Podejrzewany Virut - po działaniach - log z ComboFixa


(boczi) #1

Witam,

prawdopodobnie komputer zainfekowany jest odmianą szkodnika Virut, o czym świadczyły takie procesy jak np. reader_sl.exe z serduszkiem, czy latający kursor.

Stosowałem się do procedury Gutka z przyklejonego tematu odn. skanu i ComboFixa (tylko, że najpierw zrobiłem skan ComboFixem,a dopiero później Dr.Web LiveCD...).

Log z pierwszego skanu ComboFixa:

http://www.wklej.org/id/323580

Następnie Dr. Web skanował kilka godzin i wykrył cztery zagrożenia, zaznaczyłem wszystkie i wybrałem Delete.

Log z ComboFixa po Dr. Webie (ponadto po pobraniu jego aktualizacji - z nowszej wersji):

http://www.wklej.org/id/323579

OTL:

http://www.wklej.org/id/323611

OTL Extras:

http://wklej.org/id/323645/


(system) #2

witaj :

w Panelu Sterowania odinstaluj śmiecia Ask.com

zrób pełen skan http://www.malwarebytes.org/mbam.php i pokaż raport...


(jessica) #3

Patrzę się na pierwszy log ComboFixa, i poza tym powyższym plikiem, nie widzę żadnych innych oznak VIRUT'a.

Zresztą potwierdził to chyba poźniej Dr.Web - znalezienie tylko 4 (słownie: czterech) wykryć, to zupełnie nie w stylu VIRUT'a.

Dochodzę do wniosku, że to jakaś inna infekcja podrzuca plik o nazwie podobnej do pliku Virut'a.

Infekcja oczywiście była, ale nie VIRUT, lecz SSHNAS.

Widać też było w logu ComboFixa resztki CONFICKER'a.

I nic poza tym.

Uruchom OTL i w oknie Custom Scans/Fixes wklej to:

Kliknij w Run Fix. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij "Run Scan".

Pokaż nowy log OTL.txt oraz raport z usuwania.

jessi


(boczi) #4

Witam. Dzięki za pomoc.

Log z usuwania: http://wklej.org/id/323878/

Nowy log OTL (Processes i modules ustawione domyślnie: Use Safe List): http://wklej.org/id/323885/


(jessica) #5

Prawdę mówiąc, to jestem trochę zaskoczona: z logów wynikało, że ta usługa CONFICKER'a jest martwym obiektem, a tu się okazało, że ona w dalszym ciągu działała!

Najwidoczniej narzędzia nie potrafią dostrzec wszystkiego, skoro przeoczyły fakt działania CONFICKER'a.

Teraz powinno być OK.

W OTL kliknij na przycisk "CleanUp" - to go usunie razem z jego Kwarantanną. Jednocześnie zniknie też ComboFix.

jessi


(boczi) #6

Być może wynika to z tego że osoba, która jest właścicielem sprzętu próbowała już coś z tym robić - tylko nie wiem dokładnie co - bo z mojej wiedzy wynika, że jej działalność ograniczała się jedynie do skanu ESET-em (który miał bazę aktualną na wrzesień 2007) i próby normalnego usunięcia "ikonki z serduszkiem"...

Ale, jak można zobaczyć, w przeszłości również prezentowałem dziwne przypadki :wink:

jessi - dzięki za pomoc.