IE v6 SP2 i nie tylko zżarty przez robactwo


(Bbax) #1

W pasku zadań cichutko w okolicy zegarka sterczy ikonka z wyskakującym info o zainfekowanym systemie, o wyjściu w świat mowy niema, niestety nie zadbałem o alternatywną przeglądarę. Próbowałem sam pousuwać dziadostwo, ale niestety okazuje się, że moje doświadczenie w tym temacie nie jest wystarczające więc, żeby dalej nie błądzić proszę o pomoc. Przesyłam log z HiJacka w wersji pierwotnej (sprzed moich prób):


(Gblade) #2

Kasujesz wpisy w hijackthis i pogrubione pliki/foldery w trybie awaryjnym z wyłączonym przywracaniem systemu.

Dajesz log z Silent Runners


(Bbieniol) #3

Wyczyść TEMP i Temporary Internet Files :slight_smile:

Jeżeli masz problem z tapetą to zastosuj: Usuwanie fałszywej Tapety SpySheriff


(Bbax) #4

Niestety we wskazanych folderach, ani poprzez wyszukiwanie systemowe (opcja-pokaż pliki ukryte ON) nie znalazłem secure32.html i pptp16.dll. We wskazanym poniżej wierszu usunąłem tylko C.tmp,

O4 - HKCU..\Run: [Key] C:\DOCUME~1\ADI\USTAWI~1\ Temp \C.tmp

Log SR


(Bbieniol) #5

Pamiętaj, że wszystko robisz w trybie awaryjnym

Opróżnij folder TEMP: start --> uruchom --> cmd

Nie wiem, czy przypadkiem nie jest to VX2, dlatego użyj narzędzia Look2Me-Destroyer, następnie wrzuć log z programu l2mfix (wybierasz opcje 1)


(Bbax) #6

O20 - Winlogon Notify: pptp16 - C:\WINDOWS\SYSTEM32\pptp16.dll

Linię powyżej usunąłem wg wskazówek w pierwszym poście

Opróżnię TEMP, chcę tylko dojść no ładu z rejestrami (chyba, że się mylę). Niestety L2M-D nie wystartował wogóle. Log przesyłam.


(system) #7

Na Twoje szczęście

to nie jest VX2 , na Twoje nieszczęście ten wpis pochodzi od rootkita z serii Haxdoor.

Pobierz haxfix.exe i zainstaluj.

Uruchom narzędzie. Pojawi się pierwsze okno proszące o wciśnięcie jakiegokolwiek klawisza by kontynuować, więc wciskasz Enter i pojawi się drugie okno proszące o wpisanie nazwy Haxdoora widocznej w identyfikatorze O20 w HijackThis, ale nazwa ma być wpisana bez numerków.

Czyli w Twoim przypadku wpisujesz pptp i wciskasz Enter.

Zostaniesz poproszony o zamknięcie wszystkich okien uruchomionych aplikacji z wyjątkiem okna aplikacji Haxfix.Po ich zamknięciu ENTER i komp się zresetuje. Po resecie zgłosi się okno narzędzia proszące o ponowne wpisanie nazwy bez numerów (tej samej co poprzednio).

Po usunięciu Haxdoora,znajdziesz loga C:\haxfix.txt,opisującego jak przebiegała procedura.

Dopiero teraz możesz usunąć pozostałe śmieci z systemu