Proszę o sprawdzenie loga

Post31 maja 2009, 11:48

Bardzo was proszę o sprawdzenie loga z Combofixa... Combofix pokazuje że mam rotkita. Pomóżcie

A to log:
Dostępne tylko dla zarejestrowanych użytkowników

Post31 maja 2009, 12:52

Scan tym ---> http://www.hotfix.pl/articles.php?article_id=55

=======
K.

Post31 maja 2009, 17:37

Przesyłam log z Malwarebytes. Skanowałem dwa razy. Za pierwszym razem program wykrył 4 zaifekowane obiekty, które usunąłem, jednak w wyniku burzy wyłączył mi się komputer i log się nie zapisał. Ta wklejka jest z drugiego skanowania

Co dalej?
Log: Dostępne tylko dla zarejestrowanych użytkowników

Post31 maja 2009, 17:40

Jak wszystko usunąłeś to dobrze. Dodatkowo możesz przeskanować skanerem online => Dostępne tylko dla zarejestrowanych użytkowników i usunąć to co znalazł (skaner online tylko skanuje, nie usuwa wirusów) bądź jak nie będziesz pewny czy można dany plik usunąć, to daj raport na forum

Post31 maja 2009, 17:58

Zaraz przeskanuje. Dodam tylko że te cztery obiekty, które znalazł Malwarebytes, znajdują się w kwarantannie programu:
Podam ich typy:
1. Regue.FakeAlert
2. Regue.FakeAlert
3. Trojan.FakeAlert
4. Trojan.FakeAlert
Zaraz przeskanuje online. Dzięki za pomoc.

Post31 maja 2009, 18:01

Możesz usunąć te wirusy z kwarantanny

Post31 maja 2009, 21:33

Kaspersky nic nie wykazał, choć trwało to strasznie długo, bo najpierw musiałem ściągnąć nowszą jave, potem ściągały się aktualizacje i oprogramowanie (które nie wiem gdzie znajduje się na kompie) i potem dopiero był scan.

Ale martwi mnie jedno i może ty coś wymyślisz. Przed chwilą zrobiłem scan Combofixem i ciągle jest usuwany ten sam plik

Przed południem Cobofix pokazał mi że wykrył rotkita i pod spodem była ścieżka do tego usuwanego ciągle pliku

Martwię się - Będę ogromnie wdzięczny jeśli coś wydumasz

P
Log z Cobofixa: Dostępne tylko dla zarejestrowanych użytkowników

Post31 maja 2009, 21:40

w sumie te pliki które instalował kaspersky są w pamięci podręcznej mozilli czy innej przeglądarki. możesz je bezproblemowo usunąć przeglądarką albo ccleanerem czy innym do czyszczenia

Post01 cze 2009, 13:14

c:\windows\TEMP

Ehh, jestem "uczulony" na tego TEMP'a... Często są w nim Rootkitny na MBR dysku.

1. Wykonaj scan mbr.exe'em >>> viewtopic.php?f=32&t=885

2. Do Notatnika wklej:

Kod: Zaznacz cały

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"-
"MSMSGS"=-
"Odkurzacz-MCD"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"=-
"Ulead Memory Card Detector"=-
"LogitechCommunicationsManager"-
"LogitechQuickCamRibbon"=-
"SMSTray"=-
"MAAgent"=-
"SunJavaUpdateSched"-
"SkyTel"=-
"RTHDCPL"=-

[-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]

Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na: "Wszystkie pliki" >>> Zapisz jako FIX.REG>>>
plik uruchom (dwuklik i OK- zgódź się na dodanie do Rejestru).
Zrestartuj komputer.

3. Pobierz ---> Dostępne tylko dla zarejestrowanych użytkowników

Wklej do niego ten tekst:

Kod: Zaznacz cały

Files to delete:
c:\windows\TEMP\logishrd\LVPrcInj01.dll

Folders to delete:
c:\windows\TEMP\logishrd
c:\documents and settings\LocalService\IETldCache
c:\documents and settings\Admin\IECompatCache
c:\documents and settings\Admin\PrivacIE
c:\documents and settings\Admin\IETldCache
c:\documents and settings\Admin\Dane aplikacji\Hide IP NG

Drivers to delete:
80d938d2-7ac8-4f52-aded-6250056d8b34

Kopiujesz - Klikasz na Paste Script from Clipboard - Execute - Potwierdzasz i zgadzasz się na restart klikając OK.
Po wykonaniu skasuj z dysku plik: C:\Avenger\backup.zip i wklej raport na forum C:\avenger.txt

4. Wrzucasz najnowszy log z ComboFixa.

==========================
K.

Post01 cze 2009, 17:52

Zrobiłem wszystko krok po kroku, ale nie znalazłem u siebie pliku: C:\Avenger\backup.zip który miałem usunąć.

Poza tym komputer zrestartował mi się dziwnie dwa razy

Podsyłam raport C:\avenger.txt: Dostępne tylko dla zarejestrowanych użytkowników
A za chwilę, dam log z Combofixa

Post01 cze 2009, 18:06

Deletion of folder "c:\windows\TEMP\logishrd" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

WTF?! Wg Avengera - nie ma takiego Folderu.

Pokaż log z mbr.exe

=======
K.

Post01 cze 2009, 18:29

Log z Combofixa: Dostępne tylko dla zarejestrowanych użytkowników
Log mbr.exe: Dostępne tylko dla zarejestrowanych użytkowników

Post02 cze 2009, 07:28

Usuwamy, usuwamy i chyba zbytecznie.

Znalazłem w logu z GMERa, jakiejś osoby taki wpis:

C:\WINDOWS\TEMP\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.)

To chyba jest o kamerki Logitech - posiadasz taką lub coś z firmy Logitech?
Tak więc - log jest czysty.

============
K.

Post02 cze 2009, 12:03

Tak mam kamerkę Logitechu

Tak więc teraz nie ma już infekcji?

Post02 cze 2009, 15:35

Nie ma...

=========
K.