Trojan- Spy.win32@mx


(Sphinx78) #1

Błagam o pomoc w analizie loga żeby wyeliminować Trojana- Spy.win32@mx. Nie jestem wprawnym komputerowcem i za pomoc będę bardzo wdzięczny. Mój log to:


(Arekmalek) #2

Sfixuj wpisy powyżej.

HijackThis->Do a system scan only -> ptaszkujesz wpisy -> Fix Checked

Daj log z combofix na samym dole w temacie Przyklejonym


(Sphinx78) #3

  • nie chce się fixować. Dlaczego?

Złączono Posta : 28.10.2007 (Nie) 21:30

Złączono Posta : 28.10.2007 (Nie) 22:36

Wykonałem wg rady ale

nie chce sie fixować. Prosze pomóżcie!


(jessica) #4

.

A gdzie górna część logu?

Wklej do Notatnika :

Windows Registry Editor Version 5.00


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]

"Authentication Packages"=-

"Authentication Packages"=hex(7):6d,00,73,00,76,00,31,00,5f,00,30,00,00,00,00,\

  00

Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na "Wszystkie pliki" >>> Zapisz jako FIX.REG >>> uruchom ten plik (dwuklik). Potem: Wklej do Notatnika :

File::

C:\WINDOWS\system32\rqrqrsq.dll

C:\WINDOWS\system32\dbwivfxr.dll 

C:\Documents and Settings\Admin\Menu Start\Programy\Autostart\ 

PowerReg Scheduler.exe

C:\Program Files\RXToolBar\sfcont.dll

C:\WINDOWS\system32\mllmj.dll


Folder::

C:\Program Files\RXToolBar


Registry::

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{59879FA4-4790-461c-A1CC-4EC4DE4CA483}]  

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A95B2816-1D7E-4561-A202-68C0DE02353A}] 

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F6B1F430-52B5-4478-9FC6-A94F79D423C3}] 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] 

"{11A69AE4-FBED-4832-A2BF-45AF82825583}"=-

[-HKEY_CLASSES_ROOT\CLSID\{11A69AE4-FBED-4832-A2BF-45AF82825583}] 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] 

"{11A69AE4-FBED-4832-A2BF-45AF82825583}"=-

[-HKEY_CLASSES_ROOT\CLSID\{11A69AE4-FBED-4832-A2BF-45AF82825583}] 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 

"NvCplDaemon"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 

"Microsoft Updates"=-

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices] 

"Microsoft Updates"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] 

"{F6B1F430-52B5-4478-9FC6-A94F79D423C3}"=-

[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\dbwivfxr] 

[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\rqrqrsq]

>>Plik>>Zapisz jako... >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku -->88953CFScript-createdbyMiekiemoes.gif

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: **** Qoobox.

Daj ten log (cały!).

Log wklej na http://wklej.org/, a w poście daj tylko link.(czyli skopiuj adres z paska adresów).

jessi


(Sphinx78) #5

http://wklej.org/id/f64543e850

Dziękuję bardzo!


(jessica) #6

Znów:

Wklej do Notatnika :

Windows Registry Editor Version 5.00


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]

"Authentication Packages"=-

"Authentication Packages"=hex(7):6d,00,73,00,76,00,31,00,5f,00,30,00,00,00,00,\

  00

Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na "Wszystkie pliki" >>> Zapisz jako FIX.REG >>> uruchom ten plik (dwuklik). Potem:

>>Hijack>>scan(Do a system scan only)>>zaznacz (V)>> Fix checked. Potem: Wklej do Notatnika :

File::

C:\WINDOWS\system32\oxwidlbd.dll

C:\Documents and Settings\Admin\Menu Start\Programy\Autostart\ 

PowerReg Scheduler.exe

>>Plik>>Zapisz jako... >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

– podobnie jak na tym obrazku -->88953CFScript-createdbyMiekiemoes.gif

Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: **** Qoobox.

Daj log do kontroli.

jessi


(Sphinx78) #7

Log został wklejony:

http://wklej.org/id/5b996e656c

Dzięki


(jessica) #8

Wg mnie - jest czysto.

jessi


(Sphinx78) #9

Serdeczne dzięki!