Komputer miał kontakt z zainfekowanym penem


(Agahome1) #1

witam, mój służbowy komputer miał kontakt z zainfekowanym penedrivem, od jakiego czasu chodzi powoli itd

Prosze o sprawdzeni co sie dzieje:

http://www.wklejto.pl/6787

Agnieszka


(Kambor4) #2

Daj log z -----> ComboFix

P.S

Te w/w wpisy sfiksuj w Hijacku:

>>Hijack>>scan(Do a system scan only)>>zaznacz je >> Fix checked


(Spandau) #3

Usuń te wpisy w HJT

Uruchom HijackThis - Do a system scan only - w oknie programu pokaże się log - zaznacz kratki przy podanych wpisach - klikasz Fix checked

Pobierz Combofix ale nie uruchamiaj wklej do notatnika:

Zapisz plik jako CFScript.txt najlepiej aby ikonka tego pliku znajdowała się obok ikonki ComboFix.exe

Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe powinno rozpocząć się usuwanie po tym daj log na forum.

Usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.


(Agahome1) #4

tych dwóch ostatnich wpisów w Hijjack nie widze :confused: no nie ma ich po prostu (cos dziwnego)

a logo po czyszczeniu mam dać z Combo czy z Hijacka?


(Spandau) #5

Jeśli najpierw uruchomiony był Combofix to w HJT wpisów może już nie być więc się nie przejmuj, daj log z usuwania Combofix

:slight_smile:


(Agahome1) #6

to jest log z Combo:

ComboFix 08-07-27.5 - EFS_2 2008-07-28 12:46:21.1 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.275 [GMT 2:00]

Command switches used :: C:\Documents and Settings\EFS_2\Pulpit\CFScript.txt

* Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED!!

FILE ::

C:\WINDOWS\system32\ttftxivm.dll

C:\winhost.exe

.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\Recycled\Recycled

C:\WINDOWS\BM0b54b93d.txt

C:\WINDOWS\hosts

C:\WINDOWS\pskt.ini

C:\WINDOWS\system32\ttftxivm.dll

.

((((((((((((((((((((((((( Files Created from 2008-06-28 to 2008-07-28 )))))))))))))))))))))))))))))))

.

2008-07-28 10:58 . 2008-07-28 10:58

2008-07-24 12:31 . 2008-07-24 12:31 25,088 --a------ C:\WINDOWS\system32\qoMghecb.dll.vir

2008-07-24 12:30 . 2008-07-24 12:30

2008-07-24 12:30 . 2008-07-24 12:30

2008-07-24 12:30 . 2008-07-24 12:30

2008-07-24 12:30 . 2006-05-25 15:52 162,304 --a------ C:\WINDOWS\system32\ztvunrar36.dll

2008-07-24 12:30 . 2003-02-02 20:06 153,088 --a------ C:\WINDOWS\system32\UNRAR3.dll

2008-07-24 12:30 . 2005-08-26 01:50 77,312 --a------ C:\WINDOWS\system32\ztvunace26.dll

2008-07-24 12:30 . 2002-03-06 01:00 75,264 --a------ C:\WINDOWS\system32\unacev2.dll

2008-07-24 12:30 . 2006-06-19 13:01 69,632 --a------ C:\WINDOWS\system32\ztvcabinet.dll

2008-07-24 12:29 . 2008-07-24 12:29

2008-07-24 11:31 . 2008-07-28 10:53 110,419 --a------ C:\WINDOWS\BM0b54b93d.xml

2008-07-24 11:31 . 2008-07-24 11:31 80,384 --a------ C:\WINDOWS\system32\dxtoavkp.dll.vir

2008-07-04 10:11 . 2008-07-04 10:11 81,920 --a------ C:\WINDOWS\system32\csopeybl.dll.vir

2008-07-03 11:35 . 2008-07-03 11:35 319,488 --a------ C:\WINDOWS\system32\opnmLeEV.dll.vir

2008-07-02 11:20 . 2008-07-24 12:40

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-07-28 09:09 --------- d-----w C:\Program Files\Spyware Terminator

2008-07-28 09:09 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Spyware Terminator

2008-07-24 12:07 --------- d-----w C:\Program Files\DAEMON Tools

2008-07-24 12:05 --------- d--h--w C:\Program Files\InstallShield Installation Information

2008-07-24 12:05 --------- d-----w C:\Program Files\Samsung

2008-07-24 12:05 --------- d-----w C:\Documents and Settings\EFS_2\Dane aplikacji\Samsung

2008-07-24 12:04 --------- d-----w C:\Program Files\AviSynth 2.5

2008-07-24 11:30 --------- d-----w C:\Documents and Settings\EFS\Dane aplikacji\AVI ReComp

2008-07-24 10:28 --------- d-----w C:\Program Files\Java

2008-07-24 09:59 --------- d-----w C:\Program Files\Total Video Converter

2008-07-24 09:58 --------- d-----w C:\Program Files\DivX

2008-07-04 23:32 --------- d-----w C:\Documents and Settings\EFS\Dane aplikacji\uTorrent

2008-07-02 09:13 --------- d-----w C:\Program Files\DVDPean Pro 5.6.0

2008-06-24 23:06 33,549 ----a-w C:\Documents and Settings\EFS\folder.exe

2008-06-24 23:01 33,549 ----a-w C:\folder.exe

2008-06-20 11:10 17,055 ----a-w C:\blok.exe

2008-06-20 11:10 16,751 ----a-w C:\WINDOWS\system32\drivers\hosts

2008-06-19 08:58 --------- d-----w C:\Program Files\Gabest

2008-06-14 18:01 273,024 ------w C:\WINDOWS\system32\drivers\bthport.sys

2008-06-11 10:43 --------- d-----w C:\Program Files\Xvid

2008-05-07 05:16 1,291,264 ----a-w C:\WINDOWS\system32\quartz.dll

2007-01-30 10:39 24,192 ----a-w C:\Documents and Settings\EFS_2\usbsermptxp.sys

2007-01-30 10:39 22,768 ----a-w C:\Documents and Settings\EFS_2\usbsermpt.sys

2004-11-05 11:49 712,704 ----a-r C:\WINDOWS\inf\OTHER\AUDIO3D.DLL

2006-06-02 11:40 848 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries legit default entries are not shown

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]

"ccleaner"="C:\Program Files\CCleaner\ccleaner.exe" [2008-06-25 15:58 1209584]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2003-11-18 01:24 155648]

"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2003-11-18 01:11 118784]

"RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [2003-10-31 19:42 32768]

"WinampAgent"="C:\Program Files\Winamp\winampa.exe" [2007-05-15 00:22 35328]

"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 04:27 144784]

"SpywareTerminator"="C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe" [2008-03-14 12:32 2731008]

"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]

"ClamWin"="C:\Program Files\ClamWin\bin\ClamTray.exe" [2008-06-14 14:13 77824]

"TrojanScanner"="C:\Program Files\Trojan Remover\Trjscan.exe" [2008-07-22 14:13 909392]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"msacm.l3acm"= l3codecp.acm

"vidc.XVID"= xvid.dll

"vidc.DIV3"= DivXc32.dll

"vidc.DIV4"= DivXc32f.dll

"msacm.divxa32"= divxa32.acm

"msacm.avis"= ff_acm.acm

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"UpdatesDisableNotify"=dword:00000001

"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\system32\sessmgr.exe"=

"C:\Program Files\Gadu-Gadu\gg.exe"=

"C:\Program Files\IncrediMail\bin\IMApp.exe"=

"C:\Program Files\IncrediMail\bin\IncMail.exe"=

"C:\Program Files\IncrediMail\bin\ImpCnt.exe"=

"C:\Documents and Settings\EFS\Pulpit\F\utorrent.exe"=

R1 sp_rsdrv2;Spyware Terminator Driver 2;C:\WINDOWS\system32\drivers\sp_rsdrv2.sys [2008-03-14 12:33]

S2 ArcaVirMonitor;ArcaVir Antivirus Monitor Service;C:\Program Files\ArcaBit\ArcaVir\AvMon.exe []

S3 arcaen;ArcaVir Monitor Kernel Engine Driver;C:\Program Files\ArcaBit\ArcaVir\arcaen.sys []

S3 arcaev;ArcaVir Monitor Kernel Events Driver;C:\Program Files\ArcaBit\ArcaVir\arcaev.sys []

S3 arcafd;ArcaVir Monitor Kernel Filter Driver;C:\Program Files\ArcaBit\ArcaVir\arcafd.sys []

S3 ss_bus;SAMSUNG Mobile USB Device 1.0 driver (WDM);C:\WINDOWS\system32\DRIVERS\ss_bus.sys [2005-08-30 18:57]

S3 ss_mdfl;SAMSUNG Mobile USB Modem 1.0 Filter;C:\WINDOWS\system32\DRIVERS\ss_mdfl.sys [2005-08-30 18:58]

S3 ss_mdm;SAMSUNG Mobile USB Modem 1.0 Drivers;C:\WINDOWS\system32\DRIVERS\ss_mdm.sys [2005-08-30 18:59]

*Newly Created Service* - PROCEXP90

.

  • ORPHANS REMOVED - - - -

HKLM-Run-BM0b54b93d - C:\WINDOWS\system32\ttftxivm.dll

HKLM-Run-Cmaudio - cmicnfg.cpl

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-07-28 12:53:00

Windows 5.1.2600 Dodatek Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully

hidden files: 0

**************************************************************************

.

Completion time: 2008-07-28 12:55:02

ComboFix-quarantined-files.txt 2008-07-28 10:54:56

Pre-Run: 51,479,609,344 bajtów wolnych

Post-Run: 52,976,394,240 bajtów wolnych

129 --- E O F --- 2008-06-20 11:08:09


(Kambor4) #7

Wklej do Notatnika :

File::

C:\WINDOWS\system32\qoMghecb.dll.vir

C:\WINDOWS\BM0b54b93d.xml

C:\WINDOWS\system32\dxtoavkp.dll.vir

C:\WINDOWS\system32\csopeybl.dll.vir

C:\WINDOWS\system32\opnmLeEV.dll.vir

C:\folder.exe

C:\blok.exe

>>Plik>>Zapisz jako... >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

-->CFScript3.gif

Ma się rozpocząć usuwanie. (i powstanie log). Daj ten log, który powstanie w trakcie usuwania.

Jeśli pójdzie dobrze, to: Po restarcie usuń ręcznie folder C:**** Qoobox.


(Spandau) #8

Pobierz Combofix ale nie uruchamiaj wklej do notatnika:

Zapisz plik jako CFScript.txt najlepiej aby ikonka tego pliku znajdowała się obok ikonki ComboFix.exe

Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe powinno rozpocząć się usuwanie po tym daj log na forum.

Usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.


(Agahome1) #9

witam, sorry ale musiałam wczoraj wyjść pilnie służbowo ;>

to log z Combo (ale nie wiem czy on cos usunął)

http://wklejto.pl/6853


(huber2t) #10

Log wyglada na czysty

usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.

Przeczyść komputer Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum

lub

Dr.WEB CureIt!


(Agahome1) #11

dzięki, mam jeszcze pytanie czy jeśli na tym kompie jest drugie konto użytkownia, które miało przez jakiś czas status administratora, to czy musze dac nowy log , czy to czyszczenie co teraz zrobiłam dotyczy całego komputera?


(huber2t) #12

Czyszczenie dot. całego komputera więc spokojnie


(Agahome1) #13

dzieki, pozdrowienia :slight_smile: