WORM/kolab.bcm -co z tym zrobić

IP: 213.156.122.* 17.01.09, 19:49
jak moge zlikwidowac takiego robal, którego znalazl mi dzis AVIRA. po wybraniu
dowolnej opcji programu antywirusowego typu kwarantanna, usuniecie ... pojawia
sie ponownie info o robalu. Miejsca w jakich został znaleziony to java[1].exe,
eraseme_86512.exe i winlogin.exe
Dla osob, ktore moga wyjasnic co z tym zrobic - jestem lajkonikiem ;) w
temacie oprogramowania wiec jestem w stanie zakumac wyjasnienia jak dla
5-latka lub mniej ;)o ile jest takie
    • Gość: Kolobos Re: WORM/kolab.bcm -co z tym zrobić IP: *.chello.pl 17.01.09, 20:13
      Przeczytaj podwieszony temat i daj log z combofix.
      • Gość: zhi Re: WORM/kolab.bcm -co z tym zrobić IP: 213.156.122.* 17.01.09, 20:17
        combofix nie chcial mi sie zapisac- zablokowal sie pasek z rozpakowania pliku i
        wyskoczyly kolejne 3 ostrzezenia z AVIRA o tym samym robalu.
        dlatego wkleilem z hijackthis
    • Gość: zhik Re: WORM/kolab.bcm - - jeszcze MOJ LOG IP: 213.156.122.* 17.01.09, 20:14
      wklej.org/id/40628/
    • Gość: @ Re: WORM/kolab.bcm -co z tym zrobić IP: *.chello.pl 17.01.09, 20:47
      Najpierw wyłącz program antywirusowy.
      Kliknij prawym na ikonie obok zegara i odznacz: AntiVir Guard enable
      Wklej do notatnika:

      File::
      C:\WINDOWS\winlogin.exe
      C:\WINDOWS\winsvc32.exe

      Registry::
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "winsvc32"=-
      "winlogin"=-

      Plik zapisz pod nazwą: CFScript.txt
      Teraz plik przeciągnij i upuść na ikonę ComboFix:
      wstaw.org/d/d93
      Pokaż log który powstanie podczas usuwania.
      • Gość: zhik Re: WORM/kolab.bcm -co z tym zrobić IP: 213.156.122.* 17.01.09, 21:38
        zrobilem tak jak napisales
        nowy LOG z Combofix

        wklej.org/id/40675/

        czy cos taraz powinienem zdzialac
    • Gość: @ Re: WORM/kolab.bcm -co z tym zrobić IP: *.chello.pl 17.01.09, 21:47
      Nie widzę żebyś użył CFScript, teraz zrób to porządnie.
      Wklej do notatnika:

      File::
      c:\windows\winsvc32.exe

      Registry::
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "winsvc32"=-
      [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2bb6ae8d-568f-11dd-8959-0014f83b1fa3}]

      Pokaż nowy log.
      • Gość: zhik Re: WORM/kolab.bcm -co z tym zrobić IP: 213.156.122.* 17.01.09, 21:56


        zrobilem dokladnie co do joty to co napisales
        ale w poprzednim poscie napisales inny CFScript :

        File::
        C:\WINDOWS\winlogin.exe
        C:\WINDOWS\winsvc32.exe

        Registry::
        [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
        "winsvc32"=-
        "winlogin"=-

        ten obecny jest inny, wiec mam malego zonka "???"
        tzn co teraz powinienem zrobic
    • Gość: @ Re: WORM/kolab.bcm -co z tym zrobić IP: *.chello.pl 17.01.09, 22:00
      Wklej to:
      forum.gazeta.pl/forum/72,2.html?f=430&w=89962985&a=89968484
      Zapiszjako CFScript i upuść na ComboFix.
      • Gość: zhik Re: WORM/kolab.bcm -co z tym zrobić IP: 213.156.122.* 17.01.09, 22:15

        zrobione

        nowy LOG :

        wklej.org/id/40704/

        i jaka diagnoza
    • Gość: @ Re: WORM/kolab.bcm -co z tym zrobić IP: *.chello.pl 17.01.09, 22:20
      Zrób jeszcze to:
      forum.gazeta.pl/forum/72,2.html?f=430&w=88077527&a=88083760
      • Gość: zhik Re: WORM/kolab.bcm -co z tym zrobić IP: 213.156.122.* 17.01.09, 23:15
        OK, zrobiłem większość ale co do 2 dzialan mam pyt:

        1. czy z Qoobox z podanej w poscie sciezki mam usunac plik tekstowy
        "ComboFix-quarantined-files" czy folder "Quarantine" i czy mam je poprostu
        usunac przez Usun prawoklikiem czy w jakis bardziej skomplikowany sposob
        2. i czy "Zapobieganie infekcji z pendrive" bo takie tez juz miałem mam wykonac
        wszystkie te dzialania o ktorych pisze Picasso w swoim poscie bo na razie
        zapisalem tylko "FlashDisinfector" bo to mniej wiecej skumalem, ale niektore
        pozostale dzialania to dla mnie chinszczyzna
        • Gość: @ Re: WORM/kolab.bcm -co z tym zrobić IP: *.chello.pl 18.01.09, 10:55
          Usuń cały folder Qoobox, zaznacz i naciśnij Shift + Delete.
          Wybierz jeden z opisanych tam sposobób i go zastosuj.
          • Gość: zhik Re: WORM/kolab.bcm -co z tym zrobić IP: 213.156.122.* 18.01.09, 12:29
            zrobione z Qooboxem i wlaczylem FlashDisinfector.

            ale mam jeszcze 3pyt:
            1. czy moge już wlaczyc AVIRA
            2. czy mam wlaczyc jakas zapore bo Windek mi nagle po wczorajszych dzialaniach
            podrzuca takie propozycje
            3. pojawily mi sie wczoraj 2 plki "sdstart" i "sdstart.exe.part" - podejrzewam
            ze to nic czego bym potrzebowal, czy tak?

            • Gość: Kolobos Re: WORM/kolab.bcm -co z tym zrobić IP: *.escom.net.pl 18.01.09, 12:33
              > 1. czy moge już wlaczyc AVIRA

              Jezeli wszystko juz wykonales to tak.

              > 2. czy mam wlaczyc jakas zapore bo Windek mi nagle po wczorajszych
              > dzialaniach podrzuca takie propozycje

              Kliknij na ikone w pasku z czerwona tarcza (ta ktora wyswietla komunikat) i tam wlacz zapore lub w Panelu Sterowania -> Centrum zabezpieczen.

              > 3. pojawily mi sie wczoraj 2 plki "sdstart" i "sdstart.exe.part"

              To PC Tools Spyware Doctor.
              • Gość: zhik Re: WORM/kolab.bcm -co z tym zrobić IP: 213.156.122.* 18.01.09, 12:39
                a tego PC Tools Spyware Doctor mam jakos zainstalowac, uruchomic czy cos?
                czy on sam hula i mam nie wchodzic mu w parade ?
                • Gość: Kolobos Re: WORM/kolab.bcm -co z tym zrobić IP: *.escom.net.pl 18.01.09, 12:49
                  W logach nie widze u Ciebie tego programu, gdzie DOKLADNIE pojawily sie te pliki?
                  • Gość: zhik Re: WORM/kolab.bcm -co z tym zrobić IP: 213.156.122.* 18.01.09, 12:52
                    na pulpicie
                    • Gość: Kolobos Re: WORM/kolab.bcm -co z tym zrobić IP: *.escom.net.pl 18.01.09, 13:10
                      Pewnie Ty lub ktos inny sciagal ten program. Pliki mozesz usunac.
                      • Gość: zhik Re: WORM/kolab.bcm -co z tym zrobić IP: 213.156.122.* 18.01.09, 13:34
                        Ja wczoraj robilem tylko to co mialem napisane w postach ale w tych dzialaniach
                        nie bylo Spyware doctor a tylko ja wczoraj czyscilem kompa.
                        Zonka wczoraj siedziala przy kompie ale nic nie sciagala.

                        Czy to mozliwe zeby sie zapisal z jednym z pozostalych programow, ktore wczoraj
                        sciagalem?
                        I czy powinienem sie jakos martwic lub cos zrobic?
                        • Gość: Kolobos Re: WORM/kolab.bcm -co z tym zrobić IP: *.escom.net.pl 18.01.09, 13:37
                          Nic juz nie rob i sie nie martw. Jak cos bedzie nie tak to pisz.
                          • Gość: zhik Re: WORM/kolab.bcm -co z tym zrobić IP: 213.156.122.* 18.01.09, 13:41
                            OK
                            SERDECZNE i WIELKIE DZIEKI za pomoc dla kolegi "@" takze
                            dobrze ze sa takie madre glowy na swiecie :) i ze chca i potrafia pomoc takim
                            betonom jak ja :)

                            Jeszcze raz DZIEKUJE
          • Gość: zhik Re: WORM/kolab.bcm -co z tym zrobić IP: 213.156.122.* 18.01.09, 13:44
            OK
            SERDECZNE i WIELKIE DZIEKI za pomoc, dla Kolobos takze
            dobrze ze sa takie madre glowy na swiecie :) i ze chca i potrafia pomoc takim
            betonom jak ja :)

            Jeszcze raz DZIEKUJE
Pełna wersja