14przez15
(Jakub Gabarkiewicz)
1 Marzec 2008 09:05
#1
Avast przy uruchomieniu kompa wykrywa mi wirusa, ale żadna z komend (usuń, kwarantanna, przenieś) nie przynosi rezultatu. Każda wypróbowana po 3 razy. Przy próbach skanowania systemu Avastem proces dochodzi do ok. 1/3 i na ekranie widzę niebieski ekran i komp się resetuje. To samo dzieje się przy próbach przeskanowania Mks-em oraz Ad-aware.
Avast przy wkryciu wirusa pokazuje mi ścieżkę:
Windows\system32\prx.exe[upack]
Ale po wejściu tam plik jest niewidoczny. Nie wiem jak się tego pozbyć.
Dodatkowo przy starcie kompa w manadżeże zadań pokazują mi się dwa procesy o nazwach notepad.exe, które zabierają łącznie 98% pamięci. Po skasowaniu jednego procesu, ten który pozostaje sam zabiera również 98% pamięci. Po skasowaniu obydwu komp działa już z normalną prędkością.
Oto mój log:
http://wklej.org/id/e0815a1b92
Proszę o rady.
Leon1
(Leon$)
1 Marzec 2008 10:50
#2
Wyłącz przywracanie systemu na wszystkich dyskach
wpisy
# O1 - Hosts: 82.146.60.44 www.postbank.de
# O1 - Hosts: 82.146.60.44 postbank.de
# O1 - Hosts: 82.146.60.44 banking.postbank.de
# O1 - Hosts: 82.146.60.44 direkt.postbank.de
# O1 - Hosts: 82.146.60.44 www.smile.co.uk
# O1 - Hosts: 82.146.60.44 smile.co.uk
# O1 - Hosts: 82.146.60.44 cahoot.com
# O1 - Hosts: 82.146.60.44 www.cahoot.com
# O1 - Hosts: 82.146.60.44 www.cahoot.co.uk
# O1 - Hosts: 82.146.60.44 cahoot.co.uk
# O1 - Hosts: 82.146.60.44 www.co-operativebank.co.uk
# O1 - Hosts: 82.146.60.44 co-operativebank.co.uk
# O1 - Hosts: 82.146.60.44 www.co-operativebank.com
# O1 - Hosts: 82.146.60.44 co-operativebank.com
# O1 - Hosts: 82.146.60.44 personal.barclays.co.uk
# O1 - Hosts: 82.146.60.44 barclays.co.uk
# O1 - Hosts: 82.146.60.44 ibank.barclays.co.uk
# O1 - Hosts: 82.146.60.44 www.barclays.co.uk
# O1 - Hosts: 82.146.60.44 barclays.touchclarity.com
# O1 - Hosts: 82.146.60.44 hsbc.co.uk
# O1 - Hosts: 82.146.60.44 www.hsbc.co.uk
# O1 - Hosts: 82.146.60.44 hsbc.touchclarity.com
# O1 - Hosts: 82.146.60.44 www1.member-hsbc-group.com
# O1 - Hosts: 82.146.60.44 lloydstsb.co.uk
# O1 - Hosts: 82.146.60.44 www.lloydstsb.co.uk
# O1 - Hosts: 82.146.60.44 lloydstsb.com
# O1 - Hosts: 82.146.60.44 www.lloydstsb.com
# O1 - Hosts: 82.146.60.44 mi.lloydstsb.com
# O1 - Hosts: 82.146.60.44 www.woolwich.co.uk
# O1 - Hosts: 82.146.60.44 woolwich.co.uk
# O1 - Hosts: 82.146.60.44 www.deutsche-bank.de
# O1 - Hosts: 82.146.60.44 deutsche-bank.de
# O1 - Hosts: 82.146.60.44 meine.deutsche-bank.de
# O1 - Hosts: 82.146.60.44 www.anbusiness.com
# O1 - Hosts: 82.146.60.44 anbusiness.com
# O1 - Hosts: 82.146.60.44 www.abbeyinternational.com
# O1 - Hosts: 82.146.60.44 www.barclays.com
# O1 - Hosts: 82.146.60.44 barclays.com
# O1 - Hosts: 82.146.60.44 ibank.internationalbanking.barclays.com
# O1 - Hosts: 82.146.60.44 offshore.hsbc.com
# O1 - Hosts: 82.146.60.44 www.lloydstsb-offshore.com
# O1 - Hosts: 82.146.60.44 lloydstsb-offshore.com
# O1 - Hosts: 78.24.218.208 lacaixa.es
# O1 - Hosts: 78.24.218.208 portal.lacaixa.es
# O1 - Hosts: 78.24.218.208 www.lacaixa.es
# O1 - Hosts: 78.24.218.208 lo1.lacaixa.es
# O1 - Hosts: 78.24.218.208 lo2.lacaixa.es
# O1 - Hosts: 78.24.218.208 lo.lacaixa.es
# O1 - Hosts: 82.146.60.44 citibank.de
# O1 - Hosts: 82.146.60.44 www.citibank.de
O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)
O4 - HKLM\..\Run: [Microsoft Network Services Controller] C:\WINDOWS\system32\mmsvc32.exe
O8 - Extra context menu item: FLV Getter - C:\Program Files\FlvGetter\FlvGetter.html
O16 - DPF: {493ACF15-5CD9-4474-82A6-91670C3DD66E} (LinkedIn ContactFinderControl) - http://www.linkedin.com/cab/LinkedInContactFinderControl.cab
usuń HijackThisem >> Fix checked
pobierz Combofix http://www.searchengines.pl/index.php?showtopic=86306&st=0&p=395642entry395642 ale nie włączaj
otwórz notatnik i wklej
zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe
http://img.wklej.org/images/88953CFScri … iemoes.gif
Powinno rozpocząć się usuwanie
Potem log z usuwania Combofix
14przez15
(Jakub Gabarkiewicz)
1 Marzec 2008 14:50
#3
Postąpiłem zgodnie z zalecaniami i oto log z combofixa:
http://wklej.org/id/84c558df08
Leon1
(Leon$)
1 Marzec 2008 15:08
#4
otwórz notatnik i wklej
zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe
http://img.wklej.org/images/88953CFScri … iemoes.gif
Powinno rozpocząć się usuwanie
Potem log z usuwania Combofix
Po restarcie jeśli wszystko będzie OK usuń ręcznie folder C: \Qoobox
14przez15
(Jakub Gabarkiewicz)
1 Marzec 2008 22:18
#5
Zrobione. Log po tej operacji to:
http://wklej.org/id/ea105bc566
Tylko na C: nie widzę Qoobox’a