Przyniosłem do domu jakiegoś robaka na pendrivie - logi

Wykonałem czyszczenie rejestru i autostartu. Szczerze mówiąc nie wyłączałem firewalla przy skanowaniu combofixem. Czy powinienem najpierw przeinstalować firewalla a potem użyć SmitFraudFix czy odwrotnie?

Ostatnio edytowany przez Mateusz77771986 16 Cze 2009, 23:14, edytowano w sumie 2 razy

Firewall nie uruchomił się przy restarcie?
Kolejność jest obojętna.

Nie restartowałem, a firewalla już odinstalowałem. Już trudno. Przeinstaluję i wtedy uruchomię SmitFraudFix.

Log z log z SmitFraudFix: http://wklej.eu/index.php?id=12ae15f8ab

Co do firewalla to nie wyłączyłem go przy pierwszym skanowaniu combofixem, potem przy SDFix, potem to już nie było czego wyłączać

[HKLM\\~\\startupfolder\\C:^Documents and Settings^Anna^Menu Start^Programy^Autostart^winsys.exe.lnk]
path=c:\\documents and settings\\Anna\\Menu Start\\Programy\\Autostart\\winsys.exe.lnk
backup=c:\\windows\\pss\\winsys.exe.lnkStartup

[HKLM\\~\\startupfolder\\C:^Documents and Settings^Anna^Menu Start^Programy^Autostart^winword.exe.lnk]
path=c:\\documents and settings\\Anna\\Menu Start\\Programy\\Autostart\\winword.exe.lnk
backup=c:\\windows\\pss\\winword.exe.lnkStartup

Te zastanawiające wpisy jak i te linijki w "uruchamianie" to pozostałość po jakimś złośliwym trojanie którego usunąłem kilka miesięcy temu, chciał coś uporoczywie ściągać, firewall zablokował te połączenia. W podobnym czasie pojawiło się to:

[HKLM\\~\\startupfolder\\C:^Documents and Settings^Anna^Menu Start^Programy^Autostart^PowerReg Scheduler.exe]
path=c:\\documents and settings\\Anna\\Menu Start\\Programy\\Autostart\\PowerReg Scheduler.exe
backup=c:\\windows\\pss\\PowerReg Scheduler.exeStartup

Pozostałe wpisy mogą być również dziełem tego trojana, z tego co widze to wykorzystywał procesy czy tylko ich nazwy, które wtedy były włączone.

Wszystkie te rzeczy są od dawna wyłączone z autostartu i nie miałem żadnych problemów. Chciałbym się tego pozbyć, zarówno tych wpisów jak i tych linijek w "uruchamianie". Jeśli pojawią się potem jakieś problemy ze skanerem czy Xfire bądź innym to po prostu sobie przeinstaluje.

Wybierz opcję 2 w SmitFraudFix i daj nowy log z niego.

Podaj log z HijackThis. Instrukcja viewtopic.php?f=22&t=13967

Logi dajesz na wklej.org, a w poście podajesz tylko link.


Te wpisy usuń CCleanerem. Zakładka Narzędzia Autostart.

Te wpisy usuń CCleanerem. Zakładka Narzędzia Autostart.

Serdecznie dziękuję.

Log z SmitFraudFix: http://wklej.eu/index.php?id=92eb585eeb
Log z HiJackThis: http://wklej.eu/index.php?id=94334f3f7b

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O15 - Trusted Zone: http://asia.msi.com.tw
O15 - Trusted Zone: http://global.msi.com.tw
O15 - Trusted Zone: http://www.msi.com.tw
O16 - DPF: {8167C273-DF59-4416-B647-C8BB2C7EE83E} (WebSDev Control) - http://liveupdate.msi.com.tw/autobios/L ... nstall.cab

Fix w HijackThis. Instrukcja viewtopic.php?f=22&t=13967

Usuń ręcznie folder C:\Qoobox oraz instalkę Combofixa z dysku.

Przeczyść system i rejestr CCleaner

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu http://support.microsoft.com/kb/310405/pll

Przeskanuj obszar całego systemu Kaspersky Online Scanner Następnie daj raport na forum.
lub użyj
Dr.WEB CureIt!

Dla odmiany przeskanowałem Kasperskim, Log: http://wklej.eu/index.php?id=e955966520

Czy folder C:/SDFix też można usunąć? Mam jeszcze jedno pytanie odnośnie Flash Disinfector. Czy jeśli na pendrivie coś było, to czy zostane o tym poinformowany? Skanowałem swoje pendrivy, za każdym razem dostaje jedynie informacje że zakończono.

Powinny być dwa komunikaty. Jeżeli drugi to "Done !!", znaczy to, że czyszczenie zostało zakończone.

Pobierz The Avenger, zaznacz poniższy tekst

Files to delete:
C:\Documents and Settings\Anna\Pulpit\ŚMIECI MATEUSZA\Program_II_SE.rar
D:\OBRAZY\AKTORZY\TOM CRUISE\o0056163_069.jpg
D:\OBRAZY\AKTORZY\TOM CRUISE\o0056163_071.jpg
D:\ANNA-PROGRAMY\MOJE PROGRAMY\dap 5\dap74.exe
D:\ZORRO\autoall.rar

Folders to delete:
C:\Documents and Settings\Anna\DoctorWeb\Quarantine

Skopiuj Kliknij na Paste Script from Clipboard Execute Potwierdzasz i zgadzasz się na restart klikając OK.
Po wykonaniu skasuj z dysku C:\Avenger\backup.zip i wklej raport na forum C:\avenger.txt

Powinny być dwa komunikaty.

Rozumiem że jeśli była infekcja, to pierwszy komunikat będzie zawierał informacje o niej, tak?

Log z Avenger: http://wklej.eu/index.php?id=30c0273c02

Niezależnie czy była infekcja komunikat się pokaże.

Folder i pliki zostały usunięte.

Folder i pliki zostały usunięte.

Jeszcze raz bardzo dziękuję za fachową pomoc.

Niezależnie czy była infekcja komunikat się pokaże.

Chyba nie możemy się zrozumieć. Chciałbym wiedzieć czy program poinformuje mnie o infekcji jeśli taka byłą. Komunikat oczywiście pokazuje się ale jedynie o tym, że zakończył czyszczenie. Samo "Done" nie zawiera żadnych istotnych informacji. Jeśli program nie informuje, że infekcja byłą to poszukam innego, który dostarcza informacji na ten temat.

Jeśli program nie informuje, że infekcja byłą to poszukam innego, który dostarcza informacji na ten temat.

Jeśli była, to została usunięta i inny program nic nie znajdzie.
Zobacz viewtopic.php?f=22&t=13967#p88739
Tutaj masz dokładnie opisane działanie programu Flash Disinfector.

Interesuje mnie informacja czy był wirus czy nie było. A program informuje mnie jedynie o tym że zakończył proces czyszczenia.

Informacja pojawia się tylko wtedy gdy pendrive lub inne urządzenie przenośne jest podłączone do komputera oraz gdy zakończono proces. Innych komunikatów, etc. nie będzie.