Prosze o analizę loga z ComboFix


(Okram) #1

Mam coś na kompie

mam zainstalowanego norton 360 i norton anti bot

skanowałem komp kasperkym online i nod 32

a oto log z ComboFix

http://www.wklej.org/id/29885/

jesli można to proszę o pomoc

widzę że combofix coś skasował ale czy to wszystko czy coś jeszcze muszę zrobic albo zwrócić na coś uwagę

kasperky wykrył takiego trojana:

Win32.Qhost.kng

ale był on w kwarantanie po Symantec_Endpoint Protection który wcześniej miałem zainstalowany


(huber2t) #2

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

c:\windows\Tasks\1-Click Maintenance.job


Registry::

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati0glxx.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati1qwxx.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati3lqxx.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati3rwxx.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati3yfxx.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati4agxx.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati4ekxx.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati4lrxx.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati6bhxx.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati6syxx.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati7qvxx.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati8agxx.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati8ouxx.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]


Driver::

ati0glxx

ati1qwxx

ati3lqxx

ati3rwxx

ati3yfxx

ati4agxx

ati4ekxx

ati4lrxx

ati6bhxx

ati6syxx

ati7qvxx

ati8agxx

ati8ouxx

Plik -> zapisz jako -> CFScript.txt.

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->

cfscript10uc2.gif

Rozpocznie się usuwanie i powstanie log, który dasz na forum.

Logi dajesz na http://wklej.eu lub na http://wklej.org a w poście dajesz tylko link


(Okram) #3

http://wklej.org/id/29942/

oto log po usuwaniu według instrukcji

program combofix podczas ponownego uruchamiania zasygnalizował że nie może uruchomić catchme.exe

oraz przy tworzeniu raportu wywalił komunikat

FINDSTR: Nie można otworzyć temp01

prosze o kolejną podpowiedz jeśli nadal jest coś nie tak ))


(huber2t) #4

W logu nic nie widzę

usuń ręcznie folder C:\Qoobox , usuń instalkę Combofix z dysku.

Przeczyść system Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar całego komputera http://www.kaspersky.pl/virusscanner.html Daj raport z niego na forum

lub

Dr.WEB CureIt!


(Okram) #5

usuń ręcznie folder C:\Qoobox , usuń instalkę Combofix z dysku.

zrobione

Przeczyść system Ccleanerem

program po odpaleniu nie jest widoczny tak wiec nic nie moge nim zrobic

przeczyściłem kompa odkurzaczem oraz nortona 360

Wykonaj optymalizację autostartu

no z tym było gorzej większość sie udała

jeśli chodzi o te dwie linijki z HijackThis

to nie znalazłem takich

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

zrobione

Przeskanuj obszar całego komputera

Daj raport z niego na forum

zrobione i tym i nod32 i mksvirem

kasperky znalazł tylko to

Zainfekowany: not-a-virus:RiskTool.Win32.CloseApp.a

jeden plik

usunąłem ręcznie

reszta czysto ))))

WIELKIE DZIĘKI ZA POMOC I WESOŁYCH ŚWIĄT