Problem z spyware

Dla specjalistów Bezpieczeństwo
#1

Witam

Mam nastepujacy problem. Od kilku dni ciagle wyskakuje mi kominikat o zakazeniu mojego XP trojandownloader czy innym swinstwem i system chce abym kupil pc-clenera aby problem ten usunac. Ja mam Spyware doctor, on cos wykrywa i usuwa problem, co jednak nie zmienia faktu, ze komputer ciagle chce pc-cleanera… co mam zrobic?

#2

Pokaż nam logi HijackThis i ComboFix. Opisy: viewtopic.php?f=16&t=36654

#3

jedno jest pewne - windows napewno nie chce pc cleanera :smiley:

poskanuj skanerami online

#4

highjackthis

http://wklej.org/id/c14c3cf7de

W dniu 23.04.2008 , o godzinie 0:08 został dopisany post przez glazekk

combofix

http://wklej.org/id/4795f2da55

#5 
O4 - HKLM\..\Run: [msvcc25] svcchost.exe

O4 - HKLM\..\RunServices: [mysvcig38] mysvcc.exe

O4 - HKCU\..\Run: [xkvrculy] C:\WINDOWS\system32\hstspwvo.exe

Fix w Hijacku. Wklej do notatnika:

File::

C:\WINDOWS\system32\hstspwvo.exe

C:\Documents and Settings\All Users\Dane aplikacji\hqbqzyvu\buvyvepu.exe


Folder::

C:\FOUND.034

C:\FOUND.033

C:\FOUND.032

C:\FOUND.031

C:\FOUND.030

C:\Documents and Settings\All Users\Dane aplikacji\hqbqzyvu


Registry::

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

[-HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]

"FE4sLbzrd8"=-

[-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"xkvrculy"=-

"xkgqeoek"=-

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"msvcc25"=-

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

"msvcc25"=-

Plik >> Zapisz jako… CFScript.txt na pulpicie, a następnie przeciągnij i upuść na ikonę ComboFix - tak jak na obrazku:

http://img.wklej.org/images/88953CFScri … iemoes.gif

Powinien rozpocząć się proces usuwania.

Po wykonaniu czynności pokaż nowy raport ComboFix i HijackThis.

#6

nie mam w highjacku

“O4 - HKLM…\RunServices: [mysvcig38] mysvcc.exe”

#7

OK, nie patrz już na skrypt powyżej, wykonaj jeszcze jeden log ComboFix i pokaż go.

#8

nie ruszalem nic w highjack, stworyzlem tylko ten txt, przeciagnalem i oto log

http://wklej.org/id/78e427532f

#9 
C:\WINDOWS\system32\bohwzets.exe

Przeskanuj plik bohwzets.exe na http://virustotal.com/pl i pokaż wyniki.

A jak komputer? Lepiej mu już chociaż trochę?

#10

no jakos dawno nie wyskoczyl komunikat pc-cleaner ale nie zapeszam

a ten C:\WINDOWS\system32\bohwzets.exe chcial sie laczyc przed chwila z netem (tak orzekl firewall)

wynik skanu

http://wklej.org/id/7a976f6c07

W dniu 23.04.2008 , o godzinie 1:28 został dopisany post przez glazekk

http://www.virustotal.com/pl/analisis/8 … 3439d127f7

#11

Usuń plik bohwzets.exe ręcznie, najlepiej za pomocą aplikacji KillBox! - opcja delete on rebot i pokaż nowy raport HijackThis i nowy raport ComboFix.

#12

highjack

http://wklej.org/id/ad60eba320

W dniu 23.04.2008 , o godzinie 1:46 został dopisany post przez glazekk

combo

http://wklej.org/id/eb46302922

#13 
O20 - Winlogon Notify: tuvVLdcY - tuvVLdcY.dll (file missing)

O4 - HKCU\..\Run: [xkgqeoek] C:\WINDOWS\system32\bohwzets.exe

O4 - HKCU\..\Run: [xkvrculy] C:\WINDOWS\system32\hstspwvo.exe

O4 - HKLM\..\RunServices: [msvcc25] svcchost.exe

O4 - HKLM\..\Run: [msvcc25] svcchost.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

To wpisy do Fixu w HijackThis. Wklej do notatnika:

Windows Registry Editor Version 5.00


[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

Zapisz jako… plik.reg >> wszystkie pliki >> scal z rejestrem (dwuklik) i uruchom komputer ponownie.

#14

zrobione, to wszytsko juz?

#15

fix w hijackthis

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\WINDOWS\system32\hstspwvo.exe

C:\WINDOWS\system32\bohwzets.exe


Registry::

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"xkvrculy"=-

"xkgqeoek"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"msvcc25"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

"msvcc25"=-

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]

"FE4sLbzrd8"=-

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tuvVLdcY]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

02f8f1e3c410a4cc.gif

Powinno się rozpocząć usuwanie i powstanie log, daj ten log na forum.

#16

eee zgubilem sie… czemu drugi raz mam to samo robic?

#17

Ponieważ kolega który pierwszy sprawdzał log źle i nie dokładnie go sprawdził

#18

nie wiem na ktorym logu pracowales, ale nie mam juz w highjacku

O4 - HKLM…\Run: [msvcc25] svcchost.exe

O4 - HKLM…\RunServices: [msvcc25] svcchost.exe

O4 - HKCU…\Run: [xkvrculy] C:\WINDOWS\system32\hstspwvo.exe

O4 - HKCU…\Run: [xkgqeoek] C:\WINDOWS\system32\bohwzets.exe

O20 - Winlogon Notify: tuvVLdcY - tuvVLdcY.dll (file missing)

obecny log z highjacka

http://wklej.org/id/bca8d9b9b4

combofix

http://wklej.org/id/d59299bba2

prosze o sprawdzenie czy jest ok

#19

W pierwszym twoim logu są podane przez mnie wpisy a więc były mogłeś wcześniej jej usunąć

Logi wydają się być czyste

#20

dzieki

W dniu 23.04.2008 , o godzinie 22:56 został dopisany post przez glazekk

a moge usunac folder combofix ktory powstal na dysku c: