Komputer miał kontakt z zainfekowanym penem

witam, mój służbowy komputer miał kontakt z zainfekowanym penedrivem, od jakiego czasu chodzi powoli itd

Prosze o sprawdzeni co sie dzieje:

http://www.wklejto.pl/6787

Agnieszka

Daj log z -----> ComboFix

P.S

Te w/w wpisy sfiksuj w Hijacku:

>>Hijack>>scan(Do a system scan only)>>zaznacz je >> Fix checked

Usuń te wpisy w HJT

Uruchom HijackThis - Do a system scan only - w oknie programu pokaże się log - zaznacz kratki przy podanych wpisach - klikasz Fix checked

Pobierz Combofix ale nie uruchamiaj wklej do notatnika:

Zapisz plik jako CFScript.txt najlepiej aby ikonka tego pliku znajdowała się obok ikonki ComboFix.exe

Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe powinno rozpocząć się usuwanie po tym daj log na forum.

Usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.

tych dwóch ostatnich wpisów w Hijjack nie widze :confused: no nie ma ich po prostu (cos dziwnego)

a logo po czyszczeniu mam dać z Combo czy z Hijacka?

Jeśli najpierw uruchomiony był Combofix to w HJT wpisów może już nie być więc się nie przejmuj, daj log z usuwania Combofix

:slight_smile:

to jest log z Combo:

ComboFix 08-07-27.5 - EFS_2 2008-07-28 12:46:21.1 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.275 [GMT 2:00]

Command switches used :: C:\Documents and Settings\EFS_2\Pulpit\CFScript.txt

* Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED!!

FILE ::

C:\WINDOWS\system32\ttftxivm.dll

C:\winhost.exe

.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\Recycled\Recycled

C:\WINDOWS\BM0b54b93d.txt

C:\WINDOWS\hosts

C:\WINDOWS\pskt.ini

C:\WINDOWS\system32\ttftxivm.dll

.

((((((((((((((((((((((((( Files Created from 2008-06-28 to 2008-07-28 )))))))))))))))))))))))))))))))

.

2008-07-28 10:58 . 2008-07-28 10:58

2008-07-24 12:31 . 2008-07-24 12:31 25,088 --a------ C:\WINDOWS\system32\qoMghecb.dll.vir

2008-07-24 12:30 . 2008-07-24 12:30

2008-07-24 12:30 . 2008-07-24 12:30

2008-07-24 12:30 . 2008-07-24 12:30

2008-07-24 12:30 . 2006-05-25 15:52 162,304 --a------ C:\WINDOWS\system32\ztvunrar36.dll

2008-07-24 12:30 . 2003-02-02 20:06 153,088 --a------ C:\WINDOWS\system32\UNRAR3.dll

2008-07-24 12:30 . 2005-08-26 01:50 77,312 --a------ C:\WINDOWS\system32\ztvunace26.dll

2008-07-24 12:30 . 2002-03-06 01:00 75,264 --a------ C:\WINDOWS\system32\unacev2.dll

2008-07-24 12:30 . 2006-06-19 13:01 69,632 --a------ C:\WINDOWS\system32\ztvcabinet.dll

2008-07-24 12:29 . 2008-07-24 12:29

2008-07-24 11:31 . 2008-07-28 10:53 110,419 --a------ C:\WINDOWS\BM0b54b93d.xml

2008-07-24 11:31 . 2008-07-24 11:31 80,384 --a------ C:\WINDOWS\system32\dxtoavkp.dll.vir

2008-07-04 10:11 . 2008-07-04 10:11 81,920 --a------ C:\WINDOWS\system32\csopeybl.dll.vir

2008-07-03 11:35 . 2008-07-03 11:35 319,488 --a------ C:\WINDOWS\system32\opnmLeEV.dll.vir

2008-07-02 11:20 . 2008-07-24 12:40

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-07-28 09:09 --------- d-----w C:\Program Files\Spyware Terminator

2008-07-28 09:09 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Spyware Terminator

2008-07-24 12:07 --------- d-----w C:\Program Files\DAEMON Tools

2008-07-24 12:05 --------- d–h--w C:\Program Files\InstallShield Installation Information

2008-07-24 12:05 --------- d-----w C:\Program Files\Samsung

2008-07-24 12:05 --------- d-----w C:\Documents and Settings\EFS_2\Dane aplikacji\Samsung

2008-07-24 12:04 --------- d-----w C:\Program Files\AviSynth 2.5

2008-07-24 11:30 --------- d-----w C:\Documents and Settings\EFS\Dane aplikacji\AVI ReComp

2008-07-24 10:28 --------- d-----w C:\Program Files\Java

2008-07-24 09:59 --------- d-----w C:\Program Files\Total Video Converter

2008-07-24 09:58 --------- d-----w C:\Program Files\DivX

2008-07-04 23:32 --------- d-----w C:\Documents and Settings\EFS\Dane aplikacji\uTorrent

2008-07-02 09:13 --------- d-----w C:\Program Files\DVDPean Pro 5.6.0

2008-06-24 23:06 33,549 ----a-w C:\Documents and Settings\EFS\folder.exe

2008-06-24 23:01 33,549 ----a-w C:\folder.exe

2008-06-20 11:10 17,055 ----a-w C:\blok.exe

2008-06-20 11:10 16,751 ----a-w C:\WINDOWS\system32\drivers\hosts

2008-06-19 08:58 --------- d-----w C:\Program Files\Gabest

2008-06-14 18:01 273,024 ------w C:\WINDOWS\system32\drivers\bthport.sys

2008-06-11 10:43 --------- d-----w C:\Program Files\Xvid

2008-05-07 05:16 1,291,264 ----a-w C:\WINDOWS\system32\quartz.dll

2007-01-30 10:39 24,192 ----a-w C:\Documents and Settings\EFS_2\usbsermptxp.sys

2007-01-30 10:39 22,768 ----a-w C:\Documents and Settings\EFS_2\usbsermpt.sys

2004-11-05 11:49 712,704 ----a-r C:\WINDOWS\inf\OTHER\AUDIO3D.DLL

2006-06-02 11:40 848 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries legit default entries are not shown

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“CTFMON.EXE”=“C:\WINDOWS\system32\ctfmon.exe” [2004-08-04 14:00 15360]

“ccleaner”=“C:\Program Files\CCleaner\ccleaner.exe” [2008-06-25 15:58 1209584]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“IgfxTray”=“C:\WINDOWS\system32\igfxtray.exe” [2003-11-18 01:24 155648]

“HotKeysCmds”=“C:\WINDOWS\system32\hkcmd.exe” [2003-11-18 01:11 118784]

“RemoteControl”=“C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe” [2003-10-31 19:42 32768]

“WinampAgent”=“C:\Program Files\Winamp\winampa.exe” [2007-05-15 00:22 35328]

“SunJavaUpdateSched”=“C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe” [2008-06-10 04:27 144784]

“SpywareTerminator”=“C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe” [2008-03-14 12:32 2731008]

“Adobe Reader Speed Launcher”=“C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe” [2008-01-11 23:16 39792]

“ClamWin”=“C:\Program Files\ClamWin\bin\ClamTray.exe” [2008-06-14 14:13 77824]

“TrojanScanner”=“C:\Program Files\Trojan Remover\Trjscan.exe” [2008-07-22 14:13 909392]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

“CTFMON.EXE”=“C:\WINDOWS\system32\CTFMON.EXE” [2004-08-04 14:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

“msacm.l3acm”= l3codecp.acm

“vidc.XVID”= xvid.dll

“vidc.DIV3”= DivXc32.dll

“vidc.DIV4”= DivXc32f.dll

“msacm.divxa32”= divxa32.acm

“msacm.avis”= ff_acm.acm

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

“UpdatesDisableNotify”=dword:00000001

“AntiVirusOverride”=dword:00000001

[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

“%windir%\system32\sessmgr.exe”=

“C:\Program Files\Gadu-Gadu\gg.exe”=

“C:\Program Files\IncrediMail\bin\IMApp.exe”=

“C:\Program Files\IncrediMail\bin\IncMail.exe”=

“C:\Program Files\IncrediMail\bin\ImpCnt.exe”=

“C:\Documents and Settings\EFS\Pulpit\F\utorrent.exe”=

R1 sp_rsdrv2;Spyware Terminator Driver 2;C:\WINDOWS\system32\drivers\sp_rsdrv2.sys [2008-03-14 12:33]

S2 ArcaVirMonitor;ArcaVir Antivirus Monitor Service;C:\Program Files\ArcaBit\ArcaVir\AvMon.exe []

S3 arcaen;ArcaVir Monitor Kernel Engine Driver;C:\Program Files\ArcaBit\ArcaVir\arcaen.sys []

S3 arcaev;ArcaVir Monitor Kernel Events Driver;C:\Program Files\ArcaBit\ArcaVir\arcaev.sys []

S3 arcafd;ArcaVir Monitor Kernel Filter Driver;C:\Program Files\ArcaBit\ArcaVir\arcafd.sys []

S3 ss_bus;SAMSUNG Mobile USB Device 1.0 driver (WDM);C:\WINDOWS\system32\DRIVERS\ss_bus.sys [2005-08-30 18:57]

S3 ss_mdfl;SAMSUNG Mobile USB Modem 1.0 Filter;C:\WINDOWS\system32\DRIVERS\ss_mdfl.sys [2005-08-30 18:58]

S3 ss_mdm;SAMSUNG Mobile USB Modem 1.0 Drivers;C:\WINDOWS\system32\DRIVERS\ss_mdm.sys [2005-08-30 18:59]

*Newly Created Service* - PROCEXP90

.

        • ORPHANS REMOVED - - - -

HKLM-Run-BM0b54b93d - C:\WINDOWS\system32\ttftxivm.dll

HKLM-Run-Cmaudio - cmicnfg.cpl

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-07-28 12:53:00

Windows 5.1.2600 Dodatek Service Pack 2 NTFS

scanning hidden processes …

scanning hidden autostart entries …

scanning hidden files …

scan completed successfully

hidden files: 0

**************************************************************************

.

Completion time: 2008-07-28 12:55:02

ComboFix-quarantined-files.txt 2008-07-28 10:54:56

Pre-Run: 51,479,609,344 bajtów wolnych

Post-Run: 52,976,394,240 bajtów wolnych

129 — E O F — 2008-06-20 11:08:09

Wklej do Notatnika :

File::

C:\WINDOWS\system32\qoMghecb.dll.vir

C:\WINDOWS\BM0b54b93d.xml

C:\WINDOWS\system32\dxtoavkp.dll.vir

C:\WINDOWS\system32\csopeybl.dll.vir

C:\WINDOWS\system32\opnmLeEV.dll.vir

C:\folder.exe

C:\blok.exe

>>Plik>>Zapisz jako… >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

–>CFScript3.gif

Ma się rozpocząć usuwanie. (i powstanie log). Daj ten log, który powstanie w trakcie usuwania.

Jeśli pójdzie dobrze, to: Po restarcie usuń ręcznie folder C:** Qoobox.**

Pobierz Combofix ale nie uruchamiaj wklej do notatnika:

Zapisz plik jako CFScript.txt najlepiej aby ikonka tego pliku znajdowała się obok ikonki ComboFix.exe

Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe powinno rozpocząć się usuwanie po tym daj log na forum.

Usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.

witam, sorry ale musiałam wczoraj wyjść pilnie służbowo ;>

to log z Combo (ale nie wiem czy on cos usunął)

http://wklejto.pl/6853

Log wyglada na czysty

usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.

Przeczyść komputer Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum

lub

Dr.WEB CureIt!

dzięki, mam jeszcze pytanie czy jeśli na tym kompie jest drugie konto użytkownia, które miało przez jakiś czas status administratora, to czy musze dac nowy log , czy to czyszczenie co teraz zrobiłam dotyczy całego komputera?

Czyszczenie dot. całego komputera więc spokojnie

dzieki, pozdrowienia :slight_smile: