Fixy na trudne przypadki

[pp3088]

Spis treści

1.Usuwanie VX2
2.Usuwanie Global Search
3.Usuwanie ISTBar
4.Łańcuch Winsock i szpiedzy
5.Usuwanie Purity scan
6.Usuwanie Vundo
7.Fałszywe tapety i dymki w trayu, Szkodliwe programy anty-spyware
8.Usuwanie wirusa ThinkPoint
9.Usuwanie Confickera

[pp3088]

Usuwanie VX2

Program adware powodujący wyświetlanie się reklam. Częstym objawem jest też przekierowywanie na inne strony.

Jak rozpoznać

HijackThis pokaże nam wpis/wpisy z identyfikatorem O20. Szpiega VX2/Look2me można łatwo rozpoznać po losowej nazwie pliku

O20 - Winlogon Notify: Nls - C:\WINNT\system32\fpj6031se.dll
O20 - Winlogon Notify: Themes - C:\WINDOWS\system32\oiqw24sc2.dll
O20 - Winlogon Notify: Controls Folder - C:\WINDOWS\system32\i45vs01.dll
O20 - Winlogon Notify: Dynamic Directory - C:\WINDOWS\system32\fgyfeft591.dll
O20 - Winlogon Notify: RunOnce - C:\WINDOWS\system32jj898fws.dll
O20 - Winlogon Notify: Reinstall - C:\WINDOWS\system32\38hw0djsjcq.dll
O20 - Winlogon Notify: Reliability - C:\WINDOWS\system32\oiodwbcq.dll
O20 - Winlogon Notify: App Management - C:\WINDOWS\system32\30i90kfdsq.dll
O20 - Winlogon Notify: Themes - D:\WINDOWS\system32\28ufhnmsnje.dll
O20 - Winlogon Notify: ShellScrap - C:\WINDOWS\system32\si398fbx.dll
O20 - Winlogon Notify: CSCSettings - C:\WINDOWS\system32\c3f3345f0i.dll
O20 - Winlogon Notify: Shell - C:\WINDOWS\system32\if46hgsq5.dll
O20 - Winlogon Notify: Reinstall - C:\WINDOWS\system32\qxc2f4r5d.dll
O20 - Winlogon Notify: Reliability - C:\WINDOWS\system32\ 38djw783.dll
O20 - Winlogon Notify: App Management - C:\WINDOWS\system32\drvdrvxcxe45.dll
O20 - Winlogon Notify: RunOnce - C:\WINDOWS\system\32d34r4.dll
O20 - Winlogon Notify: Themes - D:\WINDOWS\system\32m7hd4fre.dll
O20 - Winlogon Notify: Extensions - C:\WINNT\system32\hr2805fue.dll

Często pojawiają się także modyfikacje pliku host

Kod: Zaznacz wszystko

O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 64.91.255.87 http://www.dcsresearch.com

Mogą być także rózne dziwne pliki

O2 - BHO: Media Player support DLL - {2DC9D850-144D-11E1-B3C9-10805E499D95} - C:\WINDOWS\System32\mplay32.dll
O4 - HKLM..Run: [ntsmod] C:\WINDOWS\system32\ntsmod.exe
O4 - HKLM..Run: [nsvcin] C:\WINDOWS\system32\n20050308.exe

Należy je usunąć

Jak go usunąc


Programami
Look2Me

1.Otwieramy program przez dwuklik na jego ikonke

2.Wybieramy Run this program as a task. Później klikamy OK. Program uruchomi się za około 1 minutę.

3.Klikamy na Scan for L2M. Skan się rozpocznie.

4.Po zakończeniu skanowania dajemy OK

5.Potem klikamy na przycisk Remove L2M Po całej akcji klikamy OK. Komputer się zrestartuje.


Jeśli przy próbie uruchomienia tego narzędzia otrzymacie błąd:

"Component 'mswinsck.ocx' or one of its dependencies not correctly registered: a file is missing or invalid"

Fix: Ściągnij mswinsck.ocx

Kod: Zaznacz wszystko

http://www.ascentive.com/support/new/support_dll.phtml?dllname=MSWINSCK.OCX

, umieść w folderze C:\WINDOWS\system32 a po tym zarejestruj przez:

Start >>> Uruchom >>> regsvr32 C:\WINDOWS\system32\MSWINSCK.OCX

Można użyć także programu symanteca

Kod: Zaznacz wszystko

http://securityresponse.symantec.com/avcenter/FxSpL2Me.exe

Ręcznie

W tym celu użyć narzędzia L2Mfix

Po ściągnięciu pliku kikamy dwukrotnie na plik l2mfix

Pojawia się takie okienko.

Aby kontynuować należy wcisnąć losowy przycisk

Nastepnie w tym okienku wklepać liczbę 1

Po zakończeniu akcji wkleić na forum loga.

VX2 powoduje takzę zmiany w rejestrze. w tym celu proszę stowrzyć plik rejestru. Otwórzyć notatnik wkleić

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{D82BE2B0-5764-11D0-A96E-00C04FD705A2}]
@="IShellFolderBand"

[HKEY_CLASSES_ROOT\CLSID\{D82BE2B0-5764-11D0-A96E-00C04FD705A2}\InProcServer32]
@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,
00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,00,68,00,
65,00,6c,00,6c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,00,00
"ThreadingModel"="Apartment"

zapisać jak fix.reg z rozserzeniem wszystkie pliki. Zaaplikować do systemu.

Natępnie prawy klik na pasek zadań >>> Toolbars >>> odhaczyć Quick Launch o ile jest >>> Nowe toolbar >>> browsujesz do folderu C:\Documents and Settings\Twoje konto\Dane aplikacji\Microsoft\Internet Explorer i wskazujesz folder Quick Launch.

Jeśli folderu Quick Launch nie ma w podanej ścieżce to go tworzysz tam własnoręcznie.

Nie restartować komputera po zrobieniu loga z L2MFix, bo VX2 zmienia co restart wpisy i wejścia w rejestrze.

[pp3088]

Usuwanie Global Search

Global Search to jeden ze szkodników browserowych.

Jak rozpoznać?
Pojawiają się reklamy i przekierowywania. Dodatkowo pojawia się pasek w przeglądarce:D

W logu z HijackThis pokaże się wejście sugerujące w nazwie "pop-up blocker":

O2 - BHO: BL Class - {28F65FCB-D130-11D8-BA48-8BE0C49AF370} - C:\WINDOWS\System32\popup_bl.dll

Jak usunąć??



Na początek plik naprawczy na szkody w rejestrze(w notaniku wkleić):

REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects\{28F65FCB-D130-11D8-BA48-8BE0C49AF370}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\CLSID\{28F65FCB-D130-11D8-BA48-8BE0C49AF370}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\CLSID\{CF70455E-EDC1-4067-B824-CD0314BC3B2E}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\Interface\{05AAE5E5-47A1-4F65-8C32-8913EAD54DBF}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\Interface\{A77BD0A1-A8FA-48C0-8FFF-5A4DDCAD4581}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\Popup_bl.BL.1]

[-HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\Popup_bl.BL]

[-HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\Popup_bl.onClick.1]

[-HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\Popup_bl.onClick]

Plik >>> Zapisz jako >>> Wszystkie pliki *.* >>> jako nazwa wprowadź FIX.REG

2.Restart do trybu awaryjnego.
3.Odpalenie pliku fix.reg
4.Usunięcie z dysku plik popup_bl.dll.

[pp3088]

Usuwanie ISTBar

ISTBar jest to program Adware. Instaluje pełno syfu, zmienia strone startową na *.slootch.com.Pełno porn pop-upów

Jak rozpoznać??

Losowe znaki ANSII w kodzie Przykłądowe zestawy od znajomych ^_^

O4 - HKLM..Run: [˘Ş¸ď0/4»}Ą ăx‡5_C:\Program Files\IST\svcistsvc.exe] C:\WINNT\ujbawef.exe
O4 - HKLM..Run: [FFWgtS] C:\WINNT\ujbawef.exe

O4 - HKLM..Run: [IST Service] C:\Program Files\IST\svcistsvc.exe
O4 - HKLM..Run: [˘‰¸ď0 4Ă4}¤Áś5]C:\Program Files\IST\svcistsvc.exe] C:\HGITBJ.EXE
O4 - HKLM..Run: [9jbXG] C:\HGITBJ.EXE

Jak usunąć??

Usuwanie ręczne jest bardzo skomplikowane. Dlatego zalecam użycia darmowej maszynki od symanteca:
FxIstbar.exe.

Kod: Zaznacz wszystko

http://securityresponse.symantec.com/avcenter/FxIstbar.exe

[pp3088]

Łańcuch Winsock i szpiedzy

Layered Service Provider (LSP) to szczególny typ softu mający za zadanie zintegrować się bezpośrednio z protokołem TCP/IP służącym do komunikacji z internetem. Łańcuchy łączą się, więc zle usunięcie szpiega/łańchuchu kończy działanie Internetu. LSP mogą być pożyteczne, czasem zagnieżdżają się tam firewalle i antywirusy, a czasem świnstwa typu Web.hancer czy NEw.net ("dodatek" do Emula

Jak rozponać?

Wpis 010 w Hijacku

Jak usunąć?

Jak to zwkle bywa potrzeba matką wynalzku, i tutaj takżę znalazło to zastosowanie.

LSPFix
Ściągnij z:

Kod: Zaznacz wszystko

http://cexx.org/lspfix.htm

Jak widać na załączonym rysunku są 2 okna programu.

Keep=co zostawiamy
Remove=co chcemy usunąć

Pliki przenosimy pomiędzy okienkami za pomocą strzałek >> (przenosi do okienka Remove) i << (przenosi do okienka Keep). Te przyciski staną się aktywne dopiero po zaptaszkowaniu opcji I know what I'm doing.

UWAGA: LSP-Fix pokaże kilka plików w lewym oknie (patrz obrazek). To są pliki Windows i nie można ich dotknąć bo inaczej utracicie internet!

Po akcji restart, potem można usunąć plik syfu np. newdotnet7_22.dll

[pp3088]

Usuwanie Purity scan

Instaluje szpiegów. Ściąga i wyświetla reklamy. Syf.

Jak rozpoznać

pliki ze znakeim "?"

O4 - HKCU..Run: [Lqjogrt] C:WINDOWS\System32\??plorer.exe
O4 - HKCU..Run: [Upwzxru] C:\WINDOWS\System32\??plorer.exe
O4 - HKCU..Run: [Mcbqh] C:\WINNT\system32\t?skmgr.exe

Pliki mają pytajniki, ponieważ nie mogą istnieć 2 pliki o takich samch nazwach. Podobieństwo ma zmylić użytkownika. Te pliki są kodowany w ??Unicode i XP je widzi prawidłowo, a Hijack i Win98 już nie. Także usuwacze typu Killbox nie zlokalizują dziada.

Jak usunąć??

Istna zabawa w kotka i myszke. Przekonał się o tym ~beznazwowy(pozdro ^^).

Zabawa z linią komend

Start >>> Uruchom >>> cmd

W oknie spisujesz scieżke dosępu np.

CD C:\WINDOWS\system32
CD C:\Program Files
CD C:\Documents and Settngs\user\Dane aplikacji

Potrzebne będzię zniesienie atrybutów

ATTRIB -R -S -H

dodając nazwę smiecia np

ATTRIB -R -S -H ??chost.exe
ATTRIB -R -S -H ??plorer.exe
ATTRIB -R -S -H ??oolsv.exe

Następnie wejśc w lokacje i usunąć syf. Jeśli plik pojawia się w folderze systemowym obok pliku Widnowsa możę być problem. Radzę wtedy porównać włąściwości. W pliku nie ma ikonki, żadnych danych, został utworzony póżniej niż instalacja systemu Windows.

[pp3088]

Usuwanie Vundo

Jest to trojan typu masakra, liczne błędy i pop-upy.

Częstym dodatkiem jest WinFixer

Program udaje przydatne program. O to wyniki jego sau z googli:

Należy jednak dodać, że oba problem nie zawsze się łączą.

Jak rozponać

Wyżej wmienione objawy. ledy, errory np."buffer overrun w pliku rundll32.exe". Pełno pop-upów

Znaki w logu:

O2 - BHO: (no name) - {1C044AAD-7955-4cbd-8175-501A165C4E5D} - C:\WINDOWS\system32\eq.dll
O2 - BHO: MSEvents Object - {B8B55274-0F9A-41E5-9067-A3539BD9E860} - C:\WINDOWS\AppPatchinfow.dll
O20 - Winlogon Notify: infow - C:\WINDOWS\AppPatchinfow.dll
O20 - Winlogon Notify: req - C:\WINDOWS\system32\eq.dll

....

O2 - BHO: MSEvents Object - {44240BB5-BD7D-4D49-A1AA-8AB0F3D3CB44} - C:\WINDOWS\Configabrole.dll
O20 - Winlogon Notify: abrole - C:\WINDOWS\Configabrole.dll

....

O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINNT\system32\oppnl.dll
O2 - BHO: MSEvents Object - {6DD0BC06-4719-4BA3-BEBC-FBAE6A448152} - C:\WINNT\system32\qomnk.dll
O20 - Winlogon Notify: oppnl - C:\WINNT\SYSTEM32\oppnl.dll
O20 - Winlogon Notify: qomnk - C:\WINNT\system32\qomnk.dll

....

O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\System32\vtsqo.dll
O2 - BHO: MSEvents Object - {79A576C4-B7A9-47EC-B57C-2CE5CA6ECC6A} - C:\WINDOWS\System32\vtstt.dll
O20 - Winlogon Notify: vtsqo - C:\WINDOWS\SYSTEM32\vtsqo.dll
O20 - Winlogon Notify: vtstt - C:\WINDOWS\System32\vtstt.dll

HKLMSoftwareMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks
INFECTION WARNING! "{00DBDAC8-4691-4797-8E6A-7C6AB89BC441}" = "*U" (unwritable string)
{CLSID}InProcServer32(Default) = "C:\WINDOWS\System32\vtsqo.dll" [null data]

O2 - BHO: CIEPl Object - {F85E86D8-F796-4C97-AAA2-26664A98A42C} - C:\WINDOWS\system32\tdev.dll
O20 - Winlogon Notify: tdev - C:\WINDOWS\SYSTEM32\tdev.dll

....

O2 - BHO: CIEPl Object - {0612F71E-934B-4D92-B8E8-2E29EA78EB03} - C:\WINNT\System32\mcconfig.dll
O20 - Winlogon Notify: ansgudxn - C:\WINNT\SYSTEM32\ansgudxn.dll
O20 - Winlogon Notify: ekdmpcsp - C:\WINNT\SYSTEM32\ekdmpcsp.dll
O20 - Winlogon Notify: mcconfig - C:\WINNT\SYSTEM32\mcconfig.dll
O20 - Winlogon Notify: qsvlgycb - C:\WINNT\SYSTEM32\qsvlgycb.dll
O20 - Winlogon Notify: rsrnwete - C:\WINNT\SYSTEM32\srnwete.dll
O20 - Winlogon Notify: trnvadod - C:\WINNT\SYSTEM32\trnvadod.dll

....

O2 - BHO: CIEPl Object - {F85E86D8-F796-4C97-AAA2-26664A98A42C} - C:\WINDOWS\System32\mcconfig.dll
O20 - AppInit_DLLs: C:\WINDOWS\System32\yjgwdjlw.dll
O20 - Winlogon Notify: mcconfig - C:\WINDOWS\SYSTEM32\mcconfig.dll

Znak rozpoznawczy to znacznik w O2 oraz fakt iż plik w O2 i O20 jest powtórzony. Czasem występuje aż podwójna para i dodatkowy plik dll w O2 z opisem (no name). Ale same nazwy plików są zmienne, podobnież jak numery w klamrach {}.

Jak usunąć

Ręcznie jest to prawie awykonalne. Dlatego powstały maszynki

VundoFix (tylko Windows 2000/XP)

Pobierz: VundoFix


Trojan.Vundo Removal Tool (wszystkie Windows)

Pobierz: FixVundo.exe

Kod: Zaznacz wszystko

http://securityresponse.symantec.com/avcenter/FixVundo.exe

VirtumundoBeGone (wszystkie Windows)

Pobierz: VirtumundoBeGone.exe

Kod: Zaznacz wszystko

http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe

Ręcznie
Odpalić Hiajcka i niech czeka w spoczynku.

Pobrać program Vundo Fix w wersji starszej. Zastartować do awaryjego, powyłączać wszystkie softy ochronne i uruchomić z folderu narzędzia plik killvundo.bat

Program przywita nas takim oknem. Aby kontynuować wciśnąć ENTER

Następnie po kolei padną dwa następne pytania:

Please Type in the filepath as instructed by the forum staff and then press enter: = tu wpisujemy ścieżkę dostępu do pliku który w HijackThis pokazał się w identyfikatorze O2 - BHO. Przykładowo będzie to:

C:\WINDOWS\system32\qomnk.dll

Please type in the second filepath as instructed by the forum staff then press enter: = tu wpisujemy ścieżkę dostępu do pliku który w HijackThis pokazał się w identyfikatorze O2O - Winlogon Notify. Plik musi być zapisany od końca(tzw.anagram) i nie możę mieć nazwy z .dll. Np.

C:\WINDOWS\SYSTEM32\qomnk.dll

zamieniamy na

C:\WINDOWSS\YSTEM32\knmoq.*

Uwaga!!! wpisanie komendy C:\WINDOWS\SYSTEM32\*.*


skasuje nam cały folder system32.

Ma to wyglądać mniej wiecej tak:

Potwierdzić ENTEREM. Następnie nastąpi faza zabicia procesów Windows: explorer.exe, smss.exe i winlogon.exe co spowoduje totalne zamrożenie systemu, nawe menadżera zadań. W tej chwili należy odpalić HiJacka i zabić 02 i 020.

Powinien pojawić się taki ekran

Należy sresetować blaszaka. Wyniki pracy narzędzia znajdziecie w pliku vundofix.txt, wzór

VundoFix V2.15 by Atri
--------------------------------------------------------------------------------------

Listing files contained in the vundofix folder.
--------------------------------------------------------------------------------------

killvundo.bat
process.exe
ReadMe.txt
vundo.reg
vundofix.txt

--------------------------------------------------------------------------------------

Filepaths entered
--------------------------------------------------------------------------------------

The filepath entered was C:\WINDOWS\SYSTEM32\qomnk.dll


The second filepath entered was C:\WINDOWS\SYSTEM32\knmoq.*

--------------------------------------------------------------------------------------

Log from Process
--------------------------------------------------------------------------------------


Killing PID 560 'smss.exe'

Killing PID 1940 'explorer.exe'


Killing PID 648 'winlogon.exe'
Killing PID 648 'winlogon.exe'
Killing PID 648 'winlogon.exe'
Killing PID 648 'winlogon.exe'
Killing PID 648 'winlogon.exe'
--------------------------------------------------------------------------------------

Deleted sucessfully C:\WINDOWS\SYSTEM32\tdev.dll.
Deleted sucessfully C:\WINDOWS\SYSTEM32\vedt.*.

Fixing Registry
--------------------------------------------------------------------------------------

[pp3088]

Fałszywe tapety i dymki w trayu, Szkodliwe programy anty-spyware

Pewnie nie jeden użtkownik spotkał się z denerwującymi komunikatami i restrykcjami na zmiane tapety. Nie jeden takżę miał pełno pop-upów z podejrzanymi programami antyspyware. Z pozoru niezbyt szkodliwy spyware, buszuję po całym kompie.

Co to za syf? Oczywiście SmitFraud(nie mylić z usuwaczem SFF:))

Jak go rozpoznać

Nawet nie próbuje się maskować.

Tutaj chociażby restrykcje tapet:

A tutaj dymki

A tutaj programy

SpyQuake

SpyFalcon

AlfaCleaner

VirustBurst najnowszy:)


Znaki w logach

Dla VirusBursta

O4 - HKLM..Run: [VirusBurst] C:\Program Files\VirusBurst\VirusBurst.exe /h

titiau.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{1559e6c1-7e5e-4461-9457-6a2dea85eb9f}"="eeler"
[HKEY_CLASSES_ROOT\CLSID\{1559e6c1-7e5e-4461-9457-6a2dea85eb9f}\InProcServer32]
@="C:\WINDOWS\system32\titiau.dll"
[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{1559e6c1-7e5e-4461-9457-6a2dea85eb9f}\InProcServer32]
@="C:\WINDOWS\system32\titiau.dll"

O21 - SSODL: eeler - {1559e6c1-7e5e-4461-9457-6a2dea85eb9f} - C:\WINDOWS\system32\titiau.dll

httge.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{7be183d2-a42d-4915-bf60-ec86fbf002cf}"="horologium"
[HKEY_CLASSES_ROOT\CLSID\{7be183d2-a42d-4915-bf60-ec86fbf002cf}\InProcServer32]
@="C:\WINDOWS\system32\httge.dll"
[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{7be183d2-a42d-4915-bf60-ec86fbf002cf}\InProcServer32]
@="C:\WINDOWS\system32\httge.dll"

O21 - SSODL: horologium - {7be183d2-a42d-4915-bf60-ec86fbf002cf} - C:\WINDOWS\system32\httge.dll


gqagksr.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{b166be07-30a4-4d38-b781-44528a630706}"="hydrodictyon"
[HKEY_CLASSES_ROOT\CLSID\{b166be07-30a4-4d38-b781-44528a630706}\InProcServer32]
@="C:\WINDOWS\system32\gqagksr.dll"
[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{b166be07-30a4-4d38-b781-44528a630706}\InProcServer32]
@="C:\WINDOWS\system32\gqagksr.dll"

O21 - SSODL: hydrodictyon - {b166be07-30a4-4d38-b781-44528a630706} - C:\WINDOWS\system32\gqagksr.dll

Dla VirusBlasta

O2 - BHO: IEExtension Class - {1F6FE2C2-6040-4645-9053-7F689AFFE176} - C:\Program Files\VirusBlast\BlastIEmonitor.dll
O4 - HKLM..Run: [VirusBlast] C:\Program Files\VirusBlast\VirusBlast.exe /s

WERSJE Z KODEKAMI

INTCODEC:

C:\Program Files\IntCodec\isamonitor.exe
C:\Program Files\IntCodec\pmsngr.exe
C:\Program Files\IntCodec\pmmon.exe
C:\Program Files\IntCodec\isamini.exe
C:\Program Files\SpyQuake2.com\Spy-Quake2.exe
C:\Program Files\SpyQuake2.com\Spy-Quake2.exe

O2 - BHO: (no name) - {1da7dbe8-c51b-4ae4-bc6e-21863349b0b4} - C:\Program Files\IntCodec\isaddon.dll
O3 - Toolbar: Protection Bar - {a2595f37-48d0-46a1-9b51-478591a97764} - C:\Program Files\IntCodec\iesplugin.dll
O4 - HKLM..Run: [SpyQuake2.com] C:\Program Files\SpyQuake2.com\Spy-Quake2.exe /h
O21 - SSODL: bestreak - {874443fe-aa33-4ebf-a6ac-73208787e62d} - C:\WINDOWS\system32\viruxz.dll

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run {++}
"homepage.monitor.exe" = "C:\Program Files\IntCodec\isamonitor.exe" [null data]
"pmsngr.exe" = "C:\Program Files\IntCodec\pmsngr.exe" [null data]

MEDIA-CODEC:

C:\Program Files\Media-Codec\isamonitor.exe
C:\Program Files\Media-Codec\pmsngr.exe
C:\Program Files\Media-Codec\pmmon.exe
C:\Program Files\Media-Codec\isamini.exe

O2 - BHO: (no name) - {202a961f-23ae-42b1-9505-ffe3c818d717} - C:\Program Files\Media-Codec\isaddon.dll
O2 - BHO: (no name) - {70CAA88C-1ACC-5937-70F1-079C79B97ECD} - C:\WINDOWS\system32\ystjivb.dll
O2 - BHO: (no name) - {7a932ed2-1737-4ab8-b84d-c71779958551} - (no file)
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O3 - Toolbar: Protection Bar - {860c2f6b-ca82-4282-9187-beccbb66f0af} - C:\Program Files\Media-Codec\iesplugin.dll
O4 - Startup: .protected
O21 - SSODL: hubbsi - {7b1eeccd-0a6d-4ad5-8ac1-4af5722b3885} - C:\WINDOWS\system32\vwlummc.dll (file missing)


HKLM\SOFTWARE\Microsoft\Windows\Current\Version\Policies\Explorer\Run {++}
"homepage.monitor.exe" = "C:\Program Files\Media-Codec\isamonitor.exe" [null data]
"pmsngr.exe" = "C:\Program Files\Media-Codec\pmsngr.exe" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
INFECTION WARNING! "{C1A8B6A1-2C81-1C3D-A3C6-A1CCDB10B47F}" = "Windows Update"
{HKCU...CLSID} = (no title provided)
InProcServer32(Default) = "C:\WINDOWS\system32\ioctrl.dll" [file not found]


PCODEC:


C:\Program Files\PCODEC\isamonitor.exe
C:\Program Files\PCODEC\pmsngr.exe
C:\Program Files\PCODEC\isamini.exe
C:\Program Files\PCODEC\pmmon.exe

O2 - BHO: (no name) - {202a961f-23ae-42b1-9505-ffe3c818d717} - C:\Program Files\PCODECi\saddon.dll
O3 - Toolbar: Protection Bar - {860c2f6b-ca82-4282-9187-beccbb66f0af} - C:\Program Files\PCODEC\iesplugin.dll
O21 - SSODL: bestreak - {874443fe-aa33-4ebf-a6ac-73208787e62d} - C:\windows\system32\viruxz.dll (file missing)

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run {++}
"homepage.monitor.exe" = "C:\Program Files\PCODEC\isamonitor.exe" [null data]
"pmsngr.exe" = "C:\Program Files\PCODEC\pmsngr.exe" [null data]


{numerki} O2 i O3 mogą ulegać zmianie. W identyfikatorze O21 mogą pojawiać się inne pliki niż powyżej pokazane. Masa wariacji. Oto lista dll:

Dodatkwoym objawem są przekierunkowywania na strony typu:
*.securitynetpage.net
*.safetyhomepage.net

Usuwanie

Bardzo przydatna będzie maszynka-> https://www.instalki.pl/programy/downlo ... udFix.html

1.. Ściągamy z powyższego linka plik SmitfraudFix.zip i go wypakowujemy.
2.Uruchamiamy poprzez dwuklik plik SmitfraudFix.cmd:
3.Aby stworzyć raport należy wybrać cyfre 1i zatwierdzć ENTEREM. Zrobiony raport podajemy na forum do analizy.
Zostanie utworzony plik C:
apport.txt który automatycznie otworzy się w Notatniku.
4.Aby rozpocząć usuwanie i mieć 100% pewność efektywności działania startujemy do awaryjnego(start>>uruchom>>msconfig>>boot.ini>zanzaczasz safeboot>>restart)
Ponownie uruchamiamy SmitfraudFix.cmd ale tym razem wybieramy liczbę 2 i ENTER:
Czszczenie zostanie uruchomione, co można zauważyć poprzez ubicie procesu explorer.exe i znikniećie pasku zadań. Następnie padnie pytanie you want to clean the registryodpowiadamy, że tak czyli wpisujemy literke Y. Następuje czyszczenie rejestru z restrykcji i resztek śmiecia.
Po tej akcji narzędzie sprawdzi poprawność pliku winnet.dll i ewentualnie w razie problemu zapyta o zastąpienie go czystą wersja("Replace infected file?") Oczywiście wybieramy Y.

Finalnym krokiem jest restart kompa, no i pokazanie efektów na forum. Oby były owocne.

[kominekl]

ThinkPoint

ThinkPoint jest fałszywym programem antywirusowym, który jest rozpowszechniany za pomocą Microsoft Security Essentials Trojan Alert. Ważne, by wiedzieć, że program nie jest w stanie wykryć i pozbyć się pasożytów, ani nie jest w stanie chronić twój system przed przyszłymi zagrożeniami. Należy usunąć ThinkPoint z komputera jak najszybciej. Po uruchomieniu złośliwego oprogramowania wirus konfiguruje się, w celu automatycznego uruchomienia za każdym razem, gdy komputer wystartuje. Zaraz po starcie, ThinkPoint rozpocznie skanowanie komputera...

...i ku naszym oczom ukaże się lista wielu zakażeń, które starają się nakłonić użytkownika do myślenia, iż komputera jest w niebezpieczeństwie. Będzie to raport, który spróbuje nam wmówić, że oczyścił większość zainfekowanych plików, ale nie był w stanie wyleczyć kilku ważnych plików systemowych, takich jak firefox.exe, taskmgr.exe, iexplore.exe...

...i wyświetli nam ofertę zakupu pełnej wersji wirusa, nazywającego sam siebie antywirusem. Jednakże, wynik skanowania jest oszustwem, ponieważ program nie wykrywa infekcji.

Po naciśnięciu Ignoruj program przejdzie do pulpitu, ale może spowodować usunięcie ikon pulpitu, brak możliwości uruchomienia przeglądarek i menadżera zadań. Gdy użytkownik spróbuje uruchomić, któryś z elementów jego oczom ukaże się komunikat:

"Taskmgr.exe Aplikacja została uruchomiona z powodzeniem, ale została zamknięta ze względów bezpieczeństwa. Stało się tak, dlatego, że aplikacja został zainfekowana przez złośliwy program, który może stanowić zagrożenie dla systemu operacyjnego. Zaleca się zainstalowanie niezbędnego modułu heurystycznego i wykonania pełnego skanowania komputera w celu eksterminacji szkodliwych programów."

Jak widać, ThinkPoint jest całkowitym oszustwem, które zostało stworzone w jednym celu - aby przestraszyć użytkownika i skłonić go do zakupu tzw. "pełnej" wersji programu. Najważniejsze to nie nabrać się. Proszę używać instrukcji usuwania, zamieszczonej poniżej w celu usunięcia ThinkPoint oraz związanego z nim złośliwego oprogramowania z komputera.

1. Zakończ proces ThinkPoint po ujrzeniu menu wirusa.

Po załadowaniu systemu Windows pojawi się okno ThinkPoint. Naciśnij wtedy klawisze CTRL + ALT + DELETE spowoduje to otworzenie się menedżera zadań systemu Windows wybierz proces Hotfix.exe i kliknij przycisk Zakończ proces. Zakończy to działanie ThinkPoint. Teraz kliknij menu Plik Nowe zadanie. Wpisz explorer.exe i naciśnij klawisz ENTER. Spowoduje to powrót przycisku Start i paska zadań.

2. Usuń ThinkPoint z systemu za pomocą programu Malwarebytes Anti-Malware.

Pobierz Malwarabytes Anti-Malware. Następnie zamknij wszystkie programy i uruchom plik Mbam-setup.exe. Nie wolno dokonywać żadnych zmian w ustawieniach domyślnych i kiedy program zakończy instalację, upewnij się, że zaznaczone jest umieszczone obok okienko Aktualizuj Malwarebytes 'Anti-Malware i Uruchom Malwarebytes Anti-Malware, a następnie kliknij przycisk Zakończ. Jeśli zostanie odnaleziona aktualizacja, to należy pobrać i zainstalować najnowszą wersję.

Po załadowaniu programu pojawi się jego okno.

Wybierz Wykonaj pełne skanowanie, a następnie kliknij przycisk Skanuj, program rozpocznie skanowanie komputera pod kątem zainfekowania ThinkPoint i przy okazji innymi wirusami. Ta procedura może zająć trochę czasu, więc proszę o cierpliwość. Po zakończeniu skanowania, kliknij przycisk OK, a następnie Pokaż wyniki, aby je zobaczyć. Pojawi się lista zainfekowanych plików. Upewnij się, że wszystkie wpisy są zaznaczone po lewej stronie i kliknij Usuń zaznaczone, aby usunąć wirusy. Malwarebytes Anti-Malware usunie wszystkie powiązane z nimi pliki i klucze rejestru, a następnie doda je do kwarantanny programów. Kiedy Malwarebytes Anti-Malware zakończy usuwanie infekcji, log zostanie otwarty w Notatniku, może pojawić się monit mówiący o konieczności ponownego uruchomienia. Log ten wklejamy na Wklej.eu, następnie tworzymy nowy temat w dziale Bezpieczeństwo, w którym podajemy link do naszego raportu, oraz podajemy logi z OTL i GMER, których to logi wklejamy na Wklej.eu, a na forum podajemy tylko link do naszego skryptu.

ThinkPoint tworzy następujące pliki i foldery.

% AppData% \ Hotfix.exe
% AppData% \ {RANDOM}. Bat

ThinkPoint tworzy następujące klucze i wartości rejestru.

HKEY_CURRENT_USER \ Software \ PAV
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Internet Settings | "WarnonBadCertRecving" = "0"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Internet Settings | "WarnOnPostRedirect" = "0"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon | "Shell" = "% AppData% \ Hotfix.exe"

[kominekl]

Conficker

1. Wprowadzenie.

Conficker jest robakiem wykorzystującym lukę w protokole RPC. Wykorzystuję on głównie błąd programistyczny odnoszący się do przepełnienia bufora. Infekcja rozprzestrzenia się nie tylko poprzez sieć, ale również poprzez pamięć przenośną. Jego "ulubionym" miejscem propagowania jest port 445. Mimo, że minęło już bodajże 4 lata od pojawienia się robaka w sieci to w Internecie widnieją głównie instrukcje o dość dużym rozmiarze. Mnóstwo tam poleceń często pisanych niezrozumiałym językiem. Skłoniło mnie to do pokazania światu bardzo łatwej metody usunięcia tego wirusa.

2. Nazwy i etymologia.

Robak przyjmuje wiele nazw:

Win32/Conficker.A
W32.Downadup
W32/Downadup.A
Conficker.A
Net-Worm.Win32.Kido.bt
W32/Conficker.worm
Worm/Conficker

. Ciekawą sprawą jest etymologia nazwy tego wirusa. Pierwszy człon wyrazu "conf" odnosi sie do angielskiego wyrazu "configuration". Natomiast drugi człon "ficker" odpowiada prawdopodobnie niemieckiemu wyrazowi "ficken".

3. Objawy i szkody.

Najpoważniejszymi objawami jest:
wyłączenie usługi aktualizacji automatycznych Windows,
wyłączenie centrum zabezpieczeń systemu Windows,
wyłączenie Windows Defender`a,
wyłączenie usługi raportowania błędów Windows,
oprogramowanie antywirusowe nie jest w stanie samodzielnie się zaktualizować,
nie można uzyskać dostępu do różnych witryn, takich jak programy antywirusowe,
pojawia się błąd powiązany z svchost.exe .

4. Usuwanie.

Jak wspomniałem podam tu rozwiązanie skrócone i banalne w obsłudze. Podam je w poniższych punktach.

1. Pobierz i zainstaluj poprawkę MS08-67, w zależności od wersji systemu Windows.
2. Pobierz narzędzie do usuwania firmy BitDefender.
3. Odłącz kabel sieciowy.
4. Uruchom pobrany plik conf.exe. Okno programu wygląda tak, jak na obrazku poniżej.
5. Wybierz przycisk START.
6. Po zakończeniu skanowania uruchom ponownie komputer.
7. Podłącz kabel sieciowy.
8. Z podłączonymi pamięciami przenośnymi użyj UsbFix z opcji Deletion i podaj utworzony log w nowo założonym przez siebie temacie w dziale Bezpieczeństwo.
9. W nowo założonym przez siebie temacie podaj również logi z OTL i TDSSKiller.

5. Podsumowanie.

A więc tak przedstawia się sprawa z Conficker`em. Mam nadzieję, że wielu osobom to pomoże. Pamiętajcie, że zastosowanie tego automatycznego usuwania nie zwalnia Was z punktu 8 i 9 instrukcji.