geede.dll i virtumonde problem
Wyskakują mi okienka z dziwnymi komunikatami typu obraz windows nieprawidłowy wszysto przez bibliotekę geede.dll
Programy VirtumundoBeGone i VundoFix nie dają efektów. Proszę o pomoc.
logi z hijack i combo fix są na www.as.i365.pl/logi/
Pozdrawiam Andrzej Skibicki
Odpowiedzi: 2
Bardzo dziękuję za pomoc. Picasso rozwiązała mój problem i wszystko wygląda dobrze.
Pozdrawiam
Wklej do [b]Notatnika[/b]:
[CODE]
File::
C:\WINDOWS\system32\geede.exe
C:\WINDOWS\system32\geede.dll
C:\WINDOWS\system32\edeeg.ini2
Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\fccbbcy]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"=hex(7):6d,73,76,31,5f,30,00,00
[/code]
[b]>>Plik>>Zapisz jako... >>> [color=red]CFScript[/color][/b] (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka [b]CFScript.txt[/b] znalazła się obok ikonki [b]ComboFix.exe[/b])
Przeciągnij i upuść plik [color=red][b]CFScript.txt[/b][/color] na plik [b]ComboFix.exe[/b] (czyli ikonkę [b]CFScript.txt[/b] na ikonkę [b]ComboFix.exe[/b])
– podobnie jak na tym obrazku [b][color=blue]-->[/color][/b][img]http://img.wklej.org/images/88953CFScript-createdbyMiekiemoes.gif[/img]
Ma się rozpocząć usuwanie. (i powstanie log).
[b]Po restarcie[/b] usuń ręcznie folder [b]C: \[color=red]Qoobox[/color][/b].
Daj ten log, który powstanie w trakcie usuwania.
[quote]- 2007-12-26 20:36:03 208,952 ----a-w C:\WINDOWS\ime\IMJP8_1\IMJPMIG .EXE
+ 2007-12-26 21:09:20 208,952 ----a-w C:\WINDOWS\ime\IMJP8_1\IMJPMIG .EXE
- 2007-12-26 20:36:05 455,168 ----a-w C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP .EXE
+ 2007-12-26 21:09:18 455,168 ----a-w C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP .EXE[/quote]
Te wpisy sugerują, że masz najnowszą wersję tej infekcji.
Poznać to można po nazwie plików:
IMJPMIG .EXE --> nieprawidłowa nazwa pliku systemowego
IMJPMIG.EXE --> prawidłowa nazwa pliku systemowego
Kłopot w tym, że nie wiadomo, czy infekcja nie zamienia plików, tzn, że prawidłowy plik może ma nieprawidłową nazwę, a zły plik ma teraz prawidłową nazwę. Nie wiadomo, który usuwać, bo oba mają jednakowy rozmiar, itp.
U Ciebie to na razie tylko dwa pliki, ale wkrótce wszystkie pliki systemowe będą miały swoje złe duplikaty.
Jak dotąd nie udało się jeszcze opracować sposobu usuwania tej wersji infekcji, nie da się usunąć nawet przy pomocy Konsoli Odzyskiwania.
Wszystkie przypadki zakończyły się sformatowaniem dysku.
EDIT:
Widzę, że @[b]Picasso[/b] już Ci pomaga, więc moje zalecenia są już nieaktualne.
.
Strona 1 / 1