Win32/Adware/Wirtumonde, zamulony komp itd


(Drinkman) #1

Witam, bardzo Proszę o sprawdzenie loga.

http://www.wklej.org/id/11295/


(Kambor4) #2

1)

Zamknij robaczywe porty przy pomocy --> Windows Worms Doors Cleaner (niżej na stronie linku)..

Ustaw znaczki na zielono, Netbios może być na żółto.

Po użyciu narzędzia wymagany jest restart.

2)

Wklej do Notatnika :

File::

C:\WINDOWS\system32\sbinmlkz.exe

C:\WINDOWS\ngwstxfd.dll

C:\WINDOWS\lomxeqsn.exe

C:\WINDOWS\system32\drivers\512a31ab.sys

C:\Documents and Settings\Przemek\iuns.exe

C:\WINDOWS\system32\drivers\123b5bbc.sys

C:\WINDOWS\system32\wini104552664.exe

C:\Documents and Settings\Przemek\delself.bat

C:\WINDOWS\system32\khfDVMFU.dll

C:\WINDOWS\system32\cbXNHWMD.dll

C:\WINDOWS\system32\drivers\3xhybrid.sys.bak

C:\WINDOWS\system32\drivers\amusbprt.sys.bak

C:\WINDOWS\system32\drivers\af290144.sys

c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\win32.exe

C:\WINDOWS\system32\Drivers\ati4dixx.sys

C:\WINDOWS\system32\winhlp.exe


Folder::

C:\Documents and Settings\All Users\Dane aplikacji\twlwrqzq

c:\RECYCLER


Driver::

ati0gkxx

ati0glxx

ati0rvxx

ati1ejxx

ati1wcxx

ati2inxx

ati2xdxx

ati4dixx

ati8kpxx

123b5bbc


Registry::

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{20d23232-aed6-490d-a3c2-f08ba539a1fe}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"user16"=-

"SmartDsc"=-

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

"{20D23232-AED6-490D-A3C2-F08BA539A1FE}"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]

"ngwstxfd"=-

[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\cbxnhwmd]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati0gkxx.sys]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati0glxx.sys]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati0rvxx.sys]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati1ejxx.sys]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati1wcxx.sys]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati2inxx.sys]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati2xdxx.sys]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati4dixx.sys]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati8kpxx.sys]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a3b0f627-3011-11dd-af29-0013d44fc895}]

[-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{28abc5c0-4fcb-11cf-aax5-81cx1c635612}]

>>Plik>>Zapisz jako... >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

-->95706CFScript-8a-4.gif

Ma się rozpocząć usuwanie. (i powstanie log).Daj ten log, który powstanie w trakcie usuwania.

====================

K.


(Drinkman) #3

Zrobiłem wszystko według powyższych instrukcji, oto kolejny log:

http://www.wklej.org/id/11308/

Niestety zanim zdążyłem wykonać powyższe instrukcje wyskoczył mi komunikat na zmienonej tapecie że mam wirusy na kompie, m.in: Win32/Adware>Wirtumonde i jeszcze jakiś...

Od pewnego czasu nie aktualizowały mi sie bazy wirusów w Nod32, gdy robiłem to recznie, pisało że baza jest aktualna, chociaz jestem 100 procent pewny że nie była ponieważ ostnia aktualizacja była z początku wrzesnia. Nod wykrywał mi wirusy ale niestety nie mógł nic z nimi zrobić, wyskakiwały mi także komunikaty o próbie połaczenia z jakimis stronami w których co chwila musiałem klikac rozłącz. Wkurzało mnie to więc usunąłem Noda i zainstalowałem Kaspersky, ale teraz niestety nie moge w nim włączyc ochrony, ani go aktualizować pomimo tego że klucz mam aktualny.


(Leon$) #4

pobierz Malwarebytes' Anti-Malware http://cybertrash.pl/Tata/MBAM/Malwarebytes_%20Anti-Malware.html przeskanuj daj log

:slight_smile:


(Asterisk) #5

Proszę zastosować się do tego Tematu i edytować własnego posta

w celu zmiany jego tytułu na konkretny oraz opisania problemu .

W przeciwnym razie topic wyląduje w Śmietniku.


(Drinkman) #6

Oto log z programu Malwarebytes' Anti-Malware:

http://www.wklej.org/id/11365/


(Leon$) #7

Pobierz i uruchom narzędzie The Avenger Zaznaczasz tekst podany do usunięcia na forum

kopiuj >> klikasz na Paste Script from Clipboard >> Execute >> Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

Otwórz notatnik i wklej

zapisz jako plik.reg >> wszystkie pliki >> scal z rejestrem >> restart

b57f17008275c957m.jpg

powstanie plik o takiej ikonie

062aec4c9b51c033m.jpg

w który dwa razy klikniesz potwierdzisz chęć dodania do rejestru potem restart

potem pokaż nowy log Malware

:slight_smile:


(Drinkman) #8

Log z programu The Avenger:

http://www.wklej.org/id/11446/


(Drinkman) #9

Nowy log Malware:

http://www.wklej.org/id/11466/


(Spandau) #10

Pobierz The Avenger zaznacz poniższy tekst

kopiujesz - klikasz na Paste Script from Clipboard - Execute - Potwierdzasz i zgadzasz się na restart klikając OK.

Po wykonaniu skasuj z dysku plik: C:\Avenger\backup.zip i wklej raport na forum C:\avenger.txt

Instrukcja obsługi programu http://cybertrash.pl/images/tata/Avenger/Avenger.html


(Kambor4) #11

Usuwasz ręcznie.

================

K.


(Drinkman) #12

Log z The Avenger:

http://www.wklej.org/id/11499/

Wszystko wróciło do normy, komputer gra i buczy :smiley:

Szacuneczek, thanks for the help !!