bullet utworzono 28 marca 2009 utworzono 28 marca 2009 (edytowane) ComboFix 09-03-27.02 - TOSHIBA 2009-03-28 20:20:50.1 - [b]FAT32[/b]x86Microsoft Windows XP Professional 5.1.2600.3.1250.1.1045.18.1014.352 [GMT 1:00]Uruchomiony z: c:\documents and settings\TOSHIBA\Pulpit\ComboFix.exeAV: avast! antivirus 4.8.1335 [VPS 090327-0] *On-access scanning enabled* (Updated) * Utworzono nowy punkt przywracania.((((((((((((((((((((((((((((((((((((((( Usunięto ))))))))))))))))))))))))))))))))))))))))))))))))).c:\windows\system32\x64.((((((((((((((((((((((((((((((((((((((( Sterowniki/Usługi ))))))))))))))))))))))))))))))))))))))))))))))))).-------\Service_PCIDump((((((((((((((((((((((((( Pliki utworzone od 2009-02-28 do 2009-03-28 ))))))))))))))))))))))))))))))).2009-03-21 13:21 . 2009-03-21 13:21 <DIR> d--hs---- C:\FOUND.0012009-03-04 00:40 . 2009-03-04 00:40 <DIR> d-------- c:\documents and settings\TOSHIBA\.gstreamer-0.102009-03-04 00:27 . 2009-03-04 00:27 <DIR> d-------- c:\program files\Nowe Gadu-Gadu2009-03-04 00:27 . 2009-03-04 00:27 <DIR> d-------- c:\documents and settings\TOSHIBA\Dane aplikacji\Nowe Gadu-Gadu.(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))).2009-02-19 15:58 --------- d-----w c:\program files\MSN Messenger2009-02-09 14:07 1,847,040 ----a-w c:\windows\system32\win32k.sys2009-02-09 14:07 1,847,040 ----a-w c:\windows\system32\dllcache\win32k.sys2009-01-16 20:30 3,594,752 ----a-w c:\windows\system32\dllcache\mshtml.dll2009-01-07 19:59 32 ----a-w c:\documents and settings\All Users\Dane aplikacji\ezsid.dat.((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))..*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane REGEDIT4[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Common Files\Ahead\Lib\NMBgMonitor.exe" [2006-10-09 139264]"Gadu-Gadu"="c:\program files\Gadu-Gadu\gg.exe" [2008-03-20 2127296]"MsnMsgr"="c:\program files\MSN Messenger\MsnMsgr.Exe" [2007-09-04 6856704]"Nowe Gadu-Gadu"="c:\program files\Nowe Gadu-Gadu\gg.exe" [2009-02-27 9339496]"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000]"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-01-13 131072]"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-01-13 163840]"Persistence"="c:\windows\system32\igfxpers.exe" [2007-01-13 135168]"RemoteControl"="c:\program files\CyberLink\PowerDVD\PDVDServ.exe" [2007-02-07 71216]"LanguageShortcut"="c:\program files\CyberLink\PowerDVD\Language\Language.exe" [2007-02-07 54832]"NeroFilterCheck"="c:\program files\Common Files\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]"AzMixerSel"="c:\program files\Realtek\InstallShield\AzMixerSel.exe" [2005-06-12 53248]"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-12-21 136600]"High Definition Audio Property Page Shortcut"="CHDAudPropShortcut.exe" [2006-04-17 c:\windows\system32\CHDAudPropShortcut.exe][HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360][HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\system32\\sessmgr.exe"="c:\\Program Files\\Skype\\Phone\\Skype.exe"="c:\\Program Files\\MSN Messenger\\msnmsgr.exe"="c:\\Program Files\\Nowe Gadu-Gadu\\gg.exe"=R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-12-16 114768]R2 {95808DC4-FA4A-4c74-92FE-5B863F82066B};{95808DC4-FA4A-4c74-92FE-5B863F82066B};c:\program files\CyberLink\PowerDVD\[u]0[/u]00.fcl [2006-11-02 16:51:58 13560]R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2008-12-16 20560].Zawartość folderu 'Zaplanowane zadania'2009-03-27 c:\windows\Tasks\Norton Security Scan for TOSHIBA.job- c:\program files\Norton Security Scan\Nss.exe [2009-03-11 20:20]..------- Skan uzupełniający -------.IE: E&ksportuj do programu Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000FF - ProfilePath - c:\documents and settings\TOSHIBA\Dane aplikacji\Mozilla\Firefox\Profiles\ivzhldig.default\FF - prefs.js: browser.startup.homepage - hxxp://www.o2.pl/FF - plugin: c:\documents and settings\TOSHIBA\Dane aplikacji\Mozilla\Firefox\Profiles\ivzhldig.default\extensions\{eaf8a4ef-d221-45ca-9deb-d0934b45fa34}\plugins\npOggX.dll.**************************************************************************catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.netRootkit scan 2009-03-28 20:23:36Windows 5.1.2600 Dodatek Service Pack 3 FAT NTAPIskanowanie ukrytych procesów ... skanowanie ukrytych wpisów autostartu ... skanowanie ukrytych plików ... skanowanie pomyślnie ukończoneukryte pliki: 0**************************************************************************[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\{95808DC4-FA4A-4c74-92FE-5B863F82066B}]"ImagePath"="\??\c:\program files\CyberLink\PowerDVD\[u]0[/u]00.fcl".------------------------ Pozostałe uruchomione procesy ------------------------.c:\program files\ALWIL SOFTWARE\AVAST4\ASWUPDSV.EXEc:\program files\ALWIL SOFTWARE\AVAST4\ASHSERV.EXEc:\program files\ALWIL SOFTWARE\AVAST4\ASHDISP.EXEc:\program files\COMMON FILES\AHEAD\LIB\NMINDEXSTORESVR.EXEc:\program files\JAVA\JRE6\BIN\JQS.EXEc:\program files\CYBERLINK\SHARED FILES\RICHVIDEO.EXEc:\program files\ALWIL SOFTWARE\AVAST4\ASHMAISV.EXEc:\program files\ALWIL SOFTWARE\AVAST4\ASHWEBSV.EXEc:\windows\SYSTEM32\WBEM\WMIAPSRV.EXE.**************************************************************************.Czas ukończenia: 2009-03-28 20:25:03 - komputer został uruchomiony ponownieComboFix-quarantined-files.txt 2009-03-28 19:25:00Przed: 11 702 419 456 bajtów wolnychPo: 12,358,533,120 bajtów wolnychWindowsXP-KB310994-SP2-Pro-BootDisk-PLK.exe[boot loader]timeout=2default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS[operating systems]c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdconsmulti(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect112 --- E O F --- 2009-03-17 23:14:53
Mateusz J. komentarz 28 marca 2009 komentarz 28 marca 2009 Do notatnika wklej: Folder::C:\FOUND.001 W notatniku zakladka Plik ==> Zapisz jako ==> zapisz pod nazwą CFScript.txt i zapisz go w tym katalogu co ściągnięty i zapisany został combofix Na ikonę ComboFix przeciągasz zrobiony plik CFScript.txt Tak jak na obrazku: Rozpocznie się usuwanie i powstanie log , który pokazujesz na forum. Wyłącz na chwilę przywracanie systemu. Wywal folder c:\QooBox. Przeskanuj obszar komputera skanerem online Kaspersky
bullet komentarz 28 marca 2009 Autor komentarz 28 marca 2009 ComboFix 09-03-27.02 - TOSHIBA 2009-03-28 22:01:02.2 - [b]FAT32[/b]x86Microsoft Windows XP Professional 5.1.2600.3.1250.1.1045.18.1014.530 [GMT 1:00]Uruchomiony z: c:\documents and settings\TOSHIBA\Pulpit\ComboFix.exeUżyto następujących komend :: c:\documents and settings\TOSHIBA\Pulpit\CFScript.txtAV: avast! antivirus 4.8.1335 [VPS 090327-0] *On-access scanning enabled* (Updated) * Utworzono nowy punkt przywracania.((((((((((((((((((((((((((((((((((((((( Usunięto ))))))))))))))))))))))))))))))))))))))))))))))))).C:\FOUND.001c:\found.001\FILE0000.CHKc:\found.001\FILE0001.CHKc:\found.001\FILE0002.CHKc:\found.001\FILE0003.CHKc:\found.001\FILE0004.CHKc:\found.001\FILE0005.CHKc:\found.001\FILE0006.CHKc:\found.001\FILE0007.CHKc:\found.001\FILE0008.CHK.((((((((((((((((((((((((( Pliki utworzone od 2009-02-28 do 2009-03-28 ))))))))))))))))))))))))))))))).2009-03-04 00:40 . 2009-03-04 00:40 <DIR> d-------- c:\documents and settings\TOSHIBA\.gstreamer-0.102009-03-04 00:27 . 2009-03-04 00:27 <DIR> d-------- c:\program files\Nowe Gadu-Gadu2009-03-04 00:27 . 2009-03-04 00:27 <DIR> d-------- c:\documents and settings\TOSHIBA\Dane aplikacji\Nowe Gadu-Gadu.(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))).2009-02-19 15:58 --------- d-----w c:\program files\MSN Messenger2009-02-09 14:07 1,847,040 ----a-w c:\windows\system32\win32k.sys2009-02-09 14:07 1,847,040 ----a-w c:\windows\system32\dllcache\win32k.sys2009-01-16 20:30 3,594,752 ----a-w c:\windows\system32\dllcache\mshtml.dll2009-01-07 19:59 32 ----a-w c:\documents and settings\All Users\Dane aplikacji\ezsid.dat.((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))..*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane REGEDIT4[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Common Files\Ahead\Lib\NMBgMonitor.exe" [2006-10-09 139264]"Gadu-Gadu"="c:\program files\Gadu-Gadu\gg.exe" [2008-03-20 2127296]"MsnMsgr"="c:\program files\MSN Messenger\MsnMsgr.Exe" [2007-09-04 6856704]"Nowe Gadu-Gadu"="c:\program files\Nowe Gadu-Gadu\gg.exe" [2009-02-27 9339496]"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000]"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-01-13 131072]"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-01-13 163840]"Persistence"="c:\windows\system32\igfxpers.exe" [2007-01-13 135168]"RemoteControl"="c:\program files\CyberLink\PowerDVD\PDVDServ.exe" [2007-02-07 71216]"LanguageShortcut"="c:\program files\CyberLink\PowerDVD\Language\Language.exe" [2007-02-07 54832]"NeroFilterCheck"="c:\program files\Common Files\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]"AzMixerSel"="c:\program files\Realtek\InstallShield\AzMixerSel.exe" [2005-06-12 53248]"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-12-21 136600]"High Definition Audio Property Page Shortcut"="CHDAudPropShortcut.exe" [2006-04-17 c:\windows\system32\CHDAudPropShortcut.exe][HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360][HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\system32\\sessmgr.exe"="c:\\Program Files\\Skype\\Phone\\Skype.exe"="c:\\Program Files\\MSN Messenger\\msnmsgr.exe"="c:\\Program Files\\Nowe Gadu-Gadu\\gg.exe"=R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-12-16 114768]R2 {95808DC4-FA4A-4c74-92FE-5B863F82066B};{95808DC4-FA4A-4c74-92FE-5B863F82066B};c:\program files\CyberLink\PowerDVD\[u]0[/u]00.fcl [2006-11-02 16:51:58 13560]R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2008-12-16 20560].Zawartość folderu 'Zaplanowane zadania'2009-03-27 c:\windows\Tasks\Norton Security Scan for TOSHIBA.job- c:\program files\Norton Security Scan\Nss.exe [2009-03-11 20:20]..------- Skan uzupełniający -------.IE: E&ksportuj do programu Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000FF - ProfilePath - c:\documents and settings\TOSHIBA\Dane aplikacji\Mozilla\Firefox\Profiles\ivzhldig.default\FF - prefs.js: browser.startup.homepage - hxxp://www.o2.pl/FF - plugin: c:\documents and settings\TOSHIBA\Dane aplikacji\Mozilla\Firefox\Profiles\ivzhldig.default\extensions\{eaf8a4ef-d221-45ca-9deb-d0934b45fa34}\plugins\npOggX.dll.**************************************************************************catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.netRootkit scan 2009-03-28 22:01:58Windows 5.1.2600 Dodatek Service Pack 3 FAT NTAPIskanowanie ukrytych procesów ... skanowanie ukrytych wpisów autostartu ... skanowanie ukrytych plików ... skanowanie pomyślnie ukończoneukryte pliki: 0**************************************************************************[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\{95808DC4-FA4A-4c74-92FE-5B863F82066B}]"ImagePath"="\??\c:\program files\CyberLink\PowerDVD\[u]0[/u]00.fcl".Czas ukończenia: 2009-03-28 22:02:47ComboFix-quarantined-files.txt 2009-03-28 21:02:46ComboFix2.txt 2009-03-28 19:25:06Przed: 12 331 319 296 bajtów wolnychPo: 12,323,094,528 bajtów wolnych98 --- E O F --- 2009-03-17 23:14:53
dzodzo komentarz 28 marca 2009 komentarz 28 marca 2009 Wyłącz na chwilę przywracanie systemu krok po kroku http://support.microsoft.com/kb/310405/pl Przeskanuj obszar komputera skanerem online Kaspersky http://www.kaspersky.pl/resources/virussca...kavwebscan.html
Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!
Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.