Dirian Napisano Sierpień 31, 2009 Zgłoś Share Napisano Sierpień 31, 2009 Witam. Mam problem z laptopem MSI WIND. Otóż znajomy dał mi go do wyczyszczenia z sporej liczby wirusów i trojanów, gdyż nie łączył mu się z siecią. Zeskanowałem go 3 programami antywirusowymi + spybotem, usunąłem te wirusy i trojany i dalej się nie łączy. W czym tkwi problem? Dodam, że przeinstalowałem także sterowniki do karty sieciowej i dalej nie działa. Link do komentarza Udostępnij na innych stronach More sharing options...
Sevard Napisano Sierpień 31, 2009 Zgłoś Share Napisano Sierpień 31, 2009 Może coś jeszcze zostało w systemie, przeskanuj kompa programem Malwarebytes' Anti-Malware i zamieść tutaj log, który program wygeneruje po skanowaniu, następnie możesz jeszcze sporządzić i zamieścić logi z OTL-a oraz RSIT-a. Link do komentarza Udostępnij na innych stronach More sharing options...
Dirian Napisano Sierpień 31, 2009 Autor Zgłoś Share Napisano Sierpień 31, 2009 Oto log. Niczego nie usuwałem, bo widzę że coś tu w rejestrze jest zainfekowane. Można to usunąć? Malwarebytes' Anti-Malware 1.40 Wersja bazy definicji: 2551 Windows 5.1.2600 Dodatek Service Pack 3 2009-08-31 21:22:54 LOG Typ skanowania: Szybkie skanowanie Przeskanowane obiekty: 87978 Upłynęło: 5 minute(s), 51 second(s) Zainfekowane procesy w pamięci: 1 Zainfekowane moduły pamięci: 0 Zainfekowane klucze rejestru: 8 Zainfekowane wartości rejestru: 8 Zainfekowane pliki rejestru: 3 Zainfekowane foldery: 1 Zainfekowane pliki: 6 Zainfekowane procesy w pamięci: C:\Documents and Settings\1\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\services.exe (Rogue.Agent) -> No action taken. Zainfekowane moduły pamięci: (Nie wykryto groźnych plików) Zainfekowane klucze rejestru: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\itgrdengine (Rogue.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\itgrdengine (Rogue.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\itgrdengine (Rogue.Agent) -> No action taken. HKEY_CLASSES_ROOT\y537.y537mgr (Trojan.BHO) -> No action taken. HKEY_CLASSES_ROOT\y537.y537mgr.1 (Trojan.BHO) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{e7f15ac4-e0a9-43f0-921b-70dfea621220} (Trojan.BHO) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{e3c9ce04-ed8e-488a-b76b-9eef26b4f65c} (Trojan.FakeAlert) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\internet antivirus pro_is1 (Rogue.InternetAntiVirus) -> No action taken. Zainfekowane wartości rejestru: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\theandforon (Rogue.Agent) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Explorer.exe (Trojan.Agent) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sysdll (Worm.Autorun) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\uniname (Trojan.FakeAlert) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wsctf.exe (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\sys (Rootkit.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\sfx (Rootkit.Agent) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\prs (Rogue.InternetAntiVirus) -> No action taken. Zainfekowane pliki rejestru: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. Zainfekowane foldery: C:\WINDOWS\system32\796525 (Trojan.BHO) -> No action taken. Zainfekowane pliki: C:\Documents and Settings\1\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\services.exe (Rogue.Agent) -> No action taken. C:\Documents and Settings\1\Ustawienia lokalne\Dane aplikacji\Adobe\Updater5\Install\AdobeUpdater\theandforon.exe (Rogue.Agent) -> No action taken. C:\Program Files\Common Files\file.exe (Rogue.Agent) -> No action taken. C:\Program Files\Common Files\InternetAntivirusPro.exe (Rogue.InternetAntiVirus) -> No action taken. C:\WINDOWS\system32\shell31.dll (Trojan.Agent) -> No action taken. C:\WINDOWS\934fdfg34fgjf23 (Worm.KoobFace) -> No action taken. Link do komentarza Udostępnij na innych stronach More sharing options...
Sevard Napisano Sierpień 31, 2009 Zgłoś Share Napisano Sierpień 31, 2009 Usuń, to co widzę w logu to same szkodniki. Nie zaszkodzi zrobić skanu programem Dr.Web CureIt! jeśli sam Malwarebytes' nie naprawi sprawy, tak czy owak daj lepiej logi z RSIT-a oraz OTL-a (są to narzędzia, które same nic nie zrobią, więc nie musisz się przejmować, że coś zepsują). Link do komentarza Udostępnij na innych stronach More sharing options...
Dirian Napisano Sierpień 31, 2009 Autor Zgłoś Share Napisano Sierpień 31, 2009 Trzymaj loga z RSiT. Z OTL wrzucę jak się zrobi. RSiT_LOG.txt Link do komentarza Udostępnij na innych stronach More sharing options...
Sevard Napisano Wrzesień 1, 2009 Zgłoś Share Napisano Wrzesień 1, 2009 Są jakieś pozostałości po m.in. Confickerze. Po pierwsze wyłącz przywracanie systemu (bardzo istotne, jeśli nie chcesz by wirus wracał). Wklej do notatnika: Windows Registry Editor Version 5.00 [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nm] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nm.sys] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1dc075f6-0017-11de-ad30-001d925871e0}\AutoRun\command] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1dc075f6-0017-11de-ad30-001d925871e0}\explore\Command] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1dc075f6-0017-11de-ad30-001d925871e0}\open\Command] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2d65d525-fda5-11dd-ad2d-001d925871e0}\AutoRun\command] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2d65d525-fda5-11dd-ad2d-001d925871e0}\explore\Command] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2d65d525-fda5-11dd-ad2d-001d925871e0}\open\Command] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5f730e54-fd2a-11dd-ad2b-001d925871e0}\AutoRun\command] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5f730e54-fd2a-11dd-ad2b-001d925871e0}\explore\Command] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5f730e54-fd2a-11dd-ad2b-001d925871e0}\open\Command] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{615300f2-8aac-11de-ad87-001d925871e0}\AutoRun\command] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{615300f2-8aac-11de-ad87-001d925871e0}\explore\Command] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{615300f2-8aac-11de-ad87-001d925871e0}\open\Command] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{72b8694d-0cdd-11de-ad44-001d925871e0}\AutoRun\command] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{72b8694d-0cdd-11de-ad44-001d925871e0}\explore\Command] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{72b8694d-0cdd-11de-ad44-001d925871e0}\open\Command] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{af204a24-09c4-11de-ad3f-001d925871e0}\AutoRun\command] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{af204a24-09c4-11de-ad3f-001d925871e0}\explore\Command] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{af204a24-09c4-11de-ad3f-001d925871e0}\open\Command] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{be221690-3b49-11de-ad5b-001d925871e0}\AutoRun\command] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{be221690-3b49-11de-ad5b-001d925871e0}\explore\Command] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{be221690-3b49-11de-ad5b-001d925871e0}\open\Command] zapisz to jako fix.reg i uruchom. Następnie ściągnij szczepionkę na Conficker-a np. tą (niewykluczone, że będziesz to musiał pobrać na czystym kompie) i uruchom ją, to powinno rozwiązać jeden problem (którego imię conficker). Sprawdź, czy na dyskach nie ma pliku autorun.inf (bezpośrednio na partycjach, np c:\autorun.inf, d:\autorun.inf itd.), jeśli są to usuń. Z tym, że żeby zobaczyć te pliki najprawdopodobniej w opcjach folderów będzieś musiał włączyć pokazywanie plików ukrytych oraz wyłączyć ukrywanie plików systemowych. Po całym zabiegu zrób jeszcze skan programem Dr.Web CureIt! i jeszcze raz Malwarebytes' Anti-Malware(tak dla pewności), jeśli nic nie znajdą, to po infekcji, ale część rzeczy może jeszcze nie działać jak należy. Wszystkie pendrive'y, które były podłączane do tego kompa należy bezwarunkowo oczyścić z wszelkiego rodzaju paskudztwa, nada się do tego Flash Disinfector, tylko uważaj, żebyś nie uruchomił autostartu zarażonego pen-a, bo możesz mieć nową infekcję. Jeśli wszystko jest już w porządku, to możesz włączyć przywracanie systemu. Zaktualizuj system! Sprawdź jeszcze, czy wszystko działa, w szczególności tryb awaryjny. Link do komentarza Udostępnij na innych stronach More sharing options...
Dirian Napisano Wrzesień 1, 2009 Autor Zgłoś Share Napisano Wrzesień 1, 2009 Ehhh zrobiłem wszystko tak jak mówiłeś i dalej net nie działa Link do komentarza Udostępnij na innych stronach More sharing options...
Sevard Napisano Wrzesień 1, 2009 Zgłoś Share Napisano Wrzesień 1, 2009 No ok, zakładam, że Malwarebytes' i Dr.Web przy ostatnim skanie nic nie wykryły, skoro nic nie napisałeś. Zainstaluj konsolę odzyskiwania (tu masz instrukcję jak to zrobić). Jeśli masz jakieś istotne dane lepiej profilaktycznie je zgraj wszystkie istotne dane, bo następne narzędzie w rzadkich przypadkach może mocno namieszać. Ściągnij i uruchom combofixa (tu masz instrukcję obsługi i link do pobrania pliku), uruchom ten program i zamieść log na forum. Link do komentarza Udostępnij na innych stronach More sharing options...
Dirian Napisano Wrzesień 1, 2009 Autor Zgłoś Share Napisano Wrzesień 1, 2009 Tak skanowałem i nic nie wykryły. Ok pobawię się z tym jutro bo trzeba na 8 do szkoły wstać ;] Link do komentarza Udostępnij na innych stronach More sharing options...