Skocz do zawartości


tablety.pl
Zdjęcie
- - - - -

Wirus cycbot b. oraz dwa dziwne procesy




  • Zaloguj się, aby dodać odpowiedź
3 odpowiedzi w tym temacie

#1 vinzz

vinzz

    First Rank

  • Użytkownicy
  • 2 postów

Napisano 25 02 2012 - 10:50

Witam
Złapałem wirusa cycbot b. i nie potrafię sobie z nim poradzić. Również mój antywirus (Nod32 + aktualna baza wirusów) wykrywa dwa podejrzane procesy

C\Users\vnz\AppData\Roaming\9C7E8\lvvm.exe
C\Users\vnz\AppData\Roaming\6459C\4546D.exe

i określa je jako Kryptki.ABHI koń trojański

Na początku podczas włączania komputera nie pokazywał się pulpit tylko cały ekran robił się czarny i był na naim tylko kursor myszy. Pomogło ponowne uruchomienie procesu explorer.exe. Kolejnym dziwnym objawem jest to, że gdy otwieram dowolną przeglądarkę (u mnie FireFox) nie włącza się strona startowa i pisze "serwer Proxy nie odpowiada".

Zamieszczam logi z OTL, dzięki za każdą pomoc.

Załączone pliki

  • Załączony plik  OTL.Txt   68,75 KB   286 Ilość pobrań
  • Załączony plik  Extras.Txt   33,69 KB   216 Ilość pobrań


#2 wirusolog

wirusolog

    Expert

  • Moderatorzy
  • 5762 postów
  • Płeć:Mężczyzna

Napisano 25 02 2012 - 11:20

Nie widzę tu tej infekcji (ani żadnej innej) - prawdopodobnie została już usunięta, bo widzę, że używany był ComboFix oraz MBAM.

Kosmetyka:
Uruchom OTL i w dolne białe pole wklej to:
:OTL
[2012-02-24 16:08:02 | 000,000,000 | ---D | C] -- C:\Users\vnz\AppData\Roaming\9C7E8
[2012-02-24 16:07:29 | 000,000,000 | ---D | C] -- C:\Users\vnz\AppData\Roaming\6459C

:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://www.google.pl/"
[HKEY_CURRENT_USERS\S-1-5-21-1892553798-4214925425-2047874512-1000\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://www.google.pl/"
[HKEY_CURRENT_USERS\S-1-5-21-1892553798-4214925425-2047874512-1003\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://www.google.pl/"

:Commands
[emptyflash]
[emptytemp]

Kliknij w Wykonaj Script. Zapisz raport, który się pokaże.
Pokaż nowy log OTL.txt oraz raport z usuwania.

.

.

#3 vinzz

vinzz

    First Rank

  • Użytkownicy
  • 2 postów

Napisano 25 02 2012 - 12:13

Ok, zrobione. W załącznikach logi i raporty. Chodzi mi jeszcze o tego Firefoxa, ten komunikat dokładnie brzmi:

"Serwer proxy odrzuca połączenia Firefox został skonfigurowany tak, by używał serwera proxy, który odmawia połączenia."

Co jest dziwną sprawą bo ja nic takiego nie ustawiałem. Dodam jeszcze, że gdy w opcjach ff wyłącze proxy podczas ponownego startu aplikacji jest dokładsnie to samo, jakby nic sie nie zapisało.

Raport z usuwania
http://wklej.org/id/695658/

Teraz na to wpadłem. Może nic widać tych dwóch procesów ponieważ są one w kwarantannie Nod'a 32 ?

Załączone pliki

  • Załączony plik  Extras.Txt   33,69 KB   183 Ilość pobrań
  • Załączony plik  OTL.Txt   68,06 KB   194 Ilość pobrań


#4 wirusolog

wirusolog

    Expert

  • Moderatorzy
  • 5762 postów
  • Płeć:Mężczyzna

Napisano 25 02 2012 - 13:16

OK, usunięte, co miało być usunięte.


Chodzi mi jeszcze o tego Firefoxa, ten komunikat dokładnie brzmi:

"Serwer proxy odrzuca połączenia Firefox został skonfigurowany tak, by używał serwera proxy, który odmawia połączenia."

Co jest dziwną sprawą bo ja nic takiego nie ustawiałem. Dodam jeszcze, że gdy w opcjach ff wyłącze proxy podczas ponownego startu aplikacji jest dokładnie to samo, jakby nic sie nie zapisało.


Zgłosiłem już Moderatorom, by pomyśleli o przesunięciu tego tematu do jakiegoś innego, bardziej odpowiedniego działu Forum.

.




Użytkownicy przeglądający ten temat: 0

0 użytkowników, 0 gości, 0 anonimowych