Wirus HaxDoor

Janusek · 26 Sierpień 2008 13:42

witam!

Cały czas komputer mi się restartował na tym forum dowiedziałem się żeby wyłączyć automatyczny restart po błędzie i sprawdzić jaki jest kod błędu

jest to: 0x0000008E (0x8054AFDZ, 0xB5827AA8, 0x000000)

Z bazy wiedzy Microsoft’u dowiedziałem się że może to być wirus HaxDoor!! Więc zrobiłem tak jak tu jest napisane

http://support.microsoft.com/kb/903251/pl. Niestety nigdzie w podanych ścieżkach kluczy nic nie znalazłem a przynajmniej nic o czym mowa w artykule. Natomiast w:

HKEY_USERS\S-1-5-21-725345543-515967899-2146968213-1003\Software\Microsoft\Search Assistant\ACMru\5603 znalazłem takie pliki jak

mszx23

snp2std

w32tm.exe

oraz w: HKEY_USERS\S-1-5-21-725345543-515967899-2146968213-1003\Software\Microsoft\Search Assistant\ACMru\5604

w32tm.exe

drct16.dll

vdmt16

czy te pliki też mam usunąć??

Korzystałem też z tego artykułu: http://forum.pcformat.pl/archive/index. … -8504.html

i na dysku twardy jedynie znalazłem taki plik %System%\w32tm.exe I też go oczywiście usunąłem.

antywirus Kaspersky (wersja demo, wyłączone przywracanie systemu na wszystkich dyskach) nic nie znalazł.

Na wszelki wypadek podaje jeszcze raz logi z HijackThis: http://wklej.org/id/869/

i combofix: http://wklej.org/id/875/

I jeszcze log z Rootkit Revealer: http://wklej.org/id/880/

huber2t · 26 Sierpień 2008 14:06

Pobierz ComboFix, ale nie uruchamiaj

Otwórz notatnik i wklej do niego:

File::

C:\WINDOWS\SET268.tmp

C:\WINDOWS\SET265.tmp

C:\WINDOWS\SET274.tmp

Plik -> zapisz jako -> CFScript.txt.

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->

Rozpocznie się usuwanie i powstanie log, który dasz na forum.

Logi dajesz na http://wklej.eu lub na http://wklej.org a w poście dajesz tylko link

system · 26 Sierpień 2008 15:31

viewtopic.php?f=16&t=36654

I wykonaj polecenia z 3 postu nt. programu HaxFix

Janusek · 27 Sierpień 2008 07:11

Janusek · 27 Sierpień 2008 07:16

Co prawda już do tego programu doszedłem wcześniej ale sprawdź bo moje logi z pod 02 wyglądają tak:

O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Program Files\FlashGet\jccatch.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Program Files\FlashGet\getflash.dll

Czyli nic niema o czym jest mowa w linku podanym przez Ciebie. Jeszcze we wcześniejszym artykule dotyczącym obsługi HaxFix znalazłem omówione logi z numeru 04 którymi też się ten wirus objawia. Ale też kicha :-[

Co jeszcze moglibyście mi poradzić??

huber2t · 27 Sierpień 2008 09:21

combofix usunal wpisy z hjt

Log wyglada na czysty

usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.

Przeczyść komputer Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum

lub

Dr.WEB CureIt!

Janusek · 27 Sierpień 2008 14:49

log z kaspersky online: http://wklej.org/id/1301/

djarta · 27 Sierpień 2008 15:05

Pobierz —> The Avenger

Wklej do niego ten tekst:

Files to delete:

C:\Documents and Settings\Duda\Pulpit\ANJAAA\Programy\SmileyCentralPFSetup2.2.60.6.exe

D:\Program Files\Passware\ariskkey.dll

D:\Program Files\Passware\ariskkey.exe

D:\System Volume Information\_restore{F530882C-D97C-4C80-BD6B-3DDE66586B87}\RP21\A0019484.exe

Kopiujesz - klikasz na Paste Script from Clipboard - Execute - Potwierdzasz i zgadzasz się na restart klikając OK.

Po wykonaniu skasuj z dysku plik: C:\Avenger\backup.zip i wklej raport na forum C:\avenger.txt

==================

K.

Janusek · 28 Sierpień 2008 07:39

Oto raport z programu Avanger; http://wklej.org/id/1450/

huber2t · 28 Sierpień 2008 07:52

Pliki usunięte

Powinno być ok

Janusek · 28 Sierpień 2008 10:15

ok. Dzięki na razie. Przetestuję go i dam znać co i jaki.

A co z tymi wpisami w rejestrze??

HKEY_USERS\S-1-5-21-725345543-515967899-2146968213-1003\Software\Microsoft\Search Assistant\ACMru\5603 znalazłem takie pliki jak

mszx23

snp2std

w32tm.exe

oraz w: HKEY_USERS\S-1-5-21-725345543-515967899-2146968213-1003\Software\Microsoft\Search Assistant\ACMru\5604

w32tm.exe

drct16.dll

vdmt16

Tam stosowałem program Rootkit Reveal i ten wpis się pojawił również obok tamtych w rejestrze

huber2t · 28 Sierpień 2008 10:17

Daj log z tego programu

Janusek · 28 Sierpień 2008 11:12

http://wklej.org/id/1491/ - log z Rootkit Reaveal

Gutek · 28 Sierpień 2008 19:41

Na koniec Proszę pobrać i użyć Malwarebytes’ Anti-Malware

Wciskamy Scan , wybieramy dyski do skanowania i czekamy, na końcu wciskamy Remove Selected i Ok

Janusek · 29 Sierpień 2008 06:55

Zrobione: http://wklej.org/id/1639/

I co dalej?

huber2t · 29 Sierpień 2008 06:57

Powino być ok

Janusek · 29 Sierpień 2008 09:04

ok. Jeszcze raz dzięki wszystkim którzy mi pomagali!!