Witam
Proszę o pomoc w tej oto sprawie. Co jakieś 10-15 min pojawia mi się taki oto komunikat:
Szukałem pliku wml.exe jednak takowego nie odnalazłem. Przeskanowałem kompa Ad-awarem 2007, Odkurzaczem, SDFix-em i Avastem. Poniżej log Hijack This:
Witam
Proszę o pomoc w tej oto sprawie. Co jakieś 10-15 min pojawia mi się taki oto komunikat:
Szukałem pliku wml.exe jednak takowego nie odnalazłem. Przeskanowałem kompa Ad-awarem 2007, Odkurzaczem, SDFix-em i Avastem. Poniżej log Hijack This:
wywal avasta,zainstaluj np Avire.
sfixuj:
O4 - HKLM…\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM…\Run: [apctovkj] regsvr32 /u “C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\apctovkj.dll”
O4 - HKLM…\Run: [chifcjmr] regsvr32 /u “C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\chifcjmr.dll”
zrób scana tym:
http://dobreprogramy.pl/index.php?dz=2& … +2.1.1.314
wrzuć loga z combofixa
Ponizsze wpisy zafixuj w HijackThis , czyli zaznacz ptaszkiem wpisy i kliknij na Fix Checked …
Pobierz comboFix’a http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Wklej do Notatnika:
>>Plik>>Zapisz jako… >>> CFScript.txt
Przeciagnij i upusc plik CFScript.txt na plik ComboFix.exe (czyli ikonke CFScript.txt na ikonke ComboFix.exe)
Nastapi usuwanie , po tym ComboFix wygeneruje log który wklej na wklej.org a w poscie podaj tylko link .
Pozdrawiam
Daj loga jeszcze z SmitFraudFix …
Użyj SmitFraudFix http://siri.urz.free.fr/Fix/SmitfraudFix.zip wybierz opcji nr 2, oczywiście w trybie awaryjnym i po tym daj wygenerowany log .
Oto log z ComboFix-a:
http://wklej.org/id/1cb6d6fa13
a to z SmitfraudFix:
http://wklej.org/id/8bd020dd23
dorzucam jeszcze HiJack Thisa:
Sciagnij -->Avenger. http://swandog46.geekstogo.com/avenger2/avenger.exe
Wklej do niego to:
Klikasz w Execute i zatwierdzasz reset kompa.
Potem pokaz Log z Avengera znajduje sie w C:\avenger.txt. .
Daj jeszcze raz log z ComboFixa, bo chyba Avenger nie wszystko usunął.
Chodzi tu zwłaszcza o zainfekowane klucze pendrive - Avenger usuwa tylko klucze z gałęzi “HKEY_LOCAL_MACHINE” - inych gałęzi nie potrafi.
Dlatego kluczy z gałęzi " HKEY_CURRENT_USER" nie usuwa.
jessi
Wklej do Notatnika:
Driver::
jnv4_mib
Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IBP"=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )
– podobnie jak na tym obrazku –>
(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)
Po restarcie usuń ręcznie folder C: ** Qoobox**.
Po tym nowy log z Combo
Start>>> uRUCHOM>>> CMD
SC STOP jnv4_mib
SC DELETE jnv4_mib
Dziękuję za pomoc
otwórz notatnik i wklej
zapisz jako plik.reg >> wszystkie pliki >> scal z rejestrem >> restart
powstanie plik o takiej ikonie
w który dwa razy klikniesz potwierdzisz chęć dodania do rejestru potem restart
Po restarcie jeśli wszystko będzie OK usuń ręcznie folder C: \Qoobox
usuń instalkę Combofix z dysku.
Wyłącz i włącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl
Daj kontrolnie jeszcze log z Combo, zobaczymy czy na pewno usunięto wskazane klucze i jnv4_mib