Zainfekowany plik .dll - problem z usunięciem


(PrzemczaN) #1

Witam. Jestem nowy na forum dlatego proszę o wybaczenie ewentualnych niedociągnięć.

Ostatnio coś zaczął mi wariować net i po skanowaniu Kasperskym okazało się że plik sbmdl.dll jest zainfekowany, jednak Kaspersky nie może go usunąć, nie mogę go również usunąć ręcznie, bo wyskakuje komunikat, że plik jest używany przez inną osobę (jestem zalogowany jako amin). Nie wiem co zrobić dlatego wklejam loga. Jeśli oprócz tego jest jakiś syf, to też proszę o wskazanie go. Z góry dziękuję.

Oto log:

http://wklej.org/id/5f121df495


(Orzechjuve0) #2

Zrób loga combofix:)


(PrzemczaN) #3

Oto log w combofixie. Po drodze wystąpił jakiś błąd z Kasperskym, bo myślałem że trzeba tylko zamknąć okna, a zakończyć procesy.

http://wklej.org/id/1575ea37a3


(PrzemczaN) #4

Nareszcie Kaspersky poradził sobie z uciążliwym plikiem, ale dalej nie wiem czy wszystko w logo jest w porządku. Bardzo proszę kogoś kompetentnego o sprawdzenie go i dalsze instrukcje. Dzięki.


(jessica) #5

Jeszcze trzeba posprzątać:

Wklej do Notatnika :

Folder::

C:\Program Files\VirusHeat 3.9 

C:\Program Files\Sotfone 

C:\Program Files\NetProject 

C:\Program Files\Common Files\OczyszczaczKomputerza

C:\Documents and Settings\All Users\Dane aplikacji\OczyszczaczKomputerza


Registry::

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C2A1C5CB-C0EF-4689-9436-F62CCA1C5383}]

>>Plik>>Zapisz jako... >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

– podobnie jak na tym obrazku -->88953CFScript-createdbyMiekiemoes.gif

Ma się rozpocząć usuwanie. (i powstanie log).

Daj ten log, który powstanie w trakcie usuwania.

Jeśli pójdzie dobrze, to:

Po restarcie usuń ręcznie folder C: **** Qoobox.

jessi


(PrzemczaN) #6

Zrobiłem już. Oto log po usunięciu tych plików. Czy to już cały syf jaki miałem na kompie?

http://wklej.org/id/c42186afad


(jessica) #7

Uważam, że teraz jest czysto.

jessi


(PrzemczaN) #8

Czyli mam już usunąć ten folder Qoobox?


(Ciuci) #9

Tak usuń! :slight_smile:


(Leon$) #10

Sprawdź jeszcze ten plik C:\WINDOWS\system32\eeioq.dll na http://virusscan.jotti.org/

jeśli syf to usuń

:slight_smile:


(PrzemczaN) #11

Leon$ przeskanowałem plik tak jak mówiłeś i oto rezultat:

http://wklej.org/id/de28658ded trochę może mało czytelne, ale tak to wkleiłem.

Chyba syf jakich mało prawda? A skąd mogę wiedzieć że inne pliki też nie są tak zainfekowane?


(jessica) #12

Tak, usuń go, np. ręcznie w Trybie Awaryjnym.

Jeśli się nie uda, to:

Wklej do Notatnika :

File::

C:\WINDOWS\system32\eeioq.dll

>>Plik>>Zapisz jako... >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

– podobnie jak na tym obrazku -->88953CFScript-createdbyMiekiemoes.gif

Ma się rozpocząć usuwanie. (i powstanie log).

Jeśli pójdzie dobrze, to:

Po restarcie usuń ręcznie folder C: **** Qoobox.

To jest/był plik tej infekcji, którą miałeś. Nie wiem, dlaczego przeoczyłam go przy dawaniu usuwania, choć w swoich notatkach miałam go przygotowanego do dania do usuwania - potem jakoś mi umknął z pola uwagi.

jessi


(PrzemczaN) #13

Usunął go Kaspersky, gdy go przeskanowałem i znalazł trojana. Bez trybu awaryjnego i Combofixa. Rozumiem że to już wystarczy?

Na koniec chciałbym wszystkim bardzo podziękować za pomoc. Pozdrawiam.


(PrzemczaN) #14

Jeszcze jeden problem odnośnie tego. Co jakiś czas Kaspersky wykrywa mi trojana downloader.win32.agent. Dzieje się tak tylko wtedy jak nic nie robie, tzn. powiedzmy że zostawię kompa na pół godziny/ godzinę przychodzę i już mam info o wirusie. Jak pracuje to nic. Trochę mnie to niepokoi, może jednak nie cały syf został usunięty bo gdzieś to musi siedzieć. Zawsze usuwam zainfekowany plik, usuwa się on bez problemu, ale jak znowu zostawię kompa to problem powraca. Załączam jeszcze obrazek o tym powiadomieniu, może to ułatwi sprawę.

wirusbn8.th.jpg


(Leon$) #15

Wyłącz a potem włącz przywracanie systemu na wszystkich dyskach potem skan Kasperskim

:slight_smile:


(PrzemczaN) #16

Jak daję wyłącz o to pisze że wszystkie punkty przywracania systemu zostaną usunięte i nie będzie można cofnąć, czy o to właśnie chodzi?


(Leon$) #17

Tak właśnie o to chodzi tam siedzi ten syf

:slight_smile:


(PrzemczaN) #18

Zrobiłem jak mówiłeś i skan Kasperskym już nic nie wykrył. Na razie jest OK, zobaczymy jeszcze jak będzie przez kolejne dni. Dzięki Leon.