Jak usunąć TR/Vundo.Gen Trojan ???

Post15 lip 2009, 10:44

Witam,
Mam zainstalowaną Avire, która wykrywa właśnie tego trojana,ale NIE może się go pozbyć. Robiłem kilka scanów pod rząd i żadne działanie nie pomogło.

Proszę o pomoc.

Post15 lip 2009, 11:11

Podaj logi według tego regulaminu

Post15 lip 2009, 11:48

Dostępne tylko dla zarejestrowanych użytkowników - DDS
Dostępne tylko dla zarejestrowanych użytkowników - OTL Extras
Dostępne tylko dla zarejestrowanych użytkowników - Attach
Dostępne tylko dla zarejestrowanych użytkowników - OTL

...dziękuję za zainteresowanie

Post15 lip 2009, 12:34

Widzę, że uruchamiałeś ComboFixa? Masz z niego loga? Jeżeli masz to wklej nam go tutaj.

========
K.

Post15 lip 2009, 12:41

...ale robiłem go wczoraj.
Nie znam się, dlatego spytam. - Czy nie muszę zrobić dzisiaj kolejnego scanu Combofixem, biorąc pod uwagę to, że od wczoraj mogły zajść jakieś zmiany?

-- Dzisiaj, 12:43 --

Ale jakby co, to jest ten log z wczoraj - Dostępne tylko dla zarejestrowanych użytkowników

Post15 lip 2009, 12:54

Uwaga! Jeżeli będzie ComboFix będzie chciał się zaaktualizować to zgódź się na to, pobierze najnowszą wersję i wykona skanowanie + usuwanie to co jest w Scripcie.

************************************************************************************************

Wklej do Notatnika:

Kod: Zaznacz cały

File::
C:\tfhs3xrjdr6djkrserz108.bat
c:\windows\system32\scrnrdr.exe
c:\windows\system32\usbaaplrc.dll
c:\windows\system32\gagaviju.dll
c:\program files\mozilla firefox\components\brwsrcmp.dll
c:\windows\system32\drivers\portio32.sys

Folder::
c:\windows\system32\dt

Driver::
portio32

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AbsoluteControl"=-
"Nowe Gadu-Gadu"=-
"FreeRAM XP"=-
"RocketDock"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Gainward"=-
"NvCplDaemon"=-
"NvMediaCenter"=-
"SSBkgdUpdate"=-
"OpwareSE4"=-
"SunJavaUpdateSched"=-
"Adobe Reader Speed Launcher"=-
"QuickTime Task"=-
"MSConfig"=-
"CPM2faf2806"=-
"nwiz"=-
"Kernel and Hardware Abstraction Layer"=-

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\SharedTaskScheduler]
"{EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4}"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"SSODL"=-

>>Plik>>Zapisz jako... >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
--> Obrazek

Ma się rozpocząć usuwanie. (i powstanie log).Daj ten log, który powstanie w trakcie usuwania.

============
K.

Post15 lip 2009, 13:16

Czyli jeszcze raz:
- wykonać ponowne scanowanie
- później usunąć skrypt (ten co mam wkleić do notatnika)
Zgadza się?

Post15 lip 2009, 13:31

Nie wykonuj żadnego skanowania, poprostu robisz Scripta przeciągasz na ComboFixa i ComboFix będzie Ciebie prosił o zaaktualizowanie, zgadasz się i dalej już będzie normalnie.

=======
K.

Post15 lip 2009, 14:33

Ok, zrobiłem:
Dostępne tylko dla zarejestrowanych użytkowników

Jeszcze jedno. Combofix przy rozpoczęciu scanowania, wyświetlił taki komunikat:

"Następujące pliki próbowały podłączyć się do programu ComboFix.
Będą one wyłączone z działania. Proszę zanotować na kartce papieru nazwę każdego z plików. Możemy tej informacji później potrzebować

c:\windows\system32\gagaviju.dll "

...dodam że owe "gagaviju" jest procesem który jest widoczny po uruchomieniu - mconfig i tam też zatrzymałem ten proces wczoraj, po uprzedniej lekturze google.
Nie wiem czy dobrze zrobiłem??

Post15 lip 2009, 14:47

Pobierz program ---> Dostępne tylko dla zarejestrowanych użytkowników.

Uruchom OTL i w oknie Custom Scans/Fixes wklej następujący skrypt:

Kod: Zaznacz cały

:OTL
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)

:Files
c:\windows\system32\gagaviju.dll
C:\Documents and Settings\All Users\Dane aplikacji\18230314

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CPM2faf2806"=-
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\SharedTaskScheduler]
"{EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"SSODL"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\jkkLETKd]

:Commands
[emptytemp]
[start explorer]
[Reboot]

Klikasz w Run Fix i zatwierdzasz restart komputera.
Po restarcie - pokazujesz log z czyszczenia.

=========
K.

Post15 lip 2009, 14:56

Dostępne tylko dla zarejestrowanych użytkowników

Post15 lip 2009, 14:57

Ponów operację, bo coś dobrze nie poszło...

=======
K.

Post15 lip 2009, 15:00

Pojawiły mi sie różne pliki systemowe i nie tylko (ich ikonki wyglądają jakby były za lekką mgiełką, wyblakłe) - czemu się pojawiły w różnych partycjach??

Post15 lip 2009, 15:01

Someliero pisze:Pojawiły mi sie różne pliki systemowe i nie tylko (ich ikonki wyglądają jakby były za lekką mgiełką, wyblakłe) - czemu się pojawiły w różnych partycjach??

Potem tym się zajmiemy! Zrób jeszcze raz tego Scripta.

======
K.

Post15 lip 2009, 15:15

Dostępne tylko dla zarejestrowanych użytkowników