I-Lookup/Abeb
I-Lookup/Abeb
Używa bliblioteki dll: abeb.dll i zmienia stronę startową na superwebsearch.com
I-Lookup/Bmeb
Używa bliblioteki dll: bmeb.dll i zmienia stronę startową na traffichog.com
I-Lookup/Chgrgs
Używa bliblioteki dll: chrgrs.dll
I-Lookup/Drbr
Używa bliblioteki dll: drbr.dll ai zmienia stronę startową na globaltoolbar.com
I-Lookup/Gws
Używa bliblioteki dll: gws.dll i zmienia stronę startową na globalwebsearch.com
I-Lookup/Ineb
Używa bliblioteki dll: ineb.dll i zmienia stronę startową na i-lookup.com
I-Lookup/Sbus
Używa bliblioteki dll: sbus.dll i zmienia stronę startową na searchbus.com
Usuwanie:
Wchodzimy w C:\WINDOWS\Downloaded Program Files
Zaznaczamy:
* I-Lookup.com Bar lub toolbar (Wariant Abeb lub Ineb)
* GlobalWebSearch.com Bar (Wariant Gws lub Chgrgs)
* GlobalToolbar.com (Wariant Drbr)
* Search Bar (Wariant Bmeb)
* SearchBus.com (Wariant Sbus)
Usuwamy pliki
Następnie:
Otwieramy Konsolę DOS:
Dla Windows 95/98/ME klikamy na start->uruchom-> wpisujemy COMMAND i klikamy OK
Dla Windows XP/200 klikamy na start->uruchom-> wpisujemy CMD i klikamy ok.
Kiedy otworzymy Konsolę DOS musimy wyrejestrować DLL’e wirusów, wpisujemy:
Abeb wariant
cd “%WinDir%\System”
regsvr32 /u abeb.dll
Bmeb wariant
cd “%WinDir%\System”
regsvr32 /u bmeb.dll
Chgrgs wariant
cd “%WinDir%\System”
regsvr32 /u chgrgs.dll
Drbr wariant
cd “%WinDir%\System”
regsvr32 /u drbr.dll
Gws wariant
cd “%WinDir%\System”
regsvr32 /u gws.dll
Ineb wariant
cd “%WinDir%\System”
regsvr32 /u ineb.dll
Sbus wariant
cd “%WinDir%\System”
regsvr32 /u sbus.dll
Zamykamy konsolkę.
Resetujemy ustawienia Internet Explorer (klikamy Narzędzia -> Opcje Internetowe -> Programy -> Resetuj ustawienia sieci Web)
Usunięcie wpisów z rejestru:
Start->Uruchom->regedit i klikamy OK
Rozwijając plusami przechodzimy do:
HKEY_CURRENT_USER
sOFTWARE
Znajdujemy folder Ineb i klikamy prawym -> usuń
NewDotNet
Ściągnij program LSP-Fix!
http://www.cexx.org/lspfix.zip
uruchomić LSP-Fix >>>> zaznaczyć w nim newdotnet7_22.dll >>> przerzucić do prawego okna >>> Finish >>> RESET KOMPUTERA ZNÓW DO TRYBU AWARYJNEGO i usunąć niżej wymienione wpisy:
- usuń pliki
C:\Program Files\NewDotNet
C:\WINDOWS\NDNuninstall6_38.exe
C:\WINDOWS\NDNuninstall6_98.exe
Hotbar
Usuwanie HotBar:
Wchodzimy do rejestru (start->uruchom->regedit->ok)
Przechodzimy plusami(+) do “folderów” i prawoklikiem usuwamy:
HKey_Current_User\Software\Hotbar
HKey_Local_Machine\Software\Hotbar
HKey_Local_Machine\Software\Microsoft\Internet Explorer\Toolbar\B195B3B3-8A05-11D3-97A4-0004ACA6948E
HKey_Local_Machine\Software\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform\Hotbar 3.0
Jeżeli masz HotBar 3.0:
HKey_Current_User\Software\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent
Usuwanie automatyczne (nie polecam )
res://random.dll/index.html#numer
Moja strona startowa jest podobna do tej: res://random.dll/index.html#numer
Jest to CoolWebSearch. Wygląda mniej więcej tak:
img=[http://www.pchell.com/images/onlythebest.jpg]
Usuwanie
Można usunąć to na 2 sposoby:
1.CWShredder Zaktualizowanie do najaktualniejszej wersji i przeskanowanie.
2.Startujemy w Trybie Awaryjnym (Safe Mode) - Wciśnij F8 kiedy system startuje i wybierz Tryb Awaryjny(Safe Mode)
Otwieramy HijackThis i fixujemy:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\sftzv.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://sftzv.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://sftzv.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\sftzv.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://sftzv.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\sftzv.dll/sp.html#96676
O2 - BHO: (no name) - {4AA2D3C2-CDCA-6838-276F-C2B2B1BA44BE} - C:\WINDOWS\system32\atlgr.dll
O4 - HKLM…\RunOnce: [apigo.exe] C:\WINDOWS\apigo.exe
Edytujemy plik Windows hosts kasujemy wszystko, zostawiamy tylko localhost
Windows 95/98/Me c:\windows\hosts
Windows NT/2000/XP Pro c:\winnt\system32\drivers\etc\hosts
Windows XP Home c:\windows\system32\drivers\etc\hosts
Kasujemy “Temporary Internet Files”, “Cookies” i inne.
Trojan.Elitebar.H
-
Start do trybu awaryjnego
-
Start >>> Uruchom >> cmd i wpisz komendę:
RD /S /Q C:\WINDOWS\etb
SpySheriff / Winstall.exe / Spysheriff.exe
Potrzebne narzędzia:
Usuwanie SpySherrif
1.Ściągnij i zainstaluj Cleanup!, ale nie używaj go jeszcze
2.Ściągnij, zainstaluj, zupdatuj.
-
Przejdź do Trybu Awaryjnego.
-
Włącz CleanUp!
-
kliknij Options
-
Custom CleanUp!
-
Zaznacz:
Empty Recycle Bins
Delete Cookies
Delete Prefetch files
Scan local drives for temporary files
Cleanup! All Users
Kliknij OK
Naciśnij przycisk start, do skanowania.
Kiedy usuwanie plików w CleanUp! się skończy włącz Ewido Security Suite:
Kliknij na scanner
Kliknij na Complete System Scan
Kiedy się przeskanuje usuń wszystkie pliczki, wpisy ! (Perform action on all infections) i OK.
Kiedy Ewido przeskanuje twój komputer przejdź do normalnego trybu.
Start -> Panel Sterowania -> Dodaj/Usuń Programy
Odinstaluj SpySheriff.
Usuń z dysku te pliki:
Później w trybie awaryjnym usuwamy wpisy z hijackthis:
Kliknij prawym - zapisz element docelowy jako…
Wejdź w ten plik reg. Komputer Cię zapyta czy dodać kliknij TAK!
Następnie przejdź do Folderu:
C:\Windows\Prefetch - usuń całą zawartość foldera ( nie sam folder
Restart
Złączono Posta : 02.03.2006 (Czw) 14:24
Spyaxe i Svchosts.dll/wbeconm.dll
Spyaxe - jest to fałszywy program anty, który błędnie informuje nas o infekcjach.
Wygląda mniej więcej tak:
Narzędzia potrzebne do usunięcia:
Usuń w logu:
O4 - HKLM…\Run: [spyAxe] C:\Program Files\SpyAxe\spyaxe.exe /h
Instrukcja usuwania:
Klikamy dwukrotnie na ściągnięy plik smitRem.exe
Naciskamy Start i czekamy. Po rozpakowaniu - OK.
Następnie przechodzimy do Trybu Awaryjnego.
Wchodzimy do rozpakowanego folderu i idziemy do pliku:
Klikamy dwukrotnie na plik RunThis.bat i czekamy aż plik zrobi swoje.
Po skończeniu przechodzimy do Panelu Sterowania - Dodaj/Usuń Programy - Spyaxe - Zmień/Usuń.
Klikamy Uninstall.
Następnie start - uruchom - cleanmgr
Zaznaczamy dysk, na którym znajduje się system Windows (np. C:) - OK - Wybieramy wszystkie pozycje - OK i czekamy aż system usunie pliki.
Zresetuj system do Normalnego Trybu
Złączono Posta : 02.03.2006 (Czw) 14:35
Spyfalcon i Dxmpp.dll
Kolejny fałszywy program na czarnej liście, czyli jak zwykle: daje fałszywe ostrzeżenia itp.
Wygląda:
Narzędzia potrzebne do usunięcia:
- [*:xen3i86i]
smitRem.exe