x-kom hosting

Dziwny wirus

Droicyn
utworzono
utworzono

Witam złapałem jakiegoś wirusa, wygląda to mniej więcej tak:

1) Nie mam swojej tapety tylko białe tło a na środku okienko jakby z visty i nie mogę go zamknąć z komunikatami, że wykryto zagrożenia na moim komputerze.1

2) Na pasku przy zegarku w dolnym prawym rogu pojawiła się okrągła ikonka z białym "X" na czerwonym tle i jak na to na jadę to też pojawia się komunikat,

że mój komp jest zagrożony, jak kliknę prawym bądź lewym przyciskiem myszy na to, to zaczyna mi się instalować jakieś badziewie.

3) Jak chce włączyć menegera to pojawia komunikat, że administrator ograniczył mi dostęp.

4) Jak klikne prawym na i wejdę we właściwości to nie mam wszystkich zakładek mam tylko 3(Kompozycje Wygląd i Ustawienia).

Co mam robić? Bardzo proszę o pomoc. Pozdrawiam.

Mateusz J.
komentarz
komentarz

Krok 1

Użyj programu FixWareOut.

Końcowy raport pokaż na forum.

http://cybertrash.pl/images/tata/FixwareOut.html

Krok 2

Wyłącz i włącz przywracanie systemu.

Krok 3

Wykonaj loga z ComboFix, następnie pokaż go na forum.

http://www.forumpc.pl/index.php?showtopic=11018

Krok 4

Tworzysz logi z Hiajckthis + Silent Runners i pokazujesz je na forum.

http://www.forumpc.pl/index.php?showtopic=11017

Droicyn
komentarz
komentarz

KROK 1

Username "Administrator" - 2008-08-19  9:34:27 [Fixwareout edited 9/01/2007]~~~~~ Prerun checkPomyślnie opróżniono pamięć podręczną programu rozpoznawania nazw DNS.System was rebooted successfully. ~~~~~ Postrun check HKLM\SOFTWARE\~\Winlogon\ "System"="" ........~~~~~ Misc files. ....~~~~~ Checking for older varients.....~~~~~ Current runs (hklm hkcu "run" Keys Only)[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]"DAEMON Tools"="\"C:\\Program Files\\DAEMON Tools\\daemon.exe\" -lang 1033""AVP"="\"C:\\Program Files\\Kaspersky Lab\\Kaspersky Internet Security 7.0\\avp.exe\"""buritos"="buritos.exe"[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"....Hosts file was reset, If you use a custom hosts file please replace it...~~~~~ End report ~~~~~

KROK 2

Zrobiłem to ale nic się nie działo

Gość
komentarz
komentarz

Zrób jeszcze krok 3 i 4.

Droicyn
komentarz
komentarz

Ok ale nie mogę uruchomić combofix'a, robię wszystko tak jak jest napisane na forum i nic ;/ co się dzieje? Mam go uruchomić w trybie awaryjnym ?

Gość
komentarz
komentarz

Jaka to wersja?Z lwem czy krzyżykiem?Zmień datę o parę miesięcy w tył,Zapisz go tak:

Combo-Fix.exe wyłącz wszystkie programy ;)

Jeśli nie pójdzie dasz log z DSS,taki sam link jak podał @jesiona ;)

Droicyn
komentarz
komentarz

Wersja z lwem już robię.

Gość
komentarz
komentarz

Powinno ruszyć jeśli z lwem.Zrób tak jak napisałem wyżej. ;)

Droicyn
komentarz
komentarz
Gość
komentarz
komentarz

Wklej do Notatnika:

File::C:\WINDOWS\system32\winstra1.exeC:\WINDOWS\system32\winstra2.exeC:\WINDOWS\system32\rilqxanm.exeC:\WINDOWS\system32\jklmzmto.exeRegistry::[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]DirLook::C:\Documents and Settings\All Users\Dane aplikacji\vmxevgvqC:\Program Files\hizoycb

>>Plik>>Zapisz jako... >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

-->cfscriptb5b4me3.gif

Ma się rozpocząć usuwanie. (i powstanie log).Daj ten log, który powstanie w trakcie usuwania.

Jeśli pójdzie dobrze, to: Po restarcie usuń ręcznie folder C:\Qoobox.

Potem nowy HijackThis,wklej logi na wklej.org lub na wklejto.pl bardzo mi się źle czyta te logi. ;)

Droicyn
komentarz
komentarz

to ten nowy log

ComboFix 08-08-18.04 - Administrator 2008-08-19 10:56:59.4 - NTFSx86 NETWORKMicrosoft Windows XP Professional  5.1.2600.2.1250.1.1045.18.770 [GMT 2:00]Running from: C:\Combo-Fix.exeCommand switches used :: C:\CFScript.txt[b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b]FILE ::C:\WINDOWS\system32\jklmzmto.exeC:\WINDOWS\system32\rilqxanm.exeC:\WINDOWS\system32\winstra1.exeC:\WINDOWS\system32\winstra2.exe.(((((((((((((((((((((((((((((((((((((((   Other Deletions   ))))))))))))))))))))))))))))))))))))))))))))))))).C:\WINDOWS\system32\jklmzmto.exeC:\WINDOWS\system32\rilqxanm.exeC:\WINDOWS\system32\winstra1.exeC:\WINDOWS\system32\winstra2.exe.(((((((((((((((((((((((((   Files Created from 2008-07-19 to 2008-08-19  ))))))))))))))))))))))))))))))).2008-08-19 10:01 . 2008-08-19 10:01	2,719,419	-ra------	C:\Combo-Fix.exe2008-08-19 09:26 . 2008-08-19 09:36	<DIR>	d--------	C:\fixwareout2008-08-19 09:02 . 2008-08-19 09:02	<DIR>	d--------	C:\Program Files\hizoycb2008-08-19 09:02 . 2008-08-19 09:02	<DIR>	d--------	C:\Documents and Settings\All Users\Dane aplikacji\vmxevgvq2008-07-31 18:16 . 2008-07-31 18:16	<DIR>	d--------	C:\Program Files\Ubisoft2008-07-28 23:23 . 2008-07-28 23:23	<DIR>	d--------	C:\Program Files\FaxTools2008-07-28 23:23 . 2008-07-28 23:24	<DIR>	d--------	C:\Program Files\ABBYY FineReader 5.0 Sprint2008-07-28 23:23 . 2008-07-28 23:23	<DIR>	d--------	C:\Documents and Settings\All Users\Dane aplikacji\BVRP Software2008-07-28 23:23 . 2008-07-28 23:23	101	--a------	C:\WINDOWS\LEXSTAT.INI2008-07-28 23:22 . 2008-07-28 23:22	<DIR>	d--------	C:\Program Files\Lexmark X5100 Series2008-07-28 23:21 . 1997-04-18 11:52	298,496	--a------	C:\WINDOWS\unin0415.exe2008-07-28 23:19 . 2004-08-03 23:01	25,856	--a------	C:\WINDOWS\system32\drivers\usbprint.sys2008-07-28 23:19 . 2004-08-03 23:01	25,856	--a--c---	C:\WINDOWS\system32\dllcache\usbprint.sys2008-07-28 08:06 . 2008-08-18 07:11	54,156	--ah-----	C:\WINDOWS\QTFont.qfn2008-07-28 08:06 . 2008-07-28 08:06	1,409	--a------	C:\WINDOWS\QTFont.for.((((((((((((((((((((((((((((((((((((((((   Find3M Report   )))))))))))))))))))))))))))))))))))))))))))))))))))).2008-08-19 08:52	20,660	--sha-w	C:\WINDOWS\system32\drivers\fidbox2.idx2008-08-19 08:52	190,676	--sha-w	C:\WINDOWS\system32\drivers\fidbox.idx2008-08-19 08:52	186,656	--sha-w	C:\WINDOWS\system32\drivers\fidbox2.dat2008-08-19 08:52	13,845,024	--sha-w	C:\WINDOWS\system32\drivers\fidbox.dat2008-08-19 08:30	---------	d-----w	C:\Program Files\PowerArchiver2008-08-19 07:04	---------	d-----w	C:\Documents and Settings\damian\Dane aplikacji\OpenOffice.org22008-08-19 06:37	---------	d-----w	C:\Program Files\eMule2008-08-19 06:36	---------	d-----w	C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab2008-08-18 19:05	---------	d-----w	C:\Program Files\Mozilla Thunderbird2008-08-17 18:02	96,976	----a-w	C:\WINDOWS\system32\drivers\klin.dat2008-08-16 08:06	---------	d-----w	C:\Documents and Settings\damian\Dane aplikacji\foobar20002008-08-13 07:43	---------	d-----w	C:\Program Files\Tibia2008-08-12 05:52	---------	d-----w	C:\Documents and Settings\All Users\Dane aplikacji\stamina2008-07-31 16:19	---------	d--h--w	C:\Program Files\InstallShield Installation Information2008-07-27 18:01	87,855	----a-w	C:\WINDOWS\system32\drivers\klick.dat2008-07-23 20:21	---------	d-----w	C:\Program Files\Metin2_PL2008-07-13 06:36	---------	d-----w	C:\Documents and Settings\damian\Dane aplikacji\Tibia2008-07-09 16:54	---------	d-----w	C:\Program Files\Trend Micro2008-07-01 17:58	112,144	----a-w	C:\WINDOWS\system32\drivers\kl1.sys2008-07-01 16:10	---------	d-----w	C:\Program Files\Kaspersky Lab2008-07-01 16:08	---------	d-----w	C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab Setup Files2008-06-28 09:18	---------	d-----w	C:\Program Files\KONAMI2008-06-28 09:18	---------	d-----w	C:\Program Files\Kolekcja Klasyki2008-06-28 08:50	---------	d-----w	C:\Program Files\Mafia.((((((((((((((((((((((((((((((((((((((((((((   Look   ))))))))))))))))))))))))))))))))))))))))))))))))))))))))).---- Directory of C:\Documents and Settings\All Users\Dane aplikacji\vmxevgvq -------- Directory of C:\Program Files\hizoycb ----2008-08-19 09:02	126976	--a------	C:\Program Files\hizoycb\DbMsg.dll (((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))..*Note* empty entries & legit default entries are not shown REGEDIT4[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:44 15360][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"DAEMON Tools"="C:\Program Files\DAEMON Tools\daemon.exe" [2006-11-12 12:48 157592][HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 00:44 15360][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]"DbMsg"= {0BD838D9-B7D4-4797-C3F2-0759E20A4051} - C:\Program Files\hizoycb\DbMsg.dll [2008-08-19 09:02 126976][HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]"VIDC.YV12"= yv12vfw.dll"VIDC.ACDV"= ACDV.dll[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Ltc08.sys]@="Driver"[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Adobe Gamma Loader.lnk]path=C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Adobe Gamma Loader.lnkbackup=C:\WINDOWS\pss\Adobe Gamma Loader.lnkCommon Startup[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Adobe Reader Speed Launch.lnk]path=C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Adobe Reader Speed Launch.lnkbackup=C:\WINDOWS\pss\Adobe Reader Speed Launch.lnkCommon Startup[HKLM\~\startupfolder\C:^Documents and Settings^damian^Menu Start^Programy^Autostart^hamachi.lnk]path=C:\Documents and Settings\damian\Menu Start\Programy\Autostart\hamachi.lnkbackup=C:\WINDOWS\pss\hamachi.lnkStartup[HKLM\~\startupfolder\C:^Documents and Settings^damian^Menu Start^Programy^Autostart^OpenOffice.org 2.0.2.lnk]path=C:\Documents and Settings\damian\Menu Start\Programy\Autostart\OpenOffice.org 2.0.2.lnkbackup=C:\WINDOWS\pss\OpenOffice.org 2.0.2.lnkStartup[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]--a------ 2004-08-04 00:44 15360 C:\WINDOWS\system32\ctfmon.exe[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HControl]--a------ 2006-04-17 11:24 110592 C:\WINDOWS\ATK0100\HControl.exe[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\igfxhkcmd]-ra------ 2006-02-07 02:36 77824 C:\WINDOWS\system32\hkcmd.exe[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\igfxpers]-ra------ 2006-02-07 02:40 118784 C:\WINDOWS\system32\igfxpers.exe[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\igfxtray]-ra------ 2006-02-07 02:39 94208 C:\WINDOWS\system32\igfxtray.exe[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Lexmark X5100 Series]--a------ 2003-03-04 15:03 86099 C:\Program Files\Lexmark X5100 Series\lxbabmgr.exe[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]--a------ 2006-01-12 17:40 155648 C:\WINDOWS\system32\NeroCheck.exe[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PowerArchiver Tray]--a------ 2007-10-01 19:21 141352 C:\Program Files\PowerArchiver\PASTARTER.EXE[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]--a------ 2007-10-19 21:16 286720 C:\Program Files\QuickTime\QTTask.exe[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SMSERIAL]--a------ 2006-03-29 19:36 544768 C:\WINDOWS\sm56hlpr.exe[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]--a------ 2008-02-22 05:25 144784 C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh]--a------ 2005-10-21 08:26 761945 C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SigmatelSysTrayApp]-ra------ 2006-02-13 11:23 282624 C:\WINDOWS\STSYSTRA.EXE[HKEY_LOCAL_MACHINE\software\microsoft\security center]"AntiVirusDisableNotify"=dword:00000001"UpdatesDisableNotify"=dword:00000001[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]"DisableMonitoring"=dword:00000001[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]"EnableFirewall"= 0 (0x0)[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]"%windir%\\system32\\sessmgr.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe"="C:\\Program Files\\eMule\\emule.exe"="C:\\Program Files\\Java\\jdk1.6.0_03\\jre\\bin\\java.exe"="C:\\Program Files\\Metin2_PL\\metin2.bin"="C:\\Program Files\\KONAMI\\Pro Evolution Soccer 6\\PES6.exe"="C:\\Documents and Settings\\All Users\\Dane aplikacji\\Kaspersky Lab Setup Files\\Kaspersky Internet Security 7.0.1.325\\Polish\\setup.exe"=R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-12-13 13:28]R3 tap0801;TAP-Win32 Adapter V8;C:\WINDOWS\system32\DRIVERS\tap0801.sys [2006-04-12 11:36]*Newly Created Service* - CATCHME.Contents of the 'Scheduled Tasks' folder2008-08-18 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job- C:\Program Files\Apple Software Update\SoftwareUpdate.exe [2007-08-29 15:57].**************************************************************************catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.netRootkit scan 2008-08-19 10:58:53Windows 5.1.2600 Dodatek Service Pack 2 NTFSscanning hidden processes ... scanning hidden autostart entries ...scanning hidden files ... C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\RGI3.tmpscan completed successfullyhidden files: 1**************************************************************************.--------------------- DLLs Loaded Under Running Processes ---------------------PROCESS: C:\WINDOWS\system32\winlogon.exe-> C:\WINDOWS\system32\tsd32.dll.Completion time: 2008-08-19 10:59:28ComboFix-quarantined-files.txt  2008-08-19 08:59:25ComboFix2.txt  2008-08-19 08:21:17ComboFix3.txt  2008-07-09 20:10:14Pre-Run: 9,392,381,952 bajtów wolnychPost-Run: 9,376,276,480 bajtów wolnych169	--- E O F ---	2007-10-24 06:35:13
Droicyn
komentarz
komentarz

Ten lego ostatni hijack wkleiłem tam i tutaj wkleje ;]

Logfile of Trend Micro HijackThis v2.0.2Scan saved at 11:06:59, on 2008-08-19Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v7.00 (7.00.6000.16544)Boot mode: NormalRunning processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\LEXBCES.EXEC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\system32\LEXPPS.EXEC:\WINDOWS\Explorer.EXEC:\Program Files\DAEMON Tools\daemon.exeC:\Program Files\Messenger\msmsgs.exeC:\Program Files\Gadu-Gadu\gg.exeC:\WINDOWS\system32\ctfmon.exeC:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exeC:\Program Files\Common Files\InterVideo\DeviceService\DevSvc.exeC:\Program Files\Common Files\LightScribe\LSSrvc.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\system32\wuauclt.exeC:\Program Files\Trend Micro\HijackThis\HijackThis.exeR1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = ŁączaO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dllO2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dllO4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /backgroundO4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /trayO4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exeO4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dllO9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dllO9 - Extra button: Statystyki dla ochrony WWW - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dllO9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLLO9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exeO9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exeO9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO21 - SSODL: DbMsg - {0BD838D9-B7D4-4797-C3F2-0759E20A4051} - C:\Program Files\hizoycb\DbMsg.dllO23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exeO23 - Service: Capture Device Service - InterVideo Inc. - C:\Program Files\Common Files\InterVideo\DeviceService\DevSvc.exeO23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXEO23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exeO23 - Service: OpenVPN Service (OpenVPNService) - Unknown owner - C:\Program Files\OpenVPN\bin\openvpnserv.exe--End of file - 4479 bytes

nie znam tego pliku a ten pierwszy już sprawdzam

Tam to sprawdziłem i nacisnąłem pokaż raport i wyświtłiło mi sie taki cos:

http://www.virustotal.com/pl/analisis/5864...54f3d953652d37d

Gość
komentarz
komentarz

2/36 zostawiamy ;)

Nie pokoję się tym folderem

C:\Documents and Settings\All Users\Dane aplikacji\[b]vmxevgvq[/b]

Wejdź w ten folder i przekanuj na tej stronce byle jaki plik,jeśli wogóle jakiś jest.

//logi i ich fragmenty wstawiamy w tagi code a nie quote

//ile razy można Ci powtarzać żebyś nie używał kolorów?

//+10%

//vocativus

Droicyn
komentarz
komentarz

Nie mogę wejść we właściwości zniknęła ta tapeta zniknęło to coś co samo się uruchamiało ale dalej nie mogę wejść we właściwości

Tam nic nie ma ten folder jest pusty

Ale mam tam tez coś takiego, też nie wiem co to jest

C:\Documents and Settings\All Users\Dane aplikacji/QTSBandwidthCache

Gość
komentarz
komentarz
C:\Documents and Settings\All Users\Dane aplikacji\vmxevgvq

Usuń ten folder ręcznie. :)

C:\Documents and Settings\All Users\Dane aplikacji/QTSBandwidthCache

O to się nie martw ;)

W takim razie jest - czysto.

Usuń ręcznie folder C:\Qoobox,

Usuń instalkę ComboFix z dysku.

Wykonaj optymalizację autostartu

Przeczyść komputer Ccleanerem

Wyłącz i włącz przywracanie systemu na wszystkich dyskach.Instrukcja

Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum.

lub

Dr.WEB CureIt!.

Droicyn
komentarz
komentarz

ok zrobiłem co trzeba a raportk z kapseprskiego to:

------------------------------------------------------------------------------- KASPERSKY ONLINE SCANNER REPORT 20 sierpień 2008 23:56:57 System operacyjny: Microsoft Windows XP Professional, Dodatek Service Pack 2 (Build 2600) Kaspersky Online Scanner wersja: 5.0.98.1 Ostatnia aktualizacja Kaspersky Anti-Virus20/08/2008 Liczba wpisów w bazie danych Kaspersky Anti-Virus1113861-------------------------------------------------------------------------------Ustawienia skanowania:	Skanowanie przy użyciu następujących baz danych: rozszerzone	Skanuj archiwa: tak	Skanuj pocztowe bazy danych: takObszar skanowania - Mój komputer:	C:\	D:\	E:\	F:\	G:\Statystyki skanowania:	Liczba skanowanych obiektów: 107258	Liczba wykrytych wirusów: 1	Liczba zainfekowanych obiektów: 1	Liczba podejrzanych obiektów: 0	Czas trwania skanowania: 01:49:28Nazwa zainfekowanego obiektu / Nazwa wirusa / Ostatnie działanieC:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab\AVP7\Report\0c8e_File_Monitoring_eventlog.rpt	Object is locked	pominiętyC:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab\AVP7\Report\0c91_AdBlocker_eventcritlog.rpt	Object is locked	pominiętyC:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab\AVP7\Report\0c91_AdBlocker_eventlog.rpt	Object is locked	pominiętyC:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab\AVP7\Report\0c98_Web_Monitoring_eventlog.rpt	Object is locked	pominiętyC:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab\AVP7\Report\detected.idx	Object is locked	pominiętyC:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab\AVP7\Report\detected.rpt	Object is locked	pominiętyC:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab\AVP7\Report\eventlog.rpt	Object is locked	pominiętyC:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab\AVP7\Report\report.rpt	Object is locked	pominiętyC:\Documents and Settings\damian\Cookies\index.dat	Object is locked	pominiętyC:\Documents and Settings\damian\NTUSER.DAT	Object is locked	pominiętyC:\Documents and Settings\damian\ntuser.dat.LOG	Object is locked	pominiętyC:\Documents and Settings\damian\Ustawienia lokalne\Dane aplikacji\Microsoft\Feeds Cache\index.dat	Object is locked	pominiętyC:\Documents and Settings\damian\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat	Object is locked	pominiętyC:\Documents and Settings\damian\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG	Object is locked	pominiętyC:\Documents and Settings\damian\Ustawienia lokalne\Historia\History.IE5\index.dat	Object is locked	pominiętyC:\Documents and Settings\damian\Ustawienia lokalne\Historia\History.IE5\MSHist012008082020080821\index.dat	Object is locked	pominiętyC:\Documents and Settings\damian\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat	Object is locked	pominiętyC:\Documents and Settings\LocalService\Cookies\index.dat	Object is locked	pominiętyC:\Documents and Settings\LocalService\NTUSER.DAT	Object is locked	pominiętyC:\Documents and Settings\LocalService\ntuser.dat.LOG	Object is locked	pominiętyC:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat	Object is locked	pominiętyC:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG	Object is locked	pominiętyC:\Documents and Settings\LocalService\Ustawienia lokalne\Historia\History.IE5\index.dat	Object is locked	pominiętyC:\Documents and Settings\LocalService\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat	Object is locked	pominiętyC:\Documents and Settings\NetworkService\NTUSER.DAT	Object is locked	pominiętyC:\Documents and Settings\NetworkService\ntuser.dat.LOG	Object is locked	pominiętyC:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat	Object is locked	pominiętyC:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG	Object is locked	pominiętyC:\Program Files\DAEMON Tools\SetupDTSB.exe	Zainfekowanych: not-a-virus:AdTool.Win32.WhenU.a	pominiętyC:\System Volume Information\MountPointManagerRemoteDatabase	Object is locked	pominiętyC:\System Volume Information\_restore{671CF5A9-F8B5-49D2-9450-A9D688E8FDC2}\RP186\change.log	Object is locked	pominiętyC:\WINDOWS\Debug\PASSWD.LOG	Object is locked	pominiętyC:\WINDOWS\SchedLgU.Txt	Object is locked	pominiętyC:\WINDOWS\SoftwareDistribution\ReportingEvents.log	Object is locked	pominiętyC:\WINDOWS\Sti_Trace.log	Object is locked	pominiętyC:\WINDOWS\system32\CatRoot2\edb.log	Object is locked	pominiętyC:\WINDOWS\system32\CatRoot2\tmp.edb	Object is locked	pominiętyC:\WINDOWS\system32\config\AppEvent.Evt	Object is locked	pominiętyC:\WINDOWS\system32\config\default	Object is locked	pominiętyC:\WINDOWS\system32\config\default.LOG	Object is locked	pominiętyC:\WINDOWS\system32\config\Internet.evt	Object is locked	pominiętyC:\WINDOWS\system32\config\SAM	Object is locked	pominiętyC:\WINDOWS\system32\config\SAM.LOG	Object is locked	pominiętyC:\WINDOWS\system32\config\SecEvent.Evt	Object is locked	pominiętyC:\WINDOWS\system32\config\SECURITY	Object is locked	pominiętyC:\WINDOWS\system32\config\SECURITY.LOG	Object is locked	pominiętyC:\WINDOWS\system32\config\software	Object is locked	pominiętyC:\WINDOWS\system32\config\software.LOG	Object is locked	pominiętyC:\WINDOWS\system32\config\SysEvent.Evt	Object is locked	pominiętyC:\WINDOWS\system32\config\system	Object is locked	pominiętyC:\WINDOWS\system32\config\system.LOG	Object is locked	pominiętyC:\WINDOWS\system32\drivers\fidbox.dat	Object is locked	pominiętyC:\WINDOWS\system32\drivers\fidbox.idx	Object is locked	pominiętyC:\WINDOWS\system32\drivers\fidbox2.dat	Object is locked	pominiętyC:\WINDOWS\system32\drivers\fidbox2.idx	Object is locked	pominiętyC:\WINDOWS\system32\drivers\sptd.sys	Object is locked	pominiętyC:\WINDOWS\system32\h323log.txt	Object is locked	pominiętyC:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR	Object is locked	pominiętyC:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP	Object is locked	pominiętyC:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER	Object is locked	pominiętyC:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP	Object is locked	pominiętyC:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP	Object is locked	pominiętyC:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA	Object is locked	pominiętyC:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP	Object is locked	pominiętyC:\WINDOWS\temp\cch~506a62583.htp	Object is locked	pominiętyC:\WINDOWS\temp\cch~506a62bfa.htp	Object is locked	pominiętyC:\WINDOWS\wiadebug.log	Object is locked	pominiętyC:\WINDOWS\wiaservc.log	Object is locked	pominiętyC:\WINDOWS\WindowsUpdate.log	Object is locked	pominiętyD:\emule pliki\tymczasowe\001.part	Object is locked	pominiętyD:\emule pliki\tymczasowe\002.part	Object is locked	pominiętyD:\emule pliki\tymczasowe\003.part	Object is locked	pominiętyD:\emule pliki\tymczasowe\004.part	Object is locked	pominiętyD:\emule pliki\tymczasowe\005.part	Object is locked	pominiętyD:\emule pliki\tymczasowe\006.part	Object is locked	pominiętyD:\emule pliki\tymczasowe\007.part	Object is locked	pominiętyD:\emule pliki\tymczasowe\008.part	Object is locked	pominiętyD:\emule pliki\tymczasowe\009.part	Object is locked	pominiętyD:\emule pliki\tymczasowe\010.part	Object is locked	pominiętyD:\System Volume Information\MountPointManagerRemoteDatabase	Object is locked	pominiętyD:\System Volume Information\_restore{671CF5A9-F8B5-49D2-9450-A9D688E8FDC2}\RP186\change.log	Object is locked	pominiętyProces skanowania został zakończony.
Gość
komentarz
komentarz

Pobierz ---> The Avenger

Wklej do niego ten tekst:

Files to delete:C:\Program Files\DAEMON Tools\SetupDTSB.exe

Kopiujesz - Klikasz na Paste Script from Clipboard - Execute - Potwierdzasz i zgadzasz się na restart klikając OK.

Po wykonaniu skasuj z dysku plik: C:\Avenger\backup.zip i wklej raport na forum C:\avenger.txt

Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!

Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.

×
×
  • Dodaj nową pozycję...

Powiadomienie o plikach cookie

Strona wykorzystuje pliki cookies w celu prawidłowego świadczenia usług i wygody użytkowników. Warunki przechowywania i dostępu do plików cookies możesz zmienić w ustawieniach przeglądarki.