Lisik
(Lisikm)
11 Czerwiec 2008 14:55
#1
Mam duży problem. Przy każdym włączeniu komputera zaczyna mi Avast znajdywac sporo wirusow. Zawsze są to te same. Typu Rootkit-gen, Trojan-gen, i pliki graficzne OnLineGames(DZW,EAT,DQP,CYO,DJV,BBH,DZZ). Jestem troche ciemny w dzialaniu na kompie ale z tego co zauwazylem to potrzebujecie do pomocy raportu z hijackthis’a ;]
O to raport:
http://id.wklej.org/s/5149
Prosze o pomoc w odwirusowaniu kompa.
bartisz
(Szwejas2)
11 Czerwiec 2008 15:25
#2
# R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb # R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.bearshare.com/sidebar.html?src=ssb # R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.bearshare.com/sidebar.html?src=ssb # R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb # R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) # O2 - BHO: swsxachu.dll - {13FD5987-65D2-C58D-D87E-987451F12531} - D:\WINDOWS\system32\swsxachu.dll (file missing) # O2 - BHO: lassaplo.dll - {2B69874A-C58C-458D-69F0-698F874E41B2} - D:\WINDOWS\system32\lassaplo.dll (file missing) # O2 - BHO: skqncbib.dll - {32023698-6984-8541-9654-698745012523} - D:\WINDOWS\system32\skqncbib.dll (file missing) # O2 - BHO: yxcschlp.dll - {35671234-7890-ABCD-CDEF-567801237653} - D:\WINDOWS\system32\yxcschlp.dll # O2 - BHO: nhmxcjkl.dll - {37AC9076-C898-B098-D098-A18319080973} - D:\WINDOWS\system32\nhmxcjkl.dll (file missing) # O2 - BHO: lijzclit.dll - {3C954872-1230-6541-9548-6541025884C3} - D:\WINDOWS\system32\lijzclit.dll (file missing) # O2 - BHO: oswxdttb.dll - {43512378-9874-5641-1025-985420368734} - D:\WINDOWS\system32\oswxdttb.dll (file missing) # O2 - BHO: mpwddapi.dll - {45694105-5108-9405-3695-954187462154} - D:\WINDOWS\system32\mpwddapi.dll (file missing) # O2 - BHO: mpmydapi.dll - {4629FF4F-ACDB-5C90-A098-FACB3456A264} - D:\WINDOWS\system32\mpmydapi.dll (file missing) # O2 - BHO: ptjhehlp.dll - {528DF602-9541-A985-210A-984A698C6F25} - D:\WINDOWS\system32\ptjhehlp.dll (file missing) # O2 - BHO: pjjxedwd.dll - {54FAE856-AD58-20CB-A025-CD4895FA6E45} - D:\WINDOWS\system32\pjjxedwd.dll (file missing) # O2 - BHO: ozfyebyt.dll - {5A069845-2036-6084-9054-6087502480A5} - D:\WINDOWS\system32\ozfyebyt.dll # O2 - BHO: (no name) - {6001CDF7-6F45-471b-A203-0225615E35A7} - D:\WINDOWS\DH.dll (file missing) # O2 - BHO: mnmhgsrv.dll - {7C8D1401-A58D-A81C-CD24-A5915C4517C7} - D:\WINDOWS\system32\mnmhgsrv.dll # O2 - BHO: yxfhcjpg.dll - {83BA45AF-FAAA-CDDD-BEEE-BCDE1234AB38} - D:\WINDOWS\system32\yxfhcjpg.dll # O2 - BHO: zxptejpg.dll - {91698482-6555-3666-1222-954784129019} - D:\WINDOWS\system32\zxptejpg.dll (file missing) # O2 - BHO: ypdjgbmp.dll - {91954FAC-1023-154F-895A-1458258AD819} - D:\WINDOWS\system32\ypdjgbmp.dll (file missing) # O2 - BHO: yzztimsn.dll - {9490415F-65F8-B5C5-D8BA-9405FB120549} - D:\WINDOWS\system32\yzztimsn.dll (file missing) # O2 - BHO: ThunderAdvise - {97421D0D-E07F-40DF-8F07-99597B9585AD} - D:\WINDOWS\Downloaded Program Files\ThunderAdvise.dll # O4 - HKLM…\Run: [Vvetyhu] C:\Program Files\Qtetkp\Xsqkhm.exe # O4 - HKCU…\Run: [AXVenore] “D:\Program Files\AXVenore\AXVenore.exe” # O4 - HKCU…\Run: [PSHope] “D:\Program Files\PSHope\PSHope.exe” # O18 - Filter: text/html - {994D478A-45D0-4DB4-AE27-738B1E346F99} - D:\Program Files\Batty2\Batty2.dll # O20 - AppInit_DLLs: SysCbCDK.dll,nhmxcjkl.dll,skqncbib.dll,yzztimsn.dll # O21 - SSODL: JavaView - {DA191DE0-AA86-D04E-4B87-2A3D4928BE99} - D:\WINDOWS\AppPatch\Jview.dll # O21 - SSODL: ThunderAdvise - {97421D0D-E07F-40DF-8F07-99597B9585AD} - D:\WINDOWS\Downloaded Program Files\ThunderAdvise.dll
FIX w hijackthis
Pobierz Combofix. Wklej do Notatnika:
File::
D:\WINDOWS\Downloaded Program Files\ThunderAdvise.dll
D:\WINDOWS\system32\yxfhcjpg.dll
D:\WINDOWS\system32\mnmhgsrv.dll
D:\WINDOWS\system32\ozfyebyt.dll
D:\WINDOWS\system32\yxcschlp.dll
D:\WINDOWS\AppPatch\Jview.dll
Folder::
C:\Program Files\Qtetkp
D:\Program Files\AXVenore
D:\Program Files\PSHope
D:\Program Files\Batty2
Plik–>Zapisz jako… -->CFScript
Przeciągnij plik CFScript.txt na plik ComboFix.exe
Podczas usuwanie powstanie log. Wrzuć go na forum.
Po restarcie usuń folder C:\Qoobox.
Lisik
(Lisikm)
11 Czerwiec 2008 19:52
#3
Nie moge tak zrobić ponieważ wyskakuje mi taki komunikat:
“Aplikacja lub biblioteka DLL D:\WINDOWS\system32\ozfyebyt.dll nie jest poprawnym obrazem systemu Windows NT. Sprawdz to z dyskietka instalacyjna.”
O ile dobrze kojaze to ten plik pokazywalo mi jako wirus wiec moze ma to cos wspolnego.
a w tym ostatnim zdaniu “Po restarcie usuń folder C:\Qoobox.” nie chodzilo ci o D:\Qoobox bo u mnie na C jest inny win ;p
huber2t
(huber2t)
12 Czerwiec 2008 03:41
#4
Pobierz The Avenger
wklej do niego ten tekst:
Files to delete:
D:\WINDOWS\Downloaded Program Files\ThunderAdvise.dll
D:\WINDOWS\system32\yxfhcjpg.dll
D:\WINDOWS\system32\mnmhgsrv.dll
D:\WINDOWS\system32\ozfyebyt.dll
D:\WINDOWS\system32\yxcschlp.dll
D:\WINDOWS\AppPatch\Jview.dll
Folders to delete::
C:\Program Files\Qtetkp
D:\Program Files\AXVenore
D:\Program Files\PSHope
D:\Program Files\Batty2
kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.
Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt
Lisik
(Lisikm)
12 Czerwiec 2008 05:42
#5
Też wyskoczył taki komunikat ale uporalem sie z nim i dostałem sie do programu. Wychodzi na to ze folderow nie pokasowalo.
Ja sie na tym nie znam wiec wklejam raporcik:
http://id.wklej.org/s/5216
PS. Teraz tak sobie kojarze ze ja chyba wlaczylem ComboFix bo tez udalo mi sie zniwelowac ten bug tyle ze myslalem ze cos sie wlaczylo niepotrzebnego i to wylaczylem ;p taki odruch xD tyle ze nie ma zadnego raportu
zrobilem nowy scan w hijackthis zeby bylo all jasne:
http://id.wklej.org/s/5217
bartisz
(Szwejas2)
12 Czerwiec 2008 06:21
#6
wklej do avengera:
Folders to delete:
C:\Program Files\Qtetkp
D:\Program Files\AXVenore
D:\Program Files\PSHope
D:\Program Files\Batty2
i robisz tak samo jak w poprzednim poście
huber2t
(huber2t)
12 Czerwiec 2008 11:42
#7
Po tym daj log z deckard system runners
jessica
(jessica)
12 Czerwiec 2008 12:00
#8
Ponieważ jeszcze nikomu na świecie nie udało się usunąć na stałe tej infekcji (bo ona się odradza po każdym restarcie komputera), to radzę skopiować na dyskietki ważne dokumenty, jeśli takie masz na komputerze, dopóki jest to możliwe.
Po kiku usuwaniach i restartach nie będzie się w ogóle dało uruchomić Twego komputera w normalnym Trybie, a w Trybie Awaryjnym będzie się dało uruchomić, ale nie wszystko będzie działało.
Daj też górną część raportu z ->Kaspersky Virus Removal Tool >http://www.searchengines.pl/index.php?showtopic=18695&pid=457742
jessi
Lisik
(Lisikm)
12 Czerwiec 2008 13:40
#9
a co to takiego ?? ;]
raporcik z avengera:
http://id.wklej.org/s/5256
mam nadzieje ze bede tym pierwszym a jessica mozesz podac dokladny adres tego toola ?
jessica
(jessica)
12 Czerwiec 2008 14:00
#10
http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/
zawsze pobierać trzeba ten z najnowszą datą, na dole strony
Życzę Ci tego z całego serca, ale jestem realistką, widziałam już setki takich przypadków i nikomu się nie udało z tego wyść.
viewtopic.php?f=16&t=36654
Drugi post od dołu – “Deckard’s System Scanner”
jessi
Lisik
(Lisikm)
12 Czerwiec 2008 14:51
#11
No dobra to tak(nie wiem ktory to mial byc txt ;p czy main czy extra wiec:
main: http://id.wklej.org/s/5267
extra: http://id.wklej.org/s/5268
musze robic kasperskiego ? ;p troche mi sie nie chce ;] ale jak napiszecie ze konieczne to zrobie i to ;]
huber2t
(huber2t)
13 Czerwiec 2008 03:07
#12
Kasperski jest konieczny
Pobierz The Avenger
wklej do niego ten tekst:
Files to delete:
D:\WINDOWS\system32\lesxachu.sys
D:\WINDOWS\system32\wymxajkl.sys
D:\WINDOWS\system32\toqnabib.sys
D:\WINDOWS\system32\tiwxattb.sys
D:\WINDOWS\system32\swsxachu.dll
D:\WINDOWS\system32\lassaplo.dll
D:\WINDOWS\system32\skqncbib.dll
D:\WINDOWS\system32\yxcschlp.dll
D:\WINDOWS\system32\nhmxcjkl.dll
D:\WINDOWS\system32\lijzclit.dll
D:\WINDOWS\system32\oswxdttb.dll
D:\WINDOWS\system32\mpwddapi.dll
D:\WINDOWS\system32\mpmydapi.dll
D:\WINDOWS\system32\ptjhehlp.dll
D:\WINDOWS\system32\pjjxedwd.dll
D:\WINDOWS\system32\ozfyebyt.dll
D:\WINDOWS\DH.dll
D:\WINDOWS\system32\mnmhgsrv.dll
D:\WINDOWS\system32\yxfhcjpg.dll
D:\WINDOWS\system32\zxptejpg.dll
D:\WINDOWS\system32\ypdjgbmp.dll
D:\WINDOWS\system32\yzztimsn.dll
Folders to delete:
D:\FOUND.040
D:\FOUND.039
D:\FOUND.038
D:\Program Files\AXVenore
D:\Program Files\PSHope
D:\WINDOWS\AppPatch
D:\WINDOWS\Downloaded Program Files
Registry keys to delete:
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{13FD5987-65D2-C58D-D87E-987451F12531}
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2B69874A-C58C-458D-69F0-698F874E41B2}
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{32023698-6984-8541-9654-698745012523}]
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{35671234-7890-ABCD-CDEF-567801237653}
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{37AC9076-C898-B098-D098-A18319080973}
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{3C954872-1230-6541-9548-6541025884C3}
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{43512378-9874-5641-1025-985420368734}
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{45694105-5108-9405-3695-954187462154}
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{4629FF4F-ACDB-5C90-A098-FACB3456A264}
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{528DF602-9541-A985-210A-984A698C6F25}
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{54FAE856-AD58-20CB-A025-CD4895FA6E45}
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{5A069845-2036-6084-9054-6087502480A5}
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6001CDF7-6F45-471b-A203-0225615E35A7}
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{7C8D1401-A58D-A81C-CD24-A5915C4517C7}
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{83BA45AF-FAAA-CDDD-BEEE-BCDE1234AB38}
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{91698482-6555-3666-1222-954784129019}
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{91954FAC-1023-154F-895A-1458258AD819}
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{9490415F-65F8-B5C5-D8BA-9405FB120549}
Registry values to delete:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run | AXVenore
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run | PSHope
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad | JavaView
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad | ThunderAdvise
kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.
Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt
Lisik
(Lisikm)
13 Czerwiec 2008 05:15
#13
Avenger:
http://id.wklej.org/s/5366
Kasperski to zrobie jak wroce ze szkoly.
Wczoraj robiłem na trybie awaryjnnym scan avastem caly dysk(łącznie z archiwami) mialem kolo 70 wirusów i wszystko usuwalem wiec moze dlatego tyle plikow w avengerze nie poszlo.
Moze podac logi z hijack’a ? ;]
jessica
(jessica)
13 Czerwiec 2008 10:18
#14
Tak, to pewnie dlatego.
Taki napis (" 034 ") w raporcie Avengera oznacza, że podany obiekt już nie istnieje.
Przy tej infekcji bardziej przydatne są:
log z ComboFixa
górna część raportu z " Kaspersky Virus Removal Tool "
jessi
Lisik
(Lisikm)
13 Czerwiec 2008 14:17
#15
http://id.wklej.org/s/5405
co mam dokladnie przeskanowac ?? caly dysk ??
Pozdro Zauwazylem ze mi komp mniej lami
jessica
(jessica)
13 Czerwiec 2008 14:30
#16
To tylko chwilowa poprawa - do najbliższego restartu.
Wklej do Notatnika :
Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=-
"AppInit_DLLs"=""
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{13FD5987-65D2-C58D-D87E-987451F12531}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{32023698-6984-8541-9654-698745012523}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{37AC9076-C898-B098-D098-A18319080973}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{43512378-9874-5641-1025-985420368734}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{5A069845-2036-6084-9054-6087502480A5}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{91954FAC-1023-154F-895A-1458258AD819}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{97421D0D-E07F-40DF-8F07-99597B9585AD}]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BearShare"=-
"Cmaudio"=-
"Internet Optimizer"=-
"Vvetyhu"=-
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{CAED0F3B-DF8B-4DBF-BB20-8DFBC3199068}"=-
"{5A069845-2036-6084-9054-6087502480A5}"=-
"{37AC9076-C898-B098-D098-A18319080973}"=-
"{43512378-9874-5641-1025-985420368734}"=-
"{32023698-6984-8541-9654-698745012523}"=-
"{13FD5987-65D2-C58D-D87E-987451F12531}"=-
"{91954FAC-1023-154F-895A-1458258AD819}"=-
"{A9895933-6636-4281-BC58-EE6DE2AF96E3}"=-
"{1DB3C525-5271-46F7-887A-D4E1ADAA7632}"=-
"{45AADFAA-DD36-42AB-83AD-0521BBF58C24}"=-
"{5E907A48-400E-4EA8-9792-FFAE052D59E9}"=-
"{1E51C0FD-EE36-434B-AD2A-FD1FF3731C38}"=-
"{EA5D4B0E-B8CE-4761-8C7E-5D26369F0EC6}"=-
Folder::
C:\WINDOWS\Temp
File::
D:\WINDOWS\system32\bcsxachu.sys
D:\WINDOWS\system32\snfybbyt.sys
D:\WINDOWS\system32\xsdjbbmp.sys
D:\WINDOWS\system32\rnmxajkl.sys
D:\WINDOWS\system32\aoqnabib.sys
>>Plik>>Zapisz jako… >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
–>
Ma się rozpocząć usuwanie. (i powstanie log). Daj ten log, który powstanie w trakcie usuwania.
Jeśli pójdzie dobrze, to: Po restarcie usuń ręcznie folder C:* * Qoobox**.
Kaspersky - cały komputer, ewenrualnie możesz wyłączyć spod skanowania “Moje obrazy”.
jessi