Logi po wskazowkach-trojandownloader.xs


(Grzesiek) #1

Witam,

Skorzystalem z Waszych wskazowek odnosnie problemow ze spyware.

Chcialem sie upewnic czy juz wszystko z moim kompem ok.

Log z Hijack: http://wklej.org/id/ce3cf69cd4

Combo: http://wklej.org/id/c8b4e97686

Z gory dziekuje za pomoc.

Geleks


(Dmirecki) #2

FIX:

Wklej do notatnika:

File::

C:\WINDOWS\System32\kguys32.dll


Folder::

C:\Program Files\Bat


Registry::

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\

"ifknezx"=-

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

Plik -> zapisz jako -> CFScript.txt

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

88953CFScript-createdbyMiekiemoes.gif

Powinno się rozpocząć usuwanie i powstanie log, daj ten log na forum + nowy log z HijackThis.

Jeśli wszystko pójdzie dobrze, to po restarcie usuń ręcznie folder C: ** Qoobox**

Przeskanuj plik an www.virustotal.com i pokaż raport:


(Grzesiek) #3

Dzieki za wskazowki:)

Mam logi.

Combo: http://wklej.org/id/942862e00a

Hijack: http://www.wklej.org/id/5540d98d30

Jak wyniki?


(Leon$) #4

Wyłącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

Wylecz pendriva lub kartę pamięci http://www.softpedia.com/get/Security/S … Tool.shtml lub format

Otwórz notatnik i wklej

zapisz jako plik.reg >> wszystkie pliki >> scal z rejestrem >> restart

b57f17008275c957m.jpg

powstanie plik o takiej ikonie

062aec4c9b51c033m.jpg

w który dwa razy klikniesz potwierdzisz chęć dodania do rejestru potem restart

zrób optymalizacje uruchamiania http://cybertrash.netarteria.pl/cyber/index.php/topic,378.0.html

usuń ręcznie folder C: \Qoobox usuń instalkę Combofix z dysku.

przeskanuj obszar Mój komputer http://www.kaspersky.pl/virusscanner.html pokaż raport

włącz przywracanie systemu

:slight_smile:


(Grzesiek) #5

Skanowanie w toku. Nie za bardzo czaje wskazowke “Wylecz pendriva lub kartę pamięci http://www.softpedia.com/get/Security/S … Tool.shtml lub format”

Czy to oznacza ze mam zasyfionego pendrive?


(Leon$) #6

Prawdopodobnie tak

:slight_smile:


(Grzesiek) #7

Raport ze skanowania:

http://wklej.org/id/a42ca6450e

Sporo tego bylo…


(Leon$) #8

Czy to jest raport skanowania Kasperskim?

:?:


(Grzesiek) #9

Kaspersky nie chcial mi sie odpalic, pokazywalo sie haslo o wygasnieciu waznosci konta…


(Leon$) #10

Kasperski online z podanego linku chce hasło do konta?

nie bardzo rozumiem przecież to jest darmowe i żadnego konta się tam nie zakłada

musisz tam wejść jedynie przez stronę w IE

:slight_smile:


(Grzesiek) #11

Wiem ze to dziwne, wiem ze skanery online dzialaja tylko pod IE…Komputer po przeskanowaniu innym antywirusem dalej pracuje dziwnie, po zalogowaniu sie do windy dlugo laduje sie pulpit, inni uzytkownicy po zalogowaniu sie do swojego profilu wogole nie moga uruchomic zadnych programow.

W dniu 19.04.2008 , o godzinie 18:10 został dopisany post przez geleks

Mialem zainstalowana jakas stara wersje Kasperskiego. Odinstalowalem ja i teraz ruszyl z instalacja engine i bazy. Jak przeskanuje kompa to dam raport.

W dniu 19.04.2008 , o godzinie 20:12 został dopisany post przez geleks

Wklejam raport z Kasperskiego: http://pastey.net/86040


(Leon$) #12

wszystko do usunięcia

Po usunięciu dla pewności powtórny skan Kasperskim

:slight_smile:


(Grzesiek) #13

Zostal mi 1 plik do usuniecia: even32.dll, nie wiem jak usunac - pojawia sie komunikat ze jest zabezpieczony przed usunieciem, jak to obejsc?

obszedlem:)


(Gutek) #14

Użyj Pocket Killbox. Zaznaczasz opcję Delete on Reboot i w polu Full Path of File to Delete wklejasz ścieżkę

C:\WINDOWS\System32\even32.dll

i naciskasz X czerwony. Program poprosi o reset kompa … czyli resetujesz.


(Grzesiek) #15

Teraz przyplatalo sie nowy syf: oczyszczacz komputera: laduje sie okno tego syfu z zacheta do pobrania - jak sie tego pozbyc?


(Leon$) #16

a usunięty jest plik o którym była mowa

przeskanuj obszar Mój komputer http://www.kaspersky.pl/virusscanner.html pokaż raport stronę uruchomić przez IE

:slight_smile:


(Grzesiek) #17

Tak-nie ma go juz na dysku, skanowanie w toku

W dniu 20.04.2008 , o godzinie 20:28 został dopisany post przez geleks

Raport: http://pastey.net/86112

Ten plik do usuniecia “utknal” w kliboxie, sa tez 2 inne syfy.


(Leon$) #18

Czy skanowałeś obszar krytyczny czy obszar Mój komputer?

usuń

Wyłącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl o tym było napisane

:slight_smile:


(Grzesiek) #19

Skanowalem moj komputer. Wywalilem killboxa a mimo to Kaspersky dalej go znajduje. Co do przywracania systemu: mialem go wylaczyc, przeskanowac i wlaczyc. Teraz wylaczylem i nie moge sie dostac do tch zasyfionych plikow, a kiedy probuje wlaczyc przywracanie to winda mi krzyczy ze nie moge tego zrobic z poziomu trybu awaryjnego a tryb normalny mi strasznie muli. Juz powoli mi sie odechciewa walki z tymi gownami…

W dniu 20.04.2008 , o godzinie 21:03 został dopisany post przez geleks

Killbox wywalony:)


(Leon$) #20

jeżeli wyłączyłeś a potem włączyłeś przywracanie to do zasyfionych plików się nie dostaniesz bo ich już nie ma na dysku

po to właśnie się to robi

czyli system powinieneś mieć czysty

możesz sprawdzić powtórnie Kasperskim

:slight_smile: