Malware wfsintq.sys :/

Dla specjalistów Bezpieczeństwo
#1

Witam wszystkich i proszę o pomoc, gdyż słabo się w tym wszystkim orientuję. Wczoraj coś mi się posypało - testowałem kilka programów i któryś z nich musiał mieć tego smroda… :? Zauważyłem, że padło mi bezprzewodowe połączenie z internetem, nie działała avira ( przy próbie odpalenia komunikat “…nieprawidłowa aplikacja win32…”), umarła też karta dźwiękowa SB Live. Objawy są bardzo charakterystyczne, znalazłem podobne przypadki w sieci. Nie odpalały się też oczywiście żadne inne programy antywirusowe itp.

Na ten moment udało mi się odpalić combofixa, którego zalecano w podobnych przypadkach. Znalazł infekcję, coś am pousuwał, zrobił jakieś logi, umieścił pliki w kwarantannie. Ale wnioskuję, że to nie koniec walki, bo komp nie chodzi tak jak powinien. Nie da się przywrócić sieci i zainstalować od nowa dźwięku. Zrobiłem też skan Hijackiem, ale nie wiem, czy miało to sens… W każdym razie, na tym etapie już sam nie wiele mogę i będę wdzięczny za każdą pomoc w przywróceniu mojego kompa do stanu używalności :roll:

Linki do logów - wygląda na niezły bajzel, ale ja się nie znam #-o

ComboFix: http://www.wklej.org/id/59585/

ComboFix-quarantined files: http://www.wklej.org/id/59587/

To pewnie już nie jest potrzebne, ale wklejam jakby co…

Hijackthis: http://www.wklej.org/id/59588/

#2

Rootkit BAGLE.

Teoretycznie ComboFix usunął, ale…

Użyj, z opcji “2”, FindyKill.

Daj z niego log. On powinien naprawić szkody wyrządzone przez tego Rootita.

Potem:

Wklej do Notatnika :

Folder::

c:\documents and settings\Appol\Dane aplikacji\drivers


Driver::

abp470n5


Registry::

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6d0f9ad3-d66e-11dd-936b-001d7dd6ae2b}]

>>Plik>>Zapisz jako… >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

–>cfscript10gm1.gif

Ma się rozpocząć usuwanie. (i powstanie log).

Daj ten log, który powstanie w trakcie usuwania.

jessi

#3

Nie wiem, czy dobrze zrozumiałem, że log z FindyKill dać na forum. W każdym razie wklejam :slight_smile:

FindyKill: http://wklej.org/id/59596/

Tę następną kwestię z wklejaniem zaklęć ( :wink: ) do notatnika i zapisaniem jako CFScript.txt mam zrobić niezależnie?

Dodane 03.03.2009 (Wt) 16:02

Ok. CFScript.txt trafił już do combofixa i powstał poniższy log:

http://wklej.org/id/59618/

#4

To nie wygląda na log użyty z opcji “2”.

Czy masz już bezprzewodówkę.? FindyKill użyty z opcji “2” powinien to samoczynnie naprawić. (choć w logu z opcji “1” nie widzę, by było coś do naprawienia!).

jessi

#5

Tak, moje niedopatrzenie. Już się robi opcja “2”. Dam znać za chwilę :slight_smile:

Dodane 03.03.2009 (Wt) 17:10

Już zaczynam dziękować :slight_smile: Bezprzewodówka wróciła :slight_smile: Ale instalacja karty muzycznej znów się zwiesza przy odpalaniu setup’a i jakoś nie mam pomysłu co z tym zrobić #-o Log z opcji “2” poniżej:

http://wklej.org/id/59641/

#6
#7

Ten autorun to instalka SBLive na CD :wink:

Dziękuję bardzo za pomoc!

=D> =D> =D>