Witam!

Dzisiaj z internetem chciał połączyć się dziwny plik/program o nazwie XBo232WB.exe. Zablokowałem go, następnie skopiowałem plik na pulpit i przeskanowałem go na virustotal.com. Okazało się, że to trojan, coś typu agent/downloader. Podczas kopiowania podejrzany wydał mi się również plik o naziwe xD2VF3M0.exe, jak przypuszczałem też był zainfekowany.

Kompa przeskanowałem Spybotem, nic nie wykrył poza paroma ciasteczkami.

Log z Hijackthis’a:

http://wklej.org/id/bddd38ea47

Log z Combofix’a

http://www.wklej.org/id/e93f0e6c8d

Po przeskanowaniu Combofix’em wywaliłem instalke i folder Qoobox.

Proszę o sprawdzenie logów i jakieś rady.

Pozdrawiam!

Pobierz Combofix ale nie uruchamiaj wklej do notatnika:

Zapisz plik jako CFScript.txt najlepiej aby ikonka tego pliku znajdowała się obok ikonki ComboFix.exe

Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe powinno rozpocząć się usuwanie po tym daj log na forum.

Usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.

Zrobione, oto log:

http://wklej.org/id/b0ad07822f

Log wygląda na czysty

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar Mój komputer Kaspersky Online Scanner Uruchom pod IE daj raport na forum

lub Dr.WEB CureIt!

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\WINDOWS\Tasks\At1.job

C:\WINDOWS\Tasks\At10.job

C:\WINDOWS\Tasks\At11.job

C:\WINDOWS\Tasks\At12.job

C:\WINDOWS\Tasks\At13.job

C:\WINDOWS\Tasks\At14.job

C:\WINDOWS\Tasks\At15.job

C:\WINDOWS\Tasks\At16.job

C:\WINDOWS\Tasks\At17.job

C:\WINDOWS\Tasks\At18.job

C:\WINDOWS\Tasks\At19.job

C:\WINDOWS\Tasks\At2.job

C:\WINDOWS\Tasks\At20.job

C:\WINDOWS\Tasks\At21.job

C:\WINDOWS\Tasks\At22.job

C:\WINDOWS\Tasks\At23.job

C:\WINDOWS\Tasks\At24.job

C:\WINDOWS\Tasks\At25.job

C:\WINDOWS\Tasks\At26.job

C:\WINDOWS\Tasks\At27.job

C:\WINDOWS\Tasks\At28.job

C:\WINDOWS\Tasks\At29.job

C:\WINDOWS\Tasks\At3.job

C:\WINDOWS\Tasks\At30.job

C:\WINDOWS\Tasks\At31.job

C:\WINDOWS\Tasks\At32.job

C:\WINDOWS\Tasks\At33.job

C:\WINDOWS\Tasks\At34.job

C:\WINDOWS\Tasks\At35.job

C:\WINDOWS\Tasks\At36.job

C:\WINDOWS\Tasks\At37.job

C:\WINDOWS\Tasks\At38.job

C:\WINDOWS\Tasks\At39.job

C:\WINDOWS\Tasks\At4.job

C:\WINDOWS\Tasks\At40.job

C:\WINDOWS\Tasks\At41.job

C:\WINDOWS\Tasks\At42.job

C:\WINDOWS\Tasks\At43.job

C:\WINDOWS\Tasks\At44.job

C:\WINDOWS\Tasks\At45.job

C:\WINDOWS\Tasks\At46.job

C:\WINDOWS\Tasks\At47.job

C:\WINDOWS\Tasks\At48.job

C:\WINDOWS\Tasks\At5.job

C:\WINDOWS\Tasks\At6.job

C:\WINDOWS\Tasks\At7.job

C:\WINDOWS\Tasks\At8.job

C:\WINDOWS\Tasks\At9.job

C:\WINDOWS\system32\xD2VF3M0.exe

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

Rozpocznie się usuwanie i powstanie log, który dasz na forum.

Logi dajesz na http://wklejto.pl a w poście dajesz tylko link

http://wklejto.pl/5562

Log wyglada na czysty

usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.

Przeczyść komputer Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum

lub

Dr.WEB CureIt!

Jeszcze takie pytanie, czy na stronie www.kaspersky.com jest inny skaner online niż na pl, czy mi się tylko wydaje? Inna wersja czy to te same i tylko wyglądem się różną?

Mają te samą bazę wirusów i różnią się wyglądem, no i wersja onnline ma mniej fukcjonalności niż zwykła

Ok, przeskanowane.

Raport:

http://ziem.ovh.org/raport.html

Wydaje się być czysty.

Jeszcze takie pytanie: w msconfig->uruchamiane samoistnie dodało się: NTUSER, ntuser.dat, ntuser czy to normalne?

Dla pewności czym można by jeszcze przeskanować kompa?

Dr. WEB CureIt nie chce się ściągnąć, wyskakuje:

Połączenie z serwerem zostało zresetowane podczas wczytywania strony.

Przeskanuj komputer programem ArcaMicroscan

Przeskanowane, raport:

Po przeglądnięciu logów z Comodo Firewall’a chyba już wiem jak się zainfekowałem. Tak jak jest tutaj napisane: http://www.infoprof.pl/wirusy.php?jmp=Downloader.Swif.C - w Tempie miałem plik o nazwie orz.exe i to chyba on spowodował całe zamieszanie.

Więc sprawę, można chyba uznać za zakończoną.

Dziękuję za pomoc.

Pozdrawiam!