Infekcja PC (pendrive)

Witam.

Miałem problemy z komputerem (XP prof. SP3) mianowicie nie można było otworzyć dysków C, D, O. z apletu Mój komputer, ani ze skrótów na pulpicie.

Wyskakiwał komunikat “(C,D,O):\recysled\boot.com nie jest prawidłową aplikacją sys. Win.32”

Przeskanowałem komputer Combo-fix i wszystko wróciło do normy.

Mam jeszcze kilka wątpliwości i pytań:

  1. znaleziono pliki (we wszystkich dyskach) autorun.inf.vir wrzuciłem je do kosza i narazie jost OK - kasować na stałe z kosza?

  2. czy można skasować folder Combo-fixa - Qoobox

3.widzę, że Combo odzyskał jakieś już niepotrzebne pliki (m.in. pojawiły się stare skróty na pulpicie) - jak je poznajdywać (najlepiej hurtowo) bo to chyba już tylko śmieci.

Od przypadku wklejam log z Combo-fix do analizy przez fachowca.

Dziękuję za pomoc i porady.

Pozdrawiam.

ComboFix 08-12-14.05 - Administrator 2008-12-15 16:27:15.1 - FAT32 x86

Microsoft Windows XP Professional 5.1.2600.3.1250.1.1045.18.2047.1715 [GMT 1:00]

Uruchomiony z: c:\documents and settings\Administrator\Pulpit\ComboFix.exe

UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA!!

.

((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\autorun.inf

C:\resycled

c:\resycled\boot.com

c:\resycled\boot.com.vir

c:\windows\system32\drivers\msqpdxmqltoiqh.sys

c:\windows\system32\msqpdxosvdbrsr.dll

D:\Autorun.inf

D:\resycled

d:\resycled\boot.com

d:\resycled\boot.com.vir

O:\Autorun.inf

O:\resycled

o:\resycled\boot.com

o:\resycled\boot.com.vir

.

((((((((((((((((((((((((((((((((((((((( Sterowniki/Usługi )))))))))))))))))))))))))))))))))))))))))))))))))

.

-------\Service_MSQPDXSERV.SYS

-------\Legacy_MSQPDXSERV.SYS

((((((((((((((((((((((((( Pliki utworzone od 2008-11-15 do 2008-12-15 )))))))))))))))))))))))))))))))

.

2021-01-15 16:40 . 2021-01-15 16:40

2008-12-15 14:35 . 2008-12-15 14:35 62,464 --a------ c:\windows\system32\drivers\msqpdxserv.sys

2008-12-15 13:39 . 2008-12-15 13:39

2008-12-15 13:39 . 2006-05-25 14:52 162,304 --a------ c:\windows\system32\ztvunrar36.dll

2008-12-15 13:39 . 2003-02-02 19:06 153,088 --a------ c:\windows\system32\UNRAR3.dll

2008-12-15 13:39 . 2005-08-26 00:50 77,312 --a------ c:\windows\system32\ztvunace26.dll

2008-12-15 13:39 . 2002-03-06 00:00 75,264 --a------ c:\windows\system32\unacev2.dll

2008-12-15 13:39 . 2006-06-19 12:01 69,632 --a------ c:\windows\system32\ztvcabinet.dll

2008-12-14 00:09 . 2008-12-15 13:56 255 -rahs---- C:\autorun.inf.vir

2008-12-14 00:08 . 2008-12-14 00:08 79 --a------ c:\windows\wininit.ini

2008-12-11 23:37 . 2008-07-18 15:23 732,888 -ra------ c:\windows\system32\drivers\cfosspeed.sys

2008-12-10 12:34 . 2008-12-15 13:06 62,976 --a------ c:\windows\system32\drivers\msqpdxserv.sys.vir

2008-12-09 12:27 . 2008-12-09 12:27

2008-12-05 17:28 . 2008-12-05 17:28

2008-11-20 23:21 . 2008-11-20 23:21

2008-11-20 23:21 . 2008-11-20 23:21

2008-11-20 23:21 . 2008-11-20 23:21

2008-11-20 23:21 . 2008-11-12 14:54 453,152 --a------ c:\windows\system32\nvudisp.exe

2008-11-20 23:21 . 2008-12-15 16:31 203,188 --a------ c:\windows\system32\nvapps.xml

2008-11-20 23:21 . 2008-11-12 14:54 18,537 --a------ c:\windows\system32\nvdisp.nvu

2008-11-20 23:20 . 2008-11-20 23:20

2008-11-20 23:19 . 2008-11-12 14:54 6,188,320 --a------ c:\windows\system32\drivers\nv4_mini.sys

2008-11-20 23:19 . 2008-11-12 14:54 6,188,320 --a------ c:\windows\system32\dllcache\nv4_mini.sys

2008-11-20 23:17 . 2008-11-12 13:45 453,152 --a------ c:\windows\system32\NVUNINST.EXE

.

(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2021-01-15 15:49 32 ----a-w c:\documents and settings\All Users.WINDOWS\Dane aplikacji\ezsid.dat

2021-01-15 15:49 32 ----a-w c:\documents and settings\Administrator\Dane aplikacji\ezsid.dat

2021-01-15 15:40 --------- d-----w c:\program files\Common Files\Skype

2008-12-15 14:08 202,040 ----a-w c:\windows\system32\PnkBstrB.exe

2008-12-14 19:17 137,688 ----a-w c:\windows\system32\drivers\PnkBstrK.sys

2008-11-10 13:49 --------- d-----w c:\program files\Razer

2008-10-30 11:33 --------- d-----w c:\program files\DVDVideoSoft

2008-10-30 11:33 --------- d-----w c:\program files\Common Files\DVDVideoSoft

2008-10-30 11:33 --------- d-----w c:\program files\AskBarDis

2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys

2008-10-24 11:21 455,296 ------w c:\windows\system32\dllcache\mrxsmb.sys

2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll

2008-10-16 13:13 202,776 ----a-w c:\windows\system32\dllcache\wuweb.dll

2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll

2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\dllcache\wuaueng.dll

2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll

2008-10-16 13:12 561,688 ----a-w c:\windows\system32\dllcache\wuapi.dll

2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll

2008-10-16 13:12 323,608 ----a-w c:\windows\system32\dllcache\wucltui.dll

2008-10-16 13:09 92,696 ----a-w c:\windows\system32\dllcache\cdm.dll

2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll

2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe

2008-10-16 13:09 51,224 ----a-w c:\windows\system32\dllcache\wuauclt.exe

2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll

2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll

2008-10-16 13:08 34,328 ----a-w c:\windows\system32\dllcache\wups.dll

2008-10-15 17:36 337,408 ------w c:\windows\system32\dllcache\netapi32.dll

2008-10-15 00:12 --------- d-----w c:\program files\ASUS

2008-10-13 08:56 70,936 ----a-w c:\windows\system32\PhysXLoader.dll

2008-09-30 15:43 1,286,152 ----a-w c:\windows\system32\msxml4.dll

2008-09-15 16:27 1,846,656 ----a-w c:\windows\system32\win32k.sys

2008-09-15 16:27 1,846,656 ------w c:\windows\system32\dllcache\win32k.sys

2006-06-23 22:48 32,768 ----a-r c:\windows\inf\UpdateUSB.exe

2002-01-01 01:13 22,328 ----a-w c:\documents and settings\Administrator\Dane aplikacji\PnkBstrK.sys

.

((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane

REGEDIT4

[HKEY_LOCAL_MACHINE~\Browser Helper Objects{201f27d4-3704-41d6-89c1-aa35e39143ed}]

2008-08-26 10:32 279944 --a------ c:\program files\AskBarDis\bar\bin\askBar.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

“{3041d03e-fd4b-44e0-b742-2d9b88305f98}”= “c:\program files\AskBarDis\bar\bin\askBar.dll” [2008-08-26 279944]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]

“{3041D03E-FD4B-44E0-B742-2D9B88305F98}”= “c:\program files\AskBarDis\bar\bin\askBar.dll” [2008-08-26 279944]

[HKEY_CLASSES_ROOT\clsid{3041d03e-fd4b-44e0-b742-2d9b88305f98}]

[HKEY_CLASSES_ROOT\TypeLib{4b1c1e16-6b34-430e-b074-5928eca4c150}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“Mozilla Thunderbird”=“c:\program files\Mozilla Thunderbird\thunderbird.exe” [2007-11-01 8479856]

“H/PC Connection Agent”=“c:\program files\Microsoft ActiveSync\wcescomm.exe” [2006-11-13 1289000]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“VolPanel”=“c:\program files\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe” [2006-07-13 122880]

“AudioDrvEmulator”=“c:\program files\Creative\Shared Files\Module Loader\DLLML.exe” [2005-11-04 49152]

“UpdReg”=“c:\windows\UpdReg.EXE” [2000-05-11 90112]

“Creative Fatal1ty 1010 Mouse”=“c:\program files\Creative\Fatal1ty 1010 Mouse\CTPoint.exe” [2006-01-04 221184]

“OutpostMonitor”=“c:\progra~1\Agnitum\OUTPOS~1\op_mon.exe” [2008-07-16 954712]

“OutpostFeedBack”=“c:\program files\Agnitum\Outpost Security Suite Pro\feedback.exe” [2008-08-05 435544]

“Ai Nap”=“c:\program files\ASUS\AI Suite\AiNap\AiNap.exe” [2007-12-10 1412608]

“CPU Power Monitor”=“c:\program files\ASUS\AI Suite\AiGear3\CpuPowerMonitor.exe” [2007-10-16 626176]

“Cpu Level Up help”=“c:\program files\ASUS\AI Suite\CpuLevelUpHelp.exe” [2007-11-30 881152]

“Lycosa”=“c:\program files\Razer\Lycosa\razerhid.exe” [2008-05-21 155648]

“NvCplDaemon”=“c:\windows\system32\NvCpl.dll” [2008-11-12 13672448]

“NvMediaCenter”=“c:\windows\system32\NvMcTray.dll” [2008-11-12 86016]

“cFosSpeed”=“c:\program files\cFosSpeed\cFosSpeed.exe” [2008-07-18 867544]

“CTHelper”=“CTHELPER.EXE” [2006-05-24 c:\windows\CTHELPER.EXE]

“CTxfiHlp”=“CTXFIHLP.EXE” [2006-05-24 c:\windows\system32\CTXFIHLP.EXE]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

“CTFMON.EXE”=“c:\windows\system32\CTFMON.EXE” [2008-04-14 15360]

c:\documents and settings\Administrator\Menu Start\Programy\Autostart\

Stickies.lnk - c:\program files\Stickies\stickies.exe [2008-01-16 757760]

SysInfoMyWork.exe [2004-09-30 233472]

c:\documents and settings\All Users.WINDOWS\Menu Start\Programy\Autostart\

SysInfoMyWork.exe [2004-09-30 233472]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

“{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}”= “c:\program files\SUPERAntiSpyware\SASSEH.DLL” [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify!SASWinLogon]

2008-12-13 23:53 352256 c:\program files\SUPERAntiSpyware\SASWINLO.DLL

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

“vidc.xvid”= xvid.dll

“msacm.divxa32”= msaud32_divx.acm

“VIDC.XFR1”= xfcodec.dll

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]

“BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}”=“c:\program files\Common Files\Nero\Lib\NMBgMonitor.exe”

“H/PC Connection Agent”=“c:\program files\Microsoft ActiveSync\wcescomm.exe”

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

“NBKeyScan”=“c:\program files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe”

“NeroFilterCheck”=c:\program files\Common Files\Nero\Lib\NeroCheck.exe

“SunJavaUpdateSched”=“c:\program files\Java\jre1.6.0_06\bin\jusched.exe”

“Rapget”=d:\aplikacje\Rapget\rapget\rapget.exe

“nwiz”=nwiz.exe /install

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

“UpdatesDisableNotify”=dword:00000001

[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

“EnableFirewall”= 0 (0x0)

[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

“%windir%\system32\sessmgr.exe”=

“c:\WINDOWS\System32\PnkBstrA.exe”=

“c:\WINDOWS\System32\PnkBstrB.exe”=

“%windir%\Network Diagnostic\xpnetdiag.exe”=

“d:\Gry CD\Call of Duty 4\iw3mp.exe”=

“c:\program files\Microsoft ActiveSync\rapimgr.exe”= c:\program files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager

“c:\program files\Microsoft ActiveSync\wcescomm.exe”= c:\program files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager

“c:\program files\Microsoft ActiveSync\WCESMgr.exe”= c:\program files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application

“c:\Program Files\Skype\Phone\Skype.exe”=

[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

“26675:TCP”= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R1 SandBox;SandBox;c:\windows\system32\DRIVERS\SandBox.sys [2008-09-03 673920]

R1 SASDIFSV;SASDIFSV;??\c:\program files\SUPERAntiSpyware\SASDIFSV.SYS [2008-08-19 8944]

R1 SASKUTIL;SASKUTIL;??\c:\program files\SUPERAntiSpyware\SASKUTIL.sys [2008-08-19 55024]

R2 acssrv;Agnitum Client Security Service;c:\progra~1\Agnitum\OUTPOS~1\acs.exe [2008-09-03 1570136]

R3 afw;Agnitum firewall driver;c:\windows\system32\DRIVERS\afw.sys [2008-09-03 30864]

R3 afwcore;afwcore;c:\windows\system32\drivers\afwcore.sys [2008-09-03 234640]

R3 ASWFilt;ASWFilt;c:\windows\system32\Filt\ASWFilt.dll [2008-09-03 33408]

R3 AtcL001;NDIS Miniport Driver for Attansic L1 Gigabit Ethernet Controller;c:\windows\system32\DRIVERS\atl01_xp.sys [2002-01-06 38656]

R3 CtUsbMs;Creative HID USB Filter Driver;c:\windows\system32\DRIVERS\CtUsbMs.Sys [2008-03-05 14720]

R3 LycoFltr;Lycosa Keyboard;c:\windows\system32\Drivers\Lycosa.sys [2008-11-10 16896]

R3 VBEngNT;VBEngNT;c:\windows\system32\DRIVERS\VBEngNT.sys [2008-09-03 1072722]

R3 VBFilt;VBFilt;c:\windows\system32\Filt\VBFilt.dll [2008-09-03 158816]

S3 SASENUM;SASENUM;??\c:\program files\SUPERAntiSpyware\SASENUM.SYS [2008-08-19 7408]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs

UxTuneUp

.

Zawartość folderu ‘Zaplanowane zadania’

2008-12-12 c:\windows\Tasks\1-Click Maintenance.job

  • c:\program files\TuneUp Utilities 2007\SystemOptimizer.exe [2006-12-19 16:53]

.

.

------- Skan uzupełniający -------

.

uStart Page = hxxp://www.interia.pl/

uInternet Connection Wizard,ShellNext = hxxp://www.steampowered.com/nvidia

IE: Eksport do programu Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

IE: Subskrybuj w RssSpeed

LSP: c:\windows\system32\imon.dll

.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-12-15 16:31:10

Windows 5.1.2600 Dodatek Service Pack 3 FAT NTAPI

skanowanie ukrytych procesów …

skanowanie ukrytych wpisów autostartu …

skanowanie ukrytych plików …

skanowanie pomyślnie ukończone

ukryte pliki: 0

**************************************************************************

.

--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------

              • ‘winlogon.exe’(1152)

c:\program files\SUPERAntiSpyware\SASWINLO.dll

              • ‘lsass.exe’(1208)

c:\windows\system32\imon.dll

.

------------------------ Pozostałe uruchomione procesy ------------------------

.

c:\program files\AGNITUM\OUTPOST SECURITY SUITE PRO\ACS.EXE

c:\program files\CFOSSPEED\SPD.EXE

c:\windows\SYSTEM32\CTSVCCDA.EXE

c:\program files\NERO\NERO8\NERO BACKITUP\NBSERVICE.EXE

c:\program files\AGNITUM\OUTPOST SECURITY SUITE PRO\OP_MON.EXE

c:\windows\SYSTEM32\NVSVC32.EXE

c:\windows\SYSTEM32\PNKBSTRA.EXE

c:\windows\SYSTEM32\RUNDLL32.EXE

c:\windows\SYSTEM32\CTXFISPI.EXE

c:\windows\SYSTEM32\PNKBSTRB.EXE

c:\documents and settings\ALL USERS.WINDOWS\MENU START\PROGRAMY\AUTOSTART\SYSINFOMYWORK.EXE

c:\program files\CYBERLINK\SHARED FILES\RICHVIDEO.EXE

c:\program files\MICROSOFT ACTIVESYNC\RAPIMGR.EXE

.

**************************************************************************

.

Czas ukończenia: 2008-12-15 16:33:01 - komputer został uruchomiony ponownie

ComboFix-quarantined-files.txt 2008-12-15 15:33:00

Przed: 9,114,664,960 bajtów wolnych

Po: 9,050,505,216 bajtów wolnych

230 — E O F — 2008-11-13 12:16:50

Wylecz pendriva lub kartę pamięci http://www.softpedia.com/get/Security/S … Tool.shtml

Flash Disinfector http://www.searchengines.pl/index.php?s … ntry369724

lub format

Otwórz notatnik i wklej

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri … iemoes.gif

Powinno rozpocząć się usuwanie

Potem log z usuwania Combofix

Zastosuj Malwarebytes’ Anti-Malware http://cybertrash.pl/Tata/MBAM/Malwarebytes_%20Anti-Malware.html pełny skan - jak coś znajdzie to usuń zaznaczone - pokaż log

:slight_smile:

darek , proszę zapoznaj się z tą stroną oraz tym tematem, a następnie popraw tytuł tematu, używając przycisku ac7a4cd89050aa6e.gif

Po drugie, kolor czerwony jest zastrzeżony dla administracji - zmień to.

Po trzecie - obejmij logi tagami Quote lub Code.

W przypadku zignorowania prośby temat poleci do śmietnika.

Witam.

Zgodnie z zaleceniami przeskanowałem oba posiadane pendrivy programami:

PRV oraz Flash Disinfector.

Notatnik + ComboFix - wykonane.

Przeskanowany PC programem Malwarebytes’ Anti-Malware i usunięte 4 infekcje.

Czy można wyrzucić kwarantannę Qoobox?

Poniżej przedstawiam oba logi

ComboFix

ComboFix 08-12-14.05 - Administrator 2008-12-16 15:10:31.2 - [color=red][b]FAT32[/b][/color]x86

Microsoft Windows XP Professional 5.1.2600.3.1250.1.1045.18.2047.1642 [GMT 1:00]

Uruchomiony z: c:\documents and settings\Administrator\Pulpit\ComboFix.exe

Użyto następujących komend :: c:\documents and settings\Administrator\Pulpit\CFScript.txt

 * Utworzono nowy punkt przywracania


[COLOR=RED][B]UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA [/B][/COLOR]


FILE ::

C:\autorun.inf.vir

c:\windows\system32\drivers\msqpdxserv.sys

c:\windows\system32\drivers\msqpdxserv.sys.vir

.


((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))

.


c:\program files\AskBarDis

c:\program files\AskBarDis\bar\bin\askBar.dll

c:\program files\AskBarDis\bar\bin\askPopStp.dll

c:\program files\AskBarDis\bar\bin\psvince.dll

c:\program files\AskBarDis\bar\Cache\[u]0[/u]01B03B5.bin

c:\program files\AskBarDis\bar\Cache\[u]0[/u]01B06F2.bin

c:\program files\AskBarDis\bar\Cache\[u]0[/u]1A7336A

c:\program files\AskBarDis\bar\Cache\[u]0[/u]1A7383D

c:\program files\AskBarDis\bar\Cache\[u]0[/u]1A73B88.bin

c:\program files\AskBarDis\bar\Cache\[u]0[/u]1A73DEA.bin

c:\program files\AskBarDis\bar\Cache\[u]0[/u]1A73FDE.bin

c:\program files\AskBarDis\bar\Cache\files.ini

c:\program files\AskBarDis\bar\History\search

c:\program files\AskBarDis\bar\Settings\config.dat

c:\program files\AskBarDis\bar\Settings\config.dat.bak

c:\program files\AskBarDis\bar\Settings\prevcfg.htm

c:\program files\AskBarDis\unins000.dat

c:\program files\AskBarDis\unins000.exe

C:\resycled

c:\resycled\boot.com

c:\windows\system32\drivers\msqpdxserv.sys

c:\windows\system32\drivers\msqpdxserv.sys.vir

D:\resycled

d:\resycled\boot.com

O:\resycled

o:\resycled\boot.com


.

((((((((((((((((((((((((( Pliki utworzone od 2008-11-16 do 2008-12-16 )))))))))))))))))))))))))))))))

.


2021-01-15 16:40 . 2021-01-15 16:40	




Malwarebytes

[code]Malwarebytes’ Anti-Malware 1.31 Wersja bazy definicji: 1506 Windows 5.1.2600 Dodatek Service Pack 3 2008-12-16 16:00:11 mbam-log-2008-12-16 (15-59-49).txt Typ skanowania: Pełne skanowanie (C:|D:|O:|) Przeskanowane obiekty: 139076 Upłynęło: 32 minute(s), 46 second(s) Zainfekowane procesy w pamięci: 0 Zainfekowane moduły pamięci: 0 Zainfekowane klucze rejestru: 0 Zainfekowane wartości rejestru: 0 Zainfekowane pliki rejestru: 0 Zainfekowane foldery: 0 Zainfekowane pliki: 4 Zainfekowane procesy w pamięci: (Nie wykryto groźnych plików) Zainfekowane moduły pamięci: (Nie wykryto groźnych plików) Zainfekowane klucze rejestru: (Nie wykryto groźnych plików) Zainfekowane wartości rejestru: (Nie wykryto groźnych plików) Zainfekowane pliki rejestru: (Nie wykryto groźnych plików) Zainfekowane foldery: (Nie wykryto groźnych plików) Zainfekowane pliki: C:\Qoobox\Quarantine\C\WINDOWS\system32\msqpdxosvdbrsr.dll.vir (Trojan.Agent) -> No action taken. C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\msqpdxmqltoiqh.sys.vir (Rootkit.Agent) -> No action taken. C:\System Volume Information_restore{DCC308E8-14AF-4D37-AD36-C901DF03DA7A}\RP273\A0073713.sys (Rootkit.Agent) -> No action taken. C:\System Volume Information_restore{DCC308E8-14AF-4D37-AD36-C901DF03DA7A}\RP273\A0073714.dll (Trojan.Agent) -> No action taken.

Jeszcze jedna sprawa.

Pod koniec skanowania ComboFix wyświetlił komunikat:

FINDSTR- nie można otworzyć temp 01 - czy to się zdarza?

Dzięki za zainteresowanie i pomoc.

Pozdrawiam

Pobierz i uruchom narzędzie The Avenger Zaznaczasz tekst podany do usunięcia na forum

kopiuj >> klikasz na Paste Script from Clipboard >> Execute >> Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

Pobierz CCleaner http://www.filehippo.com/download_ccleaner/

przeskanuj nim i wyczyść rejestr.

zrób optymalizacje uruchamiania

http://cybertrash.netarteria.pl/cyber/i … 378.0.html

usuń ręcznie folder C: \Qoobox usuń instalkę Combofix z dysku.

Wyłącz I włącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

przeskanuj obszar Mój komputer http://www.kaspersky.pl/virusscanner.html gdy będą wirusy pokaż raport

:slight_smile:

Witam.

Zrobiłem co było zalecane.

Log z Avengera

Logfile of The Avenger Version 2.0, (c) by Swandog46

http://swandog46.geekstogo.com


Platform: Windows XP


*******************


Script file opened successfully.

Script file read successfully.


Backups directory opened successfully at C:\Avenger


*******************


Beginning to process script file:


Rootkit scan active.

No rootkits found!


File "c:\windows\imsins.BAK" deleted successfully.

Folder "C:\FOUND.000" deleted successfully.


Completed script processing.


*******************


Finished! Terminate.

Kaspersky online nic nie wykrył.

Na dyskach i pendrivach pojawiły się foldery autorun.inf ale z tego co czytałem to są pliki chroniące dyski stworzone przez Flash Disinfector więc OK.

Na jednym z pendrivów był jeszcze folder resycled \ boot.com (nie recycled) ale zrobiłem format i znikł.

Potem znowu Flashem aby pojawił się folder chroniący autorun.inf

Nie wiem co to za folder resycled\boot.com i do czego służy i czy znowu się nie pojawi podczas wgrywania na pendriva ale na innych dyskach w PC go nie ma.

Ciekawe,że oba wymienione foldery są jako ukryte w PC a na stacjonarnym odtwarzaczu DVD z USB je widać.

Powinno już być OK.

Serdecznie dziękuję za pomoc i życzę wszystkiego dobrego w czasie Świąt.

Pozdrawiam.