xxxkamilxxx123 utworzono 29 czerwca 2009 utworzono 29 czerwca 2009 pomozcie z problemem w temacie z gory dzieki
Psycholandia komentarz 29 czerwca 2009 komentarz 29 czerwca 2009 http://www.forumpc.pl/index.php?showtopic=15374
Gość komentarz 29 czerwca 2009 komentarz 29 czerwca 2009 Wygląda to mi na infekcję. 1. Użyj SafeBootKeyRepair. 2. Daj log z ComboFixa (przy zapisywaniu go na dysk - zmień nazwę na "123.com"). .
dawid_c komentarz 29 czerwca 2009 komentarz 29 czerwca 2009 A może kolega jest w domenie i rzeczywiście zostało zablokowane?
xxxkamilxxx123 komentarz 29 czerwca 2009 Autor komentarz 29 czerwca 2009 nie jestemw domenie ComboFix 09-06-28.02 - KAMIL 2009-07-01 9:29.1 - FAT32x86Microsoft Windows XP Professional 5.1.2600.2.1250.48.1045.18.767.578 [GMT 2:00]Uruchomiony z: c:\documents and settings\KAMIL\Pulpit\123.comUWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !!.((((((((((((((((((((((((((((((((((((((( Usunięto ))))))))))))))))))))))))))))))))))))))))))))))))).C:\autorun.infC:\metdgv.batc:\windows\system32\msssc.dllc:\windows\system32\nmdfgds0.dllc:\windows\system32\olhrwef.exeD:\Autorun.infD:\metdgv.bat.((((((((((((((((((((((((((((((((((((((( Sterowniki/Usługi ))))))))))))))))))))))))))))))))))))))))))))))))).-------\Service_AVPsys((((((((((((((((((((((((( Pliki utworzone od 2009-06-01 do 2009-07-01 ))))))))))))))))))))))))))))))).2009-07-01 07:31 . 2009-07-01 07:31 -------- d-----w- c:\windows\system32\wbem\snmp2009-07-01 07:31 . 2009-07-01 07:31 -------- d-----w- c:\windows\system32\xircom2009-07-01 07:31 . 2009-07-01 07:31 -------- d-sh--w- c:\windows\system32\dllcache2009-07-01 07:31 . 2009-07-01 07:31 -------- d-----w- c:\program files\microsoft frontpage2009-07-01 06:49 . 2008-11-06 00:03 -------- d-----w- C:\SDFix2009-07-01 06:37 . 2009-07-01 06:37 -------- d-sh--w- C:\FOUND.0012009-07-01 06:28 . 2009-07-01 06:28 -------- d--h--w- c:\windows\system32\GroupPolicy2009-07-01 06:06 . 2009-07-01 06:06 135168 ----a-r- c:\documents and settings\KAMIL\Dane aplikacji\Microsoft\Installer\{A6F4DE62-BA95-45B5-B27D-39E5ABB4E77D}\NewShortcut1_6D307F405A8B42488CCA5C8E4FA8753B.exe2009-07-01 06:06 . 2009-07-01 06:06 10134 ----a-r- c:\documents and settings\KAMIL\Dane aplikacji\Microsoft\Installer\{A6F4DE62-BA95-45B5-B27D-39E5ABB4E77D}\ARPPRODUCTICON.exe2009-07-01 06:06 . 2009-07-01 06:06 -------- d-----w- c:\program files\Hydra Networks2009-07-01 06:06 . 2009-07-01 06:06 -------- d-----w- c:\windows\Downloaded Installations2009-07-01 05:44 . 2009-07-01 05:44 -------- d-----w- c:\program files\CCleaner2009-06-30 18:53 . 2009-06-30 18:53 -------- d-sh--w- C:\FOUND.0002009-06-30 16:55 . 2009-06-30 16:55 -------- d-----w- c:\documents and settings\KAMIL\Dane aplikacji\OpenFM2009-06-30 15:35 . 2009-06-30 15:35 -------- d-----w- c:\documents and settings\KAMIL\Dane aplikacji\Nowe Gadu-Gadu2009-06-30 15:35 . 2009-06-30 15:35 -------- d-----w- c:\program files\Nowe Gadu-Gadu2009-06-30 14:01 . 2009-06-30 14:01 -------- d-s---w- c:\documents and settings\KAMIL\UserData.(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))).2009-06-30 14:39 . 2009-06-30 14:39 -------- d--h--w- c:\program files\InstallShield Installation Information2009-06-30 14:39 . 2009-06-30 14:39 -------- d-----w- c:\program files\Analog Devices2009-06-30 14:39 . 2009-06-30 14:39 -------- d-----w- c:\program files\Common Files\InstallShield2009-06-30 13:58 . 2009-06-30 13:58 -------- d-----w- c:\program files\ERA2009-06-30 13:56 . 2001-10-26 16:15 49492 ----a-w- c:\windows\system32\perfc015.dat2009-06-30 13:56 . 2001-10-26 16:15 355486 ----a-w- c:\windows\system32\perfh015.dat2009-06-30 13:52 . 2009-06-30 13:52 86327 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat2009-06-30 13:51 . 2009-06-30 13:51 -------- d-----w- c:\program files\Usługi online2009-06-30 13:48 . 2009-06-30 13:47 21856 ----a-w- c:\windows\system32\emptyregdb.dat2009-05-28 09:23 . 2009-05-28 09:23 42088 ----a-w- c:\documents and settings\KAMIL\Dane aplikacji\Nowe Gadu-Gadu\_userdata\ggbho.1.dll.((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))..*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane REGEDIT4[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-03 15360]"Nowe Gadu-Gadu"="c:\program files\Nowe Gadu-Gadu\gg.exe" [2009-05-28 10560104][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"Smapp"="c:\program files\Analog Devices\SoundMAX\SMTray.exe" [2003-05-05 221184][HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360]c:\documents and settings\All Users\Menu Start\Programy\Autostart\GlobeTrotter Connect.lnk - c:\program files\ERA\GlobeTrotter Connect\GlobeTrotter Connect.exe [2008-1-10 782336][HKEY_LOCAL_MACHINE\software\microsoft\security center]"AntiVirusDisableNotify"=dword:00000001"UpdatesDisableNotify"=dword:00000001"AntiVirusOverride"=dword:00000001"FirewallOverride"=dword:00000001"UacDisableNotify"=dword:00000001[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]"AntiVirusOverride"=dword:00000001"AntiVirusDisableNotify"=dword:00000001"FirewallDisableNotify"=dword:00000001"FirewallOverride"=dword:00000001"UpdatesDisableNotify"=dword:00000001"UacDisableNotify"=dword:00000001[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]"EnableFirewall"= 0 (0x0)[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]"%windir%\\system32\\sessmgr.exe"="c:\\Program Files\\Nowe Gadu-Gadu\\gg.exe"="c:\\WINDOWS\\regedit.exe"="c:\\WINDOWS\\system32\\taskmgr.exe"="c:\\WINDOWS\\system32\\CF16877.exe"="c:\\WINDOWS\\system32\\cmd.exe"=R2 GtDetectSc;GtDetectSc;c:\program files\ERA\GlobeTrotter Connect\GtDetectSc.exe [2007-11-05 204915]R3 abp470n5;abp470n5;\??\c:\windows\system32\drivers\ohllqn.sys --> c:\windows\system32\drivers\ohllqn.sys [?]R3 GT72NDISIPXP;GT 72 IP NDIS;c:\windows\system32\drivers\Gt51Ip.sys [2007-07-09 95744]R3 GT72UBUS;GT 72 U BUS;c:\windows\system32\drivers\gt72ubus.sys [2007-06-26 51968]R3 GTPTSER;GT PT SER;c:\windows\system32\drivers\gtptser.sys [2007-03-30 8064].**************************************************************************catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.netRootkit scan 2009-07-01 09:32Windows 5.1.2600 Dodatek Service Pack 2 FAT NTAPIskanowanie ukrytych procesów ... skanowanie ukrytych wpisów autostartu ... skanowanie ukrytych plików ... skanowanie pomyślnie ukończoneukryte pliki: 0**************************************************************************.------------------------ Pozostałe uruchomione procesy ------------------------.c:\program files\ANALOG DEVICES\SOUNDMAX\SMAGENT.EXEc:\program files\NOWE GADU-GADU\SPELLCHECKER_GG.EXE.**************************************************************************.Czas ukończenia: 2009-07-01 9:32 - komputer został uruchomiony ponownieComboFix-quarantined-files.txt 2009-07-01 07:32Przed: 6 894 632 960 bajtów wolnychPo: 6 921 027 584 bajtów wolnych115
Gość komentarz 29 czerwca 2009 komentarz 29 czerwca 2009 Używałeś już SafeBootKeyRepair? Jeżeli nie - to szybko użyj i powiedz nam czy działa Ci Tryb Awaryjny. 1. Pobierz ---> The Avenger. Wklej do niego ten tekst: Folders to delete:C:\FOUND.001C:\FOUND.000 Kopiujesz - Klikasz na Paste Script from Clipboard - Execute - Potwierdzasz i zgadzasz się na restart klikając OK. Po wykonaniu skasuj z dysku plik: C:\Avenger\backup.zip i wklej raport na forum C:\avenger.txt. 2. Posprzątaj po ComboFixie i różnych narzędziach >>> OTCleanIt. 3. Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum. 4. Użyj programu Malwarebytes. Wciskamy Skanuj, wybieramy dyski do skanowania i Rozpoczynamy skanowanie, na końcu wciskamy Usuń zaznaczone jak będą i Ok. Wrzuć wygenerowany raport po usuwaniu MBAMem. .
xxxkamilxxx123 komentarz 29 czerwca 2009 Autor komentarz 29 czerwca 2009 Logfile of The Avenger Version 2.0, ? by Swandog46http://swandog46.geekstogo.comPlatform: Windows XP*******************Script file opened successfully.Script file read successfully.Backups directory opened successfully at C:\Avenger*******************Beginning to process script file:Rootkit scan active.No rootkits found!Folder "C:\FOUND.001" deleted successfully.Folder "C:\FOUND.000" deleted successfully.Completed script processing.*******************Finished! Terminate. kaspersky scaner online nie chce mi sie wczytac strona, moze mi brakowac jakiejs wtyczki albo javy?
xxxkamilxxx123 komentarz 29 czerwca 2009 Autor komentarz 29 czerwca 2009 uzylem juz SafeBootKeyRepair i tryb awaryjny nadal nie dziala teraz skanuje kompa kaspreskym troche to potrwa bo uzywam blueconnecta dzieki za pomoc ale jednak msie poddaje ten trojan chyba sie nazywa ghost co mi tak kompa zasyfil i do tego wirus virut, poddaje sie robie format
MarekM25 komentarz 29 czerwca 2009 komentarz 29 czerwca 2009 toż tu jest: R3 abp470n5;abp470n5;\??\c:\windows\system32\drivers\ohllqn.sys --> c:\windows\system32\drivers\ohllqn.sys [?] sality. Czy tego nie widać?? To są typowe oznaki dla sality Można sality usunąć na dwa sposoby: 1. Format wszystkich partycji i urządzeń przenośnych bez kopiowania plików wykonywalnych (dll, exe, scr itp) 2. Leczenie poprzez narzędzia LiveCD. Uwaga nie uda Ci się go pobrać z strony producenta, ponieważ sality go blokuje tylko z alternatywnego linku np: http://pcfachowiec.unl.pl/pcf/doktorw.iso
Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!
Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.