Co chwila wyskakuje mi informacja, że zaraz zacznie się pobieranie “…czegoś tam” …a następnie wkracza do akcji rezydent SpyBot’a i pyta się czy zablokować pobieranie—> po czym uruchamia sie okienko IE z jakąś stronką www.
Log:
Co chwila wyskakuje mi informacja, że zaraz zacznie się pobieranie “…czegoś tam” …a następnie wkracza do akcji rezydent SpyBot’a i pyta się czy zablokować pobieranie—> po czym uruchamia sie okienko IE z jakąś stronką www.
Log:
>>Hijack>>scan(Do a system scan only)>>zaznacz (V) >> Fix checked.
To wygląda na infekcję " LOP".
Aby zobaczyć pozostałe elementy tej infekcji daj log z –> ComboFix .
jessi
Wpis w HJ ciachnięty…
Dla pewności nowy log:
ComboFix: http://wklej.org/id/8b361209ea
tak przy okazji: podczas uruchamiania kopmutera system woła o podanie hasła (żadnego hasła nie mam ustawionego) --> muszę za każdym razem
klikać ok… jak to zniwelować ??
A.
Problem z hasłem może daj w jakimś innym dziale tego Forum
(np. -http://forum.dobreprogramy.pl/viewforum.php?f=2
lub http://forum.dobreprogramy.pl/viewforum.php?f=13.)
Chyba, że tu jeszcze ktoś inny Ci odpowie…
Pierwszy raz zobaczyłam, że ComboFix usunął samoczynnie dwa elementy tej infekcji “LOP”.!
Ale jeszcze nie wszystkie.
Wklej do Notatnika :
File::
C:\WINDOWS\tasks\AA9647119065FE31.job
Folder::
C:\Documents and Settings\Toshiba\Dane Aplikacji\trans draw
Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ccead2a8-3d1b-11dc-9900-00c09fe0b3dc}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c4185942-0d23-11dc-989d-00c09fe0b3dc}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{92c10892-a5ef-11d9-95df-00c09fe0b3dc}]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Owns Four Jugs Htm]
>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )
– podobnie jak na tym obrazku –>
(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)
Po restarcie usuń ręcznie folder C: ** Qoobox**.
Daj ten log.
jessi
Niestety, usuwanie się nie udało, a więc powtórka z rozrywki.
I na czas usuwania wyłącz Rezydenta Spybota, jeśli masz go włączonego.
Wklej do Notatnika :
File::
C:\WINDOWS\tasks\AA9647119065FE31.job
C:\Documents and Settings\All Users\Dane aplikacji\Win knob owns four\pile chic.exe
Folder::
C:\Program Files\trans draw
C:\Documents and Settings\All Users\Dane Aplikacji\Win knob owns four
C:\Documents and Settings\Toshiba\Dane Aplikacji\trans draw
Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{92c10892-a5ef-11d9-95df-00c09fe0b3dc}]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Owns Four Jugs Htm]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c4185942-0d23-11dc-989d-00c09fe0b3dc}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ccead2a8-3d1b-11dc-9900-00c09fe0b3dc}]
>>Plik>>Zapisz jako… >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
– podobnie jak na tym obrazku –>
Ma się rozpocząć usuwanie. (i powstanie log)
Po restarcie usuń ręcznie folder C: ** Qoobox**.
Daj ten log.
jessi
Niestety, u Ciebie usuwanie jest przez coś zablokowane, więc nie uda się usunąć i trzeba będzie sformatować dysk.
Nie wiem, w jaki sposób to sobie zablokowałeś, bo “LOP” tego na pewno nie potrafi.
Zrobimy jeszcze jedną próbę usuwania.
Ściągnij -->Avenger.
Zaznacz: “Input Script Manualy”. Kliknij “Lupkę”. Wklej:
Kliknij “Done”. Kliknij “zielone światełko”. Kliknij “TAK”.
Zrestartuj komputer.Log z Avengera znajduje się w C:\avenger.
Daj też nowy log z ComboFixa.
jessi
No niestety - widać, że u Ciebie nic się nie da usuwać.
Przykro mi, ale na to nic nie poradzę.
Może przypomnisz sobie, jak Ci udało się zablokować usuwanie wszystkiego - pytam tylko z ciekawości.
jessi
Gdybym tylko wiedział…
Jakies konsekwencje dla systemu beda jesli przez pewien okres czasu zostawie tak jak jest ?? (nie bardzo mi sie widzi formatowanie ;/)
A.
Zrobione,
Oto raport:
A.
Nie wiem, po co był ten SDFix - przecież SDFix nigdy nie usuwał infekcji “LOP”?
Nawet nie potrafi jej wykryć.
Infekcja "LOP"nie czyni większych szkód na komputerze - jest tylko uciążliwa dla użytkownika, bo ściąga różne reklamy, rózne niepotrzebne strony, itp.
Spróbuj jeszcze:
Użyj -->NoLOP
Kliknij na “Search and Destroy”
Po pracy narzędzie utworzy log w lokalizacji C:\NoLop.log.
jessi
zrobione:
W sumie może jeszcze ta informacja pomoże:
otoż te reklamy sie uruchamiały i zapora czesto pytała
czy dopuścić coś o nazwie “pile chic”…to otworzylem autostart (poleceniem msconfig) i zauważyłem, że wlasnie siedzi cos o tej nazwie to to odznaczylem, żeby nie uruchamiało się ze startem systemu…
Złączono Posta : 09.11.2007 (Pią) 10:42
Poprawiło się coś ? czy nadal jest tak jak było ?
A.