amonek2 utworzono 2 lipca 2009 utworzono 2 lipca 2009 tak jak w temacie. Będę bardzo wdzieczny ComboFix 09-07-01.04 - Ania 2009-07-02 22:46.1 - NTFSx86Microsoft Windows XP Professional 5.1.2600.2.1250.48.1045.18.895.665 [GMT 2:00]Uruchomiony z: c:\documents and settings\Ania\Pulpit\ComboFix.exe * Utworzono nowy punkt przywracaniaUWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !!.((((((((((((((((((((((((((((((((((((((( Usunięto ))))))))))))))))))))))))))))))))))))))))))))))))).C:\0bcobed.exeC:\1f.batC:\2a.exeC:\8.exeC:\9dlvtiil.exeC:\autorun.infC:\cahpcg.cmdC:\cb.exeC:\copy.exeC:\d9c.batC:\dbrxubcw.comC:\ej10fkdo.batC:\em8tqm.cmdC:\fsaht.cmdC:\gbm6n.exeC:\gclwpivc.cmdC:\gi2ky.exeC:\gpcdt.cmdC:\host.exeC:\husyu8n.exeC:\i.cmdC:\i.comC:\ix8bmwx.batC:\jm3cx96.batC:\m.comC:\metdgv.batC:\nu.cmdC:\o3n9k.comC:\q0dhfjf.exeC:\q9.cmdC:\rbj9jn1n.batC:\s.exeC:\sm.exeC:\sv8c2bjw.batc:\system\S-1-5-21-1482476501-1644491937-682003330-1013c:\system\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.iniC:\uo10sn.cmdC:\upw.batC:\uxkl0apt.batC:\vwewav8.comc:\windows\AhnRpta.exec:\windows\autorun.infc:\windows\Installer\3fd2e2.msic:\windows\svchost.exec:\windows\system32\e8main0.dllc:\windows\system32\nmdfgds0.dllc:\windows\system32\nmdfgds1.dllc:\windows\system32\olhrwef.exec:\windows\system32\temp1.exec:\windows\system32\temp2.exec:\windows\xcopy.exeC:\xdglur.batC:\y6yol.exeD:\0bcobed.exeD:\1f.batD:\2a.exeD:\8.exeD:\9dlvtiil.exeD:\Autorun.infD:\cahpcg.cmdD:\cb.exeD:\copy.exeD:\d9c.batD:\dbrxubcw.comD:\ej10fkdo.batD:\em8tqm.cmdD:\fsaht.cmdD:\gbm6n.exeD:\gclwpivc.cmdD:\gi2ky.exeD:\gpcdt.cmdD:\host.exeD:\husyu8n.exeD:\i.cmdD:\i.comD:\ix8bmwx.batD:\jm3cx96.batD:\m.comD:\metdgv.batD:\nu.cmdD:\o3n9k.comD:\opgde.exeD:\q0dhfjf.exeD:\q9.cmdD:\rbj9jn1n.batD:\sm.exeD:\sv8c2bjw.batD:\uo10sn.cmdD:\upw.batD:\uxkl0apt.batD:\vwewav8.comD:\xdglur.batD:\y6yol.exeE:\0bcobed.exeE:\1f.batE:\2a.exeE:\8.exeE:\9dlvtiil.exeE:\Autorun.infE:\cahpcg.cmdE:\cb.exeE:\copy.exeE:\d9c.batE:\dbrxubcw.comE:\ej10fkdo.batE:\em8tqm.cmdE:\fsaht.cmdE:\gbm6n.exeE:\gclwpivc.cmdE:\gi2ky.exeE:\gpcdt.cmdE:\host.exeE:\husyu8n.exeE:\i.cmdE:\i.comE:\ix8bmwx.batE:\jm3cx96.batE:\m.comE:\metdgv.batE:\nu.cmdE:\o3n9k.comE:\opgde.exeE:\q0dhfjf.exeE:\q9.cmdE:\rbj9jn1n.batE:\sm.exeE:\sv8c2bjw.batE:\uo10sn.cmdE:\upw.batE:\uxkl0apt.batE:\vwewav8.comE:\xdglur.batE:\y6yol.exeF:\0bcobed.exeF:\1f.batF:\2a.exeF:\8.exeF:\9dlvtiil.exeF:\Autorun.infF:\cahpcg.cmdF:\cb.exeF:\copy.exeF:\d9c.batF:\dbrxubcw.comF:\ej10fkdo.batF:\em8tqm.cmdF:\fsaht.cmdF:\gbm6n.exeF:\gclwpivc.cmdF:\gi2ky.exeF:\gpcdt.cmdF:\host.exeF:\husyu8n.exeF:\i.cmdF:\i.comF:\ix8bmwx.batF:\jm3cx96.batF:\m.comF:\metdgv.batF:\nu.cmdF:\o3n9k.comF:\opgde.exeF:\q0dhfjf.exeF:\q9.cmdF:\rbj9jn1n.batF:\sm.exeF:\sv8c2bjw.batF:\uo10sn.cmdF:\upw.batF:\uxkl0apt.batF:\vwewav8.comF:\xdglur.batF:\y6yol.exe.((((((((((((((((((((((((((((((((((((((( Sterowniki/Usługi ))))))))))))))))))))))))))))))))))))))))))))))))).-------\Service_AVPsys((((((((((((((((((((((((( Pliki utworzone od 2009-06-02 do 2009-07-02 ))))))))))))))))))))))))))))))).2009-06-30 16:50 . 2009-06-30 16:50 107917 --sh--r- C:\hifdmgt.com2009-06-29 15:11 . 2009-06-29 15:11 108386 --sh--r- C:\2nuk.com2009-06-29 12:49 . 2009-06-29 12:49 106931 --sh--r- C:\n0euybx.exe2009-06-24 07:40 . 2009-06-24 07:39 106448 --sh--r- C:\8paf1d.com2009-06-23 16:51 . 2009-06-23 16:51 106209 --sh--r- C:\xbvv6o.com2009-06-22 19:48 . 2001-01-12 17:47 122884 ----a-w- c:\windows\UnGins.exe2009-06-09 21:10 . 2009-06-10 16:02 104655 --sh--r- C:\6phx.com2009-06-03 18:17 . 2009-06-03 18:17 -------- d-----w- c:\windows\Xerox2009-06-03 18:09 . 2004-08-03 21:01 25856 -c--a-w- c:\windows\system32\dllcache\usbprint.sys2009-06-03 18:09 . 2004-08-03 21:01 25856 ----a-w- c:\windows\system32\drivers\usbprint.sys2009-06-03 18:06 . 2003-11-17 11:24 208896 ------w- c:\windows\system32\SSRemove.Exe2009-06-03 18:06 . 2005-08-29 00:15 20622 ----a-w- c:\windows\system32\XRXS1LMK.DLL2009-06-03 18:06 . 2005-08-29 00:15 57344 ----a-w- c:\windows\system32\SSCoInst.dll2009-06-03 18:06 . 2005-08-29 00:15 151552 ----a-w- c:\windows\system32\SSCoInst.exe2009-06-03 18:06 . 2003-07-29 07:57 40448 ------w- c:\windows\system32\drivers\Dgivecp.Sys.(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))).2009-06-22 19:42 . 2009-05-27 13:13 -------- d--h--w- c:\program files\InstallShield Installation Information2009-05-29 20:07 . 2009-05-19 15:35 95744 ----a-w- c:\documents and settings\Ania\Dane aplikacji\Mikrotik\Winbox\3.14\roting2.dll2009-05-29 20:07 . 2009-05-19 15:35 92160 ----a-w- c:\documents and settings\Ania\Dane aplikacji\Mikrotik\Winbox\3.14\secure.dll2009-05-29 20:07 . 2009-05-19 15:35 81408 ----a-w- c:\documents and settings\Ania\Dane aplikacji\Mikrotik\Winbox\3.14\ppp.dll2009-05-29 20:07 . 2009-05-19 15:35 78336 ----a-w- c:\documents and settings\Ania\Dane aplikacji\Mikrotik\Winbox\3.14\hotspot.dll2009-05-29 20:07 . 2009-05-19 15:35 168448 ----a-w- c:\documents and settings\Ania\Dane aplikacji\Mikrotik\Winbox\3.14\wlan2.dll2009-05-29 20:07 . 2009-05-19 15:35 10752 ----a-w- c:\documents and settings\Ania\Dane aplikacji\Mikrotik\Winbox\3.14\system.dll2009-05-29 20:07 . 2009-05-19 15:35 68608 ----a-w- c:\documents and settings\Ania\Dane aplikacji\Mikrotik\Winbox\3.14\advtool.dll2009-05-29 20:07 . 2009-05-19 15:35 68096 ----a-w- c:\documents and settings\Ania\Dane aplikacji\Mikrotik\Winbox\3.14\dhcp.dll2009-05-29 20:07 . 2009-05-19 15:35 1455616 ----a-w- c:\documents and settings\Ania\Dane aplikacji\Mikrotik\Winbox\3.14\roteros.dll2009-05-27 13:21 . 2009-05-27 13:21 -------- d-----w- c:\documents and settings\Ania\Dane aplikacji\StatSoft2009-05-27 13:18 . 2009-05-27 13:18 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\StatSoft2009-05-27 13:12 . 2009-05-27 13:12 -------- d-----w- c:\program files\StatSoft2009-05-27 13:09 . 2009-05-17 15:11 -------- d-----w- c:\program files\Common Files\InstallShield2009-05-23 19:20 . 2009-05-23 19:20 -------- d-----w- c:\program files\MarBit2009-05-17 15:12 . 2009-05-17 15:12 -------- d-----w- c:\program files\Ahead2009-05-02 19:57 . 2009-02-17 20:38 42952 ----a-w- c:\documents and settings\Ania\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT2009-04-25 19:13 . 2009-04-25 19:13 2560 ----a-w- c:\windows\_MSRSTRT.EXE2009-03-10 16:48 . 2009-03-10 16:48 90112 --sha-r- c:\windows\system32\bukwcr.dll.((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))..*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane REGEDIT4[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2004-08-03 1667584]"Gadu-Gadu"="c:\program files\Gadu-Gadu\gg.exe" [2007-11-14 2131392][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]"NeroCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648][HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360][HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]"EnableFirewall"= 0 (0x0)[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]"%windir%\\system32\\sessmgr.exe"=[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]"17791:TCP"= 17791:TCP:JournalCommon ResourcesGames"21634:UDP"= 21634:UDP:JournalCommon LiveL2S"19329:UDP"= 19329:UDP:JournalCommon MicrosoftKernel"53719:TCP"= 53719:TCP:JournalCommon SystemInterS2 W32System;Component Config;c:\windows\system32\svchost.exe -k netsvcs [2004-08-04 14336]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcsW32System.- - - - USUNIĘTO PUSTE WPISY - - - -HKCU-Run-Expressivo - c:\program files\ivo\Expressivo\expressivo.exe.------- Skan uzupełniający -------.uStart Page = hxxp://www.google.pl/uInternet Connection Wizard,ShellNext = ftp://ftp.drweb.com/pub/drweb/cureit/launch.exeIE: E&ksport do programu Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000TCP: {D015DB33-6462-49A3-87FC-7F1785AD161C} = 10.10.0.1 82.160.1.1.**************************************************************************catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.netRootkit scan 2009-07-02 22:54Windows 5.1.2600 Dodatek Service Pack 2 NTFSskanowanie ukrytych procesów ... skanowanie ukrytych wpisów autostartu ... skanowanie ukrytych plików ... skanowanie pomyślnie ukończoneukryte pliki: 0**************************************************************************[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\W32System]"ServiceDll"="c:\windows\system32\bukwcr.dll".------------------------ Pozostałe uruchomione procesy ------------------------.c:\program files\Lavasoft\Ad-Aware 2007\aawservice.exec:\program files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXEc:\windows\system32\wdfmgr.exe.**************************************************************************.Czas ukończenia: 2009-07-02 22:59 - komputer został uruchomiony ponownieComboFix-quarantined-files.txt 2009-07-02 20:59Przed: 3 628 871 680 bajtów wolnychPo: 3 616 239 616 bajtów wolnych286 // Nie pisz CAPSEM. // Logi wstawiamy w tagi . // Wszystko poprawiam. // KamilJB
Gość komentarz 3 lipca 2009 komentarz 3 lipca 2009 Wklej do Notatnika: File::C:\hifdmgt.comD:\hifdmgt.comE:\hifdmgt.comF:\hifdmgt.comC:\2nuk.comD:\2nuk.comE:\2nuk.comF:\2nuk.comC:\n0euybx.exeD:\n0euybx.exeE:\n0euybx.exeF:\n0euybx.exeC:\8paf1d.comD:\8paf1d.comE:\8paf1d.comF:\8paf1d.comC:\xbvv6o.comD:\xbvv6o.comE:\xbvv6o.comF:\xbvv6o.comC:\6phx.comD:\6phx.comE:\6phx.comF:\6phx.comc:\windows\system32\bukwcr.dllFolder::c:\systemNetSvc::W32SystemDriver::W32SystemRegistry::[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\W32System] >>Plik>>Zapisz jako... >>> CFScript Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe --> Ma się rozpocząć usuwanie. (i powstanie log).Daj ten log, który powstanie w trakcie usuwania. Jeśli pójdzie dobrze, to: Po restarcie usuń ręcznie folder C:\Qoobox. .
amonek2 komentarz 7 lipca 2009 Autor komentarz 7 lipca 2009 ComboFix 09-07-01.04 - Ania 2009-07-07 21:33.2 - NTFSx86Microsoft Windows XP Professional 5.1.2600.2.1250.48.1045.18.895.690 [GMT 2:00]Uruchomiony z: c:\documents and settings\Ania\Pulpit\ComboFix.exeUżyto następujących komend :: c:\documents and settings\Ania\Pulpit\CFScript.txt * Utworzono nowy punkt przywracaniaUWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !!.((((((((((((((((((((((((((((((((((((((( Usunięto ))))))))))))))))))))))))))))))))))))))))))))))))).c:\system.((((((((((((((((((((((((((((((((((((((( Sterowniki/Usługi ))))))))))))))))))))))))))))))))))))))))))))))))).-------\Legacy_W32SYSTEM-------\Service_W32System((((((((((((((((((((((((( Pliki utworzone od 2009-06-07 do 2009-07-07 ))))))))))))))))))))))))))))))).2009-06-30 16:50 . 2009-06-30 16:50 107917 --sh--r- C:\hifdmgt.com2009-06-29 15:11 . 2009-06-29 15:11 108386 --sh--r- C:\2nuk.com2009-06-29 12:49 . 2009-06-29 12:49 106931 --sh--r- C:\n0euybx.exe2009-06-24 07:40 . 2009-06-24 07:39 106448 --sh--r- C:\8paf1d.com2009-06-23 16:51 . 2009-06-23 16:51 106209 --sh--r- C:\xbvv6o.com2009-06-22 19:48 . 2001-01-12 17:47 122884 ----a-w- c:\windows\UnGins.exe2009-06-09 21:10 . 2009-06-10 16:02 104655 --sh--r- C:\6phx.com.(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))).2009-06-22 19:42 . 2009-05-27 13:13 -------- d--h--w- c:\program files\InstallShield Installation Information2009-05-29 20:07 . 2009-05-19 15:35 95744 ----a-w- c:\documents and settings\Ania\Dane aplikacji\Mikrotik\Winbox\3.14\roting2.dll2009-05-29 20:07 . 2009-05-19 15:35 92160 ----a-w- c:\documents and settings\Ania\Dane aplikacji\Mikrotik\Winbox\3.14\secure.dll2009-05-29 20:07 . 2009-05-19 15:35 81408 ----a-w- c:\documents and settings\Ania\Dane aplikacji\Mikrotik\Winbox\3.14\ppp.dll2009-05-29 20:07 . 2009-05-19 15:35 78336 ----a-w- c:\documents and settings\Ania\Dane aplikacji\Mikrotik\Winbox\3.14\hotspot.dll2009-05-29 20:07 . 2009-05-19 15:35 168448 ----a-w- c:\documents and settings\Ania\Dane aplikacji\Mikrotik\Winbox\3.14\wlan2.dll2009-05-29 20:07 . 2009-05-19 15:35 10752 ----a-w- c:\documents and settings\Ania\Dane aplikacji\Mikrotik\Winbox\3.14\system.dll2009-05-29 20:07 . 2009-05-19 15:35 68608 ----a-w- c:\documents and settings\Ania\Dane aplikacji\Mikrotik\Winbox\3.14\advtool.dll2009-05-29 20:07 . 2009-05-19 15:35 68096 ----a-w- c:\documents and settings\Ania\Dane aplikacji\Mikrotik\Winbox\3.14\dhcp.dll2009-05-29 20:07 . 2009-05-19 15:35 1455616 ----a-w- c:\documents and settings\Ania\Dane aplikacji\Mikrotik\Winbox\3.14\roteros.dll2009-05-27 13:21 . 2009-05-27 13:21 -------- d-----w- c:\documents and settings\Ania\Dane aplikacji\StatSoft2009-05-27 13:18 . 2009-05-27 13:18 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\StatSoft2009-05-27 13:12 . 2009-05-27 13:12 -------- d-----w- c:\program files\StatSoft2009-05-27 13:09 . 2009-05-17 15:11 -------- d-----w- c:\program files\Common Files\InstallShield2009-05-23 19:20 . 2009-05-23 19:20 -------- d-----w- c:\program files\MarBit2009-05-17 15:12 . 2009-05-17 15:12 -------- d-----w- c:\program files\Ahead2009-05-02 19:57 . 2009-02-17 20:38 42952 ----a-w- c:\documents and settings\Ania\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT2009-04-25 19:13 . 2009-04-25 19:13 2560 ----a-w- c:\windows\_MSRSTRT.EXE2009-03-10 16:48 . 2009-03-10 16:48 90112 --sha-r- c:\windows\system32\bukwcr.dll.((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))..*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane REGEDIT4[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2004-08-03 1667584]"Gadu-Gadu"="c:\program files\Gadu-Gadu\gg.exe" [2007-11-14 2131392][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]"NeroCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648][HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360][HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]"EnableFirewall"= 0 (0x0)[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]"%windir%\\system32\\sessmgr.exe"=[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]"17791:TCP"= 17791:TCP:JournalCommon ResourcesGames"45470:TCP"= 45470:TCP:JournalCommon CalendarOptions"18633:UDP"= 18633:UDP:JournalCommon IntelMicrosoft"21634:UDP"= 21634:UDP:JournalCommon LiveL2S..------- Skan uzupełniający -------.uStart Page = hxxp://www.google.pl/uInternet Connection Wizard,ShellNext = ftp://ftp.drweb.com/pub/drweb/cureit/launch.exeIE: E&ksport do programu Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000TCP: {D015DB33-6462-49A3-87FC-7F1785AD161C} = 10.10.0.1 82.160.1.1.**************************************************************************catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.netRootkit scan 2009-07-07 21:39Windows 5.1.2600 Dodatek Service Pack 2 NTFSskanowanie ukrytych procesów ... skanowanie ukrytych wpisów autostartu ... skanowanie ukrytych plików ... skanowanie pomyślnie ukończoneukryte pliki: 0**************************************************************************.--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------- - - - - - - > 'explorer.exe'(808)c:\windows\system32\browselc.dllc:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dllc:\windows\system32\ODBC32.dllc:\program files\Microsoft Office\OFFICE11\msohev.dllc:\program files\Common Files\Adobe\Acrobat\ActiveX\PDFShell.dll.------------------------ Pozostałe uruchomione procesy ------------------------.c:\program files\Lavasoft\Ad-Aware 2007\aawservice.exec:\program files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXEc:\windows\system32\wdfmgr.exec:\windows\system32\wscntfy.exec:\windows\system32\notepad.exe.**************************************************************************.Czas ukończenia: 2009-07-07 21:44 - komputer został uruchomiony ponownieComboFix-quarantined-files.txt 2009-07-07 19:44ComboFix2.txt 2009-07-02 20:59Przed: 4 688 080 896 bajtów wolnychPo: 4 677 844 992 bajtów wolnych112
Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!
Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.