Klika wirusów do usunięcia ...

Post17 sty 2009, 18:58

Witam dzisiaj skanowałem jeden z komputerów programami Combo i HJ
Usunąłem część plików i już jest w miare ok.
Ale to jeszcze nie wszytsko ...
Dostępne tylko dla zarejestrowanych użytkowników

Chce a nie moge usunąc tych aplikacji ...
Dostępne tylko dla zarejestrowanych użytkowników

Wyskakuje błąd instalatora.

to koło pytajnika nie wiem czy mam odinstalowywać czy nie.

Następny znak zapytania
http://up.clubbers.pl/img/473.jpg

Zainstalowałem avire i przy uruchomieniu systemu wykrywa wirusa
Kod: Zaznacz cały
Virus or unwanted program 'TR/Crypt.TPM.Gen [trojan]' detected in file 'C:\WINDOWS\System32\iPodFixer.exe. Action performed: Allow access

chciałem go usunąć ale nie dało rady...

Jeszcze wyskakuje usługa posłaniec - też nie wiem skąd co i jak .
Proszę o odpowiedz mimo iż narazie nic nie zrobie bo nie mam dostrępu
do tego komputera.

// Zamykam.
// djarta

Post17 sty 2009, 19:09

1) Zamknij robaczywe porty przy pomocy --> Dostępne tylko dla zarejestrowanych użytkowników (niżej na stronie linku)..
Ustaw znaczki na zielono, Netbios może być na żółto.
Po użyciu narzędzia wymagany jest restart.

2) Wklej do Notatnika:

Kod: Zaznacz cały

File::
C:\ert.exe
c:\windows\system32\iPodFixer.exe
c:\windows\System32\pingy.exe
c:\windows\system32\kiss.exe

Driver::
flys.q8pilots.net

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Secure Fix"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"kiss"=-
"Windows Secure Fix"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"Windows Secure Fix"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Windows Secure Fix"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"Windows Secure Fix"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"Windows Secure Fix"=-

>>Plik>>Zapisz jako... >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
--> Obrazek

Ma się rozpocząć usuwanie. (i powstanie log).Daj ten log, który powstanie w trakcie usuwania.
Jeśli pójdzie dobrze, to: Po restarcie usuń ręcznie folder C:\Qoobox.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"<NO NAME>"=

Nie mam pojęcia co to jest za podklucz.

Co do tych programów które się nie da odinstalować to już chyba nie moja "działka".

================================
K.

Post17 sty 2009, 19:28

To kto mi pomoże z programami ???
I co z tym posłańcem ?? Dostępne tylko dla zarejestrowanych użytkowników ???
A ten podklucz też można chyba usunąć

Post17 sty 2009, 19:34

To koło pytajnika, to podaj pełną nazwę.

Jaki błąd instalatora wtedy wyskakuje?

Post17 sty 2009, 19:46

Ok jutro postaram się odinstalować jakoś te programy ...
Najbardziej wkurzający jest IRC. Z nim było dużo problemów.
Przy okazji dzięki poradom djarta zamknę porty i usunę wirusy - dam loga z combo
po tej operacji.Postaram się zainstalować service packa 2
i zajmę się wyłączeniem usługi posłaniec.
Po tym wszystkim dopiero odpisze w tym temacie.Najprawdopodobniej jutro po południu.
Na razie dziękuje i pozdrawiam.

### Połączono posty ###

Nowy log po usunięciu plików...
W czasie skanowania combofixem avira wykryła jeszcze kilka plików szczegóły poniżej

Kod: Zaznacz cały

Virus or unwanted program 'IRC/Zapchast.AP [virus]'
detected in file 'C:\WINDOWS\system32\aliases.ini.
Action performed: Allow access

Virus or unwanted program 'DR/PSW.Zapchast.6766 [dropper]'
detected in file 'C:\WINDOWS\mxmxm.exe.
Action performed: Move file to quarantine

Virus or unwanted program 'Eicar-Test-Signature [virus]'
detected in file 'C:\ComboFix\N_\8662.
Action performed: Allow access

Virus or unwanted program 'TR/Crypt.TPM.Gen [trojan]'
detected in file 'C:\System Volume Information\_restore{944EB695-F9E3-414E-978E-029AE6407D8A}\RP123\A0032453.exe.
Action performed: Deny access

Log
Dostępne tylko dla zarejestrowanych użytkowników

porty zamknięte netbios na żółto

Post18 sty 2009, 13:55

Pobierz Dostępne tylko dla zarejestrowanych użytkowników, ale nie uruchamiaj
Wklej do notatnika:

Kod: Zaznacz cały

File::
C:\WINDOWS\system32\aliases.ini
C:\WINDOWS\mxmxm.exe

Folder::
C:\System Volume Information\_restore{944EB695-F9E3-414E-978E-029AE6407D8A}\RP123

Plik -> zapisz jako -> CFScript.txt.
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->
Dostępne tylko dla zarejestrowanych użytkowników
Rozpocznie się usuwanie i powstanie log, który dasz na forum.

Skorzystaj z Dostępne tylko dla zarejestrowanych użytkowników

Logi dajesz na Dostępne tylko dla zarejestrowanych użytkowników lub na Dostępne tylko dla zarejestrowanych użytkowników a w poście dajesz tylko link

Post18 sty 2009, 14:11

Log zrobiony Dostępne tylko dla zarejestrowanych użytkowników

Jeżeli jest ok to usune instalke i folder combofixa
Pozdrawiam dziekuje i porszę o odpowiedz

Post18 sty 2009, 14:12

Log ok

Przeskanuj programem który podałem

Post18 sty 2009, 14:13

ok Dziekuje bardzo pozdro