Spyware Quake 2.0 + Malware +log z HijackThis


(Toje) #1

Witam.

Proszę o pomoc. Od jakiegoś czasu z prawej strony ekranu pojawia się okienko: Your computer is infected.

Dodatkowo mimo usilnych prób odinstalowania programu Spyware Quake 2.0 pojawia się na nowo na pasku.


(Bbieniol) #2

W trybie awaryjnym z wyłącząnym przywracaniem systemu usuwasz (wpisy Hijackiem, pliki/foldery pogrubione ręcznie z dysku):

W dodaj/usuń programy odinstaluj Spyware Quake

Po zabiegach dajesz jeszcze raz log do kotnroli :slight_smile:


(Toje) #3

Oto log po poprawkach, które mi poleciłes.

W dalszym ciagu pojawia sie okienko ze system jest infected.

Poza tym miga taka ikonka: raz jest zielona a raz przekreslone czerwone koleczko.

Co to jest?


(Vilkatla) #4

to jest spyware quake :]

najpierw sprobuj uzyc narzedzia SmitRem

potem daj na forum logi z hjt i SILENT RUNNERS

pzdr


(Toje) #5

Spróbowałem smitremem. I nic...

A oto log z Silent Runners.

Proszę o pomoc...


(Vilkatla) #6

dobra, to zastosujemy GMERa

sciagasz, instalujesz, odpalasz

dalej

zakladka cmd -> cmd -> wklejasz komendy:

(w miejsce nazwa Twojego konta wpisujesz oczywisce nazwe konta, na ktore sie logujesz)

nastepnie zakladka cmd -> regedit -> wklejasz:

zakladka procesy -> zabij wszystko

i dalej:

zakladka cmd ->

cmd -> uruchom

regedit -> uruchom

restartujesz kompa i sprawdzasz, czy jakies smieci nie zostaly na dysku, w razie czego zabijasz KillBoxem (z opcji 'delete on reboot')

a mozliwe syfy to:

hp95CB.tmp

ld95CB.tmp

C:\WINDOWS\system32\mscornet.exe

C:\WINDOWS\system32\svchosts.dll <--- zauwaz, ze plik do wywalenia konczy sie na s!!

C:\WINDOWS\system32\ioctrl.dll

C:\WINDOWS\system32\wbeconm.dll

C:\WINDOWS\system32\wiatwain.dll

C:\WINDOWS\system32\msvol.tlb

C:\WINDOWS\system32\ncompat.tlb

C:\WINDOWS\system32\ot.ico

C:\WINDOWS\system32\ts.ico

kasujesz tez katalog spywarequake'a, jesli jeszcze bedzie

a takze C:\Windows\System32\1024

przeszukujesz rejestr na zapytanie 'spywarequake'

(start - uruchom - regedit - edycja - znajdz)

i kasujesz z prawokliku wszystkie klucze ze spywarequake w nazwie

TYLKO NIC WIECEJ NIE RUSZAJ !!

powiedz, gdzie sie mozna tym quake'iem zarazic, to sporzadze porzadna liste wpisow w rejestrze, ktore tworzy :stuck_out_tongue:

na koniec logi z hjt i silenta do kontroli

pzdr


(Gblade) #7

Zastosuj Usuwanie Spyware Quake

Dajesz nowego loga z silent runners + hijackthis


(Toje) #8

Po wykonaniu powyższych zaleceń przedstawiam log z Hijackthis:

oraz log z silenta

Proszę o informacje, czy wszystko jest w porządku.

Dziękuję za pomoc.


(Micromac) #9

Juz jest OK

Tylko jeszcze to:

Otwórz Notatnik i wklej:

Plik => Zapisz jako => Zmień rozszerzenie z TXT na Wszystkie pliki => Zapisz pod nazwą FIX.REG, kliknij dwa razy i restart komputera

Wyczysc jeszcze programem Internet Eraser 2.05, uruchom i w zakladce Browsers i Windows zaznacz wszystkie opcje i kliknij Quick Clean aby opróznić


(Toje) #10

Witam.

Serdeczni edzięuję z apomoc. W załączeniu jeszcze raz logi z Hijacthis i silent runnera. Czy teraz już jest wszystko w porządku?

I proszę mi powiedzieć, co robi prezentowany przez Ciebie wpis do rejestru:

Log HijackThis:

Log z Silent Runner:


(Gutek) #11

No juz Ok :smiley:


(Vilkatla) #12

usuwa wartosci syfa ("wininet.dll" i "kernel32.dll") z klucza, ktory odpowiada za autostart programow wraz z systemem.

pzdr


(Toje) #13

Dziękuję bardzo za pomoc. Wszystko udało się naprawić, dzięki Waszej pomocy.:slight_smile: :smiley:

Odinstalowałem jednak Symanteca (NIS 2005) i zainstalowałem F-Secure Anti-Virus Client Security, który dostałem od kumpla. POwiem tak: REWELACJA to mało powiedziane. Gdy zapuściłem go na noc wykrył jeszcze jakieś śmieci po SpywareQuake i wskazał na tools'a, który to czyści:

Link pochodzi ze strony: http://www.f-secure.com

Copyright © 2006

F-Secure Corporation. All rights reserved.

http://www.f-secure.com

Polecam.