Wirus Win32.KillAV.nh

miałem już niedawno problem z wirusem Win32.Sality, który infekował wszystkie pliki exe uporałem się z tym ale wyleczyć musiałem cały dysk prawie;p. Teraz za każdym razem, dy włączam komputer Kaspersky pokazuje mi, że zainfekowany jest plik c:\windows\system32\nm764781.dll i gdy chcę go usunąć wymagany jest restart kompa ale gdy system uruchamia się na nowo to ten plik znowu się pojawia i dalej jest zainfekowany…

Daj log z Combofix viewtopic.php?f=16&t=36654

Moze wylacz przywracanie systemu na czas usuniecia wirusa.

To powinno pozwolic kasperskiemu na zadzialanie.

niestety tylko tyle było w logu… w tym pliku C;\ComboFix.txt

http://wklej.org/id/52606/

pamiętam, że combofix usuwał takie pliki np:

C:\Windows\system32\nsqpdxkkltfedx.sys

C:\Windows\system32\msqpdxoempmtju.dll

C:\Windows\system32\drivers\qomlnnu.sys

wiem jeszcze, że combofix podczas skanowania wykrył 2 rootkity

po skanowaniu i usuwaniu plików n razie jest dobrze

Może daj przynajmniej log z RSIT ?

jessi

z RSIT nie mam loga… zrobić go? C:\WINDOWS\system32\so764781.dll teraz wyala mi to i nie da się usunąć nawet przy resratrcie pokazuje, że niektóre aplikacje lub bilbiotek isą niezgodne z systemem Windows NT;/

Dodane 14.02.2009 (So) 19:23

oba logi z RSIT

1wszy z info.txt http://wklej.org/id/52737/

2gi z log.txt http://wklej.org/id/52738/

Albo nowy log z ComboFixa, albo log z RSIT.

jessi

ten z RSIT to jest najnowszy z combofixa znów zrobić log? to trochę zajmie…

Dałeś log z RSIT w czasie, gdy ja już pisałam poprzedni post, więc go nie zauważyłam.

Wklej do Notatnika :

File::

C:\Documents and Settings\All Users\Dane aplikacji\ubetyhkn\wtoholkl.exe

C:\WINDOWS\system32\no764781.dll

C:\WINDOWS\system32\so764781.dll

C:\WINDOWS\system32\drivers\qomlnn.sys


Driver::

MCIDRV_2600_6_0


Folder::

C:\Documents and Settings\All Users\Dane aplikacji\ubetyhkn


Registry::

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

"KernelFaultCheck"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

"{2318C2B1-4965-11d4-9B18-009027A5CD4F}"=-

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]

"dOEWIaGbFE"=-


DirLook::

C:\Documents and Settings\Pablo\Dane aplikacji\Windows Service

>>Plik>>Zapisz jako… >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

– podobnie jak na tym obrazku –>cfscript10gm1.gif

Ma się rozpocząć usuwanie. (i powstanie log). Daj ten log.

Jeśli nie powstanie log, to dasz nowy z RSIT.

Sprawdź je na – http://virusscan.jotti.org/ albo na http://www.virustotal.com/en/indexf.html.

Znasz ten program?

jessi

Service load:

0% 100%

File: xpzip.dll

Status:

OK

MD5: 3645a5b9d357a7f00311e8740e4d7fb2

Packers detected:

Service load:

0% 100%

File: inksaver2.exe

Status:

INFECTED/MALWARE

MD5: 0040557d948efbdfec2638cec7676184

Packers detected:

A-Squared

Found Trojan-Downloader.Zlob!IK

AntiVir

Found DR/Dldr.Zlob.zij

ArcaVir

Found Trojan.Downloader.Zlob.Zij

Avast

Found nothing

AVG Antivirus

Found nothing

BitDefender

Found Dropped:Trojan.Zlob.7.Gen

ClamAV

Found Trojan.Zlob-9674

CPsecure

Found Troj.Downloader.W32.Zlob.zij

Dr.Web

Found Trojan.Popuper.7468

F-Prot Antivirus

Found W32/Malware!1f78

F-Secure Anti-Virus

Found Trojan-Downloader.Win32.Zlob.zij

G DATA

Found Dropped:Trojan.Zlob.7.Gen

Ikarus

Found Trojan-Downloader.Zlob

Kaspersky Anti-Virus

Found Trojan-Downloader.Win32.Zlob.zij

NOD32

Found a variant of Win32/TrojanDownloader.Zlob.CQR

Norman Virus Control

Found nothing

Panda Antivirus

Found nothing

Sophos Antivirus

Found Troj/Zlobyp-Gen

VirusBuster

Found Trojan.DL.Zlob.OKJ

VBA32

Found Trojan-Downloader.Win32.Zlob.zij

inksaver jest zawalony kaspersky wykrywał w nim dużo jeszcze z tym skryptem do combofixa zrobie

cmeplorer znam on jest od championshipa manager 2001 ale on był ok musiało go potem zainfekować mi na dysku może…

W takim razie dopisz to powyższe do Scriptu (poniżej komendy “File::”)

jessi

najnowszy log z combofixa

http://wklej.org/id/52886/

Wprawdzie dalej nie wiem, co to jest, ale nie daję tego do usuwania.

Wklej do Notatnika :

File::

c:\windows\system32\jp764781.dll

c:\windows\system32\jp764781.dl_

c:\windows\system32\ip764781.dll

c:\windows\system32\ip764781.dl_

c:\windows\system32\so764781.dl_

c:\windows\system32\no764781.dl_

c:\windows\system32\pz764781.dl_

c:\windows\system32\nm764781.dl_

c:\windows\num41.jbd

c:\windows\info147.sys

c:\windows\data4711.bak

>>Plik>>Zapisz jako… >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

– podobnie jak na tym obrazku –>cfscript10gm1.gif

Ma się rozpocząć usuwanie. (i powstanie log). Daj ten log.

jessi

oto i log

http://wklej.org/id/53251/

Wklej do Notatnika :

File::

c:\windows\system32\wp764781.dll

c:\windows\system32\wp764781.dl_

c:\windows\system32\drivers\qomlnn.sys

c:\windows\system32\mp764781.dll

c:\windows\system32\mp764781.dl_

>>Plik>>Zapisz jako… >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

– podobnie jak na tym obrazku –>cfscript10gm1.gif

Ma się rozpocząć usuwanie. (i powstanie log). Daj ten log.

jessi

log z ComboFixa http://wklej.org/id/53413/

To jest stary log wykonaj skrypt z ostatniego postu jessi i daj nowy log z usuwania Combofix na forum

http://wklej.org/id/53429/ oto log dosłownie sprzed kilkunastu minut

Dodane 16.02.2009 (Pn) 15:58

http://wklej.org/id/53429/ oto log dosłownie sprzed kilkunastu minut

Dodane 16.02.2009 (Pn) 15:59

oto log dosłownie sprzed kilkunastu minut http://wklej.org/id/53429/

Log jest rzeczywiście nowy, ale użyłeś starego Scriptu, a nie tego ostatniego.

Wklej do Notatnika :

File::

c:\windows\system32\pq764781.dll

c:\windows\system32\pq764781.dl_

c:\windows\system32\drivers\qomlnn.sys

c:\windows\system32\wp764781.dll

c:\windows\system32\wp764781.dl_

c:\windows\system32\mp764781.dll

c:\windows\system32\mp764781.dl_

>>Plik>>Zapisz jako… >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

– podobnie jak na tym obrazku –>cfscript10gm1.gif

Ma się rozpocząć usuwanie. (i powstanie log). Daj ten log.

Dodatkowo:

Użyj (w Trybie Awaryjnym!)–SDFix -na dole strony z linku

Pokaż Report.txt znajdujący się w folderze SDFix.

jessi

nowy log combofix http://wklej.org/id/53472/