Poniżej zamieszczam logi:
logi z hijack:
logi z combofix:
Tak jak w temacie, wyskakuje mi reklama w internet explorer chociaż używam firefox. Na dysku z zainstalowanym windowsem utworzyły się jakieś dziwne pliki, które usunąłem. Poza tym wyskakuje mi błąd odnośnie .net Framework. Brdzo proszę o sprawdzenie logów i o radę czy można sobie z tym jakoś poradzić.
Masz infekcję typu masakra, czyli Vundo.
Wygląda na to, że zamienił on kilka plików systemowych swoimi zainfekowanymi plikami i tutaj chyba będzie potrzebna płytka z systemem oraz ponowne zainstalowanie kliku programów…
W takim przypadku jedynym sensownym sposobem pozostaje:
@dół
Pomyliły mi się nazwy. Przepraszam za wprowadzenie w pomyłkę. 
@ deFco247 - to nie JEEFO, tylko Trojan VUNDO.
Trzeba po prostu usunąć wszystkie pliki zmodyfikowane w dniu 2010-01-24, które teraz mają rozmiar 39440.
Programy z tymi plikami do przeinstalowania od nowa:
c:\program files\Adobe\acrotray .exe
c:\program files\ASUS\AI Suite\cpuleveluphelp .exe
c:\program files\ASUS\AI Suite\AiNap\ainap .exe
c:\program files\ASUS\AI Suite\QFan3\qfanhelp .exe
c:\program files\Common Files\InstallShield\UpdateService\issch .exe
c:\program files\Common Files\InstallShield\UpdateService\issch .exe
c:\program files\Common Files\InstallShield\UpdateService\isuspm .exe
c:\program files\Common Files\InstallShield\UpdateService\isuspm .exe
c:\program files\Common Files\InstallShield\UpdateService\isuspm .exe
c:\program files\Common Files\InstallShield\UpdateService\isuspm .exe
c:\program files\Common Files\InstallShield\UpdateService\isuspm .exe
c:\program files\Common Files\InstallShield\UpdateService\isuspm .exe
c:\program files\Common Files\InstallShield\UpdateService\isuspm .exe
c:\program files\Common Files\Real\Update_OB\realsched .exe
c:\program files\Creative\SBAudigy\Surround Mixer\ctsysvol .exe
c:\program files\DAEMON Tools\daemon .exe
c:\program files\Internet Download Manager\idman .exe
c:\program files\Internet Download Manager\idman .exe
c:\program files\Internet Download Manager\idman .exe
c:\program files\Internet Download Manager\idman .exe
c:\program files\Internet Download Manager\idman .exe
c:\program files\Internet Download Manager\idman .exe
c:\program files\Java\jre6\bin\jusched .exe
c:\program files\Lavasoft\Ad-Aware\aawtray .exe
c:\program files\LivingEarthDesktop\living-earth-desktop .exe
c:\program files\Microsoft ActiveSync\wcescomm .exe
c:\program files\Microsoft ActiveSync\wcescomm .exe
c:\program files\Microsoft ActiveSync\wcescomm .exe
c:\program files\Microsoft ActiveSync\wcescomm .exe
c:\program files\Microsoft ActiveSync\wcescomm .exe
c:\program files\Microsoft ActiveSync\wcescomm .exe
c:\program files\Microsoft ActiveSync\wcescomm .exe
c:\program files\NVIDIA Corporation\nView\nwiz .exe
c:\program files\RocketDock\rocketdock .exe
c:\program files\RocketDock\rocketdock .exe
c:\program files\RocketDock\rocketdock .exe
c:\program files\RocketDock\rocketdock .exe
c:\program files\Spybot - Search & Destroy\teatimer .exe
c:\program files\Unlocker\unlockerassistant .exe
c:\windows\pchealth\helpctr\binaries\msconfig .exe
W logu widać, które pliki są do usunięcia:
jessi
Czyli wystarczy odinstalować te zainfekowane programy i ewentualnie usunąć to co po nich zostało?
Ja proponuję taki scenariusz:
użyj >http://www.dobreprogramy.pl/DrWEB-CureIt,Program,Windows,12976.html
http://www.dobreprogramy.pl/Malwarebytes-AntiMalware,Program,Windows,13117.html
przeinstaluj programy, jeśli one same będą się tego domagały
ewentualnie po wszystkim log z ComboFixa do sprawdzenia
Choć z drugiej strony: usunięcie ComboFixem wszystkich zarażonych plików i potem przeinstalowanie programów trwałoby znavcznie krócej.
Jeśli się na to zdecydujesz, to daj znać, napiszę Script.
jessi
Po próbach naprawienia wyszło mi coś takiego:
log z Combofix:
Jeżeli nic te naprawy nie dały bardzo proszę o Script.
Wklej do Notatnika :
File::
c:\windows\updreg.exe
c:\windows\system32\ctfmon.exe
c:\program files\Common Files\InstallShield\UpdateService\issch .exe
c:\program files\Common Files\InstallShield\UpdateService\isuspm .exe
c:\program files\Common Files\InstallShield\UpdateService\isuspm .exe
c:\program files\Creative\SBAudigy\Surround Mixer\ctsysvol .exe
c:\program files\DAEMON Tools\daemon .exe
c:\program files\Internet Download Manager\idman .exe
c:\program files\Java\jre6\bin\jusched .exe
c:\program files\Lavasoft\Ad-Aware\aawtray .exe
c:\program files\LivingEarthDesktop\living-earth-desktop .exe
c:\program files\Microsoft ActiveSync\wcescomm .exe
c:\program files\Microsoft ActiveSync\wcescomm .exe
c:\program files\NVIDIA Corporation\nView\nwiz .exe
c:\program files\RocketDock\rocketdock .exe
c:\program files\RocketDock\rocketdock .exe
c:\program files\Spybot - Search & Destroy\khalmnpr .exe
c:\program files\Spybot - Search & Destroy\rundll32 .exe
c:\program files\Spybot - Search & Destroy\teatimer .exe
c:\program files\Unlocker\unlockerassistant .exe
c:\windows\pchealth\helpctr\binaries\msconfig .exe
c:\program files\Java\jre6\bin\jusched.exe
c:\program files\LivingEarthDesktop\Living-Earth-Desktop.exe
c:\program files\rocketdock\rocketdock .exe
c:\program files\Unlocker\UnlockerAssistant.exe
c:\program files\Creative\SBAudigy\Surround Mixer\CTSysVol.exe
d:\programy\uniblue\uniblue\registrybooster\registrybooster .exe
c:\windows\UpdReg.EXE
c:\program files\Lavasoft\Ad-Aware\AAWTray.exe
d:\programy\Home Cinema\PowerDVD\PDVDServ.exe
c:\program files\DAEMON Tools\daemon.exe
d:\programy\Ciname\PowerCinema\PCMService.exe
c:\program files\Common Files\Real\Update_OB\realsched.exe
c:\program files\NVIDIA Corporation\nView\nwiz.exe
c:\windows\system32\drivers\dGzeYzo.sys
Driver::
dGzeYzo
Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"GGWallpaper"=-
"RocketDock"=-
"Uniblue RegistryBooster 2009"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ISUSPM Startup"=-
"ISUSScheduler"=-
"UnlockerAssistant"=-
"CTSysVol"=-
"P17Helper"=-
"UpdReg"=-
"Ad-Watch"=-
"RemoteControl"=-
"DAEMON Tools"=-
"PCMService"=-
"TkBellExe"=-
"nwiz"=-
"SunJavaUpdateSched"=-
"Calc32"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=-
"RocketDock"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSScheduler]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Safe'n'Sec Pro]
>>Plik>>Zapisz jako… >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
-------->
Ma się rozpocząć usuwanie. (i powstanie log).
Daj ten log, który powstanie w trakcie usuwania.
jessi
Zrobiłem tak jak było napisane.
Log z combofix:
Chyba nic nie naprawił. Dziwnie działa mi ten combofix. Jak go włączę wyskakuje mi komunikat o antywirusie. Wyłączam antywirus. Klikam OK i wyskakuje okienko zatytułowane błąd bez żadnej treści, później komputer się restartuje i uruchamia się combofix. Czy to normalne?
Rzeczywiście, trochę nitypowo zachowuje się u Ciebie ten ComboFix.
Gdyby był Komunikat o Rootkicie przed tym restartem, to nie byłoby nic dziwnego, ale u Ciebie jest tylko pusty Komunikat.
Wklej do Notatnika :
File::
c:\program files\Common Files\InstallShield\UpdateService\issch .exe
c:\program files\Common Files\InstallShield\UpdateService\isuspm .exe
c:\program files\Common Files\Real\Update_OB\realsched .exe
c:\program files\Lavasoft\Ad-Aware\khalmnpr .exe
c:\program files\Lavasoft\Ad-Aware\rundll32 .exe
>>Plik>>Zapisz jako… >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
-------->
Ma się rozpocząć usuwanie. (i powstanie log).
Daj ten log, który powstanie w trakcie usuwania.
nowy log:
A wiesz może jak można ustrzec się przed taką sytuacją, jakie pogramy mogą zabezpieczyć komputer przed takimi akcjami?
Jeżeli nie da się wyleczyć to chyba nic się nie stanie bo i tak chciałem w niedalekiej przyszłości przesiąść się na win7, ale zanim go kupię chcę wypróbować, która wersja będzie mi odpowiadać i czy programy, które mnie interesują będą na niej działać.
Sprawdź go na --> JOTTI/ albo na VIRUSTOTAL.
Poza tym - log czysty.
Ta infekcja przeważnie dostaje się na komputer razem z jakimś crackiem, choć u Ciebie akurat nie widzę żadnego.
Widzę, że masz już MBAM I Dr.Web, więc możesz przeskanować którymś z nich - zawsze to większa pewność, że jest czysto.
jessi
plik sprawdziłem - nic nie znaleziono
Dzięki za pomoc