Bezskuteczna walka z Win32:Kamso

Zbicin · 14 Sierpień 2009 19:34

Dostałem zainfekowanego kompa do przywrócenia do życia. Sądząc po komunikatach Avasta przy skanie, zasyfiony został tylko przez Win32:Kamso.

Wiadomo - zrobiłem gruntowny skan Avastem (przed rozruchem Windy również), co się dało to usunąłem. Pozbyłem się również plików x:\autorun.inf i wyłączyłem przywracanie systemu.

Komp teoretycznie już śmiga, jednak po podłączeniu do neta, po kilkunastu sekundach zalicza zgon - Pulpit czy Menu Start przestają odpowiadać.

Daję loga HiJackThis, jeśli będzie potrzebne coś jeszcze - proszę dać znać. Sam sfiksowałem to co wypatrzyłem za szkodliwe, ale na pewno coś ominąłem - czekam na pomoc bardziej doświadczonych osób.

http://wklejto.pl/40588

ciemnowidz · 15 Sierpień 2009 04:52

Po pierwsze doprowadź system do stanu SP3. Zastosuj WWDC

Wklej log z OTL i GMER

Logi wklej na wklej.org lub wklej.to a tutaj tylko link do wklejki.

Zbicin · 15 Sierpień 2009 10:57

Co masz na myśli pisząc “doprowadź system do stanu SP3”? Zainstalować SP3? :oops:

I cóż poblokować/poenablować w WWDC?

Zaraz zrobię logi i zedytuję post.

@edit

OTL

OTL Extras

GMER

anon53382939 · 15 Sierpień 2009 11:22

Zainstaluj SP3 :!:

ciemnowidz · 15 Sierpień 2009 12:54

Prawie nic nie widać. Wklej w OTL taki tekst

:OTL PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation) O33 - MountPoints2{492bcf22-6d88-11de-92dd-00130236ae3a}\Shell\AutoRun\command - “” = F:\p.exe – File not found O33 - MountPoints2{492bcf22-6d88-11de-92dd-00130236ae3a}\Shell\open\Command - “” = F:\p.exe – File not found O33 - MountPoints2{5a64c660-6bb5-11de-92ca-00130236ae3a}\Shell\AutoRun\command - “” = F:\22yj2fy1.exe – File not found O33 - MountPoints2{5a64c660-6bb5-11de-92ca-00130236ae3a}\Shell\open\Command - “” = F:\22yj2fy1.exe – File not found O33 - MountPoints2{6a56a516-28fd-11de-91e2-00130236ae3a}\Shell\AutoRun\command - “” = F:\6rxt26.exe – File not found O33 - MountPoints2{6a56a516-28fd-11de-91e2-00130236ae3a}\Shell\open\Command - “” = F:\6rxt26.exe – File not found O33 - MountPoints2{bbcdcbe0-dc4a-11dd-90f6-00130236ae3a}\Shell\AutoRun\command - “” = F:\p.exe – File not found O33 - MountPoints2{bbcdcbe0-dc4a-11dd-90f6-00130236ae3a}\Shell\open\Command - “” = F:\p.exe – File not found :Files C:\Documents and Settings\All Users\Dane aplikacji\2833C C:\Documents and Settings\All Users\Dane aplikacji\2E3C8 :Reg [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “SuperHidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “Hidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “ShowSuperHidden”=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] “CheckedValue”=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptytemp] [start explorer] [Reboot]

Klikasz Run Fix. Po restarcie kliknij CleanUp, bo więcej nie widać.

Wyłącz na chwilę przywracanie systemu - XP/Vista

Wykonaj pełny skan Malwarebytes Anti-Malware, jeśli coś znajdzie - usuń i wklej log.

Przeczyść dysk i rejestr CCleaner’em.

Podepnij pamięci przenośne i zastosuj FlashDisinfector

Jest tam jeszcze BearShare, bo widzę śmieci po nim. Aplikacja do wywalenia w każdym razie.

W WWDC wszystko klikasz tam gdzie czerwone, jak stracisz internet to cofasz zmianę dla środkowego przyscisku.

Zbicin · 15 Sierpień 2009 15:22

Wszystko zrobione - problem nadal jest.

Log z Malwarebytes Anti-Malware:

http://wklej.org/hash/691a1792d5/

Ciekawe, że komp zamula dopiero po podłączeniu do neta. Zainstaluje firewalla i podpatrze co się chce łączyć z netem. Najwyraźniej tylko jakaś aplikacja stwarza problem.

ciemnowidz · 15 Sierpień 2009 15:29

Problem jest po podłączeniu do neta bo XP SP2 ma tyle luk, że jest podatny na robaki sieciowe. System musi być zaktualizowany do Service Pack 3. Przy SP2 nie ma co nawet mówić o połączeniu z internetem bez mocnego firewalla (co i tak nie zwalnia od aktualizacji).

Zbicin · 15 Sierpień 2009 15:35

SP3 już zainstalowałem wcześniej ;]

ciemnowidz · 15 Sierpień 2009 15:42

No to zainstaluj jakiś dobry firewall i zobacz jak będzie.

Zbicin · 16 Sierpień 2009 12:35

Tak więc mały update informacji co się dzieje:

Zainstalowałem Sunbelt Personal Firewall i póki blokuję całkowicie ruch w sieci - komp śmiga. Po kilkunastu sek. od odblokowania - zamuły, a w rezultacie zwis. Jeśli ogarnąłem odpowiednio ów program, to powinien blokować wszystkie inne aplikacje niż kilka typowo windowsowych, zdefiniowanych już przez program (Generic Host Process… itp itd). Zmienię jeszcze firewall, może wbudowana karta sieciowa nawala, podłącze inną. Będę walczył. (;

Usunąłem w międzyczasie cały syf jaki mógł przeszkadzać (MediaBar po BearShare, iTunes, etc, etc).

ciemnowidz · 16 Sierpień 2009 13:46

To

niejako przeczy temu

Bo to typowe dla XP SP2 lub XP bez firewalla. Zmień na Comodo i zobacz co będzie.

Zbicin · 16 Sierpień 2009 19:07

No i ładnie, tego się nie spodziewałem. Zwiechę i zamułę po podłączeniu do neta powoduje… aktualizacja Avasta :o

Tylko mam jedną zagadkę i już ślę podziękowania ( ): dlaczego svhost.exe łączył się z tym IP: 87.248.218.250 (edit: o, a teraz np 87.248.217.112) zapychając całe łącze (Neo 512)? Cóż to może być?

@edit

W sumie może jakieś paskudztwo blokuje aktualizację Avasta? :F

ciemnowidz · 16 Sierpień 2009 20:34

Co do tego svchost to wrzuć jeszcze log z OTL tylko przy Servicess przestaw na All.

Zbicin · 17 Sierpień 2009 11:39

Z tego co widzę, to svchost już się uspokoił :F

Log z OTL:

http://wklej.org/hash/220f0093d6/

Gwoli ścisłości Avasta zastąpił trial NODa.

ciemnowidz · 17 Sierpień 2009 12:26

Nic nie ma. Kliknij CleanUp w OTL.