Logi ComboFix - prosba o analize win agent32 i Tracking Cookies

[znamsienatym]

Witam,

Antywirus znalazl mi takie trojany jak w temacie, prosba o analize logow z ComboFIX :

http://wklej.org/id/292775/

Dziekuje za pomoc

[ordynat]

ComboFix nie wszystko usunął, więc:
Wklej do Notatnika:

Kod:

File::
c:\windows\system32\drivers\cuzpaemx.sys

Driver::
cuzpaemx

Rootkit::
c:\windows\system32\drivers\cuzpaemx.sys

Folder::
c:\users\Mateusz\AppData\Roaming\lowsec

Registry::
[-HKEY_LOCAL_MACHINE\system\ControlSet001\Services\cuzpaemx]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

>>Plik>>Zapisz jako... >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe 
        -------->
Ma się rozpocząć usuwanie. (i powstanie log).
Daj ten log, który powstanie w trakcie usuwania.
.

[znamsienatym]

Witam,

Log po wykonaniu zalecenia. Podejrzewam ze moge miec cos na pendrive generalnie :

http://wklej.org/id/292890/

[ordynat]

Nic tu nie wskazuje na infekcję pendrivową.
Oczywiście na penie mogą być różne infekcje, ale nie są zaliczane do typowo pendrivowych.

ComboFix nie poradził sobie z usunięciem tego półRootkita, więc:
Ściągnij -->Avenger.
wklej do niego ten tekst:

Kod:

Files to delete:
c:\windows\system32\drivers\cuzpaemx.sys
C:\Users\Mateusz\AppData\Local\Tempjg3224.html
C:\Users\Mateusz\AppData\Local\TempCm3224.html
C:\Users\Mateusz\AppData\Local\TempHi2504.html
C:\Users\Mateusz\AppData\Local\TempzR2504.html
C:\Users\Mateusz\AppData\Local\TempdB5820.html
C:\Users\Mateusz\AppData\Local\Tempha5820.html
C:\Users\Mateusz\AppData\Roaming\pdytbs.dat

Registry keys to delete:
HKEY_LOCAL_MACHINE\system\ControlSet001\Services\cuzpaemx

Drivers to delete:
cuzpaemx

Registry values to delete:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {AEB6717E-7E19-11d0-97EE-00C04FD91972}

Folders to delete:
C:\Qoobox

Kliknij w "Execute" i zatwierdź restart komputera.
Zrestartuj komputer.
Daj Raport z Avengera z C:\avenger.txt.
.

[znamsienatym]

Witam,

Dzieki, oto link do loga z avenger'a : http://wklej.org/id/293440/

[ordynat]

Trochę mnie niepokoi to, że Avenger nie znalazł usługi "cuzpaemx".
Teraz nie wiem, czy tej usługi już nie ma, czy może ma inną nazwę.
Przydałyby się logi:
1) z ComboFixa
2) albo z >>SRENG albo z  GMER http://www.bezpieczenstwosystemow.pl/index.php?topic=21.0, na ustawieniu:
>>gmer>>Rootkit>>zaznacz tylko "Usługi" i "Pokaż wszystko">>Szukaj>
.

[znamsienatym]

Witam,

wykonalem zalecenia, prosze :

Combofix : -> http://wklej.org/id/294103/

SRENG :    -> http://wklej.org/id/294099/

GMER'em probowalem na wszelkie mozliwe sposoby ale niestety nastepuje nieprzewidywalny, samoczynny restart kompa.

Dzieki za pomoc.

[ordynat]

Niepotrzebnie się niepokoiłem, bo jest czysto.

Usuń ręcznie folder C:\Qoobox.
.

[znamsienatym]

Ordynat,

Naprawde dziekuje za pomoc. Pzdr.

[ordynat]

Pewnie już tu nie zajrzysz, ale jeśli ...
Uruchom System Repair Engineer> zakładka "System Repair" >>karta "BrowserAdd-ons">
>wyszukaj i zaznaczaj w polu "CLSID 1" po kolei te:

{D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A}
{E2883E8F-472F-4FB0-9522-AC9BF37916A7}
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}
{2318C2B1-4965-11D4-9B18-009027A5CD4F}
{39F7E362-828A-4B5A-BCAF-5B79BFDFEA60}
{602ADB0E-4AFF-4217-8AA1-95DAC4DFA408}
{6D53EC84-6AAE-4787-AEEE-F4628F01010C}
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}
{7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA}
{83FF80F4-8C74-4B80-B5BA-C8DDD434E5C4}
{AA58ED58-01DD-4D91-8333-CF10577473F7}
{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}
{F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D}
{D18A0B52-D63C-4ED0-AFC6-C1E3DC1AF43A}

i klikaj na przycisk "Delete Selected".

To tylko kosmetyka.
.

Zamykam temat ze względu na brak odzewu przez 2 tygodnie
ordynat
.