Strasznie zamulony komp


(A295409) #1

Starszliwie zamulony komp, czasami się programy nie chcą uruchamiać itp. itd.

http://www.wklej.org/id/191444/ HijackThis log

http://www.wklej.org/id/191447/ OTL log

Pomóżcie bo sie pracowac na takim czyms nie da :d


(jessica) #2

Uruchom OTL i w oknie Custom Scans/Fixes wklej to:

Kliknij w Run Fix. Zatwierdź restart komputera.

Następnie uruchom OTL ponownie, tym razem wywołaj opcję Run Scan.

Pokaż nowy log OTL.txt oraz log z czyszczenia.

jessi


(A295409) #3

Log po czysczeniu, po restarcie komputera: http://www.wklej.org/id/191562/

Nowy log OTL: http://www.wklej.org/id/191566/


(jessica) #4

Nie wiem, co to za dziwadło.

Sprawdź je na --> JOTTI/ albo na VIRUSTOTAL. albo na VIRSCAN.

Ma atrybut ***hidden***, więc:

Jeśli okaże się "zły", to go dopisz (C:\WINDOWS\system32\scyehbni.dll) do poniższego Scriptu, poniżej

:Files

Uruchom OTL i w oknie Custom Scans/Fixes wklej to:

Kliknij w Run Fix. Zatwierdź restart komputera.

Następnie uruchom OTL ponownie, tym razem wywołaj opcję Run Scan.

Pokaż nowy log OTL.txt oraz log z czyszczenia.

jessi


(A295409) #5

OTL po czyszczeniu http://www.wklej.org/id/191617/

OTL log.txt: http://www.wklej.org/id/191621/


(jessica) #6

Dopisałeś ten plik, więc wnioskuję, że jest "zły".

Ale się nie usunął, więc:

Uruchom OTL i w oknie Custom Scans/Fixes wklej to:

Kliknij w Run Fix. Zatwierdź restart komputera.

Następnie uruchom OTL ponownie, tym razem wywołaj opcję Run Scan.

Pokaż nowy log OTL.txt oraz log z czyszczenia.

Jeśli zauważysz w nowym logu, że ten plik dalej jest, to:

dasz log z >SRENG

(Po uruchomieniu kliknij "SmartScan", zaznacz "Verify...", kliknij "Scan", czekasz na raport, klik na "Save...", potem na "Close").

jessi


(A295409) #7

Niestety ale po oczyszczeniu ten plik nadal się nie usunął (w logu była informacja: ..move failed.. czy coś podobnego)a więc daje log

SRENG: http://www.wklej.org/id/191644/

OTL.txt: http://www.wklej.org/id/191646/


(jessica) #8

Niby się usunął, bo w logu OTL go nie ma.

W logu SRENG jest, ale który log był wcześniej robiony:

Poza tym w logu SRENGa to wygląda, jak wirus CONFICKER! Może to tylko tak wygląda...

Wg mnie, lepiej to sprawdzić, (choć zrobisz, jak uważasz).

Na CONFICKERA, to potrzebny jest log z ComboFix

jessi


(A295409) #9

Bardzo możliwe że komputer złapał bardzo dużo i bardzo żlego syfu... ponieważ przez DŁUGI okres czasu WOGÓLE nie miał kompletnie nic aby walczyć z tymi robakami itp. (zero antywirusa[najczesciej byl wylaczony], zero firewalla, zero antyspawera itd. itp.) więc daje log

COMBOFIX: http://www.wklej.org/id/191682/


(jessica) #10

A jednak jest CONFICKER!

Przy okazji w logu ComboFixa są inne infekcje, które nie były widoczne ani w OTL, ani w SRENG!

Wklej do Notatnika :

File::

C:\lhh3v.exe

C:\qcod.exe

C:\o8tf6l.exe

C:\mjafm.exe

C:\qcoageh.exe

C:\ph.exe

C:\q0.exe

C:\10nb.exe

C:\9cquqs.exe

C:\xbvv0.exe

c:\program files\owcstp16.dll

c:\recycler\S-1-5-21-1482476501-1644491937-682003330-1013\iuhx32.exe

d:\lhh3v.exe

d:\qcod.exe

d:\o8tf6l.exe

d:\mjafm.exe

d:\qcoageh.exe

d:\ph.exe

d:\q0.exe

d:\10nb.exe

d:\9cquqs.exe

d:\xbvv0.exe


Folder::

c:\recycler


NetSvc::

xzidfsul


Driver::

xzidfsul


Registry::

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"5374:TCP"=-

[-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{28B0E5C2-99CB-11CF-AYX5-00401C648513}]

>>Plik>>Zapisz jako... >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

-------->cfscript10gm1.gif

Ma się rozpocząć usuwanie. (i powstanie log).

Daj ten log, który powstanie w trakcie usuwania.

jessi


(A295409) #11

Combofix: http://www.wklej.org/id/191717/


(jessica) #12

Wklej do Notatnika :

File::

C:\WINDOWS\system32\scyehbni.dll


Driver::

xzidfsul


NetSvc::

xzidfsul

>>Plik>>Zapisz jako... >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

-------->cfscript10gm1.gif

Ma się rozpocząć usuwanie. (i powstanie log).

Daj ten log, który powstanie w trakcie usuwania.


(A295409) #13

Combofix: http://www.wklej.org/id/191746/


(jessica) #14

Coś to się nie usuwa...

Wklej do Notatnika :

Driver::

xzidfsul


NetSvc::

xzidfsul


Registry::

[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\xzidfsul]

[-HKEY_LOCAL_MACHINE\System\ControlSet002\Services\xzidfsul]

>>Plik>>Zapisz jako... >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

-------->cfscript10gm1.gif

Ma się rozpocząć usuwanie. (i powstanie log).

Daj ten log, który powstanie w trakcie usuwania.

jessi


(A295409) #15

Combofix: http://www.wklej.org/id/192033/

Ale ten conficker sie nie usuwa?


(jessica) #16

Nie wiem, dlaczego nie daje się usunąć. Przeglądałam jeszcze raz log ze SRENGa, by zobaczyć, czy nie jest podczepiony do jakiegoś innego procesu, ale nie jest podczepiony.

Wypróbujemy różne warianty usuwania:

1.

>>Start >>> Uruchom >>> wybierz (lub wpisz) cmd >> zastosować tę komendę (po niej wciśnij "ENTER"):

2.

Avenger>>

wklej do niego ten tekst:

Drivers to delete:

xzidfsul

 xzidfsul

"Time Windows"

Kliknij w " Execute" i zatwierdź restart komputera. Zrestartuj komputer. Daj Raport z Avengera z C:\avenger.txt. 3. Wklej do Notatnika :

Driver::

xzidfsul

 xzidfsul

"Time Windows"

>>Plik>>Zapisz jako... >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

Ma się rozpocząć usuwanie. (i powstanie log).

Daj ten log, który powstanie w trakcie usuwania.

jessi


(A295409) #17

Nie było tego.

AD1. Sukces- komunikat o usunięciu

AD2. AVENGER: http://www.wklej.org/id/192246/

AD3. COMBOFIX: http://www.wklej.org/id/192249/

Dodatkowo daje logi z:

OTL: http://www.wklej.org/id/192250/

SRENG: http://www.wklej.org/id/192251/


(jessica) #18

No, wreszcie się udało!

Sprzątanie:

>>SRENG>>"System Repair>>karta "Browser Add-ons">>wyszukuj i zaznaczaj:

i po kolei klikaj na przycisk "Delete Selected".

W OTL kliknij na przycisk "CleanUp" - to go usunie.

Usuń ręcznie folder C:**** Qoobox.

Usuń kopie szkodników z folderu "System Volume Information" poprzez chwilowe wyłączenie "Przywracania Systemu":

Jeśli nie masz na bieżąco aktualizowanego Systemu, to zaraz podam Ci link do koniecznej łatki, w celu uniemożliwienia w przyszłości infekcji CONFICKERA, choć tylko z sieci, bo z pendrive będzie i tak mógł się przedostać na komputer.

MS08-067 łatka Pobierz >http://www.microsoft.com/downloads/results.aspx?pocId=&freetext=ms08-067&DisplayLang=pl

Przejrzyj listę i kliknij na link, który odpowiada Twojej wersji systemu Windows.

Następnie należy pobrać plik ze strony, która otwiera się i zapisz go na pulpicie.

Wystarczy dwukrotnie kliknąć na plik, który został pobrany z witryny firmy Microsoft i postępuj zgodnie z instrukcjami, aby zainstalować łatkę. Pozwoli to uniknąć ponownego zakażenia po usunięciu "Confickera".

W OTL widzę te puste, bezplikowe klucze, SRENG ich jednak nie widzi.

Jeśli masz przypadkiem HijackThis, to:

Te w/w wpisy sfiksuj w Hijacku:

>>Hijack>>scan(Do a system scan only)>>zaznacz je >>Fix checked.

Dzięki temu System przy starcie komputera nie będzie tracił czasu na poszukiwanie nieistniejących plików.

Jeśli nie masz Hijacka, to zostaw to, jak jest.

jessi