Ad-aware wykrył backdoor.win32.sinowal

scythe-x · 19 Sierpień 2008 18:55

Jak w temacie.

Log z HJT: http://wklejto.pl/8360

“Pomożecie?”

Pozdrawiam

Leon1 · 19 Sierpień 2008 18:58

wpis

usuń HijackThisem >> Fix checked

Pobierz Combofix http://forum.dobreprogramy.pl/viewtopic.php?f=16&t=36654 przeskanuj system daj log

scythe-x · 19 Sierpień 2008 20:00

Zrobione. Log z Combofix: http://wklejto.pl/8366

Leon1 · 19 Sierpień 2008 20:46

Otwórz notatnik i wklej

File:: C:\WINDOWS\system32\aabffcce2_d.ocx C:\WINDOWS\Internet Logs\xDBAA.tmp C:\WINDOWS\Internet Logs\xDBAB.tmp C:\WINDOWS\Internet Logs\xDBA8.tmp C:\WINDOWS\Internet Logs\xDBA9.tmp C:\WINDOWS\Internet Logs\tvDebug.zip C:\WINDOWS\Internet Logs\xDBA6.tmp C:\WINDOWS\Internet Logs\xDBA7.tmp C:\WINDOWS\Internet Logs\xDBA4.tmp C:\WINDOWS\Internet Logs\xDBA5.tmp C:\WINDOWS\Internet Logs\xDBA3.tmp C:\WINDOWS\Internet Logs\xDBA2.tmp C:\WINDOWS\Internet Logs\xDBA0.tmp C:\WINDOWS\Internet Logs\xDBA1.tmp C:\WINDOWS\Internet Logs\xDB9E.tmp C:\WINDOWS\Internet Logs\xDB9F.tmp C:\WINDOWS\Internet Logs\xDB9D.tmp C:\WINDOWS\Internet Logs\xDB9B.tmp C:\WINDOWS\Internet Logs\xDB9C.tmp C:\WINDOWS\Internet Logs\xDB99.tmp C:\WINDOWS\Internet Logs\xDB9A.tmp C:\WINDOWS\Internet Logs\xDB95.tmp C:\WINDOWS\Internet Logs\xDB98.tmp C:\WINDOWS\Internet Logs\xDB93.tmp C:\WINDOWS\Internet Logs\xDB94.tmp C:\WINDOWS\Internet Logs\xDB91.tmp C:\WINDOWS\Internet Logs\xDB92.tmp C:\WINDOWS\Internet Logs\xDB90.tmp C:\WINDOWS\Internet Logs\xDB8E.tmp C:\WINDOWS\Internet Logs\xDB8F.tmp C:\WINDOWS\Internet Logs\xDB8C.tmp C:\WINDOWS\Internet Logs\xDB8D.tmp C:\WINDOWS\Internet Logs\xDB8A.tmp C:\WINDOWS\Internet Logs\xDB8B.tmp C:\WINDOWS\Internet Logs\xDB89.tmp C:\WINDOWS\Internet Logs\xDB85.tmp C:\WINDOWS\Internet Logs\xDB86.tmp C:\WINDOWS\Internet Logs\xDB83.tmp C:\WINDOWS\Internet Logs\xDB84.tmp C:\WINDOWS\Internet Logs\xDB82.tmp C:\WINDOWS\Internet Logs\xDB80.tmp C:\WINDOWS\Internet Logs\xDB81.tmp C:\WINDOWS\Internet Logs\xDB7F.tmp C:\WINDOWS\Internet Logs\xDB7E.tmp C:\WINDOWS\Internet Logs\xDB7C.tmp C:\WINDOWS\Internet Logs\xDB7D.tmp C:\WINDOWS\Internet Logs\xDB7A.tmp C:\WINDOWS\Internet Logs\xDB7B.tmp C:\WINDOWS\Internet Logs\xDB78.tmp C:\WINDOWS\Internet Logs\xDB79.tmp C:\WINDOWS\Internet Logs\xDB76.tmp C:\WINDOWS\Internet Logs\xDB77.tmp C:\WINDOWS\Internet Logs\xDB74.tmp C:\WINDOWS\Internet Logs\xDB75.tmp C:\WINDOWS\Internet Logs\xDB72.tmp C:\WINDOWS\Internet Logs\xDB73.tmp C:\WINDOWS\Internet Logs\xDB70.tmp C:\WINDOWS\Internet Logs\xDB71.tmp C:\WINDOWS\Internet Logs\xDB6E.tmp C:\WINDOWS\Internet Logs\xDB6F.tmp C:\WINDOWS\Internet Logs\xDB6C.tmp C:\WINDOWS\Internet Logs\xDB6D.tmp C:\WINDOWS\Internet Logs\xDB6A.tmp C:\WINDOWS\Internet Logs\xDB6B.tmp C:\WINDOWS\Internet Logs\xDB68.tmp C:\WINDOWS\Internet Logs\xDB69.tmp C:\WINDOWS\Internet Logs\xDB67.tmp C:\WINDOWS\Internet Logs\xDB65.tmp C:\WINDOWS\Internet Logs\xDB66.tmp C:\WINDOWS\Internet Logs\xDB64.tmp C:\WINDOWS\Internet Logs\xDB62.tmp C:\WINDOWS\Internet Logs\xDB63.tmp C:\WINDOWS\Internet Logs\xDB60.tmp C:\WINDOWS\Internet Logs\xDB61.tmp C:\WINDOWS\Internet Logs\xDB5E.tmp C:\WINDOWS\Internet Logs\xDB5F.tmp C:\WINDOWS\Internet Logs\xDB5D.tmp C:\WINDOWS\Internet Logs\xDB5B.tmp C:\WINDOWS\Internet Logs\xDB5C.tmp C:\WINDOWS\Internet Logs\xDB5A.tmp C:\WINDOWS\Internet Logs\xDB59.tmp C:\WINDOWS\Internet Logs\xDB58.tmp C:\WINDOWS\Internet Logs\xDB56.tmp C:\WINDOWS\Internet Logs\xDB57.tmp C:\WINDOWS\Internet Logs\xDB55.tmp C:\WINDOWS\Internet Logs\xDB54.tmp C:\WINDOWS\Internet Logs\xDB52.tmp C:\WINDOWS\Internet Logs\xDB53.tmp C:\WINDOWS\Internet Logs\xDB50.tmp C:\WINDOWS\Internet Logs\xDB51.tmp C:\WINDOWS\Internet Logs\xDB4F.tmp C:\WINDOWS\Internet Logs\xDB4D.tmp C:\WINDOWS\Internet Logs\xDB4E.tmp C:\WINDOWS\Internet Logs\xDB4C.tmp C:\WINDOWS\Internet Logs\xDB4B.tmp Folder:: C:\FOUND.000

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri … iemoes.gif

Powinno rozpocząć się usuwanie

Potem log z usuwania Combofix

scythe-x · 19 Sierpień 2008 21:34

Zrobione Log --> http://wklejto.pl/8376

huber2t · 20 Sierpień 2008 02:21

Log wyglada na czysty

usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.

Przeczyść komputer Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum

lub

Dr.WEB CureIt!

scythe-x · 20 Sierpień 2008 10:00

Dobra, oto log z Kaspersky on-line: http://wklejto.pl/8400

W systemie wciąż “coś” siedzi :?

spandaupol · 20 Sierpień 2008 10:06

Pobierz The Avenger zaznacz poniższy tekst

kopiujesz - klikasz na Paste Script from Clipboard - Execute - Potwierdzasz i zgadzasz się na restart klikając OK.

Po wykonaniu skasuj z dysku plik: C:\Avenger\backup.zip i wklej raport na forum C:\avenger.txt

scythe-x · 20 Sierpień 2008 10:16

Zanim wykonam polecenia z ostatniej porady to jeszcze pozwolę sobie zapytać:

SmitfraudFix też do usunięcia? Przecież to pożyteczny program …myślałem, że Kaspersky wyszczególnił go z powodu “nadwrażliwości” tego skanera

Leon1 · 20 Sierpień 2008 10:23

tak do usunięcia takich programów jak SmitfraudFix ,Combofix i tym podobnych nie trzyma się na dysku ponieważ antywirusy mogą traktować je jako potencjalne wirusy ,oraz co kilkanaście dni wychodzą nowe wersje takich programów,

w razie zagrożenia należy pobierać nowe wersje takich programów

scythe-x · 20 Sierpień 2008 10:40

Zrobione. Raport z Avengera: http://wklejto.pl/8405

spandaupol · 20 Sierpień 2008 10:43

Wszystko się usunęło. Powinno być OK. Dla pewności możesz przeskanować raz jeszcze.

Leon1 · 20 Sierpień 2008 10:43

wszystko usunię powinno być OK

scythe-x · 20 Sierpień 2008 12:58

Jeszcze jedno: po ponownym uruchomieniu komp. pojawił sie komunikat (nie wiem czy to następstwo wirusów i ich usuwania czy np. optymalizacji autostartu):

"Narzędzie konfiguracji systemu zostało użyte do zmiany sposobu uruchamiania systemu Windows.

Narzędzie konfiguracji systemu jest obecnie w trybie Uruchamiania diagnostycznego lub selektywnego, co powoduje wyświetlanie się tego komunikatu i uruchamianie narzędzia podczas każdego uruchamiania systemu Windows.

Wybierz tryb Uruchamianie normalne na karcie Ogólne, aby uruchomić system Windows i cofnąć zmiany wprowadzone przy użyciu narzędzia konfiguracji systemu".

Postępować wg tego polecenia czy zrobić coś innego?

huber2t · 20 Sierpień 2008 13:01

Zaznacz ptaszkiem aby sie to więcej nei pojawiało i kliknij Ok i powinno być ok

scythe-x · 20 Sierpień 2008 13:16

O.K.

Leon$, huber2t, spandaupol - wielkie dzięki za pomoc

Pozdrawiam