Infostealer Wowcraft - Fsmgmt.dll

[marius_b]

Witam!

Od jakiegoś czasu mam taki problem. Wszelakie skanowania nie dają rady a Norton wykrywa co jakiś czas takie coś: "infostealer wowcraft". Monituje, że plik fsmgmt.dll (windows/system32) jest zarażony przy czym dodam, że taki plik nie istnieje! A przynajmniej nie widać go w Total Cmd. W trybie awaryjnym usunąłem wszystkie wpisy w rejestrze i przeskanowałem nortonem (nic nie znalazł) ale mimo wszystko dalej monituje o tymże wirusie 8O WTF? Macie jakiś sposób na tego śmiecia?

[Kolobos]

Daj log z combofix oraz hijackthis. Oba wklej na http://wklej.org i podaj link.

[marius_b]

http://wklej.org/id/c93f2a6137

Sporo tego, o to w ogóle chodziło?

 

P.S W nazwi powinna być kropka: infostealer.wowcraft a przynajmniej tak to NAV wyświetlił. Znalazłem też kogoś z podobnym problemem:

 

"Hi... I have the infostealer.wowcraft trojan and recently had my accounted hacked. I got it back, but I still have the trojan. I'm running NAV (I'm not sure what year, but I think 2006), and it detects the trojan. Every hour or so a message pops up telling me that it blocked Infostealer.wowcraft and that my system is secure. I followed the removal instructions on Norton's website (disable system restore, full virus scan, remove a registry key), however this did not work. The virus scan did not find anything (despite the message still appearing every hour), and the registry key I was supposed to remove did not exist. How can I remove this trojan from my system? "

Edytowane 18 Grudnia 2007 przez marius_b

[Kolobos]

Zrob skan przy pomocy SuperAntiSpyware. Usun trojany ze wszystkich nosnikow wymiennych podlacznych pod USB i wylacz autostart dla wszystkich dyskow przy pomocy TweakUi.

 

W hijackthis usun:

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL (file missing)

O20 - Winlogon Notify: fsmgmt - fsmgmt.dll (file missing)

 

Usun z dysku te pliki:

H:\UFO.exe

C:\WINDOWS\system32\secpol.exe

 

 

Wklej do notatnika to:

 

REGEDIT4

 

[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\fsmgmt]

 

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Load]

 

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{22e81ba6-6dfd-11dc-8154-4d6564696130}]

 

Zapisz jako fix.reg i uruchom.

[marius_b]

Wielkie dzięki zrobiłem wszystko wg. przepisu, zobaczymy jak to się sprawdzi. Fajny jest ten Tweak UI przyda mi się i to bardzo :) Co do wykrycia na dysku H to nie wiem jak ale nie miałem nic podpiętego do USB oprócz modemu Sagem f800, no chyba że została zapamiętana karta pamięci mojego aparatu bądź czytnikopendriva 8O - sformatuję to i to. Co do SuperAntSpy - ma zabójczą ikonkę w trayu 8O - skanowanie trwa zobaczymy co wynajdzie...

 

Nie wiem czy to było powiązane ale co jakiś "wywala" mnie z neta, tzn komp chodzi parę godzin i nagle "tracę" połączenie - nie wyświetla stron ani nie pobiera w programach typu bitcomet. Jeśli chodzi o właściwości połączenia (dial up dla neo) to po kliknięciu ppm pokazuje się "rozłącz" (tak jakby był połączony) ale i tak nie da się go użyć. Zupełnie jakby to zawisło. Wtedy wyłączam komputer - pokazują się dwa procesy które są zamykane po czym widzimy ekran windy xp "zapisywanie ustawień" i na tym zostaje. Taki schemat pojawia się z raz dziennie - mam nadzieję, że te powyższe rady pomogą i na to. Wielkie dzięki za poświęcony czas. Dam znać za jakiś czas. Pozdro!

Edytowane 18 Grudnia 2007 przez marius_b