Poważna infekcja systemu

Dla specjalistów Bezpieczeństwo
#1

Witam,

mam problem z poważną infekcją systemu znajomego, ciągle wyskakują komunikaty o wirusach (arcavir sobie nie radzi z usuwaniem) zainstalował się jakiś program “antyspyware”. Komputer muli do tego stopnia, iż musiałem zakillować procesy antywirusa jak również część procesów tego antyspyware’a. Często zaskakuje automatycznie IE i włącza się jakaś dziwna strona. Myślę, że resztę wyjaśnią logi:

HijackThis - http://wklej.org/id/b76cc53c0f

SIlentRunners - http://wklej.org/id/bbd20beea1

ComboFix - http://wklej.org/id/61eb2dd20a

Prosiłbym o jak najszybszą pomoc, reinstall systemu nie bardzo wchodzi w grę inaczej bym się nie zastanawiał tylko wszystko wyczyścił.

post-30490-13856533852251_thumb.jpg

#2

Wklej do Notatnika:

Folder::

C:\Documents and Settings\Zbyszek\Dane aplikacji\WinAnonymous 

C:\Program Files\Common Files\WinAnonymous 

C:\DOCUME~1\ALLUSE~1\DANEAP~1\WinAnonymous

C:\Program Files\Sotfone

C:\Program Files\NetProject

C:\Program Files\Helper

C:\Program Files\webHancer


Registry::

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{10C52A42-DB8B-4ade-AA4A-CED6A8282B67}] 

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C2A1C5CB-C0EF-4689-9436-F62CCA1C5383}] 

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F10587E9-0E47-4CBE-ABCD-7DD20B8622FF}] 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run] 

"some"=-

"start"=-

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\gdcw]

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\webHancer Agent] 

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinAnonymous]

>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku –>88953CFScript-createdbyMiekiemoes.gif

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: ** Qoobox**.

Po tym nowy log z Combo

#3

nowy log:

http://wklej.org/id/af7e842e73

aha pozostaje jeszcze sprawa aplikacji “antyspywareshield” którą wywaliłem ręcznie - inaczej nic otworzyć się nie dało

#4

Wklej do Notatnika:

File::

C:\Program Files\AntiSpywareShield


Registry::

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AntiSpywareShield]

>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku –>88953CFScript-createdbyMiekiemoes.gif

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: ** Qoobox**.

Po tym nowy log z Combo

#5

nowy log combofix:

http://wklej.org/id/1359463776

wynik skanowania ad-aware:

http://wklej.org/id/9cd2f62c64

#6

Prawoklik na Mój Komputer>>>>Właściwości>>Przywracanie systemu>> wyłącz przywracanie systemu na wszystkich dyskach.

Pokaż jeszcze:

Pobierz program SDFix

#7

Zrób co zalecił Gutek a oprócz tego

otwórz notatnik i wklej

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri … iemoes.gif

Powinno rozpocząć się usuwanie

Potem log z usuwania Combofix

Po restarcie jeśli wszystko będzie OK usuń ręcznie folder C: \Qoobox

:slight_smile:

#8

Najpierw wyłącz przywracanie systemu, później użyj SDFix

#9

log z SDFix - http://wklej.org/id/0ebf9e5e74

no i jeszcze dziwna sprawa, zainstalowałem im triala eset smart security i mimo połączenia z internetem przeglądarki go nie widzą (nie da się na żadną stronę wejść)

#10

Daj nowy log z Combo

#11

nowy log z combofix - http://wklej.org/id/bb52cdb380

wszedłem już u nich do netu, po skanie combofixem wszystko wróciło do normy

#12

otwórz notatnik i wklej

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri … iemoes.gif

Powinno rozpocząć się usuwanie

Potem log z usuwania Combofix

Po restarcie jeśli wszystko będzie OK usuń ręcznie folder C: \Qoobox

Ciekawe dla czego tego nie zrobiłeś wcześniej po SDfixe?

:slight_smile:

#13

przeoczyłem bo spieszyłem się, to nie mój komp a musiałem kawał drogi wracać, jutro zrobię :wink:

// nowy log combofix - http://wklej.org/id/a815c08eff

#14

start >> uruchom >> cmd

sc stop AVUpdate

sc delete AVUpdate

otwórz notatnik i wklej

zapisz jako plik.reg >> wszystkie pliki >> scal z rejestrem >> restart

b57f17008275c957m.jpg

powstanie plik o takiej ikonie

062aec4c9b51c033m.jpg

w który dwa razy klikniesz potwierdzisz chęć dodania do rejestru potem restart

Włącz przywracanie

:slight_smile:

#15

ok zrobione coś jeszcze?

#16

Kontrolnie log z Combo

#17

nowy log combofix - http://wklej.org/id/9d18ac9878

#18

Log czysty

usuń ręcznie folder C: \Qoobox ponad to usuń instalkę Combofixa tego się nie trzyma na dysku

:slight_smile:

#19

usunięte

#20

To Ok