Infekcja wormsem


(Cipkis) #1

prosze o sprawdzenie loga,robilme przed chwilka scan kasperskim i wykryl wormsa ale nie mam raportu;( ale mam logo

to z HJT

http://wklej.org/id/22398/


(Mariogaj) #2

skasuj te wpisy

O17 - HKLM\System\CCS\Services\Tcpip\..\{BBA527F0-0FFD-4FBC-9104-E6674CCE3A63}: NameServer = 208.67.222.222,208.67.220.220


O17 - HKLM\System\CCS\Services\Tcpip\..\{BBA527F0-0FFD-4FBC-9104-E6674CCE3A63}: NameServer = 208.67.222.222,208.67.220.220

i daj jeszcze log z combofixa :slight_smile:


(Cipkis) #3

a tu jeszcze z Combo Fix'a prosze do sprawdzenia :slight_smile: z gory dziekuje a nad antyvirami pomysle:D

http://wklej.org/id/22401/


(posiwiały) #4

Ech, to akurat były adresy serwerów OpenDNS. Nieszkodliwe.

Log HJT czysty.

Ale masz infekcję z pendriva.

wklej do notatnika:

File::

c:/windows/system32/kav321.dll

c:/windows/system32/kav320.dll

c:/ln9.exe

Plik -> zapisz jako -> CFScript.txt. Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe cfscript10uc2.gif


(Cipkis) #5

dziekuje za pomoc:)


(huber2t) #6

Daj log z usuwania z combofix


(Cipkis) #7

logo z combofixu

http://wklej.org/id/22570/


(huber2t) #8

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

c:\windows\system32\kav321.dll

C:\ln9.exe

c:\windows\system32\kav320.dll


Registry::

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5deacd60-b00d-11dd-b44d-000244774188}]

Plik -> zapisz jako -> CFScript.txt.

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->

cfscript10uc2.gif

Rozpocznie się usuwanie i powstanie log, który dasz na forum.

Logi dajesz na http://wklej.eu lub na http://wklej.org a w poście dajesz tylko link


(Cipkis) #9

dziekuje za pomoc:)pozdrawiam serdecznie :slight_smile:


(huber2t) #10

Daj log z usuwania z combofix