Zawirusowany komp w firmie (logi ComboFix+HiJack)

Wszystko co dotyczy bezpieczeństwa systemów oraz walki z malware, w szczególności analiza logów
robsontpm

Użytkownik
Posty: 1
Rejestracja: 14 kwie 2009, 20:19

Zawirusowany komp w firmie (logi ComboFix+HiJack)

Post14 kwie 2009, 20:26

Witam.
Od jakiegoś czasu przeglądałem to forum, zawsze jak mialem problemy z wirusami w firmowych kompach... I zazwyczaj porady innych wystarczały, teraz jednak jest gorzej...

Problem wygląda tak:
Mam kompa na którym zainstalowany był F-Secure 2005... i przez 3 lata nie domagał się renowacji licencji - nic dziwnego - coś sie do niego przykleiło. Przeskanowałem kompa ComboFixem i Dr.Web CureIt, wykryło jakieś trojan WMA.Loader (w pocztowych załacznikach - chyba nieaktywny bo nikt ich nie otwierał), oraz plik xxx.exe (co ciekawe zmieniona jest nazwa folderu usera windowsowego, własnie na xxx) - wyglądał na aktywnego wirusa. Wszystko ładnie usunąłem, zainstalowałem nowego F-Secure 2009 i chodziło... 3 dni. Potem F-Secure przestał się uruchamiać, takoż HiJack, dopiero ComboFix ruszył i wykrył i usunął dwie rzeczy. Obecnie kolejny raz zapuściłem dr Weba i chyba spróboje przeistalować F-Secure, chciałem jednak prosić jakąś dobrą duszę która ma więcej wiedzy ode mnie o zaglądnięcie do logów i wskazanie zagrożeń:

ComboFix:
Dostępne tylko dla zarejestrowanych użytkowników

HiJack:
Dostępne tylko dla zarejestrowanych użytkowników

Z góry dzięki za odpowiedz!

PS. Powyższy post przekleiłem z innego forum... doszły nowe sprawy:
1. Po uruchomieniu kompa nie działa sieć (nie może pozyskac adresu IP),
2. Kerio (zainstalowany jako bloker, żeby to co już bruździ nie sciągało więcej wirusów) wariuje przy starcie ciagle prosząc o odblokowanie Usługi Udostępniania Drukarek i Faksów (Czy czegos podobnego - w każdym razie drukarek na pewno).
3. Uruchomiłem F-Secure rescue disc, nic nie znalazł...

Awatar użytkownika
djarta

Globalny Moderator
Posty: 5850
Rejestracja: 26 gru 2008, 17:15
Lokalizacja: Białystok
Kontaktowanie:

Zawirusowany komp w firmie (logi ComboFix+HiJack)

Post15 kwie 2009, 14:38

HijackThis - czysto.
ComboFix - trochę syfu jest.

1) Zamknij robaczywe porty przy pomocy --> Windows Worms Doors Cleaner
Ustaw znaczki na zielono, Netbios może być na żółto.
Po użyciu narzędzia wymagany jest restart.

2) Wklej do Notatnika:

Kod: Zaznacz cały

File::
c:\windows\system32\3572443850.dat

Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\a2service.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\ArcaCheck.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\arcavir.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\ashDisp.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\ashEnhcd.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\ashServ.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\ashUpd.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\aswUpdSv.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\avcls.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\avz.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\avz4.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\avz_se.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\bdinit.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\caav.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\caavguiscan.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\casecuritycenter.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\ccupdate.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\cfp.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\cfpupdat.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\cmdagent.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\DRWEB32.EXE]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\FAMEH32.EXE]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\FPAVServer.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\fpscan.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\FPWin.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\fsav32.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\fsgk32st.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\FSMA32.EXE]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\guardxservice.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\guardxup.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\navigator.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\NAVSTUB.EXE]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\Nvcc.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\outpost.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\preupd.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\pskdr.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\SfFnUp.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\Vba32arkit.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\vba32ldr.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\Zanda.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\zapro.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\Zlh.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\zoneband.dll]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c18955dc-1b1a-11dc-a1e0-00138fc43cf2}]

>>Plik>>Zapisz jako... >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
--> Obrazek
Ma się rozpocząć usuwanie. (i powstanie log).Daj ten log, który powstanie w trakcie usuwania.
Jeśli pójdzie dobrze, to: Po restarcie usuń ręcznie folder C:\Qoobox.



=============
K.



  • Reklama

Wróć do „Bezpieczeństwo”



Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 6 gości