WIN32:Small-EPJ i inne wirusy (logi do sprawdzenia)
witam,
Od jakiegoś czasu avast chce blokowac polaczanie z internetem po uruchomieniu kompa,
ostatnio zaisntalowałem kilka antywirow (avast, mks online) oraz spybota - wszystkie z aktualnymi bazami.
Zakończyło się to wykryciem i unieszkodliwieniem kilku trojanów.
Jednak od jakiegoś czasu ochrona avasta informuje, że z mojego kompa są wysyłane wiadomości i, że są identyczne po czym avast pyta mnie czy kontynuować,czy nie wysyłać.
Załączam kilka logów (poprzez portal wklej.org), nie chciałem już mieszać, więc jeśli są jakieś oczywistości w logu hijacka to darujcie.
log z hijacka : http://wklej.org/id/e1fd402a85
log z autoruns for windows v8.73: http://www.wklej.org/id/8e6bc4b2b0
log z silent runners: http://www.wklej.org/id/6adecae4d5
pozdrawiam,
Odpowiedzi: 5
Morda, dzieki za pomoc!.
Przyznam, ze nie jest mi do smiechu, chyba znow szykuje sie format :/.
pozdrowienia
[quote]2007-08-25 10:1394,208--a------C:\WINDOWS\system32\[b]MailSpectre.exe[/b]
2007-08-25 10:1318,176--a------C:\WINDOWS\system32\drivers\[b]smtpdrv.sys[/b][/quote]
Masz dwa nieznane pliki. Pliki te pojawiły się po raz pierwszy na całym świecie 24 sierpnia, a u Ciebie pojawiły się następnego dnia.
Niestety, na razie jeszcze nikt nie wie, czy są "dobre" czy "złe", więc żaden Antivirus też o nich nic nie wie.
Co do tego "Small-EPJ", to dopóki avast go blokuje, to jest dobrze.
Wiem, że to denerwujące, co chwila oglądać takie alarmujące Komunikaty, ale niewiele można na to poradzić.
Można spróbować zablokować Firewallem, ale nawet nie wiem, czy to zadziała.
Tysiące ludzi na całym świecie ma identyczny problem z tym "EPJ" i na razie najlepszym sposobem okazał się taki:
zmienić swojego dostawcę internetowego. W Polsce często jest to niewykonalne z wiadomych przyczyn...
Log z ComboFixa jest obcięty, więc nie wiem, czy jest jakiś Rootkit, tym bardziej, że z GMERa trzeba dwa logi na innych ustawieniach.
Ale nie sądzę, by logi z GMERa były tu potrzebne.
.
dzieki za wskazówki,
[u]Morda[/u], zrobiłem dokładnie jak napisałeś, efekt jest pozytywny (usunąłem w końcu O20 - Winlogon Notify: arm32reg - C:\Documents and Settings\All Users\Dokumenty\Settings\arm32.dll).
Jednak nie wszystko poszło gładko w trakcie wykonywania Twoich wskazówek najpierw chyba zabrakło mi miejsca na C, dysk ciągle się zapełnia :/ i nie mam już co usunąć z partycji C i w trakcie procesu wyszły jakieś dziwne komunikaty o błędach. Na dokładkę kiedy już combofix skończył swoje działanie komp uruchomił się ponownie a wraz z nim pojawił się scandisk który stwierdził, że łańcuchy "czegoś tam" na drugiej pratycji są uszkodzone i że musi je poskładać. Nie chodzi tu o fizyczne uszkodzenie!.
Jednak koniec końców wszystko się udało.
[u]Martwi mnie tylko win32:small-EPJ który co jakiś czas jest wykrywany przez avasta.[/u]
[u][b]Logi:[/b][/u]
gmer - rootkity : http://wklej.org/id/e8a7679df1
combofix: http://www.wklej.org/id/7d2b4b805e
pozdrawiam i dziekuje.
[quote]O20 - Winlogon Notify: arm32reg - C:\Documents and Settings\All Users\Dokumenty\Settings\arm32.dll[/quote]
To znany "hakier" używa zdalnie Twego komputera.
Jeśli nie masz jakiegoś narzędzia usuwającego, to ściągnij [url=http://www.bezpieczenstwosystemow.pl/index.php?topic=18.0][b][color=blue][u]ComboFix[/u][/color][/b][/url]
Wklej do [b]Notatnika[/b]:
[CODE]
File::
C:\Documents and Settings\All Users\Dokumenty\Settings\arm32.dll
Folder::
C:\Documents and Settings\All Users\Dokumenty\Settings
Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\arm32reg][/code]
[b]>>Plik>>Zapisz jako... >>> [color=red]CFScript[/color][/b] (najwygodniej będzie,
jeśli zapiszesz w takiej lokalizacji, by ikonka [b]CFScript.txt[/b] znalazła się obok ikonki [b]ComboFix.exe[/b])
Przeciągnij i upuść plik [color=red][b]CFScript.txt[/b][/color] na plik [b]ComboFix.exe[/b]
(czyli ikonkę [b]CFScript.txt[/b] na ikonkę [b]ComboFix.exe[/b])
– podobnie jak na tym obrazku [color=blue]-->[/color][b][url]http://img.wklej.org/images/88953CFScript-createdbyMiekiemoes.gif[/url][/b]
(jeśli pojawi się pytanie "[b]1 or 2[/b]" - to wpisz [b]1[/b] i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie jednocześnie log)
[b]Po restarcie[/b] usuń ręcznie folder [b]C: \[color=red]Qoobox[/color][/b].
Następnie wyszukaj na dysku wszystkie pliki "DESKTOP.INI". Ponieważ ten szkodliwy plik ma atrybut "Ukryty", więc przed wyszukiwaniem zrób to:
[quote]>>Start>>Panel Sterowania>>Opcje Folderów>>Widok>>usuń zaznaczenie przy "Ukryj chronione pliki systemowe">
>zaznacz przy "Pokaż ukryte pliki">>Zastosuj>>OK[/quote]
Potem po kolei otwieraj te pliki jako Notatnik. Jeśli w którymś z nich będzie:
[quote][arm32_main_bt]
hd=
id_s=
s1=
s2=
h1=
h2=
h3=
ch=[/quote]
to ten plik usuwasz.
Potem możesz dać log z ComboFixa.
Log wklej na [url=http://wklej.org/][b][color=blue][u]http://wklej.org/[/u][/color][/b][/url], a w poście daj tylko link.
.
Masz Rookita. [url=http://forum.dobreprogramy.pl/viewtopic.php?t=101848] tu czytaj i sobie usuń[/url]
Strona 1 / 1