Win32:VB-LYG [Trj] - kako ukloniti?

[Sardi]

3.10.2009 8:46:56 SYSTEM 1500 Sign of "Win32:VB-LYG [Trj]" has been found in "C:\7695514.exe" file.
6.10.2009 7:19:32 SYSTEM 1500 Sign of "Win32:VB-LYG [Trj]" has been found in "C:\1868642.exe" file.
8.10.2009 12:40:31 SYSTEM 1488 Sign of "Win32:VB-LYG [Trj]" has been found in "C:\1459859.exe" file.
9.10.2009 9:34:59 SYSTEM 1504 Sign of "Win32:VB-LYG [Trj]" has been found in "C:\4576924.exe" file.
10.10.2009 7:35:22 SYSTEM 1492 Sign of "Win32:VB-LYG [Trj]" has been found in "C:\3527883.exe" file.

1) avast izbacuje poruku da je blokirao pristup malicious site gidromash.cn/oc/box.txt

2) blokirani su mi svi sajtovi vezani uz riješenja (avast homepage, norton, malwarebytes itd) nit mogu upgrejdat iti jedan spyware/antivirus program

3) Windows data execution program mi odma u startu gasi slijedeće "Image Mastering ADI" "Aplication Layer Gateway Service" "Run Dll As An App"

4) Pri bootanju win xp pojavljuje se logon od windows viste, onda broj 3, te bez ctrl+alt+del i run - explorer.exe se taj isti ne loada

5) iexplorer se takodjer ne moze pokrenut

potrebujem pomoć jer očito ne mogu sam ovo riješit ..

[nino]

IMO, u tom slucaju spajam hard na drugo racunalo i cistim gamad.

[Sardi]

a ako nemaš drugo računalo?

[nino]

Pokusaj skinut Combofix pa proskeniraj.

[Sardi]

Citiraj:

Autor nino

Pokusaj skinut Combofix pa proskeniraj.

već krenuo pa sam morao prvo pokrenuti FixVirut

Symantec W32.Virut Removal Tool 1.1.2
process: winlogon.exe, thread: 00000210 (terminated)
process: winlogon.exe, thread: 00000218 (terminated)

W32.Virut has been successfully removed from your computer!

Here is the report:

The total number of the scanned files: 284289
The number of deleted threat files: 0
The number of threat processes terminated: 0
The number of threat threads terminated: 2
The number of registry entries fixed: 0

The tool initiated a system reboot.

Sad kreće ComboFix.

[Sardi]

ComboFix i dalje ne mogu pokrenuti ..
Pokrenuo sam HijackThis u Safe Modeu i riješio sam se gore navedene točke 3 + ne moram pomoću ctrl+alt+del paliti explorer.exe.

I dalje mi ostaje Vista logon (za kojeg ne znam od kud se stvorio) na Xp sistemu te internet explorer ne mogu pokrenuti, ali s njim ću pokušati reinstall pa vidjeti dali radi.

Edit: HijackThis je ovu stavku, za koju sam na internetu uspio doznati da je virus, popravio/izbrisao - O4 - HKLM\..\Run: [ter8m] RUNDLL32.EXE C:\WINDOWS\system32\msxm192z.dll,w

[stuc]

Jel se moš umrežit sa nekim ako već nemaš drugo računalo ? Sheraj sve particije ako možeš pa antivirus sa drugog računala ti može pomoć.

[Sardi]

za sada na zalost ne mogu, nemam s kim .. al idem dalje, mislim da cu uspjet naci rijesenje ..
za sada mi avast samo izbacuje da je sprijecio konekciju sa gidromash.cn/oc/box.txt stranicom ..
probati cu opet sa HijackThis vidjeti što je našao, možda sam nešto previdio ..
ako ne, onda ComboFix u safe modeu ..

[Sardi]

ComboFix ne mogu pokrenuti nikako .. svaki put mi kaze da je sadrzaj fajla (combofixa) ugrozen i da skinem novu kopiju fajla, i kad skinem, od kud god da skinem, svaki put isto, i obrise se sam od sebe ..

avast mi ovo izbacuje, al ne znam sta da postupim po tome tj. kako da to rijesim

11.10.2009 01:18:53 Network Shield: blocked access to malicious site gidromash.cn/oc/box.txt [ \??\C:\WINDOWS\system32\winlogon.exe ( 668 ) ]

također preko www.anonymouse.org mogu pristupit svim stranicama antivirusnih proizvoda, dok bez toga ne mogu.

kada u Control Panel - Tweak UI postavim "autologon", onda je opet nemoguće bez ctrl+alt+del -> run -> explorer.exe pokrenuti windows explorer ..

[stuc]

E isključi avast kad skidaš combofix i kad ga pokrećeš, meni nod isto nije dao skinuti isti...
Pošto si već zaražen i pun tko zna čega sve još malo guze na vjetrometini virusa ti ništa ne znači

[Sardi]

Citiraj:

Autor stuc

E isključi avast kad skidaš combofix i kad ga pokrećeš, meni nod isto nije dao skinuti isti...
Pošto si već zaražen i pun tko zna čega sve još malo guze na vjetrometini virusa ti ništa ne znači

hvala što se brineš za moju guzu
učinit ću kako si rekao pa editiram ovaj post kasnije

edit: svaki put isto, što god da isključim/uključim .. kad god pokrenem ComboFix, od kud god da ga skinem, ista poruka

[stuc]

To i dalje avast blokira.., isključi sve njegove servise putem:

Start->run->msconfig pa onda vidi pod services i startup šta je sve od avasta te isključi. Restartaj pa onda idi skinit combofix.
Moš usput vidjet dali u startup ima nekih nepoznatih stavki koje se pokreću sa windowsima.

[Sardi]

ništa! opet isto!

Idem sad pokrenut FixVirut od Symanteca, pa ću obrisat sve tempove, pogasit sve što mi je sumnjivo (avast sam pogasio do mrtve točke) i onda opet downloadirat combofix pa probat ..
čak sam i iskopčao 2 hdda za koja mislim da nisu zaraženi ...

[Sardi]

Malwarebytes sam pokrenuo i updejto u safe mode with networking. u tom modeu sve radi fino. al i nakon čišćenja i dalje se u normalnom modeu ne diže explorer.exe nego ga moram preko task managera palit.

idem opet u safe mode w/networking updejtat antivirus i pokrenut ga pri bootu..

[Sardi]

Zaključak:

Gadno malo govno taj trojanac.
Malwarebytes riješi 99% toga u safe mode w/ networking, avast riješi 99% toga što ostane .. napravio sam scan dakle na 3 načina, u safe mode w/networking (jer je to jedini način da updejtate definicije av/spyware programa), u normalnom modeu i prilikom bootanja ..

riješi se 99% štete, al sam trojanac se ne da.. na kraju sam napravio clean format, xp sp3 u startu (dakle bez downloadanja nakon installa) + norton internet security.