Problem z trojanami


(Krysiak55) #1

Witam. mam prosbe o sprawdzenie loga, jakies cholerstwo mi sie zagniezdzilo i nie wiem jak je wyrzucic... bede wdzieczny za pomoc...

wrzucam loga z hijack

http://wklej.org/id/3206f9fdc4


(Orzechjuve0) #2

daj log combo :slight_smile: SDFix też się przyda.


(Krysiak55) #3

uruchomilem combofix i po dwoch piknieciach wyskoczyl mi taki komunikat rougly 1/100 machines failed to make it tought the disinfection process!! i pyta sie o kontynuowanie? mam zatwierdzic?


(Orzechjuve0) #4

Tak to normalny proces :mrgreen: a i jak coś to bo combo nie ma netu więc musisz zresetować kompa:D


(Krysiak55) #5

ok :slight_smile: tutaj log z combofix...

http://wklej.org/id/b4c52790d1

i sdfix

http://www.wklej.org/id/6da18c73e3


(Leon$) #6

Wyłącz przywracanie systemu na wszystkich dyskach

odinstaluj program C:\Program Files\RABCO

wpisy

O2 - BHO: (no name) - {0E0A2AD5-1ADC-4EC3-90FC-0FB793C9259E} - C:\WINDOWS\system32\cbxvtuv.dll

O2 - BHO: RabioBHO - {1C2E5D27-A17C-4D89-85DD-3553C189380D} - C:\Program Files\RABCO\RABCO.dll

O2 - BHO: (no name) - {6D9FE79A-432C-43C8-9C4A-F72494492482} - C:\Program Files\Common Files\bijavafun89104.dll

O2 - BHO: (no name) - {CC35EABD-66B2-45CE-87C0-62946AF68790} - C:\WINDOWS\system32\gebyw.dll

O2 - BHO: (no name) - {E1759A31-E627-4758-9562-6899DF36C9C2} - C:\WINDOWS\system32\ljjhgde.dll (file missing)

O2 - BHO: (no name) - {F7591DFA-17ED-4EAF-8FAB-4707DFF62478} - C:\WINDOWS\system32\awtqp.dll (file missing)

O16 - DPF: {1E53EA77-34F2-474E-9046-B2B0C86F1821} (OggX Control) - http://www.eska.pl/streamplayers/OggX.ocx

O17 - HKLM\System\CCS\Services\Tcpip\..\{0AAB73FD-6F4F-4A3D-809A-630A90A6176F}: NameServer = 85.255.116.86,85.255.112.82

O17 - HKLM\System\CCS\Services\Tcpip\..\{85E36725-F7F3-4591-B282-2770B67D7B0B}: NameServer = 85.255.116.86,85.255.112.82

O17 - HKLM\System\CCS\Services\Tcpip\..\{CB59F904-D38F-46FB-9130-CEB58E3F44F3}: NameServer = 85.255.116.86,85.255.112.82

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.86 85.255.112.82

O17 - HKLM\System\CS1\Services\Tcpip\..\{0AAB73FD-6F4F-4A3D-809A-630A90A6176F}: NameServer = 85.255.116.86,85.255.112.82

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.86 85.255.112.82

O20 - Winlogon Notify: cbxvtuv - C:\WINDOWS\SYSTEM32\cbxvtuv.dll

O20 - Winlogon Notify: ljjhgde - ljjhgde.dll (file missing)

usuń HijackThisem >> Fix checked otwórz notatnik i wklej

File::

C:\WINDOWS\system32\inplgrbr.ax

C:\WINDOWS\system32\trnfgrbr.ax

C:\AB_-_Ashley_Brookes_-_August_10th_Camshow.wmv

C:\Program Files\Common Files\bijavafun89104.dll


Folder::

C:\cme-data

C:\WINDOWS\S3Jpcw

C:\WINDOWS\system32\zx8

C:\WINDOWS\system32\tm5

C:\WINDOWS\system32\pu1

C:\WINDOWS\system32\ez2

C:\Program Files\RABCO


Registry::

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"BitTorrent"=-

"DLD.EXE"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Device Detector"=-

[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ljjhgde]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]

"Authentication Packages"=-

"Authentication Packages"=hex(7):6d,00,73,00,76,00,31,00,5f,00,30,00,00,00,00,\

  00

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri ... iemoes.gif

Powinno rozpocząć się usuwanie

Po restarcie jeśli wszystko będzie OK usuń ręcznie folder C: \Qoobox

Potem log z usuwania Combofix i HijackThis

:slight_smile: