ehugo1 utworzono 5 września 2009 utworzono 5 września 2009 Witam, mam ogromny problem, z którym nie umiem sobie poradzić i dlatego zwracam się do Was z gorącą prośbą o pomoc ! Na początek Avast zaczął wykrywać wirusy, których nie umiał naprawić, usunąć, ani nic. Strasznie mi się wieszał komputer, więc postanowiłem go sformatować. Po formacie Avast wciążwykrywał wirusy ale już tak nie mulił, po tygodniu nie dało się włączyć komputera, więc znowu sformatowałem no i teraz znowu nie muli, ale wirus jest, postanowiłem napisać do Was co z tym zrobić. Avast wykrywa go tak: Znaleziono konia trojańskiego! Plik: C:\Windows\System32\NMDFGDS0.DLL Nazwa pasożyta: Win32:Kamso [Trj] Typ pasożyta: Koń trojański Wersja VPS: 090904-0, 2009-09-04 i wyskakuje jeszcze drugie okno z Avasta: Znaleziono oprogramowanie typu rootkit! Plik: C:\Windows\System32\nmdfgds0.dll Typ: Rootkit: ukryty proces Nazwa pasożyta: Win32: Kamso [Trj] nie znam się na tym, ale wiem, że się jeszcze tu daje log z HiJackThis, wklejam: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 12:42:57, on 2009-09-05 Platform: Windows XP Dodatek SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16876) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\AhnRpta.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\devldr32.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\WINDOWS\system32\wuauclt.exe C:\Program Files\Winamp\winamp.exe C:\Program Files\Gadu-Gadu\gg.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [cdoosoft] C:\DOCUME~1\HUGO\USTAWI~1\Temp\herss.exe O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA') O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'USŁUGA LOKALNA') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA') O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'USŁUGA SIECIOWA') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user') O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe -- End of file - 4295 bytes Błagam, pomóżcie !
Nocturn komentarz 5 września 2009 komentarz 5 września 2009 Proponuję pobrać Norton Internet Security z licencją na 15 dni. Zrobić scan. Moim zdaniem to wystarczy by rozwiązać problem
ehugo1 komentarz 5 września 2009 Autor komentarz 5 września 2009 aha i zapomniałem dodać, że co jakis czas ( nawet gdy nie mam właczonej przegladarki )w prawym dolnym rogu czasami wyskakuje te male okienko, ze Zablokowano połączenie z niebezpieczną witryną, czy jakoś tak a jak sciagne ten Norton Internet Security to musze odinstalowac Avasta, czy poprostu kliknąć na ZATRZYMAJ OCHRONĘ DOSTĘPOWĄ, czy w ogóle z nim nic nie robić ?
Gość komentarz 5 września 2009 komentarz 5 września 2009 Daj log z OTL: http://www.forumpc.pl/index.php?showtopic=104338&st=0&p=728645&fromsearch=1entry728645 .
ehugo1 komentarz 5 września 2009 Autor komentarz 5 września 2009 O, jeszcze mi znalazlo nastepnego konia trojanskiego: C:\f2.bat nazwa pasożyta: Win32:Crypt-EXP [Trj] i jeszcze zauwazylem podejrzany process... AhnRpta.exe pamietam tez, ze kiedys uzywalem bo ktos mi na forum polecil ComboFixa i mi pomoglo ale juz nie pamietam zabardzo jak tego uzywac moze tego sprobowac ? a co do tego loga z OTL to program sie zatrzymuje podczas skanowania zawirusowanego pliku ;(
ehugo1 komentarz 5 września 2009 Autor komentarz 5 września 2009 log z combofixa: ComboFix 09-09-04.02 - HUGO 2009-09-05 14:27.1.1 - FAT32x86 Microsoft Windows XP Professional 5.1.2600.3.1250.48.1045.18.767.497 [GMT 2:00] Uruchomiony z: c:\documents and settings\HUGO\Pulpit\ComboFix.exe UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !! . ((((((((((((((((((((((((((((((((((((((( Usunięto ))))))))))))))))))))))))))))))))))))))))))))))))) . C:\autorun.inf c:\docume~1\HUGO\USTAWI~1\Temp\cvasds0.dll c:\docume~1\HUGO\USTAWI~1\Temp\cvasds1.dll c:\documents and settings\HUGO\Ustawienia lokalne\Temp\cvasds0.dll C:\f2.bat c:\windows\AhnRpta.exe c:\windows\system32\_000006_.tmp.dll c:\windows\system32\_000007_.tmp.dll c:\windows\system32\_000008_.tmp.dll c:\windows\system32\_000009_.tmp.dll c:\windows\system32\_000010_.tmp.dll c:\windows\system32\_000019_.tmp.dll c:\windows\system32\_000020_.tmp.dll c:\windows\system32\_000021_.tmp.dll c:\windows\system32\_000022_.tmp.dll c:\windows\system32\e8main0.dll c:\windows\system32\nmdfgds0.dll c:\windows\system32\nmdfgds1.dll c:\windows\system32\olhrwef.exe D:\Autorun.inf D:\f2.bat D:\q8e6.bat E:\autorun.inf E:\f2.bat E:\q8e6.bat . ((((((((((((((((((((((((( Pliki utworzone od 2009-08-05 do 2009-09-05 ))))))))))))))))))))))))))))))) . 2009-09-05 12:20 . 2009-09-05 12:20 16304 ----a-w- c:\documents and settings\HUGO\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT 2009-09-05 10:42 . 2009-09-05 10:42 -------- d-----w- c:\program files\Trend Micro 2009-09-05 10:25 . 2009-09-05 10:26 -------- d-----w- c:\windows\system32\KB905474 2009-09-05 10:25 . 2009-03-10 20:26 1436544 ----a-w- c:\windows\system32\KB905474\wganotifypackageinner.exe 2009-09-05 10:25 . 2009-03-10 20:18 455048 ----a-w- c:\windows\system32\KB905474\wgasetup.exe 2009-09-05 10:11 . 2009-09-05 10:11 -------- d-sh--w- C:\FOUND.000 2009-09-04 21:06 . 2001-10-26 17:28 61440 ----a-w- c:\windows\system32\dllcache\spcplui.dll 2009-09-04 21:06 . 2001-10-26 17:29 77824 ----a-w- c:\windows\system32\dllcache\spcommon.dll 2009-09-04 21:06 . 2001-10-26 17:29 774144 ----a-w- c:\windows\system32\dllcache\spttseng.dll 2009-09-04 21:06 . 2001-10-26 17:30 36864 ----a-w- c:\windows\system32\dllcache\sapisvr.exe 2009-09-04 21:06 . 2008-04-14 20:50 741376 ----a-w- c:\windows\system32\dllcache\sapi.dll 2009-09-04 21:06 . 2007-04-02 21:56 22016 ----a-w- c:\windows\system32\dllcache\agt0408.dll 2009-09-04 21:06 . 2007-04-02 21:56 19456 ----a-w- c:\windows\system32\dllcache\agt041f.dll 2009-09-04 21:06 . 2007-04-02 21:56 19456 ----a-w- c:\windows\system32\dllcache\agt0419.dll 2009-09-04 21:06 . 2007-04-02 21:56 19968 ----a-w- c:\windows\system32\dllcache\agt040e.dll 2009-09-04 21:06 . 2007-04-02 21:56 19456 ----a-w- c:\windows\system32\dllcache\agt0415.dll 2009-09-04 21:06 . 2007-04-02 21:56 19456 ----a-w- c:\windows\system32\dllcache\agt0405.dll 2009-09-04 21:06 . 2008-04-14 20:50 8704 ----a-w- c:\windows\system32\dllcache\batt.dll 2009-09-04 20:54 . 2008-06-14 17:36 273024 ------w- c:\windows\system32\drivers\bthport.sys 2009-09-04 20:54 . 2008-06-14 17:36 273024 ------w- c:\windows\system32\dllcache\bthport.sys 2009-09-04 20:47 . 2009-02-09 11:26 2190336 ------w- c:\windows\system32\dllcache\ntoskrnl.exe 2009-09-04 20:47 . 2009-02-09 11:26 2146816 ------w- c:\windows\system32\dllcache\ntkrnlmp.exe 2009-09-04 20:47 . 2009-02-09 11:26 2025472 ------w- c:\windows\system32\dllcache\ntkrpamp.exe 2009-09-04 20:45 . 2008-10-24 11:21 455296 ------w- c:\windows\system32\dllcache\mrxsmb.sys 2009-09-04 20:27 . 2008-07-09 07:57 26488 ----a-w- c:\windows\system32\spupdsvc.exe 2009-09-04 20:26 . 2009-09-04 20:26 -------- d-----w- c:\documents and settings\HUGO\Dane aplikacji\Gadu-Gadu 2009-09-04 20:21 . 2009-09-04 20:21 -------- d-----w- c:\windows\ShellNew 2009-09-04 20:10 . 2009-09-04 20:10 -------- d-----w- c:\program files\VideoLAN . (((((((((((((((((((((((((((((((((((((((( Sekcja Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-09-05 11:14 . 2001-10-26 14:15 49492 ----a-w- c:\windows\system32\perfc015.dat 2009-09-05 11:14 . 2001-10-26 14:15 355486 ----a-w- c:\windows\system32\perfh015.dat 2009-09-04 20:34 . 2009-09-04 19:47 117153 --sh--r- C:\cj3k.exe 2009-09-04 19:52 . 2009-09-04 19:52 -------- d-----w- c:\program files\Winamp 2009-09-04 19:52 . 2009-09-04 19:52 -------- d-----w- c:\documents and settings\HUGO\Dane aplikacji\Winamp 2009-09-04 19:41 . 2009-09-04 19:41 0 ----a-w- c:\windows\nsreg.dat 2009-09-04 19:39 . 2009-09-04 19:39 114404 --sh--r- C:\qv9qc9f.exe 2009-09-04 19:38 . 2009-09-04 19:38 -------- d-----w- c:\program files\Alwil Software 2009-09-04 19:38 . 2009-09-04 19:38 -------- d-----w- c:\program files\Gadu-Gadu 2009-09-04 19:27 . 2009-09-04 19:27 -------- d-----w- c:\program files\microsoft frontpage 2009-09-04 19:24 . 2009-09-04 19:24 -------- d-----w- c:\program files\Usługi online 2009-09-04 19:22 . 2009-09-04 19:22 21856 ----a-w- c:\windows\system32\emptyregdb.dat 2009-09-04 19:21 . 2009-09-04 19:21 -------- d-----w- c:\program files\Windows Media Connect 2 2009-08-05 09:01 . 2008-04-14 18:50 205312 ----a-w- c:\windows\system32\mswebdvd.dll 2009-07-29 04:37 . 2008-04-14 18:50 119808 ----a-w- c:\windows\system32\t2embed.dll 2009-07-29 04:37 . 2008-04-14 18:50 81920 ----a-w- c:\windows\system32\fontsub.dll 2009-07-19 13:31 . 2009-07-19 13:31 3597824 ----a-w- c:\windows\system32\SET90.tmp 2009-07-19 13:31 . 2009-07-19 13:31 6067200 ----a-w- c:\windows\system32\SET98.tmp 2009-07-17 19:04 . 2009-07-17 19:04 58880 ----a-w- c:\windows\system32\SET83.tmp 2009-07-13 21:43 . 2008-05-08 16:01 286208 ----a-w- c:\windows\system32\wmpdxm.dll 2009-06-29 15:59 . 2009-06-29 15:59 827392 ----a-w- c:\windows\system32\SET87.tmp 2009-06-29 15:59 . 2009-06-29 15:59 233472 ----a-w- c:\windows\system32\SET88.tmp 2009-06-29 15:59 . 2009-06-29 15:59 1159680 ----a-w- c:\windows\system32\SET89.tmp 2009-06-29 15:59 . 2009-06-29 15:59 105984 ----a-w- c:\windows\system32\SET8A.tmp 2009-06-29 15:59 . 2009-06-29 15:59 52224 ----a-w- c:\windows\system32\SET91.tmp 2009-06-29 15:59 . 2009-06-29 15:59 459264 ----a-w- c:\windows\system32\SET92.tmp 2009-06-29 15:59 . 2009-06-29 15:59 268288 ----a-w- c:\windows\system32\SET96.tmp 2009-06-29 15:59 . 2009-06-29 15:59 63488 ----a-w- c:\windows\system32\SETA0.tmp 2009-06-29 15:59 . 2009-06-29 15:59 380928 ----a-w- c:\windows\system32\SET9A.tmp 2009-06-29 15:59 . 2009-06-29 15:59 124928 ----a-w- c:\windows\system32\SETA4.tmp 2009-06-29 15:59 . 2008-05-08 16:01 78336 ----a-w- c:\windows\system32\ieencode.dll 2009-06-29 15:59 . 2008-05-08 16:01 17408 ----a-w- c:\windows\system32\corpol.dll 2009-06-29 08:33 . 2009-06-29 08:33 2452872 ----a-w- c:\windows\system32\SET9B.tmp 2009-06-15 10:45 . 2008-04-14 18:51 82944 ----a-w- c:\windows\system32\tlntsess.exe 2009-06-15 10:45 . 2008-04-14 18:51 78336 ----a-w- c:\windows\system32\telnet.exe 2009-06-10 14:15 . 2008-04-14 18:50 84992 ----a-w- c:\windows\system32\avifil32.dll 2009-06-10 07:22 . 2009-09-04 19:20 2066432 ----a-w- c:\windows\system32\mstscax.dll 2009-06-10 06:16 . 2008-04-14 18:50 132096 ----a-w- c:\windows\system32\wkssvc.dll . ------- Sigcheck ------- [-] 2008-05-08 16:02 1571840 9F02C1CF7C3100E4AEA7DD8B6A86A01B c:\windows\system32\sfcfiles.dll . ((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Gadu-Gadu"="c:\program files\Gadu-Gadu\gg.exe" [2007-07-09 2119104] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce] "nltide_2"="shell32" [X] c:\documents and settings\All Users\Menu Start\Programy\Autostart\ Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "%windir%\\system32\\sessmgr.exe"= "c:\\Program Files\\Gadu-Gadu\\gg.exe"= . Zawartość folderu 'Zaplanowane zadania' 2009-09-05 c:\windows\Tasks\WGASetup.job - c:\windows\system32\KB905474\wgasetup.exe [2009-09-05 20:18] . . ------- Skan uzupełniający ------- . IE: E&ksport do programu Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000 FF - ProfilePath - c:\documents and settings\HUGO\Dane aplikacji\Mozilla\Firefox\Profiles\f9u7zjt3.default\ . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-09-05 14:32 Windows 5.1.2600 Dodatek Service Pack 3 FAT NTAPI skanowanie ukrytych procesów ... skanowanie ukrytych wpisów autostartu ... skanowanie ukrytych plików ... skanowanie pomyślnie ukończone ukryte pliki: 0 ************************************************************************** . --------------------- ZABLOKOWANE KLUCZE REJESTRU --------------------- [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}] @Denied: (A 2) (Everyone) @="FlashBroker" "LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10c.exe,-101" [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\Elevation] "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\LocalServer32] @="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10c.exe" [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" [HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}] @Denied: (A 2) (Everyone) @="IFlashBroker3" [HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\ProxyStubClsid32] @="{00020424-0000-0000-C000-000000000046}" [HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" "Version"="1.0" . --------------------- Pliki DLL ładowane pod uruchomionymi procesami --------------------- - - - - - - - > 'explorer.exe'(1360) c:\windows\system32\ieframe.dll c:\windows\system32\wpdshserviceobj.dll c:\windows\system32\portabledevicetypes.dll c:\windows\system32\portabledeviceapi.dll . ------------------------ Pozostałe uruchomione procesy ------------------------ . c:\windows\system32\devldr32.exe c:\windows\system32\wscntfy.exe . ************************************************************************** . Czas ukończenia: 2009-09-05 14:33 - komputer został uruchomiony ponownie ComboFix-quarantined-files.txt 2009-09-05 12:33 Przed: 18 115 297 280 bajtów wolnych Po: 18 118 852 608 bajtów wolnych 187 --- E O F --- 2009-09-05 10:27
Gość komentarz 5 września 2009 komentarz 5 września 2009 Wklej do Notatnika: KillAll::File::C:\cj3k.exeD:\cj3k.exeE:\cj3k.exeC:\qv9qc9f.exeD:\qv9qc9f.exeE:\qv9qc9f.exec:\windows\system32\SET90.tmpc:\windows\system32\SET98.tmpc:\windows\system32\SET83.tmpc:\windows\system32\SET87.tmpc:\windows\system32\SET88.tmpc:\windows\system32\SET89.tmpc:\windows\system32\SET8A.tmpc:\windows\system32\SET91.tmpc:\windows\system32\SET92.tmpc:\windows\system32\SET96.tmpc:\windows\system32\SETA0.tmpc:\windows\system32\SET9A.tmpc:\windows\system32\SETA4.tmpc:\windows\system32\SET9B.tmpFolder::C:\FOUND.000Reboot:: >>Plik>>Zapisz jako... >>> CFScript Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe --> Ma się rozpocząć usuwanie. (i powstanie log).Daj ten log, który powstanie w trakcie usuwania. Jeśli pójdzie dobrze, to: Po restarcie usuń ręcznie folder C:\Qoobox. .
ehugo1 komentarz 5 września 2009 Autor komentarz 5 września 2009 log z combofixa: ComboFix 09-09-04.02 - HUGO 2009-09-05 15:46.2.1 - FAT32x86 Microsoft Windows XP Professional 5.1.2600.3.1250.48.1045.18.767.501 [GMT 2:00] Uruchomiony z: c:\documents and settings\HUGO\Pulpit\ComboFix.exe Użyto następujących komend :: c:\documents and settings\HUGO\Pulpit\CFScript.txt AV: avast! antivirus 4.8.1351 [VPS 090817-0] *On-access scanning disabled* (Outdated) {7591DB91-41F0-48A3-B128-1A293FD8233D} UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !! FILE :: "C:\cj3k.exe" "C:\qv9qc9f.exe" "c:\windows\system32\SET83.tmp" "c:\windows\system32\SET87.tmp" "c:\windows\system32\SET88.tmp" "c:\windows\system32\SET89.tmp" "c:\windows\system32\SET8A.tmp" "c:\windows\system32\SET90.tmp" "c:\windows\system32\SET91.tmp" "c:\windows\system32\SET92.tmp" "c:\windows\system32\SET96.tmp" "c:\windows\system32\SET98.tmp" "c:\windows\system32\SET9A.tmp" "c:\windows\system32\SET9B.tmp" "c:\windows\system32\SETA0.tmp" "c:\windows\system32\SETA4.tmp" "D:\cj3k.exe" "D:\qv9qc9f.exe" "E:\cj3k.exe" "E:\qv9qc9f.exe" . ((((((((((((((((((((((((((((((((((((((( Usunięto ))))))))))))))))))))))))))))))))))))))))))))))))) . C:\cj3k.exe C:\FOUND.000 c:\found.000\FILE0000.CHK c:\found.000\FILE0001.CHK c:\found.000\FILE0002.CHK C:\qv9qc9f.exe c:\windows\system32\SET83.tmp c:\windows\system32\SET87.tmp c:\windows\system32\SET88.tmp c:\windows\system32\SET89.tmp c:\windows\system32\SET8A.tmp c:\windows\system32\SET90.tmp c:\windows\system32\SET91.tmp c:\windows\system32\SET92.tmp c:\windows\system32\SET96.tmp c:\windows\system32\SET98.tmp c:\windows\system32\SET9A.tmp c:\windows\system32\SET9B.tmp c:\windows\system32\SETA0.tmp c:\windows\system32\SETA4.tmp D:\cj3k.exe D:\qv9qc9f.exe E:\cj3k.exe E:\qv9qc9f.exe . ((((((((((((((((((((((((( Pliki utworzone od 2009-08-05 do 2009-09-05 ))))))))))))))))))))))))))))))) . 2009-09-05 13:17 . 2009-08-17 16:04 23152 ----a-w- c:\windows\system32\drivers\aswRdr.sys 2009-09-05 13:17 . 2009-08-17 16:04 51376 ----a-w- c:\windows\system32\drivers\aswTdi.sys 2009-09-05 13:17 . 2009-08-17 16:03 26944 ----a-w- c:\windows\system32\drivers\aavmker4.sys 2009-09-05 13:17 . 2009-08-17 16:02 97480 ----a-w- c:\windows\system32\AvastSS.scr 2009-09-05 13:17 . 2009-08-17 16:06 93392 ----a-w- c:\windows\system32\drivers\aswmon.sys 2009-09-05 13:17 . 2009-08-17 16:06 94160 ----a-w- c:\windows\system32\drivers\aswmon2.sys 2009-09-05 13:17 . 2009-08-17 16:05 114768 ----a-w- c:\windows\system32\drivers\aswSP.sys 2009-09-05 13:17 . 2009-08-17 16:05 20560 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys 2009-09-05 13:17 . 2009-08-17 16:10 1279456 ----a-w- c:\windows\system32\aswBoot.exe 2009-09-05 12:40 . 2009-09-05 12:40 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Symantec 2009-09-05 12:39 . 2009-09-05 12:39 -------- d-----w- c:\documents and settings\HUGO\Ustawienia lokalne\Dane aplikacji\Tific 2009-09-05 12:38 . 2009-09-05 12:38 -------- d-----w- c:\documents and settings\HUGO\Dane aplikacji\Tific 2009-09-05 12:38 . 2009-09-05 12:38 -------- d-----w- c:\documents and settings\HUGO\Ustawienia lokalne\Dane aplikacji\Symantec 2009-09-05 12:37 . 2009-09-05 12:37 -------- d-----w- c:\windows\system32\drivers\NIS 2009-09-05 12:37 . 2009-09-05 12:37 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Norton 2009-09-05 12:36 . 2009-09-05 12:36 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\NortonInstaller 2009-09-05 12:20 . 2009-09-05 12:20 16304 ----a-w- c:\documents and settings\HUGO\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT 2009-09-05 10:42 . 2009-09-05 10:42 -------- d-----w- c:\program files\Trend Micro 2009-09-05 10:25 . 2009-09-05 10:26 -------- d-----w- c:\windows\system32\KB905474 2009-09-05 10:25 . 2009-03-10 20:26 1436544 ----a-w- c:\windows\system32\KB905474\wganotifypackageinner.exe 2009-09-05 10:25 . 2009-03-10 20:18 455048 ----a-w- c:\windows\system32\KB905474\wgasetup.exe 2009-09-04 21:06 . 2001-10-26 17:28 61440 ----a-w- c:\windows\system32\dllcache\spcplui.dll 2009-09-04 21:06 . 2001-10-26 17:29 77824 ----a-w- c:\windows\system32\dllcache\spcommon.dll 2009-09-04 21:06 . 2001-10-26 17:29 774144 ----a-w- c:\windows\system32\dllcache\spttseng.dll 2009-09-04 21:06 . 2001-10-26 17:30 36864 ----a-w- c:\windows\system32\dllcache\sapisvr.exe 2009-09-04 21:06 . 2008-04-14 20:50 741376 ----a-w- c:\windows\system32\dllcache\sapi.dll 2009-09-04 21:06 . 2007-04-02 21:56 22016 ----a-w- c:\windows\system32\dllcache\agt0408.dll 2009-09-04 21:06 . 2007-04-02 21:56 19456 ----a-w- c:\windows\system32\dllcache\agt041f.dll 2009-09-04 21:06 . 2007-04-02 21:56 19456 ----a-w- c:\windows\system32\dllcache\agt0419.dll 2009-09-04 21:06 . 2007-04-02 21:56 19968 ----a-w- c:\windows\system32\dllcache\agt040e.dll 2009-09-04 21:06 . 2007-04-02 21:56 19456 ----a-w- c:\windows\system32\dllcache\agt0415.dll 2009-09-04 21:06 . 2007-04-02 21:56 19456 ----a-w- c:\windows\system32\dllcache\agt0405.dll 2009-09-04 21:06 . 2008-04-14 20:50 8704 ----a-w- c:\windows\system32\dllcache\batt.dll 2009-09-04 20:54 . 2008-06-14 17:36 273024 ------w- c:\windows\system32\drivers\bthport.sys 2009-09-04 20:54 . 2008-06-14 17:36 273024 ------w- c:\windows\system32\dllcache\bthport.sys 2009-09-04 20:47 . 2009-02-09 11:26 2190336 ------w- c:\windows\system32\dllcache\ntoskrnl.exe 2009-09-04 20:47 . 2009-02-09 11:26 2146816 ------w- c:\windows\system32\dllcache\ntkrnlmp.exe 2009-09-04 20:47 . 2009-02-09 11:26 2025472 ------w- c:\windows\system32\dllcache\ntkrpamp.exe 2009-09-04 20:45 . 2008-10-24 11:21 455296 ------w- c:\windows\system32\dllcache\mrxsmb.sys 2009-09-04 20:27 . 2008-07-09 07:57 26488 ----a-w- c:\windows\system32\spupdsvc.exe 2009-09-04 20:26 . 2009-09-04 20:26 -------- d-----w- c:\documents and settings\HUGO\Dane aplikacji\Gadu-Gadu 2009-09-04 20:21 . 2009-09-04 20:21 -------- d-----w- c:\windows\ShellNew 2009-09-04 20:10 . 2009-09-04 20:10 -------- d-----w- c:\program files\VideoLAN . (((((((((((((((((((((((((((((((((((((((( Sekcja Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-09-05 11:14 . 2001-10-26 14:15 49492 ----a-w- c:\windows\system32\perfc015.dat 2009-09-05 11:14 . 2001-10-26 14:15 355486 ----a-w- c:\windows\system32\perfh015.dat 2009-09-04 19:52 . 2009-09-04 19:52 -------- d-----w- c:\program files\Winamp 2009-09-04 19:52 . 2009-09-04 19:52 -------- d-----w- c:\documents and settings\HUGO\Dane aplikacji\Winamp 2009-09-04 19:41 . 2009-09-04 19:41 0 ----a-w- c:\windows\nsreg.dat 2009-09-04 19:38 . 2009-09-04 19:38 -------- d-----w- c:\program files\Alwil Software 2009-09-04 19:38 . 2009-09-04 19:38 -------- d-----w- c:\program files\Gadu-Gadu 2009-09-04 19:27 . 2009-09-04 19:27 -------- d-----w- c:\program files\microsoft frontpage 2009-09-04 19:24 . 2009-09-04 19:24 -------- d-----w- c:\program files\Usługi online 2009-09-04 19:22 . 2009-09-04 19:22 21856 ----a-w- c:\windows\system32\emptyregdb.dat 2009-09-04 19:21 . 2009-09-04 19:21 -------- d-----w- c:\program files\Windows Media Connect 2 2009-08-05 09:01 . 2008-04-14 18:50 205312 ----a-w- c:\windows\system32\mswebdvd.dll 2009-07-29 04:37 . 2008-04-14 18:50 119808 ----a-w- c:\windows\system32\t2embed.dll 2009-07-29 04:37 . 2008-04-14 18:50 81920 ----a-w- c:\windows\system32\fontsub.dll 2009-07-13 21:43 . 2008-05-08 16:01 286208 ----a-w- c:\windows\system32\wmpdxm.dll 2009-06-29 15:59 . 2008-05-08 16:01 78336 ----a-w- c:\windows\system32\ieencode.dll 2009-06-29 15:59 . 2008-05-08 16:01 17408 ----a-w- c:\windows\system32\corpol.dll 2009-06-15 10:45 . 2008-04-14 18:51 82944 ----a-w- c:\windows\system32\tlntsess.exe 2009-06-15 10:45 . 2008-04-14 18:51 78336 ----a-w- c:\windows\system32\telnet.exe 2009-06-10 14:15 . 2008-04-14 18:50 84992 ----a-w- c:\windows\system32\avifil32.dll 2009-06-10 07:22 . 2009-09-04 19:20 2066432 ----a-w- c:\windows\system32\mstscax.dll 2009-06-10 06:16 . 2008-04-14 18:50 132096 ----a-w- c:\windows\system32\wkssvc.dll . ------- Sigcheck ------- [-] 2008-05-08 16:02 1571840 9F02C1CF7C3100E4AEA7DD8B6A86A01B c:\windows\system32\sfcfiles.dll . ((((((((((((((((((((((((((((( SnapShot@2009-09-05_12.32.33 ))))))))))))))))))))))))))))))))))))))))) . + 2009-09-05 13:51 . 2009-09-05 13:51 16384 c:\windows\temp\Perflib_Perfdata_528.dat . ((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Gadu-Gadu"="c:\program files\Gadu-Gadu\gg.exe" [2007-07-09 2119104] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-08-17 81000] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce] "nltide_2"="shell32" [X] c:\documents and settings\All Users\Menu Start\Programy\Autostart\ Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "%windir%\\system32\\sessmgr.exe"= "c:\\Program Files\\Gadu-Gadu\\gg.exe"= R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2009-09-05 114768] R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2009-09-05 20560] . Zawartość folderu 'Zaplanowane zadania' 2009-09-05 c:\windows\Tasks\WGASetup.job - c:\windows\system32\KB905474\wgasetup.exe [2009-09-05 20:18] . . ------- Skan uzupełniający ------- . IE: E&ksport do programu Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000 FF - ProfilePath - c:\documents and settings\HUGO\Dane aplikacji\Mozilla\Firefox\Profiles\f9u7zjt3.default\ . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-09-05 15:51 Windows 5.1.2600 Dodatek Service Pack 3 FAT NTAPI skanowanie ukrytych procesów ... skanowanie ukrytych wpisów autostartu ... skanowanie ukrytych plików ... skanowanie pomyślnie ukończone ukryte pliki: 0 ************************************************************************** . --------------------- ZABLOKOWANE KLUCZE REJESTRU --------------------- [HKEY_USERS\S-1-5-21-299502267-1993962763-839522115-1003\Software\Microsoft\SystemCertificates\AddressBook*] @Allowed: (Read) (RestrictedCode) @Allowed: (Read) (RestrictedCode) [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}] @Denied: (A 2) (Everyone) @="FlashBroker" "LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10c.exe,-101" [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\Elevation] "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\LocalServer32] @="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10c.exe" [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" [HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}] @Denied: (A 2) (Everyone) @="IFlashBroker3" [HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\ProxyStubClsid32] @="{00020424-0000-0000-C000-000000000046}" [HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" "Version"="1.0" . --------------------- Pliki DLL ładowane pod uruchomionymi procesami --------------------- - - - - - - - > 'explorer.exe'(3044) c:\windows\system32\ieframe.dll c:\windows\system32\wpdshserviceobj.dll c:\windows\system32\portabledevicetypes.dll c:\windows\system32\portabledeviceapi.dll . ------------------------ Pozostałe uruchomione procesy ------------------------ . c:\program files\Alwil Software\Avast4\aswUpdSv.exe c:\program files\Alwil Software\Avast4\ashServ.exe c:\windows\system32\devldr32.exe c:\program files\Alwil Software\Avast4\ashMaiSv.exe c:\program files\Alwil Software\Avast4\ashWebSv.exe c:\windows\system32\wscntfy.exe . ************************************************************************** . Czas ukończenia: 2009-09-05 15:53 - komputer został uruchomiony ponownie ComboFix-quarantined-files.txt 2009-09-05 13:53 ComboFix2.txt 2009-09-05 12:33 Przed: 17 841 274 880 bajtów wolnych Po: 17 821 761 536 bajtów wolnych 224 --- E O F --- 2009-09-05 10:27 i jak ten moj log ? teraz mi wykrylo znowu wira ;/
Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!
Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.