miałem już niedawno problem z wirusem Win32.Sality, który infekował wszystkie pliki exe uporałem się z tym ale wyleczyć musiałem cały dysk prawie;p. Teraz za każdym razem, dy włączam komputer Kaspersky pokazuje mi, że zainfekowany jest plik c:\windows\system32\nm764781.dll i gdy chcę go usunąć wymagany jest restart kompa ale gdy system uruchamia się na nowo to ten plik znowu się pojawia i dalej jest zainfekowany…
Moze wylacz przywracanie systemu na czas usuniecia wirusa.
To powinno pozwolic kasperskiemu na zadzialanie.
niestety tylko tyle było w logu… w tym pliku C;\ComboFix.txt
pamiętam, że combofix usuwał takie pliki np:
C:\Windows\system32\nsqpdxkkltfedx.sys
C:\Windows\system32\msqpdxoempmtju.dll
C:\Windows\system32\drivers\qomlnnu.sys
wiem jeszcze, że combofix podczas skanowania wykrył 2 rootkity
po skanowaniu i usuwaniu plików n razie jest dobrze
z RSIT nie mam loga… zrobić go? C:\WINDOWS\system32\so764781.dll teraz wyala mi to i nie da się usunąć nawet przy resratrcie pokazuje, że niektóre aplikacje lub bilbiotek isą niezgodne z systemem Windows NT;/
– Dodane 14.02.2009 (So) 19:23 –
oba logi z RSIT
1wszy z info.txt http://wklej.org/id/52737/
2gi z log.txt http://wklej.org/id/52738/
Albo nowy log z ComboFixa, albo log z RSIT.
jessi
ten z RSIT to jest najnowszy z combofixa znów zrobić log? to trochę zajmie…
Dałeś log z RSIT w czasie, gdy ja już pisałam poprzedni post, więc go nie zauważyłam.
Wklej do Notatnika :
File::
C:\Documents and Settings\All Users\Dane aplikacji\ubetyhkn\wtoholkl.exe
C:\WINDOWS\system32\no764781.dll
C:\WINDOWS\system32\so764781.dll
C:\WINDOWS\system32\drivers\qomlnn.sys
Driver::
MCIDRV_2600_6_0
Folder::
C:\Documents and Settings\All Users\Dane aplikacji\ubetyhkn
Registry::
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"KernelFaultCheck"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{2318C2B1-4965-11d4-9B18-009027A5CD4F}"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"dOEWIaGbFE"=-
DirLook::
C:\Documents and Settings\Pablo\Dane aplikacji\Windows Service
>>Plik>>Zapisz jako… >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
– podobnie jak na tym obrazku –>
Ma się rozpocząć usuwanie. (i powstanie log). Daj ten log.
Jeśli nie powstanie log, to dasz nowy z RSIT.
Sprawdź je na – http://virusscan.jotti.org/ albo na http://www.virustotal.com/en/indexf.html.
Znasz ten program?
jessi
Service load:
0% 100%
File: xpzip.dll
Status:
OK
MD5: 3645a5b9d357a7f00311e8740e4d7fb2
Packers detected:
Service load:
0% 100%
File: inksaver2.exe
Status:
INFECTED/MALWARE
MD5: 0040557d948efbdfec2638cec7676184
Packers detected:
A-Squared
Found Trojan-Downloader.Zlob!IK
AntiVir
Found DR/Dldr.Zlob.zij
ArcaVir
Found Trojan.Downloader.Zlob.Zij
Avast
Found nothing
AVG Antivirus
Found nothing
BitDefender
Found Dropped:Trojan.Zlob.7.Gen
ClamAV
Found Trojan.Zlob-9674
CPsecure
Found Troj.Downloader.W32.Zlob.zij
Dr.Web
Found Trojan.Popuper.7468
F-Prot Antivirus
Found W32/Malware!1f78
F-Secure Anti-Virus
Found Trojan-Downloader.Win32.Zlob.zij
G DATA
Found Dropped:Trojan.Zlob.7.Gen
Ikarus
Found Trojan-Downloader.Zlob
Kaspersky Anti-Virus
Found Trojan-Downloader.Win32.Zlob.zij
NOD32
Found a variant of Win32/TrojanDownloader.Zlob.CQR
Norman Virus Control
Found nothing
Panda Antivirus
Found nothing
Sophos Antivirus
Found Troj/Zlobyp-Gen
VirusBuster
Found Trojan.DL.Zlob.OKJ
VBA32
Found Trojan-Downloader.Win32.Zlob.zij
inksaver jest zawalony kaspersky wykrywał w nim dużo jeszcze z tym skryptem do combofixa zrobie
cmeplorer znam on jest od championshipa manager 2001 ale on był ok musiało go potem zainfekować mi na dysku może…
W takim razie dopisz to powyższe do Scriptu (poniżej komendy “File::”)
jessi
Wprawdzie dalej nie wiem, co to jest, ale nie daję tego do usuwania.
Wklej do Notatnika :
File::
c:\windows\system32\jp764781.dll
c:\windows\system32\jp764781.dl_
c:\windows\system32\ip764781.dll
c:\windows\system32\ip764781.dl_
c:\windows\system32\so764781.dl_
c:\windows\system32\no764781.dl_
c:\windows\system32\pz764781.dl_
c:\windows\system32\nm764781.dl_
c:\windows\num41.jbd
c:\windows\info147.sys
c:\windows\data4711.bak
>>Plik>>Zapisz jako… >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
– podobnie jak na tym obrazku –>
Ma się rozpocząć usuwanie. (i powstanie log). Daj ten log.
jessi
Wklej do Notatnika :
File::
c:\windows\system32\wp764781.dll
c:\windows\system32\wp764781.dl_
c:\windows\system32\drivers\qomlnn.sys
c:\windows\system32\mp764781.dll
c:\windows\system32\mp764781.dl_
>>Plik>>Zapisz jako… >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
– podobnie jak na tym obrazku –>
Ma się rozpocząć usuwanie. (i powstanie log). Daj ten log.
jessi
To jest stary log wykonaj skrypt z ostatniego postu jessi i daj nowy log z usuwania Combofix na forum
http://wklej.org/id/53429/ oto log dosłownie sprzed kilkunastu minut
– Dodane 16.02.2009 (Pn) 15:58 –
http://wklej.org/id/53429/ oto log dosłownie sprzed kilkunastu minut
– Dodane 16.02.2009 (Pn) 15:59 –
oto log dosłownie sprzed kilkunastu minut http://wklej.org/id/53429/
Log jest rzeczywiście nowy, ale użyłeś starego Scriptu, a nie tego ostatniego.
Wklej do Notatnika :
File::
c:\windows\system32\pq764781.dll
c:\windows\system32\pq764781.dl_
c:\windows\system32\drivers\qomlnn.sys
c:\windows\system32\wp764781.dll
c:\windows\system32\wp764781.dl_
c:\windows\system32\mp764781.dll
c:\windows\system32\mp764781.dl_
>>Plik>>Zapisz jako… >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
– podobnie jak na tym obrazku –>
Ma się rozpocząć usuwanie. (i powstanie log). Daj ten log.
Dodatkowo:
Użyj (w Trybie Awaryjnym!)–SDFix -na dole strony z linku
Pokaż Report.txt znajdujący się w folderze SDFix.
jessi