Ternor
(Mati3832)
25 Styczeń 2009 12:46
#1
Wracając do domu zastałem na swoim pc 1)dziwną tapete 2)wolny internet 3)mulacy się komputer 4)dziwną ikonę i dymek informujący o wykryciu wirusa win32.banker.fs.trojan.spyagent.da
Próbowałem Avasta i Avira, niestety bezskutecznie, prosze o pomoc, oto log z HijackThis:
http://www.wklej.org/id/44185/
Leon1
(Leon$)
25 Styczeń 2009 12:55
#2
włącz HijackThis >> Do a system scan only >> w oknie programu pokaże się log >> zaznacz kratki przy podanych wpisach >> klikasz Fix checked
O4 - HKLM…\Run: [Tweyileyocozof] rundll32.exe “C:\WINDOWS\Gwopo.dll”,e O4 - HKLM…\Run: [updateWin] C:\WINDOWS\system32\AgCPanelJapaneset.exe O4 - HKLM…\RunServices: [updateWin] C:\WINDOWS\system32\AgCPanelJapaneset.exe O4 - HKCU…\Run: [DriverUpdaterPro] C:\Program Files\iXi Tools\Driver Updater Pro\DriverUpdaterPro.exe -t O4 - HKCU…\Run: [updateWin] C:\WINDOWS\system32\AgCPanelJapaneset.exe O4 - HKCU…\RunServices: [updateWin] C:\WINDOWS\system32\AgCPanelJapaneset.exe O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 O22 - SharedTaskScheduler: IPC Configuration Utility - IPC Configuration Utility - (no file) O22 - SharedTaskScheduler: Windows Installer Class - {020487CC-FC04-4B1E-863F-D9801796230B} - C:\DOCUME~1\Pc\USTAWI~1\Temp\wndutl32.dll
Pobierz Combofix http://www.searchengines.pl/index.php?s … ntry395642 ale nie włączaj.
Podczas pobierania i skanu Combofixem proszę wyłączyć wszelkie zapory i antywirusy
Otwórz notatnik i wklej
zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe
http://img.wklej.org/images/88953CFScri … iemoes.gif
Powinno rozpocząć się usuwanie
Potem log z usuwania Combofix
Ternor
(Mati3832)
25 Styczeń 2009 13:07
#3
Po zaznaczeniu podanych wyżej wpisów z HijackThis i kliknięciu Fix chcecked wyrzuca informacje iż: “Edycja rejestru została wyłączona przez administratora sieci”
Leon1
(Leon$)
25 Styczeń 2009 13:12
#4
Otwórz notatnik i wklej do niego:
[Version] Signature="$Chicago$" Provider=Symantec [DefaultInstall] AddReg=UnhookRegKey [unhookRegKey] HKLM, Software\CLASSES\batfile\shell\open\command,"""%1"" %*" HKLM, Software\CLASSES\comfile\shell\open\command,"""%1"" %*" HKLM, Software\CLASSES\exefile\shell\open\command,"""%1"" %*" HKLM, Software\CLASSES\piffile\shell\open\command,"""%1"" %*" HKLM, Software\CLASSES\regfile\shell\open\command,“regedit.exe “”%1"”" HKLM, Software\CLASSES\scrfile\shell\open\command,"""%1"" %*" HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools,0x00000020,0
zapisz jako plik.inf >> wszystkie pliki >> PPM na plik >> zainstaluj >> restart
potem usuwanie HijackThis
Ternor
(Mati3832)
25 Styczeń 2009 13:30
#5
Niestety rejestr wciąż po zaaplikowaniu pliku inf niechce działac
Leon1
(Leon$)
25 Styczeń 2009 13:33
#6
spróbuj HijackThis odpalić w trybie awaryjnym i usunąć te dwa wpisy
Ternor
(Mati3832)
25 Styczeń 2009 13:44
#7
W awaryjnym to samo
Odpaliłem combofix mimo wszystko, objawy zniknęły:
log z combofix http://www.wklej.org/id/44251/
log z hijackthis http://www.wklej.org/id/44252/
huber2t
(huber2t)
25 Styczeń 2009 14:08
#8
Do wyleczenia pendrive z wirusów użyj tych programów
Pobierz ComboFix , ale nie uruchamiaj
Wklej do notatnika:
File::
c:\windows\system32\2096242500.dat
Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0e130bbd-51a9-11dd-b6f4-d9784879f408}]
Plik -> zapisz jako -> CFScript.txt .
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->
Rozpocznie się usuwanie i powstanie log, który dasz na forum.
Logi dajesz na http://wklej.eu lub na http://wklej.org a w poście dajesz tylko link