virus.win32.VB.bu w pliku explorer.exe


(Ishikura) #1

Witam

Założyłem niedawno temat z prośbą o uporanie sie z wirusem psw.sboy.a, który pojawił sie na moim komputerze w pliku C:\windows\system32\explorer.exe ----> viewtopic.php?f=16&t=217052

Mój problem chyba jeszcze do końca nie został rozwiązany ale wszystko jest już na dobre drodze.

Międzyczasie okazało się, że jakiś wirus zadomowił się także na komputerze mojej dziewczyny. Kaspersky wykrywa go jako virus.win32.VB.bu i co ciekawe, podobnie do mojego wirusa zagnieździł się w C:\windows\system32\explorer.exe

Czy możliwe by był to ten sam wirus? Ostatnio za pomocą pendrive'a przenosiłem dane z jednego komputera na drugi więc komputery mogły się od siebie zarazić. Skanowałem co prawda pen'a ale kaspersky nic nie znalazł.

Niezależnie od tego skąd wziął się ten wirus, proszę o pomoc w jego usunięciu i ewentualnei jakichś innych sposobach przeskanowania pendrive'a

log z hijack this:

http://wklej.org/id/14e0c325e1

z góry dzięki za pomoc

pozdr


(Gutek) #2
F2 - REG:system.ini: UserInit=userinit.exe,EXPLORER.EXE

O4 - HKCU\..\Run: [wsctf.exe] wsctf.exe		

O4 - HKCU\..\Run: [EXPLORER.EXE] EXPLORER.EXE

usuń wpisy HJT

Daj log z ComboFix


(Ishikura) #3

fix checked zrobiony

log z combo fix

http://wklej.org/id/2bb5a20c88

pozdr


(Leon$) #4

Otwórz notatnik i wklej

File::

C:\Autorun.inf

C:\WINDOWS\system32\EXPLORER.EXE

C:\WINDOWS\system32\wsctf.exe

F:\EXPLORER.EXE


Registry::

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Cmaudio"=-

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Userinit"=-

"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

zapisz jako CFScript (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri ... iemoes.gif

na pytanie "1 or 2" - to wpisz 1 i naciśnij ENTER

Powinno rozpocząć się usuwanie

Potem log z usuwania

:slight_smile:


(Ishikura) #5

zrobione

log z combo

http://wklej.org/id/85a63ad600


(Leon$) #6

W logu nic niepokojącego nie widzę

usuń ręcznie folder C: \Qoobox

:slight_smile:


(Ishikura) #7

dzięki wielkie!

wygląda na to, że wszystko jest w porządku