Adware/wupd i Windows security alert


(Majkarp) #1

Witam

Od dwóch dni pojawia się na pasku narzędzi "Windows security alert". AVG nic nie znajduje, po przeskanowaniu Pandą on-line:

Adware:adware/wupd Nie wyleczalny Windows Registry

Adware:adware/yoursearchengine Nie wyleczalny C:\Windows\winlogon.exe

Winlogon.exe po usunięciu ręcznie po jakimś czasie wraca.

Proszę o poradę, jak się tego pozbyć... Z góry dziękuję.


(Lost World) #2

Na początek :

Użyj Fixwareuot

Po jego użyciu może zajść potrzeba ustawiania od nowa DNS Twojego dostawcy internetowego.

Po tym

Te pliki kasujesz w HJT.Syfu trochę masz na komputerze.

Pobierz : SmitFraudFix

Tryb numer 2 i wklejasz raport.

Daj log z Combofix

Opis użycia ComboFix jest na tej stronie z linku.

Log może być długi, więc zapisz go sobie gdzieś, a potem wklej na http://wklej.org/, a tu daj tylko link.


(Majkarp) #3

Po użyciu Fixwareout w HJT nie było już tych plików O17...

Próbowałam użyć SmitFraudFix, ale nie udaje mi się włączyć trybu awaryjnego (po wciśnięciu F8 wybieram tryb awaryjny, komputer mieli przez chwilę, wraca i każe wybrać uruchamianie w trybie normalnym).

Mimo to użyłam Combofix, log jest tutaj:

http://www.wklej.org/id/5984243bae


(jessica) #4

ComboFix tak bardzo dużo usuwał, że jego log się nie zmieścił.

Podziel go w takim razie na kilka części.

Masz Rootkita "Bagle-hidires", ComboFix powinien go samoczynnie usunąć, ale ponieważ log się nie zmieścił, to nie mamy potwierdzenia.

Ten Rootkit uszkadza Tryb Awaryjny oraz Antivirusa.

Jeśli ComboFix usunął tego Rootkita, to zajmij się też:

Czekamy na pozostałą część logu z ComboFixa.

jessi


(Majkarp) #5

Upss... nie zauważyłam

pozostałe części loga:

http://www.wklej.org/id/8a0eb4cbe5

http://www.wklej.org/id/63287e8f64


(jessica) #6

Nie widzę, by ComboFix usuwał tego Rootkita, choć nie widzę też w jego logu pliku tego Rootkita "hldrrr.exe", za to została usunięta jego szkodliwa usługa "m_hook".

Wklej do Notatnika :

File::

C:\WINDOWS\system32\AClient.dll

C:\WINDOWS\system32\titos.dll

C:\WINDOWS\system32\ps1.dat

C:\WINDOWS\system32\cookie1.dat

C:\microsofts.vbs

C:\sysowlq.exe


Registry::

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{7B01902F-169F-44ee-BFCB-E17935E13839}]

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{98B822AD-6BE7-49BC-B773-97240B774080}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"C:\DOCUME~1\M&B\USTAWI~1\Temp\update.exe"=-

>>Plik>>Zapisz jako... >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

(czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku --> Klik

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: **** Qoobox.

I daj nowe logi z Hijacka i ComboFixa.

Napisz też, jak poszło z naprawą Trybu Awaryjnego.

Potem przeinstaluj też Antivirusa.

jessi