Your privace is in danger(again)


(Wirtualny2008) #1

Niestety złapałem syfa z którym miało już doczynienia wielu z moich poprzedników. Na ekranie wyskoczył mi GIF na czerwonym tle z tekstem, który zamieściłem w tytule. W prawym dolnym rogu ekranu koło zegara mam VIRUS ALERT! Wyskakują mi okienka, że mam wirusa. Ściągnij sobie program, który to usunie oraz komunikat, że mam trojana NET BOOSTER. Generalnie typowe objawy grypy:)

Mam już log z hijack oraz ściągnołem sobie combo fix. Czekam na dalsze instrukcję.

http://www.wklej.org/id/11956a0496


(Leon$) #2

uruchom go dwuklikiem i daj log na forum

:slight_smile:


(Wirtualny2008) #3

Niestety nie jestem w stanie zamieścić loga z combo fix ponieważ wykrzacza mi się ten program. Postępuje zgodnie z instrukcją z tego forum. Klikam 2 razy i zaczyna program działać. Ja się nie dotykam do klawiatury ani do myszki, leci pasek combo fix, potem uruchamia sie okno dosowe i następujące komunikaty "Please wait" ok więc czekam, następnie "Combo fis is preparing to run" ok niech sobie zaczyna działać, a na końcu mam komunikat "Znalezienie pliku wsadowego nie było możliwe". Co w takim przypadku?


(Leon$) #4

pobierz i uruchom jeszcze raz

http://www.searchengines.pl/index.php?showtopic=86306&st=0&p=395642entry395642

:slight_smile:


(Wirtualny2008) #5

Trochę długo to trwało zanim wstawiam następne dane, ale combofix trochę przymulał mi kompa, raz się zawiesił podczas skanowania i nie pokazywał takich komunikatów jakie były opisane w instrukcji z tego forum.

Ostatecznie po wielkich bólach udało mi się chyba uzyskać z niego raport.

O to on: http://wklej.org/id/6e6e43e56f

W dniu 21.06.2008 , o godzinie 8:55 został dopisany post przez CICHY1982

Po restarcie komputera i akcji combo fix znikneły mi wszystkie komunikaty które miałem na początku. Nazwa komputera w nazwie roboczej też wróciła do normy. Mam dostęp do dysków twardych i generalnie wygląda jakby było czysto. Załączam skan też z Hijack i proszę o opinie.

http://wklej.org/id/1c6516bdfd


(huber2t) #6

fix w hijackthis

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\WINDOWS\eaqb.exe 

C:\WINDOWS\neltabxw.exe

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

02f8f1e3c410a4cc.gif

Rozpocznie się usuwanie i powstanie log, daj ten log na forum.

Logi dajesz na http://www.wklej.org a w poście dajesz tylko link


(Wirtualny2008) #7

To jest log z combo. Generalnie nie wiem czy ma tak być podczas gdy on skanuje, ale trwa to wszystko z 20 minut, a ciągle nie pokazuje on komunikatu, że zrobił raport tylko, że jest w trakcie. Potem muszę restartować kompa żeby móc cokolwiek zrobić. Poniżej log.

http://wklej.org/id/9471b5a48f

W dniu 21.06.2008 , o godzinie 9:52 został dopisany post przez CICHY1982

Mam jeszcze prośbę do was. Jeżeli okaże się, że komp jest już czysty to możecie zaproponować jakiś program do zamykania niepotrzebnie otwartych portów. Najlepiej taki intuicyjny lub w miarę zrozumiały.


(huber2t) #8

Windows Worms Doors Cleaner (WWDC) jest programem, służącym do zamykania portów i usług, przez które często przedostają się robaki. Nie trzeba już męczyć się edycją rejestru, czy innymi bardziej skomplikowanym narzędziami.

Jeśli po uruchomieniu WWDC widnieje jakiś czerwony krzyżyk, to zmieniamy go na zielony, tak jak poniżej:

http://www.fotosik.pl/showFullSize.php? ... 9ceca1cff7

Następnie komputer powinien uruchomić się ponownie. Porty, przez które przedostają się robaki powinny już być zamknięte (wszystkie znaczki zielone).

Czasem występują problemy z zamknięciem NetBIOSu, dlatego może on zostać ewentualnie na żółto.

Wykonaj nowe skanowanie combofixem i daj log na forum


(Wirtualny2008) #9

Jak skanuje combofix to zawiesza mi się comp. Jednak jak go zrestartuje to jakiś log tam jest. Czy to co wstawiłem w powyższym poscie nie jest dobrym logiem?


(huber2t) #10

jest to tylko Część logu

Podaj log z pliku main.txt z Deckard's System Scanner


(Wirtualny2008) #11

To jest skan z deckarda.

http://wklej.org/id/5501ef3abd


(huber2t) #12


(Wirtualny2008) #13

Proszę bardzo. Z pliku main.

http://wklej.org/id/67e4bfb97d


(Leon$) #14

Log wygląda na czysty

zrób optymalizacje uruchamiania http://cybertrash.netarteria.pl/cyber/index.php/topic,378.0.html

usuń ręcznie folder C: \Qoobox usuń instalkę Combofix z dysku.

Wyłącz I włącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

przeskanuj obszar Mój komputer http://www.kaspersky.pl/virusscanner.html pokaż raport stronę uruchomić przez IE

:slight_smile:


(Wirtualny2008) #15

Dodaje wpis z kasperskego. Znalazł mi niestety 71 zainfekowanych obiektów. O to raport.

http://wklej.org/id/d553de2117


(Spandau) #16

Wyłącz i włącz przywracanie systemu na wszystkich dyskach Instrukcja http://support.microsoft.com/kb/310405/pl

Usuń te pliki


(huber2t) #17

po tym przeskanuj Kapserskim jeszcze raz


(Wirtualny2008) #18

O to najnowszy skan z kasperskego. Już jest dużo lepiej. Zastanawiam się czy to są jeszcze wirusy co on pokazuje. I czy to jest jeszcze wogóle groźne.

http://wklej.org/id/15fd09ac4a


(huber2t) #19

Wyłącz i Włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Pobierz The Avenger

wklej do niego ten tekst:

Folders to delete:

D:\System Volume Information\_restore{373C1869-FA91-4E0A-AD70-895E574725B5}\RP145

D:\System Volume Information\_restore{373C1869-FA91-4E0A-AD70-895E574725B5}\RP146

D:\System Volume Information\_restore{373C1869-FA91-4E0A-AD70-895E574725B5}\RP147

D:\System Volume Information\_restore{373C1869-FA91-4E0A-AD70-895E574725B5}\RP153

D:\System Volume Information\_restore{373C1869-FA91-4E0A-AD70-895E574725B5}\RP156

kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt


(Wirtualny2008) #20

O to raport z avengera.

http://wklej.org/id/29f4c761fc