Skocz do zawartości


Zdjęcie

Usuwanie Adware Lop


  • Zaloguj się, aby dodać odpowiedź
Brak odpowiedzi do tego tematu

#1 Maciej13

Maciej13

    SecurityMaster

  • 261 postów

Napisano 05 05 2007 - 15:08

Do usuwanie tej infekcji dostępnych jest kilka programów. W tym wątku je właśnie przedstawię oraz napiszę jak się dowiedzieć czy jesteśmy zakażeni.

Identyfikacja!

To dziadostwo można bardzo łatwo zidentyfikować. Między innymi przy pomocy programu Hijack This. Wpisy w logu wyglądają nastepująco:

O4 - HKLM\..\Run: [show mp3 stupid test] C:\Documents and Settings\All Users\Dane aplikacji\MediaLessShowMp3\ABOUT LINK.exe
O4 - HKCU\..\Run: [Hide Face] C:\DOCUME~1\KUBRYN\DANEAP~1\DENTBA~1\boob build.exe
O4 - HKCU\..\Run: [Multi idle] C:\DOCUME~1\Marcin\DANEAP~1\BLUEMA~1\Five Bold Plan.exe
O4 - HKLM\..\Run: [Idolsetupdalemfcd] C:\Documents and Settings\All Users\Dane aplikacji\less date idol setup\Dead Cash.exe
O4 - HKCU\..\Run: [1body] C:\DOCUME~1\Admin\DANEAP~1\MPEGBA~1\BASE CASH.exe
O4 - HKLM\..\Run: [16activemp3each] C:\Documents and Settings\All Users\Dane aplikacji\INTERNET ARMY 16 ACTIVE\support log.exe
O4 - HKCU\..\Run: [Bintest] C:\DOCUME~1\R&M\DANEAP~1\THEDUM~1\ExtraCornInside.exe
O4 - HKCU\..\Run: [Peak Safe] D:\DOCUME~1\Dom\DANEAP~1\ACELOV~1\Surfremote.exe
O4 - HKCU\..\Run: [Errorsign] C:\DOCUME~1\daniel\DANEAP~1\TIMEST~1\HOLDANTIBITS.exe
O4 - HKLM\..\Run: [rule htm data lite] C:\Documents and Settings\All Users\Dane aplikacji\SupportAxisRuleHtm\Balm Boob.exe
O4 - HKCU\..\Run: [Pokeplan] C:\DOCUME~1\Mali\DANEAP~1\CDROMS~1\Default Acid Logo.exe
O4 - HKLM\..\Run: [noun cool build multi] C:\Documents and Settings\All Users\Dane aplikacji\window open noun cool\Infodefy.exe


Oczywiście są to tylko niektóre wpisy. Cechują się przypadkowymi nazwami folderów.

Silent Runners pokaże natomiest coś takiego:

Enabled Scheduled Tasks:
------------------------

"AD3B245A9078D7FA" -> launches: "c:\docume~1\marcin\daneap~1\bluema~1\Softwaremetabib.exe" [file not found]
"ACAE887C91D53B54" -> launches: "c:\docume~1\meteon\daneap~1\sizedo~1\Meta Itch Four.exe" [null data]
"AF6875889133EFD8" -> launches: "c:\docume~1\user\daneap~1\readme~1\popfilmbolt.exe" [file not found]


Tutaj natomiast widać, iż numerki są pustymi zaplanowanymi zadaniami.

Usuwanie!

1. Pobieramy narzędzie NoLop.

Dołączona grafika

Proper Use - Instrukcja używania narzędzia.

Help - Pomoc w programie.

Donations - Dotacja dla autora na rzecz udoskonalenia programu.

Search and Destroy - Szukanie oraz kasowanie znaleziska.

Exit - Wyjście z programu.

Po uruchomieniu klikamy na przycisk Search and Destroy. Narzędzie będzie szukało "nieproszonych gości". Jeżeli coś znajdzie, to komputer zostanie zresetowany - zobaczymy odpowiedni komunikat.

Soft zaiwera również opcję szukania poprzez CLSID.

Log z pracą programu możemy zobaczyć w pliku => C:\NoLop.log

Błędy w uruchomieniu aplikacji!

Możliwe, że przy próbie włączenia softu zobaczymi taki komunikat:

Dołączona grafika

Informuje nas o braku biblioteki mscomctl.ocx. W celu "pokonania" błędu pobieramy plik mscomctl.ocx do ścieżki => WINDOWS\System32\

___________________________________________________________


2. Pobieramy narzędzie Deljob.

Dołączona grafika

Naszą jedyną pracą jest włączenie programu poprzez dwukrotne kliknięcie na ikonkę aplikacji. Okno aplikacji pojawi się króciutko.

Log z pracy softu wyświetli się w Notatniku po zakończeniu szukania i usuwania infekcji.

___________________________________________________________


3. Pobieramy narzędzie FindLop.

Działa on w Wierszu Poleceń.

Po ściągnięciu widnieją 2 pliki. Stwórzmy nowy folder w lokalizacji C:\ i przenieśmy je tam. Klikamy dwa razy na plik findlop.bat i czekamy na zakończenie pracy. Po skończeniu zobaczymy log. Jest on również zapisany w ścieżce => C:\findlop.txt

___________________________________________________________


Te programy powinny załatwić całą sprawę, lecz w niektórych przypadkach tak nie jest. Zostaje pusty wpis w 'Zaplanowanych zadaniach' (Patrz wpisy w logu z Silent Runners). Usuwamy go następująco:

Start => Uruchom => Cmd => Wklepujemy i zatwierdzamy komendę Enter`em:

DEL C:\WINDOWS\tasks\Numerek z loga Silent Runners.job


Gdzie za frazę na czerwono wpisujemy CLSID czyli numerek, np.

DEL C:\WINDOWS\tasks\ACAE887C91D53B54.job


Po tej całej "zabawie" należało by pokazać kontrolne logi z Hijack`a i Silent`a na forum.

Serdeczne podziękowania dla użytkownika Amandi za pomoc w tworzeniu "dzieła".

  • 0




Użytkownicy przeglądający ten temat: 1

0 użytkowników, 1 gości, 0 anonimowych