Lexon
(Lexon)
1 Październik 2008 14:50
#1
Przy uruchamianiu kompa pokazywał mi się komunikat o zainfekowaniu systemu przez Win32/Adware.Virtumonde oraz Win32/PrivacyRemover.M64 a w trakcie pracy MksVir alarmował o próbach ataku na komputer.
Uruchomiłem więc ComboFixa, który wygenerował mi log, który załączam.
Objawy ustapiły (uruchomienie następuje bez komunikatu), na razie MksVir milczy - czy coś jeszcze muszę zrobić?
Zauważyłem też, że pozostały mi dwa katalogi: QooBox na głownym poziomie (to chyba z ComboFixa - czy mogę go skasować?) oraz w Program Files katalog o dziwnej nazwie ubopobe, w którym jest plik ProcWinSys.dll (którego nie da się skasować).
Będę wdzięczny za pomoc.
Folder QooBox możesz skasować
Gdzie jest ten log?
Lexon
(Lexon)
1 Październik 2008 15:29
#3
Sorry, zapomniałem, że podajemy link a nie plik…
http://www.wklej.org/id/7834/
wklej do notatnika:
Zapisz plik jako CFScript.txt najlepiej aby ikonka tego pliku znajdowała się obok ikonki ComboFix.exe
Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe powinno rozpocząć się usuwanie po tym daj log na forum.
Loga wklej na www.wklejto.pl lub http://www.wklej.org/ a w poście daj linka
Agaton
(Agatonster)
1 Październik 2008 16:19
#5
Lexon ,
Zapoznaj się z tematem Ważny komunikat dotyczący tytułowania tematów - popraw tytuł na konkretny, mówiący o problemie. W celu dokonania zaleconej korekty - proszę użyć przycisku
Zignorowanie zalecenia będzie skutkowało usunięciem tematu do Kosza.
Lexon
(Lexon)
1 Październik 2008 17:00
#6
Wykonałem, nowy log na http://www.wklej.org/id/7845/
Mam jeszcze pytanie: uruchamiająć kompa w trybie awaryjnym zainstalowało mi sie konto Administratora. Czy mogę je usunąć?
Nie usuwaj tego konta.
Log wygląda na czysty.
usuń ręcznie folder C: \Qoobox oraz instalkę Combofix z dysku.
Przeczyść system oraz rejestr CCleaner
Wykonaj optymalizacje Autostartu
Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja
Przeskanuj obszar Mój komputer Kaspersky Online Scanner Uruchom pod IE daj raport na forum
lub Dr.WEB CureIt!
Lexon
(Lexon)
1 Październik 2008 23:42
#8
Wykonałem, raport z Kasperkiego tutaj: http://www.wklej.org/id/7918/
Wyglada na to, ze wszystko jest ok.
Ostatnie pytanie dotyczy wpisów powtarzających się w obu logach z ComboFixa:
“2008-09-28 14:11 . 2008-09-30 21:05 11,732 --a------ C:\WINDOWS\system32\1033s.sys”
“2008-09-28 14:10 . 2008-09-30 20:45 292 --a-s---- C:\WINDOWS\system32\113848604.dat”
w zestawie plików nowoutworzonych. Pierwszy z nich zawiera bowiem na podglądzie zestaw dziwnych adresów mailowych typu:
“48B9822E0E@noname.pl”
"totpmysa1984@HUSA.COM "
“0K6G00KZGYFZXRF0@mstore-in2-sc.centertel.pl”
“0K6G00801XRY9P00@mta1.centertel.pl”
“0K6G006PVYFPYM80@mta1.centertel.pl”
“48BADDB3A1@noname.pl”
Natomiast daty utworzenia plików są ewidentnie z okresu zarażenia.
huber2t
(huber2t)
2 Październik 2008 03:35
#9
Usuń te pliki, to pozostałości po syfie
Lexon
(Lexon)
2 Październik 2008 07:51
#10
Sprawa załatwiona.
Bardzo dziękuję za pomoc.