Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Infekcja z pendrive-podejrzany plik oxcmguz.dll

bartek0305 21 Sty 2010 13:30 1172 6
  • #1 21 Sty 2010 13:30
    bartek0305
    Poziom 12  

    Witam! Zwracam się z prośbą o pomoc w wyczyszczeniu mojego pendriva i komputera-oczywiście win XP SP 2. Komputer jest chyba 2 tygodnie po formacie ale niestety przyniosłem coś sobie ze szkoły. Pierwszym objawem oczywiście było otwieranie pendrive w nowym oknie oraz zmiana ikony (w moim komputerze) z dysku na ikonę folderu. Format oczywiście nic nie daje. Po pierwszym podłączeniu pendrive jeszcze działa, ale ma już zajęte 232kb (po formacie ma 4kb). Po kolejnym odłączeniu i podłączeniu już jest nowe okno i zmieniona ikona.
    Przeskanowałem komputer Malwarebytes, ccleaner i combofixem. Combofix za pierwszym razem znalazł ukryty proces:
    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ikqmavze]
    "ServiceDll"="c:\windows\system32\oxcmguz.dll"
    W Hijacku tego wpisu chyba nie było. Plik oxcmguz.dll jest niewidoczny nawet przy opcji pokazywania ukrytych plików. Przy następnym skanowaniu już tego wpisu tam nie było.
    Załączam logi z Hijack i Combofixa.

    0 6
  • #3 21 Sty 2010 15:25
    bartek0305
    Poziom 12  

    Dziękuje bardzo!! Pomogło :)

    0
  • #4 21 Sty 2010 16:57
    Kolobos
    Spec od komputerów

    Problemem jest conficker i nawet jezeli nod go usunal to trzeba sie jeszcze zabezpieczyc na przyszlosc.

    Uzyj CFScript.txt z combofix:

    File::
    c:\windows\system32\oxcmguz.dll

    Registry::
    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "4244:TCP"=-

    Driver::
    ikqmavze

    NetSvcs::
    ikqmavze

    Po wykonaniu daj log, ktory sie utworzy.

    Zainstaluj tez SP3 do XP lub latke na Conficker'a do SP2 ze strony MS lub WU.

    0
  • #5 21 Sty 2010 20:41
    bartek0305
    Poziom 12  

    Dziękuję za zainteresowanie. SP 3 zainstalowałem, CFScript zrobiłem, poniżej daje log. Komputer restartował się podczas skanowania aż 2 razy i tym razem log jest bardzo długi.

    0
  • #6 21 Sty 2010 22:19
    Kolobos
    Spec od komputerów

    Combofix usunal co trzeba.

    0
  • #7 21 Sty 2010 22:27
    bartek0305
    Poziom 12  

    Super, bardzo dziękuje :)

    0