Prośba o sprawdzenie loga HJT, podejrzenie type_win32 i inne


(Adrian_) #1

Witam. Chciałbym prosić o sprawdzenie tego loga z HijackThis. Na drugim komputerzem miałem infekcje type_win32, jakimś sality i kilkoma innymi. Są one w jednej sieci i czasami coś przerzucam z jednego na drugi, więc i ten mógł sie zarazić.

http://wklej.eu/index.php?id=053480bf7f

Tak naprawdę to jest to kontynuacja tego wątku http://forum.dobreprogramy.pl/wirus-blokuje-strony-skanerow-antywirusowych-online-t338704.html ale tamten już został zapomniany i nikt nie odpisuje, więc założyłem drugi.


(96jasio96) #2

Pobierasz ComboFix , ale nie uruchamiasz go . Tworzysz dokument tekstowy o nazwie CFScript. Zapisujesz w nim

.

Zapisujesz go obok ComboFix'a . Przeciągasz CFScript na ikonke ComboFix i upuszczasz . Ma się rozpocząć usuwanie . (Tak jak na rysunku)

CFScript-8a-4.gif

Daj log z usuwania

:arrow: Sfiksuj w HijackThis


(Adrian_) #3

Zrobiłem jak napisałeś.

Log z usuwania:

http://wklej.eu/index.php?id=a00d8b1798


(deFco247) #4

Nie było czego usuwać, usuwany plik był prawidłowy. :stuck_out_tongue:

Otwórz Notatnik i wklej do niego:

move C:\Qoobox\Quarantine\C\WINDOWS\tsnp325.exe.vir C:\WINDOWS\tsnp325.exe

Plik zapisz jako typ wszystkie pliki pod nazwą plik.bat -> uruchom powstały plik.

W HiJackThis wybierz View the list of backups -> w oknie zaznaczasz wpis

i klikasz Restore.

Poza tym log wygląda na czysty.

Menu Start -> Uruchom... -> Combofix /u

Przeczyść system CCleanerem.

Usuń zbędniki z autostartu.

Wykonaj pełny skan DR WEB CureIt.


(Adrian_) #5

Nie ma tego w backup list. Jest tylko ten toolbar:(no name)...


(deFco247) #6

#-o Skoro tego tam nie ma,

to otwórz Notatnik i wklej do niego:

Windows Registry Editor Version 5.00


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"tsnp325"="C:\WINDOWS\tsnp325.exe"

Plik zapisz jako typ wszystkie pliki pod nazwą plik.reg -> uruchom powstały plik i potwierdź chęć dodania do rejestru.