Podejrzewam jakiś syf na kompie- powód? - dziwne logi


(M4thy5) #1

Podejrzewam od dłuższego czasu zainfekowanie komputera jakimiś szpiegami lub innym syfem. Logi dosyć podejrzanie wg mnie sie prezentują, dlatego też wklejam i proszę o ocenę. Czy moje podejrzenia są właściwe?

W HijackThis jest wszystko ok oprócz tego:

tzn wg mnie to jest podejrzane bo kiedyś tego nie było.

Pełny log tutaj: http://wklej.org/id/20923/

ComboFix- pełny log:

http://wklej.org/hash/fbb1996494/

Nie podoba mi się w tym logu to:

P.S. Miałem włączony Sunbelt Firewall i nie dało sie włączyć ComboFixa (pytał sie o wieele rzeczy firewall przy próbie uruchomienia ComboFixa ale po zaakceptowaniu wszystkiego itak nie uruchomił sie), wyłączyłem więc ochronę firewalla nie wyłączając go jednak. ComboFix włączył sie ale firewall znikł z traya. To normalne? W procesach systemu jest w dalszym ciągu kilka procesów firewalla (SbPFLnch, SbPFSvc, SbPFCl).

Spybot pozostał nadal w trayu i po zakończeniu pracy ComboFix'a powiadomił o kilku zmianach w rejestrze, czy zatwierdzić zmiany... nie dopuściłem zmian. Czemu tak sie stało?


(huber2t) #2

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

d:\winnt\system32\29.tmp


Driver::

MEMSWEEP2

Plik -> zapisz jako -> CFScript.txt.

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->

cfscript10uc2.gif

Rozpocznie się usuwanie i powstanie log, który dasz na forum.

Logi dajesz na http://wklej.eu lub na http://wklej.org a w poście dajesz tylko link


(Gutek) #3

Zastosuj się do tego Tematu i zmień tytuł tematu na konkretny inaczej KOSZ

Pozdrawiam Gutek2222


(M4thy5) #4

Poprawiłem temat.

huber2t, zrobiłem jak radziłeś, oto log:

http://wklej.org/id/20959/

Proces przebiegł podobnie jak wtedy gdy poprostu uruchomiłem ComboFix, komputer sie uruchomił teraz ponownie i ComboFix dokończył operacje.

P.S. Tym razem po operacji ComboFixa zgodziłem sie na 3 zmiany o które zapytał Spybot. W HijackThis pojawiło sie teraz takie coś:

poza tym reszta jest bez zmian, log: http://www.wklej.org/id/20971/


(huber2t) #5

W logu nic nie widzę

usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.

Przeczyść komputer Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar całego komputera http://www.kaspersky.pl/virusscanner.html Daj raport z niego na forum

lub

Dr.WEB CureIt!


(M4thy5) #6

A co sądzisz o moich wątpliwościach z pierwszego posta (wcześniej poprawiłem i dodałem co wzbudza moje wątpliwości).

A dlaczego nie można zostawić go na dysku?


(huber2t) #7

Ponieważ ci klika dni wychodzi nowa wersja combofixa, i nie które antywirusy wykrywają w nim wirusa


(M4thy5) #8

http://www.virustotal.com wykryło że

ws_edit ->

eSafe 7.0.17.0 2008.11.23 Suspicious File

jeden skaner tak stwierdził

vpanele.com zostało okrzyknięte trojanem prawie przez wszystkie skanery

przystąpie do skanowania komputera ale najpierw chciałbym combofixem wszystko załatwić, ws_edit.lib moge usunąć?


(Gutek) #9
d:\winnt\system32\ws_edit.lib

d:\winnt\system32\vPanele.com

wklej cały raport ze skanu :slight_smile:


(M4thy5) #10

Tu jest log skanu pliku ws_edit.lib: http://www.virustotal.com/pl/analisis/6 ... 45401aba4c

Przeskanowałem teraz programem D.Web@ d:\winnt\system32\ i strasznie długo to trwa, jeszcze nie skończyło ale wykryło vpanele.com i usunął. Skanując przedtem sam plik ws_edit.lib nic nie wykrył. Dziwne że gdy skanuje cały komputer D.Web to trwa to krótko a teraz tylko jeden folder wskazałem to trwa to już conajmniej 5 razy dłużej, wtedy gdy cały komputer skanował to nic nie wykrywał, a plik ten był od dawna w tym folderze... :o

Teraz pytanie- czy usuwać czy zostawiać ws_edit.lib?