Gå til innhold

Hvordan bli kvitt MSN Virus (pictureYXXX.zip)?


Anbefalte innlegg

Har en kammerat som er infisert av et eller annet MSN virus. Etter et par google-søk så var jeg sikker på at jeg kunne hjelpe han via denne siden. Det ser derimot ut som han har en nyere variant av viruset som jeg ikke finner noen informasjon om.

 

Det som kommer fram til meg er:

"this is my dream house. look at the pool. WOW"

sends pictureYXXX.zip (Y = random liten bokstav, X = random siffer)

 

Selv ser han ikke noe til sendingen.

 

I følge linken over, så kan du fjerne det slik:

 

STEP 1

Delete registry entry: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

"nVidia Display Driver" = "nvsvc64.exe"

 

STEP 2

Restart WINDOWS

 

STEP 3

Delete virus files:

 

%System%\nvsvc64.exe

%temp%\imageXX.zip

%temp%\XX.exe

 

Men han finner ikke registernøkkelen eller noen av filene som er nevn i fjernigsguiden.

 

De forskjelligefilnavnene hittil:

pictureo467.zip

picturek528.zip

picturer296.zip

 

Noen som har fått til å fjerne dette, eller har noen gode råd?

Lenke til kommentar
Videoannonse
Annonse
Hent Combofix, og legg det på skrivebordet

 

Kjør combofix.exe, og følg veiledningen.

 

Post loggfilen fra combofix (c:\combofix.txt), så tar vi det derfra.

 

Her er resultatet: ComboFix.txt

 

Er kanskje "drhtdoxqyi"="C:\WINDOWS\system32\drhtdoxqyi.exe" [2007-12-24 12:42] et clue?

 

24-12-2007 kl 13:01:07 fikk jeg den første "virus" meldingen fra han. Eneste oppstartsprogram jeg ikke kjente igjen var "drhtdoxqyi.exe", men var ikke helt sikker.. Manglende resultater fra google gjør kanskje at dette er en sterk kandidat? :new_woot:

Endret av Hareide
Lenke til kommentar

Heisann, svarer mellom middag og dessert:

 

Ja, drhtdoxqyi.exe er saken fra 'msn-viruset'. Den bruker å droppe noen andre filer også, men kan ikke se at de ligger på PC-en vha. combofix-loggen.

 

Du kan fjerne ramlet på følgende måte:

 

Åpne notisblokk og kopier inn det som står i fet skrift under, lagre fila på skrivebordet som CFScript.txt. Dra deretter fila over Combofix-iconet. Combofix vil starte igjen. Post loggen.

 

File::

C:\WINDOWS\system32\drhtdoxqyi.exe

 

Registry::

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"drhtdoxqyi"=-

Endret av norbat
Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
×
×
  • Opprett ny...