Witam
Według mojego ISP były skargi na mój komputer, że rozsyła spam. Przeskanowałem kompa Adawarem, SpyBotem i MAMem. Usunęły co były w stanie usunąć a teraz wrzucam tu logi z HT i CF abyście sprawdzili czy jeszcze coś jest do zrobienia. Z góry dzięki za pomoc.
Log z HT: http://www.wklej.org/id/49379/
Log z CF: http://www.wklej.org/id/49381/
Wklej do Notatnika :
File::
c:\windows\system32\drivers\ethdxosk.sys
c:\windows\system32\drivers\itcypoyy.sys
c:\windows\system32\secupdat.dat
c:\docume~1\ADMIN\USTAWI~1\Temp\DMSKSSRh.sys
Folder::
c:\docume~1\ADMIN\USTAWI~1\Temp
Driver::
itcypoyy
ethdxosk
DMSKSSRh
XDva190
Registry::
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\itcypoyy.sys]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
>>Plik>>Zapisz jako… >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
– podobnie jak na tym obrazku –>
Ma się rozpocząć usuwanie. (i powstanie log). Daj ten log.
To może wskazywać na infekcję wirusa VIRUT, infekującego wszystkie pliki *.exe.
Nic nie napisałeś na temat Antivirusa, co on wykrywa?
Użyj –.Dr. Web CureIt (niżej na stronie linku)
Napisz, co wykrył.
jessi
Hej
Troszkę byłem chory więc nie miałem czasu zajmować się kompem ale teraz do niego wróciłem.
Miałaś rację. Dr. Web wykrył Viruta.56 Szczęśliwie wszystko udało mu się naprawić. Co najlepsze na tym komputerze jest właśnie zainstalowany Dr Web dziwne więc, że w ogóle dopuścił do tej infekcji 
A co do ntdll.dll to zgrałem go po prostu z innego kompa przy użyciu Ubuntu Live CD 
Mam nadzieję, że to wystarczy aby wirusy nie wracały.
W każdym razie trzeba by teraz sprawdzić logi czy nic dalej się nie gnieździ, jakiś rootkit czy coś. Nie chciałbym znowu się z tym wszystkim bawić gdy podłączę z powrotem kabelek sieciowy…
Zatem tak:
HijackThis: http://wklej.org/id/56186/
ComboFix: http://wklej.org/id/56187/
DDS: http://wklej.org/id/56188/ i http://wklej.org/id/56189/
SilentRunners: http://wklej.org/id/56190/
Smitfraud: http://wklej.org/id/56191/
Wklej do Notatnika :
File::
c:\windows\system32\drivers\ethutwxz.sys
c:\windows\system32\drivers\ndisio.sys
Driver::
ethutwxz
>>Plik>>Zapisz jako… >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
–>
Ma się rozpocząć usuwanie. (i powstanie log).
Daj ten log, który powstanie w trakcie usuwania.
jessi
Ok, musiałem to zrobić w trybie awaryjnym. Inaczej dostawałem komunikat w cmd-owym okienku “Odmowa dostępu”.
Sprawdź je na --> JOTTI/
albo na VIRUSTOTAL.
Log wygląda na czysty.
Oczywiście, jeśli dalej masz jakiegoś wirusa zarażającego *.exe, to tego wlogu nie będzie widać. Od tego są Antivirusy.
Usuń ręcznie folder C:** Qoobox**.
Usuń kopie szkodników z folderu “System Volume Information” poprzez chwilowe wyłączenie “Przywracania Systemu”:
jessi
Pod oboma adresami nic w tych plikach nie znaleziono.
zawartość _id.dat:
266959
zawartość adobe.bat:
:rvxcf
net stop beep
START /WAIT C:\WINDOWS\services.exe /do_work
ECHO %ERRORLEVEL%
IF %ERRORLEVEL% NEQ 3 GOTO rvxcf
EXIT
Co to może być?
Natomiast vsconfig.xml po zawartości wygląda na element ZoneAlarm: http://wklej.org/id/56285/
Przeskanuję jeszcze raz kompa Dr Webem…
“c:\windows\adobe.bat” chyba lepiej usunąć: z zawartości widzę, że jest tam jakieś odniesienie do pliku Trojana (C:\WINDOWS\services.exe).
Nie wiem, co to jest, ten “adobe.bat”, ale w tej sytuacji pozbądź się go. Usuń go ręcznie, w Trybie Awaryjnym, na razie do Kosza, a jeśli nic złego z tego nie wyniknie, to usuniesz go także z Kosza.
EDIT:
A ponieważ to “adobe.bat” zainstalowało sie jednocześnie z “c:\windows\system32\ deviceemulator.exe”, to chyba trzeba będzie także ten plik usunąć. Sprawdź go najpierw na “JOTTI”, ale chyba to będzie Trojan “Troj/SpamToo-AX” opisany tu: http://www.threatexpert.com/files/deviceemulator.exe.html
jessi