Arabski malware - paraliż systemu


(Beteero) #1

Bardzo proszę o sprawdzenie logów i pomoc w usunięciu malware'u.

Po kilkunastu minutach pracy, zaczynają pojawiać się okna z grami (w języku polskim i arabskim), w tym momencie następuje paraliż systemu i jedyną możliwścią jest reset z przycisku:(

hi jack

http://www.wklej.org/id/198833/

combofix

http://www.wklej.org/id/198845/

wielkie dzięki za pomoc


(Jane Vicodin) #2

Mi się zdaje, że za arabskie strony odpowiada

O1 - Hosts: 127.0.0.2

O1 - Hosts: www.vb.kuwait777.com

<----- Kuwait ? he he i to jest podejrzane

2009-11-05 11:28 . 2009-11-05 11:31	1094546	----a-w-	C:\osnfet.exe

2009-11-08 10:26 . 2009-11-08 10:26	19968	----a-w-	C:\mm.exe

Lecz nie usuwaj, poczekaj na eksperta : )


(jessica) #3

Sprawdź je na --> JOTTI/ albo na VIRUSTOTAL. albo na VIRSCAN

jessi


(Beteero) #4

dziękuję. antyvirusy wykrywają malware np.

http://www.wklej.org/id/198932/

http://www.wklej.org/id/198936/

co mam dalej z tym robić?

dziękuję za podpowiedź


(jessica) #5

Czy we wszystkich? Bo nie wiem, które usuwać, a które nie..

Daję do usuwania wszystkie, oprócz "c:\windows\system32\dlllhost.exe ".

Jeśli któryś nie jest "zły", to poniższy Script trzeba będzie zmienić!

Wklej do Notatnika :

File::


c:\config\S-1-5-21-1482476501-1644491937-682003330-1013\ConfDriver.exe

C:\mm.exe

c:\documents and settings\Administrator.PRZEST-0C6EDF87\751112.exe

c:\documents and settings\Administrator.PRZEST-0C6EDF87\751141.exe

c:\documents and settings\Administrator.PRZEST-0C6EDF87\Dane aplikacji\Microsoft\MSDN\7.0\index\ \fixed\ \dclick39.dll

c:\documents and settings\Administrator.PRZEST-0C6EDF87\Dane aplikacji\Microsoft\MSDN\7.0\index\ \fixed\ \fn32.dll

c:\documents and settings\Administrator.PRZEST-0C6EDF87\Dane aplikacji\Microsoft\MSDN\7.0\index\ \fixed\ \ns5.exe

c:\documents and settings\Administrator.PRZEST-0C6EDF87\Dane aplikacji\Microsoft\MSDN\7.0\index\ \fixed\ \ns4.exe

c:\documents and settings\Administrator.PRZEST-0C6EDF87\Dane aplikacji\Microsoft\MSDN\7.0\index\ \fixed\ \ns2.exe

c:\documents and settings\Administrator.PRZEST-0C6EDF87\Dane aplikacji\Microsoft\MSDN\7.0\index\ \fixed\ \ns1.exe

c:\documents and settings\Administrator.PRZEST-0C6EDF87\Dane aplikacji\Microsoft\MSDN\7.0\index\ \fixed\ \kav.pif

C:\osnfet.exe

c:\documents and settings\Administrator.PRZEST-0C6EDF87\200178.exe

c:\windows\Winhlep63.exe

c:\windows\syswin13.exe


Registry::

[-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{67EFG7H6-8IJL-56YT-KLH4-76WE2D3RAM87}]

>>Plik>>Zapisz jako... >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

-------->cfscript10gm1.gif

Ma się rozpocząć usuwanie. (i powstanie log).

Daj ten log, który powstanie w trakcie usuwania.

jessi


(Beteero) #6

we wszytskich. łącznie z dlllhost.exe

-- Dodane 08.11.2009 (N) 14:42 --

http://www.wklej.org/id/198958/


(jessica) #7

No tak, dopiero teraz zauważyłam, że ten "dllllhost" ma w nazwie o jedne "l" więcej, niż plik Systemowy!

Nie wszystko się usunęło, więc:

Wklej do Notatnika :

File::

c:\documents and settings\Administrator.PRZEST-0C6EDF87\Dane aplikacji\Microsoft\MSDN\7.0\index\ \fixed\ \dclick39.dll

c:\documents and settings\Administrator.PRZEST-0C6EDF87\Dane aplikacji\Microsoft\MSDN\7.0\index\ \fixed\ \fn32.dll

c:\documents and settings\Administrator.PRZEST-0C6EDF87\Dane aplikacji\Microsoft\MSDN\7.0\index\ \fixed\ \ns5.exe

c:\documents and settings\Administrator.PRZEST-0C6EDF87\Dane aplikacji\Microsoft\MSDN\7.0\index\ \fixed\ \ns4.exe

c:\documents and settings\Administrator.PRZEST-0C6EDF87\Dane aplikacji\Microsoft\MSDN\7.0\index\ \fixed\ \ns2.exe

c:\documents and settings\Administrator.PRZEST-0C6EDF87\Dane aplikacji\Microsoft\MSDN\7.0\index\ \fixed\ \ns1.exe

c:\documents and settings\Administrator.PRZEST-0C6EDF87\Dane aplikacji\Microsoft\MSDN\7.0\index\ \fixed\ \kav.pif

c:\windows\system32\dlllhost.exe

>>Plik>>Zapisz jako... >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

-------->cfscript10gm1.gif

Ma się rozpocząć usuwanie. (i powstanie log).

jessi