heur.trojan.win32.invader problem

[slawussj]

Witam serdecznie mam taki problem z wirusem heur .Chciałem zeskanować combofixem ale nie mogę ponieważ blokuje jego działanie nawet w awaryjnym. udało mi się zrobić logi z otl;
http://www.wklej.eu/index.php?id=3fd7315e70
extras http://www.wklej.eu/index.php?id=0d06d3e326

[slawussj]

Udało mi się jeszcze zrobić log GMER http://www.wklej.eu/index.php?id=5bf1512224

[mateo8898]

Tyle tylko, że w tych logach nic nie widać. Gdzie jest wykrywany ten wirus???

Chciałem zeskanować combofixem ale nie mogę ponieważ blokuje jego działanie nawet w awaryjnym

Spróbuj go uruchomić pod zmienioną nazwą.

[slawussj]

no tylko mam mały problem bo jak tylko ściągnę z internetu to już jest zainfekowany.A czy ta nazwa musi mieś rozszerzenie (.exe )czy nie koniecznie można cokolwiek wpisać? A mógłbyś mi podesłać ze zmienioną nazwą combofix? To może by się udało w ten sposób.

[mateo8898]

Tu masz link (nazwę i rozszerzenie zmieniłem) [strona nie jest już dostępna]
Tylko pamiętaj, aby podczas pobierania i skanu Combofixem wyłączyć wszelkie programy zabezpieczające, gdyż mogą one uszkodzić narzędzie i zakłócać jego pracę.

[slawussj]

log z combofix http://www.wklej.eu/index.php?id=31ca0ca9e9
Poradziłem sobie troszkę wcześniej zmieniając miejsce pobierania i od razu zmieniając nazwę w chwilkę po pobraniu.I dopiero jak przeskanowałem combofixem(w awaryjnym)(a nie zwróciłem uwagi czy tam działa antywirus) przeczytałem twojego posta.Więc jak będzie trzeba powtórzę z wyłączonym kasperskim.

[mateo8898]

W tym logu także nic nie widać.

W OTL kliknij CleanUp

Przeczyść dysk oraz rejestr CCleaner

Wyłącz i włącz przywracanie systemu na wszystkich dyskach Instrukcja

Wykonaj pełne skanowanie Dr.Web CureIt - jeśli coś znajdzie wylecz/usuń i daj raport (Plik Zapisz Listę Raportu)

Zainstaluj SP3 http://www.instalki.pl/programy/downloa ... ack_3.html

Zaktualizuj IE do najnowszej wersji (nawet jeśli go nie używasz) http://www.instalki.pl/programy/downloa ... _8_XP.html

[slawussj]

Niestety próba w otl zrobienia cleanup zakończyła się zjedzeniem otl.A po przejściu ze stany awaryjnego do zwykłego jak skanowałem combofixem także zakończyła sie jego zjedzeniem.
2010-04-09 19:55:52 Zagrożenie: HEUR:Trojan.Win32.Invader d:\RECYCLER\S-1-5-21-1715567821-1214440339-839522115-500\Dd1.exe/PE_Patch.UPX/32788R22FWJFW\FileKill.cfxxe
2010-04-09 19:55:51 Nieprzetworzony: HEUR:Trojan.Win32.Invader d:\RECYCLER\S-1-5-21-1715567821-1214440339-839522115-500\Dd1.exe/PE_Patch.UPX/32788R22FWJFW\catchme.cfxxe Odroczony
2010-04-09 19:55:51 Zagrożenie: HEUR:Trojan.Win32.Invader d:\RECYCLER\S-1-5-21-1715567821-1214440339-839522115-500\Dd1.exe/PE_Patch.UPX/32788R22FWJFW\catchme.cfxxe
2010-04-09 19:55:22 Zagrożenie: HEUR:Trojan.Win32.Invader d:\cofix.exe/PE_Patch.UPX/32788R22FWJFW\FileKill.cfxxe
2010-04-09 19:55:21 Nieprzetworzony: HEUR:Trojan.Win32.Invader d:\cofix.exe/PE_Patch.UPX/32788R22FWJFW\catchme.cfxxe Odroczony
cześć wyniki po skanowaniu kasperskym

[mateo8898]

Niestety próba w otl zrobienia cleanup zakończyła się zjedzeniem otl.A po przejściu ze stany awaryjnego do zwykłego jak skanowałem combofixem także zakończyła sie jego zjedzeniem.

Bo ta funkcja tak działa. Usuwa OTL i jego kwarantannę, a także szczątki po innych tego typu narzędziach.

Skanowałeś Dr.Web CureIt???

[slawussj]

Tak wcześniej skanowałem ale nic nie znalazł.Ale za moment przeskanuje jeszcze raz dla pewności

[slawussj]

Jeszcze dodam że jak skanowałem combofixem to zapisywał mi go w pliku(C:\System Volume Information\_restore{BF009927-2ED4-4634-8D7E-C56C91D23AEA}\RP122) kilkukrotnie a kaspersky znajdował go potem jako nie przetworzonego wirusa(czego wcześniej nie robił po combofix).

[slawussj]

zeskanowałem Dr.Web CureIt nic nie znalazł za to coś dziwnego się stało pod koniec skanowania komputer się wyłączył( jakby z braku napięcia bo potem dysk sprawdzał)i sam włączył

[slawussj]

PO uaktualnieniu IE wyskoczył błąd
sygnatura błędu
BCCode : 1000007f BCP1 : 00000008 BCP2 : 80042000 BCP3 : 00000000
BCP4 : 00000000 OSVer : 5_1_2600 SP : 2_0 Product : 256_1
następujące pliki zostaną dołączone do tego raportu o błędach
C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\WERe35f.dir00\Mini041010-01.dmp
C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\WERe35f.dir00\sysdata.xml

[mateo8898]

Jeszcze dodam że jak skanowałem combofixem to zapisywał mi go w pliku(C:\System Volume Information\_restore{BF009927-2ED4-4634-8D7E-C56C91D23AEA}\RP122) kilkukrotnie a kaspersky znajdował go potem jako nie przetworzonego wirusa(czego wcześniej nie robił po combofix).

Wyłącz i włącz przywracanie systemu na wszystkich dyskach Instrukcja


Jak teraz w ogóle wygląda sytuacja???? Czy infekcja jest nadal wykrywana???
A Combofixa już czasem nie używaj, bo to nic nie da, a tylko możesz sobie dodatkowych problemów narobić, gdyż jest to narzędzie silnie ingerujące w system.

[slawussj]

Właśnie skanuje kaspersky znalazł nadal infekcje przywracanie systemu wyłączyłem i załączyłem (można ją całkiem wyłączyć bo i tak z niej nie korzystam )a to powinno pomóc na przyszłe infekcje?
tak teraz znajduje combofix in stalkę kaspersky 2010-04-10 14:50:12 Zagrożenie: HEUR:Trojan.Win32.Invader d:\cofix.exe/PE_Patch.UPX/32788R22FWJFW\FileKill.cfxxe