Zainfekowany catchme.cfexe?


(Nethalythic) #1

Proszę o sprawdzenie logów. Kaspersky cały wyrzuca komunikat o znalezieniu zmodyfikowanego wirusa Heur.invader. Po wyleczeniu, pisze że plik nie został odnaleziony. WTF?

Druga sprawa, od paru dni dzieją mi się coraz dziwniejsze rzeczy w systemie. Z reguły dmab o winde skanując ją, czyszcząc rejestr i defragmentując dysk, ale teraz to już przegięcie. Jakby tego było mało dtsjate jeszcze błędy podczas grania np w TDU appcompat.exe .

Bardzo proszę o pomoc.

To log z hijack this :

http://wklej.org/id/8ebc8e6108


(Szwejas2) #2

Log jest czysty

daj jeszcze z silent runners

przeskanuj skanerem online


(Nethalythic) #3

Log z Silent Runners

http://wklej.org/id/bd496ca6bf

Przed chwilą KIS znalazł mi trojana win32.Qhost który siedział mi w pliku hosts.txt -.-

W tym momencie skanuje onlne'owym skanerem (Kaspersky) dam znać jak coś znajdzie.

W dniu 05.05.2008 , o godzinie 17:49 został dopisany post przez Neth

Online'owy skaner wykrył jednego wirusa i 3 zainfekowane pliki... Napisze więcej jak skończy skanować.


(Gutek) #4
O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)

O23 - Service: a-squared Free Service (a2free) - - (no file)

Daj log z ComboFix


(Nethalythic) #5

Log ze skanera online.

http://wklej.org/id/d75524bb3f

Zaraz wrzuce z Combofixa


(Gutek) #6
C:\Documents and Settings\Beliar\Ustawienia lokalne\Dane aplikacji\Downloaded Installations\{DA0CEEE4-E986-4AA0-BDB4-1AD53E77A054}\rserv31_pl.msi/Data1.cab/rserver3.exe Zainfekowanych: not-a-virus:RemoteAdmin.Win32.RAdmin.n pominięty 


C:\Documents and Settings\Beliar\Ustawienia lokalne\Dane aplikacji\Downloaded Installations\{DA0CEEE4-E986-4AA0-BDB4-1AD53E77A054}\rserv31_pl.msi/Data1.cab Zainfekowanych: not-a-virus:RemoteAdmin.Win32.RAdmin.n pominięty 


C:\Documents and Settings\Beliar\Ustawienia lokalne\Dane aplikacji\Downloaded Installations\{DA0CEEE4-E986-4AA0-BDB4-1AD53E77A054}\rserv31_pl.msi Embedded: zainfekowany - 2 pominięty

to usuń ręcznie daj log z Combo


(Szwejas2) #7

to spyware. Fixuj w hijackthis (co prawda plik zostanie, ale nie będzie ładował się przy starcie systemu).

Plik hosts to pozostałość z czasów, kiedy nie było DNS.

Czysty plik (jeżeli nic w nim nie zmieniałeś) powinien wyglądać tak:

Znajduje się w C:\WINDOWS\system32\drivers\etc. Sprawdź czy taka jest jego zawartość.


(Gutek) #8

Nie OT-uj w temacie, nie poprawi to szybkości. Log z Combo - czekam.


(Nethalythic) #9

http://wklej.org/id/b8a6c90cbc

To log z combo, jeszcze nie usunałem ręcznie plików które podałeś wcześniej.

Teraz to zrobie.

W dniu 05.05.2008 , o godzinie 18:34 został dopisany post przez Neth

rserv31_pl.msi

Usunąłem.


(Gutek) #10

Nic nie widzę zbędniki:

Wklej do Notatnika:

File::

C:\WINDOWS\Tasks\1-Click Maintenance.job


Driver::

CV2K1

>>Plik>>Zapisz jako... >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku -->88953CFScript-createdbyMiekiemoes.gif

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: **** Qoobox.


(Nethalythic) #11

Po usunięciu wpisu.

Nowy log :

http://wklej.org/id/85cd8491bb


(Gutek) #12

To jest tylko kosmetyka. Ja nic nie widzę


(Nethalythic) #13

Ostatnie pytanko :

Jeśli Kasper wywala alerty o catchme.cfexe to nie zwracać na nie uwagi? Bo i tak jak kasuje ten plik to pisze że go nie ma w tym miejscu :smiley: A z tego co wiem to ten plik jest od combofixa.


(Gutek) #14

Na koniec pokaż jeszcze: Pobierz program SDFix

-


(Nethalythic) #15

Sdfix

http://wklej.org/id/6e48a46cb4

Ech. Że też z Linuksem niema tyle problemów :stuck_out_tongue_winking_eye:


(Gutek) #16

Nic nie widzę.