Infikacia a dako casto:(

McDog · Napísal **McDog**: 25.02.2009 18:40

No takze odkedy sa zacala pouzivat adresa www.facebook.com v nasom pc tak je tam stale daka haved.Napr pred par dnami odstranil Malwarebytes asi 31 veci a teraz nasla LiveCD Avira 2 x TR/Agent.128001 a to v zlozke Windows/System32/Microsoft/REG.exe a Windows/System32/Microsoft/REG2 a neviem co s tym....a teraz nasiel Malwarebytes pri rychlom scane toto:

25. 2. 2009 18:34:14
mbam-log-2009-02-25 (18-34-14).txt

Typ kontroly: Rýchla
Objektov kontrolovaných: 60566
Uplynutý cas: 3 minute(s), 19 second(s)

Infikovaných procesov pamäte: 0
Infikovaných modulov pamäte: 0
Infikovaných registracných klúcov: 0
Infikovaných registracných hodnôt: 0
Infikovaných registracných údajov položiek: 0
Infikovaných priecinkov: 0
Infikovaných súborov: 4

Infikovaných procesov pamäte:
(Žiadne škodlivé položky)

Infikovaných modulov pamäte:
(Žiadne škodlivé položky)

Infikovaných registracných klúcov:
(Žiadne škodlivé položky)

Infikovaných registracných hodnôt:
(Žiadne škodlivé položky)

Infikovaných registracných údajov položiek:
(Žiadne škodlivé položky)

Infikovaných priecinkov:
(Žiadne škodlivé položky)

Infikovaných súborov:
C:\Windows\rundll16.exe (Fake.Dropped.Malware) -> Delete on reboot.
C:\Windows\System32\vcmgcd32.dll (Trojan.Agent) -> Delete on reboot.
C:\Windows\System32\systems.txt (Trojan.Vundo) -> Delete on reboot.
C:\Windows\logo1_.exe (Worm.Viking) -> Delete on reboot.

A neviem ze co vcul dalej:)
Edit:/ takze po restarte to zmazalo ale nechcel nabehnut OS...jednoducho len stale nacital a nic...musel som restartnut a nabehlo ze nainstalovat OS a potom ze nacitat s poslednou dobrou konfiguraciou.Tak som dal to s tou konfiguraciou a stale to tam je...tak neviem co robit

gizmof10 · Napísal **gizmof10**: 26.02.2009 7:25

Tiež to nemuselo byť z toho webu, aj keď facebook rulez, ale nejaký trojan ktorý sa aktivuje pri zadaní nejakého webu a tak.
Skús prehnať cez pc nejaký antivirak a antispyware. Potom skús aj log z HiJackThis.

bayo15 · Napísal **bayo15**: 26.02.2009 14:05

Daj sem log z HJT na zaciatok.

McDog · Napísal autor témy **McDog**: 26.02.2009 20:28

to gizmof10: ved ja som ho prehnal AV a nic-clear:)
Ale ked som dal Malwarebytes a Aviru Live CD tak tie nasli...lenze ked zmazem tak sa mi nechce spustit OS .....

bayo15 · Napísal **bayo15**: 27.02.2009 14:47

Daj sem log z HijackThis.

McDog · Napísal autor témy **McDog**: 27.02.2009 20:31

Ok takze tu jest:
http://www.pastebin.sk/11699/

bayo15 · Napísal **bayo15**: 27.02.2009 21:18

Hm v tomto logu nieje ani stopa po tych suboroch... Skus combofix:

Citácia:

Stiahni si na plochu

Kód:

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Nasledne ho spustite (ucet Administratora).
Po spusteni naskocia licencne podmienky s ktorymi suhlaste a pokracujte ANO/YES/OK.
Zacne sken pocas ktoreho neklikajte pomimo okna. Cely sken trva cca. 10 minut.
Po skene ComboFix vygeneruje log, ktory ulozi do cielovej jednotky, napr. c:\ s nazvom ComboFix.log.

McDog · Napísal autor témy **McDog**: 27.02.2009 21:19

Dam ho tiez na pastebin?

bayo15 · Napísal **bayo15**: 27.02.2009 21:38

To je jedno..

McDog · Napísal autor témy **McDog**: 27.02.2009 21:41

ok mam:
http://www.pastebin.sk/11700/

bayo15 · Napísal **bayo15**: 27.02.2009 22:26

Ak nemas presun combofix na plochu.

Otvor poznamkovy blok a skopiruj donho:

Citácia:

File::
C:\Windows\System32\drivers\arimryz.sys
C:\Windows\System32\drivers\ygkxs.sys
C:\Windows\System32\drivers\oadz.sys

Uloz subor na plochu ako CFScript.txt. Mysou ho pretiahni nad ikonu CF a pusti

Infikacia a dako casto:(

Novy log sem.

Tento subor ak nepoznas tak ho zmaz.
C:\Program Files\bhlpqbg.txt

McDog · Napísal autor témy **McDog**: 27.02.2009 22:50

http://www.pastebin.sk/11704/
Idem este ten subor zmazat

bayo15 · Napísal **bayo15**: 28.02.2009 13:37

Vyzera to OK. Ako sa sprava pocitac?

McDog · Napísal autor témy **McDog**: 28.02.2009 14:02

No pc sa sprava ok ale ked dam rychlu kontrolu v malwarebytes tak stale ukazuje tie 4 infikacie...a to som nedal plny scan.....

bayo15 · Napísal **bayo15**: 28.02.2009 14:16

Po tych suboroch nieje v HJT ani Combofix logu ani stopy...

Ak ides do C:\Windows, a C:\Windows\system32 nachadzaju sa tam tie subory?

McDog · Napísal autor témy **McDog**: 28.02.2009 14:54

No takze tie s toho malwarebytes uz boli len prazdne zlozky ktore som zmazal...hadam nevadi.Ale tie s tej Aviri ten REG.exe a REG2.exe tam stale su

Edit :este jedna vec...neviem cim to je ale strasne mi ide pomaly net-dlho nacitava stranky ale ked dam merat tak mam 2,5Mbit a to mam turbo 2...takze neviem ze cim to moze byt...ci daky sajrajt alebo co :rolleyes:

bayo15 · Napísal **bayo15**: 28.02.2009 18:16

Takze ... Malwerbytes uz hlasi cisto a uz len Avira hlasi tie dva subory? Chod na www.virustotal.com a tie dva subory otestuj a vysledky daj sem.

Ten NET moze byt sposobeny virusom.. ale v logoch nic take nevidim... skus si otestovat ping na www.dsl.sk

McDog · Napísal autor témy **McDog**: 28.02.2009 18:25

ping min20 max81 priemer49 a idem este tie dva subory testnut
a tu je vysledok:

http://www.virustotal.com/analisis/4958 ... 8e5c060964

http://www.virustotal.com/analisis/7b22 ... 48d5779256

bayo15 · Napísal **bayo15**: 28.02.2009 20:57

OK su zavirene. Ak ich zmazes pomocou aviry, nenabehne ti PC?

McDog · Napísal autor témy **McDog**: 28.02.2009 21:28

Avira ich praveze nezmaze...ale ked ich zmazem Avangerom tak stale iba nacitava win a nic viac..

bayo15 · Napísal **bayo15**: 28.02.2009 21:37

divne... S takymto niecim som sa este nestretol. Skus popisat tvoj problem na www.viry.cz/forum tam si stym urcite poradia. ( potom posli ss na temu v ktorej to riesis rad by som to sledoval. )

McDog · Napísal autor témy **McDog**: 28.02.2009 21:42

ok vdaka za vsetko......

bayo15 · Napísal **bayo15**: 28.02.2009 21:49

Neni zaco...

Infikacia a dako casto:(

Podobné témy