Elektroda.pl
Elektroda.pl
X
Elektroda.pl
Proszę, dodaj wyjątek dla www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Combofix-prośba o sprawdzenie loga (KAMSOFT.EXE)

maras2003 24 Lis 2008 16:46 3339 10
  • Poziom 29  
    Witam. Proszę o sprawdzenie loga z Combofix- zauważyłem że komputer zwalnia raz na ok. 30minut przez 2-3 sekundy w aplikacjach 3D.
    Martwi mnie plik KAMSOFT.EXE - nie mam pojęcia co to jest, a google mówi że infekcja... :/

    Czy wirusy mogły się dostać przez nowy odtwarzacz "MP4"? Znalazłem na nim kilka ukrytych plików, chciałem obadać co to jest (a może poprawiłbym to badziewne spolszczenie w odtwarzaczu..), a gdy Combofix działał widziałem nazwy właśnie tych plików, ale nie tam gdzie je kopiowałem.
    Proszę o pomoc. Log w załączniku
  • Pomocny post
    Spec od komputerów
    Podlacz zainfekowane nosniki (pendrive'y, mp4 itp urzadzenia) i uzyj Flash Disinfector.

    Nastepnie CFScript.txt do combofix:

    File::
    C:\lky.exe
    c:\windows\system32\gasretyw1.dll
    C:\whi.com
    C:\sq.com

    Registry::
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "EXPLORER.EXE"=-
    "wsctf.exe"=-

    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\##Maras1#download@maras1]
    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{05ee6c88-1cf3-11dd-95c1-001d7da370b8}]
    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c92a6248-36b0-11dd-9622-001d7da370b8}]
    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c92a6249-36b0-11dd-9622-001d7da370b8}]
    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ef9b0094-b4ba-11dd-97f1-001d7da370b8}]
    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f935ea3c-0700-11dd-9573-001d7da370b8}]

    Po wykonaniu daj nowy log z combofix oraz zablokuj klucz mountpoints2 w rejestrze (opis w podwieszonym temacie dotyczacym infekcji z pendrive'a).
  • Poziom 29  
    Dzięki za odpowiedź

    Zrobiłem jak napisałeś, MP4 jest czysta :]

    log nr 2 w załączniku

    ps. Wydaje mi się że przed Twoim CFScript nie mogłem widzieć ukrytych plików/folderów (musiałem używać total comandera). Mógłbyś mi powiedzieć która linijka / który wpis rejestru byłza to odpowiedzialny ?
  • Spec od komputerów
    Nie bylo wpisu, to trojan blokuje wyswietlanie plikow ukrytych.

    Zostal jeszcze ten wpis:
    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\##Maras1#download(małpa)maras1]

    Dopiero teraz zobaczylem, ze forum zamienilo at na (malpa).

    Wklej do notatnika:
    Code:
    REGEDIT4
    

    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\##Maras1#download@maras1]


    Zapisz jako fix.reg i uruchom. Tylko przed zapisaniem zmien (malpa) na at inaczej sie znowu nie usunie.
  • Poziom 29  
    Ten wpis usunąłem profilaktycznie ;)

    Z tego co wiem, teraz jeszcze raz będę musiał zmapować dysk (usunąłem właściwie wszystko co mi nie pasowało w mountpoints2)

    Dzięki za pomoc, jakby co to jeszcze dam znać ;)
  • Poziom 29  
    No i niestety daję znać :(

    Wirus na nowo się u mnie pojawił- podłączyłem odtwarzacz PM4, chciałem bodajże usunąć jakiś folder... patrze jest ok. 10 plików... chciałem zobaczyć jaki rozmiar ma folder X (nazwa przykładowa), więc wyjechałem myszką i miałem wrażenie że jakiś plik zniknął... Sprawdzam CTRL+A, wyskakuje błąd ilość plików ukrytych:1
    Zmieniam ustawienia widoczności plików ukrytych, nic się nie zmieniło. Test CRTL+A tak samo. Uruchomiłem Combofixa i jest niby OK, ale mountpoints2 wróciły:
    {dziwne cyfry chyba w systemie szesnastkowym}
    mam ich pare...

    Żadne inne pendrivy nie były ostatnio podłączane
    Prosze o pomoc jak pozbyć się wirusa na dobre.
  • Spec od komputerów
    Z tego prosty wniosek, ze nie wykonales tego co napisalem, a wiec nie zablokowales klucza mountpoints2. Efekty widac. Teraz musisz dac nowy log z combofix.
    Tym razem wykonaj wszystko co napisalem, a nie tylko czesc!
  • Spec od komputerów
    Start-> Uruchom -> sc stop adfs
    oraz: sc delete adfs

    Usun z dysku: C:\o1.com

    Tym razem zablokuj dostep do mountpoints2 oraz koniczenie uzyj Flash Disinfector.
  • Poziom 1  
    Mam podobny problem jak kolega.

    AVG wykryl mi trojany w nastepujacych plikach: kamsoft.exe, o1.com, 0w.com, abk.bat, ij.bat, gasretyw1.dll. Oprocz tego malware spowodowaly ze nie widze ukrytych plikow, nie moge normalnie poprzez klikniecie otworzyc dyskow twardych i co jakis czas komputer mi sie restartuje.

    Z tego co czytalam na forach najlepiej to usunac za pomoca combofix.
    Ponizej zalaczam log. Czy moglby mi ktos pomoc co wpisac w CFScript.txt i napisac co jeszcze ewentualnie musialabym zrobic.
  • Spec od komputerów
    :arrow: x100krocia
    Zrob to samo co autor tego watku:
    > Podlacz zainfekowane nosniki (pendrive'y, mp4 itp
    > urzadzenia) i uzyj Flash Disinfector.

    CFScript.txt:

    Folder::
    C:\FOUND.020
    C:\FOUND.019
    C:\FOUND.018

    File::
    c:\windows\LOAD.EXE

    Driver::
    isiym

    Registry::
    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C]
    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\H]

    Po wszystkim zablokuj dostep do klucza mountpoints2, jezeli tego nie zrobisz to zaraz znowu sie zarobaczysz.