Przyniosłem do domu jakiegoś robaka na pendrivie - logi

[Mateusz77771986]

Wykonałem czyszczenie rejestru i autostartu. Szczerze mówiąc nie wyłączałem firewalla przy skanowaniu combofixem. Czy powinienem najpierw przeinstalować firewalla a potem użyć SmitFraudFix czy odwrotnie?

[Michael Parker]

Firewall nie uruchomił się przy restarcie?
Kolejność jest obojętna.

[Mateusz77771986]

Nie restartowałem, a firewalla już odinstalowałem. Już trudno. Przeinstaluję i wtedy uruchomię SmitFraudFix.

[Mateusz77771986]

Log z log z SmitFraudFix: http://wklej.eu/index.php?id=12ae15f8ab

Co do firewalla to nie wyłączyłem go przy pierwszym skanowaniu combofixem, potem przy SDFix, potem to już nie było czego wyłączać

[HKLM\\~\\startupfolder\\C:^Documents and Settings^Anna^Menu Start^Programy^Autostart^winsys.exe.lnk]
path=c:\\documents and settings\\Anna\\Menu Start\\Programy\\Autostart\\winsys.exe.lnk
backup=c:\\windows\\pss\\winsys.exe.lnkStartup

[HKLM\\~\\startupfolder\\C:^Documents and Settings^Anna^Menu Start^Programy^Autostart^winword.exe.lnk]
path=c:\\documents and settings\\Anna\\Menu Start\\Programy\\Autostart\\winword.exe.lnk
backup=c:\\windows\\pss\\winword.exe.lnkStartup

Te zastanawiające wpisy jak i te linijki w "uruchamianie" to pozostałość po jakimś złośliwym trojanie którego usunąłem kilka miesięcy temu, chciał coś uporoczywie ściągać, firewall zablokował te połączenia. W podobnym czasie pojawiło się to:

[HKLM\\~\\startupfolder\\C:^Documents and Settings^Anna^Menu Start^Programy^Autostart^PowerReg Scheduler.exe]
path=c:\\documents and settings\\Anna\\Menu Start\\Programy\\Autostart\\PowerReg Scheduler.exe
backup=c:\\windows\\pss\\PowerReg Scheduler.exeStartup

Pozostałe wpisy mogą być również dziełem tego trojana, z tego co widze to wykorzystywał procesy czy tylko ich nazwy, które wtedy były włączone.

Wszystkie te rzeczy są od dawna wyłączone z autostartu i nie miałem żadnych problemów. Chciałbym się tego pozbyć, zarówno tych wpisów jak i tych linijek w "uruchamianie". Jeśli pojawią się potem jakieś problemy ze skanerem czy Xfire bądź innym to po prostu sobie przeinstaluje.

[Michael Parker]

Wybierz opcję 2 w SmitFraudFix i daj nowy log z niego.

Podaj log z HijackThis. Instrukcja viewtopic.php?f=22&t=13967

Logi dajesz na wklej.org, a w poście podajesz tylko link.


Te wpisy usuń CCleanerem. Zakładka Narzędzia Autostart.

[Mateusz77771986]

Te wpisy usuń CCleanerem. Zakładka Narzędzia Autostart.

Serdecznie dziękuję.

Log z SmitFraudFix: http://wklej.eu/index.php?id=92eb585eeb
Log z HiJackThis: http://wklej.eu/index.php?id=94334f3f7b

[Michael Parker]

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O15 - Trusted Zone: http://asia.msi.com.tw
O15 - Trusted Zone: http://global.msi.com.tw
O15 - Trusted Zone: http://www.msi.com.tw
O16 - DPF: {8167C273-DF59-4416-B647-C8BB2C7EE83E} (WebSDev Control) - http://liveupdate.msi.com.tw/autobios/L ... nstall.cab

Fix w HijackThis. Instrukcja viewtopic.php?f=22&t=13967

Usuń ręcznie folder C:\Qoobox oraz instalkę Combofixa z dysku.

Przeczyść system i rejestr CCleaner

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu http://support.microsoft.com/kb/310405/pll

Przeskanuj obszar całego systemu Kaspersky Online Scanner Następnie daj raport na forum.
lub użyj
Dr.WEB CureIt!

[Mateusz77771986]

Dla odmiany przeskanowałem Kasperskim, Log: http://wklej.eu/index.php?id=e955966520

Czy folder C:/SDFix też można usunąć? Mam jeszcze jedno pytanie odnośnie Flash Disinfector. Czy jeśli na pendrivie coś było, to czy zostane o tym poinformowany? Skanowałem swoje pendrivy, za każdym razem dostaje jedynie informacje że zakończono.

[Michael Parker]

Powinny być dwa komunikaty. Jeżeli drugi to "Done !!", znaczy to, że czyszczenie zostało zakończone.

Pobierz The Avenger, zaznacz poniższy tekst

Files to delete:
C:\Documents and Settings\Anna\Pulpit\ŚMIECI MATEUSZA\Program_II_SE.rar
D:\OBRAZY\AKTORZY\TOM CRUISE\o0056163_069.jpg
D:\OBRAZY\AKTORZY\TOM CRUISE\o0056163_071.jpg
D:\ANNA-PROGRAMY\MOJE PROGRAMY\dap 5\dap74.exe
D:\ZORRO\autoall.rar

Folders to delete:
C:\Documents and Settings\Anna\DoctorWeb\Quarantine

Skopiuj Kliknij na Paste Script from Clipboard Execute Potwierdzasz i zgadzasz się na restart klikając OK.
Po wykonaniu skasuj z dysku C:\Avenger\backup.zip i wklej raport na forum C:\avenger.txt

[Mateusz77771986]

Powinny być dwa komunikaty.

Rozumiem że jeśli była infekcja, to pierwszy komunikat będzie zawierał informacje o niej, tak?

Log z Avenger: http://wklej.eu/index.php?id=30c0273c02

[Michael Parker]

Niezależnie czy była infekcja komunikat się pokaże.

Folder i pliki zostały usunięte.

[Mateusz77771986]

Folder i pliki zostały usunięte.

Jeszcze raz bardzo dziękuję za fachową pomoc.

Niezależnie czy była infekcja komunikat się pokaże.

Chyba nie możemy się zrozumieć. Chciałbym wiedzieć czy program poinformuje mnie o infekcji jeśli taka byłą. Komunikat oczywiście pokazuje się ale jedynie o tym, że zakończył czyszczenie. Samo "Done" nie zawiera żadnych istotnych informacji. Jeśli program nie informuje, że infekcja byłą to poszukam innego, który dostarcza informacji na ten temat.

[Michael Parker]

Jeśli program nie informuje, że infekcja byłą to poszukam innego, który dostarcza informacji na ten temat.

Jeśli była, to została usunięta i inny program nic nie znajdzie.
Zobacz viewtopic.php?f=22&t=13967#p88739
Tutaj masz dokładnie opisane działanie programu Flash Disinfector.

[Mateusz77771986]

Interesuje mnie informacja czy był wirus czy nie było. A program informuje mnie jedynie o tym że zakończył proces czyszczenia.

[Michael Parker]

Informacja pojawia się tylko wtedy gdy pendrive lub inne urządzenie przenośne jest podłączone do komputera oraz gdy zakończono proces. Innych komunikatów, etc. nie będzie.