Podejrzenie infekcji

Dla specjalistów Bezpieczeństwo
#1

Log rsit

Prosze o sprawdzenie http://wklej.org/id/146322/

Komputer dziwnie sie zachowuje. Przy starcie odpala sie dziwna aplikacja ktora znika po paru sekundach’

Uzywam nod32 smart oraz spybot. Skanuje dosc czesto anti malware.

Ostanio pobralem program avg anty rootkit ktory znajduje wciaz 1 rootkita nawet jak go usuneto zmienia nazwe i sie odradza ponownie

#2

Jaką nazwę nosi ta aplikacja w Menedżerze Zadań ??

#3

W tym problem ze jest to aplikacja w ulamku sekundy ;/

Dodalem edit na gorze

@@@

dziwi mnie tylko to ze mam nod32 na max ustawionego z zaawansowana heurytystyka spybota rowniez a nic nie wykrywa

#4

Tutaj jest coś co wygląda na Confickera…

Możesz wchodzić na te strony?

http://microsoft.com

http://kaspersky.pl

http://eset.pl

#5

strona microsoft laduje sie straznie dziwnie ale po dluszy czasie dziala

reszta bez zarzutu

#6

Pokaż logi OTL oraz GMER.

W GMER nic nie zmieniamy -> wciskamy Szukaj (skan potrwa kilkadziesiąt minut) -> po skanie Kopiuj.

#7

MALWARE WLASNIE USUNOL 1 rootkita

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\vsfocetivmkvvm (Rootkit.TDSS) -> Quarantined and deleted successfully.

#8

To jest raczej coś poważniejszego.

Pokaż logi z Combofix i GMER.

#9

http://wklej.org/id/146340/ oTL

Dodane 07.09.2009 (Pn) 13:01

gmer pracuje znalazl plik tego syfu co z rejstrow polecial jak skonczy dam loga

Dodane 07.09.2009 (Pn) 13:11

http://wklej.org/id/146344/ gmer

Dodane 07.09.2009 (Pn) 13:15

czy uruchamiac jeszcze combifixa czy gmerem usunac zarazone wpisy?

#10

Na takie coś zdecydowanie zastosować trzeba Combofix.

#11

http://wklej.org/id/146379/

z tego co sam przejzalem loga to nie usunol on rootkita ktorego wykryl gmer

czekam na dalsze wskazowki

Dodane 07.09.2009 (Pn) 14:17

http://wklej.org/id/146383/ nowy log rsit

#12

Usunął usługę, ale samych plików nie tknął.

Pobierz The Avenger i uruchom.

Wklej w niego ten tekst:

Execute i zgadzasz się na restart.

Po restarcie kasujesz plik C:\Avenger\backup.zip i dajesz tutaj do sprawdzenia raport C:\avenger.txt

#13

http://wklej.org/id/146386/

albo nazwy sa inne albo komp czysty

Aha i takie male pytanko czy pliki i pozostalosci po combo otl rsit wyrzucic z c czy mam je tam skladowac?

@@@@

rejstr juz wczesniej zanim na forum napisalem usunolem malware bytes :wink:

#14

Widać Combofix usuwając usługę usuwa również powiązany plik.

Wykonałeś pełne skanowanie?

#15

zawsze tak robie:)

ale powtorze je teraz.

Powiedz mi jeszcze co zrobic z plikami oraz z programami combofix Otl avanger gmer i czy usunac po nich logi itd?

#16

Wystarczy w OTL kliknąć CleanUp - to posprząta po wszystkich użytych narzędziach. :slight_smile:

#17

Zainfekowane pliki:

C:\System Volume Information_restore{0BB75D6B-3F3C-40AC-A226-9D6E8C10AFD0}\RP101\A0048548.exe (Trojan.Banker) -> Quarantined and deleted successfully.

wyrzucil go malware :wink: Dzieki wielkie za pomoc

combofix /u

otl dalem clean up

gmer zostawilem tak na przyszlosc

i avanger tez sobie lezy

Zastanawiam sie tylko czy jak WWDC zamkne port 450 to net mi nie padnie

#18

To raczej wygląda na pozostałość po jakimś programie adware.