kicek86
(Hwdp4ever)
25 Czerwiec 2008 13:27
#1
Witam,
Mam na imie Marcin, mam 21 lat, jestem posiadaczem wirusa KAVO
bardzo mi on sie uprzykrza, net mi blokuje i kompa spowalnia, wiec chcialbym sie go pozbyc,
aby uzyskac dostep do sieci poszperalem w regedit i pousuywalem wszystkie kopie kavo, kava recznie,
efekt byl tymczasowy ale zdazylem w tym czasie poszperac na forum na jego temat,
zgodnie z zaleceniami odnalezionego posta:
sciagnalem i uruchomilem program Combofix
po przeskanowaniu zostal utworzony plik log.txt ktory wrzucilem do neta
oto link http://wklej.org/id/8df2555b4a
i tutaj jako laik mam prosbe, chcialbym aby ktos bardziej wtajemniczony przejrzal mojego loga i poradzil mi czy wszystko juz jest ok czy moze powinienem wykonac jakies dalsze manewry,
z gory dziekuje za pomoc i poswiecony czas
Infekcja z pendrive . Aby wyleczyć użyj np tego http://www.searchengines.pl/index.php?s … ntry369724 lub format
Pobierz Combofix ale nie uruchamiaj wklej do notatnika:
Zapisz plik jako CFScript.txt najlepiej aby ikonka tego pliku znajdowała się obok ikonki ComboFix.exe
Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe powinno rozpocząć się usuwanie po tym log na forum
Po tym usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.
Dodatkowo przeskanuj obszar Mój komputer tym http://www.kaspersky.pl/virusscanner.html Uruchom pod IE daj raport na forum
kicek86
(Hwdp4ever)
25 Czerwiec 2008 13:37
#3
jeszcze cos,
jak usuwalem recznie z regedita pliki kavo i kava kasowalem tez irfhsofy.exe i 1.exe
zanim nie dobralem sie do rejestrow poza tym ze nie dzialal mi net (choc gg dzialalo) to co jakis czas wyskakiwalo male okienko z napisem “ustawienia spersonalizowane” i nagle wylaczal sie na chwile explorer, inne programy dzialaly i sie nie wylaczaly, po czym eksplorer sie znowu wlaczal (nie pojawialo sie okienko “wyslij raport o bledach” bo nie bylo zadnego beldu) ale co bylo charakterystyczne, to, ze przykladowo ikony na pulpicie wracaly na swoje miejsca w ktorych byly pierwotnie po wlaczeniu kompa, nie moglem nic przestawic bo po tym okienku “ustawienia spersonalizowane” wszystko wracalo do pierwotnej pozycji,
po moim szperaniu w regedicie okienko przestalo mnie nachodzic
Monczkin
(Monczkin)
25 Czerwiec 2008 13:40
#4
Nazwij temat konkretnie i popraw błędy. Na forum używamy polskiej pisowni. Przeczytaj regulamin forum. Proszę to poprawić, inaczej wyciągnę konsekwencje.
huber2t
(huber2t)
25 Czerwiec 2008 14:24
#5
Daj log z usuwania z combofix
djarta
(djarta)
25 Czerwiec 2008 14:59
#6
Błąd,powinno być “” File:: “”
Dzięki djarta skrypt poprawiony
kicek86
(Hwdp4ever)
25 Czerwiec 2008 15:44
#8
zgodnie z zaleceniem zrobilem ten plik tekstowy i powstal taki log http://wklej.org/id/7450b98b47
a oto log z kasperskiego http://www.wklej.org/id/47a45f5c18
djarta
(djarta)
25 Czerwiec 2008 15:54
#9
Nic się nie usunęło.
File::
C:\leb.com
C:\br1e.com
C:\uwlmj.com
C:\o6opnro.bat
C:\n.com
I:\t.com
H:\imt8.cmd
Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2d055959-8245-11dc-91a3-0002447a6027}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9c9cbaa1-8d6a-11dc-91f3-0002447a6027}]
>>Plik>>Zapisz jako… >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
Ma się rozpocząć usuwanie. (i powstanie log). Daj ten log, który powstanie w trakcie usuwania.
Jeśli pójdzie dobrze, to: Po restarcie usuń ręcznie folder C:\Qoobox.
kicek86
(Hwdp4ever)
25 Czerwiec 2008 15:56
#10
no juz zobaczylem bo wtedy loga zrobilem z bledem [FILES} , poprawiBem to i z FILE daBo taki log http://wklej.org/id/4d2683aab0
djarta
(djarta)
25 Czerwiec 2008 16:08
#11
Wklej do notatnika:
File::
C:\WINDOWS\system32\irfhsofy.exe
C:\uwlmj.com
F:\uwlmj.com
I:\t.com
H:\imt8.cmd
Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9c9cbaa1-8d6a-11dc-91f3-0002447a6027}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2d055959-8245-11dc-91a3-0002447a6027}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\I]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C]
>>Plik>>Zapisz jako… >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
Ma się rozpocząć usuwanie. (i powstanie log). Daj ten log, który powstanie w trakcie usuwania.
Jeśli pójdzie dobrze, to: Po restarcie usuń ręcznie folder C:\Qoobox.
kicek86
(Hwdp4ever)
25 Czerwiec 2008 16:20
#12
ok , zrobilem ten plik tekstowy, przesunlem go na ikone programu, windows zapytal czy uruchomic program, klikam uruchom i powstal taki log http://wklej.org/id/67dbae3409
pendrive mam, jest caly czas wetkniety w usb, ale potraktowalem go ze 2 godziny temu Flash_Disinfectorem.
kicek86
(Hwdp4ever)
25 Czerwiec 2008 16:38
#14
to oznacza ze teraz wystarczy usunac folder C:\Qoobox i wsio? Panowie jestescie wspaniali, bije poklony, wielkie dzieki!
djarta
(djarta)
25 Czerwiec 2008 16:44
#15
Tak usuń folder C:\Qoobox i…
Odinstaluj ComboFix : Start>>Uruchom skopiuj i wklej :
ComboFix /u
i wciśnij enter.
huber2t
(huber2t)
25 Czerwiec 2008 17:06
#16
Log wyglada na czysty
usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.
Przeczyść komputer Ccleanerem
Wykonaj optymalizację autostartu
Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja
Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum
lub
Dr.WEB CureIt!
kicek86
(Hwdp4ever)
25 Czerwiec 2008 19:41
#17
zainstalowalem na dysku najnowszy kaspersky antyvirus i zeskanowalem z dysku “moj komputer”
taki raport powstal http://wklej.org/id/6dd321d9d1
huber2t
(huber2t)
25 Czerwiec 2008 19:48
#18
Większość plików się pousuwała ale przeskanuj jeszcze skanerem onnline
kicek86
(Hwdp4ever)
25 Czerwiec 2008 21:25
#19
tak to wyglada po skanowaniu online http://wklej.org/id/ac6a746b39
huber2t
(huber2t)
26 Czerwiec 2008 04:21
#20
Podłącz teraz wszystkie pendrivy i wykonaj to:
Pobierz The Avenger
wklej do niego ten tekst:
Files to delete:
C:\Documents and Settings\Kicek\Pulpit\RockXP.exe
F:\br1e.com
F:\instalki\instalki programów\AutoShutdown.exe
F:\instalki\instalki programów\lustra\daemon4121-lite[www.instalki.pl].exe
H:\br1e.com
kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.
Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt