Problemy z ładowaniem Rundll i inne - log ComboFix


(system) #1

Witam.

Jeden z kompów w sieci oszalał...

Wszystko zaczęło się od pliku c:\windows\Id02.exe, w którym AVG znalazł szkodnika (SHeur2.VOA czy coś w tym stylu)- plik został eksmitowany z systemu. Jednak to dopiero początek problemów. Firewall AVG posiadał regułę blokowania usługi "uruchamiaj dll jako aplikację" - tak jest na wszystkich kompach w sieci. Jednak na tym konkretnym, blokada tej usługi nagle zaczęła uniemożliwiać wyświetlanie stron internetowych (IE7, Firefox). Połączenie było aktywne - pingi szły ładnie i poczta działała. Po odblokowaniu usługi wszystko wracało do normy. W następnej kolejności przeinstalowano AVG. Bez zmian. Dodatkowo, czasami podczas ładowania systemu pojawia się problem z ładowaniem rundll, znika pasek szybkiego uruchamiania.

Log z ComboFix:

http://www.wklej.org/id/63754/

Proszę o opinie/sugestie bo ja już nie mam pomysłów.....


(Spandau) #2

Przeskanuj ten plik c:\windows\system32\ dll32.dll tutaj http://www.virustotal.com/pl/ daj raport, jeśli okaże się wirusem to wykonaj poniższy skrypt

wklej do notatnika:

Zapisz plik jako CFScript.txt najlepiej aby ikonka tego pliku znajdowała się obok ikonki ComboFix.exe

Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe powinno rozpocząć się usuwanie po tym daj log na forum.

Loga wklej na www.wklejto.pl lub http://www.wklej.org/ a w poście daj linka


(system) #3

Dzięki za zainteresowanie.

Skaner na virustotal.com wykrył szkodnika.

Oto raport:

http://www.wklej.org/id/63765/

Zastosuję więc Twoją receptę i zobaczymy co się urodzi.


(Spandau) #4

Daj log z usuwania Combofix


(system) #5

Oto log:

http://www.wklej.org/id/63770/


(Spandau) #6

Log wygląda na czysty.

usuń ręcznie folder C: \Qoobox oraz instalkę Combofix z dysku.

Przeczyść system oraz rejestr CCleaner

Przeskanuj system Dr.WEB CureIt!


(system) #7

Dzięki za pomoc.

Powinno już być ok.

W uzupełnieniu dodam, że ten szkodnik zmienił ustawienia połączenia w przeglądarkach (teraz to zauważyłem) - łączyły się przez proxy (localhost:7171). Kiedy zablokowane było uruchamianie dll jako aplikacji, przeglądarki nie mogły się połączyć... Niby proste... :slight_smile:

Jeszcze raz dzięki.

Pozdrawiam

majkelgp