Malware brise boot.ini

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

ja sam obrisao rucno lufo.exe i .jpg-ove u safe mod-u, ostali samo registry O

sorry al bio sam nestrpljiv, mozda je zbog toga?

da ipak ponovim?

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Nema potrebe, sad je jasno šta se dogodilo.

Šta je bilo u ovom folderu: c:\windows\system32\Sys32

Samo screenshotovi?

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

ne, tu je bio lufo.exe, i nekih lufo fajlova (nekih 5-6), i jedno zilion screenshotova po datumima i vremenima.

Jel keylogger bio u pitanju (sve mi se cini da su ti screenshotovi negde zavrsavali)?

i gaddemit kako je dosao na moj komp, i kako nisam primetio (boot.ini nestajanje je pocelo tek pre neki dan, a neki screenshotovi u nazivu imaju datume iz jula?

pored mene zena koristi komp (najlakse je okriviti nju , ali ako sam i ja nesto greskom uradio voleo bih da znam.

svaka ti cast, jos jednom

poz

Drejk

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Imamo još malo posla (program je greškom obrisao neke legitimne file-ove, vratićemo ih nazad).



Otvoriti Notepad i iskopirati sledeci tekst:


Dequarantine::
C:\Qoobox\Quarantine\C\Documents and Settings\All Users\Application Data\Microsoft\VCExpress\9.0\1033\ResourceCache.dll.vir
C:\Qoobox\Quarantine\C\WINDOWS\WINHELP.INI.vir
C:\Qoobox\Quarantine\C\Documents and Settings\All Users\Application Data\Microsoft\VCSExpress\9.0\1033\ResourceCache.dll.vir
C:\Qoobox\Quarantine\C\Documents and Settings\All Users\Application Data\Microsoft\VBExpress\9.0\1033\ResourceCache.dll.vir
C:\Qoobox\Quarantine\C\Documents and Settings\All Users\Application Data\Microsoft\MSDN\9.0\1033\ResourceCache.dll.vir
C:\Qoobox\Quarantine\C\WINDOWS\SW_Win2000X1.DLL.vir
C:\Qoobox\Quarantine\C\WINDOWS\SW_Win2146X32.DLL.vir
Quit::



Snimiti na Desktop fajl iz Notepada kao "CFScript"




Prevuci snimljeni skript/tekst na ComboFix ikonicu kao na slici.
Postaviti u sledecoj poruci log koji bude bio napravljen na kraju ciscenja/skeniranja.



Citat:Jel keylogger bio u pitanju

Da.

Citat:i gaddemit kako je dosao na moj komp, i kako nisam primetio (boot.ini nestajanje je pocelo tek pre neki dan, a neki screenshotovi u nazivu imaju datume iz jula?

Teško je reći odakle je došao. Malware, instalacija nekog prepakovanog programa sa "sumnjivog" sajta ili ga je neko ručno instalirao.

Mislim da problem sa boot.ini nije imao veze sa ovim.

Malware je na PC-u (verovatno) od 7. jula.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Uloguj se preko Facebooka da bi skinuo fajl:

Evo dekarantinizacije:

https://www.mycity.rs/must-login.png


boot.ini je onda verovatno imao veze sa askupdate serviceom koji sam ugasio u msconfigu....(samo uncheckirao service).

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Ask Toolbar možeš deinstalirati ako smatraš da on pravi neke probleme.


Potrebno je deinstalirati ComboFix:
klikni start (ili ), a zatim RUN.

Na Visti koristiti Start Search polje ukoliko Run nije dostupan.

U liniju za unos teksta ukucaj (iskopiraj) sledeće:

combofix /u

Primeti da postoji razmak između "ComboFix" i "/u".



a zatim klikni OK (ili pritisni Enter).

Sačekaj da se proces deinstalacije završi.


To je sve.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Uradjeno,

hvala jos jednom, pravi si drugar und spasilac.

Pozdrav

Drejk