Mam problem z tym ustrojstwem. Pracuję w dziale, którego pracownicy niewiele mają wspólnego z informatyką (poza używaniem Worda, sporadycznie Excela oraz internetu) na dodatek poza mną same kobiety bez jakiejś nadzwyczajnej wiedzy informatycznej. Ja się znalazłem tu przez jakieś dziwne zrządzenie losu, a że mam blade pojęcie o komputerach, to jak coś się stanie - mnie wzywają jako pierwszego (czas reakcji informatyka = kilka dni )
Sprawa wygląda tak: jedna z białogłów “coś” zrobiła. Z jej opisu dowiedziałem się, że pojawił się jakiś monit, coś nacisnęła (bo po co czytać ostrzeżernia i zastanawiać się jaką opcję wybrać) i nagle monitor kilka razy zamrugał, kilka ikon poznikało - w ich miejsce pojawiły się jakieś odnośniki do stron www, czerwone tło z logo biohazard i napisem “Your privacy is in a danger”. Dziesiątki monitów o zagrożeniu wirusami, głupiejący IE, brak dostępu do panelu sterowania i do lokalnych dysków twardych. zdążyłem wyszukać nieco informacji na ten temat i lekarstwem wydawał się być Adware Away, ale nie mogłem go zainstalować. W sumie nic nie mogę zainstalować. Chciałem sprawdzić HJT, ale nagle się wszystko zawiesiło a po restartach komp nie wstaje. Czy np Hiren’s sobie może z tym poradzić? A może jest jakiś inny skuteczny sposób? Wydaje mi się, że jedyny dostęp do zasobów kompa to z bootowalnego CD.
Skoro nie za bardzo masz pojęcie o komputerach, to może się nie przemęczaj i poczekaj na informatyka… To nie Twój komp siadł, a chyba Ci nie płacą extra za extra robotę…
Udało się uruchomić komputer. Mielił kilkanaście minut, ale w końcu zaskoczył. Na pierwszy ogień poszedł ComboFix, od razu wywąchał rootkita i przystąpił do działania. Tutaj log: http://www.wklejto.pl/7722
Po użyciu zniknęły (być może tylko pozornie) artefakty. W każdym razie jest dostęp do dysków, panelu sterowania, nie ma monitów o niebezpieczeństwie ani tapety.
Niestety nie mam - musiałem wyjść do siebie a jak wróciłem do “pacjenta” to był już po restarcie. Wszystkie programy uruchamiam z pendrive’a. Znalazłem tylko w katalogu QooBox plik o nazwie CFScript_used_2008-08-11@8.23.txt o treści takiej jaką podałeś.
Wyczyściłem wszystko, przywracanie systemu: wykonane. Kaspersky mi się nie uruchomił ale przeskanowałem MKS, Dr Web Curelt i NAV - nic nie znalazły. Ponownie uruchomiłem ComboFix i w pliku ComboFix.txt zmieniły się tylko dane dotyczące czasu.
Uruchomiłem też Adware Away - z “podejrzanych” wskazał tylko “Running Process : C:\Program Files\Gadu-Gadu\gg.exe”