"e-mail.Beagle.Ec" i co dalej??help!!!

[mili26]

Witam.
Program antywirusowy online(Kaspersky)wykrył wirusa "e-mail.Beagle.Ec" i nie
mógł go usunąć. Co dalej? Próbowałam także innymi programami antywirusowymi,
antytrojanowymi itp. i nic.
Proszę o pomoc.
Pozdrawiam i dziękuje:-)

[Gość: Kolobos]

Czy wy naprawde nie widzicie przyklejonego watku?!
forum.gazeta.pl/forum/72,2.html?f=430&w=66002983

[mili26]

Witam ponownie.
Próbowałam zainstalować program "Combofix" i wystąpił błąd-to pewno przez
wirusa-Combofix.exe jest nieprawidłową aplikacją systemu win32.
Nazwa wirusa:eimail-worm.win32.Bagle.ev.
Wartość
rejestru:HKEY_USERS\S-1-5-21-299502267-602162358-839522115-1003\Software\Microsoft\Windows\Current
Version\Run,german.exe.
Proszę o cokolwiek??

[kolobos]

Zmien nazwe pliku combofix na kopytko.exe i dopiero uruchom.
Mozesz tez zamiast combofix uzyc DSS, ktory powinien dzialac bez problemu.

[mili26]

Wklejam loga: wklej.org/id/ad2ef1cc9b
DSS zadziałał.

[mili26]

Przepraszam ale na wypadek wklejam jeszcze jeden:-( wklej.org/id/15b0c9aa7b

[kolobos]

W hijackthis usun:
F0 - system.ini: Shell=explorer.exe
F2 - REG:system.ini: Shell=explorer.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - (file missing)
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - \webcheck.dll (file missing)

Uzyj: cybertrash.pl/images/tata/Avenger/Avenger.html
Wklej do niego taki skrypt:

Drivers to unload:
Megadrv3

Folders to delete:
C:\WINDOWS\system32\drivers\down

Files to delete:
c:\windows\system32\drivers\srosa.sys
C:\sdlflzoip
C:\WINDOWS\system32\mdelk.exe
C:\WINDOWS\system\smvss.exe
C:\WINDOWS\system32\drivers\hldrrr.exe

Registry values to delete:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run | german.exe

Po wykonaniu daj log z Avengera na wklej + log z combofix, ktory powinien juz dzialac, jezeli bedzie dzialac to napraw tez tryb awaryjny tym:
download.bleepingcomputer.com/sUBs/SafeBootKeyRepair.exe

[mili26]

mam pytanie i pewno zanudzam:
W hijackthis usun:
F0 - system.ini: Shell=explorer.exe
F2 - REG:system.ini: Shell=explorer.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - (file
missing)
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - \webcheck.dll
(file missing)

Proszę napisz gdzie mam usunąć te pliki. Włączyć program jeszcze raz?
Proszę o cierpliwość, jestem"zielona".

[kolobos]

Nie zielona tylko leniwa, wszystko masz DOKLADNIE opisane w linku z naglowka. Masz uruchmic hijackthis i usunac podane wpisy.

[mili26]

Uruchomiłam, pojawił się raport w formie notatnika, mam usunąć w nim wpisy? Na
pewno śmiejsz się ze mnie:-)

[Gość: @]

Uruchom HijackThis i kliknij "Do a system scan only"
Następnie zaznacz podane wpisy i kliknij "Fix checked"

[mili26]

włączyłam dss.exe i włącza się Deckard's System Scanner.

[mili26]

Uruchomiłam HijackThis i wystąpił błąd: HijackThis jest nieprawidłową aplikacją
systemu win32.

[Gość: Kolobos]

Eh, zostaw na razie w spokoju ten hijackthis uzyj Avenger'a tak jak podalem. Zrob tez skan przy pomocy Dr. Web CureIt! zeby wykluczyc infekcje wirusowa.

[mili26]

dziękuje za odpowiedź:-) Uruchomiłam avengera i wystąpił błąd: avenger jest
nieprawidłową aplikacją systemu win32.
Skanowałam Spyware doctorem: nadal pozostaje:email-worm.bagle
Nie można ręcznie usunąć z rejestru.

[Gość: Kolobos]

W takim razie to pewnie jakis wirus, a nie tylko rootkit bagle.
Jak juz pisalem wczesniej przeskanuj Dr.Web CureIt! lub jakims skanerem online np. Kaspersky i zobacz jaki wirus zainfekowal pliki.

[mili26]

Witam ponownie.
Wklejam raport z skanu online Kaspersky: wklej.org/id/7f6b7897de

[Gość: Kolobos]

Wylacz na chwile przywracanie systemu, uzyj ATF Cleaner i usun wszystko z TEMP itd. Wywal wszystko z One Button Checkup (Auslogics).
Sprobuj sciagnac combofix ale zmienic nazwe pliku na inna np. comb.exe i zobacz czy wtedy sie uruchomi, to samo z Avenger'em.
Wywal tez aplikacje od neostrady (opis jak ustawic polaczenie recznie masz w przyklejonym watku).

[mili26]

DZIĘKUJE!!!!!!!!!!!!!!
Stan: obiektów wykrytych ZERO!!!!Jesteś WIELKI:-)

Pozdrawiam.

[Gość: Kolobos]

To nic nie znaczy, daj logi o ktore prosilem o ile combofix lub dss dziala.

[mili26]

Proszę bardzo: wklej.org/id/49b0e1faec

[Gość: Kolobos]

W hijackthis mialas usunac:
F0 - system.ini: Shell=explorer.exe
F2 - REG:system.ini: Shell=explorer.exe
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - \webcheck.dll (file missing)
Wiec zrob to.

Utworz CFScript.txt o takiej tresci:

Driver::
Megadrv3

Folder::
C:\WINDOWS\system32\drivers\down

Zapisz i przeciagnij na ikone combofix.exe, po uzyciu daj link do loga z combofix. Napraw tez tryb awaryjny programem, ktory podalem wczesniej.

[mili26]

Hej.
W hijackthis nie znalazłam
F2 - REG:system.ini: Shell=explorer.exe
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - \webcheck.dll
(file missing)
Po utworzeniu CFScript.txt o takiej tresci:

Driver::
Megadrv3

Folder::
C:\WINDOWS\system32\drivers\down

Pojawił się błąd i log: wklej.org/id/d34d542ba2

[Gość: Kolobos]

Przeciez mialas uzyc combofix, a nie dss..
Mam wrazenie, ze czytasz sobie wybiorczo to co Ci napisalem.
Trybu awaryjnego nie naprawilas do tej pory mimo, ze pisalem to juz chyba ze trzy razy. Zamiast log'a z combofix dostaje dss.

Uruchom cmd:
Start->Uruchom->cmd
wpisz:
sc stop Megadrv3
sc delete Megadrv3

oraz usun z dysku katalog:
C:\WINDOWS\system32\drivers\down

Mam nadzieje, ze w koncu dostane log z combofix i bedzie w nim widac, ze tryb awaryjny zostal juz naprawiony.

[mili26]

wklejam loga: wklej.org/id/d2dbd9b5c0
Przepraszam za mój chaos:-)

[Gość: Kolobos]

Log jest juz ok, ale dalej nie naprawilas trybu awaryjnego, uzyj:
download.bleepingcomputer.com/sUBs/SafeBootKeyRepair.exe

[mili26]

otrzymałam: wklej.org/id/c3c890ef77

[Gość: Kolobos]

Ten log nie jest potrzebny, jak chcesz to sprawdz czy tryb awaryjny juz dziala (nacisnij F8 podczas startu systemu). To wszystko.