Win32:Sinowal-AI [trj]/Win32:Sinowal-AJ[trj]

Avast wykrył wirusa Win32:Sinowal-AI [trj] i Win32:Sinowal-AJ[trj] (nie wiem czy to ten sam czy dwa różne, w każdym razie tworzą pliki ibm*.* w katalogu C:\Program Files\Common Files\Microsoft Shared\Web Folders

Proszę o pomoc w usunięciu wirusa, oto logi:

HijackThis:

Silent runners:

W logach widzę jedynie szkodliwą usługę:

Powinien ją automatycznie skosić ComboFix. Tak więc użyj go i wklej utworzony log, a w razie gdyby jeszcze coś zostało, usuniemy to ręcznie.

log:

2001-03-08 19:30 24064 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\msxml3a.dll.vir

2007-04-19 22:25 54347 --a------ C:\Qoobox\Quarantine\C\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00004.dll.vir

2007-06-28 10:49 58130 --a------ C:\Qoobox\Quarantine\C\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00006.dll.vir

2007-06-28 10:49 73773 --a------ C:\Qoobox\Quarantine\C\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00005.dll.vir

2007-07-02 11:15 758 --a------ C:\Qoobox\Quarantine\Registry_backups\LEGACY_GB.reg.cf



Zmienna PATH folderu

Numer seryjny woluminu: 680B-679B

C:\QOOBOX

\---Quarantine

    +---Registry_backups

    | LEGACY_GB.reg.cf

    |       

    \---C

        +---WINDOWS

        | \---system32

        | msxml3a.dll.vir

        |           

        \---Program Files

            \---Common Files

                \---Microsoft Shared

                    \---Web Folders

                            ibm00005.dll.vir

                            ibm00006.dll.vir

                            ibm00004.dll.vir

Usuń folder:

Log z ComboFix znajduje się w C:\ComboFix.txt.

log:

Ściągnij program KillBox, zaznacz Delete on reboot , w polu full path of file wklej kolejno ścieżki:

C:\WINDOWS\mjsirel.exe

C:\WINDOWS\eqc.exe

C:\WINDOWS\tajvp.exe

Po wklejeniu każdej ścieżki z osobna kliknij na czerwonego iksa, ale dopiero po wklejeniu ostatniej zgódź się na restart.

Przeskanuj wyżej wymieniony plik na stronie http://virusscan.jotti.org/ i przedstaw tu wynik skanowania.

Start -> uruchom -> regedit -> przejdź do klucza:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost

kliknij podwójnie na znajdującą się w prawym okienku wartość netsvcs i w okienku, które się otworzy usuń wpis NtmlSvc pozostałej części nie ruszając.

Po wykonaniu wklej nowy log z ComboFix plus dwa logi z Gmer’a wykonane przy takich ustawieniach:

  1. Zakładka Rootkit >>> zaznaczone wszystko oprócz Pokazuj wszystko >>> kliknij Szukaj >>> czekaj cierpliwie aż skończy >>> Kopiuj >>> wklej do posta

  2. Zakładka Rootkit >>> zaznaczone tylko Usługi i Pokazuj wszystko >>> kliknij Szukaj >>> czekaj cierpliwie aż skończy >>> Kopiuj >>> wklej do posta

Jeśli wszystkie logi nie zmieszczą się bezpośrednio do posta, to umieść je w jakimś serwisie hostingowym jako pliki *.txt, a tu tylko zlinkuj.

wynik z http://virusscan.jotti.org/ :

http://www.whatareyoustaringat.republika.pl/skan.jpg

log z Combofix:

logi z Gmer’a:

pierwszy:

drugi:

Uruchom system w trybie awaryjnym, a następnie korzystając z wiersza polecenia (start -> uruchom -> cmd) wydaj następujące polecenia:

Uruchom ponownie komputer i wykonaj i wklej tu nowy log z ComboFix plus log z Gmer’a wykonany przy ustawieniu Usługi + pokazuj wszystko. Dodatkowo użyj narzędzia Registry Search Tool i wyszukaj frazę NtmlSvc.

log z ComboFix:

log z Gmer’a:

Registry Search Tool nie znalazł frazy NtmlSvc