Trojan downloader.xs


(Wow44) #1

Pierwszy raz na forum,więc przepraszam za ewentualne "wpadki"...

Czesc jesli ktos moze mi pomoc to bede bardzo wdzięczny.

Dwa dni temu zlapalem trojan downloader.xs odrazu przeskanowałem komputer avastem ktory wykazal pliki zarażone ktore usunąłem, ale co 20 30 minut wyswietla mi sie iz moj kompuuter jest zainfekowany i chce mnie polaczyc z jakas strona internetowa na ktorej znajduje sie do kupienia dany program, pozatym jak uruchomie program internet explorer to potrafi sie otworzyc nawt 30 okien, nie mam pojecia co jest grane z mojm kompem, zaczoł tez sie czesciej zawieszac , do dam ze mam viste.

Proszę o sprawdzenie loga z hijack this i instrukcję dalszego postępowania...

http://wklej.org/id/2a2fdd1aae


(jessica) #2

Na czerwono zaznaczone obiekty infekcji “VUNDO”.

Na początek daj log z ComboFix.

Opis użycia ComboFix jest na dole tej strony z linku.

EDIT:

Log wklej na http://wklej.org/, a w poście daj tylko link.(czyli skopiuj adres z paska adresów)!

jessi


(Agatonster) #3

wow44 ,

W związku ze zmianą, jaka obowiązuje przy wklejaniu logów w tym dziale, przeczytaj i zastosuj się do Tematu


(Wow44) #4

nie jestem pewien czy wszystko zrobilem dobrze i czy ten log to jest ten

http://wklej.org/id/7b5e9866a9


(jessica) #5

Nie, to nie jest log z ComboFixa.

jessi


(huber2t) #6

Combofix


(Wow44) #7

przepraszam ale mialem male problemy z combofixem nie moglem go zainstalowac

mam log http://wklej.org/id/c07dfd2f26

tylko ze jest problem iz nadal nie mam zainstalowanego ComboFixa ja juz sam nie wiem co jest grane na dodatek w trakcie instalowania ComboFixa wyskakiwaly mi okna MKS


(huber2t) #8

Spróbuj tak podczas pobierania zapisujemy nie pod nazwą ComboFix.exe tylko z kreską pomiędzy:

Combo-Fix.exe


(jessica) #9

Nie rozumiem - o co właściwie chidzi?

Przecież dałeś już log z ComboFixa.

Ale na wszelki wypadek podam Ci dwa sposoby usuwania.

I sposób:

Wklej do Notatnika :

File::

C:\Windows\System32\qbmnshyz.exe 

C:\Windows\ogxtsepr.dll


Folder::

C:\ProgramData\uruhkbud 


Registry::

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 

"ctuphfdn"=-

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run] 

"rP1QEF1JPr"=-

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7cbcd8a8-0278-11dd-96bd-001e37068c3a}]

>>Plik>>Zapisz jako… >>> CFScript Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe** -->**CFScript3.gif


(Wow44) #10

wydaje mi sie ze wszystko zrobilem ok tu jest log http://www.wklej.org/id/9c1bf782e9

teraz zrestaruje kompa i zobacze czy bedzie lepiej


(jessica) #11

Nie wykonało się, więc:

Do Notatnika wklej:

Windows Registry Editor Version 5.00


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 

"dvxjssyy"=-

"qedanouu"=-

"gngpuvqd"=-

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run] 

"rP1QEF1JPr"=

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 

"ctuphfdn"=-

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run] 

"rP1QEF1JPr"=-

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7cbcd8a8-0278-11dd-96bd-001e37068c3a}]

Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na: “Wszystkie pliki” >>> Zapisz jako FIX.REG >>> plik uruchom (dwuklik i OK- zgódź się na dodanie do Rejestru). Potem: Ściągnij -->Avenger. wklej do niego ten tekst:

Files to delete:


C:\Windows\System32\qbmnshyz.exe 

C:\Windows\ogxtsepr.dll


Folders to delete:


C:\ProgramData\uruhkbud 

C:\ProgramData\gngpuvqd 

C:\ProgramData\qedanouu 

C:\ProgramData\dvxjssyy

Kliknij w “Execute” i zatwierdź restart komputeraa.

Zrestartuj komputer. Raport z Avengera znajduje się w C:\avenger.txt.

Daj ten raport i nowy log z ComboFixa, bo widzę, że cały czas szkodników przybywa.

jessi


(Wow44) #12

to jest log z avangera http://wklej.org/id/166102e985

i z ComboFixa http://wklej.org/id/ba3aeebb7e


(jessica) #13

W międzyczasie “wpakował” się następny śmieć, więc:

Do Notatnika wklej:

Windows Registry Editor Version 5.00


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 

"xovxcrrj"=-

Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na: “Wszystkie pliki” >>> Zapisz jako FIX.REG >>> plik uruchom (dwuklik i OK- zgódź się na dodanie do Rejestru). Potem: >>Avenger: wklej do niego ten tekst:

Folders to delete:


C:\ProgramData\xovxcrrj

Kliknij w “Execute” i zatwierdź restart komputeraa.

Zrestartuj komputer. Raport z Avengera znajduje się w C:\avenger.txt.

Daj raport i nowy log.

jessi


(Wow44) #14

http://wklej.org/id/b4e4424ac6 i http://wklej.org/id/7257a15bf2 dzieki wielkie za pomoc


(jessica) #15

Sprawdź go na --> http://virusscan.jotti.org/

albo na http://www.virustotal.com/en/indexf.html.

Nic już więcej podejrzanego nie ma.

jessi


(Wow44) #16

niestety viste mam w jezyku angielskim i nie wszystko rozumiem i nie daalem rady odblokowac i zanlez tego pliku

dzieki wielkie za pomoc bo sam napewno nie dał bym rady napewno jak moge Ci sie odwdzięczyć??? rafał


(Rychu N) #17

Witam!

Aby nie zakładać nowego tematu napisze tutaj

U mnie antywirus BitDefender wykrył wirusa i żadne programiki nie pomagają,chodzi o wirus Vundo.

Proszę o pomoc w wywaleniu tego badziewia :cry: .

Tutaj daje log z HijackThis http://wklej.org/id/00f72f1635


(Gutek) #18

To źle zrobiłeś, czytaj regulamin. Temat wydzielam

C:\Documents and Settings\All Users\Dane aplikacji\ybupqvqt\cvotspen.exe	

O2 - BHO: (no name) - {11B5709F-B6C3-4A8D-AAB9-C2001A537722} - C:\WINDOWS\system32\ddcDwVpo.dll

O2 - BHO: (no name) - {3CAB59B4-55A3-4737-9FD5-B93C6430BF75} - (no file)

O4 - HKCU\..\Run: [znycruhc] C:\WINDOWS\system32\alkvupmv.exe

usuń wpisy HJT

Daj log z ComboFix


(Rychu N) #19

ComboFix nie działa daje loga z Deckard’s System Scanner http://wklej.org/id/eee64ab700


(Leon$) #20

Wyłącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

Wylecz pendriva lub kartę pamięci http://www.softpedia.com/get/Security/S … Tool.shtml lub format

Otwórz notatnik i wklej

zapisz jako plik.reg >> wszystkie pliki >> scal z rejestrem >> restart

b57f17008275c957m.jpg

powstanie plik o takiej ikonie

062aec4c9b51c033m.jpg

w który dwa razy klikniesz potwierdzisz chęć dodania do rejestru potem restart (choć nie musisz bo przy drugim programie jest to wymagane)

Pobierz i uruchom narzędzie The Avenger Zaznaczasz tekst podany do usunięcia na forum

kopiuj klikasz na Paste Script from Clipboard Execute Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

Potem spróbuj pobrać Combofix z innego źródła http://www.searchengines.pl/index.php?s … ntry395642 przeskanuj daj log

:slight_smile: