Adware.Virtumonde, PrivacyRemover.M64 i Skaner po


(Michaelg60) #1

Witam Wszystkich na Forum!

To mój pierwszy post i nie spodziewałem się że będzie w takiej formie:/

Błagam o uchronięcie mnie przed formatem. I tak w razie czego sam go nie zrobię :frowning:

Od wczoraj mam na kompie: win32/Adware.Virtumonde win32/PrivacyRemover.M64 i dodatkowo w pasku koło zegarka wyświetla sie informacja: AVAST - Skaner poczty...resztę sami wiecie...

Od czego zacząć ?

Kto mnie poprowadzi ?


(huber2t) #2

Podaj log z Combofix


(Michaelg60) #3

http://wklejto.pl/8517


(huber2t) #4

Pobierz ComboFix, ale nie uruchamiaj

Otwórz notatnik i wklej do niego:

Registry::

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Winbh63.sys]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Windj28.sys]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Windj52.sys]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Winfl06.sys]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Winip17.sys]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Winip41.sys]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Winkq06.sys]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Winkq85.sys]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Winnt17.sys]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Winpv52.sys]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Winpw30.sys]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Winrx17.sys]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Winsy30.sys]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wintb28.sys]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Winwe52.sys]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Winwe85.sys]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Winyf85.sys]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5042e67f-f1c9-11db-b1ac-000e501d9d0a}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8b8f97b0-dd4c-11dc-b3b8-000e501d9d0a}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8b8f97b1-dd4c-11dc-b3b8-000e501d9d0a}]


Driver::

Winbh63

Windj28

Windj52

Winfl06

Winip17

Winip41

Winkq85

Winnt17

Winpv52

Winpw30

Winrx17

Winsy30

Wintb28

Winwe52

Winwe85

Winyf85

Plik -> zapisz jako -> CFScript.txt.

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->

cfscript10uc2.gif

Rozpocznie się usuwanie i powstanie log, który dasz na forum.

Logi dajesz na wklej.eu , http://wklejto.pl lub na http://wklej.org a w poście dajesz tylko link


(Michaelg60) #5

http://wklejto.pl/8529


(huber2t) #6

Log wyglada na czysty

usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.

Przeczyść komputer Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum

lub

Dr.WEB CureIt!


(Michaelg60) #7

No znalezione w sumie 12 zaifekowanych:/

Oto log z Kasperskiego:

http://wklejto.pl/8544

Nie jestem w stanie stwierdzić, że skaner poczty już nie żyje, bo zawsze w pasku systemowym widniała informacja o tym, a teraz nawet nie mam ikony AVAST-a, zniknęła po przeskanowania Combofix. Zapora systemu Windows wskazuje że program AVAST raportuje że jest akualny i wykrywanie wirusów jest włączone. Włączyłem nawet opcję w AVASTie "pokazuj ikonę w pasku systemowym" i nie pomaga. Po włączeniu kompa pojawia się informacja, iż ZAPORA JEST WYŁĄCZONA, a potem nagle się włącza. Jak zrobić by AVAST monitorował cały czas ?


(Leon$) #8

Pobierz i uruchom narzędzie The Avenger Zaznaczasz tekst podany do usunięcia na forum

kopiuj >> klikasz na Paste Script from Clipboard >> Execute >> Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

:slight_smile:


(Michaelg60) #9

http://wklejto.pl/8548

Pojawiła się ikona AVAST w pasku systemowym...:stuck_out_tongue:


(Leon$) #10

wszystko usunięte powinno być OK

:slight_smile:


(Michaelg60) #11

Jest ok:)

Bardzo mi pomogłeś:slight_smile: Dziękuję bardzo, w innym przypadku misiałbym gdzieś zawozić sprzęta:)

W razie czego chętnie pomogę:slight_smile: POZDRAWIAM:)