Jak usunąć Worm.VB.AQT?

Witch_24 · 16 Maj 2008 13:15

Przy pobraniu Multi ip changer TIBIA zainstalowałmi się właśnie ten trojan(??). Chciałabym się dowiedzieć co on powoduje. Domyślam się, że to jakiś rodzaj keyloggera, ponieważ nie dawno moje konto w Tibii zostalo zhakowane. Skanowalam dzisiaj komputer programem Doctor Spyware, który go wykrył ale nie sądze,że go usunął, ponieważ już raz usunęłam Worm.VB.AQT i dzisiaj się okazało, że nadal go mam. Czytałam o tym problemie, ale jestem laikiem w tych sprawach dlatego to co tam zobaczyłam chyba przekracza moje możliwości. Bardzo prosze o pomoc.

Leon1 · 16 Maj 2008 13:32

Pobierz Combofix http://www.searchengines.pl/index.php?s … ntry395642 przeskanuj daj log

potem

Pobierz HijackThis http://forum.dobreprogramy.pl/viewtopic.php?f=16&t=36654 przeskanuj system daj log

kolejność skanowania jak podałem

Patryk94 · 16 Maj 2008 14:23

Na koniec zapodaj logi z:

Sillent Runners

Witch_24 · 21 Maj 2008 09:41

Przeskanowałam komputer Combofix’em i tu jest log

http://wklej.org/id/fe1d02970c

a później HijackThis i tu jest log

http://wklej.org/id/cf25af9381

CO TERAZ?? :?

Gutek · 21 Maj 2008 09:58

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

O4 - Startup: PowerReg SchedulerV2.exe

usuń wpsiy HJT Wklej do Notatnika:

File::

C:\Documents and Settings\Martha\Menu Start\Programy\Autostart\PowerReg SchedulerV2.exe


Folder::

C:\Program Files\WeatherCast

C:\Program Files\Save

C:\WINDOWS\TEMP


Driver::

ATE_PROCMON


Registry::

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"TransparentTaskBar"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Anti Trojan Elite"=-

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WeatherCast] 

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WhenUSave]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku –>

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: ** Qoobox**.

Po tym nowy log z Combo oraz skan http://www.kaspersky.pl/virusscanner.html

Witch_24 · 27 Maj 2008 12:48

Wybacz prosze głupie pytanie,ale co to są wpisy HJT??

Czy te wpisy mam zaznaczyć i usunąć Fix checked??

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

O4 - Startup: PowerReg SchedulerV2.exe

Leon1 · 27 Maj 2008 12:55

włącz HijackThis >> Do a system scan only >> w oknie programu pokaże się log >> zaznacz kratki przy podanych wpisach >> klikasz Fix checked

tak masz zrobić

huber2t · 27 Maj 2008 13:15

Po tym daj powstały log z combofix

Witch_24 · 30 Maj 2008 12:15

Tu jest log z ComboFixa po usunięciu wpisów z HJ

http://wklej.org/id/659d457637

Czy już po wszystkim?? :?

Leon1 · 30 Maj 2008 12:49

Otwórz notatnik i wklej

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri … iemoes.gif

Powinno rozpocząć się usuwanie

Potem log z usuwania Combofix

Witch_24 · 30 Maj 2008 14:03

Więc tak…na tej stronce z której pobierałam Combofixa jest napisane, że trzeba go zapisać jako Combo-Fix.exe (czyli z tą kreską) czy to jest konieczne?? I druga sprawa jak nakładam ten plik CFScript.txt to ikonka Combofixa “ucieka” i nic się nie dzieje. Co mam w tym wypadku zrobić?? #-o

Leon1 · 30 Maj 2008 14:08

skoro tak pisze to zrób masz problem żeby wpisać kreseczkę?

Witch_24 · 30 Maj 2008 14:13

Chodzi o to,że ją zrobiłam i dalej nic :evil:

Leon1 · 30 Maj 2008 14:26

Otwórz notatnik i wklej

zapisz jako plik.reg >> wszystkie pliki >> scal z rejestrem >> restart

powstanie plik o takiej ikonie

w który dwa razy klikniesz potwierdzisz chęć dodania do rejestru potem restart

Pobierz i uruchom narzędzie The Avenger Zaznaczasz tekst podany do usunięcia na forum

kopiuj klikasz na Paste Script from Clipboard Execute Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

Witch_24 · 31 Maj 2008 11:22

Tu jest log po użyciu Avangera

http://wklej.org/id/f6c1e14d2c

Czy już mam Worma z głowy??

Leon1 · 31 Maj 2008 17:08

zrób optymalizacje uruchamiania http://cybertrash.netarteria.pl/cyber/index.php/topic,378.0.html

usuń ręcznie folder C: \Qoobox usuń instalkę Combofix z dysku.

Wyłącz I włącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

przeskanuj obszar Mój komputer http://www.kaspersky.pl/virusscanner.html pokaż raport stronę uruchomić przez IE

Witch_24 · 31 Maj 2008 19:28

Mógłbyś dokładniej wyjaśnić co mam rozumieć przez optymalizację uruchamiania i co dokładnie mam zrobić?? Rozumiem, że kolejność wykonywania czyności ma być taka jak podałeś…z trzema pozostałymi raczej problemu nie będzie.

Leon1 · 31 Maj 2008 19:51

polega to na ty żeby wyłączyć wszystko co nie jest potrzebne systemowi ani tobie z uruchamiania

w logu HijackThis masz takie pozycje chyba że coś zostało już wyłączone

# O4 - HKLM…\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe # O4 - HKLM…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe # O4 - HKLM…\Run: [iSUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup # O4 - HKLM…\Run: [iSUSScheduler] “C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe” -start # O4 - HKLM…\Run: [HP Software Update] C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe # O4 - HKLM…\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe # O4 - HKLM…\Run: [DeviceDiscovery] C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe # O4 - HKLM…\Run: [Anti Trojan Elite] E:\KARAMBA\Anti Trojan Elite\TJEnder.exe :NO # O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background # O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘USŁUGA LOKALNA’) # O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘USŁUGA SIECIOWA’) # O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘SYSTEM’) # O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘Default user’) # O4 - Startup: Webshots.lnk = C:\Program Files\Webshots\WebshotsTray.exe # O4 - Startup: PowerReg SchedulerV2.exe

z tego możesz wyłączyć moja propozycja wybór należy do ciebie

usunięcie wpisu nie powoduje usunięcia pliku (dotyczy wpisów 04) w razie pomyłki można przywrócić w HijackThisie

włącz HijackThis >> Do a system scan only >> w oknie programu pokaże się log >> zaznacz kratki przy podanych wpisach >> klikasz Fix checked

możesz to robić po kolei i sprawdzać czy wszystko gra

wyłączone aplikacje zawsze możesz włączyć kiedy będziesz chciał

Start >> Wszystkie programy >> autostart >> z tamtąd również możesz usunąć skróty które są niepotrzebne

na tym polega optymalizacja uruchamiania

Witch_24 · 1 Czerwiec 2008 10:56

Mam pytanie o przywracanie systemu. We właściwościach jest napisane, że przywracanie systemu może śledzić i odwracać szkodliwe dla komputera zmiany to po co mam to wyłączyć ,a następnie włączyć?? :?:

huber2t · 1 Czerwiec 2008 10:58

Tak musisz wyłączyć a nastepnie właczyć