Wirus Variant of the Trojan.Win32.Obfuscated.gx porn adware

[huber2t]

Tak jak jest w instrukcji klikasz w excute klub cos w podobie później wyskakuje okienko klikasz na tak i resetujesz kompa

[misiek88]

ok zrobilem tak.... dalem tak i wyskoczyl błąd : "Error: Invalid script. A valid script must begin with a command directive. Aborting execution!"

[huber2t]

no to trudno ręczeni będziesz musiał zrobić
Usuń te pliki Unlokerem:

J:\WINDOWS\cndr32a.dll
J:\WINDOWS\TEMP\12.tmp


start>>uruchom>>>cmd
sc stop {DEF85C80-216A-43ab-AF70-1665EDBE2780}
sc delete {DEF85C80-216A-43ab-AF70-1665EDBE2780}

po każdej linijce polecenia enter

[misiek88]

J:\WINDOWS\cndr32a.dll - ten plik usuniety

J:\WINDOWS\TEMP\12.tmp - tego w ogole nie znalazlem


"start>>uruchom>>>cmd
sc stop {DEF85C80-216A-43ab-AF70-1665EDBE2780}
sc delete {DEF85C80-216A-43ab-AF70-1665EDBE2780} " - to zrobilem...


i co teraz???

[huber2t]

To był wirus: J:\WINDOWS\cndr32a.dll

Daj ponownie kontrolny log z combofix


Przeskanuj komputer tym http://www.kaspersky.pl/virusscanner.html Daj raport z niego na forum

[misiek88]

Kod: Zaznacz wszystko

ComboFix 08-04-12.7 - Michał 2008-04-16 19:07:23.4 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.1.1250.1.1045.18.642 [GMT 2:00]
Running from: J:\Documents and Settings\Michał\Pulpit\ComboFix.exe

[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b][/color]
.

(((((((((((((((((((((((((   Files Created from 2008-03-16 to 2008-04-16  )))))))))))))))))))))))))))))))
.

2008-04-16 09:46 . 2008-04-16 09:46   <DIR>   d--------   J:\Documents and Settings\Michał\Dane aplikacji\Desktopicon
2008-04-13 11:47 . 2008-04-13 11:47   <DIR>   d--------   J:\Program Files\Trend Micro
2008-04-09 19:59 . 2008-03-29 19:45   1,146,232   --a------   J:\WINDOWS\system32\aswBoot.exe
2008-04-09 19:59 . 2004-01-09 10:13   380,928   --a------   J:\WINDOWS\system32\actskin4.ocx
2008-04-09 19:59 . 2008-03-29 19:23   95,608   --a------   J:\WINDOWS\system32\AvastSS.scr
2008-04-09 19:59 . 2008-03-29 19:35   94,544   --a------   J:\WINDOWS\system32\drivers\aswmon2.sys
2008-04-09 19:59 . 2008-01-17 17:34   93,264   --a------   J:\WINDOWS\system32\drivers\aswmon.sys
2008-04-09 19:59 . 2008-03-29 19:31   75,856   --a------   J:\WINDOWS\system32\drivers\aswSP.sys
2008-04-09 19:59 . 2008-03-29 19:27   42,912   --a------   J:\WINDOWS\system32\drivers\aswTdi.sys
2008-04-09 19:59 . 2008-03-29 19:26   26,944   --a------   J:\WINDOWS\system32\drivers\aavmker4.sys
2008-04-09 19:59 . 2008-03-29 19:29   23,152   --a------   J:\WINDOWS\system32\drivers\aswRdr.sys
2008-04-08 23:47 . 2008-04-09 19:56   <DIR>   d--------   J:\WINDOWS\LastGood
2008-04-08 23:46 . 2008-04-09 19:58   <DIR>   d--------   J:\Program Files\Common Files\Panda Software
2008-04-08 22:37 . 2008-04-08 23:44   <DIR>   d--------   J:\Documents and Settings\All Users\Dane aplikacji\Avira

.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-09 17:58   ---------   d--h--w   J:\Program Files\InstallShield Installation Information
2008-04-09 17:57   ---------   d-----w   J:\Program Files\Common Files\InstallShield
2008-04-08 17:34   ---------   d-----w   J:\Documents and Settings\Michał\Dane aplikacji\winamp
2008-03-05 17:28   ---------   d-----w   J:\Program Files\Microsoft.NET
.

(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{25CEE8EC-5730-41bc-8B58-22DDC8AB8C20}]
2007-12-13 18:49   1185120   --a------   J:\Program Files\Winamp Toolbar\winamptb.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}"= "J:\Program Files\Winamp Toolbar\winamptb.dll" [2007-12-13 18:49 1185120]

[HKEY_CLASSES_ROOT\clsid\{ebf2ba02-9094-4c5a-858b-bb198f3d8de2}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand.1]
[HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}"= J:\Program Files\Winamp Toolbar\winamptb.dll [2007-12-13 18:49 1185120]

[HKEY_CLASSES_ROOT\clsid\{ebf2ba02-9094-4c5a-858b-bb198f3d8de2}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand.1]
[HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="J:\Program Files\Messenger\msmsgs.exe" [2002-08-20 16:08 1511453]
"Gadu-Gadu"="J:\Programy\Gadu-Gadu\gg.exe" [2007-11-14 12:54 2131392]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SigmatelSysTrayApp"="sttray.exe" []
"IntelAudioStudio"="J:\Program Files\Intel Audio Studio\IntelAudioStudio.exe" [2006-08-02 18:17 9134080]
"NvCplDaemon"="J:\WINDOWS\System32\NvCpl.dll" [2006-06-01 11:22 7618560]
"nwiz"="nwiz.exe" [2006-06-01 11:22 1519616 J:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="NvMCTray.dll" [2006-06-01 11:22 86016 J:\WINDOWS\system32\nvmctray.dll]
"NWEReboot"="" []
"NeroFilterCheck"="J:\WINDOWS\System32\NeroCheck.exe" [2001-07-09 12:50 155648]
"WinampAgent"="J:\Programy\winamp\winampa.exe" [2007-12-20 17:16 37376]
"HP Software Update"="J:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe" [2002-12-17 12:40 49152]
"HPDJ Taskbar Utility"="J:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe" [2003-03-11 12:08 172032]
"BearShare"="J:\Programy\bear\BearShare.exe" [2006-08-01 18:04 3313664]
"avast!"="J:\Programy\avas\ashDisp.exe" [2008-03-29 19:37 79224]
"UnlockerAssistant"="J:\Programy\Unlocker\UnlockerAssistant.exe" [2008-03-01 07:10 15872]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="J:\WINDOWS\System32\CTFMON.EXE" [2002-09-20 18:05 13312]

J:\Documents and Settings\All Users\Menu Start\Programy\Autostart\
Ralink Wireless Utility.lnk - J:\Program Files\RALINK\Common\RaUI.exe [2007-12-24 14:53:41 614400]

R1 aswSP;avast! Self Protection;J:\WINDOWS\System32\drivers\aswSP.sys [2008-03-29 19:31]
S3 AvFlt;Antivirus Filter Driver;J:\WINDOWS\System32\drivers\av5flt.sys []
S3 RT2400;RT2400 Wireless Driver;J:\WINDOWS\System32\DRIVERS\RT2400.sys [2003-10-08 14:14]

.
**************************************************************************
scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

**************************************************************************
.
Completion time: 2008-04-16 19:09:28
ComboFix-quarantined-files.txt  2008-04-16 17:08:36
ComboFix2.txt  2008-04-13 10:12:48
Pre-Run: 34,088,906,752 bajtów wolnych
Post-Run: 34,088,509,440 bajtów wolnych

[huber2t]

Log czysty jak łezka w oku

Przeskanuj komputer tym http://www.kaspersky.pl/virusscanner.html Daj raport z niego na forum

[misiek88]

i znów mam problem....cytuje:

avast! - Ostrzeżenie
Znaleziono oprogramowanie typu rootkit!

W systemie wykryto podejrzany, ukryty obiekt (rootkit). Moze to oznaczać zarażenie szkodliwym oprogramowaniem. Zaleca sie natychmiastowe usuniecie obiektu.

Plik: MBR: \\PHYSICALDRIVE0
Typ: Rootkit: ukryty plik


naciskam "usuń teraz" i pojawia sie: cytuje:
"avast wykryl wirusa w pamieci operacyjnej. Ponieważ praca na komputerze z aktywnym wirusem jest bardzo niebezpieczna, zaleca sie usilnie ponowne uruchomienie komputera i umożliwienia programowi avast przeskanowanie wszystkich danych w fazie rozruchu, zanim wirus sie uaktywni. czy chcesz ustawic skanowanie w fazie rozruchu i ponownie uruchomic komputer?

naciskam "tak" i rozpoczyna sie skanowanie ktore nic nie daje.... kurde co mam zrobic????????????????????????????????/

[misiek88]

przepraszam po nacisnieciu "tak" pojawia sie:

"Pojawil sie błąd w czasie przetwarzania wynikow MBR: \\.\PHYSICALDRIVE0! "

[huber2t]

Masz rootkita w MBR

poczytaj [strona nie jest już dostępna]

nie pomogę ci już więcej pisz na forum searchengines

[misiek88]

ok pomimo wszystko dzieki za pomoc......