Zasyfiony komp - kaspersky pokazuje pełno wirów - logi

Dla specjalistów Bezpieczeństwo
#1

Witam. Na ogół mam czyściutkiego kompa, ale chciałem już zakończyć jego żywot testując antywirusy na wirusach. Jednak wymknęło mi się to spod kontroli, a chciałbym jeszcze zgrać ważne pliki na płytkę. Objawy - XP antivirus, tapeta spyware detected, bardzo częste błędy, okienka reklamowe na pulpicie. Kasperskym usunąłem już chyba ze 20 wirusów, ale jeszcze nie jest czysto. Dzięki za pomoc :slight_smile:

Combo http://wklej.org/id/f36d0d7b31

Hijack http://wklej.org/id/8631a68285

Jeszcze raz dzięki za pomoc :slight_smile:

#2

fix w hijackthis

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\WINDOWS\gfetqaxssde.dll

C:\WINDOWS\system32\pmnLBTJB.dll

C:\WINDOWS\gxvpsafm.dll

C:\WINDOWS\SYSTEM32\pmnLBTJB.dll

C:\WINDOWS\qegbdmwf.dll

C:\WINDOWS\pntqkflv.dll

C:\WINDOWS\system32\vtUolmMf.dll 

C:\WINDOWS\system32\mlJDUnll.dll 

C:\WINDOWS\system32\efcAQIAP.dll 

C:\WINDOWS\system32\efcDTKeb.dll 

C:\WINDOWS\system32\ljJCrPFW.dll 

C:\WINDOWS\system32\geBtQiif.dll 

C:\WINDOWS\system32\sndcom.dll 

C:\WINDOWS\system32\winetn32.dll 

C:\WINDOWS\system32\opnMDUKe.dll 

C:\WINDOWS\system32\jkklIBqQ.dll 

C:\WINDOWS\system32\sex2.ico

C:\WINDOWS\system32\vav.cpl 

C:\WINDOWS\system32\drivers\9190427b.sys 

C:\WINDOWS\system32\blphc92ej0e7fl.scr 

C:\WINDOWS\system32\yaywuvUo.dll 

C:\WINDOWS\system32\pmnMEVlj.dll 

C:\WINDOWS\system32\pmnLBTJB.dll 

C:\WINDOWS\mssecurity.config 

C:\WINDOWS\system32\sex1.ico 

C:\WINDOWS\qegbdmwf.dll 

C:\WINDOWS\gfetqaxssde.dll 

C:\WINDOWS\pntqkflv.dll 

C:\WINDOWS\gxvpsafm.dll 

C:\WINDOWS\system32\phc92ej0e7fl.bmp 

C:\WINDOWS\tovafrnm.exe 

C:\WINDOWS\system32\bsndcom.dll


Folder::

C:\Program Files\rhcc2ej0e7fl

C:\Documents and Settings\Łukasz\Dane aplikacji\rhcc2ej0e7fl


Registry::

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0de68a8a-8158-4bde-8f5f-849f00af31fb}] 

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1b18e700-33b1-4960-a9f0-a16a4c7290bf}] 

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C}] 

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{d2eeb637-a4a5-4bbb-8c0c-96af821110c2}] 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] 

"{A497D131-ABE9-4267-8C94-8D7FDBCF99AC}"=-

[-HKEY_CLASSES_ROOT\clsid\{a497d131-abe9-4267-8c94-8d7fdbcf99ac}] 

[-HKEY_CLASSES_ROOT\gxvpsafm.1] 

[-HKEY_CLASSES_ROOT\TypeLib\{CD7550FD-CA9F-43EA-802D-FD8EFB4D3AD0}] 

[-HKEY_CLASSES_ROOT\gxvpsafm]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks] 

"{D2EEB637-A4A5-4BBB-8C0C-96AF821110C2}"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] 

"qegbdmwf"=-

"pntqkflv"=-

[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\pmnLBTJB]

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

02f8f1e3c410a4cc.gif

Rozpocznie się usuwanie i powstanie log, daj ten log na forum.

Logi dajesz na http://wklejto.pl a w poście dajesz tylko link

#3

Proszę oto log z combo http://wklej.org/id/c251c686d3 :slight_smile:

#4

Usuń ten folder:

C:\Program Files\VAV

usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.

Przeczyść komputer Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum

lub

Dr.WEB CureIt!

#5

Kasperskym online nie mogłem zeskanować, bo pisało, że nie można ukończyć aktualizacji. Zrobiłem scan kasperskym, którego mam na kompie i wykrył 3 wirusy. Wszystkie usunął. Na wszelki wypadek daję log z combo http://wklej.org/id/3b280bd8b0 :slight_smile:

#6

W logu nic nie widzę

Przeskanuj system Dr. Web

#7

Dr. Web nic nie znalazł, ale za to avira znalazła :

C:\Documents and Settings\Łukasz\Pulpit\ComboFix.exe

      [DETECTION] Contains detection pattern of the application APPL/NirCmd.E.2.B

      [DETECTION] Contains detection pattern of the application APPL/NirCmd.E.1.B

      [DETECTION] Contains detection pattern of the application APPL/Rmadmin.131072

      [DETECTION] Contains detection pattern of the SPR/Tool.PV program

      [DETECTION] Contains detection pattern of the application APPL/NirCmd.E.2.B

      [NOTE] The file was moved to '48d313cb.qua'!

C:\Program Files\Trend Micro\HijackThis\backups\backup-20080628-111728-554.dll

      [DETECTION] Contains detection pattern of the Ad- or Spyware ADSPY/AdSpy.Gen

      [NOTE] The file was successfully wiped!

      [NOTE] The file was deleted!

C:\WINDOWS\Nircmd.exe

      [DETECTION] Contains detection pattern of the application APPL/NirCmd.E.2.B

      [NOTE] The file was moved to '48d81601.qua'!

Z tego sądzę, że są to fałszywe alarmy, ponieważ pliki są plikami combo fixa i hijacka, ale looknij na to jeśli możesz. :slight_smile:

#8

Uśuń to:

#9

Ok. Usunięte. :slight_smile: Wielkie dzięki za pomoc. :smiley: