Mount Opublikowano 23 Kwietnia 2011 Zgłoś Udostępnij Opublikowano 23 Kwietnia 2011 Witam, mam problem z systemem, prawdopodobnie wirus, gdyz nie dziala internet. Posiadam Windowsa XP, przez bardzo dlugi czas nie mialem najmniejszych problemow. Caly czas jakis antywirus wraz z zapora, uwazam gdzie wchodze, usuwam natychmiast wszelki spam oraz wiadomosci od nieznanych nadawcow, no ale niestety wkoncu trafilo mnie. Ostatnio zaczal szwankowac antywirus, posypala sie baza, reinstalowalem go, znowu cos sie posypalo i w koncu go odinstalowalem. Wylaczylem komputer i po ponownym wlaczeniu nie dzialal internet. Probowalem go wlaczyc na wszelkie sposoby, odinstalowalem sterowniki od sieci, instalowalem na nowo, sprawdzalem kable, itp. ale nic nie pomoglo. Mam liveCd z linuxem wiec postanowilem sprawdzic czy tam tez sa problemy, ale jak widac nie ma. Wniosek wysnulem jeden - jest wirus. Wiec odpalilem antywira (avira) - nic; nastepnie Gmera - rowniez nic; skaner online - ten cos wykryl, ale to byly programy znane mi i nie stanowily zagrozenia. Wiec postanowilem sprawdzic co mi google powie, i oczywiscie pierwsze wyniki - "Odpal combofixa i podaj wyniki", niestety tak zrobilem. Dopiero po tym wszedlem na strone producenta, przeczytalem instrukcje, i trafilem tutaj. Niestety dopiero teraz i nie mam zadnych logow ze skanowania programami antywirusowymi, posiadam log skanowania tylko z combofixa (podac tutaj?). Zalaczam wymagane logi, oraz z combofixa. Bardzo prosze o pomoc. Combofix.txt OTL.Txt Extras.Txt Gmer.txt Odnośnik do komentarza
picasso Opublikowano 23 Kwietnia 2011 Zgłoś Udostępnij Opublikowano 23 Kwietnia 2011 Brak śladów infekcji. Ostatnio zaczal szwankowac antywirus, posypala sie baza, reinstalowalem go, znowu cos sie posypaloi w koncu go odinstalowalem. Wylaczylem komputer i po ponownym wlaczeniu nie dzialal internet. Skoro to się zbiegło z deinstalacją antywirusa, prędzej się kojarzą filtry na kartach sieciowych pozostawione przez niepełną deinstalację AV. Sądząc po śladach w logach był to Kaspersky: FF - prefs.js..extensions.enabledItems: linkfilter@kaspersky.ru:9.0.0.192O20 - Winlogon\Notify\klogon: DllName - C:\WINDOWS\system32\klogon.dll - File not found S3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\DRIVERS\klim5.sys --> c:\windows\system32\DRIVERS\klim5.sys [?] Proszę: 1. Panel sterowania > Połączenia sieciowe > prawoklik na każde z czynnych połączeń po kolei i pobierz Właściwości > w karcie Ogólne patrz na spis komponentów jakich używa połączenie > jeśli jest tam obiekt od antywirusa, podświetl i odinstaluj > restart komputera. Zdjęcie filtrów powinno odblokować sieć. 2. Skorzystaj także z narzędzia Kaspersky Remover. Wiec postanowilem sprawdzic co mi google powie, i oczywiscie pierwsze wyniki - "Odpal combofixa i podaj wyniki",niestety tak zrobilem. Masz ostro modyfikowany Windows, a ComboFix na takim zachowuje się nieprawidłowo. Co tu zmalował: ((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))..c:\program files\HDD Regenerator\HDD Regenerator.exec:\windows\copyfstq.exec:\windows\dropcpyr.dllc:\windows\Fonts\ArnoldBoeD.ttfc:\windows\system32\Device.dllc:\windows\system32\drivers\etc\hostc:\windows\system32\Install.batc:\windows\system32\msconfig.exec:\windows\system32\paqbonus.exec:\windows\system32\winping.exec:\windows\system32\y.cmdc:\windows\Uninstall.ini.c:\windows\regedit.exe . . . jest zainfekowany!! Notyfikacja o zarażonym regedit.exe to fałszywy alarm. Z systemu został wyrzucony msconfig, gdyż na modyfikowanych systemach ma inną (błędną) ścieżkę i ComboFix usuwa plik z miejsca w którym się go nie spodziewa. Para copyfstq.exe + dropcpyr.dll to składniki Total Copy. HDD Regenerator mówi sam za siebie (z drugiej strony: ten program jest wysoce niepolecany do użytku, "psujka" dysków, do diagnostyki stosuje się MHDD). Nie widzę powodu dla którego czcionka ArnoldBoeD.ttf została skasowana. Reszty plików nie jestem pewna, ale tu jest modyfikacja systemu i przypuszczam, że te obiekty nie są szkodliwe.... . Odnośnik do komentarza
Mount Opublikowano 23 Kwietnia 2011 Autor Zgłoś Udostępnij Opublikowano 23 Kwietnia 2011 Dziękuję za sprawdzenie i skierowanie na rozwiązanie. Co do Kaspersky Removala, był użyty do deinstalacji, potem rejestr czyszczony ręcznie i programem do czyszczenia, ale jak się teraz okazało nie do końca. Ślady nie zostały we właściwościach połączeń sieciowych, ale był syf w menedżerze urządzeń. Niestety nie do usunięcia ręcznie, gdyż "był niezbędny do prawidłowego funkcjonowania systemu", użyłem jeszcze raz Kaspersky Removal, reset, czysto ale nie działa, usunięcie karty, reset ... działa :] System rzeczywiście mocno modyfikowany, ale od czasu instalacji (jakiś rok temu) do tej pory nie było najmniejszych problemów. Czy mogę przywrócić usunięte pliki? Fakt HDDRegenator nie był używany i mi jest on do szczęścia nie potrzebny, ale np. TotalCopy przydatny, tak jak i msconfig, usunięcie czcionki...też mnie mocno zdziwiło, ale mam inną podobną więc obejdę się bez tej, paqbonus.exe, oraz winping.exe - znane mi i już niepotrzebne, uninstall.ini należy do TotalCopy, install.bat i y.cmd - składniki modyfikowanego systemu. Jeszcze raz dziękuję za pomoc Widać wątek znalazł się w niewłaściwym dziale, więc jakby ktoś mógł go przenieść będę rad Pozdrawiam i życzę Wesołego Jajka Odnośnik do komentarza
picasso Opublikowano 23 Kwietnia 2011 Zgłoś Udostępnij Opublikowano 23 Kwietnia 2011 (edytowane) Niestety nie do usunięcia ręcznie, gdyż "był niezbędny do prawidłowego funkcjonowania systemu", użyłem jeszcze raz Kaspersky Removal,reset, czysto ale nie działa, usunięcie karty, reset ... działa :] To się dało usunąć ręcznie (zdejmowałam to już kilka razy na forum m.in przy Avast Internet Security KLIK), wprost z rejestru z klucza Enum. Ten komunikat jest stąd, iż do klucza brak uprawnień, wystarczy klucz skasować posługując się innym kontekstem zabezpieczeń. Rozumiem jednak, że obszedłeś problem w inny sposób. Czy mogę przywrócić usunięte pliki?Fakt HDDRegenator nie był używany i mi jest on do szczęścia nie potrzebny, ale np. TotalCopy przydatny, tak jak i msconfig, usunięcie czcionki...też mnie mocno zdziwiło, ale mam inną podobną więc obejdę się bez tej, paqbonus.exe, oraz winping.exe - znane mi i już niepotrzebne, uninstall.ini należy do TotalCopy, install.bat i y.cmd - składniki modyfikowanego systemu. Wszystkie pliki zostaną przywrócone na miejsce procedurą auto. Otwórz Notatnik i wklej w nim: DeQuarantine:: C:\Qoobox\Quarantine\C\program files\HDD Regenerator\HDD Regenerator.exe.vir C:\Qoobox\Quarantine\C\windows\copyfstq.exe.vir C:\Qoobox\Quarantine\C\windows\dropcpyr.dll.vir C:\Qoobox\Quarantine\C\windows\Fonts\ArnoldBoeD.ttf.vir C:\Qoobox\Quarantine\C\windows\system32\Device.dll.vir C:\Qoobox\Quarantine\C\windows\system32\drivers\etc\host.vir C:\Qoobox\Quarantine\C\windows\system32\Install.bat.vir C:\Qoobox\Quarantine\C\windows\system32\msconfig.exe.vir C:\Qoobox\Quarantine\C\windows\system32\paqbonus.exe.vir C:\Qoobox\Quarantine\C\windows\system32\winping.exe.vir C:\Qoobox\Quarantine\C\windows\system32\y.cmd.vir C:\Qoobox\Quarantine\C\windows\Uninstall.ini.vir Quit:: Plik zapisz pod nazwą CFScript.txt. Przeciągnij go i upuść na ikonę ComboFixa. Po ukończeniu zadania odinstaluj ComboFix, w Start > Uruchom > wklejając komendę: "c:\documents and settings\PaniWladca\Pulpit\ComboFix.exe" /uninstall . Edytowane 24 Maja 2011 przez picasso 24.05.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi