Problem z syfem o nazwie Bestsellerantivirus Installer


(Ggg564) #1

Witam, nie mogę poradzić sobie z usunięciem syfu z kompa, problem wygląda bardzo podobnie do

http://forum.dobreprogramy.pl/viewtopic.php?t=195528

Notorycznie wyskakują różne komunikaty o zagrożeniu m.in. o nazwie "Spy.win32@mx"

A także po starcie systemu w tray'u pojawia się ikona ściągania wspomnianego Bestsellerantivirusa, proszę o pomoc, oto log z HiJackThis:

http://wklej.org/id/437b10afa1


(Angelripper) #2

daj logi z hijackthis i combofix uzyj sdfix (działa tylko w trybie awaryjnym !!


(jessica) #3

A tak przy okazji, jak już ściągniesz -->ComboFix, to możesz od razu zrobić to:

Wklej do Notatnika :

File::

C:\WINDOWS\system32\lafvjpbp.dll

C:\WINDOWS\SYSTEM32\ejndqbsq.dll

C:\Documents and Settings\k\Ustawienia Lokalne\Temp\vntmrykt.exe

C:\WINDOWS\system32\dhllaivi.dll


Registry::

[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ejndqbsq]

[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A95B2816-1D7E-4561-A202-68C0DE02353A]

[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9c449ded-5206-4464-bbcc-a0b4b6066dd5}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NI.UGA6P_0001_N122M2210"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"bc4e1d85"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

"{11A69AE4-FBED-4832-A2BF-45AF82825583}"=-

>>Plik>>Zapisz jako... >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku -->88953CFScript-createdbyMiekiemoes.gif

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: **** Qoobox.

Oczywiście ten log dajesz tu, zgodnie zresztą z zaleceniem @Vader666 , .

Log wklej na http://wklej.org/, a w poście daj tylko link.(czyli skopiuj adres z paska adresów).

jessi


(Ggg564) #4

Ok, jak dla mnie wszystko wygląda w porządku :smiley:

Wielkie dzięki za pomoc jessica ! :slight_smile:

Oto logi:

HIJackThis

http://wklej.org/id/363a5827f3

ComboFix

http://wklej.org/id/84ae1980ee

pozdrawiam serdecznie, rasta


(jessica) #5

Nawet na wklej.org nie zmieścił się Twój log z ComboFixa. :frowning:

Wklej do Notatnika :

File::

C:\WINDOWS\system32\bqyppxgf.dll

C:\gQEPTf.exe

>>Plik>>Zapisz jako... >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

– podobnie jak na tym obrazku -->88953CFScript-createdbyMiekiemoes.gif

Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: **** Qoobox.

Daj ten log, ale wytnij z niego część zatytułowaną "(((((( snapshot@2007-11-06_21.29.31.73 ))))))".

jessi