LostWorld
(LostWorld)
#1
c:\windows\system32\web.dat <- z tego co wiem to to jest trojan.
http://wklej.org/id/108293/ <- Combofix [Wydaje mi się , że jest czysto]
http://wklej.org/id/108283/ <- HiJackThis [Jestem strasznie zmęczony i tylko rzuciłem okiem]
Proszę o pomoc/ewentualne rady co dalej.
deFco247
(deFco247)
#2
Widać tylko pozostałość po rootkicie.
Pobierz Avenger i uruchom.
Skopiuj ten tekst:
Files to delete:
C:\windows\system32\drivers\9702f4bc.sys
Registry keys to delete:
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\9702f4bc
W oknie Avengera klikasz Paste Script from Clipboard , wybierasz Execute i zgadzasz się na restart.
Po restarcie kasujesz plik C:\Avenger\backup.zip
Poza tym czysto.
Menu Start -> Uruchom… -> Combofix /u
Przeczyść system CCleanerem.
Usuń zbędniki z autostartu.
Wykonaj pełny skan DR WEB CureIt.
@Down Ach, faktycznie… mała literówka.
Dobra, dobra, ja już mam dobry skrypt.
deFco247 chyba jest błąd w skrypcie powinien tak wyglądać:
Files to delete:
c:\windows\system32\drivers\9702f4bc.sys
Ciuci
(Ciuci)
#4
Dokładnie to to tak powinno wyglądać!
W oknie Avengera klikasz Paste Script from Clipboard, wybierasz Execute i zgadzasz się na restart.
Po restarcie kasujesz plik C:\Avenger\backup.zip
edit:
teraz to sie z tobą zgodze jasio96!Nawias mi sie wkradł
LostWorld
(LostWorld)
#6
Było tak -> http://wklej.org/id/109736/
Zrobiłem jeszcze jednego loga --> http://wklej.org/id/109767/ i nie wiem czy wpis
2009-06-19 12:03 . 2009-06-19 12:03 580096 -c--a-w- c:\windows\system32\dllcache\user32.dll
Jest prawidłowy?!
Wydaje mi się , że jest czysto…?
Help!
deFco247
(deFco247)
#7
Plik umieszczony w folderze C:\WINDOWS\system32\dllcache to kopia zapasowa pliku user32.dll,
który znajduje się w folderze C:\WINDOWS\system32
Log wygląda na czysty.
Menu Start -> Uruchom… -> Combofix /u
Przeczyść system CCleanerem.
Usuń zbędniki z autostartu.
Wykonaj pełny skan DR WEB CureIt.