Имам вирус I-WORM/Generic.col

[B-boy/StyLe/]

Изтегли The Avenger и я стартирай.

Копирай следния текст (Ctrl+C и го пейстни в полето на The Avenger - Ctrl+V):

 

Files to delete:
Files to delete:
c:\windows\system32\uhqrsb.dll

Drivers to delete:
rshqgth
vrvfo

Registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rshqgth
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\rshqgth
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\rshqgth
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vrvfo

 

Кликни бутон Execute и потвърди с Yes на всички въпроси.

Ако системата забие на син екран след рестарта, това е нормално в случая. Просто я рестартирай, ако тя не се рестартира автоматично.

Копирай лог файла в следващия си пост.

 

Отвори Notepad и въведи:

 

REGEDIT4

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager]
"BootExecute"="autocheck autochk *"

 

Запази файла с име Fix.reg и го стартирай.

[Bibilota]

OK.

Утре ще го пробвам и пак ще пиша какъв е резултата.

[B-boy/StyLe/]

Утре като изпълняваш скрипта с The Avenger нека обаче да е в този си вид: (стъпките са същите като тези описани в горния ми пост).

 

Files to delete:
c:windowssystem32uhqrsb.dll

Drivers to delete:
rshqgth
vrvfo

Registry keys to delete:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesrshqgth
HKEY_LOCAL_MACHINESYSTEMControlSet001Servicesrshqgth
HKEY_LOCAL_MACHINESYSTEMControlSet003Servicesrshqgth
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesvrvfo

 

Дам...как не се сетих по-рано...Същите симптоми, както при Conficker/downloadup/Kido...

 

ArcaVir ----- Worm.Kido.ih

A-squared ----- Net-Worm.Win32.Kido!IK

Avast -----Nothing

AVG ----- I-Worm/Generic.COL

AntiVir V8 ----- Worm/Kido.EO

BitDefender ----- Win32.Worm.Downadup.Gen

ClamWin -----Nothing

Dr.Web V5 ----- Win32.HLLW.Shadow.based

Eset V3 -----Nothing

Ikarus ----- Net-Worm.Win32.Kido

Jiangmin -----Nothing

Kaspersky ----- Net-Worm.Win32.Kido.eo

Kingsoft ----- Worm.Kido.ih.270336

VBA32 ----- Net-Worm.Win32.Kido.eo

 

След като изпълниш скрипта и копираш лог файла в отговова си...изтегли следните тулчета и почисти и с тях:

 

Removal Tools

 

1. Microsoft Malicious Software Removal Tool

 

2. EConfickerRemover

 

3. McaFee Avert Stinger

 

4. Symantec FixDownloadup

 

5. KidoKiller

 

6. bdtools

 

Добре е да се инсталират и следните актуализации:

 

- MS09-001

 

- MS08-068

 

- MS08-067

[Bibini]

Добре е да се инсталират и следните актуализации:

 

- MS09-001

 

- MS08-068

 

- MS08-067

 

Дава ми че съм с по-нова актуализация и няма смисъл да ъпдейтвам с тези и да обновявам.

Аз съм с Windows XP Service Pack 3,а тези ги дава само за Service Pack 2,а за Service Pack 3 дава че няма.

 

Какво да правя нататък?

[B-boy/StyLe/]

Ами...едва ли...

 

Първия е от January 13, 2009 и би трябвало да става за:

 

Windows XP Service Pack 2 and Windows XP Service Pack 3

 

Останалите са малко по-стари, но и те имат версии за SP2/SP3...

 

Както и да е.

 

Ами продължи със скрипта на The Avenger и копирай лога в отговора си.

 

Провери и с малките тулчета (с различен цвят) и при възможност копирай и тяхните рапорти.

 

[Bibini]

всичко останало съм направила.

Навсякъде ми даде че е изчистено и няма вируси.

Пуснах GMER и там вече не ми дава нищо.

Прикрепям файла на AVENGER.

 

После ми кажи защо не дава другите ъпдейтвания да тръгнат?

avengerlog.txt

[B-boy/StyLe/]

Можеш ли да пуснеш още веднъж Combofix ?

 

http://subs.geekstogo.com/ComboFix.exe

[Bibini]

Пускам го сега.Без други команди

Само ComboFix да стартирам?

[Night_Raven]

Абе, не че нещо, ама по принцип ComboFix не е иструмент да се пуска за щяло и нещяло. Разбирам, че е добър, но имам чувството, че се прекалява с употребата му в случая. И много хубаво не е на хубаво.

[Bibini]

Ми все пак е добре че някой се опитва да ми помага?

А ти какво ще предложиш да направя в случая Night_Raven ?

[B-boy/StyLe/]

Абе, не че нещо, ама по принцип ComboFix не е иструмент да се пуска за щяло и нещяло. Разбирам, че е добър, но имам чувството, че се прекалява с употребата му в случая. И много хубаво не е на хубаво.

 

Ами не точно. Специално за Conficker имам нужда от това да бъде пуснат още веднъж без никакви команди...

 

Да Bibini просто го стартирай и прикачи лог файла (задължително е да се изтрие старата версия на инструмента и да бъде изтеглена новата от линка по-нагоре).

 

Просто не ми хареса грешката, която даде вчера...и в лога на The Avenger също...не видях да се е изтрило всичко.

 

Надявам се след изтриването на драйвера vrvfo нещата да са се подобрили значително.

 

Даже ако може и един последен лог от Gmer да прикачиш няма да се разсърдя.

 

Лично аз също избягвам да го препоръчвам често...Има алтернативи като DSS, OtlistIt, RSIT => които дават подобна информация, че понякога и по-пълна, но при тях не могат да използват допълнителни команди и да се почистват упоритите гадинки...А OtMoveIt2 е доста по-слаб инструмент.

[Night_Raven]

Ми все пак е добре че някой се опитва да ми помага?

А ти какво ще предложиш да направя в случая Night_Raven ?

Аз не съм казал, че помощта трябва да бъде прекратена, а изразявам опасения от честото използване на ComboFix.

Темата не съм я следял задълбочено, защото вече има потребител, който те е "поел" (като пациент). Затова и на този етап не мога да предложа нищо конкретно. Ако настояваш, ще прегледам темата по-обстойно.

[Bibini]

Ето го лога на ComboFix

ComboFixLog.txt

[B-boy/StyLe/]

Ами мога да кажа поздравления.

 

Лога изглежда значително по-добре.

 

Остава само да почистим.

 

Отворете C:\Windows и стартирайте файла gmer_uninstall.cmd за да деинсталираме GMER.

 

(ако лиспва този файл не се притеснявайте, GMER така или иначе ще бъде почистен чрез ToolsCleaner2).

 

Надявам се сте деинсталирали: (ако не сте го направете).

 

*NOD32

*Ad-aware

*True Sword

*SpyHunter (Enigma Software)

 

Време е за последен скрипт:

 

Отворете Notepad и въведете:

 

Killall::

Folder::
c:\documents and settings\All Users\Application Data\ESET
c:\documents and settings\All Users\Application Data\Lavasoft
c:\program files\Enigma Software Group
c:\documents and settings\bistra\Application Data\True Sword

netsvc::
vrvfo

registry::
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]

sysrst::

 

Запазете файла с име CFScript и го провлачете в иконата на (затворен) ComboFix.

 

След това изтеглете ToolsCleaner2

 

Изберете опцията Recherche за да може инструмента да претърси за остатъци от програмите с които сме работили.

 

http://i34.servimg.com/u/f34/11/81/38/50/211.jpg

 

След това натиснете => Suppression за да почистим намереното и Quitter за да затворите приложението.

 

http://i34.servimg.com/u/f34/11/81/38/50/311.jpg

 

Това беше. Лек и успешен ден.

[Bibini]

Прикачам логфайла на ComboFix.

ComboFixLog1.txt