Witam. Wczoraj otworzyłem pewnego linka, którego otrzymałem w wiadomości na gg od jakiegoś nieznajomego Po kilku sekundach wyskoczyła tapeta alarmująca, że mój komputer jest zainfekowany. Pojawił się również dymek namawiający do skorzystania z odpowiedniego programu, który został automatycznie zainstalowany (płatny, BraveSentry ). Inne objawy zarobaczenia mojego systemu to:

- zablokowanie menedżera zadań przez "administratora"

- zamykanie explorera po kliknięciu prawym przyciskiem na folderze

- spowolnienie internetu

Po użyciu kilku programów -SpyBot S&D, Ewido Anti-Malware, CounterSpy i Ad-Aware, udało się usunąć kilka objawów. Nie ma już problemu z tapetą, dymkiem i menedżerem zadań, ale nęka mnie ten zamykający się explorer. Proszę o sprawdzenie mojego loga i pomoc.

Użyj Windows Worms Doors Cleanera zmień znaczki z disable na enable (wszystkie znaczki maja być na zielono, jezeli któryś z nich bedzie na żółto to go zostaw).

Usuń: (wszystko oczywiście robisz w trybie awaryjnym z wyłączonym przywracaniem systemu)

Pliki i foldery zaznaczone usuwasz ręcznie z dysku natomiast wpisy w HijackThis.

Pobierz program Ewido zrób update i przeskanuj.

Po wykonaniu w/w dajesz nowy log z HijackThis plus z SilentRunners.

Co do menagera to zajrzyj może:

http://forum.dobreprogramy.pl/viewtopic … 551#555551

Zapomniałem powiedzieć, że nie da się usunąć pliku. Wtedy też wyłącza się explorer, nawet kiedy używam delete.

Przeszedłem do trybu awaryjnego i zauważyłem, że oprócz mojego profilu jest też profil “administrator”. Zalogowałem się tam i zobaczyłem, że połowa ikon jest usunięta.

Jak będziesz wchodzić do awaryjnego to są dwa konta co najmniej. Twoje i administrator. Wybierasz TWOJE.

Jeżeli tak nie da sie plików usunąć to pobierz od normalnym KillBox. A pod awaryjnym uruchamiasz, zaznaczasz Delete on reboot , w polu full path of file wklej ścieżkę:

C:\WINDOWS** winlogon.exe**

I to samo robisz z resztą plików. Jak wkleisz to klikasz X czerwony i restart kompa (restart dopiero po usunięciu ostatniego pliku).

Na samym dole jest log już po usunięciu plików i wpisów, które wskazałeś. Mam nadzieję, że wszystko zrobiłem dobrze. Niestety explorer nadal się wyłącza i pokazuje się co jakiś czas taki komunikat:

Natomiast kiedy chcę odpalić Silent Runnersa to wyskakuje takie coś:

Możesz użyć komendy: Start >>> Uruchom >>> services.msc i też możesz wyłaczyć Usługę posłańca

Co do Silenta odpowiedź masz - http://www.searchengines.pl/phpbb203/in … opic=15989

użyj Unlocker 1.8.3 http://ccollomb.free.fr/unlocker/ aby usunąć plik należy wybrać na niego prawym myszy a następnie opcje unlocker. Na dole wybieramy opcje “UWOLNIJ WSZYSTKIE”

Następnie należy wybrać akcje i mamy do wyboru “skasuj” “zmień nazwe” “przesuń” W przypadku naszego złośliwego pliku wybieramy oczywiście “skasuj”

Log z Silent Runnersa:

Niestety nie mogę użyć Unlokera, bo kiedy klikam na jakiś plik lub folder prawym przyciskiem to wyskakuje błąd explorera i trzeba go zamknąć.

Otwórz Notatnik i wklej w nim to:

Plik >>> Zapisz jako >>> Ustaw rozszerzenie z TXT na Wszystkie pliki >>> zapisz pod nazwą FIX.REG >>> kliknij podwójnie zrobiony plik i potwierdź >>> reset kompa

Niestety, zrobiłem, zresetowałem i… nadal to samo. Do tego wcześniej wyłączyłem Usługę Posłaniec, a po resecie znowu działa.

Innym narzędziem jest XP-Antispy odinstaluj messengera, zaznacz opcję w ustawieniach.

daj nowy log z Silenta

Nadal wyłącza mi się explorer.exe Wiem, że jestem uciążliwy, przepraszam, ale to nie moja wina…

Siedzi nadal:

Plik spróbuj usunąć programem Pocket Killbox czyli odpalasz Killboxa zaznacz opcję Delete on Reboot następnie w polu Full Path of File to Delete wklej ścieżke:

C:\Documents and Settings\All Users.WINDOWS\Dokumenty\Settings** artm_new.dll**

następnie program będzie pytał o restart (oczywiście zgadzasz sie)

Otwórz notatnik i wklej w nim:

Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG i uruchom go w trybie awaryjnym

Co do posłańca, to pozbyłeś sie go czy nie ??

Plik dodatkowo przed użyciem killbox-a wyrejestruj zrób tak

Start -> uruchom: i wklej

I ok. I teraz użyj killbox-a powinno zejść

Z tego co pokazał KillBox, usunąłem ten plik. Posłaniec też już nie “przychodzi” Ale nadal explorer.exe się wyłącza…

No pliku juz nie ma ale pozostał wpis w rejestrze:

Otwórz notatnik i wklej w nim to:

Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG i uruchom go w trybie awaryjnym

Explorera mozesz podmienic z konsoli odzyskiwania:

Odpalasz konsole i wklepujesz polecenie:

expand X:\i386\explorer.ex_ C:\Windows\explorer.exe

Gdzie X - to litera napedu

A C - litera dysku systemowego

Explorer nie chce się podmienić ani przez wiersz poleceń, ani przez Total Commandera…

Bo masz to zrobic w konsoli a nie w wierszu poleceń. Opis jak wejść do konsoli. TU

Sorry, źle przeczytałem

Próbowałem też to zrobić w konsoli, ale pokazuje się komunikat:

Nie można utworzyć pliku explorer.exe

Zdekompresowano 0 plików