Usuwanie Trojan GG –
rpcc.dll i rpccd.dll
W logu z hijacka zobaczycie:
O4 - HKLM\..\RunServices: [Windowns Alert
Service] winalert.exe
O4 - HKLM\..\Run: [Windowns Alert Service] winalert.exe
O4 - HKCU\..\Run: [Windowns Alert Service] winalert.exe
O4 - HKCU\..\RunServices: [Windowns Alert Service] winalert.exe
O4 - HKLM\..\Run: [Windows Update Notifier]
"C:\WINDOWS\system32\winalert.exe"
O4 - Startup: MSWin--690801223.exe
O4 - Startup: MSWin-1874438327.exe
O4 - Global Startup: Uninstall.exe
O20 - Winlogon Notify: rpcc -
C:\WINDOWS\system32\rpcc.dll
O20 - Winlogon Notify: rpccd - C:\WINDOWS\system32\rpccd.dll
W silencie natomiast wygląda to
tak:
HKLM\Software\Microsoft\Windows
NT\CurrentVersion\Winlogon\Notify\
<<!>> rpcc\DLLName =
"C:\WINDOWS\System32\rpcc.dll”
<<!>> rpccd\DLLName =
"C:\WINDOWS\system32\rpccd.dll"
Usuwanie:
1. Otwieramy program Killbox
. W nim zaznaczamy opcję "Delete
on reboot" a także "All files"
jeśli na kasację będzie większa ilość plików.
2. W polu "Full
Path of File" wklejacie ścieżki:
C:\WINDOWS\System32\rpcc.dll
C:\WINDOWS\system32\rpccd.dll
C:\WINDOWS\system32\winalert.exe
C:\Documents and Settings\All Users\Menu
Start\Programy\Autostart\Uninstall.exe
C:\Documents and Settings\Twoje
konto\Menu Start\Programy\Autostart\MSWin--numerki.exe
Zaznaczacie " Delete on
reboot",
naciskacie " X" i zresetujecie
kompa.
3.Robicie plik naprawczy rejestru, otwieracie
notatnik i wklejacie :
Windows Registry Editor Version 5.00
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
NT\CurrentVersion\Winlogon\Notify\rpcc]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
NT\CurrentVersion\Winlogon\Notify\rpccd]
Plik -> Zapisz jako -> Zmień rozszerzenie z .txt na
wszystkie pliki -> zapisujecie pod nazwą FIX.REG
Odpalacie plik FIX.REG, potwierdzacie dodanie zmian
do rejestru i reset kompa.
Niestety
w 90 proc. przypadków zainfekowanie kończy się banem na
wysyłanie
wiadomości przez GG. Po kilku dniach wszystko wróci do normy.
Możecie też zastosować narzędzie SDFix
