Trojan.PWS.Lich

akaniowski · 1 Sierpień 2008 19:29

Witam

Mam problem, wczoraj w pewnym momencie przestał działać menedżer zadań i edytor rejestru (wyłączone przez administratora). Potem uśmierciło mi NOD32. Tryb awaryjny się nie ładuje, non stop włącza mi “nie pokazuj ukrytych plików i folderów”. Zrobiłem online skan Pandą, wyszło 198 zainfekowanych plików, dr. web przeskanował, wyleczył 21 plików. Log z Hijackthis:

http://www.wklej.org/id/f07d117276

Czysto? Mógłby mi ktoś napisać jak włączyć edytor rejestru?

Pozdrawiam

Leon1 · 1 Sierpień 2008 20:19

wpisy

usuń HijackThisem >> Fix checked

Pobierz Combofix http://www.searchengines.pl/index.php?s … ntry395642 ale nie włączaj.

Otwórz notatnik i wklej

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri … iemoes.gif

Powinno rozpocząć się usuwanie

Potem log z usuwania Combofix

akaniowski · 1 Sierpień 2008 21:15

http://www.wklej.org/id/3f83f732cb

Edycja rejestru dalej nie działa. Task Manager również. System tylko jakby płynniej chodzi.

EDIT: Nowy Nod wykrył jakąś odmianę Sality zaraz po zainstalowaniu. “Nieuleczalne”

huber2t · 2 Sierpień 2008 04:12

Do wyleczenia pendrive z wirusów użyj

Perlovg Removal Tool

Flash Disinfector

lub format

Pobierz ComboFix, ale nie uruchamiaj

Otwórz notatnik i wklej do niego:

File::

C:\WINDOWS\system32\lich.dat

C:\WINDOWS\system32\wscmp.dll.tmp


Registry:: 

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e0b6eda0-e270-11db-ac6b-00304f4d85d7}] 

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fa880215-b3c2-11dc-b633-00304f4d85d7}]

Plik -> zapisz jako -> CFScript.txt.

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

Rozpocznie się usuwanie i powstanie log, który dasz na forum.

Logi dajesz na http://wklejto.pl lub na http://wklej.org a w poście dajesz tylko link

luczki · 2 Sierpień 2008 06:00

Mialem podobnego wira tyle ze jeszcze na odmianie pendrivovej. Ja go usunolem Kasperskym internet security. Proponuje go pobrac na 30 dni przeskanowa usunac lub wyleczyc odinstalowac kaspra i zainstalowac inny antyvir

akaniowski · 4 Sierpień 2008 11:54

No niestety, Windows przestał sie uruchamiać i poszedł format. Po formacie przeskanowałem mks-vir i Kasperkym, czysto?

http://www.wklej.org/id/56d7157216

I jeszcze pytanie dodatkowe… Są jakieś uniwersalne sterowniki audio? Dźwięk mi zupełnie nie działa, sterowników nie mam, nigdy wcześniej nie musiałem ich instalować.

Leon1 · 4 Sierpień 2008 14:21

Log czysty

dźwięk otwórz notatnik i wklej tekst spod tego linka

http://www.bercik64.republika.pl/FIX%20by%20mgr.inz.Player.reg

zapisz jako plik.reg >> wszystkie pliki >> scal z rejestrem >> restart

powstanie plik o takiej ikonie

w który dwa razy klikniesz potwierdzisz chęć dodania do rejestru potem restart

akaniowski · 4 Sierpień 2008 16:19

Niestety, dźwięku dalej nie ma. Jakieś pomysły?

huber2t · 5 Sierpień 2008 03:13

Przeinstaluj sterowniki

akaniowski · 5 Sierpień 2008 15:36

Jak pisałem, nie mam… Ale już wszystko działa. Dzięki za pomoc!

Pozdrawiam.

huber2t · 6 Sierpień 2008 03:37

Poszukaj w necie, tylko przedtym dowiedz się jaką masz kartę dźwiękową