W32 Cutwail - log

Dla specjalistów Bezpieczeństwo
#1

Witam,

mam problem w W32 Cutwail

Tutaj log z ComboFix’a http://wklej.org/id/85440/

Na co dzien uzywam Avasta, ale dawno nie byl robiony zaden dodatkowy skan, wiec moglo sie tego wiecej nazbierac,

i pytanie, czy to “paskudztwo” moze byc na pendrivie, z ktorego korzystalem ostatnio i ewentualnie jak sie go pozbyc

Z gory dziekuje za pomoc

#2

Czemu widzę w logu Eseta oraz F-Secure ? :slight_smile:

Przeskanuj Dr.WEB CureIt! (pełne skanowanie)

Przeleć system oraz rejestr Ccleaner

Optymalizacja Autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach Instrukcja

Dodane 02.05.2009 (So) 12:38

A tu masz temat, ktoś już walczył z tym ustrojstwem :slight_smile:

viewtopic.php?t=321418

#3

Do wyleczenia pendrive użyj np Flash Disinfector http://www.searchengines.pl/Infekcje-z- … 94761.html (u dołu strony)

W logu widać jeszcze Eseta

Daje go również do usunięcia

wklej do notatnika:

Zapisz plik jako CFScript.txt najlepiej aby ikonka tego pliku znajdowała się obok ikonki ComboFix.exe

Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe powinno rozpocząć się usuwanie po tym daj log na forum.

Loga wklej na http://www.wklejto.pl lub http://www.wklej.org/ a w poście daj linka

#4

dzieki za dotychczasowa pomoc. ale tak dla pewnosci podsumowanie:

  1. najpierw Combofixem ponizszy kod

    File::

    c:\windows\system32\drivers\i386si.sys

    c:\windows\system32\drivers\acpi32.sys

    c:\windows\system32\drivers\ati64si.sys

    c:\windows\system32\drivers\ksi32sk.sys

    c:\windows\system32\drivers\netsik.sys

    c:\windows\system32\drivers\nicsk32.sys

    c:\windows\system32\drivers\port135sik.sys

    c:\windows\system32\drivers\systemntmi.sys

    c:\windows\system32\drivers\ws2_32sik.sys

    Driver::

    acpi32

    ati64si

    i386si

    ksi32sk

    netsik

    nicsk32

    port135sik

    systemntmi

    ws2_32sik

  2. Potem jeszcze raz kolejny kod

    File::

    c:\windows\system32\drivers\securentm.sys

    Driver::

    securentm

    Registry::

    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{cc1c0d60-d757-11dd-ba57-0015f20437aa}]

  3. potem kolejny raz Combofixem kod od spandaupol’a (z posta powyzej)

  4. a na koniec instrukcje od RevoPL

Gwoli wyjasnienia, podobno ktos juz cos kiedys na tym kompie probowal z tym walczyc,

wiec z tego moga wynikac jakies pozostalosci.

na koniec pytanie, byc moze proste:

  1. Czy te dzialania lepiej robic w trybie awaryjnym i przy wylaczonym odzyskiwaniu systemu na dyskach, czy to nie ma znaczenia?

z gory dzieki za pomoc, pozdro

#5

Na pewno lepiej w trybie awaryjnym, jednak gdybyś zrobił to w normalnym trybie, nic się nie stanie

#6

Log po pierwszym kodzie: http://wklej.org/id/85721/

po drugiem: http://wklej.org/id/85722/

oraz po trzecim: http://wklej.org/id/85723/

Potem byl DrWebb, CCleaner oraz HijackThis.

Bede wdzieczny za ocene pozostalosci w logu. Pozdrawiam

#7

Dopiero zaczynam bawić się w logi, ale chyba jest czysto :stuck_out_tongue:

Możesz dodatkowo przelecieć Wise Registry Cleaner, usuwaj tylko te, które są na zielono, czerwonych nie ruszaj