Przy pobraniu Multi ip changer TIBIA zainstalowałmi się właśnie ten trojan(??). Chciałabym się dowiedzieć co on powoduje. Domyślam się, że to jakiś rodzaj keyloggera, ponieważ nie dawno moje konto w Tibii zostalo zhakowane. Skanowalam dzisiaj komputer programem Doctor Spyware, który go wykrył ale nie sądze,że go usunął, ponieważ już raz usunęłam Worm.VB.AQT i dzisiaj się okazało, że nadal go mam. Czytałam o tym problemie, ale jestem laikiem w tych sprawach dlatego to co tam zobaczyłam chyba przekracza moje możliwości. Bardzo prosze o pomoc.
Pobierz Combofix http://www.searchengines.pl/index.php?s … ntry395642 przeskanuj daj log
potem
Pobierz HijackThis http://forum.dobreprogramy.pl/viewtopic.php?f=16&t=36654 przeskanuj system daj log
kolejność skanowania jak podałem
Na koniec zapodaj logi z:
Sillent Runners
Przeskanowałam komputer Combofix’em i tu jest log
http://wklej.org/id/fe1d02970c
a później HijackThis i tu jest log
http://wklej.org/id/cf25af9381
CO TERAZ?? :?
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - Startup: PowerReg SchedulerV2.exe
usuń wpsiy HJT Wklej do Notatnika:
File::
C:\Documents and Settings\Martha\Menu Start\Programy\Autostart\PowerReg SchedulerV2.exe
Folder::
C:\Program Files\WeatherCast
C:\Program Files\Save
C:\WINDOWS\TEMP
Driver::
ATE_PROCMON
Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TransparentTaskBar"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Anti Trojan Elite"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WeatherCast]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WhenUSave]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )
– podobnie jak na tym obrazku –>
(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)
Po restarcie usuń ręcznie folder C: ** Qoobox**.
Po tym nowy log z Combo oraz skan http://www.kaspersky.pl/virusscanner.html
Wybacz prosze głupie pytanie,ale co to są wpisy HJT??
Czy te wpisy mam zaznaczyć i usunąć Fix checked??
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - Startup: PowerReg SchedulerV2.exe
włącz HijackThis >> Do a system scan only >> w oknie programu pokaże się log >> zaznacz kratki przy podanych wpisach >> klikasz Fix checked
tak masz zrobić
Po tym daj powstały log z combofix
Tu jest log z ComboFixa po usunięciu wpisów z HJ
http://wklej.org/id/659d457637
Czy już po wszystkim?? :?
Otwórz notatnik i wklej
zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe
http://img.wklej.org/images/88953CFScri … iemoes.gif
Powinno rozpocząć się usuwanie
Potem log z usuwania Combofix
Więc tak…na tej stronce z której pobierałam Combofixa jest napisane, że trzeba go zapisać jako Combo-Fix.exe (czyli z tą kreską) czy to jest konieczne?? I druga sprawa jak nakładam ten plik CFScript.txt to ikonka Combofixa “ucieka” i nic się nie dzieje. Co mam w tym wypadku zrobić?? #-o
skoro tak pisze to zrób masz problem żeby wpisać kreseczkę?
Chodzi o to,że ją zrobiłam i dalej nic :evil:
Otwórz notatnik i wklej
zapisz jako plik.reg >> wszystkie pliki >> scal z rejestrem >> restart
powstanie plik o takiej ikonie
w który dwa razy klikniesz potwierdzisz chęć dodania do rejestru potem restart
Pobierz i uruchom narzędzie The Avenger Zaznaczasz tekst podany do usunięcia na forum
kopiuj klikasz na Paste Script from Clipboard Execute Potwierdzasz i zgadzasz się na restart klikając OK.
Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt
zrób optymalizacje uruchamiania http://cybertrash.netarteria.pl/cyber/index.php/topic,378.0.html
usuń ręcznie folder C: \Qoobox usuń instalkę Combofix z dysku.
Wyłącz I włącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl
przeskanuj obszar Mój komputer http://www.kaspersky.pl/virusscanner.html pokaż raport stronę uruchomić przez IE
Mógłbyś dokładniej wyjaśnić co mam rozumieć przez optymalizację uruchamiania i co dokładnie mam zrobić?? Rozumiem, że kolejność wykonywania czyności ma być taka jak podałeś…z trzema pozostałymi raczej problemu nie będzie.
polega to na ty żeby wyłączyć wszystko co nie jest potrzebne systemowi ani tobie z uruchamiania
w logu HijackThis masz takie pozycje chyba że coś zostało już wyłączone
z tego możesz wyłączyć moja propozycja wybór należy do ciebie
usunięcie wpisu nie powoduje usunięcia pliku (dotyczy wpisów 04) w razie pomyłki można przywrócić w HijackThisie
włącz HijackThis >> Do a system scan only >> w oknie programu pokaże się log >> zaznacz kratki przy podanych wpisach >> klikasz Fix checked
możesz to robić po kolei i sprawdzać czy wszystko gra
wyłączone aplikacje zawsze możesz włączyć kiedy będziesz chciał
Start >> Wszystkie programy >> autostart >> z tamtąd również możesz usunąć skróty które są niepotrzebne
na tym polega optymalizacja uruchamiania
Mam pytanie o przywracanie systemu. We właściwościach jest napisane, że przywracanie systemu może śledzić i odwracać szkodliwe dla komputera zmiany to po co mam to wyłączyć ,a następnie włączyć?? :?:
Tak musisz wyłączyć a nastepnie właczyć