oto log: http://wklej.org/id/31e42acda7
Otwórz notatnik i wklej
zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe
http://img.wklej.org/images/88953CFScri … iemoes.gif
Powinno rozpocząć się usuwanie
Potem log z usuwania Combofix
Ale uparta infekcja!.!
Wklej do Notatnika :
File::
C:\MicroSoft.vbs
C:\MicroSoft.bat
C:\WINDOWS\system32\toqnabib.sys
C:\WINDOWS\system32\aoqnabib.sys
Folder::
C:\Documents and Settings\Lopez\Ustawienia lokalne\Temp
C:\Documents and Settings\Lopez\Ustawienia lokalne\Temporary Internet Files
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"JavaView"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=-
"AppInit_DLLs"=""
>>Plik>>Zapisz jako… >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
–>
Ma się rozpocząć usuwanie. (i powstanie log). Daj ten log, który powstanie w trakcie usuwania.
Jeśli pójdzie dobrze, to: Po restarcie usuń ręcznie folder C:** Qoobox**.
jessi
Wklej do Notatnika :
File::
C:\WINDOWS\system32\ijsgajba.sys
C:\WINDOWS\system32\zdesfx.dll
C:\WINDOWS\system32\wymxajkl.sys
C:\WINDOWS\system32\jhrcar.dll
C:\WINDOWS\system32\hhrdxd.dll
C:\WINDOWS\system32\apsgdjba.dll
C:\WINDOWS\system32\ghwxattb.exe
C:\WINDOWS\system32\gpsgajba.sys
C:\WINDOWS\system32\lpmxajkl.exe
C:\WINDOWS\system32\lpsgajba.exe
C:\WINDOWS\system32\mnmhfsrv.dll
C:\WINDOWS\system32\newxbttb.sys
C:\WINDOWS\system32\nhmxbjkl.dll
C:\WINDOWS\system32\oswxcttb.dll
C:\WINDOWS\system32\rnmxajkl.sys
C:\WINDOWS\system32\xzcsbhlp.sys
C:\WINDOWS\system32\xzfhbjpg.sys
C:\WINDOWS\system32\yxcschlp.dll
C:\WINDOWS\system32\yxfhcjpg.dll
C:\WINDOWS\system32\yzzthmsn.dll
C:\WINDOWS\system32\zxcsahlp.exe
C:\WINDOWS\system32\zxfhajpg.exe
C:\WINDOWS\Downloaded Program Files\ThunderAdvise.dll
C:\WINDOWS\Temp\wmsetup.dll
Folder::
C:\Documents and Settings\Lopez\Ustawienia lokalne\Temp
C:\Documents and Settings\Lopez\Ustawienia lokalne\Temporary Internet Files
C:\WINDOWS\Temp
Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{27AC9076-C898-B098-D098-A18319080972}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{33512378-9874-5641-1025-985420368733}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{35671234-7890-ABCD-CDEF-567801237653}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{4FD45A54-9875-698F-E56E-65102358FDF4}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6C8D1401-A58D-A81C-CD24-A5915C4517C6}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{83BA45AF-FAAA-CDDD-BEEE-BCDE1234AB38}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{8490415F-65F8-B5C5-D8BA-9405FB120548}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{97421D0D-E07F-40DF-8F07-99597B9585AD}]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{CAED0F3B-DF8B-4DBF-BB20-8DFBC3199068}"=-
"{35671234-7890-ABCD-CDEF-567801237653}"=-
"{45AADFAA-DD36-42AB-83AD-0521BBF58C24}"=-
"{8490415F-65F8-B5C5-D8BA-9405FB120548}"=-
"{27AC9076-C898-B098-D098-A18319080972}"=-
"{4FD45A54-9875-698F-E56E-65102358FDF4}"=-
"{83BA45AF-FAAA-CDDD-BEEE-BCDE1234AB38}"=-
"{6C8D1401-A58D-A81C-CD24-A5915C4517C6}"=-
"{33512378-9874-5641-1025-985420368733}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"ThunderAdvise"=-
>>Plik>>Zapisz jako… >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
–>
Ma się rozpocząć usuwanie. (i powstanie log). Daj ten log, który powstanie w trakcie usuwania.
Jeśli pójdzie dobrze, to: Po restarcie usuń ręcznie folder C:** Qoobox**.
(potem go usuń, bo nie będzie już potrzebny)
- Użyj Dr. Web CureIthttp://www.searchengines.pl/index.php?s=showtopic=18695
jessi
log z combo: http://wklej.org/id/52bc8b3312
W dniu 01.06.2008 , o godzinie 17:29 został dopisany post przez Spichu
IRCclean nic nie znalazl, a DRWeb znalazl to: http://wklej.org/id/341c79d5e9 i podobno pousuwal/poprzenosil
Czyli drweb usuwał to samo, tylko że pod inną nazwą (Trojan.PWS.Gamania)
Wklej do Notatnika :
File::
C:\WINDOWS\system32\toqnabib.sys
C:\WINDOWS\system32\pzwmaime.sys
C:\WINDOWS\AppPatch\AcXtrnel.dll
C:\WINDOWS\AppPatch\Jview.dll
C:\WINDOWS\system32\aoqnabib.sys
C:\WINDOWS\system32\azwmaime.exe
C:\WINDOWS\system32\dfqnabib.exe
C:\WINDOWS\system32\fxwmbime.sys
C:\WINDOWS\system32\skqncbib.dll
C:\WINDOWS\system32\xsdjbbmp.sys
C:\WINDOWS\system32\ypdjfbmp.dll
C:\WINDOWS\system32\zsdjabmp.exe
C:\WINDOWS\system32\zywmfime.dll
Folder::
C:\Documents and Settings\Lopez\Ustawienia lokalne\Temp
C:\Documents and Settings\Lopez\Ustawienia lokalne\Temporary Internet Files
C:\WINDOWS\Temp
Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{32023698-6984-8541-9654-698745012523}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6319A1F1-9410-9654-3201-345FFA349136}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{81954FAC-1023-154F-895A-1458258AD818}]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{6319A1F1-9410-9654-3201-345FFA349136}"=-
"{81954FAC-1023-154F-895A-1458258AD818}"=-
"{32023698-6984-8541-9654-698745012523}"=-
>>Plik>>Zapisz jako… >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
–>
Ma się rozpocząć usuwanie. (i powstanie log). Daj ten log, który powstanie w trakcie usuwania.
Jeśli pójdzie dobrze, to: Po restarcie usuń ręcznie folder C:** Qoobox**.
Już mi się kończą pomysły - to nowa infekcja i nikt jeszcze nie wie, jak ją skutecznie isunąć.
jessi
log z combo: http://wklej.org/id/33caa6c7e7
dzieki wszystkim za zainteresowanie i wytrwalosc, juz dawno zorbilbym format ale martwi mnie to ze infekcja przetrwala poprzedni
Chwilowo? w logu nie ma nic szkodliwego…
Kosmetyka:
Do Notatnika wklej:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"JavaView"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=-
"AppInit_DLLs"=""
Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na: “Wszystkie pliki” >>> Zapisz jako FIX.REG >>>
plik uruchom (dwuklik i OK- zgódź się na dodanie do Rejestru).
jessi
po tym co jessi podała proponuję
zrób optymalizacje uruchamiania http://cybertrash.netarteria.pl/cyber/index.php/topic,378.0.html
usuń ręcznie folder C: \Qoobox usuń instalkę Combofix z dysku.
Wyłącz I włącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl
przeskanuj obszar Mój komputer http://www.kaspersky.pl/virusscanner.html pokaż raport stronę uruchomić przez IE
zrobione, wklejac jeszcze jakies logi dla sprawdzenia??
zrób co podałem powyżej
No cóż, skoro to będzie zawsze powracać, to nie ma sensu dalej usuwać.
Trzeba poczekać kilka lub kilkanaście dni, aż ktoś wymyśli, jak to usuwać na stałe.
W międzyczasie może spróbuj użyć -->Kaspersky Virus Removal Tool. (niżej na stronie linku) i daj z niego górną część raportu.
jessi
wyczyść kwarantannę DoctorWeb\Quarantine
Pobierz i uruchom narzędzie The Avenger Zaznaczasz tekst podany do usunięcia na forum
kopiuj >> klikasz na Paste Script from Clipboard >> Execute >> Potwierdzasz i zgadzasz się na restart klikając OK.
Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt
raport z kasper em tool: http://wklej.org/id/52520f6b59
raport z avengera: http://wklej.org/id/3a943a8ac9
W dniu 02.06.2008 , o godzinie 0:42 został dopisany post przez Spichu
I po ptokach, zdenerwowalem sie i sformatowalem wreszcie dysk, nowe partycje itd nie ma juz w sumie nic na kompie oprocz systemu wiec powinno byc juz dobrze ale kaspersky na wszelki zostanie uruchomiony, dzieki wszystkim jeszcze raz za pomoc i zainteresowanie, wiem juz gdzie pisac jesli bede mial jakiekolwiek problemy
W dniu 03.06.2008 , o godzinie 23:55 został dopisany post przez Spichu
Wymyslil ktos juz cos jak sie tego pozbyc, bo niestety wirusy powrocily, tym razem zamiast avasta mam Kasprsky Internet Security i zaczal mi wlasnie wariowac ;(