High risk rootkit, cloacked maleware + problem z avastem

Dla specjalistów Bezpieczeństwo
#1

Witam

Prevxcsi wykrył 9 infekcji systemu - Infected Entry [Security Provider] [image path], High risk rootkit i cloackd maleware. Tutaj jest log z ComboFix http://www.wklej.org/id/91466/

Mam jeszcze problem z Avastem ( wersja darmowa) - nie da się go aktualizować, tzn po kliknieciu w aktualizacje nic się nie pokazuje ( baza danych wyskakuje na czerwono z prośbą o aktualizację ), nie da się też usunąć Avasta z komputera przez panel sterowania dodaj/usuń programy.

Bardzo proszę o pomoc.

#2

Masz na komputerze dwa antywirusy: Avirę i Avasta. Zostaw tylko jeden. :evil:

Wklej do notatnika:

File::

c:\windows\system32\drivers\pxsec.sys

c:\windows\system32\drivers\pxscan.sys


Registry::

HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusDisableNotify"=dword:00000000

"UpdatesDisableNotify"=dword:00000000

"AntiVirusOverride"=dword:00000000

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]

"DisableMonitoring"=dword:00000000


Driver::

pxsec

pxscan

Plik zapisz jako CFScript.txt , najlepiej w tym samym folderze co Combofix.exe

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę Combofix.exe

Powinno się rozpocząć usuwanie.

Potem dajesz log z usuwania Combofix.

#3

pxsec i pxscan są od Prevx. Ale tan program czasem się myli.

Zrób dokładny skan

http://dobreprogramy.pl/index.php?dz=2& … lware+1.36

Jeśli Prevx ma coś w rodzaju loga to go tu wklej.

#4

http://www.wklej.org/id/91498/ nowy log z combofixa

Avirę już usunęłam ( zainstalowałam ją dziś, myślałam że to coś pomoże …)- Avasta nie mogę usunąć w żaden sposób, a w tym momencie jest bezużyteczny bo nie da się go aktualizować, mam kasperskiego ale nie mogę go wgrać gdyż wymaga wcześniejszego usunięcia Avasta

Na Prev nie znalazłam nic w postaci loga

a tutaj log z malwarebytes http://www.wklej.org/id/91504/

#5

Usuń pozostałości po nieużywanych antywirusach

http://www.searchengines.pl/Deinstalato … 45565.html

Jeszcze wykonaj jedną rzecz bo chcę coś sprawdzić. Wejdź do folderu C:\Qoobox, odszukaj plików

Skopiuj na pulpit i usuń rozszerzenie .vir. Pliki te przeskanuj na http://www.virustotal.com/pl/ i pokaż raport. Po tej operacji usuń te pliki z pulpitu. Czasem nie próbuj ich uruchamiać.

Wywołaj dokładny skan Malwarebytes.

#6

Postąpiłam wg instrukcji - tu są linki do logów

http://www.wklej.org/id/91888/

http://wklej.org/id/91891/

http://wklej.org/id/91892/

Prevx pokazuje mi jeszcze ciągle 2 zagrożenia jako High risk cloaked malware - nircmd.exe i vfind.exe

#7

Powinno być ok. Pliki, które wykrywa Prevx to pozostałości po combofixie.

Pliki, o których pisał Ciemnowidz na razie zostaw, nie usuwaj ich

usuń ręcznie folder C: \Qoobox oraz instalkę Combofix z dysku

Przeczyść system oraz rejestr CCleaner

Wykonaj optymalizację uruchamiania

Wyłącz i włącz przywracanie systemu na wszystkich dyskach Instrukcja

#8

instalke combofixa usunelam

Te pliki przekopiowane na pulpit tez odrazu po przescanowaniu, tak jak mowil Ciemnowidz , czy mam je jeszcze raz przekopiowac na pulpit ? Bo jak usune Qooboxa to je też, bo one się tam znajdują.

Przepraszam jeśli plotę głupoty, ale jestem totalnym laikiem w tych sprawach…:oops:

#9

Te pliki usuń. Są już do niczego. Dla pewności - przeinstaluj Prevx.

Wpisz w Start => Uruchom Combofix /u