chen1
(Chen1)
5 Październik 2007 11:18
#1
Witam,
Mam problem z Win32.Agent.pz. Próbuje się zainstalować, lub już się zainstalował, lecz co jest najbardziej denerwujące próbuje mi zmienić rejestr, ale zmiana ta jest blokowana przez rezydenta Spybot. Co kilkanaście sekund wyskakuje mi okienko, że zmiana rejestru została zablokowana (Rezydent odmówił zmian w UserInit (category Winlogon)). Próbowałem usunąć to Spybotem i Ad-Aware 2007 ale programy te nie dają rady, coś niby usuwają, ale po restarcie ponownie blokowane są zmiany. Co więcej, nie mogę znaleźć charakterystycznego katalogu (C:\WINDOWS\system32\wsnpoem) i pliku (ntos.exe) tego trojana.
Poniżej zamieszczam logi:
SilentRunners (jak zawsze na moim kompie wyszedł z błędem):
http://wklej.org/id/6b34a4755c
HijackThis:
http://www.wklej.org/id/704a06ec12
ComboFix:
http://www.wklej.org/id/c089254c16
Z góry bardzo dziękuję za pomoc.
jessica
(jessica)
5 Październik 2007 12:51
#2
Nie widzisz ich, bo mają atrybut ochronny ***hidden***.
Użyj -->SDFix
Uwaga: Da się go uruchomić tylko w Trybie Awaryjnym .
Pokaż Report.txt znajdujący się w folderze SDFix.
Instrukcja obsługi: Dwuklik na SDFix.exe, program wypakuje się na C:\SDFix (standardowo) Zrestartuj komputer i wejdź do trybu awaryjnego (klawisz F8 przed startem Windowsa) Wejdź do folderu z SDFix, dwuklik na plik RunThis.bat Wciśnij Y, nastąpi proces usuwania. Kiedy usuwanie się ukończy, wciśnij dowolny klawisz (Any Key). Nastąpi restart komputera. Po restarcie SDFix uruchomi się ponownie, żeby dokończyć proces usuwania. Kiedy pojawi się w oknie programu Finished, wciśnij dowolny klawisz do zakończenia scryptu i załadowania ikon na pulpicie. Pokaż Report.txt znajdujący się w folderze SDFix.
Dodatkowo, by być pewnym na 200%:
Wklej do Notatnika :
File::
C:\WINDOWS\system32\ntos.exe
Folder::
C:\WINDOWS\system32\wsnpoem
>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )
– podobnie jak na tym obrazku –>
(jeśli pojawi się pytanie " 1 or 2 " - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)
Po restarcie usuń ręcznie folder C: * * Qoobox**.
Jeśli jeszcze będzie ten wpis w Hijacku, to go sfiksuj:
Hijackscan(Do a system scan only)zaznacz go Fix checked .
Potem daj raport SDFix oraz log z ComboFixa.
jessi
_Squall
(^Squall^)
5 Październik 2007 13:14
#3
na koniec przeskanuj komputer skanerem online dla pewności
chen1
(Chen1)
5 Październik 2007 20:45
#4
Nic nie pomogło, ten SDFix nie usunął tego badziewia, poniżej zamieszczam logi:
SDFix:
http://www.wklej.org/id/2803996c40
ComboFix:
http://www.wklej.org/id/47e26b745d
co mam dalej zrobić ??
Gutek
(Gutek)
5 Październik 2007 23:47
#5
Wyłącz w Spybot - Search & Destroy - rezydenta i daj nowy log z Combo
chen1
(Chen1)
6 Październik 2007 09:27
#6
Wyłączyłem rezydenta, poniżej zamieszczam komplet logów:
Silent:
http://www.wklej.org/id/410e1161bc
HijackThis:
http://www.wklej.org/id/cb8edf273c
ComboFix:
http://www.wklej.org/id/91767a4778
Rezydenta wyłączyć, aby się nie uruchamiał przy starcie ??
jessica
(jessica)
6 Październik 2007 11:24
#7
Nic się nie zmieniło, więc powtarzaj całe usuwanie od początku.
Rezydenta wyłącz przynajmniej na czas usuwania.
jessi
chen1
(Chen1)
6 Październik 2007 12:17
#8
Wyłączyłem rezydenta, ale ten trojan nadal tam siedzi, logi z ComboFix i SDFix:
SDFix:
http://www.wklej.org/id/88ec84a436
ComboFix:
http://www.wklej.org/id/7bf8337f18
Jakieś inne pomysły jak się go pozbyć ??
Monczkin
(Monczkin)
6 Październik 2007 13:02
#9
Przeczytaj punkt 2.6 regulaminu i popraw temat.
chen1
(Chen1)
6 Październik 2007 18:15
#10
Tak btw to co ten trojan robi i czy ktoś wie jak można go się pozbyć w inny sposób niż opisany powyżej ??
Gutek
(Gutek)
7 Październik 2007 00:04
#11
Odinstaluj może najlepiej Spybot - Search & Destroy i restart po restarcie jeszcze raz użyj SDFix + Combo
chen1
(Chen1)
7 Październik 2007 12:43
#12
Logi po odinstalowaniu Spybot - Search & Destroy:
ComboFix:
http://www.wklej.org/id/17f0fd4f87
SDFix:
http://www.wklej.org/id/5b9cb343d9
co dalej ??
jessica
(jessica)
7 Październik 2007 13:23
#13
Spróbujemy inaczej:
Ściągnij -->GMER .
Otwórz Notatnik i wklej do niego:
Plik >>> zapisz jako >>> zmień rozszerzenie z TXT na wszystkie typy plików >>> zapisz pod nazwą FIX.BAT
( np. na C:\ )
Uruchom Gmer, w >>>zakładce Procesy wybierz Gmer Awaryjny . Komputer się zresetuje i uruchomi się Gmer.
Wybierz znów >>>zakładkę Procesy i na dole w „Poleceniu” przez trzy kropki wskaż plik FIX.BAT , po czym go uruchom (dwuklik).
Potem daj tu log z ComboFixa oraz log z GMERa na ustawieniu:
>>Rootkit>>zaznacz tylko “Usługi” i “Pokaż wszystko”>>Szukaj>>Kopiuj>>CTRL+V do Notatnika (zapisz gdzieś).
jessi
chen1
(Chen1)
7 Październik 2007 14:05
#14
Zrobiłem jak kazałaś, jednak podczas wykonywania każdej z linii pliku fix.bat wyskakiwał “błąd podczas kasowania pliku”, poniżej zamieszczam logi:
ComboFix:
http://www.wklej.org/id/a56f942a09
Gmer:
http://www.wklej.org/id/b2cbe87a11
już po wszystkim ??