Witam,

Mam problem z Win32.Agent.pz. Próbuje się zainstalować, lub już się zainstalował, lecz co jest najbardziej denerwujące próbuje mi zmienić rejestr, ale zmiana ta jest blokowana przez rezydenta Spybot. Co kilkanaście sekund wyskakuje mi okienko, że zmiana rejestru została zablokowana (Rezydent odmówił zmian w UserInit (category Winlogon)). Próbowałem usunąć to Spybotem i Ad-Aware 2007 ale programy te nie dają rady, coś niby usuwają, ale po restarcie ponownie blokowane są zmiany. Co więcej, nie mogę znaleźć charakterystycznego katalogu (C:\WINDOWS\system32\wsnpoem) i pliku (ntos.exe) tego trojana.

Poniżej zamieszczam logi:

SilentRunners (jak zawsze na moim kompie wyszedł z błędem):

http://wklej.org/id/6b34a4755c

HijackThis:

http://www.wklej.org/id/704a06ec12

ComboFix:

http://www.wklej.org/id/c089254c16

Z góry bardzo dziękuję za pomoc.

Nie widzisz ich, bo mają atrybut ochronny ***hidden***.

Użyj -->SDFix

Uwaga: Da się go uruchomić tylko w Trybie Awaryjnym.

Pokaż Report.txt znajdujący się w folderze SDFix.

Dodatkowo, by być pewnym na 200%:

Wklej do Notatnika :

File::

C:\WINDOWS\system32\ntos.exe 


Folder::

C:\WINDOWS\system32\wsnpoem

>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku –>

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: ** Qoobox**.

Jeśli jeszcze będzie ten wpis w Hijacku, to go sfiksuj:

Hijackscan(Do a system scan only)zaznacz go Fix checked.

Potem daj raport SDFix oraz log z ComboFixa.

jessi

na koniec przeskanuj komputer skanerem online dla pewności

Nic nie pomogło, ten SDFix nie usunął tego badziewia, poniżej zamieszczam logi:

SDFix:

http://www.wklej.org/id/2803996c40

ComboFix:

http://www.wklej.org/id/47e26b745d

co mam dalej zrobić ??

Wyłącz w Spybot - Search & Destroy - rezydenta i daj nowy log z Combo

Wyłączyłem rezydenta, poniżej zamieszczam komplet logów:

Silent:

http://www.wklej.org/id/410e1161bc

HijackThis:

http://www.wklej.org/id/cb8edf273c

ComboFix:

http://www.wklej.org/id/91767a4778

Rezydenta wyłączyć, aby się nie uruchamiał przy starcie ??

Nic się nie zmieniło, więc powtarzaj całe usuwanie od początku.

Rezydenta wyłącz przynajmniej na czas usuwania.

jessi

Wyłączyłem rezydenta, ale ten trojan nadal tam siedzi, logi z ComboFix i SDFix:

SDFix:

http://www.wklej.org/id/88ec84a436

ComboFix:

http://www.wklej.org/id/7bf8337f18

Jakieś inne pomysły jak się go pozbyć ??

Przeczytaj punkt 2.6 regulaminu i popraw temat.

Tak btw to co ten trojan robi i czy ktoś wie jak można go się pozbyć w inny sposób niż opisany powyżej ??

Odinstaluj może najlepiej Spybot - Search & Destroy i restart po restarcie jeszcze raz użyj SDFix + Combo

Logi po odinstalowaniu Spybot - Search & Destroy:

ComboFix:

http://www.wklej.org/id/17f0fd4f87

SDFix:

http://www.wklej.org/id/5b9cb343d9

co dalej ??

Spróbujemy inaczej:

Ściągnij -->GMER.

Otwórz Notatnik i wklej do niego:

Plik >>> zapisz jako >>> zmień rozszerzenie z TXT na wszystkie typy plików >>> zapisz pod nazwą FIX.BAT

( np. na C:\ )

Uruchom Gmer, w >>>zakładce Procesy wybierz Gmer Awaryjny. Komputer się zresetuje i uruchomi się Gmer.

Wybierz znów >>>zakładkę Procesy i na dole w „Poleceniu” przez trzy kropki wskaż plik FIX.BAT , po czym go uruchom (dwuklik).

Potem daj tu log z ComboFixa oraz log z GMERa na ustawieniu:

>>Rootkit>>zaznacz tylko “Usługi” i “Pokaż wszystko”>>Szukaj>>Kopiuj>>CTRL+V do Notatnika (zapisz gdzieś).

jessi

Zrobiłem jak kazałaś, jednak podczas wykonywania każdej z linii pliku fix.bat wyskakiwał “błąd podczas kasowania pliku”, poniżej zamieszczam logi:

ComboFix:

http://www.wklej.org/id/a56f942a09

Gmer:

http://www.wklej.org/id/b2cbe87a11

już po wszystkim ??

Już powinno być Ok

Dziękuję!