Kubis utworzono 18 sierpnia 2008 utworzono 18 sierpnia 2008 Wszystko było ok, ściągnąłem coś z neta i zaraz wirus. No i oczywiście inteligentny avast mi się wyłączył. Włączyłem go i usunąłem plik z wirusem. Lecz zaczął komp się dziwnie ciąć. Dałem resa, no i się utworzyło nowych 30 kont! Gdy wbiłem na moje pokazała się wiadomość, że nie można znaleźć pliku mmcs i mogę mieć mniejszy dostęp, czy coś w tym rodzaju. No to wchodzę w mój komputer i nie mogę wejść na żaden dysk! Pisze, że na mój komp zostały nałożone ograniczenia! Co robić?
tofik177 komentarz 18 sierpnia 2008 komentarz 18 sierpnia 2008 nie sciagaqć nic z neta ciekawe co sciagałes ze takiego fajnego vira złapałeś ;d polecam uzycie jakiegos dobrego antyvira na poczatek np pakietu Norton Internet Seciurity
Kubis komentarz 18 sierpnia 2008 Autor komentarz 18 sierpnia 2008 nie sciagaqć nic z neta ciekawe co sciagałes ze takiego fajnego vira złapałeś ;dpolecam uzycie jakiegos dobrego antyvira na poczatek np pakietu Norton Internet Seciurity Ściągałem różne bajery do CS'a Tak tylko, że norton pewnie kosztuje ? Chciałbym to zrobić najlepiej tak dzisiaj jeszcze ^^
Psycholandia komentarz 18 sierpnia 2008 komentarz 18 sierpnia 2008 Daj logi z Combofix'a, do działu Bezpieczeństwo --> Logi.
vocativus komentarz 18 sierpnia 2008 komentarz 18 sierpnia 2008 instaluj kasperskiego w wersji internet security, aktywuj wersję 30 dniową i odpalasz pełne skanowanie. Jak wykryje coś to od razu wywalaj. dodatkowo uruchom windows update i aktualizuj system łącznie z aktualizacjami niestandardowymi (dodatkowymi) oprócz windows live search. nie używaj internet explorera - przesiądź się na operę albo firefoxa i na przyszłość nie ściągaj takich "dodatków" z torrentów albo z innych nielegalnych źródeł Daj logi z Combofix'a, do działu Bezpieczeństwo --> Logi. logi wklej w tym temacie (przenoszę go do bezpieki)
Kubis komentarz 19 sierpnia 2008 Autor komentarz 19 sierpnia 2008 Dobra usunąłem 12 wirów, bo tylko tyle było: -Trojan -Malware -Adware -VB-TMX -AgentUMM Nadal nie mam dostępu. Mogę tylko wiedzieć jak używać combofix'a ? Bo na dyski wchodzić nie mogę ^^' I jak dobrze uaktualnić windows'a. Nie znam się na tym zbyt dobrze i dla tego te pytania .
Psycholandia komentarz 19 sierpnia 2008 komentarz 19 sierpnia 2008 Tu masz jak korzystać z Combofix'a: KLIK Uaktualnienie Windowsa: Panel Sterowania --> Aktualizajce automatyczne--> zaznacz 'Automatyczne' od tej pory Windows będzie się aktualizował sam.
Kubis komentarz 19 sierpnia 2008 Autor komentarz 19 sierpnia 2008 Tylko jak ja mam to wkleić na forum, jeśli nie mogę wejść na dysk C gdzie to się będzie znajdowało?
Gość komentarz 19 sierpnia 2008 komentarz 19 sierpnia 2008 C:\ComboFix.txt , wklej log na wklej.org lub na wklejto.pl Jeśli nie możesz, dajesz log z DSS.
snip91 komentarz 19 sierpnia 2008 komentarz 19 sierpnia 2008 ComboFix sam usunie część infekcji i możliwe, że będziesz mógł wstawić loga. Poza tym plik z logiem sam się wyświetli.
nitro07 komentarz 19 sierpnia 2008 komentarz 19 sierpnia 2008 zawsze możesz uruchomić komputer w trybie awaryjnym z obsługą sieci i przeskanować komputer np MKS online z poziomu trybu awaryjnego zapewne będziesz mógł wejść na dyski twarde, wtedy wklej logi....
Kubis komentarz 19 sierpnia 2008 Autor komentarz 19 sierpnia 2008 Oto logi :] ComboFix 08-08-18.04 - xxx 2008-08-19 15:33:30.3 - NTFSx86Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.299 [GMT 2:00] Running from: C:\Documents and Settings\xxx\Pulpit\ComboFix.exe WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !! . ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) . . ---- Previous Run ------- . C:\WINDOWS\KB8888239.log C:\WINDOWS\ntdtcstp.dll . ((((((((((((((((((((((((( Files Created from 2008-07-19 to 2008-08-19 ))))))))))))))))))))))))))))))) . 2008-08-19 12:10 . 2008-08-19 12:10 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab Setup Files 2008-08-19 04:47 . 2008-06-14 20:01 273,024 --------- C:\WINDOWS\system32\drivers\bthport.sys 2008-08-19 04:47 . 2008-06-14 20:01 273,024 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys 2008-08-19 04:46 . 2008-08-19 04:59 1,374 --a------ C:\WINDOWS\imsins.BAK 2008-08-19 04:45 . 2008-08-19 04:59 <DIR> d--h----- C:\WINDOWS\$hf_mig$ 2008-08-19 04:45 . 2005-02-25 05:36 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe 2008-08-19 00:12 . 2008-08-19 00:12 <DIR> d-------- C:\Program Files\sXeCheats 2008-08-19 00:12 . 2008-08-19 00:12 26,214,400 --a------ C:\WINDOWS\system32\1625027656.dll 2008-08-19 00:12 . 2008-08-19 00:13 26,214,400 --a------ C:\WINDOWS\system32\100731849.dll 2008-08-18 17:57 . 2008-08-18 17:57 <DIR> d-------- C:\Program Files\DAEMON Tools Toolbar 2008-08-18 17:56 . 2008-08-18 17:57 <DIR> d-------- C:\Program Files\DAEMON Tools Lite 2008-08-18 17:55 . 2008-08-18 17:55 <DIR> d-------- C:\Documents and Settings\xxx\Dane aplikacji\DAEMON Tools 2008-08-18 17:55 . 2008-08-18 17:55 717,296 --a------ C:\WINDOWS\system32\drivers\sptd.sys 2008-08-08 00:09 . 2008-08-08 00:09 <DIR> d-------- C:\Program Files\Google 2008-08-08 00:09 . 2006-10-05 04:42 2,560 --------- C:\WINDOWS\system32\drivers\cdralw2k.sys 2008-08-08 00:09 . 2006-10-05 04:42 2,432 --------- C:\WINDOWS\system32\drivers\cdr4_xp.sys 2008-08-04 20:57 . 2008-08-08 00:09 <DIR> d-------- C:\Program Files\Picasa2 2008-08-03 01:27 . 2008-08-03 01:27 <DIR> d-------- C:\mydecal 2008-08-03 01:22 . 2008-08-03 12:24 <DIR> d-------- C:\HLC 2.3 2008-08-01 23:46 . 2008-08-01 23:47 58 --a------ C:\start 2008-07-25 16:24 . 2008-04-21 22:23 <DIR> d--h----- C:\Documents and Settings\Kubis\Ustawienia lokalne 2008-07-25 16:24 . 2008-04-21 22:23 <DIR> d-------- C:\Documents and Settings\Kubis\Ulubione 2008-07-25 16:24 . 2008-04-21 20:46 <DIR> d--h----- C:\Documents and Settings\Kubis\Szablony 2008-07-25 16:24 . 2008-04-21 22:23 <DIR> d-------- C:\Documents and Settings\Kubis\Pulpit 2008-07-25 16:24 . 2008-04-21 22:23 <DIR> d-------- C:\Documents and Settings\Kubis\Moje dokumenty 2008-07-25 16:24 . 2008-04-21 22:23 <DIR> dr------- C:\Documents and Settings\Kubis\Menu Start 2008-07-25 16:24 . 2008-04-21 22:23 <DIR> dr-h----- C:\Documents and Settings\Kubis\Dane aplikacji 2008-07-25 16:24 . 2008-07-25 16:24 <DIR> d-------- C:\Documents and Settings\Kubis 2008-07-24 15:18 . 2004-08-03 23:08 26,496 --a--c--- C:\WINDOWS\system32\dllcache\usbstor.sys 2008-07-23 19:56 . 2008-07-23 19:56 33,824 --a------ C:\WINDOWS\system32\drivers\oreans32.sys . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-08-19 10:28 --------- d-----w C:\Program Files\sXe Injected 2008-08-18 20:20 --------- d-----w C:\Documents and Settings\xxx\Dane aplikacji\gtk-2.0 2008-08-18 16:19 --------- d--h--w C:\Program Files\InstallShield Installation Information 2008-08-14 11:35 --------- d-----w C:\Program Files\DC++ 2008-08-07 06:19 --------- d-----w C:\Program Files\Gadu-Gadu 2008-07-28 19:33 --------- d-----w C:\Program Files\Dice! Plus 2008-07-27 20:10 --------- d-----w C:\Program Files\NPCC 2008-07-23 10:43 --------- d-----w C:\Program Files\Skype 2008-07-23 10:43 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Skype 2008-07-23 09:40 --------- d-----w C:\Documents and Settings\xxx\Dane aplikacji\skypePM 2008-07-14 14:53 --------- d-----w C:\Program Files\Common Files\ParallelGraphics 2008-07-07 20:33 253,952 ----a-w C:\WINDOWS\system32\es.dll 2008-06-25 22:25 --------- d-----w C:\Program Files\GIMP-2.0 2008-06-24 16:24 74,240 ----a-w C:\WINDOWS\system32\mscms.dll 2008-06-23 15:41 662,016 ----a-w C:\WINDOWS\system32\wininet.dll 2008-06-20 17:42 246,784 ----a-w C:\WINDOWS\system32\mswsock.dll 2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys 2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys 2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys 2008-05-25 17:39 98,304 ----a-w C:\WINDOWS\system32\CmdLineExt.dll . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries & legit default entries are not shown REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:44 15360] "NvMediaCenter"="C:\WINDOWS\system32\NVMCTRAY.DLL" [2003-11-17 13:33 49152] "ares"="C:\Program Files\Ares\Ares.exe" [2008-02-20 16:33 963072] "Gadu-Gadu"="C:\Program Files\Gadu-Gadu\gg.exe" [2008-03-20 12:04 2127296] "Picasa Media Detector"="C:\Program Files\Picasa2\PicasaMediaDetector.exe" [2008-02-26 03:23 443968] "DAEMON Tools Lite"="C:\Program Files\DAEMON Tools Lite\daemon.exe" [2008-07-24 17:02 490952] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2003-11-17 13:33 3022848] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe" [2008-03-25 04:28 144784] "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-07-19 16:38 78008] "nwiz"="nwiz.exe" [2003-11-17 13:33 753664 C:\WINDOWS\system32\nwiz.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 00:44 15360] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "NoViewOnDrive"= 67108863 (0x3ffffff) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"= "C:\\Program Files\\Microsoft Office\\Office12\\GROOVE.EXE"= "C:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"= "C:\\Program Files\\Ares\\Ares.exe"= "C:\\Program Files\\Gadu-Gadu\\gg.exe"= "C:\\Program Files\\mIRC\\mirc.exe"= "E:\\program files\\TrackMania Nations ESWC\\TmNationsESWC.exe"= "C:\\Program Files\\DC++\\DCPlusPlus.exe"= "C:\\Documents and Settings\\All Users\\Dane aplikacji\\Kaspersky Lab Setup Files\\Kaspersky Internet Security 2009\\Polish\\setup.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "8461:TCP"= 8461:TCP:GoD High Port "8462:TCP"= 8462:TCP:GoD Low Port R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 16:35] R1 oreans32;oreans32;C:\WINDOWS\system32\drivers\oreans32.sys [2008-07-23 19:56] R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 16:37] S3 ddsxeiservice;ddsxeiservice2;C:\Program Files\sXe Injected\ddsxei.sys [2008-08-04 04:32] S3 RenameMe;RenameMe;C:\WINDOWS\system32\RenameMe.sys [2006-08-12 19:21] S3 usbscan;Sterownik skanera USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 22:58] S3 USBSTOR;Sterownik magazynu masowego USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 23:08] S3 x-tern;x-tern;C:\Documents and Settings\xxx\Pulpit\Czity\X-Tern v2.0\x-tern.sys [] . . ------- Supplementary Scan ------- . FireFox -: Profile - C:\Documents and Settings\xxx\Dane aplikacji\Mozilla\Firefox\Profiles\1arwfk6r.default\ FireFox -: prefs.js - STARTUP.HOMEPAGE - www.google.pl FF -: plugin - C:\Program Files\Mozilla Firefox\plugins\npCortona.dll FF -: plugin - C:\Program Files\Yahoo!\Common\npyaxmpb.dll . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-08-19 15:34:41 Windows 5.1.2600 Dodatek Service Pack 2 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** . Completion time: 2008-08-19 15:36:02 ComboFix-quarantined-files.txt 2008-08-19 13:35:49 Pre-Run: 14,676,942,848 bajtów wolnych Post-Run: 14,669,488,128 bajtów wolnych 136 --- E O F --- 2008-08-19 02:59:31
Gość komentarz 19 sierpnia 2008 komentarz 19 sierpnia 2008 Są tylko 3 pliki podejrzane: C:\WINDOWS\system32\1625027656.dllC:\WINDOWS\system32\100731849.dllC:\WINDOWS\system32\drivers\oreans32.sys Sprawdź je na --> http://virusscan.jotti.org/ albo na http://www.virustotal.com/en/indexf.html.
snip91 komentarz 19 sierpnia 2008 komentarz 19 sierpnia 2008 Do notatnika wklej: File::C:\WINDOWS\system32\1625027656.dllC:\WINDOWS\system32\100731849.dll W notatniku zakładka Plik --> Zapisz jako --> zapisz pod nazwą CFScript.txt i zapisz go w tym samym katalogu, w którym jest ComboFix. Wystartuj tryb awaryjny (F8 podczas ładowania systemu). Na ikonę ComboFix przeciągasz zrobiony plik CFScript.txt tak, jak na obrazku: Rozpocznie się usuwanie i powstanie log, który pokazujesz na forum. Po restarcie usuń ręcznie folder C:\Qoobox.
Kubis komentarz 19 sierpnia 2008 Autor komentarz 19 sierpnia 2008 Ok tylko aby nie było. ComboFix u mnie ma zupełnie inną ikonę. Czyli głowę białego tygrysa na czerwonym tle. Mam go na pulpicie. Na tą ikonę przeciągnąć notatnik?
Gość komentarz 19 sierpnia 2008 komentarz 19 sierpnia 2008 Najpierw sprawdź te pliki,mogą być czyste.Niektórzy jeszcze używają animacji z krzyżykiem,ja mam animację z lwem a dokładnie dwie
Kubis komentarz 19 sierpnia 2008 Autor komentarz 19 sierpnia 2008 ComboFix 08-08-18.04 - xxx 2008-08-19 16:23:05.4 - NTFSx86Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.289 [GMT 2:00] Running from: C:\Documents and Settings\xxx\Pulpit\ComboFix.exe Command switches used :: C:\Documents and Settings\xxx\Pulpit\CFScript.txt * Created a new restore point WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !! FILE :: C:\WINDOWS\system32\100731849.dll C:\WINDOWS\system32\1625027656.dll . ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\system32\100731849.dll C:\WINDOWS\system32\1625027656.dll . ((((((((((((((((((((((((( Files Created from 2008-07-19 to 2008-08-19 ))))))))))))))))))))))))))))))) . 2008-08-19 12:10 . 2008-08-19 12:10 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab Setup Files 2008-08-19 04:47 . 2008-06-14 20:01 273,024 --------- C:\WINDOWS\system32\drivers\bthport.sys 2008-08-19 04:47 . 2008-06-14 20:01 273,024 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys 2008-08-19 04:46 . 2008-08-19 04:59 1,374 --a------ C:\WINDOWS\imsins.BAK 2008-08-19 04:45 . 2008-08-19 04:59 <DIR> d--h----- C:\WINDOWS\$hf_mig$ 2008-08-19 04:45 . 2005-02-25 05:36 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe 2008-08-19 00:12 . 2008-08-19 00:12 <DIR> d-------- C:\Program Files\sXeCheats 2008-08-18 17:57 . 2008-08-18 17:57 <DIR> d-------- C:\Program Files\DAEMON Tools Toolbar 2008-08-18 17:56 . 2008-08-18 17:57 <DIR> d-------- C:\Program Files\DAEMON Tools Lite 2008-08-18 17:55 . 2008-08-18 17:55 <DIR> d-------- C:\Documents and Settings\xxx\Dane aplikacji\DAEMON Tools 2008-08-18 17:55 . 2008-08-18 17:55 717,296 --a------ C:\WINDOWS\system32\drivers\sptd.sys 2008-08-08 00:09 . 2008-08-08 00:09 <DIR> d-------- C:\Program Files\Google 2008-08-08 00:09 . 2006-10-05 04:42 2,560 --------- C:\WINDOWS\system32\drivers\cdralw2k.sys 2008-08-08 00:09 . 2006-10-05 04:42 2,432 --------- C:\WINDOWS\system32\drivers\cdr4_xp.sys 2008-08-04 20:57 . 2008-08-08 00:09 <DIR> d-------- C:\Program Files\Picasa2 2008-08-03 01:27 . 2008-08-03 01:27 <DIR> d-------- C:\mydecal 2008-08-03 01:22 . 2008-08-03 12:24 <DIR> d-------- C:\HLC 2.3 2008-08-01 23:46 . 2008-08-01 23:47 58 --a------ C:\start 2008-07-25 16:24 . 2008-04-21 22:23 <DIR> d--h----- C:\Documents and Settings\Kubis\Ustawienia lokalne 2008-07-25 16:24 . 2008-04-21 22:23 <DIR> d-------- C:\Documents and Settings\Kubis\Ulubione 2008-07-25 16:24 . 2008-04-21 20:46 <DIR> d--h----- C:\Documents and Settings\Kubis\Szablony 2008-07-25 16:24 . 2008-04-21 22:23 <DIR> d-------- C:\Documents and Settings\Kubis\Pulpit 2008-07-25 16:24 . 2008-04-21 22:23 <DIR> d-------- C:\Documents and Settings\Kubis\Moje dokumenty 2008-07-25 16:24 . 2008-04-21 22:23 <DIR> dr------- C:\Documents and Settings\Kubis\Menu Start 2008-07-25 16:24 . 2008-04-21 22:23 <DIR> dr-h----- C:\Documents and Settings\Kubis\Dane aplikacji 2008-07-25 16:24 . 2008-07-25 16:24 <DIR> d-------- C:\Documents and Settings\Kubis 2008-07-24 15:18 . 2004-08-03 23:08 26,496 --a--c--- C:\WINDOWS\system32\dllcache\usbstor.sys 2008-07-23 19:56 . 2008-07-23 19:56 33,824 --a------ C:\WINDOWS\system32\drivers\oreans32.sys . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-08-19 10:28 --------- d-----w C:\Program Files\sXe Injected 2008-08-18 20:20 --------- d-----w C:\Documents and Settings\xxx\Dane aplikacji\gtk-2.0 2008-08-18 16:19 --------- d--h--w C:\Program Files\InstallShield Installation Information 2008-08-14 11:35 --------- d-----w C:\Program Files\DC++ 2008-08-07 06:19 --------- d-----w C:\Program Files\Gadu-Gadu 2008-07-28 19:33 --------- d-----w C:\Program Files\Dice! Plus 2008-07-27 20:10 --------- d-----w C:\Program Files\NPCC 2008-07-23 10:43 --------- d-----w C:\Program Files\Skype 2008-07-23 10:43 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Skype 2008-07-23 09:40 --------- d-----w C:\Documents and Settings\xxx\Dane aplikacji\skypePM 2008-07-14 14:53 --------- d-----w C:\Program Files\Common Files\ParallelGraphics 2008-07-07 20:33 253,952 ----a-w C:\WINDOWS\system32\es.dll 2008-06-25 22:25 --------- d-----w C:\Program Files\GIMP-2.0 2008-06-24 16:24 74,240 ----a-w C:\WINDOWS\system32\mscms.dll 2008-06-23 15:41 662,016 ----a-w C:\WINDOWS\system32\wininet.dll 2008-06-20 17:42 246,784 ----a-w C:\WINDOWS\system32\mswsock.dll 2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys 2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys 2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys 2008-05-25 17:39 98,304 ----a-w C:\WINDOWS\system32\CmdLineExt.dll . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries & legit default entries are not shown REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:44 15360] "NvMediaCenter"="C:\WINDOWS\system32\NVMCTRAY.DLL" [2003-11-17 13:33 49152] "ares"="C:\Program Files\Ares\Ares.exe" [2008-02-20 16:33 963072] "Gadu-Gadu"="C:\Program Files\Gadu-Gadu\gg.exe" [2008-03-20 12:04 2127296] "Picasa Media Detector"="C:\Program Files\Picasa2\PicasaMediaDetector.exe" [2008-02-26 03:23 443968] "DAEMON Tools Lite"="C:\Program Files\DAEMON Tools Lite\daemon.exe" [2008-07-24 17:02 490952] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2003-11-17 13:33 3022848] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe" [2008-03-25 04:28 144784] "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-07-19 16:38 78008] "nwiz"="nwiz.exe" [2003-11-17 13:33 753664 C:\WINDOWS\system32\nwiz.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 00:44 15360] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "NoViewOnDrive"= 67108863 (0x3ffffff) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"= "C:\\Program Files\\Microsoft Office\\Office12\\GROOVE.EXE"= "C:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"= "C:\\Program Files\\Ares\\Ares.exe"= "C:\\Program Files\\Gadu-Gadu\\gg.exe"= "C:\\Program Files\\mIRC\\mirc.exe"= "E:\\program files\\TrackMania Nations ESWC\\TmNationsESWC.exe"= "C:\\Program Files\\DC++\\DCPlusPlus.exe"= "C:\\Documents and Settings\\All Users\\Dane aplikacji\\Kaspersky Lab Setup Files\\Kaspersky Internet Security 2009\\Polish\\setup.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "8461:TCP"= 8461:TCP:GoD High Port "8462:TCP"= 8462:TCP:GoD Low Port R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 16:35] R1 oreans32;oreans32;C:\WINDOWS\system32\drivers\oreans32.sys [2008-07-23 19:56] R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 16:37] S3 ddsxeiservice;ddsxeiservice2;C:\Program Files\sXe Injected\ddsxei.sys [2008-08-04 04:32] S3 RenameMe;RenameMe;C:\WINDOWS\system32\RenameMe.sys [2006-08-12 19:21] S3 usbscan;Sterownik skanera USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 22:58] S3 USBSTOR;Sterownik magazynu masowego USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 23:08] S3 x-tern;x-tern;C:\Documents and Settings\xxx\Pulpit\Czity\X-Tern v2.0\x-tern.sys [] . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-08-19 16:24:12 Windows 5.1.2600 Dodatek Service Pack 2 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** . Completion time: 2008-08-19 16:25:28 ComboFix-quarantined-files.txt 2008-08-19 14:25:15 ComboFix2.txt 2008-08-19 13:36:03 Pre-Run: 14,644,924,416 bajtów wolnych Post-Run: 14,584,672,256 bajtów wolnych 129 --- E O F --- 2008-08-19 02:59:31 2 log, po zrobieniu tego co kazał kolega :]
Gość komentarz 19 sierpnia 2008 komentarz 19 sierpnia 2008 Ja nie widzę tu nic szkodliwego. Usuń ręcznie folder C:\Qoobox, Usuń instalkę ComboFix z dysku. Wykonaj optymalizację autostartu Przeczyść komputer ATF-Cleaner Wyłącz i włącz przywracanie systemu na wszystkich dyskach.Instrukcja Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum. lub Dr.WEB CureIt!.
Kubis komentarz 19 sierpnia 2008 Autor komentarz 19 sierpnia 2008 KASPERSKY ONLINE SCANNER REPORT19 sierpień 2008 18:27:08 System operacyjny: Microsoft Windows XP Professional, Dodatek Service Pack 2 (Build 2600) Kaspersky Online Scanner wersja: 5.0.98.1 Ostatnia aktualizacja Kaspersky Anti-Virus19/08/2008 Liczba wpisów w bazie danych Kaspersky Anti-Virus1110946 Ustawienia skanowania Skanowanie przy użyciu następujących baz danych rozszerzone Skanuj archiwa tak Skanuj pocztowe bazy danych tak Obszar skanowania Mój komputer A:\ C:\ D:\ E:\ F:\ G:\ H:\ I:\ J:\ Statystyki skanowania Liczba skanowanych obiektów 43659 Liczba wykrytych wirusów 2 Liczba zainfekowanych obiektów 3 Liczba podejrzanych obiektów 0 Czas trwania skanowania 01:10:42 Nazwa zainfekowanego obiektu Nazwa wirusa Ostatnie działanie C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Network\Downloader\qmgr0.dat Object is locked pominięty C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Network\Downloader\qmgr1.dat Object is locked pominięty C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked pominięty C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked pominięty C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked pominięty C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty C:\Documents and Settings\LocalService\Ustawienia lokalne\Historia\History.IE5\index.dat Object is locked pominięty C:\Documents and Settings\LocalService\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat Object is locked pominięty C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked pominięty C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked pominięty C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty C:\Documents and Settings\xxx\Cookies\index.dat Object is locked pominięty C:\Documents and Settings\xxx\Dane aplikacji\Mozilla\Firefox\Profiles\1arwfk6r.default\cert8.db Object is locked pominięty C:\Documents and Settings\xxx\Dane aplikacji\Mozilla\Firefox\Profiles\1arwfk6r.default\content-prefs.sqlite Object is locked pominięty C:\Documents and Settings\xxx\Dane aplikacji\Mozilla\Firefox\Profiles\1arwfk6r.default\cookies.sqlite Object is locked pominięty C:\Documents and Settings\xxx\Dane aplikacji\Mozilla\Firefox\Profiles\1arwfk6r.default\downloads.sqlite Object is locked pominięty C:\Documents and Settings\xxx\Dane aplikacji\Mozilla\Firefox\Profiles\1arwfk6r.default\formhistory.sqlite Object is locked pominięty C:\Documents and Settings\xxx\Dane aplikacji\Mozilla\Firefox\Profiles\1arwfk6r.default\key3.db Object is locked pominięty C:\Documents and Settings\xxx\Dane aplikacji\Mozilla\Firefox\Profiles\1arwfk6r.default\parent.lock Object is locked pominięty C:\Documents and Settings\xxx\Dane aplikacji\Mozilla\Firefox\Profiles\1arwfk6r.default\permissions.sqlite Object is locked pominięty C:\Documents and Settings\xxx\Dane aplikacji\Mozilla\Firefox\Profiles\1arwfk6r.default\places.sqlite Object is locked pominięty C:\Documents and Settings\xxx\Dane aplikacji\Mozilla\Firefox\Profiles\1arwfk6r.default\places.sqlite-journal Object is locked pominięty C:\Documents and Settings\xxx\Dane aplikacji\Mozilla\Firefox\Profiles\1arwfk6r.default\search.sqlite Object is locked pominięty C:\Documents and Settings\xxx\NTUSER.DAT Object is locked pominięty C:\Documents and Settings\xxx\ntuser.dat.LOG Object is locked pominięty C:\Documents and Settings\xxx\Pulpit\Czity\Działające na 100%\b0ns4i v3\keycodes.exe Zainfekowanych: not-a-virus:Monitor.Win32.KeyLogger.dz pominięty C:\Documents and Settings\xxx\Pulpit\Czity\Działające na 100%\OGZ v1.4b\keycodes.exe Zainfekowanych: not-a-virus:Monitor.Win32.KeyLogger.dz pominięty C:\Documents and Settings\xxx\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty C:\Documents and Settings\xxx\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty C:\Documents and Settings\xxx\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\1arwfk6r.default\Cache\_CACHE_001_ Object is locked pominięty C:\Documents and Settings\xxx\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\1arwfk6r.default\Cache\_CACHE_002_ Object is locked pominięty C:\Documents and Settings\xxx\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\1arwfk6r.default\Cache\_CACHE_003_ Object is locked pominięty C:\Documents and Settings\xxx\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\1arwfk6r.default\Cache\_CACHE_MAP_ Object is locked pominięty C:\Documents and Settings\xxx\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\1arwfk6r.default\urlclassifier3.sqlite Object is locked pominięty C:\Documents and Settings\xxx\Ustawienia lokalne\Historia\History.IE5\index.dat Object is locked pominięty C:\Documents and Settings\xxx\Ustawienia lokalne\Historia\History.IE5\MSHist012008081920080820\index.dat Object is locked pominięty C:\Documents and Settings\xxx\Ustawienia lokalne\temp\etilqs_VJegDeZWTzhBxeBTwZ0K Object is locked pominięty C:\Documents and Settings\xxx\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat Object is locked pominięty C:\Program Files\Alwil Software\Avast4\DATA\aswResp.dat Object is locked pominięty C:\Program Files\Alwil Software\Avast4\DATA\Avast4.db Object is locked pominięty C:\Program Files\Alwil Software\Avast4\DATA\log\AshWebSv.ws Object is locked pominięty C:\Program Files\Alwil Software\Avast4\DATA\log\aswMaiSv.log Object is locked pominięty C:\Program Files\Alwil Software\Avast4\DATA\log\nshield.log Object is locked pominięty C:\Program Files\Alwil Software\Avast4\DATA\log\selfdef.log Object is locked pominięty C:\Program Files\Alwil Software\Avast4\DATA\report\Osłona rezydentna.txt Object is locked pominięty C:\Program Files\mIRC\mirc.exe Zainfekowanych: not-a-virus:Client-IRC.Win32.mIRC.631 pominięty C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked pominięty C:\System Volume Information\_restore{FC801191-68E2-4E45-889C-50B7C9EF626C}\RP6\change.log Object is locked pominięty C:\WINDOWS\Debug\PASSWD.LOG Object is locked pominięty C:\WINDOWS\SchedLgU.Txt Object is locked pominięty C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked pominięty C:\WINDOWS\Sti_Trace.log Object is locked pominięty C:\WINDOWS\system32\CatRoot2\edb.log Object is locked pominięty C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked pominięty C:\WINDOWS\system32\config\Antivirus.Evt Object is locked pominięty C:\WINDOWS\system32\config\AppEvent.Evt Object is locked pominięty C:\WINDOWS\system32\config\default Object is locked pominięty C:\WINDOWS\system32\config\default.LOG Object is locked pominięty C:\WINDOWS\system32\config\ODiag.evt Object is locked pominięty C:\WINDOWS\system32\config\OSession.evt Object is locked pominięty C:\WINDOWS\system32\config\SAM Object is locked pominięty C:\WINDOWS\system32\config\SAM.LOG Object is locked pominięty C:\WINDOWS\system32\config\SecEvent.Evt Object is locked pominięty C:\WINDOWS\system32\config\SECURITY Object is locked pominięty C:\WINDOWS\system32\config\SECURITY.LOG Object is locked pominięty C:\WINDOWS\system32\config\software Object is locked pominięty C:\WINDOWS\system32\config\software.LOG Object is locked pominięty C:\WINDOWS\system32\config\SysEvent.Evt Object is locked pominięty C:\WINDOWS\system32\config\system Object is locked pominięty C:\WINDOWS\system32\config\system.LOG Object is locked pominięty C:\WINDOWS\system32\h323log.txt Object is locked pominięty C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked pominięty C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked pominięty C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked pominięty C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked pominięty C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked pominięty C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked pominięty C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked pominięty C:\WINDOWS\Temp\Perflib_Perfdata_4ac.dat Object is locked pominięty C:\WINDOWS\Temp\_avast4_\Webshlock.txt Object is locked pominięty C:\WINDOWS\wiadebug.log Object is locked pominięty C:\WINDOWS\wiaservc.log Object is locked pominięty C:\WINDOWS\WindowsUpdate.log Object is locked pominięty E:\System Volume Information\MountPointManagerRemoteDatabase Object is locked pominięty E:\System Volume Information\_restore{FC801191-68E2-4E45-889C-50B7C9EF626C}\RP6\change.log Object is locked pominięty Proces skanowania został zakończony. Skanowanie kasperskym
Gość komentarz 19 sierpnia 2008 komentarz 19 sierpnia 2008 Pobierz ---> The Avenger Wklej do niego ten tekst: Files to delete:C:\Program Files\mIRC\mirc.exe C:\Documents and Settings\xxx\Pulpit\Czity\Działające na 100%\OGZ v1.4b\keycodes.exe C:\Documents and Settings\xxx\Pulpit\Czity\Działające na 100%\b0ns4i v3\keycodes.exe Kopiujesz - Klikasz na Paste Script from Clipboard - Execute - Potwierdzasz i zgadzasz się na restart klikając OK. Po wykonaniu skasuj z dysku plik: C:\Avenger\backup.zip i wklej raport na forum C:\avenger.txt
Kubis komentarz 19 sierpnia 2008 Autor komentarz 19 sierpnia 2008 Dałem w załączniku kolejny raport z tego programu wyżej :] mopsik_xD.txt mopsik_xD.txt
Kubis komentarz 19 sierpnia 2008 Autor komentarz 19 sierpnia 2008 No tak, ale na dyski ani w żadne gry wejść nie mogę nadal. Zna ktoś przyczynę? Jeśli to nie wirus? Oto co się pokazuje: Screen Myślę, że wystarczyłoby wejść na administratora i przywrócić mojemu kontu wszystkie prawa. O ile tak by się dało ^^ Ale na administratorze mam hasło -.-'
Mateusz J. komentarz 19 sierpnia 2008 komentarz 19 sierpnia 2008 djarta sprawdzaj logi dokładniej. Powodem nie możności wejścia na dyski jest: [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]"NoViewOnDrive"= 67108863 (0x3ffffff) Liczba 67108863 powoduje całkowite ograniczenie dostępu do wszystkich dysków. Usuwanie: Do notatnika wklej: Windows Registry Editor Version 5.00[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]"NoViewOnDrive"=- Plik ==> Zapisz jako ==> Zmień rozszerzenie na Wszystkie pliki ==> Zapisz pod nazwą FIX.REG Uruchom utworzony plik FIX.REG i potwierdź dodanie do Rejestru i zresetuj komputer. Proszę pozamykać porty programem WWDC.
Kubis komentarz 19 sierpnia 2008 Autor komentarz 19 sierpnia 2008 Jest dobrze. Ale gdy włączam dysk D: pokazuje się, że nie jest sformatowany i czy zrobić to teraz? Ja go formatować nie chcę . No i jak naduszę nie, to i tak nie mogę wejść bo się to cały czas pokazuje. A 2 pozostałe dyski mogę wejść.
Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!
Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.