Infekcja Zlob.DNSChanger.Rtk

Dla specjalistów Bezpieczeństwo
#1

Witam.

Podczas skanowania komputera, Spybot znajduje wpis do rejestru Zlob.DNSChanger.Rtk, wskazujący na plik docelowy w C:\WINDOWS\system32\kdshv.exe. Kasowanie nic nie pomaga, każdorazowe uruchomienie komputera powoduje nawrót w/w problemu. Zauważyłem jeszcze, że zawartość pliku HOSTS także zostaje wyczyszczona, mimo zaznaczenia opcji “tylko do odczytu”. Praca komputera uległa wyraźnemu spowolnieniu. NOD32, VondoFix oraz skanery online: Kaspersky i ArcaMicroScan nie sygnalizują infekcji.

Mam jeszcze na forum jeden nierozwiązany wątek, jednak ten problem dotyczy innego komputera.

Poniżej zamieszczam logi:

HijackThis: http://wklejto.pl/10799

ComboFix: http://wklejto.pl/10798

Proszę o sprawdzenie i pomoc w rozwiązaniu infekcji.

Pozdrawiam.

#2

Wyłącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

Otwórz notatnik i wklej

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri … iemoes.gif

Powinno rozpocząć się usuwanie

Potem log z usuwania Combofix

:slight_smile:

#3

Przywracanie systemu wyłączyłem na stałe, a tutaj log z ComboFix’a: http://wklejto.pl/10816 .

#4

przywracanie już masz włączone przez Combofixa

Otwórz notatnik i wklej

zapisz jako plik.reg >> wszystkie pliki >> scal z rejestrem >> restart

b57f17008275c957m.jpg

powstanie plik o takiej ikonie

062aec4c9b51c033m.jpg

w który dwa razy klikniesz potwierdzisz chęć dodania do rejestru potem restart

Pobierz program SDFix

#5

Poniżej podaję logi:

SDFix: http://wklejto.pl/10819

System Repair Engineer: http://wklejto.pl/10820

EDIT:

Zauważyłem, że niemal wszystkie powyższe programy usuwają plik w C:\WINDOWS\system32\kdshv.exe. Na koniec uruchomiłem jeszcze raz Spybot’a i ComboFix’a, no i znów pojawił się problem jak w pierwszym poście. Ta infekcja odradza się niczym Feniks z popiołów.

#6

pobierz i zastosuj ATF Cleaner http://cybertrash.pl/images/tata/ATF/ATF.html

wyłącz przywracanie

Otwórz notatnik i wklej

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri … iemoes.gif

Powinno rozpocząć się usuwanie

Potem log z usuwania Combofix

przeskanuj obszar Mój komputer http://www.kaspersky.pl/virusscanner.html pokaż raport stronę uruchomić przez IE

:slight_smile:

#7

Podaję logi:

ComboFix: http://wklejto.pl/10849

Kaspersky: http://wklejto.pl/10850

Infekcje z Kasperskiego sprawdziłem również na virusscan.jotti.org i wynik częściowo wskazywał na trojana w pliku instalacyjnym programu, więc go usunąłem. Przed czyszczeniem ComboFix’em i Kaspersky’m jeszcze zauważyłem, że zakażony plik resycled był nie tylko w partycji C, ale i pozostałych, ręczne usunięcie załatwiło sprawę. Spybot również już nie raportuje infekcji.

Proszę o sprawdzenie.

#8

Log wyglada na czysty

usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.

Przeczyść komputer Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar całego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum

lub

Dr.WEB CureIt!

#9

Powyższe czynności wykonane. Raport z Karspersky’ego: http://www.wklejto.pl/10880 .

#10

W raporcie nic nie widzę

:slight_smile:

#11

Wielkie dzięki za pomoc w rozwiązaniu problemu i poświecony czas.

Pozdrawiam.