x-kom hosting

18 wirusów

nec170v
utworzono
utworzono

Elo. Na kompie ( nie moim) kaspersky scaner online wykrył 18 wirusów !!! Jednak problem w tym że nie wiem czy kasper te wiry usunął ? LOGI :

Logfile of Trend Micro HijackThis v2.0.2Scan saved at 19:38:05, on 2008-08-31Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Boot mode: NormalRunning processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\Ati2evxx.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\Ati2evxx.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\system32\LEXBCES.EXEC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\system32\LEXPPS.EXEC:\WINDOWS\system32\nvraidservice.exeC:\WINDOWS\SOUNDMAN.EXEC:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exeC:\Program Files\Winamp\winampa.exeC:\Program Files\Java\jre1.5.0_05\bin\jusched.exeC:\Program Files\Common Files\Real\Update_OB\realsched.exeC:\Program Files\Micr 19:39:10 osoft Office\Office12\GrooveMonitor.exeC:\WINDOWS\system32\ctfmon.exeC:\Program Files\Save\Save.exeC:\WINDOWS\svchost.exeC:\WINDOWS\gg.exeC:\Documents and Settings\ja\Pulpit\VolumeWatcher\SPUVolumeWatcher.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\system32\wbem\unsecapp.exeC:\WINDOWS\system32\wuauclt.exeC:\Program Files\Mozilla Firefox\firefox.exeC:\Program Files\Nowe Gadu-Gadu\gg.exeC:\Documents and Settings\ja\Pulpit\HiJackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.bearshare.com/plR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = ŁączaO2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\Ac 19:39:10 roIEHelper.dllO2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~3\Office12\GRA8E1~1.DLLO3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\system32\nvraidservice.exeO4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXEO4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exeO4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exeO4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_05\bin\jusched.exeO4 - HKLM\..\Run: [bearShare] "C:\Program Files\BearShare\BearShare.exe" /pauseO4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot 19:39:10 O4 - HKLM\..\Run: [spySpotter System Defender] C:\Program Files\SpySpotter3\Defender.exe -startupO4 - HKLM\..\Run: [diagnostics] C:\Windows\system32\diagnostics.exeO4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"O4 - HKLM\..\RunOnce: [delus] C:\DOCUME~1\ja\USTAWI~1\Temp\delus.exeO4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exeO4 - HKCU\..\Run: [WhenUSave] "C:\Program Files\Save\Save.exe"O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"O4 - HKCU\..\Run: [Nowe Gadu-Gadu] "C:\Program Files\Nowe Gadu-Gadu\gg.exe"O4 - HKCU\..\Run: [svchost] C:\WINDOWS\svchost.exeO4 - HKCU\..\Run: [gadu-gadu] C:\WINDOWS\gg.exeO4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA S 19:39:10 IECIOWA')O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')O4 - Startup: Picture Motion Browser Media Check Tool.lnk = C:\Documents and Settings\ja\Pulpit\VolumeWatcher\SPUVolumeWatcher.exeO4 - Global Startup: Przyspieszenie uruchomienia programu AutoCAD.lnk = C:\Program Files\Common Files\Autodesk Shared\acstart16.exeO4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office\OSA9.EXEO8 - Extra context menu item: E&xport to Microsoft Excel - res/D:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dllO9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin 19:39:10 \npjpi150_05.dllO9 - Extra button: Wyslij SMS'a - {215940F1-E7E0-4801-BEE3-44D045534106} - C:\Program Files\Common Files\moje.jsO9 - Extra button: Wyślij do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dllO9 - Extra 'Tools' menuitem: Wyślij &do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dllO9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLLO9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.pl/resources/virusscanner/kavwebscan_unicode.cabO18 - Pro 19:39:10 tocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~3\Office12\GR99D3~1.DLLO23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exeO23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exeO23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exeO23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE--End of file - 6003 bytes

Mateusz J.
komentarz
komentarz

Pobierz ComboFix, ale nie uruchamiaj.

Do notatnika wklej:

File::C:\Program Files\Save\Save.exeC:\WINDOWS\svchost.exeC:\WINDOWS\gg.exeC:\Windows\system32\diagnostics.exeC:\DOCUME~1\ja\USTAWI~1\Temp\delus.exeFolder::C:\Program Files\SpySpotter3Registry::[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"SpySpotter System Defender]"=-"diagnostics"=-"delus"=-[HKEY_Curren_Users\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"WhenUSave"=-"svchost"=-

W notatniku zakladka Plik ==> Zapisz jako ==> zapisz pod nazwą CFScript.txt i zapisz go w tym katalogu co ściągnięty i zapisany został combofix

Na ikonę ComboFix przeciągasz zrobiony plik CFScript.txt Tak jak na obrazku:

82650GIF.gif

Rozpocznie się usuwanie i powstanie log , który pokazujesz na forum.

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.bearshare.com/plO2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)

Fix w Hijackthis.

nec170v
komentarz
komentarz
 ComboFix 08-08-31.01 - ja 2008-09-01 15:02:59.1 - [b]FAT32[/b]x86Microsoft Windows XP Professional  5.1.2600.2.1250.1.1045.18.187 [GMT 2:00]Running from: C:\Documents and Settings\ja\Pulpit\ComboFix.exeCommand switches used :: C:\Documents and Settings\ja\Pulpit\CFScript.txt * Created a new restore point[b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b]FILE ::C:\DOCUME~1\ja\USTAWI~1\Temp\delus.exeC:\Program Files\Save\Save.exeC:\WINDOWS\gg.exeC:\WINDOWS\svchost.exeC:\Windows\system32\diagnostics.exe.(((((((((((((((((((((((((((((((((((((((   Other Deletions   ))))))))))))))))))))))))))))))))))))))))))))))))).C:\Program Files\MyGlobalSearchC:\Program Files\myglobalsearch\bar\History\searchC:\Program Files\Save\Save.exeC:\Program Files\SpySpotter3C:\Program Files\SpySpotter3\BListC:\Program Files\SpySpotter3\Defender-ErrorLogFile.txtC:\Program Files\SpySpotter3\Defender.exeC:\Program Files\SpySpotter3\WListC:\Program Files\WhenUSearchC:\Program Files\WhenUSearch\search.dllC:\WINDOWS\gg.exeC:\WINDOWS\svchost.exe.(((((((((((((((((((((((((   Files Created from 2008-08-01 to 2008-09-01  ))))))))))))))))))))))))))))))).2008-08-31 19:51 . 2008-08-31 19:51	<DIR>	d--------	C:\Program Files\Avira2008-08-31 18:21 . 2008-08-31 18:21	<DIR>	d--------	C:\WINDOWS\system32\Kaspersky Lab2008-08-31 18:21 . 2008-08-31 18:21	<DIR>	d--------	C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab2008-08-19 16:08 . 2008-08-19 16:08	<DIR>	d--------	C:\Program Files\Little Fighter 2.5 - v2.02008-08-19 14:54 . 2008-08-19 14:54	<DIR>	d--hs----	C:\FOUND.0182008-08-14 13:42 . 2008-05-01 16:33	331,776	---------	C:\WINDOWS\system32\dllcache\msadce.dll2008-08-09 14:29 . 2008-08-09 14:29	<DIR>	d--------	C:\Documents and Settings\ja\Dane aplikacji\Nowe Gadu-Gadu2008-08-09 14:28 . 2008-08-09 14:29	<DIR>	d--------	C:\Program Files\Nowe Gadu-Gadu.((((((((((((((((((((((((((((((((((((((((   Find3M Report   )))))))))))))))))))))))))))))))))))))))))))))))))))).2008-07-18 20:10	94,920	----a-w	C:\WINDOWS\system32\cdm.dll2008-07-18 20:10	53,448	----a-w	C:\WINDOWS\system32\wuauclt.exe2008-07-18 20:10	45,768	----a-w	C:\WINDOWS\system32\wups2.dll2008-07-18 20:10	36,552	----a-w	C:\WINDOWS\system32\wups.dll2008-07-18 20:09	563,912	----a-w	C:\WINDOWS\system32\wuapi.dll2008-07-18 20:09	325,832	----a-w	C:\WINDOWS\system32\wucltui.dll2008-07-18 20:09	205,000	----a-w	C:\WINDOWS\system32\wuweb.dll2008-07-18 20:09	1,811,656	----a-w	C:\WINDOWS\system32\wuaueng.dll2008-07-18 20:07	270,880	----a-w	C:\WINDOWS\system32\mucltui.dll2008-07-18 20:07	210,976	----a-w	C:\WINDOWS\system32\muweb.dll2008-07-07 20:33	253,952	----a-w	C:\WINDOWS\system32\es.dll2008-07-07 20:33	253,952	------w	C:\WINDOWS\system32\dllcache\es.dll2008-07-06 15:48	108,144	----a-w	C:\WINDOWS\system32\CmdLineExt.dll2008-07-06 15:48	---------	d--h--r	C:\Documents and Settings\ja\Dane aplikacji\SecuROM2008-07-05 10:04	---------	d-----w	C:\Program Files\Microsoft Games2008-07-01 19:06	---------	d-----w	C:\Documents and Settings\All Users\Dane aplikacji\Absolutist2008-07-01 10:42	---------	d-----w	C:\Program Files\Mozilla Thunderbird2008-07-01 10:42	---------	d-----w	C:\Documents and Settings\ja\Dane aplikacji\Thunderbird2008-07-01 09:44	---------	d-----w	C:\Documents and Settings\ja\Dane aplikacji\Hamachi2008-07-01 05:09	---------	d-----w	C:\Documents and Settings\All Users\Dane aplikacji\TEMP2008-07-01 05:08	---------	d-----w	C:\Program Files\Spyware Doctor2008-06-24 16:24	74,240	----a-w	C:\WINDOWS\system32\mscms.dll2008-06-24 16:24	74,240	------w	C:\WINDOWS\system32\dllcache\mscms.dll2008-06-23 09:49	18,432	------w	C:\WINDOWS\system32\dllcache\iedw.exe2008-06-20 17:42	246,784	----a-w	C:\WINDOWS\system32\mswsock.dll2008-06-20 17:42	246,784	------w	C:\WINDOWS\system32\dllcache\mswsock.dll2008-06-20 17:42	148,992	----a-w	C:\WINDOWS\system32\dllcache\dnsapi.dll2008-06-20 10:45	360,320	----a-w	C:\WINDOWS\system32\dllcache\tcpip.sys2008-06-20 10:44	138,368	------w	C:\WINDOWS\system32\dllcache\afd.sys2008-06-20 09:52	225,920	----a-w	C:\WINDOWS\system32\dllcache\tcpip6.sys2008-06-14 18:01	273,024	------w	C:\WINDOWS\system32\dllcache\bthport.sys2007-09-28 16:36	766	----a-w	C:\Program Files\Common Files\sms.ico2007-09-28 16:36	70	----a-w	C:\Program Files\Common Files\moje.js.(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))..*Note* empty entries & legit default entries are not shown REGEDIT4[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2002-12-31 12:00 15360]"NBJ"="C:\Program Files\Ahead\Nero BackItUp\NBJ.exe" [2005-04-14 16:56 1957888]"Nowe Gadu-Gadu"="C:\Program Files\Nowe Gadu-Gadu\gg.exe" [2008-06-27 10:28 8798816][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"NVRaidService"="C:\WINDOWS\system32\nvraidservice.exe" [2004-06-11 11:15 83968]"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-08-05 21:05 344064]"WinampAgent"="C:\Program Files\Winamp\winampa.exe" [2004-12-20 19:41 33792]"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]"SunJavaUpdateSched"="C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe" [2005-08-26 18:14 36975]"BearShare"="C:\Program Files\BearShare\BearShare.exe" [2006-08-01 17:04 3313664]"TkBellExe"="C:\Program Files\Common Files\Real\Update_OB\realsched.exe" [2006-04-12 11:50 180269]"GrooveMonitor"="C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 00:47 31016]"SoundMan"="SOUNDMAN.EXE" [2005-04-15 10:01 77824 C:\WINDOWS\SOUNDMAN.EXE][HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2002-12-31 12:00 15360]C:\Documents and Settings\ja\Menu Start\Programy\Autostart\Picture Motion Browser Media Check Tool.lnk - C:\Documents and Settings\ja\Pulpit\VolumeWatcher\SPUVolumeWatcher.exe [2008-02-02 15:49:23 344064]C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Przyspieszenie uruchomienia programu AutoCAD.lnk - C:\Program Files\Common Files\Autodesk Shared\acstart16.exe [2004-02-25 00:35:22 10872]Microsoft Office.lnk - D:\Program Files\Microsoft Office\Office\OSA9.EXE [1999-02-17 18:05:56 65588][HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]"SENTINEL"= snti386.dll[HKEY_LOCAL_MACHINE\software\microsoft\security center]"AntiVirusDisableNotify"=dword:00000001[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]"%windir%\\system32\\sessmgr.exe"="C:\\Program Files\\BearShare\\BearShare.exe"="C:\\Program Files\\Mozilla Firefox\\FIREFOX.EXE"="C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"="C:\\Program Files\\Microsoft Office\\Office12\\groove.exe"="C:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"="C:\\WINDOWS\\System32\\DPLAYSVR.EXE"="C:\\Program Files\\Nowe Gadu-Gadu\\gg.exe"=[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]"8461:TCP"= 8461:TCP:GoD High Port"8462:TCP"= 8462:TCP:GoD Low Port*Newly Created Service* - CATCHME*Newly Created Service* - PROCEXP90.- - - - ORPHANS REMOVED - - - -HKCU-Run-WhenUSave - C:\Program Files\Save\Save.exeHKCU-Run-gadu-gadu - C:\WINDOWS\gg.exeHKLM-Run-SpySpotter System Defender - C:\Program Files\SpySpotter3\Defender.exe**************************************************************************catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.netRootkit scan 2008-09-01 15:04:05Windows 5.1.2600 Dodatek Service Pack 2 FAT NTAPIscanning hidden processes ... scanning hidden autostart entries ...scanning hidden files ... scan completed successfullyhidden files: 0**************************************************************************.Completion time: 2008-09-01 15:04:32ComboFix-quarantined-files.txt  2008-09-01 13:04:30Pre-Run: 4,993,589,248 bajtów wolnychPost-Run: 5,192,491,008 bajtów wolnych139	--- E O F ---	2008-08-14 12:58:17
snip91
komentarz
komentarz

Do notatnika wklej:

Folder::C:\FOUND.018

W notatniku zakładka Plik --> Zapisz jako --> zapisz pod nazwą CFScript.txt i zapisz go w tym samym katalogu, w którym jest ComboFix.

Wystartuj tryb awaryjny (F8 podczas ładowania systemu). Na ikonę ComboFix przeciągasz zrobiony plik CFScript.txt tak, jak na obrazku:

82650GIF.gif

Rozpocznie się usuwanie i powstanie log, który pokazujesz na forum.

Po restarcie usuń ręcznie folder C:\Qoobox.

Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!

Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.

×
×
  • Dodaj nową pozycję...

Powiadomienie o plikach cookie

Strona wykorzystuje pliki cookies w celu prawidłowego świadczenia usług i wygody użytkowników. Warunki przechowywania i dostępu do plików cookies możesz zmienić w ustawieniach przeglądarki.