Możliwy Malware - VIRUS ALERT zamiast zegara


(Dyciu) #1

Witam!

Po krótce opisze symptomy a poniżej wkleję logi. A więc po włączeniu komputera w miejscu zegara miałem napis VIRUS ALERT! pod dosem każdy katalog i plik miał taki sam przypis czyli VIRUS ALERT!. Do tego po jakichś 10 minutach wyskakwiał błąd Windowsa z takim tekstem:

Windows has detected an Internet attack attempt...

Somebody's trying to infect your PC with spyware or harmful

viruses. Run full system scan now to protect your PC from

Internet attacks, hijacking attempts and spyware! Click here

to download spyware remover for total protection.

Uruchomiłem więc windowsa w trybie awaryjnym uruchomiłem program SmitfraudFix używając opcji 2 a później Combofix. Poniżej zamieszczam raporty.

SmitfraudFix --> http://wklejto.pl/11941

ComboFix --> http://wklejto.pl/11942

Byłbym wdzięczny za pomoc czy coś jeszcze mam usunąć czy to już wszystko. Wyłączyłem też kilka procesów z autostartu uruchamiając msconfig

index.php?get=1&f=1

byłbym wdzięczny o jakieś dodatkowe porady.

Dzięki z góry i pozdrawiam.


(huber2t) #2

Pobierz ComboFix, ale nie uruchamiaj

Otwórz notatnik i wklej do niego:

File::

C:\WINDOWS\system32\tmp.reg

C:\WINDOWS\system32\terum.exe

C:\WINDOWS\qkeftmxn.exe

C:\WINDOWS\system32\rgdam.exe

C:\khq

C:\WINDOWS\system32\Winddl.exe


Registry::

[-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{133C767F-6EBA-484D-0405-010506060608}]

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NeroFilterCheck"=-

"CloneCDTray"=-

"SunJavaUpdateSched"=-

"SsAAD.exe"=-

"QuickTime Task"=-

"iTunesHelper"=-

"Adobe Reader Speed Launcher"=-

"MSConfig"=-

"NvCplDaemon"=-

"nwiz"=-

Plik -> zapisz jako -> CFScript.txt.

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->

cfscript10uc2.gif

Rozpocznie się usuwanie i powstanie log, który dasz na forum.

Logi dajesz na http://wklej.eu lub na http://wklej.org a w poście dajesz tylko link


(Dyciu) #3

Hubert, zrobiłem tak jak pisałeś. Podczas wykonywania Twojego skryptu przez ComboFix, NOD32 kilkakrotnie podawał informacje o zainfekowanych plikach w katalogu c:\Qoobox domyślam się że to folder ComboFix'a z plikami objętymi kwarantanną. Skrypt wykonałem w normalnym trybie Windowsa.

A tutaj log: http://wklejto.pl/11960


(huber2t) #4

W logu nic nie widzę

usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.

Przeczyść komputer Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar całego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum

lub

Dr.WEB CureIt!


(Dyciu) #5

na dysku C:\ nie znalazłem katalogu Qoobox to jedyne czego nie wykonałem z Twoich poleceń.

Log z Kaspersky'ego tutaj: http://wklej.eu/index.php?id=446edc8175


(huber2t) #6

Pobierz The Avenger

wklej do niego ten tekst:

Files to delete:

C:\Documents and Settings\Administrator\Moje dokumenty\Odebrane pliki\tightvnc-1.3.9-setup.rar

C:\Documents and Settings\Administrator\Pulpit\dyciu\Call Of Duty 4 Crack\COD4Crack.exe

C:\Documents and Settings\Administrator\Pulpit\dyciu\Call Of Duty 4 Crack\COD4Crack1.exe

C:\Documents and Settings\Administrator\Pulpit\dyciu\Call Of Duty 4 Crack\COD4Crack2.exe

C:\Documents and Settings\Administrator\Pulpit\dyciu\Call Of Duty 4 Crack\iw3sp.exe

C:\Documents and Settings\Administrator\Pulpit\dyciu\Call Of Duty 4 Crack.zip

C:\Documents and Settings\Administrator\Pulpit\progs\SmitfraudFix\Reboot.exe

C:\Documents and Settings\Administrator\Pulpit\progs\SmitfraudFix.exe

C:\WINDOWS\system32\spool\notepad.exe


Folders to delete:

D:\System Volume Information\_restore{90D001A7-0C17-4DF3-A025-899E1DB82A8A}\RP37

kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

Usuń wszystkie pliki z tego folderu:


(Dyciu) #7

Zanim odczytałem Twój post na własną rękę usunąłem kilka znalezionych przez Kaspersky'ego plików. Stąd podejrzewam, że te których Avenger nie usunął to te które usunąłem sam.

Log z Avengera : http://wklej.eu/index.php?id=0b1b483fdd

EDIT: w chwili obecnej jestem w trakcie skanowania Kaspersky'm.


(huber2t) #8

Nie wszystkie pliki Avenger usunał


(Dyciu) #9

Nie wiem czy czytałeś mój poprzedni post, ale jeśli nie to zobacz tam, bo już wyżej pisałem, że sam je usunąłem z komputera zanim Ty napisałeś posta. Potem wkleiłem wszystko tak jak pisałeś do Avengera więc nie mógł usunąć tych, które ja już usunąłem. Tak czy inaczej Kaspersky właśnie skończył i oto log z Kaspersky'ego: http://wklej.eu/index.php?id=11e0f4b69f


(huber2t) #10

Wiem, czytałem, ale pisze jak jest

Opróznij kosz

A tak nawiasem mówiać pownieneś przeskanować cały obszar dysku a nie tylko C:\


(Dyciu) #11

Czyli co teraz?

EDIT: OK, przejrzałem log z ciekawości i zrozumiałem o co chodziło z tym koszem. Zainfekowane były te które usunąłem i stąd taki wynik Kaspersky'ego. Włączyłem ponowne skanowanie tym razem całego obszaru dysku.

Skanowanie w trakcie.


(Dyciu) #12

Skanowanie zakończone, a to jego wyniki:

Log : http://wklej.eu/index.php?id=bcf7bd71a2

EDIT: jako że wykryło mi szkodniki tylko w katalogu w którym zapisywane są informacje o przywracaniu systemu wyłączyłem i włączyłem przywracanie. Ten katalog jest czysty, ale dla pewności po raz kolejny puszczam Kaspersky'ego, tak dla upewnienia sie.


(huber2t) #13

Jeśli tak zrobiłeś to powinno być ok

:slight_smile:


(Dyciu) #14

Wszystko czyste, chciałem tylko złożyć serdeczne podziękowania dla użytkownika >> huber2t.

A więc wielkie dzięki.

:smiley: