x-kom hosting

malware doctor

Yerbaka
utworzono
utworzono

Witam załapałem tego wirusa , zainstalowalem malwarebytes i zrobiłem skan

oto log:

[log]Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Wersja bazy: 4131

Windows 5.1.2600 Dodatek Service Pack 2
Internet Explorer 6.0.2900.2180

22.05.2010 21:12:11
mbam-log-2010-05-22 (21-12-11).txt

Typ skanowania: Pełne skanowanie (G:\|H:\|)
Przeskanowano obiektów: 141511
Upłynęło: 49 minut(y), 49 sekund(y)

Zainfekowanych procesów w pamięci: 2
Zainfekowanych modułów w pamięci: 0
Zainfekowanych kluczy rejestru: 4
Zainfekowanych wartości rejestru: 5
Zainfekowane informacje rejestru systemowego: 1
Zainfekowanych folderów: 0
Zainfekowanych plików: 12

Zainfekowanych procesów w pamięci:
G:\Documents and Settings\abc 1\Dane aplikacji\8C45D3D14241EF154A54486EE5BFF143\gotnewupdate005002.exe (Malware.Packer.Gen) -> No action taken.
G:\WINDOWS\system32\EXPLORER.EXE (Password.Stealer) -> No action taken.

Zainfekowanych modułów w pamięci:
(Nie znaleziono zagrożeń)

Zainfekowanych kluczy rejestru:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{34191832-b958-4ee8-9d1c-93f9916fccc5} (Trojan.BHO.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{34191832-b958-4ee8-9d1c-93f9916fccc5} (Trojan.BHO.H) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{34191832-b958-4ee8-9d1c-93f9916fccc5} (Trojan.Boxxe) -> No action taken.
HKEY_CURRENT_USER\{D45817B8-3EAD-4d1d-8FCA-EC63A8E35DE2} (Adware.DoubleD) -> No action taken.

Zainfekowanych wartości rejestru:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\81m1zorj (Trojan.FakeAlert.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\81m1zorj (Trojan.FakeAlert.H) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\gotnewupdate005002.exe (Malware.Packer.Gen) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\explorer.exe (Password.Stealer) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wsctf.exe (Trojan.Agent) -> No action taken.

Zainfekowane informacje rejestru systemowego:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> No action taken.

Zainfekowanych folderów:
(Nie znaleziono zagrożeń)

Zainfekowanych plików:
G:\WINDOWS\system32\avifil.dll (Trojan.BHO.H) -> No action taken.
G:\WINDOWS\system32\81m1zorj.exe (Trojan.FakeAlert.H) -> No action taken.
G:\Documents and Settings\abc 1\Dane aplikacji\8C45D3D14241EF154A54486EE5BFF143\gotnewupdate005002.exe (Malware.Packer.Gen) -> No action taken.
G:\WINDOWS\system32\EXPLORER.EXE (Password.Stealer) -> No action taken.
G:\Documents and Settings\abc 1\Dane aplikacji\8C45D3D14241EF154A54486EE5BFF143\hookdll.dll (Rogue.AntimalwareDoctor) -> No action taken.
G:\Documents and Settings\abc 1\Ustawienia lokalne\Temp\Coreg.dll (Trojan.Boxxe) -> No action taken.
G:\Documents and Settings\NetworkService\Ustawienia lokalne\Temporary Internet Files\Content.IE5\K1E3W1YJ\hxak[1].png (Worm.Conficker) -> No action taken.
G:\WINDOWS\system32\tmcetlle.dll (Worm.Conficker) -> No action taken.
G:\WINDOWS\irunin.bmp (Malware.Trace) -> No action taken.
G:\WINDOWS\irunin.dat (Malware.Trace) -> No action taken.
G:\WINDOWS\irunin.ini (Malware.Trace) -> No action taken.
G:\WINDOWS\irunin.lng (Malware.Trace) -> No action taken.[/log]


czy komputer już jest oczyszczony czy muszę coś jeszcze zrobić?
pozdrawiam

[color="#ff0000"]//przenoszę do subforum Logi do sprawdzenia
//raaz[/color]

Tomek01
komentarz
komentarz

Jak może być już czysty jak nie podjąłeś działań usuwania w trakcie skanu. [b]No action taken.[/b]

Załącz logi OTL i RSIT.

Yerbaka
komentarz
komentarz (edytowane)

Rsit:
http://wklej.org/id/338454/
http://wklej.org/id/338455/

OTL :
http://wklej.org/id/338457/
http://wklej.org/id/338460/


mam nadzieje, że wszystko dobrze wkleiłem i nic nie pomieszałem
pozdrawiam

Tomek01
komentarz
komentarz (edytowane)

Jest infekcja z pendrive'a.

Zastosuj [b][color=#0000CD][url=http://download.bleepingcomputer.com//sUBs/Flash_Disinfector.exe]Flash Disinfector[/url][/color][/b], najlepiej z podpiętym pendrive'm.


Do notatnika systemowego wklej taki tekst, (bez frazy kod):
[code]Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"G:\WINDOWS\system32\81m1zorj.exe"=-
[ -HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0b2ab83a-455b-11df-94fb-000b6a1668d6}]
[ -HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{19d1b872-4b04-11df-9514-000b6a1668d6}]
[ -HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2f97de3a-3f55-11df-94db-000b6a1668d6}]
[ -HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{42af2be6-3f33-11df-94da-000b6a1668d6}]
[ -HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ce02bee0-1da5-11df-ab05-000b6a1668d6}]
[ -HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e9551a8a-4f73-11df-952b-000b6a1668d6}][/code]
Plik zapisz jako/zmień rozszerzenie na wszystkie pliki/zapisz jako fix.reg/dwuklikiem dodajesz do rejestru.


Pobierz [b][url=http://www.instalki.pl/programy/download/antyspyware/get.php?file=avenger]Avenger[/url][/b]
W polu input script here wklej taki tekst (bez frazy kod):
[code]Files to delete:
D:\EXPLORER.EXE
C:\EXPLORER.EXE

Folders to delete:
G:\Documents and Settings\abc 1\Ustawienia lokalne\Dane aplikacji\.#[/code]
Klikasz execute, komputer uruchamia się ponownie.


Do [url="http://jpshortstuff.247fixes.com/SystemLook.exe"][b]System Look[/b][/url]
[code]:file
G:\WINDOWS\system32\svchost.exe

:filefind
svchost* [/code]
Wciśnij look, pokaz co wyskoczy.


Następnie pełny skan Mbam i usuwaj wszystko w trybie skanu. Załącz raport.

Załączasz raport z Avengera, nowe logi OTL, RSIT i log z Silent Runners.

Yerbaka
komentarz
komentarz (edytowane)

"Jest infekcja z pendrive'a." co to oznacza?
dawno nie podłączałem jakiejkolwiek pamięci zewnętrznej bo to chyba o nią chodzi prawda?
no ale zastosuję się do rad, jak narazie dziekuję bardzo:)

Tomek01
komentarz
komentarz

To oznacza dokładnie to, że masz wirusa z pamięci USB. Nie musiało się to stać w tej chwili.
Czekam na wykonanie zaleconych czynności.

  • 1 miesiąc później...
Yerbaka
komentarz
komentarz

[i]Do notatnika systemowego wklej taki tekst, (bez frazy kod)[/i]
jak to się robi?

Gość
komentarz
komentarz (edytowane)

inaczej:

podepnij peny itd
zastosuj flasha -> http://download.bleepingcomputer.com//sUBs/Flash_Disinfector.exe

nastepnie po zastosowaniu:

[b]1.[/b] Uruchom [b]OTL[/b] i w oknie [b]Custom Scans/Fixes[/b] wklej to:
[quote]
:OTL
MsConfig - StartUpReg: [b]WinampAgent[/b] - hkey= - key= - H:\Program Files\Winamp\winampa.exe File not found
O33 - MountPoints2\{0b2ab83a-455b-11df-94fb-000b6a1668d6}\Shell\AutoRun\command - "" = F:\EXPLORER.EXE -- File not found
O33 - MountPoints2\{0b2ab83a-455b-11df-94fb-000b6a1668d6}\Shell\explore\Command - "" = F:\
O33 - MountPoints2\{0b2ab83a-455b-11df-94fb-000b6a1668d6}\Shell\open\Command - "" = F:\EXPLORER.EXE -- File not found
O33 - MountPoints2\{19d1b872-4b04-11df-9514-000b6a1668d6}\Shell\AutoRun\command - "" = C:\EXPLORER.EXE -- File not found
O33 - MountPoints2\{19d1b872-4b04-11df-9514-000b6a1668d6}\Shell\explore\Command - "" = C:\EXPLORER.EXE -- File not found
O33 - MountPoints2\{19d1b872-4b04-11df-9514-000b6a1668d6}\Shell\open\Command - "" = C:\EXPLORER.EXE -- File not found
O33 - MountPoints2\{2f97de3a-3f55-11df-94db-000b6a1668d6}\Shell\AutoRun\command - "" = G:\WINDOWS\explorer.exe -- [2006.03.02 14:00:00 | 001,033,728 | ---- | M] (Microsoft Corporation)
O33 - MountPoints2\{2f97de3a-3f55-11df-94db-000b6a1668d6}\Shell\explore\Command - "" = G:\WINDOWS\explorer.exe -- [2006.03.02 14:00:00 | 001,033,728 | ---- | M] (Microsoft Corporation)
O33 - MountPoints2\{2f97de3a-3f55-11df-94db-000b6a1668d6}\Shell\open\Command - "" = G:\WINDOWS\explorer.exe -- [2006.03.02 14:00:00 | 001,033,728 | ---- | M] (Microsoft Corporation)
O33 - MountPoints2\{42af2be6-3f33-11df-94da-000b6a1668d6}\Shell\AutoRun\command - "" = C:\EXPLORER.EXE -- File not found
O33 - MountPoints2\{42af2be6-3f33-11df-94da-000b6a1668d6}\Shell\explore\Command - "" = C:\EXPLORER.EXE -- File not found
O33 - MountPoints2\{42af2be6-3f33-11df-94da-000b6a1668d6}\Shell\open\Command - "" = C:\EXPLORER.EXE -- File not found
O33 - MountPoints2\{8ddaa33a-ab65-11de-bda0-806d6172696f}\Shell - "" = AutoRun
O33 - MountPoints2\{8ddaa33a-ab65-11de-bda0-806d6172696f}\Shell\AutoRun\command - "" = F:\setup.exe -- File not found
O33 - MountPoints2\{ce02bee0-1da5-11df-ab05-000b6a1668d6}\Shell - "" = AutoRun
O33 - MountPoints2\{e9551a8a-4f73-11df-952b-000b6a1668d6}\Shell\AutoRun\command - "" = C:\EXPLORER.EXE -- File not found
O33 - MountPoints2\{e9551a8a-4f73-11df-952b-000b6a1668d6}\Shell\explore\Command - "" = C:\EXPLORER.EXE -- File not found
O33 - MountPoints2\{e9551a8a-4f73-11df-952b-000b6a1668d6}\Shell\open\Command - "" = C:\EXPLORER.EXE -- File not found
O4 - HKLM..\Run: [Resume copy] G:\WINDOWS\COPYFSTQ.EXE ()
@Alternate Data Stream - 99 bytes -> G:\Documents and Settings\All Users\Dane aplikacji\TEMP:EF6E4E62

:Files
G:\Documents and Settings\abc 1\Dane aplikacji\8C45D3D14241EF154A54486EE5BFF143
G:\WINDOWS\system32\tmcetlle.dll
G:\Documents and Settings\NetworkService\Ustawienia lokalne\Temporary Internet Files\Content.IE5\K1E3W1YJ
G:\Documents and Settings\abc 1\Ustawienia lokalne\Temp
G:\WINDOWS\system32\EXPLORER.EXE

:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"SuperHidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""

:Commands
[emptytemp]
[Reboot]
[/quote]
Kliknij w [b][color=red]Run Fix[/b][/color]. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom [b]OTL[/b] ponownie, tym razem kliknij "[b][color=blue]Run Scan[/b][/color]".

Pokaż nowy log OTL.txt oraz raport z usuwania.

[b]2.[/b] pokaż log z GMERA -> http://www.forumpc.pl/index.php?showtopic=116175&st=0&p=810100&#entry810100

Yerbaka
komentarz
komentarz

log po usuwaniu :
http://wklej.org/id/357323/

log po scanie :
http://wklej.org/id/357324/


logi z gamera wrzucę później

Gość
komentarz
komentarz

jest w porządku.

czekamy na log z gmera

Yerbaka
komentarz
komentarz

log gamer:
http://wklej.org/id/357466/

log2 z gamera nie odnalazł żadnych modyfikacji

Gość
komentarz
komentarz (edytowane)

jest ok!
mozesz jeszcze raz przeskanowac mbamem

Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!

Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.

×
×
  • Dodaj nową pozycję...

Powiadomienie o plikach cookie

Strona wykorzystuje pliki cookies w celu prawidłowego świadczenia usług i wygody użytkowników. Warunki przechowywania i dostępu do plików cookies możesz zmienić w ustawieniach przeglądarki.