Dziwne wpisy w rejestrze systemowym


(Michał82) #1

Witajcie!!

Przeskanowałem komputer programe SpyBot Search&Destroy i znalazł mi parę podejrzanych wpisów w rejestrze. Wydawało się , że usunął je doszczętnie, jednak 2 z nich ciągle wracają po uruchomieniu kompa ponownie. Próbowałem już wszystkich rzeczy, usuwałęm ręcznie z rejestru także w trybie awatyjnym, jednak one powracają niczym bumerang. Uzyłem programy do usuwania rootkitów, robłem wszystko co wcześniej pomagało w podobnych przypadkach, ale niestety ni pomoga to Proszę o pomoc. Niżej zamieszczam kawałek loga ze Spybota (pogrubiona czcionka, to nieusuwalne śmieci ....):

--- Search result list ---

Win32.Agent.bgy: [sBI $3FF5579E] Ustawienia (Klucz rejestru, nothing done)

HKEY_USERS\S-1-5-21-823518204-884357618-725345543-1003\Software\FirstRRRun

Win32.Bagle.hi: [sBI $37536BC2] Folder programu (Folder, nothing done)

*C:\WINDOWS\system32\drivers\down*

Smitfraud-C.MSVPS: [sBI $2474619E] Biblioteka (Plik, nothing done)

C:\WINDOWS\dmdvpnqfv.dll

HitsLink: [sBI $4CDCC3D5] Cookie wyszukujące (Opera 7+: Uzytkownik) (Cookie, nothing done)

--- Spybot - Search & Destroy version: 1.5.2 (build: 20080128) ---

oraz log z HijackThis: http://wklej.org/id/20c6547e42

a także ze SpyBot Search&Destroy: http://wklej.org/id/68e0872f4f

Błagam o pomoc! !!


(jessica) #2

Rootkit BAGLE uszkadza Tryb Awaryjny i Antivirusa, blokuje użycie programów ochronnych, a ostatnia wersja także zaraża programy Użytkownika.

Na początek, żeby rozeznać soę w sytuacji, użyj Kaspersky Virus Removal Tool >> http://www.searchengines.pl/index.php?showtopic=18695&pid=457742

Daj z niego raport (na wklej.org)

jessi


(Michał82) #3

Wrzucam raport z Kaspersky Virus Removal Tool :

http://wklej.org/id/894ef25f4e

Dzięk za pomoc!!


(jessica) #4

No tak, program "Google" został zainfekowany.

Ale nie wiem, czy Kaspersky usunął go juz, czy nie, bo w raporcie tego nie widać.

Nie wykryty został sam "BAGLE" .

Sama nie wiem, co w tej sytuacji robić.

Chyba najlepiej będzie dokładnie sprawdzić.

Daj oba logi z -->GMER. (niżej na stronie linku).

Daj też log z -->ComboFix.

Logi wklej na http://wklej.org/, a w poście daj tylko link.

Jeśli przy którymś narzędziu wyskoczy błąd, że to nie jest prawidłowa aplikacja itd, to zmień nazwę tego narzędzia na jakąś dowolną.

Zobacz też, czy jest ten plik C:\program files\google\googletoolbarnotifier\ googletoolbarnotifier.exe , czy może Kaspersky go już usunął.?

jessi


(Michał82) #5

Oto logi:

GMER - 1 log: http://wklej.org/id/dda89127dd

GMER - 2 log: http://wklej.org/id/a28efd205b

COMBOFIX - log: http://wklej.org/id/a48e80c3e4

SafeBootKeyRepair -log: http://wklej.org/id/d4fa5d0cf0

Dziękuję za pomoc!!


(jessica) #6

Rootkita ani śladu.

Wklej do Notatnika :

File::

C:\WINDOWS\admgcx.dll

C:\WINDOWS\SC666EA41.tmp

>>Plik>>Zapisz jako... >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

– podobnie jak na tym obrazku -->88953CFScript-createdbyMiekiemoes.gif

Ma się rozpocząć usuwanie. (i powstanie log). Daj ten log, który powstanie w trakcie usuwania.

Jeśli pójdzie dobrze, to: Po restarcie usuń ręcznie folder C: **** Qoobox.

I napisz, jak przedstawia się teraz sytuacja?

jessi


(Michał82) #7

Wklejam z CombofIx po operacji: http://wklej.org/id/56dd2034c2

Wydaje się, że wszystko jest już ok. Zaraz przeskanuję jescze Spybotem Search&destroy, ale myśłę, że będzie już czysto ... Oby!!

Dzięi za pomoc. Jesteś Wielka! !!