Trojan- Spy.win32@mx


(Achrabanski) #1

Witam mam problem! Nie moge usunąć żadnym programem tego wirusa. Nie mam zbyt dużego pojęcia w tych sprawach więc proszę o pomoc.

Trochę poczytałem forum i zrobiłem loga z hijackthis.


(jessica) #2

Ściągnij -->ComboFix.

Wklej do Notatnika :

File::

C:\DOCUME~1\Robak\USTAWI~1\Temp\qrjatydi.exe

C:\WINNT\system32\gqkyyzic.dll

C:\WINNT\system32\anxaaicw.dll

C:\Program Files\Common Files\BestsellerAntivirus\bm.exe

C:\Program Files\BestsellerAntivirus\rtasks.exe


Folder::

C:\Program Files\Common Files\BestsellerAntivirus

C:\Program Files\BestsellerAntivirus

>>Plik>>Zapisz jako... >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku -->88953CFScript-createdbyMiekiemoes.gif

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: **** Qoobox.

Potem:

Te w/w wpisy sfiksuj w Hijacku:

Hijackscan(Do a system scan only)zaznacz je Fix checked.

Daj tu log z Hijacka i log z ComboFixa (ten z usuwania).

Log wklej na http://wklej.org/, a w poście daj tylko link.(czyli skopiuj adres z paska adresów) .

jessi


(Achrabanski) #3

To jest link do loga z combofix:

http://wklej.org/id/c7cf3f380c

A to log z Hijacka:

http://wklej.org/id/e2e460270b

Chyba wszystko poszło o.k. ale lepiej sprawdź :slight_smile:


(Gutek) #4

Użyj SmitFraudFix wybierz opcji nr 2 , oczywiście w trybie awaryjnym i po tym nowy log z Combofix


(jessica) #5

Ale ponieważ SmitfraudFix nie usuwa infekcji "VUNDO" (którą widać u Ciebie), to oprócz SmitfraudFixa zaleconego przez @Gutka2222 , zrób jeszcze to:

Wklej do Notatnika :

File::

C:\WINNT\system32\xprhubyr.dll 

C:\WINNT\system32\winhoq32.dll


Registry::

[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winhoq32]

[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\gqkyyzic]

[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\cbxwwtu]

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1DCF638D-3BC9-447F-80EE-0E6A93486646}]

>>Plik>>Zapisz jako... >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

– podobnie jak na tym obrazku -->88953CFScript-createdbyMiekiemoes.gif

Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: **** Qoobox.

I dopiero dajesz ten log z ComboFixa. (raport SmitFraudFixa oczywiście też).

jessi


(Achrabanski) #6

Przepraszam za zwłokę ale praca, praca i jeszcze raz praca.

Oto logi z programów:

Combofix:

http://wklej.org/id/19d5c83cb6

SmitFraudFix:

http://wklej.org/id/ed3d619352


(jessica) #7

Wg mnie - jest OK! :slight_smile:

jessi


(Achrabanski) #8

To super :mrgreen:

Wielkie dzięki z apomoc. Pozdrawiam