Heur.VBS.Generic.23 - jak sie pozbyc?


(Borimexmarketing) #1

Witam,

Od jakiegoś czasu bezskutecznie próbuję uporać sie z wirusem który zainfekował kompa. MKS_vir rozpoznaje go jako Heur.VBS.Generic.23 alias: P2P-Worm.VBS.Pils (więcej na http://www.viruspool.net/virus.cms). Nie pomaga usunięcie zarażonych plików, formatowanie raczej nie wchodzi w grę. Dowiedziałem się, że rozpowszechnia się poprzez urządzenia magazynujące USB. Poza tym niewiele wiem na jego temat. Wkleiłem loga:

http://wklej.org/id/9593ddf746

Bardzo proszę o analizę i pomoc w pozbyciu się tego śmiecia. Byłbym wdzięczny za dokładny i prosty opis postępowania, przeznaczony dla laika.

Z góry dziękuję.


(Baldys15) #2

sfixuj:

  1. R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

  2. R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

  3. R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by Godzilla

  4. R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

  5. O4 - HKLM…\Run: [MS32DLL] C:\WINDOWS\MS32DLL.dll.vbs

Masz infekcję Godzilli,zrób scan tym:

http://dobreprogramy.pl/index.php?dz=2& … +2.1.1.314


(Borimexmarketing) #3

Dziekuje za wsparcie, niestety to coś jest odporne na wszelkie próby utylizacji.

Ponżej fragment raportu Spyware terminatora

Threat Files

: C:\WINDOWS\MS32DLL.dll.vbs

Usuń Worm.VBS.Solow.b

Usunięcie pliku nie powiodło się (Failed) : C:\WINDOWS\MS32DLL.dll.vbs

File set for deletion after restart: C:\WINDOWS\MS32DLL.dll.vbs

Usunięcie pliku nie powiodło się: C:\WINDOWS\MS32DLL.dll.vbs

Usunięty rejestr : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run MS32DLL

Czy jest na to świństwo jakieś inne lekarstwo?


(Dawidex11) #4

Pewnie :wink:

Ponizsze wpisy zafixuj w HijackThis , czyli zaznacz ptaszkiem wpisy i kliknij na Fix Checked …

C:\Program Files\ CDNXL \CDNSPR.EXE znasz ten program ? :?:

Pobierz ComboFix’a :arrow: http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Otwórz notatnik i wklej …

>>Plik>>Zapisz jako… >>> CFScript.txt

Przeciagnij i upusc plik CFScript.txt na plik ComboFix.exe (czyli ikonke CFScript.txt na ikonke ComboFix.exe)

post-55327-13856533974021_thumb.gif

Nastąpi usuwanie , po tym ComboFix wygeneruje log który wklej na wklej.org a w psocie podaj tylko link.


(Borimexmarketing) #5

Bardzo dziękuje za informację i poświęcony czas. Zafixowalem w HijackThis wskazane linijki ale to draństwo próbowało uaktywnić się ponownie, gdy kliknąłem na ikonkę drugiej partycji, co wykryłem dzięki informacji mks_vir o próbie zmiany w rejestrze. Zrobiłem chyba wszystko poprawnie wg instrukcji, jeszcze nie wiem czy pomogło. Poniżej link do loga z Combo Fix:

http://wklej.org/id/a54dd75613

Ps.C:\Program Files\CDNXL\CDNSPR.EXE znasz ten program? - Tak znam, CDNXL to system zarządzania MRP


(Borimexmarketing) #6

Informacja dla tych którzy będą mieć taki sam problem. Uporałem się w końcu. Użyłem opisanych w tym poście metod, ale chyba właściwy skutek zrobiło dodatkowe skanowanie darmowym Mcafee (online). Mcafee znalazł 2 pliki i je usunął. Teraz komputer jest czysty i nie zaraża już urządzeń magazynujących USB, co wcześniej miało miejsce.


(Gutek) #7

Użyj PRT (Perlovga Removal Tool) - http://www.softpedia.com/get/Security/S … Tool.shtml i po tym nowy log z Combo


(G Rybski) #8

poniższy link jest odniesieniem do rozawiązania problemu: viewtopic.php?f=16&t=234544&p=1563176#p1563176


(Gutek) #9

gregorr nie OT-uj