Prawdopodobnie to to samo: Winantivirus 2007, Systemdoctor

Dla specjalistów Bezpieczeństwo
#1

Panowie, ratujcie

Tydzien złapałem wirus. Symantec nie potrafi sobie z nim poradzić. MKS_on line tez.

Objawy:

-co jakis czas wyskakuje strona z reklamami programów antywirosowych WinAnitVirus 2007 lub SystemDoctor. Co jakiś czas wyskaują strony z innymi reklamami.

-ale najbardziej uciążliwe jest fakt, ze kilku ca 2 minut- blokuje mi się dostęp do internetu - system przestaje “widzieć” sieć. Musze wtedy ręcznie klillować proces “dllhost.exe” -> pomaga to na kilka minut.

Mój firmowy administrator nie daje sobie rady.

Symantec czasami znajduje wirusy ErrorSafe, Infostaler - usuwa je, ale za chwilę pojawiają się znowu. (również uruchamiany w trybie awaryjnym bez przywracania systemu).

Ciekawostka - w trybie awaryjnym z obsługą sieci - sieć działa cały czas bez problemu.

Będę wdzięczny za wszelkie informacji.

Norbert

#2

Użyj Windows Worms Doors Cleanera zmień znaczki z disable na enable (wszystkie znaczki maja być na zielono, jeżeli któryś z nich będzie na żółto to go zostaw). Po użyciu narzędzia wymagany jest restart.

Start => uruchom => wpisz cmd i kliknij OK => w konsoli, która się otworzy wpisz:

Folder i pliki usuń ręcznie będąc w trybie awaryjnym natomiast wpisy HijackThis.

Użyj VundoFix + Trojan.Vundo Removal Tool + VirtumundoBeGone oraz SDFix.

Po wykonaniu Po wykonaniu pokaż nowy log z hjt, SilentRunners, log numer 1 z L2Mfix oraz raport z SDFix.

Zdecyduj się którego antyvira chcesz używać (nortona czy mcafee) bo nie jest zalecane korzystanie z obu naraz.

#3

Zrobiłem to co mówiłeś, nawet kilka razy i w róznych sekwencjach ;).

Co kolejne uruchomienie, to robaczki pojawiały pojawiały się w róznych miejscach. Uzywałem komap bardzo “delikatnie” - jest znacznie lepieje. Mam przeczucie, że jeszcze coś tam siedzi i pojawi się po kilku godzinach pracy.

Poniżej logi po akcji czyszczenia.

Massive thanks

Norbert

PS. Usunąłem Mcaffe. Zainstalowałem go jako narzędzie do walki z tym wirusem. Ale to dziwne - myślałem, że dwa znaczy lepiej niż jeden ;).

HijackThis

SDFix

L2mfix

silentrunner

#4

Użyj Pocket Killbox. Zaznaczasz opcję Delete on Reboot oraz All Files i w polu Full Path of File to Delete wklejasz ścieżki

C:\WINDOWS\System32\ssqrq.dll.vir

C:\WINDOWS\System32\rqtilonl.ini

C:\WINDOWS\System32\prffouow.ini

C:\WINDOWS\System32\wkheqymv.ini

C:\WINDOWS\System32\urqopmk.dll

C:\WINDOWS\System32\yayvwvt.dll

C:\WINDOWS\System32\ljjjjkl.dll.vir

C:\WINDOWS\system32\yedbqvks.dll i naciskasz X czerwony. Program poprosi o reset kompa … czyli resetujesz.

Start >>> Uruchom >>> services.msc >>> zatrzymaj i wyłącz Aplikacja systemowa modelu COM+ i MS Software Shadow Copy Provider , a wpisy usuń HJT

Otwórz Notatnik i wklej w nim to:

Plik >>> Zapisz jako >>> Ustaw rozszerzenie z TXT na Wszystkie pliki >>> zapisz pod nazwą FIX.REG >>> kliknij podwójnie zrobiony plik i potwierdź >>> reset kompa

Po wszystkim nowe logi

#5

Dzięki. Zrobiłem.

W międzyczasie Symatnec znalazł parę robali w tych dll’kach w c:/windows/system32.

Nowe logi HJT

silentrunner

No i jeszcze historia usuwanych wirusow z symanteca.

#6

Start => uruchom => wpisz cmd i kliknij OK => w konsoli, która się otworzy wpisz:

Powyższy wpis usuń HJT jeśli będzie.

Po wykonaniu nowy log z HJT i log numer 1 z l2mfix.

#7

Usunąłe serwisy. Kolejne logi.

Zaczyna być lepiej ;).

i z l2mfix

#8

Czysto.

Możesz przejrzeć:

#9

Super.

Panowie - wielkie dzięki. Jesteście naprawdę profesjonalni.

Do następnego robala :wink:

pzdr

Norbert