Prosze o sprawdzenie loga - combofix

[szybki123]

Witam,

Prosze o sprawdzenie loga z combofix, ze szczegolnym uwzglednieniem rejestrow.
Podczas pracy combofix stworzono plik SCFscript.txt z lista plikow do usuniecia.
Pliki zostaly wybrane z raportu po zeskanowaniu kompa programem - kasperskyOnline.
Podsumowujac, najpierw uruchomilem kasperskyOnline, nastepnie - combofix.

pozdrawiam,
szybki123

PS.
log z combofix:
http://www.wklej.eu/index.php?id=50782db204

log z kaspersky'ego:
http://www.wklej.eu/index.php?id=66211c74e4

[huber2t]

Pobierz ComboFix, ale nie uruchamiaj
Wklej do notatnika:

Kod: Zaznacz wszystko

File::
C:\Documents and Settings\ze\Ustawienia lokalne\Temp\~vis0000\fsg_4104.exe
E:\RECYCLER\S-1-5-21-1757981266-583907252-839522115-1003\De7.zip
E:\sty08\SoftCam_v.plug.2.2.0_v_keys by KM_AES Fix_BEV Fix_Seca Fix_Polsat _ Premiere all OK_03.04.2008.zip_UPLOAD.DVHK.PL.ZIP
E:\szefzapas\Pulpit\win32.bmp

Folder::
E:\System Volume Information\_restore{77FE4BEA-EDE2-416D-AE97-80ABD9F51DEB}\RP273

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UserFaultCheck"=-
"RemoteControl"=-
"NeroFilterCheck"=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2f479680-c42f-11dc-96d2-000c763eda47}] 
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7caa3b14-70ba-11dc-837b-000c763eda47}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b2ababb8-8791-11dc-8391-000c763eda47}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b2ababba-8791-11dc-8391-000c763eda47}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b3232764-480a-11dd-81a8-000c763eda47}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f2f66cc8-da23-11dc-8141-000c763eda47}]


Plik zapisz jako CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu

Rozpocznie się usuwanie i powstanie log, daj ten log na forum.

Logi dajesz na http://www.wklej.eu a w poście dajesz tylko link

[szybki123]

Witam,

Oto link z combofix'a

http://www.wklej.eu/index.php?id=59028571f1

[huber2t]

otwórz notatnik i wklej

Windows Registry Editor Version 5.00

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

Z menu Notatnika Plik Zapisz jako Zmień rozszerzenie z .txt na wszystkie pliki zapisz pod nazwą Fix.reg

Uruchom ten plik, uruchom ponownie komputer

usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.

Przeczyść komputer Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum

[szybki123]

Jakim programem uruchomic plik fix.reg?

Przeciagnac fix.reg na ikone Combofix, a po zakonczeniu dzialania combofix ponownie uruchomic komputer?

[huber2t]

jakim combofixem? Przecież mniałeś go usunać

Fix.reg uruchamiasz dwuklikiem

[szybki123]

Ok, z rejestrami sobie poradziłem.
Zrobiłem tak jak wcześniej zaleciłeś, a teraz przedstawiam loga z kaspersky'ego

http://www.wklej.eu/index.php?id=8117bf2620

[huber2t]

Pobierz The Avenger

wklej do niego ten tekst:

Kod: Zaznacz wszystko

Files to delete:
C:\Documents and Settings\ze\Ustawienia lokalne\Temp\~vis0000\fsg_4104.exe
E:\sty08\SoftCam_v.plug.2.2.0_v_keys by KM_AES Fix_BEV Fix_Seca Fix_Polsat _ Premiere all OK_03.04.2008.zip_UPLOAD.DVHK.PL.ZIP
E:\szefzapas\Pulpit\win32.bmp

Folders to delete:
E:\System Volume Information\_restore{77FE4BEA-EDE2-416D-AE97-80ABD9F51DEB}(2)\RP273


kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.
Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

[szybki123]

Zrobione, oto link,

http://www.wklej.eu/index.php?id=44a2c076e0

[huber2t]

Pliki usunięte

[szybki123]

No to jest bardzo dobra wiadomosc

Dzieki.

Moze jeszcze raz przeskanowac komp kasperskim, co sadzisz?

[huber2t]

Jak uważasz

[szybki123]

dzieki za pomoc, komputer jest juz czysty

[szybki123]

Witam,

Najpierw użyto Kaspsrsky, aby przeskanować komputer wraz z dwoma penami,
http://www.wklej.eu/index.php?id=0682c5112b

Następnie zastosowano combofix.
http://www.wklej.eu/index.php?id=dee8a604fb

Według mnie zainfekowane pliki udało sie usunąć, zostają jednak jeszcze rejestry, czy pousuwać jeszcze coś z rejestrów?

[huber2t]

Pobierz ComboFix, ale nie uruchamiaj
Wklej do notatnika:

Kod: Zaznacz wszystko

File::
C:\Documents and Settings\Ja\Ustawienia lokalne\Temporary Internet Files\Content.IE5\OPKBCV03\v53[1].js
C:\Program Files\BPFTP Server\bpftpserver.exe

Folder::
C:\Recycled

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{93bea266-a6f8-11dc-aabc-00105a043e50}]


Plik zapisz jako CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu

Rozpocznie się usuwanie i powstanie log, daj ten log na forum.

Przeskanuj ponownie Kasperskim

Logi dajesz na http://www.wklej.eu a w poście dajesz tylko link