Wirus prosze o pomoc

[Gość: Taim]

Witam
mam problem z jakimś wirusem, czy też innym dziadostwem i prosiłbym o pomoc w
jego usunięciu. Mam Eset Nod32 który wykrywa coś takiego "dialer NGB" podaje
tam jakiś adres "206.222.9.187" wklej.org/id/32555/

[Gość: @]

Wklej do notatnika:

File::
C:\9j6n1v4y8n8.exe
c:\program files\SYSTMEM.EXE

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SYSTMEM.EXE"=-

Plik zapisz pod nazwą: CFScript.txt
Teraz plik przeciągnij i upuść na ikonę ComboFix:
wstaw.org/d/d93
Pokaż log który powstanie podczas usuwania, logi umieszczaj bezpośrednio na wklej.org/

[Gość: Taim]

wklej org nie chce mi sie wczytywać "Błąd wczytania strony" ,więc jestem
zmuszony zamieścic loga na ss :(
www.sendspace.pl/file/zIorEuQB/

[Gość: Taim]

Dzięki za pomoc.
działa poprawnie.
Gdzie można poczytać o tym jak na podstawie loga można samemu sobie pomóc?

[Gość: @]

Usuń jeszcze ten plik: c:\windows\system32\mszsrn32.dll
Zrób to:
forum.gazeta.pl/forum/72,2.html?f=430&w=88077527&a=88083760
Wszystko znajdziesz w Google, możesz zacząć od tego:
www.searchengines.pl/Wirusy-i-Spyware-Bezpieczenstwo-w-sieci-f99.html

[Gość: Taim]

usunęłem ten plik ,ale oprócz niego combofix usunął dodatkowo
c:\windows\system32\i .
tu jest log www.sendspace.pl/file/GvNuFOrr/

[Gość: Kolobos]

Daj log z SDFix wykonany w trybie awaryjnym, usun:
c:\program files\SYSTMEM.EXE
c:\windows\SET30.tmp

[Gość: Taim]

ok.
teraz na nowo zacząłem walczyc z tym wirem.
zobacze ,czy to zadziała. Jak zabezpieczyć sie przed tym dialerem ?
dodatkowo coś takiego mi teraz wyskakuje
C:\DOCUME~1\Alioth\USTAWI~1\Temp\Av-test.txt Eicar plik testowy wyleczony przez
usunięcie - poddany kwarantannie ZARZĄDZANIE NT\SYSTEM Zdarzenie wystąpiło
podczas tworzenia nowego pliku przez aplikację: C:\WINDOWS\system32\CF23724.exe.

a tu najświeższy log wklej.org/id/32695/

[Gość: taim]

log po usunięciu
c:\program files\SYSTMEM.EXE
c:\windows\SET30.tmp

wklej.org/id/32697/
na razie działa wszystko dobrze.
dzięki za pomoc

[Gość: Kolobos]

Dlaczego nie dales log'a z SDFix?

[Gość: taim]

nie rozumiem...:/

[Gość: Taim]

Tak dla informacji nie działa mi komenda msconfig.

wracając do mojego niezrozumienia to do tej pory robiłem logi w combofixie , a
nie w "sdfx".

[Gość: Kolobos]

> Tak dla informacji nie działa mi komenda msconfig.

Combofix zepsul, wklej do notatnika (lub sprawdz recznie w regedit i popraw):
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\MSCONFIG.EXE]
@="C:\\WINDOWS\\pchealth\\helpctr\\Binaries\\MSCONFIG.EXE"

Zapisz jako fix.reg i uruchom.

> wracając do mojego niezrozumienia to do tej pory robiłem logi w
> combofixie , a nie w "sdfx"

Co z tego? Ja Cie prosze o log z SDFix, a nie combofix.

[Gość: taim]

próbowałem ściągnąć sdfx ze strony ,którą podałeś i w trakcie jego ściągania
wyskoczył :
"2008-12-29 04:10:20 Ochrona systemu plików w czasie rzeczywistym plik
C:\Documents and Settings\Alioth\Ustawienia lokalne\Dane
aplikacji\Mozilla\Firefox\Profiles\8cs5orc7.default\Cache\DD0DBD66d01
Win32/PrcView aplikacja usunięty - poddany kwarantannie ZARZĄDZANIE NT\SYSTEM
Zdarzenie wystąpiło podczas tworzenia nowego pliku przez aplikację: C:\Program
Files\Mozilla Firefox\firefox.exe. "

wyłączyłem noda, ale w dalszym ciagu jest bład wczytania strony

[Gość: Kolobos]

Widac w dalszym ciagu nie wylaczyles antywirusa. Sciagnij sdfix w trybie awaryjnym z obsluga sieci.

[Gość: Taim]

wklej.org/id/32881/ LOG Z SDFix'a

dziś znów musiałem usuwać plik SYTEMEM.EXE

dodatkowo zainstalowałem firewall ashampo.

[Gość: Kolobos]

Log z sdfix jest ok. Dla pewnosci daj jeszcze nowy z combofix.

[Gość: Ta]

wklej.org/id/33052/ najświeższy log

[Gość: Kolobos]

Wszystko wyglada ok.

[Gość: Taim]

Dziękuje za pomoc.

[Gość: Taim]

To znowu ja.
w dalszym ciągu mam problem. Logi były ok ,ale po pewnym czasie i tak znowu
pojawia sie ten plik SYSTEMEM.EXE i wiesza całego kompa.
Zapowiedzia tego jest res systemu( pokazuje sie okienko i sie odlicza czas). nie
wiem co z tym zrobic. Jedyna rada jak na razie na to jest firewall ,ktory
blokuje nawiązanie łacza przez ten w/w plik.
Co mam zrobic ??

[Gość: T]

log wklej.org/id/33085/

ps. usuwam te dwa pliki tj.
c:\windows\system32\nck.exe
c:\program files\SYSTMEM.EXE ,ale co dalej ,co zrobić zeby sie to nie powtarzało ?

[payl]

Jeśli wirus wywołuje tylko polecenie shutdown, to zrób tak:
1.Start -> Uruchom
2.Wpisz cmd
3.Teraz gdy zacznie się zamykanie systemu wpisz w wiersz polecenia: "shutdown -a" (BEZ cudzysłowu),co anuluje proces zamykania (jeśli wywołał to wirus). Jednak jest to rozwiązanie chwilowe, jednak zawsze jakaś pomoc...

[Gość: Kolobos]

Daj logi z gmera:
- zakladka rootkit, zaznaczone tylko uslugi i "pokazuj wszystko" -> szukaj
- zakladka rootkit -> szukaj, zaznaczone wszystkie opcje bez "pokazuj wszystko"

[Gość: Taim]

wklej.org/id/33228/ log z usługami
wklej.org/id/33231/ reszta

[Gość: Kolobos]

Nie widac w logach infekcji, czy AVPTool lub Dr.Web CureIt cos wykrywaja?

[Gość: Taim]

nic nie wykrywają.

[Gość: Taim]

wklej.org/id/33272/

[Gość: Kolobos]

Daj log z hijackthis.

[Gość: Taim]

wklej.org/id/33282/ nowy log z usuniętym SYTEMEM.EXE + jakies nowe pliki :/
co raz czesciej sie teraz restartuje komp

[Gość: Kolobos]

To ciagle ten sam plik tylko nazwy sa inne:
2008-12-30 16:58 . 2008-12-30 16:58 664,064 --a------ c:\windows\system32\pkx.exe
2008-12-30 16:49 . 2008-12-30 16:49 664,064 --a------ c:\windows\system32\hai.exe

Rozmiar jest ten sam.
Nie wiem skad biora sie te infekcje, w logach nic nie widze.

[Gość: Taim]

wklej.org/id/33290/

[Gość: Kolobos]

Zamknij porty przy pomocy wwdc.exe, zainstaluj SP2 lub lepiej SP3 do XP.

W hjt usun:
O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files\Winamp Toolbar\winamptb.dll (file missing)
O2 - BHO: My Global Search Bar BHO - {37B85A21-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL (file missing)
O3 - Toolbar: My Global Search Bar - {37B85A29-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

[Gość: Kolobos]

Zrob to samo co napisalem tutaj:
forum.gazeta.pl/forum/72,2.html?f=430&w=89120907&a=89129665
Podmien zainfekowany plik na czysty.