Problem z Worm.Win32.Netbooster

proletaryat · 15 Październik 2008 17:17

Witam. Wczoraj złapałem tego wirusa. Próbowałem coś z nim zrobic na własną rękę. Jednak, że jestem całkiem zielony w te sprawy, to oczywiście nie dałem rady. Prosiłbym kogoś cierpliwego o pomoc i wytłumaczenie krok po kroku co mam robic. Z góry dziękuję, czekam na szybką odpowiedź. Pozdrawiam

log z hijackthis

http://wklejto.pl/12342

addmir · 15 Październik 2008 18:55

FIX:

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\WINDOWS\rosqxvmn.dll

C:\WINDOWS\system32\brastk.exe

C:\WINDOWS\system32\bdiwuyfg.dll

C:\WINDOWS\system32\jaxqzytk.exe

C:\WINDOWS\ngwstxfd.dll

C:\WINDOWS\qrbgltos.dll

Plik -> zapisz jako -> CFScript.txt

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

http://images24.fotosik.pl/270/2ee6248310a8813f.gif

Powinno się rozpocząć usuwanie i powstanie log, daj ten log na forum + nowy log z HijackThis.

Jeśli wszystko pójdzie dobrze, to po restarcie usuń ręcznie folder C: ** Qoobox**

proletaryat · 15 Październik 2008 19:17

Mam problemy z Combofix. Robię tak jak napisałeś, ale nie pojawia się żaden log.

Leon1 · 15 Październik 2008 19:19

Start >> wyszukaj >> ComboFix.txt

proletaryat · 15 Październik 2008 19:23

Nie znaleziono.

Leon1 · 15 Październik 2008 19:27

pobierz Malwarebytes’ Anti-Malware http://cybertrash.pl/Tata/MBAM/Malwarebytes_%20Anti-Malware.html daj log

proletaryat · 15 Październik 2008 19:47

log http://wklejto.pl/12354

Leon1 · 15 Październik 2008 20:41

Pobierz i uruchom narzędzie The Avenger Zaznaczasz tekst podany do usunięcia na forum

Files to delete: C:\WINDOWS\system32\opnlMFXp.dll C:\WINDOWS\system32\pXFMlnpo.ini C:\WINDOWS\system32\pXFMlnpo.ini2 C:\WINDOWS\system32\bdiwuyfg.dll C:\WINDOWS\system32\gfyuwidb.ini C:\WINDOWS\system32\urqQgeBq.dll C:\Setup_ver1.1779.2.exe C:\WINDOWS\a.bat C:\WINDOWS\base64.tmp C:\WINDOWS\FVProtect.exe C:\WINDOWS\userconfig9x.dll C:\WINDOWS\winsystem.exe C:\WINDOWS\zip1.tmp C:\WINDOWS\zip2.tmp C:\WINDOWS\zip3.tmp C:\WINDOWS\zipped.tmp C:\WINDOWS\bdn.com C:\WINDOWS\iTunesMusic.exe C:\WINDOWS\mssecu.exe C:\WINDOWS\system32\akttzn.exe C:\WINDOWS\system32\anticipator.dll C:\WINDOWS\system32\awtoolb.dll C:\WINDOWS\system32\bdn.com C:\WINDOWS\system32\bsva-egihsg52.exe C:\WINDOWS\system32\dpcproxy.exe C:\WINDOWS\system32\emesx.dll C:\WINDOWS\system32\h@tkeysh@@k.dll C:\WINDOWS\system32\hoproxy.dll C:\WINDOWS\system32\hxiwlgpm.dat C:\WINDOWS\system32\hxiwlgpm.exe C:\WINDOWS\system32\medup012.dll C:\WINDOWS\system32\medup020.dll C:\WINDOWS\system32\msgp.exe C:\WINDOWS\system32\msnbho.dll C:\WINDOWS\system32\mssecu.exe C:\WINDOWS\system32\msvchost.exe C:\WINDOWS\system32\mtr2.exe C:\WINDOWS\system32\mwin32.exe C:\WINDOWS\system32\netode.exe C:\WINDOWS\system32\newsd32.exe C:\WINDOWS\system32\ps1.exe C:\WINDOWS\system32\psof1.exe C:\WINDOWS\system32\psoft1.exe C:\WINDOWS\system32\regc64.dll C:\WINDOWS\system32\regm64.dll C:\WINDOWS\system32\Rundl1.exe C:\WINDOWS\system32\sncntr.exe C:\WINDOWS\system32\ssurf022.dll C:\WINDOWS\system32\ssvchost.com C:\WINDOWS\system32\ssvchost.exe C:\WINDOWS\system32\sysreq.exe C:\WINDOWS\system32\taack.dat C:\WINDOWS\system32\taack.exe C:\WINDOWS\system32\temp#01.exe C:\WINDOWS\system32\thun.dll C:\WINDOWS\system32\thun32.dll C:\WINDOWS\system32\VBIEWER.OCX C:\WINDOWS\system32\vcatchpi.dll C:\WINDOWS\system32\winlogonpc.exe C:\WINDOWS\system32\winsystem.exe C:\WINDOWS\system32\WINWGPX.EXE C:\WINDOWS\system32\vbsys2.dll C:\WINDOWS\rosqxvmn.dll C:\WINDOWS\qrbgltos.dll C:\WINDOWS\ngwstxfd.dll C:\WINDOWS\lomxeqsn.exe C:\WINDOWS\grfxbanotxo.dll C:\WINDOWS\system32\brastk.exe C:\WINDOWS\system32\wini104552664.exe C:\Documents and Settings\Bartek\Ustawienia lokalne\Temp\windfr.exe C:\Documents and Settings\Bartek\Ustawienia lokalne\Temp\pwrmgr.exe C:\Documents and Settings\Bartek\Pulpit\Protect Your Privacy.url C:\Documents and Settings\Bartek\Pulpit\Malware Defender.url C:\Documents and Settings\Bartek\Pulpit\System Error Fixer.url C:\Setup_ver1.1779.2.exe C:\WINDOWS\system32\opnlMFXp.dll C:\WINDOWS\system32\urqQgeBq.dll C:\WINDOWS\ngwstxfd.dll

kopiuj >> klikasz na Paste Script from Clipboard >> Execute >> Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

Otwórz notatnik i wklej

Windows Registry Editor Version 5.00 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{6a5d217d-b6ad-4789-9c1a-b4fd91dc9fbf}] [-HKEY_CLASSES_ROOT\CLSID{6a5d217d-b6ad-4789-9c1a-b4fd91dc9fbf}] [-HKEY_CLASSES_ROOT\CLSID{ec22e79c-7702-4c38-9691-c139d6c359c9}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{ec22e79c-7702-4c38-9691-c139d6c359c9}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\urqqgebq] [-HKEY_CLASSES_ROOT\CLSID{0656a137-b161-cadd-9777-e37a75727e78}] [-HKEY_CLASSES_ROOT\CLSID{0b682cc1-fb40-4006-a5dd-99edd3c9095d}] [-HKEY_CLASSES_ROOT\CLSID{0e1230f8-ea50-42a9-983c-d22abc2eeb4c}] [-HKEY_CLASSES_ROOT\CLSID{9dd4258a-7138-49c4-8d34-587879a5c7a4}] [-HKEY_CLASSES_ROOT\CLSID{b8c0220d-763d-49a4-95f4-61dfdec66ee6}] [-HKEY_CLASSES_ROOT\CLSID{c3bcc488-1ae7-11d4-ab82-0010a4ec2338}] [-HKEY_CLASSES_ROOT\CLSID{000000da-0786-4633-87c6-1aa7a4429ef1}] [-HKEY_CLASSES_ROOT\CLSID{54645654-2225-4455-44a1-9f4543d34545}] [-HKEY_CLASSES_ROOT\CLSID{5c7f15e1-f31a-44fd-aa1a-2ec63aaffd3a}] [-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{9dd4258a-7138-49c4-8d34-587879a5c7a4}] [-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{b8c0220d-763d-49a4-95f4-61dfdec66ee6}] [-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{c3bcc488-1ae7-11d4-ab82-0010a4ec2338}] [-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{000000da-0786-4633-87c6-1aa7a4429ef1}] [-HKEY_CURRENT_USER\SOFTWARE\dpcproxy] [-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\logons] [-HKEY_CURRENT_USER\typelib] [-HKEY_CURRENT_USER\HOL5_VXIEWER.FULL.1] [-HKEY_CURRENT_USER\SOFTWARE\Classes\hol5_vxiewer.full.1] [-HKEY_CURRENT_USER\SOFTWARE\Classes\applications\accessdiver.exe] [-HKEY_CURRENT_USER\SOFTWARE\fwbd] [-HKEY_CURRENT_USER\SOFTWARE\HolLol] [-HKEY_CURRENT_USER\SOFTWARE\Inet Delivery] [-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Inet Delivery] [-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\mslagent] [-HKEY_CURRENT_USER\SOFTWARE\Invictus] [-HKEY_CURRENT_USER\SOFTWARE\Golden Palace Casino PT] [-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Golden Palace Casino NEW] [-HKEY_CURRENT_USER\SYSTEM\currentcontrolset\Services\iTunesMusic] [-HKEY_CURRENT_USER\SYSTEM\currentcontrolset\Services\rdriv] [-HKEY_CURRENT_USER\SOFTWARE\mwc] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP] [-HKEY_CLASSES_ROOT\TypeLib{b738cdf0-7394-49c3-a3d4-3d5e27f74b15}] [-HKEY_CLASSES_ROOT\Interface{0827a935-57c7-4749-a6f9-fd6c1c7f00ab}] [-HKEY_CLASSES_ROOT\CLSID{495564fc-20ee-4fd9-ac6b-c25db4f62cd8}] [-HKEY_CLASSES_ROOT\CLSID{035469af-3d28-49ee-ab8f-0ec685051542}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\webvideo] [-HKEY_CLASSES_ROOT\TypeLib{56d78ecd-00fa-42a3-9c21-6ccf1d5dddea}] [-HKEY_CLASSES_ROOT\Interface{8b3956e5-0070-42c2-baea-9ae8f873524b}] [-HKEY_CLASSES_ROOT\Interface{cb3d8212-b20f-4803-869d-da04c001e51b}] [-HKEY_CLASSES_ROOT\CLSID{cc865a9f-e1f4-4b55-a81b-6056b4a43636}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{cc865a9f-e1f4-4b55-a81b-6056b4a43636}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\VSPlugin] [-HKEY_CLASSES_ROOT\rosqxvmn.bego] [-HKEY_CLASSES_ROOT\rosqxvmn.toolbar.1] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] “{ec22e79c-7702-4c38-9691-c139d6c359c9}”=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “msupdate”=- [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] “SystemCheck2”=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] “ngwstxfd”=- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa] “Authentication Packages”=hex(7):6d,00,73,00,76,00,31,00,5f,00,30,00,00,00,00,\ 00 “Notification Packages”=hex(7):73,00,63,00,65,00,63,00,6c,00,69,00,00,00,00,00 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main] “Start Page”="(http://www.google.com/)" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion] “ProductId”="(55864-640-5184244-23537)" [HKEY_CURRENT_USER\Control Panel\International] “sTimeFormat”="HH:mm:ss’ [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “Start_ShowControlPanel”=dword:00000001 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “Start_ShowRun”=dword:00000001 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “Start_ShowSearch”=dword:00000001 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “Start_ShowHelp”=dword:00000001 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “Start_ShowMyDocs”=dword:00000001 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “Start_ShowMyComputer”=dword:00000001 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer] “NoStartMenuMorePrograms”=dword:00000000 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer] “StartMenuLogOff”=dword:00000000 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer] “NoToolbarCustomize”=dword:00000000 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer] “NoSetFolders”=dword:00000000 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System] “DisableTaskMgr”=dword:00000000 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System] “NoDispCPL”=dword:00000000

zapisz jako plik.reg >> wszystkie pliki >> scal z rejestrem >> restart

powstanie plik o takiej ikonie

w który dwa razy klikniesz potwierdzisz chęć dodania do rejestru potem restart

potem jeszcze raz log Malware

proletaryat · 15 Październik 2008 21:07

avenger http://wklejto.pl/12359

malwarehttp://wklejto.pl/12361

Gutek · 15 Październik 2008 21:30

No Ok, ale jeszcze jedn skan - Wykonaj skan Dr. Web CureIt

proletaryat · 15 Październik 2008 21:40

Szybki skan Dr. Web CureIt nie wykrył żadnych wirusów. Wszystkie wyskakujące komunikaty zniknęły, nie ma prób łączenia sie z netem, zniknęły ikony z pulpitu stworzone przez tego wirusa. Wszystko wydaje się być OK, poza jedną rzeczą, czyli prawym dolnym rogu obok godziny nadal jest napis “virus alert”.

Gutek · 15 Październik 2008 21:54

Otwórz Notatnik i wklej w nim to:

Windows Registry Editor Version 5.00 


[HKEY_CURRENT_USER\Control Panel\International]

"sTimeFormat"="HH:mm:ss"

Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG >>> kliknij dwa razy na utworzony plik FIX.REG i potwierdź dodanie do rejestru >>> restart.

proletaryat · 15 Październik 2008 22:00

Wielkie dzięki za wszystko. Leon$ i Gutek2222 jestem waszym dłużnikiem. Wszystko wróciło do normy. Dzięki