Win32:OnLineGames


(Adam Kocemba) #1

Witam serdecznie.

jak nie trudno zgadnac mam problem z powracajacymi trojanami typu Win32:OnLineGames-BBH, itp o rozsrzezeniu .gif.na początku był jeden,teraz juz w Avascie wyskoczyl mi numer 16,wiec rozmnazaja sie jak myszki:)

probowalem probowac sposobow ktore byly tutaj,jak i na innych stronach ale nie pomoglo.juz wykaczam dzwiek zeby nie slyszec komunikatow:)

moze indywidualne podejscie cos pomoze,jak nie to pozostaje formatka,bo inaczej nabawie sie marskosci watroby:)

oto scan z hijackthis

http://wklej.org/id/90f4d73372

niech wam Bozia w dzieciach wynagrodzi za pomoc!!:slight_smile:


(huber2t) #2

fix w hijackthis

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\WINDOWS\system32\oswxcttb.dll

C:\WINDOWS\system32\zywmfime.dll

C:\WINDOWS\system32\yxfhcjpg.dll

C:\WINDOWS\AppPatch\Jview.dll

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

02f8f1e3c410a4cc.gif

Rozpocznie się usuwanie i powstanie log, daj ten log na forum.

Logi dajesz na http://www.wklej.org


(Adam Kocemba) #3

http://www.wklej.org/id/4c105829d9


(huber2t) #4

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\WINDOWS\system32\lesxachu.sys

C:\WINDOWS\system32\pzwmaime.sys

C:\WINDOWS\system32\azwmaime.exe 

C:\WINDOWS\system32\bcsxachu.sys 

C:\WINDOWS\system32\fxwmbime.sys 

C:\WINDOWS\system32\ghwxattb.exe 

C:\WINDOWS\system32\mnmhfsrv.dll 

C:\WINDOWS\system32\newxbttb.sys 

C:\WINDOWS\system32\sfsxachu.exe 

C:\WINDOWS\system32\swsxachu.dll 

C:\WINDOWS\system32\xzfhbjpg.sys 

C:\WINDOWS\system32\zxfhajpg.exe


Registry::

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{13FD5987-65D2-C58D-D87E-987451F12531}] 

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6C8D1401-A58D-A81C-CD24-A5915C4517C6}] 

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]

"{13FD5987-65D2-C58D-D87E-987451F12531}"=-

"{6C8D1401-A58D-A81C-CD24-A5915C4517C6}"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]

"JavaView"=-

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

02f8f1e3c410a4cc.gif

Rozpocznie się usuwanie i powstanie log, daj ten log na forum.

Logi dajesz na http://www.wklej.org


(Adam Kocemba) #5

http://www.wklej.org/id/c78a7df9b2


(huber2t) #6

Log wyglada na czysty

Pobierz OTMoveIt i usuń z systemu pozostałości po narzędziach czyszczących.

Przeczyść komputer Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum

Włącz przywracanie systemu.


(Leon$) #7

ten log jest czysty???

adamckoc

Otwórz notatnik i wklej

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri ... iemoes.gif

Powinno rozpocząć się usuwanie

Potem log z usuwania Combofix

:slight_smile:


(Adam Kocemba) #8

Chyba jest ok,czas pokaze!Bardzo,bardzo dziekuje! !!

pozdrawiam


(Leon$) #9

(Adam Kocemba) #10

tak,tak.własnie to robię.

W dniu 31.05.2008 , o godzinie 13:48 został dopisany post przez adamkoc

http://www.wklej.org/id/4ca717e281

W dniu 31.05.2008 , o godzinie 13:50 został dopisany post przez adamkoc

jeszcze mi wysakuja czyli nie jest dobrze!!kuzwa mac!!:slight_smile: i tak do zaj...... :slight_smile:


(huber2t) #11

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\WINDOWS\system32\yxfhcjpg.dll


Folder::

C:\WINDOWS\AppPatch


Registry::

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{83BA45AF-FAAA-CDDD-BEEE-BCDE1234AB38}]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks] 

"{83BA45AF-FAAA-CDDD-BEEE-BCDE1234AB38}"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] 

"JavaView"=-

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

02f8f1e3c410a4cc.gif

Rozpocznie się usuwanie i powstanie log, daj ten log na forum.

Logi dajesz na http://www.wklej.org


(Adam Kocemba) #12

nie wiem czemu nie wszedl log?musialem spadac z pracy,ale wrzucilem go jeszcze zanim wyszedlem.no nic,do poniedzialku musi poczekac.poprosze zerkac w poniedzialek na moj post,napewno sie odezwe.

pozdrawiam

W dniu 31.05.2008 , o godzinie 18:03 został dopisany post przez adamkoc

co za swait!!teraz na domowym komputerze zaczelo mi sie pokazywac wiadomosc o wirusie!!kuzwa,skad on sie tu wzial?jako ze do poniedzialku troche czasu wiec moze pomozecie mi teraz ??:):slight_smile:

oto log z HJ

http://www.wklej.org/id/59bb4581d3

dziekuje z gory!


(huber2t) #13

fix w hijackthis

Pokaz log z combofix


(Adam Kocemba) #14

http://www.wklej.org/id/7c7a81286f


(huber2t) #15

W logu czysto


(Adam Kocemba) #16

witam.prosze jeszcze raz o sprawdzenie,bo znow mam powtorke z rozrywki.na poczatku wyskoczyly 2,a teraz masa!!jak kiedys.

hj http://wklej.org/id/e9a2658be6

Cf http://www.wklej.org/id/6f3c9776a6

dziekuje z gory!


(Leon$) #17

Otwórz notatnik i wklej

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri ... iemoes.gif

Powinno rozpocząć się usuwanie

Potem log z usuwania Combofix

:slight_smile:


(Gutek) #18

Jak zrobisz to o co jesteś proszony to wtedy napisz. Czekamy na log


(Adam Kocemba) #19

kurcze gdzie jest moja wiadomosc!!??jeszcze jakis czas temu byla?co jest!!

dziekuje bardzo za pomoc.jutro jak tylko zajade do pracy to zaraz to zrobie i wrzuce log-a.

pozdrawiam i dziekuje bardzo!!

W dniu 03.06.2008 , o godzinie 7:22 został dopisany post przez adamkoc

oto log

http://www.wklej.org/id/1393ff8c20

wyskakuja mi jeszcze takie;

C:\WINDOWS\system32\hhrdxd.dll

C:\WINDOWS\system32\zdesfx.dll

C:\WINDOWS\system32\jhrcar.dll

C:\WINDOWS\system32\wyrsdj.dll

C:\WINDOWS\TEMP\22.gif[FSG]

C:\WINDOWS\TEMP\25.gif[FSG]

C:\WINDOWS\TEMP\26.gif[FSG]

C:\WINDOWS\TEMP\27.gif[uPX]

C:\WINDOWS\TEMP\28.gif[FSG]

C:\WINDOWS\TEMP\10.gif[FSG]

C:\WINDOWS\TEMP\13.gif

C:\WINDOWS\TEMP\down.gif

jak widzicie rozmnazaja sie jak kroliki!! :slight_smile: :slight_smile:


(Leon$) #20

Otwórz notatnik i wklej

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri ... iemoes.gif

Powinno rozpocząć się usuwanie

Potem log z usuwania Combofix

Wyłącz I włącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

przeskanuj obszar Mój komputer http://www.kaspersky.pl/virusscanner.html pokaż raport stronę uruchomić przez IE

:slight_smile: