Net.Booster problem z wirusem

Dla specjalistów Bezpieczeństwo
#1

Witam!

Złapałem Netboostera.

Objawy są następujące:

  1. Podmiana tapety pulpitu na tapetę z napisem “Your Privacy is in danger” “Download Privacy Protection Software Now”

  2. Na pulpicie pojawiły się ikony “Privacy protector”, “Error Cleaner”, “Spyware&Malware Protection”.

  3. Co jakiś czas wyskakują okienka informujące, że mam wirusa i żeby ściągnąć jakiś tam antispyware.

  4. Koło zegarka systemowego pojawił się napis “VIRUS ALERT!”

  5. Ogólne spowolnienie komputera.

  6. Dodatkowo w systemowym trayu pojawiła się ikonka czerwonego kółka z białym krzyżykiem

Przygotowałem logi z combofixa i Hijackthis oto one:

  1. combofix: http://wklejto.pl/9371

  2. hijackthis: http://wklejto.pl/9368

Z góry dzięki za pomoc

#2

Wklej do Notatnika:

File::

C:\WINDOWS\rodqgpvldbv.dll

C:\WINDOWS\rqbmvpso.dll

C:\WINDOWS\qalkfxor.dll

C:\WINDOWS\rvoelbxt.exe


Folder::

C:\FOUND.000


Registry::

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{26027218-80B3-40FA-9FA1-70FD56AA5328}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

"{5371FF76-9602-4029-9626-BE8CD757EB36}"=-

[-HKEY_CLASSES_ROOT\clsid\{5371ff76-9602-4029-9626-be8cd757eb36}]

[-HKEY_CLASSES_ROOT\qalkfxor.1]

[-HKEY_CLASSES_ROOT\TypeLib\{F8377C68-4AAF-4045-9C82-3F25C0378CD3}]

[-HKEY_CLASSES_ROOT\qalkfxor]

>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku –>88953CFScript-createdbyMiekiemoes.gif

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: ** Qoobox**.

Po tym nowy log z Combo oraz skan http://www.kaspersky.pl/virusscanner.html

#3

Podczas każdego uruchamiania combofixa w trakcie jego ładowania nawet po tym ostatnim CFScripcie wyskakuje błąd rodzaju czerwone kółko z białym krzyżykiem z opcją tylko do potwierdzenia ok o następującej treści:

327882RFWJF\hidec.exe

System nie może uzyskać dostępu do określonego urządzenia,ścieżki lub pliku. Możesz nie mieć

odpowiednich uprawnień, aby uzyskać dostęp do elementu.

Nie wiem czy to ma jakieś znaczenie ale tak się dzieje :?

Oto logi po combofixe ze CFScriptem:

combofix: http://wklejto.pl/9390

kaspersky: http://wklejto.pl/9391

Ogólnie wszystko wróciło do normy :smiley: ,mam nadzieje że już nic się nie zmieni cały dzień dzisiaj siedzę przy kompie walcząc z tym ścierwem. Pozdro dla Ciebie Gutek2222 dzięki za poświęcony czas

#4

Powinno być Ok