michalkas utworzono 18 maja 2010 utworzono 18 maja 2010 Witam, Chyba mam wirusa ;-) Być może zaczęło się to od infekcji z pendrive. Problem polega na tym, że nie mam dostępu do stron microsoftu, stron antywirusów itp. W menedżerze zadań egzystują procesy takie jak IEXPLORE.EXE lub tez notepad.exe (nie mam włączonego IE ani notatnika). Wygląda jakby proces włączał się ponownie po próbie wyłączenia go. (Nie da się go wyłączyć) Uprzejmie proszę o pomoc w rozwiązaniu tego problemu. Podaję log z ComboFix: [log] ComboFix 10-05-16.06 - Kasa 2010-05-18 21:02:54.1.1 - x86 Microsoft Windows XP Professional 5.1.2600.3.1250.48.1045.18.255.126 [GMT 2:00] Uruchomiony z: d:\pobieranie\ComboFix.exe UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !! . ((((((((((((((((((((((((((((((((((((((( Usunięto ))))))))))))))))))))))))))))))))))))))))))))))))) . c:\documents and settings\All Users\Dokumenty\Settings c:\documents and settings\All Users\Dokumenty\Settings\cbss.dll c:\windows\system32\mjuzxin.dll . ((((((((((((((((((((((((((((((((((((((( Sterowniki/Usługi ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_ICF -------\Service_ICF -------\Legacy_lnsgnola -------\Service_lnsgnola ((((((((((((((((((((((((( Pliki utworzone od 2010-04-18 do 2010-05-18 ))))))))))))))))))))))))))))))) . 2010-05-18 18:27 . 2010-05-18 18:27 -------- d-----w- c:\documents and settings\Kasa\Dane aplikacji\Grisoft 2010-05-18 18:27 . 2007-05-30 12:10 10872 ----a-w- c:\windows\system32\drivers\AvgAsCln.sys 2010-05-18 18:27 . 2010-05-18 18:27 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Grisoft 2010-05-18 18:18 . 2010-05-18 18:19 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Spybot - Search & Destroy 2010-05-18 18:18 . 2010-05-18 18:18 -------- d-----w- c:\program files\Spybot - Search & Destroy 2010-05-18 17:59 . 2010-05-18 18:03 -------- d-----w- c:\program files\RegCleaner 2010-05-18 12:11 . 2010-05-18 12:11 -------- d--h--w- c:\windows\$hf_mig$ 2010-05-18 11:05 . 2010-05-18 11:05 3584 ----a-r- c:\documents and settings\Kasa\Dane aplikacji\Microsoft\Installer\{121634B0-2F4B-11D3-ADA3-00C04F52DD52}\Icon386ED4E3.exe 2010-05-18 11:05 . 2010-05-18 11:05 -------- d-----w- c:\program files\Windows Installer Clean Up 2010-05-18 11:05 . 2010-05-18 11:05 -------- d-----w- c:\program files\MSECACHE 2010-05-18 09:31 . 2010-05-18 09:52 -------- d-----w- c:\windows\system32\oodag 2010-05-18 09:29 . 2010-05-18 09:29 -------- d-----w- c:\documents and settings\Kasa\Ustawienia lokalne\Dane aplikacji\O&O 2010-05-18 09:28 . 2010-05-18 09:28 -------- d-----w- c:\program files\OO Software 2010-05-18 09:18 . 2010-05-18 09:18 19728 ----a-w- c:\windows\system32\pgdfgsvc.exe 2010-05-17 22:00 . 2010-05-17 22:09 -------- d-----w- c:\documents and settings\Kasa\Ustawienia lokalne\Dane aplikacji\Temp 2010-05-17 22:00 . 2010-05-17 22:09 -------- d-----w- c:\documents and settings\Kasa\Ustawienia lokalne\Dane aplikacji\Google 2010-05-17 17:48 . 2010-05-17 18:36 -------- d-----w- c:\windows\SxsCaPendDel 2010-05-16 16:39 . 2004-05-22 21:27 115712 ----a-w- c:\windows\system\APPHELP.DLL 2010-05-15 21:54 . 2010-05-18 17:34 -------- d-----w- c:\windows\system32\NtmsData 2010-05-15 10:56 . 2010-05-15 10:56 -------- d-----w- c:\documents and settings\Kasa\Dane aplikacji\Locktime 2010-05-14 22:37 . 2010-05-14 22:37 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Locktime 2010-05-13 19:07 . 2010-05-13 19:07 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\BVRP Software 2010-05-13 19:05 . 2010-05-17 15:32 -------- d-----w- c:\program files\Sony Ericsson 2010-05-09 15:24 . 2010-05-09 15:24 -------- d-----w- c:\documents and settings\Kasa\Ustawienia lokalne\Dane aplikacji\Identities 2010-05-07 20:38 . 2010-02-19 19:07 85504 ----a-w- c:\windows\system32\ff_vfw.dll 2010-05-07 20:38 . 2010-05-07 20:38 -------- d-----w- c:\program files\ffdshow 2010-05-07 20:11 . 2010-05-07 20:11 28672 ----a-r- c:\documents and settings\Kasa\Dane aplikacji\Microsoft\Installer\{A05BE20E-6510-44BC-95ED-6E6D730407D3}\_CA18F2C35CF8_400D_9D49_6D74AFB2D0CC.exe 2010-05-07 20:11 . 2010-05-07 20:11 -------- d-----w- c:\program files\Vplayer 2010-05-07 19:31 . 2010-05-18 09:21 -------- d-----w- c:\program files\Defraggler 2010-04-26 12:05 . 2008-04-13 22:15 32128 ----a-w- c:\windows\system32\drivers\usbccgp.sys . (((((((((((((((((((((((((((((((((((((((( Sekcja Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-05-18 18:02 . 2008-04-14 22:51 24064 ----a-w- c:\windows\system32\ctfmon.exe 2010-05-18 17:44 . 2010-04-12 15:35 -------- d-----w- c:\program files\SequoiaView 2010-05-18 17:34 . 2001-10-26 19:15 84406 ----a-w- c:\windows\system32\perfc015.dat 2010-05-18 17:34 . 2001-10-26 19:15 491390 ----a-w- c:\windows\system32\perfh015.dat 2010-05-17 17:33 . 2010-03-18 22:43 -------- d-----w- c:\documents and settings\Kasa\Dane aplikacji\Dev-Cpp 2010-05-17 17:32 . 2010-03-22 13:07 -------- d-----w- c:\program files\Wykresy 2010-05-17 17:31 . 2010-03-26 17:52 -------- d-----w- c:\program files\MoorHunt 2010-05-14 23:11 . 2008-04-14 22:51 14336 ----a-w- c:\windows\system32\svchost.exe 2010-05-13 19:05 . 2010-03-18 21:04 -------- d--h--w- c:\program files\InstallShield Installation Information 2010-05-08 13:59 . 2010-03-19 09:48 -------- d-----w- c:\program files\SubEdit-Player 2010-04-14 18:00 . 2010-03-19 09:26 17976 ----a-w- c:\documents and settings\Kasa\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT 2010-04-14 17:23 . 2010-04-14 17:23 -------- d-----w- c:\program files\Microsoft.NET 2010-04-14 17:20 . 2010-04-14 17:11 -------- d-----w- c:\documents and settings\Kasa\Dane aplikacji\DAEMON Tools Pro 2010-04-14 17:13 . 2010-04-14 17:13 691696 ----a-w- c:\windows\system32\drivers\sptd.sys 2010-04-14 17:13 . 2010-04-14 17:13 -------- d-----w- c:\program files\DAEMON Tools Pro 2010-04-14 17:13 . 2010-04-14 17:11 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\DAEMON Tools Pro 2010-03-29 15:41 . 2010-03-18 12:48 -------- d-----w- c:\program files\Windows Media Connect 2 2010-03-26 11:12 . 2010-03-26 11:12 66040 ----a-w- c:\documents and settings\LocalService\Ustawienia lokalne\Dane aplikacji\FontCache3.0.0.0.dat 2010-03-26 11:06 . 2010-03-26 11:06 -------- d-----w- c:\program files\MSBuild 2010-03-26 11:01 . 2010-03-26 11:01 -------- d-----w- c:\program files\Reference Assemblies 2010-03-21 18:59 . 2010-03-21 18:59 -------- d-----w- c:\program files\NAPI-PROJEKT 2010-03-19 19:17 . 2010-03-19 19:17 -------- d-----w- c:\documents and settings\Kasa\Dane aplikacji\Media Player Classic 2010-03-18 21:11 . 2010-03-18 21:11 766 ----a-r- c:\documents and settings\Kasa\Dane aplikacji\Microsoft\Installer\{66742ACA-008A-4790-B74B-FB182DD0AEE6}\NewShortcut1_32499C24015C4E15B2C987EB5925AC8D.exe 2010-03-18 21:11 . 2010-03-18 21:11 10134 ----a-r- c:\documents and settings\Kasa\Dane aplikacji\Microsoft\Installer\{66742ACA-008A-4790-B74B-FB182DD0AEE6}\ARPPRODUCTICON.exe 2010-03-18 16:44 . 2010-03-18 12:55 86327 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat 2010-03-18 13:22 . 2010-03-18 13:22 0 ----a-w- c:\windows\nsreg.dat 2010-03-18 12:49 . 2010-03-18 12:49 21856 ----a-w- c:\windows\system32\emptyregdb.dat . ((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Google Update"="c:\documents and settings\Kasa\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe" [2010-05-17 136176] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "AtiPTA"="Atiptaxx.exe" [2001-09-19 245760] "OODefragTray"="c:\program files\OO Software\Defrag\oodtray.exe" [2009-09-11 2524416] "!AVG Anti-Spyware"="c:\program files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 6731312] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2010-05-18 24064] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce] "nltide_2"="shell32" [X] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "NoThumbnailCache"= 1 (0x1) [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager] BootExecute REG_MULTI_SZ autocheck autochk *\0OODBS [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\AVG Anti-Spyware Guard] @="Service" [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= R3 ati2mpab;ati2mpab;c:\windows\system32\drivers\ati2mpab.sys [2010-03-21 299776] R3 cwrwdm;Sterownik SoundFusion(tm) WDM;c:\windows\system32\drivers\cwrwdm.sys [2010-03-18 48640] S2 lnsgnola;Microsoft System;c:\windows\system32\svchost.exe -k netsvcs [2008-04-15 14336] S3 s0016bus;Sony Ericsson Device 0016 driver (WDM);c:\windows\system32\drivers\s0016bus.sys [2010-05-13 89256] S3 s0016mdfl;Sony Ericsson Device 0016 USB WMC Modem Filter;c:\windows\system32\drivers\s0016mdfl.sys [2010-05-13 15016] S3 s0016mdm;Sony Ericsson Device 0016 USB WMC Modem Driver;c:\windows\system32\drivers\s0016mdm.sys [2010-05-13 120744] S3 s0016mgmt;Sony Ericsson Device 0016 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s0016mgmt.sys [2010-05-13 114216] S3 s0016nd5;Sony Ericsson Device 0016 USB Ethernet Emulation SEMC0016 (NDIS);c:\windows\system32\drivers\s0016nd5.sys [2010-05-13 25512] S3 s0016obex;Sony Ericsson Device 0016 USB WMC OBEX Interface;c:\windows\system32\drivers\s0016obex.sys [2010-05-13 110632] S3 s0016unic;Sony Ericsson Device 0016 USB Ethernet Emulation SEMC0016 (WDM);c:\windows\system32\drivers\s0016unic.sys [2010-05-13 115752] S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [2010-04-14 691696] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs lnsgnola [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{111b710b-3290-11df-9bb1-00105a0edb0a}] \Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn . Zawartość folderu 'Zaplanowane zadania' 2010-05-17 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1060284298-688789844-2146763411-1003Core.job - c:\documents and settings\Kasa\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe [2010-05-17 21:59] 2010-05-18 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1060284298-688789844-2146763411-1003UA.job - c:\documents and settings\Kasa\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe [2010-05-17 21:59] . . ------- Skan uzupełniający ------- . IE: E&ksport do programu Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 . . ------- Skojarzenia plików ------- . .txt= . - - - - USUNIĘTO PUSTE WPISY - - - - SafeBoot-AVG Anti-Spyware Driver AddRemove-Google Chrome - c:\documents and settings\Kasa\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\4.1.249.1064\Installer\setup.exe ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2010-05-18 21:13 Windows 5.1.2600 Dodatek Service Pack 3 NTFS skanowanie ukrytych procesów ... skanowanie ukrytych wpisów autostartu ... skanowanie ukrytych plików ... skanowanie pomyślnie ukończone ukryte pliki: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\System\ControlSet002\Services\lnsgnola] "ServiceDll"="c:\windows\system32\mjuzxin.dll" . --------------------- ZABLOKOWANE KLUCZE REJESTRU --------------------- [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*] "OODEFRAG12.00.00.01PROFESSIONAL"="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" . --------------------- Pliki DLL ładowane pod uruchomionymi procesami --------------------- - - - - - - - > 'explorer.exe'(1444) c:\windows\system\appHelp.dll c:\windows\system32\ieframe.dll c:\windows\system32\wpdshserviceobj.dll c:\windows\system32\portabledevicetypes.dll c:\windows\system32\portabledeviceapi.dll . ------------------------ Pozostałe uruchomione procesy ------------------------ . c:\windows\system32\ati2evxx.exe c:\program files\Grisoft\AVG Anti-Spyware 7.5\guard.exe c:\program files\OO Software\Defrag\oodag.exe c:\windows\system32\Atiptaxx.exe c:\windows\system32\wscntfy.exe . ************************************************************************** . Czas ukończenia: 2010-05-18 21:20:02 - komputer został uruchomiony ponownie ComboFix-quarantined-files.txt 2010-05-18 19:19 Przed: 721 547 264 bajtów wolnych Po: 672 972 800 bajtów wolnych - - End Of File - - CA8E234F19F93119D4DC33B44517955D [/log]
Tomek01 komentarz 18 maja 2010 komentarz 18 maja 2010 UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !!! To jest właśnie przykład że nie powinno się stosować Combofix'a na własną rękę ! Jakby wywalił CI jakiś plik systemowy to miałbyś kłopoty z systemem. Obowiązkowa lektura dla Ciebie: http://www.forumpc.pl/index.php?showtopic=117447 Zastosuj [b][color=#0000CD][url=http://download.bleepingcomputer.com//sUBs/Flash_Disinfector.exe]Flash Disinfector[/url][/color][/b], najlepiej z podpiętym pendrive'm. Do notatnika systemowego wklej taki tekst, (bez frazy kod): [code]Windows Registry Editor Version 5.00 [ -HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{111b710b-3290-11df-9bb1-00105a0edb0a}][/code] Plik zapisz jako/zmień rozszerzenie na wszystkie pliki/zapisz jako fix.reg/dwuklikiem dodajesz do rejestru. Następnie załączasz logi:RSIT [url="http://images.malwareremoval.com/random/RSIT.exe"][b]Random System Information Tool[/b][/url] oraz OTL [url="http://oldtimer.geekstogo.com/OTL.exe"][b]OTL[/b][/url]
Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!
Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.