beteero
(Beteero)
8 Listopad 2009 12:08
#1
Bardzo proszę o sprawdzenie logów i pomoc w usunięciu malware’u.
Po kilkunastu minutach pracy, zaczynają pojawiać się okna z grami (w języku polskim i arabskim), w tym momencie następuje paraliż systemu i jedyną możliwścią jest reset z przycisku:(
hi jack
http://www.wklej.org/id/198833/
combofix
http://www.wklej.org/id/198845/
wielkie dzięki za pomoc
Mi się zdaje, że za arabskie strony odpowiada
O1 - Hosts: 127.0.0.2
O1 - Hosts: www.vb.kuwait777.com
<----- Kuwait ? he he i to jest podejrzane
2009-11-05 11:28 . 2009-11-05 11:31 1094546 ----a-w- C:\osnfet.exe
2009-11-08 10:26 . 2009-11-08 10:26 19968 ----a-w- C:\mm.exe
Lecz nie usuwaj, poczekaj na eksperta : )
jessica
(jessica)
8 Listopad 2009 12:43
#3
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components{67EFG7H6-8IJL-56YT-KLH4-76WE2D3RAM87}] c:\config\S-1-5-21-1482476501-1644491937-682003330-1013\ConfDriver.exe C:\mm.exe c:\documents and settings\Administrator.PRZEST-0C6EDF87\751112.exe c:\documents and settings\Administrator.PRZEST-0C6EDF87\751141.exe c:\documents and settings\Administrator.PRZEST-0C6EDF87\Dane aplikacji\Microsoft\MSDN\7.0\index\ \fixed\ \dclick39.dll c:\documents and settings\Administrator.PRZEST-0C6EDF87\Dane aplikacji\Microsoft\MSDN\7.0\index\ \fixed\ \fn32.dll c:\documents and settings\Administrator.PRZEST-0C6EDF87\Dane aplikacji\Microsoft\MSDN\7.0\index\ \fixed\ \ns5.exe c:\documents and settings\Administrator.PRZEST-0C6EDF87\Dane aplikacji\Microsoft\MSDN\7.0\index\ \fixed\ \ns4.exe c:\documents and settings\Administrator.PRZEST-0C6EDF87\Dane aplikacji\Microsoft\MSDN\7.0\index\ \fixed\ \ns2.exe c:\documents and settings\Administrator.PRZEST-0C6EDF87\Dane aplikacji\Microsoft\MSDN\7.0\index\ \fixed\ \ns1.exe c:\documents and settings\Administrator.PRZEST-0C6EDF87\Dane aplikacji\Microsoft\MSDN\7.0\index\ \fixed\ \kav.pif C:\osnfet.exe c:\documents and settings\Administrator.PRZEST-0C6EDF87\200178.exe c:\windows\Winhlep63.exe c:\windows\system32\dlllhost.exe - to jest plik Systemowy, ale może być zarazony! c:\windows\syswin13.exe
Sprawdź je na --> JOTTI/ albo na VIRUSTOTAL . albo na VIRSCAN
jessi
beteero
(Beteero)
8 Listopad 2009 13:18
#4
dziękuję. antyvirusy wykrywają malware np.
http://www.wklej.org/id/198932/
http://www.wklej.org/id/198936/
co mam dalej z tym robić?
dziękuję za podpowiedź
jessica
(jessica)
8 Listopad 2009 13:25
#5
Czy we wszystkich? Bo nie wiem, które usuwać, a które nie…
Daję do usuwania wszystkie, oprócz "c:\windows\system32\dlllhost.exe ".
Jeśli któryś nie jest “zły”, to poniższy Script trzeba będzie zmienić!
Wklej do Notatnika :
File::
c:\config\S-1-5-21-1482476501-1644491937-682003330-1013\ConfDriver.exe
C:\mm.exe
c:\documents and settings\Administrator.PRZEST-0C6EDF87\751112.exe
c:\documents and settings\Administrator.PRZEST-0C6EDF87\751141.exe
c:\documents and settings\Administrator.PRZEST-0C6EDF87\Dane aplikacji\Microsoft\MSDN\7.0\index\ \fixed\ \dclick39.dll
c:\documents and settings\Administrator.PRZEST-0C6EDF87\Dane aplikacji\Microsoft\MSDN\7.0\index\ \fixed\ \fn32.dll
c:\documents and settings\Administrator.PRZEST-0C6EDF87\Dane aplikacji\Microsoft\MSDN\7.0\index\ \fixed\ \ns5.exe
c:\documents and settings\Administrator.PRZEST-0C6EDF87\Dane aplikacji\Microsoft\MSDN\7.0\index\ \fixed\ \ns4.exe
c:\documents and settings\Administrator.PRZEST-0C6EDF87\Dane aplikacji\Microsoft\MSDN\7.0\index\ \fixed\ \ns2.exe
c:\documents and settings\Administrator.PRZEST-0C6EDF87\Dane aplikacji\Microsoft\MSDN\7.0\index\ \fixed\ \ns1.exe
c:\documents and settings\Administrator.PRZEST-0C6EDF87\Dane aplikacji\Microsoft\MSDN\7.0\index\ \fixed\ \kav.pif
C:\osnfet.exe
c:\documents and settings\Administrator.PRZEST-0C6EDF87\200178.exe
c:\windows\Winhlep63.exe
c:\windows\syswin13.exe
Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{67EFG7H6-8IJL-56YT-KLH4-76WE2D3RAM87}]
>>Plik>>Zapisz jako… >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
-------->
Ma się rozpocząć usuwanie. (i powstanie log).
Daj ten log, który powstanie w trakcie usuwania.
jessi
beteero
(Beteero)
8 Listopad 2009 13:34
#6
we wszytskich. łącznie z dlllhost.exe
– Dodane 08.11.2009 (N) 14:42 –
http://www.wklej.org/id/198958/
jessica
(jessica)
8 Listopad 2009 13:51
#7
No tak, dopiero teraz zauważyłam, że ten “dllllhost” ma w nazwie o jedne “l” więcej, niż plik Systemowy!
Nie wszystko się usunęło, więc:
Wklej do Notatnika :
File::
c:\documents and settings\Administrator.PRZEST-0C6EDF87\Dane aplikacji\Microsoft\MSDN\7.0\index\ \fixed\ \dclick39.dll
c:\documents and settings\Administrator.PRZEST-0C6EDF87\Dane aplikacji\Microsoft\MSDN\7.0\index\ \fixed\ \fn32.dll
c:\documents and settings\Administrator.PRZEST-0C6EDF87\Dane aplikacji\Microsoft\MSDN\7.0\index\ \fixed\ \ns5.exe
c:\documents and settings\Administrator.PRZEST-0C6EDF87\Dane aplikacji\Microsoft\MSDN\7.0\index\ \fixed\ \ns4.exe
c:\documents and settings\Administrator.PRZEST-0C6EDF87\Dane aplikacji\Microsoft\MSDN\7.0\index\ \fixed\ \ns2.exe
c:\documents and settings\Administrator.PRZEST-0C6EDF87\Dane aplikacji\Microsoft\MSDN\7.0\index\ \fixed\ \ns1.exe
c:\documents and settings\Administrator.PRZEST-0C6EDF87\Dane aplikacji\Microsoft\MSDN\7.0\index\ \fixed\ \kav.pif
c:\windows\system32\dlllhost.exe
>>Plik>>Zapisz jako… >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
-------->
Ma się rozpocząć usuwanie. (i powstanie log).
jessi