Log z ComboFix : http://wklejto.pl/13772
W logu nic nie widzę
Wyglądałoby więc,że te wszystkie starania odniosły porządany skutek ?
W : C:\Qoobox\Quarantine\C\WINDOWS\system32 - pozostały dwa pliki : spakowany “cmuti.dll.zip” ( i tu przebywa sobie ów Win32:Rootkit-gen[Rtk], a od którego to zacząła się ta cała “zabawa” ) oraz drugi plik o nazwie “cmuti.dll.vir” - czy można je ręcznie usunąć z komputera ?
Próbuje też zlokalizowac miejsce do którego przeniósł / usunął zarażone i podejrzane pliki program Dr Web Curelt (coś nie mogę znaleźć…ale już jest , pod adresem : C:\Documents and Settings\Neo\DoctorWeb\Quarantine - czy to też? będzie można skasować z komputera ?
Tak usuń folder C:\Qoobox oraz opróżnij kwarantanne DrWeb
Usunąłem więc to dziadostwo z komputera
Po restarcie , włączyłem ponownie pełne skanowanie Dr Web-a . Trochę to potrwa , a później zapodam info.
Ok czekamy na wynik, lecz skoro pliki jak były w Quarantine to nie było powoodu do zmartwień
Oto raport z Dr Weba-a :
A0005300.bat;C:\System Volume Information_restore{4F3A8D12-12F4-4F43-84F5-92892FB17414}\RP23;Prawdopodobnie BATCH.Virus;;
A0005378.bat;C:\System Volume Information_restore{4F3A8D12-12F4-4F43-84F5-92892FB17414}\RP24;Prawdopodobnie BATCH.Virus;;
A0005462.exe\32788R22FWJFW\C.bat;C:\System Volume Information_restore{4F3A8D12-12F4-4F43-84F5-92892FB17414}\RP24\A0005462.exe;Prawdopodobnie BATCH.Virus;;
A0005462.exe\32788R22FWJFW\psexec.cfexe;C:\System Volume Information_restore{4F3A8D12-12F4-4F43-84F5-92892FB17414}\RP24\A0005462.exe;Program.PsExec.171;;
A0005462.exe;C:\System Volume Information_restore{4F3A8D12-12F4-4F43-84F5-92892FB17414}\RP24;Archiwum zawierające zainfekowane obiekty;Przeniesiony.;
A0005463.bat;C:\System Volume Information_restore{4F3A8D12-12F4-4F43-84F5-92892FB17414}\RP24;Prawdopodobnie BATCH.Virus;;
A0005464.EXE;C:\System Volume Information_restore{4F3A8D12-12F4-4F43-84F5-92892FB17414}\RP24;Program.PsExec.170;;
A0005465.bat;C:\System Volume Information_restore{4F3A8D12-12F4-4F43-84F5-92892FB17414}\RP24;Prawdopodobnie BATCH.Virus;;
A0005466.EXE;C:\System Volume Information_restore{4F3A8D12-12F4-4F43-84F5-92892FB17414}\RP24;Program.PsExec.170;;
A0005467.bat;C:\System Volume Information_restore{4F3A8D12-12F4-4F43-84F5-92892FB17414}\RP24;Prawdopodobnie BATCH.Virus;;
A0005468.EXE;C:\System Volume Information_restore{4F3A8D12-12F4-4F43-84F5-92892FB17414}\RP24;Program.PsExec.170;;
A0005469.exe\32788R22FWJFW\C.bat;C:\System Volume Information_restore{4F3A8D12-12F4-4F43-84F5-92892FB17414}\RP24\A0005469.exe;Prawdopodobnie BATCH.Virus;;
A0005469.exe\32788R22FWJFW\psexec.cfexe;C:\System Volume Information_restore{4F3A8D12-12F4-4F43-84F5-92892FB17414}\RP24\A0005469.exe;Program.PsExec.171;;
A0005469.exe;C:\System Volume Information_restore{4F3A8D12-12F4-4F43-84F5-92892FB17414}\RP24;Archiwum zawierające zainfekowane obiekty;Przeniesiony.;
ComboFix.exe\32788R22FWJFW\C.bat;E:\DOWNLOAD\ComboFix\ComboFix.exe;Prawdopodobnie BATCH.Virus;;
ComboFix.exe\32788R22FWJFW\psexec.cfexe;E:\DOWNLOAD\ComboFix\ComboFix.exe;Program.PsExec.171;;
ComboFix.exe;E:\DOWNLOAD\ComboFix;Archiwum zawierające zainfekowane obiekty;Przeniesiony.;
A0005366.exe\32788R22FWJFW\C.bat;E:\System Volume Information_restore{4F3A8D12-12F4-4F43-84F5-92892FB17414}\RP23\A0005366.exe;Prawdopodobnie BATCH.Virus;;
A0005366.exe\32788R22FWJFW\psexec.cfexe;E:\System Volume Information_restore{4F3A8D12-12F4-4F43-84F5-92892FB17414}\RP23\A0005366.exe;Program.PsExec.171;;
A0005366.exe;E:\System Volume Information_restore{4F3A8D12-12F4-4F43-84F5-92892FB17414}\RP23;Archiwum zawierające zainfekowane obiekty;Przeniesiony.;
A0005505.exe\32788R22FWJFW\C.bat;E:\System Volume Information_restore{4F3A8D12-12F4-4F43-84F5-92892FB17414}\RP24\A0005505.exe;Prawdopodobnie BATCH.Virus;;
A0005505.exe\32788R22FWJFW\psexec.cfexe;E:\System Volume Information_restore{4F3A8D12-12F4-4F43-84F5-92892FB17414}\RP24\A0005505.exe;Program.PsExec.171;;
A0005505.exe;E:\System Volume Information_restore{4F3A8D12-12F4-4F43-84F5-92892FB17414}\RP24;Archiwum zawierające zainfekowane obiekty;Przeniesiony.;
Czy ,aby to usunąć już na stałe , muszę wyłączyć funkcję przywracania systemu i po kolei kasować konkretne ścieżki ?
Prawoklik na Mój Komputer>>>>Właściwości>>Przywracanie systemu>> wyłącz przywracanie systemu na wszystkich dyskach.
Nie mogłem wejść do System Volume Infirmation - jednak po skorzystaniu z biuletynu http://support.microsoft.com/kb/309531/pl i nadaniu sobie samemu dodatkowych uprawnień (System Windows XP Professional korzystający z systemu plików NTFS w grupie roboczej lub na komputerze autonomicznym) już na spokojnie wywaliłem wszystko co tam było .
Po ponownym włączeniu przywracania systemu i restarcie Dr Web skanuje w tej chwili cały system raz jeszcze i mam nadzieję,że już nic złego nie znajdzie.
Oczywiście dam później info.
Ok czekam
Czysto
Dr Webb nic nie znalazł.
Wygląda więc na to ,że to już koniec…
Serdecznie dziękuję wszystkim , ktorzy udzielali mi pomocnych wskazówek.
Co my byśmy bez Was zrobili