Conficker?

[Caba]

Witam.

Mam problem, bo od pewnego czasu nie mogę otwierać stron antywirusowych i Microsoftu. Użyłem programu bd_rem_tool_console wykrył wirusa, antywirus G Data InternetSecurity 2011 usunął go, ale potem problem powraca. Mam Win XP SP3. Czytałem gdzieś coś na temat ComboFix, ale podobno samemu nic nie zdziałam. Proszę więc o pomoc fachowca, żeby mnie naprowadził co i jak mam zrobić. Dzięki.

[Landuss]

Prosze wkleić wymagane tutaj logi z OTL + GMER lub RootRepeal w razie problemów.

[Caba]

Mam pytanie. Akurat dziś jak włączyłem komputer, strony które wymieniłem otwierają się bez problemu. Czy w tej sytuacji mam robić skan systemu, czy poczekać aż wirus znowu się uaktywni? Dodam jeszcze że system jest świeżo instalowany, zanim podłączyłem się do internetu, zainstalowałem wirus, SP3, oprócz IE8 bo wtedy potrzebowałem połączenia z netem, a jak tylko podłączyłem się wirus wskoczył do systemu. Pozdrawiam.

 

Właśnie minęło 30min jak komputer jest podłączony do sieci, i już strony antywirusowe i Microsoftu nie otwierają się. Rozpocznę skan systemu. czy antywirusa wyłączyć?

[Landuss]

Oprogramowanie zabezpieczające proszę wyłączyć i wykonać powyższe logi tak jak pisałem. Formatów nie strzelaj tak bo to bez sensu, to można łatwo usunąć.

[Caba]

Log z OTL

 

GMER zawiesza mi się zaraz po starcie? czy to normalne? a może on po prostu skanuje i lepiej nic nie robić?

 

RootRepeal

OTL.Txt

Root.txt

[Landuss]

Gdzie jest drugi log z OTL - extras.txt? Opcja Rejestr - skan dodatkowy ma być zaznaczona na Użyj filtrowania. Proszę ten log wykonać.

 

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\System32\drivers\hgpndejl.sys -- (hgpndejl)
 
:Files
C:\WINDOWS\System32\aunbdic.dll
 
:Services
sxyeyeeoe
 
:Commands
[emptyflash]
[emptytemp]

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

2. Wykonujesz nowy log z OTL na dodatkowych warunkach. W białym polu na dole wpisujesz netsvcs i klikasz w Skanuj. Pamiętaj też o zaznaczeniu opcji skanu dodatkowego jak napisałem wyżej. Prezentujesz powstałe logi. Z RootRepeal też wykonaj nowy.

 

 

 

[Caba]

OK już zrobione

OTL.Txt

Extras.Txt

RootRepeal report 10-31-10 (23-28-10).txt

[Landuss]

Wykonaj kolejny skrypt do OTL:

 

:OTL
[2004-08-04 13:00:00 | 000,168,032 | RHS- | C] () -- C:\WINDOWS\System32\aunbdic.dll
NetSvcs: wbnbhwhiy -  File not found
NetSvcs: kmdag -  File not found
NetSvcs: ooybokz - C:\WINDOWS\system32\aunbdic.dll ()
NetSvcs: tynxmrvm - C:\WINDOWS\system32\aunbdic.dll ()
NetSvcs: arcotz - C:\WINDOWS\system32\aunbdic.dll ()
NetSvcs: sxyeyeeoe - C:\WINDOWS\system32\aunbdic.dll ()
 
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"4538:TCP"=-
 
:Commands
[emptytemp]

 

Następnie wklej log z usuwania (powinien tworzyć się w notatniku) oraz nowe logi z OTL na dodatkowym warunku tak jak poprzednio.

 

 

 

[Caba]

Wkleiłem skrypt, uruchomiłem ponownie komputer i zrobiłem ponowny skan tak jak napisałeś, tyle że zapomniałem wyłączyć antywirusa, który pokazał podczas skanowania wirusa. wyłączyłem anty i zrobiłem ponowny skan

OTL.Txt

Extras.Txt

log 11012010_154519.txt

[Landuss]

OTL jakoś nie może sobie z tym do końca poradzić. W takim wypadku użyj narzędzia ComboFix i wklej wynikowy log.

[Caba]

Coś mi wykrył, zrobił reset i pokazał log

log.txt

[Landuss]

Wklej do notatnika ten tekst:

 

File::
c:\windows\system32\aunbdic.dll

 

Plik >>> zapisz pod nazwą CFScript.txt a nastepnie przeciągnij go i upuść na ikonę ComboFixa w taki sposób:

 

 

Nowy log do oceny.

[Caba]

log'a mi nie zostawił. tuż przed zakończeniem pojawił mi się niebieski ekran i restart komputera

 

Ale strony anty i aktualizacja win xp działa

[Landuss]

To wklej mi jeszcze nowe logi z OTL dla pewności.

[Caba]

Proszę

OTL.Txt

Extras.Txt

[Landuss]

Wygląda, że zeszło jak należy. W takim razie użyj opcji Sprzątanie z OTL w celu usunięcia programu i kwarantanny.

 

Następnie start >>> uruchom >>> wklej i wywołaj polecenie "c:\documents and settings\Caba\Pulpit\ComboFix.exe" /uninstall - to usunie ComboFix i jego komponenty.

[Caba]

Infekcja wróciła. O to te pliki

OTL.Txt

Extras.Txt

RootRepeal report 11-05-10 (20-00-52).txt

[Landuss]

Rzeczywiście znów to samo. Nie wiem dlaczego. Czy ty czasami nie podpinasz jakiegoś urządzenia przenośnego? Pendrive, telefon, karta pamięci itp bo tą drogą ta infekcja się głównie przenosi.

 

Może tym razem użyj jakiejś szczepionki: KLIK / KLIK

 

Po tym nowe logi, a OTL ma być na dodatkowym warunku netsvcs tak jak parę postów wyżej.

[Caba]

Witam. Gdy usunąłem wirusa poprzez Sophos Anti-Rootkit odrazu zacząłem grzebać w aktualizacji WinXP. I tam miałem problem bo gdzieś w ustawieniach miałem zatrzymaną prace aktualizacji.połączyłem się bezpośrednio ze strony winupdate i zaktualizowało mi ponad 100 poprawek.jak narazie wirua nie ma. skożystałem z W32.Downadup Removal Tool też nie wykrył nic.jakby coś było nie tak odrazu ci przyśle logi.wielkie dzięki za pomoc.