Jak usunąć TR/Vundo.Gen Trojan ???

[djarta]

Pokaż log z OTL: http://hotfix.pl/articles.php?article_id=143


=====
K.

[Someliero]

...wychodzi chyba to samo?

[djarta]

Yyy daj z niego loga?!


========
K.

[Someliero]

Jest już zamieszczony na końcu poprzedniej strony wątku. Jest to drugi LOG z OTL po wykonaniu czynności które mi zaleciłeś.

[djarta]

Nie ma tego loga.?
Wklej obydwa.!


======
K.

[Someliero]

Dostępne tylko dla zarejestrowanych użytkowników

[djarta]

A gdzie ten pierwszy log?!
Rób tyle logów, aż ten 1 log się pojawi.!

======
K.

[Someliero]

Pobierz program ---> Dostępne tylko dla zarejestrowanych użytkowników.

Uruchom OTL i w oknie Custom Scans/Fixes wklej następujący skrypt:

Kod: Zaznacz cały

:OTL
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)

:Files
c:\windows\system32\gagaviju.dll
C:\Documents and Settings\All Users\Dane aplikacji\18230314

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CPM2faf2806"=-
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\SharedTaskScheduler]
"{EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"SSODL"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\jkkLETKd]

:Commands
[emptytemp]
[start explorer]
[Reboot]


Klikasz w Run Fix i zatwierdzasz restart komputera.
Po restarcie - pokazujesz log z czyszczenia.


=========
K.

...i po tym wyszło mi to:
Dostępne tylko dla zarejestrowanych użytkowników

Natomiast potem zrobiłem "Run Scan" za pomocą OTL i wyszło mi to:
Dostępne tylko dla zarejestrowanych użytkowników

Wszystko umieściłem na forum.
Prosiłbym Cię o dokładniejsze wyjaśnienie tego o jaki pierwszy LOG Ci chodzi?
Czy to nie jest to co podałem wyżej?

[djarta]

Pokaż najnowszy log z ComboFixa.!

========
K.

[Someliero]

Dostępne tylko dla zarejestrowanych użytkowników

[djarta]

Wklej do Notatnika:

Kod: Zaznacz cały

File::
c:\windows\system32\gagaviju.dll.vir
c:\windows\system32\gagaviju.dll

Folder::
c:\documents and settings\All Users\Dane aplikacji\18230314

Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\jkkLETKd]


>>Plik>>Zapisz jako... >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
-->
Ma się rozpocząć usuwanie. (i powstanie log).Daj ten log, który powstanie w trakcie usuwania.
Jeśli pójdzie dobrze, to: Po restarcie usuń ręcznie folder C:\Qoobox..



=======
K.

[Someliero]

Dostępne tylko dla zarejestrowanych użytkowników

[djarta]

Widzę, że ten wirus mnie cały czas przezwycięża.

1. Do Notatnika wklej:

Kod: Zaznacz cały

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CPM2faf2806"=-

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\SharedTaskScheduler]
"{EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4}"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"SSODL"=-


Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na: "Wszystkie pliki" >>> Zapisz jako FIX.REG>>>
plik uruchom (dwuklik i OK- zgódź się na dodanie do Rejestru).
Zrestartuj komputer.


2. Czas użyć prawdziwej maszyny do usuwania...

Pobierz ---> Dostępne tylko dla zarejestrowanych użytkowników.

Wklej do niego ten tekst:

Kod: Zaznacz cały

Files to delete:
c:\windows\system32\gagaviju.dll


Kopiujesz - Klikasz na Paste Script from Clipboard - Execute - Potwierdzasz i zgadzasz się na restart klikając OK.
Po wykonaniu skasuj z dysku plik: C:\Avenger\backup.zip i wklej raport na forum C:\avenger.txt.


=========
K.

[Someliero]

Ok. Pierwszy punkt wykonałem, teraz zabieram się za punkt drugi
...ale po zresetowaniu kompa wyskoczył komunikat RUNDLL:

"Wystąpił błąd podczas ładowania c:\windows\system32\gagaviju.dll
Nie można odnaleźć wymaganego modułu"

-- Dzisiaj, 19:21 --

Dostępne tylko dla zarejestrowanych użytkowników

[djarta]

Pokaż log z ComboFixa.

=====
K.