Problem z wirusem Hacktool


(mad max) #1

Witam

mam problem polegający na tym, że przy każdym starcie Windy pojawia mi się komunikat Nortona o wykryciu na kompie wirusa Hacktool . Po kliknięciu OK jest drugi komunikat o pomyślnym usunięciu wirusa Hacktool , który to komunikat trzeba odkliknąć kilkukrotnie. Pełne skanowanie systemu nie wykazuje żadnych infekcji a jednak po restarcie kompa ponownie pojawiają się te same komunikaty o wykryciu i usunięciu wirusa. Pomóżcie, nie wiem gdzie on może siedzieć i jak mogę go skutecznie usunąć. Zaznaczam, że komp działa cały czas dobrze ale nie wiem czy nie mogę przenieść wirusa gdzie indziej podpinając się do kompa z mp3 lub aparatem fotograficznym dlatego tego nie robię i jestem trochę "uziemiony". Proszę piszcie niezbyt zawile bo nie jestem fachowcem w tej dziedzinie

z góry dzięki za wszystkie rady

mad max


(Spandau) #2

Pobierz Combofix przeskanuj system i daj log na forum.

Loga wklej na www.wklejto.pl lub http://www.wklej.org/ a w poście daj tylko linka


(mad max) #3

Nie wiem co to Combofix ale u mnie zawiesza całego kompa po jego uruchomieniu. skanowałem za pomocą HijackThis a to link do loga http://www.wklejto.pl/23080


(Michaelp128) #4

Pobierz i zastosuj Malwarebytes' Anti-Malware Uruchom pełne skanowanie jeżeli coś znajdzie, to usuń. Następnie daj loga na forum.

viewtopic.php?f=16&t=36654

Logi dajesz na wklej.org lub wklej.eu a w poście Podajesz tylko link.


(mad max) #5

jak wchodzę na tryb awaryjny to na monitorze lcd mam komunikat że pracuje poza zakresem i jest czarny ekran ! uruchomiłem program Malwarebytes' Anti-Malware który znalazł kilka trojanów, usunąłem je.Przy ponownym rozruchu kompa Norton znowu pokazuje komunikat o wykryciu i usunięciu wirusa Hacktool a przy ponownym skanowaniu przez program Malwarebytes' Anti-Malware znowu są trojany. Ponowne usunięcie wykrytych infekcji, restart i ...... tak w kółko.


(huber2t) #6

fix w hijackthis

Pobierz The Avenger

wklej do niego ten tekst:

Files to delete:

C:\WINDOWS\system32\vamsoft.exe

C:\WINDOWS\system32\urretnd.exe

C:\WINDOWS\system32\olhrwef.exe

kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

Podaj nam log z tego programu


(mad max) #7

nie bardzo sobie radzę z tym co tu opisujecie, ale komp mi głupieje. mam coraz to nowe wirusy które przy starcie wykrywa norton (z odmową dostępu do zainfekowanego pliku). Tych wirusów nie wykrył za to progam Malwarebytes' Anti-Malware. Chyba zrobię format partycji i reinstalację Windy i na tym się skończy. To jest chyba najpewniejsze. Boję się tylko czy wirusy nie mogą siedzieć w pamięciach lub gdzieś indziej i po formacie odezwą się ponownie ( nie znamsię na tym - czy jest taka możliwość? odpiszcie!). dzięki za dobre chęci ale chyba mnie to przeasta.

-- Dodane 23.01.2009 (Pt) 17:47 --

czy wirusy mogą siedzieć w pamięciach lub gdzieś indziej i po formacie partycji i reinstalacji Windy odezwą się ponownie ( nie znam się na tym - czy jest taka możliwość? ) odpiszcie!.

-- Dodane 25.01.2009 (N) 21:42 --

Słuchajcie....

to niewiarygodne ale chyba mi się udało. Ale po kolei:

kilkukrotne skanowanie Nortonem i za każdym razem wykazywanie jakichś infekcji, kwarantanna itp.

potem skan programem Malwarebytes' Anti-Malware i efekty - log: http://www.wklejto.pl/23894

kolejne skanowanie Nortonem i znów skan Malwarebytes' Anti-Malware - efekt log: http://www.wklejto.pl/23896

Jeszcze raz to samo i... log: http://www.wklejto.pl/23897

na koniec ComboFix ... log: http://www.wklejto.pl/23898

i dla pewności skan Malwarebytes' Anti-Malware log: http://www.wklejto.pl/23899

a ostatni skan Nortonem nie wykazał infekcji.

Jeżeli to prawda, że z moją mizerną znajomością kompa naprawdę mi się udało to tylko wasza zasługa bo podaliście mi narzędzia o których nie miałem bladego pojęcia.

Dzięki

tak dla pewności czy ktoś mógłby sprawdzić mi te logi, szczególnie ten z ComboFixa?? Z góry dzięki


(huber2t) #8

Do wyleczenia pendrive z wirusów użyj tych programów

Wklej do notatnika:

File::

C:\imo.exe

C:\v63enh.exe

c:\windows\system32\optyhww1.dll

c:\windows\system32\urretnd.exe

c:\windows\system32\MRT.INI

c:\windows\system32\optyhww0.dll

c:\windows\system32\nmdfgds1.dll

c:\windows\AhnRpta.exe

c:\windows\system32\ciuytr1.dll


Registry::

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"MSMSGS"=-

"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"HP Software Update"=-

"NeroFilterCheck"=-

"Cmaudio"=-

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{47d42e0c-d42d-11dd-a22d-000b2b109e22}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{47d42e0d-d42d-11dd-a22d-000b2b109e22}]

Plik -> zapisz jako -> CFScript.txt.

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->

cfscript10uc2.gif

Rozpocznie się usuwanie i powstanie log, który dasz na forum.

Logi dajesz na http://wklej.eu lub na http://wklej.org a w poście dajesz tylko link


(mad max) #9

zrobiłem jak napisałeś (bez podpięcia tej zainfekowanej mp4 bo jej na razie nie mam)

oto log po operacji

http://www.wklejto.pl/23905

jak to teraz wygląda?

-- Dodane 25.01.2009 (N) 22:44 --

jeszcze jedno: czy mp4 leczy się tak samo jak pendrive? czy są do nich jakieś inne programy do usuwania wirusów


(huber2t) #10

Tak samo się leczy

W logu nic nie widzę

usuń ręcznie folder C:\Qoobox , usuń instalkę Combofix z dysku.

Przeczyść system Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar całego komputera http://www.kaspersky.pl/virusscanner.html Daj raport z niego na forum

lub

Dr.WEB CureIt!


(mad max) #11

zrobiłem jak napisaleś za wyjątkiem optymalizacji (trochę to zawiłe i nie bardzo kumam o co w tym biega).

Po po pierwszym przeskanowaniu kompa programem Dr.WEB CureIt! przeraziłem się: 167 infekcji !!

Oto pierwszy raport http://www.wklejto.pl/24175

Próbowałem użyć http://www.kaspersky.pl/virusscanner.html ale zatrzymywał mi się na plikach rar i przerywał skanowanie. Pliki rar rozpakowałem.

Następnie po restarcie systemu kolejne skanowanie programem Dr.WEB CureIt! i znów jest kilka oto raport: http://www.wklejto.pl/24178

na koniec po rozpakowaniu plików rar udało mi się przeskanować całość Kasperskim - też coś znalazł - oto raport http://www.wklejto.pl/24181

Ja już nie wiem co robić - ale może jeszcze damy radę. POMÓŻCIE

Najgłupsze jest to że program Dr.WEB CureIt! za pierwszym razem usunął infekcje które przy ponownym skanowaniu znowu znalazł (4 infekcjie) i znów usunął. Podejrzewam że ponowny skan wykaże tą samą infekcję


(huber2t) #12

Pobierz The Avenger

wklej do niego ten tekst:

Files to delete:

C:\Program Files\Norton Internet Security\Norton AntiVirus\Quarantine\06CD0DCC

C:\Program Files\Norton Internet Security\Norton AntiVirus\Quarantine\06D361C5


Folders to delete:

C:\System Volume Information\_restore{0567B0E3-34C0-441F-8AEF-C5E41A579FDD}\RP50

C:\System Volume Information\_restore{0567B0E3-34C0-441F-8AEF-C5E41A579FDD}\RP50

D:\System Volume Information\_restore{0567B0E3-34C0-441F-8AEF-C5E41A579FDD}\RP50

E:\System Volume Information\_restore{0567B0E3-34C0-441F-8AEF-C5E41A579FDD}\RP50

kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt


(mad max) #13

wykonane

oto raport

http://www.wklejto.pl/24211

jak to teraz wygląda bo coś widzę że jeden folder nie został odnaleziony. Czy to znaczy że go nie ma czy gdzieś się ukrył?


(huber2t) #14

To znaczy że już go nie było


(mad max) #15

czy teraz jeszcze raz skanować lub jakieś inne kroki?


(huber2t) #16

Możesz ponownie przeskanowac Dr Webem


(mad max) #17

do huber2t

JESTEŚ WIELKI !!

Po wszystkim skanowałem kompa Dr Webem, potem Kasperskim, a na koniec Malwarebytes' Anti-Malware.

Żaden nie wykrył infekcji !!

Jeszcze tylko pytanko bo wcześniej stwierdziłeś, że mam zainfekowaną mp4. Jak teraz po wyleczeniu kompa podłączyć bezpiecznie mp4 celem jej wyleczenia? Boję się że jak ją podepnę to całe świństwo które na niej może być przejdzie z powrotem na komputer i cała robota na darmo. Proszę o krótką instrukcję jak mam to zrobić bezpiecznie (jeśli możesz to jak to mówią po chłopsku bo przy dobrym prowadzącym nawet laik da sobie radę).

dzięki za pomoc


(huber2t) #18

Podłącz mp4, nie wchódź na nią, tylko uruchom prt bądź flash Disinfector