[LOG] Ponowny atak wirusów


(Marvin Nekromanta) #1

Proszę o pomoc z okiełznaniem tego log'u (na szczęście nie z mojego kompa) :smiley: Nie potrafię zrobić skryptu ComboFix'a do tego. Wpisy w HijackThis już usunąłem.

http://wklej.org/id/ad0f814a6c

Z góry dzięki za pomoc.


(Leon$) #2

czy ten log jest przed czy po twoim usuwaniu?

:slight_smile:


(Marvin Nekromanta) #3

Oczywiście, że po (aż taki głupi nie jestem żeby ominąć takie pliki jak w tym logu) :smiley: Spróbowałem ComboFix'em usunąć te infekcje. Oto LOG z ComboFix'a:

http://www.wklej.org/id/90288d6703

Zaraz dam nowego log'a z HijackThis.

Oto on:

http://www.wklej.org/id/92ad4d5b89


(huber2t) #4

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\Temp\fOems0032.exe

C:\Temp\dOdll2100.exe

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

02f8f1e3c410a4cc.gif

Rozpocznie się usuwanie i powstanie log, daj ten log na forum.


(Marvin Nekromanta) #5

Hubert2t: niestety osoba z którą pisałem wyłączyła GG :smiley: Czy bez fix'a tych dwóch plików infekcja znów się rozprzestrzeni??

Hubert2t: Piszesz jak automat (bot) :smiley: Twoje posty różnią się tylko treścią CFScript.txt :smiley:


(Gutek) #6

Zastosuj się do tego Tematu i zmień tytuł tematu na konkretny inaczej KOSZ

Pozdrawiam Gutek2222

Zmiana zasad wklejania logów na forum - viewtopic.php?f=16&t=213350


(huber2t) #7

Te pliki są w folderze temp a wiec w tymczasowym wystarczy jak usunie z tego folderu pliki lub zoptymalizuje i oczyści system Ccleanerem


(Gutek) #8

Tak zrób :slight_smile:

Zastosuj się do tego Tematu i zmień tytuł tematu na konkretny inaczej KOSZ

Pozdrawiam Gutek2222


(Marvin Nekromanta) #9

Witam!

Niestety infekcja odnowiła się. Kumpel przeniósł wirusy do kwarantanny w Avaście. A oto log z HijackThis:

http://www.wklej.org/id/87946c8eb0

i ComboFix'a:

http://www.wklej.org/id/989f248fbd


(system) #10

Dajesz log ComboFix z drugiego uruchomienia narzędzia, a to jest istotna różnica.

Wiemy, że to nie jest Twój komp, ale nie widzę powodu, abyś usuwał bez zastanowienia moduły należące do karty graficznej:

Ciekawe co usunąłeś za pomocą HijackThis?


(Marvin Nekromanta) #11

Gdyby był to mój komp usunął bym połowę wpisów w LOG'u :slight_smile: Ale kumpel nic nie usuwał.

Wytłumaczysz mi?? Czemu drugie uruchomienie? Jaka to różnica??

(człowiek ciekawski jest)


(system) #12

Gdyby to był Twój komp, to nie przeszkadzałoby mi, gdybyś spróbował usunąć nawet wszystkie wpisy.

Tak to jest, gdy daje się do ręki narzędzie osobom, które nie wiedzą, że mogą nim zrobić sobie "ziaziu".

Komu chcesz wcisnąć taką ciemnotę?

Tworzysz następującego Fixa:

i go wykonujesz, a teraz mówisz, że kumpel nic nie usuwał!

Ano dlatego, że nie zamieszczasz loga wygenerowanego przez ComboFix przy jego pierwszym uruchomieniu, tylko tworzysz Fixa, którego dajesz do wykonania w ComboFix i dopiero z tego zamieszczasz log.

Chyba wiesz, że w przeciwieństwie do HijackThis, ComboFix posiada opcje dezynfekujące i co to narzędzie automatycznie usunęło podczas pierwszego uruchomienia to tego nie wiemy, a to powoduje, że obraz istniejącej infekcji jest niepełny.

Usuń za pomocą HijackThis:

O20 - Winlogon Notify: hgGWpMfG - hgGWpMfG.dll (file missing)

W systemie pełno pozostałości po Nortonie zastosuj Norton Removal Tool.


(Marvin Nekromanta) #13

Aha.

Em czuję się urażony :slight_smile: Windows'a tak łatwo nie da się popsuć. Poza tym Resource Hacker jest bardziej grożny w rękach osób "niepowołanych", a ja jednak nic sobie nie zrobiłem, mimo iż troch.ę plików nim modyfikowałem.


(Gutek) #14

Nie zgodzę się, że nie można łatwo zepsuć Windowsa, ale nie w tym rzecz, czy już jest Ok


(Marvin Nekromanta) #15

Chwilowo spokój. Wszystkie zawirusowane pliki, które były w kwarantannie wywalił z dysku. Zobaczymy czy to nie jest cisza przed burzą. Pozdro.

PS. Windows'a prędzej można popsuć przez przypadek (np "nieświadomą" instalacją Office) niż jeżeli robi się coś o czym się myśli (np edycja wyglądu Resource Hacker'em).