Prosze o sprawdzenia loga (usuwanie KAVO)


(Hwdp4ever) #1

Witam,

Mam na imie Marcin, mam 21 lat, jestem posiadaczem wirusa KAVO

bardzo mi on sie uprzykrza, net mi blokuje i kompa spowalnia, wiec chcialbym sie go pozbyc,

aby uzyskac dostep do sieci poszperalem w regedit i pousuywalem wszystkie kopie kavo, kava recznie,

efekt byl tymczasowy ale zdazylem w tym czasie poszperac na forum na jego temat,

zgodnie z zaleceniami odnalezionego posta:

sciagnalem i uruchomilem program Combofix

po przeskanowaniu zostal utworzony plik log.txt ktory wrzucilem do neta

oto link http://wklej.org/id/8df2555b4a

i tutaj jako laik mam prosbe, chcialbym aby ktos bardziej wtajemniczony przejrzal mojego loga i poradzil mi czy wszystko juz jest ok czy moze powinienem wykonac jakies dalsze manewry,

z gory dziekuje za pomoc i poswiecony czas


(Spandau) #2

Infekcja z pendrive. Aby wyleczyć użyj np tego http://www.searchengines.pl/index.php?s ... ntry369724 lub format

Pobierz Combofixale nie uruchamiaj wklej do notatnika:

Zapisz plik jako CFScript.txt najlepiej aby ikonka tego pliku znajdowała się obok ikonki ComboFix.exe

Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe powinno rozpocząć się usuwanie po tym log na forum

Po tym usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.

Dodatkowo przeskanuj obszar Mój komputer tym http://www.kaspersky.pl/virusscanner.html Uruchom pod IE daj raport na forum


(Hwdp4ever) #3

jeszcze cos,

jak usuwalem recznie z regedita pliki kavo i kava kasowalem tez irfhsofy.exe i 1.exe

zanim nie dobralem sie do rejestrow poza tym ze nie dzialal mi net (choc gg dzialalo) to co jakis czas wyskakiwalo male okienko z napisem "ustawienia spersonalizowane" i nagle wylaczal sie na chwile explorer, inne programy dzialaly i sie nie wylaczaly, po czym eksplorer sie znowu wlaczal (nie pojawialo sie okienko "wyslij raport o bledach" bo nie bylo zadnego beldu) ale co bylo charakterystyczne, to, ze przykladowo ikony na pulpicie wracaly na swoje miejsca w ktorych byly pierwotnie po wlaczeniu kompa, nie moglem nic przestawic bo po tym okienku "ustawienia spersonalizowane" wszystko wracalo do pierwotnej pozycji,

po moim szperaniu w regedicie okienko przestalo mnie nachodzic


(Monczkin) #4

Nazwij temat konkretnie i popraw błędy. Na forum używamy polskiej pisowni. Przeczytaj regulamin forum. Proszę to poprawić, inaczej wyciągnę konsekwencje.


(huber2t) #5

Daj log z usuwania z combofix


(Kambor4) #6

Błąd,powinno być "" File:: ""


(Spandau) #7

Dzięki djarta skrypt poprawiony


(Hwdp4ever) #8

zgodnie z zaleceniem zrobilem ten plik tekstowy i powstal taki log http://wklej.org/id/7450b98b47

a oto log z kasperskiego http://www.wklej.org/id/47a45f5c18


(Kambor4) #9

Nic się nie usunęło.

File::

C:\leb.com

C:\br1e.com

C:\uwlmj.com

C:\o6opnro.bat

C:\n.com

I:\t.com

H:\imt8.cmd


Registry::

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2d055959-8245-11dc-91a3-0002447a6027}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9c9cbaa1-8d6a-11dc-91f3-0002447a6027}]

>>Plik>>Zapisz jako... >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

02f8f1e3c410a4cc.gif

Ma się rozpocząć usuwanie. (i powstanie log). Daj ten log, który powstanie w trakcie usuwania.

Jeśli pójdzie dobrze, to: Po restarcie usuń ręcznie folder C:\Qoobox.


(Hwdp4ever) #10

no juz zobaczylem bo wtedy loga zrobilem z bledem [FILES} , poprawiBem to i z FILE daBo taki log http://wklej.org/id/4d2683aab0


(Kambor4) #11

Wklej do notatnika:

File::

C:\WINDOWS\system32\irfhsofy.exe 

C:\uwlmj.com 

F:\uwlmj.com 

I:\t.com 

H:\imt8.cmd 


Registry::

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9c9cbaa1-8d6a-11dc-91f3-0002447a6027}] 

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2d055959-8245-11dc-91a3-0002447a6027}] 

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\I] 

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F] 

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C]

>>Plik>>Zapisz jako... >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

02f8f1e3c410a4cc.gif

Ma się rozpocząć usuwanie. (i powstanie log). Daj ten log, który powstanie w trakcie usuwania.

Jeśli pójdzie dobrze, to: Po restarcie usuń ręcznie folder C:\Qoobox.


(Hwdp4ever) #12

ok , zrobilem ten plik tekstowy, przesunlem go na ikone programu, windows zapytal czy uruchomic program, klikam uruchom i powstal taki log http://wklej.org/id/67dbae3409

pendrive mam, jest caly czas wetkniety w usb, ale potraktowalem go ze 2 godziny temu Flash_Disinfectorem.


(Kambor4) #13

Czysto.


(Hwdp4ever) #14

to oznacza ze teraz wystarczy usunac folder C:\Qoobox i wsio? Panowie jestescie wspaniali, bije poklony, wielkie dzieki!


(Kambor4) #15

Tak usuń folder C:\Qoobox i...

Odinstaluj ComboFix : Start>>Uruchom skopiuj i wklej :

ComboFix /u

i wciśnij enter.


(huber2t) #16

Log wyglada na czysty

usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.

Przeczyść komputer Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum

lub

Dr.WEB CureIt!


(Hwdp4ever) #17

zainstalowalem na dysku najnowszy kaspersky antyvirus i zeskanowalem z dysku "moj komputer"

taki raport powstal http://wklej.org/id/6dd321d9d1


(huber2t) #18

Większość plików się pousuwała ale przeskanuj jeszcze skanerem onnline


(Hwdp4ever) #19

tak to wyglada po skanowaniu online http://wklej.org/id/ac6a746b39


(huber2t) #20

Podłącz teraz wszystkie pendrivy i wykonaj to:

Pobierz The Avenger

wklej do niego ten tekst:

Files to delete:

C:\Documents and Settings\Kicek\Pulpit\RockXP.exe

F:\br1e.com

F:\instalki\instalki programów\AutoShutdown.exe

F:\instalki\instalki programów\lustra\daemon4121-lite[www.instalki.pl].exe

H:\br1e.com

kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt