Pojawił się Win.32.Agent.pz i pojawił się problem


(M J W) #1

Chciałbym przez wklej.org wkleić loga z HijackThis, ale nie chce mi się otworzyć ta strona. Czy są inne możliwości wklejenia loga?

Problem polega na tym, że Spybot wykrył wspomniany Win.32.Agent.pz i nie może go usunąć, a przynajmniej nie wszystko (folder jest nie do ruszenia). Skąd się wziął? Od wczoraj korzystam z laptopa nie tylko w pracy, ale też na stancji, gdzie jest neostrada. Zanim zdołałem uruchomić ścianę ogniową, pojawił się ów "agent".


(Gutek) #2

Spróbuj teraz, ale lepiej - Daj log z ComboFix


(M J W) #3

Log z HijackThis

http://wklej.org/id/b87d816fc2

Log z ComboFix

http://wklej.org/id/323de2a3b8

Z góry dziękuję.


(Leon$) #4

wpisy

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\System32\ntos.exe,

O4 - HKLM\..\Run: [V0420Mon.exe] C:\WINDOWS\V0420Mon.exe

O4 - Global Startup: Date Manager.lnk = C:\Program Files\Date Manager\DateManager.exe

O20 - Winlogon Notify: wineby32 - C:\WINDOWS\SYSTEM32\wineby32.dll

usuń HijackThisem >> Fix checked otwórz notatnik i wklej

File::

C:\WINDOWS\System32\ntos.exe

C:\winirii.exe

C:\msntliwf.exe


Registry:: 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Userinit"=-

"Userinit"="C:\WINDOWS\system32\userinit.exe,"

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri ... iemoes.gif

Powinno rozpocząć się usuwanie

Potem log z usuwania

Po restarcie usuń ręcznie folder C: \Qoobox

:slight_smile:


(M J W) #5

Po zrobieniu wszystkiego, co napisałeś, pozostało tak:

Log z HijackThis

http://wklej.org/id/698a58ddb5

Log z ComboFix

http://wklej.org/id/3503cab06f

Czy to już wszystko? Jeśli tak, szczerze dziękuję, jeśli nie - też szczerze dziękuję.

Michał


(Leon$) #6

wpis

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,

usuń HijackThisem >> Fix checked

wejdź do rejestru

Start >> uruchom >> regedit

przejdź do klucza

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ Winlogon

sprawdź czy w oknie po prawej wartość

" Userinit"="C:\WINDOWS\system32\userinit.exe,"

jest taka jak napisałem

:slight_smile:


(Gutek) #7

Pobierz program SDFix

-


(M J W) #8

Hijack - zrobione

klucz - dokładnie tak, jak napisałeś.

PS. po poprzednich operacjach uruchomiłem znów Spybota - znów okazał Win32.Agent.pz


(Gutek) #9

Gdzie log z SDFix?


(M J W) #10

odpisywałem leonowi. wybacz Gutek2222. Zaraz podążę, za Twoimi instrukcjami.


(M J W) #11

Log z SDFix:

http://wklej.org/id/2e37e3027b


(Gutek) #12

No to nie ma syfu C:\WINDOWS\system32\wsnpoem folder skasowany :slight_smile:


(M J W) #13

zauważyłem. skanowałem spybotem raz jeszcze i owszem - znalazł znów win32.agenta, ale już nie 8 czy 9 wpisów, z folderem nie do skasowania na czele, ale tylko 2 wpisy, które skasować się udało. Serdeczne dzięki! !!