Wklej logi z OTL, GMER i System Repair Engineer
Logi wklej na wklej.to a tutaj tylko link do wklejki.
Udało się ogarnąć komputer, teraz mam problem z innym.
Niestety nie mogę uruchomić HijackThis, ani innych programów skanujących. Od czego mam zacząć. Komputer pracuje na Vista.
Ściągnij OTL od nowa, ale od razu przy ściąganiu zapisz go pod inną nazwą (. np “Adax.com”) - ważne jest, by zamiast .exe było .com (czyli przy zapisywaniu trzeba, w okienku “Zapisz jako typ”, zmienić na “Wszystkie pliki”).
Tak samo z innymi narzędziami.
jessi
No to wiele wyjaśnia - Rootkit BAGLE!
Użyj > FindyKill.
Jeśli w logu pojawi się takie coś: "Found ! ", to możesz użyć go potem jeszcze raz, ale tym razem, zgodnie z opisem, "wpisz “2” i wciśnij “ENTER”.
Dasz oba logi: ten przed usuwaniem, i ten z usuwania.
Odinstaluj FindyKill - znowu uruchom FindyKill, ale tym razem (zamiast “1” lub “2”) wpisz “3” i wciśnij “ENTER”
Dasz także logi, z wszystkiego, co się tylko da, bo to poważny Rootkit.
Oczywiście w dalszym ciągu wszystkie narzędzia, jakie ściągasz, zapisuj pod innymi nazwami.
jessi
Miały być także inne logi, chodziło mi zwłaszcza o log z ComboFix
Jak go ściągniesz (zapisz pod inną nazwą!), to :
Wklej do Notatnika :
File::
C:\Windows\system32\mdelk.exe
C:\Windows\system32\wintems.exe
C:\Users\właściciel\AppData\Roaming\m\flec006.exe
C:\Users\właściciel\AppData\Roaming\hidires\flec003.exe
C:\Users\właściciel\AppData\Roaming\drivers\winupgro.exe
Folder::
C:\Users\właściciel\AppData\Roaming\m
C:\Users\właściciel\AppData\Roaming\hidires
C:\Users\właściciel\AppData\Roaming\drivers\downld
C:\Users\właściciel\AppData\Roaming\drivers
>>Plik>>Zapisz jako… >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
-------->
Ma się rozpocząć usuwanie. (i powstanie log).
Daj ten log, który powstanie w trakcie usuwania.
jessi
Widzę, że samodzielnie też potrafisz działać! I bardzo dobrze!
W logu nie widać już niczego podejrzanego.
Usuń ręcznie folder C:** Qoobox**.
W OTL kliknij na przycisk “CleanUp” - to go usunie.
Usuń kopie szkodników z folderu “System Volume Information” poprzez chwilowe wyłączenie “Przywracania Systemu”:
Zastanawiam się, czy tu nie powinna być inna wartość “dword”, ale zostawiam to w spokoju.
jessi
Ogromnie dziękuje za pomoc.
Pozdrawiam