Komp rozsyła spam


(Mietek81) #1

Witam

Według mojego ISP były skargi na mój komputer, że rozsyła spam. Przeskanowałem kompa Adawarem, SpyBotem i MAMem. Usunęły co były w stanie usunąć a teraz wrzucam tu logi z HT i CF abyście sprawdzili czy jeszcze coś jest do zrobienia. Z góry dzięki za pomoc.

Log z HT: http://www.wklej.org/id/49379/

Log z CF: http://www.wklej.org/id/49381/


(jessica) #2

Wklej do Notatnika :

File::

c:\windows\system32\drivers\ethdxosk.sys

c:\windows\system32\drivers\itcypoyy.sys

c:\windows\system32\secupdat.dat

c:\docume~1\ADMIN\USTAWI~1\Temp\DMSKSSRh.sys


Folder::

c:\docume~1\ADMIN\USTAWI~1\Temp


Driver::

itcypoyy

ethdxosk

DMSKSSRh

XDva190


Registry::

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\itcypoyy.sys]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

>>Plik>>Zapisz jako... >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

– podobnie jak na tym obrazku -->cfscript10gm1.gif

Ma się rozpocząć usuwanie. (i powstanie log). Daj ten log.

To może wskazywać na infekcję wirusa VIRUT, infekującego wszystkie pliki *.exe.

Nic nie napisałeś na temat Antivirusa, co on wykrywa?

Użyj --.Dr. Web CureIt (niżej na stronie linku)

Napisz, co wykrył.

jessi


(Mietek81) #3

Hej

Troszkę byłem chory więc nie miałem czasu zajmować się kompem ale teraz do niego wróciłem.

Miałaś rację. Dr. Web wykrył Viruta.56 Szczęśliwie wszystko udało mu się naprawić. Co najlepsze na tym komputerze jest właśnie zainstalowany Dr Web dziwne więc, że w ogóle dopuścił do tej infekcji :confused: A co do ntdll.dll to zgrałem go po prostu z innego kompa przy użyciu Ubuntu Live CD :slight_smile: Mam nadzieję, że to wystarczy aby wirusy nie wracały.

W każdym razie trzeba by teraz sprawdzić logi czy nic dalej się nie gnieździ, jakiś rootkit czy coś. Nie chciałbym znowu się z tym wszystkim bawić gdy podłączę z powrotem kabelek sieciowy...

Zatem tak:

HijackThis: http://wklej.org/id/56186/

ComboFix: http://wklej.org/id/56187/

DDS: http://wklej.org/id/56188/ i http://wklej.org/id/56189/

SilentRunners: http://wklej.org/id/56190/

Smitfraud: http://wklej.org/id/56191/


(jessica) #4

Wklej do Notatnika :

File::

c:\windows\system32\drivers\ethutwxz.sys

c:\windows\system32\drivers\ndisio.sys


Driver::

ethutwxz

>>Plik>>Zapisz jako... >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

-->cfscript10gm1.gif

Ma się rozpocząć usuwanie. (i powstanie log).

Daj ten log, który powstanie w trakcie usuwania.

jessi


(Mietek81) #5

Ok, musiałem to zrobić w trybie awaryjnym. Inaczej dostawałem komunikat w cmd-owym okienku "Odmowa dostępu".

Log: http://wklej.org/id/56271/


(jessica) #6

Sprawdź je na --> JOTTI/

albo na VIRUSTOTAL.

Log wygląda na czysty.

Oczywiście, jeśli dalej masz jakiegoś wirusa zarażającego *.exe, to tego wlogu nie będzie widać. Od tego są Antivirusy.

1) Usuń ręcznie folder C:**** Qoobox.

2) Usuń kopie szkodników z folderu "System Volume Information" poprzez chwilowe wyłączenie "Przywracania Systemu":

jessi


(Mietek81) #7

Pod oboma adresami nic w tych plikach nie znaleziono.

zawartość _id.dat:

266959

zawartość adobe.bat:

:rvxcf

net stop beep

START /WAIT C:\WINDOWS\services.exe /do_work

ECHO %ERRORLEVEL%

IF %ERRORLEVEL% NEQ 3 GOTO rvxcf

EXIT

Co to może być?

Natomiast vsconfig.xml po zawartości wygląda na element ZoneAlarm: http://wklej.org/id/56285/

Przeskanuję jeszcze raz kompa Dr Webem...


(jessica) #8

"c:\windows\adobe.bat" chyba lepiej usunąć: z zawartości widzę, że jest tam jakieś odniesienie do pliku Trojana (C:\WINDOWS\services.exe).

Nie wiem, co to jest, ten "adobe.bat", ale w tej sytuacji pozbądź się go. Usuń go ręcznie, w Trybie Awaryjnym, na razie do Kosza, a jeśli nic złego z tego nie wyniknie, to usuniesz go także z Kosza.

EDIT:

A ponieważ to "adobe.bat" zainstalowało sie jednocześnie z "c:\windows\system32\ deviceemulator.exe", to chyba trzeba będzie także ten plik usunąć. Sprawdź go najpierw na "JOTTI", ale chyba to będzie Trojan "Troj/SpamToo-AX" opisany tu: http://www.threatexpert.com/files/deviceemulator.exe.html

jessi