W32.Changeup - prośba o sprawdzenie linków


(Martinan) #1

Witam,

walczę dzisiaj cały dzień z lapkiem, który złapał coś, co go zamula i wywala przeglądarkę. Pliki, które powstawały to juzjf.exe, userini.exe, tworzy folder w C: Recycled, a w nim mase syfu, ogólnie trochę tego jest - wirus skatalogowany jest pod W32.Changeup. Po długiej walce i wyczyszczeniu rejestru, plików, procesów, uruchamiania, jak myślałem wszystkiego włączam komputer w normalnym stanie potem internet i... na nowo. Zdążył pobrać userini.exe. Na początku łączy się z jakimś amerykańskim, potem niemieckim serwerem (tyle co mi netstat pokazał). Przy próbie zrobienia loga OTL wywala pod svhost.exe. Jeden z nich w procesach już wcześniej wyglądał podejrzanie, bo miał dużą wielkość i zżerał momentami procesor całkowicie. Jedyne co na razie mi się udało zrobić to logi HiJackThis i Gmer.

Linki:

http://wklej.org/id/393361/ HiJackThis

http://wklej.org/id/393366/ Gmer

Proszę o pomoc i z góry dziękuje :slight_smile:


(Leon$) #2

HiJackThis to przeżytek

Pobierz OTL otl-gmer-rsit-dds-inne-instrukcje-t370405.html przeskanuj daj log OTL.txt oraz Extras.txt.

:slight_smile:


(Martinan) #3

O to chodzi że OTL wywala, pokazuje jakiś błąd i zawiesza się na svhost.exe.... Jakieś alternatywy?


(Leon$) #4

Zastosuj Malwarebytes' Anti-Malware http://cybertrash.pl/Tata/MBAM/Malwarebytes_%20Anti-Malware.html pełny skan - jak coś znajdzie to usuń zaznaczone - pokaż log

:slight_smile:


(Martinan) #5

http://wklej.org/id/393397/

Log. Następnie wszystko usunąłem. Zobaczymy co będzie.


(system) #6

Wersja bazy: 4052

A zaktualizowałeś MBAM-a.


(Martinan) #7

Kiedy włączam internet viry się same ładowały, dlatego nie mogłem przeprowadzić aktualizacji. Teraz jest już trochę usunięte, może będzie lepiej, spróbuje. A te dwa nie chcą się usunąć.

C:\WINDOWS\system32\Drivers\ntndis.sys

C:\WINDOWS\system32\ipsecndis.sys

-- Dodane 25.09.2010 (So) 22:27 --

http://wklej.org/id/393442/ Log z Malware.... po updacie, przy którym tak jak myślałem zaciągnęło się trochę syfu z netu.

Po tym usuwaniu raczej nieskutecznym, skoro dalej ciągnął viry udało mi się odpalić OTL. Logi:

http://wklej.org/id/393444/ Extras

http://wklej.org/id/393445/ OTL


#8

Martinan , proszę zapoznaj się z tą stroną oraz tym tematem, a następnie popraw tytuł tematu, używając przycisku ac7a4cd89050aa6e.gif


(szymonek760) #9

co to ma oznaczać z logu mbam starego

C:\Program Files\Adobe\Adobe Photoshop CS5\keygen.exe (Malware.Packer.Gen) -> No action taken

(Cedar) #10

Nie wchodzić na ten link powyżej - VIRUS!!

http://www.virustotal.com/file-scan/rep ... 1285485867


(szymonek760) #11

Uwaga! fake av


(Martinan) #12

Tak wiem, podkusiło mnie, chciałem sprawdzić, czy pójdzie nowy Adobe na nim. Niestety za mało ramu, więc odpada, ale jakoś musiałem sprawdzić... CS3 mam oryginała, więc Adobe nie zbiednieje :wink:

To jak z Antywirusem. Tak ogólnie internetowe rzeczy chyba odpadają, bo tylko kiedy poczuje "zapach" internetu - od razu ciągnie. Może któryś ze stacjonarnych AV się nada, Avast?


(Leon$) #13

wyłącz przywracanie systemu na wszystkich dyskach

następnie jeszcze raz przeskanuj Mbam i usuń co znajdzie

:slight_smile:


(Martinan) #14

Więc poczytałem głębiej, pomyślałem i odpaliłem Combofixa, ładnie sobie poradził, oprócz podmiany zarażonego ndis.sys . Wykonałem to ręcznie poprzez konsolę odzyskiwania windows i płytkę windowsa. Wszystko przebiegło pomyślnie. Daje log z Combo:

http://wklej.org/id/393591/

Następnie nareszcie czysty mbam:

http://wklej.org/id/393594/

Avast, którego zainstalowałem też nic nie wykazał.

Wydaje się być czysto. Czy coś jeszcze polecacie, czy zaryzykować włączając net (żeby na nowo wszystkiego nie ściągnął)?

Może jeszcze raz Combo?

-- Dodane 26.09.2010 (N) 12:33 --

http://wklej.org/id/393604/ Dodaje log OTL


(szymonek760) #15

nigdy nie używamy combo dopóki ekspert nie pozwoli


(Martinan) #16

Zależy mi na czasie po prostu... Wydawało mi się, że będzie dobrze, bo w przypadku podobnych problemów takie były zalecenia.

-- Dodane 26.09.2010 (N) 13:39 --

Ok, już jest wszystko dobrze. Komputer jest czysty. Dzięki za pomoc :slight_smile:


(Leon$) #17

Log wygląda na czysty

Pobierz CCleaner http://www.filehippo.com/download_ccleaner/

przeskanuj nim i wyczyść rejestr.

W OTL kilknij CleanUp

Usuń Combofix i pozostałości po nim tym http://oldtimer.geekstogo.com/OTC.exe

:slight_smile: