Arabski malware - paraliż systemu

beteero · 8 Listopad 2009 12:08

Bardzo proszę o sprawdzenie logów i pomoc w usunięciu malware’u.

Po kilkunastu minutach pracy, zaczynają pojawiać się okna z grami (w języku polskim i arabskim), w tym momencie następuje paraliż systemu i jedyną możliwścią jest reset z przycisku:(

hi jack

http://www.wklej.org/id/198833/

combofix

http://www.wklej.org/id/198845/

wielkie dzięki za pomoc

Jane_Vicodin · 8 Listopad 2009 12:22

Mi się zdaje, że za arabskie strony odpowiada

O1 - Hosts: 127.0.0.2

O1 - Hosts: www.vb.kuwait777.com

<----- Kuwait ? he he i to jest podejrzane

2009-11-05 11:28 . 2009-11-05 11:31	1094546	----a-w-	C:\osnfet.exe

2009-11-08 10:26 . 2009-11-08 10:26	19968	----a-w-	C:\mm.exe

Lecz nie usuwaj, poczekaj na eksperta : )

jessica · 8 Listopad 2009 12:43

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components{67EFG7H6-8IJL-56YT-KLH4-76WE2D3RAM87}] c:\config\S-1-5-21-1482476501-1644491937-682003330-1013\ConfDriver.exe C:\mm.exe c:\documents and settings\Administrator.PRZEST-0C6EDF87\751112.exe c:\documents and settings\Administrator.PRZEST-0C6EDF87\751141.exe c:\documents and settings\Administrator.PRZEST-0C6EDF87\Dane aplikacji\Microsoft\MSDN\7.0\index\ \fixed\ \dclick39.dll c:\documents and settings\Administrator.PRZEST-0C6EDF87\Dane aplikacji\Microsoft\MSDN\7.0\index\ \fixed\ \fn32.dll c:\documents and settings\Administrator.PRZEST-0C6EDF87\Dane aplikacji\Microsoft\MSDN\7.0\index\ \fixed\ \ns5.exe c:\documents and settings\Administrator.PRZEST-0C6EDF87\Dane aplikacji\Microsoft\MSDN\7.0\index\ \fixed\ \ns4.exe c:\documents and settings\Administrator.PRZEST-0C6EDF87\Dane aplikacji\Microsoft\MSDN\7.0\index\ \fixed\ \ns2.exe c:\documents and settings\Administrator.PRZEST-0C6EDF87\Dane aplikacji\Microsoft\MSDN\7.0\index\ \fixed\ \ns1.exe c:\documents and settings\Administrator.PRZEST-0C6EDF87\Dane aplikacji\Microsoft\MSDN\7.0\index\ \fixed\ \kav.pif C:\osnfet.exe c:\documents and settings\Administrator.PRZEST-0C6EDF87\200178.exe c:\windows\Winhlep63.exe c:\windows\system32\dlllhost.exe - to jest plik Systemowy, ale może być zarazony! c:\windows\syswin13.exe

Sprawdź je na --> JOTTI/ albo na VIRUSTOTAL. albo na VIRSCAN

jessi

beteero · 8 Listopad 2009 13:18

dziękuję. antyvirusy wykrywają malware np.

http://www.wklej.org/id/198932/

http://www.wklej.org/id/198936/

co mam dalej z tym robić?

dziękuję za podpowiedź

jessica · 8 Listopad 2009 13:25

Czy we wszystkich? Bo nie wiem, które usuwać, a które nie…

Daję do usuwania wszystkie, oprócz "c:\windows\system32\dlllhost.exe ".

Jeśli któryś nie jest “zły”, to poniższy Script trzeba będzie zmienić!

Wklej do Notatnika :

File::


c:\config\S-1-5-21-1482476501-1644491937-682003330-1013\ConfDriver.exe

C:\mm.exe

c:\documents and settings\Administrator.PRZEST-0C6EDF87\751112.exe

c:\documents and settings\Administrator.PRZEST-0C6EDF87\751141.exe

c:\documents and settings\Administrator.PRZEST-0C6EDF87\Dane aplikacji\Microsoft\MSDN\7.0\index\ \fixed\ \dclick39.dll

c:\documents and settings\Administrator.PRZEST-0C6EDF87\Dane aplikacji\Microsoft\MSDN\7.0\index\ \fixed\ \fn32.dll

c:\documents and settings\Administrator.PRZEST-0C6EDF87\Dane aplikacji\Microsoft\MSDN\7.0\index\ \fixed\ \ns5.exe

c:\documents and settings\Administrator.PRZEST-0C6EDF87\Dane aplikacji\Microsoft\MSDN\7.0\index\ \fixed\ \ns4.exe

c:\documents and settings\Administrator.PRZEST-0C6EDF87\Dane aplikacji\Microsoft\MSDN\7.0\index\ \fixed\ \ns2.exe

c:\documents and settings\Administrator.PRZEST-0C6EDF87\Dane aplikacji\Microsoft\MSDN\7.0\index\ \fixed\ \ns1.exe

c:\documents and settings\Administrator.PRZEST-0C6EDF87\Dane aplikacji\Microsoft\MSDN\7.0\index\ \fixed\ \kav.pif

C:\osnfet.exe

c:\documents and settings\Administrator.PRZEST-0C6EDF87\200178.exe

c:\windows\Winhlep63.exe

c:\windows\syswin13.exe


Registry::

[-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{67EFG7H6-8IJL-56YT-KLH4-76WE2D3RAM87}]

>>Plik>>Zapisz jako… >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

-------->

Ma się rozpocząć usuwanie. (i powstanie log).

Daj ten log, który powstanie w trakcie usuwania.

jessi

beteero · 8 Listopad 2009 13:34

we wszytskich. łącznie z dlllhost.exe

– Dodane 08.11.2009 (N) 14:42 –

http://www.wklej.org/id/198958/

jessica · 8 Listopad 2009 13:51

No tak, dopiero teraz zauważyłam, że ten “dllllhost” ma w nazwie o jedne “l” więcej, niż plik Systemowy!

Nie wszystko się usunęło, więc:

Wklej do Notatnika :

File::

c:\documents and settings\Administrator.PRZEST-0C6EDF87\Dane aplikacji\Microsoft\MSDN\7.0\index\ \fixed\ \dclick39.dll

c:\documents and settings\Administrator.PRZEST-0C6EDF87\Dane aplikacji\Microsoft\MSDN\7.0\index\ \fixed\ \fn32.dll

c:\documents and settings\Administrator.PRZEST-0C6EDF87\Dane aplikacji\Microsoft\MSDN\7.0\index\ \fixed\ \ns5.exe

c:\documents and settings\Administrator.PRZEST-0C6EDF87\Dane aplikacji\Microsoft\MSDN\7.0\index\ \fixed\ \ns4.exe

c:\documents and settings\Administrator.PRZEST-0C6EDF87\Dane aplikacji\Microsoft\MSDN\7.0\index\ \fixed\ \ns2.exe

c:\documents and settings\Administrator.PRZEST-0C6EDF87\Dane aplikacji\Microsoft\MSDN\7.0\index\ \fixed\ \ns1.exe

c:\documents and settings\Administrator.PRZEST-0C6EDF87\Dane aplikacji\Microsoft\MSDN\7.0\index\ \fixed\ \kav.pif

c:\windows\system32\dlllhost.exe

>>Plik>>Zapisz jako… >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

-------->

Ma się rozpocząć usuwanie. (i powstanie log).

jessi