Имам вирус I-WORM/Generic.col

Bibini · Януари 23, 2009

AVG хвана вирус в c:\windows\system32\

с наименование uhqrsb.qyk

Virus identified I-WORM/Generic.col

object type : file

SDK Type : core

Някой ще ми каже ли с какво мога да го изчистя този вирус?

Много ви моля,помогнете ми.

Maniac · Януари 23, 2009

Не те ли попита какво да прави с него?

Сканирай с MalwareBytes' Anti-Malware:

1. Изтеглете: MalwareBytes' Anti-Malware
2. Инсталирайте го.
3. Кликвате на иконата “Malwarebytes’ Anti-Malware“.Първото и най-важно нещо е да отидете в категорията “Update” и да изберете бутончето “Check For Updates“.
4. След това се насочете към секцията “Scanner” и изберете опцията “Perform quick scan” (особено ако за първи път стартирате приложението.Щраквате на бутончето “Scan“, посочвате кои дялове ма компютъра да бъдат проверени.Можете да маркирате и само дяла на който е инсталирана Операционната Система и натискате “Start Scan“.
5. След края на проверката ще получите или съобщение, че вредители не са намерени или ще получите възможност да ги маркирате и изтриете.
6. Най-накрая ще получите лог файл с извършените процедури. Моля, копирайте го и го поставете тук, за да видим какво е станало.

След, като приключиш с MalwareBytes' Anti-Malware:

Изтеглете ESET SysInspector
http://www.eset.bg/download/sysinspector.html

- Стартирайте програмата чрез SysInspector.exe
Програмата ще започне да събира информация за ситуацията на машината Ви.
- Когато "Инспекторът" е готов и log файлът - генериран , изберете File > Save Log
- Потвърдете желанието си

Изберете да запазите файла някъде и след това го прикрепете към поста си.

Night_Raven · Януари 23, 2009

Към предложението на Malwarebytes' Anti-Malware бих добавил и SUPERAntiSpyware Free.

Bibini · Януари 26, 2009

SUPERAntiSpyware Scan Log

http://www.superantispyware.com

Generated 01/26/2009 at 09:12 AM

Application Version : 4.25.1012

Core Rules Database Version : 3729

Trace Rules Database Version: 1699

Scan type : Quick Scan

Total Scan Time : 00:18:14

Memory items scanned : 563

Memory threats detected : 0

Registry items scanned : 488

Registry threats detected : 2

File items scanned : 11194

File threats detected : 0

Adware.MyWebSearch/FunWebProducts

HKCR\CLSID\{9AFB8248-617F-460d-9366-D71CDEDA3179}

HKCR\CLSID\{9AFB8248-617F-460d-9366-D71CDEDA3179}\TreatAs

Eто това са резултатите от сканирането с трите програми.

Ако някой може - да каже какво да правя.

mbam_log_2009_01_26__08_45_24_.txt

SysInspector_INTESA_WS244_090126_0847.zip

Bibini · Януари 26, 2009

Ето и файла от сканирането с AVG.

Scan "Scan whole computer" was finished.

Infections found:;"1"

Infected objects removed or healed:;"1"

Not removed or healed:;"0"

Spyware found:;"0"

Spyware removed:;"0"

Not removed:;"0"

Warnings count:;"14"

Information count:;"0"

Scan started:;"23 Януари 2009 г., 14:09:52"

Scan finished:;"23 Януари 2009 г., 16:31:40 (2 hour(s) 21 minute(s) 47 second(s))"

Total object scanned:;"831165"

User who launched the scan:;"bistra"

Infections

File;"Infection";"Result"

C:\WINDOWS\system32\uhqrsb.qyk;"Virus identified I-Worm/Generic.COL";"Moved to Virus Vault"

Warnings

File;"Infection";"Result"

C:\Documents and Settings\bistra\Cookies\bistra@m.webtrends[2].txt;"Found Tracking cookie.Webtrends";"Potentially dangerous object"

C:\Documents and Settings\bistra\Cookies\bistra@m.webtrends[2].txt:\m.webtrends.com.b4ca7df0;"Found Tracking cookie.Webtrends";"Potentially dangerous object"

C:\Documents and Settings\user\Application Data\Mozilla\Firefox\Profiles\uhnwhdbh.default\cookies.txt;"Found Tracking cookie.Webtrends";"Potentially dangerous object"

C:\Documents and Settings\user\Application Data\Mozilla\Firefox\Profiles\uhnwhdbh.default\cookies.txt:\m.webtrends.com.b4ca7df0;"Found Tracking cookie.Webtrends";"Potentially dangerous object"

C:\Documents and Settings\user\Application Data\Mozilla\Firefox\Profiles\uhnwhdbh.default\cookies.txt:\searchportal.information.com.3a8d7204;"Found Tracking cookie.Information";"Potentially dangerous object"

C:\Documents and Settings\user\Cookies\user@m.webtrends[1].txt;"Found Tracking cookie.Webtrends";"Potentially dangerous object"

C:\Documents and Settings\user\Cookies\user@m.webtrends[1].txt:\m.webtrends.com.b4ca7df0;"Found Tracking cookie.Webtrends";"Potentially dangerous object"

C:\Program Files\True Sword 5\backuped\6\bistra@real[1].txt;"Found Tracking cookie.Real";"Potentially dangerous object"

C:\Program Files\True Sword 5\backuped\6\bistra@real[1].txt:\real.com.14fedd7f;"Found Tracking cookie.Real";"Potentially dangerous object"

C:\Program Files\True Sword 5\backuped\6\bistra@real[1].txt:\real.com.66561182;"Found Tracking cookie.Real";"Potentially dangerous object"

C:\Program Files\True Sword 5\backuped\6\bistra@real[1].txt:\real.com.672c2183;"Found Tracking cookie.Real";"Potentially dangerous object"

C:\Program Files\True Sword 5\backuped\6\bistra@real[1].txt:\real.com.77111473;"Found Tracking cookie.Real";"Potentially dangerous object"

C:\Program Files\True Sword 5\backuped\6\bistra@real[1].txt:\real.com.c4a47fed;"Found Tracking cookie.Real";"Potentially dangerous object"

C:\Program Files\True Sword 5\backuped\6\bistra@real[1].txt:\real.com.fc148bc3;"Found Tracking cookie.Real";"Potentially dangerous object"

Maniac · Януари 26, 2009

Сега:

1. Изтеглете ComboFix
2. Запазете го на десктопа
3. Влезте в Start -> Run... и въведете следната команда последвана от OK:
"%userprofile%\desktop\combofix.exe" /killall
4. След, като програмата приключи ще Ви се отвори Notepad, копирайте съдържанието му и го поставете в следващия си пост тук.

Bibini · Януари 26, 2009

Ето резултата.

log.txt

B-boy/StyLe/ · Януари 26, 2009

Отвори Notepad и въведи:

Killall::

File::
c:\windows\system32\uhqrsb.dll
c:\windows\system32\drivers\Lbd.sys

Driver::
Lbd

DirLooK::
c:\program files\ϰ??

netsvc::
baeagw
ckulzg
ttvnixx
srjiryp

registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\baeagw]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ckulzg]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ttvnixx]

sysrst::

Запази файла с име - CFScript.txt и го провлачи с мишката в Combofix.

http://img522.imageshack.us/img522/482/cfscriptyr1.gif

Копирай лог файла в следващия си пост.

Bibini · Януари 27, 2009

Ето ги резултатите.

logCFScript.txt

B-boy/StyLe/ · Януари 27, 2009

1. Спри System Restore:

Десен бутон на My Computer => Properties => System Restore => слагаш отметка пред Turn Off System Restore

Start => run => cleanmgr => More Options => System Restore => Clean UP

2. Почисти временните файлове с ATF-CLEANER.

(Избираш Select All => само махаш отметката пред Prefetch => Empty Selected).

3. Деинсталирай следния софтуер от Control Panel => ADD/Remove Programs

*Spyware Doctor

*XoftSpySE

*Ad-aware

*Spyware Cleaner 2009

*Spyware Cleaner 2008

*True Sword 5

*SpyHunter

*ESET NOD32 или AVG (по-избор)

Отвори Notepad и въведи:

KillAll::

File::
c:\windows\system32\uhqrsb.dll

NetSvc::
rshqgth
srjiryp

Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\rshqgth]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\srjiryp]

Запази файла с име CFScript.txt и го провлачи в иконата на Combofix.

http://img522.imageshack.us/img522/482/cfscriptyr1.gif

Копирай лог файла в следващия си пост.

4.

Изтегли и стартирай GMER. Изчакай мъничко, за да приключи с началното си сканиране. НЕ кликай Scan, а кликни Copy и после пейстни съдържанието във форума.

Bibini · Януари 27, 2009

Ето резултата след Combofix и GMER.

В GMER ми показа че има проблем.

Вижте и кажете какво да правя.

Благодаря за помощта.

Очаквам и нататък да помогнете.

Защото компа е служебен - на работното ми място.

log1CFScript.txt

logGMER.txt

B-boy/StyLe/ · Януари 27, 2009

Отвори Notepad и въведи:

Killall::
Rootkit::
c:\windows\system32\uhqrsb.dll

Driver::
rshqgth

Netsvc::
rshqgth

Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\rshqgth]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
"BootExecute"="autocheck autochk *"

Запази файла с име CFScript.txt и го провлачи с мишката в иконата на Combofix.

Копирайте лог файла в следващия си пост.

Bibini · Януари 27, 2009

Последното не го приема.Дава ми че е грешна команда.

B-boy/StyLe/ · Януари 27, 2009

Последното не го приема.Дава ми че е грешна команда.

Може ли шотче ?

1. Спрете временно защитата в реално време на антивирусната си програма.

2. Пробвайте да изтеглите Combofix отново:

http://subs.geekstogo.com/ComboFix.exe

3. След това изтеглете прикачения файл и го провлачете в иконата на Combofix

4. Ако се появи отново грешка ще ви помоля за снимка (шотче)

CFScript.txt

Bibini · Януари 27, 2009

Killall::

Rootkit::

c:\windows\system32\uhqrsb.dll

Driver::

rshqgth

Netsvc::

rshqgth

Registry::

[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\rshqgth]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]

"BootExecute"="autocheck autochk *"

и после ми изписва

WERE you trying to run CFScript?

The name,CFScript appears to be incorrectly spelt

Това ми излиза като надпис.

Пак същото.

Снимка не мога да пратя/шотче/.

Имам вирус I-WORM/Generic.col

Препоръчан пост

Link to comment

Сподели другаде

ТОП потребители в тази тема

Популярни дни

ТОП потребители в тази тема

Популярни дни

Link to comment

Сподели другаде

Link to comment

Сподели другаде

Link to comment

Сподели другаде

Link to comment

Сподели другаде

Link to comment

Сподели другаде

Link to comment

Сподели другаде

Link to comment

Сподели другаде

Link to comment

Сподели другаде

Link to comment

Сподели другаде

Link to comment

Сподели другаде

Link to comment

Сподели другаде

Link to comment

Сподели другаде

Link to comment

Сподели другаде

Link to comment

Сподели другаде

Join the conversation