podejrzane"

Zainfekwane - 0

Czy to śmiecie jakieś czy wirusy..???


(Archicar) #8

HALOOO...? ZAPOMNIELIŚCIE O MNIE...??

CO SIĘ DZIEJE...??


(Leon$) #9

usuń ręcznie folder C: \Qoobox

usuń instalkę Combofix z dysku.

usuń Smitrafixa

Wyłącz i włącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

przeskanuj konkretnym antywirem http://www.kaspersky.pl/virusscanner.html

:slight_smile:


(Archicar) #10

No i teraz to jużnic nie rozumiem...

Oto log z Kasperskiego:

http://wklej.org/id/88a4b70ba0

Pousuwałem jakoś ręcznie te combofixy itd... ale i tak coćw kompie siedzi.. Nic nie rozumiem już z tego .. Zgłupiałem...


(Archicar) #11

Halloooo!

Czy ktos mi pooże..?

Co mam robić...?


(Leon$) #12

Przecież Kasperski napisał o co chodzi

Teraz analiza należy do ciebie

po co ci SmitfraudFix.zip

co to za pulpity,

w koszu też coś siedzi pewnie kwarantanna antywira którą należy opróżnić

:slight_smile:


(Archicar) #13

Analiza dla mnie... Tylko że ja sie na tym nie za bardzo znam... Nie wiele rozumiem z tego co Kaspersky napisał. Skoro są tam jakies 2 wirusy to jak je usunąć..?

Pozdrav


(Archicar) #14

Pousuwałem to ręcznie i co dalej...? Czysto czy jeszcze czymś skanować..??


(Leon$) #15

Przeskanuj Kasperskim

:slight_smile:


(Archicar) #16

OK

Czysto....!

THX! !!

No to teraz mam drugą prośbę... Nie wirus, chyba...

Otóż jakiś czas temu kupiłem dodatkowy twardy dysk o poj. 160GB bo w moim kompie robiło się już ciasno a ja mam tu tysiące zdjeć.

Dysk został podłączony, sformatowany itd itd...

Pokopiowałem (raczej poprzeciągałem) na ten dysk foldery ze zdjeciami z C:

Na dugi dzień niektórych z tym folderów nie mogę otworzyć.

Komunikat jest nastepujący:

G:\2004a nie jest dostępny

Odowa dostepu

Inne foldery otwierają się, pokazująnawet zawartość ale po kliknięciu zdjeia pada komunikat:

Podgląd niedostępny.

Zanaczam że mam kilka programów do odtwarzania jpg. i żandnym nie da sie otworzyć.

Jeszcze inne foldery są całkowicie dostępne i zdjecia w nich otwoerają się normalnie.

Da domiar złego część folderów jest dostępna tylko z pulpitu mojej żony (mamy podzielone na dwa) a cześć tylko z mojego a część z obu.

O co tu biega...???

Mamy Windows XP Proffessional

Pozdrav


(Archicar) #17

No i z powrotem....

Ja się poddaję.... Napisałem, że przeskanowałem Kasperskim ale to nie prawda.. Pomyliłem się i przeskanowałem jakimś ESET NOD32, który to nic nie znalazł.

Kasperskim zrobiłem teraz i załamka...

znów tego jest pełno.. Np w jakims felderze restore.... Ja nie wiem co to ejst gdzie to jest jak to usunąć...

Zobaczcie ten raport....

http://wklej.org/id/b072e24d80

Włos się jeży.. Aha w tym raporcie wywale też te zdjecia z dysku 160GB o ktrym pisałem wyżej. Co to u licha jest...????

POMOCY....


(Dawidex11) #18

W Raporcie nic nie widać ... tylko wyłącz i potem włącz przywracanie systemu na wszystkich dyskach , jak to zrobić :arrow: http://support.microsoft.com/kb/310405/pl . Pozdrawiam


(Archicar) #19

OK!

No to super!

Zrobiłem.

A co z tymi zablokowanymi folderami i zdjęciami z dodatkowego dysku..? Jak sprawićaby były widoczne i otworały się...?


(Molenda65) #20

Kaspersky onlinescanner wykrywa ale nie usuwa. Po co się tak męczyć tymi logami i scanami on-line. Wywalić na jakiś czas avasta. Zainstalować testową wersję Kaspersky IS - zrobi porządek na kompie.