security alert:NetWorm-i.Virus@fp i inne...help

IP: *.neoplus.adsl.tpnet.pl 10.11.07, 18:11
od rana mecze sie z roznymi zawiadomieniami. poza tym ciagle otwiera
sie strona security center.
podaje linka do loga i baardzo prosze o pomoc.
wklej.org/id/40ca4920aa
aha, dodam, ze na komputerach sie nie znam wiec prosze mi wszystko
dokladnie tlumaczyc... ;)
pozdrawiam i z gory dziekuje za pomoc
    • Gość: zukosoczek Re: security alert:NetWorm-i.Virus@fp i inne...he IP: *.neoplus.adsl.tpnet.pl 10.11.07, 18:23
      aha, to byl log z combofixa. wrzucam jeszcze z hijackthis :
      wklej.org/id/faab2fb587
      no i jeszcze raz bardzo prosze o pomoc...
      • Gość: Kolobos Re: security alert:NetWorm-i.Virus@fp i inne...he IP: *.escom.net.pl 10.11.07, 20:01
        To juz sie robi nudne, wszyscy instalujecie to samo, czy tak ciezko nie wchodzic na zarobaczone strony i nie sciagac crackow itp?

        Zmien przegladarke na Opere lub Firefox i nie uzywaj IE.
        Zrob skan przy pomocy SuperAntiSpyware.

        Wklej do notatnika to:

        Folder::
        C:\Program Files\PlayMP3z
        C:\Program Files\ContextTool

        File::
        C:\WINDOWS\system32\jinewzsv.dll
        C:\WINDOWS\system32\psqlpwd.dll
        C:\WINDOWS\system32\jkkkifc.dll
        C:\WINDOWS\Fonts\svchost.exe
        C:\WINDOWS\system32\kwmvkfje.dll
        C:\WINDOWS\Fonts\Setup.exe
        C:\WINDOWS\Fonts\svchost.exe
        C:\WINDOWS\system32\kwmvkfje.dll
        C:\WINDOWS\system32\gxogdfid.dll
        C:\WINDOWS\system32\tbdncvmc.exe
        C:\WINDOWS\system32\nnnolig.dll
        C:\WINDOWS\system32\gmsxloqt.dll
        C:\WINDOWS\system32\tlinscrm.exe
        C:\WINDOWS\system32\qsgvuuhi.dll
        C:\WINDOWS\system32\dwvcwhhp.exe
        C:\WINDOWS\system32\cejcpqen.dll
        C:\WINDOWS\system32\fvphfuwa.exe
        C:\WINDOWS\system32\vuexlwvl.dll
        C:\WINDOWS\system32\eoyjyiym.dll
        C:\WINDOWS\system32\mumdadtc.exe
        C:\WINDOWS\system32\dfsmfnkr.dll
        C:\WINDOWS\system32\nuqhoyyc.dll
        C:\WINDOWS\system32\msxml3a.dll
        C:\WINDOWS\system32\jinewzsv.dll
        C:\WINDOWS\system32\dwcbotci.dll
        C:\WINDOWS\system32\nnnmkhg.dll
        C:\WINDOWS\system32\vbzip10.dll

        Registry::
        [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A95B2816-1D7E-4561-A202-68C0DE02353A}]

        [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{BCC73622-F72D-4277-803C-D65565A0947F}]

        [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{e0b12d3b-63a8-4f9e-a25e-43c32d5eaa87}]

        [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
        "{11A69AE4-FBED-4832-A2BF-45AF82825583}"=-

        [-HKEY_CLASSES_ROOT\CLSID\{11A69AE4-FBED-4832-A2BF-45AF82825583}]

        [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
        "Host Process"=-

        [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
        "{BCC73622-F72D-4277-803C-D65565A0947F}"=-

        [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\jinewzsv]

        [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\jkkkifc]

        [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\psfus]

        Plik zapisz w katalogu z combofix pod nazwa CFScript.txt, nastepnie przeciagnij plik CFScript.txt na ikone combofix.exe (tak jak to masz pokazane tutaj i12.tinypic.com/4l761r5.gif ). Po wszystkim daj log na wklej i podaj link + nowy log z hijackthis oraz log z SDFix zrobiony w trybie awaryjnym.

        Do tego wklej do notatnika to:

        Windows Registry Editor Version 5.00

        [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
        "Authentication Packages"=-
        "Authentication Packages"=hex(7):6d,00,73,00,76,00,31,00,5f,00,30,00,00,00,00,\
        00

        Zapisz jako fix.reg i uruchom.
        • Gość: zukosoczek Re: security alert:NetWorm-i.Virus@fp i inne...he IP: *.neoplus.adsl.tpnet.pl 10.11.07, 21:19
          ok wielkie dzieki:)
          wklejam loga z combofix:
          www.wklej.org/id/0375c74624
          i hijackthis:
          www.wklej.org/id/f28c283ac4
          i smitfraudfix:
          www.wklej.org/id/a5d5b16441
          no i czekam na dalsze instrukcje...

          • Gość: Kolobos Re: security alert:NetWorm-i.Virus@fp i inne...he IP: *.escom.net.pl 10.11.07, 21:36
            Odinstaluj smiecie od symantec'a (live update itp).
            Prosilem o log z SDFix, a nie z Smitfraudfix ;>

            Do kasacji zostaly juz tylko te dwa pliki:
            C:\WINDOWS\system32\prqss.ini2
            C:\WINDOWS\system32\prqss.bak1
            Sprobuj usunac recznie, jezeli bedzie problem to wklej do CFScript.txe:

            File:
            C:\WINDOWS\system32\prqss.ini2
            C:\WINDOWS\system32\prqss.bak1

            I uruchom jak wczesniej.



            • Gość: zukosoczek Re: security alert:NetWorm-i.Virus@fp i inne...he IP: *.neoplus.adsl.tpnet.pl 10.11.07, 21:57
              ok tak zrobilam, wklejam loga chociaz nie wiem czy jest jeszcze potrzebny
              www.wklej.org/id/8e9f4ceb4c
              czyli teraz juz wszystko powinno byc ok? zainstalowalam tez firefoxa jak
              radziles i zamiast avasta - avire pe.
              ale mam jeszcze jedna watpliwosc. bo jak zainstalowalam tego nowego antywirusa
              to zrobilam skana. skanuje sie nadal i ciagle mi cos tam jeszcze wynajduje...
              czy to normalne?
              pozdrawiam i wielkie dzieki za cierpliwosc :)
              • Gość: Kolobos Re: security alert:NetWorm-i.Virus@fp i inne...he IP: *.escom.net.pl 10.11.07, 22:12
                Niczym sie nie rozni ten log od poprzedniego. Dalej sa:
                C:\WINDOWS\system32\prqss.ini2
                C:\WINDOWS\system32\prqss.bak1

                Wklej do notatnika:

                File::
                C:\WINDOWS\system32\prqss.ini2
                C:\WINDOWS\system32\prqss.bak1

                Plik zapisz w katalogu z combofix pod nazwa CFScript.txt, nastepnie przeciagnij plik CFScript.txt na ikone combofix.exe. Nowego loga z combofix juz nie dawaj ale po wykonaniu sprawdz czy oba pliki zniknely (sprawdz w combofix czy juz ich nie ma w logu).
                Daj jeszcze log z SDFix o ktory prosilem (zrobiony w trybie awaryjnym).

                > skanuje sie nadal i ciagle mi cos tam jeszcze wynajduje...
                > czy to normalne?

                To zalezy co znalazl i gdzie, jak juz przeskanuje to mozesz wkleic raport na wklej i dac link lub napisac o i gdzie znalazl.
                • Gość: zukosoczek Re: security alert:NetWorm-i.Virus@fp i inne...he IP: *.neoplus.adsl.tpnet.pl 10.11.07, 22:37
                  no wiec tak.
                  antivir przy skanowaniu znalazl tego strasznie duzo.
                  wklejam linka do raportu:
                  www.wklej.org/id/fdb3dc00b8
                  ale tych dwoch plikow ktore wymieniles w logu juz nie ma.
                  tylko ze jak combofix pracowal to kilkakrotnie wyskoczylo mi powiadomienie od
                  antywirusa:
                  C:\Documents and Settings\...\bohtberkF2B723F.dll
                  Is the Trojan horse TR/Inject.JT

                  czyli wnioskuje ze jednak jeszcze cos zostalo?... :|
                  • Gość: Kolobos Re: security alert:NetWorm-i.Virus@fp i inne...he IP: *.escom.net.pl 10.11.07, 22:48
                    Wylacz przywracanie systemu, to usunie wszystkie trojany, ktore sie w nim znajduja. Pozniej mozesz wlaczyc przywracanie i utworzyc nowy punkt (po calkowitym odrobaczeniu).
                    Wejdz do:
                    C:\WINDOWS\Fonts\ i usun tam folder o nazwie ' , utworzyl go trojan, ktory udostepnial te pliki w celu dalszej infekcji innych komputerow.
                    Jak juz to zrobisz to przeskanuj system jeszcze raz i zobacz czy cos zostalo, jak zostalo to daj log ze skanowania.
                    • Gość: zukosoczek Re: security alert:NetWorm-i.Virus@fp i inne...he IP: *.neoplus.adsl.tpnet.pl 10.11.07, 22:57
                      hmm tylko ze w C:\WINDOWS\Fonts\ nie ma zadnego folderu...
                      • Gość: Kolobos Re: security alert:NetWorm-i.Virus@fp i inne...he IP: *.escom.net.pl 10.11.07, 23:35
                        Jest tylko pod windows go nie zobaczysz (z explorera), uzyj np. Total Commander.
                        • Gość: zukosoczek Re: security alert:NetWorm-i.Virus@fp i inne...he IP: *.neoplus.adsl.tpnet.pl 10.11.07, 23:48
                          sciagnelam commandera ale nic takiego mi nie znalazl...
                          • Gość: Kolobos Re: security alert:NetWorm-i.Virus@fp i inne...he IP: *.escom.net.pl 10.11.07, 23:56
                            Moze juz nie ma tego folderu ale raczej sam sie nie usunal.
                            Wpisz w Start->Uruchom-> C:\Windows\Fonts\'\
                            Jak sie otworzy to znaczy, ze jest i cos robisz nie tak, a jak nie to znaczy, ze juz go nie ma. Po otworzeniu klikasz przycisk "W gore" z menu na gorze, a nastepnie usuwasz katalog '. Mozesz tez w kleic w Total Commanderze w pasku na dole C:\Windows\Fonts\'\ i enter, otworzy sie to samo.

                            • Gość: zukosoczek Re: security alert:NetWorm-i.Virus@fp i inne...he IP: *.neoplus.adsl.tpnet.pl 11.11.07, 00:11
                              hmm dziwna sprawa bo jak wchodze przez uruchom to faktycznie jest taki plik ale
                              jak biore w gore to juz go nie widze (nawet w niewidocznych) wiec nie moge go
                              usunac.
                              a w commanderze nic takiego nie znajduje... :|

                              p.s. zrobilam skan antywirusem i nic juz nie wykazalo.
                              • Gość: Kolobos Re: security alert:NetWorm-i.Virus@fp i inne...he IP: *.escom.net.pl 11.11.07, 00:36
                                Wpisz w Start->Uruchom-> rmdir c:\windows\fonts\'\
                                Skoro system jest juz czysty to mozesz wlaczyc przywracanie systemu i utworz punkt przywracania.
                                • Gość: zukosoczek Re: security alert:NetWorm-i.Virus@fp i inne...he IP: *.neoplus.adsl.tpnet.pl 11.11.07, 10:34
                                  bardzo dziekuje za pomoc :)
Inne wątki na temat:
Pełna wersja