Miałam dobre przeczucie - rzeczywiście ma infekcję “LOP” i rzeczywiście jest wpis poszukujący “svchosta”. Dodatkowo ComboFix usunął pliki wskazujące na infekcję na pendrive.
Te w/w wpisy sfiksuj w Hijacku:
>>Hijack>>scan(Do a system scan only)>>zaznacz je >> Fix checked.
Wklej do Notatnika :
File::
C:\Documents and Settings\All Users\Dane aplikacji\Grid Blue Memo Site\Mess book.exe
C:\Documents and Settings\All Users\Dane aplikacji\Enc safe that grid\long mp3 ooze.exe
C:\DOCUME~1\Lake\DANEAP~1\SPAMWI~1\BoltTwoProgram.exe
C:\WINDOWS\Tasks\ADA2198791598C1F.job
Folder::
C:\Documents and Settings\All Users\Dane aplikacji\Grid Blue Memo Site
C:\Documents and Settings\All Users\Dane aplikacji\Enc safe that grid
C:\Program Files\SPAM WIPE
C:\Program Files\BitDownload
C:\Documents and Settings\Lake\Dane aplikacji\SPAM WIPE
>>Plik>>Zapisz jako… >>> CFScript.tx (najwygodniej będzie,
jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.tx znalazła się obok ikonki ComboFix.exe )
Przeciągnij i upuść plik CFScript.tx na plik ComboFix.exe
(czyli ikonkę CFScript.tx na ikonkę ComboFix.exe )
– tak jak na tym obrazku -->http://i12.tinypic.com/4l761r5.gif
(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER)
Po restarcie usuń ręcznie folder C: ** Qoobox**.
Potem daj nowe logi z Hijacka i z ComboFixa.
Przy okazji usuń też wpisy w pliku HOSTS, które pokazał Smitfraudfix (added by CiD"):
>>Mój Komputer>>dysk C:\>>WINDOWS>>system32>>drivers>>etc>>HOSTS>>otwórz jako Notatnik. Musi zostać wpis :
127.0.01 localhost. (tego nie ruszaj!)
.
EDIT:
“BitDownload” dodałam do usuwania, bo powstał w tej samej chwili, co infekcja “LOP”, a poza tym to jest “Trojan Win32.Inject.ba”.
.Podejrzewam, że o tym nie wiedziałeś i sam go ściągnąłeś dobrowolnie.
.