Niestety , w tym momencie nie wiem już co robić… Wszystko zaczeło sie od zablokowania menedzera zadań oraz edytora rejestru… Szukałem różnych tematów które mogły by mi pomóc, próbowalem coś robic… Najwyraźniej wyszło na to , że jest jeszcze gorzej… Nie moge zrobic skana doktorem poniewaz wyłacza sie po sekundzie… Nie moge zainstalować NODA ponieważ instalka wyłacza sie po sekundzie… Dodam jeszcze , że moge uruchomić menedżera zadań oraz edytor rejestru ale one także wyłaczają sie po sekundzie…

Prosze o pomoc

Logi z hijacka

Uruchom HijackThis Do a system scan only zaznacz kratki przy podanych niżej wpisach Naciśnij “Fix checked”:

O4 - HKCU\..\Run: [EXPLORER.EXE] EXPLORER.EXE

O4 - HKCU\..\Run: [wsctf.exe] wsctf.exe

O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe

O3 - Toolbar: (no name) - {37B85A29-692B-4205-9CAD-2626E4993404} - (no file)

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.bearshare.com/pl/

O2 - BHO: QUICKfind BHO Object - {C08DF07A-3E49-4E25-9AB0-D3882835F153} - C:\PROGRA~1\TEXTware\QUICKF~1\PlugIns\IEHelp.dll (file missing)

Pobierz Combofix, ale nie uruchamiaj go. Otwórz notatnik i wklej

File::

C:\WINDOWS\TEMP\winpuojr.exe

C:\WINDOWS\TEMP\vikwru.exe

C:\WINDOWS\system32\amvo.exe

Plik>Zapisz jako…> CFScript.txt

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

To uruchomi combofixa, wygenerowany log dajesz na http://www.wklej.eu/, http://www.wklej.org/ lub http://www.wklejto.pl/, a w poście tylko link.

http://www.wklej.org/id/52841/

Infekcja z Pendrive

Do usunięcia infekcji z pendrive użyj tych programów

Otwórz notatnik i wklej

File::

C:\WINDOWS\system32\cvnmhg0.dll

C:\aaw7boot.cmd

C:\WINDOWS\system32\drivers\dwprot.sys

C:\WINDOWS\system32\lsdelete.exe

C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\spoolsv.exe



Folder::

C:\FOUND.001

C:\FOUND.000



Registry::

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{88ABC5C0-4FCB-11BB-AAX5-81CX1C635612}]

Plik>Zapisz jako…> CFScript.txt Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://wklej.org/id/52851/

Tak , 4 foldery z mp3 oraz jeden z gierka

To ostatnie usuwanie, to była klapa:

C:\ aaw7boot.cmd = plik Lavasoft Ad-Aware (a ten program jest widoczny w logu!)

C:\WINDOWS\system32\drivers\ dwprot.sys = plik “Dr.Web” (a ten program jest widoczny w logu!)

C:\WINDOWS\system32\ lsdelete.exe = plik Lavasoft Ad-Aware (a ten program jest widoczny w logu!)

C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\spoolsv.exe - jeśli już usuwać, to cały folder “C:\RECYCLER” (choć tu akurat wcale tego obiektu nie było), i usuwać trzeba przede wszystkim klucz z tym związany: [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components{88ABC5C0-4FCB-11BB-AAX5-81CX1C635612}]

Te klucze infekcji nie zostały dane do usuwania.

Te klucze nie zostały dane do modyfikacji.

Nie zostało też wydane zalecenie naprawienia Trybu Awaryjnego.

========================================================================

Zaczynamy:

Te pliki przenieś z folderu C:\Qoobox do ich poprzednich lokalizacji, usuwając im przy tym z nazwy przyrostek \ *.vir.

Potem:

Potem:

Do Notatnika wklej:

Windows Registry Editor Version 5.00


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"wsctf.exe"=-

"EXPLORER.EXE"=-


[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\system]

"DisableTaskMgr"=dword:00000000

"DisableRegistryTools"=dword:00000000


[-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{88ABC5C0-4FCB-11BB-AAX5-81CX1C635612}]

Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na: “Wszystkie pliki” >>> Zapisz jako FIX.REG >>>

plik uruchom (dwuklik i OK).

Zrestartuj komputer.

A poza tym - Twój ComboFix jest stary jak świat, nie widzi niektórych groźnych infekcji, które pojawiły się na świecie po lipcu ubiegłego roku!

jessi

http://wklej.org/id/52947/ log z nowego combofixa

menedzer zadan oraz edycja rejestru dalej wylacza sie po chwili

Tryb awaryjny sprawny

Ad-Watch! wykrywa także zagrożenie Win32.Trojan.Agent…

ComboFix wprawdzie usunął tę usługę, ale to wcale nie oznacza, że jest OK. Wręcz przeciwnie: to była usługa jednej z wersji wirusa SALITY/SECTOR, który zaraża wszystkie pliki \ *.exe.

Użyj >Dr. Web CureIt! - przy ściąganiu zapisz go pod taką nazwą, jaką mu nadałam, czyli “purre.com”.

Napisz, co wykrył.

Nie podałeś ścieżki i nazwy pliku.

jessi

Nie jestem w stanie sciagnąć tego pliku… Ropoczynanie sciągania trwa wieczność…

Zastanawiam się nad formatem partycji C , nie wiem czy to coś pomoże…

Nie chce się kłócić , ale wszystkie pliki które daje do usunięcia, wpierw sprawdzam czy aby na pewno są szkodliwe

C:\aaw7boot.cmd

viewtopic.php?f=16&t=309641&p=2049638 - sama pisałaś że to infekcjaviewtopic.php?f=16&t=239404&start=0

C:\WINDOWS\system32\drivers\dwprot.sys

viewtopic.php?f=2&t=309608&p=2049452

C:\WINDOWS\system32\lsdelete.exe

viewtopic.php?t=245603

Tego rzeczywiście nie zauważyłem, za co przepraszam

@ Dr.Cyc

“aaw7boot.cmd” - nie doczytałeś tamtego tematu do końca: od początku miałam wątpliwości i zaleciłam jego sprawdzenie, a potem sam Autor tematu wyjaśnił, że to jest prawidłowy plik.

“dwprot.sys” - też nie przeczytałeś dokładnie tematu, bo w tamtym temacie chodziło o pozbycie się resztek “Dr.Web” -jest to wyraźnie napisane już na samym początku tematu.

Zresztą nawet nie musiałeś szukać gdzie indziej, bo od razu w “naszym” temacie było to:

“lsdelete.exe” - w tamtym temacie to była też wyraźna pomyłka, bo w logu było widać, że jest zainstalowany “Lavasoft”.

Piszę to tylko, by wyjaścić sytuację, nie chcę tu żadnej kłótni.

jessi

Czy jest jeszcze co moge zrobic aby uratowca komputer bez robienia calkowitego formatu? : (

Możesz spróbować skanerów Anti virus owych online, choć wątpię, czy to się uda, skoro nie da się nawet ściągnąć “Dr.Web”.

jessi

Mam jeszcze jedno pytanie , czy konieczne jest formatowanie wszystkich partycji , czy wystarczy sformatowac partycje C?

W zasadzie skoro zdecydowałeś się na format, to możesz zrobić jeszcze to:

Pobierz i wypal na płycie (tylko nie na zainfekowanym komputerze) Kaspersky Rescue Disk

Ustaw w Biosie botowanie z CD(Bios Award (ten z niebieskim tłem) Advanced BIOS Features Przejdź w dół do pozycji First Boot Device klawiszem [Page Up] lub [Page Down], zmieniaj wartość tego pola aż do momentu gdy ustawisz wartość CDRom) (Bios Phoenix (ten z szarym tłem) Przejdź do sekcji Boot Boot Device Priority 1st Boot Device naciśnij [Enter] z listy wybierz CDROM naciśnij Enter)

Włóż płytę, pojawi się coś w stylu "naciśnij dowolny klawisz aby rozpocząć botowanie z płyty CD zrób to oco będzie prosił taki komunikat. Rozpocznij skanowanie, usuń wszystko co znajdzie, skanuj do skutku (dopóki niczego nie znajdzie)

Po skanowaniu konieczna może być ponowna instalacja programów, sterowników itp. (tylko nie instaluj nic z płyt nagranych na zainfekowanym wcześniej systemie)