Jak się pozbyć Rootkit.Win32.Agent.ikz


(Kaixia) #1

Witam, mam gorącą prośbę o pomoc w pozbyciu się Rootkit.Win32.Agent.ikz.

Usadowiło mi się toto w: c:\windows\system32\drivers\securentm.sys i po około 10 minutach pracy komputera robi "blue screen" , rozpoczyna zrzut pamięci i odpala system od nowa.

Teraz pracuję w trybie awaryjnym z obsługą sieci i tym jedynym sposobem mogę skorzystać z Waszej pomocy.

Bardzo proszę o pomoc w pozbyciu się tego paskudztwa, bo nie mogę sobie pozwolić na format :frowning:


(deFco247) #2

Ściągnij Combofix, ale nie uruchamiaj.

Podczas pobierania i skanowania Combofixem należy wyłączyć wszelkie antywirusy i firewalle.

Wklej do notatnika:

File::

c:\windows\system32\drivers\securentm.sys

Plik zapisz jako CFScript.txt , najlepiej w tym samym folderze co Combofix.exe

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę Combofix.exe

Powinno się rozpocząć usuwanie.

Potem dajesz log z usuwania Combofix.


(Kaixia) #3

zrobiłam jak pisałeś, a tu jest log:

http://www.wklej.org/id/90337/


(96jasio96) #4

:arrow: Wykonaj pełne skanowanie Dr.Web CureIt!

i daj log na forum


(system) #5

Jeżeli, już to:

wtedy skasujemy usługę i jej plik.

Chyba jednak lepiej poczekać na log z ComboFix.


(deFco247) #6

Błąd jasio96! :no:

Barnaba , log z Combofixa już mamy!

Combofix już sam wywalił tę usługę. :wink:

vivieen ,

Wklej do notatnika:

File::

c:\documents and settings\Domowy\Domowy.exe

Plik zapisz jako CFScript.txt , najlepiej w tym samym folderze co Combofix.exe

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę Combofix.exe

Powinno się rozpocząć usuwanie.

Po restarcie i zakończeniu działania Combofix:

Menu Start -> Uruchom... -> wpisz Combofix.exe /u

Posprzątaj komputer CCleanerem.

Zoptymalizuj startowanie komputera.

Wykonaj pełny skan Dr Web CureIt!.

Jeśli będą wirusy, to usuń je.


(Kaixia) #7

Zrobiłam częściowo, bo niestety nie mogę wykonać tego:

"Po restarcie i zakończeniu działania Combofix:

Menu Start -> Uruchom... -> wpisz Combofix.exe /u"

wyskakuje komenda, że system nie może odnaleźć... i nie wiem o co chodzi :frowning:


(deFco247) #8

W takim razie:

Usuń folder C:\Qoobox oraz instalkę Combofix z dysku.

Posprzątaj komputer CCleanerem.

Zoptymalizuj startowanie komputera.

Wyłącz i włącz Przywracanie systemu na wszystkich dyskach. Instrukcja

Wykonaj pełny skan Dr Web CureIt!.

Jeśli będą wirusy, to usuń je.

Jeśli któreś z czynności już wykonałaś, to nie musisz jej powtarzać. :slight_smile:


(system) #9

Start >>> Uruchom >>> wpisz "ścieżka dostępu\ComboFix.exe" /u

Wklej do notatnika:

Windows Registry Editor Version 5.00


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Domowy"=-

Zapisz jako >>> Wszystkie pliki -> Fix.reg, a następnie kliknij dwukrotnie na plik i zaakceptuj dodanie do rejestru.


(Kaixia) #10

OK, przeskanowałam kompa Dr Web CureIt - wyskoczyło mi kilka chyba wirusów - nie wiem co mam z nimi zrobić

Wyniki scanu tutaj: http://www.wklej.org/id/90383/

Combofixa wywaliłam ręcznie, to moze już nie będę robić tego:

??? czy zrobić, bo już zgłupiałam... :expressionless:

i czy mam zrobić jeszcze to:

kurcze, nie wiem... już się pogubiłam całkiem...


(deFco247) #11

Wyłącz i włącz Przywracanie systemu na wszystkich dyskach. Instrukcja

Potem robisz to:

To już powinno być wszystko. :slight_smile:


(Kaixia) #12

a co z tymi znalezionymi plikami przez Dr Web CureIt? Wywalić??

przepraszam za takie pytania, ale jestem totalnie zielona jeśli chodzi o takie sprawy...


(deFco247) #13

Te wszystkie pliki znalezione przez DR Web'a znajdują się w folderach Przywracania Systemu ( System Volume Information ).

Wyłączenie i włączenie Przywracania spowoduje opróżnienie tych folderów, a więc również usunięcie wirusów.


(Kaixia) #14

Aaaa.... :slight_smile: Dzięki serdeczne za wyjaśnienie i przedewszystkim za pomoc :slight_smile:

Gdyby nie Wy to chyba bym się zapłakała... Ale mam nauczkę, że w końcu muszę kupić dysk zewn. i sukcesywnie zgrywać swoje pliki.

Jeszcze raz WIEEELKIE DZIĘKI ! Pozdrawiam serdecznie i miłego wieczoru życzę ! :slight_smile: