Problem z trojanami m.in. Win32:OnLineGames-CTF [Trj]

Spichu · 1 Czerwiec 2008 13:45

Leon1 · 1 Czerwiec 2008 14:06

Otwórz notatnik i wklej

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri … iemoes.gif

Powinno rozpocząć się usuwanie

Potem log z usuwania Combofix

Spichu · 1 Czerwiec 2008 14:09

log: http://wklej.org/id/1aa72139bc

jessica · 1 Czerwiec 2008 14:11

Ale uparta infekcja!.!

Wklej do Notatnika :

File::

C:\MicroSoft.vbs 

C:\MicroSoft.bat 

C:\WINDOWS\system32\toqnabib.sys

C:\WINDOWS\system32\aoqnabib.sys


Folder::

C:\Documents and Settings\Lopez\Ustawienia lokalne\Temp

C:\Documents and Settings\Lopez\Ustawienia lokalne\Temporary Internet Files


Registry::

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] 

"JavaView"=-

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] 

"AppInit_DLLs"=-

"AppInit_DLLs"=""

>>Plik>>Zapisz jako… >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

–>

Ma się rozpocząć usuwanie. (i powstanie log). Daj ten log, który powstanie w trakcie usuwania.

Jeśli pójdzie dobrze, to: Po restarcie usuń ręcznie folder C:** Qoobox**.

jessi

Spichu · 1 Czerwiec 2008 14:19

Nom zauwazylem ze sie cos odczepic nie chce : http://wklej.org/id/73351acfe7

jessica · 1 Czerwiec 2008 14:51

Wklej do Notatnika :

File::

C:\WINDOWS\system32\ijsgajba.sys 

C:\WINDOWS\system32\zdesfx.dll 

C:\WINDOWS\system32\wymxajkl.sys 

C:\WINDOWS\system32\jhrcar.dll 

C:\WINDOWS\system32\hhrdxd.dll

C:\WINDOWS\system32\apsgdjba.dll 

C:\WINDOWS\system32\ghwxattb.exe 

C:\WINDOWS\system32\gpsgajba.sys 

C:\WINDOWS\system32\lpmxajkl.exe 

C:\WINDOWS\system32\lpsgajba.exe 

C:\WINDOWS\system32\mnmhfsrv.dll 

C:\WINDOWS\system32\newxbttb.sys 

C:\WINDOWS\system32\nhmxbjkl.dll 

C:\WINDOWS\system32\oswxcttb.dll 

C:\WINDOWS\system32\rnmxajkl.sys 

C:\WINDOWS\system32\xzcsbhlp.sys 

C:\WINDOWS\system32\xzfhbjpg.sys 

C:\WINDOWS\system32\yxcschlp.dll 

C:\WINDOWS\system32\yxfhcjpg.dll 

C:\WINDOWS\system32\yzzthmsn.dll 

C:\WINDOWS\system32\zxcsahlp.exe 

C:\WINDOWS\system32\zxfhajpg.exe

C:\WINDOWS\Downloaded Program Files\ThunderAdvise.dll 

C:\WINDOWS\Temp\wmsetup.dll


Folder::

C:\Documents and Settings\Lopez\Ustawienia lokalne\Temp

C:\Documents and Settings\Lopez\Ustawienia lokalne\Temporary Internet Files

C:\WINDOWS\Temp


Registry::

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{27AC9076-C898-B098-D098-A18319080972}] 

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{33512378-9874-5641-1025-985420368733}] 

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{35671234-7890-ABCD-CDEF-567801237653}] 

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{4FD45A54-9875-698F-E56E-65102358FDF4}] 

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6C8D1401-A58D-A81C-CD24-A5915C4517C6}] 

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{83BA45AF-FAAA-CDDD-BEEE-BCDE1234AB38}] 

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{8490415F-65F8-B5C5-D8BA-9405FB120548}] 

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{97421D0D-E07F-40DF-8F07-99597B9585AD}]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks] 

"{CAED0F3B-DF8B-4DBF-BB20-8DFBC3199068}"=-

"{35671234-7890-ABCD-CDEF-567801237653}"=-

"{45AADFAA-DD36-42AB-83AD-0521BBF58C24}"=-

"{8490415F-65F8-B5C5-D8BA-9405FB120548}"=-

"{27AC9076-C898-B098-D098-A18319080972}"=-

"{4FD45A54-9875-698F-E56E-65102358FDF4}"=-

"{83BA45AF-FAAA-CDDD-BEEE-BCDE1234AB38}"=-

"{6C8D1401-A58D-A81C-CD24-A5915C4517C6}"=-

"{33512378-9874-5641-1025-985420368733}"=-

 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] 

"ThunderAdvise"=-

>>Plik>>Zapisz jako… >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

–>

Ma się rozpocząć usuwanie. (i powstanie log). Daj ten log, który powstanie w trakcie usuwania.

Jeśli pójdzie dobrze, to: Po restarcie usuń ręcznie folder C:** Qoobox**.

Użyj IRClean http://www.diamondcs.com.au/downloads/freeutilities/irclean.zip

(potem go usuń, bo nie będzie już potrzebny)

Użyj Dr. Web CureIthttp://www.searchengines.pl/index.php?s=showtopic=18695

jessi

Spichu · 1 Czerwiec 2008 15:29

log z combo: http://wklej.org/id/52bc8b3312

W dniu 01.06.2008 , o godzinie 17:29 został dopisany post przez Spichu

IRCclean nic nie znalazl, a DRWeb znalazl to: http://wklej.org/id/341c79d5e9 i podobno pousuwal/poprzenosil

jessica · 1 Czerwiec 2008 15:59

Czyli drweb usuwał to samo, tylko że pod inną nazwą (Trojan.PWS.Gamania)

Wklej do Notatnika :

File::

C:\WINDOWS\system32\toqnabib.sys 

C:\WINDOWS\system32\pzwmaime.sys

C:\WINDOWS\AppPatch\AcXtrnel.dll 

C:\WINDOWS\AppPatch\Jview.dll

C:\WINDOWS\system32\aoqnabib.sys 

C:\WINDOWS\system32\azwmaime.exe 

C:\WINDOWS\system32\dfqnabib.exe 

C:\WINDOWS\system32\fxwmbime.sys 

C:\WINDOWS\system32\skqncbib.dll 

C:\WINDOWS\system32\xsdjbbmp.sys 

C:\WINDOWS\system32\ypdjfbmp.dll 

C:\WINDOWS\system32\zsdjabmp.exe 

C:\WINDOWS\system32\zywmfime.dll


Folder::

C:\Documents and Settings\Lopez\Ustawienia lokalne\Temp

C:\Documents and Settings\Lopez\Ustawienia lokalne\Temporary Internet Files

C:\WINDOWS\Temp


Registry::

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{32023698-6984-8541-9654-698745012523}] 

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6319A1F1-9410-9654-3201-345FFA349136}] 

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{81954FAC-1023-154F-895A-1458258AD818}]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks] 

"{6319A1F1-9410-9654-3201-345FFA349136}"=-

"{81954FAC-1023-154F-895A-1458258AD818}"=-

"{32023698-6984-8541-9654-698745012523}"=-

>>Plik>>Zapisz jako… >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

–>

Ma się rozpocząć usuwanie. (i powstanie log). Daj ten log, który powstanie w trakcie usuwania.

Jeśli pójdzie dobrze, to: Po restarcie usuń ręcznie folder C:** Qoobox**.

Już mi się kończą pomysły - to nowa infekcja i nikt jeszcze nie wie, jak ją skutecznie isunąć.

jessi

Spichu · 1 Czerwiec 2008 16:21

log z combo: http://wklej.org/id/33caa6c7e7

dzieki wszystkim za zainteresowanie i wytrwalosc, juz dawno zorbilbym format ale martwi mnie to ze infekcja przetrwala poprzedni

jessica · 1 Czerwiec 2008 16:36

Chwilowo? w logu nie ma nic szkodliwego…

Kosmetyka:

Do Notatnika wklej:

Windows Registry Editor Version 5.00


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] 

"JavaView"=-


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] 

"AppInit_DLLs"=-

"AppInit_DLLs"=""

Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na: “Wszystkie pliki” >>> Zapisz jako FIX.REG >>>

plik uruchom (dwuklik i OK- zgódź się na dodanie do Rejestru).

jessi

Leon1 · 1 Czerwiec 2008 16:55

po tym co jessi podała proponuję

zrób optymalizacje uruchamiania http://cybertrash.netarteria.pl/cyber/index.php/topic,378.0.html

usuń ręcznie folder C: \Qoobox usuń instalkę Combofix z dysku.

Wyłącz I włącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

przeskanuj obszar Mój komputer http://www.kaspersky.pl/virusscanner.html pokaż raport stronę uruchomić przez IE

Spichu · 1 Czerwiec 2008 16:56

zrobione, wklejac jeszcze jakies logi dla sprawdzenia??

Leon1 · 1 Czerwiec 2008 17:00

zrób co podałem powyżej

Spichu · 1 Czerwiec 2008 17:31

log z kaspera: http://wklej.org/id/dcedcd462d

jessica · 1 Czerwiec 2008 18:01

No cóż, skoro to będzie zawsze powracać, to nie ma sensu dalej usuwać.

Trzeba poczekać kilka lub kilkanaście dni, aż ktoś wymyśli, jak to usuwać na stałe.

W międzyczasie może spróbuj użyć -->Kaspersky Virus Removal Tool. (niżej na stronie linku) i daj z niego górną część raportu.

jessi

Leon1 · 1 Czerwiec 2008 18:09

wyczyść kwarantannę DoctorWeb\Quarantine

C:\Documents and Settings\Lopez\DoctorWeb\Quarantine\12.gif Zainfekowanych: Trojan-PSW.Win32.OnLineGames.ahlv pominięty C:\Documents and Settings\Lopez\DoctorWeb\Quarantine\12[1].gif Zainfekowanych: Trojan-PSW.Win32.OnLineGames.ahlv pominięty C:\Documents and Settings\Lopez\DoctorWeb\Quarantine\12[1]__0.gif Zainfekowanych: Trojan-PSW.Win32.OnLineGames.ahlv pominięty C:\Documents and Settings\Lopez\DoctorWeb\Quarantine\12_____0.gif Zainfekowanych: Trojan-PSW.Win32.OnLineGames.ahlv pominięty C:\Documents and Settings\Lopez\DoctorWeb\Quarantine\12_____1.gif Zainfekowanych: Trojan-PSW.Win32.OnLineGames.ahlv pominięty C:\Documents and Settings\Lopez\DoctorWeb\Quarantine\13.gif Zainfekowanych: Trojan-PSW.Win32.OnLineGames.alkl pominięty C:\Documents and Settings\Lopez\DoctorWeb\Quarantine\13[1].gif Zainfekowanych: Trojan-PSW.Win32.OnLineGames.alkl pominięty C:\Documents and Settings\Lopez\DoctorWeb\Quarantine\13[1]__0.gif Zainfekowanych: Trojan-PSW.Win32.OnLineGames.alkl pominięty C:\Documents and Settings\Lopez\DoctorWeb\Quarantine\13_____0.gif Zainfekowanych: Trojan-PSW.Win32.OnLineGames.alkl pominięty C:\Documents and Settings\Lopez\DoctorWeb\Quarantine\13_____1.gif Zainfekowanych: Trojan-PSW.Win32.OnLineGames.alkl pominięty C:\Documents and Settings\Lopez\DoctorWeb\Quarantine\14.gif Zainfekowanych: Trojan-PSW.Win32.OnLineGames.ahlv pominięty C:\Documents and Settings\Lopez\DoctorWeb\Quarantine\14[1].gif Zainfekowanych: Trojan-PSW.Win32.OnLineGames.ahlv pominięty C:\Documents and Settings\Lopez\DoctorWeb\Quarantine\14[1]__0.gif Zainfekowanych: Trojan-PSW.Win32.OnLineGames.ahlv pominięty C:\Documents and Settings\Lopez\DoctorWeb\Quarantine\14_____0.gif Zainfekowanych: Trojan-PSW.Win32.OnLineGames.ahlv pominięty C:\Documents and Settings\Lopez\DoctorWeb\Quarantine\14_____1.gif Zainfekowanych: Trojan-PSW.Win32.OnLineGames.ahlv pominięty C:\Documents and Settings\Lopez\DoctorWeb\Quarantine\16.gif Zainfekowanych: Trojan-PSW.Win32.OnLineGames.ahlv pominięty C:\Documents and Settings\Lopez\DoctorWeb\Quarantine\16[1].gif Zainfekowanych: Trojan-PSW.Win32.OnLineGames.ahlv pominięty C:\Documents and Settings\Lopez\DoctorWeb\Quarantine\16[1]__0.gif Zainfekowanych: Trojan-PSW.Win32.OnLineGames.ahlv pominięty C:\Documents and Settings\Lopez\DoctorWeb\Quarantine\16_____0.gif Zainfekowanych: Trojan-PSW.Win32.OnLineGames.ahlv pominięty C:\Documents and Settings\Lopez\DoctorWeb\Quarantine\16_____1.gif Zainfekowanych: Trojan-PSW.Win32.OnLineGames.ahlv pominięty C:\Documents and Settings\Lopez\DoctorWeb\Quarantine\17.gif Zainfekowanych: Trojan-PSW.Win32.OnLineGames.ahlv pominięty C:\Documents and Settings\Lopez\DoctorWeb\Quarantine\3.gif Zainfekowanych: Trojan-PSW.Win32.OnLineGames.ahlv pominięty C:\Documents and Settings\Lopez\DoctorWeb\Quarantine\3[1].gif Zainfekowanych: Trojan-PSW.Win32.OnLineGames.ahlv pominięty C:\Documents and Settings\Lopez\DoctorWeb\Quarantine\3[1]___0.gif Zainfekowanych: Trojan-PSW.Win32.OnLineGames.ahlv pominięty C:\Documents and Settings\Lopez\DoctorWeb\Quarantine\3______0.gif Zainfekowanych: Trojan-PSW.Win32.OnLineGames.ahlv pominięty C:\Documents and Settings\Lopez\DoctorWeb\Quarantine\3______1.gif Zainfekowanych: Trojan-PSW.Win32.OnLineGames.ahlv pominięty C:\Documents and Settings\Lopez\DoctorWeb\Quarantine\5.gif Zainfekowanych: Trojan-PSW.Win32.OnLineGames.aeoy pominięty C:\Documents and Settings\Lopez\DoctorWeb\Quarantine\5[1].gif Zainfekowanych: Trojan-PSW.Win32.OnLineGames.aeoy pominięty C:\Documents and Settings\Lopez\DoctorWeb\Quarantine\5[1]___0.gif Zainfekowanych: Trojan-PSW.Win32.OnLineGames.aeoy pominięty C:\Documents and Settings\Lopez\DoctorWeb\Quarantine\5______0.gif Zainfekowanych: Trojan-PSW.Win32.OnLineGames.aeoy pominięty C:\Documents and Settings\Lopez\DoctorWeb\Quarantine\A0004358.exe Zainfekowanych: Trojan-PSW.Win32.OnLineGames.akwe pominięty C:\Documents and Settings\Lopez\DoctorWeb\Quarantine\Av-test.txt.vir Zainfekowanych: EICAR-Test-File pominięty

Pobierz i uruchom narzędzie The Avenger Zaznaczasz tekst podany do usunięcia na forum

kopiuj >> klikasz na Paste Script from Clipboard >> Execute >> Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

Spichu · 3 Czerwiec 2008 21:55

raport z kasper em tool: http://wklej.org/id/52520f6b59

raport z avengera: http://wklej.org/id/3a943a8ac9

W dniu 02.06.2008 , o godzinie 0:42 został dopisany post przez Spichu

I po ptokach, zdenerwowalem sie i sformatowalem wreszcie dysk, nowe partycje itd nie ma juz w sumie nic na kompie oprocz systemu wiec powinno byc juz dobrze ale kaspersky na wszelki zostanie uruchomiony, dzieki wszystkim jeszcze raz za pomoc i zainteresowanie, wiem juz gdzie pisac jesli bede mial jakiekolwiek problemy

W dniu 03.06.2008 , o godzinie 23:55 został dopisany post przez Spichu

Wymyslil ktos juz cos jak sie tego pozbyc, bo niestety wirusy powrocily, tym razem zamiast avasta mam Kasprsky Internet Security i zaczal mi wlasnie wariowac ;(