Bardzo proszę o sprawdzenie loga (Combofix, Hijackthis)

[brzewa]

Proszę o pomoc
http://www.wklej.eu/index.php?id=143e235db6 Combofix
http://www.wklej.eu/index.php?id=64c5b382b2 Hijackthis

[huber2t]

W logach nic nie widzę

usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.

Przeczyść komputer Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum

lub

Dr.WEB CureIt!

[brzewa]

Za chwilę podam raport z kaspersy'iego. Wydaje mi się, że jeszcze nie jest czysto. Przedtem avast wskazał mi C:\WINDOWS\SYSTEM32\KAMSOFT.EXE oraz E:\LKY.EXE W plikach autorun.inf na dysku C oraz E(pendrive) znajduje się adres strony internetowej.

[huber2t]

daj najpierw raport

[brzewa]

raport z kaspersy'iego komputer i pendrive
http://www.wklej.eu/index.php?id=e24af9de50

[huber2t]

Pobierz ComboFix, ale nie uruchamiaj
Wklej do notatnika:

Kod: Zaznacz wszystko

File::
C:\lky.exe
C:\Program Files\Tlen.pl\plugins\DozaKultury.tpl
E:\lky.exe

Folder::
C:\System Volume Information\_restore{1E5269AD-D30F-407C-A293-34B28FCF0B9B}\RP5
C:\System Volume Information\_restore{1E5269AD-D30F-407C-A293-34B28FCF0B9B}\RP6


Plik zapisz jako CFScript.txt.
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->

Rozpocznie się usuwanie. Logu nie dajesz,tylko skanujesz ponownie antywirusem

[brzewa]

Nie wiem czy to wina jakichś pozostałości na komputerze ale Internet zaczął strasznie mulić. Nie mogę przeprowadzić nawet skanowania kasperskym. Po włączeniu komputera, gdy kabel sieciowy jest odłączony pojawia się okienko połącz/pracuj w trybie offline. W plikach autorun.inf na dysku i pendrivie znajduje się coś takiego:

;kKAklS2A4oqLa23d4q3kajsApOLask52sas4aim5jeicKoLaw6l3ps2w3krLa0Ke9Ksk543lrq41isKa8qww1sSwr4rjDiwj4Doae3A
[AutoRun]
;Ar4saZwkmLokw2I13aKrloL0asd42K0i9fli24c0KwSjdSwcLoD3ikeskk3D230oo4fqswsA
open=0w.com
;kddd2idqLrD52dkwS59osla2Ilo2Sew3o3sKwoAsKk4OiJ02K4SaDa1k3lA0i43Lr4w5kdJK4sjsjo4
shell\open\Command=0w.com
;s3aKAi9L4S22ej2rd90O8k2qCls8ArowSiLkiaflKeJDq4i32IAess5aKDjnw3lk3Df
shell\open\Default=1
;d3qAoAkLpakr6jdoLwArpkocw2d34r7Zlw4s21Ds4aqd3w4w23Dlasi1Ka3DK1S7oL2l1iLsIKKsKl9fLZLsa
shell\explore\Command=0w.com
;m3w4LoisZaK28jSaJisllS2LqerDHnKUK1dS8s4qaow05rdLssrA5kaw4lD1Llkws43jLD5co59wDl03Ck

Udało się oto najświeższy raport z antywira:

--------------------------------------------------------------------------------
RAPORT KASPERSKY ONLINE SCANNER 7.0
sobota, 15 listopad 2008
System operacyjny: Microsoft Windows XP Professional Dodatek Service Pack 2 (build 2600)
Wersja Kaspersky Online Scanner: 7.0.26.12
Data ostatniej aktualizacji bazy danych: Friday, November 14, 2008 21:21:13
Liczba wpisów: 1385194
--------------------------------------------------------------------------------

Ustawienia skanowania:
Typ bazy danych użytej do skanowania: rozszerzona
Skanuj archiwa: tak
Skanuj pocztowe bazy danych: tak

Obszar skanowania - Mój komputer:
C:\
E:\

Statystyki skanowania:
Przeskanowanych plików: 19104
Nazwa zagrożenia: 2
Zainfekowanych obiektów: 3
Podejrzanych obiektów: 0
Czas skanowania: 00:39:10


Nazwa pliku / Nazwa zagrożenia / Liczba zagrożeń
C:\lky.exe Zainfekowany: Trojan-GameThief.Win32.Magania.akfj 1
C:\Program Files\Tlen.pl\plugins\DozaKultury.tpl Zainfekowany: not-a-virus:AdWare.Win32.Doza.a 1
E:\lky.exe Zainfekowany: Trojan-GameThief.Win32.Magania.akfj 1

Wybrany obszar został przeskanowany.

Nie wiem czy tak być powinno ale wczoraj gdy dodałem CFScript do ComboFix to pojawił się komunikat informujący o nieprawidłowej nazwie.

[huber2t]

Pobierz ComboFix, ale nie uruchamiaj
Wklej do notatnika:

Kod: Zaznacz wszystko

File::
C:\lky.exe
C:\Program Files\Tlen.pl\plugins\DozaKultury.tpl
E:\lky.exe


Plik zapisz jako CFScript.txt.
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->

Rozpocznie się usuwanie.

[brzewa]

Do tej pory popełniałem chyba błąd ponieważ nie usuwałem z dysku instalki. Dlatego wyskakiwał błąd w Combofixie że nazwa CfScript jest niepoprawna. Oto najnowszy raport z kasperskiego.

--------------------------------------------------------------------------------
RAPORT KASPERSKY ONLINE SCANNER 7.0
sobota, 15 listopad 2008
System operacyjny: Microsoft Windows XP Professional Dodatek Service Pack 2 (build 2600)
Wersja Kaspersky Online Scanner: 7.0.26.12
Data ostatniej aktualizacji bazy danych: Saturday, November 15, 2008 14:00:08
Liczba wpisów: 1385907
--------------------------------------------------------------------------------

Ustawienia skanowania:
Typ bazy danych użytej do skanowania: rozszerzona
Skanuj archiwa: tak
Skanuj pocztowe bazy danych: tak

Obszar skanowania - Mój komputer:
C:\
E:\

Statystyki skanowania:
Przeskanowanych plików: 19146
Nazwa zagrożenia: 3
Zainfekowanych obiektów: 14
Podejrzanych obiektów: 0
Czas skanowania: 00:40:32


Nazwa pliku / Nazwa zagrożenia / Liczba zagrożeń
C:\lky.exe Zainfekowany: Trojan-GameThief.Win32.Magania.akfj 1
C:\WINDOWS\system32\kamsoft.exe Zainfekowany: Trojan-GameThief.Win32.Magania.akhq 1
C:\0w.com Zainfekowany: Trojan-GameThief.Win32.Magania.akhq 1
C:\Program Files\Tlen.pl\plugins\DozaKultury.tpl Zainfekowany: not-a-virus:AdWare.Win32.Doza.a 1
C:\System Volume Information\_restore{1E5269AD-D30F-407C-A293-34B28FCF0B9B}\RP8\A0003089.exe Zainfekowany: Trojan-GameThief.Win32.Magania.akhq 1
C:\System Volume Information\_restore{1E5269AD-D30F-407C-A293-34B28FCF0B9B}\RP8\A0003091.com Zainfekowany: Trojan-GameThief.Win32.Magania.akhq 1
C:\System Volume Information\_restore{1E5269AD-D30F-407C-A293-34B28FCF0B9B}\RP8\A0003108.com Zainfekowany: Trojan-GameThief.Win32.Magania.akhq 1
C:\System Volume Information\_restore{1E5269AD-D30F-407C-A293-34B28FCF0B9B}\RP8\A0004109.com Zainfekowany: Trojan-GameThief.Win32.Magania.akhq 1
C:\System Volume Information\_restore{1E5269AD-D30F-407C-A293-34B28FCF0B9B}\RP8\A0004195.com Zainfekowany: Trojan-GameThief.Win32.Magania.akhq 1
C:\System Volume Information\_restore{1E5269AD-D30F-407C-A293-34B28FCF0B9B}\RP8\A0005195.com Zainfekowany: Trojan-GameThief.Win32.Magania.akhq 1
C:\System Volume Information\_restore{1E5269AD-D30F-407C-A293-34B28FCF0B9B}\RP8\A0005214.COM Zainfekowany: Trojan-GameThief.Win32.Magania.akhq 1
C:\System Volume Information\_restore{1E5269AD-D30F-407C-A293-34B28FCF0B9B}\RP8\A0006214.COM Zainfekowany: Trojan-GameThief.Win32.Magania.akhq 1
E:\lky.exe Zainfekowany: Trojan-GameThief.Win32.Magania.akfj 1
E:\0w.com Zainfekowany: Trojan-GameThief.Win32.Magania.akhq 1

Wybrany obszar został przeskanowany.

Mam nadzieje, że teraz się uda. Co z tymi plikami autorun.inf?

[huber2t]

Pobierz The Avenger

wklej do niego ten tekst:

Kod: Zaznacz wszystko

Files to delete:
C:\lky.exe
C:\WINDOWS\system32\kamsoft.exe
C:\0w.com
C:\Program Files\Tlen.pl\plugins\DozaKultury.tpl
E:\lky.exe
E:\0w.com

Folders to delete:
C:\System Volume Information\_restore{1E5269AD-D30F-407C-A293-34B28FCF0B9B}\RP8


kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.
Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

[brzewa]

raport z avengera:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\lky.exe" deleted successfully.
File "C:\WINDOWS\system32\kamsoft.exe" deleted successfully.
File "C:\0w.com" deleted successfully.
File "C:\Program Files\Tlen.pl\plugins\DozaKultury.tpl" deleted successfully.

Error: could not open file "E:\lky.exe"
Deletion of file "E:\lky.exe" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist


Error: could not open file "E:\0w.com"
Deletion of file "E:\0w.com" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist

Folder "C:\System Volume Information\_restore{1E5269AD-D30F-407C-A293-34B28FCF0B9B}\RP8" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

[huber2t]

Ok, czy już jest ok?

[brzewa]

Niestety pendrive nie jest czysty. Wydaje mi się, że winę mają tutaj pliki autorun.inf bowiem w nich jest 0w.com i ciągle ściąga się na nowo. Do tego nie można włączyć pokazywania plików ukrytych.

--------------------------------------------------------------------------------
RAPORT KASPERSKY ONLINE SCANNER 7.0
sobota, 15 listopad 2008
System operacyjny: Microsoft Windows XP Professional Dodatek Service Pack 2 (build 2600)
Wersja Kaspersky Online Scanner: 7.0.26.12
Data ostatniej aktualizacji bazy danych: Saturday, November 15, 2008 17:00:04
Liczba wpisów: 1386089
--------------------------------------------------------------------------------

Ustawienia skanowania:
Typ bazy danych użytej do skanowania: rozszerzona
Skanuj archiwa: tak
Skanuj pocztowe bazy danych: tak

Obszar skanowania - Mój komputer:
C:\
E:\

Statystyki skanowania:
Przeskanowanych plików: 18861
Nazwa zagrożenia: 2
Zainfekowanych obiektów: 2
Podejrzanych obiektów: 0
Czas skanowania: 00:39:30


Nazwa pliku / Nazwa zagrożenia / Liczba zagrożeń
E:\lky.exe Zainfekowany: Trojan-GameThief.Win32.Magania.akfj 1
E:\0w.com Zainfekowany: Trojan-GameThief.Win32.Magania.akhq 1

Wybrany obszar został przeskanowany.

[huber2t]

Dysk E:\ musi być podłączony!

Pobierz The Avenger

wklej do niego ten tekst:

Kod: Zaznacz wszystko

Files to delete:
E:\lky.exe
E:\0w.com


kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.
Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

[brzewa]

Niestety ale to nie pomaga

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: could not open file "E:\lky.exe"
Deletion of file "E:\lky.exe" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist


Error: could not open file "E:\0w.com"
Deletion of file "E:\0w.com" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist


Completed script processing.

*******************

Finished! Terminate.