Mam duży problem. Przy każdym włączeniu komputera zaczyna mi Avast znajdywac sporo wirusow. Zawsze są to te same. Typu Rootkit-gen, Trojan-gen, i pliki graficzne OnLineGames(DZW,EAT,DQP,CYO,DJV,BBH,DZZ). Jestem troche ciemny w dzialaniu na kompie ale z tego co zauwazylem to potrzebujecie do pomocy raportu z hijackthis’a ;]
O to raport:
Prosze o pomoc w odwirusowaniu kompa.
FIX w hijackthis
Pobierz Combofix. Wklej do Notatnika:
File::
D:\WINDOWS\Downloaded Program Files\ThunderAdvise.dll
D:\WINDOWS\system32\yxfhcjpg.dll
D:\WINDOWS\system32\mnmhgsrv.dll
D:\WINDOWS\system32\ozfyebyt.dll
D:\WINDOWS\system32\yxcschlp.dll
D:\WINDOWS\AppPatch\Jview.dll
Folder::
C:\Program Files\Qtetkp
D:\Program Files\AXVenore
D:\Program Files\PSHope
D:\Program Files\Batty2
Plik–>Zapisz jako… -->CFScript
Przeciągnij plik CFScript.txt na plik ComboFix.exe
Podczas usuwanie powstanie log. Wrzuć go na forum.
Po restarcie usuń folder C:\Qoobox.
Nie moge tak zrobić ponieważ wyskakuje mi taki komunikat:
“Aplikacja lub biblioteka DLL D:\WINDOWS\system32\ozfyebyt.dll nie jest poprawnym obrazem systemu Windows NT. Sprawdz to z dyskietka instalacyjna.”
O ile dobrze kojaze to ten plik pokazywalo mi jako wirus wiec moze ma to cos wspolnego.
a w tym ostatnim zdaniu “Po restarcie usuń folder C:\Qoobox.” nie chodzilo ci o D:\Qoobox bo u mnie na C jest inny win ;p
Pobierz The Avenger
wklej do niego ten tekst:
Files to delete:
D:\WINDOWS\Downloaded Program Files\ThunderAdvise.dll
D:\WINDOWS\system32\yxfhcjpg.dll
D:\WINDOWS\system32\mnmhgsrv.dll
D:\WINDOWS\system32\ozfyebyt.dll
D:\WINDOWS\system32\yxcschlp.dll
D:\WINDOWS\AppPatch\Jview.dll
Folders to delete::
C:\Program Files\Qtetkp
D:\Program Files\AXVenore
D:\Program Files\PSHope
D:\Program Files\Batty2
kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.
Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt
Też wyskoczył taki komunikat ale uporalem sie z nim i dostałem sie do programu. Wychodzi na to ze folderow nie pokasowalo.
Ja sie na tym nie znam wiec wklejam raporcik:
PS. Teraz tak sobie kojarze ze ja chyba wlaczylem ComboFix bo tez udalo mi sie zniwelowac ten bug tyle ze myslalem ze cos sie wlaczylo niepotrzebnego i to wylaczylem ;p taki odruch xD tyle ze nie ma zadnego raportu
zrobilem nowy scan w hijackthis zeby bylo all jasne:
wklej do avengera:
Folders to delete:
C:\Program Files\Qtetkp
D:\Program Files\AXVenore
D:\Program Files\PSHope
D:\Program Files\Batty2
i robisz tak samo jak w poprzednim poście
Po tym daj log z deckard system runners
Ponieważ jeszcze nikomu na świecie nie udało się usunąć na stałe tej infekcji (bo ona się odradza po każdym restarcie komputera), to radzę skopiować na dyskietki ważne dokumenty, jeśli takie masz na komputerze, dopóki jest to możliwe.
Po kiku usuwaniach i restartach nie będzie się w ogóle dało uruchomić Twego komputera w normalnym Trybie, a w Trybie Awaryjnym będzie się dało uruchomić, ale nie wszystko będzie działało.
Daj też górną część raportu z ->Kaspersky Virus Removal Tool >http://www.searchengines.pl/index.php?showtopic=18695&pid=457742
jessi
a co to takiego ?? ;]
raporcik z avengera:
mam nadzieje ze bede tym pierwszym 
a jessica mozesz podac dokladny adres tego toola ?
http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/
zawsze pobierać trzeba ten z najnowszą datą, na dole strony
Życzę Ci tego z całego serca, ale jestem realistką, widziałam już setki takich przypadków i nikomu się nie udało z tego wyść.
Drugi post od dołu – “Deckard’s System Scanner”
jessi
No dobra to tak(nie wiem ktory to mial byc txt ;p czy main czy extra wiec:
main: http://id.wklej.org/s/5267
extra: http://id.wklej.org/s/5268
musze robic kasperskiego ? ;p troche mi sie nie chce ;] ale jak napiszecie ze konieczne to zrobie i to ;]
Kasperski jest konieczny
Pobierz The Avenger
wklej do niego ten tekst:
Files to delete:
D:\WINDOWS\system32\lesxachu.sys
D:\WINDOWS\system32\wymxajkl.sys
D:\WINDOWS\system32\toqnabib.sys
D:\WINDOWS\system32\tiwxattb.sys
D:\WINDOWS\system32\swsxachu.dll
D:\WINDOWS\system32\lassaplo.dll
D:\WINDOWS\system32\skqncbib.dll
D:\WINDOWS\system32\yxcschlp.dll
D:\WINDOWS\system32\nhmxcjkl.dll
D:\WINDOWS\system32\lijzclit.dll
D:\WINDOWS\system32\oswxdttb.dll
D:\WINDOWS\system32\mpwddapi.dll
D:\WINDOWS\system32\mpmydapi.dll
D:\WINDOWS\system32\ptjhehlp.dll
D:\WINDOWS\system32\pjjxedwd.dll
D:\WINDOWS\system32\ozfyebyt.dll
D:\WINDOWS\DH.dll
D:\WINDOWS\system32\mnmhgsrv.dll
D:\WINDOWS\system32\yxfhcjpg.dll
D:\WINDOWS\system32\zxptejpg.dll
D:\WINDOWS\system32\ypdjgbmp.dll
D:\WINDOWS\system32\yzztimsn.dll
Folders to delete:
D:\FOUND.040
D:\FOUND.039
D:\FOUND.038
D:\Program Files\AXVenore
D:\Program Files\PSHope
D:\WINDOWS\AppPatch
D:\WINDOWS\Downloaded Program Files
Registry keys to delete:
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{13FD5987-65D2-C58D-D87E-987451F12531}
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2B69874A-C58C-458D-69F0-698F874E41B2}
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{32023698-6984-8541-9654-698745012523}]
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{35671234-7890-ABCD-CDEF-567801237653}
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{37AC9076-C898-B098-D098-A18319080973}
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{3C954872-1230-6541-9548-6541025884C3}
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{43512378-9874-5641-1025-985420368734}
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{45694105-5108-9405-3695-954187462154}
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{4629FF4F-ACDB-5C90-A098-FACB3456A264}
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{528DF602-9541-A985-210A-984A698C6F25}
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{54FAE856-AD58-20CB-A025-CD4895FA6E45}
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{5A069845-2036-6084-9054-6087502480A5}
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6001CDF7-6F45-471b-A203-0225615E35A7}
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{7C8D1401-A58D-A81C-CD24-A5915C4517C7}
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{83BA45AF-FAAA-CDDD-BEEE-BCDE1234AB38}
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{91698482-6555-3666-1222-954784129019}
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{91954FAC-1023-154F-895A-1458258AD819}
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{9490415F-65F8-B5C5-D8BA-9405FB120549}
Registry values to delete:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run | AXVenore
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run | PSHope
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad | JavaView
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad | ThunderAdvise
kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.
Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt
Avenger:
Kasperski to zrobie jak wroce ze szkoly.
Wczoraj robiłem na trybie awaryjnnym scan avastem caly dysk(łącznie z archiwami) mialem kolo 70 wirusów i wszystko usuwalem wiec moze dlatego tyle plikow w avengerze nie poszlo.
Moze podac logi z hijack’a ? ;]
Tak, to pewnie dlatego.
Taki napis (" 034") w raporcie Avengera oznacza, że podany obiekt już nie istnieje.
Przy tej infekcji bardziej przydatne są:
log z ComboFixa
górna część raportu z " Kaspersky Virus Removal Tool"
jessi
co mam dokladnie przeskanowac ?? caly dysk ??
Pozdro Zauwazylem ze mi komp mniej lami
To tylko chwilowa poprawa - do najbliższego restartu.
Wklej do Notatnika :
Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=-
"AppInit_DLLs"=""
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{13FD5987-65D2-C58D-D87E-987451F12531}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{32023698-6984-8541-9654-698745012523}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{37AC9076-C898-B098-D098-A18319080973}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{43512378-9874-5641-1025-985420368734}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{5A069845-2036-6084-9054-6087502480A5}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{91954FAC-1023-154F-895A-1458258AD819}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{97421D0D-E07F-40DF-8F07-99597B9585AD}]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BearShare"=-
"Cmaudio"=-
"Internet Optimizer"=-
"Vvetyhu"=-
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{CAED0F3B-DF8B-4DBF-BB20-8DFBC3199068}"=-
"{5A069845-2036-6084-9054-6087502480A5}"=-
"{37AC9076-C898-B098-D098-A18319080973}"=-
"{43512378-9874-5641-1025-985420368734}"=-
"{32023698-6984-8541-9654-698745012523}"=-
"{13FD5987-65D2-C58D-D87E-987451F12531}"=-
"{91954FAC-1023-154F-895A-1458258AD819}"=-
"{A9895933-6636-4281-BC58-EE6DE2AF96E3}"=-
"{1DB3C525-5271-46F7-887A-D4E1ADAA7632}"=-
"{45AADFAA-DD36-42AB-83AD-0521BBF58C24}"=-
"{5E907A48-400E-4EA8-9792-FFAE052D59E9}"=-
"{1E51C0FD-EE36-434B-AD2A-FD1FF3731C38}"=-
"{EA5D4B0E-B8CE-4761-8C7E-5D26369F0EC6}"=-
Folder::
C:\WINDOWS\Temp
File::
D:\WINDOWS\system32\bcsxachu.sys
D:\WINDOWS\system32\snfybbyt.sys
D:\WINDOWS\system32\xsdjbbmp.sys
D:\WINDOWS\system32\rnmxajkl.sys
D:\WINDOWS\system32\aoqnabib.sys
>>Plik>>Zapisz jako… >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
–>
Ma się rozpocząć usuwanie. (i powstanie log). Daj ten log, który powstanie w trakcie usuwania.
Jeśli pójdzie dobrze, to: Po restarcie usuń ręcznie folder C:** Qoobox**.
Kaspersky - cały komputer, ewenrualnie możesz wyłączyć spod skanowania “Moje obrazy”.
jessi