Znowu OnLineGames +Rootkit. NOD32 nie działa


(Grzecz) #1

Jak w temacie. Komputer skanowany NODem32, SpyBot i Ad-Aware.

Link do Loga : http://wklejto.pl/11691


(huber2t) #2

Pobierz ComboFix, ale nie uruchamiaj

Otwórz notatnik i wklej do niego:

File::

C:\o2g.exe

C:\autorun.Vinf


Registry::

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{320b87fc-899e-11dd-a723-001109872a85}]

Plik -> zapisz jako -> CFScript.txt.

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->

cfscript10uc2.gif

Rozpocznie się usuwanie i powstanie log, który dasz na forum.

Logi dajesz na http://wklej.eu lub na http://wklej.org a w poście dajesz tylko link


(Grzecz) #3

Zrobiłem jak zalecałeś oto link do loga : http://wklej.org/id/9327/


(Leon$) #4

Wylecz pendriva lub kartę pamięci http://www.softpedia.com/get/Security/S ... Tool.shtml

Flash Disinfector http://www.searchengines.pl/index.php?s ... ntry369724

lub format

Otwórz notatnik i wklej

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri ... iemoes.gif

Powinno rozpocząć się usuwanie

Potem log z usuwania Combofix

:slight_smile:


(Grzecz) #5

Teraz tak to wyglada

http://wklej.org/id/9345/


(Leon$) #6

Log wygląda na czysty

Pobierz CCleaner http://www.filehippo.com/download_ccleaner/

przeskanuj nim i wyczyść rejestr.

zrób optymalizacje uruchamiania

http://cybertrash.netarteria.pl/cyber/i ... 378.0.html

usuń ręcznie folder C: \Qoobox usuń instalkę Combofix z dysku.

Wyłącz I włącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

przeskanuj obszar Mój komputer http://www.kaspersky.pl/virusscanner.html pokaż raport stronę uruchomić przez IE

:slight_smile:


(Grzecz) #7

Wygląda to nadal tragicznie

http://www.wklej.org/id/9662/


(Spandau) #8

Wyłącz przywracanie systemu na wszystkich dyskach. Instrukcja

Pobierz The Avenger zaznacz poniższy tekst

Files to delete:

C:\Program Files\Eset\infected\KNW3WSCA.NQF

C:\Program Files\Eset\infected\RKDSRVDA.NQF

C:\Program Files\Eset\infected\WAUNAYCA.NQF

C:\WINDOWS\system32\Bitkv2.dll

D:\o2g.exe

F:\o2g.exe

G:\o2g.exe

H:\o2g.exe


Folders to delete:

C:\QooBox

C:\System Volume Information\_restore{37D38EFA-5D1A-4D06-AF11-8B3E4E817C5C}\RP48

C:\System Volume Information\_restore{37D38EFA-5D1A-4D06-AF11-8B3E4E817C5C}\RP49

C:\System Volume Information\_restore{37D38EFA-5D1A-4D06-AF11-8B3E4E817C5C}\RP50

C:\System Volume Information\_restore{37D38EFA-5D1A-4D06-AF11-8B3E4E817C5C}\RP51

C:\System Volume Information\_restore{37D38EFA-5D1A-4D06-AF11-8B3E4E817C5C}\RP52

C:\System Volume Information\_restore{37D38EFA-5D1A-4D06-AF11-8B3E4E817C5C}\RP53

C:\System Volume Information\_restore{37D38EFA-5D1A-4D06-AF11-8B3E4E817C5C}\RP54

C:\System Volume Information\_restore{37D38EFA-5D1A-4D06-AF11-8B3E4E817C5C}\RP55

C:\System Volume Information\_restore{37D38EFA-5D1A-4D06-AF11-8B3E4E817C5C}\RP56

C:\System Volume Information\_restore{37D38EFA-5D1A-4D06-AF11-8B3E4E817C5C}\RP57

C:\System Volume Information\_restore{37D38EFA-5D1A-4D06-AF11-8B3E4E817C5C}\RP58

C:\System Volume Information\_restore{37D38EFA-5D1A-4D06-AF11-8B3E4E817C5C}\RP60

C:\System Volume Information\_restore{37D38EFA-5D1A-4D06-AF11-8B3E4E817C5C}\RP61

D:\System Volume Information\_restore{37D38EFA-5D1A-4D06-AF11-8B3E4E817C5C}\RP48

D:\System Volume Information\_restore{37D38EFA-5D1A-4D06-AF11-8B3E4E817C5C}\RP49

D:\System Volume Information\_restore{37D38EFA-5D1A-4D06-AF11-8B3E4E817C5C}\RP50

D:\System Volume Information\_restore{37D38EFA-5D1A-4D06-AF11-8B3E4E817C5C}\RP51

D:\System Volume Information\_restore{37D38EFA-5D1A-4D06-AF11-8B3E4E817C5C}\RP52

D:\System Volume Information\_restore{37D38EFA-5D1A-4D06-AF11-8B3E4E817C5C}\RP53

D:\System Volume Information\_restore{37D38EFA-5D1A-4D06-AF11-8B3E4E817C5C}\RP54

D:\System Volume Information\_restore{37D38EFA-5D1A-4D06-AF11-8B3E4E817C5C}\RP55

D:\System Volume Information\_restore{37D38EFA-5D1A-4D06-AF11-8B3E4E817C5C}\RP56

D:\System Volume Information\_restore{37D38EFA-5D1A-4D06-AF11-8B3E4E817C5C}\RP57

D:\System Volume Information\_restore{37D38EFA-5D1A-4D06-AF11-8B3E4E817C5C}\RP58

D:\System Volume Information\_restore{37D38EFA-5D1A-4D06-AF11-8B3E4E817C5C}\RP60

D:\System Volume Information\_restore{37D38EFA-5D1A-4D06-AF11-8B3E4E817C5C}\RP61

F:\System Volume Information\_restore{37D38EFA-5D1A-4D06-AF11-8B3E4E817C5C}\RP48

F:\System Volume Information\_restore{37D38EFA-5D1A-4D06-AF11-8B3E4E817C5C}\RP49

F:\System Volume Information\_restore{37D38EFA-5D1A-4D06-AF11-8B3E4E817C5C}\RP50

F:\System Volume Information\_restore{37D38EFA-5D1A-4D06-AF11-8B3E4E817C5C}\RP51

F:\System Volume Information\_restore{37D38EFA-5D1A-4D06-AF11-8B3E4E817C5C}\RP52

F:\System Volume Information\_restore{37D38EFA-5D1A-4D06-AF11-8B3E4E817C5C}\RP53

F:\System Volume Information\_restore{37D38EFA-5D1A-4D06-AF11-8B3E4E817C5C}\RP54

F:\System Volume Information\_restore{37D38EFA-5D1A-4D06-AF11-8B3E4E817C5C}\RP55

F:\System Volume Information\_restore{37D38EFA-5D1A-4D06-AF11-8B3E4E817C5C}\RP56

F:\System Volume Information\_restore{37D38EFA-5D1A-4D06-AF11-8B3E4E817C5C}\RP57

F:\System Volume Information\_restore{37D38EFA-5D1A-4D06-AF11-8B3E4E817C5C}\RP58

F:\System Volume Information\_restore{37D38EFA-5D1A-4D06-AF11-8B3E4E817C5C}\RP60

F:\System Volume Information\_restore{37D38EFA-5D1A-4D06-AF11-8B3E4E817C5C}\RP61

G:\System Volume Information\_restore{37D38EFA-5D1A-4D06-AF11-8B3E4E817C5C}\RP48

G:\System Volume Information\_restore{37D38EFA-5D1A-4D06-AF11-8B3E4E817C5C}\RP49

G:\System Volume Information\_restore{37D38EFA-5D1A-4D06-AF11-8B3E4E817C5C}\RP50

G:\System Volume Information\_restore{37D38EFA-5D1A-4D06-AF11-8B3E4E817C5C}\RP51

G:\System Volume Information\_restore{37D38EFA-5D1A-4D06-AF11-8B3E4E817C5C}\RP52

G:\System Volume Information\_restore{37D38EFA-5D1A-4D06-AF11-8B3E4E817C5C}\RP53

G:\System Volume Information\_restore{37D38EFA-5D1A-4D06-AF11-8B3E4E817C5C}\RP54

G:\System Volume Information\_restore{37D38EFA-5D1A-4D06-AF11-8B3E4E817C5C}\RP55

G:\System Volume Information\_restore{37D38EFA-5D1A-4D06-AF11-8B3E4E817C5C}\RP56

G:\System Volume Information\_restore{37D38EFA-5D1A-4D06-AF11-8B3E4E817C5C}\RP57

G:\System Volume Information\_restore{37D38EFA-5D1A-4D06-AF11-8B3E4E817C5C}\RP58

G:\System Volume Information\_restore{37D38EFA-5D1A-4D06-AF11-8B3E4E817C5C}\RP60

G:\System Volume Information\_restore{37D38EFA-5D1A-4D06-AF11-8B3E4E817C5C}\RP61

H:\System Volume Information\_restore{37D38EFA-5D1A-4D06-AF11-8B3E4E817C5C}\RP48

H:\System Volume Information\_restore{37D38EFA-5D1A-4D06-AF11-8B3E4E817C5C}\RP49

H:\System Volume Information\_restore{37D38EFA-5D1A-4D06-AF11-8B3E4E817C5C}\RP50

H:\System Volume Information\_restore{37D38EFA-5D1A-4D06-AF11-8B3E4E817C5C}\RP51

H:\System Volume Information\_restore{37D38EFA-5D1A-4D06-AF11-8B3E4E817C5C}\RP52

H:\System Volume Information\_restore{37D38EFA-5D1A-4D06-AF11-8B3E4E817C5C}\RP53

H:\System Volume Information\_restore{37D38EFA-5D1A-4D06-AF11-8B3E4E817C5C}\RP54

H:\System Volume Information\_restore{37D38EFA-5D1A-4D06-AF11-8B3E4E817C5C}\RP55

H:\System Volume Information\_restore{37D38EFA-5D1A-4D06-AF11-8B3E4E817C5C}\RP56

H:\System Volume Information\_restore{37D38EFA-5D1A-4D06-AF11-8B3E4E817C5C}\RP57

H:\System Volume Information\_restore{37D38EFA-5D1A-4D06-AF11-8B3E4E817C5C}\RP58

H:\System Volume Information\_restore{37D38EFA-5D1A-4D06-AF11-8B3E4E817C5C}\RP60

H:\System Volume Information\_restore{37D38EFA-5D1A-4D06-AF11-8B3E4E817C5C}\RP61

kopiujesz - klikasz na Paste Script from Clipboard - Execute - Potwierdzasz i zgadzasz się na restart klikając OK.

Po wykonaniu skasuj z dysku plik: C:\Avenger\backup.zip i wklej raport na forum C:\avenger.txt

Instrukcja obsługi programu http://cybertrash.pl/images/tata/Avenger/Avenger.html

Następnie przeskanuj ponownie obszar Mój komputer Kaspersky Online Scanner Uruchom pod IE daj raport na forum


(Grzecz) #9

Log z programu avenger

http://www.wklej.org/id/9819/


(huber2t) #10

Część plików zostala usunieta

Przeskanuj ponownie Kasperskim i daj raport na forum


(Grzecz) #11

Log z kasperskiego

http://www.wklej.org/id/9825/


(huber2t) #12

Usuń to:

:slight_smile:


(Grzecz) #13

HMM A PO CO ?? Nie używałem tego od 2 lat :slight_smile:


(huber2t) #14

Bo w tym jest wirus Kolego


(Grzecz) #15

Dziękuję za pomoc, usunąłem plik :slight_smile: mam nowy problem do rozgryzienia, przeniosłem wirusy swego czasu tez na laptopa


(huber2t) #16

Daj log z combofix z laptopa


(Grzecz) #17

z ComboFixa http://www.wklej.org/id/10151/


(Grzecz) #18

z ComboFixa http://www.wklej.org/id/10151/


(huber2t) #19

Do wyleczenia pendrive z wirusów użyj

Perlovg Removal Tool

Flash Disinfector

lub format

Pobierz ComboFix, ale nie uruchamiaj

Otwórz notatnik i wklej do niego:

Driver::

GTFFBUS

GTMMDMUSB

GTMNDISIRPXP

GTMSERUSB

GTPTSER

GTSCSER

GtVUsb

MEMSWEEP2


Registry::

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4b76f599-bc6f-11dc-bb07-0015f23e9ee2}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{51f8b9c7-87d4-11dc-ba84-0015f23e9ee2}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{73ce8362-8d00-11da-b60c-0015f23e9ee2}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ab77b547-4023-11db-bc96-0015f23e9ee2}]

Plik -> zapisz jako -> CFScript.txt.

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->

cfscript10uc2.gif

Rozpocznie się usuwanie i powstanie log, który dasz na forum.

Logi dajesz na http://wklej.eu lub na http://wklej.org a w poście dajesz tylko link


(Grzecz) #20

http://www.wklej.org/id/10235/