Gość komentarz 14 września 2008 komentarz 14 września 2008 Wklej do Notatnika: File::C:\DOCUME~1\User\LOCALS~1\Temp\video198.cfg.exeFolder::C:\Program Files\SAVRegistry::[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"Somefox"=-[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{193205ee-c6c1-11dc-ae74-0015af594e22}][-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d0041a10-57c0-11dd-af6a-0015af594e22}] >>Plik>>Zapisz jako... >>> CFScript Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe --> Ma się rozpocząć usuwanie. (i powstanie log).Daj ten log, który powstanie w trakcie usuwania. Jeśli pójdzie dobrze, to: Po restarcie usuń ręcznie folder C:\Qoobox.
Mateusz J. komentarz 14 września 2008 komentarz 14 września 2008 djarta ominąłeś jeden pliczek (wiem, że przypadkowo heh) Po dodaniu pliku, do notatnika proszę wkleić: File::C:\DOCUME~1\User\LOCALS~1\Temp\a.exeC:\DOCUME~1\User\LOCALS~1\Temp\video198.cfg.exeFolder::C:\Program Files\SAVRegistry::[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"Somefox"=-[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{193205ee-c6c1-11dc-ae74-0015af594e22}][-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d0041a10-57c0-11dd-af6a-0015af594e22}] W notatniku zakladka Plik ==> Zapisz jako ==> zapisz pod nazwą CFScript.txt i zapisz go w tym katalogu co ściągnięty i zapisany został combofix Na ikonę ComboFix przeciągasz zrobiony plik CFScript.txt Tak jak na obrazku: Rozpocznie się usuwanie i powstanie log , który pokazujesz na forum. O8 - Extra context menu item: &Winamp Search - C:\Documents and Settings\All Users\Application Data\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html Fix w HijackThis.
Gość komentarz 14 września 2008 komentarz 14 września 2008 @jesiona - HijackThisa nie sprawdzam, może to błąd ale wg mnie - HJT jest zje**** narzędziem. Ale widać, że Autor tematu ma "niepełnego" ComboFixa, operacja może się nie udać, ale zobaczymy.
massivenrg komentarz 14 września 2008 Autor komentarz 14 września 2008 ComboFix 08-09-13.05 - User 2008-10-14 18:36:29.4 - NTFSx86Microsoft Windows XP Professional 5.1.2600.2.1250.1.1033.18.447 [GMT 2:00]Running from: C:\Documents and Settings\User\Desktop\ComboFix.exeCommand switches used :: C:\Documents and Settings\User\Desktop\CFScript.txt * Created a new restore point[b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b].- REDUCED FUNCTIONALITY MODE -.((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))).C:\Program Files\SAV.((((((((((((((((((((((((( Files Created from 2008-09-14 to 2008-10-14 ))))))))))))))))))))))))))))))).2008-10-14 17:19 . 2008-10-14 17:19 <DIR> d-------- C:\Program Files\Trend Micro2008-10-14 08:58 . 2008-10-14 08:58 <DIR> d-------- C:\WINDOWS\system32\xircom2008-10-14 08:58 . 2008-10-14 08:58 <DIR> d-------- C:\Program Files\microsoft frontpage.(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))).2008-09-06 13:09 --------- d-----w C:\Program Files\K-Lite Codec Pack2008-09-06 13:09 --------- d-----w C:\Documents and Settings\User\Application Data\Media Player Classic2008-09-06 13:08 --------- d-----w C:\Program Files\ACE Mega CoDecS Pack2008-08-31 05:42 --------- d-----w C:\Program Files\Ad Muncher2008-08-30 20:26 --------- d-----w C:\Program Files\QuickTime2008-08-30 20:26 --------- d-----w C:\Documents and Settings\User\Application Data\Apple Computer2008-08-30 20:25 --------- d-----w C:\Program Files\Apple Software Update2008-08-30 20:25 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple Computer2008-08-30 20:25 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple2008-08-26 17:12 --------- d-----w C:\Documents and Settings\User\Application Data\foobar20002008-08-24 19:45 --------- d-----w C:\Documents and Settings\User\Application Data\Uniblue2008-07-25 08:34 81,920 ----a-w C:\WINDOWS\system32\dpl100.dll2008-07-25 08:34 683,520 ----a-w C:\WINDOWS\system32\divx.dll2008-07-23 16:50 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll2008-04-02 10:20 330,192 ----a-w C:\Documents and Settings\User\Application Data\GDIPFONTCACHEV1.DAT2008-01-19 23:47 16,384 --sha-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat2008-01-19 23:47 32,768 --sha-w C:\WINDOWS\system32\config\systemprofile\Local Settings\History\History.IE5\index.dat2008-01-19 23:47 32,768 --sha-w C:\WINDOWS\system32\config\systemprofile\Local Settings\History\History.IE5\MSHist012008011920080120\index.dat2008-01-19 23:47 32,768 --sha-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat.------- Sigcheck -------2007-12-15 23:37 360704 409b44ce625776db74eaa63f24e9d4e4 C:\WINDOWS\system32\drivers\tcpip.sys2007-12-15 23:42 2182144 3f57f13786678214051df97a1423bdcc C:\WINDOWS\system32\ntkrnlpa.exe2007-12-15 23:37 2302464 837e25c89935c3cb144dd757d7fff719 C:\WINDOWS\system32\ntoskrnl.exe.((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))..*Note* empty entries & legit default entries are not shown REGEDIT4[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]"{57BCA5FA-5DBB-45a2-B558-1755C3F6253B}"= "C:\Program Files\Winamp Toolbar\winamptb.dll" [2008-07-02 1267040]"{236bd960-2fab-4645-9bc1-dae85904734e}"= "C:\Program Files\BlackXP\tbBla1.dll" [2008-01-23 1502232][HKEY_CLASSES_ROOT\clsid\{57bca5fa-5dbb-45a2-b558-1755c3f6253b}][HKEY_CLASSES_ROOT\WINAMPTB.AOLTBSearch.1][HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}][HKEY_CLASSES_ROOT\WINAMPTB.AOLTBSearch][HKEY_CLASSES_ROOT\clsid\{236bd960-2fab-4645-9bc1-dae85904734e}][HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{236bd960-2fab-4645-9bc1-dae85904734e}]2008-01-23 19:32 1502232 --a------ C:\Program Files\BlackXP\tbBla1.dll[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]"{236bd960-2fab-4645-9bc1-dae85904734e}"= "C:\Program Files\BlackXP\tbBla1.dll" [2008-01-23 1502232][HKEY_CLASSES_ROOT\clsid\{236bd960-2fab-4645-9bc1-dae85904734e}][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]"{236BD960-2FAB-4645-9BC1-DAE85904734E}"= "C:\Program Files\BlackXP\tbBla1.dll" [2008-01-23 1502232][HKEY_CLASSES_ROOT\clsid\{236bd960-2fab-4645-9bc1-dae85904734e}][HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]"Konnekt"="C:\Program Files\Konnekt\konnekt.exe" [2005-05-24 503808]"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-10-13 1694208]"Orb"="C:\Program Files\Winamp Remote\bin\OrbTray.exe" [2008-04-01 507904]"Advanced Uninstaller PRO Installation Monitor"="C:\Program Files\Innovative Solutions\Advanced Uninstaller PRO - Version 9\monitor.exe" [2008-06-06 1116048][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"HControl"="C:\WINDOWS\ATK0100\HControl.exe" [2006-10-14 110592]"AAWTray"="C:\Program Files\Security\Ad-Aware 2007\AAWTray.exe" [2007-08-08 88024]"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 40048]"OODefragTray"="C:\WINDOWS\system32\oodtray.exe" [2007-05-11 2512392]"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-07-19 78008]"SMSERIAL"="C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe" [2006-11-23 630784]"DAEMON Tools"="C:\Program Files\DAEMON Tools\daemon.exe" [2006-11-12 157592]"WinampAgent"="C:\Program Files\Winamp\winampa.exe" [2008-07-09 36352]"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2008-05-27 413696]"Ad Muncher"="C:\Program Files\Ad Muncher\AdMunch.exe" [2008-08-31 713216]"RTHDCPL"="RTHDCPL.EXE" [2007-11-06 C:\WINDOWS\RTHDCPL.EXE]"SkyTel"="SkyTel.EXE" [2007-10-11 C:\WINDOWS\SkyTel.exe][HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]"nltide_3"="advpack.dll" [2007-12-15 C:\WINDOWS\system32\advpack.dll]C:\Documents and Settings\User\Start Menu\Programs\Startup\Styler.lnk - C:\Documents and Settings\User\Application Data\Microsoft\Installer\{E9ECF354-2422-4FDB-9ABF-D8ADAC0EF941}\_585b207a.exe [2008-01-20 15086]C:\Documents and Settings\All Users\Start Menu\Programs\Startup\Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360][HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]"NoSMMyPictures"= 1 (0x1)[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]"NoSMMyPictures"= 1 (0x1)[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WBSrv]2005-12-21 08:57 176128 C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\WbSrv.dll[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]"VIDC.YV12"= yv12vfw.dll[HKEY_LOCAL_MACHINE\software\microsoft\security center]"AntiVirusDisableNotify"=dword:00000001"UpdatesDisableNotify"=dword:00000001[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]"EnableFirewall"= 0 (0x0)"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\system32\\sessmgr.exe"="C:\\Program Files\\SiSoftware\\SiSoftware Sandra Professional Business XII\\Win32\\RpcDataSrv.exe"="C:\\Program Files\\SiSoftware\\SiSoftware Sandra Professional Business XII\\RpcSandraSrv.exe"="C:\\Program Files\\BitSpirit\\BitSpirit.exe"="C:\\Program Files\\uTorrent\\uTorrent.exe"="C:\\Program Files\\Konnekt\\konnekt.exe"="C:\\Program Files\\Gadu-Gadu\\gg.exe"="C:\\Westwood\\Dune2000\\DUNE2000.DAT"="C:\\Program Files\\Winamp Remote\\bin\\Orb.exe"="C:\\Program Files\\Winamp Remote\\bin\\OrbTray.exe"="C:\\Program Files\\Winamp Remote\\bin\\OrbStreamerClient.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe"=[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]"AllowInboundEchoRequest"= 1 (0x1)R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 78416]R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 20560]R2 BCMNTIO;BCMNTIO;C:\PROGRA~1\CheckIt\DIAGNO~1\BCMNTIO.sys [2004-03-06 3744]R2 MAPMEM;MAPMEM;C:\PROGRA~1\CheckIt\DIAGNO~1\MAPMEM.sys [2004-03-06 3904]R3 KMM4xUSB;KMM4xUSB Driver (kmm4xusb.sys);C:\WINDOWS\system32\Drivers\KMM4xUSB.sys [2003-06-02 101884]S2 Kmm4xNT;Kmm4xNT;C:\WINDOWS\system32\drivers\Kmm4xNT.sys [2000-11-25 95484]S3 SG762_XP;SAGEM 802.11g XG762 1211B Driver;C:\WINDOWS\system32\DRIVERS\WlanBZXP.sys [2005-12-29 402432]S3 ZDCndis5;ZDCndis5 Protocol Driver;C:\WINDOWS\system32\ZDCndis5.SYS [ ][HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{D58F39FF-953E-4F45-898F-59F243B9A523}]RUNDLL32 advpack.dll,LaunchINFSection Sidebar.inf,Register.Contents of the 'Scheduled Tasks' folder.**************************************************************************catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.netRootkit scan 2008-10-14 18:36:42Windows 5.1.2600 Service Pack 2 NTFSscanning hidden processes ... scanning hidden autostart entries ...scanning hidden files ... scan completed successfullyhidden files: 0**************************************************************************.Completion time: 2008-10-14 18:37:32ComboFix-quarantined-files.txt 2008-10-14 16:37:26ComboFix2.txt 2008-10-14 16:28:30Pre-Run: 53,264,515,072 bytes freePost-Run: 53,255,290,880 bytes free151
Gość komentarz 14 września 2008 komentarz 14 września 2008 Wszystko się usunęło - czysto. Usuń ręcznie folder C:\Qoobox, Usuń instalkę ComboFix z dysku. Wykonaj optymalizację autostartu Przeczyść komputer Ccleanerem Wyłącz i włącz przywracanie systemu na wszystkich dyskach.Instrukcja Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum. lub Dr.WEB CureIt!.
Mateusz J. komentarz 14 września 2008 komentarz 14 września 2008 Log czysty. Usuń folder C:\QooBox Przeczyść komputer programem CCleaner. @jesiona - HijackThisa nie sprawdzam, może to błąd ale wg mnie - HJT jest zje**** narzędziem. smile.gifAle widać, że Autor tematu ma "niepełnego" ComboFixa, operacja może się nie udać, ale zobaczymy. wink.gif heh nie usunął się żaden plik z katalogu temp EDIT djarta znowu mnie uprzedziłeś dzisiaj chyba jakiś napad ze strony Somefox
Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!
Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.