Coś blokuje dostęp do www antywirusów - log


(system) #1

Cześć.

Coś mi blokuje dostęp do stron internetowych programów antywirusowych.

Dodatkowo jeszcze chyba coś z autostartem pendrive'ów.

Log z Hijack: http://wklej.org/id/47415/txt.

Proszę o pomoc.


(Michaelp128) #2

Infekcja.

Podaj log z Combofix. Instrukcja :arrow: viewtopic.php?f=16&t=36654

Logi dajesz na wklej.org lub wklej.eu a w poście podajesz tylko link.


(system) #3

Log ComboFixa: http://wklej.org/id/47434/txt


(jessica) #4

Wirus "Conficker" - czarno to widzę.

Potem:

Wklej do Notatnika :

File::

c:\windows\system32\msod3fu.sys

c:\windows\system32\msod3fa.sys

c:\windows\system32\ztqknvsa.dll

c:\windows\system32\msod3ni.sys

c:\program files\Common Files\System\winrdg32.exe

c:\windows\system32\0BE548C2A3.sys


Driver::

Winehplr

bexso


Registry::

[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\bexso]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c8524cc7-690c-11dd-9495-001a73f89b31}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

>>Plik>>Zapisz jako... >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

– podobnie jak na tym obrazku -->cfscript10gm1.gif

Ma się rozpocząć usuwanie. (i powstanie log). Daj ten log.

Sprawdź je na -- JOTTI/ albo na VIRUSTOTAL.

jessi


(Michaelp128) #5

Instrukcja usuwania wirusa "Conficker"


(system) #6

jessica:

Michael Parker:

  • anti-Downadup pokazuje ze jest czysty

Dzięki wielkie za pomoc


(jessica) #7

Ja jednak daję todo usuwania - zdecydowanie to mi się nie podoba. W necie występuje tylko na azjatyckich stronach (też jest usuwane), a Ty chyba nie mieszkasz w Azji.?

Wklej do Notatnika :

File::

c:\windows\system32\msod3ims.sys

c:\windows\system32\msod3cfg.sys

c:\windows\system32\msod3d.sys

c:\windows\system32\msod3doc.sys

c:\windows\system32\msod3i.sys

c:\windows\system32\msod3ier.sys

c:\windows\system32\msod3l.sys

c:\windows\system32\msod3r.sys

c:\windows\system32\msod3vh2.sys

c:\windows\system32\drivers\ipnpf.sys

c:\program files\Common Files\System\winrdg32.exe

c:\windows\system32\msod3fa.sys

c:\windows\system32\msod3fu.sys 

c:\windows\system32\msod3ims.sys 

c:\windows\system32\msod3v.sys

c:\windows\system32\msow32cn.dll


Driver::

IPNPF

Ocular_Server

Winehplr


Registry::

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"2890:TCP"=-

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

"{A16CA976-4B8D-47FC-A9F4-651C17B636EC}"=-

>>Plik>>Zapisz jako... >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

– podobnie jak na tym obrazku -->cfscript10gm1.gif

Ma się rozpocząć usuwanie. (i powstanie log). Daj ten log.

jessi


(system) #8

Nie mieszkam w Azji, a w Szczecinie... :slight_smile:

Log: http://wklej.org/id/47505/txt

Jeszcze raz wielkie dzięki


(jessica) #9
c:\windows\system32\[u]0[/u]BE548C2A3.sys

Ten plik już był usuwany i jest znowu. Być może tworzy go któryś z Twoich programów, zwłaszcza ten:

Na wszelki wypadek sprawdź go (0BE548C2A3.sys) na > http://virusscan.jotti.org/ albo na http://www.virustotal.com/en/indexf.html.

Poza tym wg mnie, czysto.

To było przed użyciem Scriptu, czy może już po użyciu Scriptu?

jessi