x-kom hosting

Problem z wirusami-pomocy!

Mierzyn
utworzono
utworzono

Witam, od razu zaznaczam, ze jestem komputerowym noobem. Problem przedstawia sie tak- siostra poinformowala mnie, że komputer został zainfekowany przez malware doctora. Użyła programu a-squared-anti-malware i i okazało się, że jest ful jakiegoś syfu i wcisnęła kwarantannę. Od tej pory mimo kilkakrotnego restartu na pulpicie widać tylko tło. Da się co s z tym zrobić?

No i, że się przestraszyłem, że mojego lapka może spotkac to samo to sciagnąłem zachwalaną, darmową avirę, przeskanowałem-"naprawiłem wszystkie" i schrzanił mi sie internet, z którym łączę się przez router. Po włączeniu kompa wyświetla się komunikat "Wystąpił błąd podczas ładowania

C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL Nie można odnaleźć określonego modułu."

Bardzo proszę o pomoc, bo w ciągu godziny zostałem bez dwóch komputerów i nie wiem co robić.

ZooMpl
komentarz
komentarz (edytowane)

a-squared-anti-malware ??

Co to jest??

Wykonaj :

1.Cofnij systemy przed dzien, w ktorym zostaly pousuwane pliki(Start>Programy>Akcesoria>Narzędzia Systemowe>Przywracanie systemu), jeśli się załaduje, pobierz ten o to programik http://www.instalki.pl/programy/download/p...et_Security.php

Zrób pełne skanowanie komputera, i myślę, że on sie upora :)

Daj znać jak poszło.

Pozdrawiam,

ZooMpl

PS. Jeśli nie działa Ci pulpit, spróbuj awaryjny (F8 przed załadowaniem systemu)

Mierzyn
komentarz
komentarz

Dzięki za odzew. To przywracanie systemu mam zrobić na lapku czy na tym komputerze, co widać tylko tło?

Michu90
komentarz
komentarz

Na obydwóch ;)

Mierzyn
komentarz
komentarz

A nie utracę przez to danych?

Michu90
komentarz
komentarz

Nie

ZooMpl
komentarz
komentarz

Dzięki michu za odpowiedź za mnie , jestem chory i żadziej na lapku :)

Daj znać jak ci poszło.

Gość
komentarz
komentarz

Daj jeszcze z obydwu kompów logi z ComboFixa.

.

Mierzyn
komentarz
komentarz (edytowane)

NO to tak, ten komp z samym tłem w trybie awaryjnym też nie pokazywał żadnych ikon, więc już pojechał do informatyka. Natomiast w lapku 3 razy próbowałem przywrócić system do trzech różnych punktów przed "napraw wszystkie" i za każdym razem przywracanie systemu jest niekompletne i nic się nie zmiena. A z tymi logami to jak mam to zrobić :D ?

Edit: Jak chciałem przeskanować combofixem to wyświetla mi się ostrzeżenie, że norton 360 jest aktywny i może to doprowadzić nawet do uszkodzenia systemu? Mam to olać i przeskanować czy jest jakiś sposób żeby na chwilę zdeaktywować nortona?

jacmiszcz92
komentarz
komentarz

wyłącz zaporę oraz funkcję auto-protect i olej to. tak naprawde combofix zawsze bedzie pokazywal ze norton 360 jest aktywny (nawet po wylaczeniu uslug) bo zmienia pliki systemowe

Mierzyn
komentarz
komentarz (edytowane)

A jak mam to zrobić? Nie widzę żadnych takich opcji, a nie chciałbym czegoś schrzanić.

Tak btw to czemu nie działa mi ta opcja przywracania systemu? Nie ma takiego bajeru, że windows sam sprawdza jakich plików brakuje i instaluje je na nowo?

ZooMpl
komentarz
komentarz

Jeśli chodzi o zaporę systemową to Panel Sterowania>Zapora Systemowa>Wyłącz

jacmiszcz92
komentarz
komentarz
A jak mam to zrobić? Nie widzę żadnych takich opcji, a nie chciałbym czegoś schrzanić.

Klikasz prawym klawiszem myszki na ikonke w tray'u na pasku zadań

Mierzyn
komentarz
komentarz

Nie no zaporę wyłączyłem, ale nortona nie da się tak po prostu zamknąć w pasku zadań. Próbowałem też uruchom>msconfig i chciałem odznaczyć nortona w zakładce "uruchom", ale nie ma go tam.

Gość
komentarz
komentarz

A w Trybie Awaryjnym? Odpal ComboFixa w Trybie Awaryjnym!

.

Mierzyn
komentarz
komentarz

Dobra już mam te logi z combofixa w trybie awaryjnym. Mam dać cały plik czy jakieś informacje, których inni nie powinni widziec usunąć :D ?

Aha, juz na początku skanowania wyświetlił mi sie komunikat, że nie jest zainstalowana konsola odzyskiwania systemu, co pewnie jest przyczyną tego, że nie moge odzyskac systemu.

Mateusz J.
komentarz
komentarz

Witam

Mam dać cały plik czy jakieś informacje, których inni nie powinni widziec usunąć biggrin.gif ?
Daj cały log, wszystkie informacje w logu są potrzebne do analizy :) możesz jedynie zamiast nazwy twego użytkownika wszędzie wpisać xxx.

Pozdrawiam

jesiona

Mierzyn
komentarz
komentarz

Ok, tak własnie zrobilem. Logi w załączniku.

ComboFix 09-05-23.04 - xxx 2009-05-25 13:01.1 - NTFSx86 NETWORKMicrosoft Windows XP Home Edition  5.1.2600.2.1250.48.1045.18.1014.831 [GMT 2:00]Uruchomiony z: c:\documents and settings\xxx\Pulpit\ComboFix.exeAV: Norton 360 *On-access scanning enabled* (Updated) {A5F1BC7C-EA33-4247-961C-0217208396C4}FW: Norton 360 *enabled* {371C0A40-5A0C-4AD2-A6E5-69C02037FBF3}UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !!.(((((((((((((((((((((((((((((((((((((((   Usunięto   ))))))))))))))))))))))))))))))))))))))))))))))))).c:\documents and settings\xxx\Dane aplikacji\wiaserva.logc:\program files\myglobalsearchc:\program files\newdotnetc:\program files\newdotnet\readme.txtc:\windows\system32\setup.ini.(((((((((((((((((((((((((   Pliki utworzone od 2009-04-25 do 2009-05-25  ))))))))))))))))))))))))))))))).2009-05-23 20:57 . 2009-02-13 09:31	55640	----a-w	c:\windows\system32\drivers\avgntflt.sys2009-05-23 12:10 . 2009-05-23 16:49	--------	d---a-w	c:\documents and settings\All Users\Dane aplikacji\TEMP2009-05-19 08:57 . 2009-05-19 08:57	--------	d-----w	c:\program files\Ares2009-05-17 19:00 . 2009-05-23 21:52	--------	d-----w	c:\documents and settings\xxx\Ustawienia lokalne\Dane aplikacji\Ares2009-05-10 11:29 . 2009-05-10 11:34	--------	d-----w	c:\program files\BearShare.((((((((((((((((((((((((((((((((((((((((   Sekcja Find3M   )))))))))))))))))))))))))))))))))))))))))))))))))))).2009-05-25 10:50 . 2006-02-14 16:40	67824	----a-w	c:\windows\system32\perfc015.dat2009-05-25 10:50 . 2006-02-14 16:40	437474	----a-w	c:\windows\system32\perfh015.dat2009-05-25 06:27 . 2007-10-16 15:32	--------	d-----w	c:\documents and settings\xxx\Dane aplikacji\Skype2009-05-25 06:08 . 2009-01-17 12:57	--------	d-----w	c:\documents and settings\xxx\Dane aplikacji\skypePM2009-05-25 05:29 . 2009-03-12 17:19	1	----a-w	c:\documents and settings\xxx\Dane aplikacji\OpenOffice.org\3\user\uno_packages\cache\stamp.sys2009-05-24 16:49 . 2008-06-29 13:10	--------	d-----w	c:\documents and settings\xxx\Dane aplikacji\foobar20002009-05-24 16:46 . 2007-10-28 11:11	--------	d-----w	c:\documents and settings\All Users\Dane aplikacji\Symantec2009-05-23 18:57 . 2009-02-09 03:24	--------	d-----w	c:\program files\ALLPlayer2009-05-23 12:11 . 2007-10-28 11:10	--------	d-----w	c:\program files\Common Files\Symantec Shared2009-05-19 16:06 . 2009-02-09 03:24	--------	d-----w	c:\program files\NAPI-PROJEKT2009-04-05 16:22 . 2009-04-05 16:22	--------	d-----w	c:\program files\Windows Media Connect 22009-04-05 12:22 . 2009-04-05 12:22	57344	----a-w	c:\documents and settings\xxx\Dane aplikacji\Sun\Java\Deployment\cache\6.0\50\5b902232-5c6d7314-n\Decora-SSE.dll2009-04-05 12:22 . 2009-04-05 12:22	24064	----a-w	c:\documents and settings\xxx\Dane aplikacji\Sun\Java\Deployment\cache\6.0\15\4e09eacf-1231f5f4-n\Decora-D3D.dll2009-04-05 12:22 . 2009-04-05 12:22	315392	----a-w	c:\documents and settings\xxx\Dane aplikacji\Sun\Java\Deployment\cache\6.0\62\6baea4fe-2883c1b8-n\jogl.dll2009-04-05 12:22 . 2009-04-05 12:22	20480	----a-w	c:\documents and settings\xxx\Dane aplikacji\Sun\Java\Deployment\cache\6.0\62\6baea4fe-2883c1b8-n\jogl_awt.dll2009-04-05 12:22 . 2009-04-05 12:22	114688	----a-w	c:\documents and settings\xxx\Dane aplikacji\Sun\Java\Deployment\cache\6.0\62\6baea4fe-2883c1b8-n\jogl_cg.dll2009-04-05 12:22 . 2009-04-05 12:22	20480	----a-w	c:\documents and settings\xxx\Dane aplikacji\Sun\Java\Deployment\cache\6.0\45\4f710eed-6e59b52d-n\gluegen-rt.dll2009-04-05 12:22 . 2009-04-05 12:22	499712	----a-w	c:\documents and settings\xxx\Dane aplikacji\Sun\Java\Deployment\cache\6.0\33\258cea61-708b20a1-n\msvcp71.dll2009-04-05 12:22 . 2009-04-05 12:22	499712	----a-w	c:\documents and settings\xxx\Dane aplikacji\Sun\Java\Deployment\cache\6.0\33\258cea61-708b20a1-n\jmc.dll2009-04-05 12:22 . 2009-04-05 12:22	348160	----a-w	c:\documents and settings\xxx\Dane aplikacji\Sun\Java\Deployment\cache\6.0\33\258cea61-708b20a1-n\msvcr71.dll2009-04-05 12:21 . 2009-04-05 12:21	410984	----a-w	c:\windows\system32\deploytk.dll2009-04-05 12:21 . 2008-09-15 14:52	--------	d-----w	c:\program files\Java2009-04-05 12:21 . 2009-04-05 12:21	152576	----a-w	c:\documents and settings\xxx\Dane aplikacji\Sun\Java\jre1.6.0_13\lzma.dll2009-04-03 08:24 . 2009-04-03 08:24	--------	d-----w	c:\program files\The KMPlayer2009-03-12 17:19 . 2007-10-08 15:38	16896	----a-w	c:\documents and settings\xxx\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT2009-03-06 14:47 . 2006-02-14 16:40	285184	----a-w	c:\windows\system32\pdh.dll2009-03-02 17:10 . 2007-10-09 18:32	67584	----a-w	c:\windows\system32\ff_vfw.dll2007-10-08 16:16 . 2006-02-14 16:35	12241	----a-w	c:\program files\Lang.txt.(((((((((((((((((((((((((((((((((((((   Wpisy startowe rejestru   ))))))))))))))))))))))))))))))))))))))))))))))))))..*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane  REGEDIT4[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-10-15 68856]"Skype"="c:\program files\Skype\Phone\Skype.exe" [2008-11-07 21633320]"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2004-10-13 1694208]"ALLUpdate"="c:\program files\ALLPlayer\ALLUpdate.exe" [2008-11-24 869888]"ares"="c:\program files\Ares\Ares.exe" [2007-07-16 961536][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"LaunchAp"="c:\program files\Launch Manager\LaunchAp.exe" [2005-07-25 32768]"HotkeyApp"="c:\program files\Launch Manager\HotkeyApp.exe" [2006-09-04 65536]"Wbutton"="c:\program files\Launch Manager\Wbutton.exe" [2006-09-13 86016]"igfxtray"="c:\windows\system32\igfxtray.exe" [2006-03-23 94208]"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2006-03-23 77824]"igfxpers"="c:\windows\system32\igfxpers.exe" [2006-03-23 118784]"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2006-04-21 761946]"Symantec PIF AlertEng"="c:\program files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2008-01-29 583048]"ccApp"="c:\program files\Common Files\Symantec Shared\ccApp.exe" [2007-01-10 115816]"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-04-05 148888]"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.EXE [2006-09-22 16236032]"SkyTel"="SkyTel.EXE" - c:\windows\SkyTel.exe [2006-05-16 2879488]"AdslTaskBar"="stmctrl.dll" - c:\windows\system32\stmctrl.dll [2006-06-02 151552]"SMSERIAL"="sm56hlpr.exe" - c:\windows\sm56hlpr.exe [2006-01-20 544768][HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]c:\documents and settings\Jacek\Menu Start\Programy\Autostart\OpenOffice.org 3.0.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2008-12-15 384000]c:\documents and settings\All Users\Menu Start\Programy\Autostart\Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-23 29696][HKEY_LOCAL_MACHINE\software\microsoft\security center]"AntiVirusOverride"=dword:00000001[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]"DisableMonitoring"=dword:00000001[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]"DisableMonitoring"=dword:00000001[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]"DisableMonitoring"=dword:00000001[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]"EnableFirewall"= 0 (0x0)[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]"%windir%\\system32\\sessmgr.exe"="c:\\WINDOWS\\system32\\dpvsetup.exe"="c:\\Program Files\\Gadu-Gadu\\gg.exe"="c:\\Program Files\\Skype\\Phone\\Skype.exe"=S1 mailKmd;mailKmd; [x]S2 ShuZgeru;ShuZgeru;c:\windows\System32\svchost.exe -k netsvcs [2006-02-14 14336]S3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\program files\Common Files\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [2009-02-26 101936]--- Inne Usługi/Sterowniki w Pamięci ---*NewlyCreated* - COMHOSTHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcsShuZgeru.- - - - USUNIĘTO PUSTE WPISY - - - -HKLM-Run-LMgrVolOSD - c:\program files\Launch Manager\OSD.exeHKLM-Run-LMgrOSD - c:\program files\Launch Manager\OSDCtrl.exeHKLM-Run-CtrlVol - c:\program files\Launch Manager\CtrlVol.exeHKLM-Run-WinampAgent - c:\program files\Winamp\winampa.exeSafeBoot-procexp90.Sys.------- Skan uzupełniający -------.uStart Page = hxxp://www.neostrada.pluSearchURL,(Default) = hxxp://www.google.com/search?q=%sIE: &Winamp Search - c:\documents and settings\All Users\Dane aplikacji\Winamp Toolbar\ieToolbar\resources\en-US\local\search.htmlLSP: c:\program files\NewDotNet\newdotnet4_85.dllFF - ProfilePath - c:\documents and settings\Jacek\Dane aplikacji\Mozilla\Firefox\Profiles\2ork5oq7.default\FF - plugin: c:\documents and settings\All Users\Dane aplikacji\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll.**************************************************************************catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.netRootkit scan 2009-05-25 13:02Windows 5.1.2600 Dodatek Service Pack 2 NTFSskanowanie ukrytych procesów ...  skanowanie ukrytych wpisów autostartu ... HKLM\Software\Microsoft\Windows\CurrentVersion\Run  CtrlVol = c:\program files\Launch Manager\CtrlVol.exe?????\??????|x??|????q??|?j?wQj?w????????,??? ???????????????d??????|????????p?????@?dv??????0y?w???????????????sx??s@??????????????|h??st??????????s?????????????????C?sc"?sx??s???????w??@?N'?s?@9??:@??@9???????? skanowanie ukrytych plików ...  skanowanie pomyślnie ukończoneukryte pliki: 0**************************************************************************.Czas ukończenia: 2009-05-25 13:03ComboFix-quarantined-files.txt  2009-05-25 11:03Przed: 19 194 384 384 bajtów wolnychPo: 19 248 791 552 bajtów wolnych143	--- E O F ---	2009-05-23 11:07

log.txt

log.txt

Gość
komentarz
komentarz

Start>>>Uruchom>>>cmd>>>Wklep to:

SC DELETE ShuZgeru

ENTER.

1. Posprzątaj po ComboFixie i różnych narzędziach >>> OTCleanIt.

2. Z folderu "System Volume Information" usuniesz poprzez chwilowe wyłączenie "Przywracania Systemu":

>Panel Sterowania>System>Przywracanie Systemu>>zaznacz w okienku przy "Wyłącz przywracanie na wszystkich dyskach">Zastosuj>OK.

Potem możesz powrócić do poprzedniego ustawienia (czyli usunąć zaznaczenie z okienka).

3. Wykonaj optymalizację systemu

4.Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum.

.

Mierzyn
komentarz
komentarz

Te punkty od 1 do 4 mam wykonywać jak to okienko "cmd" jest otwarte czy to obojetne?

Gość
komentarz
komentarz

Nie?!

.

Mierzyn
komentarz
komentarz

Yyy... nie zrozumiałem. Wiem, że zadaję smieszne pytania- sorry. To po wklepaniu tego w cmd mam zamknąć to okno?

Gość
komentarz
komentarz

No tak.

.

Mierzyn
komentarz
komentarz

Prosiłbym o dokładne wytłumaczenie co mam zrobić w podpunkcie drugim krok po kroku. Gdzie mam szukać tego folderu "system volume information"? Szukałem przez "wyszukaj" ale nic nie znalazłem.

Mateusz J.
komentarz
komentarz

1.Kliknij prawym przyciskiem myszy na Mój komputer, następnie wybierz właściwości.

2.Pojawi się okienko, w którym wybierasz kartę Przywracanie systemu.

3.Zaznacz kwadracik obok napisu wyłącz przywracanie systemu, a następnie kliknij ok.

Następnie wykonaj ponownie punkt 1,2,3, ale w punkcie 3 zamiast zaznaczać odznacz kwadracik obok napisu wyłącz przywracanie systemu.

I na tym polega opróżnienie folderu System volume...

Pozdrawiam

jesiona

Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!

Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.

×
×
  • Dodaj nową pozycję...

Powiadomienie o plikach cookie

Strona wykorzystuje pliki cookies w celu prawidłowego świadczenia usług i wygody użytkowników. Warunki przechowywania i dostępu do plików cookies możesz zmienić w ustawieniach przeglądarki.