[Rozwiązany] 1351 wirusów, komputer już....

[Mateusz J.]

Najpierw zrób loga z ComboFix, a następnie HijakThis i Silent Runners.

Kaspersky w tym momencie jest mało ważny.

[lingaaa]

Oto log z Combofixa :

ComboFix 08-09-25.07 - home 2008-09-27 15:34:20.4 - NTFSx86Microsoft Windows XP Home Edition  5.1.2600.2.1250.1.1045.18.830 [GMT 2:00]Uruchomiony z: C:\Documents and Settings\home\Pulpit\ComboFix.exe[b]UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !![/b].(((((((((((((((((((((((((((((((((((((((   Usunięto   ))))))))))))))))))))))))))))))))))))))))))))))))).C:\Documents and Settings\home\Pulpit\Error Cleaner.urlC:\Documents and Settings\home\Pulpit\Privacy Protector.urlC:\Documents and Settings\home\Pulpit\Spyware&Malware Protection.urlC:\Documents and Settings\home\Ulubione\Error Cleaner.urlC:\Documents and Settings\home\Ulubione\Privacy Protector.urlC:\Documents and Settings\home\Ulubione\Spyware&Malware Protection.urlC:\WINDOWS\dfmlxbpkbkl.dllC:\WINDOWS\exwf.exeC:\WINDOWS\onfwbsak.dllC:\WINDOWS\peltodgx.dllC:\WINDOWS\rwlfsdmk.dllC:\WINDOWS\system32\cbXQhFYs.dllC:\WINDOWS\system32\drivers\tdssserv.sysC:\WINDOWS\system32\fccaWonn.dllC:\WINDOWS\system32\jkkHYpnn.dllC:\WINDOWS\system32\jkkIBTkh.dllC:\WINDOWS\system32\ljJASiiI.dllC:\WINDOWS\system32\nnoWaccf.iniC:\WINDOWS\system32\nnoWaccf.ini2C:\WINDOWS\system32\tdssadw.dllC:\WINDOWS\system32\tdssinit.dllC:\WINDOWS\system32\tdssl.dllC:\WINDOWS\system32\TDSSlog.dllC:\WINDOWS\system32\tdssmain.dllC:\WINDOWS\system32\TDSSserf.dllC:\WINDOWS\system32\TDSSserf1.dllC:\WINDOWS\system32\tdssservers.dat.(((((((((((((((((((((((((((((((((((((((   Sterowniki/Usługi   ))))))))))))))))))))))))))))))))))))))))))))))))).-------\Legacy_TDSSSERV-------\Service_TDSSserv(((((((((((((((((((((((((   Pliki utworzone od 2008-08-27 do 2008-09-27  ))))))))))))))))))))))))))))))).2008-09-27 13:53 . 2008-09-27 14:09	952,793	---hs----	C:\WINDOWS\system32\prfckcql.ini2008-09-27 13:52 . 2008-09-27 13:52	80,000	--a------	C:\WINDOWS\system32\lqckcfrp.dll2008-09-27 13:42 . 2008-09-26 11:29	147,456	--a------	C:\WINDOWS\fbxrqtwn.exe2008-09-27 12:26 . 2008-09-27 12:26	<DIR>	d--------	C:\Documents and Settings\All Users\Dane aplikacji\Yahoo! Companion2008-09-27 11:49 . 2008-09-27 11:49	<DIR>	d--------	C:\Program Files\Yahoo!2008-09-27 11:05 . 2008-09-27 11:05	<DIR>	d--------	C:\WINDOWS\system32\Kaspersky Lab2008-09-27 11:05 . 2008-09-27 11:05	<DIR>	d--------	C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab2008-09-26 21:17 . 2008-09-26 21:17	<DIR>	d--------	C:\Program Files\Trend Micro2008-09-26 20:12 . 2008-09-26 20:12	<DIR>	d--------	C:\Program Files\a-squared HiJackFree2008-09-25 21:11 . 2008-09-25 21:11	<DIR>	d--------	C:\Program Files\32008-09-25 17:25 . 2008-09-25 17:25	223,128	--a------	C:\WINDOWS\system32\drivers\dtscsi.sys2008-09-25 17:22 . 2008-09-25 17:22	664,064	--a------	C:\WINDOWS\system32\drivers\sptd.sys2008-09-25 17:22 . 2008-09-25 17:22	96,256	--a------	C:\WINDOWS\system32\drivers\sptd1645.sys2008-09-24 19:10 . 2008-09-24 19:10	<DIR>	d--------	C:\Program Files\Opera2008-09-23 18:05 . 2008-09-23 18:05	<DIR>	d--------	C:\Program Files\MSECache2008-09-23 17:47 . 2007-04-09 13:23	28,040	--a------	C:\WINDOWS\system32\mdimon.dll2008-09-23 17:47 . 2008-09-23 17:48	421	--a------	C:\WINDOWS\ODBC.INI2008-09-23 17:42 . 2008-09-23 17:43	<DIR>	d--------	C:\WINDOWS\SHELLNEW2008-09-23 17:41 . 2008-09-23 18:43	<DIR>	d--------	C:\WINDOWS\system32\CatRoot_bak2008-09-20 22:24 . 2008-09-20 22:24	<DIR>	d--------	C:\Documents and Settings\home\Dane aplikacji\Media Player Classic2008-09-20 22:23 . 2008-09-20 22:23	<DIR>	d--------	C:\Program Files\Xvid2008-09-20 22:22 . 2008-07-25 10:34	683,520	--a------	C:\WINDOWS\system32\divx.dll2008-09-20 22:22 . 2008-06-12 20:36	7,680	--a------	C:\WINDOWS\system32\ff_vfw.dll2008-09-20 22:22 . 2007-07-10 18:10	547	--a------	C:\WINDOWS\system32\ff_vfw.dll.manifest2008-09-08 18:06 . 2008-09-08 18:06	<DIR>	d--------	C:\Documents and Settings\home\Dane aplikacji\InstallShield Installation Information2008-09-08 18:00 . 2008-09-08 18:00	<DIR>	d--------	C:\Program Files\raptisoft2008-09-08 18:00 . 2008-09-08 18:00	348,160	--a------	C:\WINDOWS\eSellerateEngine.dll2008-09-08 18:00 . 2008-09-08 19:46	40	--a------	C:\WINDOWS\rsoftinfo.dat.((((((((((((((((((((((((((((((((((((((((   Sekcja Find3M   )))))))))))))))))))))))))))))))))))))))))))))))))))).2008-09-27 13:22	---------	d-----w	C:\Documents and Settings\home\Dane aplikacji\AVG72008-09-27 09:56	---------	d---a-w	C:\Documents and Settings\All Users\Dane aplikacji\TEMP2008-09-26 17:16	---------	d-----w	C:\Documents and Settings\Obcy\Dane aplikacji\AVG72008-09-07 16:35	---------	d-----w	C:\Documents and Settings\home\Dane aplikacji\Skype2008-09-07 15:16	---------	d-----w	C:\Documents and Settings\home\Dane aplikacji\skypePM2008-03-22 16:01	32	----a-w	C:\Documents and Settings\All Users\Dane aplikacji\ezsid.dat.(((((((((((((((((((((((((((((((((((((   Wpisy startowe rejestru   ))))))))))))))))))))))))))))))))))))))))))))))))))..*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane REGEDIT4[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-04-06 68856]"Orb"="C:\Program Files\Winamp Remote\bin\OrbTray.exe" [2008-04-01 507904]"Gadu-Gadu"="D:\Programy\Gadu gadu\Gadu-Gadu\gg.exe" [2008-03-20 2127296][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"igfxtray"="C:\WINDOWS\system32\igfxtray.exe" [2008-03-13 94208]"igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2008-03-13 77824]"igfxpers"="C:\WINDOWS\system32\igfxpers.exe" [2008-03-13 114688]"IntelZeroConfig"="C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe" [2006-08-02 802816]"IntelWireless"="C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" [2006-08-02 696320]"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2008-04-15 579584]"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2008-03-28 413696]"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 144784]"WinampAgent"="D:\Programy\Winap\Winamp\winampa.exe" [2008-04-01 36352]"DAEMON Tools"="D:\Filmy\Simsy\DAEMON Tools\daemon.exe" [2005-11-09 128920]"Skrót do strony właściwości High Definition Audio"="HDAShCut.exe" [2005-01-07 C:\WINDOWS\system32\HdAShCut.exe]"SoundMan"="SOUNDMAN.EXE" [2008-03-13 C:\WINDOWS\SOUNDMAN.EXE]"AlcWzrd"="ALCWZRD.EXE" [2008-03-13 C:\WINDOWS\ALCWZRD.EXE][HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 15360]"AVG7_Run"="C:\PROGRA~1\Grisoft\AVG7\avgw.exe" [2008-03-18 219136][HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]"VIDC.YV12"= yv12vfw.dll[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]"%windir%\\system32\\sessmgr.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe"="C:\\Program Files\\Grisoft\\AVG7\\avginet.exe"="C:\\Program Files\\Grisoft\\AVG7\\avgamsvr.exe"="C:\\Program Files\\Grisoft\\AVG7\\avgcc.exe"="C:\\Program Files\\Grisoft\\AVG7\\avgemc.exe"="D:\\Programy\\Gadu gadu\\Tlen.pl\\tlen.exe"="D:\\Programy\\Bearshare\\BearShare.exe"="C:\\Program Files\\Bonjour\\mDNSResponder.exe"="C:\\Program Files\\Winamp Remote\\bin\\Orb.exe"="C:\\Program Files\\Winamp Remote\\bin\\OrbTray.exe"="C:\\Program Files\\Winamp Remote\\bin\\OrbStreamerClient.exe"="D:\\Programy\\Gadu gadu\\Gadu-Gadu\\gg.exe"="D:\\Programy\\Winap\\AQQ\\WapSter AQQ\\AQQ.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe"=[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]"8461:TCP"= 8461:TCP:GoD High Port"8462:TCP"= 8462:TCP:GoD Low Port.Zawartość folderu 'Zaplanowane zadania'.- - - - USUNIĘTO PUSTE WPISY - - - -BHO-{129D532E-E2EC-4527-B4BA-4626830EFE18} - C:\WINDOWS\dfmlxbpkbkl.dllBHO-{376EFD74-7AA4-44A4-9E39-E374ED3139A9} - C:\WINDOWS\system32\cbXQhFYs.dllBHO-{FD1C059A-CCB5-4416-A23D-27A14E6987E6} - C:\WINDOWS\system32\fccaWonn.dllToolbar-{BAB8F6DC-41B1-440F-A066-AAC224906880} - C:\WINDOWS\peltodgx.dllShellExecuteHooks-{376EFD74-7AA4-44A4-9E39-E374ED3139A9} - C:\WINDOWS\system32\cbXQhFYs.dll.------- Skan uzupełniający -------.R0 -: HKCU-Main,Start Page = hxxp://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2R0 -: HKCU-Main,Default_Search_URL = hxxp://www.google.com/ieR1 -: HKCU-Internet Settings,ProxyOverride = *.localR1 -: HKCU-SearchURL,(Default) = hxxp://www.google.com/search?q=%sO8 -: E&ksport do programu Microsoft Excel - C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000O17 -: HKLM\CCS\Interface\{ADB64C08-BC9F-4B58-8ED8-A480AD2A39E3}: NameServer = 192.168.2.253,194.204.152.34O16 -: DirectAnimation Java Classes - file://C:\WINDOWS\Java\classes\dajava.cabC:\WINDOWS\Downloaded Program Files\DirectAnimation Java Classes.osdO16 -: Microsoft XML Parser for Java - file://C:\WINDOWS\Java\classes\xmldso.cabC:\WINDOWS\Downloaded Program Files\Microsoft XML Parser for Java.osdO16 -: {631FF594-EC25-4CFF-B869-402DF294E1D6} - hxxp://slimak.onet.pl/_m/kamerzysta/OnetInstalator012s.ocxC:\WINDOWS\Downloaded Program Files\OnetInstalator012s.ocx.**************************************************************************catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.netRootkit scan 2008-09-27 15:45:48Windows 5.1.2600 Dodatek Service Pack 2 NTFSskanowanie ukrytych procesów ... skanowanie ukrytych wpisów autostartu ...skanowanie ukrytych plików ... skanowanie pomyślnie ukończoneukryte pliki: 0**************************************************************************.------------------------ Pozostałe uruchomione procesy ------------------------.C:\Program Files\Intel\Wireless\Bin\EvtEng.exeC:\Program Files\Intel\Wireless\Bin\S24EvMon.exeC:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exeC:\PROGRA~1\Grisoft\AVG7\avgamsvr.exeC:\PROGRA~1\Grisoft\AVG7\avgupsvc.exeC:\PROGRA~1\Grisoft\AVG7\avgemc.exeC:\Program Files\Bonjour\mDNSResponder.exeC:\Program Files\Intel\Wireless\Bin\RegSrvc.exeC:\WINDOWS\system32\wdfmgr.exeC:\Program Files\Intel\Wireless\Bin\Dot1XCfg.exeC:\ComboFix\pv.cfexe.**************************************************************************.Czas ukończenia: 2008-09-27 15:49:51 - komputer został uruchomiony ponownieComboFix-quarantined-files.txt  2008-09-27 13:49:48ComboFix2.txt  2008-09-27 07:48:26Przed: 2˙653˙609˙984 bajt˘w wolnychPo: 2,814,914,560 bajt˘w wolnych185	--- E O F ---	2008-09-24 13:44:39

[snip91]

Do notatnika wklej:

File::C:\WINDOWS\system32\prfckcql.iniC:\WINDOWS\system32\lqckcfrp.dllC:\WINDOWS\fbxrqtwn.exe

W notatniku zakładka Plik --> Zapisz jako --> zapisz pod nazwą CFScript.txt i zapisz go w tym samym katalogu, w którym jest ComboFix.

Wystartuj tryb awaryjny (F8 podczas ładowania systemu). Na ikonę ComboFix przeciągasz zrobiony plik CFScript.txt tak, jak na obrazku:

Rozpocznie się usuwanie i powstanie log, który pokazujesz na forum.

Po restarcie usuń ręcznie folder C:\Qoobox.

[lingaaa]

Nie moge sie w trybie awaryjnym połączyc z netem. A piszę z kompa stacjonarnego. jeśli teraz, na laptopie przeniosę CFScript.txt na ikonke ComboFix i zapiszę ten log na pulpicie, następnie spowrotem wrócę do trybu normalnego, i polączę się z internetem, to wyjdzie coś z tego? tylko jak mam wrócic w tryb normalny?

[Mateusz J.]

Wykonaj przeciąganie w Trybie Normalnym.

[lingaaa]

DObra, zrobie ale ja już weszłam w awaryjny Więc jak mam się z niego wydostać ?

[snip91]

Po prostu uruchom ponownie kompa. Przy startowaniu wybierz tryb normalny.

[Gość]

-------\Legacy_TDSSSERV

-------\Service_TDSSserv

Ten Rootkit cały czas powraca - i o dziwne, że jeszcze nie zniszczył systemu! Zrób o to co Cię prosił @sniper45 i potem zrób to:

Pobierz program SDFix

• Dwuklik na SDFix.exe następnie program wypakuje się na dysk systemowy (standardowo C:\SDFix)

• Zrestartuj komputer i wejdź do trybu awaryjnego (klawisz F8 przed bootem Windowsa)

• Wejdź do folderu z SDFix kliknij dwa razy na plik RunThis.bat

• Wciśnij Y nastąpi proces usuwania.

• Kiedy usuwanie się ukończy wciśnij dowolny klawisz (Any Key). Nastąpi restart komputera.

• Po restarcie SDFix uruchomi się ponownie, żeby dokończyć proces usuwania kiedy pojawi się w oknie programu Finished, wciśnij dowolny klawisz do zakończenia scryptu i załadowania ikon na pulpicie.

• Pokaż Report.txt znajdujący się w folderze SDFix.

[lingaaa]

Zrobiłam w trybie normalnym:

LOG:

ComboFix 08-09-25.07 - home 2008-09-27 16:34:43.5 - NTFSx86Microsoft Windows XP Home Edition  5.1.2600.2.1250.1.1045.18.804 [GMT 2:00]Uruchomiony z: C:\Documents and Settings\home\Pulpit\ComboFix.exeUżyto następujących komend :: C:\Documents and Settings\home\Pulpit\CFScript.txt.txt * Utworzono nowy punkt przywracania[b]UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !![/b]FILE ::C:\WINDOWS\fbxrqtwn.exeC:\WINDOWS\system32\lqckcfrp.dllC:\WINDOWS\system32\prfckcql.ini.(((((((((((((((((((((((((((((((((((((((   Usunięto   ))))))))))))))))))))))))))))))))))))))))))))))))).C:\WINDOWS\fbxrqtwn.exeC:\WINDOWS\system32\lqckcfrp.dllC:\WINDOWS\system32\prfckcql.ini.(((((((((((((((((((((((((   Pliki utworzone od 2008-08-27 do 2008-09-27  ))))))))))))))))))))))))))))))).2008-09-27 12:26 . 2008-09-27 12:26	<DIR>	d--------	C:\Documents and Settings\All Users\Dane aplikacji\Yahoo! Companion2008-09-27 11:49 . 2008-09-27 11:49	<DIR>	d--------	C:\Program Files\Yahoo!2008-09-27 11:05 . 2008-09-27 11:05	<DIR>	d--------	C:\WINDOWS\system32\Kaspersky Lab2008-09-27 11:05 . 2008-09-27 11:05	<DIR>	d--------	C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab2008-09-26 21:17 . 2008-09-26 21:17	<DIR>	d--------	C:\Program Files\Trend Micro2008-09-26 20:12 . 2008-09-26 20:12	<DIR>	d--------	C:\Program Files\a-squared HiJackFree2008-09-25 21:11 . 2008-09-25 21:11	<DIR>	d--------	C:\Program Files\32008-09-25 17:25 . 2008-09-25 17:25	223,128	--a------	C:\WINDOWS\system32\drivers\dtscsi.sys2008-09-25 17:22 . 2008-09-25 17:22	664,064	--a------	C:\WINDOWS\system32\drivers\sptd.sys2008-09-25 17:22 . 2008-09-25 17:22	96,256	--a------	C:\WINDOWS\system32\drivers\sptd1645.sys2008-09-24 19:10 . 2008-09-24 19:10	<DIR>	d--------	C:\Program Files\Opera2008-09-23 18:05 . 2008-09-23 18:05	<DIR>	d--------	C:\Program Files\MSECache2008-09-23 17:47 . 2007-04-09 13:23	28,040	--a------	C:\WINDOWS\system32\mdimon.dll2008-09-23 17:47 . 2008-09-23 17:48	421	--a------	C:\WINDOWS\ODBC.INI2008-09-23 17:42 . 2008-09-23 17:43	<DIR>	d--------	C:\WINDOWS\SHELLNEW2008-09-23 17:41 . 2008-09-23 18:43	<DIR>	d--------	C:\WINDOWS\system32\CatRoot_bak2008-09-20 22:24 . 2008-09-20 22:24	<DIR>	d--------	C:\Documents and Settings\home\Dane aplikacji\Media Player Classic2008-09-20 22:23 . 2008-09-20 22:23	<DIR>	d--------	C:\Program Files\Xvid2008-09-20 22:22 . 2008-07-25 10:34	683,520	--a------	C:\WINDOWS\system32\divx.dll2008-09-20 22:22 . 2008-06-12 20:36	7,680	--a------	C:\WINDOWS\system32\ff_vfw.dll2008-09-20 22:22 . 2007-07-10 18:10	547	--a------	C:\WINDOWS\system32\ff_vfw.dll.manifest2008-09-08 18:06 . 2008-09-08 18:06	<DIR>	d--------	C:\Documents and Settings\home\Dane aplikacji\InstallShield Installation Information2008-09-08 18:00 . 2008-09-08 18:00	<DIR>	d--------	C:\Program Files\raptisoft2008-09-08 18:00 . 2008-09-08 18:00	348,160	--a------	C:\WINDOWS\eSellerateEngine.dll2008-09-08 18:00 . 2008-09-08 19:46	40	--a------	C:\WINDOWS\rsoftinfo.dat.((((((((((((((((((((((((((((((((((((((((   Sekcja Find3M   )))))))))))))))))))))))))))))))))))))))))))))))))))).2008-09-27 13:22	---------	d-----w	C:\Documents and Settings\home\Dane aplikacji\AVG72008-09-27 09:56	---------	d---a-w	C:\Documents and Settings\All Users\Dane aplikacji\TEMP2008-09-26 17:16	---------	d-----w	C:\Documents and Settings\Obcy\Dane aplikacji\AVG72008-09-07 16:35	---------	d-----w	C:\Documents and Settings\home\Dane aplikacji\Skype2008-09-07 15:16	---------	d-----w	C:\Documents and Settings\home\Dane aplikacji\skypePM2008-07-25 08:34	81,920	----a-w	C:\WINDOWS\system32\dpl100.dll2008-07-23 16:50	3,596,288	----a-w	C:\WINDOWS\system32\qt-dx331.dll2008-07-18 20:10	94,920	----a-w	C:\WINDOWS\system32\cdm.dll2008-07-18 20:10	53,448	----a-w	C:\WINDOWS\system32\wuauclt.exe2008-07-18 20:10	45,768	----a-w	C:\WINDOWS\system32\wups2.dll2008-07-18 20:10	36,552	----a-w	C:\WINDOWS\system32\wups.dll2008-07-18 20:09	563,912	----a-w	C:\WINDOWS\system32\wuapi.dll2008-07-18 20:09	325,832	----a-w	C:\WINDOWS\system32\wucltui.dll2008-07-18 20:09	205,000	----a-w	C:\WINDOWS\system32\wuweb.dll2008-07-18 20:09	1,811,656	----a-w	C:\WINDOWS\system32\wuaueng.dll2008-07-07 20:33	253,952	----a-w	C:\WINDOWS\system32\es.dll2008-03-22 16:01	32	----a-w	C:\Documents and Settings\All Users\Dane aplikacji\ezsid.dat.(((((((((((((((((((((((((((((((((((((   Wpisy startowe rejestru   ))))))))))))))))))))))))))))))))))))))))))))))))))..*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane REGEDIT4[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-04-06 68856]"Orb"="C:\Program Files\Winamp Remote\bin\OrbTray.exe" [2008-04-01 507904]"Gadu-Gadu"="D:\Programy\Gadu gadu\Gadu-Gadu\gg.exe" [2008-03-20 2127296][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"igfxtray"="C:\WINDOWS\system32\igfxtray.exe" [2008-03-13 94208]"igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2008-03-13 77824]"igfxpers"="C:\WINDOWS\system32\igfxpers.exe" [2008-03-13 114688]"IntelZeroConfig"="C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe" [2006-08-02 802816]"IntelWireless"="C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" [2006-08-02 696320]"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2008-04-15 579584]"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2008-03-28 413696]"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 144784]"WinampAgent"="D:\Programy\Winap\Winamp\winampa.exe" [2008-04-01 36352]"DAEMON Tools"="D:\Filmy\Simsy\DAEMON Tools\daemon.exe" [2005-11-09 128920]"Skrót do strony właściwości High Definition Audio"="HDAShCut.exe" [2005-01-07 C:\WINDOWS\system32\HdAShCut.exe]"SoundMan"="SOUNDMAN.EXE" [2008-03-13 C:\WINDOWS\SOUNDMAN.EXE]"AlcWzrd"="ALCWZRD.EXE" [2008-03-13 C:\WINDOWS\ALCWZRD.EXE][HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 15360]"AVG7_Run"="C:\PROGRA~1\Grisoft\AVG7\avgw.exe" [2008-03-18 219136][HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]"VIDC.YV12"= yv12vfw.dll[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]"%windir%\\system32\\sessmgr.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe"="C:\\Program Files\\Grisoft\\AVG7\\avginet.exe"="C:\\Program Files\\Grisoft\\AVG7\\avgamsvr.exe"="C:\\Program Files\\Grisoft\\AVG7\\avgcc.exe"="C:\\Program Files\\Grisoft\\AVG7\\avgemc.exe"="D:\\Programy\\Gadu gadu\\Tlen.pl\\tlen.exe"="D:\\Programy\\Bearshare\\BearShare.exe"="C:\\Program Files\\Bonjour\\mDNSResponder.exe"="C:\\Program Files\\Winamp Remote\\bin\\Orb.exe"="C:\\Program Files\\Winamp Remote\\bin\\OrbTray.exe"="C:\\Program Files\\Winamp Remote\\bin\\OrbStreamerClient.exe"="D:\\Programy\\Gadu gadu\\Gadu-Gadu\\gg.exe"="D:\\Programy\\Winap\\AQQ\\WapSter AQQ\\AQQ.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe"=[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]"8461:TCP"= 8461:TCP:GoD High Port"8462:TCP"= 8462:TCP:GoD Low Port.Zawartość folderu 'Zaplanowane zadania'.**************************************************************************catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.netRootkit scan 2008-09-27 16:37:13Windows 5.1.2600 Dodatek Service Pack 2 NTFSskanowanie ukrytych procesów ... skanowanie ukrytych wpisów autostartu ...skanowanie ukrytych plików ... skanowanie pomyślnie ukończoneukryte pliki: 0**************************************************************************.Czas ukończenia: 2008-09-27 16:38:39ComboFix-quarantined-files.txt  2008-09-27 14:38:29ComboFix2.txt  2008-09-27 13:49:52ComboFix3.txt  2008-09-27 07:48:26Przed: 2˙806˙870˙016 bajt˘w wolnychPo: 2,792,402,944 bajt˘w wolnych134	--- E O F ---	2008-09-24 13:44:39

//Logi wstawiaj w tagi CODE

//następnym razem dostaniesz warna+10%

//jesiona

[Gość]

Log czysty.

Zrób to o co Cię prosiłem wyżej.

[lingaaa]

czyli teraz uruchamiam kasperskiego tak? Dam znać jak zrobi całe skanowanie

[Mateusz J.]

Teraz masz wykonać, to co kazał djarta w poście: http://www.forumpc.pl/index.php?showtopic=...st&p=479993

[lingaaa]

Zrobiłam co kazał djart

[b]SDFix: Version 1.229 [/b]Run by home on 2008-09-27 at 18:02Microsoft Windows XP [Wersja 5.1.2600]Running From: C:\SDFix[b]Checking Services [/b]:Restoring Default Security ValuesRestoring Default Hosts FileRestoring Windows Product ID To Remove Fake Virus AlertRebooting[b]Checking Files [/b]: Trojan Files Found:C:\Program Files\3\3.exe - DeletedC:\Program Files\3\3.exe.local - DeletedC:\Program Files\3\database.dat - DeletedC:\Program Files\3\license.txt - DeletedC:\Program Files\3\MFC71.dll - DeletedC:\Program Files\3\MFC71ENU.DLL - DeletedC:\Program Files\3\msvcp71.dll - DeletedC:\Program Files\3\msvcr71.dll - DeletedC:\Program Files\3\Uninstall.exe - DeletedFolder C:\Program Files\3 - RemovedRemoving Temp Files[b]ADS Check [/b]:                                 [b]Final Check [/b]:catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.netRootkit scan 2008-09-27 18:09:56Windows 5.1.2600 Dodatek Service Pack 2 NTFSscanning hidden processes ...scanning hidden services & system hive ...[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]"s0"=dword:991a07c2"s1"=dword:de0f92dd"s2"=dword:6bb38387"h0"=dword:00000001[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]"p0"="D:\Filmy\Simsy\DAEMON Tools\""h0"=dword:00000000"khjeh"=hex:04,30,f7,f4,ca,94,15,6d,6a,cd,7e,9f,b1,24,35,11,81,22,ba,0e,5d,..[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]"a0"=hex:20,01,00,00,5b,b9,2e,8d,c0,fa,48,fa,47,2f,a8,81,3d,8d,30,ad,4d,.."khjeh"=hex:42,ae,8f,e9,7a,ea,33,e2,da,73,ca,25,c0,86,c7,d5,47,52,96,4f,36,..[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]"khjeh"=hex:30,12,9b,13,99,02,b9,d5,87,0f,32,fb,84,7e,82,a7,4b,a1,46,df,44,..[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]"p0"="D:\Filmy\Simsy\DAEMON Tools\""h0"=dword:00000000"khjeh"=hex:04,30,f7,f4,ca,94,15,6d,6a,cd,7e,9f,b1,24,35,11,81,22,ba,0e,5d,..[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]"a0"=hex:20,01,00,00,5b,b9,2e,8d,c0,fa,48,fa,47,2f,a8,81,3d,8d,30,ad,4d,.."khjeh"=hex:42,ae,8f,e9,7a,ea,33,e2,da,73,ca,25,c0,86,c7,d5,47,52,96,4f,36,..[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]"khjeh"=hex:30,12,9b,13,99,02,b9,d5,87,0f,32,fb,84,7e,82,a7,4b,a1,46,df,44,..scanning hidden registry entries ...scanning hidden files ...scan completed successfullyhidden processes: 0hidden services: 0hidden files: 0[b]Remaining Services [/b]:Authorized Application Key Export:[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019""%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000""C:\\Program Files\\Grisoft\\AVG7\\avginet.exe"="C:\\Program Files\\Grisoft\\AVG7\\avginet.exe:*:Enabled:avginet.exe""C:\\Program Files\\Grisoft\\AVG7\\avgamsvr.exe"="C:\\Program Files\\Grisoft\\AVG7\\avgamsvr.exe:*:Enabled:avgamsvr.exe""C:\\Program Files\\Grisoft\\AVG7\\avgcc.exe"="C:\\Program Files\\Grisoft\\AVG7\\avgcc.exe:*:Enabled:avgcc.exe""C:\\Program Files\\Grisoft\\AVG7\\avgemc.exe"="C:\\Program Files\\Grisoft\\AVG7\\avgemc.exe:*:Enabled:avgemc.exe""D:\\Programy\\Gadu gadu\\Tlen.pl\\tlen.exe"="D:\\Programy\\Gadu gadu\\Tlen.pl\\tlen.exe:*:Enabled:Komunikator Tlen.pl""D:\\Programy\\Bearshare\\BearShare.exe"="D:\\Programy\\Bearshare\\BearShare.exe:*:Enabled:BearShare""C:\\Program Files\\Bonjour\\mDNSResponder.exe"="C:\\Program Files\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour""C:\\Program Files\\Winamp Remote\\bin\\Orb.exe"="C:\\Program Files\\Winamp Remote\\bin\\Orb.exe:*:Enabled:Orb""C:\\Program Files\\Winamp Remote\\bin\\OrbTray.exe"="C:\\Program Files\\Winamp Remote\\bin\\OrbTray.exe:*:Enabled:OrbTray""C:\\Program Files\\Winamp Remote\\bin\\OrbStreamerClient.exe"="C:\\Program Files\\Winamp Remote\\bin\\OrbStreamerClient.exe:*:Enabled:Orb Stream Client""D:\\Programy\\Gadu gadu\\Gadu-Gadu\\gg.exe"="D:\\Programy\\Gadu gadu\\Gadu-Gadu\\gg.exe:*:Enabled:Gadu-Gadu - program glowny""D:\\Programy\\Winap\\AQQ\\WapSter AQQ\\AQQ.exe"="D:\\Programy\\Winap\\AQQ\\WapSter AQQ\\AQQ.exe:*:Enabled:AQQ""C:\\Program Files\\Skype\\Phone\\Skype.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe:*:Enabled:Skype. Take a deep breath "[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019""%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"[b]Remaining Files [/b]:File Backups: - C:\SDFix\backups\backups.zip[b]Files with Hidden Attributes [/b]:[b]Finished![/b]

[Gość]

Daj nowy log z ComboFixa.

[lingaaa]

nowy log z ComboFixa

ComboFix 08-09-25.07 - home 2008-09-27 18:28:30.6 - NTFSx86Microsoft Windows XP Home Edition  5.1.2600.2.1250.1.1045.18.779 [GMT 2:00]Uruchomiony z: C:\Documents and Settings\home\Pulpit\ComboFix.exe[b]UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !![/b].(((((((((((((((((((((((((   Pliki utworzone od 2008-08-27 do 2008-09-27  ))))))))))))))))))))))))))))))).2008-09-27 17:58 . 2008-09-27 17:59	<DIR>	d--------	C:\WINDOWS\ERUNT2008-09-27 17:51 . 2008-09-27 18:11	<DIR>	d--------	C:\SDFix2008-09-27 12:26 . 2008-09-27 12:26	<DIR>	d--------	C:\Documents and Settings\All Users\Dane aplikacji\Yahoo! Companion2008-09-27 11:49 . 2008-09-27 11:49	<DIR>	d--------	C:\Program Files\Yahoo!2008-09-27 11:05 . 2008-09-27 11:05	<DIR>	d--------	C:\WINDOWS\system32\Kaspersky Lab2008-09-27 11:05 . 2008-09-27 11:05	<DIR>	d--------	C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab2008-09-26 21:17 . 2008-09-26 21:17	<DIR>	d--------	C:\Program Files\Trend Micro2008-09-26 20:12 . 2008-09-26 20:12	<DIR>	d--------	C:\Program Files\a-squared HiJackFree2008-09-25 17:25 . 2008-09-25 17:25	223,128	--a------	C:\WINDOWS\system32\drivers\dtscsi.sys2008-09-25 17:22 . 2008-09-25 17:22	664,064	--a------	C:\WINDOWS\system32\drivers\sptd.sys2008-09-25 17:22 . 2008-09-25 17:22	96,256	--a------	C:\WINDOWS\system32\drivers\sptd1645.sys2008-09-24 19:10 . 2008-09-24 19:10	<DIR>	d--------	C:\Program Files\Opera2008-09-23 18:05 . 2008-09-23 18:05	<DIR>	d--------	C:\Program Files\MSECache2008-09-23 17:47 . 2007-04-09 13:23	28,040	--a------	C:\WINDOWS\system32\mdimon.dll2008-09-23 17:47 . 2008-09-23 17:48	421	--a------	C:\WINDOWS\ODBC.INI2008-09-23 17:42 . 2008-09-23 17:43	<DIR>	d--------	C:\WINDOWS\SHELLNEW2008-09-23 17:41 . 2008-09-23 18:43	<DIR>	d--------	C:\WINDOWS\system32\CatRoot_bak2008-09-20 22:24 . 2008-09-20 22:24	<DIR>	d--------	C:\Documents and Settings\home\Dane aplikacji\Media Player Classic2008-09-20 22:23 . 2008-09-20 22:23	<DIR>	d--------	C:\Program Files\Xvid2008-09-20 22:22 . 2008-07-25 10:34	683,520	--a------	C:\WINDOWS\system32\divx.dll2008-09-20 22:22 . 2008-06-12 20:36	7,680	--a------	C:\WINDOWS\system32\ff_vfw.dll2008-09-20 22:22 . 2007-07-10 18:10	547	--a------	C:\WINDOWS\system32\ff_vfw.dll.manifest2008-09-08 18:06 . 2008-09-08 18:06	<DIR>	d--------	C:\Documents and Settings\home\Dane aplikacji\InstallShield Installation Information2008-09-08 18:00 . 2008-09-08 18:00	<DIR>	d--------	C:\Program Files\raptisoft2008-09-08 18:00 . 2008-09-08 18:00	348,160	--a------	C:\WINDOWS\eSellerateEngine.dll2008-09-08 18:00 . 2008-09-08 19:46	40	--a------	C:\WINDOWS\rsoftinfo.dat.((((((((((((((((((((((((((((((((((((((((   Sekcja Find3M   )))))))))))))))))))))))))))))))))))))))))))))))))))).2008-09-27 15:46	---------	d-----w	C:\Documents and Settings\home\Dane aplikacji\Skype2008-09-27 15:31	---------	d-----w	C:\Documents and Settings\home\Dane aplikacji\skypePM2008-09-27 13:22	---------	d-----w	C:\Documents and Settings\home\Dane aplikacji\AVG72008-09-27 09:56	---------	d---a-w	C:\Documents and Settings\All Users\Dane aplikacji\TEMP2008-09-26 17:16	---------	d-----w	C:\Documents and Settings\Obcy\Dane aplikacji\AVG72008-07-25 08:34	81,920	----a-w	C:\WINDOWS\system32\dpl100.dll2008-07-23 16:50	3,596,288	----a-w	C:\WINDOWS\system32\qt-dx331.dll2008-07-18 20:10	94,920	----a-w	C:\WINDOWS\system32\cdm.dll2008-07-18 20:10	53,448	----a-w	C:\WINDOWS\system32\wuauclt.exe2008-07-18 20:10	45,768	----a-w	C:\WINDOWS\system32\wups2.dll2008-07-18 20:10	36,552	----a-w	C:\WINDOWS\system32\wups.dll2008-07-18 20:09	563,912	----a-w	C:\WINDOWS\system32\wuapi.dll2008-07-18 20:09	325,832	----a-w	C:\WINDOWS\system32\wucltui.dll2008-07-18 20:09	205,000	----a-w	C:\WINDOWS\system32\wuweb.dll2008-07-18 20:09	1,811,656	----a-w	C:\WINDOWS\system32\wuaueng.dll2008-07-07 20:33	253,952	----a-w	C:\WINDOWS\system32\es.dll2008-03-22 16:01	32	----a-w	C:\Documents and Settings\All Users\Dane aplikacji\ezsid.dat.(((((((((((((((((((((((((((((   snapshot@2008-09-27_15.49.29.31   ))))))))))))))))))))))))))))))))))))))))).+ 2008-08-07 14:27:04	163,328	----a-w	C:\WINDOWS\ERUNT\SDFIX\ERDNT.EXE+ 2008-09-27 15:59:22	4,390,912	----a-w	C:\WINDOWS\ERUNT\SDFIX\Users\[u]0[/u]0000001\NTUSER.DAT+ 2008-09-27 15:59:22	172,032	----a-w	C:\WINDOWS\ERUNT\SDFIX\Users\[u]0[/u]0000002\UsrClass.dat+ 2008-08-07 14:27:04	163,328	----a-w	C:\WINDOWS\ERUNT\SDFIX_First_Run\ERDNT.EXE+ 2008-09-27 15:59:07	4,390,912	----a-w	C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\[u]0[/u]0000001\NTUSER.DAT+ 2008-09-27 15:59:07	172,032	----a-w	C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\[u]0[/u]0000002\UsrClass.dat.(((((((((((((((((((((((((((((((((((((   Wpisy startowe rejestru   ))))))))))))))))))))))))))))))))))))))))))))))))))..*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane REGEDIT4[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-04-06 68856]"Orb"="C:\Program Files\Winamp Remote\bin\OrbTray.exe" [2008-04-01 507904]"Gadu-Gadu"="D:\Programy\Gadu gadu\Gadu-Gadu\gg.exe" [2008-03-20 2127296][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"igfxtray"="C:\WINDOWS\system32\igfxtray.exe" [2008-03-13 94208]"igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2008-03-13 77824]"igfxpers"="C:\WINDOWS\system32\igfxpers.exe" [2008-03-13 114688]"IntelZeroConfig"="C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe" [2006-08-02 802816]"IntelWireless"="C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" [2006-08-02 696320]"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2008-04-15 579584]"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2008-03-28 413696]"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 144784]"WinampAgent"="D:\Programy\Winap\Winamp\winampa.exe" [2008-04-01 36352]"DAEMON Tools"="D:\Filmy\Simsy\DAEMON Tools\daemon.exe" [2005-11-09 128920]"Skrót do strony właściwości High Definition Audio"="HDAShCut.exe" [2005-01-07 C:\WINDOWS\system32\HdAShCut.exe]"SoundMan"="SOUNDMAN.EXE" [2008-03-13 C:\WINDOWS\SOUNDMAN.EXE]"AlcWzrd"="ALCWZRD.EXE" [2008-03-13 C:\WINDOWS\ALCWZRD.EXE][HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 15360]"AVG7_Run"="C:\PROGRA~1\Grisoft\AVG7\avgw.exe" [2008-03-18 219136][HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]"VIDC.YV12"= yv12vfw.dll[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]"%windir%\\system32\\sessmgr.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe"="C:\\Program Files\\Grisoft\\AVG7\\avginet.exe"="C:\\Program Files\\Grisoft\\AVG7\\avgamsvr.exe"="C:\\Program Files\\Grisoft\\AVG7\\avgcc.exe"="C:\\Program Files\\Grisoft\\AVG7\\avgemc.exe"="D:\\Programy\\Gadu gadu\\Tlen.pl\\tlen.exe"="D:\\Programy\\Bearshare\\BearShare.exe"="C:\\Program Files\\Bonjour\\mDNSResponder.exe"="C:\\Program Files\\Winamp Remote\\bin\\Orb.exe"="C:\\Program Files\\Winamp Remote\\bin\\OrbTray.exe"="C:\\Program Files\\Winamp Remote\\bin\\OrbStreamerClient.exe"="D:\\Programy\\Gadu gadu\\Gadu-Gadu\\gg.exe"="D:\\Programy\\Winap\\AQQ\\WapSter AQQ\\AQQ.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe"=[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]"8461:TCP"= 8461:TCP:GoD High Port"8462:TCP"= 8462:TCP:GoD Low Port.Zawartość folderu 'Zaplanowane zadania'..------- Skan uzupełniający -------.R0 -: HKCU-Main,Start Page = hxxp://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2R0 -: HKCU-Main,Default_Search_URL = hxxp://www.google.com/ieR1 -: HKCU-Internet Settings,ProxyOverride = *.localR1 -: HKCU-SearchURL,(Default) = hxxp://www.google.com/search?q=%sO8 -: E&ksport do programu Microsoft Excel - C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000O17 -: HKLM\CCS\Interface\{ADB64C08-BC9F-4B58-8ED8-A480AD2A39E3}: NameServer = 192.168.2.253,194.204.152.34O16 -: DirectAnimation Java Classes - file://C:\WINDOWS\Java\classes\dajava.cabC:\WINDOWS\Downloaded Program Files\DirectAnimation Java Classes.osdO16 -: Microsoft XML Parser for Java - file://C:\WINDOWS\Java\classes\xmldso.cabC:\WINDOWS\Downloaded Program Files\Microsoft XML Parser for Java.osdO16 -: {631FF594-EC25-4CFF-B869-402DF294E1D6} - hxxp://slimak.onet.pl/_m/kamerzysta/OnetInstalator012s.ocxC:\WINDOWS\Downloaded Program Files\OnetInstalator012s.ocx.**************************************************************************catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.netRootkit scan 2008-09-27 18:29:48Windows 5.1.2600 Dodatek Service Pack 2 NTFSskanowanie ukrytych procesów ... skanowanie ukrytych wpisów autostartu ...skanowanie ukrytych plików ... C:\Documents and Settings\home\Ustawienia lokalne\Dane aplikacji\Opera\Opera\profile\vps\[u]0[/u]000\adoc.bx-gC:\Documents and Settings\home\Ustawienia lokalne\Dane aplikacji\Opera\Opera\profile\vps\[u]0[/u]000\url.ax-gC:\Documents and Settings\home\Ustawienia lokalne\Dane aplikacji\Opera\Opera\profile\vps\[u]0[/u]000\w.ax-gskanowanie pomyślnie ukończoneukryte pliki: 3**************************************************************************.Czas ukończenia: 2008-09-27 18:31:15ComboFix-quarantined-files.txt  2008-09-27 16:31:01ComboFix2.txt  2008-09-27 14:38:40ComboFix3.txt  2008-09-27 13:49:52ComboFix4.txt  2008-09-27 07:48:26Przed: 2˙668˙331˙008 bajt˘w wolnychPo: 2,726,973,440 bajt˘w wolnych152	--- E O F ---	2008-09-24 13:44:39

[Gość]

Czysto.

Zrób teraz Scan Kasperskym.

[lingaaa]

Zrobione view a roport:

Saturday, September 27, 2008Operating System: Microsoft Windows XP Home Edition Dodatek Service Pack 2 (build 2600)Kaspersky Online Scanner 7 version: 7.0.25.0Program database last update: Saturday, September 27, 2008 17:36:42Records in database: 1266068Scan settingsScan using the following database	extendedScan archives	yesScan mail databases	yesScan area	My ComputerC:\D:\E:\F:\ Scan statisticsFiles scanned	70386Threat name	7Infected objects	6Suspicious objects	4Duration of the scan	01:37:37File name	Threat name	Threats countC:\Documents and Settings\home\Pulpit\SDFix.exe	Suspicious: Password-protected-EXE	2	C:\Program Files\EA GAMES\The Sims 2 Zwierzaki\crack_ver1.454.0.exe	Infected: Trojan-Downloader.Win32.Zlob.zqg	1	C:\Qoobox\Quarantine\C\WINDOWS\system32\tdssadw.dll.vir	Infected: Rootkit.Win32.Clbd.kg	1	C:\Qoobox\Quarantine\C\WINDOWS\system32\tdsslog.dll.vir	Infected: Backdoor.Win32.Agent.rfv	1	C:\Qoobox\Quarantine\C\WINDOWS\system32\tdssmain.dll.vir	Infected: Backdoor.Win32.Agent.rfw	1	C:\Qoobox\Quarantine\C\WINDOWS\system32\tdssserf.dll.vir	Infected: Trojan-Downloader.Win32.FraudLoad.vbxt	1	C:\SDFix\apps\procs.zip	Suspicious: Password-protected-EXE	1	C:\SDFix\apps\RestartIt!.zip	Suspicious: Password-protected-EXE	1	D:\Filmy\Simsy\DAEMON Tools\SetupDTSB.exe	Infected: not-a-virus:AdTool.Win32.WhenU.a	1	The selected area was scanned.

Eeee. a co ja mam teraz z tym zrobić ?

[Gość]

Pobierz ---> The Avenger

Wklej do niego ten tekst:

Files to delete:C:\Documents and Settings\home\Pulpit\SDFix.exeC:\Program Files\EA GAMES\The Sims 2 Zwierzaki\crack_ver1.454.0.exeD:\Filmy\Simsy\DAEMON Tools\SetupDTSB.exeFolders to delete:C:\QooboxC:\SDFix

Kopiujesz - Klikasz na Paste Script from Clipboard - Execute - Potwierdzasz i zgadzasz się na restart klikając OK.

Po wykonaniu skasuj z dysku plik: C:\Avenger\backup.zip i wklej raport na forum C:\avenger.txt

[lingaaa]

Usunęłam backup, zrobiłam wsyztsko według instrukcji, oto raport:

Logfile of The Avenger Version 2.0, © by Swandog46http://swandog46.geekstogo.comPlatform:  Windows XP*******************Script file opened successfully.Script file read successfully.Backups directory opened successfully at C:\Avenger*******************Beginning to process script file:Rootkit scan active.No rootkits found!File "C:\Documents and Settings\home\Pulpit\SDFix.exe" deleted successfully.Error:  could not open file "C:\Program Files\EA GAMES\The Sims 2 Zwierzaki\crack_ver1.454.0.exe"Deletion of file "C:\Program Files\EA GAMES\The Sims 2 Zwierzaki\crack_ver1.454.0.exe" failed!Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)  --> bad path / the parent directory does not existFile "D:\Filmy\Simsy\DAEMON Tools\SetupDTSB.exe" deleted successfully.Folder "C:\Qoobox" deleted successfully.Folder "C:\SDFix" deleted successfully.Completed script processing.*******************Finished!  Terminate.

[Gość]

C:\Program Files\EA GAMES\The Sims 2 Zwierzaki\crack_ver1.454.0.exe

Usuń ręcznie.

To wszystko z mojej strony.

[lingaaa]

Usunęłam. Czyli to ju z wsyztsko i mam, że tak powiem "zdrowy" komputer ? Nie wiem jak mam być Wam wdzięczna Dzięki wieeelkie za pomoc, bez was musiałabym zapłacić za sprowadzenie informatyka a tak to działa wszytsko. Jeszcze raz DZIĘKUJĘ

[snip91]

Skoro wszystko działa tzn., że komp czysty.

Logi nie pokazują już nic groźnego, więc raczej jest czysto.

Pozdrawiam i do tematu daję [Rozwiązany].