Показано с 1 по 9 из 9.

Can't ged rid of Koobface.k

  1. #1
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    02.11.2009
    Сообщений
    4
    Вес репутации
    46

    Can't ged rid of Koobface.k

    Hi virus fighters,
    yesterday my Win XP machine was infected. AVG alerts, that it is koobface.k, which generates .exe files in different directories. A scan does not find anything, so does not Spybot, MBAM only finds the generated exes.
    I used avz and hijackthis to analize the system and added the log files. Is anyone able to help?
    Many many thanks!!!
    Kind regards,
    hris

  2. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,712
    Вес репутации
    2833
    1. Please, disable System Restore and antivirus (if you have).
    2. Execute the script in AVZ:

    Код:
    begin
    ClearQuarantine;
    SetAVZGuardStatus(True);
     DelBHO('{B3ADDB7B-3DF5-4672-82DD-775FFF180134}');
     DelBHO('{3E5EEB2C-A8BC-4E99-B84A-A25439A9C5B9}');
     QuarantineFile('C:\WINDOWS\system32\vturo.dll','');
     DeleteFile('C:\WINDOWS\system32\vturo.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    ExecuteRepair(13);
    BC_Activate;
    CreateQurantineArchive('C:\quarantine.zip');
    RebootWindows(true);
    end.
    After restart upload file C:\quarantine.zip, by link http://virusinfo.info/upload_virus.php?tid=59110

    3. Fix in HijackThis:

    O20 - Winlogon Notify: rqrsqnm - C:\WINDOWS\
    4. Attach a new virusinfo_syscheck.zip.
    Сердце решает кого любить... Судьба решает с кем быть...

  3. #3
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    02.11.2009
    Сообщений
    4
    Вес репутации
    46

    Great!!

    Aleksandra, what a great work! Seems there is no virus terror anymore.

    Thank you so much! Will you marry me?

    Kind regards,
    Chris

  4. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,712
    Вес репутации
    2833
    1. Start/Run..., type or copy & paste

    Код:
    edit %systemroot%\system32\drivers\etc\hosts
    Clean hosts - file: remove all the strings after 127.0.0.1 localhost

    2. Execute the script in AVZ:

    Код:
    begin
    SetServiceStart('Schedule', 4);
    DeleteFileMask('C:\WINDOWS\Tasks', 'At*.job', false);
    end.
    3. Attach a new virusinfo_syscheck.zip.
    Сердце решает кого любить... Судьба решает с кем быть...

  5. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    @chrissibaby
    Цитата Сообщение от Aleksandra Посмотреть сообщение
    Код:
    edit %systemroot%\system32\drivers\etc\hosts
    Clean hosts - file: remove all the strings after 127.0.0.1 localhost
    Da Du zu viele unnötigen Einträge zu entfernen hast, einfacher wäre's:
    Start/Ausführen...
    notepad %systemroot%\system32\drivers\etc\hosts
    Strg+A um alles zu markieren, Entf- um alles zu entfernen.
    Den Code:
    Код:
    # Copyright (c) 1993-1999 Microsoft Corp.
    #
    # Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
    # für Windows 2000 verwendet wird.
    #
    # Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
    # Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
    # Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
    # Hostnamen stehen.
    # Die IP-Adresse und der Hostname müssen durch mindestens ein
    # Leerzeichen getrennt sein.
    #
    # Zusätzliche Kommentare (so wie in dieser Datei) können in
    # einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
    # aber müssen mit dem Zeichen '#' eingegeben werden.
    #
    # Zum Beispiel:
    #
    #      102.54.94.97     rhino.acme.com          # Quellserver
    #       38.25.63.10     x.acme.com              # x-Clienthost
    127.0.0.1       localhost
    kopieren und in die Datei einfügen, Datei speichern. Beachte bitte, dass die Datei keine Erweiterung bekommt, ggf. umbenennen in hosts
    Fertig ist die Sache

  6. #6
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    02.11.2009
    Сообщений
    4
    Вес репутации
    46
    @ Aleksandra:

    Followed your advice and everything appears very clean now. Thank you very much!

    Kind regrads,
    Chris

    @ Rene-gad:

    Danke fьr den Hinweis! Es war sogar noch eine Kopie der ursprьnglichen hosts-Datei vorhanden, die ich nur umbenennen musste. Netter Wurm, der sogar noch Backups anlegt.

    Ihr macht wirklich einen tollen Job, Respekt! Was ich vorher alles fьr Tools ausprobiert habe, und wieviel Zeit ich verplempert habe, ohne etwas zu erreichen.

    Noch eine kurze Frage:
    Ich habe den betroffenen Rechner an einem Windows Homeserver dranhдngen. Kцnnen eigentlich Schдdlinge auch eigenstдndig auf den Server rьberspringen? Also mьssste ich den Server nochmal speziell absichern?

    Nochmal vielen Dank, und viele GrьЯe,
    Chris

  7. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Цитата Сообщение от chrissibaby Посмотреть сообщение
    Netter Wurm, der sogar noch Backups anlegt.
    Wenn Du hosts-Datei durch die s.g. Immunisierung im Spybot S&D oder einem anderen Tool dieser Art vorgenommen hast, wurde möglicherweise auch ein Backup angelegt; die Verunstaltung der hosts-Datei in Deinem Fall geschah keinesfalls malwareseitig
    Kцnnen eigentlich Schдdlinge auch eigenstдndig auf den Server rьberspringen?
    So wie die Hasen - kaum . Beim Verdacht: bitte Logs vom Server (oder einem anderen PC) unbedingt in einem neuen Thread anhängen.
    Also mьssste ich den Server nochmal speziell absichern?
    Was heißt speziell? Service Pack + All Updates + vernünftige Firewall (HW-Firewall wäre die beste Lösung gewesen) + hier lesen: http://faq.underflow.de/#SECTION000110000000000000000

    BTW: Aleksandra spricht auch Deutsch

  8. #8
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    02.11.2009
    Сообщений
    4
    Вес репутации
    46

    Hat doch nicht geklappt

    Nach der gestrigen Reinigungsaktion erschien alles wunderbar, aber ...

    Wenn ich die permante Ьberwachung durch AVG abschalte, werden direkt wieder neue .exe-Files angelegt. AVG meint, dass dies koobface-Dinger wдren - aber stimmt das wohl?

    Kasp. Virus Removal Tool bezeichnet diese exen als "Trojan Downloader".

    MBAM hat heute "Trojan Vundo" gefunden und auch entfernt, genьtzt hat es aber nichts. Die exen werden weiter produziert.

    AVZ4 kann ich nicht mehr aufrufen, weil AVG die avz.exe als "SHeur2.BPQO" ablehnt. Bei abgeschalteter permaneter Ьberwachung durch AVG kann ich das Verzeichnis mit der avz.exe zwar ohne Virusalarm цffnen, aber beim Doppelklick wird mir gesagt, dass ich nicht die nцtigen Rechte zum Ausfьhren habe.

    Wenn ich also AVG laufen habe, passiert nichts - aber es ist ja trotzdem eine Infektion im System - kein gutes Gefьhl!

    Hat noch jemand eine Idee? Oder ist da jegliche Mьhe vergebens, und ich sollte lieber das System neu aufsetzen?

    Viele GrьЯe,
    Chris

  9. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Цитата Сообщение от chrissibaby Посмотреть сообщение
    Hat noch jemand eine Idee?
    Du kannst noch versuchen, den PC von einem Live CD-Antivirus scannen. Solche gibt es zum Downoaden z.B. bei Avira oder Dr. Web.
    Lade mal noch kiss_me.pif herunter, es ist eine polymorphe AVZ-Version, vllt. klappt es mit den Logs.
    Diese Version bedarf kein DB-Updates!!!

Похожие темы

  1. A More 'Human' Koobface, a More Dangerous Facebook
    От Ruthless в разделе Computer security news
    Ответов: 0
    Последнее сообщение: 11.11.2009, 20:54

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00664 seconds with 16 queries