Podłączony zaifekowany pendrive, proszę o sprawdzenie logów

[drdala]

Witam do mojego komputera zostałpodłączoy pendrive który był zainfekowany i nie wiem czy komputer został przez to zarażoy czy nie. Bardzo proszę o sprawdzenie logów.
otl
http://www.wklej.org/id/660242/
extras
http://www.wklej.org/id/660244/
gmer

Kod: Zaznacz wszystko

GMER 1.0.15.15641 - http://www.gmer.net
Rootkit quick scan 2012-01-03 22:05:15
Windows 5.1.2600 Dodatek Service Pack 3 Harddisk0\DR0 -> \Device\00000063 SAMSUNG_SP2004C rev.VM100-41
Running: c1lttkxj.exe; Driver: C:\DOCUME~1\Admin\USTAWI~1\Temp\pxtdrpow.sys


---- System - GMER 1.0.15 ----

Code            \??\C:\DOCUME~1\Admin\USTAWI~1\Temp\catchme.sys  pIofCallDriver

---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Ntfs \Ntfs                           eamon.sys (Amon monitor/ESET)
AttachedDevice  \FileSystem\Fastfat \Fat                         eamon.sys (Amon monitor/ESET)
AttachedDevice  \FileSystem\Fastfat \Fat                         fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice  \Driver\Tcpip \Device\Ip                         NVTcp.sys (NVIDIA Networking Protocol Driver./NVIDIA Corporation)
AttachedDevice  \Driver\Tcpip \Device\Tcp                        NVTcp.sys (NVIDIA Networking Protocol Driver./NVIDIA Corporation)

---- Threads - GMER 1.0.15 ----

Thread          System [4:388]                                   8625C161
Thread          System [4:420]                                   854D1930
Thread          System [4:1004]                                  84D63C30

---- EOF - GMER 1.0.15 ----

[wojtas]

Uruchom narzędzie Kaspersky TDSSKiller gdyby coś znalazł wybierz opcję Skip i wklej tylko raport

Daj loga z Combofixa

[drdala]

kasperskytdsskiller
http://www.wklej.org/id/660270/
combofix
http://www.wklej.org/id/660271/
log z combofixa jest sprzed ponad godziny, mam nadzieje ze to nie przeszkadza a jak przeszkadza to mogę oczywiście zrobic nowy

[wojtas]

odpal Kaspra teraz z opcji Cure

Otworz notatnik i wklej w nim to:

Folder::
c:\documents and settings\Admin\Ustawienia lokalne\Dane aplikacji\8b9f7d73
c:\documents and settings\All Users\Dane aplikacji\Babylon
c:\documents and settings\Admin\Ustawienia lokalne\Dane aplikacji\Babylon
c:\documents and settings\Admin\Dane aplikacji\Babylon
c:\program files\E9026

>>Plik>>Zapisz jako... >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
-->
Rozpocznie się usuwanie i powstanie log daj go. + nowy log z OTL i Kaspra z wynikiem usuwania

[drdala]

log z combofixa
http://www.wklej.org/id/660308/
kaspersky
http://www.wklej.org/id/660310/
otl
http://www.wklej.org/id/660314/

[wojtas]

Uruchom OTL i w sekcji własne opcje skanowania / skrypt wklej:

:OTL
FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)"
FF - prefs.js..browser.search.defaulturl: "http://search.winamp.com/search/search?query={searchTerms}&invocationType=tb50-ff-winamp-chromesbox-en-us&tb_uuid=20111218163651250&tb_oid=22-12-2011&tb_mrud=22-12-2011&query="
FF - prefs.js..browser.search.order.1: "Search the web (Babylon)"
FF - prefs.js..browser.startup.homepage: "http://search.babylon.com/?babsrc=HP_Prot"
FF - prefs.js..keyword.URL: "http://slirsredirect.search.aol.com/redirector/sredir?sredir=2685&invocationType=tb50-ff-winamp-ab-en-us&tb_uuid=20111218163651250&tb_oid=22-12-2011&tb_mrud=22-12-2011&query="
[2011-12-18 17:34:29 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Admin\Dane aplikacji\OpenCandy

:Commands
[emptytemp]
[emptyflash]

Kliknij wykonaj skrypt. I potwierdź reset komputera .



Na klawiaturze znajdź przycisk z flagą Windows oraz R ( naciśnij oba) wyskoczy okienko, w którym wklej:

" C:\Documents and Settings\Admin\Pulpit\ComboFix.exe" /uninstall

i zatwierdź



*Uruchom OTL z opcji sprzątanie.
* wykonaj optymalizację Windowsa ( instrukcja dla Windowsa XP, lecz w innych systemach jest podobnie )
* zrób pełny skan Malwarebytes Anti-Malware (zaktualizuj, usuń co znajdzie )
* Skasuj stan przywracania systemu


Zaktualizuj zabezpieczenia:
>>> Adobe Reader (bez Free McAfee® Security Scan Plus)
>>> Java™ 6

napisz jak sytuacja z komputerem

[drdala]

w jaki sposób mam sprawdzić jaki jest stan komputera? bo już kończe.. jeszcze tylko dokończy się skan malwarebytes, zainstaluje adobe i jave i wszycho

oto wyik skanu
Malwarebytes Anti-Malware (Okres testowy) 1.60.0.1800
www.malwarebytes.org
Wersja bazy: v2012.01.04.03
Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Admin :: IZA [administrator]
Ochrona: Wyłączona
2012-01-04 18:25:00
mbam-log-2012-01-04 (18-51-39).txt
Typ skanowania: Pełne skanowanie
Zaznaczone opcje skanowania: Pamięć | Rozruch | Rejestr | System plików | Heurystyka/Dodatkowe | Heuristyka/Shuriken | PUP | PUM
Odznaczone opcje skanowania: P2P
Przeskanowano obiektów: 243892
Upłynęło: 24 minut(y), 20 sekund(y)
Wykrytych procesów w pamięci: 0
(Nie znaleziono zagrożeń)
Wykrytych modułów w pamięci: 0
(Nie znaleziono zagrożeń)
Wykrytych kluczy rejestru: 0
(Nie znaleziono zagrożeń)
Wykrytych wartości rejestru: 1
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings|ProxyServer (PUM.Bad.Proxy) -> Data: http=127.0.0.1:51758 -> Nie wykonano akcji.
Wykryte wpisy rejestru systemowego: 0
(Nie znaleziono zagrożeń)
wykrytych folderów: 0
(Nie znaleziono zagrożeń)
Wykrytych plików: 0
(Nie znaleziono zagrożeń)
(zakończone)

[wojtas]

no jak w jaki sposób ? sam oceń ? jak pracuje

[drdala]

mam nadzieję osatni raz:)
otl
http://www.wklej.org/id/661094/
extras
http://www.wklej.org/id/661095/
malwarebytes znalazł coś takiego:
http://www.wklej.org/id/661226/
usunąłem
dziś jak zrobiłem następny skan to już malwarebytes nic nie znalazł
i jak to wszystko wygląda nadal jest coś jeszcze nie tak z tym kompem?

Dodano Dzisiaj, 17:10:
Niestety nod coś znalazł
http://www.wklej.org/id/661428/
groźne to?

[wojtas]

usunął i tyle zabezpiecz się przez WWDC:

bad-generic-host-process-for-win32-services-vt79489.html