Kolejny komputer wysyła spam

gemb · 15 Grudzień 2009 00:45

Witam, mam kłpot :

Avast ciągle wyświetla tekst :

Zbyt dużo identycznych wiadomości w wyznaczonym czasie

Nadawca: VIAGRA © Online Shop <|acme@hrvatskamail.com>

Odbiorca: |acme@hrvatskamail.com

Temat: For |acme special 80% OFF on Pfizer

Po czym pojawia się komunikat o podejrzanym pliku : kqakux.sys i sprawdzanie systemu które nic nie wykrywa .

Logi :

otl

http://www.wklej.org/id/235801/

sre

http://wklej.org/id/235803/

GMER niestety nie działa - zaczyna skan i pojawia się komunikat o błędzie.

ściągnąłem chyba przed wczoraj Combofix ale po scanie mi zniknął

http://wklej.org/id/235804/

Proszę o pomoc.

jessica · 15 Grudzień 2009 08:38

Widzę, że ta infekcja zaczęła przekształcać się w Rootkita!

Uruchom OTL i w oknie Custom Scans/Fixes wklej to:

:OTL O3 - HKCU…\Toolbar\WebBrowser: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found. MsConfig - StartUpReg: CTFMON.EXE - hkey= - key= - File not found MsConfig - StartUpReg: NeroFilterCheck - hkey= - key= - File not found MsConfig - StartUpReg: NvCplDaemon - hkey= - key= - File not found MsConfig - StartUpReg: NvMediaCenter - hkey= - key= - File not found MsConfig - StartUpReg: Ptipbmf - hkey= - key= - File not found :Files c:\windows\system32\drivers\kqakux.sys c:\documents and settings\NetworkService\Dane aplikacji\fvgqad.dat c:\documents and settings\Tomek\Dane aplikacji\avdrn.dat C:\RECYCLER :Services kqakux :Reg [-HKEY_LOCAL_MACHINE\System\ControlSet002\Services\kqakux] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^Tomek^Menu Start^Programy^Autostart^siszyd32.exe] :Commands [emptytemp] [Reboot]

Kliknij w Run Fix. Zatwierdź restart komputera.

Następnie uruchom OTL ponownie, tym razem wywołaj opcję Run Scan.

Pokaż nowy log OTL.txt oraz log z czyszczenia.

Uruchom System Repair Engineer > zakładka “System Repair” >>karta “BrowserAdd-ons”>

>wyszukaj i zaznaczaj w polu “CLSID 1” po kolei te:

i klikaj na przycisk “Delete Selected”.

jessi

gemb · 15 Grudzień 2009 19:45

Zrobiłem co napisano.

oto logi :

otl z oczyszczenia

http://wklej.org/id/236729/

otl

http://wklej.org/id/236735/

gemb

jessica · 15 Grudzień 2009 19:53

Nie jest dobrze - OTL nie potrtafi usunąć tego Rootkita.

Widzę, że używałeś dziś ComboFixa, więc spróbujemy przy jego pomocy.

Wklej do Notatnika :

File::

C:\WINDOWS\System32\drivers\kqakux.sys


Driver::

kqakux


Registry::

[-HKEY_LOCAL_MACHINE\System\ControlSet002\Services\kqakux]

>>Plik>>Zapisz jako… >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

-------->

Ma się rozpocząć usuwanie. (i powstanie log).

Daj ten log, który powstanie w trakcie usuwania.

Jeśli to nie pomoże, to trzeba będzie użyć GMER’a.

Zapomniałam, że ComboFix Ci zniknął, więc:

ComboFix http://www.speedyshare.com/files/19764394/kombik.com

Nie powinno się go używać, ale w tej sytuacji …

jessi

gemb · 15 Grudzień 2009 20:57

mam oto log :

http://wklej.org/id/236811/

gemb

jessica · 15 Grudzień 2009 21:01

ComboFix usunął tego Rootkita, miejmy nadzieję, że się nie odrodzi.

Usuń ręcznie folder C:** Qoobox**.

jessi

gemb · 15 Grudzień 2009 21:13

Miejmy nadzieję.

Dziekuję bardzo za usunięcie szkodnika.

gemb