Win32.Trojan.VB

jarhal (Jarhal) 2009-01-02 10:19:13 UTC #1

Witam mam problem z trojanem Win32.Trojan.VB. Objawy tego trojana występują zablokowaniem niektórych programów antywirusowych poprostu nie mogę ich odpalić zabija proces;/ Jedynym programem jakim udalo mi się zlokalizować nazwę trojana to Ad-Aware 2008 ale niestesty nie moge nim go skasować. W konfiguracji systemu wylączylem dwa procesy ctfmon --> zlokalizowany C:\Windows\system32\ctfmon.exe oraz ctfmon C:\Documents and Stettings\Yaro\Menu Start\Programy\Autostart\ctfmon.exe Startup. Po ich wyłączeniu nadal nie mogę odpalić niektórych programów antivirusowych nie wiem co jest grane. Prosze o pomoc pozdrawiam Jarhal

Poniżej wrzucę log z HiJackThis

http://www.wklejto.pl/21071

spandaupol (Spandau) 2009-01-02 10:41:32 UTC #2

Pobierz Combofix przeskanuj system i daj log na forum.

jarhal (Jarhal) 2009-01-02 12:09:32 UTC #3

http://www.wklej.org/hash/7c7ae57ea8/ log

huber2t (Huber2t) 2009-01-02 12:11:45 UTC #4

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

Folder::

C:\Recycled


Driver::

WMI_MFC_TPSHOKER_80


Registry::

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{08016b04-8d5f-11dd-87b5-806d6172696f}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{08016b05-8d5f-11dd-87b5-806d6172696f}]

Plik -> zapisz jako -> CFScript.txt.

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->

Rozpocznie się usuwanie i powstanie log, który dasz na forum.

Logi dajesz na http://wklej.eu lub na http://wklej.org a w poście dajesz tylko link

jarhal (Jarhal) 2009-01-02 12:27:31 UTC #5

log ---> http://www.wklej.org/hash/07daf4664a/

spandaupol (Spandau) 2009-01-02 12:32:24 UTC #6

Chyba masz odmianę Sality WMI_MFC_TPSHOKER_80 który infekuje wszystkie pliki exe więcej tutaj http://www.infoprof.com.pl/wirusy.php?jmp=Sality.ae

Wyłącz przywracanie systemu na wszystkich dyskach. Instrukcja

Pobierz Kaspersky Virus Removal Tool http://dobreprogramy.pl/index.php?dz=2& ... +7.0.0.290 przeskanuj obszar Mój komputer usuń to co znajdzie. Skanujesz do skutku aż nic nie wykryje

Instrukcja obsługi

Po tym daj nowy log z Combofixa

jarhal (Jarhal) 2009-01-02 13:53:09 UTC #7

Kaspersky w tym momencie pousuwal mi pliki .exe i nie jestem w stanie uruchomić nawet przeglądarki bede teraz pisal z drugiego kompa. Było 26 zainfekowanych plikow usunołem je tak jak kazałeś i w tym momencie polowa programów mi nie działa ;/ Co w tym przypadku zrobic ?? jeszcze skanuje komputer drugi raz w celu sprawdzenia czy wszystko usunał i po tym odrazu bede wysyłał od logi z combofixa

spandaupol (Spandau) 2009-01-02 14:06:42 UTC #8

Rozumie ze windows działa. Programy które nie działają trzeba przeinstalować ale trzeba pobrać świeże wersje tych programów bo te instalki które masz mogą być zainfekowane. Możesz dodatkowo użyć Dr.WEB CureIt! wylecz co się da a co nie to usuwasz. Czekamy na log Combofixa

jarhal (Jarhal) 2009-01-02 23:34:07 UTC #9

Witam w koncu sie udało proszę o sprawdzenie loga

http://www.wklej.org/hash/f10b1c0201/

huber2t (Huber2t) 2009-01-03 06:49:57 UTC #10

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

c:\windows\system32\drivers\00672214.sys

c:\windows\system32\drivers\koiqkm.sys


Driver::

 is-2OMT6drv

WMI_MFC_TPSHOKER_80

Plik -> zapisz jako -> CFScript.txt.

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->

Rozpocznie się usuwanie i powstanie log, który dasz na forum.

Logi dajesz na http://wklej.eu lub na http://wklej.org a w poście dajesz tylko link

jarhal (Jarhal) 2009-01-03 08:22:05 UTC #11

http://www.wklej.org/hash/7ae7e40ed3/ log

spandaupol (Spandau) 2009-01-03 08:26:45 UTC #12

Wklej do notatnika

Z menu Notatnika wybierasz - Plik - Zapisz jako - Zmieniasz rozszerzenie z .txt na wszystkie pliki - zapisz pod nazwą Fix.reg

Uruchom ten plik, potwierdź dodanie do rejestru, uruchom ponownie komputer.

Usuń to z Autostartu

c:\documents and settings\Yaro\Menu Start\Programy\Autostart\ is-2OMT6.lnk

Odinstaluj Kasperski Virus Removal Tool

Log wygląda na czysty.

usuń ręcznie folder C: \Qoobox oraz instalkę Combofix z dysku.

Przeczyść system oraz rejestr CCleaner

Wykonaj optymalizacje Autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj system Dr.WEB CureIt!

jarhal (Jarhal) 2009-01-03 08:42:26 UTC #13

Dzięki za pomoc komputer już lepiej chodzi pozdrawiam

-- Dodane 17.01.2009 (So) 18:33 --

http://www.wklejto.pl/22992 witam może ktoś sprawdzić czy czysto :> ? pozdrawiam

Oparte na Discourse, najlepiej oglądać z włączonym JavaScriptem