Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Wirus, zamykający strony, blokujący edycje rejestru itp.

fajny 11 Mar 2009 18:04 3425 1
  • #1 11 Mar 2009 18:04
    fajny
    Poziom 21  

    Zaatakował mnie jakiś natrętny wirus. Wyłącza mi menadżer zadań (menadżer zadań został wyłączony przez administratora), edytora rejestru (edycja rejestru zostałą zablokowana przez administratora sieci), gdy tylko zainstaluję Hijackthis i go uruchomię to go od razu usuwa bez żadnego błędu, po prostu usuwa (znalazłem na to sposób, bo jak się nazwę Hijacka zmieni na przykład na hihihi.exe to się uruchomi i działa) oraz nie pozwala mi wejść na strony o antywirusach, wirusach , encyklopediach wirusów itp. Znalazłem taką stronkę http://forum.gazeta.pl/forum/72,2.html?f=430&w=72073301&a=73225936 . Jakiś user miał identyczny przypadek, trochę poczytałem, ale mi tamte porady nic nie pomagają, bo żaden program, ani w dosie ani normalnie nie widzi żadnej dodatkowej partycji. Combofix na szczęście działa bezproblemowo, log w załączniku. Dodam jeszcze, że wirus objawia się na dwóch komputerach (mamy w domu 2 podłączone do routera)

    0 1
  • #2 11 Mar 2009 19:11
    Kolobos
    Spec od komputerów

    Trojan podczepil Ci sie pod skojarzenia plikow co widac w logu:
    batfile=c:\windows\system32\wins.exe "%1" %*
    cmdfile=c:\windows\system32\wins.exe "%1" %*
    comfile=c:\windows\system32\wins.exe "%1" %*
    exefile=c:\windows\system32\wins.exe "%1" %*
    piffile=c:\windows\system32\wins.exe "%1" %*

    Wpisz w Uruchom: cmd i tam:
    ftype exefile="%1" %*
    ftype batfile="%1" %*
    ftype cmdfile="%1" %*
    ftype comfile="%1" %*
    ftype piffile="%1" %*
    assoc .exe=exefile
    assoc .bat=batfile
    assoc .cmd=cmdfile
    assoc .com=comfile
    assoc .pif=piffile

    Podlacz zainfekowane nosniki, uzyj Flash Disinfector.

    Utworz na pulpicie plik CFScript.txt, wklej do niego:

    File::
    C:\fix.reg
    C:\fix.bat

    Registry::
    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
    "DisableRegistryTools"=-
    "disabletaskmgr"=-

    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{78879a2b-19e3-11dd-bb58-00e04d2813c1}]

    Firefox::
    FF - ProfilePath - c:\documents and settings\xp\Dane aplikacji\Mozilla\Firefox\Profiles\zocfqslt.default\
    FF - prefs.js: keyword.URL -

    Zapisz i przeciagnij go na ikone combofix.exe, po wykonaniu daj log.
    Zablokuj tez dostep do klucza mountpoints2.

    Jezeli po resecie wszystko bedzie dzialac to usun plik:
    c:\windows\system32\wins.exe

    0