Skocz do zawartości
KvaN

Logi

Rekomendowane odpowiedzi

Jest trochę syfu. Ale zrobimy eksperyment czy automaty coś dadzą... Zastosuj te 2 narzędzia:

 

Pobierz program SDFix

 

 

* Dwuklik na SDFix.exe następnie program wypakuje się na dysk systemowy (standardowo C:\SDFix)

 

* Zrestartuj komputer i wejdź do trybu awaryjnego z obsługą sieci (klawisz F8 przed bootem Windowsa)

 

* Wejdź do folderu z SDFix kliknij dwa razy na plik RunThis.bat

 

* Wciśnij Y nastąpi proces usuwania.

 

* Kiedy usuwanie się ukończy wciśnij dowolny klawisz (Any Key). Nastąpi restart komputera.

 

* Po restarcie SDFix uruchomi się ponownie, żeby dokończyć proces usuwania kiedy pojawi się w oknie programu Finished, wciśnij dowolny klawisz do zakończenia scryptu i załadowania ikon na pulpicie.

 

* Pokaż Report.txt znajdujący się w folderze SDFix.

 

 

Dodatkowo użyj: http://cybertrash.pl/images/tata/RogueRemo...gueRemover.html

 

- Wracasz z nowymi logami:

- HijackThis

- Silent Runners

- ComboFix

- Gmer (z 2 opcji)

 

- Czy to jest Twoje?

 

# O14 - IERESET.INF: START_PAGE_URL=http://www.wsi.tu-muenchen.de

# O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = wsi.tu-muenchen.de

# O17 - HKLM\Software\..\Telephony: DomainName = wsi.tu-muenchen.de

# O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = wsi.tu-muenchen.de

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

1. Ściągnij: WWDC

- Zmień wszystkie opcje z disable na enable i uruchom ponownie komputer.

- Prawidłowy układ portów przedstawia zdjęcie:

http://www.firewallleaktester.com/images_site/wwdc.jpg

* NetBIOS może być żółty.

 

1) Znasz tą lokalizację?

C:\SFU\usr\sbin\init

2) Znasz te DNS?

# O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = wsi.tu-muenchen.de

# O17 - HKLM\Software\..\Telephony: DomainName = wsi.tu-muenchen.de

# O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = wsi.tu-muenchen.de

3) Znasz to?

# HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Startup\0\

# DisplayName = "Addlocalpermissions"

# 0\ -> launches: "\\pcc\profile\add_to_local_groups.vbs" [file not found]

 

 

USUWANIE:

 

Pobierz i uruchom narzędzie : The Avenger

Zaznacz opcję Input script manually i kliknij na Lupkę z prawej strony. W okienku, które się otworzy wklejasz:

Files to delete:

 

C:\WINDOWS\system32\winqx32.exe

C:\WINDOWS\nircmd.exe

C:\WINDOWS\ST6UNST.EXE

C:\WINDOWS\Setup1.exe

C:\WINDOWS\system32\temp2.Vexe

C:\WINDOWS\system32\NSIS.Library.RegTool.v2.0.exe

 

Drivers to unload:

 

Network Security Service

Klikasz Done, a następnie zielone światełko i zgadzasz się na restart klikając OK.

Po restarcie w HijackThis usuwasz wpis/wpisy:

# O23 - Service: Network Security Service ( 11Fßä#·şÄÖ`I) - Unknown owner - C:\WINDOWS\system32\winqx32.exe (file missing)

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt + log z HijackThis + log z Silent Runners + log z ComboFix.

Edytowane przez CatchMe

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Jeszcze tylko jeden syf został:

 

Start --> uruchom --> services.msc --> zatrzymaj i wyłącz usługe: Network Security Service

Otwórz hijackthis --> open misc tools section --> delete a NT service --> wklej: 11Fßä#·şÄÖ`I --> ok

 

 

Ściągnij: KillBox`a

1. Zaznaczasz Delete on reboot, w polu full path of file wklej ścieżkę pliku:

C:\WINDOWS\system32\winqx32.exe

2. Następnie klikasz na czerwony krzyżyk X - nastąpi restart komputera.

 

W HijackThis kasujesz:

# O23 - Service: Network Security Service ( 11Fßä#·şÄÖ`I) - Unknown owner - C:\WINDOWS\system32\winqx32.exe (file missing)

- Będe potrzebował logi z HijackThis i Gmer ( z 2 opcji)

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.


×
×
  • Dodaj nową pozycję...