Błagam o pomoc w analizie loga żeby wyeliminować Trojana- Spy.win32@mx. Nie jestem wprawnym komputerowcem i za pomoc będę bardzo wdzięczny. Mój log to:
Sfixuj wpisy powyżej.
HijackThis->Do a system scan only -> ptaszkujesz wpisy -> Fix Checked
Daj log z combofix na samym dole w temacie Przyklejonym
- nie chce się fixować. Dlaczego?
Złączono Posta : 28.10.2007 (Nie) 21:30
Złączono Posta : 28.10.2007 (Nie) 22:36
Wykonałem wg rady ale
nie chce sie fixować. Prosze pomóżcie!
.
A gdzie górna część logu?
Wklej do Notatnika :
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"Authentication Packages"=-
"Authentication Packages"=hex(7):6d,00,73,00,76,00,31,00,5f,00,30,00,00,00,00,\
00
Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na “Wszystkie pliki” >>> Zapisz jako FIX.REG >>> uruchom ten plik (dwuklik). Potem: Wklej do Notatnika :
File::
C:\WINDOWS\system32\rqrqrsq.dll
C:\WINDOWS\system32\dbwivfxr.dll
C:\Documents and Settings\Admin\Menu Start\Programy\Autostart\
PowerReg Scheduler.exe
C:\Program Files\RXToolBar\sfcont.dll
C:\WINDOWS\system32\mllmj.dll
Folder::
C:\Program Files\RXToolBar
Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{59879FA4-4790-461c-A1CC-4EC4DE4CA483}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A95B2816-1D7E-4561-A202-68C0DE02353A}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F6B1F430-52B5-4478-9FC6-A94F79D423C3}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{11A69AE4-FBED-4832-A2BF-45AF82825583}"=-
[-HKEY_CLASSES_ROOT\CLSID\{11A69AE4-FBED-4832-A2BF-45AF82825583}]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{11A69AE4-FBED-4832-A2BF-45AF82825583}"=-
[-HKEY_CLASSES_ROOT\CLSID\{11A69AE4-FBED-4832-A2BF-45AF82825583}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Updates"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices]
"Microsoft Updates"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{F6B1F430-52B5-4478-9FC6-A94F79D423C3}"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\dbwivfxr]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\rqrqrsq]
>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )
– podobnie jak na tym obrazku –>
(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)
Po restarcie usuń ręcznie folder C: ** Qoobox**.
Daj ten log (cały!).
Log wklej na http://wklej.org/, a w poście daj tylko link.(czyli skopiuj adres z paska adresów).
jessi
Znów:
Wklej do Notatnika :
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"Authentication Packages"=-
"Authentication Packages"=hex(7):6d,00,73,00,76,00,31,00,5f,00,30,00,00,00,00,\
00
Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na “Wszystkie pliki” >>> Zapisz jako FIX.REG >>> uruchom ten plik (dwuklik). Potem:
>>Hijack>>scan(Do a system scan only)>>zaznacz (V)>> Fix checked. Potem: Wklej do Notatnika :
File::
C:\WINDOWS\system32\oxwidlbd.dll
C:\Documents and Settings\Admin\Menu Start\Programy\Autostart\
PowerReg Scheduler.exe
>>Plik>>Zapisz jako… >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
– podobnie jak na tym obrazku –>
Ma się rozpocząć usuwanie. (i powstanie log)
Po restarcie usuń ręcznie folder C: ** Qoobox**.
Daj log do kontroli.
jessi
Wg mnie - jest czysto.
jessi
Serdeczne dzięki!