Trojan Win32/PSW.OnLineGamesNMY logi ComboFIX

Dla specjalistów Bezpieczeństwo
#1

Witam wszystkich.

Mam problem z trojanem. NOD32 i Avast nie dają sobie rady. NOD jedynie ciągle pokazuje pliki Autorun.inf który to jest zainfekowany Win32/PSW.OnLineGamesNMY. Problem jak zawsze pojawił się po podłączeniu pena do komputera.

Poniżej podaję linka do loga z programu ComboFix.

http://www.wklej.org/id/55666/

Będę bardzo wdzięczny za pomoc :slight_smile:

#2

Masz wirusa “Conficker”!.!

  1. ściągnij na pulpit łatkę Microsoftu “KB958644/MS08-067” i uruchom ją dwuklikiem:

czyli wykonaj punkt “3” z tego linku: http://forum.hotfix.pl/viewtopic.php?f=42&t=415

  1. Wklej do Notatnika :

    File::

    c:\windows\system32\htepbok.dll

    Driver::

    libgmm

    Registry::

    [-HKEY_LOCAL_MACHINE\System\ControlSet004\Services\libgmm]

    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C]

    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]

    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]

    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{26698fc8-bbcd-11dd-b89e-f8231cd6467e}]

    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{59380738-ddae-11dd-b905-001a4b5f0034}]

    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{e1669dc6-ceaa-11dd-b8e0-001a737b9756}]

    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{ea23a947-b98b-11dd-b888-9a0ff0e74cdf}]

>>Plik>>Zapisz jako… >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

–>cfscript10gm1.gif

Ma się rozpocząć usuwanie. (i powstanie log).

Daj ten log, który powstanie w trakcie usuwania.

jessi

.

#3

Oto log który powstał po wyżej wymienionych czynnościach:

http://www.wklej.org/id/55799/

#4

  1. Do Notatnika wklej:

    Windows Registry Editor Version 5.00

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

    “cdoosoft”=-

Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG >>>

plik uruchom (dwuklik i OK).

  1. Usuń ręcznie folder C:** Qoobox**.

  2. Usuń kopie szkodników z folderu “System Volume Information” poprzez chwilowe wyłączenie “Przywracania Systemu”:

  1. Przejrzyj dolną część tego tematu:

>http://www.searchengines.pl/Infekcje-z-pen…ych-t94761.html

jessi

#5

Wielkie dzięki za pomoc :slight_smile: Na obecną chwilkę wszystko chodzi normalnie :wink:

Mam jeszcze takie pytanko, jak mam 2 konto na tym komputerze to także trzeba przeprowadzić podobne działania czy lepiej je usunąć?

#6

Po prostu sprawdź na tym drugim koncie, czy w logu ComboFuxa nie pojawią się te same obiekty infekcji.

jessi