Gå til innhold

Foto

Hvordan bli kvitt MSN Virus (pictureYXXX.zip)?


3 svar i denne tråden

#1 Hareide

Hareide

    Bruker

  • Medlemmer
  • 218 innlegg
  •   7. september 2005

Skrevet 24. desember 2007 - 15:42

Har en kammerat som er infisert av et eller annet MSN virus. Etter et par google-søk så var jeg sikker på at jeg kunne hjelpe han via denne siden. Det ser derimot ut som han har en nyere variant av viruset som jeg ikke finner noen informasjon om.

Det som kommer fram til meg er:
"this is my dream house. look at the pool. WOW"
sends pictureYXXX.zip (Y = random liten bokstav, X = random siffer)

Selv ser han ikke noe til sendingen.

I følge linken over, så kan du fjerne det slik:

STEP 1
Delete registry entry: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"nVidia Display Driver" = "nvsvc64.exe"

STEP 2
Restart WINDOWS

STEP 3
Delete virus files:

%System%\nvsvc64.exe
%temp%\imageXX.zip
%temp%\XX.exe

Men han finner ikke registernøkkelen eller noen av filene som er nevn i fjernigsguiden.

De forskjelligefilnavnene hittil:
pictureo467.zip
picturek528.zip
picturer296.zip

Noen som har fått til å fjerne dette, eller har noen gode råd?
  • 0

#2 norbat

norbat

    Bruker

  • Medlemmer
  • 8 382 innlegg
  •   6. oktober 2004

Skrevet 24. desember 2007 - 16:17

Hent Combofix, og legg det på skrivebordet

Kjør combofix.exe, og følg veiledningen.

Post loggfilen fra combofix (c:\combofix.txt), så tar vi det derfra.
  • 0

#3 Hareide

Hareide

    Bruker

  • Medlemmer
  • 218 innlegg
  •   7. september 2005

Skrevet 24. desember 2007 - 17:09

Hent Combofix, og legg det på skrivebordet

Kjør combofix.exe, og følg veiledningen.

Post loggfilen fra combofix (c:\combofix.txt), så tar vi det derfra.


Her er resultatet: Vedlagt fil  ComboFix.txt   6,61K   108 nedlastinger

Er kanskje "drhtdoxqyi"="C:\WINDOWS\system32\drhtdoxqyi.exe" [2007-12-24 12:42] et clue?

24-12-2007 kl 13:01:07 fikk jeg den første "virus" meldingen fra han. Eneste oppstartsprogram jeg ikke kjente igjen var "drhtdoxqyi.exe", men var ikke helt sikker.. Manglende resultater fra google gjør kanskje at dette er en sterk kandidat? :new_woot:

Dette innlegget har blitt redigert av Hareide: 24. desember 2007 - 17:16

  • 0

#4 norbat

norbat

    Bruker

  • Medlemmer
  • 8 382 innlegg
  •   6. oktober 2004

Skrevet 24. desember 2007 - 17:37

Heisann, svarer mellom middag og dessert:

Ja, drhtdoxqyi.exe er saken fra 'msn-viruset'. Den bruker å droppe noen andre filer også, men kan ikke se at de ligger på PC-en vha. combofix-loggen.

Du kan fjerne ramlet på følgende måte:

Åpne notisblokk og kopier inn det som står i fet skrift under, lagre fila på skrivebordet som CFScript.txt. Dra deretter fila over Combofix-iconet. Combofix vil starte igjen. Post loggen.

File::
C:\WINDOWS\system32\drhtdoxqyi.exe

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"drhtdoxqyi"=-

Dette innlegget har blitt redigert av norbat: 25. desember 2007 - 16:33

  • 0


0 bruker(e) leser denne tråden

0 medlemmer, 0 gjester, 0 skjulte brukere