pomoc w wyjaśnieniu problemu
-
- Posty: 19
- Rejestracja: 15 sty 2009, 14:12
pomoc w wyjaśnieniu problemu
Witam kumpel polecił mi żebym tu się podzielił problem bo możecie mi pomóc.
Otóż najprawdopodobniej mam jakiegoś wirusa na kompie :/ Robiłem formata ale nie pomogło. Przed formatem kumpel mi przyniósł mp3 i na nim był jakiś wirus związany z internet explorer(nie pamiętam dokładnie) Kaspersky niby go usunął. Wszystko działało potem jak należy. Ale po kilku dniach jak włączyłem kompa to gdy kaspersky się włączał zablokowywał mi się pasek zadań (pojawiała się klepsydra jak najechałem kursorem) nic się nie chciało włączyć jak nadusiłem na pulpicie. Jeszcze raz kompa włączyłem i szybko chciałem wyłączyć kasperskiego zanim się uruchomi ale wyskoczyła mi informacja że jest używany przez innego użytkownik już na tym kompie (mam tylko jednego uzytkowanika na kompie). Zrobiłem formata dysku C na którym miałem windowsa (mam jeszce dwie partycje których nieformatowałem). wszystko nimby gra już ale jak włączę internet (netia 1,3 przez telefon) to w pakietach wyświetla mi się że ciągle coś wysyłam niby, a nic takiego nie robię
Takie coś mi się pojawia Dostępne tylko dla zarejestrowanych użytkowników
Transfer pobierania danych nie spadł mi ale upload mam owiele niższy niż przed formatem
pomocy!!!
// Usuwam OTy.
// Żadnej reakcji przez 3 dni, więc zamykam.
// djarta
Otóż najprawdopodobniej mam jakiegoś wirusa na kompie :/ Robiłem formata ale nie pomogło. Przed formatem kumpel mi przyniósł mp3 i na nim był jakiś wirus związany z internet explorer(nie pamiętam dokładnie) Kaspersky niby go usunął. Wszystko działało potem jak należy. Ale po kilku dniach jak włączyłem kompa to gdy kaspersky się włączał zablokowywał mi się pasek zadań (pojawiała się klepsydra jak najechałem kursorem) nic się nie chciało włączyć jak nadusiłem na pulpicie. Jeszcze raz kompa włączyłem i szybko chciałem wyłączyć kasperskiego zanim się uruchomi ale wyskoczyła mi informacja że jest używany przez innego użytkownik już na tym kompie (mam tylko jednego uzytkowanika na kompie). Zrobiłem formata dysku C na którym miałem windowsa (mam jeszce dwie partycje których nieformatowałem). wszystko nimby gra już ale jak włączę internet (netia 1,3 przez telefon) to w pakietach wyświetla mi się że ciągle coś wysyłam niby, a nic takiego nie robię
Takie coś mi się pojawia Dostępne tylko dla zarejestrowanych użytkowników
Transfer pobierania danych nie spadł mi ale upload mam owiele niższy niż przed formatem
pomocy!!!
// Usuwam OTy.
// Żadnej reakcji przez 3 dni, więc zamykam.
// djarta
- cosik_ktosik
- Posty: 21399
- Rejestracja: 13 lis 2008, 01:17
- Lokalizacja: Szczecin
- Kontaktowanie:
pomoc w wyjaśnieniu problemu
Temat przeniosłem.
Podaj proszę logi z dwóch programów, pierwszy to HijackThis, a drugi Combofix. Instrukcje znajdziesz tutaj: viewtopic.php?f=42&t=146
Na czas skanowania, wyłącz zabezpieczenia (antywirusy, czy firewall).
Podaj proszę logi z dwóch programów, pierwszy to HijackThis, a drugi Combofix. Instrukcje znajdziesz tutaj: viewtopic.php?f=42&t=146
Na czas skanowania, wyłącz zabezpieczenia (antywirusy, czy firewall).
Hotfix
Pozdrawiam, cosik_ktosik
Pozdrawiam, cosik_ktosik
-
- Posty: 19
- Rejestracja: 15 sty 2009, 14:12
pomoc w wyjaśnieniu problemu
to log z pierwszego Dostępne tylko dla zarejestrowanych użytkowników
zaraz podam z drugiego
////POST2////
Dostępne tylko dla zarejestrowanych użytkowników to drugi log
zaraz podam z drugiego
////POST2////
Dostępne tylko dla zarejestrowanych użytkowników to drugi log
Ostatnio zmieniony 15 sty 2009, 14:53 przez me@djohnsc, łącznie zmieniany 1 raz.
Powód: połączyłem posty
Powód: połączyłem posty
- djarta
- Posty: 5854
- Rejestracja: 26 gru 2008, 17:15
- Lokalizacja: Białystok
- Kontaktowanie:
pomoc w wyjaśnieniu problemu
1) Zamknij robaczywe porty przy pomocy --> Dostępne tylko dla zarejestrowanych użytkowników (niżej na stronie linku)..
Ustaw znaczki na zielono, Netbios może być na żółto.
Po użyciu narzędzia wymagany jest restart.
2) Wklej do Notatnika:
>>Plik>>Zapisz jako... >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
-->
Ma się rozpocząć usuwanie. (i powstanie log).Daj ten log, który powstanie w trakcie usuwania.
Jeśli pójdzie dobrze, to: Po restarcie usuń ręcznie folder C:\Qoobox.
3)
Co jest zainfekowane?
Użyj (w Trybie Awaryjnym)-->SDFix. (niżej na stronie linku).
Pokaż Report.txt znajdujący się w folderze SDFix.
4)
1. Fałszywy alarm.
2. VIRUT.
Użyj >Dostępne tylko dla zarejestrowanych użytkowników - niżej na stronie linku (daj z niego raport).
============================
K.
Ustaw znaczki na zielono, Netbios może być na żółto.
Po użyciu narzędzia wymagany jest restart.
2) Wklej do Notatnika:
Kod: Zaznacz cały
File::
c:\windows\system32\msnopen.exe
c:\windows\system32\reag.exe
c:\windows\system32\esmb.exe
c:\windows\system32\drivers\pxhelp20.sys
c:\windows\winamp.ini
c:\windows\system32\fsxodci.exe
c:\windows\system32\qusyjd.exe
c:\windows\wuaucpl.exe
c:\windows\system32\rvnshgk.exe
c:\windows\system32\WinSec.exe
c:\windows\system32\bix.exe
Driver::
Local Service
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Internets"=-
"WinDLL (reag.exe)"=-
"msnOP Service"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Internets"=-
"msnOP Service"=-
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\System32\\WinSec.exe"=-
"DEFGHIJKLMNOPQRSTUVWXYZ[\\]^_`ABCDEFGHIJKLMNOPQRSTUVWXYZ{|}~???????Š?ŚŤŽŹ????????Š?ŚŤŽŹ ˇ˘Ł¤Ą?§¨?Ş??ŻÄü"=-
>>Plik>>Zapisz jako... >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
-->
Ma się rozpocząć usuwanie. (i powstanie log).Daj ten log, który powstanie w trakcie usuwania.
Jeśli pójdzie dobrze, to: Po restarcie usuń ręcznie folder C:\Qoobox.
3)
. . . jest zainfekowany!!
. . . jest zainfekowany!!
Co jest zainfekowane?
Użyj (w Trybie Awaryjnym)-->SDFix. (niżej na stronie linku).
Pokaż Report.txt znajdujący się w folderze SDFix.
4)
detected NTDLL code modification:
ZwOpenFile
1. Fałszywy alarm.
2. VIRUT.
Użyj >Dostępne tylko dla zarejestrowanych użytkowników - niżej na stronie linku (daj z niego raport).
============================
K.
-
- Posty: 19
- Rejestracja: 15 sty 2009, 14:12
pomoc w wyjaśnieniu problemu
log do punktu drugiego Dostępne tylko dla zarejestrowanych użytkowników
zaraz będzie reszta
zaraz będzie reszta
- djarta
- Posty: 5854
- Rejestracja: 26 gru 2008, 17:15
- Lokalizacja: Białystok
- Kontaktowanie:
pomoc w wyjaśnieniu problemu
Rób punkt 3) i 4).
P.S Powiem szczerze, jest tragicznie.
===========
K.
P.S Powiem szczerze, jest tragicznie.
===========
K.
-
- Posty: 19
- Rejestracja: 15 sty 2009, 14:12
Re: pomoc w wyjaśnieniu problemu
punkt 3 Dostępne tylko dla zarejestrowanych użytkowników
sądzisz że nie da się tego naprawić? co wtedy wymiana dysku? czy nie wystarczy tylko dysku na nowy wymienić?
sądzisz że nie da się tego naprawić? co wtedy wymiana dysku? czy nie wystarczy tylko dysku na nowy wymienić?
- djarta
- Posty: 5854
- Rejestracja: 26 gru 2008, 17:15
- Lokalizacja: Białystok
- Kontaktowanie:
pomoc w wyjaśnieniu problemu
SDFix nie wykrył żadnych zainfekowanych plików systemowych.
SDFix bardzo dużo usunął, wykonuj punkt 4) (pełne skanowanie) i daj najswieży log z ComboFixa.
Wystarczy sformatować dysk żeby się tego pozbyć.
Ale narazie próbujemy uratować system.
===========================
K.
SDFix bardzo dużo usunął, wykonuj punkt 4) (pełne skanowanie) i daj najswieży log z ComboFixa.
Wystarczy sformatować dysk żeby się tego pozbyć.
Ale narazie próbujemy uratować system.
===========================
K.
-
- Posty: 19
- Rejestracja: 15 sty 2009, 14:12
pomoc w wyjaśnieniu problemu
punktu 4 nie mogę zrobić do końca
jak skanuje mi to w pewnym momencie komputer mi się zawiesza i pojawia się taki niebieski ekran z napisami
wstwić loga do tego momentu co przeskanował?
Edit:
Przeskanowałem kompa tym programem w systemie awaryjnym
oto log z tego skanowania wrzuciłem na serwer bo zajmuje 8mega:
Dostępne tylko dla zarejestrowanych użytkowników
////POST2////
odpowie mi ktoś co dalej:>
Proszę, czekaj cierpliwie na odpowiedź. Cierpliwość popłaca
me@djohnsc
oki spoko poczekam ale komp mi jest potrzebny pilnie bo prace piszę licencjacką :/
djarta, niestety dopiero jutro będzie mógł sprawdzić Twoje logi.
cosik_ktosik
jak skanuje mi to w pewnym momencie komputer mi się zawiesza i pojawia się taki niebieski ekran z napisami
wstwić loga do tego momentu co przeskanował?
Edit:
Przeskanowałem kompa tym programem w systemie awaryjnym
oto log z tego skanowania wrzuciłem na serwer bo zajmuje 8mega:
Dostępne tylko dla zarejestrowanych użytkowników
////POST2////
odpowie mi ktoś co dalej:>
Proszę, czekaj cierpliwie na odpowiedź. Cierpliwość popłaca
me@djohnsc
oki spoko poczekam ale komp mi jest potrzebny pilnie bo prace piszę licencjacką :/
djarta, niestety dopiero jutro będzie mógł sprawdzić Twoje logi.
cosik_ktosik
- djarta
- Posty: 5854
- Rejestracja: 26 gru 2008, 17:15
- Lokalizacja: Białystok
- Kontaktowanie:
pomoc w wyjaśnieniu problemu
W folderze System Volume Information "Doktorek" wykrył VIRUTa, ale już go usunął.
Daj najnowszy log z ComboFixa.
=====================
K.
Daj najnowszy log z ComboFixa.
=====================
K.
-
- Posty: 19
- Rejestracja: 15 sty 2009, 14:12
pomoc w wyjaśnieniu problemu
proszę bardzo
Dostępne tylko dla zarejestrowanych użytkowników
wczoraj po skanowaniu było wszystko chyba dobrze już nie wysyłał sam żadnych danych
dziś znów łącze cały czas coś wysyła
edit:
zrobiłem szybkie skanowanie doktorkiem
oto log z niego:
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników
wczoraj po skanowaniu było wszystko chyba dobrze już nie wysyłał sam żadnych danych
dziś znów łącze cały czas coś wysyła
edit:
zrobiłem szybkie skanowanie doktorkiem
oto log z niego:
Dostępne tylko dla zarejestrowanych użytkowników
- djarta
- Posty: 5854
- Rejestracja: 26 gru 2008, 17:15
- Lokalizacja: Białystok
- Kontaktowanie:
pomoc w wyjaśnieniu problemu
. . . jest zainfekowany!!
. . . jest zainfekowany!!
. . . jest zainfekowany!!
Ja już nic z tego nie rozumiem.
Wklej do Notatnika:
Kod: Zaznacz cały
File::
c:\windows\system32\wmsoft20324.exe
c:\windows\system32\wmsoft87787.exe
c:\documents and settings\all users\menu start\programy\autostart\wmsncs.exe
c:\program files\common files\system\wmsncs.exe
c:\windows\system32\wins\wmsncs.exe
c:\windows\system32\spool\drivers\wmsncs.exe
c:\windows\fonts\wmsncs.exe
Folder::
c:\recycler
c:\windows\system32\spool\drivers
c:\windows\system32\wins
Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"DEFGHIJKLMNOPQRSTUVWXYZ[\\]^_`ABCDEFGHIJKLMNOPQRSTUVWXYZ{|}~???????Š?ŚŤŽŹ????????Š?ŚŤŽŹ ˇ˘Ł¤Ą?§¨?Ş??ŻÄü"=-
"wmsncs.exe"=-
"wmssvc.exe"=-
>>Plik>>Zapisz jako... >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
-->
Ma się rozpocząć usuwanie. (i powstanie log).Daj ten log, który powstanie w trakcie usuwania.
Jeśli pójdzie dobrze, to: Po restarcie usuń ręcznie folder C:\Qoobox.
==============
K.
-
- Posty: 19
- Rejestracja: 15 sty 2009, 14:12
- djarta
- Posty: 5854
- Rejestracja: 26 gru 2008, 17:15
- Lokalizacja: Białystok
- Kontaktowanie:
pomoc w wyjaśnieniu problemu
Wklej do Notatnika:
Robisz to samo co poprzednio, czyli przeciągasz itd.
==============
K.
Kod: Zaznacz cały
File::
c:\documents and settings\Michał Śmiechowski\vos32.exe
c:\documents and settings\Michał Śmiechowski\vos32.exe
Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"DEFGHIJKLMNOPQRSTUVWXYZ[\\]^_`ABCDEFGHIJKLMNOPQRSTUVWXYZ{|}~???????Š?ŚŤŽŹ????????Š?ŚŤŽŹ ˇ˘Ł¤Ą?§¨?Ş??ŻÄü"=-
Robisz to samo co poprzednio, czyli przeciągasz itd.
==============
K.
-
- Posty: 19
- Rejestracja: 15 sty 2009, 14:12
-
- Reklama
Kto jest online
Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 9 gości