Bieniol
(Bbieniol)
21 Wrzesień 2006 16:06
#2
Użyj narzędzia FixWareOut
Użyj narzędzia --> SmitFraudFix
Użyj Windows Worms Doors Cleanera zmień znaczki z disable na enable (jeżeli jakieś znaczki są żółte, to niech takie zostaną). Po użyciu tego narzędzia wymagany jest reset sysa.
W trybie awaryjnym z wyłączonym przywracaniem systemu usuwasz (wpisy Hijackiem, pliki/foldery na czerwono ręcznie z dysku):
C:\WINDOWS\System32\ishost.exe C:\WINDOWS\System32\ismini.exe O1 - Hosts: localhost 127.0.0.1 O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\System32{947B8980-C49A-4CF1-B42A-8DDE130793FB}.dll O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\System32{947B8980-C49A-4CF1-B42A-8DDE130793FB}.dll O4 - HKLM…\Run: [mysvcig38] mysvcc.exe O4 - HKLM…\Run: [msvcc25] svcchost.exe O4 - HKLM…\RunServices: [msvcc25] svcchost.exe O4 - HKLM…\RunServices: [mysvcig38] mysvcc.exe O4 - HKLM…\RunServices: [Microsoft explorer Update] internal.exe O4 - HKCU…\Run: [KillAndClean] “C:\Program Files\KillAndClean\KillAndClean.exe” O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra ‘Tools’ menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Start spyware remover - {BF69DF00-2734-477F-8257-27CD04F88779} - C:\Program Files\KillAndClean\KillAndClean.exe (file missing) (HKCU) O9 - Extra ‘Tools’ menuitem: Start spyware remover - {BF69DF00-2734-477F-8257-27CD04F88779} - C:\Program Files\KillAndClean\KillAndClean.exe (file missing) (HKCU) O17 - HKLM\System\CCS\Services\Tcpip…{04FF3506-E441-47DC-8871-0E3DF4D58C54}: NameServer = 85.255.115.53,85.255.112.95 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.53 85.255.112.95 O17 - HKLM\System\CS1\Services\Tcpip…{04FF3506-E441-47DC-8871-0E3DF4D58C54}: NameServer = 85.255.115.53,85.255.112.95 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.53 85.255.112.95 O17 - HKLM\System\CS2\Services\Tcpip…{04FF3506-E441-47DC-8871-0E3DF4D58C54}: NameServer = 85.255.115.53,85.255.112.95 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.53 85.255.112.95
Po zabiegach nowy log z Hijacka + log z Silent Runners
Phylby
(Adarek)
21 Wrzesień 2006 16:13
#3
Do sprawdzających logi :
A gdzie jakakolwiek uwaga na temat braku Sp2 , nie mówiąc braku antywira ??
Po co sprawdzasz w takim wypadku jak jutro znowu przyleci ???
Nowy log to to niech wkleja jak zainstaluje Sp2 i antywira.
Bieniol
(Bbieniol)
21 Wrzesień 2006 16:17
#4
Z całym szacunkiem Phylby , ale powiedz mi jaki jest sens instalowania SP2, jeżeli na kompie jest syf? Mogę się założyć, że na tym sprawdzeniu loga się nie skończy (w takim wypadku nie da się zrobić wszystkiego za jednym zamachem), więc nie widzę sensu instalowania teraz SP2. Według mnie należy go zainstalować w chwili, kiedy komputer będzie zupełnie czysty
Phylby
(Adarek)
21 Wrzesień 2006 16:31
#5
On od zawsze nie miał tego (90%) wiadomo dlaczego . Albo nie wiedział .
Dlatego zwracam takim goćciom uwagę , kapną sie - wiecej się nie odezwą albo zaczną sie głupio tłumaczyć .
Tak czy siak może do nich dotrze co nieco.
Ja,jak zaczynałem sprawdzać ( dopiero co HT zaczynali stosować ) logi na naszym forum zawsze zwracałem na to uwage.
Bieniol
(Bbieniol)
21 Wrzesień 2006 16:34
#6
W przypadku cossmo w systemie jest rootkit Windows Security Center + fałszywka + sporo robali…
W pierwszej kolejności trzeba się tym zająć, a dopiero później zajmować się SP2
Phylby
(Adarek)
21 Wrzesień 2006 16:36
#7
tak jak napisałem wcześniej ,
Może jak by miał sp2 tego by nie bło
Nawet jak mu usuniesz - nie powiesz mu aby zainstalował Sp2 - tak zauważyłem.
bodek32
(bodek32)
21 Wrzesień 2006 17:08
#8
Moim zdaniem to niema żadnego znaczenie czy ma się SP1 czy SP2
I tak się złapie wira i tak