Proszę o szybką pomoc!
Mam okropny problem z komputerem! Podczas łażenia po internecie lub ściąganiu torrentów złapałem bardzo paskudne trojany, które za nic nie dzadzą się usunąć. Znacyz dadzą, ale wracają inne! :O
[code]03/20/2008 00:46
Skanuj wszystkie dyski lokalne
Skanowanie przerwane
Liczba przeszukanych katalogów: 66
Liczba przetestowanych plików: 125
Liczba zarażonych plików: 0
----------------------------------------
05/24/2008 17:17
Skanuj wszystkie dyski lokalne
Plik C:\System Volume Information\_restore{26A633A2-8752-45F5-904C-C63DD94E200A}\RP80\A0056183.exe jest zarażony przez Win32:Parite, Usunięto
Plik C:\System Volume Information\_restore{26A633A2-8752-45F5-904C-C63DD94E200A}\RP80\A0056184.exe jest zarażony przez Win32:Parite, Usunięto
Plik H:\Documents and Settings\Administrator\Ustawienia lokalne\Temp\ghj56.tmp jest zarażony przez Win32:Parite-B@dll, Usunięto
Plik H:\Documents and Settings\Administrator\Ustawienia lokalne\Temporary Internet Files\Content.IE5\4G14LJSB\kb713501[1] jest zarażony przez Win32:Rootkit-gen [Rtk], Usunięto
Plik H:\Documents and Settings\Kubuś\Ustawienia lokalne\Temporary Internet Files\Content.IE5\ITK9OXCP\kb713501[1] jest zarażony przez Win32:Rootkit-gen [Rtk], Usunięto
Plik H:\Program Files\Alwil Software\Avast4\DATA\moved\pulvvneq.dll jest zarażony przez Win32:Monder-V [Trj], Usunięto
Plik H:\Program Files\LucasArts\KotF Jedi Academy Expansion Pack\Menus\Missions.exe jest zarażony przez Win32:Trojan-gen {Delphi}, Usunięto
Plik H:\Program Files\LucasArts\KotF Jedi Academy Expansion Pack\Menus\NpcAdd-Remove.exe jest zarażony przez Win32:Trojan-gen {Delphi}, Usunięto
Plik H:\Program Files\LucasArts\KotF Jedi Academy Expansion Pack\Menus\Settings.exe jest zarażony przez Win32:Trojan-gen {Delphi}, Usunięto
Plik H:\Program Files\NetPumper\ZM\minime.exe jest zarażony przez Win32:Swizzor-HG [Trj], Usunięto
Plik H:\System Volume Information\_restore{26A633A2-8752-45F5-904C-C63DD94E200A}\RP61\A0044036.dll jest zarażony przez Win32:BHO-OY [Trj], Usunięto
Plik H:\System Volume Information\_restore{26A633A2-8752-45F5-904C-C63DD94E200A}\RP83\A0062400.dll jest zarażony przez Win32:Monder-V [Trj], Usunięto
Plik H:\System Volume Information\_restore{26A633A2-8752-45F5-904C-C63DD94E200A}\RP83\A0062401.exe jest zarażony przez Win32:Trojan-gen {Delphi}, Usunięto
Plik H:\System Volume Information\_restore{26A633A2-8752-45F5-904C-C63DD94E200A}\RP83\A0062402.exe jest zarażony przez Win32:Trojan-gen {Delphi}, Usunięto
Plik H:\System Volume Information\_restore{26A633A2-8752-45F5-904C-C63DD94E200A}\RP83\A0062403.exe jest zarażony przez Win32:Trojan-gen {Delphi}, Usunięto
Plik H:\System Volume Information\_restore{26A633A2-8752-45F5-904C-C63DD94E200A}\RP83\A0062404.exe jest zarażony przez Win32:Swizzor-HG [Trj], Usunięto
Plik H:\WINDOWS\system32\excqrbce.exe jest zarażony przez Win32:Rootkit-gen [Rtk], Usunięto
Plik H:\WINDOWS\system32\hedywtuk.exe jest zarażony przez Win32:Rootkit-gen [Rtk], Usunięto
Plik H:\WINDOWS\system32\huvtgsci.exe jest zarażony przez Win32:Rootkit-gen [Rtk], Usunięto
Plik H:\WINDOWS\system32\ttjrmkyq.exe jest zarażony przez Win32:Rootkit-gen [Rtk], Usunięto
Plik H:\WINDOWS\system32\vmsoinnl.exe jest zarażony przez Win32:Rootkit-gen [Rtk], Usunięto
Liczba przeszukanych katalogów: 5318
Liczba przetestowanych plików: 66039
Liczba zarażonych plików: 21
----------------------------------------
05/26/2008 22:21
Skanuj wszystkie dyski lokalne
Plik H:\Documents and Settings\Administrator\Ustawienia lokalne\Temporary Internet Files\Content.IE5\VS3212U8\kb713501[1] jest zarażony przez Win32:PrivacySet-B [Trj], Usunięto
Plik H:\Documents and Settings\Administrator\Ustawienia lokalne\Temporary Internet Files\Content.IE5\YZXZ48Z1\kb456456[1] jest zarażony przez Win32:Zapchast-FO [Trj], Usunięto
Plik H:\System Volume Information\_restore{26A633A2-8752-45F5-904C-C63DD94E200A}\RP81\A0057201.dll jest zarażony przez Win32:Virtumonde-KJ [Adw], Usunięto
Plik H:\System Volume Information\_restore{26A633A2-8752-45F5-904C-C63DD94E200A}\RP81\A0057268.dll jest zarażony przez Win32:Virtumonde-KJ [Adw], Usunięto
Plik H:\System Volume Information\_restore{26A633A2-8752-45F5-904C-C63DD94E200A}\RP83\A0062405.exe jest zarażony przez Win32:PrivacySet-B [Trj], Usunięto
Plik H:\System Volume Information\_restore{26A633A2-8752-45F5-904C-C63DD94E200A}\RP83\A0062406.exe jest zarażony przez Win32:PrivacySet-B [Trj], Usunięto
Plik H:\System Volume Information\_restore{26A633A2-8752-45F5-904C-C63DD94E200A}\RP83\A0062407.exe jest zarażony przez Win32:PrivacySet-B [Trj], Usunięto
Plik H:\System Volume Information\_restore{26A633A2-8752-45F5-904C-C63DD94E200A}\RP83\A0062408.exe jest zarażony przez Win32:PrivacySet-B [Trj], Usunięto
Plik H:\System Volume Information\_restore{26A633A2-8752-45F5-904C-C63DD94E200A}\RP83\A0062409.exe jest zarażony przez Win32:PrivacySet-B [Trj], Usunięto
Liczba przeszukanych katalogów: 4798
Liczba przetestowanych plików: 61278
Liczba zarażonych plików: 9
[/code]
Tylko tyle mogę wkleić, do HijackThisa nie dokopię siębo? na centrum xp go nie ma, dobreprogramy mi niedziałają i google też... a to wina tychże wirusów.
Najgorsze jest to, że komputer sam łączy mi się z ip: http://89.188.16.23/go//?cmp=nm_firefox_rn&uid=1059A0EE25B711DD85F2FFFFFFCFFFFF&rid=ggthnks&guid=30C4162691CF4058915BF49AFBD9180E&affid=&lid=http&url=http:%2F%2Fwww.onet.pl%2F
i plus taki adres. Nie wiem co to jest, ale niepokoi mnie to strasznie! Proszę o bezpośredniego linka do hijacka bo nie mam jak go znaleźć, komp jest uziemiony i muli się, a to jest nowy i w miarę szybki komputer!
Bardzo proszę o pomoc
Odpowiedzi: 4
Dzięki, następnym razem będę uważał :)
Ej czemu tu nie można dawać plusów czy sogów???
Kosmetyka:
Do Notatnika wklej:
[code]Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AutoConnect"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\iifgFvsR]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BM33ce5e97]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\c40d0387]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\cFosSpeed]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TrueTransparency]
[/code]
[b]Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na: "Wszystkie pliki" >>> Zapisz jako [color=red]FIX.REG [/color]>>>
plik uruchom[/b] (dwuklik i OK).
Zrestartuj komputer.
To wszystko.
.
Jest świetnie :) Dzięki :)
Log: [url]http://wklej.org/id/b36d946670[/url]
"Parite" - to baaaaardzo źle, bo on zaraża wszystkie pliki [b]*.exe[/b]!
A więc wszystkie Twoje programy i wszystkie pliki wykonywalne Systemu.
Mam nadzieję, że te wszystkie usunięcia masz już za sobą.
W takim razie:
1) Opróżnij folder "System Volume Information" poprzez chwilowe wyłączenie "Przywracania Systemu":
[quote]>Panel Sterowania>System>Przywracanie Systemu>>zaznacz w okienku przy "Wyłącz przywracanie na wszystkich dyskach">Zastosuj>OK.
Potem możesz powrócić do poprzedniego ustawienia (czyli usunąć zaznaczenie z okienka).[/quote]
2) Ściągnij [url=http://download.bleepingcomputer.com/sUBs/ComboFix.exe][b][color=blue][u]ComboFix[/u][/color][/b][/url]. (bez uruchamiania).
3) Wklej do [b]Notatnika[/b]:
[CODE]
Folder::
H:\Documents and Settings\Administrator\Ustawienia lokalne\Temporary Internet Files
H:\Documents and Settings\Administrator\Ustawienia lokalne\Temp
[/code]
[b]>>Plik>>Zapisz jako... >>> [color=red]CFScript[/color][/b]
Przeciągnij i upuść plik [color=red][b]CFScript.txt[/b][/color] na plik [b]ComboFix.exe[/b]
[b][color=blue]-->[/color][/b] [img]http://img.wklej.org/images/88953CFScript-createdbyMiekiemoes.gif[/img]
Ma się rozpocząć usuwanie. (i powstanie log).
Daj ten log, który powstanie w trakcie usuwania.
Log wklej na [url=http://wklej.org/][b][color=blue][u]http://wklej.org/[/u][/color][/b][/url], a w poście daj tylko link.(czyli skopiuj adres z paska adresów)
Jeśli pójdzie dobrze, to: [b]Po restarcie[/b] usuń ręcznie folder [b]C:\[color=red]Qoobox[/color][/b].
.
Strona 1 / 1