witam, mój służbowy komputer miał kontakt z zainfekowanym penedrivem, od jakiego czasu chodzi powoli itd
Prosze o sprawdzeni co sie dzieje:
Agnieszka
witam, mój służbowy komputer miał kontakt z zainfekowanym penedrivem, od jakiego czasu chodzi powoli itd
Prosze o sprawdzeni co sie dzieje:
Agnieszka
Daj log z -----> ComboFix
P.S
Te w/w wpisy sfiksuj w Hijacku:
>>Hijack>>scan(Do a system scan only)>>zaznacz je >> Fix checked
Usuń te wpisy w HJT
Uruchom HijackThis - Do a system scan only - w oknie programu pokaże się log - zaznacz kratki przy podanych wpisach - klikasz Fix checked
Pobierz Combofix ale nie uruchamiaj wklej do notatnika:
Zapisz plik jako CFScript.txt najlepiej aby ikonka tego pliku znajdowała się obok ikonki ComboFix.exe
Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe powinno rozpocząć się usuwanie po tym daj log na forum.
Usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.
tych dwóch ostatnich wpisów w Hijjack nie widze no nie ma ich po prostu (cos dziwnego)
a logo po czyszczeniu mam dać z Combo czy z Hijacka?
Jeśli najpierw uruchomiony był Combofix to w HJT wpisów może już nie być więc się nie przejmuj, daj log z usuwania Combofix
to jest log z Combo:
ComboFix 08-07-27.5 - EFS_2 2008-07-28 12:46:21.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.275 [GMT 2:00]
Command switches used :: C:\Documents and Settings\EFS_2\Pulpit\CFScript.txt
* Created a new restore point
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED
FILE ::
C:\WINDOWS\system32\ttftxivm.dll
C:\winhost.exe
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Recycled\Recycled
C:\WINDOWS\BM0b54b93d.txt
C:\WINDOWS\hosts
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\ttftxivm.dll
.
((((((((((((((((((((((((( Files Created from 2008-06-28 to 2008-07-28 )))))))))))))))))))))))))))))))
.
2008-07-28 10:58 . 2008-07-28 10:58
2008-07-24 12:31 . 2008-07-24 12:31 25,088 --a------ C:\WINDOWS\system32\qoMghecb.dll.vir
2008-07-24 12:30 . 2008-07-24 12:30
2008-07-24 12:30 . 2008-07-24 12:30
2008-07-24 12:30 . 2008-07-24 12:30
2008-07-24 12:30 . 2006-05-25 15:52 162,304 --a------ C:\WINDOWS\system32\ztvunrar36.dll
2008-07-24 12:30 . 2003-02-02 20:06 153,088 --a------ C:\WINDOWS\system32\UNRAR3.dll
2008-07-24 12:30 . 2005-08-26 01:50 77,312 --a------ C:\WINDOWS\system32\ztvunace26.dll
2008-07-24 12:30 . 2002-03-06 01:00 75,264 --a------ C:\WINDOWS\system32\unacev2.dll
2008-07-24 12:30 . 2006-06-19 13:01 69,632 --a------ C:\WINDOWS\system32\ztvcabinet.dll
2008-07-24 12:29 . 2008-07-24 12:29
2008-07-24 11:31 . 2008-07-28 10:53 110,419 --a------ C:\WINDOWS\BM0b54b93d.xml
2008-07-24 11:31 . 2008-07-24 11:31 80,384 --a------ C:\WINDOWS\system32\dxtoavkp.dll.vir
2008-07-04 10:11 . 2008-07-04 10:11 81,920 --a------ C:\WINDOWS\system32\csopeybl.dll.vir
2008-07-03 11:35 . 2008-07-03 11:35 319,488 --a------ C:\WINDOWS\system32\opnmLeEV.dll.vir
2008-07-02 11:20 . 2008-07-24 12:40
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-28 09:09 --------- d-----w C:\Program Files\Spyware Terminator
2008-07-28 09:09 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Spyware Terminator
2008-07-24 12:07 --------- d-----w C:\Program Files\DAEMON Tools
2008-07-24 12:05 --------- d–h--w C:\Program Files\InstallShield Installation Information
2008-07-24 12:05 --------- d-----w C:\Program Files\Samsung
2008-07-24 12:05 --------- d-----w C:\Documents and Settings\EFS_2\Dane aplikacji\Samsung
2008-07-24 12:04 --------- d-----w C:\Program Files\AviSynth 2.5
2008-07-24 11:30 --------- d-----w C:\Documents and Settings\EFS\Dane aplikacji\AVI ReComp
2008-07-24 10:28 --------- d-----w C:\Program Files\Java
2008-07-24 09:59 --------- d-----w C:\Program Files\Total Video Converter
2008-07-24 09:58 --------- d-----w C:\Program Files\DivX
2008-07-04 23:32 --------- d-----w C:\Documents and Settings\EFS\Dane aplikacji\uTorrent
2008-07-02 09:13 --------- d-----w C:\Program Files\DVDPean Pro 5.6.0
2008-06-24 23:06 33,549 ----a-w C:\Documents and Settings\EFS\folder.exe
2008-06-24 23:01 33,549 ----a-w C:\folder.exe
2008-06-20 11:10 17,055 ----a-w C:\blok.exe
2008-06-20 11:10 16,751 ----a-w C:\WINDOWS\system32\drivers\hosts
2008-06-19 08:58 --------- d-----w C:\Program Files\Gabest
2008-06-14 18:01 273,024 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-06-11 10:43 --------- d-----w C:\Program Files\Xvid
2008-05-07 05:16 1,291,264 ----a-w C:\WINDOWS\system32\quartz.dll
2007-01-30 10:39 24,192 ----a-w C:\Documents and Settings\EFS_2\usbsermptxp.sys
2007-01-30 10:39 22,768 ----a-w C:\Documents and Settings\EFS_2\usbsermpt.sys
2004-11-05 11:49 712,704 ----a-r C:\WINDOWS\inf\OTHER\AUDIO3D.DLL
2006-06-02 11:40 848 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries legit default entries are not shown
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“CTFMON.EXE”=“C:\WINDOWS\system32\ctfmon.exe” [2004-08-04 14:00 15360]
“ccleaner”=“C:\Program Files\CCleaner\ccleaner.exe” [2008-06-25 15:58 1209584]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“IgfxTray”=“C:\WINDOWS\system32\igfxtray.exe” [2003-11-18 01:24 155648]
“HotKeysCmds”=“C:\WINDOWS\system32\hkcmd.exe” [2003-11-18 01:11 118784]
“RemoteControl”=“C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe” [2003-10-31 19:42 32768]
“WinampAgent”=“C:\Program Files\Winamp\winampa.exe” [2007-05-15 00:22 35328]
“SunJavaUpdateSched”=“C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe” [2008-06-10 04:27 144784]
“SpywareTerminator”=“C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe” [2008-03-14 12:32 2731008]
“Adobe Reader Speed Launcher”=“C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe” [2008-01-11 23:16 39792]
“ClamWin”=“C:\Program Files\ClamWin\bin\ClamTray.exe” [2008-06-14 14:13 77824]
“TrojanScanner”=“C:\Program Files\Trojan Remover\Trjscan.exe” [2008-07-22 14:13 909392]
[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
“CTFMON.EXE”=“C:\WINDOWS\system32\CTFMON.EXE” [2004-08-04 14:00 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
“msacm.l3acm”= l3codecp.acm
“vidc.XVID”= xvid.dll
“vidc.DIV3”= DivXc32.dll
“vidc.DIV4”= DivXc32f.dll
“msacm.divxa32”= divxa32.acm
“msacm.avis”= ff_acm.acm
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
“UpdatesDisableNotify”=dword:00000001
“AntiVirusOverride”=dword:00000001
[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
“%windir%\system32\sessmgr.exe”=
“C:\Program Files\Gadu-Gadu\gg.exe”=
“C:\Program Files\IncrediMail\bin\IMApp.exe”=
“C:\Program Files\IncrediMail\bin\IncMail.exe”=
“C:\Program Files\IncrediMail\bin\ImpCnt.exe”=
“C:\Documents and Settings\EFS\Pulpit\F\utorrent.exe”=
R1 sp_rsdrv2;Spyware Terminator Driver 2;C:\WINDOWS\system32\drivers\sp_rsdrv2.sys [2008-03-14 12:33]
S2 ArcaVirMonitor;ArcaVir Antivirus Monitor Service;C:\Program Files\ArcaBit\ArcaVir\AvMon.exe []
S3 arcaen;ArcaVir Monitor Kernel Engine Driver;C:\Program Files\ArcaBit\ArcaVir\arcaen.sys []
S3 arcaev;ArcaVir Monitor Kernel Events Driver;C:\Program Files\ArcaBit\ArcaVir\arcaev.sys []
S3 arcafd;ArcaVir Monitor Kernel Filter Driver;C:\Program Files\ArcaBit\ArcaVir\arcafd.sys []
S3 ss_bus;SAMSUNG Mobile USB Device 1.0 driver (WDM);C:\WINDOWS\system32\DRIVERS\ss_bus.sys [2005-08-30 18:57]
S3 ss_mdfl;SAMSUNG Mobile USB Modem 1.0 Filter;C:\WINDOWS\system32\DRIVERS\ss_mdfl.sys [2005-08-30 18:58]
S3 ss_mdm;SAMSUNG Mobile USB Modem 1.0 Drivers;C:\WINDOWS\system32\DRIVERS\ss_mdm.sys [2005-08-30 18:59]
*Newly Created Service* - PROCEXP90
.
HKLM-Run-BM0b54b93d - C:\WINDOWS\system32\ttftxivm.dll
HKLM-Run-Cmaudio - cmicnfg.cpl
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-28 12:53:00
Windows 5.1.2600 Dodatek Service Pack 2 NTFS
scanning hidden processes …
scanning hidden autostart entries …
scanning hidden files …
scan completed successfully
hidden files: 0
**************************************************************************
.
Completion time: 2008-07-28 12:55:02
ComboFix-quarantined-files.txt 2008-07-28 10:54:56
Pre-Run: 51,479,609,344 bajtów wolnych
Post-Run: 52,976,394,240 bajtów wolnych
129 — E O F — 2008-06-20 11:08:09
Wklej do Notatnika :
File::
C:\WINDOWS\system32\qoMghecb.dll.vir
C:\WINDOWS\BM0b54b93d.xml
C:\WINDOWS\system32\dxtoavkp.dll.vir
C:\WINDOWS\system32\csopeybl.dll.vir
C:\WINDOWS\system32\opnmLeEV.dll.vir
C:\folder.exe
C:\blok.exe
>>Plik>>Zapisz jako… >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
Ma się rozpocząć usuwanie. (i powstanie log). Daj ten log, który powstanie w trakcie usuwania.
Jeśli pójdzie dobrze, to: Po restarcie usuń ręcznie folder C:** Qoobox.**
Pobierz Combofix ale nie uruchamiaj wklej do notatnika:
Zapisz plik jako CFScript.txt najlepiej aby ikonka tego pliku znajdowała się obok ikonki ComboFix.exe
Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe powinno rozpocząć się usuwanie po tym daj log na forum.
Usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.
witam, sorry ale musiałam wczoraj wyjść pilnie służbowo ;>
to log z Combo (ale nie wiem czy on cos usunął)
Log wyglada na czysty
usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.
Przeczyść komputer Ccleanerem
Wykonaj optymalizację autostartu
Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja
Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum
lub
dzięki, mam jeszcze pytanie czy jeśli na tym kompie jest drugie konto użytkownia, które miało przez jakiś czas status administratora, to czy musze dac nowy log , czy to czyszczenie co teraz zrobiłam dotyczy całego komputera?
Czyszczenie dot. całego komputera więc spokojnie
dzieki, pozdrowienia