grejt89
(Tomix2)
12 Sierpień 2009 16:49
#1
Siema, podczas przeglądania stron zainfekowałem kompa prawdopodobnie jakimś trojanem. Na pasku wyskakuje ikonka ‘Your computer is infected’
Poniżej wklejam loga z HJJackthis:
http://www.wklej.org/id/134030/
Proszę o sprawdzenie loga. Z góry dzięki.
ciemnowidz
(Henio Mazurek)
12 Sierpień 2009 16:51
#2
Wklej log z OTL i GMER
Logi wklej na wklej.org lub wklej.to a tutaj tylko link do wklejki.
deFco247
(deFco247)
12 Sierpień 2009 16:53
#3
Złapałeś infekcję ciężką - Viruta .
Pobierz DR WEB CureIt , kliknij na link do pobrania PPM -> Zapisz element docelowy jako -> zapisz jako typ wszystkie pliki pod nazwą 123.com .
Wykonaj pełny skan, lecz co się da, reszta do usunięcia.
Następnie pobierz Kaspersky Virus Removal Tool , również pełny skan, usuwa co znajdzie.
Po usuwaniu system się może nie uruchomić, w takim przypadku wykonaj instalację nakładkową Windows bez utraty danych.
Po ewentualnej instalacji wyłącz Przywracanie systemu na wszystkich dyskach. Instrukcja XP .
Potem pokaż log z Combofix .
Podczas pobierania i skanowania Combofixem należy wyłączyć wszelkie antywirusy i firewalle .
Po skanie Combofix ponownie wyłącz przywracanie systemu włączone przez Combofixa.
ciemnowidz
(Henio Mazurek)
12 Sierpień 2009 16:54
#4
To nie musi być Virut. Wklej logi jakie napisałem.
grejt89
(Tomix2)
12 Sierpień 2009 17:07
#5
Log OTL:
http://www.wklej.org/id/134042/
A GMER nie mogę uruchomić, po włączeniu odrazu restartuje mi kompa.
ciemnowidz
(Henio Mazurek)
12 Sierpień 2009 17:13
#6
GMER czasem tak ma. Uruchom ComboFix i wklej log.
grejt89
(Tomix2)
12 Sierpień 2009 17:40
#7
Niestety nie mogę dokończyć skanowania ComboFix gdy ukończy sie etap 50 komputer sie restartuje. ;/
ciemnowidz
(Henio Mazurek)
12 Sierpień 2009 17:53
#8
Strasznie naświnione i nie wiem czy OTL to usunie. Pliki Windowsa i tak będą do podmiany. Wklej w OTL taki tekst
:OTL PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation) PRC - [2009-08-12 16:39:27 | 00,026,686 | ---- | M] () – C:\WINDOWS\System32\msword98.exe PRC - [2009-08-12 18:16:50 | 00,010,240 | ---- | M] () – C:\WINDOWS\braviax.exe PRC - [2009-08-12 16:39:28 | 00,026,686 | ---- | M] () – C:\Documents and Settings\Tomek\msword98.exe PRC - [2009-08-12 16:39:28 | 00,026,686 | ---- | M] () – C:\Documents and Settings\Tomek\msword98.exe O4 - HKLM…\Run: [braviax] File not found O4 - HKLM…\Run: [msword98] C:\WINDOWS\System32\msword98.exe () O4 - HKLM…\Run: [NPSStartup] File not found O4 - HKLM…\Run: [Regedit32] C:\WINDOWS\System32\regedit.exe File not found O4 - HKU\s-1-5-21-839522115-413027322-1606980848-1003…\Run: [braviax] File not found O4 - HKU\s-1-5-21-839522115-413027322-1606980848-1003…\Run: [msword98] C:\Documents and Settings\Tomek\msword98.exe () O20 - AppInit_DLLs: (cru629.datCorporatio) - C:\WINDOWS\System32\cru629.dat O33 - MountPoints2{4cb788ca-59b0-11de-8387-000fea32c418}\Shell\AutoRun\command - “” = sm.exe O33 - MountPoints2{4cb788ca-59b0-11de-8387-000fea32c418}\Shell\open\Command - “” = sm.exe :Services 504ce181 :Files C:\WINDOWS\System32\msword98.exe C:\WINDOWS\braviax.exe C:\Documents and Settings\Tomek\msword98.exe C:\WINDOWS\System32\msword98.exe C:\WINDOWS\System32\dllcache\figaro.sys C:\WINDOWS\System32\cru629.dat C:\WINDOWS\cru629.dat C:\WINDOWS\System32\drivers\504ce181.sys :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] “Userinit”=“C:\WINDOWS\system32\userinit.exe,” :Commands [emptytemp] [start explorer] [Reboot]
Klikasz Run Fix. Po restarcie wklej nowy log z OTL, spróbuj też pobrać nowy ComboFix, na czas pobierania wyłącz antywirusa i zapory, spróbuj uruchomić i wkleić log.
grejt89
(Tomix2)
12 Sierpień 2009 18:00
#9
log:
http://wklej.org/id/134073/
– Dodane 12.08.2009 (Śr) 20:09 –
z combofix ciagle to samo;/ ukonczy etap 50 wyskakuje nagle napis usuwanie plików: i restartuje sie komputer. Zapory wylaczone a antywira nie mam.
ciemnowidz
(Henio Mazurek)
12 Sierpień 2009 18:14
#10
Potrzebna będzie płyta z Windows. Znajdź w katalogu i386 na płycie pliki beep.sy_ i ntfs.sys i wypakuj bezpośrednio na C jako beep.sys i ntfs.sys.
Potem pobierz Avenger .
Wklej do niego taki tekst
Klikasz Execute.
Potem nowy log z OTL.
grejt89
(Tomix2)
12 Sierpień 2009 18:41
#11
log: http://wklej.org/id/134093/
– Dodane 12.08.2009 (Śr) 20:42 –
chyba zadziałało, nie ma już ten ikonki Your computer is infected.
ciemnowidz
(Henio Mazurek)
12 Sierpień 2009 18:48
#12
Skopiowałeś na C pliki beep.sys i ntfs.sys, bo dalej rozmiar mi nie odpowiada.
Wklej w OTL taki tekst
Klikasz Run Fix. Pokazujesz nowy log z OTL.
grejt89
(Tomix2)
12 Sierpień 2009 18:57
#13
skopiowalem na C: te pliki
log :
http://wklej.org/id/134104/
ciemnowidz
(Henio Mazurek)
12 Sierpień 2009 19:03
#14
Wszystko wróciło. Nie wiem czy tutaj nakładki nie trzeba będzie robić.
Jeszcze wklej w Avenger taki tekst
Klikasz Execute. Wklej log z Avengera i nowy z OTL.
Zastosuj Malwarebytes Anti-Malware , skan dokładny - usuwasz co znajdzie i wklejasz log.
grejt89
(Tomix2)
12 Sierpień 2009 20:33
#15
ciemnowidz
(Henio Mazurek)
13 Sierpień 2009 05:55
#16
Sytuacja wygląda lepiej. Wklej do Avengera tekst
Klikasz Execute.
Wygląda na to, że te zmodyfikowane pliki systemowe ściągają tą infekcję na nowo. Trzeba będzie je raczej podmienić z konsoli odzyskiwania. Jak wejść w konsolę jest tutaj, płyta z Windows musi być w napędzie
http://www.adam749.eu/index.php?id=konsola
W konsoli wpisujesz takie komendy
Za X wstawiasz literę pod którą masz napęd CD\DVD.
Po każdej linijce enter. Potem wchodzisz do Windows i skanujesz się dokładnie Malwarebytes, usuwasz co znajdzie i wklejasz log.
grejt89
(Tomix2)
13 Sierpień 2009 12:11
#17
Niestety bylem zmuszony do formatu. Dzięki za pomoc.
ciemnowidz
(Henio Mazurek)
13 Sierpień 2009 12:16
#18
Zainstaluj koniecznie antywirus bo tutaj były też starsze infekcje, ogólnie sporo tego było i właziły jak chciały. Poza tym chyba nie chcesz kolejnego formatu. Lista darmowych tutaj
http://www.searchengines.pl/Kompletne-p … 16112.html