File::
C:\Documents and Settings\Administrator\1896.bat
C:\Documents and Settings\Administrator\winlogo.exe
C:\Documents and Settings\Administrator\3678.bat
C:\WINDOWS\system32\3113.bat
C:\Temp\kpHor0019.exe
C:\WINDOWS\system32\ex.exe
C:\5162.bat
C:\Documents and Settings\Administrator\3987.bat
C:\3640.bat
C:\Documents and Settings\Administrator\services.exe
C:\Documents and Settings\Administrator\6831.bat
C:\3465.bat
C:\WINDOWS\SYSTEM32\DCADS_SIDEBAR.DLL
C:\WINDOWS\SYSTEM32\SPADS.DLL
Folder::
C:\WINDOWS\system32\vu3
C:\WINDOWS\system32\jd7
C:\WINDOWS\system32\io4
C:\WINDOWS\system32\edcA07
C:\WINDOWS\d2lu
C:\Temp\Ryuan1
Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1648E328-3E5A-4EA5-A9C6-E5F09EE272DA}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{8E015787-B1E3-404a-95DE-3E71E1FA0305}]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"=-
"Attw"=-
"Cqpmw"=-
"SpeedX"=-
"POP Peeper"=-
"Neb"=-
"H/PC Connection Agent"=-
>>Plik>>Zapisz jako… >>>CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )
– podobnie jak na tym obrazku –>
(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)
Wszystko co znalazł SuperAntiSpyware (oprócz ciasteczek) znajdowało się w System Volume Information i po wyłączeniu Przywracania systemu zostało usunięte z dysku.
Musisz powtórzyć operację z plikiem:
Przejdź do folderu C:\Qoobox, wyciągnij stamtąd pliki: qmgr0.dat i qmgr1.dat, jeżeli mają to usuń rozszerzenie *.vir i pliki te przeskanuj na VirusTotal.
Jeżeli pliki będą czyste to umieść je z powrotem w C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Network\Downloader (ukryty folder systemowy).
Przejdź do C:\WINDOWS\system32, wyszukaj plik msconfig.exe i we właściwościach sprawdź jego wielkość i datę modyfikacji.