Zainfekowany komputer. NOD32 wykyrwa wirusa

Witam, mam ostatnio problemy z komputerem. NOD32 co chwilkę wyrzuca mi komunikat o wirusie

1234987462-wirus.jpg

Hijack:

Proszę o pomoc. Z góry dziękuje :stuck_out_tongue:

P.S. Dorzucę logi Silent Runners… jak tylko zakończy się skanować… ,ale dziwne już 10min i plik się ciągle powiększa i nie ma końca :stuck_out_tongue:

Znasz te powyższe?

Jeśli nie, to:

>>Hijack>>scan(Do a system scan only)>>zaznacz je >> Fix checked.

Daj og z ComboFix

Nowsza instrukcja obsługi ComboFixa >http://www.bleepingcomputer.com/combofix/pl/instrukcja-uzycia-combofix

EDIT:

A tego NODa wyrzuć, skoro pokazuje Ci nieistniejące pliki.!

jessi

To też mam usunąć hijackiem??

Tego już raczej nie będzie w Hijacku.

Ale masz inny problem:

To Rootkit w sektorze MBR dysku.

  1. Użyj (w Trybie Awaryjnym!)–>SDFix -na dole strony z linku

Pokaż Report.txt znajdujący się w folderze SDFix.

  1. Daj log z > mbr.exe >http://www.searchengines.pl/index.php?show…mp;#entry470953 (scan trwa tylko 2 sekundy)

  2. Wklej do Notatnika :

    File::

    c:\windows\TEMP\1992.tmp

    c:\Windows\system32\twex.exe

    Driver::

    {DEF85C80-216A-43ab-AF70-1665EDBE2780}

    Registry::

    [-HKEY_LOCAL_MACHINE\System\ControlSet001\Services{DEF85C80-216A-43ab-AF70-1665EDBE2780}]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

    “Userinit”=“C:\WINDOWS\system32\userinit.exe,”

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders]

    “SecurityProviders”=“msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll”

>>Plik>>Zapisz jako… >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

– podobnie jak na tym obrazku –>cfscript10gm1.gif

Ma się rozpocząć usuwanie. (i powstanie log). Daj ten log.

jessi

2) MBR:

Jest dalej w Hijacku… , zaraz zrobię co mówisz.

**3)**Zrobiłem jak mówisz w pkt. 3, ale nie wiem czy coś się usuwało

LOG:

A punktu 1 nie mogę zrobić, nie działa mi klawa podczas włączania windy i na F8 nie reaguje ;/ Jak to zmienić?

Zmień klawiaturę na taką, która będzie działała, no bo po co Ci zepsuta klawiatura?

Teraz trzeba przystąpić do realizacji punktu nr 3 z podanego linka o “mbr.exe”, czyli:

Potem:

Wklej do Notatnika :

File::

c:\windows\DUMP5eba.tmp

c:\windows\DUMP64d4.tmp

c:\windows\system32\twex.exe


Registry::

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]

"Userinit"="c:\windows\system32\userinit.exe,"

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]

>>Plik>>Zapisz jako… >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

– podobnie jak na tym obrazku –>cfscript10gm1.gif

Ma się rozpocząć usuwanie. (i powstanie log). Daj ten log.

Logi wklejaj na http://wklej.org/ , a to daj tylko link!

jessi

To jest punkt 1 tego co nie zrobiłem wcześniej. (problem z działaniem klawy w trybie awaryjnym rozwiązany, na USB nie działała…)

LOG: http://wklej.org/id/54683/

Zabieram się za resztę…

To log z ostatniej rzeczy którą napisałeś, czyli po wklejeniu do notatnika i wrzuceniu do combo:

LOG: http://wklej.org/id/54690/

Nie mogę wejść na konto administratora ;/ Nie pamiętam hasła…

Próbowałem na swoim, ale w wierszu poleceń otrzymuje komunikat, że mbr nie jest rozpoznawalny jako połączenie wew. ,zew. ,program wykonawczy lub plik wsadowy.

Jessi

Dzięki. Chyba się udało. Coś jeszcze teraz muszę zrobić?

Aha i jakaś ochrona przed tego rodzaju infekcjami ?

Używam Nod32 i spybota.

  1. Usuń kopie “wirusów” z folderu “System Volume Information” poprzez chwilowe wyłączenie “Przywracania Systemu”:
  1. Usuń ręcznie folder C:** Qoobox**.

Co do ochrony, to uważam, że masz dobrą - nie ma przecież idealnej ochrony.

jessi

a gdzie jest ten “System Volume Information” bo nie mogę znaleźć? ;/

Już znalazłem ale nie mogę tam wejść - “Odmowa dostępu”. (wyłączyłem to co mówisz na wszystkich dyskach)

Napisz mi proszę jak tam wejść i co usunąć potem.

A kto Ci kazał wchodzić do tego folderu?

To się samoczynnie usunie, jeśli zrobisz dokładnie tak, jak napisałam.

jessi

Ok, wielkie dzięki.

Coś jeszcze mam zrobić, jakieś skany albo coś?

Tylko teraz mi się nie włącza z powrotem przywracanie systemu? ;/

I w ogóle czemu mi znikło przywracanie systemu z właściwości “Mój komputer” ? Mogę tam już wejść tylko przez start -> narzędzia…, ale tak jak już wspomniałem i tak mi wyskakuje, że nie da się włączyć przywracania…

Nie bardzo rozumiem: czy nie da się usunąć teraz “ptaszka” z tego okienka?

Może sprawdź:

>>START>>URUCHOM>>wybierz (lub wpisz) sevices.msc >>OK>

>w okienku po prawej znajdź “Usługa przywracania Systemu” >prawoklik>właściwości>>zakładka “Ogólne”>>w polu "Typ uruchomienia ustaw na "Automatyczny>>Zastosuj>>OK

jessi

“Przywracanie systemu nie może chronić tego komputera. Uruchom ponownie komputer, a następnie ponownie uruchom przywracanie systemu”. To mi wyskakuje. Res nic nie daje.

Zrobiłem jak mówisz, ale było na automatycznym, ustawiłem jeszcze raz dałem zastosuj i nie pomogło. Do tego zakładka przywracanie systemu zniknęła mi z Właściwości “Mojego Komputera” … i to ma na pewno związek z wyczyszczeniem tego folderu System Volume Information. Tylko teraz jak to naprawić?

Muszę przyznać, że o takim przypadku jeszcze nie słyszałam - to na pewno jest pierwszy taki przypadek w świecie, więc nadaje się do “Księgi Guinessa”!

Wracając do “services.msc” - czy tam pisało, ze usługa jest wyłączona, czy że jest włączona?

>START>Uruchom>>services.msc>>zaznacz “usługa przywracania systemu”>trochę po lewej powinna być opcja ponownego uruchomienia/zatrzymania usługi, a po prawej w kolumnie STAN, powinno być “Uruchomione”.

jessi

Hmmm… to może mnie dopiszą?

Daję uruchom to wyskakuje “Błąd 5: Odmowa dostępu” a w kolumnie stan nie ma nic.

Jakieś pomysły? :frowning:

Spróbuj postępować zgodnie z zaleceniami w tym temacie:>http://www.searchengines.pl/Brak-zakladki-Przywracanie-Systemu-t100305.html

czyli coś w tym stylu:

]

jessi

Już sobie sam poradziłem, google przyjaciel człowieka ;]

Ale jak widać to nie był 1 taki przypadek…

Dobra dzięki.