Witam. Wczoraj złapałem tego wirusa. Próbowałem coś z nim zrobic na własną rękę. Jednak, że jestem całkiem zielony w te sprawy, to oczywiście nie dałem rady. Prosiłbym kogoś cierpliwego o pomoc i wytłumaczenie krok po kroku co mam robic. Z góry dziękuję, czekam na szybką odpowiedź. Pozdrawiam
log z hijackthis
http://wklejto.pl/12342
addmir
(Dmirecki)
15 Październik 2008 18:55
#2
FIX:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wm … Ojg5&lid=2 O3 - Toolbar: rosqxvmn - {495564FC-20EE-4FD9-AC6B-C25DB4F62CD8} - C:\WINDOWS\rosqxvmn.dll O4 - HKLM…\Run: [brastk] C:\WINDOWS\system32\brastk.exe O4 - HKLM…\Run: [d8008b73] rundll32.exe “C:\WINDOWS\system32\bdiwuyfg.dll”,b O4 - HKCU…\Run: [AdmProcWin] C:\WINDOWS\system32\jaxqzytk.exe O4 - HKCU…\Run: [brastk] C:\WINDOWS\system32\brastk.exe O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 O21 - SSODL: ngwstxfd - {58F7E8DF-4BF4-411E-B019-3C7796F51E41} - C:\WINDOWS\ngwstxfd.dll O21 - SSODL: qrbgltos - {69A742E5-FF42-471B-AB34-2CBD5267073A} - C:\WINDOWS\qrbgltos.dll
Pobierz ComboFix , ale nie uruchamiaj
Wklej do notatnika:
File::
C:\WINDOWS\rosqxvmn.dll
C:\WINDOWS\system32\brastk.exe
C:\WINDOWS\system32\bdiwuyfg.dll
C:\WINDOWS\system32\jaxqzytk.exe
C:\WINDOWS\ngwstxfd.dll
C:\WINDOWS\qrbgltos.dll
Plik -> zapisz jako -> CFScript.txt
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->
http://images24.fotosik.pl/270/2ee6248310a8813f.gif
Powinno się rozpocząć usuwanie i powstanie log, daj ten log na forum + nowy log z HijackThis.
Jeśli wszystko pójdzie dobrze, to po restarcie usuń ręcznie folder C: * * Qoobox**
Mam problemy z Combofix. Robię tak jak napisałeś, ale nie pojawia się żaden log.
Leon1
(Leon$)
15 Październik 2008 19:19
#4
Start >> wyszukaj >> ComboFix.txt
Leon1
(Leon$)
15 Październik 2008 19:27
#6
Leon1
(Leon$)
15 Październik 2008 20:41
#8
Pobierz i uruchom narzędzie The Avenger Zaznaczasz tekst podany do usunięcia na forum
kopiuj >> klikasz na Paste Script from Clipboard >> Execute >> Potwierdzasz i zgadzasz się na restart klikając OK .
Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt
Otwórz notatnik i wklej
Windows Registry Editor Version 5.00 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{6a5d217d-b6ad-4789-9c1a-b4fd91dc9fbf}] [-HKEY_CLASSES_ROOT\CLSID{6a5d217d-b6ad-4789-9c1a-b4fd91dc9fbf}] [-HKEY_CLASSES_ROOT\CLSID{ec22e79c-7702-4c38-9691-c139d6c359c9}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{ec22e79c-7702-4c38-9691-c139d6c359c9}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\urqqgebq] [-HKEY_CLASSES_ROOT\CLSID{0656a137-b161-cadd-9777-e37a75727e78}] [-HKEY_CLASSES_ROOT\CLSID{0b682cc1-fb40-4006-a5dd-99edd3c9095d}] [-HKEY_CLASSES_ROOT\CLSID{0e1230f8-ea50-42a9-983c-d22abc2eeb4c}] [-HKEY_CLASSES_ROOT\CLSID{9dd4258a-7138-49c4-8d34-587879a5c7a4}] [-HKEY_CLASSES_ROOT\CLSID{b8c0220d-763d-49a4-95f4-61dfdec66ee6}] [-HKEY_CLASSES_ROOT\CLSID{c3bcc488-1ae7-11d4-ab82-0010a4ec2338}] [-HKEY_CLASSES_ROOT\CLSID{000000da-0786-4633-87c6-1aa7a4429ef1}] [-HKEY_CLASSES_ROOT\CLSID{54645654-2225-4455-44a1-9f4543d34545}] [-HKEY_CLASSES_ROOT\CLSID{5c7f15e1-f31a-44fd-aa1a-2ec63aaffd3a}] [-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{9dd4258a-7138-49c4-8d34-587879a5c7a4}] [-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{b8c0220d-763d-49a4-95f4-61dfdec66ee6}] [-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{c3bcc488-1ae7-11d4-ab82-0010a4ec2338}] [-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{000000da-0786-4633-87c6-1aa7a4429ef1}] [-HKEY_CURRENT_USER\SOFTWARE\dpcproxy] [-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\logons] [-HKEY_CURRENT_USER\typelib] [-HKEY_CURRENT_USER\HOL5_VXIEWER.FULL.1] [-HKEY_CURRENT_USER\SOFTWARE\Classes\hol5_vxiewer.full.1] [-HKEY_CURRENT_USER\SOFTWARE\Classes\applications\accessdiver.exe] [-HKEY_CURRENT_USER\SOFTWARE\fwbd] [-HKEY_CURRENT_USER\SOFTWARE\HolLol] [-HKEY_CURRENT_USER\SOFTWARE\Inet Delivery] [-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Inet Delivery] [-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\mslagent] [-HKEY_CURRENT_USER\SOFTWARE\Invictus] [-HKEY_CURRENT_USER\SOFTWARE\Golden Palace Casino PT] [-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Golden Palace Casino NEW] [-HKEY_CURRENT_USER\SYSTEM\currentcontrolset\Services\iTunesMusic] [-HKEY_CURRENT_USER\SYSTEM\currentcontrolset\Services\rdriv] [-HKEY_CURRENT_USER\SOFTWARE\mwc] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP] [-HKEY_CLASSES_ROOT\TypeLib{b738cdf0-7394-49c3-a3d4-3d5e27f74b15}] [-HKEY_CLASSES_ROOT\Interface{0827a935-57c7-4749-a6f9-fd6c1c7f00ab}] [-HKEY_CLASSES_ROOT\CLSID{495564fc-20ee-4fd9-ac6b-c25db4f62cd8}] [-HKEY_CLASSES_ROOT\CLSID{035469af-3d28-49ee-ab8f-0ec685051542}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\webvideo] [-HKEY_CLASSES_ROOT\TypeLib{56d78ecd-00fa-42a3-9c21-6ccf1d5dddea}] [-HKEY_CLASSES_ROOT\Interface{8b3956e5-0070-42c2-baea-9ae8f873524b}] [-HKEY_CLASSES_ROOT\Interface{cb3d8212-b20f-4803-869d-da04c001e51b}] [-HKEY_CLASSES_ROOT\CLSID{cc865a9f-e1f4-4b55-a81b-6056b4a43636}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{cc865a9f-e1f4-4b55-a81b-6056b4a43636}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\VSPlugin] [-HKEY_CLASSES_ROOT\rosqxvmn.bego] [-HKEY_CLASSES_ROOT\rosqxvmn.toolbar.1] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] “{ec22e79c-7702-4c38-9691-c139d6c359c9}”=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “msupdate”=- [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] “SystemCheck2”=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] “ngwstxfd”=- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa] “Authentication Packages”=hex(7):6d,00,73,00,76,00,31,00,5f,00,30,00,00,00,00,\ 00 “Notification Packages”=hex(7):73,00,63,00,65,00,63,00,6c,00,69,00,00,00,00,00 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main] “Start Page”="(http://www.google.com/ )" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion] “ProductId”="(55864-640-5184244-23537)" [HKEY_CURRENT_USER\Control Panel\International] “sTimeFormat”="HH:mm:ss’ [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “Start_ShowControlPanel”=dword:00000001 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “Start_ShowRun”=dword:00000001 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “Start_ShowSearch”=dword:00000001 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “Start_ShowHelp”=dword:00000001 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “Start_ShowMyDocs”=dword:00000001 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “Start_ShowMyComputer”=dword:00000001 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer] “NoStartMenuMorePrograms”=dword:00000000 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer] “StartMenuLogOff”=dword:00000000 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer] “NoToolbarCustomize”=dword:00000000 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer] “NoSetFolders”=dword:00000000 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System] “DisableTaskMgr”=dword:00000000 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System] “NoDispCPL”=dword:00000000
zapisz jako plik.reg >> wszystkie pliki >> scal z rejestrem >> restart
powstanie plik o takiej ikonie
w który dwa razy klikniesz potwierdzisz chęć dodania do rejestru potem restart
potem jeszcze raz log Malware
Gutek
(Gutek)
15 Październik 2008 21:30
#10
No Ok, ale jeszcze jedn skan - Wykonaj skan Dr. Web CureIt
proletaryat
(Proletaryat)
15 Październik 2008 21:40
#11
Szybki skan Dr. Web CureIt nie wykrył żadnych wirusów. Wszystkie wyskakujące komunikaty zniknęły, nie ma prób łączenia sie z netem, zniknęły ikony z pulpitu stworzone przez tego wirusa. Wszystko wydaje się być OK, poza jedną rzeczą, czyli prawym dolnym rogu obok godziny nadal jest napis “virus alert”.
Gutek
(Gutek)
15 Październik 2008 21:54
#12
Otwórz Notatnik i wklej w nim to:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Control Panel\International]
"sTimeFormat"="HH:mm:ss"
Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG >>> kliknij dwa razy na utworzony plik FIX.REG i potwierdź dodanie do rejestru >>> restart.
proletaryat
(Proletaryat)
15 Październik 2008 22:00
#13
Wielkie dzięki za wszystko. Leon$ i Gutek2222 jestem waszym dłużnikiem. Wszystko wróciło do normy. Dzięki