Re: HAcked by godzilla?


(huber2t) #1

fix w hijackthis

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\WINDOWS\system32\blwiug.dll

C:\WINDOWS\MS32DLL.dll.vbs

C:\WINDOWS\bGlz\command.exe

C:\WINDOWS\mrofinu1000106.exe 


Folder::

C:Program Files\JavaCore

C:\Documents and Settings\krzys\Dane aplikacji\W?nSxS

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

02f8f1e3c410a4cc.gif

Powinno się rozpocząć usuwanie i powstanie log, daj ten log na forum.


(huber2t) #2

Masz wszystko napisane, rób dokładnie według tego co napisałem


(huber2t) #3

Zrób tak:

Pobierz Avenger

wklej do niego ten tekst:

Files to delete:

C:\WINDOWS\system32\blwiug.dll

C:\WINDOWS\MS32DLL.dll.vbs

C:\WINDOWS\bGlz\command.exe

C:\WINDOWS\mrofinu1000106.exe 


Folders to delete::

C:Program Files\JavaCore

C:\Documents and Settings\krzys\Dane aplikacji\W?nSxS

kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt


(jessica) #4

Obiekty oznaczone przez Avengera "Status 0xc0000033" może usunąć tylko ComboFix - Avenger ani żadne inne narzędzie usuwające tego potrafi.

Jeszcze raz uruchom Avenger:

wklej do niego ten tekst:

Files to delete:


C:\Program Files\nvcoi\nvcoi.exe

C:\Program Files\JavaCore\JavaCore.exe


Folders to delete:


C:\Program Files\nvcoi

C:\Program Files\JavaCore


Drivers to unload:


"Command Service (cmdService)"

"Network Monitor"

Kliknij w "Execute" i zatwierdź restart komputeraa.

Zrestartuj komputer. Raport z Avengera znajduje się w C:\avenger.txt.

Potem:

Te w/w wpisy sfiksuj w Hijacku (jeśli jeszcze będą):

>>Hijack>>scan(Do a system scan only)>>zaznacz je >> Fix checked.

Potem spróbuj zrobić normalny log z ComboFix

Log wklej na http://wklej.org/, a w poście daj tylko link.(czyli skopiuj adres z paska adresów).

jessi


(jessica) #5

Aha, to oznacza, że masz zniszczony System, skoro nie pozwala uruchomić nawet Avengera.

Ściągnij OTMoveIt

Do pola Paste List of Files/Folders to be Moved wklej poniższe ścieżki:

Następnie wciśnij przycisk MoveIt!

Pojawi się komunikat, że jest potrzebny restart do usunięcia podanych plików/folderów- wciśnij Yes.

Po restarcie usuń ręcznie folder C:**** _OTMoveIt (Prawoklik >>> Usuń >>> Opróżnij Kosz).

Potem:

>>Start >>> Uruchom >>> wybierz (lub wpisz) cmd >> zastosuj te komendy (po każdej wciśnij "ENTER"):

I oczywiście spróbuj zrobić log z ComboFixa, bo jeśli się nie uda, to infekcja "PurityScan" zostanie u Ciebie na zawsze.

jessi


(jessica) #6

No tak, źle się wyraziłam, bo nie brałam pod uwagę formatu.

jessi


(jessica) #7

http://cybertrash.pl/images/tata/PurityScan.html

Na dole tej strony są linki do narzędzi , które usuwają część infekcji "PurityScan".

Opis usuwania ręcznego tej infekcji. Bardzo trudny w wykonaniu!

jessi