Trojan Win32:OnLineGames-DQP


(Marek Krassus) #1

Witam,

widziałem już na forum temat z prośbą o rozwiązanie problemu z tym trojanem (Win32:OnLineGames-DQP), jednak wygasł gdzieś po dwóch postach. Żaden ze znanych mi programów, nie jest w stanie usunąć tego czegoś.

Wzorem podobnych watkow na forum zainstalowalem HiJack. Tutaj jest log:

http://www.wklej.org/id/e4b37f584f

Proszę o pomoc w tej sprawie, komputer strasznie wolno działa, a potrzebuje go ciągle do pracy i nie mam czasu na ponowną instalację Windowsa.

Z góry dziękuje.

Marek


(Kambor4) #2

Daj log z Combofix


(Marek Krassus) #3

Mam komunikat błędu przy ComboFix:

"You cannot rename ComboFix as Combo-Fix"


(huber2t) #4

Spróbuj podczas pobierania zapisać nie pod nazwą ComboFix.exe tylko z kreską pomiędzy:

Combo-Fix.exe


(Marek Krassus) #5

:frowning: już tak robiłem


(huber2t) #6

A spróbuj nie zmieniac nazwy


(Marek Krassus) #7

tak tez


(huber2t) #8

Podaj log z pliku main.txt z Deckard's System Scanner


(Marek Krassus) #9

plik raportu main:

http://wklej.org/id/7c3002544e

oraz extra:

http://wklej.org/id/ab78f8d49e


(huber2t) #10

Pobierz The Avenger

wklej do niego ten tekst:

Files to delete:

C:\WINDOWS\system32\tfsdmz.dll 

C:\WINDOWS\system32\fsrgeb.dll 

C:\WINDOWS\system32\pedadt.dll 

C:\WINDOWS\system32\rfdswc.dll 

C:\WINDOWS\system32\hhrdxd.dll

C:\WINDOWS\system32\mtewdh.dll

C:\WINDOWS\system32\wyhesm.dll

C:\WINDOWS\system32\ijsgajba.sys 

C:\WINDOWS\system32\pzwmaime.sys 

C:\WINDOWS\system32\toqnabib.sys 

C:\WINDOWS\system32\tiwxattb.sys 

C:\WINDOWS\system32\ngjxakin.sys 

C:\WINDOWS\system32\wymxajkl.sys 

C:\WINDOWS\system32\sqjsakaq.sys

C:\WINDOWS\system32\zyzxjime.dll

C:\WINDOWS\system32\tisqatyu.dll 

C:\WINDOWS\system32\skqnbbib.dll 

C:\WINDOWS\system32\opshbbty.dll 

C:\WINDOWS\system32\rijxbkin.dll 

C:\WINDOWS\system32\apfobdet.dll 

C:\WINDOWS\system32\yxcschlp.dll 

C:\WINDOWS\system32\nhmxcjkl.dll 

C:\WINDOWS\system32\akjsckaq.dll 

C:\WINDOWS\system32\oswxdttb.dll 

C:\WINDOWS\system32\pjjxddwd.dll 

C:\WINDOWS\system32\lofsdjbo.dll 

C:\WINDOWS\system32\mpmydapi.dll 

C:\WINDOWS\system32\zycbdime.dll 

C:\WINDOWS\system32\mndhddwd.dll 

C:\WINDOWS\system32\zptlcsys.dll 

C:\WINDOWS\system32\ptjhehlp.dll 

C:\WINDOWS\system32\ozfyebyt.dll 

C:\WINDOWS\system32\oohxdbyt.dll 

C:\WINDOWS\system32\zxmscwin.dll

C:\WINDOWS\system32\apsgfjba.dll 

C:\WINDOWS\system32\zywmgime.dll 

C:\WINDOWS\system32\mpmygapi.dll 

C:\WINDOWS\system32\mnmhgsrv.dll 

C:\WINDOWS\system32\ypdjgbmp.dll 

C:\WINDOWS\system32\yzztimsn.dll 

C:\WINDOWS\system32\yzztjmsn.dll 


Folders to delete:

C:\found.000

C:\Program Files\ShoppingReport


Registry Keys to delete:

HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{100EB1FD-D03E-47FD-81F3-EE91287F9465}

HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{18093456-9012-4568-9076-908765467181}

HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{22023698-6984-8541-9654-698745012522}

HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{22596546-2036-9451-6058-658402589722}

HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{25FD6584-698F-BCD2-602C-698745210352}

HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2E035987-F585-68D1-AC28-98FA58E459E2}

HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{35671234-7890-ABCD-CDEF-567801237653}

HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{37AC9076-C898-B098-D098-A18319080973}

HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{3A908760-8000-4000-A000-9000322145A3}

HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{43512378-9874-5641-1025-985420368734}

HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{44FAE856-AD58-20CB-A025-CD4895FA6E44} 

HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{4629FF4F-ACDB-5C90-A098-FACB3456A264}

HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{470165F1-9F65-569F-F895-F14F58F41074}

HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{4A698102-5904-AFD0-20DF-CD1A65829CA4}

HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{4C648541-1025-9650-9057-6541258720C4}

HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{50940F85-F015-14F1-A05F-F69858AC6D05}

HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{528DF602-9541-A985-210A-984A698C6F25}

HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{5A069845-2036-6084-9054-6087502480A5}

HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{5B1AEF69-DDAE-FDAD-DCAB-698F026ABDB5}

HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6A041F13-A111-12A3-B0CF-F99818AA68A6}

HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6FD45A54-9875-698F-E56E-65102358FDF6}

HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{7319A1F1-9410-9654-3201-345FFA349137}

HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{7629FF4F-ACDB-5C90-A098-FACB3456A267}

HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{7C8D1401-A58D-A81C-CD24-A5915C4517C7}

HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{91954FAC-1023-154F-895A-1458258AD819}

HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{9490415F-65F8-B5C5-D8BA-9405FB120549}

HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A490415F-65F8-B5C5-D8BA-9405FB12054A}

HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{AA59145F-315D-BC23-AC1F-145DF81A34AA}

kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt


(Leon$) #11

Pobierz i uruchom narzędzie The Avenger Zaznaczasz tekst podany do usunięcia na forum

kopiuj >> klikasz na Paste Script from Clipboard >> Execute >> Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

Potem nowy log DSS

Pobierz System Repair Engineer

http://www.cybertrash.pl/images/tata/Sy ... ineer.html

przeskanuj daj log

:slight_smile:


(Marek Krassus) #12

log z Avangera:

http://www.wklej.org/id/17989e1b0d

kontynuje działania :slight_smile:

W dniu 20.06.2008 , o godzinie 17:10 został dopisany post przez Krassus

Nowy log DSS:

http://www.wklej.org/id/4233d13dfb

W dniu 20.06.2008 , o godzinie 17:20 został dopisany post przez Krassus

a tu log z System Rapair Engeneer:

http://www.wklej.org/id/506f31dd40

komp mnie muli już, więc jest chyba jakiś progres :slight_smile:

W dniu 20.06.2008 , o godzinie 18:31 został dopisany post przez Krassus

Panowie, jak dalsze działania wyglądają?


(jessica) #13

Jeszcze nikomu na świecie nie udało się usunąć na stałe tej chińskiej infekcji, więc tematy się kończą po kilku postach, bo następuje format dysku.

To się da usuwać, ale natychmiast się odradza od nowa.

Do Notatnika wklej:

Windows Registry Editor Version 5.00


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] 

"AppInit_DLLs"=-

"AppInit_DLLs"=""

Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na: "Wszystkie pliki" >>> Zapisz jako FIX.REG >>> plik uruchom (dwuklik i OK- zgódź się na dodanie do Rejestru). Potem: >Avenger wklej do niego ten tekst:

Drivers to delete:

044c05d0595cc867

36494b5cd0a3a306

3aa5cf84b3e36698 

3b3baf009d06f5d3

56b38398bf28eef9 

771dbbd4669dfc1c

856f859c7b9e74da 

8ae74a647804176f 

8bf20cac89a2440f 

a0d6dbdc8b21c735

a30d5d1cb308e7f3

a91b01609cae956b 

b1e4880877f16b72

b6410c305eb1e0ec

b6d6ebac807f19fe 

bfa07254761e1495

c63377bc26cd9255

d24ec0448d9878c4

e0900bb453c783a0

143e715c9230a698

S12345


Files to delete:

C:\WINDOWS\system32\kcomi32.dll

C:\WINDOWS\system32\drivers\Hdv32_c.sys 

C:\WINDOWS\system32\MMKAFNFW1097.dll 

C:\WINDOWS\system32\MMBAIKOK1092.dll 

C:\WINDOWS\system32\drivers\Hdv32.sys

C:\WINDOWS\system32\spmybapi.sys 

C:\WINDOWS\system32\simyaapi.exe 

C:\WINDOWS\system32\sdjsakaq.sys 

C:\WINDOWS\system32\mkjsakaq.exe 

C:\WINDOWS\system32\oswxdttb.dll 

C:\WINDOWS\system32\newxbttb.sys 

C:\WINDOWS\system32\ghwxattb.exe 

C:\WINDOWS\system32\tisqatyu.dll 

C:\WINDOWS\system32\posqatyu.exe 

C:\WINDOWS\system32\cgsqatyu.sys 

C:\WINDOWS\system32\tjfyabyt.exe 

C:\WINDOWS\system32\snfybbyt.sys 

C:\WINDOWS\system32\ozfyebyt.dll 

C:\WINDOWS\system32\zsdjabmp.exe 

C:\WINDOWS\system32\ypdjgbmp.dll 

C:\WINDOWS\system32\xsdjbbmp.sys 

C:\WINDOWS\system32\rnmxajkl.sys 

C:\WINDOWS\system32\nhmxcjkl.dll 

C:\WINDOWS\system32\lpmxajkl.exe 

C:\WINDOWS\system32\zxcsahlp.exe 

C:\WINDOWS\system32\yxcschlp.dll 

C:\WINDOWS\system32\xzcsbhlp.sys 

C:\WINDOWS\system32\lpsgajba.exe 

C:\WINDOWS\system32\gpsgajba.sys 

C:\WINDOWS\system32\apsgfjba.dll 

C:\WINDOWS\system32\fzmsbwin.sys 

C:\WINDOWS\system32\axmsawin.exe 

C:\WINDOWS\system32\fstlbsys.sys 

C:\WINDOWS\system32\aitlasys.exe 

C:\WINDOWS\system32\pldhadwd.exe 

C:\WINDOWS\system32\gsdhadwd.sys 

C:\WINDOWS\system32\zxmsdwin.dll 

C:\WINDOWS\system32\stjxakin.exe 

C:\WINDOWS\system32\erjxakin.sys 

C:\WINDOWS\system32\fxwmbime.sys 

C:\WINDOWS\system32\azwmaime.exe 

C:\WINDOWS\system32\xbfsbjbo.sys 

C:\WINDOWS\system32\tpfsajbo.exe 

C:\WINDOWS\system32\fxzxbime.sys 

C:\WINDOWS\system32\azzxaime.exe 

C:\WINDOWS\system32\zaztamsn.exe 

C:\WINDOWS\system32\xfztbmsn.sys 

C:\WINDOWS\system32\fxcbbime.sys 

C:\WINDOWS\system32\azcbaime.exe 

C:\WINDOWS\system32\smhxbbyt.sys 

C:\WINDOWS\system32\jbhxabyt.exe 

C:\WINDOWS\system32\dfqnabib.exe 

C:\WINDOWS\system32\aoqnabib.sys 

C:\WINDOWS\system32\jashbbty.sys 

C:\WINDOWS\system32\etshabty.exe 

C:\WINDOWS\system32\lpfoadet.exe 

C:\WINDOWS\system32\gpfoadet.sys 

C:\WINDOWS\system32\ysjxbdwd.sys 

C:\WINDOWS\system32\lojxadwd.exe 

C:\WINDOWS\system32\spjhahlp.exe 

C:\WINDOWS\system32\pmjhbhlp.sys 

C:\WINDOWS\system32\smmhbsrv.sys 

C:\WINDOWS\system32\ismhasrv.exe

C:\WINDOWS\system32\sqjsakaq.sys 

C:\WINDOWS\system32\tiwxattb.sys 

C:\WINDOWS\system32\wymxajkl.sys 

C:\WINDOWS\system32\ijsgajba.sys 

C:\WINDOWS\system32\zptlcsys.dll 

C:\WINDOWS\system32\mpacklk.exe 

C:\WINDOWS\system32\mpackl.dll 

C:\WINDOWS\system32\MMSADZFB1073.exe 

C:\WINDOWS\system32\MMSADZFB1073.dll 

C:\WINDOWS\system32\MMKAFNFW1102.exe 

C:\WINDOWS\system32\MMKAFNFW1102.dll 

C:\WINDOWS\system32\MMFKKLJK1096.dll 

C:\WINDOWS\system32\MMKAFNFW1100.dll 

C:\WINDOWS\system32\pzcbaime.sys

C:\WINDOWS\system32\kcomi32.exe 

C:\WINDOWS\system32\kcoin32.exe 

C:\WINDOWS\system32\kcoim32.exe 

C:\WINDOWS\system32\midimapwl.dat 

C:\WINDOWS\system32\midimapzx.dat 

C:\WINDOWS\system32\csrsrvmy.dll 

C:\WINDOWS\system32\rasmanqn3.dll 

C:\WINDOWS\system32\midimapqn3.dat 

C:\WINDOWS\system32\mprapimy.dll 

C:\WINDOWS\system32\midimapmy.dat 

C:\WINDOWS\system32\midimappt.dat 

C:\WINDOWS\system32\kbdswjr.dll 

C:\WINDOWS\system32\midimapcq.dat 

C:\WINDOWS\system32\midimapjr.dat 

C:\WINDOWS\system32\midimapgj.dat 

C:\WINDOWS\system32\midimaptl.dat 

C:\WINDOWS\system32\midimapqn3.dll 

C:\WINDOWS\system32\midimapgj.dll 

C:\WINDOWS\system32\midimapzx.dll 

C:\WINDOWS\system32\midimappt.dll 

C:\WINDOWS\system32\midimapjr.dll 

C:\WINDOWS\system32\midimapwl.dll 

C:\WINDOWS\system32\midimapcq.dll 

C:\WINDOWS\system32\midimapwd.dll 

C:\WINDOWS\system32\midimapwd.dat 

C:\WINDOWS\system32\midimapmy.dll 

C:\WINDOWS\system32\midimaptl.dll

C:\WINDOWS\system32\akjsckaq.dll

C:\143e715c9230a698.dat

E:\S12345.SYS

C:\e0900bb453c783a0.dat

C:\d24ec0448d9878c4.dat

C:\c63377bc26cd9255.dat

C:\bfa07254761e1495.dat

C:\b6d6ebac807f19fe.dat

C:\b6410c305eb1e0ec.dat

C:\b1e4880877f16b72.dat

C:\a91b01609cae956b.dat

C:\a30d5d1cb308e7f3.dat

C:\a0d6dbdc8b21c735.dat

C:\8bf20cac89a2440f.dat

C:\8ae74a647804176f.dat

C:\856f859c7b9e74da.dat

C:\771dbbd4669dfc1c.dat

C:\56b38398bf28eef9.dat

C:\3b3baf009d06f5d3.dat

C:\3aa5cf84b3e36698.dat

C:\36494b5cd0a3a306.dat

C:\044c05d0595cc867.dat


Folders to delete:

C:\WINDOWS\Temp

C:\Documents and Settings\Marek Krassus\Ustawienia lokalne\Temp

C:\Documents and Settings\Marek Krassus\Ustawienia lokalne\Dane aplikacji\TEMP

C:\Documents and Settings\NetworkService\Ustawienia lokalne\Temporary Internet Files



Registry values to delete:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad | midimapcq

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad | midimapwl

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad | csrsrvmy

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad | midimapwd

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad | midimaptl

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad | midimapgj 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad | kbdswjr

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad | mprapimy

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad | midimapqn3

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad | midimapmy

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad | midimapjr

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad | midimappt

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad | rasmanqn3

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad | midimapzx

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce | svc

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run | kcomi

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {6C8D1401-A58D-A81C-CD24-A5915C4517C6}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {6C8D1401-A58D-A81C-CD24-A5915C4517C6}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {4F4F0064-71E0-4f0d-0017-708476C7815F}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {6A041F13-A111-12A3-B0CF-F99818AA68A6} 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {4F4F0064-71E0-4f0d-0015-708476C7815F}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {4C648541-1025-9650-9057-6541258720C4}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {4F4F0064-71E0-4f0d-0018-708476C7815F}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {4F4F0064-71E0-4f0d-0023-708476C7815F}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {35671234-7890-ABCD-CDEF-567801237653}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {9A59145F-315D-BC23-AC1F-145DF81A34A9}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {3A698102-5904-AFD0-20DF-CD1A65829CA3}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {528DF602-9541-A985-210A-984A698C6F25}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {44FAE856-AD58-20CB-A025-CD4895FA6E44}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {6319A1F1-9410-9654-3201-345FFA349136}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {4F4F0064-71E0-4f0d-0004-708476C7815F}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {8490415F-65F8-B5C5-D8BA-9405FB120548}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {2E035987-F585-68D1-AC28-98FA58E459E2}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {4A069845-2036-6084-9054-6087502480A4}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {5B1AEF69-DDAE-FDAD-DCAB-698F026ABDB5}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {25FD6584-698F-BCD2-602C-698745210352}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {3FD45A54-9875-698F-E56E-65102358FDF3}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {22596546-2036-9451-6058-658402589722} 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {18093456-9012-4568-9076-908765467181}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {33512378-9874-5641-1025-985420368733}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {370165F1-9F65-569F-F895-F14F58F41073}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {17AC9076-C898-B098-D098-A18319080971}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {81954FAC-1023-154F-895A-1458258AD818}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {22023698-6984-8541-9654-698745012522}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {7C8D1401-A58D-A81C-CD24-A5915C4517C7}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {9490415F-65F8-B5C5-D8BA-9405FB120549}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {4FD45A54-9875-698F-E56E-65102358FDF4}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {AA59145F-315D-BC23-AC1F-145DF81A34AA}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {4F4F0064-71E0-4f0d-0012-708476C7815F}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {5A069845-2036-6084-9054-6087502480A5}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {470165F1-9F65-569F-F895-F14F58F41074} 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {43512378-9874-5641-1025-985420368734}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {4629FF4F-ACDB-5C90-A098-FACB3456A264}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {18e64250-19a8-4d10-828f-30e101a22291}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {4A698102-5904-AFD0-20DF-CD1A65829CA4}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {5FD45A54-9875-698F-E56E-65102358FDF5}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {7319A1F1-9410-9654-3201-345FFA349137}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {91954FAC-1023-154F-895A-1458258AD819}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {4F4F0064-71E0-4f0d-0021-708476C7815F}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {4F4F0064-71E0-4f0d-0005-708476C7815F}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {4F4F0064-71E0-4f0d-0003-708476C7815F}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {4F4F0064-71E0-4f0d-0022-708476C7815F}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {1c59fa6d-05df-4028-a548-344d01a0bb2f}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {37AC9076-C898-B098-D098-A18319080973}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {50940F85-F015-14F1-A05F-F69858AC6D05}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {6FD45A54-9875-698F-E56E-65102358FDF6}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {7629FF4F-ACDB-5C90-A098-FACB3456A267}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {ab5f91ae-daae-4472-b6ce-53755ce06a2a}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {00120012-0012-0012-0012-00120012BB15}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {00150015-0015-0015-0015-00150015BB15}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {aa8ad0dd-4368-4e7b-bc12-bd8c2a600377}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {A490415F-65F8-B5C5-D8BA-9405FB12054A}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {00220022-0022-0022-0022-00220022BB15}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {3A908760-8000-4000-A000-9000322145A3}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {7A041F13-A111-12A3-B0CF-F99818AA68A7}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {E8A3B193-77E3-4FB3-986D-F4FA4828BAFC}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {17DFD111-BF3A-4CB4-ADB0-88FCBFE69821}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {461D2AB4-29A5-45C2-9134-D52272D3DE38}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {EB71E0B3-E97D-4D30-8733-E28266467617}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {5E907A48-400E-4EA8-9792-FFAE052D59E9}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {EA5D4B0E-B8CE-4761-8C7E-5D26369F0EC6}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {875E07B1-0614-43D9-A76E-D76A28AB3D7B}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {189F087F-4378-405F-85FA-37D955AD7A8C}


Registry keys to delete:

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{100EB1FD-D03E-47FD-81F3-EE91287F9465}

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18093456-9012-4568-9076-908765467181}

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{22023698-6984-8541-9654-698745012522}

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{22596546-2036-9451-6058-658402589722}

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{25FD6584-698F-BCD2-602C-698745210352}

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{35671234-7890-ABCD-CDEF-567801237653}

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{37AC9076-C898-B098-D098-A18319080973}

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3A908760-8000-4000-A000-9000322145A3}

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{43512378-9874-5641-1025-985420368734}

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{44FAE856-AD58-20CB-A025-CD4895FA6E44}

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4629FF4F-ACDB-5C90-A098-FACB3456A264}

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{470165F1-9F65-569F-F895-F14F58F41074}

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4A698102-5904-AFD0-20DF-CD1A65829CA4}

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4C648541-1025-9650-9057-6541258720C4}

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{50940F85-F015-14F1-A05F-F69858AC6D05}

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{528DF602-9541-A985-210A-984A698C6F25}

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5A069845-2036-6084-9054-6087502480A5}

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5B1AEF69-DDAE-FDAD-DCAB-698F026ABDB5}

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6A041F13-A111-12A3-B0CF-F99818AA68A6}

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6FD45A54-9875-698F-E56E-65102358FDF6}

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7319A1F1-9410-9654-3201-345FFA349137}

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7629FF4F-ACDB-5C90-A098-FACB3456A267}

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7C8D1401-A58D-A81C-CD24-A5915C4517C7}

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{91954FAC-1023-154F-895A-1458258AD819}

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9490415F-65F8-B5C5-D8BA-9405FB120549}

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A490415F-65F8-B5C5-D8BA-9405FB12054A}

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AA59145F-315D-BC23-AC1F-145DF81A34AA}

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7A041F13-A111-12A3-B0CF-F99818AA68A7}

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C5428486-50A0-4a02-9D20-520B59A9F9B2}

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C5428486-50A0-4a02-9D20-520B59A9F9B3}

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{100EB1FD-D03E-47FD-81F3-EE91287F9465}

Kliknij w "Execute" i zatwierdź restart komputera.

Zrestartuj komputer. Raport z Avengera znajduje się w C:\avenger.txt.

Daj też nowy log z DSS, ale usuń ten DSS, który masz, i ściągnij od nowa, bo po pierwszym użyciu DSS nie pokazuje niektórych "rzeczy".

Spróbuj też usunąć ComboFix i ściągnąć go w Trybie Awaryjnym z obsługą sieci.

jessi


(Leon$) #14

Wyłącz I włącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

Pobierz i uruchom narzędzie The Avenger Zaznaczasz tekst podany do usunięcia na forum

kopiuj >> klikasz na Paste Script from Clipboard >> Execute >> Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

Otwórz notatnik i wklej

zapisz jako plik.reg >> wszystkie pliki >> scal z rejestrem >> restart

b57f17008275c957m.jpg

powstanie plik o takiej ikonie

062aec4c9b51c033m.jpg

w który dwa razy klikniesz potwierdzisz chęć dodania do rejestru potem restart

Potem nowy DSS i System Repair Engineer

:slight_smile:

Fix poprawiony


(jessica) #15

@ Leon$ - podanyprzez Ciebie " FIX.REG" jest błędny!

Po pierwsze - klucze BHO są nieprawidłowo napisane w efekcie żaden z tych 33 kluczy nie usunie się.

Po drugie: usunięcie całego klucza " AppInit_DLLs" może uszkodzić System. Trzeba podawać od razu także " AppInit_DLLs"=""

Wyjątek: Tylko w Avengerze można zapisywać to w postaci trochę podobnej do podanej przez Ciebie.

jessi


(Kambor4) #16

Użyj

Tu masz linka. http://www.forum.idg.pl/lofiversion/ind ... 18804.html

UWAGA!Skan może trwać wiele GODZIN!!


(Leon$) #17

Dziękuję za zwrócenie uwagi fix poprawiłem

:slight_smile:


(Marek Krassus) #18

Witam po przerwie :slight_smile:

to co się dzieje na forum to dla mnie wyższa matematyka jest. oczywiście postępować według procedury i jasnych instrukcji jest łatwo, ale pytanie na ile gra warta jest świeczki jeśli to chińskie dziadostwo się wciąż odradza.

Wpisując w google nazwe któregoś .dll wykrytego przez Avast, znalazłem info na forum, że akurat w tamtym przypadku trojan się odrodził nawet po reinstalce windows.

co radzicie? na ile jest sens używać kolejnych narzędzi i angażować forumowiczów a na ile zrobić backup i postawić na nowo system? przypuszczalnie to i to zajmu tyle samo czasu.

w ogóle dzięki za pomoc i czekam na radę.

Pozdrawiam :slight_smile:

W dniu 21.06.2008 , o godzinie 14:01 został dopisany post przez Krassus

w jaki sposób usunąć Combo, jest na to chyba jakaś komenda? i w jaki sposób i skąd sciągnąć tą wersję z obsługą sieci?

tutaj log nowego DSS:

http://www.wklej.org/id/07331bcd4d

oraz avengera:

http://www.wklej.org/id/4ee7d32aba

W dniu 21.06.2008 , o godzinie 14:31 został dopisany post przez Krassus

Leon zrobiłem wszytko wg. instrukcji.

tutaj logi:

Avenger http://www.wklej.org/id/56bbdbb089

DSS http://www.wklej.org/id/0be3233cf7

Engeneer http://www.wklej.org/id/d73843dd28


(Leon$) #19

Pobierz i uruchom narzędzie The Avenger Zaznaczasz tekst podany do usunięcia na forum

kopiuj >> klikasz na Paste Script from Clipboard >> Execute >> Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

potem log DSS i System Repair Engineer

Wyłącz I włącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

przeskanuj obszar Mój komputer http://www.kaspersky.pl/virusscanner.html pokaż raport stronę uruchomić przez IE

:slight_smile:


(Marek Krassus) #20

Avenger

http://www.wklej.org/id/2ced82eb92