Usuwanie wirusów

Usuwanie DeluxeCommunications

DeluxeCommunications należy do grupy Adware SurfSideKick, zasypuje użytkownika mnóstwem reklamowych pop-upów. Znajduje się pod adresem hxxx://dxcdirect.com/. A tak to wygląda:



W hijacku można zobaczyć takie wpisy:
 
R3 - URLSearchHook: (no name) - {A8BD6820-6ED7-423E-9558-2D1486B0FEEA} - C:\Program Files\DeluxeCommunications\DxcBho.dll
O4 - HKLM\..\Run: [DeluxeCommunications] C:\Program Files\DeluxeCommunications\Dxc.exe
O4 - HKCU\..\Run: [DeluxeCommunications] C:\Program Files\DeluxeCommunications\Dxc.exe
O20 - AppInit_DLLs: dxclib303562752.dll

A tak to wygląda w logu z Combofix:

tata - 06-10-20 21:09:52.87 Service Pack 2
ComboFix 06.10.19 - Running from: "C:\Documents and Settings\tata\Desktop"

((((((((((((((((((((((((((((((((((((((((((( E-Give / Ssk's Log )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\system32\dxclib303562752.dll
C:\Documents and Settings\tata\Application Data\Dxcdmns.dll
C:\Documents and Settings\tata\Application Data\Dxcknwrd.dll
C:\Documents and Settings\tata\Application Data\Dxcuknwrd.dll
C:\Documents and Settings\tata\Application Data\Dxcc.dll
C:\WINDOWS\system32\bkd.exe
C:\Program Files\DeluxeCommunications\Dxc.exe
C:\Program Files\DeluxeCommunications\DxcBho.dll
C:\Program Files\DeluxeCommunications\DxcCore.dll
C:\WINDOWS\system32\drivers\core.cache.dsk
C:\WINDOWS\system32\drivers\core.sys

* * * POST RUN FILES/FOLDERS * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *

Usuwanie:

 Zamknij Internet Explorera i nie ruszaj go przez cały proces usuwania.
Z menu Start >>> Panelu Sterowania>>>Dodaj/Usuń programy>>>poszukaj DeluxeCommunications i go odinstaluj.
Jeśli takowego nie ma, naciśnij na Start >>> Uruchom i wpisz w okienku:

C:\Program Files\DeluxeCommunications\Dxc.exe /u

Naciśnij OK.
Uruchomi się program odinstalowujący i zostaniesz poproszony o wpisanie kodu bezpieczeństwa. Wpisz kod bezpieczeństwa i naciśnij OK.
Proces odinstalowywania poprosi o zamknięcie wszystkich okien Eksploratora Windows przed kontynuacją. Naciśnij przycisk YES, by kontynuować odinstalowywanie DeluxeCommunications.
Kiedy zapyta cię o zrestartowanie komputera, naciśnij YES i pozwól, by komputer uruchomił się ponownie.

Jeśli to zawiedzie proszę użyć narzędzia Avenger.

Pod zakladka "script file to execute"-czyli wykonaj skrypt wybierz  "Input script manually". Kliknij na ikonie lupy-powiększania która otworzy sie w nowym oknie zatytułowanym  "Viev/edit script". Wklej ten tekst w tym oknie:


Registry keys to delete:
HKEY_CURRENT_USER\Software\DeluxeCommunications
HKEY_CLASSES_ROOT\CLSID\{A8BD6820-6ED7-423E-9558-2D1486B0FEEA}
HKEY_LOCAL_MACHINE\SOFTWARE\DeluxeCommunications
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\DeluxeCommunications

Files to delete:
C:\WINDOWS\system32\bkd.exe
C:\WINDOWS\system32\dxclib303562752.dll
C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temp\i1.tmp
C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temp\i2.tmp
C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temp\Perflib_Perfdata_4ec.dat
C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temp\u8.bat
C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temp\u9.bat

Folders to delete:
C:\Programme\DeluxeCommunications

Trzeba też wykonać plik naprawczy rejestru, otwórz notatnik i wklej w nim:

REGEDIT4

[-HKEY_CURRENT_USER\Software\DeluxeCommunications]
[-HKEY_LOCAL_MACHINE\SOFTWARE\DeluxeCommunications]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\UrlSearchHooks]
"{A8BD6820-6ED7-423E-9558-2D1486B0FEEA}"=-

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\UrlSearchHooks]
"{A8BD6820-6ED7-423E-9558-2D1486B0FEEA}"=-
"{CFBFAE00-17A6-11D0-99CB-00C04FD64497}"=""

Z menu Plik wybierz Zapisz jako -> Zmień rozszerzenie z .txt na wszystkie pliki (*.*) -> zapisz jako FIX.REG

 Kliknij na niego dwukrotnie i pozwól dodać się danym do rejestru.
 
Poszukaj  w folderze C:\Documents and Settings\Application Data tych plików ,jeśli są to usuń: Dxcknwrd.dll i Dxccwrd.dll
     
Wyczyścić tempy, bo pliczek DXCBHO.DLL tworzy wiele kombinacji dodatkowych plików i ścieżek, może to być np. coś takiego:

# 1 :%TEMP%\DXCBHO.DLL.MUESTRA ELISTARTP....1.17
# 2 :%TEMP%\U2E4.TMP
# 3 :%TEMP%\U3E5.TMP
# 4 :%TEMP%\U422.TMP
# 5 :%TEMP%\U451.TMP
# 6 :%TEMP%\U457.TMP

Start -> Uruchom -> cmd i wklep:

RD /S /Q "C:\Documents and Settings\Nazwa Twojego konta\Ustawienia lokalne\Temp"
RD /S /Q "C:\Documents and settings\Nazwa Twojego konta\Ustawienia lokalne\Temporary internet files"

Pod "Nazwa Twojego konta" podstawiasz swoje konto imienne lub użyj  ATF