Trojan Win32


(Brewin) #1

Avast wykrył wirusa Win32:Agent HKH lub/i BBQ (nie pamiętam dokładnie nazwy), teraz komputer wiesza się zaraz po pojawieniu sie komunikatu avasta o jego wykryciu. Windows działa bezproblemowo tylko w trybie awaryjnym, przez co logi są też wykonane w trybie awaryjnym, proszę o pomoc w rozwiązaniu problemu.

HijackThis:

SilentRunners:


(jessica) #2

Ściągnij LSP-Fix zaznacz " I know what I'm doing",

następnie w okienku Keep zaznacz plik yyaisgd.dll (innych plikow NIE ruszaj bo internet przestanie działać)

i za pomocą strzałki (>>) przenieś go do okienka Remover i kliknij Finish i restart kompa.

Następnie ściągnij (do usuwania powyższych wpisów) program SDFix

Pokaż Report.txt znajdujący się w folderze SDFix.

Po tych usuwaniach został do usunięcia jeszcze:

Sfiksuj ten wpis w Hijacku:

>>Hijack>>scan(Do a system scan only)>>zaznacz je >> Fix checked.

Ten zaznaczony na czerwono plik spróbuj usunąć ręcznie w Trybie Awaryjnym.

Potem daj tu:

1) raport z SDFixa

2) log z Hijacka

3) log z ComboFixa:

(na dole tej strony z linku) -

Log wklej na http://wklej.org/, a w poście daj tylko link.

.


(Brewin) #3

po uzyciu LSP-Fix i SDFix komputer daje się bez problemu uruchomić w normalnym trybie, wpisu:

nie ma w HijackThis, danego pliku rówież nie ma.

logi i raporty:

SDFix

HijackThis

ComboFix: http://wklej.org/id/34018333d1


(jessica) #4

Tego "winlogona" nie było już, bo usunął go SDFix - widać to w jego raporcie.

Nawet nie wiedziałam, że go potrafi usunąć!

Jest już OK!.

.


(Kuba1) #5

C:\WINDOWS\ unvise32.exe

Ten plik jest do usunięcia w trybie awaryjnym.


(Brewin) #6

Avast znowu wykrył Win32:Agent HKH (czy jakoś tak), potraktowałem go SDFixem i ComboFixem, wydaje się, że już wszystko w porządku, proszę o sprawdzenie logów:

SDFix

ComboFix: http://wklej.org/id/d605b54e3d

i HijackThis wykonany po powyższych:


(jessica) #7

Logi z Hijacka i ComboFixa wyglądają na czyste.

Natomiast raport SDFixa zawiera baardzo niepokojące wieści:

Miałeś zainfekowany plik "ndis.sys" - SDFix go usunął i zastąpił zapasowym. Ale teraz nie masz już zapasowego i jeśli nastąpi powtórna infekcja, to SDFix nie będzie miał skąd wziąć.

Skopiuj teraz "ndis.sys" znajdujący się w folderze C:\WINDOWS\system32\ drivers do folderu C:\WINDOWS\system32\ dllcache. Będziesz miał znów zapasowy (o ile w międzyczasie nie został znów zainfekowany!).

Natomiast nie bardzo zrozumiałam, o co chodzi z plikiem "tcpip.sys" (nie znam angielskiego).

Być może też jest zainfekowany, bo z raportu wynika, że SDFix nie potrafił go naprawić.

W takim wypadku trzeba by go było wymienić poprzez Consolę Odzyskiwania.

Ale o tym musi zadecydować ktoś, kto zna ang., by mieć pewność, że to o to chodzi.

.