Atak trojana na zaporę ogniową i antywirusa


(Wojtek7774) #1

Witam

Ściągnąłem folder z sieci P2P, który rozpakowałem, była to gra komputerowa. Następnie uruchomiłem aplikację .exe aby zainstalować ową grę, wcześniej skanując ją.

Przypuszczam że wraz z grą zainstalował się trojan, ponieważ, przy dwóch następnych uruchomieniach komputera, zapora wraz z antywirusem nie chciała się uruchomić, a ja nie mogę nic zrobić, gdyż cały komputer tak zwolnił swoje działanie, że ledwo mogłem myszką swobodnie poruszać. Przy trzecim uruchomieniu wszystko powróciło do normy, poza tym że musiałem naprawić antywirusa. Szukałem owego szkodnika, lecz nie mogę go znaleźć, dlatego chciałbym prosić o pomoc. Oto log z HijackThis http://www.wklej.org/hash/53e2b6ab88/ i z ComboFix http://www.wklej.org/hash/22ee7506b5/

Chciałbym jeszcze dodać że zapora ogniowa zanotowała taką akcję wykonaną podczas instalacji setup.exe:

Action: - Access COM Interface

Target: - LocalSecurityAuthority.Shutdown

następnie

Action: - Access COM Interface

Target: - \RPC Control\ntsvcs

Dziękuję za każdą udzieloną pomoc


(huber2t) #2

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

Folder::

C:\FOUND.000

C:\FOUND.027

Plik -> zapisz jako -> CFScript.txt.

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->

cfscript10uc2.gif

Rozpocznie się usuwanie i powstanie log, który dasz na forum.

Logi dajesz na http://wklej.eu lub na http://wklej.org a w poście dajesz tylko link


(Wojtek7774) #3

Proszę, oto nowy log: http://wklej.org/hash/d309b622d7/

Mam jeszcze pytanie, czy to normalne, że ComboFix przy tworzeniu loga "dawał" okienka z błędem: catchme.tmp?


(huber2t) #4

W logu nic nie widzę

usuń ręcznie folder C:\Qoobox , usuń instalkę Combofix z dysku.

Przeczyść system Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar całego komputera http://www.kaspersky.pl/virusscanner.html Daj raport z niego na forum

lub

Dr.WEB CureIt!


(Wojtek7774) #5

Przeskanowałem komputer antywirusem: Dr.WEB CureIt! Za pierwszym razem komputer znalazł wirusa gdzieś w ustawieniach programu i go usunął: Spybot - Search & Destroy, następnie Dr.Web skanował inny folder i komputer się zrestartował. Dlatego dzisiaj powtórzyłem pełne skanowanie i Dr.Web znalazł i oznaczył kilka plików jako prawdopodobne wirusy. Są to pliki pochodzące od programu: MediaCell Mobile Video Converter. Uznał także Silent Runners za wirusa, ale jest to plik który nie dawno ściągnąłem z tej strony. Krótki raport prawdopodobnych wirusów: http://www.speedyshare.com/206559307.html Szukałem na głównej stronie firmy instalki MediaCell Mobile Video Converter, bo myślałem że program zawirusował mi się na komputerze ale za każdym razem kiedy chce ściągnąć instalkę, avast informuje mnie o tym że z instalką ładuje się "reklamiarz" 3 razy. Po tym jak już ściągnę instalkę MediaCell Mobile Video Converter, avast mnie informuje że i ona jest zawirusowana. Więc tak; avast nie wykrywa w poprzedniej instalce wirusa (Dr.Web wykrywa), a w "nowej" instalce avast wykrywa wirusa. Zastanawiam się czy to możliwe że ściągając z tej strony zawsze ściągam wirusa,czy może jest to tylko nieprawidłowa analiza antywirusa? Chodzi mi o tę stronę: http://www.media-cell.com dział download. I jeszcze taka ciekawostka że program znajduje się także na waszej stronie i ścągając z waszej strony mam ten sam komunikat, że plik jest zawirusowany.

-- Dodane 10.02.2009 (Wt) 12:59 --

Mógłbyś odpowiedzieć na mój powyższy post huber2t?