Nie znam tego -
- Kod: Zaznacz wszystko
C:\PROGRA~1\MAGICW~1\MW1HEL~1.EXE
- Kod: Zaznacz wszystko
C:\Program Files\oset\isho.exe
Do usunięcia na pewno to: ( w trybie awaryjnym. Wcześniej wyłącz przywracanie systemu )
- Kod: Zaznacz wszystko
C:\WINDOWS\System32\w?crtupd.exe
- Kod: Zaznacz wszystko
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
- Kod: Zaznacz wszystko
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem220.dll (file missing)
- Kod: Zaznacz wszystko
O2 - BHO: Need2Find Bar BHO - {4D1C4E81-A32A-416b-BCDB-33B3EF3617D3} - C:\Program Files\Need2Find\bar\1.bin\ND2FNBAR.DLL (file missing)
- Kod: Zaznacz wszystko
O2 - BHO: (no name) - {74B45673-B092-E313-96EC-B149631FC5CF} - C:\WINDOWS\system32\iffg.dll
- Kod: Zaznacz wszystko
O3 - Toolbar: DashBar Toolbar - {CC90CDA0-74A0-45b4-80EF-D89CA8C249B8} - C:\Program Files\DashBar\DashBar30.dll (file missing)
- Kod: Zaznacz wszystko
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll (file missing)
- Kod: Zaznacz wszystko
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
O4 - HKLM\..\Run: [salm] c:\temp\salm.exe
O4 - HKLM\..\Run: [fergnkl] C:\WINDOWS\fergnkl.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [CMESys] "C:\Program Files\Common Files\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [Ypgzy] C:\Program Files\Hrpgel\Rbnxb.exe
O4 - HKLM\..\Run: [MW1HelperStartUp] C:\PROGRA~1\MAGICW~1\MW1HEL~1.EXE /partner MW1
O4 - HKLM\..\Run: [d267cicf] C:\WINDOWS\System32\d267cicf.exe
O4 - HKLM\..\Run: [Generic Host Process for Win32 Services] C:\WINDOWS\system32\Drivers\svchost.exe
Z czego katalog Media Access usunąć ręcznie.
- Kod: Zaznacz wszystko
O4 - HKCU\..\Run: [Eczxzhlt] C:\WINDOWS\System32\w?crtupd.exe
O4 - HKCU\..\Run: [180ClientStubInstall] "C:\DOCUME~1\ToMeK\USTAWI~1\Temp\zang.exe"
O4 - HKCU\..\Run: [Omsp] C:\Program Files\oset\isho.exe
O4 - Global Startup: Color Calibration.lnk = ?
- Kod: Zaznacz wszystko
O8 - Extra context menu item: &Search - http://kc.bar.need2find.com/KC/menusearch.html?p=KC
- Kod: Zaznacz wszystko
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - ms-its:mhtml:file://c:\nosuxxx.mht!http://kazaalite.pl/stats/script/loud.chm::/B ridge-c139.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - ms-its:mhtml:file://c:\nosuxxx.mht!http://kazaalite.pl/stats/script/mt.chm::/Med iaTicketsInstaller.cab
- Kod: Zaznacz wszystko
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = gorzow.mm.pl
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = gorzow.mm.pl
Co do pliku
C:\WINDOWS\System32\w?crtupd.exe
Zastrzeżony znak "?" uniemożliwia kasację plików, ich znalezienie opcją typu Szukaj czy podgląd w działających procesach gdyż pytajnik to SYMBOL WIELOZNACZNY zastępujący litery. Np. uruchamiając opcję Szukaj i wpisując jako poszukiwany obiekt ??chost otrzymamy jako znaleziska pliki: svchost i rdchost = oba prawidłowe od Windows a nie ten szkodliwy z pytajnikami! Tak wygląda struktura nazewnictwa Windows, który podstawia pod ? pojedynczą literę by plik "pasował" do legalnej i zatwierdzonej konwencji nazywnictwa Billa Gatesa tongue.gif I trojan to niestety wykorzystał ....
Dzięki temu trikowi trojan potrafi stworzyć w folderze Windows plik O TAKIEJ SAMEJ NAZWIE a teoretycznie 2 pliki o tej samej nazwie nie mogą być w jednym i tym samym folderze!
Jak znaleźć i skasować te pliki?
Niestety nie można ich znaleźć opcją Szukaj i trzeba użyć własnych oczu. Trik to przejście do folderu gdzie ten plik jest czyli C:\WINDOWS\system32 i posortowanie Widoku wg nazwy. Pliki z prawidłową nazwą będą w logicznej kolejności a pliki z nieprawidłową (czyli nasz pytajnikowiec) bez i wylądują na spodzie. W weryfikacji pomoże też sprawdzenie daty - nowsze to śmieci. Samo zaś kasowanie również ręcznie gdyż wszystkie programy typu Killbox itd. będą zachowywały się identycznie jak Windows podstawiając pod pytajniki litery.