E-APA utworzono 4 kwietnia 2010 utworzono 4 kwietnia 2010 (edytowane) Witam Mam problem z wirusem "jwgkvsq.vmx" Po upgrade softu KIS znajduje w nim cały czas wirusa (upgrade było robione ze wględu na to że złapałem od kogoś wirusa który go "zniszczył"). Po sformatowaniu pliki zostają usunięte, ale po ponownym podłączeniu dalej są. Próbowałem usunąć pliki przez tryb awaryjny, ale też nic. Wgrywałem ponownie softa i to samo. Soft jest ze strony producenta. Podaje tutaj log z HijackThis: jutro podam z ComboFix [log]Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:48:14, on 2010-04-04 Platform: Windows XP Dodatek SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\Ati2evxx.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\system32\Ati2evxx.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\system32\spoolsv.exe D:\WINDOWS\Explorer.EXE D:\WINDOWS\system32\ctfmon.exe D:\WINDOWS\system32\svchost.exe D:\Program Files\PC Connectivity Solution\ServiceLayer.exe D:\Program Files\Tlen.pl\tlen.exe D:\Program Files\PC Connectivity Solution\Transports\NclRSSrv.exe D:\Program Files\PC Connectivity Solution\Transports\NclUSBSrv.exe D:\Program Files\Winamp\winamp.exe D:\Program Files\Mozilla Firefox\firefox.exe D:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [url="http://google.pl/"]http://google.pl/[/url] R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza F2 - REG:system.ini: UserInit=userinit.exe, O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - D:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [AVP] "D:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [wsctf.exe] wsctf.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Dodaj do listy blokowanych banerów - D:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm O9 - Extra button: Statystyki ochrony WWW - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - D:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{A4427E0D-4DEA-48C4-8398-C476785702C2}: NameServer = 194.204.159.1,194.204.152.34 O20 - AppInit_DLLs: D:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,D:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,D:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - D:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe O23 - Service: Pml Driver HPZ12 - HP - D:\WINDOWS\system32\HPZipm12.exe O23 - Service: ServiceLayer - Nokia. - D:\Program Files\PC Connectivity Solution\ServiceLayer.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe -- End of file - 3762 bytes[/log] jak mogę usunąć te zarażone pliki? Z góry dzięki. Pozdrawiamdodaje log z ComboFix: [log] ComboFix 10-04-03.02 - Albert 2010-04-04 22:08:58.1.1 - x86 Microsoft Windows XP Professional 5.1.2600.3.1250.48.1045.18.511.217 [GMT 2:00] Uruchomiony z: D:\Documents and Settings\Albert\Pulpit\ComboFix.exe AV: Kaspersky Internet Security *On-access scanning disabled* (Updated) {2C4D4BC6-0793-4956-A9F9-E252435469C0} FW: Kaspersky Internet Security *disabled* {2C4D4BC6-0793-4956-A9F9-E252435469C0} . ((((((((((((((((((((((((((((((((((((((( Usunięto ))))))))))))))))))))))))))))))))))))))))))))))))) . D:\WINDOWS\AppPatch\AcAdProc.dll D:\WINDOWS\system32\ieuinit.inf . ((((((((((((((((((((((((( Pliki utworzone od 2010-03-04 do 2010-04-04 ))))))))))))))))))))))))))))))) . 2010-04-04 19:47:48 . 2010-04-04 19:47:48 -------- d-----w- D:\Program Files\Trend Micro 2010-04-03 07:40:47 . 2010-04-03 07:40:47 -------- d-----w- D:\Documents and Settings\Albert\Ustawienia lokalne\Dane aplikacji\Ahead 2010-04-03 07:09:35 . 2010-04-03 07:09:35 -------- d-----w- D:\Nowy folder 2010-03-25 22:44:15 . 2010-03-25 22:44:15 -------- d-----w- D:\Documents and Settings\Albert\Ustawienia lokalne\Dane aplikacji\Help 2010-03-25 09:34:26 . 2010-03-25 09:34:26 -------- d-----w- D:\Program Files\Arjaloc 2010-03-21 11:34:59 . 2010-03-21 11:35:30 -------- d-----w- D:\Program Files\Hamachi 2010-03-06 21:52:48 . 2010-04-03 20:29:52 -------- d-----w- D:\Documents and Settings\Albert\Dane aplikacji\Hamachi 2010-03-06 13:29:51 . 2010-03-06 13:29:51 109072 ----a-w- D:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab\AVP8\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav8exec\8.0.0.506\mzvkbd3.dll 2010-03-06 13:29:50 . 2010-03-06 13:29:50 59920 ----a-w- D:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab\AVP8\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav8exec\8.0.0.506\mzvkbd.dll 2010-03-06 13:29:46 . 2010-03-06 13:29:46 208616 ----a-w- D:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab\AVP8\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav8exec\8.0.0.506\avp.exe 2010-03-06 13:29:45 . 2010-03-06 13:29:45 33808 ----a-w- D:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab\AVP8\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav8exec\8.0.0.506\klbg.sys 2010-03-06 13:29:37 . 2010-03-06 13:29:45 226832 ----a-w- D:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab\AVP8\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav8exec\8.0.0.506\XP\klif.sys 2010-03-06 12:46:10 . 2010-03-06 13:29:56 95259 ----a-w- D:\WINDOWS\system32\drivers\klick.dat 2010-03-06 12:46:10 . 2010-03-06 13:29:56 108059 ----a-w- D:\WINDOWS\system32\drivers\klin.dat 2010-03-06 12:44:53 . 2010-04-04 21:01:37 344096 --sha-w- D:\WINDOWS\system32\drivers\fidbox2.dat 2010-03-06 12:44:53 . 2010-04-04 21:01:37 1867296 --sha-w- D:\WINDOWS\system32\drivers\fidbox.dat 2010-03-06 12:44:52 . 2010-04-04 18:17:47 -------- d-----w- D:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab 2010-03-06 12:44:52 . 2010-03-06 12:44:52 -------- d-----w- D:\Program Files\Kaspersky Lab 2010-03-06 12:43:31 . 2010-03-06 12:43:31 -------- d-----w- D:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab Setup Files . (((((((((((((((((((((((((((((((((((((((( Sekcja Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-04-04 21:01:38 . 2010-03-06 12:44:53 6448 --sha-w- D:\WINDOWS\system32\drivers\fidbox2.idx 2010-04-04 21:01:37 . 2010-03-06 12:44:53 21956 --sha-w- D:\WINDOWS\system32\drivers\fidbox.idx 2010-04-04 15:39:37 . 2009-12-06 17:45:25 -------- d-----w- D:\Documents and Settings\Albert\Dane aplikacji\Tlen.pl 2010-03-28 09:48:41 . 2001-10-26 15:15:16 67298 ----a-w- D:\WINDOWS\system32\perfc015.dat 2010-03-28 09:48:41 . 2001-10-26 15:15:16 436322 ----a-w- D:\WINDOWS\system32\perfh015.dat 2010-03-21 18:59:22 . 2010-01-24 18:16:41 -------- d-----w- D:\Documents and Settings\Albert\Dane aplikacji\PC Suite 2010-03-21 11:34:59 . 2009-09-23 08:41:58 25544 ----a-w- D:\WINDOWS\system32\drivers\hamachi.sys 2010-03-13 16:22:07 . 2010-03-13 16:22:07 0 ---ha-w- D:\WINDOWS\system32\drivers\Msft_User_PCCSWpdDriver_01_07_00.Wdf 2010-03-13 16:21:55 . 2010-03-13 16:21:55 0 ---ha-w- D:\WINDOWS\system32\drivers\MsftWdf_user_01_07_00.Wdf 2010-03-13 16:21:08 . 2010-01-24 18:16:40 -------- d-----w- D:\Documents and Settings\All Users\Dane aplikacji\PC Suite 2010-03-06 13:29:58 . 2008-01-29 16:29:38 33808 ----a-w- D:\WINDOWS\system32\drivers\klbg.sys 2010-02-24 11:11:31 . 2009-12-06 16:57:23 -------- d--h--w- D:\Program Files\InstallShield Installation Information 2010-02-18 17:34:36 . 2010-01-22 12:14:36 -------- d-----w- D:\Program Files\FileZilla 2010-02-14 12:17:23 . 2000-08-21 15:35:12 2627 ----a-w- D:\WINDOWS\system32\smport.sys 2010-02-14 11:58:05 . 2010-02-14 11:57:06 -------- d-----w- D:\Program Files\DiscoLitez Pro 2 2010-02-11 15:27:17 . 2010-02-11 15:27:09 -------- d-----w- D:\Program Files\Opera 2010-02-04 12:52:16 . 2009-12-06 17:42:46 -------- d-----w- D:\Documents and Settings\Albert\Dane aplikacji\Winamp 2010-01-24 18:14:03 . 2010-01-24 18:14:03 95232 ----a-w- D:\Documents and Settings\All Users\Dane aplikacji\Installations\{3D39E775-DDDA-4327-B747-0BDC5F191331}\Installer\CommonCustomActions\pcswpcsi.exe 2010-01-24 18:14:03 . 2010-01-24 18:14:03 8192 ----a-w- D:\Documents and Settings\All Users\Dane aplikacji\Installations\{3D39E775-DDDA-4327-B747-0BDC5F191331}\Installer\CommonCustomActions\UninstCCD.exe 2010-01-24 18:14:03 . 2010-01-24 18:14:03 61440 ----a-w- D:\Documents and Settings\All Users\Dane aplikacji\Installations\{3D39E775-DDDA-4327-B747-0BDC5F191331}\Installer\CommonCustomActions\UninstPCSFEMsi.exe 2010-01-24 18:14:03 . 2010-01-24 18:14:03 10240 ----a-w- D:\Documents and Settings\All Users\Dane aplikacji\Installations\{3D39E775-DDDA-4327-B747-0BDC5F191331}\Installer\CommonCustomActions\UninstPCS.exe 2010-01-22 12:46:34 . 2009-12-09 20:08:28 31080 ----a-w- D:\Documents and Settings\Albert\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT 2008-04-14 20:50:36 . 2008-04-14 20:50:36 163185 --sha-r- D:\WINDOWS\system32\ijqahhkr.dll . ((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "AVP"="D:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" [2010-03-06 13:29:59 208616] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="D:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 20:51:12 15360] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys] @="Driver" [HKLM\~\startupfolder\D:^Documents and Settings^Albert^Menu Start^Programy^Autostart^hamachi.lnk] path=D:\Documents and Settings\Albert\Menu Start\Programy\Autostart\hamachi.lnk backup=D:\WINDOWS\pss\hamachi.lnkStartup [HKLM\~\startupfolder\D:^Documents and Settings^All Users^Menu Start^Programy^Autostart^HP Digital Imaging Monitor.lnk] path=D:\Documents and Settings\All Users\Menu Start\Programy\Autostart\HP Digital Imaging Monitor.lnk backup=D:\WINDOWS\pss\HP Digital Imaging Monitor.lnkCommon Startup [HKLM\~\startupfolder\D:^Documents and Settings^All Users^Menu Start^Programy^Autostart^HP Photosmart Premier - Szybkie uruchomienie.lnk] path=D:\Documents and Settings\All Users\Menu Start\Programy\Autostart\HP Photosmart Premier - Szybkie uruchomienie.lnk backup=D:\WINDOWS\pss\HP Photosmart Premier - Szybkie uruchomienie.lnkCommon Startup [HKLM\~\startupfolder\D:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Microsoft Office.lnk] path=D:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Microsoft Office.lnk backup=D:\WINDOWS\pss\Microsoft Office.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ALLUpdate] 2009-06-04 21:56:22 869888 ----a-w- D:\Program Files\ALLPlayer\ALLUpdate.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ares] 2008-12-13 04:23:30 882176 ----a-w- D:\Program Files\Ares\Ares.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C-Media Mixer] 2003-03-20 06:21:00 1855488 ----a-w- D:\WINDOWS\mixer.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EXPLORER.EXE] 2008-04-14 20:51:18 1035264 ------w- D:\WINDOWS\explorer.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update] 2006-02-19 01:41:10 49152 ----a-w- D:\Program Files\HP\HP Software Update\hpwuSchd2.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] 2001-07-09 09:50:42 155648 ----a-w- D:\WINDOWS\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PC Suite Tray] 2009-06-25 14:12:42 1414144 ----a-w- D:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StartCCC] 2008-08-01 14:23:08 61440 ----a-w- D:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent] 2008-08-03 23:02:20 36352 ----a-w- D:\Program Files\Winamp\winampa.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "%windir%\\system32\\sessmgr.exe"= "D:\\Program Files\\Tlen.pl\\tlen.exe"= "G:\\Valve (CS)\\hl.exe"= "D:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe"= "D:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"= "D:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe"= "D:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe"= "D:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"= "D:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"= "D:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"= "D:\\Program Files\\HP\\Digital Imaging\\bin\\hpqCopy.exe"= "D:\\Program Files\\HP\\Digital Imaging\\bin\\hpfccopy.exe"= "D:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"= "D:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"= "D:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"= "D:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"= "D:\\Program Files\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"= "D:\\Program Files\\Metin2_PL\\metin2.bin"= "D:\\Program Files\\Metin2_PL\\metin2client.bin"= "D:\\Program Files\\Ares\\Ares.exe"= "D:\\Program Files\\Opera\\opera.exe"= "G:\\Valve (CS)\\hlds.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "4455:TCP"= 4455:TCP:frbfkch R0 klbg;Kaspersky Lab Boot Guard Driver;D:\WINDOWS\system32\drivers\klbg.sys [2008-01-29 18:29:38 33808] R0 sptd;sptd;D:\WINDOWS\system32\drivers\sptd.sys [2009-12-06 19:02:29 639224] R1 UserPort;UserPort;D:\WINDOWS\system32\drivers\UserPort.sys [2010-02-14 14:45:08 4256] R3 KLFLTDEV;Kaspersky Lab KLFltDev;D:\WINDOWS\system32\drivers\klfltdev.sys [2008-03-13 19:02:46 26640] R3 klim5;Kaspersky Anti-Virus NDIS Filter;D:\WINDOWS\system32\drivers\klim5.sys [2008-04-30 18:06:48 24592] S2 cazchum;Support Installer;D:\WINDOWS\system32\svchost.exe -k netsvcs [2008-04-14 22:51:44 14336] S3 dcmewel;dcmewel;\??\D:\WINDOWS\system32\03.tmp --> D:\WINDOWS\system32\03.tmp [?] S3 drbqoisv;drbqoisv;\??\D:\WINDOWS\system32\03.tmp --> D:\WINDOWS\system32\03.tmp [?] S3 fmntclsu;fmntclsu;\??\D:\WINDOWS\system32\03.tmp --> D:\WINDOWS\system32\03.tmp [?] S3 hdkaes;hdkaes;\??\D:\WINDOWS\system32\03.tmp --> D:\WINDOWS\system32\03.tmp [?] S3 jplbp;jplbp;\??\D:\WINDOWS\system32\03.tmp --> D:\WINDOWS\system32\03.tmp [?] S3 kkquof;kkquof;\??\D:\WINDOWS\system32\03.tmp --> D:\WINDOWS\system32\03.tmp [?] S3 krhctr;krhctr;\??\D:\WINDOWS\system32\03.tmp --> D:\WINDOWS\system32\03.tmp [?] S3 kszkmpvsa;kszkmpvsa;\??\D:\WINDOWS\system32\03.tmp --> D:\WINDOWS\system32\03.tmp [?] S3 kwohguoeb;kwohguoeb;\??\D:\WINDOWS\system32\03.tmp --> D:\WINDOWS\system32\03.tmp [?] S3 lomovlp;lomovlp;\??\D:\WINDOWS\system32\03.tmp --> D:\WINDOWS\system32\03.tmp [?] S3 luiunu;luiunu;\??\D:\WINDOWS\system32\03.tmp --> D:\WINDOWS\system32\03.tmp [?] S3 mbsjlr;mbsjlr;\??\D:\WINDOWS\system32\03.tmp --> D:\WINDOWS\system32\03.tmp [?] S3 nwdpejxe;nwdpejxe;\??\D:\WINDOWS\system32\03.tmp --> D:\WINDOWS\system32\03.tmp [?] S3 pkzcxvl;pkzcxvl;\??\D:\WINDOWS\system32\03.tmp --> D:\WINDOWS\system32\03.tmp [?] S3 pumplv;pumplv;\??\D:\WINDOWS\system32\03.tmp --> D:\WINDOWS\system32\03.tmp [?] S3 rjnwsudi;rjnwsudi;\??\D:\WINDOWS\system32\03.tmp --> D:\WINDOWS\system32\03.tmp [?] S3 Smport;Smport;D:\WINDOWS\system32\smport.sys [2000-08-21 17:35:12 2627] S3 ssafbjtrv;ssafbjtrv;\??\D:\WINDOWS\system32\03.tmp --> D:\WINDOWS\system32\03.tmp [?] S3 wnazzqw;wnazzqw;\??\D:\WINDOWS\system32\03.tmp --> D:\WINDOWS\system32\03.tmp [?] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs cazchum . . ------- Skan uzupełniający ------- . uStart Page = hxxp://google.pl/ IE: Dodaj do listy blokowanych banerów - D:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm TCP: {A4427E0D-4DEA-48C4-8398-C476785702C2} = 194.204.159.1,194.204.152.34 FF - ProfilePath - D:\Documents and Settings\Albert\Dane aplikacji\Mozilla\Firefox\Profiles\jh19hhcn.default\ FF - prefs.js: browser.search.selectedEngine - Allegro FF - prefs.js: browser.startup.homepage - google.pl ---- FIREFOX - SPOSÓB POSTĘPOWANIA ---- D:\Program Files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true); D:\Program Files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", ""); D:\Program Files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false); D:\Program Files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false); . - - - - USUNIĘTO PUSTE WPISY - - - - HKCU-Run-wsctf.exe - wsctf.exe AddRemove-DiscoLitez - D:\Program Files\DiscoLitez Pro 2\uninst.exe [/log]
Mateusz J. komentarz 4 kwietnia 2010 komentarz 4 kwietnia 2010 W logu nie widać tego pliku. Ale wykonaj, do notatnika wklej: [code]File:: D:\WINDOWS\system32\ijqahhkr.dll Registry:: [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\ GloballyOpenPorts\List] "4455:TCP"=- Driver:: cazchum[/code]W notatniku zakladka Plik ==> Zapisz jako ==> zapisz pod nazwą[b] CFScript.txt[/b] i zapisz go w tym katalogu co ściągnięty i zapisany został [b]combofix[/b] Na ikonę [b]ComboFix[/b] przeciągasz zrobiony plik [b]CFScript.txt[/b] Tak jak na obrazku: [img]http://img212.imageshack.us/img212/740/cfscript10uc2su5.gif[/img] Rozpocznie się usuwanie [b]i powstanie log , który pokazujesz na forum.[/b] Dodatkowo log z OTL.
E-APA komentarz 5 kwietnia 2010 Autor komentarz 5 kwietnia 2010 w systemie nie ma wirusa, wirus jest tylko na odtwarzaczu, a po usunięciu go i ponownym podłączeniu do komputera, dalej się pojawia
Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!
Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.