worm.win32 netsky

January 25, 2010 at 14:24:23
Specs: Windows XP
im having trouble getting rid of this virus, i have the scan of smitfraudfix

SmitFraudFix v2.424

Scan done at 16:58:15.25, Mon 01/25/2010
Run from C:\Documents and Settings\Administrator\My Documents\Downloads\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{13c4e2ec-fe34-42dc-958c-b2120328a3b2}"="mujuzedij"

[HKEY_CLASSES_ROOT\CLSID\{13c4e2ec-fe34-42dc-958c-b2120328a3b2}\InProcServer32]
@="c:\windows\system32\yobuwiji.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{13c4e2ec-fe34-42dc-958c-b2120328a3b2}\InProcServer32]
@="c:\windows\system32\yobuwiji.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP Removed.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\Program Files\Google\googletoolbar1.dll Deleted

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» RK


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{50C3BBF0-6A19-4AC7-BE57-F5F3F92166BE}: DhcpNameServer=209.18.47.61 209.18.47.62
HKLM\SYSTEM\CS1\Services\Tcpip\..\{50C3BBF0-6A19-4AC7-BE57-F5F3F92166BE}: DhcpNameServer=209.18.47.61 209.18.47.62
HKLM\SYSTEM\CS2\Services\Tcpip\..\{50C3BBF0-6A19-4AC7-BE57-F5F3F92166BE}: DhcpNameServer=209.18.47.61 209.18.47.62
HKLM\SYSTEM\CS3\Services\Tcpip\..\{50C3BBF0-6A19-4AC7-BE57-F5F3F92166BE}: DhcpNameServer=209.18.47.61 209.18.47.62
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=209.18.47.61 209.18.47.62
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=209.18.47.61 209.18.47.62
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=209.18.47.61 209.18.47.62
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=209.18.47.61 209.18.47.62


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK.2

»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{13c4e2ec-fe34-42dc-958c-b2120328a3b2}"="mujuzedij"

[HKEY_CLASSES_ROOT\CLSID\{13c4e2ec-fe34-42dc-958c-b2120328a3b2}\InProcServer32]
@="c:\windows\system32\yobuwiji.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{13c4e2ec-fe34-42dc-958c-b2120328a3b2}\InProcServer32]
@="c:\windows\system32\yobuwiji.dll"

»»»»»»»»»»»»»»»»»»»»»»»» End


See More: worm.win32 netsky

Report •


#1
February 1, 2010 at 22:45:56
See the worm win32 netsky removal instructions at http://darfuns.com/virus-removal/wo...

Report •
Related Solutions


Ask Question