Komputer po wielu infekcjach


(Karolina Antczak) #1

Witam.

Proszę o analizę logów z HJT i COMBO FIX - nie mogę usunąć infekcji Vario.Antivirus. Geeneranie komputer jest po wstępnym czyszczeniu ale Spybot i XsoftSpy ciągle coś wykrywają i nie można tego usunąc.

Linki do logów poniżej

http://wklej.org/id/1f0f9c00c2

http://wklej.org/id/2177e377d6

Serdeczne dzięki za każdą pomoc.


(Gutek) #2

co dokładnie, w logu nic nie widać


(Karolina Antczak) #3

Spybot wyrzuca komunikat o infekcji Vario.Antivirus w katalogu

C:\UGA6P przy probie usuniecia wyrzuca komunikat ze nie mozna go usunac i proponuje restart z opcja uruchomienia Spybota przed startem systemu. Po skanowniu podaje ten sam komunikat i tak na okraglo.

W/w katalog widac tylko w logu Combofix natomiast nie idzie go usunac - probowalem killboxem.

Nie pamietam o jakie wpisy z XsoftSpy ale chodzilo mu o jakis toolbar. Napisze dokladniej po poludniu nie mam teraz dostepu do tego kompa - jestem w pracy a to jest komputer kolegi - oj bylo tego tam troche min Smitfraud, Zlob itp :slight_smile:

Komp byl skanowany w trybie awaryjnym przez SmitFraudFix, Combofix, adaware2007, Spybot, SUPERAntiSpyware, HJT, Xsoft Spy.


(jessica) #4

No rzeczywiście masz tzw. "rogue/fake" programy, które są podróbkami udającymi programy ochronne, a w rzeczywistści zajmującymi się szkodzeniem komputerowi.

Ciekawa jest tutaj ich mieszanka, bo:

1) " AntivirusPCSuite" - ten zły program zazwyczaj lokuje się w Program Files, a u Ciebie jest inaczej

2) " UGA6P" należy do złego "Trustedprotection", ale jego wcale u Ciebie nie widać

3) "install_en[1}.exe" należy do złego "Trustedprotection", ale jego wcale u Ciebie nie widać

4) " FMTR.sys" należy do złego "BestsellerAntivirus", ale jego wcale u Ciebie nie widać.

Tak więc w sumie sytuacja jest zagmatwana.

Ale na wszelki wypadek użyj RogueRemover

Daj potem log z ComboFixa - zobaczymy, czy ten RigueRemover coś usunął spośród wyżej wymienionych.

jessi


(Gutek) #5

(Karolina Antczak) #6

OK. Komp przeskanowany zgodnie z zaleceniami ponizej linki.

Log Rouge: http://www.wklej.org/id/b011ee5b3d

Nowy log Combo fix: http://www.wklej.org/id/cbd060abad

Sprobuje go przeskanować jeszcze gmerem i za chwile wkleje log.

Ogólnie sytuacja wygląda tak że na dysku pokazuje mi się folder C:\QooBox pomimo ze już 3 razy go usuwałem killboxem a Folder C:\UGA6P jest na wszystkich partycjach dysku.

Złączono Posta : 22.08.2007 (Sro) 19:45

Jeżeli to pomoże to daję jeszcze inki do logów pozostałych programów którymi komp był skanowany:

SUPERAntiSpyware 2 Logi w jednym pliku http://www.wklej.org/id/49f574331a

AdAware2007 http://www.wklej.org/id/d8c0cc7099

Dodatkowo Spybot S&D znalazł i usunął: Bearshare, Zlob.VideoActiveXAccess, MagicAntiSpy, SpyCrush, VirusProtectPro, Zlob.VideoActiveObject. Pozostał Vario.AntiVirus.


(Gutek) #7

Nie mogę otworzyć stron co sa logi :frowning:


(Karolina Antczak) #8

Oki wkleje je jeszcze raz

Log Rouge: http://wklej.org/id/d31d9cded9

Nowy log Combo fix: http://wklej.org/id/cfa57972e7

Gmer sesja normal: http://wklej.org/id/811d4735ca

Inne logi

SUPERAntiSpyware 2 Logi w jednym pliku: http://wklej.org/id/714c490fd4

AAW2007: http://wklej.org/id/417dd142bf

Mam nadzieje ze teraz sie uda :slight_smile: :smiley: i nie skończy się to formatem po walce do końca :slight_smile: .

Wielkie dzięki za wasz czas :smiley:


(Gutek) #9

Wyłącz i włącz przywracanie systemu.

Pobierz The Avenger. Wypakuj => uruchom => zaznacz opcję Input script manually => kliknij w taką lupkę => w okienku, które się otworzy wklej:

kliknij klawisz Done => teraz kliknij na zielone światełko => powinna pojawić się pewna informacja i kliknij OK (teraz restart).


(Karolina Antczak) #10

Zrobione log z Avengera tutaj:

http://wklej.org/id/21b475a791

ale C:\UGA6P nie wykasowal :frowning:


(Gutek) #11

Daj nowy log z Combo


(Karolina Antczak) #12

UGA6P - siedział na wszystkich dyskach. Po Avanger w trybie awaryjnym ubiłem gada killbox'em, ae musiałem wywalać go po kolei zaczynając od ostatniej partycji i przez kolejne podkatalogi do katalogu głównego.

Daję nowy log z Combofix i spadam do pracy:

http://wklej.org/id/9121424998

Pozdrowienia da całej załogi forum :smiley:

Złączono Posta : 22.08.2007 (Sro) 23:16

Ale to wraca jak bumerang

C:\QooBox\Quarantine\Registry_backups

Nie wiem co to jest ale wywaleniu killboxerm po restarcie kompa pojawia się na nowo


(Gutek) #13

C:\QooBox usuń folder


(jessica) #14

Piszesz, że to wraca jak bumerang, ale ja w logu ComboFixa nie widzę już tych "złych" komponentów.

Jeśli zaś chodzi o C:\Qoobox , to jest to Kwarantanna ComboFixa. Ten folder Kwarantanny powstaje samoczynnie po każdym użyciu ComboFixa. Do usuwania go nie ma potrzeby używania Killboxa, bo ten folder Qoobox można łatwo usunąć ręcznie. I nie powinien sie pojawić powtórnie, dopóki nie użyjesz znów ComboFixa.

jessi


(Karolina Antczak) #15

No dobra tylko jak???? :?

Próbowalem normalnie spod windowsa, próbowalem Killboxa i efekt zawsze taki sam - folder znika a po restarcie kompa wraca w takiej postaci C:\QooBox\Quarantine\Registry_backups. :frowning: Nie mam juz jakos pomyslów na to. A jak popoludniu zobacze UGA6P to sie chyba pochlastam z radosci :slight_smile:

Wracajac jeszcze do tematu XoftSpy to wykrywa mi Imesh toolbar - ale mu za bardzo nie wierze bo juz przerabialem z nim infekcje której nie bylo.

P.S.

DO WSZYSTKICH CZYTAJACYCH TEN TEMAT - TAK SIE KONCZA PRZYGODY NA ''RADOSNYCH'' STRONACH XXX. KILKA GODZIN WESOLEJ ROZRYWKI A POTEM WALKA Z KOMPEM PRZEZ XXX DNI.


(jessica) #16

No po prostu nie wierzę, że to samo z siebie wraca.

Do tej pory nikt nie miał kłopotów z usuwaniem tej Kwarantanny. Sprawdziłam też u siebie - bez problemów.

>>prawoklik na ikonce "Qoobox">>usuń. I po restarcie nie ma tego.

A może Ty u siebie sam modyfikowałeś kiedyś system?

jessi


(Karolina Antczak) #17

Jessi dzieki za info teraz ja mam pelna jasnosc. Po prostu na koncu zawsze skanowalem kompa Combofixem i to zrobilo takie wrazenie ze on ciagle wraca - sprawdze to jeszcze wieczorkiem.

Co do systemu to nie mam pojecia w jakim jest stanie bo to nie mój komputer.

Mam jeszcze jedno pytanie w Dodaj usun programy jest cos takiego jak Bearshare toolbar i nie mozna tego wywalic przyciskiem usun. Wczesniej Spybot wykryl Bearshare i niby usunal ale cosik z tego chyba tam jeszcze jest - zostawic jak jest i nie przejmowac sie czy jeszcze cos z tym kompem robic?


(jessica) #18

Jeśli chcesz usunąć "bearshare", to:

Wklej do Notatnika :

Folder::

C:\Program Files\BearShare Applications

C:\Documents and Settings\Komputer\Dane Aplikacji\BearShare

>>Plik>>Zapisz jako... >>> CFScript (najwygodniej będzie,

jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

(czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku -->

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie.

Po restarcie usuń ręcznie folder C: **** Qoobox.

jessi


(Karolina Antczak) #19

Combo go nie usunął więc zrobiłem to ręcznie wywalając klucze rejestru i kasując foldery. Komputer wygląda ok :-D. Wielkie dzięki dla Jessi i Gutka za poświęcony czas.

Utworzone tu konto Szawa przekazuje właścicielowi wyleczonego komputera - może mu się w przyszłości bardzo przydać.

Pozdrawiam i życzę wielu sukcesów na tym nieustającym polu walki :slight_smile: