pomoc w wyjaśnieniu problemu

[drylek69]

Witam kumpel polecił mi żebym tu się podzielił problem bo możecie mi pomóc.
Otóż najprawdopodobniej mam jakiegoś wirusa na kompie :/ Robiłem formata ale nie pomogło. Przed formatem kumpel mi przyniósł mp3 i na nim był jakiś wirus związany z internet explorer(nie pamiętam dokładnie) Kaspersky niby go usunął. Wszystko działało potem jak należy. Ale po kilku dniach jak włączyłem kompa to gdy kaspersky się włączał zablokowywał mi się pasek zadań (pojawiała się klepsydra jak najechałem kursorem) nic się nie chciało włączyć jak nadusiłem na pulpicie. Jeszcze raz kompa włączyłem i szybko chciałem wyłączyć kasperskiego zanim się uruchomi ale wyskoczyła mi informacja że jest używany przez innego użytkownik już na tym kompie (mam tylko jednego uzytkowanika na kompie). Zrobiłem formata dysku C na którym miałem windowsa (mam jeszce dwie partycje których nieformatowałem). wszystko nimby gra już ale jak włączę internet (netia 1,3 przez telefon) to w pakietach wyświetla mi się że ciągle coś wysyłam niby, a nic takiego nie robię
Takie coś mi się pojawia Dostępne tylko dla zarejestrowanych użytkowników
Transfer pobierania danych nie spadł mi ale upload mam owiele niższy niż przed formatem
pomocy!!!


// Usuwam OTy.
// Żadnej reakcji przez 3 dni, więc zamykam.
// djarta

[cosik_ktosik]

Temat przeniosłem.

Podaj proszę logi z dwóch programów, pierwszy to HijackThis, a drugi Combofix. Instrukcje znajdziesz tutaj: viewtopic.php?f=42&t=146

Na czas skanowania, wyłącz zabezpieczenia (antywirusy, czy firewall).

[drylek69]

to log z pierwszego Dostępne tylko dla zarejestrowanych użytkowników
zaraz podam z drugiego

////POST2////

Dostępne tylko dla zarejestrowanych użytkowników to drugi log

[djarta]

1) Zamknij robaczywe porty przy pomocy --> Dostępne tylko dla zarejestrowanych użytkowników (niżej na stronie linku)..
Ustaw znaczki na zielono, Netbios może być na żółto.
Po użyciu narzędzia wymagany jest restart.

2) Wklej do Notatnika:

Kod: Zaznacz cały

File::
c:\windows\system32\msnopen.exe
c:\windows\system32\reag.exe
c:\windows\system32\esmb.exe
c:\windows\system32\drivers\pxhelp20.sys
c:\windows\winamp.ini
c:\windows\system32\fsxodci.exe
c:\windows\system32\qusyjd.exe
c:\windows\wuaucpl.exe
c:\windows\system32\rvnshgk.exe
c:\windows\system32\WinSec.exe
c:\windows\system32\bix.exe

Driver::
Local Service

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Internets"=-
"WinDLL (reag.exe)"=-
"msnOP Service"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Internets"=-
"msnOP Service"=-
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\System32\\WinSec.exe"=-
"DEFGHIJKLMNOPQRSTUVWXYZ[\\]^_`ABCDEFGHIJKLMNOPQRSTUVWXYZ{|}~??ƒ????ˆ?Š?ŚŤŽŹ???????˜?Š?ŚŤŽŹ ˇ˘Ł¤Ą?§¨?Ş??ŻÄü"=-


>>Plik>>Zapisz jako... >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
-->
Ma się rozpocząć usuwanie. (i powstanie log).Daj ten log, który powstanie w trakcie usuwania.
Jeśli pójdzie dobrze, to: Po restarcie usuń ręcznie folder C:\Qoobox.

3)

. . . jest zainfekowany!!

. . . jest zainfekowany!!

Co jest zainfekowane?
Użyj (w Trybie Awaryjnym)-->SDFix. (niżej na stronie linku).
Pokaż Report.txt znajdujący się w folderze SDFix.

4)

detected NTDLL code modification:
ZwOpenFile

1. Fałszywy alarm.
2. VIRUT.
Użyj >Dostępne tylko dla zarejestrowanych użytkowników - niżej na stronie linku (daj z niego raport).



============================
K.

[drylek69]

log do punktu drugiego Dostępne tylko dla zarejestrowanych użytkowników
zaraz będzie reszta

[djarta]

Rób punkt 3) i 4).

P.S Powiem szczerze, jest tragicznie.


===========
K.

[drylek69]

punkt 3 Dostępne tylko dla zarejestrowanych użytkowników

sądzisz że nie da się tego naprawić? co wtedy wymiana dysku? czy nie wystarczy tylko dysku na nowy wymienić?

[djarta]

SDFix nie wykrył żadnych zainfekowanych plików systemowych.
SDFix bardzo dużo usunął, wykonuj punkt 4) (pełne skanowanie) i daj najswieży log z ComboFixa.
Wystarczy sformatować dysk żeby się tego pozbyć.
Ale narazie próbujemy uratować system.



===========================
K.

[drylek69]

punktu 4 nie mogę zrobić do końca
jak skanuje mi to w pewnym momencie komputer mi się zawiesza i pojawia się taki niebieski ekran z napisami
wstwić loga do tego momentu co przeskanował?

Edit:
Przeskanowałem kompa tym programem w systemie awaryjnym
oto log z tego skanowania wrzuciłem na serwer bo zajmuje 8mega:
Dostępne tylko dla zarejestrowanych użytkowników

////POST2////

odpowie mi ktoś co dalej:>

Proszę, czekaj cierpliwie na odpowiedź. Cierpliwość popłaca
me@djohnsc

oki spoko poczekam ale komp mi jest potrzebny pilnie bo prace piszę licencjacką :/

djarta, niestety dopiero jutro będzie mógł sprawdzić Twoje logi.
cosik_ktosik

[djarta]

W folderze System Volume Information "Doktorek" wykrył VIRUTa, ale już go usunął.

Daj najnowszy log z ComboFixa.


=====================
K.

[drylek69]

proszę bardzo
Dostępne tylko dla zarejestrowanych użytkowników

wczoraj po skanowaniu było wszystko chyba dobrze już nie wysyłał sam żadnych danych
dziś znów łącze cały czas coś wysyła

edit:
zrobiłem szybkie skanowanie doktorkiem
oto log z niego:
Dostępne tylko dla zarejestrowanych użytkowników

[djarta]

. . . jest zainfekowany!!

. . . jest zainfekowany!!

. . . jest zainfekowany!!

Ja już nic z tego nie rozumiem.

Wklej do Notatnika:

Kod: Zaznacz cały

File::
c:\windows\system32\wmsoft20324.exe
c:\windows\system32\wmsoft87787.exe
c:\documents and settings\all users\menu start\programy\autostart\wmsncs.exe
c:\program files\common files\system\wmsncs.exe
c:\windows\system32\wins\wmsncs.exe
c:\windows\system32\spool\drivers\wmsncs.exe
c:\windows\fonts\wmsncs.exe

Folder::
c:\recycler
c:\windows\system32\spool\drivers
c:\windows\system32\wins

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"DEFGHIJKLMNOPQRSTUVWXYZ[\\]^_`ABCDEFGHIJKLMNOPQRSTUVWXYZ{|}~??ƒ????ˆ?Š?ŚŤŽŹ???????˜?Š?ŚŤŽŹ ˇ˘Ł¤Ą?§¨?Ş??ŻÄü"=-
"wmsncs.exe"=-
"wmssvc.exe"=-


>>Plik>>Zapisz jako... >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
-->
Ma się rozpocząć usuwanie. (i powstanie log).Daj ten log, który powstanie w trakcie usuwania.
Jeśli pójdzie dobrze, to: Po restarcie usuń ręcznie folder C:\Qoobox.



==============
K.

[drylek69]

Dostępne tylko dla zarejestrowanych użytkowników

[djarta]

Wklej do Notatnika:

Kod: Zaznacz cały

File::
c:\documents and settings\Michał Śmiechowski\vos32.exe
c:\documents and settings\Michał Śmiechowski\vos32.exe

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"DEFGHIJKLMNOPQRSTUVWXYZ[\\]^_`ABCDEFGHIJKLMNOPQRSTUVWXYZ{|}~??ƒ????ˆ?Š?ŚŤŽŹ???????˜?Š?ŚŤŽŹ ˇ˘Ł¤Ą?§¨?Ş??ŻÄü"=-


Robisz to samo co poprzednio, czyli przeciągasz itd.


==============
K.

[drylek69]

Dostępne tylko dla zarejestrowanych użytkowników