ComboFix znalazł wira. Proszę o pomoc

[Xeadas]

Witam!
Nie wiem czy to za przyczyną systemu (Black Edition v8) czy to z jakichś innych przyczyn ale mam na kompie wirusa. Proszę o praktyczną radę i o sprawdzenie dwóch logów: GMER i ComboFix.
1) GMER- http://www.wklej.eu/index.php?id=95fab49d89
2) ComboFiX- http://www.wklej.eu/index.php?id=ff937a3fd0
Dziękuję.

[mateo8898]

No nie byłbym taki pewien, że ten plik jest zainfekowany, bo żadnych innych śladów infekcji tu nie ma, ale podmienimy go i przy okazji uzupełnimy brakujące pliki.
Pobierz ten plik [strona nie jest już dostępna] i wypakuj bezpośrednio na dysk C. Następnie wklej do notatnika:

Kod: Zaznacz wszystko

FCopy::
c:\midimap.dll | c:\windows\system32\midimap.dll
c:\ctfmon.exe | c:\windows\System32\ctfmon.exe
c:\regsvc.dll | c:\windows\System32\regsvc.dll

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Alcmtr"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinampAgent"=-
"Adobe Reader Speed Launcher"=-
"Adobe ARM"=-
"SunJavaUpdateSched"=-

Plik zapisz jako CFScript.txt
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe


Rozpocznie się usuwanie i powstanie log, który dajesz na forum.

[Xeadas]

Dziękuję bardzo za fachową i rzeczową pomoc.
Po wygenerowaniu loga na moje laickie oko wydaje się że jest wszystko ok. Będę Ci bardzo wdzięczny za sprawdzenie go i ewentualne porady.
http://www.wklej.eu/index.php?id=511a8f933f

[mateo8898]

Ok, log czysty.

Pobierz OTC uruchom i kliknij CleanUp

Przeczyść dysk oraz rejestr CCleaner

Wykonaj pełne skanowanie Malwarebytes' Anti-Malware - jeśli coś znajdzie usuń i daj raport

[Xeadas]

Zrobiłem wszystko jak kazałeś, poza skanowaniem Malwarebytes' Anti-Malware. Nie mógł się zainstalować, może to przez to, że na kompie jest ESET. Oczywiście był wyłączony. Tutaj jest nowy log: http://www.wklej.eu/index.php?id=80a5e4ddc8

[mateo8898]

Ale kto Ci kazał podawać znowu log z Combofixa?? To nie zabawka, ani zwykły skaner, tylko silne narzędzie do usuwania ciężkich infekcji i nie można nim od tak masakrować ciągle kompa, bo to może mieć przykre konsekwencje.

Zamiast Malwarebytes przeskanuj Dr.Web CureIt - jeśli coś znajdzie wylecz/usuń i daj raport (Plik Zapisz Listę Raportu)

[Xeadas]

Przeskanowałem Dr.Web CureIt, nie znalazł żadnych wirusów
Jeszcze raz dziękuję za pomoc i za fachowe i rzetelne rady.
Dzięki.
Ps. Czy są jeszcze jakieś zalecenia ?

[mateo8898]

Nie, to tyle.

[Xeadas]

Dzięki

[Xeadas]

Witam ponownie!
Od pewnego czasu zauważyłem że mój komp bardzo się muli. Postanowiłem przeskanować go ComboFixem, Z loga wygenerowanego wynika że znowu mam infekcję ale tym razem na regedit.exe
Poniżej przedstawiam logi:
1) ComboFix- http://www.wklej.eu/index.php?id=f58f84acfc
2) GMER- http://www.wklej.eu/index.php?id=c1e2bb273b
Proszę o szybką i fachową pomoc

[mateo8898]

ComboFixa używamy tylko wtedy, gdy padnie taka prośba na forum, gdyż to silnie ingerujące w system narzędzie. Podaj logi z OTL

Poza tym napisałeś wcześniej, że posiadasz system - "wynalazek", który się zwie Black Edition v8, więc to że ComboFix traktuje plik regedit.exe jako zainfekowany jest zapewne błędne. Tym bardziej, że żadnej infekcji tu nie widać. Po prostu takie systemy mają zmodyfikowane niektóre pliki systemowe i stąd się to bierze. Jak coś to możesz jeszcze dla pewności przeskanować ten plik na http://www.virustotal.com/ i podać wyniki.

[Xeadas]

1)OTL - http://www.wklej.eu/index.php?id=c4684956de
2) OTL - http://www.wklej.eu/index.php?id=c54e80ab2c
Wystąpiła ciekawa sprawa http://www.virustotal.com/ nie można odnależć tego pliku regedit.exe.

[mateo8898]

No to można ten plik podmienić, nie zaszkodzi choć i tak wygląda na czysty.

Pobierz go stąd

Kod: Zaznacz wszystko

http://www.speedyshare.com/files/27168348/regedit.exe

i umieść bezpośrednio na dysku C. Następnie uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:

Kod: Zaznacz wszystko

:OTL
IE - HKU\S-1-5-21-1960408961-1284227242-1801674531-1002\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.daemon-search.com/startpage
O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - No CLSID value found.
O28 - HKLM ShellExecuteHooks: {AEB6717E-7E19-11d0-97EE-00C04FD91972} - Reg Error: Key error. File not found

:Files
C:\regedit.exe|C:\windows\regedit.exe /replace
C:\windows\Tasks\AppleSoftwareUpdate.job

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinampAgent"=-
"Adobe ARM"=-
"Adobe Reader Speed Launcher"=-
"SunJavaUpdateSched"=-

:Commands
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania + nowe logi z OTL.

[Xeadas]

Oto nowe logi:
OTL usuwanie - http://www.wklej.eu/index.php?id=e79d188bf8
OTL 1 - http://www.wklej.eu/index.php?id=e2b6dbce44
OTL 2 - http://www.wklej.eu/index.php?id=443ca44b7b

[mateo8898]

I to by było na tyle.

W OTL kliknij Sprzątanie

Przeczyść dysk oraz rejestr CCleaner

Wykonaj pełne skanowanie Malwarebytes' Anti-Malware - jeśli coś znajdzie usuń i daj raport

Zaktualizuj IE do najnowszej wersji (nawet jeśli go nie używasz) http://www.instalki.pl/programy/downloa ... _8_XP.html