Your computer is infected


(sagitarius) #1

Co kilka minut pojawia się tekst jak w temacie posta, ikonka cały czas widoczna w trayu. Mam pozamykane porty WWDC - są na zielono z wyjątkiem NetBIOS, który jest na żółto. Uruchamiałem SmitfraudFix z opcją 2, usunąłem w HJT wpis: O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll, ale ikonka nie znika i pojawia się wciąż napis w "dymku" - your computer is infected. Ponadto przy zamykaniu systemu pojawia się przez chwile komunikat: "Zainicjowanie aplikacji nie powiodło się, gdyż jest właśnie zamykana"

Wklejam logi:

HJT

Sillent

Combofix

Smitfraudfix


(adam9870) #2

Proszę nie używać ComboFixa ze względów bezpieczeństwa ponieważ zastosowanie jego bez wcześniejszego wykluczenia rootkita może bardzo źle się skończyć. Aktualnie Autor narzędzia pracuje nad poprawieniem tej kwestii ale zapewne to trochę potrwa. Zamiast jego możesz używać ComboScan.

Usunąłeś prawidłowe wpisy z hijacka:

Przywróć je za pomocą funkcji View the list of backups. Opis znajduje się tutaj:

http://forum.dobreprogramy.pl/viewtopic.php?t=36654

Przeskanuj plik C:\hntrdcrm.exe na stronie http://www.virustotal.com/ a jeśli okaże się szkodliwy to ścieżkę do niego również wklej w killboxie.

Ściągasz program KillBox, zaznaczasz Delete on reboot , w polu full path of file wklej ścieżki:

C:\WINDOWS\system32\tcpipmon.exe

C:\WINDOWS\msnhp32.dll

po wklejeniu każdej ścieżki z osobna klikasz na czerwonego iksa, ale dopiero po wklejeniu ostatniej zgadzasz się na restart.

Otwórz Notatnik i wklej w nim to:

Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG >>> kliknij dwa razy na utworzony plik FIX.REG i potwierdź dodanie do rejestru >>> restart.

Usuń wpis HJT jeśli będzie.


(sagitarius) #3

Super !!