Komunikat o infekcji - wml.exe


(P Bogdanowicz Kpt Nemo) #1

Witam

Proszę o pomoc w tej oto sprawie. Co jakieś 10-15 min pojawia mi się taki oto komunikat:

Szukałem pliku wml.exe jednak takowego nie odnalazłem. Przeskanowałem kompa Ad-awarem 2007, Odkurzaczem, SDFix-em i Avastem. Poniżej log Hijack This:

http://wklej.org/id/1ace501a8a


(Baldys15) #2

wywal avasta,zainstaluj np Avire.

sfixuj:

O4 - HKLM..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

  1. O4 - HKLM..\Run: [apctovkj] regsvr32 /u "C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\apctovkj.dll"

  2. O4 - HKLM..\Run: [chifcjmr] regsvr32 /u "C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\chifcjmr.dll"

zrób scana tym:

http://dobreprogramy.pl/index.php?dz=2& ... +2.1.1.314

wrzuć loga z combofixa


(Dawidex11) #3

Ponizsze wpisy zafixuj w HijackThis , czyli zaznacz ptaszkiem wpisy i kliknij na Fix Checked ...

Pobierz comboFix'a :arrow: http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Wklej do Notatnika:

>>Plik>>Zapisz jako... >>> CFScript.txt

Przeciagnij i upusc plik CFScript.txt na plik ComboFix.exe (czyli ikonke CFScript.txt na ikonke ComboFix.exe)

post-55327-13856533979689_thumb.gif

Nastapi usuwanie , po tym ComboFix wygeneruje log który wklej na wklej.org a w poscie podaj tylko link .

Pozdrawiam :wink:

Daj loga jeszcze z SmitFraudFix ...

Użyj SmitFraudFix :arrow: http://siri.urz.free.fr/Fix/SmitfraudFix.zip wybierz opcji nr 2, oczywiście w trybie awaryjnym i po tym daj wygenerowany log .


(P Bogdanowicz Kpt Nemo) #4

Oto log z ComboFix-a:

http://wklej.org/id/1cb6d6fa13

a to z SmitfraudFix:

http://wklej.org/id/8bd020dd23

dorzucam jeszcze HiJack Thisa:

http://wklej.org/id/1029579358


(Dawidex11) #5

Sciagnij -->Avenger. http://swandog46.geekstogo.com/avenger2/avenger.exe

Wklej do niego to:

Klikasz w Execute i zatwierdzasz reset kompa.

Potem pokaz Log z Avengera znajduje sie w C:\avenger.txt. .


(P Bogdanowicz Kpt Nemo) #6

Log z Avengera:

http://wklej.org/id/0499a53af8


(jessica) #7

Daj jeszcze raz log z ComboFixa, bo chyba Avenger nie wszystko usunął.

Chodzi tu zwłaszcza o zainfekowane klucze pendrive - Avenger usuwa tylko klucze z gałęzi "HKEY_LOCAL_MACHINE" - inych gałęzi nie potrafi.

Dlatego kluczy z gałęzi " HKEY_CURRENT_USER" nie usuwa.

jessi


(P Bogdanowicz Kpt Nemo) #8

Log z ComboFix-a

http://wklej.org/id/2cd9e38e4c


(Gutek) #9

Wklej do Notatnika:

Driver::

jnv4_mib


Registry::

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"IBP"=-

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

>>Plik>>Zapisz jako... >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku -->88953CFScript-createdbyMiekiemoes.gif

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: **** Qoobox.

Po tym nowy log z Combo


(P Bogdanowicz Kpt Nemo) #10

Oto nowy log:

http://wklej.org/id/28bfaf29dd


(Gutek) #11

Start>>> uRUCHOM>>> CMD

SC STOP jnv4_mib

SC DELETE jnv4_mib


(P Bogdanowicz Kpt Nemo) #12

Dziękuję za pomoc :slight_smile:


(Leon$) #13

otwórz notatnik i wklej

zapisz jako plik.reg >> wszystkie pliki >> scal z rejestrem >> restart

b57f17008275c957m.jpg

powstanie plik o takiej ikonie

062aec4c9b51c033m.jpg

w który dwa razy klikniesz potwierdzisz chęć dodania do rejestru potem restart

Po restarcie jeśli wszystko będzie OK usuń ręcznie folder C: \Qoobox

usuń instalkę Combofix z dysku.

Wyłącz i włącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

:slight_smile:


(Gutek) #14

Daj kontrolnie jeszcze log z Combo, zobaczymy czy na pewno usunięto wskazane klucze i jnv4_mib