Jak usunąć Worm.VB.AQT?


(Witch_24) #1

Przy pobraniu Multi ip changer TIBIA zainstalowałmi się właśnie ten trojan(??). Chciałabym się dowiedzieć co on powoduje. Domyślam się, że to jakiś rodzaj keyloggera, ponieważ nie dawno moje konto w Tibii zostalo zhakowane. Skanowalam dzisiaj komputer programem Doctor Spyware, który go wykrył ale nie sądze,że go usunął, ponieważ już raz usunęłam Worm.VB.AQT i dzisiaj się okazało, że nadal go mam. Czytałam o tym problemie, ale jestem laikiem w tych sprawach dlatego to co tam zobaczyłam chyba przekracza moje możliwości. Bardzo prosze o pomoc.


(Leon$) #2

Pobierz Combofix http://www.searchengines.pl/index.php?s ... ntry395642 przeskanuj daj log

potem

Pobierz HijackThis http://forum.dobreprogramy.pl/viewtopic.php?f=16&t=36654 przeskanuj system daj log

kolejność skanowania jak podałem

:slight_smile:


(Patryk94) #3

Na koniec zapodaj logi z:

:arrow: Sillent Runners


(Witch_24) #4

Przeskanowałam komputer Combofix'em i tu jest log

http://wklej.org/id/fe1d02970c

a później HijackThis i tu jest log

http://wklej.org/id/cf25af9381

CO TERAZ?? :?


(Gutek) #5
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

O4 - Startup: PowerReg SchedulerV2.exe

usuń wpsiy HJT Wklej do Notatnika:

File::

C:\Documents and Settings\Martha\Menu Start\Programy\Autostart\PowerReg SchedulerV2.exe


Folder::

C:\Program Files\WeatherCast

C:\Program Files\Save

C:\WINDOWS\TEMP


Driver::

ATE_PROCMON


Registry::

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"TransparentTaskBar"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Anti Trojan Elite"=-

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WeatherCast] 

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WhenUSave]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

>>Plik>>Zapisz jako... >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku -->88953CFScript-createdbyMiekiemoes.gif

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: **** Qoobox.

Po tym nowy log z Combo oraz skan http://www.kaspersky.pl/virusscanner.html


(Witch_24) #6

Wybacz prosze głupie pytanie,ale co to są wpisy HJT??

Czy te wpisy mam zaznaczyć i usunąć Fix checked??

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

O4 - Startup: PowerReg SchedulerV2.exe


(Leon$) #7

włącz HijackThis >> Do a system scan only >> w oknie programu pokaże się log >> zaznacz kratki przy podanych wpisach >> klikasz Fix checked

tak masz zrobić

:slight_smile:


(huber2t) #8

Po tym daj powstały log z combofix


(Witch_24) #9

Tu jest log z ComboFixa po usunięciu wpisów z HJ

http://wklej.org/id/659d457637

Czy już po wszystkim?? :?


(Leon$) #10

Otwórz notatnik i wklej

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri ... iemoes.gif

Powinno rozpocząć się usuwanie

Potem log z usuwania Combofix

:slight_smile:


(Witch_24) #11

Więc tak...na tej stronce z której pobierałam Combofixa jest napisane, że trzeba go zapisać jako Combo-Fix.exe (czyli z tą kreską) czy to jest konieczne?? I druga sprawa jak nakładam ten plik CFScript.txt to ikonka Combofixa "ucieka" i nic się nie dzieje. Co mam w tym wypadku zrobić?? #-o


(Leon$) #12

skoro tak pisze to zrób masz problem żeby wpisać kreseczkę?

:slight_smile:


(Witch_24) #13

Chodzi o to,że ją zrobiłam i dalej nic :evil:


(Leon$) #14

Otwórz notatnik i wklej

zapisz jako plik.reg >> wszystkie pliki >> scal z rejestrem >> restart

b57f17008275c957m.jpg

powstanie plik o takiej ikonie

062aec4c9b51c033m.jpg

w który dwa razy klikniesz potwierdzisz chęć dodania do rejestru potem restart

Pobierz i uruchom narzędzie The Avenger Zaznaczasz tekst podany do usunięcia na forum

kopiuj klikasz na Paste Script from Clipboard Execute Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

:slight_smile:


(Witch_24) #15

Tu jest log po użyciu Avangera

http://wklej.org/id/f6c1e14d2c

Czy już mam Worma z głowy??


(Leon$) #16

zrób optymalizacje uruchamiania http://cybertrash.netarteria.pl/cyber/index.php/topic,378.0.html

usuń ręcznie folder C: \Qoobox usuń instalkę Combofix z dysku.

Wyłącz I włącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

przeskanuj obszar Mój komputer http://www.kaspersky.pl/virusscanner.html pokaż raport stronę uruchomić przez IE

:slight_smile:


(Witch_24) #17

Mógłbyś dokładniej wyjaśnić co mam rozumieć przez optymalizację uruchamiania i co dokładnie mam zrobić?? Rozumiem, że kolejność wykonywania czyności ma być taka jak podałeś...z trzema pozostałymi raczej problemu nie będzie. :slight_smile:


(Leon$) #18

polega to na ty żeby wyłączyć wszystko co nie jest potrzebne systemowi ani tobie z uruchamiania

w logu HijackThis masz takie pozycje chyba że coś zostało już wyłączone

z tego możesz wyłączyć moja propozycja wybór należy do ciebie

usunięcie wpisu nie powoduje usunięcia pliku (dotyczy wpisów 04) w razie pomyłki można przywrócić w HijackThisie

włącz HijackThis >> Do a system scan only >> w oknie programu pokaże się log >> zaznacz kratki przy podanych wpisach >> klikasz Fix checked

możesz to robić po kolei i sprawdzać czy wszystko gra

wyłączone aplikacje zawsze możesz włączyć kiedy będziesz chciał

Start >> Wszystkie programy >> autostart >> z tamtąd również możesz usunąć skróty które są niepotrzebne

na tym polega optymalizacja uruchamiania

:slight_smile:


(Witch_24) #19

Mam pytanie o przywracanie systemu. We właściwościach jest napisane, że przywracanie systemu może śledzić i odwracać szkodliwe dla komputera zmiany to po co mam to wyłączyć ,a następnie włączyć?? :?:


(huber2t) #20

Tak musisz wyłączyć a nastepnie właczyć