Podejrzane pliki xD2VF3M0.exe, XBo232WB.exe - infekcja?


(Ziem) #1

Witam!

Dzisiaj z internetem chciał połączyć się dziwny plik/program o nazwie XBo232WB.exe. Zablokowałem go, następnie skopiowałem plik na pulpit i przeskanowałem go na virustotal.com. Okazało się, że to trojan, coś typu agent/downloader. Podczas kopiowania podejrzany wydał mi się również plik o naziwe xD2VF3M0.exe, jak przypuszczałem też był zainfekowany.

Kompa przeskanowałem Spybotem, nic nie wykrył poza paroma ciasteczkami.

Log z Hijackthis'a:

http://wklej.org/id/bddd38ea47

Log z Combofix'a

http://www.wklej.org/id/e93f0e6c8d

Po przeskanowaniu Combofix'em wywaliłem instalke i folder Qoobox.

Proszę o sprawdzenie logów i jakieś rady.

Pozdrawiam!


(Spandau) #2

Pobierz Combofix ale nie uruchamiaj wklej do notatnika:

Zapisz plik jako CFScript.txt najlepiej aby ikonka tego pliku znajdowała się obok ikonki ComboFix.exe

Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe powinno rozpocząć się usuwanie po tym daj log na forum.

Usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.


(Ziem) #3

Zrobione, oto log:

http://wklej.org/id/b0ad07822f


(Spandau) #4

Log wygląda na czysty

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar Mój komputer Kaspersky Online Scanner Uruchom pod IE daj raport na forum

lub Dr.WEB CureIt!


(huber2t) #5

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\WINDOWS\Tasks\At1.job

C:\WINDOWS\Tasks\At10.job

C:\WINDOWS\Tasks\At11.job

C:\WINDOWS\Tasks\At12.job

C:\WINDOWS\Tasks\At13.job

C:\WINDOWS\Tasks\At14.job

C:\WINDOWS\Tasks\At15.job

C:\WINDOWS\Tasks\At16.job

C:\WINDOWS\Tasks\At17.job

C:\WINDOWS\Tasks\At18.job

C:\WINDOWS\Tasks\At19.job

C:\WINDOWS\Tasks\At2.job

C:\WINDOWS\Tasks\At20.job

C:\WINDOWS\Tasks\At21.job

C:\WINDOWS\Tasks\At22.job

C:\WINDOWS\Tasks\At23.job

C:\WINDOWS\Tasks\At24.job

C:\WINDOWS\Tasks\At25.job

C:\WINDOWS\Tasks\At26.job

C:\WINDOWS\Tasks\At27.job

C:\WINDOWS\Tasks\At28.job

C:\WINDOWS\Tasks\At29.job

C:\WINDOWS\Tasks\At3.job

C:\WINDOWS\Tasks\At30.job

C:\WINDOWS\Tasks\At31.job

C:\WINDOWS\Tasks\At32.job

C:\WINDOWS\Tasks\At33.job

C:\WINDOWS\Tasks\At34.job

C:\WINDOWS\Tasks\At35.job

C:\WINDOWS\Tasks\At36.job

C:\WINDOWS\Tasks\At37.job

C:\WINDOWS\Tasks\At38.job

C:\WINDOWS\Tasks\At39.job

C:\WINDOWS\Tasks\At4.job

C:\WINDOWS\Tasks\At40.job

C:\WINDOWS\Tasks\At41.job

C:\WINDOWS\Tasks\At42.job

C:\WINDOWS\Tasks\At43.job

C:\WINDOWS\Tasks\At44.job

C:\WINDOWS\Tasks\At45.job

C:\WINDOWS\Tasks\At46.job

C:\WINDOWS\Tasks\At47.job

C:\WINDOWS\Tasks\At48.job

C:\WINDOWS\Tasks\At5.job

C:\WINDOWS\Tasks\At6.job

C:\WINDOWS\Tasks\At7.job

C:\WINDOWS\Tasks\At8.job

C:\WINDOWS\Tasks\At9.job

C:\WINDOWS\system32\xD2VF3M0.exe

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

02f8f1e3c410a4cc.gif

Rozpocznie się usuwanie i powstanie log, który dasz na forum.

Logi dajesz na http://wklejto.pl a w poście dajesz tylko link


(Ziem) #6

http://wklejto.pl/5562


(huber2t) #7

Log wyglada na czysty

usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.

Przeczyść komputer Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum

lub

Dr.WEB CureIt!


(Ziem) #8

Jeszcze takie pytanie, czy na stronie www.kaspersky.com jest inny skaner online niż na pl, czy mi się tylko wydaje? Inna wersja czy to te same i tylko wyglądem się różną?


(huber2t) #9

Mają te samą bazę wirusów i różnią się wyglądem, no i wersja onnline ma mniej fukcjonalności niż zwykła


(Ziem) #10

Ok, przeskanowane.

Raport:

http://ziem.ovh.org/raport.html

Wydaje się być czysty.

Jeszcze takie pytanie: w msconfig->uruchamiane samoistnie dodało się: NTUSER, ntuser.dat, ntuser czy to normalne?

Dla pewności czym można by jeszcze przeskanować kompa?

Dr. WEB CureIt nie chce się ściągnąć, wyskakuje:

Połączenie z serwerem zostało zresetowane podczas wczytywania strony.


(huber2t) #11

Przeskanuj komputer programem ArcaMicroscan


(Ziem) #12

Przeskanowane, raport:

Po przeglądnięciu logów z Comodo Firewall'a chyba już wiem jak się zainfekowałem. Tak jak jest tutaj napisane: http://www.infoprof.pl/wirusy.php?jmp=Downloader.Swif.C - w Tempie miałem plik o nazwie orz.exe i to chyba on spowodował całe zamieszanie.

Więc sprawę, można chyba uznać za zakończoną.

Dziękuję za pomoc.

Pozdrawiam!