Komputer po wielu infekcjach

Szawa · 21 Sierpień 2007 21:18

Witam.

Proszę o analizę logów z HJT i COMBO FIX - nie mogę usunąć infekcji Vario.Antivirus. Geeneranie komputer jest po wstępnym czyszczeniu ale Spybot i XsoftSpy ciągle coś wykrywają i nie można tego usunąc.

Linki do logów poniżej

http://wklej.org/id/1f0f9c00c2

http://wklej.org/id/2177e377d6

Serdeczne dzięki za każdą pomoc.

Gutek · 21 Sierpień 2007 22:24

co dokładnie, w logu nic nie widać

Szawa · 22 Sierpień 2007 00:58

Spybot wyrzuca komunikat o infekcji Vario.Antivirus w katalogu

C:\UGA6P przy probie usuniecia wyrzuca komunikat ze nie mozna go usunac i proponuje restart z opcja uruchomienia Spybota przed startem systemu. Po skanowniu podaje ten sam komunikat i tak na okraglo.

W/w katalog widac tylko w logu Combofix natomiast nie idzie go usunac - probowalem killboxem.

Nie pamietam o jakie wpisy z XsoftSpy ale chodzilo mu o jakis toolbar. Napisze dokladniej po poludniu nie mam teraz dostepu do tego kompa - jestem w pracy a to jest komputer kolegi - oj bylo tego tam troche min Smitfraud, Zlob itp

Komp byl skanowany w trybie awaryjnym przez SmitFraudFix, Combofix, adaware2007, Spybot, SUPERAntiSpyware, HJT, Xsoft Spy.

jessica · 22 Sierpień 2007 07:14

No rzeczywiście masz tzw. “rogue/fake” programy, które są podróbkami udającymi programy ochronne, a w rzeczywistści zajmującymi się szkodzeniem komputerowi.

Ciekawa jest tutaj ich mieszanka, bo:

" AntivirusPCSuite" - ten zły program zazwyczaj lokuje się w Program Files, a u Ciebie jest inaczej
" UGA6P" należy do złego “Trustedprotection”, ale jego wcale u Ciebie nie widać
“install_en[1}.exe” należy do złego “Trustedprotection”, ale jego wcale u Ciebie nie widać
" FMTR.sys" należy do złego “BestsellerAntivirus”, ale jego wcale u Ciebie nie widać.

Tak więc w sumie sytuacja jest zagmatwana.

Ale na wszelki wypadek użyj RogueRemover

Daj potem log z ComboFixa - zobaczymy, czy ten RigueRemover coś usunął spośród wyżej wymienionych.

jessi

Gutek · 22 Sierpień 2007 13:17

ja juz głupieję, Combofix usuwa lekko ten C:\UGA6P - http://forum.dobreprogramy.pl/viewtopic.php?t=171490 czy http://forum.dobreprogramy.pl/viewtopic.php?t=176663

Szawa · 22 Sierpień 2007 17:33

OK. Komp przeskanowany zgodnie z zaleceniami ponizej linki.

Log Rouge: http://www.wklej.org/id/b011ee5b3d

Nowy log Combo fix: http://www.wklej.org/id/cbd060abad

Sprobuje go przeskanować jeszcze gmerem i za chwile wkleje log.

Ogólnie sytuacja wygląda tak że na dysku pokazuje mi się folder C:\QooBox pomimo ze już 3 razy go usuwałem killboxem a Folder C:\UGA6P jest na wszystkich partycjach dysku.

Złączono Posta : 22.08.2007 (Sro) 19:45

Jeżeli to pomoże to daję jeszcze inki do logów pozostałych programów którymi komp był skanowany:

SUPERAntiSpyware 2 Logi w jednym pliku http://www.wklej.org/id/49f574331a

AdAware2007 http://www.wklej.org/id/d8c0cc7099

Dodatkowo Spybot S&D znalazł i usunął: Bearshare, Zlob.VideoActiveXAccess, MagicAntiSpy, SpyCrush, VirusProtectPro, Zlob.VideoActiveObject. Pozostał Vario.AntiVirus.

Gutek · 22 Sierpień 2007 18:42

Nie mogę otworzyć stron co sa logi

Szawa · 22 Sierpień 2007 19:04

Oki wkleje je jeszcze raz

Log Rouge: http://wklej.org/id/d31d9cded9

Nowy log Combo fix: http://wklej.org/id/cfa57972e7

Gmer sesja normal: http://wklej.org/id/811d4735ca

Inne logi

SUPERAntiSpyware 2 Logi w jednym pliku: http://wklej.org/id/714c490fd4

AAW2007: http://wklej.org/id/417dd142bf

Mam nadzieje ze teraz sie uda i nie skończy się to formatem po walce do końca .

Wielkie dzięki za wasz czas

Gutek · 22 Sierpień 2007 20:04

Wyłącz i włącz przywracanie systemu.

Pobierz The Avenger. Wypakuj => uruchom => zaznacz opcję Input script manually => kliknij w taką lupkę => w okienku, które się otworzy wklej:

kliknij klawisz Done => teraz kliknij na zielone światełko => powinna pojawić się pewna informacja i kliknij OK (teraz restart).

Szawa · 22 Sierpień 2007 20:17

Zrobione log z Avengera tutaj:

http://wklej.org/id/21b475a791

ale C:\UGA6P nie wykasowal

Gutek · 22 Sierpień 2007 20:23

Daj nowy log z Combo

Szawa · 22 Sierpień 2007 21:11

UGA6P - siedział na wszystkich dyskach. Po Avanger w trybie awaryjnym ubiłem gada killbox’em, ae musiałem wywalać go po kolei zaczynając od ostatniej partycji i przez kolejne podkatalogi do katalogu głównego.

Daję nowy log z Combofix i spadam do pracy:

http://wklej.org/id/9121424998

Pozdrowienia da całej załogi forum

Złączono Posta : 22.08.2007 (Sro) 23:16

Ale to wraca jak bumerang

C:\QooBox\Quarantine\Registry_backups

Nie wiem co to jest ale wywaleniu killboxerm po restarcie kompa pojawia się na nowo

Gutek · 22 Sierpień 2007 22:12

C:\QooBox usuń folder

jessica · 22 Sierpień 2007 22:22

Piszesz, że to wraca jak bumerang, ale ja w logu ComboFixa nie widzę już tych “złych” komponentów.

Jeśli zaś chodzi o C:\Qoobox , to jest to Kwarantanna ComboFixa. Ten folder Kwarantanny powstaje samoczynnie po każdym użyciu ComboFixa. Do usuwania go nie ma potrzeby używania Killboxa, bo ten folder Qoobox można łatwo usunąć ręcznie. I nie powinien sie pojawić powtórnie, dopóki nie użyjesz znów ComboFixa.

jessi

Szawa · 22 Sierpień 2007 22:38

No dobra tylko jak??? :?

Próbowalem normalnie spod windowsa, próbowalem Killboxa i efekt zawsze taki sam - folder znika a po restarcie kompa wraca w takiej postaci C:\QooBox\Quarantine\Registry_backups. Nie mam juz jakos pomyslów na to. A jak popoludniu zobacze UGA6P to sie chyba pochlastam z radosci

Wracajac jeszcze do tematu XoftSpy to wykrywa mi Imesh toolbar - ale mu za bardzo nie wierze bo juz przerabialem z nim infekcje której nie bylo.

P.S.

DO WSZYSTKICH CZYTAJACYCH TEN TEMAT - TAK SIE KONCZA PRZYGODY NA ‘‘RADOSNYCH’’ STRONACH XXX. KILKA GODZIN WESOLEJ ROZRYWKI A POTEM WALKA Z KOMPEM PRZEZ XXX DNI.

jessica · 22 Sierpień 2007 22:50

No po prostu nie wierzę, że to samo z siebie wraca.

Do tej pory nikt nie miał kłopotów z usuwaniem tej Kwarantanny. Sprawdziłam też u siebie - bez problemów.

>>prawoklik na ikonce “Qoobox”>>usuń. I po restarcie nie ma tego.

A może Ty u siebie sam modyfikowałeś kiedyś system?

jessi

Szawa · 22 Sierpień 2007 23:40

Jessi dzieki za info teraz ja mam pelna jasnosc. Po prostu na koncu zawsze skanowalem kompa Combofixem i to zrobilo takie wrazenie ze on ciagle wraca - sprawdze to jeszcze wieczorkiem.

Co do systemu to nie mam pojecia w jakim jest stanie bo to nie mój komputer.

Mam jeszcze jedno pytanie w Dodaj usun programy jest cos takiego jak Bearshare toolbar i nie mozna tego wywalic przyciskiem usun. Wczesniej Spybot wykryl Bearshare i niby usunal ale cosik z tego chyba tam jeszcze jest - zostawic jak jest i nie przejmowac sie czy jeszcze cos z tym kompem robic?

jessica · 23 Sierpień 2007 08:32

Jeśli chcesz usunąć “bearshare”, to:

Wklej do Notatnika :

Folder::

C:\Program Files\BearShare Applications

C:\Documents and Settings\Komputer\Dane Aplikacji\BearShare

>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie,

jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

(czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku -->http://i12.tinypic.com/4l761r5.gif

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie.

Po restarcie usuń ręcznie folder C: ** Qoobox**.

jessi

Szawa · 23 Sierpień 2007 18:15

Combo go nie usunął więc zrobiłem to ręcznie wywalając klucze rejestru i kasując foldery. Komputer wygląda ok :-D. Wielkie dzięki dla Jessi i Gutka za poświęcony czas.

Utworzone tu konto Szawa przekazuje właścicielowi wyleczonego komputera - może mu się w przyszłości bardzo przydać.

Pozdrawiam i życzę wielu sukcesów na tym nieustającym polu walki