Fałszywy program, dziwne przekierowania - log z ComboFix


(Tom86) #1

Witam serdecznie!

W systemie pojawił się jakiś syf - przeglądarka przekierowuje na stronę z badziewnym programem antywirusowym, na pulpicie pojawił się komunikat: WARNING dangerous spyware. Nie wygląda to dobrze, dlatego zamieszczam loga z ComboFix: http://wklej.org/id/22569/.

Proszę uprzejmie o analizę i dalsze wskazówki.

Z góry dzięki, pozdrawiam!


(huber2t) #2

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

c:\windows\system32\fqmqbhfw.dll

c:\windows\system32\vwtddpdd.dll

c:\windows\system32\ddcAroMe.dll

c:\windows\system32\frmwrk32.exe

c:\windows\system32\warning.gif

c:\windows\system32\ntdll64.exe

C:\N2r4.exe


Registry::

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"688cbf1a"=-

Plik -> zapisz jako -> CFScript.txt.

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->

cfscript10uc2.gif

Rozpocznie się usuwanie i powstanie log, który dasz na forum.

Logi dajesz na http://wklej.eu lub na http://wklej.org a w poście dajesz tylko link


(Tom86) #3

Witam ponownie!

Oto log po zastosowaniu skryptu: http://wklej.org/id/22633/

Czekam na ocenę :slight_smile:


(Gutek) #4

Zastosuj się do tego Tematu i zmień tytuł tematu na konkretny inaczej KOSZ

Pozdrawiam Gutek2222

Wklej do Notatnika:

File::

c:\windows\system32\awwofdyn.dll

c:\windows\system32\rejechsg.dll

c:\windows\system32\fccabyxW.dll

c:\windows\system32\cbXQifdd.dll

c:\windows\system32\ahtn.htm

c:\windows\system32\uniq.tll

c:\windows\system32\test.ttt

c:\windows\system32\jetaccs.dll


Registry::

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1D236A3C-3248-4A3E-A68A-9950D5D0381E}]

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6088F692-55CC-4BD0-811E-888B4C4F9D6F}]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

"AppInit_DLLs"=-

"AppInit_DLLs"=""

>>Plik>>Zapisz jako... >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku -->88953CFScript-createdbyMiekiemoes.gif

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: **** Qoobox.

Po tym nowy log z Combo

Wykonaj skan Dr. Web CureIt


(Tom86) #5

Witam!

Oto log: http://wklej.org/id/22759/

Pozdrawiam i dziękuję.


(Leon$) #6

Zastosuj Malwarebytes' Anti-Malware http://cybertrash.pl/Tata/MBAM/Malwarebytes_%20Anti-Malware.html pełny skan - jak coś znajdzie to usuń - pokaż log

Pobierz CCleaner http://www.filehippo.com/download_ccleaner/

przeskanuj nim i wyczyść rejestr.

zrób optymalizacje uruchamiania

http://cybertrash.netarteria.pl/cyber/i ... 378.0.html

usuń ręcznie folder C: \Qoobox usuń instalkę Combofix z dysku.

Wyłącz I włącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

przeskanuj obszar Mój komputer http://www.kaspersky.pl/virusscanner.html gdy będą wirusy pokaż raport

:slight_smile:


(Tom86) #7

Witam ponownie!

Oto log ze skanowania Kaspersky Online: http://wklej.org/id/23121/

Pozdrawiam i czekam :slight_smile:


(huber2t) #8

Usuń ręcznie zainfekowane obiekty

:slight_smile:


(Mariogaj) #9

ten syf jest w kwaranntanie wiec nic ci niezagraza :slight_smile:

Przeskanuj komputer SUPERantispyware (link ponizej ) i potem podaj log z combofix'a

http://www.superantispyware.com/downloadfile.html?productid=SUPERANTISPYWAREFREE