Infekcja kamsoft, amvo i inne

chubby · 12 Listopad 2008 14:48

Dzień dobry,

Proszę o sprawdzenie logów. Komputer mi się zawiesza na starcie (już w windowsie).

Muszę go kilka razy twardo resetować, żeby “zaskoczył” i się w końcu nie zawiesił…

Postanowiłem zeskanować i poprosić o pomoc osoby kompetentne.

log HijackThis - http://www.wklej.org/hash/3b081efd1e/

log Prevx CSI - http://www.wklej.org/hash/a120bf370f/

Z góry dziękuje za pomoc

Leon1 · 12 Listopad 2008 16:11

Wylecz pendriva lub kartę pamięci http://www.softpedia.com/get/Security/S … Tool.shtml

Flash Disinfector http://www.searchengines.pl/index.php?s … ntry369724

lub format

Pobierz Combofix http://www.searchengines.pl/index.php?s … ntry395642 ale nie włączaj.

Podczas pobierania i skanu Combofixem proszę wyłączyć wszelkie zapory i antywirusy

Otwórz notatnik i wklej

File:: C:\xih9.cmd C:\i.exe C:\ps.bat C:\b.com C:\tknapl.exe C:\x.bat C:\WINDOWS\system32\amvo.exe C:\ogcikeq.com C:\nq0cq.cmd C:\WINDOWS\system32\kamsoft.exe C:\a9.com C:\WINDOWS\system32\kav321.dll C:\WINDOWS\system32\kav320.dll C:\whi.com C:\WINDOWS\system32\gasretyw1.dll C:\WINDOWS\system32\gasretyw0.dll C:\sq.com C:\cqdis.cmd C:\vva0hc0p.cmd C:\d.com C:\xmnm2.cmd C:\b.exe C:\9.cmd C:\m88coaim.exe C:\je26200.com C:\pnt.com C:\itsduel.exe C:\08dgu.com C:\m.cmd C:\WINDOWS\system32\ckvo.exe C:\WINDOWS\system32\Bitkv1.dll C:\WINDOWS\system32\Bitkv0.dll C:\WINDOWS\system32\amvo1.dll C:\WINDOWS\system32\amvo0.dll C:\WINDOWS\system32\ckvo1.dll C:\WINDOWS\system32\ckvo0.dll C:\6x8be16.cmd C:\vfjc8mxm.exe C:\00hoeav.com C:\n6t1h.cmd C:\WINDOWS\system32\ckvo2.dll C:\2fiji.com C:\bo1dhu.bat C:\xlk9.com C:\klp8j6i.com C:\pv6mxu.bat C:\udr.com C:\Documents and Settings\Gy\Ustawienia lokalne\Temp\help.exe E:\B.COM E:\VFJC8MXM.EXE

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri … iemoes.gif

Powinno rozpocząć się usuwanie

Potem log z usuwania Combofix

usuń HijackThisem >> Fix checked

chubby · 12 Listopad 2008 17:53

Dziękuje za pomoc

Odhaczyłem co trzeba i zrobiłem fix w HijackThis.

ComboFix zrobił swoje ale nie jestem przekonany czy był wyłączony Norton Internet Security Symanteca.

(przy okazji pytanie - czy ten pakiet jest wystarczający aby zabezpieczyć komputer, w co dobrze się zaopatrzyć ?)

Zamknąłem go jako aplikację ale to było chyba tylko okno informacyjne, nie wiem czy nie pozostały jakieś procesy w tle (jestem laikiem w tych sprawach, przepraszam).

Oto log z ComboFix - http://wklej.org/hash/04e4ebc3bc/

Prevx CSI przy skanowaniu przed działaniem ComboFix pokazywał 50 zainfekowanych plików, teraz pokazuje 1 - C:\lky.exe (Malcious Software)

Tutaj jest log z nowego skanowania Prevx CSI - http://wklej.org/hash/2cf6c4a2ca/

Jeszcze raz dzięki

Gutek · 13 Listopad 2008 16:00

Wklej do Notatnika:

File::

C:\lky.exe

c:\windows\system32\SET785.tmp

c:\windows\system32\SETF.tmp

c:\windows\system32\SET7F2.tmp

c:\windows\system32\SET40.tmp

c:\windows\system32\SET37.tmp

c:\windows\system32\SET2E.tmp

c:\windows\system32\SET25.tmp

c:\windows\system32\SET1D.tmp

c:\windows\system32\SET1BB.tmp

c:\windows\system32\SET15.tmp


Registry::

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe ) Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe ) – podobnie jak na tym obrazku –>

chubby · 13 Listopad 2008 22:02

Zrobiłem wszystko jak napisałeś.

Nowy skan Prevx CSI nie wykrywa już zainfekowanych plików.

Log z ComboFix zamieściłem tutaj - http://wklej.org/hash/6032bafa13/

Bardzo dziękuje za uzyskaną pomoc

Gutek · 14 Listopad 2008 16:14

Wklej do Notatnika:

File::

c:\windows\system32\SET44.tmp

c:\windows\system32\SET3B.tmp

c:\windows\system32\SET32.tmp

c:\windows\system32\SET27.tmp

>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku –>

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: ** Qoobox**.

Proszę pobrać i użyć Malwarebytes’ Anti-Malware

Wciskamy Skanuj , wybieramy dyski do skanowania i Rozpoczynamy skanowanie , na końcu wciskamy Usuń zaznaczone jak będą i Ok

chubby · 15 Listopad 2008 15:57

Zrobiłem wszystko. Wrzucam nowy log z ComboFix i z Malwarebytes.

Dzięki za pomoc!

http://wklej.org/hash/0471fca304/

http://wklej.org/hash/8a24d659ae/

Leon1 · 15 Listopad 2008 16:07

Log wygląda na czysty

Pobierz CCleaner http://www.filehippo.com/download_ccleaner/

przeskanuj nim i wyczyść rejestr.

zrób optymalizacje uruchamiania

http://cybertrash.netarteria.pl/cyber/i … 378.0.html

usuń ręcznie folder C: \Qoobox usuń instalkę Combofix z dysku.

Wyłącz I włącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

przeskanuj obszar Mój komputer http://www.kaspersky.pl/virusscanner.html gdy będą wirusy pokaż raport

chubby · 17 Listopad 2008 14:39

Dziękuje za pomoc

Zabieram się za dalsze kroki i

w razie potrzeby wracam po ratunek.