Skocz do zawartości

Spowodowany wirusem problem


Rekomendowane odpowiedzi

Witam.

Dzisiaj przeszedłem walkę z robaczkiem Kmh.exe (odmiana wirusa WIN32/Kryptik.IPA Koń trojański)

Mój antywir Eset znalazł wirusa jednak nie w porę bo przeskanowałem komputer po tym jak zaczęło się coś z nim dziać, mianowicie, po tym jak miałem duże zużycie procesora oraz programy same się wyłączały.

Po poddaniu go kwarantannie wszystko chyba wróciło do normy jednak szkody jakie zauważyłem do tej pory to złe wyświetlanie gadżetów oraz problem z działaniem programu AQQ.

Co do gadżetów to zamieszczam SS jak to wygląda.

A co do AQQ problem wygląda tak że AQQ zawiesza się zaraz po włączeniu oraz zużycie pamieci i procesora przez niego rośnie od 60mb do 280mb gdzie zawsze korzystał z 20mb.

Reinstal nie pomógł.

Co do gadżetów, również próbowałem co niektóre przeinstalować jednak dalej jest to samo.

Próbowałem też naprawić je sposobami z tej strony https://www.fixitpc.pl/topic/1232-problemy-z-sidebarem-gadzetami-w-vista/

ale i to nic nie dało.

CCleaner był w użyciu oraz Combofix jednak bez zmian.

Proszę o pomoc w naprawieniu szkód spowodowanych robakiem.

post-1139-0-78908400-1291377879_thumb.jpg

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Do rozwiązywania problemów z malware i jego skutkami służy dział Malware. Opis nie wystarczy, są potrzebne niezbite dowody, czyli wyciągi z systemu. Podaj:

 

1. Obowiązkowy przy diagnostyce malware zestaw raportów: OTL + GMER

 

2. Bezwzględnie jest wymagane pokazanie co robił ComboFix. Czyli zaprezentuj log, który wtedy utworzył (nie uruchamiaj ponownie programu!).

Odnośnik do komentarza

OTL jest niepełny - brakuje Extras. W instrukcji na forum jest napisane, że opcja "Rejestr - skan dodatkowy" ma być ustawiona na Użyj filtrowania. Druga sprawa: log z GMER podejrzanie szybko wykonany, co sugeruje zrobienie preskanu a nie skanowania pełnego.

 

Temat idzie do działu Malware. Wygląda na to, że jest jakiś rootkit. Na dysku jest ukryty moduł DLL "luzem" (nie widać metody ładowania, a wg prawdopodobieństwa powinna to być usługa):

 

[2010-12-02 18:50:59 | 000,086,528 | RHS- | M] () -- C:\Windows\System32\fveuig.dll

Również jest szkodliwe zadanie w Harmonogramie Windows.

 

1. Uruchom BlitzBlank i w karcie Script wklej:

 

DeleteFile: 
C:\Windows\System32\fveuig.dll
C:\Windows\tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job

Klik w Execute Now. Zatwierdź restart komputera.

 

2. Po restarcie systemu wytwórz nowy zestaw logów OTL (przypominam o Extras) + GMER. OTL zrób na dostosowanym warunku. W sekcji Własne opcje skanowania / skrypt wklej:

 

netsvcs

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones

Klik w Skanuj (a nie Wykonaj skrypt!)

 

Zaprezentuj także zawartość loga BlitzBlank.

 

co do logu z combofix to niestety nie posiadam, z samego rana go usunałem

 

Wnioskuję, że nawet nie sprawdziłeś raportu. A co by było, gdyby ComboFix skasował pliki systemowe, czym byś to weryfikował? ComboFix to nie jest "skaner domowego użytku". To jest narzędzie wewnętrzne osób specjalizowanych w malware, które potrafią z niego skorzystać (jest wymagana zdolność analizy raportu w jednym palcu).

Jeszcze jedna uwaga: jak mniemam usuwałeś log + ComboFix. Jeśli tak się stało, to nie jest prawidłowa metoda usunięcia tego programu, zostają liczne ślady na dysku. ComboFix należy wywołać ze specjalnym parametrem deinstalacji.

 

Wejdź do C:\Qoobox i wyszukaj tam plik ComboFix-quarantined-files. Zaprezentuj zawartość.

 

 

.

Odnośnik do komentarza

otl - http://wklej.org/id/430633/

otl extras - http://wklej.org/id/430636/

gmer - http://wklej.org/id/430653/

Blitzblank - http://wklej.org/id/430642/

 

gmer ustawiam i robie wszystko tak jak jest opisane tutaj GMER

Przy OTL tak samo korzystam z pomocy opisanej TU

 

Co do Combofix to masz racje usunąłem nie tak jak powinienem i po nim został mi jedynie folder Qoobox a w nim folder którego nie mogę usunąć BackEnv <_<

 

aa i nie wiem czy to ma znaczenie ale AQQ z którym mam problem został odinstalowany przed wykonaniem skanów.

Odnośnik do komentarza

1. Kasacja wykonana pomyślnie. Nic nowego się nie ujawniło. Możliwe, że ten plik był luzem, tzn. wcześniej usunięto czymś jego część nadrzędną.

 

2. Mamy prawdopodobną przyczynę dla tych skopanych gadżetów. Kluczyk dodany przez infekcję w strefach zabezpieczeń:

 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\]

To klucz Unicode (wyświetla się inaczej niż w poście, taka jakby "literka L"), który powoduje również martwe okno AQQ. Rozwiązałam tę sprawę już na forum (i mój fix poszedł na oficjalne forum AQQ): KLIK. Czyli:

 

Start > w polu szukania wklep regedit > z prawokliku Uruchom jako Administrator i skasuj ten klucz z rejestru. Zresetuj po tym komputer. Zdaj mi relację jakie są skutki.

 

Co do Combofix to masz racje usunąłem nie tak jak powinienem i po nim został mi jedynie folder Qoobox a w nim folder którego nie mogę usunąć BackEnv

 

Nie "jedynie". Folder Qoobox to zaledwie jeden z tych bardziej oczywistych fragmentów programu. On tam więcej na dysku wypakował. Zawsze sprzątam po użytkowniku, ale te zadania otrzymasz dopiero po ukończeniu diagnostyki.

 

.

Odnośnik do komentarza

Czyli możemy przejść do finalizacji:

 

1. Wywołaj prawidłową procedurę deinstalacji ComboFix. Pobierz od nowa plik ComboFix na Pulpit (tę ścieżkę załączam w komendzie). Następnie kombinacja klawiaturowa klawisz z flagą Windows + R i wklej polecenie:

 

C:\Users\Paweł\Desktop\ComboFix.exe /uninstall

 

To powinno: prawidłowo zlikwidować ślady programu i zresetować foldery Przywracania systemu (rzecz istotna po ukończeniu dezynfekcji)

 

2. Do aktualizacji softy:

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java™ 6 Update 21

"{AC76BA86-7AD7-1038-7B44-CEA000000001}" = Adobe Reader 6.0.2 CE

Masakrycznie stara wersje Adobe do całkowitej deinstalacji (luka na luce) i do zamiany przez najnowszy plus nadpisz sobie Java: INSTRUKCJE.

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...