Podejrzewany Virut - po działaniach - log z ComboFixa

boczi · 26 Kwiecień 2010 19:29

Witam,

prawdopodobnie komputer zainfekowany jest odmianą szkodnika Virut, o czym świadczyły takie procesy jak np. reader_sl.exe z serduszkiem, czy latający kursor.

Stosowałem się do procedury Gutka z przyklejonego tematu odn. skanu i ComboFixa (tylko, że najpierw zrobiłem skan ComboFixem,a dopiero później Dr.Web LiveCD…).

Log z pierwszego skanu ComboFixa:

http://www.wklej.org/id/323580

Następnie Dr. Web skanował kilka godzin i wykrył cztery zagrożenia, zaznaczyłem wszystkie i wybrałem Delete.

Log z ComboFixa po Dr. Webie (ponadto po pobraniu jego aktualizacji - z nowszej wersji):

http://www.wklej.org/id/323579

OTL:

http://www.wklej.org/id/323611

OTL Extras:

http://wklej.org/id/323645/

system · 26 Kwiecień 2010 20:24

witaj :

w Panelu Sterowania odinstaluj śmiecia Ask.com

zrób pełen skan http://www.malwarebytes.org/mbam.php i pokaż raport…

jessica · 26 Kwiecień 2010 20:33

Patrzę się na pierwszy log ComboFixa, i poza tym powyższym plikiem, nie widzę żadnych innych oznak VIRUT’a.

Zresztą potwierdził to chyba poźniej Dr.Web - znalezienie tylko 4 (słownie: czterech) wykryć, to zupełnie nie w stylu VIRUT’a.

Dochodzę do wniosku, że to jakaś inna infekcja podrzuca plik o nazwie podobnej do pliku Virut’a.

Infekcja oczywiście była, ale nie VIRUT, lecz SSHNAS.

Widać też było w logu ComboFixa resztki CONFICKER’a.

I nic poza tym.

Uruchom OTL i w oknie Custom Scans/Fixes wklej to:

:OTL FF - prefs.js…extensions.enabledItems: toolbar@ask.com:3.4.4.118 [2010-02-13 15:23:07 | 000,000,000 | —D | M] – C:\Users\asus\AppData\Roaming\mozilla\Firefox\Profiles\9ed7rn9z.default\extensions\toolbar@ask.com O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask.com) O3 - HKLM…\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask.com) O3 - HKCU…\Toolbar\WebBrowser: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask.com) O28 - HKLM ShellExecuteHooks: {AEB6717E-7E19-11d0-97EE-00C04FD91972} - Reg Error: Key error. File not found [2010-04-26 16:01:26 | 000,000,000 | —D | C] – C:\Qoobox :Files C:\Program Files\Ask.com :Services ozkevgsb :Commands [emptytemp] [Reboot]

Kliknij w Run Fix. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij “Run Scan”.

Pokaż nowy log OTL.txt oraz raport z usuwania.

jessi

boczi · 27 Kwiecień 2010 10:43

Witam. Dzięki za pomoc.

Log z usuwania: http://wklej.org/id/323878/

Nowy log OTL (Processes i modules ustawione domyślnie: Use Safe List): http://wklej.org/id/323885/

jessica · 27 Kwiecień 2010 12:03

Prawdę mówiąc, to jestem trochę zaskoczona: z logów wynikało, że ta usługa CONFICKER’a jest martwym obiektem, a tu się okazało, że ona w dalszym ciągu działała!

Najwidoczniej narzędzia nie potrafią dostrzec wszystkiego, skoro przeoczyły fakt działania CONFICKER’a.

Teraz powinno być OK.

W OTL kliknij na przycisk “CleanUp” - to go usunie razem z jego Kwarantanną. Jednocześnie zniknie też ComboFix.

jessi

boczi · 27 Kwiecień 2010 19:29

Być może wynika to z tego że osoba, która jest właścicielem sprzętu próbowała już coś z tym robić - tylko nie wiem dokładnie co - bo z mojej wiedzy wynika, że jej działalność ograniczała się jedynie do skanu ESET-em (który miał bazę aktualną na wrzesień 2007) i próby normalnego usunięcia “ikonki z serduszkiem”…

Ale, jak można zobaczyć, w przeszłości również prezentowałem dziwne przypadki

jessi - dzięki za pomoc.