x-kom hosting

you have security problem :)

massivenrg
utworzono
utworzono

Gość
komentarz
komentarz

Wklej do Notatnika:

File::C:\DOCUME~1\User\LOCALS~1\Temp\video198.cfg.exeFolder::C:\Program Files\SAVRegistry::[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"Somefox"=-[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{193205ee-c6c1-11dc-ae74-0015af594e22}][-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d0041a10-57c0-11dd-af6a-0015af594e22}]

>>Plik>>Zapisz jako... >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

-->cfscriptb5b4me3.gif

Ma się rozpocząć usuwanie. (i powstanie log).Daj ten log, który powstanie w trakcie usuwania.

Jeśli pójdzie dobrze, to: Po restarcie usuń ręcznie folder C:\Qoobox.

Mateusz J.
komentarz
komentarz

djarta ominąłeś jeden pliczek :) (wiem, że przypadkowo heh)

Po dodaniu pliku, do notatnika proszę wkleić:

File::C:\DOCUME~1\User\LOCALS~1\Temp\a.exeC:\DOCUME~1\User\LOCALS~1\Temp\video198.cfg.exeFolder::C:\Program Files\SAVRegistry::[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"Somefox"=-[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{193205ee-c6c1-11dc-ae74-0015af594e22}][-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d0041a10-57c0-11dd-af6a-0015af594e22}]

W notatniku zakladka Plik ==> Zapisz jako ==> zapisz pod nazwą CFScript.txt i zapisz go w tym katalogu co ściągnięty i zapisany został combofix

Na ikonę ComboFix przeciągasz zrobiony plik CFScript.txt Tak jak na obrazku:

82650GIF.gif

Rozpocznie się usuwanie i powstanie log , który pokazujesz na forum.

O8 - Extra context menu item: &Winamp Search - C:\Documents and Settings\All Users\Application Data\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html

Fix w HijackThis.

Gość
komentarz
komentarz

@jesiona - HijackThisa nie sprawdzam, może to błąd ale wg mnie - HJT jest zje**** narzędziem. :)

Ale widać, że Autor tematu ma "niepełnego" ComboFixa, operacja może się nie udać, ale zobaczymy. ;)

massivenrg
komentarz
komentarz
ComboFix 08-09-13.05 - User 2008-10-14 18:36:29.4 - NTFSx86Microsoft Windows XP Professional  5.1.2600.2.1250.1.1033.18.447 [GMT 2:00]Running from: C:\Documents and Settings\User\Desktop\ComboFix.exeCommand switches used :: C:\Documents and Settings\User\Desktop\CFScript.txt * Created a new restore point[b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b].- REDUCED FUNCTIONALITY MODE -.(((((((((((((((((((((((((((((((((((((((   Other Deletions   ))))))))))))))))))))))))))))))))))))))))))))))))).C:\Program Files\SAV.(((((((((((((((((((((((((   Files Created from 2008-09-14 to 2008-10-14  ))))))))))))))))))))))))))))))).2008-10-14 17:19 . 2008-10-14 17:19	<DIR>	d--------	C:\Program Files\Trend Micro2008-10-14 08:58 . 2008-10-14 08:58	<DIR>	d--------	C:\WINDOWS\system32\xircom2008-10-14 08:58 . 2008-10-14 08:58	<DIR>	d--------	C:\Program Files\microsoft frontpage.((((((((((((((((((((((((((((((((((((((((   Find3M Report   )))))))))))))))))))))))))))))))))))))))))))))))))))).2008-09-06 13:09	---------	d-----w	C:\Program Files\K-Lite Codec Pack2008-09-06 13:09	---------	d-----w	C:\Documents and Settings\User\Application Data\Media Player Classic2008-09-06 13:08	---------	d-----w	C:\Program Files\ACE Mega CoDecS Pack2008-08-31 05:42	---------	d-----w	C:\Program Files\Ad Muncher2008-08-30 20:26	---------	d-----w	C:\Program Files\QuickTime2008-08-30 20:26	---------	d-----w	C:\Documents and Settings\User\Application Data\Apple Computer2008-08-30 20:25	---------	d-----w	C:\Program Files\Apple Software Update2008-08-30 20:25	---------	d-----w	C:\Documents and Settings\All Users\Application Data\Apple Computer2008-08-30 20:25	---------	d-----w	C:\Documents and Settings\All Users\Application Data\Apple2008-08-26 17:12	---------	d-----w	C:\Documents and Settings\User\Application Data\foobar20002008-08-24 19:45	---------	d-----w	C:\Documents and Settings\User\Application Data\Uniblue2008-07-25 08:34	81,920	----a-w	C:\WINDOWS\system32\dpl100.dll2008-07-25 08:34	683,520	----a-w	C:\WINDOWS\system32\divx.dll2008-07-23 16:50	3,596,288	----a-w	C:\WINDOWS\system32\qt-dx331.dll2008-04-02 10:20	330,192	----a-w	C:\Documents and Settings\User\Application Data\GDIPFONTCACHEV1.DAT2008-01-19 23:47	16,384	--sha-w	C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat2008-01-19 23:47	32,768	--sha-w	C:\WINDOWS\system32\config\systemprofile\Local Settings\History\History.IE5\index.dat2008-01-19 23:47	32,768	--sha-w	C:\WINDOWS\system32\config\systemprofile\Local Settings\History\History.IE5\MSHist012008011920080120\index.dat2008-01-19 23:47	32,768	--sha-w	C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat.------- Sigcheck -------2007-12-15 23:37  360704  409b44ce625776db74eaa63f24e9d4e4	C:\WINDOWS\system32\drivers\tcpip.sys2007-12-15 23:42  2182144  3f57f13786678214051df97a1423bdcc	C:\WINDOWS\system32\ntkrnlpa.exe2007-12-15 23:37  2302464  837e25c89935c3cb144dd757d7fff719	C:\WINDOWS\system32\ntoskrnl.exe.(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))..*Note* empty entries & legit default entries are not shown REGEDIT4[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]"{57BCA5FA-5DBB-45a2-B558-1755C3F6253B}"= "C:\Program Files\Winamp Toolbar\winamptb.dll" [2008-07-02 1267040]"{236bd960-2fab-4645-9bc1-dae85904734e}"= "C:\Program Files\BlackXP\tbBla1.dll" [2008-01-23 1502232][HKEY_CLASSES_ROOT\clsid\{57bca5fa-5dbb-45a2-b558-1755c3f6253b}][HKEY_CLASSES_ROOT\WINAMPTB.AOLTBSearch.1][HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}][HKEY_CLASSES_ROOT\WINAMPTB.AOLTBSearch][HKEY_CLASSES_ROOT\clsid\{236bd960-2fab-4645-9bc1-dae85904734e}][HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{236bd960-2fab-4645-9bc1-dae85904734e}]2008-01-23 19:32	1502232	--a------	C:\Program Files\BlackXP\tbBla1.dll[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]"{236bd960-2fab-4645-9bc1-dae85904734e}"= "C:\Program Files\BlackXP\tbBla1.dll" [2008-01-23 1502232][HKEY_CLASSES_ROOT\clsid\{236bd960-2fab-4645-9bc1-dae85904734e}][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]"{236BD960-2FAB-4645-9BC1-DAE85904734E}"= "C:\Program Files\BlackXP\tbBla1.dll" [2008-01-23 1502232][HKEY_CLASSES_ROOT\clsid\{236bd960-2fab-4645-9bc1-dae85904734e}][HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]"Konnekt"="C:\Program Files\Konnekt\konnekt.exe" [2005-05-24 503808]"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-10-13 1694208]"Orb"="C:\Program Files\Winamp Remote\bin\OrbTray.exe" [2008-04-01 507904]"Advanced Uninstaller PRO Installation Monitor"="C:\Program Files\Innovative Solutions\Advanced Uninstaller PRO - Version 9\monitor.exe" [2008-06-06 1116048][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"HControl"="C:\WINDOWS\ATK0100\HControl.exe" [2006-10-14 110592]"AAWTray"="C:\Program Files\Security\Ad-Aware 2007\AAWTray.exe" [2007-08-08 88024]"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 40048]"OODefragTray"="C:\WINDOWS\system32\oodtray.exe" [2007-05-11 2512392]"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-07-19 78008]"SMSERIAL"="C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe" [2006-11-23 630784]"DAEMON Tools"="C:\Program Files\DAEMON Tools\daemon.exe" [2006-11-12 157592]"WinampAgent"="C:\Program Files\Winamp\winampa.exe" [2008-07-09 36352]"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2008-05-27 413696]"Ad Muncher"="C:\Program Files\Ad Muncher\AdMunch.exe" [2008-08-31 713216]"RTHDCPL"="RTHDCPL.EXE" [2007-11-06 C:\WINDOWS\RTHDCPL.EXE]"SkyTel"="SkyTel.EXE" [2007-10-11 C:\WINDOWS\SkyTel.exe][HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]"nltide_3"="advpack.dll" [2007-12-15 C:\WINDOWS\system32\advpack.dll]C:\Documents and Settings\User\Start Menu\Programs\Startup\Styler.lnk - C:\Documents and Settings\User\Application Data\Microsoft\Installer\{E9ECF354-2422-4FDB-9ABF-D8ADAC0EF941}\_585b207a.exe [2008-01-20 15086]C:\Documents and Settings\All Users\Start Menu\Programs\Startup\Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360][HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]"NoSMMyPictures"= 1 (0x1)[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]"NoSMMyPictures"= 1 (0x1)[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WBSrv]2005-12-21 08:57 176128 C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\WbSrv.dll[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]"VIDC.YV12"= yv12vfw.dll[HKEY_LOCAL_MACHINE\software\microsoft\security center]"AntiVirusDisableNotify"=dword:00000001"UpdatesDisableNotify"=dword:00000001[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]"EnableFirewall"= 0 (0x0)"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\system32\\sessmgr.exe"="C:\\Program Files\\SiSoftware\\SiSoftware Sandra Professional Business XII\\Win32\\RpcDataSrv.exe"="C:\\Program Files\\SiSoftware\\SiSoftware Sandra Professional Business XII\\RpcSandraSrv.exe"="C:\\Program Files\\BitSpirit\\BitSpirit.exe"="C:\\Program Files\\uTorrent\\uTorrent.exe"="C:\\Program Files\\Konnekt\\konnekt.exe"="C:\\Program Files\\Gadu-Gadu\\gg.exe"="C:\\Westwood\\Dune2000\\DUNE2000.DAT"="C:\\Program Files\\Winamp Remote\\bin\\Orb.exe"="C:\\Program Files\\Winamp Remote\\bin\\OrbTray.exe"="C:\\Program Files\\Winamp Remote\\bin\\OrbStreamerClient.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe"=[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]"AllowInboundEchoRequest"= 1 (0x1)R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 78416]R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 20560]R2 BCMNTIO;BCMNTIO;C:\PROGRA~1\CheckIt\DIAGNO~1\BCMNTIO.sys [2004-03-06 3744]R2 MAPMEM;MAPMEM;C:\PROGRA~1\CheckIt\DIAGNO~1\MAPMEM.sys [2004-03-06 3904]R3 KMM4xUSB;KMM4xUSB Driver (kmm4xusb.sys);C:\WINDOWS\system32\Drivers\KMM4xUSB.sys [2003-06-02 101884]S2 Kmm4xNT;Kmm4xNT;C:\WINDOWS\system32\drivers\Kmm4xNT.sys [2000-11-25 95484]S3 SG762_XP;SAGEM 802.11g XG762 1211B Driver;C:\WINDOWS\system32\DRIVERS\WlanBZXP.sys [2005-12-29 402432]S3 ZDCndis5;ZDCndis5 Protocol Driver;C:\WINDOWS\system32\ZDCndis5.SYS [ ][HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{D58F39FF-953E-4F45-898F-59F243B9A523}]RUNDLL32 advpack.dll,LaunchINFSection Sidebar.inf,Register.Contents of the 'Scheduled Tasks' folder.**************************************************************************catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.netRootkit scan 2008-10-14 18:36:42Windows 5.1.2600 Service Pack 2 NTFSscanning hidden processes ... scanning hidden autostart entries ...scanning hidden files ... scan completed successfullyhidden files: 0**************************************************************************.Completion time: 2008-10-14 18:37:32ComboFix-quarantined-files.txt  2008-10-14 16:37:26ComboFix2.txt  2008-10-14 16:28:30Pre-Run: 53,264,515,072 bytes freePost-Run: 53,255,290,880 bytes free151
Gość
komentarz
komentarz

Wszystko się usunęło - czysto.

Usuń ręcznie folder C:\Qoobox,

Usuń instalkę ComboFix z dysku.

Wykonaj optymalizację autostartu

Przeczyść komputer Ccleanerem

Wyłącz i włącz przywracanie systemu na wszystkich dyskach.Instrukcja

Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum.

lub

Dr.WEB CureIt!.

Mateusz J.
komentarz
komentarz

Log czysty.

Usuń folder C:\QooBox

Przeczyść komputer programem CCleaner.

@jesiona - HijackThisa nie sprawdzam, może to błąd ale wg mnie - HJT jest zje**** narzędziem. smile.gif

Ale widać, że Autor tematu ma "niepełnego" ComboFixa, operacja może się nie udać, ale zobaczymy. wink.gif

heh nie usunął się żaden plik z katalogu temp :)

EDIT

djarta znowu mnie uprzedziłeś :haha:

dzisiaj chyba jakiś napad ze strony Somefox :D

Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!

Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.

×
×
  • Dodaj nową pozycję...

Powiadomienie o plikach cookie

Strona wykorzystuje pliki cookies w celu prawidłowego świadczenia usług i wygody użytkowników. Warunki przechowywania i dostępu do plików cookies możesz zmienić w ustawieniach przeglądarki.