Witam

Proszę o pomoc w tej oto sprawie. Co jakieś 10-15 min pojawia mi się taki oto komunikat:

5cd31d2156228aaa.jpg683×512

Szukałem pliku wml.exe jednak takowego nie odnalazłem. Przeskanowałem kompa Ad-awarem 2007, Odkurzaczem, SDFix-em i Avastem. Poniżej log Hijack This:

http://wklej.org/id/1ace501a8a

wywal avasta,zainstaluj np Avire.

sfixuj:

O4 - HKLM…\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

53. O4 - HKLM…\Run: [apctovkj] regsvr32 /u “C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\apctovkj.dll”

54. O4 - HKLM…\Run: [chifcjmr] regsvr32 /u “C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\chifcjmr.dll”

zrób scana tym:

http://dobreprogramy.pl/index.php?dz=2& … +2.1.1.314

wrzuć loga z combofixa

Ponizsze wpisy zafixuj w HijackThis , czyli zaznacz ptaszkiem wpisy i kliknij na Fix Checked …

Pobierz comboFix’a http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Wklej do Notatnika:

>>Plik>>Zapisz jako… >>> CFScript.txt

Przeciagnij i upusc plik CFScript.txt na plik ComboFix.exe (czyli ikonke CFScript.txt na ikonke ComboFix.exe)

Nastapi usuwanie , po tym ComboFix wygeneruje log który wklej na wklej.org a w poscie podaj tylko link .

Pozdrawiam

Daj loga jeszcze z SmitFraudFix …

Użyj SmitFraudFix http://siri.urz.free.fr/Fix/SmitfraudFix.zip wybierz opcji nr 2, oczywiście w trybie awaryjnym i po tym daj wygenerowany log .

Oto log z ComboFix-a:

http://wklej.org/id/1cb6d6fa13

a to z SmitfraudFix:

http://wklej.org/id/8bd020dd23

dorzucam jeszcze HiJack Thisa:

http://wklej.org/id/1029579358

Sciagnij -->Avenger. http://swandog46.geekstogo.com/avenger2/avenger.exe

Wklej do niego to:

Klikasz w Execute i zatwierdzasz reset kompa.

Potem pokaz Log z Avengera znajduje sie w C:\avenger.txt. .

Log z Avengera:

http://wklej.org/id/0499a53af8

Daj jeszcze raz log z ComboFixa, bo chyba Avenger nie wszystko usunął.

Chodzi tu zwłaszcza o zainfekowane klucze pendrive - Avenger usuwa tylko klucze z gałęzi “HKEY_LOCAL_MACHINE” - inych gałęzi nie potrafi.

Dlatego kluczy z gałęzi " HKEY_CURRENT_USER" nie usuwa.

jessi

Log z ComboFix-a

http://wklej.org/id/2cd9e38e4c

Wklej do Notatnika:

Driver::

jnv4_mib


Registry::

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"IBP"=-

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku –>

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: ** Qoobox**.

Po tym nowy log z Combo

Oto nowy log:

http://wklej.org/id/28bfaf29dd

Start>>> uRUCHOM>>> CMD

SC STOP jnv4_mib

SC DELETE jnv4_mib

Dziękuję za pomoc

otwórz notatnik i wklej

zapisz jako plik.reg >> wszystkie pliki >> scal z rejestrem >> restart

powstanie plik o takiej ikonie

w który dwa razy klikniesz potwierdzisz chęć dodania do rejestru potem restart

Po restarcie jeśli wszystko będzie OK usuń ręcznie folder C: \Qoobox

usuń instalkę Combofix z dysku.

Wyłącz i włącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

Daj kontrolnie jeszcze log z Combo, zobaczymy czy na pewno usunięto wskazane klucze i jnv4_mib