x-kom hosting

win32/virut.NBP!?

consafo
utworzono
utworzono

Witam.

Zacznę od tego iż nie mam pojęcia skąd to dziadostwo mam. Fakty są jednak takie, robal atakuje wszystkie rozszerzenia EXE. Skan nodem nic nie daje, leczenie nie pomaga, usunąć w awaryjnym mogę, oczywiscie, ale robić back-upy wszystkich execów ( 2430 plików :D) to spory problem, poza tym oczywiscie wirus siedzi na explorer.exe i innych systemowych plikach. Po zgooglowaniu dowiedziałem się ze aktualizacja noda do wersji bazy 4035 zawiera właśnie wpis o tym wirusie, pewnie dlatego zaczął go wykrywać.

Combofix wskazuje że mam nieaktualną wersję, bądź komp jest zaatakowany virutem. nod remote na pendrivie też nic nie pomaga ( w systemie nod32.exe też oczywiście z virutem ). Komp raczej bardzo sie nie muli, największy problem sprawia nod który debuguje mi programy, gdy noda wyłączę wszystko śmiga ładnie. Szukam rozwiązania bez formatu kompa, o ile wogóle takie jest możliwe.

Będę wdzięczny za pomoc. Z góry dziekuję.

Gość
komentarz
komentarz

Przeskanuj tym: Dr.WEB CureIt!.

.

consafo
komentarz
komentarz
Przeskanuj tym: Dr.WEB CureIt!.

.

Pomogło:D .THX. Uważałem NODa za najlepszego antyvira. Cóż przeliczyłem sie :P.

consafo
komentarz
komentarz
Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum..
RAPORT z kasperskiego :sobota, 25 kwiecień 2009System operacyjny: Microsoft Windows XP Home Edition Dodatek Service Pack 2 (build 2600)Wersja Kaspersky Online Scanner: 7.0.26.12Data ostatniej aktualizacji bazy danych: Saturday, April 25, 2009 19:15:27Liczba wpisów: 2078344Ustawienia skanowaniaTyp bazy danych użytej do skanowania 	rozszerzonaSkanuj archiwa 	takSkanuj pocztowe bazy danych 	takObszar skanowania 	Mój komputerC:\D:\E:\F:\G:\Statystyki skanowaniaPrzeskanowanych plików 	137085Nazwa zagrożenia 	4Zainfekowanych obiektów 	20Podejrzanych obiektów 	0Czas skanowania 	02:35:49Nazwa pliku 	Nazwa zagrożenia 	Liczba zagrożeńC:\windows\system32\nmdfgds0.dll/C:\windows\system32\nmdfgds0.dll	Zainfekowany: Trojan-GameThief.Win32.WOW.lmf	11	C:\Documents and Settings\HaPszzz\DoctorWeb\Quarantine\sgseerhdfg48.exe	Zainfekowany: Packed.Win32.Koblu.b	1	C:\Documents and Settings\HaPszzz\Ustawienia lokalne\temp\Temporary Internet Files\Content.IE5\6N6BGXYV\help[1].rar	Zainfekowany: Trojan.Win32.RaMag.a	1	C:\npee.com	Zainfekowany: Trojan-GameThief.Win32.WOW.lmf	1	C:\WINDOWS\system32\nmdfgds0.dll	Zainfekowany: Trojan-GameThief.Win32.WOW.lmf	1	C:\WINDOWS\system32\nmdfgds1.dll	Zainfekowany: Trojan-GameThief.Win32.WOW.lmf	1	C:\WINDOWS\system32\olhrwef.exe	Zainfekowany: Trojan-GameThief.Win32.WOW.lmf	1	D:\npee.com	Zainfekowany: Trojan-GameThief.Win32.WOW.lmf	1	E:\Gender\forum gender\mirc632.exe	Zainfekowany: not-a-virus:Client-IRC.Win32.mIRC.632	1	E:\npee.com	Zainfekowany: Trojan-GameThief.Win32.WOW.lmf	1	Wybrany obszar został przeskanowany.
Gość
komentarz
komentarz

Spoko, Viruta już nie ma.

Pobierz ---> The Avenger

Wklej do niego ten tekst:

Files to delete:C:\windows\system32\nmdfgds0.dllC:\windows\system32\nmdfgds1.dllC:\windows\system32\nmdfgds2.dllC:\windows\system32\nmdfgds3.dllC:\npee.com	C:\WINDOWS\system32\olhrwef.exe	   D:\npee.com	E:\Gender\forum gender\mirc632.exe   E:\npee.com   Folders to delete:C:\Documents and Settings\HaPszzz\DoctorWeb\QuarantineC:\Documents and Settings\HaPszzz\Ustawienia lokalne\temp\Temporary Internet Files

Kopiujesz - Klikasz na Paste Script from Clipboard - Execute - Potwierdzasz i zgadzasz się na restart klikając OK.

Po wykonaniu skasuj z dysku plik: C:\Avenger\backup.zip i wklej raport na forum C:\avenger.txt.

Możesz jeszcze dać log z ComboFixa (widać pliki infekcji z pendrivie'a). :)

.

consafo
komentarz
komentarz

LOG Z AVENGERA

Logfile of The Avenger Version 2.0, ? by Swandog46http://swandog46.geekstogo.comPlatform:  Windows XP*******************Script file opened successfully.Script file read successfully.Backups directory opened successfully at C:\Avenger*******************Beginning to process script file:Rootkit scan active.No rootkits found!File "C:\windows\system32\nmdfgds0.dll" deleted successfully.File "C:\windows\system32\nmdfgds1.dll" deleted successfully.Error:  file "C:\windows\system32\nmdfgds2.dll" not found!Deletion of file "C:\windows\system32\nmdfgds2.dll" failed!Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)  --> the object does not existError:  file "C:\windows\system32\nmdfgds3.dll" not found!Deletion of file "C:\windows\system32\nmdfgds3.dll" failed!Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)  --> the object does not existFile "C:\npee.com" deleted successfully.File "C:\WINDOWS\system32\olhrwef.exe" deleted successfully.File "D:\npee.com" deleted successfully.File "E:\Gender\forum gender\mirc632.exe" deleted successfully.File "E:\npee.com" deleted successfully.Folder "C:\Documents and Settings\HaPszzz\DoctorWeb\Quarantine" deleted successfully.Folder "C:\Documents and Settings\HaPszzz\Ustawienia lokalne\temp\Temporary Internet Files" deleted successfully.Completed script processing.*******************Finished!  Terminate.

LOG Z COMBOFIXA

ComboFix 09-04-25.A3 - HaPszzz 2009-04-26 11:10:30.4 - NTFSx86Microsoft Windows XP Home Edition  5.1.2600.2.1250.48.1045.18.2039.1514 [GMT 2:00]Uruchomiony z: C:\Documents and Settings\HaPszzz\Moje dokumenty\Downloads\Programs\ComboFix.exeAV: ESET NOD32 Antivirus 4.0 *On-access scanning disabled* (Updated)FW: Outpost Firewall Pro *disabled* * Utworzono nowy punkt przywracaniaUWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !!.[i] ADS - ntoskrnl.exe: deleted 22464 bytes in 4 streams. [/i](((((((((((((((((((((((((((((((((((((((   Usunięto   ))))))))))))))))))))))))))))))))))))))))))))))))).C:\Autorun.infC:\Program Files\ThunMailC:\windows\Install.txtC:\windows\system32\comsa32.sysC:\windows\system32\sopidkc.exeC:\windows\system32\tpszxyd.sysC:\windows\system32\twain32C:\windows\system32\twain32\local.dsC:\windows\system32\twain32\user.dsC:\windows\system32\twex.exeC:\windows\system32\w.exeC:\windows\TEMP\mta109008.dllD:\Autorun.infE:\Autorun.inf.(((((((((((((((((((((((((((((((((((((((   Sterowniki/Usługi   ))))))))))))))))))))))))))))))))))))))))))))))))).-------\Legacy_IAS-------\Legacy_SOPIDKC-------\Service_sopidkc(((((((((((((((((((((((((   Pliki utworzone od 2009-05-26 do 2009-4-26  ))))))))))))))))))))))))))))))).2009-04-26 00:35:06 . 2009-04-26 00:34:38	107157	--sh--r	C:\eyt.exe2009-04-25 14:30:57 . 2009-04-25 14:30:56	112640	------w	C:\windows\system32\VT100.EXE2009-04-25 12:23:32 . 2009-04-26 09:02:03	0	d-----w	C:\Documents and Settings\HaPszzz\DoctorWeb2009-04-24 12:37:21 . 2009-04-24 12:37:25	66048	----a-w	C:\windows\system32\1B.tmp2009-04-24 12:37:18 . 2009-04-24 12:37:21	1	----a-w	C:\windows\system32\18.tmp2009-04-24 12:37:12 . 2009-04-24 12:37:18	84	----a-w	C:\windows\system32\11.tmp2009-04-24 10:27:16 . 2009-04-24 10:27:16	0	----a-w	C:\windows\system32\1DF.tmp2009-04-23 19:50:48 . 2009-04-24 13:59:32	0	d-----w	C:\windows\system32\33612009-04-23 19:50:44 . 2009-04-24 13:52:29	0	d-----w	C:\windows\dhcp2009-04-23 19:50:05 . 2009-04-23 19:50:05	3584	----a-w	C:\Documents and Settings\HaPszzz\iexplore.exe2009-04-22 19:09:57 . 2009-04-22 19:09:57	0	d-----w	C:\Program Files\Sony Setup2009-04-19 22:01:47 . 2009-04-19 22:01:47	0	d-----w	C:\Documents and Settings\All Users\Dane aplikacji\ALM2009-04-15 12:47:15 . 2009-04-15 12:47:15	0	dc----w	C:\Documents and Settings\All Users\Dane aplikacji\{92E7A367-8E12-4830-AA70-29C32E331A81}2009-04-08 23:55:42 . 2009-04-08 23:55:42	664	----a-w	C:\windows\system32\d3d9caps.dat2009-04-08 23:06:38 . 2009-04-09 00:03:09	0	d-----w	C:\windows\SxsCaPendDel2009-04-08 11:05:12 . 2009-04-24 19:43:39	0	d-----w	C:\Program Files\CachemanXP2009-04-08 01:06:17 . 2009-04-08 01:06:17	271360	----a-w	C:\windows\system32\drivers\atksgt.sys2009-04-08 01:06:17 . 2009-04-08 01:06:17	18048	----a-w	C:\windows\system32\drivers\lirsgt.sys2009-04-07 23:29:39 . 2009-04-07 23:29:39	0	d-----w	C:\Program Files\Alcohol Soft2009-04-07 22:49:34 . 2009-04-07 22:49:35	717296	----a-w	C:\windows\system32\drivers\sptd.sys2009-04-06 12:19:55 . 2009-04-06 12:19:55	0	d-----w	C:\Documents and Settings\All Users\Dane aplikacji\Trymedia2009-04-05 15:56:32 . 2009-04-05 15:56:32	0	d-----w	C:\Program Files\Common Files\SWF Studio2009-04-05 15:56:27 . 2009-04-05 16:05:01	0	d---a-w	C:\Documents and Settings\All Users\Dane aplikacji\TEMP2009-04-04 07:58:57 . 2009-04-04 07:58:57	0	d-----w	C:\Program Files\MSBuild2009-04-04 07:53:01 . 2009-04-04 08:20:33	0	d-----w	C:\windows\system32\XPSViewer2009-04-04 07:52:20 . 2009-04-04 07:52:20	0	d-----w	C:\Program Files\Reference Assemblies2009-04-04 07:52:07 . 2006-06-29 11:07:36	14048	------w	C:\windows\system32\spmsg2.dll2009-04-01 09:22:31 . 2009-04-01 09:22:16	410984	----a-w	C:\windows\system32\deploytk.dll2009-03-31 17:20:16 . 2009-03-09 13:27:22	453456	----a-w	C:\windows\system32\d3dx10_41.dll2009-03-31 17:20:16 . 2009-03-09 13:27:22	1846632	----a-w	C:\windows\system32\D3DCompiler_41.dll2009-03-31 17:20:15 . 2009-03-09 13:27:22	4178264	----a-w	C:\windows\system32\D3DX9_41.dll2009-03-31 17:20:14 . 2009-03-16 12:18:32	69448	----a-w	C:\windows\system32\XAPOFX1_3.dll2009-03-31 17:20:14 . 2009-03-16 12:18:32	517448	----a-w	C:\windows\system32\XAudio2_4.dll2009-03-31 17:20:12 . 2009-03-16 12:18:32	235352	----a-w	C:\windows\system32\xactengine3_4.dll2009-03-31 17:20:09 . 2009-03-16 12:18:32	22360	----a-w	C:\windows\system32\X3DAudio1_6.dll2009-03-30 21:01:41 . 2009-04-08 18:19:39	0	d-----w	C:\windows\system32\xlive2009-03-29 17:38:16 . 2009-03-29 17:38:16	0	d-----w	C:\Documents and Settings\HaPszzz\.gstreamer-0.102009-03-28 15:48:03 . 2009-04-24 12:46:25	0	d-----w	C:\Program Files\KM Remote.((((((((((((((((((((((((((((((((((((((((   Sekcja Find3M   )))))))))))))))))))))))))))))))))))))))))))))))))))).2009-04-26 09:06:55 . 2006-03-02 12:00:00	95070	----a-w	C:\windows\system32\perfc015.dat2009-04-26 09:06:55 . 2006-03-02 12:00:00	512720	----a-w	C:\windows\system32\perfh015.dat2009-04-26 09:02:03 . 2009-04-26 09:01:33	2884	----a-w	C:\avenger.txt2009-04-25 16:02:35 . 2009-03-09 16:47:33	0	d-----w	C:\Program Files\Odkurzacz 10.0 Pro2009-04-25 12:26:08 . 2006-03-02 12:00:00	53760	----a-w	C:\windows\system32\rundll32.exe2009-04-25 12:25:43 . 2006-03-02 12:00:00	35840	----a-w	C:\windows\system32\ctfmon.exe2009-04-25 12:25:38 . 2009-03-10 12:41:20	1054208	----a-w	C:\windows\explorer.exe2009-04-25 12:19:37 . 2009-03-06 12:20:39	2146432	---ha-w	C:\windows\system32\ntoskrnl.exe2009-04-25 09:50:34 . 2006-03-02 12:00:00	45056	----a-w	C:\windows\system32\alg.exe2009-04-25 00:53:39 . 2008-10-05 14:06:54	0	d-----w	C:\Program Files\Unlocker2009-04-24 19:53:18 . 2009-01-18 02:00:40	0	d-----w	C:\Program Files\Windows Media Connect 22009-04-24 19:52:46 . 2008-10-15 14:22:07	0	d-----w	C:\Program Files\Real Alternative2009-04-24 19:52:43 . 2008-10-05 13:27:23	0	d-----w	C:\Program Files\QuickTime2009-04-24 19:51:29 . 2008-10-15 14:22:08	0	d-----w	C:\Program Files\Media Player Classic2009-04-24 19:51:27 . 2008-10-24 19:02:14	0	d-----w	C:\Program Files\MacSound2009-04-24 19:51:06 . 2008-10-08 09:12:05	0	d-----w	C:\Program Files\iScreamerRadio2009-04-24 19:43:34 . 2009-03-25 01:45:45	0	d-----w	C:\Program Files\ALLPlayer2009-04-24 13:46:21 . 2008-10-13 23:25:43	0	d-----w	C:\Program Files\Shut Down-O-Matic2009-04-24 13:45:38 . 2008-10-19 12:24:16	0	d-----w	C:\Program Files\NAPI-PROJEKT2009-04-24 13:35:49 . 2008-12-08 18:59:57	0	d-----w	C:\Program Files\Adobe Media Player2009-04-24 12:44:38 . 2009-03-09 13:17:54	0	d-----w	C:\Program Files\iPod2009-04-22 17:40:54 . 2008-10-05 14:02:19	0	d-----w	C:\Program Files\K-Lite Codec Pack2009-04-22 17:24:37 . 2008-10-05 14:01:16	0	d-----w	C:\Program Files\Common Files\Adobe2009-04-09 12:09:39 . 2009-03-06 12:20:40	11973	----a-w	C:\windows\system32\drivers\secdrv.sys2009-04-08 23:42:42 . 2008-10-05 15:05:12	0	d-----w	C:\Program Files\Java2009-04-08 22:05:11 . 2006-03-02 12:00:00	250624	--sha-r	C:\ntldr2009-04-08 22:04:51 . 2008-10-05 12:00:06	76487	----a-w	C:\windows\pchealth\helpctr\OfflineCache\index.dat2009-04-08 21:48:17 . 2009-03-09 03:47:20	0	d-----w	C:\Program Files\Tiger System Preferences v22009-04-08 18:16:54 . 2009-03-06 11:10:14	0	d-----w	C:\Program Files\Bonjour2009-04-08 18:16:17 . 2008-10-05 12:17:55	0	d--h--w	C:\Program Files\InstallShield Installation Information2009-04-08 10:33:22 . 2009-03-09 13:17:14	0	d-----w	C:\Program Files\Common Files\Apple2009-04-04 10:41:37 . 2008-10-05 12:23:04	0	d-----w	C:\Program Files\Intel2009-03-24 12:16:28 . 2008-10-05 14:09:54	53968	---ha-w	C:\windows\system32\mlfcache.dat2009-03-12 23:21:25 . 2009-03-12 23:20:53	0	d-----w	C:\Documents and Settings\All Users\Dane aplikacji\{00D89592-F643-4D8D-8F0F-AFAE0F14D4C3}2009-03-11 01:31:52 . 2008-10-05 13:37:45	0	d-----w	C:\Program Files\Nowe Gadu-Gadu2009-03-09 13:18:15 . 2009-03-09 13:17:51	0	d-----w	C:\Documents and Settings\All Users\Dane aplikacji\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}2009-03-09 03:08:29 . 2009-03-06 12:20:39	2188288	----a-w	C:\windows\system32\ntkrnlpa.exe2009-03-06 17:32:08 . 2008-10-05 13:23:44	0	d-----w	C:\Program Files\ESET2009-03-06 11:27:50 . 2009-03-06 11:27:50	0	d-----w	C:\Documents and Settings\All Users\Dane aplikacji\ESET2009-03-06 11:10:34 . 2008-10-21 07:44:06	0	d-----w	C:\Documents and Settings\All Users\Dane aplikacji\Apple Computer2009-03-06 11:04:40 . 2009-03-06 11:04:40	0	d-----w	C:\Documents and Settings\All Users\Dane aplikacji\Apple2009-02-26 00:02:53 . 2009-02-26 00:02:36	0	d-----w	C:\Program Files\Google2009-02-14 01:50:29 . 2009-02-14 01:50:29	9111	----a-w	C:\Documents.RPT2009-02-11 15:06:54 . 2009-02-11 15:06:54	4096	----a-w	C:\windows\d3dx.dat2009-02-07 23:28:05 . 2009-02-07 23:28:05	98304	----a-w	C:\windows\system32\CmdLineExt.dll.------- Sigcheck -------[7] 2004-08-03 22:38:58	2058112	44D1BC1B05E0C7C82E81687B79C653C7	C:\windows\ServicePackFiles\i386\ntkrnlpa.exe[-] 2009-03-09 03:08:29	2188288	3A23655E1066FB1181C7D40726D1C56B	C:\windows\system32\ntkrnlpa.exe[7] 2004-08-03 22:39:10	2182272	DCF53422B7EDDED3B7431FBAE4A7EE3F	C:\windows\ServicePackFiles\i386\ntoskrnl.exe[-] 2009-04-25 12:19:37	2146432	A9EF9436E028BCC739F77FB15697C907	C:\windows\system32\ntoskrnl.exe[-] 2009-04-25 12:25:38	1054208	5FAEA5E7849DC62A5DD299467210DF33	C:\windows\explorer.exe[-] 2006-03-02 12:00:00	2824192	AC09235F5641157364D9D7456FE4B5F9	C:\windows\ServicePackFiles\i386\EXPLORER.EXE[-] 2006-03-02 12:00:00	2824192	BE3FE9E2B970B00210109479B64DF06C	C:\windows\system32\dllcache\EXPLORER.EXE[-] 2006-03-02 12:00:00	15872	41FF94B96B3F675C0FE37610DA0B1507	C:\windows\ServicePackFiles\i386\CTFMON.EXE[-] 2009-04-25 12:25:43	35840	435DFA61CC88EB2B1255C6F2673856FE	C:\windows\system32\ctfmon.exe[-] 2006-03-02 12:00:00	15872	741075C2A96544A7BB2AC34A52123974	C:\windows\system32\dllcache\CTFMON.EXE[-] 2006-03-02 12:00:00	58368	8D05536822D072A2D84BDBA284B4D7A8	C:\windows\ServicePackFiles\i386\SPOOLSV.EXE[-] 2006-03-02 12:00:00	58368	D2C7D7E6C0ED1A444053FAB7214E9EF3	C:\windows\system32\spoolsv.exe[-] 2006-03-02 12:00:00	58368	3FE61AEB56D5C50B150E83EC2CC943DF	C:\windows\system32\dllcache\SPOOLSV.EXE[-] 2006-03-02 12:00:00	249344	D04174B652840215C64DB8212AF49B5A	C:\windows\ServicePackFiles\i386\WUAUCLT.EXE[-] 2008-10-16 13:09:44	874520	EDBA6A4BE0997562DF63F8B688014CDB	C:\windows\system32\wuauclt.exe[-] 2006-03-02 12:00:00	25600	F446C57A6998684AB4697ED6000FBC08	C:\windows\ServicePackFiles\i386\USERINIT.EXE[-] 2006-03-02 12:00:00	25600	1187C8AF744CA9C46369BB8E35507CD7	C:\windows\system32\userinit.exe[-] 2006-03-02 12:00:00	25600	AE885DCFFACBD3EECBBD0455220DFAEA	C:\windows\system32\dllcache\USERINIT.EXE.(((((((((((((((((((((((((((((((((((((   Wpisy startowe rejestru   ))))))))))))))))))))))))))))))))))))))))))))))))))..*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane  REGEDIT4[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"IDMan"="C:\Program Files\Internet Download Manager\IDMan.exe" [2008-09-01 23:56:48 2606512]"nodenable"="C:\Program Files\eset\nodenable.exe" [2008-09-23 15:48:39 326823]"WinExpose"="C:\Documents and Settings\HaPszzz\Pulpit\WinExpose\WinExpose.exe" [bU]"ALLUpdate"="C:\Program Files\ALLPlayer\ALLUpdate.exe" [2008-11-24 19:44:18 870400]"ctfmon.exe"="C:\windows\system32\ctfmon.exe" [2009-04-25 12:25:43 35840]"VT100 Emulator"="C:\windows\system32\VT100.EXE" [2009-04-25 14:30:56 112640][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"SoundMAXPnP"="C:\Program Files\Analog Devices\Core\smax4pnp.exe" [2009-04-25 12:24:49 892928]"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2009-04-25 12:25:34 847872]"Persistence"="C:\WINDOWS\system32\igfxpers.exe" [2007-05-18 19:50:16 138008]"IntelZeroConfig"="C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe" [2009-04-25 12:25:17 843776]"IntelWireless"="C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" [2009-04-25 12:25:11 995328]"UnlockerAssistant"="C:\Program Files\Unlocker\UnlockerAssistant.exe" [2008-03-01 05:10:57 16384]"egui"="C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" [2009-02-06 13:23:12 2021400]"SunJavaUpdateSched"="C:\Program Files\Java\jre6\bin\jusched.exe" [2009-04-01 09:22:17 148888]"AdobeCS4ServiceManager"="C:\Program Files\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe" [2008-08-14 05:58:34 611712]C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\WinZip Quick Pick.lnk - C:\Program Files\WinZip\WZQKPICK.EXE [2008-10-5 127040][HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]"SynchronousMachineGroupPolicy"= 0 (0x0)"SynchronousUserGroupPolicy"= 0 (0x0)[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]"NoStrCmpLogical"= 1 (0x1)[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]"NoSMBalloonTip"= 1 (0x1)"MemCheckBoxInRunDlg"= 0 (0x0)"NoResolveTrack"= 0 (0x0)"NoWelcomeScreen"= 1 (0x1)"NoRecentDocsNetHood"= 1 (0x1)[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]"Taskman"=""[HKLM\~\startupfolder\C:^Documents and Settings^HaPszzz^Menu Start^Programy^Autostart^Finderbar.lnk]path=C:\Documents and Settings\HaPszzz\Menu Start\Programy\Autostart\Finderbar.lnkbackup=C:\windows\pss\Finderbar.lnkStartup[HKLM\~\startupfolder\C:^Documents and Settings^HaPszzz^Menu Start^Programy^Autostart^MacSearch.lnk]path=C:\Documents and Settings\HaPszzz\Menu Start\Programy\Autostart\MacSearch.lnkbackup=C:\windows\pss\MacSearch.lnkStartup[HKLM\~\startupfolder\C:^Documents and Settings^HaPszzz^Menu Start^Programy^Autostart^Refresh Icon Cache.lnk]path=C:\Documents and Settings\HaPszzz\Menu Start\Programy\Autostart\Refresh Icon Cache.lnkbackup=C:\windows\pss\Refresh Icon Cache.lnkStartup[HKLM\~\startupfolder\C:^Documents and Settings^HaPszzz^Menu Start^Programy^Autostart^Styler toolbar.lnk]path=C:\Documents and Settings\HaPszzz\Menu Start\Programy\Autostart\Styler toolbar.lnkbackup=C:\windows\pss\Styler toolbar.lnkStartup[HKLM\~\startupfolder\C:^Documents and Settings^HaPszzz^Menu Start^Programy^Autostart^YzShadow.lnk]path=C:\Documents and Settings\HaPszzz\Menu Start\Programy\Autostart\YzShadow.lnkbackup=C:\windows\pss\YzShadow.lnkStartup[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]"Spooler"=2 (0x2)"Nakido"=2 (0x2)"Bonjour Service"=2 (0x2)"Apple Mobile Device"=2 (0x2)[HKEY_LOCAL_MACHINE\software\microsoft\security center]"AntiVirusDisableNotify"=dword:00000001"UpdatesDisableNotify"=dword:00000001[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]"EnableFirewall"= 0 (0x0)[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]"%windir%\\system32\\sessmgr.exe"="C:\\Program Files\\Nowe Gadu-Gadu\\gg.exe"="C:\\Program Files\\DNA\\btdna.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe"="C:\\Program Files\\Bonjour\\mDNSResponder.exe"="C:\\Program Files\\Common Files\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"="C:\\WINDOWS\\system32\\VT100.EXE"=[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]"5353:TCP"= 5353:TCP:Adobe CSI CS4R2 NOD32FiXTemDono;Eset Nod32 Boot;C:\windows\system32\regedt32.exe [2006-03-02 12:00:00 4096]R3 HP24X;HP PC Card Smart Card Reader;C:\windows\system32\DRIVERS\HP24X.sys [2006-10-18 23:23:00 33024]R3 UNDPR3K;UNDPR3K; [x]R4 Nakido;Nakido; [x]S1 ehdrv;ehdrv;C:\windows\system32\DRIVERS\ehdrv.sys [2009-02-06 13:23:18 106208]S1 epfwtdir;epfwtdir;C:\windows\system32\DRIVERS\epfwtdir.sys [2009-02-06 13:24:24 93336]S2 CachemanXPService;CachemanXP;C:\PROGRA~1\CachemanXP\CachemanXP.exe [2009-04-25 12:24:56 264704]S2 ekrn;ESET Service;C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe [2009-02-06 13:23:36 727720]S2 msncache;msncache;C:\windows\system32\svchost.exe [2006-03-02 12:00:00 14336][HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]HPZ12	REG_MULTI_SZ   	Pml Driver HPZ12 Net Driver HPZ12[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{03cd0fb6-e22f-11dd-b4da-001b776a2707}]\Shell\AutoRun\command - H:\ej10fkdo.bat\Shell\open\Command - H:\ej10fkdo.bat[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0f2c977a-fbde-11dd-b514-001b776a2707}]\Shell\AutoRun\command - ft96s.exe\Shell\open\Command - ft96s.exe[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0f2c9780-fbde-11dd-b514-001b776a2707}]\Shell\AutoRun\command - I:\DRIVE\file.exe\Shell\open\command - I:\DRIVE\file.exe[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{168cc968-9c50-11dd-b3fd-001cea2c318d}]\Shell\AutoRun\command - H:\0xuc.com\Shell\open\Command - H:\0xuc.com[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{28b8bb08-d83e-11dd-b4b4-001b776a2707}]\Shell\AutoRun\command - G:\setup.exe[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3efcedf0-f38b-11dd-b4fb-001b776a2707}]\Shell\AutoRun\command - I:\setup.exe[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6acc52cc-fc64-11dd-b516-001b776a2707}]\Shell\AutoRun\command - H:\ph.com\Shell\explore\Command - H:\ph.com\Shell\open\Command - H:\ph.com[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a0f2fe03-94a2-11dd-b3df-001cea2c318d}]\Shell\AutoRun\command - I:\setup.exe[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b95bc106-f841-11dd-b509-001b776a2707}]\Shell\AutoRun\command - I:\ft96s.exe\Shell\open\Command - I:\ft96s.exe[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e3bf4a1c-f6c5-11dd-b506-001b776a2707}]\Shell\AutoRun\command - H:\ph.com\Shell\explore\Command - H:\ph.com\Shell\open\Command - H:\ph.com.- - - - USUNIĘTO PUSTE WPISY - - - -HKCU-Run-cdoosoft - C:\windows\system32\olhrwef.exeNotify-dimsntfy - (no file).------- Skan uzupełniający -------.uStart Page = hxxp://www.google.pluDefault_Search_URL = hxxp://www.google.com/ieuSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8uInternet Settings,ProxyOverride = *.localuSearchURL,(Default) = hxxp://www.google.com/search?q=%sIE: Add to Google Photos Screensa&ver - C:\windows\system32\GPhotos.scr/200IE: Download FLV video content with IDM - C:\Documents and Settings\HaPszzz\Pulpit\IEGetVL.htmIE: Wyślij do urządzenia &Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htmIE: Ściągnij przez IDM - C:\Program Files\Internet Download Manager\IEExt.htmIE: Ściągnij wszystkie linki przez IDM - C:\Program Files\Internet Download Manager\IEGetAll.htmIE: Ściągnij zawartość wideo FLV przez IDM - C:\Program Files\Internet Download Manager\IEGetVL.htmDPF: {68282C51-9459-467B-95BF-3C0E89627E55} - hxxp://www.mks.com.pl/skaner/SkanerOnline.cabFF - ProfilePath - C:\Documents and Settings\HaPszzz\Dane aplikacji\Mozilla\Firefox\Profiles\tm3t81zp.default\FF - component: C:\Documents and Settings\HaPszzz\Dane aplikacji\IDM\idmmzcc2\components\idmmzcc.dllFF - plugin: C:\Program Files\Google\Picasa3\npPicasa3.dll.

DZIEKI !!!! :DDD FORUMPC RULEZ!!!!:D

ps. czy uważasz że co jakiś czas powinienem robić ten schemat tymi programami co mi pokazałeś? tak dla bezpieczeństwa. a może zmienić antywirusa?

Gość
komentarz
komentarz

Kaspersky on-line mnie zawiódł. :(

Wklej do Notatnika:

File::C:\eyt.exeD:\eyt.exeE:\eyt.exeC:\windows\system32\1B.tmpC:\windows\system32\18.tmpC:\windows\system32\11.tmpC:\windows\system32\1DF.tmpC:\windows\system32\3361C:\windows\dhcpC:\Documents and Settings\HaPszzz\iexplore.exeC:\windows\system32\drivers\atksgt.sysC:\windows\system32\drivers\lirsgt.sysC:\windows\system32\drivers\sptd.sysFolder::C:\Documents and Settings\HaPszzz\Pulpit\WinExposeC:\Program Files\BonjourNetSvc::msncacheDriver::UNDPR3KNakidoCachemanXPServicemsncacheRegistry::[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"IDMan"=-"nodenable"=-"WinExpose"=-"ALLUpdate"=-"VT100 Emulator"=-[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"SoundMAXPnP"=-"SynTPEnh"=-"Persistence"=-"UnlockerAssistant"=-"SunJavaUpdateSched"=-"AdobeCS4ServiceManager"=-[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]"Taskman"=-"Taskman"=""[-HKLM\~\startupfolder\C:^Documents and Settings^HaPszzz^Menu Start^Programy^Autostart^Finderbar.lnk][-HKLM\~\startupfolder\C:^Documents and Settings^HaPszzz^Menu Start^Programy^Autostart^MacSearch.lnk][-HKLM\~\startupfolder\C:^Documents and Settings^HaPszzz^Menu Start^Programy^Autostart^Refresh Icon Cache.lnk][-HKLM\~\startupfolder\C:^Documents and Settings^HaPszzz^Menu Start^Programy^Autostart^Styler toolbar.lnk][-HKLM\~\startupfolder\C:^Documents and Settings^HaPszzz^Menu Start^Programy^Autostart^YzShadow.lnk][HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]"C:\\Program Files\\Bonjour\\mDNSResponder.exe"=-[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

>>Plik>>Zapisz jako... >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

-->cfscriptb5b4me3.gif

Ma się rozpocząć usuwanie. (i powstanie log).Daj ten log, który powstanie w trakcie usuwania.

Jeśli pójdzie dobrze, to: Po restarcie usuń ręcznie folder C:\Qoobox.

.

consafo
komentarz
komentarz

Qoobox usuniety recznie

LOG Z COMBOFIXA

ComboFix 09-04-25.A3 - HaPszzz 2009-04-26 12:31:48.5 - NTFSx86Microsoft Windows XP Home Edition  5.1.2600.2.1250.48.1045.18.2039.1442 [GMT 2:00]Uruchomiony z: C:\Documents and Settings\HaPszzz\Moje dokumenty\Downloads\Programs\ComboFix.exeUżyto następujących komend :: C:\Documents and Settings\HaPszzz\Pulpit\CFScript.txtAV: ESET NOD32 Antivirus 4.0 *On-access scanning disabled* (Updated)FW: Outpost Firewall Pro *disabled* * Utworzono nowy punkt przywracaniaUWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !!FILE ::C:\Documents and Settings\HaPszzz\iexplore.exeC:\eyt.exeC:\windows\dhcpC:\windows\system32\11.tmpC:\windows\system32\18.tmpC:\windows\system32\1B.tmpC:\windows\system32\1DF.tmpC:\windows\system32\3361C:\windows\system32\drivers\atksgt.sysC:\windows\system32\drivers\lirsgt.sysC:\windows\system32\drivers\sptd.sysD:\eyt.exeE:\eyt.exe.(((((((((((((((((((((((((((((((((((((((   Usunięto   ))))))))))))))))))))))))))))))))))))))))))))))))).C:\Documents and Settings\HaPszzz\iexplore.exeC:\eyt.exeC:\Program Files\BonjourC:\Program Files\Bonjour\mdnsNSP.dllC:\Program Files\Bonjour\mDNSResponder.exeC:\windows\system32\11.tmpC:\windows\system32\18.tmpC:\windows\system32\1B.tmpC:\windows\system32\1DF.tmpC:\windows\system32\drivers\atksgt.sysC:\windows\system32\drivers\lirsgt.sysC:\windows\system32\drivers\sptd.sysC:\windows\TEMP\mta38785.dllD:\eyt.exeE:\eyt.exe.---- Poprzednie uruchomienie -------.C:\Autorun.infC:\Program Files\ThunMailC:\windows\Install.txtC:\windows\system32\comsa32.sysC:\windows\system32\sopidkc.exeC:\windows\system32\tpszxyd.sysC:\windows\system32\twain32C:\windows\system32\twain32\local.dsC:\windows\system32\twain32\user.dsC:\windows\system32\twex.exeC:\windows\system32\w.exeC:\windows\TEMP\mta109008.dllD:\Autorun.infE:\Autorun.inf.(((((((((((((((((((((((((((((((((((((((   Sterowniki/Usługi   ))))))))))))))))))))))))))))))))))))))))))))))))).-------\Legacy_IAS-------\Legacy_SOPIDKC-------\Service_sopidkc-------\Legacy_CACHEMANXPSERVICE-------\Legacy_MSNCACHE-------\Legacy_NAKIDO-------\Legacy_UNDPR3K-------\Service_CachemanXPService-------\Service_msncache-------\Service_Nakido-------\Service_UNDPR3K(((((((((((((((((((((((((   Pliki utworzone od 2009-05-26 do 2009-4-26  ))))))))))))))))))))))))))))))).2009-04-25 14:30:57 . 2009-04-25 14:30:56	112640	------w	C:\windows\system32\VT100.EXE2009-04-25 12:23:32 . 2009-04-26 09:02:03	0	d-----w	C:\Documents and Settings\HaPszzz\DoctorWeb2009-04-23 19:50:48 . 2009-04-24 13:59:32	0	d-----w	C:\windows\system32\33612009-04-23 19:50:44 . 2009-04-24 13:52:29	0	d-----w	C:\windows\dhcp2009-04-22 19:09:57 . 2009-04-22 19:09:57	0	d-----w	C:\Program Files\Sony Setup2009-04-19 22:01:47 . 2009-04-19 22:01:47	0	d-----w	C:\Documents and Settings\All Users\Dane aplikacji\ALM2009-04-15 12:47:15 . 2009-04-15 12:47:15	0	dc----w	C:\Documents and Settings\All Users\Dane aplikacji\{92E7A367-8E12-4830-AA70-29C32E331A81}2009-04-08 23:55:42 . 2009-04-08 23:55:42	664	----a-w	C:\windows\system32\d3d9caps.dat2009-04-08 23:06:38 . 2009-04-09 00:03:09	0	d-----w	C:\windows\SxsCaPendDel2009-04-08 11:05:12 . 2009-04-24 19:43:39	0	d-----w	C:\Program Files\CachemanXP2009-04-07 23:29:39 . 2009-04-07 23:29:39	0	d-----w	C:\Program Files\Alcohol Soft2009-04-06 12:19:55 . 2009-04-06 12:19:55	0	d-----w	C:\Documents and Settings\All Users\Dane aplikacji\Trymedia2009-04-05 15:56:32 . 2009-04-05 15:56:32	0	d-----w	C:\Program Files\Common Files\SWF Studio2009-04-05 15:56:27 . 2009-04-05 16:05:01	0	d---a-w	C:\Documents and Settings\All Users\Dane aplikacji\TEMP2009-04-04 07:58:57 . 2009-04-04 07:58:57	0	d-----w	C:\Program Files\MSBuild2009-04-04 07:53:01 . 2009-04-04 08:20:33	0	d-----w	C:\windows\system32\XPSViewer2009-04-04 07:52:20 . 2009-04-04 07:52:20	0	d-----w	C:\Program Files\Reference Assemblies2009-04-04 07:52:07 . 2006-06-29 11:07:36	14048	------w	C:\windows\system32\spmsg2.dll2009-04-01 09:22:31 . 2009-04-01 09:22:16	410984	----a-w	C:\windows\system32\deploytk.dll2009-03-31 17:20:16 . 2009-03-09 13:27:22	453456	----a-w	C:\windows\system32\d3dx10_41.dll2009-03-31 17:20:16 . 2009-03-09 13:27:22	1846632	----a-w	C:\windows\system32\D3DCompiler_41.dll2009-03-31 17:20:15 . 2009-03-09 13:27:22	4178264	----a-w	C:\windows\system32\D3DX9_41.dll2009-03-31 17:20:14 . 2009-03-16 12:18:32	69448	----a-w	C:\windows\system32\XAPOFX1_3.dll2009-03-31 17:20:14 . 2009-03-16 12:18:32	517448	----a-w	C:\windows\system32\XAudio2_4.dll2009-03-31 17:20:12 . 2009-03-16 12:18:32	235352	----a-w	C:\windows\system32\xactengine3_4.dll2009-03-31 17:20:09 . 2009-03-16 12:18:32	22360	----a-w	C:\windows\system32\X3DAudio1_6.dll2009-03-30 21:01:41 . 2009-04-08 18:19:39	0	d-----w	C:\windows\system32\xlive2009-03-29 17:38:16 . 2009-03-29 17:38:16	0	d-----w	C:\Documents and Settings\HaPszzz\.gstreamer-0.102009-03-28 15:48:03 . 2009-04-24 12:46:25	0	d-----w	C:\Program Files\KM Remote.((((((((((((((((((((((((((((((((((((((((   Sekcja Find3M   )))))))))))))))))))))))))))))))))))))))))))))))))))).2009-04-26 09:17:48 . 2006-03-02 12:00:00	95070	----a-w	C:\windows\system32\perfc015.dat2009-04-26 09:17:48 . 2006-03-02 12:00:00	512720	----a-w	C:\windows\system32\perfh015.dat2009-04-26 09:02:03 . 2009-04-26 09:01:33	2884	----a-w	C:\avenger.txt2009-04-25 16:02:35 . 2009-03-09 16:47:33	0	d-----w	C:\Program Files\Odkurzacz 10.0 Pro2009-04-25 12:26:08 . 2006-03-02 12:00:00	53760	----a-w	C:\windows\system32\rundll32.exe2009-04-25 12:25:43 . 2006-03-02 12:00:00	35840	----a-w	C:\windows\system32\ctfmon.exe2009-04-25 12:25:38 . 2009-03-10 12:41:20	1054208	----a-w	C:\windows\explorer.exe2009-04-25 12:19:37 . 2009-03-06 12:20:39	2146432	---ha-w	C:\windows\system32\ntoskrnl.exe2009-04-25 09:50:34 . 2006-03-02 12:00:00	45056	----a-w	C:\windows\system32\alg.exe2009-04-25 00:53:39 . 2008-10-05 14:06:54	0	d-----w	C:\Program Files\Unlocker2009-04-24 19:53:18 . 2009-01-18 02:00:40	0	d-----w	C:\Program Files\Windows Media Connect 22009-04-24 19:52:46 . 2008-10-15 14:22:07	0	d-----w	C:\Program Files\Real Alternative2009-04-24 19:52:43 . 2008-10-05 13:27:23	0	d-----w	C:\Program Files\QuickTime2009-04-24 19:51:29 . 2008-10-15 14:22:08	0	d-----w	C:\Program Files\Media Player Classic2009-04-24 19:51:27 . 2008-10-24 19:02:14	0	d-----w	C:\Program Files\MacSound2009-04-24 19:51:06 . 2008-10-08 09:12:05	0	d-----w	C:\Program Files\iScreamerRadio2009-04-24 19:43:34 . 2009-03-25 01:45:45	0	d-----w	C:\Program Files\ALLPlayer2009-04-24 13:46:21 . 2008-10-13 23:25:43	0	d-----w	C:\Program Files\Shut Down-O-Matic2009-04-24 13:45:38 . 2008-10-19 12:24:16	0	d-----w	C:\Program Files\NAPI-PROJEKT2009-04-24 13:35:49 . 2008-12-08 18:59:57	0	d-----w	C:\Program Files\Adobe Media Player2009-04-24 12:44:38 . 2009-03-09 13:17:54	0	d-----w	C:\Program Files\iPod2009-04-22 17:40:54 . 2008-10-05 14:02:19	0	d-----w	C:\Program Files\K-Lite Codec Pack2009-04-22 17:24:37 . 2008-10-05 14:01:16	0	d-----w	C:\Program Files\Common Files\Adobe2009-04-09 12:09:39 . 2009-03-06 12:20:40	11973	----a-w	C:\windows\system32\drivers\secdrv.sys2009-04-08 23:42:42 . 2008-10-05 15:05:12	0	d-----w	C:\Program Files\Java2009-04-08 22:05:11 . 2006-03-02 12:00:00	250624	--sha-r	C:\ntldr2009-04-08 22:04:51 . 2008-10-05 12:00:06	76487	----a-w	C:\windows\pchealth\helpctr\OfflineCache\index.dat2009-04-08 21:48:17 . 2009-03-09 03:47:20	0	d-----w	C:\Program Files\Tiger System Preferences v22009-04-08 18:16:17 . 2008-10-05 12:17:55	0	d--h--w	C:\Program Files\InstallShield Installation Information2009-04-08 10:33:22 . 2009-03-09 13:17:14	0	d-----w	C:\Program Files\Common Files\Apple2009-04-04 10:41:37 . 2008-10-05 12:23:04	0	d-----w	C:\Program Files\Intel2009-03-24 12:16:28 . 2008-10-05 14:09:54	53968	---ha-w	C:\windows\system32\mlfcache.dat2009-03-12 23:21:25 . 2009-03-12 23:20:53	0	d-----w	C:\Documents and Settings\All Users\Dane aplikacji\{00D89592-F643-4D8D-8F0F-AFAE0F14D4C3}2009-03-11 01:31:52 . 2008-10-05 13:37:45	0	d-----w	C:\Program Files\Nowe Gadu-Gadu2009-03-09 13:18:15 . 2009-03-09 13:17:51	0	d-----w	C:\Documents and Settings\All Users\Dane aplikacji\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}2009-03-09 03:08:29 . 2009-03-06 12:20:39	2188288	----a-w	C:\windows\system32\ntkrnlpa.exe2009-03-06 17:32:08 . 2008-10-05 13:23:44	0	d-----w	C:\Program Files\ESET2009-03-06 11:27:50 . 2009-03-06 11:27:50	0	d-----w	C:\Documents and Settings\All Users\Dane aplikacji\ESET2009-03-06 11:10:34 . 2008-10-21 07:44:06	0	d-----w	C:\Documents and Settings\All Users\Dane aplikacji\Apple Computer2009-03-06 11:04:40 . 2009-03-06 11:04:40	0	d-----w	C:\Documents and Settings\All Users\Dane aplikacji\Apple2009-02-26 00:02:53 . 2009-02-26 00:02:36	0	d-----w	C:\Program Files\Google2009-02-14 01:50:29 . 2009-02-14 01:50:29	9111	----a-w	C:\Documents.RPT2009-02-11 15:06:54 . 2009-02-11 15:06:54	4096	----a-w	C:\windows\d3dx.dat2009-02-07 23:28:05 . 2009-02-07 23:28:05	98304	----a-w	C:\windows\system32\CmdLineExt.dll.------- Sigcheck -------[7] 2004-08-03 22:38:58	2058112	44D1BC1B05E0C7C82E81687B79C653C7	C:\windows\ServicePackFiles\i386\ntkrnlpa.exe[-] 2009-03-09 03:08:29	2188288	3A23655E1066FB1181C7D40726D1C56B	C:\windows\system32\ntkrnlpa.exe[7] 2004-08-03 22:39:10	2182272	DCF53422B7EDDED3B7431FBAE4A7EE3F	C:\windows\ServicePackFiles\i386\ntoskrnl.exe[-] 2009-04-25 12:19:37	2146432	A9EF9436E028BCC739F77FB15697C907	C:\windows\system32\ntoskrnl.exe[-] 2009-04-25 12:25:38	1054208	5FAEA5E7849DC62A5DD299467210DF33	C:\windows\explorer.exe[-] 2006-03-02 12:00:00	2824192	AC09235F5641157364D9D7456FE4B5F9	C:\windows\ServicePackFiles\i386\EXPLORER.EXE[-] 2006-03-02 12:00:00	2824192	BE3FE9E2B970B00210109479B64DF06C	C:\windows\system32\dllcache\EXPLORER.EXE[-] 2006-03-02 12:00:00	15872	41FF94B96B3F675C0FE37610DA0B1507	C:\windows\ServicePackFiles\i386\CTFMON.EXE[-] 2009-04-25 12:25:43	35840	435DFA61CC88EB2B1255C6F2673856FE	C:\windows\system32\ctfmon.exe[-] 2006-03-02 12:00:00	15872	741075C2A96544A7BB2AC34A52123974	C:\windows\system32\dllcache\CTFMON.EXE[-] 2006-03-02 12:00:00	58368	8D05536822D072A2D84BDBA284B4D7A8	C:\windows\ServicePackFiles\i386\SPOOLSV.EXE[-] 2006-03-02 12:00:00	58368	D2C7D7E6C0ED1A444053FAB7214E9EF3	C:\windows\system32\spoolsv.exe[-] 2006-03-02 12:00:00	58368	3FE61AEB56D5C50B150E83EC2CC943DF	C:\windows\system32\dllcache\SPOOLSV.EXE[-] 2006-03-02 12:00:00	249344	D04174B652840215C64DB8212AF49B5A	C:\windows\ServicePackFiles\i386\WUAUCLT.EXE[-] 2008-10-16 13:09:44	874520	EDBA6A4BE0997562DF63F8B688014CDB	C:\windows\system32\wuauclt.exe[-] 2006-03-02 12:00:00	25600	F446C57A6998684AB4697ED6000FBC08	C:\windows\ServicePackFiles\i386\USERINIT.EXE[-] 2006-03-02 12:00:00	25600	1187C8AF744CA9C46369BB8E35507CD7	C:\windows\system32\userinit.exe[-] 2006-03-02 12:00:00	25600	AE885DCFFACBD3EECBBD0455220DFAEA	C:\windows\system32\dllcache\USERINIT.EXE.(((((((((((((((((((((((((((((   SnapShot@2009-04-26_09.14.50   ))))))))))))))))))))))))))))))))))))))))).+ 2009-04-26 10:34:43 . 2009-04-26 10:34:43	16384			  C:\windows\temp\Perflib_Perfdata_598.dat+ 2006-03-02 12:00:00 . 2009-04-26 09:17:47	78142			  C:\windows\system32\perfc009.dat- 2006-03-02 12:00:00 . 2009-04-26 09:06:55	78142			  C:\windows\system32\perfc009.dat+ 2006-03-02 12:00:00 . 2009-04-26 09:17:47	454524			  C:\windows\system32\perfh009.dat- 2006-03-02 12:00:00 . 2009-04-26 09:06:55	454524			  C:\windows\system32\perfh009.dat.(((((((((((((((((((((((((((((((((((((   Wpisy startowe rejestru   ))))))))))))))))))))))))))))))))))))))))))))))))))..*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane  REGEDIT4[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"ctfmon.exe"="C:\windows\system32\ctfmon.exe" [2009-04-25 12:25:43 35840]"cdoosoft"="C:\windows\system32\olhrwef.exe" [bU][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"IntelZeroConfig"="C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe" [2009-04-25 12:25:17 843776]"IntelWireless"="C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" [2009-04-25 12:25:11 995328]"egui"="C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" [2009-02-06 13:23:12 2021400]C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\WinZip Quick Pick.lnk - C:\Program Files\WinZip\WZQKPICK.EXE [2008-10-5 127040][HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]"SynchronousMachineGroupPolicy"= 0 (0x0)"SynchronousUserGroupPolicy"= 0 (0x0)[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]"NoStrCmpLogical"= 1 (0x1)[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]"NoSMBalloonTip"= 1 (0x1)"MemCheckBoxInRunDlg"= 0 (0x0)"NoResolveTrack"= 0 (0x0)"NoWelcomeScreen"= 1 (0x1)"NoRecentDocsNetHood"= 1 (0x1)[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]"Taskman"=""[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\dimsntfy] [bU][HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]"Spooler"=2 (0x2)"Nakido"=2 (0x2)"Bonjour Service"=2 (0x2)"Apple Mobile Device"=2 (0x2)[HKEY_LOCAL_MACHINE\software\microsoft\security center]"AntiVirusDisableNotify"=dword:00000001"UpdatesDisableNotify"=dword:00000001[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]"EnableFirewall"= 0 (0x0)[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]"%windir%\\system32\\sessmgr.exe"="C:\\Program Files\\Nowe Gadu-Gadu\\gg.exe"="C:\\Program Files\\DNA\\btdna.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe"="C:\\Program Files\\Common Files\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"="C:\\WINDOWS\\system32\\VT100.EXE"=[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]"5353:TCP"= 5353:TCP:Adobe CSI CS4R2 NOD32FiXTemDono;Eset Nod32 Boot;C:\windows\system32\regedt32.exe [2006-03-02 12:00:00 4096]R3 HP24X;HP PC Card Smart Card Reader;C:\windows\system32\DRIVERS\HP24X.sys [2006-10-18 23:23:00 33024]S1 ehdrv;ehdrv;C:\windows\system32\DRIVERS\ehdrv.sys [2009-02-06 13:23:18 106208]S1 epfwtdir;epfwtdir;C:\windows\system32\DRIVERS\epfwtdir.sys [2009-02-06 13:24:24 93336]S2 ekrn;ESET Service;C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe [2009-02-06 13:23:36 727720][HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]HPZ12	REG_MULTI_SZ   	Pml Driver HPZ12 Net Driver HPZ12..------- Skan uzupełniający -------.uStart Page = hxxp://www.google.pluDefault_Search_URL = hxxp://www.google.com/ieuSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8uInternet Settings,ProxyOverride = *.localuSearchURL,(Default) = hxxp://www.google.com/search?q=%sIE: Add to Google Photos Screensa&ver - C:\windows\system32\GPhotos.scr/200IE: Download FLV video content with IDM - C:\Documents and Settings\HaPszzz\Pulpit\IEGetVL.htmIE: Wyślij do urządzenia &Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htmIE: Ściągnij przez IDM - C:\Program Files\Internet Download Manager\IEExt.htmIE: Ściągnij wszystkie linki przez IDM - C:\Program Files\Internet Download Manager\IEGetAll.htmIE: Ściągnij zawartość wideo FLV przez IDM - C:\Program Files\Internet Download Manager\IEGetVL.htmDPF: {68282C51-9459-467B-95BF-3C0E89627E55} - hxxp://www.mks.com.pl/skaner/SkanerOnline.cabFF - ProfilePath - C:\Documents and Settings\HaPszzz\Dane aplikacji\Mozilla\Firefox\Profiles\tm3t81zp.default\FF - component: C:\Documents and Settings\HaPszzz\Dane aplikacji\IDM\idmmzcc2\components\idmmzcc.dllFF - plugin: C:\Program Files\Google\Picasa3\npPicasa3.dll.
Gość
komentarz
komentarz

Kilka małych poprawek.

Wklej do Notatnika:

Folder::C:\windows\system32\3361C:\windows\dhcpRegistry::[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"cdoosoft"=-[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]"Taskman"=-File::C:\windows\system32\olhrwef.exe

>>Plik>>Zapisz jako... >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

-->cfscriptb5b4me3.gif

Ma się rozpocząć usuwanie. (i powstanie log).Daj ten log, który powstanie w trakcie usuwania.

Jeśli pójdzie dobrze, to: Po restarcie usuń ręcznie folder C:\Qoobox.

.

consafo
komentarz
komentarz

A jeszcze jedno nie wiem czy ma to związek, ale IE wciąż mi debuguje ( pamięć nie może być "read" ), a co dziwniejsze pojawił sie skrót na pulpicie IE, choc wcześniej go nie miałem, gdy uruchamiam przez niego tworzy sie nowy skrót IE na pulpicie i tak w kółko:D. Skrót z pulpitu ( ten pierwsz bez strzałki w ikonce nie usuwa się :|) pisze choc nie wiem czy to ma związek z tym wątkiem.

Gość
komentarz
komentarz
A jeszcze jedno nie wiem czy ma to związek, ale IE wciąż mi debuguje ( pamięć nie może być "read" )

Po zaplanowanych wszystkich operacjach powinno to zniknąć.

a co dziwniejsze pojawił sie skrót na pulpicie IE, choc wcześniej go nie miałem, gdy uruchamiam przez niego tworzy sie nowy skrót IE na pulpicie i tak w kółko:D. Skrót z pulpitu ( ten pierwsz bez strzałki w ikonce nie usuwa się :|) pisze choc nie wiem czy to ma związek z tym wątkiem.

Niestety, ComboFix robi czasami takie psikusy. :)

.

consafo
komentarz
komentarz

LOG Z COMBOFIX

ComboFix 09-04-25.A3 - HaPszzz 2009-04-26 12:57.6 - NTFSx86Microsoft Windows XP Home Edition  5.1.2600.2.1250.48.1045.18.2039.1476 [GMT 2:00]Uruchomiony z: c:\documents and settings\HaPszzz\Moje dokumenty\Downloads\Programs\ComboFix.exeUżyto następujących komend :: c:\documents and settings\HaPszzz\Pulpit\CFScript.txtAV: ESET NOD32 Antivirus 4.0 *On-access scanning disabled* (Updated)FW: Outpost Firewall Pro *disabled* * Utworzono nowy punkt przywracaniaUWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !!FILE ::c:\windows\system32\olhrwef.exe.(((((((((((((((((((((((((((((((((((((((   Usunięto   ))))))))))))))))))))))))))))))))))))))))))))))))).c:\documents and settings\HaPszzz\Dane aplikacji\.#c:\windows\dhcpc:\windows\system32\3361c:\windows\system32\3361\mlog.(((((((((((((((((((((((((   Pliki utworzone od 2009-05-26 do 2009-4-26  ))))))))))))))))))))))))))))))).2009-04-25 14:30 . 2009-04-25 14:30	112640	------w	c:\windows\system32\VT100.EXE2009-04-25 12:23 . 2009-04-26 09:02	--------	d-----w	c:\documents and settings\HaPszzz\DoctorWeb2009-04-22 19:09 . 2009-04-22 19:09	--------	d-----w	c:\program files\Sony Setup2009-04-19 22:01 . 2009-04-19 22:01	--------	d-----w	c:\documents and settings\All Users\Dane aplikacji\ALM2009-04-15 12:47 . 2009-04-15 12:47	--------	dc----w	c:\documents and settings\All Users\Dane aplikacji\{92E7A367-8E12-4830-AA70-29C32E331A81}2009-04-08 23:55 . 2009-04-08 23:55	664	----a-w	c:\windows\system32\d3d9caps.dat2009-04-08 23:06 . 2009-04-09 00:03	--------	d-----w	c:\windows\SxsCaPendDel2009-04-08 11:05 . 2009-04-24 19:43	--------	d-----w	c:\program files\CachemanXP2009-04-07 23:29 . 2009-04-07 23:29	--------	d-----w	c:\program files\Alcohol Soft2009-04-07 22:49 . 2005-02-22 23:15	--------	d-----w	c:\documents and settings\HaPszzz\Dane aplikacji\DAEMON Tools Pro2009-04-06 12:19 . 2009-04-06 12:19	--------	d-----w	c:\documents and settings\All Users\Dane aplikacji\Trymedia2009-04-06 01:07 . 2009-04-06 01:07	--------	d-----w	c:\documents and settings\HaPszzz\Dane aplikacji\Media Player Classic2009-04-05 15:56 . 2009-04-05 15:56	--------	d-----w	c:\program files\Common Files\SWF Studio2009-04-05 15:56 . 2009-04-05 16:05	--------	d---a-w	c:\documents and settings\All Users\Dane aplikacji\TEMP2009-04-04 08:21 . 2009-04-04 08:21	513032	----a-w	c:\documents and settings\LocalService\Ustawienia lokalne\Dane aplikacji\FontCache3.0.0.0.dat2009-04-04 07:58 . 2009-04-04 07:58	--------	d-----w	c:\program files\MSBuild2009-04-04 07:53 . 2009-04-04 08:20	--------	d-----w	c:\windows\system32\XPSViewer2009-04-04 07:52 . 2009-04-04 07:52	--------	d-----w	c:\program files\Reference Assemblies2009-04-04 07:52 . 2006-06-29 11:07	14048	------w	c:\windows\system32\spmsg2.dll2009-04-01 09:22 . 2009-04-01 09:22	410984	----a-w	c:\windows\system32\deploytk.dll2009-03-31 17:20 . 2009-03-09 13:27	453456	----a-w	c:\windows\system32\d3dx10_41.dll2009-03-31 17:20 . 2009-03-09 13:27	1846632	----a-w	c:\windows\system32\D3DCompiler_41.dll2009-03-31 17:20 . 2009-03-09 13:27	4178264	----a-w	c:\windows\system32\D3DX9_41.dll2009-03-31 17:20 . 2009-03-16 12:18	69448	----a-w	c:\windows\system32\XAPOFX1_3.dll2009-03-31 17:20 . 2009-03-16 12:18	517448	----a-w	c:\windows\system32\XAudio2_4.dll2009-03-31 17:20 . 2009-03-16 12:18	235352	----a-w	c:\windows\system32\xactengine3_4.dll2009-03-31 17:20 . 2009-03-16 12:18	22360	----a-w	c:\windows\system32\X3DAudio1_6.dll2009-03-30 21:05 . 2009-04-04 10:24	--------	d-----w	c:\documents and settings\HaPszzz\Ustawienia lokalne\Dane aplikacji\Fallout32009-03-30 21:01 . 2009-04-08 18:19	--------	d-----w	c:\windows\system32\xlive2009-03-29 17:38 . 2009-03-29 17:38	--------	d-----w	c:\documents and settings\HaPszzz\.gstreamer-0.102009-03-29 17:31 . 2009-03-29 17:31	--------	d-----w	c:\documents and settings\HaPszzz\Dane aplikacji\FindeXer2009-03-28 15:48 . 2009-04-24 12:46	--------	d-----w	c:\program files\KM Remote.((((((((((((((((((((((((((((((((((((((((   Sekcja Find3M   )))))))))))))))))))))))))))))))))))))))))))))))))))).2009-04-26 10:39 . 2006-03-02 12:00	95070	----a-w	c:\windows\system32\perfc015.dat2009-04-26 10:39 . 2006-03-02 12:00	512720	----a-w	c:\windows\system32\perfh015.dat2009-04-26 09:13 . 2009-01-05 22:06	--------	d-----w	c:\documents and settings\HaPszzz\Dane aplikacji\DMCache2009-04-26 09:02 . 2009-04-26 09:01	2884	----a-w	C:\avenger.txt2009-04-25 16:02 . 2009-03-09 16:47	--------	d-----w	c:\program files\Odkurzacz 10.0 Pro2009-04-25 12:26 . 2006-03-02 12:00	53760	----a-w	c:\windows\system32\rundll32.exe2009-04-25 12:25 . 2006-03-02 12:00	35840	----a-w	c:\windows\system32\ctfmon.exe2009-04-25 12:25 . 2009-03-10 12:41	1054208	----a-w	c:\windows\explorer.exe2009-04-25 12:19 . 2009-03-06 12:20	2146432	---ha-w	c:\windows\system32\ntoskrnl.exe2009-04-25 09:50 . 2006-03-02 12:00	45056	----a-w	c:\windows\system32\alg.exe2009-04-25 00:53 . 2008-10-05 14:06	--------	d-----w	c:\program files\Unlocker2009-04-24 19:53 . 2009-01-18 02:00	--------	d-----w	c:\program files\Windows Media Connect 22009-04-24 19:52 . 2008-10-15 14:22	--------	d-----w	c:\program files\Real Alternative2009-04-24 19:52 . 2008-10-05 13:27	--------	d-----w	c:\program files\QuickTime2009-04-24 19:51 . 2008-10-15 14:22	--------	d-----w	c:\program files\Media Player Classic2009-04-24 19:51 . 2008-10-24 19:02	--------	d-----w	c:\program files\MacSound2009-04-24 19:51 . 2008-10-08 09:12	--------	d-----w	c:\program files\iScreamerRadio2009-04-24 19:43 . 2009-03-25 01:45	--------	d-----w	c:\program files\ALLPlayer2009-04-24 19:34 . 2008-10-05 14:06	--------	d-----w	c:\documents and settings\HaPszzz\Dane aplikacji\Desktopicon2009-04-24 13:46 . 2008-10-13 23:25	--------	d-----w	c:\program files\Shut Down-O-Matic2009-04-24 13:45 . 2008-10-19 12:24	--------	d-----w	c:\program files\NAPI-PROJEKT2009-04-24 13:35 . 2008-12-08 18:59	--------	d-----w	c:\program files\Adobe Media Player2009-04-24 12:44 . 2009-03-09 13:17	--------	d-----w	c:\program files\iPod2009-04-22 18:21 . 2009-01-05 22:06	--------	d-----w	c:\documents and settings\HaPszzz\Dane aplikacji\IDM2009-04-22 17:40 . 2008-10-05 14:02	--------	d-----w	c:\program files\K-Lite Codec Pack2009-04-22 17:24 . 2008-10-05 14:01	--------	d-----w	c:\program files\Common Files\Adobe2009-04-22 16:39 . 2008-10-05 15:11	260416	----a-w	c:\documents and settings\HaPszzz\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT2009-04-09 12:09 . 2009-03-06 12:20	11973	----a-w	c:\windows\system32\drivers\secdrv.sys2009-04-08 23:42 . 2008-10-05 15:05	--------	d-----w	c:\program files\Java2009-04-08 22:05 . 2006-03-02 12:00	250624	--sha-r	C:\ntldr2009-04-08 22:04 . 2008-10-05 12:00	76487	----a-w	c:\windows\pchealth\helpctr\OfflineCache\index.dat2009-04-08 21:48 . 2009-03-09 03:47	--------	d-----w	c:\program files\Tiger System Preferences v22009-04-08 18:16 . 2008-10-05 12:17	--------	d--h--w	c:\program files\InstallShield Installation Information2009-04-08 10:33 . 2009-03-09 13:17	--------	d-----w	c:\program files\Common Files\Apple2009-04-04 10:41 . 2008-10-05 12:23	--------	d-----w	c:\program files\Intel2009-03-24 18:20 . 2008-10-05 15:37	--------	d-----w	c:\documents and settings\HaPszzz\Dane aplikacji\Skype2009-03-24 18:19 . 2008-11-30 23:43	--------	d-----w	c:\documents and settings\HaPszzz\Dane aplikacji\skypePM2009-03-24 12:16 . 2008-10-05 14:09	53968	---ha-w	c:\windows\system32\mlfcache.dat2009-03-14 15:53 . 2009-03-14 15:53	--------	d-----w	c:\documents and settings\HaPszzz\Dane aplikacji\Thinstall2009-03-13 20:42 . 2008-10-05 13:38	--------	d-----w	c:\documents and settings\HaPszzz\Dane aplikacji\Nowe Gadu-Gadu2009-03-12 23:21 . 2009-03-12 23:20	--------	d-----w	c:\documents and settings\All Users\Dane aplikacji\{00D89592-F643-4D8D-8F0F-AFAE0F14D4C3}2009-03-11 01:31 . 2008-10-05 13:37	--------	d-----w	c:\program files\Nowe Gadu-Gadu2009-03-09 13:18 . 2009-03-09 13:17	--------	d-----w	c:\documents and settings\All Users\Dane aplikacji\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}2009-03-09 03:08 . 2009-03-06 12:20	2188288	----a-w	c:\windows\system32\ntkrnlpa.exe2009-03-06 17:32 . 2008-10-05 13:23	--------	d-----w	c:\program files\ESET2009-03-06 11:27 . 2009-03-06 11:27	--------	d-----w	c:\documents and settings\All Users\Dane aplikacji\ESET2009-03-06 11:11 . 2008-10-05 13:11	--------	d-----w	c:\documents and settings\HaPszzz\Dane aplikacji\Apple Computer2009-03-06 11:10 . 2008-10-21 07:44	--------	d-----w	c:\documents and settings\All Users\Dane aplikacji\Apple Computer2009-03-06 11:04 . 2009-03-06 11:04	--------	d-----w	c:\documents and settings\All Users\Dane aplikacji\Apple2009-02-26 00:05 . 2009-02-25 23:53	--------	d-----w	c:\documents and settings\HaPszzz\Dane aplikacji\Cream Software2009-02-26 00:02 . 2009-02-26 00:02	--------	d-----w	c:\program files\Google2009-02-14 01:50 . 2009-02-14 01:50	9111	----a-w	C:\Documents.RPT2009-02-11 15:06 . 2009-02-11 15:06	4096	----a-w	c:\windows\d3dx.dat2009-02-07 23:28 . 2009-02-07 23:28	98304	----a-w	c:\windows\system32\CmdLineExt.dll2009-02-03 16:26 . 2009-02-03 16:26	132	----a-w	c:\documents and settings\HaPszzz\Ustawienia lokalne\Dane aplikacji\fusioncache.dat.------- Sigcheck -------[7] 2004-08-03 22:38	2058112	44D1BC1B05E0C7C82E81687B79C653C7	c:\windows\ServicePackFiles\i386\ntkrnlpa.exe[-] 2009-03-09 03:08	2188288	3A23655E1066FB1181C7D40726D1C56B	c:\windows\system32\ntkrnlpa.exe[7] 2004-08-03 22:39	2182272	DCF53422B7EDDED3B7431FBAE4A7EE3F	c:\windows\ServicePackFiles\i386\ntoskrnl.exe[-] 2009-04-25 12:19	2146432	A9EF9436E028BCC739F77FB15697C907	c:\windows\system32\ntoskrnl.exe[-] 2009-04-25 12:25	1054208	5FAEA5E7849DC62A5DD299467210DF33	c:\windows\explorer.exe[-] 2006-03-02 12:00	2824192	AC09235F5641157364D9D7456FE4B5F9	c:\windows\ServicePackFiles\i386\EXPLORER.EXE[-] 2006-03-02 12:00	2824192	BE3FE9E2B970B00210109479B64DF06C	c:\windows\system32\dllcache\EXPLORER.EXE[-] 2006-03-02 12:00	15872	41FF94B96B3F675C0FE37610DA0B1507	c:\windows\ServicePackFiles\i386\CTFMON.EXE[-] 2009-04-25 12:25	35840	435DFA61CC88EB2B1255C6F2673856FE	c:\windows\system32\ctfmon.exe[-] 2006-03-02 12:00	15872	741075C2A96544A7BB2AC34A52123974	c:\windows\system32\dllcache\CTFMON.EXE[-] 2006-03-02 12:00	58368	8D05536822D072A2D84BDBA284B4D7A8	c:\windows\ServicePackFiles\i386\SPOOLSV.EXE[-] 2006-03-02 12:00	58368	D2C7D7E6C0ED1A444053FAB7214E9EF3	c:\windows\system32\spoolsv.exe[-] 2006-03-02 12:00	58368	3FE61AEB56D5C50B150E83EC2CC943DF	c:\windows\system32\dllcache\SPOOLSV.EXE[-] 2006-03-02 12:00	249344	D04174B652840215C64DB8212AF49B5A	c:\windows\ServicePackFiles\i386\WUAUCLT.EXE[-] 2008-10-16 13:09	874520	EDBA6A4BE0997562DF63F8B688014CDB	c:\windows\system32\wuauclt.exe[-] 2006-03-02 12:00	25600	F446C57A6998684AB4697ED6000FBC08	c:\windows\ServicePackFiles\i386\USERINIT.EXE[-] 2006-03-02 12:00	25600	1187C8AF744CA9C46369BB8E35507CD7	c:\windows\system32\userinit.exe[-] 2006-03-02 12:00	25600	AE885DCFFACBD3EECBBD0455220DFAEA	c:\windows\system32\dllcache\USERINIT.EXE.(((((((((((((((((((((((((((((((((((((   Wpisy startowe rejestru   ))))))))))))))))))))))))))))))))))))))))))))))))))..*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane  REGEDIT4[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2009-04-25 35840][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"IntelZeroConfig"="c:\program files\Intel\Wireless\bin\ZCfgSvc.exe" [2009-04-25 843776]"IntelWireless"="c:\program files\Intel\Wireless\Bin\ifrmewrk.exe" [2009-04-25 995328]"egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2009-02-06 2021400]c:\documents and settings\HaPszzz\Menu Start\Programy\Autostart\RK Launcher.lnk - c:\documents and settings\HaPszzz\Pulpit\RK Launcher Nightly\RKLauncher.exe [2009-3-10 626688]Skr˘t do MacSound.lnk - c:\program files\MacSound\MacSound.exe [2007-4-25 191844]c:\documents and settings\All Users\Menu Start\Programy\Autostart\WinZip Quick Pick.lnk - c:\program files\WinZip\WZQKPICK.EXE [2008-10-5 127040][HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]"SynchronousMachineGroupPolicy"= 0 (0x0)"SynchronousUserGroupPolicy"= 0 (0x0)[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]"NoStrCmpLogical"= 1 (0x1)[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]"NoSMBalloonTip"= 1 (0x1)"MemCheckBoxInRunDlg"= 0 (0x0)"NoResolveTrack"= 0 (0x0)"NoWelcomeScreen"= 1 (0x1)"NoRecentDocsNetHood"= 1 (0x1)[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]"Spooler"=2 (0x2)"Nakido"=2 (0x2)"Bonjour Service"=2 (0x2)"Apple Mobile Device"=2 (0x2)[HKEY_LOCAL_MACHINE\software\microsoft\security center]"AntiVirusDisableNotify"=dword:00000001"UpdatesDisableNotify"=dword:00000001[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]"EnableFirewall"= 0 (0x0)[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]"%windir%\\system32\\sessmgr.exe"="c:\\Program Files\\Nowe Gadu-Gadu\\gg.exe"="c:\\Program Files\\DNA\\btdna.exe"="c:\\Program Files\\Skype\\Phone\\Skype.exe"="c:\\Program Files\\Common Files\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"="c:\\WINDOWS\\system32\\VT100.EXE"=[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]"5353:TCP"= 5353:TCP:Adobe CSI CS4R2 NOD32FiXTemDono;Eset Nod32 Boot;c:\windows\system32\regedt32.exe [2006-03-02 4096]R3 HP24X;HP PC Card Smart Card Reader;c:\windows\system32\DRIVERS\HP24X.sys [2006-10-18 33024]S1 ehdrv;ehdrv;c:\windows\system32\DRIVERS\ehdrv.sys [2009-02-06 106208]S1 epfwtdir;epfwtdir;c:\windows\system32\DRIVERS\epfwtdir.sys [2009-02-06 93336]S2 ekrn;ESET Service;c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe [2009-02-06 727720][HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]HPZ12	REG_MULTI_SZ   	Pml Driver HPZ12 Net Driver HPZ12.- - - - USUNIĘTO PUSTE WPISY - - - -Notify-dimsntfy - (no file).------- Skan uzupełniający -------.uStart Page = hxxp://www.google.pluDefault_Search_URL = hxxp://www.google.com/ieuSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8uInternet Settings,ProxyOverride = *.localuSearchURL,(Default) = hxxp://www.google.com/search?q=%sIE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200IE: Download FLV video content with IDM - c:\documents and settings\HaPszzz\Pulpit\IEGetVL.htmIE: Wyślij do urządzenia &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htmIE: Ściągnij przez IDM - c:\program files\Internet Download Manager\IEExt.htmIE: Ściągnij wszystkie linki przez IDM - c:\program files\Internet Download Manager\IEGetAll.htmIE: Ściągnij zawartość wideo FLV przez IDM - c:\program files\Internet Download Manager\IEGetVL.htmDPF: {68282C51-9459-467B-95BF-3C0E89627E55} - hxxp://www.mks.com.pl/skaner/SkanerOnline.cabFF - ProfilePath - c:\documents and settings\HaPszzz\Dane aplikacji\Mozilla\Firefox\Profiles\tm3t81zp.default\FF - component: c:\documents and settings\HaPszzz\Dane aplikacji\IDM\idmmzcc2\components\idmmzcc.dllFF - plugin: c:\program files\Google\Picasa3\npPicasa3.dll.**************************************************************************catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.netRootkit scan 2009-04-26 12:59Windows 5.1.2600 Dodatek Service Pack 2 NTFSskanowanie ukrytych procesów ...  skanowanie ukrytych wpisów autostartu ... skanowanie ukrytych plików ...  skanowanie pomyślnie ukończoneukryte pliki: 0**************************************************************************.--------------------- ZABLOKOWANE KLUCZE REJESTRU ---------------------[HKEY_USERS\S-1-5-21-527237240-1957994488-1801674531-1004\Software\Microsoft\SystemCertificates\AddressBook*]@Allowed: (Read) (RestrictedCode)@Allowed: (Read) (RestrictedCode)[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{7B8E9164-324D-4A2E-A46D-0165FB2000EC}]@Denied: (Full) (Everyone)"scansk"=hex(0):f7,84,c0,98,2d,7a,6b,4f,64,50,3e,54,5b,5e,01,36,3b,41,ce,b0,f4,   2c,f1,d6,78,59,6a,7e,cd,d1,ff,e8,a7,45,b1,25,66,93,e5,31,00,00,00,00,00,00,\[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{ec83c36d-5b4a-4a23-9875-f12b5ee378ff}]@Denied: (Full) (Everyone)"Model"=dword:00000061"Therad"=dword:0000001f"MData"=hex(0):cb,9b,ad,ef,27,7d,29,69,f5,02,f0,76,aa,4a,f1,7c,d3,d9,67,7f,6a,   4b,7b,ad,04,7a,b1,b5,76,9b,27,47,db,47,69,ac,2a,90,01,3e,a3,95,7f,42,af,45,\.--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------- - - - - - - > 'winlogon.exe'(1116)c:\windows\system32\SETUPAPI.dll- - - - - - - > 'lsass.exe'(1172)c:\windows\system32\setupapi.dll.Czas ukończenia: 2009-04-26 13:00ComboFix-quarantined-files.txt  2009-04-26 11:00Przed: 2 546 597 888 bajtów wolnychPo: 2 532 159 488 bajtów wolnychCurrent=4 Default=4 Failed=2 LastKnownGood=5 Sets=1,2,3,4,5243
Po zaplanowanych wszystkich operacjach powinno to zniknąć.

Niestety, ComboFix robi czasami takie psikusy. :)

.

Jednak dalej debuguje. Nie używam IE czase jednak coś trzeba przez niego otworzyc:\ spróbuje przeinstalować

Gość
komentarz
komentarz (edytowane)

Mam bardzo dobrą informację, log jest czysty.

1. Usuń wszystkie szczątki programowe --> OTCleanIt (po ściągnięciu i zapisaniu odpalasz i klikasz "CleanUp!, wyskoczy okienko, aby wykonać czyszczenie, wciśnij "Yes", po chwili wyskoczy okienko, aby zrestartować komputer, wciśnij drugi raz "Yes" ).

2. Proszę zainstalaować i przeskanować tym --> MBAM, (pełne skanowanie, po znalezieniu proszę zaznaczyć "Usuń zaznaczone" i dać raport z skanowania który się pokaże).

.

consafo
komentarz
komentarz
Mam bardzo dobrą informację, log jest czysty.

1. Usuń wszystkie szczątki programowe --> OTCleanIt (po ściągnięciu i zapisaniu odpalasz i klikasz "CleanUp!, wyskoczy okienko, aby wykonać czyszczenie, wciśnij "Yes", po chwili wyskoczy okienko, aby zrestartować komputer, wciśnij drugi raz "Yes" ).

2. Proszę zainstalaować i przeskanować tym --> MBAM, (pełne skanowanie, po znalezieniu proszę zaznaczyć "Usuń zaznaczone" i dać raport z skanowania który się pokaże).

.

Log ze skanowania mbam

alwarebytes' Anti-Malware 1.36

Wersja bazy definicji: 2043

Windows 5.1.2600 Dodatek Service Pack 2

2009-04-26 14:38:50

mbam-log-2009-04-26 (14-38-50).txt

Typ skanowania: Pełne skanowanie (C:\|D:\|E:\|)

Przeskanowane obiekty: 216375

Upłynęło: 1 hour(s), 8 minute(s), 4 second(s)

Zainfekowane procesy w pamięci: 0

Zainfekowane moduły pamięci: 0

Zainfekowane klucze rejestru: 0

Zainfekowane wartości rejestru: 0

Zainfekowane pliki rejestru: 2

Zainfekowane foldery: 0

Zainfekowane pliki: 20

Zainfekowane procesy w pamięci:

(Nie wykryto groźnych plików)

Zainfekowane moduły pamięci:

(Nie wykryto groźnych plików)

Zainfekowane klucze rejestru:

(Nie wykryto groźnych plików)

Zainfekowane wartości rejestru:

(Nie wykryto groźnych plików)

Zainfekowane pliki rejestru:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Zainfekowane foldery:

(Nie wykryto groźnych plików)

Zainfekowane pliki:

C:\System Volume Information\_restore{4C9CE08E-71FC-4CA6-B05B-C939B3C2E6AE}\RP274\A0127342.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{4C9CE08E-71FC-4CA6-B05B-C939B3C2E6AE}\RP274\A0127282.com (Spyware.OnlineGames) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{4C9CE08E-71FC-4CA6-B05B-C939B3C2E6AE}\RP274\A0127344.com (Spyware.OnlineGames) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{4C9CE08E-71FC-4CA6-B05B-C939B3C2E6AE}\RP274\A0127407.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{4C9CE08E-71FC-4CA6-B05B-C939B3C2E6AE}\RP274\A0127410.com (Spyware.OnlineGames) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{4C9CE08E-71FC-4CA6-B05B-C939B3C2E6AE}\RP274\A0127417.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{4C9CE08E-71FC-4CA6-B05B-C939B3C2E6AE}\RP274\A0127418.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.

D:\System Volume Information\_restore{4C9CE08E-71FC-4CA6-B05B-C939B3C2E6AE}\RP274\A0127284.com (Spyware.OnlineGames) -> Quarantined and deleted successfully.

D:\System Volume Information\_restore{4C9CE08E-71FC-4CA6-B05B-C939B3C2E6AE}\RP274\A0127346.com (Spyware.OnlineGames) -> Quarantined and deleted successfully.

D:\System Volume Information\_restore{4C9CE08E-71FC-4CA6-B05B-C939B3C2E6AE}\RP274\A0127412.com (Spyware.OnlineGames) -> Quarantined and deleted successfully.

E:\Sony Vegas 6.0a\SSG KeyGen\KEYGEN.EXE (Trojan.Downloader) -> Quarantined and deleted successfully.

E:\System Volume Information\_restore{4C9CE08E-71FC-4CA6-B05B-C939B3C2E6AE}\RP274\A0127263.EXE (Trojan.Downloader) -> Quarantined and deleted successfully.

E:\System Volume Information\_restore{4C9CE08E-71FC-4CA6-B05B-C939B3C2E6AE}\RP274\A0127286.com (Spyware.OnlineGames) -> Quarantined and deleted successfully.

E:\System Volume Information\_restore{4C9CE08E-71FC-4CA6-B05B-C939B3C2E6AE}\RP274\A0127348.com (Spyware.OnlineGames) -> Quarantined and deleted successfully.

E:\System Volume Information\_restore{4C9CE08E-71FC-4CA6-B05B-C939B3C2E6AE}\RP274\A0127414.com (Spyware.OnlineGames) -> Quarantined and deleted successfully.

E:\System Volume Information\_restore{4C9CE08E-71FC-4CA6-B05B-C939B3C2E6AE}\RP275\A0127445.com (Spyware.OnlineGames) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\dncyool64.sys (Trojan.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\FInstall.sys (Backdoor.Bot) -> Quarantined and deleted successfully.

C:\WINDOWS\explorer.backup (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.

C:\WINDOWS\explorer.vbk (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.

Gość
komentarz
komentarz

Pięknie.

Usuń tego "Doktorka", i ściągnij nowego. Ponownie przeskanuj nim komputer "Pełne Skanowanie".

.

Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!

Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.

×
×
  • Dodaj nową pozycję...

Powiadomienie o plikach cookie

Strona wykorzystuje pliki cookies w celu prawidłowego świadczenia usług i wygody użytkowników. Warunki przechowywania i dostępu do plików cookies możesz zmienić w ustawieniach przeglądarki.