Flec006.exe, system spowolniony,nie dzialaja pr.antywirusowe

Dla specjalistów Bezpieczeństwo
#1

Witam!

Pojawil mi sie proces flec006.exe, poza tym system bardzo spowalnia, otwarcie czegokolwiek trwa wieki… Czytalam, ze to wirus/trojan, ale na wlasna reke nie chce nic usuwac. Programy antywirusowe sa zablokowane :frowning:

Bardzo prosze o pomoc…

Oto logi z Hijackthis, ComboFix i SilentRunners

Hijackthis:

ComboFix:

SilentRunners:

#2

Czy to jest najnowsza wersja ComboFixa (po 1 sierpnia) ?

Bo wszystkie objawy wskazują na Rootkita “Bagle-hidires”, a w logu nie widać jego szkodliwych usług.

Daję te usługi do usunięcia tylko na wszelki wypadek, bo może ich wcale jeszcze nie masz.

Wklej do Notatnika :

File::

C:\Documents and Settings\Kasia\Dane aplikacji\m\flec006.exe


Folder::

C:\Documents and Settings\Kasia\Dane aplikacji\m


Driver::

m_hook

srosa

rosa


Registry::

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"mule_st_key"=-

>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku –>88953CFScript-createdbyMiekiemoes.gif

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: ** Qoobox**.

Ten Rootkit uszkodził nie tylko Twój Antivirus, ale także Tryb Awaryjny.

Napraw to:

Daj log z ComboFixa.

jessi

#3

Racja, to Combofix z lipca, sciagnelam ten ostatni z sierpnia, uzylam go wraz z podanym skryptem i zrestartowalam komputer.

Uzylam tez SafeBootKeyRepair, bo nie ma dostepnych wczesniejszych punktow przywracania systemu (tylko te po zainfekowaniu), chyba sie udalo (?), zalaczam plik tekstowy z SafeBootKeyRepair.

Log ComboFix (po uzyciu skryptu):

i z SafeBootKeyRepair:

Dodam jeszcze log z Combofix po zastosowaniu SafeBootKeyRepair:

#4

Nie jestem pewna, czy cały ten folder został usunięty.

Wg mnie - lepiej to sprawdzić.

Jeśli go nie będzie, to koniec usuwania, bo nawet Tryb Awaryjny jest naprawiony.

Jeśli natomiast ten folder dalej jest, to:

Wklej do Notatnika :

Folder::

C:\Documents and Settings\Kasia\Dane aplikacji\m

>>Plik>>Zapisz jako… >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

– podobnie jak na tym obrazku –>88953CFScript-createdbyMiekiemoes.gif

Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: ** Qoobox**.

Teraz przeinstaluj też Antivirusa (jeśli coś jest z nim “nie tak”.

jessi

#5

Dzieki, folder

byl (ukryty) i go usunelam.

Teraz log Combofix wyglada tak:

Czy zostaly jeszcze jakies “smieci” do usuniecia? Sprawdzac jeszcze Hijackthis?

#6

Nie widzę w logu śladów usuwania tego folderu " m".

Czy usuwałaś go ComboFixem, czy w jakiś inny sposób?

Nic więcej podejrzanego nie widzę.

Log z Hijacka, jak dla mnie, nie jest już potrzebny.

jessi

#7

Usunelam go recznie, po prostu skasowalam ten folder… to zle? :?

#8

Nie, nie jest złe - tylko nie miałam pewności, czy folder został usunięty.

Tak więc wszystko powinno być już w porządku. :slight_smile:

jessi

#9

Dla pewności daj jeszcze:

Pobierz program SDFix

#10

Dzieki! :smiley:

Po uruchomieniu SDFix w trybie awaryjnym, zanim zrestartowal system pojawil sie komunikat (wczesniej nigdy sie cos takiego nie pojawialo) “Could not find flash.ocx”… Z C:\WINDOWS\system32\Macromed\Flash skopiowalam plik flash9b.ocx i zmienilam mu nazwe na flash.ocx. Mam nadzieje, ze to pomoze…(?)

Podaje raport z SDFix:

#11

No Ok :wink:

#12

Wielkie dzieki! !!