Pomocy: nie działa internet! chyba wirus

15.03.08, 21:46
Mam zablokowany dostęp do internetu.

Mój program antywirusowy zagrożenia nie widzi, ale zanotował zmiany w następujących plikach: kernel32.dll; user32.dll; shell32.dll; ntoskrnl.exe
W combofixie wykryto tajemniczego "hohohhaha", ale nie wiem jak się tego pozbyć...
up.wklej.org/download.php?id=a2232b5b6b17429cdff8ddc2f14ea8c9
up.wklej.org/download.php?id=cb41f167917ec4b8d870a90c54afef7d
Prosze o pomoc.
    • Gość: Kolobos Re: Pomocy: nie działa internet! chyba wirus IP: *.escom.net.pl 15.03.08, 22:37
      C:\Programs <- co masz w tym katalogu? zostal on utworzony w tym samym czasie co trojan.

      Utworz na pulpicie plik CFScript.txt i wklej do niego:

      File::
      C:\sysrb.exe

      Folder::
      C:\WINDOWS\system32\dk\
      C:\RECYCLER\

      Registry::
      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "hohohhaha"=-

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "WinReg"=-
      "msennger"=-

      [-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{08B0E5C0-4FCB-11CF-AAX5-90401C608512}]

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
      "C:\\WINDOWS\\system32\\dk\\calling.com"=-

      Zapisz i przeciagnij go na ikone combofix.exe, po uzyciu daj log z combofix na wklej i podaj link.

      Daj tez log z SDFix zrobiony w trybie awaryjnym.
    • dorotta Re: Pomocy: nie działa internet! chyba wirus 16.03.08, 09:39
      • dorotta Re: Pomocy: nie działa internet! chyba wirus 16.03.08, 09:42
        up.wklej.org/download.php?id=754c32eb39c6dfd8b7c97531a459937c

        up.wklej.org/download.php?id=48fbab00052197bc8bd943498b89dd71
        Folder C:/Programs utworzyłam ja przerzucając do niego wszystkie nowe antyspy'e i tego typu - chciałam je szybko zlokalizować.

        Przy okazji mój program antywir AVg się obudził i wykrył trojana na pendrivie i komputerze, z którego właśnie korzystam. Teoretycznie go wyleczył. Na wszelki wypadek za chwilę prześlę z niego logi.
        • Gość: Kolobos Re: Pomocy: nie działa internet! chyba wirus IP: *.escom.net.pl 16.03.08, 10:17
          Dalas nie ten log albo w ogole nie utworzylas CFScript.txt, zrob jak napisalem i daj wlasciwy log.
          • dorotta Re: Pomocy: nie działa internet! chyba wirus 16.03.08, 11:05
            Faktycznie, nie ten plik wkleiłam. Jeszcze raz:
            up.wklej.org/download.php?id=84f2798f05d595273de40e3046329309

            Z drugiego komputera mam tylko Hijacka:
            up.wklej.org/download.php?id=337cd73a31464dd4adfc3c5dbc356cd0
            Combo się na nim zawiesza. Spróbuję jeszcze DSS
            • Gość: Kolobos Re: Pomocy: nie działa internet! chyba wirus IP: *.escom.net.pl 16.03.08, 11:58
              Ten pierwszy jest juz ok, a z tego drugiego lepiej daj combofix lub jak piszesz Dss (dss zawiera juz log z hijackthis). Sam log z hijackthis jest zbedny.
              • dorotta Re: Pomocy: nie działa internet! chyba wirus 16.03.08, 12:03
              • dorotta drugi komp 16.03.08, 12:03
                Niestety żaden z dwóch programów nie działa :( Oba się zawieszają: combo koło 8 etapu, a ten drugi gdzie w połowie suwaka...

                Sorry, znów wysłałam pustą odpowiedź, za szybko działam
                • Gość: Kolobos Re: drugi komp IP: *.escom.net.pl 16.03.08, 12:10
                  Sprobuj uruchomic DSS w trybie awaryjnym.
                • dorotta Trzeci komputer 16.03.08, 12:32
                  Combofix dał się uruchomić. Log z niego:
                  up.wklej.org/download.php?id=297018ebde10e3024ac70a8120a2c82c
                  To został jeszcze trzeci komputer :) też go w miedzyczasie
                  zaraziłam...
                  Tu już jest prościej, bo wysyłam log z Hijacka i combofix

                  up.wklej.org/download.php?id=d7e4cdde82a894b8f633e6d61a01ef15
                  up.wklej.org/download.php?id=b4f1ec9f4b5c8207f8fc29522efe783d
                  • Gość: Kolobos Re: Trzeci komputer IP: *.escom.net.pl 16.03.08, 12:58
                    Taki CFScript.txt utworz na 2:

                    Folder::
                    C:\found.000\
                    C:\RECYCLER\

                    Registry::
                    [-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{08B0E5C0-4FCB-11CF-AAX5-90401C608512}]



                    Trzeci komputer jest czysty.
                    • dorotta Ostateczne logi 16.03.08, 13:39
                      Oto ostateczne logi z drugiego komputera:

                      up.wklej.org/download.php?id=fa1839c55070bf5cb53fd4a2e523641c
                      up.wklej.org/download.php?id=0c4b1eeb45c90b52bfb9d07943d855ab

                      Mam jeszcze pytanie. AVG pokazuje w każdym z 3 komputerów, na samym początku skanowania, iż powstały zmiany w następujących plikach:
                      I komp: kernel32.dll; user32.dll; shell32.dll; ntoskrnl.exe
                      II komp: shell32.dll, hosts (w ścieżce: C:\system32\drivers\etc\hosts)
                      III komp: shell32.dll, kernel32.dll

                      Czy to coś groznego?
                      • Gość: Kolobos Re: Ostateczne logi IP: *.escom.net.pl 16.03.08, 14:12
                        Zapewne zostaly zainstalowane jakie aktualizacje i stad zmiany.

                        Juz wszystko wyglada ok.
                        • dorotta Bardzo dziękuję :) 16.03.08, 15:58
Pełna wersja