KvaN Opublikowano 11 Czerwca 2007 Zgłoś Opublikowano 11 Czerwca 2007 Znajomy poprosił mnie o oczyszczenie mu OS'a. Najpierw kazałem mu przejechać Os'a NOD'em i SuperAntiSpyware, lecz wydaje mi się że co nie co jeszcze zostało. Oto logi: Hijack Silent runners ComboFix Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
CatchMe Opublikowano 11 Czerwca 2007 Zgłoś Opublikowano 11 Czerwca 2007 Jest trochę syfu. Ale zrobimy eksperyment czy automaty coś dadzą... Zastosuj te 2 narzędzia: Pobierz program SDFix * Dwuklik na SDFix.exe następnie program wypakuje się na dysk systemowy (standardowo C:\SDFix) * Zrestartuj komputer i wejdź do trybu awaryjnego z obsługą sieci (klawisz F8 przed bootem Windowsa) * Wejdź do folderu z SDFix kliknij dwa razy na plik RunThis.bat * Wciśnij Y nastąpi proces usuwania. * Kiedy usuwanie się ukończy wciśnij dowolny klawisz (Any Key). Nastąpi restart komputera. * Po restarcie SDFix uruchomi się ponownie, żeby dokończyć proces usuwania kiedy pojawi się w oknie programu Finished, wciśnij dowolny klawisz do zakończenia scryptu i załadowania ikon na pulpicie. * Pokaż Report.txt znajdujący się w folderze SDFix. Dodatkowo użyj: http://cybertrash.pl/images/tata/RogueRemo...gueRemover.html - Wracasz z nowymi logami: - HijackThis - Silent Runners - ComboFix - Gmer (z 2 opcji) - Czy to jest Twoje? # O14 - IERESET.INF: START_PAGE_URL=http://www.wsi.tu-muenchen.de # O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = wsi.tu-muenchen.de # O17 - HKLM\Software\..\Telephony: DomainName = wsi.tu-muenchen.de # O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = wsi.tu-muenchen.de Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
ULLISSES Opublikowano 11 Czerwca 2007 Zgłoś Opublikowano 11 Czerwca 2007 A może Spybot S&D? Zazwyczaj wywala prawie wszystko. Jak zostanie mało śmieci, to będziemy się bawić w kotka i myszkę. Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
CatchMe Opublikowano 12 Czerwca 2007 Zgłoś Opublikowano 12 Czerwca 2007 Na pewno SB nie wywali niczego... jak on nawet zwykłego Smitrauda nie potrafi wywalić ... to nie jest program do tego typu delecji 8O Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
KvaN Opublikowano 12 Czerwca 2007 Zgłoś Opublikowano 12 Czerwca 2007 No to po wykonaniu przez mojego znajomego podanych wyżej instrukcji sprawa wygląda następująco: Hijack ComboFix Silent Runners sdfix I co dalej Panowie? Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
CatchMe Opublikowano 13 Czerwca 2007 Zgłoś Opublikowano 13 Czerwca 2007 (edytowane) 1. Ściągnij: WWDC - Zmień wszystkie opcje z disable na enable i uruchom ponownie komputer. - Prawidłowy układ portów przedstawia zdjęcie: http://www.firewallleaktester.com/images_site/wwdc.jpg * NetBIOS może być żółty. 1) Znasz tą lokalizację? C:\SFU\usr\sbin\init 2) Znasz te DNS? # O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = wsi.tu-muenchen.de # O17 - HKLM\Software\..\Telephony: DomainName = wsi.tu-muenchen.de # O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = wsi.tu-muenchen.de 3) Znasz to? # HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Startup\0\ # DisplayName = "Addlocalpermissions" # 0\ -> launches: "\\pcc\profile\add_to_local_groups.vbs" [file not found] USUWANIE: Pobierz i uruchom narzędzie : The Avenger Zaznacz opcję Input script manually i kliknij na Lupkę z prawej strony. W okienku, które się otworzy wklejasz: Files to delete: C:\WINDOWS\system32\winqx32.exe C:\WINDOWS\nircmd.exe C:\WINDOWS\ST6UNST.EXE C:\WINDOWS\Setup1.exe C:\WINDOWS\system32\temp2.Vexe C:\WINDOWS\system32\NSIS.Library.RegTool.v2.0.exe Drivers to unload: Network Security Service Klikasz Done, a następnie zielone światełko i zgadzasz się na restart klikając OK. Po restarcie w HijackThis usuwasz wpis/wpisy: # O23 - Service: Network Security Service ( 11Fßä#·şÄÖ`I) - Unknown owner - C:\WINDOWS\system32\winqx32.exe (file missing) Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt + log z HijackThis + log z Silent Runners + log z ComboFix. Edytowane 13 Czerwca 2007 przez CatchMe Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
KvaN Opublikowano 14 Czerwca 2007 Zgłoś Opublikowano 14 Czerwca 2007 Wielkie dzięki Panowie. 1,2,3 są mu znane. Oto logi: Avenger Hijack Combofix Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
CatchMe Opublikowano 14 Czerwca 2007 Zgłoś Opublikowano 14 Czerwca 2007 Jeszcze tylko jeden syf został: Start --> uruchom --> services.msc --> zatrzymaj i wyłącz usługe: Network Security Service Otwórz hijackthis --> open misc tools section --> delete a NT service --> wklej: 11Fßä#·şÄÖ`I --> ok Ściągnij: KillBox`a 1. Zaznaczasz Delete on reboot, w polu full path of file wklej ścieżkę pliku: C:\WINDOWS\system32\winqx32.exe 2. Następnie klikasz na czerwony krzyżyk X - nastąpi restart komputera. W HijackThis kasujesz: # O23 - Service: Network Security Service ( 11Fßä#·şÄÖ`I) - Unknown owner - C:\WINDOWS\system32\winqx32.exe (file missing)- Będe potrzebował logi z HijackThis i Gmer ( z 2 opcji) Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
