Trojan downloader.xs

wow44 · 16 Kwiecień 2008 10:32

Pierwszy raz na forum,więc przepraszam za ewentualne “wpadki”…

Czesc jesli ktos moze mi pomoc to bede bardzo wdzięczny.

Dwa dni temu zlapalem trojan downloader.xs odrazu przeskanowałem komputer avastem ktory wykazal pliki zarażone ktore usunąłem, ale co 20 30 minut wyswietla mi sie iz moj kompuuter jest zainfekowany i chce mnie polaczyc z jakas strona internetowa na ktorej znajduje sie do kupienia dany program, pozatym jak uruchomie program internet explorer to potrafi sie otworzyc nawt 30 okien, nie mam pojecia co jest grane z mojm kompem, zaczoł tez sie czesciej zawieszac , do dam ze mam viste.

Proszę o sprawdzenie loga z hijack this i instrukcję dalszego postępowania…

http://wklej.org/id/2a2fdd1aae

jessica · 16 Kwiecień 2008 11:17

O2 - BHO: My Global Search Bar BHO - {37B85A21-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet\tools\BitCometBHO_1.1.11.30.dll (file missing) O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O3 - Toolbar: My Global Search Bar - {37B85A29-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL O4 - HKLM…\Run: [MSServer] rundll32.exe C:\Windows\system32\byXrPGaw.dll,#1 O4 - HKCU…\Run: [ctuphfdn] C:\Windows\system32\qbmnshyz.exe O4 - HKCU…\Run: [cmds] rundll32.exe C:\Users\RAFA~1\AppData\Local\Temp\efcCrssT.dll,c O4 - HKCU…\Run: [MSServer] rundll32.exe C:\Users\RAFA~1\AppData\Local\Temp\khfcCSMC.dll,#1 O4 - HKCU…\Run: [3b0d2915] rundll32.exe “C:\Users\RAFA~1\AppData\Local\Temp\nqkmjtyc.dll”,b O4 - HKLM…\Policies\Explorer\Run: [rP1QEF1JPr] C:\ProgramData\uruhkbud\qxaxwhyx.exe

Na czerwono zaznaczone obiekty infekcji “VUNDO”.

Na początek daj log z ComboFix.

Opis użycia ComboFix jest na dole tej strony z linku.

EDIT:

Log wklej na http://wklej.org/, a w poście daj tylko link.(czyli skopiuj adres z paska adresów)!

jessi

Agaton · 16 Kwiecień 2008 11:36

wow44 ,

W związku ze zmianą, jaka obowiązuje przy wklejaniu logów w tym dziale, przeczytaj i zastosuj się do Tematu

wow44 · 16 Kwiecień 2008 11:49

nie jestem pewien czy wszystko zrobilem dobrze i czy ten log to jest ten

http://wklej.org/id/7b5e9866a9

jessica · 16 Kwiecień 2008 12:04

Nie, to nie jest log z ComboFixa.

jessi

huber2t · 16 Kwiecień 2008 13:01

Combofix

wow44 · 16 Kwiecień 2008 13:02

przepraszam ale mialem male problemy z combofixem nie moglem go zainstalowac

mam log http://wklej.org/id/c07dfd2f26

tylko ze jest problem iz nadal nie mam zainstalowanego ComboFixa ja juz sam nie wiem co jest grane na dodatek w trakcie instalowania ComboFixa wyskakiwaly mi okna MKS

huber2t · 16 Kwiecień 2008 14:30

Spróbuj tak podczas pobierania zapisujemy nie pod nazwą ComboFix.exe tylko z kreską pomiędzy:

Combo-Fix.exe

jessica · 16 Kwiecień 2008 16:50

Nie rozumiem - o co właściwie chidzi?

Przecież dałeś już log z ComboFixa.

Ale na wszelki wypadek podam Ci dwa sposoby usuwania.

I sposób:

Wklej do Notatnika :

File::

C:\Windows\System32\qbmnshyz.exe 

C:\Windows\ogxtsepr.dll


Folder::

C:\ProgramData\uruhkbud 


Registry::

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 

"ctuphfdn"=-

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run] 

"rP1QEF1JPr"=-

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7cbcd8a8-0278-11dd-96bd-001e37068c3a}]

>>Plik>>Zapisz jako… >>> CFScript Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe** -->**

wow44 · 16 Kwiecień 2008 17:26

wydaje mi sie ze wszystko zrobilem ok tu jest log http://www.wklej.org/id/9c1bf782e9

teraz zrestaruje kompa i zobacze czy bedzie lepiej

jessica · 16 Kwiecień 2008 17:42

Nie wykonało się, więc:

Do Notatnika wklej:

Windows Registry Editor Version 5.00


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 

"dvxjssyy"=-

"qedanouu"=-

"gngpuvqd"=-

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run] 

"rP1QEF1JPr"=

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 

"ctuphfdn"=-

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run] 

"rP1QEF1JPr"=-

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7cbcd8a8-0278-11dd-96bd-001e37068c3a}]

Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na: “Wszystkie pliki” >>> Zapisz jako FIX.REG >>> plik uruchom (dwuklik i OK- zgódź się na dodanie do Rejestru). Potem: Ściągnij -->Avenger. wklej do niego ten tekst:

Files to delete:


C:\Windows\System32\qbmnshyz.exe 

C:\Windows\ogxtsepr.dll


Folders to delete:


C:\ProgramData\uruhkbud 

C:\ProgramData\gngpuvqd 

C:\ProgramData\qedanouu 

C:\ProgramData\dvxjssyy

Kliknij w “Execute” i zatwierdź restart komputeraa.

Zrestartuj komputer. Raport z Avengera znajduje się w C:\avenger.txt.

Daj ten raport i nowy log z ComboFixa, bo widzę, że cały czas szkodników przybywa.

jessi

wow44 · 16 Kwiecień 2008 18:09

to jest log z avangera http://wklej.org/id/166102e985

i z ComboFixa http://wklej.org/id/ba3aeebb7e

jessica · 16 Kwiecień 2008 18:16

W międzyczasie “wpakował” się następny śmieć, więc:

Do Notatnika wklej:

Windows Registry Editor Version 5.00


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 

"xovxcrrj"=-

Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na: “Wszystkie pliki” >>> Zapisz jako FIX.REG >>> plik uruchom (dwuklik i OK- zgódź się na dodanie do Rejestru). Potem: >>Avenger: wklej do niego ten tekst:

Folders to delete:


C:\ProgramData\xovxcrrj

Kliknij w “Execute” i zatwierdź restart komputeraa.

Zrestartuj komputer. Raport z Avengera znajduje się w C:\avenger.txt.

Daj raport i nowy log.

jessi

wow44 · 16 Kwiecień 2008 19:02

http://wklej.org/id/b4e4424ac6 i http://wklej.org/id/7257a15bf2 dzieki wielkie za pomoc

jessica · 16 Kwiecień 2008 19:16

Sprawdź go na --> http://virusscan.jotti.org/

albo na http://www.virustotal.com/en/indexf.html.

Nic już więcej podejrzanego nie ma.

jessi

wow44 · 16 Kwiecień 2008 19:36

niestety viste mam w jezyku angielskim i nie wszystko rozumiem i nie daalem rady odblokowac i zanlez tego pliku

dzieki wielkie za pomoc bo sam napewno nie dał bym rady napewno jak moge Ci sie odwdzięczyć??? rafał

RICHARDO1 · 16 Kwiecień 2008 20:32

Witam!

Aby nie zakładać nowego tematu napisze tutaj

U mnie antywirus BitDefender wykrył wirusa i żadne programiki nie pomagają,chodzi o wirus Vundo.

Proszę o pomoc w wywaleniu tego badziewia .

Tutaj daje log z HijackThis http://wklej.org/id/00f72f1635

Gutek · 16 Kwiecień 2008 23:00

To źle zrobiłeś, czytaj regulamin. Temat wydzielam

C:\Documents and Settings\All Users\Dane aplikacji\ybupqvqt\cvotspen.exe	

O2 - BHO: (no name) - {11B5709F-B6C3-4A8D-AAB9-C2001A537722} - C:\WINDOWS\system32\ddcDwVpo.dll

O2 - BHO: (no name) - {3CAB59B4-55A3-4737-9FD5-B93C6430BF75} - (no file)

O4 - HKCU\..\Run: [znycruhc] C:\WINDOWS\system32\alkvupmv.exe

usuń wpisy HJT

Daj log z ComboFix

RICHARDO1 · 17 Kwiecień 2008 19:17

ComboFix nie działa daje loga z Deckard’s System Scanner http://wklej.org/id/eee64ab700

Leon1 · 17 Kwiecień 2008 19:45

Wyłącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

Wylecz pendriva lub kartę pamięci http://www.softpedia.com/get/Security/S … Tool.shtml lub format

Otwórz notatnik i wklej

zapisz jako plik.reg >> wszystkie pliki >> scal z rejestrem >> restart

powstanie plik o takiej ikonie

w który dwa razy klikniesz potwierdzisz chęć dodania do rejestru potem restart (choć nie musisz bo przy drugim programie jest to wymagane)

Pobierz i uruchom narzędzie The Avenger Zaznaczasz tekst podany do usunięcia na forum

kopiuj klikasz na Paste Script from Clipboard Execute Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

Potem spróbuj pobrać Combofix z innego źródła http://www.searchengines.pl/index.php?s … ntry395642 przeskanuj daj log