Wirus ... zablokowany menadzer zadan, rejestr itp


(Bayermaro) #1

Witam

mam taki problem ze spalila sie plyta glowna przy moim komputerze, wiec musze korzystac z komputera mojego taty na ktorym niedawno robilem format dysku - jak sie okazalo jest tutaj masa wirusow, zaczelo sie ze zaczalem sie logowac na moj serwer przez total commandera - na nastepny dzien do 5 plikow w ostatnich liniach mialem dopisany kod ktory u wiekszosci uzytkownikow wykrywal avast jako trojana - usunalem, na nastepny dzien to samo - na innym moim serwerze na ktorym sie logowalem tez dopisalo at linie, jest to ramka o wymiarach 1x1 ktora jest niewidoczna i uruchamiajaca jakas tam strone

no to zaczalem szukac wirusa, jak zobaczylem ze nie dziala menadzer zadan i rejestr systemu zaczalem myslec ze tak latwo nie bedzie, chcialem pobrac wersje trial nod32 - nie dalo sie, wirus najprawdopodobniej blokowal bo pobieralo 5 bajtow na sekunde przy czym po chwili sie zacinalo, tak samo mialem z kilkoma innymi programami

pobralem kilka odkurzaczy, trojan cleanerow, combofix'a - nic, dalej to samo, juz kompletnie nie wiem co mam robic

"Trojan Remover" niby naprawil ze moge mendazer wlaczyc lecz po 1 sekundzie sie wylacza, tak samo z rejestrem

jeszcze mialem tak ze po podlaczeniu konsoli psp do komputera, czyli odczytalo karte memorystick cos sie wkradlo na karte i jak podlaczylem u znajomego to wyskoczylo ze trojan jest na karcie :confused: u.vbe, u.bat

zalacze logi z combofix'a i hijacka, baaardzod prosilbym o jakas pomoc bo nie dosc ze to nie moj komputer to jeszcze boje sie logowac na moj serwer :confused:

hijack: http://wklej.org/hash/c4cdc55eb1/

combofix: http://wklej.org/hash/da13766efc/


(Leon$) #2

Wylecz pendriva lub kartę pamięci http://www.softpedia.com/get/Security/S ... Tool.shtml

Flash Disinfector http://www.searchengines.pl/index.php?s ... ntry369724

lub format

zastosuj ATF Cleaner http://cybertrash.pl/images/tata/ATF/ATF.html

Wyłącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

Otwórz notatnik i wklej

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri ... iemoes.gif

Powinno rozpocząć się usuwanie

Potem log z usuwania Combofix

:slight_smile:


(Bayermaro) #3

http://wklej.org/hash/f1d428c04c/

z tego co widac to menadzer zadan dziala :slight_smile: pendrivy tez pokazuje bez bledow

dzieki Ci wielkie! =D> mam nadzieje ze juz problemow nie bedzie


(Gutek) #4

Powtórzę pytanie czy ty dodawałeś restrykcje do rejestru jak nie to zrób to co dodał Leon$

Wklej do Notatnika:

File::

C:\u.vbe

c:\windows\u.bat


Driver::

dac970nt


Registry::

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusDisableNotify"=dword:00000000

"FirewallDisableNotify"=dword:00000000

"UpdatesDisableNotify"=dword:00000000

"AntiVirusOverride"=dword:00000000

"FirewallOverride"=dword:00000000

"UacDisableNotify"=dword:00000000

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]

"AntiVirusOverride"=dword:00000000

"AntiVirusDisableNotify"=dword:00000000

"FirewallDisableNotify"=dword:00000000

"FirewallOverride"=dword:00000000

"UpdatesDisableNotify"=dword:00000000

"UacDisableNotify"=dword:00000000

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]

"DisableTaskMgr"=-

"DisableRegistryTools"=-

>>Plik>>Zapisz jako... >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku -->88953CFScript-createdbyMiekiemoes.gif

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: **** Qoobox.

Po tym nowy log z Combo oraz skan http://www.kaspersky.pl/virusscanner.html

EDIT: Zrób tak jak wyżej, usuwam post Leon$ robi się zamieszanie!


(Bayermaro) #5

a jednak wirus dalej daje znac ... po restarcie znowu nie dziala menadzer zadan i rejestr

http://wklej.org/hash/6eea7dfe1f/

a jak chce wykonac to co podal Gutek2222 to znowu ten komuniakt ze rejestr jest zablokowany

ja nic nie blokowalem


(Leon$) #6

zrób skan Kasperskim

:slight_smile:


(Gutek) #7
c:\program files\Spybot - Search & Destroy\TeaTimer.exe

ja myślę, że coś robiłeś - wyłącz


(Bayermaro) #8

zaraz sciagne triala, tylko ze boje sie ze bedzie tak jak ostatnio - zeskanowalem kasperskym a ten wywalil mi polowe komputera bo uwazal ze praktycznie w co drugim pliku jest wirus i konieczny byl format bo IE nawet nie dzialalo ...


(Gutek) #9

Wykonaj skan Dr. Web CureIt w takim układzie


(Bayermaro) #10

Dr Wrb z wielu zrodel nie chce sie odpalic :confused: tak jak strona glowna tego programu, laduje sie bez konca

a przy instalacji kaskerskiego przy 30% sie wylacza bez reakcji ... no juz nie moge, nic tu nie dziala


(Leon$) #11

z loga który nam pokazałeś podejrzewam wirusa Sality który zaraża wszystkie exe i nie tylko

najlepszym wyleczeniem z tego jest format który robiłeś

tylko że źle był zrobiony

przy tym wirusie należy

  1. format wszystkich dysków i partycji bez wyjątku

2.przy instalacji systemu nie korzystać ze sterowników będących wcześniej na zasyfionym dysku (instalki z dysków producenta lub neta)

3.zainstalować porządny antywirus

:slight_smile:


(Bayermaro) #12

kurcze to troche nieciekawie :confused: troche materialow tutaj jest

jaki antywirus polecacie? na poprzednim komputerze mialem eset smart security i nie bylo za duzo problemow tylko ze czasami przepuszczal wirusy :confused:


(Leon$) #13

Ja używam ud kilku lat Kasperskiego możesz przez miesiąc go potestować Kaspersky Anti-Virus http://www.kaspersky.pl/download.html?s=trial

:slight_smile:


(Bayermaro) #14

zrobilem formata - wszystko smiga, od razu odpalam kasperskiego i skanuje, niby nic to sie juz ciesze, a tu przechodzi na nastepny dysk i wylapuje po kolei kazdy program - wirus sality ... masakra - wywalilo chyba pol komputera, mam nadzieje ze po skanowaniu juz tego nie bedzie i ze na systemowy nic sie nie dostalo bo nie chce znowu reinstalki robic :confused:

przy tym wirusie jak czytalem to innego sposobu jak reinstalka nie ma bo zaraza wszystkie programy na komputerze - to juz moje niepierwsze spotkanie z tym wirusem :confused:


(Leon$) #15

o tym pisałem

:slight_smile:


(Bayermaro) #16

czy jest tutaj cos podejrzanego? bo cos mi infekuje dyski wymienne i kaspersky cos wykryl i raczej nie usunal

http://wklej.org/hash/71ba5008ab/


(huber2t) #17

W logu nic nie widzę

usuń ręcznie folder C:\Qoobox , usuń instalkę Combofix z dysku.

Przeczyść system Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar całego komputera http://www.kaspersky.pl/virusscanner.html Daj raport z niego na forum

lub

Dr.WEB CureIt!