Landuss

To pobierz wersje z rozszerzeniem np. com albo .scr i zobacz czy pójdzie. Jak nie pójdzie to zaprezentujesz log z OTLPE

W logach nie ma żadnego śladu infekcji i wszystko wygląda na fałszywy alarm a sam plik nie jest szkodliwy.

1. Rozpocznij od użycia narzędzia Kaspersky TDSSKiller i wklej z niego log. 2. Stosujesz ComboFix i prezentujesz log z działania.

Infekcje spokojnie można tu wykluczyć bo logi takowej nie wykazują. Jedyne co tutaj można zrobić to usunąć parę zbędnych rzeczy w tym z autostartu. 1. Wejdź w panel sterowania > dodaj/usuń programy i odinstaluj następujące pozycje - Google Toolbar / ICQ Toolbar / Yahoo! Toolbar 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O3 - HKLM\..\Toolbar: (no name) - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - No CLSID value found. O3 - HKLM\..\Toolbar: (ICQ Toolbar) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll File not found O3 - HKU\S-1-5-21-2076508590-2611518632-1834139280-1005\..\Toolbar\WebBrowser: (ICQ Toolbar) - {855F3B16-6D32-4FE6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll File not found O4 - HKLM..\Run: [Adobe Reader Speed Launcher] C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe (Adobe Systems Incorporated) O4 - HKLM..\Run: [Google Desktop Search] C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe () O4 - HKLM..\Run: [HostManager] C:\Program Files\Common Files\AOL\1165488514\ee\aolsoftware.exe (AOL LLC) O4 - HKLM..\Run: [iSUSPM Startup] C:\Program Files\Common Files\InstallShield\UpdateService\isuspm.exe (InstallShield Software Corporation) O4 - HKLM..\Run: [iSUSScheduler] C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe (InstallShield Software Corporation) O4 - HKLM..\Run: [KernelFaultCheck] File not found O4 - HKLM..\Run: [NSLauncher] C:\Program Files\Nokia\Nokia Software Launcher\NSLauncher.exe () O4 - HKLM..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe (RealNetworks, Inc.) O4 - HKU\S-1-5-21-2076508590-2611518632-1834139280-1005..\Run: [{0DD0DCE8-74C7-5DD6-72F4-AB3E639D4BA8}] C:\Documents and Settings\ADAM\Application Data\Evcoi\pavi.exe File not found O4 - HKU\S-1-5-21-2076508590-2611518632-1834139280-1005..\Run: [RegistryPC] C:\Program Files\RegistryPC\RegistryPC.exe File not found O9 - Extra Button: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - Reg Error: Key error. File not found O9 - Extra 'Tools' menuitem : AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - Reg Error: Value error. File not found :Services AOLService :Commands [emptyflash] [emptytemp] [resethosts] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Możesz zaprezentować log z usuwania aby zobaczyć czy wszystko się wykonało. 3. Warto zainteresować się defragmentacją dysku darmowym programem Puran Defrag Free Edition

Temat przenoszę na dział Windows bo to nie pasuje do działu wirusowego. Klucze moim zdaniem wyglądają dobrze i to prawdopodobnie nie jest problem samego rpc per se. 1. Wejdź w start >>> uruchom >>> services.msc i sprawdź czy usługa o nazwie Program uruchamiający proces serwera DCOM jest włączona i ustawiona na tryb Automatyczny. 2. Wykonaj reset uprawnień włącznie z rejestrem: - ściągasz program SubInACL. Zainstaluje się do folderu C:\Program Files\Windows Resource Kits\Tools. - wchodzisz do powyższego folderu i z prawokliku myszy dajesz >>> Nowy >>> Dokument tekstowy i wklejasz ten tekst: subinacl /subkeyreg HKEY_LOCAL_MACHINE /grant=administrators=f subinacl /subkeyreg HKEY_CURRENT_USER /grant=administrators=f subinacl /subkeyreg HKEY_CLASSES_ROOT /grant=administrators=f subinacl /subdirectories %SystemDrive% /grant=administrators=f subinacl /subkeyreg HKEY_LOCAL_MACHINE /grant=system=f subinacl /subkeyreg HKEY_CURRENT_USER /grant=system=f subinacl /subkeyreg HKEY_CLASSES_ROOT /grant=system=f subinacl /subdirectories %SystemDrive% /grant=system=f Plik zapisujesz jako FIX.TXT. Następnie zmieniasz rozszerzenie pliku z TXT na CMD. - Wchodzisz w Start >>> Uruchom >>> cmd i wpisujesz: CD "C:\Program Files\Windows Resource Kits\Tools" fix.cmd 3. Wchodzisz w Start >>> Uruchom >>> cmd i wklepujesz net stop winmgmt Usuwasz zawartość folderu C:\WINDOWS\system32\wbem\Repository Start >>> Uruchom >>> cmd i wklepujesz net start winmgmt 4. Start >>> Uruchom >>> cmd i wklepujesz WINMGMT.EXE /REGSERVER CD C:\WINDOWS\system32\WBEM for %i in (*.dll) do RegSvr32 -s %i net stop winmgmt net start winmgmt Oczywiście po tych działaniach wykonaj restart komputera i sprawdź czy coś się zmieniło.

W takim razie ponownie zastosuj ComboFix i wklej log. Wykonaj też skan Malwarebytes Anti-Malware i wklej raport.

Wiem o tym i dałem odpowiednie polecenie, które miało plik przywrócić, ale widocznie się to nie powiodło. W takim razie pobierz ten plik i umieść w katalogu C:\windows\system32: KLIK Nazwa tak naprawde nie ma większego znaczenia bo nie o nazwe tu chodzi lecz o sam plik i jego zawartość. Wygląda, że operacja się powiodła. ComboFix już zostawiamy i teraz jeszcze pójdzie skrypt przez OTL. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKU\.DEFAULT..\Run: [efffggsys] File not found O4 - HKU\S-1-5-18..\Run: [efffggsys] File not found O4 - HKU\S-1-5-21-1659004503-343818398-725345543-1003..\Run: [NetLog2] C:\WINDOWS\svc2.exe () O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: wa0ub = C:\DOCUME~1\DOMOWY\USTAWI~1\Temp\u2lj.exe File not found :Files C:\WINDOWS\svc2.exe :Services cpuz132 catchme :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL. 2. Przeskanuj jeszcze plik C:\windows\system32\userinit.exe na skanerze Virus Total i wklej z niego wyniki.

Sytuacja uległa poprawie ale nadal jest tutaj poważna infekcja rootkitem TDL w wariancie z podwójną modyfikacją: File C:\WINDOWS\system32\DRIVERS\mouclass.sys suspicious modification File C:\WINDOWS\system32\drivers\nvidesm.sys suspicious modification + infekcja na sterownikach systemu ndis.sys + aec.sys. Teraz dalsze usuwanie. 1. Pobierz obydwa zainfekowane sterowniki pod Windows XP SP2 zgodnie z twoim systemem: KLIK. Obydwa pliki wypakuj i umieść bezpośrednio na dysku C:\ 2. Wklej do notatnika taki tekst: TDL:: C:\WINDOWS\system32\DRIVERS\mouclass.sys FCopy:: C:\ndis.sys | C:\windows\system32\dllcache\ndis.sys C:\ndis.sys | C:\windows\system32\drivers\ndis.sys C:\aec.sys | C:\windows\system32\dllcache\aec.sys C:\aec.sys | C:\windows\system32\drivers\aec.sys Mia:: C:\WINDOWS\system32\grpconv.exe File:: C:\WINDOWS\system32\drivers\kbxrr.sys C:\WINDOWS\system32\drivers\mxuhbaqh.sys Folder:: C:\Documents and Settings\DOMOWY\Dane aplikacji\Extensions C:\Documents and Settings\DOMOWY\Dane aplikacji\{H3QR9S90-S0MH-DFS5-6CQW-H79I45QT} C:\Documents and Settings\DOMOWY\Dane aplikacji\{XNYU4L5G-8V69-4XS9-92XB-H215XM11} C:\Documents and Settings\DOMOWY\Dane aplikacji\{1R86IJ4Q-WHI0-QC4H-8FTN-9A2652YS} Driver:: kbxrr mxuhbaqh Plik >>> zapisz pod nazwą CFScript.txt a nastepnie przeciągnij go i upuść na ikonę ComboFixa w taki sposób: 3. Prezentujesz wynikowy log z ComboFix oraz nowe logi z Gmer + OTL.

Z Blasterem tego problemu nie wiąż - to infekcja sprzed wielu lat i od tamtej pory wiele się zmieniło a sama infekcja nie jest już spotykana od dawna. Obecnie takie problemy generuje wiele innych rzeczy i wygląda na to, że u ciebie nie chodzi o żadną infekcję. Log z OTS wygląda na czysty ale bez loga z rootkitdetectora to raczej się nie obejdzie bo nie ma pewności czy czegoś tam nie ma rzeczywiście. Czy przed wykonaniem loga z Gmer/RootRepeal zastosowałeś się do polecenia z tego tematu?: KLIK. Próbuj też uruchamiać program w trybie awaryjnym i zobacz czy ten sam efekt. Poza tym wyeksportuj zawartość następujących kluczy rejestru: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost

Sytuacja nie wygląda póki co dobrze. W obecnej sytuacji najlepiej będzie jak skorzystasz z narzędzia ComboFix i wkleisz wynikowy log. Po operacji ComboFix wykonaj też nowy log z Gmer i zaprezentuj.

Zasady działu nie są spełnione. Po pierwsze jeśli dajesz log z USBFix to ma być z opcji Listing, a nie wygląda byś właśnie taką opcje wybrał. Po drugie wykonaj obowiązkowe logi z narzędzia OTL.

Przede wszystkim masz tutaj infekcję z mediów przenośnych (pendrive lub inne tego typu przenośne urządzenie). Poza tym jest rootkit. 1. Zastosuj narzędzie Kaspersky TDSSKiller i wklej z niego log. 2. Przy podpiętym urządzeniu przenośnym, uruchom USBFix z opcji Listing i pokaż wynikowy raport.

Zacznij od zaprezentowania wymaganych logów w naszym dziale z narzędzi OTL + GMER

USBFix nie wykazuje infekcji więc sprawa wygląda na zakończoną.

Przy podpiętym urządzeniu przenośnym, uruchom USBFix z opcji Listing i pokaż wynikowy raport.

Procesy, o których wspominasz należą do systemu i bez nich Windows nie mógłby normalnie funkcjonować. Były, są i będą zawsze. Logi masz czyste i nie ma się czego czepiać. Możesz jedynie odinstalować śmiecia Ask Toolbar. To niepotrzebny sponsoring, który wszedł z jakimś oprogramowaniem.

Zabrakło drugiego loga z OTL. Podczas skanu masz mieć zaznaczoną opcje Rejestr - skan dodatkowy na Użyj filtrowania. Wpis, który pokazujesz nie jest w żadnym wypadku szkodliwy. Tam stoi RunOnce a więc wpis ten "wykona się" podczas następnego uruchomienia komputera i powinien sam zniknąć. W logu z OTL już go nie widać a to jest narzędzie, które w pewnym sensie ma wbudowane wszystko co widzi stary HijackThis, którego już dawno nie używamy. Generalnie nie widać tutaj śladów aktywnej infekcji, ale wykonaj ten brakujący log. Możesz się też przeskanować przez Malwarebytes Anti-Malware i pokazać co zawiera raport.

Tak też myślałem bo ta infekcja znana jest z wycisku właśnie na systemowym svchost. Skrypt wykonany i nie powinno być już problemu. Kliknij w Sprzątanie w oknie OTL. Zaktualizuj Javę: INSTRUKCJE. I to wszystko.

Zamontuj nastepujący skrypt do OTL: :OTL O4 - Startup: C:\Users\Marek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\updglc32.exe () :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Nowe logi do oceny.

Niestety ale infekcja wróciła i stąd też błąd z svchost. Zamontuj kolejny skrypt do ComboFix: File:: C:\WINDOWS\POJEBALO\System32\scfbg.dll Driver:: gngoedqwq NetSvc:: gngoedqwq Wklej wynikowy log + log z Gmer.

Brak aktywnej infekcji. Jedynie można pousuwać zbędne rzeczy i troche odchudzić autostart. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL FF - prefs.js..browser.search.defaultenginename: "Winamp Search" FF - prefs.js..browser.search.defaultthis.engineName: "Free Lunch Design Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT1708250&SearchSource=3&q={searchTerms}" FF - prefs.js..keyword.URL: "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampab&query=" [2010-02-22 10:20:33 | 000,000,000 | ---D | M] (Free Lunch Design Toolbar) -- C:\Users\ladnygips\AppData\Roaming\mozilla\Firefox\Profiles\i08ouqk6.default\extensions\{57cc715d-37ca-44e4-9ec2-8c2cbddb25ec} [2009-05-31 19:45:28 | 000,000,896 | ---- | M] () -- C:\Users\ladnygips\AppData\Roaming\Mozilla\FireFox\Profiles\i08ouqk6.default\searchplugins\conduit.xml [2009-02-02 18:55:53 | 000,001,196 | ---- | M] () -- C:\Users\ladnygips\AppData\Roaming\Mozilla\FireFox\Profiles\i08ouqk6.default\searchplugins\winamp-search.xml O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found. O4 - HKLM..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe (Nero AG) O4 - HKU\S-1-5-21-3757177117-3087335413-4238760117-1001..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe (Nero AG) O4 - HKU\S-1-5-21-3757177117-3087335413-4238760117-1001..\Run: [PC Suite Tray] C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe (Nokia) O4 - Startup: C:\Users\kapi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.0.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe () O4 - Startup: C:\Users\kapi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Tworzenie wycinków ekranu i uruchamianie programu OneNote 2007.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE (Microsoft Corporation) O4 - Startup: C:\Users\KASIA\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.0.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe () O4 - Startup: C:\Users\KASIA\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Tworzenie wycinków ekranu i uruchamianie programu OneNote 2007.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE (Microsoft Corporation) O4 - Startup: C:\Users\kika\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Tworzenie wycinków ekranu i uruchamianie programu OneNote 2007.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE (Microsoft Corporation) O4 - Startup: C:\Users\ladnygips\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Tworzenie wycinków ekranu i uruchamianie programu OneNote 2007.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE (Microsoft Corporation) :Files C:\Users\ladnygips\AppData\Local\Temp*.html :Commands [resethosts] [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Możesz zaprezentować log z usuwania żeby była pewność że się wykonało.

Zabrakło drugiego loga z OTL extras.txt Podczas skanu ma być zaznaczona opcja Rejestr - skan dodatkowy na "Użyj filtrowania" Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O32 - AutoRun File - [2010/08/14 05:54:48 | 000,000,000 | ---- | M] () - D:\autorun.V01inf -- [ NTFS ] O32 - AutoRun File - [2010/08/14 05:55:33 | 000,000,000 | ---- | M] () - D:\autorun.V02inf -- [ NTFS ] O32 - AutoRun File - [2010/08/14 05:56:15 | 000,000,000 | ---- | M] () - D:\autorun.V03inf -- [ NTFS ] O32 - AutoRun File - [2010/08/14 05:56:57 | 000,000,000 | ---- | M] () - D:\autorun.V04inf -- [ NTFS ] O32 - AutoRun File - [2010/08/14 05:57:40 | 000,000,000 | ---- | M] () - D:\autorun.V05inf -- [ NTFS ] O32 - AutoRun File - [2010/08/14 05:58:26 | 000,000,000 | ---- | M] () - D:\autorun.V06inf -- [ NTFS ] O32 - AutoRun File - [2010/08/14 05:59:05 | 000,000,000 | ---- | M] () - D:\autorun.V07inf -- [ NTFS ] O32 - AutoRun File - [2010/08/14 05:59:47 | 000,000,000 | ---- | M] () - D:\autorun.V08inf -- [ NTFS ] O32 - AutoRun File - [2010/08/14 06:00:28 | 000,000,000 | ---- | M] () - D:\autorun.V09inf -- [ NTFS ] O32 - AutoRun File - [2010/08/14 06:01:16 | 000,000,000 | ---- | M] () - D:\autorun.V10inf -- [ NTFS ] O32 - AutoRun File - [2010/08/14 06:02:03 | 000,000,000 | ---- | M] () - D:\autorun.V11inf -- [ NTFS ] O32 - AutoRun File - [2010/08/14 06:02:47 | 000,000,000 | ---- | M] () - D:\autorun.V12inf -- [ NTFS ] O32 - AutoRun File - [2010/08/14 06:03:31 | 000,000,000 | ---- | M] () - D:\autorun.V13inf -- [ NTFS ] O32 - AutoRun File - [2010/08/14 06:04:18 | 000,000,000 | ---- | M] () - D:\autorun.V14inf -- [ NTFS ] O32 - AutoRun File - [2010/08/14 06:05:07 | 000,000,000 | ---- | M] () - D:\autorun.V15inf -- [ NTFS ] O32 - AutoRun File - [2010/08/14 06:06:00 | 000,000,000 | ---- | M] () - D:\autorun.V16inf -- [ NTFS ] O32 - AutoRun File - [2010/08/14 06:06:48 | 000,000,000 | ---- | M] () - D:\autorun.V17inf -- [ NTFS ] O32 - AutoRun File - [2010/08/14 06:07:30 | 000,000,000 | ---- | M] () - D:\autorun.V18inf -- [ NTFS ] O32 - AutoRun File - [2010/08/14 06:08:12 | 000,000,000 | ---- | M] () - D:\autorun.V19inf -- [ NTFS ] O32 - AutoRun File - [2010/08/14 06:08:54 | 000,000,000 | ---- | M] () - D:\autorun.V20inf -- [ NTFS ] O32 - AutoRun File - [2010/08/14 06:09:36 | 000,000,000 | ---- | M] () - D:\autorun.V21inf -- [ NTFS ] O32 - AutoRun File - [2010/08/14 06:10:18 | 000,000,000 | ---- | M] () - D:\autorun.V22inf -- [ NTFS ] O32 - AutoRun File - [2010/08/14 06:11:00 | 000,000,000 | ---- | M] () - D:\autorun.V23inf -- [ NTFS ] O32 - AutoRun File - [2010/08/14 06:11:42 | 000,000,000 | ---- | M] () - D:\autorun.V24inf -- [ NTFS ] O32 - AutoRun File - [2010/08/14 06:12:25 | 000,000,000 | ---- | M] () - D:\autorun.V25inf -- [ NTFS ] O32 - AutoRun File - [2010/08/14 06:13:08 | 000,000,000 | ---- | M] () - D:\autorun.V26inf -- [ NTFS ] O32 - AutoRun File - [2010/08/14 05:52:17 | 000,000,000 | ---- | M] () - D:\autorun.Vinf -- [ NTFS ] O32 - AutoRun File - [2010/08/14 05:54:52 | 000,000,000 | ---- | M] () - E:\autorun.V01inf -- [ NTFS ] O32 - AutoRun File - [2010/08/14 05:55:41 | 000,000,000 | ---- | M] () - E:\autorun.V02inf -- [ NTFS ] O32 - AutoRun File - [2010/08/14 05:56:19 | 000,000,000 | ---- | M] () - E:\autorun.V03inf -- [ NTFS ] O32 - AutoRun File - [2010/08/14 05:57:05 | 000,000,000 | ---- | M] () - E:\autorun.V04inf -- [ NTFS ] O32 - AutoRun File - [2010/08/14 05:57:50 | 000,000,000 | ---- | M] () - E:\autorun.V05inf -- [ NTFS ] O32 - AutoRun File - [2010/08/14 05:58:30 | 000,000,000 | ---- | M] () - E:\autorun.V06inf -- [ NTFS ] O32 - AutoRun File - [2010/08/14 05:59:10 | 000,000,000 | ---- | M] () - E:\autorun.V07inf -- [ NTFS ] O32 - AutoRun File - [2010/08/14 05:59:51 | 000,000,000 | ---- | M] () - E:\autorun.V08inf -- [ NTFS ] O32 - AutoRun File - [2010/08/14 06:00:33 | 000,000,000 | ---- | M] () - E:\autorun.V09inf -- [ NTFS ] O32 - AutoRun File - [2010/08/14 06:01:26 | 000,000,000 | ---- | M] () - E:\autorun.V10inf -- [ NTFS ] O32 - AutoRun File - [2010/08/14 06:02:13 | 000,000,000 | ---- | M] () - E:\autorun.V11inf -- [ NTFS ] O32 - AutoRun File - [2010/08/14 06:03:01 | 000,000,000 | ---- | M] () - E:\autorun.V12inf -- [ NTFS ] O32 - AutoRun File - [2010/08/14 06:03:35 | 000,000,000 | ---- | M] () - E:\autorun.V13inf -- [ NTFS ] O32 - AutoRun File - [2010/08/14 06:04:28 | 000,000,000 | ---- | M] () - E:\autorun.V14inf -- [ NTFS ] O32 - AutoRun File - [2010/08/14 06:05:19 | 000,000,000 | ---- | M] () - E:\autorun.V15inf -- [ NTFS ] O32 - AutoRun File - [2010/08/14 06:06:10 | 000,000,000 | ---- | M] () - E:\autorun.V16inf -- [ NTFS ] O32 - AutoRun File - [2010/08/14 06:06:55 | 000,000,000 | ---- | M] () - E:\autorun.V17inf -- [ NTFS ] O32 - AutoRun File - [2010/08/14 06:07:34 | 000,000,000 | ---- | M] () - E:\autorun.V18inf -- [ NTFS ] O32 - AutoRun File - [2010/08/14 06:08:16 | 000,000,000 | ---- | M] () - E:\autorun.V19inf -- [ NTFS ] O32 - AutoRun File - [2010/08/14 06:09:03 | 000,000,000 | ---- | M] () - E:\autorun.V20inf -- [ NTFS ] O32 - AutoRun File - [2010/08/14 06:09:40 | 000,000,000 | ---- | M] () - E:\autorun.V21inf -- [ NTFS ] O32 - AutoRun File - [2010/08/14 06:10:23 | 000,000,000 | ---- | M] () - E:\autorun.V22inf -- [ NTFS ] O32 - AutoRun File - [2010/08/14 06:11:05 | 000,000,000 | ---- | M] () - E:\autorun.V23inf -- [ NTFS ] O32 - AutoRun File - [2010/08/14 06:11:47 | 000,000,000 | ---- | M] () - E:\autorun.V24inf -- [ NTFS ] O32 - AutoRun File - [2010/08/14 06:12:30 | 000,000,000 | ---- | M] () - E:\autorun.V25inf -- [ NTFS ] O32 - AutoRun File - [2010/08/14 06:13:13 | 000,000,000 | ---- | M] () - E:\autorun.V26inf -- [ NTFS ] O32 - AutoRun File - [2010/08/14 05:52:21 | 000,000,000 | ---- | M] () - E:\autorun.Vinf -- [ NTFS ] :Files C:\Qoobox autorun.inf /alldrives dagva.exe /alldrives dglsic.exe /alldrives exyjb.pif /alldrives fkhaoj.exe /alldrives gaiqty.exe /alldrives gkmuio.pif /alldrives gvdgd.pif /alldrives gxbiwv.exe /alldrives kcbj.exe /alldrives oeyuus.exe /alldrives qbdqf.exe /alldrives RECYCLER /alldrives rsucs.exe /alldrives xawhp.exe /alldrives xshedk.pif /alldrives ypoosq.exe /alldrives :Reg [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "SuperHidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "ShowSuperHidden"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptyflash] [emptytemp] [clearallrestorepoints] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL i nowy log z USBFix.

Na tym forum używanie ComboFix na start na własną rękę nie jest mile widziane. To nie jest wcale potrzebne. Masz infekcje z mediów przenośnych np. z pendrive. 1. Przy podpiętym urządzeniu przenośnym, uruchom USBFix z opcji Listing i pokaż wynikowy raport. 2. Wykonaj logi z narzędzi OTL + GMER

Log z Gmer wykazuje, że infekcja jest ciągle aktywna mimo użycia ComboFix. Jego nie powinieneś używać na własną rękę według zasad naszego działu. 1. Wklej do notatnika ten tekst: File:: C:\WINDOWS\POJEBALO\System32\scfbg.dll Driver:: gngoedqwq wpfct NetSvc:: gngoedqwq wpfct Registry:: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] "6026:TCP"=- Plik >>> zapisz pod nazwą CFScript.txt a nastepnie przeciągnij go i upuść na ikonę ComboFixa w taki sposób: 2. Z poziomu dodaj/usuń programy w panelu sterowania odinstaluj śmiecia Ask Toolbar 3. Wklejasz wynikowy log z ComboFix i nowe logi z OTL + Gmer.

Zastanawia jedynie jeszcze ten obiekt: PRC - [2007-04-05 09:43:00 | 000,654,848 | ---- | M] () -- C:\WINDOWS\INSTALLSERVICE.EXE Wrzuć ten plik na skaner Virus Total i wklej wyniki. Daj też znać czy problem ustapił.