x-kom hosting

SINOWAL.gen!M jak usunąć to dziadostwo

tarlaf
utworzono
utworzono

Narzędzie Windows do usuwania... raportuje mi

Found malware: PWS:Win32/Sinowal.gen!M in file://C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\uninstall.exeQuick Scan Removal Results----------------Start 'remove' for file://\\?\C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\uninstall.exeOperation succeeded !Start 'remove' for startup://\\?\C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\uninstall.exeOperation succeeded !

Niestety ten plik wciąż się tam znajduje, nawet po usunięciu Avengerem. W załączeniu raport z CF. Czy mogę prosić o instrukcje? :niepewny: Z góry dziękuję.

ComboFix.txt

ComboFix.txt

Gość
komentarz
komentarz

Wklej do Notatnika:

KillAll::File::c:\documents and settings\All Users\Menu Start\Programy\Autostart\uninstall.exeFolder::C:\FOUND.001C:\FOUND.000Registry::[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"LaunchApp"=-

>>Plik>>Zapisz jako... >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

-->cfscriptb5b4me3.gif

Ma się rozpocząć usuwanie. (i powstanie log).Daj ten log, który powstanie w trakcie usuwania.

Jeśli pójdzie dobrze, to: Po restarcie usuń ręcznie folder C:\Qoobox.

.

tarlaf
komentarz
komentarz

Daj ten log, który powstanie w trakcie usuwania.

Dawam.

c:\documents and settings\All Users\Menu Start\Programy\Autostart\uninstall.exe nadal na swoim tradycyjnym miejscu. Jednorazowo udało mi się go wysłać w kosmos, ale zaraz pojawił się gong systemowy i znowu tam jest.

ComboFix.txt

ComboFix.txt

tarlaf
komentarz
komentarz (edytowane)
Master Boot Record HDD1 zainfekowany wirusem BackDoor.MaosBootActive Boot Sector HDD1 - OKOS/2 or WinNT Boot Sector HDD1 - OK(...)[Test ścieżki] c:\documents and settings\all users\menu start\programy\autostart\uninstall.exec:\documents and settings\all users\menu start\programy\autostart\uninstall.exe zainfekowany wirusem Trojan.Packed.2447 - niewyleczalny - przeniesiony

pełny log

Po restarcie c:\documents and settings\All Users\Menu Start\Programy\Autostart\uninstall.exe zniknał. Na chwilę?

Czy dalej też powinieniem przejść scenariusz jak tutaj? Jak widać z logu w linku infekcja dotyczy laptopa z preinstalką na ukrytej partycji i nie mam płyty, żeby uruchomić FIXMBR (mam konsolę odzysku).

-----------

Po następnym pełnym skanie Dr. Web CureIt! nie znalazł już nic w MBR, tylko sygnalizował ComboFix wszędzie, gdzie było można: na pulpicie, w ściągniętych plikach przeglądarki i w pliku odzyskiwania - wszystko sobie poprzenosił.

Master Boot Record HDD1 - OKActive OS/2 or WinNT Boot Sector HDD1 - OKOS/2 or WinNT Boot Sector HDD1 - OK(...)C:\Documents and Settings\Łukasz\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\rdg8fzzc.default\Cache\FA4CCC3Fd01/32788R22FWJFW\c.bat prawdopodobnie zainfekowany wirusem BATCH.VirusC:\Documents and Settings\Łukasz\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\rdg8fzzc.default\Cache\FA4CCC3Fd01 - archiwum zawierające zainfekowane obiekty - przeniesiony>>C:\Documents and Settings\Łukasz\Pulpit\ComboFix.exe/32788R22FWJFW\c.bat prawdopodobnie zainfekowany wirusem BATCH.VirusC:\Documents and Settings\Łukasz\Pulpit\ComboFix.exe - archiwum zawierające zainfekowane obiekty - przenoszenie zabronione przez użytkownikaC:\system volume information\_restore{9CF6E208-8282-4CCE-93E8-69AE01A9A130}\RP1\A0000023.bat prawdopodobnie zainfekowany wirusem BATCH.VirusC:\system volume information\_restore{9CF6E208-8282-4CCE-93E8-69AE01A9A130}\RP1\A0000092.exe zainfekowany wirusem Trojan.Packed.2447 - niewyleczalny - przeniesionyC:\system volume information\_restore{9CF6E208-8282-4CCE-93E8-69AE01A9A130}\RP1\A0000097.exe/32788R22FWJFW\c.bat prawdopodobnie zainfekowany wirusem BATCH.VirusC:\system volume information\_restore{9CF6E208-8282-4CCE-93E8-69AE01A9A130}\RP1\A0000097.exe - archiwum zawierające zainfekowane obiekty - przeniesionyC:\system volume information\_restore{9CF6E208-8282-4CCE-93E8-69AE01A9A130}\RP1\A0000103.bat prawdopodobnie zainfekowany wirusem BATCH.VirusC:\system volume information\_restore{9CF6E208-8282-4CCE-93E8-69AE01A9A130}\RP1\A0000203.bat prawdopodobnie zainfekowany wirusem BATCH.VirusC:\system volume information\_restore{9CF6E208-8282-4CCE-93E8-69AE01A9A130}\RP1\A0000345.exe zainfekowany wirusem Trojan.Packed.2447 - niewyleczalny - przeniesiony
Gość
komentarz
komentarz

Więc po kolei:

- Log z MBR.

- Najnowsza log z ComboFixa.

.

tarlaf
komentarz
Gość
komentarz
komentarz

W celu wykonania czyszczenia MBR należy zastartować do Trybu waryjnego, uruchomić cmd (Start>>>Uruchom>>>cmd) a w linii komend wpisać polecenie C:\mbr.exe -f (spacja między mbr.exe a -f) i ENTER.

Wykonaj to.

.

tarlaf
komentarz
komentarz

Po wykonaniu pojawił się log dokładnie taki jak załączony dwa posty wyżej.

Dodatkowo załączam log z CF. Stare wpisy rejestru, które są w nim widoczne dotyczą wszystkiego co znajduje się w preinstalce (podrzucają nawet Nortona), przynajmniej ja nic dziwnego tam nie widzę. Narzędzie do usuwania... nic już nie wykrywa, a unistall.exe nie pojawiło się ponownie.

ComboFix.txt

ComboFix.txt

Gość
komentarz
komentarz

Uruchom Konsolę odzyskiwania i wpisz w niej FIXMBR.

.

tarlaf
komentarz
komentarz

Po uruchomieniu fixmbr wyrzucił ostrzeżenie o "nieprawidłowy lub niestandardowy" itd., ale po wykonaniu był komunikat, że "przywrócono poprawnie..." i po restarcie normalnie się załadował.

Czy log z CF jest już OK?

Log z mbr.exe jest nadal bez zmian. Jak rozumiem problem polega na usunięciu nieaktywnych kopii infekcji z dalszych sektorów dysku (które jak można sądzić po działaniu fixmbr leżą poza mbr), które nie ładują się automatycznie. Tylko czy to naprawdę problem?

Gość
komentarz
komentarz

ComboFix jest OK.

W takim razie:

1. Usuń szczątki ComboFixa programem OTC.

2. Z folderu "System Volume Information" usuniesz kopie "wirusów" poprzez chwilowe wyłączenie "Przywracania Systemu":

>Panel Sterowania>System>Przywracanie Systemu>>zaznacz w okienku przy "Wyłącz przywracanie na wszystkich dyskach">Zastosuj>OK.

Potem możesz powrócić do poprzedniego ustawienia (czyli usunąć zaznaczenie z okienka).

3. Wykonaj Optymalalizację Systemu.

4. Użyj programów Mebroot Fixtool + ESET Mebroot Remover = wklej raporty.

.

tarlaf
komentarz
komentarz
FixMebroot v1.0.1FixMebroot could not open its device driver!
ESET Win32/Mebroot fixer v1.3 - Copyright © 2009 ESET spol. s r.o.  system Mj 5, Mn 1, Bd 2600, SP 2MBR rootkit (Win32/Mebroot) was not found on your system
Gość
komentarz
komentarz

OK.

1. Użyj programu Malwarebytes.

Wciskamy Skanuj, wybieramy dyski do skanowania i Rozpoczynamy skanowanie, na końcu wciskamy Usuń zaznaczone jak będą i Ok.

Wrzuć wygenerowany raport po usuwaniu MBAMem.

2. Wklej logi z Catchme + GMER'a.

.

Gość
komentarz
komentarz

isk \Device\Harddisk0\DR0 sector 61: malicious code @ sector 0x950e4c1 size 0x1e4

Disk \Device\Harddisk0\DR0 sector 62: copy of MBR

Spróbuj to zniszczyć Gmerem. Poza tym - jest OK.

.

tarlaf
komentarz
komentarz

To znaczy co mam zrobić konkretnie? To nie są pliki, więc przydałby się bardziej program dający dostęp do sektorów dysku.

Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!

Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.

×
×
  • Dodaj nową pozycję...

Powiadomienie o plikach cookie

Strona wykorzystuje pliki cookies w celu prawidłowego świadczenia usług i wygody użytkowników. Warunki przechowywania i dostępu do plików cookies możesz zmienić w ustawieniach przeglądarki.