Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek dla www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Wirus abnow.com jak go pokonać?

19 Mar 2012 15:34 5609 38
  • Poziom 8  
    Witam.
    Wczoraj przeglądałem internet i NOD32 wykrył mi jakiegoś Trojana - automatycznie poddał go do kwarantanny. Co chwile wyskakuje mi komunikat (30sek), że nowy plik jest zainfekowany. Wyskakuje mi okienko, że restart komputera usunie te zainfekowane pliki - tak zrobiłem. Potem stwierdziłem, ze poczytam coś o tym na necie, ale komputery to dla mnie czarna magia. Na dodatek gdy wejdę w google i chcę coś wyszukać, to po wyszukiwaniu naciśnięty link przekierowuje mnie do strony abnow.com... czy jakoś tak. W tym momencie skanuje komputer jakimś Dr.Web Skaner - podobnie jak NOD wyszukuje mi 1 zainfekowany plik i "podobno" go niszczy, ale po restarcie komputera dalej to samo. Przeczytałem tutaj, że są wam potrzebne jakieś logi czy coś, ale nie mam pojęcie co to, gdzie to, po co to i dlaczego.
    Nie odsyłajcie mnie do jakichś innych linków bo tak jak wspominałem nic z tego nie rozumie o czym tam jest mowa. Macie może pomysł jak usunąć tego wirusa z komputera, wykluczając opcję formatowania?
    Pozdrawiam
  • Poziom 28  
    Musisz sciągnąć program zwany OTL. Aktualna wersja to 3.2.38.0
    Masz tu link jakbyś nie mógł wejść na strone z google: http://www.dobreprogramy.pl/OTL,Program,Windows,19450.html

    Uruchom go. Zaznacz (postaw ptaszka) u góry "wszyscy użytkownicy", po prawo "infekcje lop" oraz "infekcje purity" oraz zaznacz jeszcze w tabelce "rejestr - skan dodatkowy" "użyj filtrowania". Teraz naciskasz skanuj i czekasz. Po przeskanowaniu pojawią Ci się dwa logi: OTL.txt oraz Extras.txt Oba zapisz sobie i wrzuć je tu na forum w załączniku(!).

    Skanowałeś Dr.Web CureIT? Napisz co on (oraz NOD32) znaleźli (scieżka + nazwa pliku + nazwa infekcji).

    Możesz jeszcze przeskanować komputer programem Malwarebytes Anti-Malware (tzw. MBAM). Link: http://www.malwarebytes.org/mbam-download.php
    Pamiętaj o aktualizacji bazy danych w tym programie.
  • Spec od komputerów
    Daj log z combofix, uruchom go w trybie awaryjnym. Nastepnie logi z OTL. Do tego skan przy pomocy mbam oraz cureit.
  • Poziom 8  
    ComboFix dalej nic - tylko się rozpakowuje i w dysku "C" wyskakuje mi takie coś (to u góry na liście)
    Wirus abnow.com jak go pokonać?
    a po kliknięciu przerzuca mnie do Mojego Komputera
    Wirus abnow.com jak go pokonać?
  • Spec od komputerów
    Uruchomiles go w trybie awaryjnym tak jak pisalem?
  • Poziom 8  
    A mógłbyś powiedzieć jak to zrobić, bo na prawdę nie mam pojęcia.
  • Spec od komputerów
    Nacisnij F8 przy starcie systemu i wybierz tryb awaryjny.
  • Poziom 8  
    Uruchomiłem go w tym trybie awaryjnym (bez internetu) i mi wyskoczyło, że program nie może tam czegoś pobrać, aby usunąć wirusy czy jakoś tak. Ale potem wszystko się ładnie skanowało i oto log.


    EDIT:

    Ooooo i internet już normalnie działa. Google już nie przekierowuje na tą stronke abnow.com...
  • Spec od komputerów
    Zrob tez skan przy pomocy mbam oraz cureit. Daj nowe logi z OTL, TDSS Killer oraz combofix.
  • Poziom 8  
    Skąd wziąźć logi z Kaspersky TDSSKiller ? Gdzie one się znajdują?
  • Spec od komputerów
    Na C:\ powinien byc log.
  • Pomocny post
    Spec od komputerów
    Usun to co wykryl mbam o ile jeszcze tego nie zrobiles.



    Wykonaj skrypt w OTL:

    :OTL
    DRV - File not found [Kernel | On_Demand | Unknown] -- -- (aq30i8n2)
    IE - HKU\S-1-5-21-1123561945-2049760794-1801674531-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = 127.0.0.1:9421
    O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Documents and Settings\All Users\Dane aplikacji\Gadu-Gadu 10\_userdata\ggbho.2.dll File not found
    O4 - Startup: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Adobe Acrobat Speed Launcher.lnk = C:\WINDOWS\Installer\{AC76BA86-1033-C740-7760-100000000002}\SC_Acrobat.exe ()
    [2012-03-18 21:59:33 | 000,000,000 | -HSD | C] -- C:\Documents and Settings\dawid_k\Ustawienia lokalne\Dane aplikacji\5d609763


    Po wykonaniu wybierz Sprzatanie w OTL, uzyj tez OTC.exe do usuniecia pozostalosci po combofix.
  • Poziom 8  
    To mam usunąć w MBAM ?


    wykrytych folderów: 5
    C:\Documents and Settings\dawid_k\Dane aplikacji\mIRC (Backdoor.IRCBot) -> Nie wykonano akcji.
    C:\Documents and Settings\dawid_k\Dane aplikacji\mIRC\channels (Backdoor.IRCBot) -> Nie wykonano akcji.
    C:\Documents and Settings\dawid_k\Dane aplikacji\mIRC\downloads (Backdoor.IRCBot) -> Nie wykonano akcji.
    C:\Documents and Settings\dawid_k\Dane aplikacji\mIRC\logs (Backdoor.IRCBot) -> Nie wykonano akcji.
    C:\Documents and Settings\dawid_k\Dane aplikacji\mIRC\sounds (Backdoor.IRCBot) -> Nie wykonano akcji.

    Wykrytych plików: 9
    C:\Documents and Settings\dawid_k\Dane aplikacji\mIRC\RegKeys.bat (Backdoor.IRCBot) -> Nie wykonano akcji.
    C:\Documents and Settings\dawid_k\Dane aplikacji\mIRC\mirc.exe (Backdoor.IRCBot) -> Nie wykonano akcji.
    C:\Documents and Settings\dawid_k\Dane aplikacji\mIRC\mirc.ini (Backdoor.IRCBot) -> Nie wykonano akcji.
    C:\Documents and Settings\dawid_k\Dane aplikacji\mIRC\old.txt (Backdoor.IRCBot) -> Nie wykonano akcji.
    C:\Documents and Settings\dawid_k\Dane aplikacji\mIRC\rdate (Backdoor.IRCBot) -> Nie wykonano akcji.
    C:\Documents and Settings\dawid_k\Dane aplikacji\mIRC\run.exe (Backdoor.IRCBot) -> Nie wykonano akcji.
    C:\Documents and Settings\dawid_k\Dane aplikacji\mIRC\servers.ini (Backdoor.IRCBot) -> Nie wykonano akcji.
    C:\Documents and Settings\dawid_k\Dane aplikacji\mIRC\system2.bat (Backdoor.IRCBot) -> Nie wykonano akcji.
    C:\Documents and Settings\LocalService\Ustawienia lokalne\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb (Rootkit.Zeroaccess) -> Nie wykonano akcji.
  • Pomocny post
    Spec od komputerów
    Tak.
  • Pomocny post
    Spec od komputerów
    Na google!

    Mozesz.
  • Poziom 8  
    Dzięki za pomoc. Już jest chyba wszystko w porządku. Potrzeba coś jeszcze?
  • Pomocny post
    Spec od komputerów
    Nie, to wszystko.
  • Poziom 8  
    Na internecie coś przeczytałem, że warto zmienić hasła. Prawda to?
  • Spec od komputerów
    Ten rootkit chyba nie kradnie hasel.
  • Poziom 8  
    A wiesz może co to jest
    Wirus abnow.com jak go pokonać?
    bo pojawiło mi się to po tych wszystkich "opercjach" i nie da rady tego wyłączyć.

    I jeszcze gdy włączam komputer, to na samym początku wyskakuje mi jakiś czarny ekran z różnymi napisami na ok. 2 sek. Między innymi pisze tam coś takiego jak cyba "konfiguracja... F8". Wcześniej tego nie miałem.


    Da radę jakoś pozbyć się tych dwóch rzeczy?
  • Spec od komputerów
    Combofix dodal konsole do boot.ini dlatego wyswietla sie czarny ekran z opcjami do wyboru.

    Co do ikony to czy da sie na nia kliknac?
  • Poziom 8  
    Nie da się kliknąć. I przy wyłączaniu systemu wyskakuje takie coś
    Wirus abnow.com jak go pokonać?
  • Spec od komputerów
    Aktualizacje sie instaluja i nadal sie wyswietla za kazdym razem podczas zamykania?
  • Poziom 8  
    Tak, nadal jest to samo.
  • Spec od komputerów
    Uruchom eventvwr.msc i zobacz czy sa tam jakies komunikaty dotyczace bledow.

    Wejdz tez na windowsupdate i pobierz aktualizacje.