Virus prosze o pomoc

Witam wszsytkich, nie myslałem że coś załapię na komputer ale stało się.

Opiszę problem. Otórz po uruchomieniu komputera win 7, na pulpit dodały mi się trzy ikonki z jakimiś stronami porno : youporn.com, i inne. A na środku wyskoczyło okno z informacjami: pobieranie pliku komunikat o zastrzeżeniach :

  1. Nazwa - dnserrordiagoff_webOC , dokument html 6072 kb

  2. Od - ieframe.dll

pyta mnie czy mam powyrzy plik zapisać, okna te są 2 albo trzy.

Pozamykałem je ale po restarcie widze je ponownie, czytałem na forach ze to może jakiś uszkodzony plik IE , ale nie sądże po tych stronach z babeczkami

Inna przypadłość że wcina mi pozycję na pasku SIDEBAR.

Chciałem je zainstalowac ponownie ale system mówi że już jest taki i musze go najpierw odinstalowac

Nie moge tego zrobić bo go nie ma.

Poczytałem trosze i już myslę że mogę zrobić loga HIJACKTHIS. Bo dla mnie on kompletnie nic nie znaczy

Zformatowałem c: i przywróciłem kopię systemu , ale po kilku restartach dostałem komunikaty ponownie.

Więc zrobiłem czysty instal systemu ZNOWU !!

Bardzo prosze o nakierowanie jak mam sobie z tym poradzić. Aktualnie skanuję system spyboot , adware

Pozdrawiam i dizękuję

Wklej log z OTL i GMER

Logi wklej na wklej.to a tutaj tylko link do wklejki.

Nie wiem kompletnie czy dobrze to zrobiłem , na razie mam tego OTL

tu podaję link:

http://wklej.to/Q51I

Apropo prosze powiedziec jakim cudem wy coś tam dostrzegacie?

Doklej log z GMER bo nie jestem pewien czy jest źle czy tragicznie.

juz włączyłem , szuka. Mam wcisnąć szukaj a na końcu wyedytuje plik taki jak OTL? i wkleić go na ta stronke podaną przez Ciebie.

Kurcze weź mnie nie strasz, nigdy nie miałem powaznych rzeczy.

Czy mógłbys podac przykład z mojego logu gdzie widzisz że coś jest, po czym to poznajesz?

Dodane 26.08.2009 (Śr) 17:50

http://wklej.to/KZMl

jesli cos źle zrobiłem to napisz poprawię

wybrałem z prawej strony wszystkie dyski, czy miałbyc tylko c: ?

Niestety - Virut jak byk.

Ciężka infekcja i trudno z tym bez formatu, jak chcesz możesz powalczyć. Instrukcja w linku (niżej na stronie)

http://www.searchengines.pl/Infekcje-pl … 22692.html

Najpierw możesz spróbować metody 1, z tym, że Dr.WEB CureIt zapisz z rozszerzeniem .com. Najpewniejsza byla by jednak metoda nr 2 - leczenie spod Dr.WEB LiveCD.

dziekuje ci serdecznie, jak juz wiem na co jestem chory , wiem po jakie sięgnąć leki

jak już ci pisałem format robiłem ale Virut wrócił, czy mam rozumiec że jest na innych partycjach? Mam tam wiele dokumentów , zdjęć - format tych partycji nie wchodzi w grę, przenosić nie będę bo przeniosą z wirusem.

Zajmę się tą wersją LIVECD

Jak juz do czegoś dojdę , napisz co myślisz.

P. S. gdzie widziś tego viruta w moich logach?

można się gdzieś tego nauczyc?

Najpierw wyłącz przywracanie systemu na wszystkich dyskach, potem stosuj Dr.WEB LiveCD. Na dzisiaj uważa się, że taki pakiecik jest podatny na tą infekcję - .exe, .scr, htm, .html, .asp, .php, .com, .pif, .dll, .zip, .xml, .rar, .iso. Dlatego jeśli masz jakieś pliki o tym rozszerzeniu to uważaj by infekcja szybko nie wróciła.

Viruta widać głównie w hook’ach zainfekowanej biblioteki ntdll.dll na procesach w logu GMER’a.

nie będę ratował tego systemu, i tak przyda mi się nowa instalka.

zrobie format c

apotem odpalę płytę Dr.Web LiveCD i przeskanuje pozostałe partycje

myślisz że tak będzie lepiej?

A czy jakbym zrobił tak : format c, następnie całe inne partycję przeniósł na zewnętrzny dysk usb (te z kolei przeskanuje dr web live cd pod niezainfekowanym komputerem) , moje partycje format, wtedy instaluje nowy system i kopiuje spowrotem moje dane

Myślisz że takie rozwiązanie będzie dobre?

jak pisałem nie zależy mi na systemie, instaluje go w 1,5 h

Na pewno będzie lepiej. Pamiętaj, że skanujesz dysk tyle razy aż nic nie będzie wykrywane, kasujesz wszystko co zostanie znalezione. Pliki z podanymi wcześniej rozszerzeniami kasujesz. Wszelkie instalki programów pobierasz świeże.

na razie jest 50% przeskanowane i nic , czekam w tej płycie live cd są jakieś ustawienia sieci. Mam nadzieję że nie muszę przez internet update zanim zapuszczę skan bo mam internet radiowy i tego połączenia raczej tu nie ustawię.

Zakładam że ten Virut czepia się partycji systemowej, ale skoro już raz robiłem format i po paru uruchomieniach znowu wrócił to raczej skopiował się z jakiejś innej partycji.

Bo co mi innego przychodzi do głowy , ktoś kiedyś mi powiedział że jak masz virusa i jak ja stałe IP to po formacie serwer virusa identyfikuje mnie ponownie i znowu atakuje.

Nie wiem na ile w tym prawdy

Dziękuję Ci że poświęcasz mi czas

Jak na razie znalazł mi w jednej instalce: infected with trojan packed 140 , jak skończy skan usuną go

Też nie wiem ile w tym prawdy.

Jeśli Dr.WEB LiveCD ma coś w rodzaju menadżera plików to sprawdź czy nie ma bezpośrednio na C, D itp plików autorun.inf, jeśli będą - usuń.

Zaraz po zainstalowaniu świeżego systemu uruchom na nim FlashDisinfector

Potem pobierz na nowo OTL + GMER i wklej logi.

skaner pochodzi jeszcze mam 500GB twardzieli (powiem szczerze ze im większe dyski tym dłuzej trwają wszelkie defragmentacje , skanowania)

Jak skończy jutro zapuszczę go ponownie, tak jak mówiłeś jak już nic nie znajdzie zainstaluje system i zrobię logi.

Napisze wtedy, jeszcze raz dziękuję miłej nocy

Dodane 28.08.2009 (Pt) 16:40

Witam ciemnowidz jeśli czytasz , a więc:

  1. Dr Web live cd , prócz tego co ci pisałem nic nie znalazł więcej-b dziwne

  2. Zapuściłęm też avira live cd, znalazła jakieś 50 trojanów 28 usunęła. Ale coś mi się nie widzi ten antyvir

  3. Format c, instaluje siódemkę (beta-dobrze mi chodziła 4 miechy)

  4. Nie łączyłem się z internetem, chciałem dr web spod wina odpalić , i nagle blue screen. Restart i masakra , areo zniknęło , system wyglądał jak win 98

co najgorsze co bym chciał zrobić (odpalić skrót mój komp , wyskakuje tekst że jakoś nie mam promission na tą operację)

  1. Udało mi się odpalić tryb awaryjny, uruchomiłem narzędzie symantec FixVirut.com- nic na całym kompie, także rmvirut.exe ) też nic

  2. Właśnie kupiłem nieplanowany dysk zewn 1 TB, przenoszę dane (niestety kilkadziesiąt GB zdjęć , stare pliki zes tudiów , magisterka nie mogę usunąć)

  3. Potraktuje ten dysk jako kwarantanne. Następnie skasuje partycje na zainfekowanym, utworzę , sformatuje i zainstaluje czysty system. Bez instalek, opera z sieci postaram się z 2 dni popracować. Jeśli nic nie będzie zostawię i na drugim kompie będę skanował wszystkim możliwym nowy kwarantannowy dysk)

Ciemnowidz powiedz jaki mam antyvir instalować, wiem że avast nie jest w czołówce ale mam go z jakieś 6 lat i nic nie było.

Powiedz bardzo dzowne że Dr Web i Symantec nic nie znalazł prawda?

pozdrawiam

To, że Symantec nic nie znalazł to dziwne akurat nie jest. Jeśli chodzi o Dr.WEB’a - cóż, może się zdarzyć. W końcu to nie byle jaka infekcja.

Co do antywirusa Avast jest dość dobry jeśli chodzi o wykrywanie infekcji, gorzej z usuwaniem, ale powinien w porę zaalarmować o wirusie. Jeszcze zainteresuj się (z darmowych) Avirą i AVG. Wypadałoby mieć też dobry firewall - z darmowych COMODO/Online Armor.

Witam ciemnowidz, pisze już z nowego systemu.

Czysta instalka, nic na innych partycjach , opera i avast podana z strony prod.

Zapodałem OTL i GMER

podaje logi:

http://wklej.to/9pfp

http://wklej.to/F2JV

GMER:

http://wklej.to/YT1E

Jeśli bedziesz miał chwilke sprawdź prosze

Jeszcze nie potrzebowałem tak obszernej pomocy ale widze ze sa ludzie którzy pomagają bezinteresownie

DZIĘKUJĘ CI ZA TO !

Do poniedziałku nic nie instaluje,

zaraz pare restartów, potem sprawdzę live cd,

miłej nocki

W logach nic już nie ma.

No to sie ciesze

Powiedz jeszcze proszę, firewall domyślnie po instalacji podczas instalowania sterownika sprzętu prosi nieraz z 15 razy bym mu wszystko zezwolił.

Trochę to męczące, wiele ludzi i tak nie wie na co zezwala. Fakt, potem jak juz wszystko bedzie na kompie , okienka bedą sporadycznie wyskakiwać,

jest może jakiś poradnik w necie co do konfiguracji COMODO?

Skanowałem wczoraj i dzisiaj : gdata, bitdefender , dr web jako live cd, ten kwarantowany dysk. Nic nie znalazł

Na razie będę go podłączał po usb a za jakiś czas przywróce dane

Dzięki

Co do konfiguracji Comodo to takie coś znalazłem

http://comodo.andgird.webd.pl/

Początki z nim są zawsze takie ale po pewnym czasie nie będzie wyświetlał tych komunikatów.