Prawdopodobnie Look2Me


(Irys93) #1

Witam.

Dzisiaj miałem tak zwanego virusa Look2Me... chodzi o to że wchodzę na pulpit z 8 minut , komputer muli...

Pakiet svchost.exe dochodzi do 50 k.

Brat usunoł dziś tego vira. Po jego wyjezdzie okazalo sie ze znów jest.

Jak widać już prawie ranek a ja się męczę z tym virem.

Proszę o pomoc :slight_smile:

Oto log ;


(Henio Mazurek) #2

Tutaj nie widać żadnego Look2Me, prawdę mówiąc to nie wiem czy on jeszcze gdzieś grasuje.

Wklej logi z OTL i gmer

http://www.searchengines.pl/index.php?s ... t&p=392369

http://www.gmer.net/

Logi wklejasz na www.wklej.org a tutaj tylko link.


(Irys93) #3

Może i nie widać ale po pakietach svchostu tak. Nie wiem z jakiej racji znów się pojawił ... Ale Look2Me-Destroyer nic nie może znaleźć...

Oto jak wygląda ten sv ;/

menadzerj.jpg

A ogólnie to na pulpit dzisiaj 1,5min wchodziłem ;p Więc jakoś lepiej ale i tak jak ściągam np. 2 mb to z 5 min czekam aż wyskoczy w FF że plik ściągnięto (przy tym zacina się FF)...

Więc.

OTL skanuje i wyskoczył tak error :

otllll.jpg

ale niby dalej skanuje. chyba (Scanning HKEY_CURRENT_USER file associations keys...) i już tak 3 min...

GMER skanuje wciąż...

Jak coś jak będe posiadał logi to z edytuje :slight_smile: Więc spójrz czasem :slight_smile:

EDIT!


OTL nadal chyba stoi... i pisze tak jak wyżej...

http://wklej.org/id/112801/


GMER skanuje...


(Henio Mazurek) #4

Tutaj nic nie widać. Jeśli już coś może być to rootkit lub trefna biblioteka podczepiona pod svchosta, ewentualnie resztki Look2Me (jeśli był) w rejestrze spowalniające start systemu.

Przede wszystkim daj log z gmer.

Również wykonaj dokładny skan Malwarebytes Anti-Malware, jeśli coś znajdzie - usuń i wklej log.

http://dobreprogramy.pl/index.php?dz=2& ... lware+1.37


(Irys93) #5

GMER dalej się robił... ja w tym czasie pojechalem zalatwic sprawy... wracam komp zresetowany . odpalam pulpit ... zamulka . no to wale skana Spyware Doctorem .. a tu co ?

sssric.jpg

I jednak mówiłem coś jest ... wcześniej tego nie było widać... przejadę look4my destroyerem tera , nie będę usuwał spyware doctorem


(Henio Mazurek) #6

Ten obrazek z Spyware Doctor'a nic nie mówi. Podaj dokładną lokalizację tych plików.

To może być w temp. Zastosuj ATF, zaznacz wszystko do czyszczenia.

http://cybertrash.pl/images/tata/ATF/ATF.html

Potem dokładny skan Malwarebytes Anti-Malware (link w moim poprzednim poście). Wklej log.


(Irys93) #7

ATF wywalił z 200 MB bzdetów :stuck_out_tongue_winking_eye:

Anti Malware nic nie wykrył:


(Henio Mazurek) #8

Skanowanie zrób jednak pełne.

Dalej jest ten problem?

Poza tym zrób skan Spyware Doctor'em i jak coś znajdzie to postaraj się podać ścieżki do tych plików oraz nowy log z OTL.

No i przydała by się aktualizacja do XP SP3.


(Irys93) #9

robiłem pełne i po 40 minutach nie mogłem zobaczyć jaki postęp. klikam w pasku na Malware i nic . pc się zaciął ;/

to jest jakieś chore . (ten otl)

otllll.jpg

2 raz skan i wyskakuje błąd i stoi na (Scanning HKEY_CURRENT_USER file associations keys...)

a tak poza tym to dzisiaj skanowałem Spyware Doctorem na pełnym skanie :

backdoor.jpg

czy to aż takie groźne ? (dziwne że w Speedfanie) - ale już nie ma tego pliku

a gdzieś czytałem na jakimś forum by zastosować Windows Worms Doors Cleaner ... ok odpalam i ?

wwdc.jpg

ale po kliknięciu ok mogę normalnie wejść do programu . a by bylo dobrze maja być X-y ?


(Henio Mazurek) #10

Skoro już ComboFix'a pobrałeś to go uruchom i pokaż log. Jak nie będzie chciał się uruchomić to pobierz od nowa.

Wyłącz na czas pobierania i skanu antywirusa i firewall'a.

Masz XP z SP2 tak więc takich atrakcji ze strony robaków sieciowych możesz doświadczać.

W WWDC wszystko przełączasz na disable (zielono), jak stracisz internet to przy NetBios cofnij zmianę żeby był na żółto.


(Irys93) #11

W końcu coś usunął ten Combofix ... :wink:

http://www.wklej.org/id/113526/

a ogólnie to dziękuję za pomoc :wink: Mam nadzieje że pomożesz mi wyzwolić się od tego badziewia ...

edit :

chyba to skasować ?

O4 - HKLM..\Run: [Alcmtr] ALCMTR.EXE

i co z tym bo mnei dziwi . czemu coś z Combofixem ?

O23 - Service: PEVSystemStart - Unknown owner - cmd /k start /i "/dC:" "C:\ComboFix\HIDEC.exe" "C:\WINDOWS\system32\CF26857.exe" /c RD /S/Q \$RECYCLE.bin \RECYCLER \RECYCLED (file missing)


(Henio Mazurek) #12

Widzę, że ComboFix'em to się już wcześniej konkretnie porządziłeś.

Ten plik wygląda na czyściciela po Look2Me. A w logu zaś nic.

Jak chcesz, to od Realteka, lepiej odznacz przez msconfig.

Gdzie to się pojawiło? W HT?

Martwy sterownik do usunięcia. Start => Uruchom => cmd, wpisz

sc delete FXDrv32

Wykonaj jeszcze skan Dr.WEB CureIt, wklej log

http://dobreprogramy.pl/index.php?dz=2& ... 00.4.06190


(Irys93) #13

O23 - Service: PEVSystemStart - Unknown owner - cmd /k start /i "/dC:" "C:\ComboFix\HIDEC.exe" "C:\WINDOWS\system32\CF26857.exe" /c RD /S/Q \$RECYCLE.bin \RECYCLER \RECYCLED (file missing)

niby usuneło ale po kolejnym skanie HJT znów jest ...

właśnie 2/3 h skanuje Dr.Web :stuck_out_tongue: Niedługo log bo prawie ponad połowa ;D


(Henio Mazurek) #14

HijackThis nie usuwa tych wejść.

To wygląda na zabłąkane wpisy po uruchomieniu ComboFix'a których nie usunął/przywrócił.

To na koniec.


(Irys93) #15

O taki log chodzi ? troche mały...

http://www.wklej.org/id/113903/


(Henio Mazurek) #16

Dr.WEB usunął w przeważającej części narzędzia czyszczące. Ale też kilka śmieci.

Jak stoi sytuacja? Bo ja doprawdy nic tutaj nie widzę.


(Irys93) #17

hmm komp muli . zacina sie np FF gdy odpale z 3 karty ktore sie laduja i nastepna albo gdzies klike ;/

svchosty są dwa po ok 40k ;/

ok teraz zauwazylem ze jeden juz jest i tylko do 20k wyciaga


(Henio Mazurek) #18

Co do spasionego svchost to może być wynikiem usług, niekoniecznie infekcji, pod niego podpiętych.

W jaki sposób i jakimi programami brat usuwał tą infekcję, bo tu widać Look2Me Destroyer, SmitfraudFix, HT, ComboFix, jeszcze coś? Zachowały się jakieś logi z tamtego usuwania? Jeśli tak to zaprezentuj.

Nie podałeś loga z gmer, staraj się go zrobić, może w awaryjnym. Może coś więcej pokaże.


(Irys93) #19

hmm brat chyba oprócz to SpywareDoctorem , NOD32 Eset Smart Seciurity + Antivirus 4 , SDFix. Napiszę do niego smsa

A tu daje dla sprawdzenia jeszcze:

OTL .

Skanowałem 3 blędy były potym jak plik txt sie utworzyl az zamknelo aplikacje (OTL)

http://www.wklej.org/id/114028/

--

pulpit nawet szybko wszedł - 10 sek ale nadal komp ostro muli...

svchost - 65k ;o

To jakas masakra ;/ nawet tego g*wn4 nie mozna wykryc i usunąć co to powoduje ?

daje jeszcze raz skana z Malware bo był 1 plik zainfekowany .

http://wklej.org/id/114232/


(dethloe123) #20

Usuń wszystko co znalazł Malwarebytes!