Exploit.html.Iframe.FileDownload - log z Hijack


(Mcrusty) #1

Witam wszystkich serdecznie :slight_smile: Niestety przygodę z forum zaczynam od tego niezbyt miłego posta :frowning: Będę wdzięczny za pomoc :slight_smile:

Od pewnego czasu dziwne rzeczy dzieją mi się z kompem. Czasem zamula na chwilę, a ostatnio f-secure nie mógł włączyć skanera. Ale najważniejsze, że dość regularnie wracają do mnie dwa wiry, które f-secure rozpoznaje jako:

Exploit.html.Iframe.FileDownload

Email-worm.Win32.runonce.b

(literki mogły mi przeskoczyć, bo wydawało mi się, że widziałem 'rounce' - ale czegoś takiego w ogóle nie znalazłem w sieci :? ),

dodano:

...juz wiem - znowu mi się pojawił - Email-Worm.Win32.Runouce.b

no i przy okazji pojawiają mi się pliki o nazwie

ZAPOMNIA-BA17D4.eml (czasem z tekstem 'is comming')

F-secure niby wywala pliki, ale one wciąż wracają.

Trochę poszperałem w sieci, ale nie znalazłem rozwiązania. Zainstalowałem HiJack'a, no i liczę na Waszą pomoc. :mrgreen:

Pozdrawiam:)

mcrusty

tutaj jeszcze log po skanie F-secure: http://up.wklej.org/download.php?id=a34bacf839b923770b2c360eefa26748


(jessica) #2

Rzeczywiście, niewiele z tego można się dowiedzieć o usuwaniu! :frowning:

Na początek wyszukaj ten plik "pp.exe" i usuń.

Nie wiem, czy nie ma atrybutów ochronnych "ukryty" i "systemowy ukryty", więc może przed szukaniem trzeba zrobić to:

Możesz dać jeszcze log z ComboFix (na dole tej strony z linku) -

Log wklej na http://wklej.org/, a w poście daj tylko link.

EDIT:

W logu Hijacka jest prawie czysto - tylko ten powyższy wpis sfiksuj:

>>Hijack>>scan(Do a system scan only)>>zaznacz je >> Fix checked.

jessi


(Mcrusty) #3

tego pp.exe nie znalazł - mimo zastosowania Twojej wskazówki :expressionless: (szukałem już wcześniej)

log z Combo: http://wklej.org/id/1726559bdb

zaraz sFix'uje to, o czym piszesz :slight_smile:

Dzięki za zainteresowanie :slight_smile:

dodano:

....yyy... dziwne? teraz już nie mam tego wpisu :expressionless: To dobrze, czy źle?


(jessica) #4

W logu ComboFixa nie widzę nic podejrzanego.

Rzeczywiście, nie widać w logu tego, co miałeś sfiksować w Hijacku - samo zniknęło?

Jeśli zniknęło tylko jako klucz rejestru - to dobrze. :slight_smile:

Jeśli zniknął także plik "ALCMTR.EXE" - to niezbyt dobrze. :frowning:

Ponieważ nie widać nigdzie nic podejrzanego, to nic Ci nie potrafię doradzić.

Możesz jeszcze użyć SDFix i dać Report.txt znajdujący się w folderze SDFix.

SDFix działa tylko w Trybie Awaryjnym.

Ale z tym SDFixem to zrób tylko, jeśli masz ochotę, bo jest mało prawdopodobne, by to coś pomogło na Twój problem.

jessi


(Mcrusty) #5

Tak, wpis zniknął sam - program jest nawet w dwóch lokalizacjach: katalog Windows oraz w C:\Program Files\Realtek\InstallShield

Jest jeszcze ALCMTR.EXE-235F9538.pf w C:\WINDOWS\Prefetch

Hmm. niby dobrze, ze wpisy są czyste, ale jakoś uspokojony nie jestem :expressionless: Czy jest możliwe, że ten/te wiry siedzą w sieci i dlatego co "chwila" wracają do mnie. Co może być przyczyną?

Tak czy inaczej dziękuję :smiley:

Pozdrawiam

mcrusty


(jessica) #6

Tego pliku"ALCMTR.EXE" nie usuwaj!

Wystarczy, że nie ma wpisu w Hijacku.

jessi


(Mcrusty) #7

Nie no luz... Bez obaw - nie jestem taki szybki w wywalaniu plików z systemu :wink: