Wirus Tenga.a

michalind · 23 Lipiec 2008 23:26

Witam. Złapałem dziś wirusa Tenga.a - znam jego działanie, nie wiem, jak się przed nim bronić. Zainfekował mi już kilkanaście plików .exe

Log z Hijackthis: http://wklej.org/id/eb017388ae

Log z ComboFix: http://www.wklej.org/id/466afcb3bf

Log z Silent Runners: http://www.wklej.org/id/aff95bc1dd

Pozdrawiam.

huber2t · 24 Lipiec 2008 05:39

fix w hijackthis

Skorzystaj z darmowego narzędzia dedykowanego modyfikowaniu Winsock LSP-Fix. Opis użytkowania narzędzia jest zlokalizowany TUTAJ.

Tym narzędziem usuniesz ten plik:prxerdrv.dll

Pobierz ComboFix, ale nie uruchamiaj

Otwórz notatnik i wklej do niego:

File::

C:\Documents and Settings\Michał.MICHALIND\dl.exe 

C:\Documents and Settings\Michał.MICHALIND\dl.exe 

C:\dl.exe

C:\curl.exe


Driver::

cpuz129


Registry::

[-HKLM\~\startupfolder\^dxva_sig.txt] 

[-HKLM\~\startupfolder\^mappings.txt] 

[-HKLM\~\startupfolder\^Motorola_Driver_Installer_Log.txt] 

[-HKLM\~\startupfolder\^netstat] 

[-HKLM\~\startupfolder\^ntuser.dat] 

[-HKLM\~\startupfolder\^ntuser.dat.LOG] 

[-HKLM\~\startupfolder\^ntuser.ini] 

[-HKLM\~\startupfolder\^ping] 

[-HKLM\~\startupfolder\^PUTTY.RND] 

[-HKLM\~\startupfolder\^SciTE.recent] 

[-HKLM\~\startupfolder\^SciTE.ses] 

[-HKLM\~\startupfolder\^winscp.RND]

Plik -> zapisz jako -> CFScript.txt.

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

Rozpocznie się usuwanie i powstanie log, który dasz na forum.

Logi dajesz na http://wklejto.pl lub na http://wklej.org a w poście dajesz tylko link

michalind · 24 Lipiec 2008 12:04

Nowy log: http://wklej.org/id/3d389ed1ea

Akurat te hosty są wprowadzonymi przeze mnie, więc ich nie ruszałem.

C:\curl.exe to też moja zabawka, ale zorientowałem się, gdy ComboFix już ruszył.

huber2t · 24 Lipiec 2008 13:05

Możesz ta zabawkę odzyskać z katalogu C: \Qoobox

Log wyglada na czysty

usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.

Przeczyść komputer Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum

lub

Dr.WEB CureIt!

michalind · 24 Lipiec 2008 19:52

Nie mogę przeskanować dysku, bo w trakcie skanowania komputer mi się wyłącza. Co może być jeszcze nie tak?

huber2t · 25 Lipiec 2008 04:54

Przeskanuj komputer Dr Webem

W dniu 25.07.2008 , o godzinie 6:54 został dopisany post przez huber2t

Przeskanuj komputer Dr Webem

michalind · 25 Lipiec 2008 13:26

Log z Kasperskyego: http://tnij.org/raport88

Tylko mi proszę nie ruszać folderów ‘rar’, ‘zabawki’ i rx na pulpicie

Pozdrawiam.

huber2t · 26 Lipiec 2008 02:58

Podaj nam poprawnie log ale przed tym wejdź w swój link co podałeś!

michalind · 30 Lipiec 2008 10:56

Hmm, plik na dysku otwiera się normalnie. Jak wrzucam go znowu na serwer, to pojawiają się problemy.

Komputer już dobrze chodzi, także wielkie dzięki za pomoc.

Pozdrawiam.