Ms System Health Agent

[NoVVy]

Przeważnie zostawiam kompa włączonego na noc. Od dwóch dni gdy wstaję rano i zaglądam do kompa na ekranie czeka już na mnie okienko MS System Health Agent o treści:

The System has detected an adware, spyware or virus activity.There is a high risk of personal data corruption and system destabilization.Would you like to run security analysis tool? (Recommended)

No i do wybrania są dwie opcje "OK" i "Anuluj". Niewiele znalazłem informacji o tym całym MS System Health Agent co mnie trochę zaniepokoiło. Za pierwszym razem wybrałem "OK" po czym uruchomił się IE (mam Firefox'a jako domyślną przeglądarkę) i zanim się połączył z czymkolwiek zdążyłem go wyłączyć w obawie, że zaciągnie jakiś syf z lewej stronki. W ciągu dnia ten komunikat się jeszcze nie pojawił. Wcześniej nie spotkałem się z czymś takim i dlatego chciałbym się dowiedzieć od Was czy mieliście już podobne sytuacje i czy znane jest Wam takie coś jak "MS System Health Agent"?

[Kolobos]

Daj log z combofix oraz hijackthis. Oba wklej na http://wklej.org i daj linki. Zrob tez skan przy pomocy SuperAntiSpyware.

[NoVVy]

Log z ComboFix ----> click

Log z HijackThis ----> click

 

Zrobiłem także skana programem SuperAntiSpyware (oczywiście po aktualizacji bazy) ale nic nie wykrył.

[Kolobos]

Wklej do notatnika to:

 

File::

C:\WINDOWS\system32\dllcache\ualalpay.dll

C:\WINDOWS\system32\xnhvk.dll

C:\WINDOWS\system32\dllcache\yaplabb.dat

C:\WINDOWS\system32\dllcache\yaplacb.dat

C:\WINDOWS\system32\dllcache\yaplal.dat

C:\WINDOWS\system32\dllcache\yaplap1b.dat

C:\WINDOWS\system32\dllcache\yaplaab.dat

 

Registry::

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6B2432DA-E58D-4C9A-AE60-7C856A4E903F}]

 

[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ualalpay]

 

Plik zapisz w katalogu z combofix pod nazwa CFScript.txt, nastepnie przeciagnij plik CFScript.txt na ikone combofix.exe (tak jak to masz pokazane tutaj http://i12.tinypic.com/4l761r5.gif ). Po wszystkim daj log na wklej i podaj link + log z SDFix zrobiony w trybie awaryjnym.

[NoVVy]

Zrobiłem wszystko tak jak napisałeś tylko, że nowy log z ComboFix'a się nie pojawił (znalazłem tylko te wcześniejsze). Poszukałem trochę informacji co się wydarzyło po odpaleniu ComboFix'a i znalazłem w C:\qoobox\Quarantine plik catchme.log o treści:

file zipped: C:\WINDOWS\system32\dllcache\ualalpay.dll -> catchme.zip -> ualalpay.dll ( 598016 bytes ) PE file "C:\WINDOWS\system32\dllcache\ualalpay.dll" killed successfully

Na pulpicie pojawił się pliczek catchme.zip (spakowany ualalpay.dll)

 

Jeśli chodzi o SDFix (w trybie awaryjnym) to był pewien problem ----> http://i16.tinypic.com/6jleyat.jpg

[Kolobos]

Uruchom jeszcze raz combofix normalnie i zobacz czy sie utworzy log, jezeli tak to daj na wklej i podaj link. Jezeli nie to zamiast combofix uzyj DSS.

[NoVVy]

Log z ComboFix ----> click

[Kolobos]

Log wyglada ok.

[NoVVy]

Dziękuję za poświęcenie czasu na sprawdzenie moich logów oraz pomoc. Mam jeszcze pytanie do Ciebie: czy cały katalog qoolobox (prawdopodobnie utworzony przez ComboFix), w którym znajdują się pliki objęte kwarantanną oraz różne backup'y jest do skasowania? Czy mam go zostawić na dysku?

[Kolobos]

Mozesz smialo usunac, do tego jeszcze reszta combofix/sdfix:

C:\WINDOWS\system32\VCCLSID.exe

C:\WINDOWS\system32\SrchSTS.exe

C:\WINDOWS\system32\IEDFix.exe

C:\WINDOWS\system32\Process.exe

C:\WINDOWS\system32\dumphive.exe

C:\WINDOWS\system32\WS2Fix.exe

C:\WINDOWS\system32\tmp.reg

Edytowane 30 Grudnia 2007 przez Kolobos