Heur.Invader i pewnie Win32.Bifroze.dtz


(Maciej Maciaszek) #1

Witam,

Ja tu pierwszy raz. Ostatnio duzo sie mam z wirusami.

Kaspersky wykryl mi Heur.Invader :

nie odnaleziono: wirus Heur.Invader (modyfikacja) Plik: C:\Documents and Settings\Oem\Pulpit\Download\ComboFix.exe//PE_Patch.UPX/327882R2FWJFW\catchme.cfexe

wykryto: riskware Invader Uruchomiony proces: C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe

wykryto: riskware Invader Uruchomiony proces: C:\SDFix\SDFix\catchme.exe

Ponizej log z SDFix'a:

http://wklej.org/id/4fee6a4adc

Z tym ponizej mozliwe, ze sobie juz poradzil:

nie odnaleziono: koñ trojañski Backdoor.Win32.Bifrose.dtz Plik: C:\Downloads\spyware_doctor_5.0.0.182_pl\spyware_doctor_5.0.0.182_pl.rar/sdsetup_5.0.0.1822.EXE//data0000.cab/SDSETU~2.EXE

Prosze o pomoc i pozdrawiam

MM


(Gutek) #2
C:\z6eja6hw.sys 

C:\logo.sys

usuń pliki

Wyłącz antywirusaowy soft i użyj ComboFix


(Maciej Maciaszek) #3

Uruchomilem combofixa przy wylaczonych programach, nie ruszalem myszka, ale przy ponownym uruchomieniu (zaraz po komunikacie "nie uruchamiaj niczego, az combofix nie skonczy") uruchamialy mi sie programy z autostartu. Niemniej podaje ponizej log z Combofixa:

http://wklej.org/id/8b3d32f56f

--

Pozdrawiam MM


(Gutek) #4

Wklej do Notatnika:

File::

C:\WINDOWS\system32\hggdd.dll


Registry::

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{FC68074D-3B98-4902-9BDD-F20C43A3871A}]

>>Plik>>Zapisz jako... >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku -->88953CFScript-createdbyMiekiemoes.gif

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: **** Qoobox.

Po tym nowy log z Combo


(Maciej Maciaszek) #5

Nowy log z ComboFix'a:

http://wklej.org/id/8fd26d3f8c

--

Pozdrawiam

MM


(Gutek) #6

Otwórz Notatnik i wklej w nim to:

Windows Registry Editor Version 5.00 


[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\nruluodu]

Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG >>> kliknij dwa razy na utworzony plik FIX.REG i potwierdź dodanie do rejestru >>> restart.


(Maciej Maciaszek) #7

Zrobilem to wszystko, ale Kaspersky znowu najpierw odnajduje Heur.Invader, a potem zaraz:

nie odnaleziono: wirus Heur.Invader (modyfikacja) Plik: c:\install\combofix.exe//PE_Patch.UPX/327882R2FWJFW\catchme.cfexe

--

Pozdrawiam

MM


(system) #8

To jest fałszywy alarm heurystyki Kasperskiego.

Przecież używałeś ComboFix, a jednym z jego modułów jest rootkit detektor catchme.