Gå til innhold

Hvordan bli kvitt MSN Virus (pictureYXXX.zip)?


Anbefalte innlegg

Har en kammerat som er infisert av et eller annet MSN virus. Etter et par google-søk så var jeg sikker på at jeg kunne hjelpe han via denne siden. Det ser derimot ut som han har en nyere variant av viruset som jeg ikke finner noen informasjon om.

 

Det som kommer fram til meg er:

"this is my dream house. look at the pool. WOW"

sends pictureYXXX.zip (Y = random liten bokstav, X = random siffer)

 

Selv ser han ikke noe til sendingen.

 

I følge linken over, så kan du fjerne det slik:

 

STEP 1

Delete registry entry: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

"nVidia Display Driver" = "nvsvc64.exe"

 

STEP 2

Restart WINDOWS

 

STEP 3

Delete virus files:

 

%System%\nvsvc64.exe

%temp%\imageXX.zip

%temp%\XX.exe

 

Men han finner ikke registernøkkelen eller noen av filene som er nevn i fjernigsguiden.

 

De forskjelligefilnavnene hittil:

pictureo467.zip

picturek528.zip

picturer296.zip

 

Noen som har fått til å fjerne dette, eller har noen gode råd?

Lenke til kommentar
Videoannonse
Annonse
Hent Combofix, og legg det på skrivebordet

 

Kjør combofix.exe, og følg veiledningen.

 

Post loggfilen fra combofix (c:\combofix.txt), så tar vi det derfra.

 

Her er resultatet: ComboFix.txt

 

Er kanskje "drhtdoxqyi"="C:\WINDOWS\system32\drhtdoxqyi.exe" [2007-12-24 12:42] et clue?

 

24-12-2007 kl 13:01:07 fikk jeg den første "virus" meldingen fra han. Eneste oppstartsprogram jeg ikke kjente igjen var "drhtdoxqyi.exe", men var ikke helt sikker.. Manglende resultater fra google gjør kanskje at dette er en sterk kandidat? :new_woot:

Endret av Hareide
Lenke til kommentar

Heisann, svarer mellom middag og dessert:

 

Ja, drhtdoxqyi.exe er saken fra 'msn-viruset'. Den bruker å droppe noen andre filer også, men kan ikke se at de ligger på PC-en vha. combofix-loggen.

 

Du kan fjerne ramlet på følgende måte:

 

Åpne notisblokk og kopier inn det som står i fet skrift under, lagre fila på skrivebordet som CFScript.txt. Dra deretter fila over Combofix-iconet. Combofix vil starte igjen. Post loggen.

 

File::

C:\WINDOWS\system32\drhtdoxqyi.exe

 

Registry::

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"drhtdoxqyi"=-

Endret av norbat
Lenke til kommentar

Bli med i samtalen

Du kan publisere innhold nå og registrere deg senere. Hvis du har en konto, logg inn nå for å poste med kontoen din.

Gjest
Skriv svar til emnet...

×   Du har limt inn tekst med formatering.   Lim inn uten formatering i stedet

  Du kan kun bruke opp til 75 smilefjes.

×   Lenken din har blitt bygget inn på siden automatisk.   Vis som en ordinær lenke i stedet

×   Tidligere tekst har blitt gjenopprettet.   Tøm tekstverktøy

×   Du kan ikke lime inn bilder direkte. Last opp eller legg inn bilder fra URL.

Laster...
×
×
  • Opprett ny...