Identyfikacja!
To dziadostwo można bardzo łatwo zidentyfikować. Między innymi przy pomocy programu Hijack This. Wpisy w logu wyglądają nastepująco:
O4 - HKLM\..\Run: [show mp3 stupid test] C:\Documents and Settings\All Users\Dane aplikacji\MediaLessShowMp3\ABOUT LINK.exe
O4 - HKCU\..\Run: [Hide Face] C:\DOCUME~1\KUBRYN\DANEAP~1\DENTBA~1\boob build.exe
O4 - HKCU\..\Run: [Multi idle] C:\DOCUME~1\Marcin\DANEAP~1\BLUEMA~1\Five Bold Plan.exe
O4 - HKLM\..\Run: [Idolsetupdalemfcd] C:\Documents and Settings\All Users\Dane aplikacji\less date idol setup\Dead Cash.exe
O4 - HKCU\..\Run: [1body] C:\DOCUME~1\Admin\DANEAP~1\MPEGBA~1\BASE CASH.exe
O4 - HKLM\..\Run: [16activemp3each] C:\Documents and Settings\All Users\Dane aplikacji\INTERNET ARMY 16 ACTIVE\support log.exe
O4 - HKCU\..\Run: [Bintest] C:\DOCUME~1\R&M\DANEAP~1\THEDUM~1\ExtraCornInside.exe
O4 - HKCU\..\Run: [Peak Safe] D:\DOCUME~1\Dom\DANEAP~1\ACELOV~1\Surfremote.exe
O4 - HKCU\..\Run: [Errorsign] C:\DOCUME~1\daniel\DANEAP~1\TIMEST~1\HOLDANTIBITS.exe
O4 - HKLM\..\Run: [rule htm data lite] C:\Documents and Settings\All Users\Dane aplikacji\SupportAxisRuleHtm\Balm Boob.exe
O4 - HKCU\..\Run: [Pokeplan] C:\DOCUME~1\Mali\DANEAP~1\CDROMS~1\Default Acid Logo.exe
O4 - HKLM\..\Run: [noun cool build multi] C:\Documents and Settings\All Users\Dane aplikacji\window open noun cool\Infodefy.exe
Oczywiście są to tylko niektóre wpisy. Cechują się przypadkowymi nazwami folderów.
Silent Runners pokaże natomiest coś takiego:
Enabled Scheduled Tasks:
------------------------
"AD3B245A9078D7FA" -> launches: "c:\docume~1\marcin\daneap~1\bluema~1\Softwaremetabib.exe" [file not found]
"ACAE887C91D53B54" -> launches: "c:\docume~1\meteon\daneap~1\sizedo~1\Meta Itch Four.exe" [null data]
"AF6875889133EFD8" -> launches: "c:\docume~1\user\daneap~1\readme~1\popfilmbolt.exe" [file not found]
Tutaj natomiast widać, iż numerki są pustymi zaplanowanymi zadaniami.
Usuwanie!
1. Pobieramy narzędzie NoLop.
Proper Use - Instrukcja używania narzędzia.
Help - Pomoc w programie.
Donations - Dotacja dla autora na rzecz udoskonalenia programu.
Search and Destroy - Szukanie oraz kasowanie znaleziska.
Exit - Wyjście z programu.
Po uruchomieniu klikamy na przycisk Search and Destroy. Narzędzie będzie szukało "nieproszonych gości". Jeżeli coś znajdzie, to komputer zostanie zresetowany - zobaczymy odpowiedni komunikat.
Soft zaiwera również opcję szukania poprzez CLSID.
Log z pracą programu możemy zobaczyć w pliku => C:\NoLop.log
Błędy w uruchomieniu aplikacji!
Możliwe, że przy próbie włączenia softu zobaczymi taki komunikat:
Informuje nas o braku biblioteki mscomctl.ocx. W celu "pokonania" błędu pobieramy plik mscomctl.ocx do ścieżki => WINDOWS\System32\
___________________________________________________________
2. Pobieramy narzędzie Deljob.
Naszą jedyną pracą jest włączenie programu poprzez dwukrotne kliknięcie na ikonkę aplikacji. Okno aplikacji pojawi się króciutko.
Log z pracy softu wyświetli się w Notatniku po zakończeniu szukania i usuwania infekcji.
___________________________________________________________
3. Pobieramy narzędzie FindLop.
Działa on w Wierszu Poleceń.
Po ściągnięciu widnieją 2 pliki. Stwórzmy nowy folder w lokalizacji C:\ i przenieśmy je tam. Klikamy dwa razy na plik findlop.bat i czekamy na zakończenie pracy. Po skończeniu zobaczymy log. Jest on również zapisany w ścieżce => C:\findlop.txt
___________________________________________________________
Te programy powinny załatwić całą sprawę, lecz w niektórych przypadkach tak nie jest. Zostaje pusty wpis w 'Zaplanowanych zadaniach' (Patrz wpisy w logu z Silent Runners). Usuwamy go następująco:
Start => Uruchom => Cmd => Wklepujemy i zatwierdzamy komendę Enter`em:
DEL C:\WINDOWS\tasks\Numerek z loga Silent Runners.job
Gdzie za frazę na czerwono wpisujemy CLSID czyli numerek, np.
DEL C:\WINDOWS\tasks\ACAE887C91D53B54.job
Po tej całej "zabawie" należało by pokazać kontrolne logi z Hijack`a i Silent`a na forum.
Serdeczne podziękowania dla użytkownika Amandi za pomoc w tworzeniu "dzieła".
