Usuwanie psw.sboy.a


(Ludi2001) #1

Wlazl mi w plik explorer.exe i nijak nie da sie przegonic :slight_smile: a przy okazji przeszedl na pen drive'a i cyfrowke. oto log z HJT:


(Arekmalek) #2

zafixuj w hijacku. Pogrubione pliki usuń.

Pobierz gmer i zainstaluj.

Otwórz notatnik i wklej w nim:

plik, zapisz jako, zmien rozszerznenie na wzystkie pliki, zapisz pod nazwa Fix.bat

Uruchom Gmer, w >>>zakładce Procesy wybierz Gmer Awaryjny. Komputer się zresetuje i uruchomi się Gmer.

Wybierz znów >>>zakładkę Procesy i na dole w „Poleceniu” przez trzy kropki wskaż plik FIX.BAT, po czym go uruchom (dwuklik).

Daj log z combofix i hijackthis


(Ludi2001) #3


(jessica) #4

Masz Rootkita " Bagle-hidires", i to z dwoma szkodliwymi usługami: " m_hook" oraz " rosa".

ComboFix część jego plików usunął, ale to nie wszystko.

Wklej do Notatnika :

File::

C:\Documents and Settings\pc\Dane aplikacji\m\flec006.exe


Folder::

C:\Documents and Settings\pc\Dane aplikacji\m


Registry::

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 

"german.exe"=-

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"mule_st_key"=-

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2a6b52b2-e7af-11db-81ab-00030d02c063}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e6ec1d07-def0-11db-81a9-00030d02c063}]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e6ec1d08-def0-11db-81a9-00030d02c063}]

>>Plik>>Zapisz jako... >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe ) – podobnie jak na tym obrazku --> Klik

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: **** Qoobox.

Potem daj tu ten log z ComboFixa.

Rootkit uszkodził Tryb Awaryjny:

Antivirus też jest uszkodzony, więc go przeinstaluj.

jessi


(Ludi2001) #5

a po czym poznac ze naprawil tryb awaryjny? :slight_smile:


(jessica) #6

Poza tym wszystko poszło dobrze.

Pytasz, po czym poznać, że Tryb Awaryjny został naprawiony.

Są dwa sposoby.

------------------ I sposób -->

teraz w logu ComboFixa jest taki wpis:

SafeBoot registry key needs repairs. This machine cannot enter Safe Mode.

Po naprawieniu, jak zrobisz log ComboFixa, to takiego wpisu nie będzie.

-------------------- II sposób --->

po prostu wypróbować, czy Tryb Awaryjny działa:

(Tryb Awaryjny.

Daj potem log z ComboFixa do kontroli.

jessi


(Ludi2001) #7

dziekuje :slight_smile:


(jessica) #8

Tak - jest OK! :slight_smile: :slight_smile:

jessi