Usuwanie trudnych przypadków wirusów i spyware

Dla specjalistów Bezpieczeństwo
#1

I-Lookup/Abeb

I-Lookup/Abeb

Używa bliblioteki dll: abeb.dll i zmienia stronę startową na superwebsearch.com

I-Lookup/Bmeb

Używa bliblioteki dll: bmeb.dll i zmienia stronę startową na traffichog.com

I-Lookup/Chgrgs

Używa bliblioteki dll: chrgrs.dll

I-Lookup/Drbr

Używa bliblioteki dll: drbr.dll ai zmienia stronę startową na globaltoolbar.com

I-Lookup/Gws

Używa bliblioteki dll: gws.dll i zmienia stronę startową na globalwebsearch.com

I-Lookup/Ineb

Używa bliblioteki dll: ineb.dll i zmienia stronę startową na i-lookup.com

I-Lookup/Sbus

Używa bliblioteki dll: sbus.dll i zmienia stronę startową na searchbus.com

Usuwanie:

Wchodzimy w C:\WINDOWS\Downloaded Program Files

Zaznaczamy:

* I-Lookup.com Bar lub toolbar (Wariant Abeb lub Ineb)

* GlobalWebSearch.com Bar (Wariant Gws lub Chgrgs)

* GlobalToolbar.com (Wariant Drbr)

* Search Bar (Wariant Bmeb)

* SearchBus.com (Wariant Sbus)

Usuwamy pliki

Następnie:

Otwieramy Konsolę DOS:

Dla Windows 95/98/ME klikamy na start->uruchom-> wpisujemy COMMAND i klikamy OK

Dla Windows XP/200 klikamy na start->uruchom-> wpisujemy CMD i klikamy ok.

Kiedy otworzymy Konsolę DOS musimy wyrejestrować DLL’e wirusów, wpisujemy:

Abeb wariant

cd “%WinDir%\System”

regsvr32 /u abeb.dll

Bmeb wariant

cd “%WinDir%\System”

regsvr32 /u bmeb.dll

Chgrgs wariant

cd “%WinDir%\System”

regsvr32 /u chgrgs.dll

Drbr wariant

cd “%WinDir%\System”

regsvr32 /u drbr.dll

Gws wariant

cd “%WinDir%\System”

regsvr32 /u gws.dll

Ineb wariant

cd “%WinDir%\System”

regsvr32 /u ineb.dll

Sbus wariant

cd “%WinDir%\System”

regsvr32 /u sbus.dll

Zamykamy konsolkę.

Resetujemy ustawienia Internet Explorer (klikamy Narzędzia -> Opcje Internetowe -> Programy -> Resetuj ustawienia sieci Web)

Usunięcie wpisów z rejestru:

Start->Uruchom->regedit i klikamy OK

Rozwijając plusami przechodzimy do:

HKEY_CURRENT_USER

sOFTWARE

Znajdujemy folder Ineb i klikamy prawym -> usuń

NewDotNet

Ściągnij program LSP-Fix!

http://www.cexx.org/lspfix.zip

uruchomić LSP-Fix >>>> zaznaczyć w nim newdotnet7_22.dll >>> przerzucić do prawego okna >>> Finish >>> RESET KOMPUTERA ZNÓW DO TRYBU AWARYJNEGO i usunąć niżej wymienione wpisy:

  • usuń pliki

C:\Program Files\NewDotNet

C:\WINDOWS\NDNuninstall6_38.exe

C:\WINDOWS\NDNuninstall6_98.exe

Hotbar

Usuwanie HotBar:

Wchodzimy do rejestru (start->uruchom->regedit->ok)

Przechodzimy plusami(+) do “folderów” i prawoklikiem usuwamy:

HKey_Current_User\Software\Hotbar

HKey_Local_Machine\Software\Hotbar

HKey_Local_Machine\Software\Microsoft\Internet Explorer\Toolbar\B195B3B3-8A05-11D3-97A4-0004ACA6948E

HKey_Local_Machine\Software\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform\Hotbar 3.0

Jeżeli masz HotBar 3.0:

HKey_Current_User\Software\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent

Usuwanie automatyczne (nie polecam :wink: )

HotBar Uninstall Program

res://random.dll/index.html#numer

Moja strona startowa jest podobna do tej: res://random.dll/index.html#numer

Jest to CoolWebSearch. Wygląda mniej więcej tak:

img=[http://www.pchell.com/images/onlythebest.jpg]

Usuwanie

Można usunąć to na 2 sposoby:

1.CWShredder Zaktualizowanie do najaktualniejszej wersji i przeskanowanie.

2.Startujemy w Trybie Awaryjnym (Safe Mode) - Wciśnij F8 kiedy system startuje i wybierz Tryb Awaryjny(Safe Mode)

Otwieramy HijackThis i fixujemy:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\sftzv.dll/sp.html#96676

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://sftzv.dll/index.html#96676

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://sftzv.dll/index.html#96676

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\sftzv.dll/sp.html#96676

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://sftzv.dll/index.html#96676

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\sftzv.dll/sp.html#96676

O2 - BHO: (no name) - {4AA2D3C2-CDCA-6838-276F-C2B2B1BA44BE} - C:\WINDOWS\system32\atlgr.dll

O4 - HKLM…\RunOnce: [apigo.exe] C:\WINDOWS\apigo.exe

Edytujemy plik Windows hosts kasujemy wszystko, zostawiamy tylko localhost

Windows 95/98/Me c:\windows\hosts

Windows NT/2000/XP Pro c:\winnt\system32\drivers\etc\hosts

Windows XP Home c:\windows\system32\drivers\etc\hosts

Kasujemy “Temporary Internet Files”, “Cookies” i inne.

Trojan.Elitebar.H

  1. Start do trybu awaryjnego

  2. Start >>> Uruchom >> cmd i wpisz komendę:

RD /S /Q C:\WINDOWS\etb

  1. Użyj Elite Toolbar Remover

SpySheriff / Winstall.exe / Spysheriff.exe

Potrzebne narzędzia:

KillBox

Plik reg

Ewido Security Suite

Cleanup!

Usuwanie SpySherrif

1.Ściągnij i zainstaluj Cleanup!, ale nie używaj go jeszcze

2.Ściągnij, zainstaluj, zupdatuj.

  1. Przejdź do Trybu Awaryjnego.

  2. Włącz CleanUp!

  • kliknij Options

  • Custom CleanUp!

  • Zaznacz:

Empty Recycle Bins

Delete Cookies

Delete Prefetch files

Scan local drives for temporary files

Cleanup! All Users

Kliknij OK

Naciśnij przycisk start, do skanowania.

Kiedy usuwanie plików w CleanUp! się skończy włącz Ewido Security Suite:

Kliknij na scanner

Kliknij na Complete System Scan

Kiedy się przeskanuje usuń wszystkie pliczki, wpisy ! (Perform action on all infections) i OK.

Kiedy Ewido przeskanuje twój komputer przejdź do normalnego trybu.

Start -> Panel Sterowania -> Dodaj/Usuń Programy

Odinstaluj SpySheriff.

Usuń z dysku te pliki:

Później w trybie awaryjnym usuwamy wpisy z hijackthis:

Kliknij prawym - zapisz element docelowy jako…

Wejdź w ten plik reg. Komputer Cię zapyta czy dodać kliknij TAK!

Następnie przejdź do Folderu:

C:\Windows\Prefetch - usuń całą zawartość foldera ( nie sam folder

Restart

Złączono Posta : 02.03.2006 (Czw) 14:24

Spyaxe i Svchosts.dll/wbeconm.dll

Spyaxe - jest to fałszywy program anty, który błędnie informuje nas o infekcjach.

Wygląda mniej więcej tak:

spyaxe.gif

Narzędzia potrzebne do usunięcia:

smitRem.exe

Usuń w logu:

O4 - HKLM…\Run: [spyAxe] C:\Program Files\SpyAxe\spyaxe.exe /h

Instrukcja usuwania:

Klikamy dwukrotnie na ściągnięy plik smitRem.exe

extract.jpg

Naciskamy Start i czekamy. Po rozpakowaniu - OK.

Następnie przechodzimy do Trybu Awaryjnego.

Wchodzimy do rozpakowanego folderu i idziemy do pliku:

folder8cc.jpg

Klikamy dwukrotnie na plik RunThis.bat i czekamy aż plik zrobi swoje.

Po skończeniu przechodzimy do Panelu Sterowania - Dodaj/Usuń Programy - Spyaxe - Zmień/Usuń.

Klikamy Uninstall.

Następnie start - uruchom - cleanmgr

Zaznaczamy dysk, na którym znajduje się system Windows (np. C:) - OK - Wybieramy wszystkie pozycje - OK i czekamy aż system usunie pliki.

Zresetuj system do Normalnego Trybu

Złączono Posta : 02.03.2006 (Czw) 14:35

Spyfalcon i Dxmpp.dll

Kolejny fałszywy program na czarnej liście, czyli jak zwykle: daje fałszywe ostrzeżenia itp.

Wygląda:

spyfalcon7xs.jpg

Narzędzia potrzebne do usunięcia:

#2

Od razu trzeba było podać stronę - Kliknij :wink:

#3

Hm…, że sciągnałem nagłówki i narzędzia ?

Grinler mnie nazwali na studiach (od niemieckiego pochodzenia nazwiska )