Ziem
(Ziem)
12 Lipiec 2008 07:15
#1
Witam!
Dzisiaj z internetem chciał połączyć się dziwny plik/program o nazwie XBo232WB.exe. Zablokowałem go, następnie skopiowałem plik na pulpit i przeskanowałem go na virustotal.com . Okazało się, że to trojan, coś typu agent/downloader. Podczas kopiowania podejrzany wydał mi się również plik o naziwe xD2VF3M0.exe, jak przypuszczałem też był zainfekowany.
Kompa przeskanowałem Spybotem, nic nie wykrył poza paroma ciasteczkami.
Log z Hijackthis’a:
http://wklej.org/id/bddd38ea47
Log z Combofix’a
http://www.wklej.org/id/e93f0e6c8d
Po przeskanowaniu Combofix’em wywaliłem instalke i folder Qoobox.
Proszę o sprawdzenie logów i jakieś rady.
Pozdrawiam!
Pobierz Combofix ale nie uruchamiaj wklej do notatnika:
Zapisz plik jako CFScript.txt najlepiej aby ikonka tego pliku znajdowała się obok ikonki ComboFix.exe
Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe powinno rozpocząć się usuwanie po tym daj log na forum.
Usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.
Ziem
(Ziem)
12 Lipiec 2008 07:55
#3
Log wygląda na czysty
Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja
Przeskanuj obszar Mój komputer Kaspersky Online Scanner Uruchom pod IE daj raport na forum
lub Dr.WEB CureIt!
huber2t
(huber2t)
12 Lipiec 2008 08:45
#5
Pobierz ComboFix , ale nie uruchamiaj
Wklej do notatnika:
File::
C:\WINDOWS\Tasks\At1.job
C:\WINDOWS\Tasks\At10.job
C:\WINDOWS\Tasks\At11.job
C:\WINDOWS\Tasks\At12.job
C:\WINDOWS\Tasks\At13.job
C:\WINDOWS\Tasks\At14.job
C:\WINDOWS\Tasks\At15.job
C:\WINDOWS\Tasks\At16.job
C:\WINDOWS\Tasks\At17.job
C:\WINDOWS\Tasks\At18.job
C:\WINDOWS\Tasks\At19.job
C:\WINDOWS\Tasks\At2.job
C:\WINDOWS\Tasks\At20.job
C:\WINDOWS\Tasks\At21.job
C:\WINDOWS\Tasks\At22.job
C:\WINDOWS\Tasks\At23.job
C:\WINDOWS\Tasks\At24.job
C:\WINDOWS\Tasks\At25.job
C:\WINDOWS\Tasks\At26.job
C:\WINDOWS\Tasks\At27.job
C:\WINDOWS\Tasks\At28.job
C:\WINDOWS\Tasks\At29.job
C:\WINDOWS\Tasks\At3.job
C:\WINDOWS\Tasks\At30.job
C:\WINDOWS\Tasks\At31.job
C:\WINDOWS\Tasks\At32.job
C:\WINDOWS\Tasks\At33.job
C:\WINDOWS\Tasks\At34.job
C:\WINDOWS\Tasks\At35.job
C:\WINDOWS\Tasks\At36.job
C:\WINDOWS\Tasks\At37.job
C:\WINDOWS\Tasks\At38.job
C:\WINDOWS\Tasks\At39.job
C:\WINDOWS\Tasks\At4.job
C:\WINDOWS\Tasks\At40.job
C:\WINDOWS\Tasks\At41.job
C:\WINDOWS\Tasks\At42.job
C:\WINDOWS\Tasks\At43.job
C:\WINDOWS\Tasks\At44.job
C:\WINDOWS\Tasks\At45.job
C:\WINDOWS\Tasks\At46.job
C:\WINDOWS\Tasks\At47.job
C:\WINDOWS\Tasks\At48.job
C:\WINDOWS\Tasks\At5.job
C:\WINDOWS\Tasks\At6.job
C:\WINDOWS\Tasks\At7.job
C:\WINDOWS\Tasks\At8.job
C:\WINDOWS\Tasks\At9.job
C:\WINDOWS\system32\xD2VF3M0.exe
Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->
Rozpocznie się usuwanie i powstanie log, który dasz na forum.
Logi dajesz na http://wklejto.pl a w poście dajesz tylko link
huber2t
(huber2t)
12 Lipiec 2008 09:02
#7
Log wyglada na czysty
usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.
Przeczyść komputer Ccleanerem
Wykonaj optymalizację autostartu
Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja
Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum
lub
Dr.WEB CureIt!
Ziem
(Ziem)
12 Lipiec 2008 09:08
#8
Jeszcze takie pytanie, czy na stronie www.kaspersky.com jest inny skaner online niż na pl, czy mi się tylko wydaje? Inna wersja czy to te same i tylko wyglądem się różną?
huber2t
(huber2t)
12 Lipiec 2008 09:10
#9
Mają te samą bazę wirusów i różnią się wyglądem, no i wersja onnline ma mniej fukcjonalności niż zwykła
Ziem
(Ziem)
12 Lipiec 2008 10:56
#10
Ok, przeskanowane.
Raport:
http://ziem.ovh.org/raport.html
Wydaje się być czysty.
Jeszcze takie pytanie: w msconfig->uruchamiane samoistnie dodało się: NTUSER, ntuser.dat, ntuser czy to normalne?
Dla pewności czym można by jeszcze przeskanować kompa?
Dr. WEB CureIt nie chce się ściągnąć, wyskakuje:
Połączenie z serwerem zostało zresetowane podczas wczytywania strony.
huber2t
(huber2t)
12 Lipiec 2008 11:02
#11
Przeskanuj komputer programem ArcaMicroscan
Ziem
(Ziem)
12 Lipiec 2008 12:28
#12
Przeskanowane, raport:
Po przeglądnięciu logów z Comodo Firewall’a chyba już wiem jak się zainfekowałem. Tak jak jest tutaj napisane: http://www.infoprof.pl/wirusy.php?jmp=Downloader.Swif.C - w Tempie miałem plik o nazwie orz.exe i to chyba on spowodował całe zamieszanie.
Więc sprawę, można chyba uznać za zakończoną.
Dziękuję za pomoc.
Pozdrawiam!