Witam,
Znany problem, prosze o pomoc.
sfixuj:
C:\WINNT\shell.exe
F2 - REG:system.ini: Shell=Explorer.exe C:\WINNT\shell.exe
O2 - BHO: C:\WINNT\system32\H4dj24g.dll - {B5AC49A2-94F2-42BD-F434-2604812C897D} - C:\WINNT\system32\H4dj24g.dll
O2 - BHO: C:\WINNT\system32\Kf9467g.dll - {B5AF0562-94F3-42BD-F434-2604812C797D} - C:\WINNT\system32\Kf9467g.dll
O2 - BHO: Gamburg provider - {FFFFFFFF-8F0D-4322-B01F-B42439E0B71C} - hkcom32.dll (file missing)
O4 - HKLM…\Run: [windll] windll.exe
O4 - HKCU…\Run: [Hhjg5jfd93dftdf] C:\WINNT\TEMP\winlogan.exe
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O20 - Winlogon Notify: partnershipreg - C:\Documents and Settings\All Users\Dokumenty\Settings\partnership.dll
O20 - Winlogon Notify: WLCtrl32 - C:\WINNT\SYSTEM32\WLCtrl32.dll
zrób scana tym:
Log po Fixie i po scanie z usuwaniem wszstkiego co wykryl ten program z linku. Kom juz sie nie restartuje ale caly czas jest okienko “Windows has detected spyware infection”.
sfixuj:
F2 - REG:system.ini: Shell=Explorer.exe C:\WINNT\shell.exe
O2 - BHO: Gamburg provider - {FFFFFFFF-8F0D-4322-B01F-B42439E0B71C} - hkcom32.dll (file missing)
O4 - HKLM…\Run: [windll] windll.exe
O4 - HKLM…\Run: [Printer] C:\WINNT\system32\printer.exe
O4 - HKCU…\Run: [spoolsv] C:\WINNT\system32\spoolvs.exe
O4 - HKCU…\Run: [Hhjg5jfd93dftdf] C:\WINNT\TEMP\winlogan.exe
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O20 - Winlogon Notify: WLCtrl32 - C:\WINNT\SYSTEM32\WLCtrl32.dll
zrób scana tym:
Log Hj
http://www.wklej.org/id/946d78a548
Log TR
http://www.wklej.org/id/bec6b2e0ac
Delj bez zmian, okienko spyware infrction.
// Połączono posty.
Ok przeskanowalem jeszcze kilak razy TR i juz nie pokauje smieci. Chyba na razie jest ok, dzieki za pomoc jak bedzie sie cos dzialo to jeszcze napisze.
Te wpisy zafixuj w HijackThis czyli zaznacz je ptaszkiem i kliknij Fix Checked
Ściągnij LSP-Fix http://www.cexx.org/lspfix.zip >>>uruchom>>>zaznacz “I know what im doing”, przenieś webhdll.dll do okienka “REMOVE” i kliknij Finish.
Potem Od instaluj webHancer w dodaj lub usun programy , potem jeśli folder webHancer bedzie jeszcze w program files to go skasuj ręcznie .
Potem Sciągnij --> ComboFix http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Wklej do Notatnika:
>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe)
Po tym podaj log z combofix’a który będzie się znajdował na dysku C .
Proszę zmienić temat postu na konkretny, opcja edytuj i popraw.JNJN
Jak byś zauważył ty napisałęś tylko kilka wpisów a ja wszystkie … #-o
Wklej do Notatnika:
>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe)
Tym razem zrób to co napisałem ,
Zamkij “robaczywe porty” WWDC-Windows Worm Door Cleaner
http://www.firewallleaktester.com/tools/wwdc.exe
wszystkie znaczki w tym programie po poprawnej konfiguracji powinny być zielone.
Po tym pobierz SDFix
Pobierz program SDFix http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Instrukcja obsługi…
Po wszystkim podaj logi z ComboFix’a i SDFix’a .
Log z SDFix jest nie pełny , widzę że infekcja się rozprzestrzenia . Pozamykałeś porty w programie WWDC ?
// Połączono posty.
Wklej do Notatnika :
>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe)
[attachment=0]CFScript3.gif[/attachment]
Po tym podaj wygenerowany log z ComboFix’a , (myślę że trzeba będzie usuwać Avenger’em ale to sie dowiem po nowym logu z ComboFix’a).
C_S_O
Użyj jeszcze SmitFraudFix z opcji 2, w trybie awaryjnym. Pokaż z niego raport
baldys16
Za dużo sobie pozwalasz :evil: To, że nie potrafisz usunąć infekcji do końca, nie jest powodem do obrażania dawidek11 , który się tego podjął
OTy > kosz.
baldys16 , radzę panować nad tym co się wypisuje…