W32/EmailWorm.VF


(_LoToS_) #1
File: sysnces.exe

Status: 	

INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)

MD5: ab8c449f2c0e7958fe161aace7827a13

Packers detected: 	

PE_PATCH

Bit9 reports: File not found

Scanner results

Scan taken on 27 Oct 2007 14:05:03 (GMT)

A-Squared 	

Found nothing

AntiVir 	

Found nothing

ArcaVir 	

Found nothing

Avast 	

Found nothing

AVG Antivirus 	

Found nothing

BitDefender 	

Found nothing

ClamAV 	

Found nothing

CPsecure 	

Found nothing

Dr.Web 	

Found nothing

F-Prot Antivirus 	

Found nothing

F-Secure Anti-Virus 	

Found nothing

Fortinet 	

Found nothing

Kaspersky Anti-Virus 	

Found nothing

NOD32 	

Found nothing

Norman Virus Control 	

Found W32/EMailWorm.VF

Panda Antivirus 	

Found nothing

Rising Antivirus 	

Found nothing

Sophos Antivirus 	

Found nothing

VirusBuster 	

Found nothing

VBA32 	

Found nothing

HijackThis

Combofix

PS Porty pozamykane programem WWDC , na dodatek spybot tea timer co sekundę pokazuje że coś chce zmienić rejestr "2007-10-27 16:46:02 Odmówiono value "BootExecute" (new data: "") usunięte in Session manager!

2007-10-27 16:46:02 Odmówiono value "ExcludeFromKnownDlls" (new data: "") usunięte in Session manager!" Zaznaczyłem żeby to blokował.


(jessica) #2

Nie wiem, o co Ci chodzi:

1) dajesz wyniki skanu nieistniejącego pliku

2) piszesz: log z ComboFixa, a zamiast niego jest drugi log z Hijacka?

Log jest czysty.

jessi


(_LoToS_) #3

Chodzi mi o to że dzisiaj przeglądałem sobie dysk C i znalazłem dziwny plik , przeskanowałem go na stronie virusscanjotti.org i antywirus NORMAN znalazł W32/Emailworm.VF

Combofix

dajesz wyniki skanu nieistniejącego pliku tzn.?

PS A oprócz tego co opisałem na górze TeaTimer cały czas sie pyta czy dopuścić do zmiany rejestru


(jessica) #4

No tak - teraz go widzę i uważam, że powinien zostać usunięty.

Jeśli masz czym usuwać, to go usuń.

Jeśli nie masz, to zrób to:

Wklej do Notatnika :

File::

C:\sysnces.exe

>>Plik>>Zapisz jako... >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku -->88953CFScript-createdbyMiekiemoes.gif

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: **** Qoobox.

jessi


(_LoToS_) #5

Jeszcze jedna rzecz , co to jest?

7-09-06 12:09 801144 --a------ C:\WINDOWS\system32\aswBoot.exe

(jessica) #6

Teraz jest czysto.

To od avasta.

jessi