prosze o przejrzenie logów combofix

[amik]

Witam wszystkich.
Bardzo proszę o przejrzenie logów combofix z 2maszyn. są tutaj: http://www.wklej.eu/index.php?id=32c813bfb3.
Od 3 tygodni nie mogę sobie poradzić z jakimś paskudztwem . ESET wykrywa i neutralizuje na penie:

"F:\d6fagcs8.cmd Win32/PSW.OnLineGames.NLI koń trojański wyleczony przez usunięcie"

ale problem powraca. Skanowanie i adware nic nie zmieniło. Nie jestem pewien, która maszyna (czy może obie) a pen krąży pomiędzy nimi.
Pozdrawiam.

[huber2t]

otwórz notatnik i wklej

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Menu"=-

Z menu Notatnika Plik Zapisz jako Zmień rozszerzenie z .txt na wszystkie pliki zapisz pod nazwą Fix.reg

Uruchom ten plik, uruchom ponownie komputer

Podłącz wszystkie dyski wymienne i przeskanuj ponownie combofixem

[amik]

dzięki za pomoc

oba kompy?

[huber2t]

Daj z dwóch komputerów log z combofix

[amik]

jest w linku z tematem

[huber2t]

oki, ale mi chodziło o nowe logi

[amik]

oto łącze: http://www.wklej.eu/index.php?id=6c54b516ae

[huber2t]

pierwszy log:

usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.

Przeczyść komputer Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum

lub

Dr.WEB CureIt!

Drugi log:
Pobierz ComboFix, ale nie uruchamiaj
Wklej do notatnika:

Kod: Zaznacz wszystko

File::
c:\program files\1031.mst
c:\program files\1040.mst
c:\program files\1036.mst
c:\program files\1034.mst
c:\program files\1043.mst
c:\program files\setup.exe
c:\program files\1033.mst
c:\program files\Data1.cab
c:\program files\Setup.ini
c:\program files\0x040c.ini
c:\program files\0x040a.ini
c:\program files\0x0407.ini
c:\program files\0x0410.ini
c:\program files\0x0413.ini
c:\program files\0x0409.ini
c:\program files\msi31.exe


Plik zapisz jako CFScript.txt.
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->

Rozpocznie się usuwanie i powstanie log, który dasz na forum.

Logi dajesz na http://www.wklej.eu a w poście dajesz tylko link

[amik]

szybki jesteś:O

serdeczne dzięki

[huber2t]

jesli juz jest ok, to dla drugiego komputera wykonaj to co dla pierwszego

[amik]

dla drugiego kompa (tylko combofix+skrypt) log wygląda tak:
http://www.wklej.eu/index.php?id=75f9a68a87
pierwszy zajmie mi chwilkę

[huber2t]

Czysto

[amik]

z pierwszym jest gorzej:(

kasperskiego właśnie puściłem, ale wcześniej zapora ESET:
2008-11-07 19:26:22?Wykryto atak z preparowaniem pakietów dla pamięci podręcznej ARP???0???

logi jak skończy skanować

[amik]

logi kaspersky'go:

http://www.wklej.eu/index.php?id=4e647bae02

oraz

http://www.wklej.eu/index.php?id=596f8459a1

ESET daje:
2008-11-08 22:09:53 Wykryto atak z preparowaniem pakietów dla pamięci podręcznej ARP 0
i
2008-11-08 22:09:50 Odmowa połączeń na podstawie reguły 192.168.100.1:1900 239.255.255.250:1900 UDP Blokuj przychodzące żądania protokołu SSDP (UPNP) C:\WINDOWS\system32\svchost.exe ZARZĄDZANIE NT\USŁUGA LOKALNA

tam, gdzie zabroniłem
wykańcza mnie to

[huber2t]

Usuń to:
C:\BANK\neostrada\ultraVNC\Setup-UltraVNC-RC109-Win32.exe[/quote]

Co do tych pakietów to nie wiem