Witam, mam jakiegoś wirusa, który spowalnia mi działanie przeglądarki. Poza tym nie mogę nawet wyłączyć komputera poprzez start->zamknij - nie ma tej opcji, jest tylko logoff… Daje więc loga;
“Dealio” to jest taki niechciany dodatek instalowany z innymi programami.
Tak więc sam go zainstalowałeś, choć pewnie nieświadomie.
Możesz go usunąć normalnie, tak jak każdy inny program - poprzez “Dodaj/Usuń programy”.
Te w/w wpisy sfiksuj w Hijacku (“020” na razie i tak nie znikną, bo najpierw trzeba usunąć pliki):
>>Hijack>>scan(Do a system scan only)>>zaznacz je >> Fix checked.
Ściągnij ComboFix (na dole tej strony z linku).
Wklej do Notatnika :
File::
C:\Program Files\Dealio\kb106\Dealio.dll
C:\WINDOWS\Temp\startdrv.exe
c:\windows\system32\mlljhef.dll
C:\WINDOWS\SYSTEM32\dspsl1.dll
Folder::
C:\Program Files\Dealio\kb106
C:\Program Files\Dealio
>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie,
jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
(czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )
– podobnie jak na tym obrazku -->http://i12.tinypic.com/4l761r5.gif
(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie.
Po restarcie usuń ręcznie folder C: ** Qoobox**.
Potem daj tu log z ComboFixa.
Log wklej na http://wklej.org/, a w poście daj tylko link.
jessi
No, miałeś nawet Rootkity! A właściwie - jednego dalej masz, mimo iż ComboFix już go raz usunął!
Wklej do Notatnika :
File::
C:\WINDOWS\system32\jkhfg.exe
C:\dymrrl.exe
C:\ximlwn.exe
C:\WINDOWS\system32\ntio256.sys
C:\WINDOWS\system32\protector.exe
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"startdrv"=-
[-HKEY_LOCAL_MACHINE\system\ControlSet001\Services\ntio256]
>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie,
jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
(czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )
– podobnie jak na tym obrazku -->http://i12.tinypic.com/4l761r5.gif
(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie.
Po restarcie usuń ręcznie folder C: ** Qoobox**.
Potem daj nowy log z ComboFixa.
jessi
Niestety, tego Rootkita jakoś nie daje się usunąć.
Nie wiem, co go ciągle trzyma.?
Zrób sobie log z Hijacka, i zobacz, czy nie pojawił się wpis “F2” z tym “ntio256”?
Jeśli jest, to go sfiksuj w Hijacku:
>>Hijack>>scan(Do a system scan only)>>zaznacz je >> Fix checked.
Zrobimy jeszcze raz próbę usuwania:
Wklej do Notatnika :
File::
C:\WINDOWS\system32\ntio256.sys
C:\WINDOWS\system32\protector.exe
>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie,
jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
(czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )
– podobnie jak na tym obrazku -->http://i12.tinypic.com/4l761r5.gif
(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie.
Po restarcie usuń ręcznie folder C: ** Qoobox**.
Zastanawia mnie ten folder “Web Download” - u mnie takiego nie ma, a u Ciebie powstał minutę przed powstaniem Rootkita - może to ma ze sobą związek?
Jeśli ten “ntio” dalej będzie w nowym logu ComboFixa, to daj tu dwa logi z GMER, na ustawieniach:
-
>>gmer>>Rootkit>>Szukaj>>Kopiuj>>CTRL+V do Notatnika (zapisz gdzieś)
-
>>Rootkit>>zaznacz tylko “Usługi” i “Pokaż wszystko”>>Szukaj>>Kopiuj>>CTRL+V do Notatnika (zapisz gdzieś)
Ponieważ logi będą długie, więc wklej na http://wklej.org/, a w poście daj tylko link.
jessi
w folderze web download sa pliki: (obrazek jpg. z zawartoscia folderu)
Chyba ten “ntio” przestraszył się GMERa, bo dał się usunąć!
Nie wiem, co jest w “web download”, bo u mnie ta strona się w ogóle nie otwiera.
W logu GMERa widać Trojana.
Uruchom GMER>>gmer.zip>>gmer.exe
Rozwiń>>>zakładka CMD >>zaznacz CMD —w górne czarne pole wklej to:
Kliknij „Uruchom” z prawej strony. Komputer powinien się samoczynnie wyłączyć i włączyć.
Potem daj log z ComboFixa lub log z GMERA (ten “usługowy”), by sprawdzić, czy GMER usunął.
jessi