IEMonster.b - prosze o sprawdzenie log'a

IP: *.dsl.stlsmo.sbcglobal.net 19.05.08, 16:26
Witam,
Mam problem z IEMosnser.b i Zlob... caly czas uruchamiaja sie nowe
okna w IE i wyswietla sie komunikat "systemu" ze komputer jest
zainfekowaany i nalezy sciagnac antyspy software.

Uruchomilem combofix'a i wygenerowal log'a bez problemu (Norton AV
zostal wczesniej wylaczony).
Combofix log jest tutaj:
www.wklej.org/id/353a34a4f9
po tej operacji komputer dzialal poprawnie tzn. zadnych nowych
okienek i komunikatow, dla dobrej dokumentacji uruchomilem jeszcze
Hijackthis i log jest ponizej.
www.wklej.org/id/ff300a08db
Niestety po restarcie komunikaty systemu ze komp jest zainfekowany
zaczely pojawiac sie ponowinie, ale na szczescie nowe okna sie juz
nie pojawiaja. Log za Hijackthis po restarcie.

www.wklej.org/id/81dac58a08
Czy ktos moglby zarknac na te logi i doradzic co usunac.

Dzieki,
pablo
    • Gość: Kolobos Re: IEMonster.b - prosze o sprawdzenie log'a IP: *.escom.net.pl 19.05.08, 18:16
      Odinstaluj Nortona i zainstaluj np. Avira. Uzyj ATF Cleaner i usun wszystko z temp itd.

      Utworz na pulpicie plik CFScritp.txt i wklej do niego:

      File::
      C:\WINDOWS\system32\drvriz.dll
      C:\WINDOWS\BM9b5a71d6.xml
      C:\msntzsyf.exe

      Registry::
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "MSDisp32"=-

      Zapisz i przeciagnij go na ikone combofix.
      Po uzyciu daj log z combofix oraz log z SDFix zrobiony w trybie awaryjnym.
      • Gość: pablo Re: IEMonster.b - prosze o sprawdzenie log'a IP: *.dsl.stlsmo.sbcglobal.net 19.05.08, 20:50
        Witam,
        Wszystko zrobione tak jak prosiles, ale
        zainstalowalem Avira i zeskanowalem komputer (Avir skasowal drvriz i
        msntzsyf) i po tym komunikaty juz sie nie pojawialy, nie mniej
        jednak wykonalem wszysko do konca.
        SDFix mial problemy z inicjajca bibliotek .dll z folderu Symantec,
        wnioskuje ze zostaly jakies smieci po odinstalowaniu Nortona. Po
        zignorowaniu tych komunikatow wszystko poszlo ok.
        Ponizej logi:
        Z Combofix'a:
        wklej.org/id/0ba2405a4a
        i z SDFix'a
        wklej.org/id/3f40789351
        Jak na razie wszysko diala ok, ale chcialbym abys sprawdzil czy nie
        zostaly jakies smieci.

        Dzieki,
        Pablo
        • Gość: Kolobos Re: IEMonster.b - prosze o sprawdzenie log'a IP: *.escom.net.pl 19.05.08, 21:21
          Usun jeszcze te pozostalosci po nortonie:
          C:\Documents and Settings\All Users\Dane aplikacji\LUUnInstall.LiveUpdate
          C:\Program Files\Symantec
          C:\Program Files\Common Files\Symantec Shared
          C:\Documents and Settings\All Users\Dane aplikacji\Symantec
          C:\TEMP\ <- usun wszystko z temp.

          + usun w hijackthis:
          "Symantec PIF AlertEng"="C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2008-01-29 17:38 583048]

          Reszta jest ok.
          • Gość: pablo Re: IEMonster.b - prosze o sprawdzenie log'a IP: 207.117.33.* 20.05.08, 17:07
            Wszystko dziala ok. Wielkie dzieki.
            P.
Pełna wersja