Achael
Nowy użytkownik
Wiadomości: 8
System:  unknown Przeglądarka: unknown
|
 |
« : Luty 08, 2010, 01:24:10 » |
|
Witam!! Od kilku miesięcy używam "Avira AntiVir Personal", wczoraj w trakcie rutynowego skanowania znalazła ok 30 infekcji.. Zaalarmowany tym uruchomiłem "Malwarebytes' Anti-Malware" który wykrył ok kolejnych 30.. Następnie pomimo wcześniejszych skanów Avira wykrywała mi kolejne infekcje (pasywnie) w programach uruchamiających się podczas startu.. Po przestudiowaniu kilku wątków dzięki uprzejmości wujka google'a zainstalowałem Combofix.. Prośba o dwa słowa komentarza.. http://wklej.org/id/275874/dzięki i pozdrawiam!! |
|
|
|
|
Zapisane
|
|
|
|
|
ordynat
|
|
« Odpowiedz #1 : Luty 08, 2010, 01:44:11 » |
|
Nie napisałeś jaki wirus jest wykrywany. Jeśli występuje w takiej ilości, to może chodzić o wirusa zarażającego wszystkie pliki .exe. W logu widać tylko efekty Trojana VUNDO. Wklej do Notatnika: File::
f:\program files\Creative\SBAudigy\Surround Mixer\ctsysvol .exe
f:\winnt\system32\NVRTClk\nvrtclk .exe
>>Plik>>Zapisz jako... >>> CFScript Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe -------->  Ma się rozpocząć usuwanie. (i powstanie log). Daj ten log, który powstanie w trakcie usuwania. f:\program files\Creative\SBAudigy\Surround Mixer\CTSysVol.exe
f:\winnt\system32\NVRTCLK\NVRTClk.exe Sprawdź je na --> JOTTI/ albo na VIRUSTOTAL. Być może zostały zarażone przez VUNDO. . |
|
|
|
|
Zapisane
|
|
|
|
Achael
Nowy użytkownik
Wiadomości: 8
System: unknown Przeglądarka: unknown
|
|
« Odpowiedz #2 : Luty 08, 2010, 03:42:57 » |
|
Witam!! Dzięki za szybką odpowiedź.. Log po usuwaniu: http://wklej.org/id/275941/Avira znalazła mi wówczas: "TR/Crypt.XPACK.Gen [trojan]"
"W32/Polip.A [virus]"
"TR/Dropper.Gen [trojan]"
"DR/Delphi.Gen [dropper]"
"TR/Agent.X.1840 [trojan]"
"TR/Hijacker.Gen' [trojan]"
"TR/Trash.Gen' [trojan]"
"TR/Spy.28160.B' [trojan]"
"TR/PCK.Krap.X.182 [trojan]" Łącznie 76 detekcji w ciągu 2 dni.. ;/ 1 Log ze skanowania Malwerbytes Anti Malware: http://wklej.org/id/275950/Wspomniane wyżej pliki NVRTClk.exe, CTSysVol.exe zostały usunięte w akcie desperacji  .. |
|
|
|
Ostatnia zmiana: Luty 08, 2010, 03:47:14 wysłane przez Achael
|
Zapisane
|
|
|
|
|
ordynat
|
|
« Odpowiedz #3 : Luty 08, 2010, 03:50:03 » |
|
F:\Documents and Settings\Admin\Ustawienia lokalne\Temp\273.exe (Trojan.Dropper) Log jest czysty. Ale ze względu na tę nazwę "Dropper" możesz jeszcze użyć miniskanera > Dr. Web CureIt!Napisz, co wykrył. . |
|
|
|
|
Zapisane
|
|
|
|
Achael
Nowy użytkownik
Wiadomości: 8
System: unknown Przeglądarka: unknown
|
|
« Odpowiedz #4 : Luty 09, 2010, 04:24:56 » |
|
Od czasu przeskanowania Combofixem, "guard" Aviry znalazł z 2 infekcje jeszcze.. Wczorajszy skan drCureIt nie znalazł nic.. Natomiast dzisiejszy do tej pory: Win32.HLLW.Lime.5, Trojan.Siggen.59807 w kilku egemplarzach.. Myślałem że uniknę formatowania .. Myślisz że jest szansa odeprzeć tę paskudną ofensywę? pozdrawiam |
|
|
|
|
Zapisane
|
|
|
|
|
|
Achael
Nowy użytkownik
Wiadomości: 8
System: unknown Przeglądarka: unknown
|
|
« Odpowiedz #6 : Luty 10, 2010, 02:15:19 » |
|
Wynik KRV: Autoscan: completed 4 minutes ago (events: 15, objects: 1343379, time: 07:32:57)
2010-02-09 19:14:24 Untreated: Trojan.Win32.Patched.hp F:\WINNT\$NtServicePackUninstall$\sfc_os.dll Postponed
2010-02-09 21:01:02 Untreated: Trojan.Win32.Genome.efte Q:\Obrazy\Trackmania\rld-tunt.iso/Crack/tmunite.dll Postponed
2010-02-09 19:08:46 Untreated: Trojan.Win32.AutoRun.lw F:\Documents and Settings\Admin\DoctorWeb\Quarantine\autorun.inf Postponed
2010-02-09 18:37:36 Task started
2010-02-10 02:10:34 Task completed
2010-02-10 02:07:40 Disinfected: Trojan.Win32.Patched.hp F:\WINNT\$NtServicePackUninstall$\sfc_os.dll
2010-02-10 02:07:40 Disinfected: Trojan.Win32.Patched.hp F:\WINNT\$NtServicePackUninstall$\sfc_os.dll
2010-02-10 02:06:11 Detected: Trojan.Win32.Patched.hp F:\WINNT\$NtServicePackUninstall$\sfc_os.dll
2010-02-09 19:14:24 Detected: Trojan.Win32.Patched.hp F:\WINNT\$NtServicePackUninstall$\sfc_os.dll
2010-02-10 02:07:41 Detected: Trojan.Win32.Genome.efte Q:\Obrazy\Trackmania\rld-tunt.iso/Crack/tmunite.dll
2010-02-09 21:01:02 Detected: Trojan.Win32.Genome.efte Q:\Obrazy\Trackmania\rld-tunt.iso/Crack/tmunite.dll
2010-02-09 21:09:09 Detected: Trojan.Win32.AutoRun.lw F:\Documents and Settings\Admin\DoctorWeb\Quarantine\autorun.inf
2010-02-09 19:08:46 Detected: Trojan.Win32.AutoRun.lw F:\Documents and Settings\Admin\DoctorWeb\Quarantine\autorun.inf
2010-02-10 02:10:33 Deleted: Trojan.Win32.Genome.efte Q:\Obrazy\Trackmania\rld-tunt.iso
2010-02-10 02:06:11 Deleted: Trojan.Win32.AutoRun.lw F:\Documents and Settings\Admin\DoctorWeb\Quarantine\autorun.inf Lecę skanerem online.. |
|
|
|
|
Zapisane
|
|
|
|
|
ordynat
|
|
« Odpowiedz #7 : Luty 10, 2010, 08:28:03 » |
|
Tak się przyglądam tym wykryciom: wg mnie tu więcej jest fałszywych alarmów niż rzeczywistych wykryć.
$NtServicePackUninstall$\sfc_os.dll ---> to są kopie Twojego poprzedniego ServicePack, bez znaczenia, bo i tak można je było spokojnie usunąć.
Quarantine\autorun.inf - to z Kwarantanny Dr.Web, więc już i tak było unieczynnione.
Crack/tmunite.dll - to chyba wykryte ze względu na słowo "crack"
Trackmania\rld-tunt.iso - to chyba sam wiesz?
I co pozostało z tych wykrytych? Nic.
Ale warto chyba było sprawdzić, czy nie masz jakiejś "konkretnej" infekcji.
Poczekamy jeszcze na wynik skanu online, ale myślę, że jest już dobrze.
.
|
|
|
|
|
Zapisane
|
|
|
|
Achael
Nowy użytkownik
Wiadomości: 8
System: unknown Przeglądarka: unknown
|
|
« Odpowiedz #8 : Luty 10, 2010, 03:31:28 » |
|
Skaner z jednego z linków ( http://housecall.trendmicro.com/housecall7/) wykrył przez noc 5 problemów: 2 pliki ukryte oznaczone jako "Rootkits", Trojan.Win32.AutoHK.l (Kaspersky), Exploit.JS.ADODB.Stream.e(Kaspersky), oraz ostatni którego wykrył jako trojan o niskim poziomie zagrożenia.. Skan Aviry nie znalazł niczego... Ponawiam skan którymś ze skanerów on-line i napisze o wyniku.. Dziękuje za pomoc  |
|
|
|
|
Zapisane
|
|
|
|
Achael
Nowy użytkownik
Wiadomości: 8
System: unknown Przeglądarka: unknown
|
|
« Odpowiedz #9 : Luty 11, 2010, 01:13:43 » |
|
Po 9 godzinach skanowania:
F:\Documents and Settings\Admin\Dane aplikacji\Thunderbird\Profiles\2wc3rmds.default\Mail\Local Folders\Inbox HTML/Phishing.gen trojan deleted
F:\Documents and Settings\Admin\Dane aplikacji\Thunderbird\Profiles\2wc3rmds.default\Mail\Local Folders\Sent probably a variant of Win32/Agent trojan contained infected files
F:\Documents and Settings\Admin\DoctorWeb\Quarantine\BSInstallPL_PL5.2.5.5.exe a variant of Win32/Toolbar.MyWebSearch application deleted - quarantined
|
|
|
|
|
Zapisane
|
|
|
|
|
karolkuich
|
|
« Odpowiedz #10 : Luty 11, 2010, 06:17:43 » |
|
Po 9 godzinach skanowania:  za wytrwałość...  Dwa pierwsze możesz usunąć. Trzeci , to instalator Bearshare , którym już wcześniej zajął się DrWeb. Wygląda na to, że możesz sobie spokojnie powiedzieć, "system mam czysty"... Odinstaluj ComboFix : Start>>Uruchom, wpisz : ComboFix /uninstall , OK. Wklej jeszcze log z OTL, usunie się jeszcze ewentualne odwołania do pustych plików... |
|
|
|
|
Zapisane
|
|
|
|
Achael
Nowy użytkownik
Wiadomości: 8
System: unknown Przeglądarka: unknown
|
|
« Odpowiedz #11 : Luty 11, 2010, 01:09:35 » |
|
|
|
|
|
Ostatnia zmiana: Luty 11, 2010, 01:13:25 wysłane przez Achael
|
Zapisane
|
|
|
|
|
ordynat
|
|
« Odpowiedz #12 : Luty 11, 2010, 01:34:46 » |
|
Uruchom OTL i w oknie Custom Scans/Fixes wklej to: :OTL
O4 - HKCU..\Run: [H/PC Connection Agent] g:\programy\activesync\wcescomm .exe File not found
[2010-02-08 15:14:52 | 000,000,000 | -HSD | C] -- F:\RECYCLER
:Files
F:\WINNT\System32\tmp.files0
:Commands
[emptytemp]
[Reboot]
Kliknij w Run Fix. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. . |
|
|
|
|
Zapisane
|
|
|
|
Achael
Nowy użytkownik
Wiadomości: 8
System: unknown Przeglądarka: unknown
|
|
« Odpowiedz #13 : Luty 11, 2010, 02:42:37 » |
|
Hmm.. Wykonał co miał wykonać tylko zdaje się że się usunął sam albo coś go usuneło bo po restarcie pojawił się tylko błąd ze ścieżka nie prowadzi do pliku ;/
|
|
|
|
|
Zapisane
|
|
|
|
|
ordynat
|
|
« Odpowiedz #14 : Luty 11, 2010, 02:58:14 » |
|
Może kliknąłeś na przycisk "CleanUp"?
.
|
|
|
|
|
Zapisane
|
|
|
|
|
