Mateusz J. komentarz 27 września 2008 komentarz 27 września 2008 Najpierw zrób loga z ComboFix, a następnie HijakThis i Silent Runners. Kaspersky w tym momencie jest mało ważny.
lingaaa komentarz 27 września 2008 Autor komentarz 27 września 2008 Oto log z Combofixa : ComboFix 08-09-25.07 - home 2008-09-27 15:34:20.4 - NTFSx86Microsoft Windows XP Home Edition 5.1.2600.2.1250.1.1045.18.830 [GMT 2:00]Uruchomiony z: C:\Documents and Settings\home\Pulpit\ComboFix.exe[b]UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !![/b].((((((((((((((((((((((((((((((((((((((( Usunięto ))))))))))))))))))))))))))))))))))))))))))))))))).C:\Documents and Settings\home\Pulpit\Error Cleaner.urlC:\Documents and Settings\home\Pulpit\Privacy Protector.urlC:\Documents and Settings\home\Pulpit\Spyware&Malware Protection.urlC:\Documents and Settings\home\Ulubione\Error Cleaner.urlC:\Documents and Settings\home\Ulubione\Privacy Protector.urlC:\Documents and Settings\home\Ulubione\Spyware&Malware Protection.urlC:\WINDOWS\dfmlxbpkbkl.dllC:\WINDOWS\exwf.exeC:\WINDOWS\onfwbsak.dllC:\WINDOWS\peltodgx.dllC:\WINDOWS\rwlfsdmk.dllC:\WINDOWS\system32\cbXQhFYs.dllC:\WINDOWS\system32\drivers\tdssserv.sysC:\WINDOWS\system32\fccaWonn.dllC:\WINDOWS\system32\jkkHYpnn.dllC:\WINDOWS\system32\jkkIBTkh.dllC:\WINDOWS\system32\ljJASiiI.dllC:\WINDOWS\system32\nnoWaccf.iniC:\WINDOWS\system32\nnoWaccf.ini2C:\WINDOWS\system32\tdssadw.dllC:\WINDOWS\system32\tdssinit.dllC:\WINDOWS\system32\tdssl.dllC:\WINDOWS\system32\TDSSlog.dllC:\WINDOWS\system32\tdssmain.dllC:\WINDOWS\system32\TDSSserf.dllC:\WINDOWS\system32\TDSSserf1.dllC:\WINDOWS\system32\tdssservers.dat.((((((((((((((((((((((((((((((((((((((( Sterowniki/Usługi ))))))))))))))))))))))))))))))))))))))))))))))))).-------\Legacy_TDSSSERV-------\Service_TDSSserv((((((((((((((((((((((((( Pliki utworzone od 2008-08-27 do 2008-09-27 ))))))))))))))))))))))))))))))).2008-09-27 13:53 . 2008-09-27 14:09 952,793 ---hs---- C:\WINDOWS\system32\prfckcql.ini2008-09-27 13:52 . 2008-09-27 13:52 80,000 --a------ C:\WINDOWS\system32\lqckcfrp.dll2008-09-27 13:42 . 2008-09-26 11:29 147,456 --a------ C:\WINDOWS\fbxrqtwn.exe2008-09-27 12:26 . 2008-09-27 12:26 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\Yahoo! Companion2008-09-27 11:49 . 2008-09-27 11:49 <DIR> d-------- C:\Program Files\Yahoo!2008-09-27 11:05 . 2008-09-27 11:05 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab2008-09-27 11:05 . 2008-09-27 11:05 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab2008-09-26 21:17 . 2008-09-26 21:17 <DIR> d-------- C:\Program Files\Trend Micro2008-09-26 20:12 . 2008-09-26 20:12 <DIR> d-------- C:\Program Files\a-squared HiJackFree2008-09-25 21:11 . 2008-09-25 21:11 <DIR> d-------- C:\Program Files\32008-09-25 17:25 . 2008-09-25 17:25 223,128 --a------ C:\WINDOWS\system32\drivers\dtscsi.sys2008-09-25 17:22 . 2008-09-25 17:22 664,064 --a------ C:\WINDOWS\system32\drivers\sptd.sys2008-09-25 17:22 . 2008-09-25 17:22 96,256 --a------ C:\WINDOWS\system32\drivers\sptd1645.sys2008-09-24 19:10 . 2008-09-24 19:10 <DIR> d-------- C:\Program Files\Opera2008-09-23 18:05 . 2008-09-23 18:05 <DIR> d-------- C:\Program Files\MSECache2008-09-23 17:47 . 2007-04-09 13:23 28,040 --a------ C:\WINDOWS\system32\mdimon.dll2008-09-23 17:47 . 2008-09-23 17:48 421 --a------ C:\WINDOWS\ODBC.INI2008-09-23 17:42 . 2008-09-23 17:43 <DIR> d-------- C:\WINDOWS\SHELLNEW2008-09-23 17:41 . 2008-09-23 18:43 <DIR> d-------- C:\WINDOWS\system32\CatRoot_bak2008-09-20 22:24 . 2008-09-20 22:24 <DIR> d-------- C:\Documents and Settings\home\Dane aplikacji\Media Player Classic2008-09-20 22:23 . 2008-09-20 22:23 <DIR> d-------- C:\Program Files\Xvid2008-09-20 22:22 . 2008-07-25 10:34 683,520 --a------ C:\WINDOWS\system32\divx.dll2008-09-20 22:22 . 2008-06-12 20:36 7,680 --a------ C:\WINDOWS\system32\ff_vfw.dll2008-09-20 22:22 . 2007-07-10 18:10 547 --a------ C:\WINDOWS\system32\ff_vfw.dll.manifest2008-09-08 18:06 . 2008-09-08 18:06 <DIR> d-------- C:\Documents and Settings\home\Dane aplikacji\InstallShield Installation Information2008-09-08 18:00 . 2008-09-08 18:00 <DIR> d-------- C:\Program Files\raptisoft2008-09-08 18:00 . 2008-09-08 18:00 348,160 --a------ C:\WINDOWS\eSellerateEngine.dll2008-09-08 18:00 . 2008-09-08 19:46 40 --a------ C:\WINDOWS\rsoftinfo.dat.(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))).2008-09-27 13:22 --------- d-----w C:\Documents and Settings\home\Dane aplikacji\AVG72008-09-27 09:56 --------- d---a-w C:\Documents and Settings\All Users\Dane aplikacji\TEMP2008-09-26 17:16 --------- d-----w C:\Documents and Settings\Obcy\Dane aplikacji\AVG72008-09-07 16:35 --------- d-----w C:\Documents and Settings\home\Dane aplikacji\Skype2008-09-07 15:16 --------- d-----w C:\Documents and Settings\home\Dane aplikacji\skypePM2008-03-22 16:01 32 ----a-w C:\Documents and Settings\All Users\Dane aplikacji\ezsid.dat.((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))..*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane REGEDIT4[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-04-06 68856]"Orb"="C:\Program Files\Winamp Remote\bin\OrbTray.exe" [2008-04-01 507904]"Gadu-Gadu"="D:\Programy\Gadu gadu\Gadu-Gadu\gg.exe" [2008-03-20 2127296][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"igfxtray"="C:\WINDOWS\system32\igfxtray.exe" [2008-03-13 94208]"igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2008-03-13 77824]"igfxpers"="C:\WINDOWS\system32\igfxpers.exe" [2008-03-13 114688]"IntelZeroConfig"="C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe" [2006-08-02 802816]"IntelWireless"="C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" [2006-08-02 696320]"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2008-04-15 579584]"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2008-03-28 413696]"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 144784]"WinampAgent"="D:\Programy\Winap\Winamp\winampa.exe" [2008-04-01 36352]"DAEMON Tools"="D:\Filmy\Simsy\DAEMON Tools\daemon.exe" [2005-11-09 128920]"Skrót do strony właściwości High Definition Audio"="HDAShCut.exe" [2005-01-07 C:\WINDOWS\system32\HdAShCut.exe]"SoundMan"="SOUNDMAN.EXE" [2008-03-13 C:\WINDOWS\SOUNDMAN.EXE]"AlcWzrd"="ALCWZRD.EXE" [2008-03-13 C:\WINDOWS\ALCWZRD.EXE][HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 15360]"AVG7_Run"="C:\PROGRA~1\Grisoft\AVG7\avgw.exe" [2008-03-18 219136][HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]"VIDC.YV12"= yv12vfw.dll[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]"%windir%\\system32\\sessmgr.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe"="C:\\Program Files\\Grisoft\\AVG7\\avginet.exe"="C:\\Program Files\\Grisoft\\AVG7\\avgamsvr.exe"="C:\\Program Files\\Grisoft\\AVG7\\avgcc.exe"="C:\\Program Files\\Grisoft\\AVG7\\avgemc.exe"="D:\\Programy\\Gadu gadu\\Tlen.pl\\tlen.exe"="D:\\Programy\\Bearshare\\BearShare.exe"="C:\\Program Files\\Bonjour\\mDNSResponder.exe"="C:\\Program Files\\Winamp Remote\\bin\\Orb.exe"="C:\\Program Files\\Winamp Remote\\bin\\OrbTray.exe"="C:\\Program Files\\Winamp Remote\\bin\\OrbStreamerClient.exe"="D:\\Programy\\Gadu gadu\\Gadu-Gadu\\gg.exe"="D:\\Programy\\Winap\\AQQ\\WapSter AQQ\\AQQ.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe"=[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]"8461:TCP"= 8461:TCP:GoD High Port"8462:TCP"= 8462:TCP:GoD Low Port.Zawartość folderu 'Zaplanowane zadania'.- - - - USUNIĘTO PUSTE WPISY - - - -BHO-{129D532E-E2EC-4527-B4BA-4626830EFE18} - C:\WINDOWS\dfmlxbpkbkl.dllBHO-{376EFD74-7AA4-44A4-9E39-E374ED3139A9} - C:\WINDOWS\system32\cbXQhFYs.dllBHO-{FD1C059A-CCB5-4416-A23D-27A14E6987E6} - C:\WINDOWS\system32\fccaWonn.dllToolbar-{BAB8F6DC-41B1-440F-A066-AAC224906880} - C:\WINDOWS\peltodgx.dllShellExecuteHooks-{376EFD74-7AA4-44A4-9E39-E374ED3139A9} - C:\WINDOWS\system32\cbXQhFYs.dll.------- Skan uzupełniający -------.R0 -: HKCU-Main,Start Page = hxxp://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2R0 -: HKCU-Main,Default_Search_URL = hxxp://www.google.com/ieR1 -: HKCU-Internet Settings,ProxyOverride = *.localR1 -: HKCU-SearchURL,(Default) = hxxp://www.google.com/search?q=%sO8 -: E&ksport do programu Microsoft Excel - C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000O17 -: HKLM\CCS\Interface\{ADB64C08-BC9F-4B58-8ED8-A480AD2A39E3}: NameServer = 192.168.2.253,194.204.152.34O16 -: DirectAnimation Java Classes - file://C:\WINDOWS\Java\classes\dajava.cabC:\WINDOWS\Downloaded Program Files\DirectAnimation Java Classes.osdO16 -: Microsoft XML Parser for Java - file://C:\WINDOWS\Java\classes\xmldso.cabC:\WINDOWS\Downloaded Program Files\Microsoft XML Parser for Java.osdO16 -: {631FF594-EC25-4CFF-B869-402DF294E1D6} - hxxp://slimak.onet.pl/_m/kamerzysta/OnetInstalator012s.ocxC:\WINDOWS\Downloaded Program Files\OnetInstalator012s.ocx.**************************************************************************catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.netRootkit scan 2008-09-27 15:45:48Windows 5.1.2600 Dodatek Service Pack 2 NTFSskanowanie ukrytych procesów ... skanowanie ukrytych wpisów autostartu ...skanowanie ukrytych plików ... skanowanie pomyślnie ukończoneukryte pliki: 0**************************************************************************.------------------------ Pozostałe uruchomione procesy ------------------------.C:\Program Files\Intel\Wireless\Bin\EvtEng.exeC:\Program Files\Intel\Wireless\Bin\S24EvMon.exeC:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exeC:\PROGRA~1\Grisoft\AVG7\avgamsvr.exeC:\PROGRA~1\Grisoft\AVG7\avgupsvc.exeC:\PROGRA~1\Grisoft\AVG7\avgemc.exeC:\Program Files\Bonjour\mDNSResponder.exeC:\Program Files\Intel\Wireless\Bin\RegSrvc.exeC:\WINDOWS\system32\wdfmgr.exeC:\Program Files\Intel\Wireless\Bin\Dot1XCfg.exeC:\ComboFix\pv.cfexe.**************************************************************************.Czas ukończenia: 2008-09-27 15:49:51 - komputer został uruchomiony ponownieComboFix-quarantined-files.txt 2008-09-27 13:49:48ComboFix2.txt 2008-09-27 07:48:26Przed: 2˙653˙609˙984 bajt˘w wolnychPo: 2,814,914,560 bajt˘w wolnych185 --- E O F --- 2008-09-24 13:44:39
snip91 komentarz 27 września 2008 komentarz 27 września 2008 Do notatnika wklej: File::C:\WINDOWS\system32\prfckcql.iniC:\WINDOWS\system32\lqckcfrp.dllC:\WINDOWS\fbxrqtwn.exe W notatniku zakładka Plik --> Zapisz jako --> zapisz pod nazwą CFScript.txt i zapisz go w tym samym katalogu, w którym jest ComboFix. Wystartuj tryb awaryjny (F8 podczas ładowania systemu). Na ikonę ComboFix przeciągasz zrobiony plik CFScript.txt tak, jak na obrazku: Rozpocznie się usuwanie i powstanie log, który pokazujesz na forum. Po restarcie usuń ręcznie folder C:\Qoobox.
lingaaa komentarz 27 września 2008 Autor komentarz 27 września 2008 Nie moge sie w trybie awaryjnym połączyc z netem. A piszę z kompa stacjonarnego. jeśli teraz, na laptopie przeniosę CFScript.txt na ikonke ComboFix i zapiszę ten log na pulpicie, następnie spowrotem wrócę do trybu normalnego, i polączę się z internetem, to wyjdzie coś z tego? tylko jak mam wrócic w tryb normalny?
Mateusz J. komentarz 27 września 2008 komentarz 27 września 2008 Wykonaj przeciąganie w Trybie Normalnym.
lingaaa komentarz 27 września 2008 Autor komentarz 27 września 2008 DObra, zrobie ale ja już weszłam w awaryjny Więc jak mam się z niego wydostać ?
snip91 komentarz 27 września 2008 komentarz 27 września 2008 Po prostu uruchom ponownie kompa. Przy startowaniu wybierz tryb normalny.
Gość komentarz 27 września 2008 komentarz 27 września 2008 -------\Legacy_TDSSSERV-------\Service_TDSSserv Ten Rootkit cały czas powraca - i o dziwne, że jeszcze nie zniszczył systemu! Zrób o to co Cię prosił @sniper45 i potem zrób to: Pobierz program SDFix Dwuklik na SDFix.exe następnie program wypakuje się na dysk systemowy (standardowo C:\SDFix) Zrestartuj komputer i wejdź do trybu awaryjnego (klawisz F8 przed bootem Windowsa) Wejdź do folderu z SDFix kliknij dwa razy na plik RunThis.bat Wciśnij Y nastąpi proces usuwania. Kiedy usuwanie się ukończy wciśnij dowolny klawisz (Any Key). Nastąpi restart komputera. Po restarcie SDFix uruchomi się ponownie, żeby dokończyć proces usuwania kiedy pojawi się w oknie programu Finished, wciśnij dowolny klawisz do zakończenia scryptu i załadowania ikon na pulpicie. Pokaż Report.txt znajdujący się w folderze SDFix.
lingaaa komentarz 27 września 2008 Autor komentarz 27 września 2008 Zrobiłam w trybie normalnym: LOG: ComboFix 08-09-25.07 - home 2008-09-27 16:34:43.5 - NTFSx86Microsoft Windows XP Home Edition 5.1.2600.2.1250.1.1045.18.804 [GMT 2:00]Uruchomiony z: C:\Documents and Settings\home\Pulpit\ComboFix.exeUżyto następujących komend :: C:\Documents and Settings\home\Pulpit\CFScript.txt.txt * Utworzono nowy punkt przywracania[b]UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !![/b]FILE ::C:\WINDOWS\fbxrqtwn.exeC:\WINDOWS\system32\lqckcfrp.dllC:\WINDOWS\system32\prfckcql.ini.((((((((((((((((((((((((((((((((((((((( Usunięto ))))))))))))))))))))))))))))))))))))))))))))))))).C:\WINDOWS\fbxrqtwn.exeC:\WINDOWS\system32\lqckcfrp.dllC:\WINDOWS\system32\prfckcql.ini.((((((((((((((((((((((((( Pliki utworzone od 2008-08-27 do 2008-09-27 ))))))))))))))))))))))))))))))).2008-09-27 12:26 . 2008-09-27 12:26 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\Yahoo! Companion2008-09-27 11:49 . 2008-09-27 11:49 <DIR> d-------- C:\Program Files\Yahoo!2008-09-27 11:05 . 2008-09-27 11:05 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab2008-09-27 11:05 . 2008-09-27 11:05 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab2008-09-26 21:17 . 2008-09-26 21:17 <DIR> d-------- C:\Program Files\Trend Micro2008-09-26 20:12 . 2008-09-26 20:12 <DIR> d-------- C:\Program Files\a-squared HiJackFree2008-09-25 21:11 . 2008-09-25 21:11 <DIR> d-------- C:\Program Files\32008-09-25 17:25 . 2008-09-25 17:25 223,128 --a------ C:\WINDOWS\system32\drivers\dtscsi.sys2008-09-25 17:22 . 2008-09-25 17:22 664,064 --a------ C:\WINDOWS\system32\drivers\sptd.sys2008-09-25 17:22 . 2008-09-25 17:22 96,256 --a------ C:\WINDOWS\system32\drivers\sptd1645.sys2008-09-24 19:10 . 2008-09-24 19:10 <DIR> d-------- C:\Program Files\Opera2008-09-23 18:05 . 2008-09-23 18:05 <DIR> d-------- C:\Program Files\MSECache2008-09-23 17:47 . 2007-04-09 13:23 28,040 --a------ C:\WINDOWS\system32\mdimon.dll2008-09-23 17:47 . 2008-09-23 17:48 421 --a------ C:\WINDOWS\ODBC.INI2008-09-23 17:42 . 2008-09-23 17:43 <DIR> d-------- C:\WINDOWS\SHELLNEW2008-09-23 17:41 . 2008-09-23 18:43 <DIR> d-------- C:\WINDOWS\system32\CatRoot_bak2008-09-20 22:24 . 2008-09-20 22:24 <DIR> d-------- C:\Documents and Settings\home\Dane aplikacji\Media Player Classic2008-09-20 22:23 . 2008-09-20 22:23 <DIR> d-------- C:\Program Files\Xvid2008-09-20 22:22 . 2008-07-25 10:34 683,520 --a------ C:\WINDOWS\system32\divx.dll2008-09-20 22:22 . 2008-06-12 20:36 7,680 --a------ C:\WINDOWS\system32\ff_vfw.dll2008-09-20 22:22 . 2007-07-10 18:10 547 --a------ C:\WINDOWS\system32\ff_vfw.dll.manifest2008-09-08 18:06 . 2008-09-08 18:06 <DIR> d-------- C:\Documents and Settings\home\Dane aplikacji\InstallShield Installation Information2008-09-08 18:00 . 2008-09-08 18:00 <DIR> d-------- C:\Program Files\raptisoft2008-09-08 18:00 . 2008-09-08 18:00 348,160 --a------ C:\WINDOWS\eSellerateEngine.dll2008-09-08 18:00 . 2008-09-08 19:46 40 --a------ C:\WINDOWS\rsoftinfo.dat.(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))).2008-09-27 13:22 --------- d-----w C:\Documents and Settings\home\Dane aplikacji\AVG72008-09-27 09:56 --------- d---a-w C:\Documents and Settings\All Users\Dane aplikacji\TEMP2008-09-26 17:16 --------- d-----w C:\Documents and Settings\Obcy\Dane aplikacji\AVG72008-09-07 16:35 --------- d-----w C:\Documents and Settings\home\Dane aplikacji\Skype2008-09-07 15:16 --------- d-----w C:\Documents and Settings\home\Dane aplikacji\skypePM2008-07-25 08:34 81,920 ----a-w C:\WINDOWS\system32\dpl100.dll2008-07-23 16:50 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll2008-07-07 20:33 253,952 ----a-w C:\WINDOWS\system32\es.dll2008-03-22 16:01 32 ----a-w C:\Documents and Settings\All Users\Dane aplikacji\ezsid.dat.((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))..*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane REGEDIT4[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-04-06 68856]"Orb"="C:\Program Files\Winamp Remote\bin\OrbTray.exe" [2008-04-01 507904]"Gadu-Gadu"="D:\Programy\Gadu gadu\Gadu-Gadu\gg.exe" [2008-03-20 2127296][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"igfxtray"="C:\WINDOWS\system32\igfxtray.exe" [2008-03-13 94208]"igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2008-03-13 77824]"igfxpers"="C:\WINDOWS\system32\igfxpers.exe" [2008-03-13 114688]"IntelZeroConfig"="C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe" [2006-08-02 802816]"IntelWireless"="C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" [2006-08-02 696320]"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2008-04-15 579584]"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2008-03-28 413696]"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 144784]"WinampAgent"="D:\Programy\Winap\Winamp\winampa.exe" [2008-04-01 36352]"DAEMON Tools"="D:\Filmy\Simsy\DAEMON Tools\daemon.exe" [2005-11-09 128920]"Skrót do strony właściwości High Definition Audio"="HDAShCut.exe" [2005-01-07 C:\WINDOWS\system32\HdAShCut.exe]"SoundMan"="SOUNDMAN.EXE" [2008-03-13 C:\WINDOWS\SOUNDMAN.EXE]"AlcWzrd"="ALCWZRD.EXE" [2008-03-13 C:\WINDOWS\ALCWZRD.EXE][HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 15360]"AVG7_Run"="C:\PROGRA~1\Grisoft\AVG7\avgw.exe" [2008-03-18 219136][HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]"VIDC.YV12"= yv12vfw.dll[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]"%windir%\\system32\\sessmgr.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe"="C:\\Program Files\\Grisoft\\AVG7\\avginet.exe"="C:\\Program Files\\Grisoft\\AVG7\\avgamsvr.exe"="C:\\Program Files\\Grisoft\\AVG7\\avgcc.exe"="C:\\Program Files\\Grisoft\\AVG7\\avgemc.exe"="D:\\Programy\\Gadu gadu\\Tlen.pl\\tlen.exe"="D:\\Programy\\Bearshare\\BearShare.exe"="C:\\Program Files\\Bonjour\\mDNSResponder.exe"="C:\\Program Files\\Winamp Remote\\bin\\Orb.exe"="C:\\Program Files\\Winamp Remote\\bin\\OrbTray.exe"="C:\\Program Files\\Winamp Remote\\bin\\OrbStreamerClient.exe"="D:\\Programy\\Gadu gadu\\Gadu-Gadu\\gg.exe"="D:\\Programy\\Winap\\AQQ\\WapSter AQQ\\AQQ.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe"=[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]"8461:TCP"= 8461:TCP:GoD High Port"8462:TCP"= 8462:TCP:GoD Low Port.Zawartość folderu 'Zaplanowane zadania'.**************************************************************************catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.netRootkit scan 2008-09-27 16:37:13Windows 5.1.2600 Dodatek Service Pack 2 NTFSskanowanie ukrytych procesów ... skanowanie ukrytych wpisów autostartu ...skanowanie ukrytych plików ... skanowanie pomyślnie ukończoneukryte pliki: 0**************************************************************************.Czas ukończenia: 2008-09-27 16:38:39ComboFix-quarantined-files.txt 2008-09-27 14:38:29ComboFix2.txt 2008-09-27 13:49:52ComboFix3.txt 2008-09-27 07:48:26Przed: 2˙806˙870˙016 bajt˘w wolnychPo: 2,792,402,944 bajt˘w wolnych134 --- E O F --- 2008-09-24 13:44:39 //Logi wstawiaj w tagi CODE //następnym razem dostaniesz warna+10% //jesiona
Gość komentarz 27 września 2008 komentarz 27 września 2008 Log czysty. Zrób to o co Cię prosiłem wyżej.
lingaaa komentarz 27 września 2008 Autor komentarz 27 września 2008 czyli teraz uruchamiam kasperskiego tak? Dam znać jak zrobi całe skanowanie
Mateusz J. komentarz 27 września 2008 komentarz 27 września 2008 Teraz masz wykonać, to co kazał djarta w poście: http://www.forumpc.pl/index.php?showtopic=...st&p=479993
lingaaa komentarz 27 września 2008 Autor komentarz 27 września 2008 Zrobiłam co kazał djart [b]SDFix: Version 1.229 [/b]Run by home on 2008-09-27 at 18:02Microsoft Windows XP [Wersja 5.1.2600]Running From: C:\SDFix[b]Checking Services [/b]:Restoring Default Security ValuesRestoring Default Hosts FileRestoring Windows Product ID To Remove Fake Virus AlertRebooting[b]Checking Files [/b]: Trojan Files Found:C:\Program Files\3\3.exe - DeletedC:\Program Files\3\3.exe.local - DeletedC:\Program Files\3\database.dat - DeletedC:\Program Files\3\license.txt - DeletedC:\Program Files\3\MFC71.dll - DeletedC:\Program Files\3\MFC71ENU.DLL - DeletedC:\Program Files\3\msvcp71.dll - DeletedC:\Program Files\3\msvcr71.dll - DeletedC:\Program Files\3\Uninstall.exe - DeletedFolder C:\Program Files\3 - RemovedRemoving Temp Files[b]ADS Check [/b]: [b]Final Check [/b]:catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.netRootkit scan 2008-09-27 18:09:56Windows 5.1.2600 Dodatek Service Pack 2 NTFSscanning hidden processes ...scanning hidden services & system hive ...[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]"s0"=dword:991a07c2"s1"=dword:de0f92dd"s2"=dword:6bb38387"h0"=dword:00000001[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]"p0"="D:\Filmy\Simsy\DAEMON Tools\""h0"=dword:00000000"khjeh"=hex:04,30,f7,f4,ca,94,15,6d,6a,cd,7e,9f,b1,24,35,11,81,22,ba,0e,5d,..[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]"a0"=hex:20,01,00,00,5b,b9,2e,8d,c0,fa,48,fa,47,2f,a8,81,3d,8d,30,ad,4d,.."khjeh"=hex:42,ae,8f,e9,7a,ea,33,e2,da,73,ca,25,c0,86,c7,d5,47,52,96,4f,36,..[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]"khjeh"=hex:30,12,9b,13,99,02,b9,d5,87,0f,32,fb,84,7e,82,a7,4b,a1,46,df,44,..[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]"p0"="D:\Filmy\Simsy\DAEMON Tools\""h0"=dword:00000000"khjeh"=hex:04,30,f7,f4,ca,94,15,6d,6a,cd,7e,9f,b1,24,35,11,81,22,ba,0e,5d,..[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]"a0"=hex:20,01,00,00,5b,b9,2e,8d,c0,fa,48,fa,47,2f,a8,81,3d,8d,30,ad,4d,.."khjeh"=hex:42,ae,8f,e9,7a,ea,33,e2,da,73,ca,25,c0,86,c7,d5,47,52,96,4f,36,..[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]"khjeh"=hex:30,12,9b,13,99,02,b9,d5,87,0f,32,fb,84,7e,82,a7,4b,a1,46,df,44,..scanning hidden registry entries ...scanning hidden files ...scan completed successfullyhidden processes: 0hidden services: 0hidden files: 0[b]Remaining Services [/b]:Authorized Application Key Export:[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019""%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000""C:\\Program Files\\Grisoft\\AVG7\\avginet.exe"="C:\\Program Files\\Grisoft\\AVG7\\avginet.exe:*:Enabled:avginet.exe""C:\\Program Files\\Grisoft\\AVG7\\avgamsvr.exe"="C:\\Program Files\\Grisoft\\AVG7\\avgamsvr.exe:*:Enabled:avgamsvr.exe""C:\\Program Files\\Grisoft\\AVG7\\avgcc.exe"="C:\\Program Files\\Grisoft\\AVG7\\avgcc.exe:*:Enabled:avgcc.exe""C:\\Program Files\\Grisoft\\AVG7\\avgemc.exe"="C:\\Program Files\\Grisoft\\AVG7\\avgemc.exe:*:Enabled:avgemc.exe""D:\\Programy\\Gadu gadu\\Tlen.pl\\tlen.exe"="D:\\Programy\\Gadu gadu\\Tlen.pl\\tlen.exe:*:Enabled:Komunikator Tlen.pl""D:\\Programy\\Bearshare\\BearShare.exe"="D:\\Programy\\Bearshare\\BearShare.exe:*:Enabled:BearShare""C:\\Program Files\\Bonjour\\mDNSResponder.exe"="C:\\Program Files\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour""C:\\Program Files\\Winamp Remote\\bin\\Orb.exe"="C:\\Program Files\\Winamp Remote\\bin\\Orb.exe:*:Enabled:Orb""C:\\Program Files\\Winamp Remote\\bin\\OrbTray.exe"="C:\\Program Files\\Winamp Remote\\bin\\OrbTray.exe:*:Enabled:OrbTray""C:\\Program Files\\Winamp Remote\\bin\\OrbStreamerClient.exe"="C:\\Program Files\\Winamp Remote\\bin\\OrbStreamerClient.exe:*:Enabled:Orb Stream Client""D:\\Programy\\Gadu gadu\\Gadu-Gadu\\gg.exe"="D:\\Programy\\Gadu gadu\\Gadu-Gadu\\gg.exe:*:Enabled:Gadu-Gadu - program glowny""D:\\Programy\\Winap\\AQQ\\WapSter AQQ\\AQQ.exe"="D:\\Programy\\Winap\\AQQ\\WapSter AQQ\\AQQ.exe:*:Enabled:AQQ""C:\\Program Files\\Skype\\Phone\\Skype.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe:*:Enabled:Skype. Take a deep breath "[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019""%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"[b]Remaining Files [/b]:File Backups: - C:\SDFix\backups\backups.zip[b]Files with Hidden Attributes [/b]:[b]Finished![/b]
lingaaa komentarz 27 września 2008 Autor komentarz 27 września 2008 nowy log z ComboFixa ComboFix 08-09-25.07 - home 2008-09-27 18:28:30.6 - NTFSx86Microsoft Windows XP Home Edition 5.1.2600.2.1250.1.1045.18.779 [GMT 2:00]Uruchomiony z: C:\Documents and Settings\home\Pulpit\ComboFix.exe[b]UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !![/b].((((((((((((((((((((((((( Pliki utworzone od 2008-08-27 do 2008-09-27 ))))))))))))))))))))))))))))))).2008-09-27 17:58 . 2008-09-27 17:59 <DIR> d-------- C:\WINDOWS\ERUNT2008-09-27 17:51 . 2008-09-27 18:11 <DIR> d-------- C:\SDFix2008-09-27 12:26 . 2008-09-27 12:26 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\Yahoo! Companion2008-09-27 11:49 . 2008-09-27 11:49 <DIR> d-------- C:\Program Files\Yahoo!2008-09-27 11:05 . 2008-09-27 11:05 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab2008-09-27 11:05 . 2008-09-27 11:05 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab2008-09-26 21:17 . 2008-09-26 21:17 <DIR> d-------- C:\Program Files\Trend Micro2008-09-26 20:12 . 2008-09-26 20:12 <DIR> d-------- C:\Program Files\a-squared HiJackFree2008-09-25 17:25 . 2008-09-25 17:25 223,128 --a------ C:\WINDOWS\system32\drivers\dtscsi.sys2008-09-25 17:22 . 2008-09-25 17:22 664,064 --a------ C:\WINDOWS\system32\drivers\sptd.sys2008-09-25 17:22 . 2008-09-25 17:22 96,256 --a------ C:\WINDOWS\system32\drivers\sptd1645.sys2008-09-24 19:10 . 2008-09-24 19:10 <DIR> d-------- C:\Program Files\Opera2008-09-23 18:05 . 2008-09-23 18:05 <DIR> d-------- C:\Program Files\MSECache2008-09-23 17:47 . 2007-04-09 13:23 28,040 --a------ C:\WINDOWS\system32\mdimon.dll2008-09-23 17:47 . 2008-09-23 17:48 421 --a------ C:\WINDOWS\ODBC.INI2008-09-23 17:42 . 2008-09-23 17:43 <DIR> d-------- C:\WINDOWS\SHELLNEW2008-09-23 17:41 . 2008-09-23 18:43 <DIR> d-------- C:\WINDOWS\system32\CatRoot_bak2008-09-20 22:24 . 2008-09-20 22:24 <DIR> d-------- C:\Documents and Settings\home\Dane aplikacji\Media Player Classic2008-09-20 22:23 . 2008-09-20 22:23 <DIR> d-------- C:\Program Files\Xvid2008-09-20 22:22 . 2008-07-25 10:34 683,520 --a------ C:\WINDOWS\system32\divx.dll2008-09-20 22:22 . 2008-06-12 20:36 7,680 --a------ C:\WINDOWS\system32\ff_vfw.dll2008-09-20 22:22 . 2007-07-10 18:10 547 --a------ C:\WINDOWS\system32\ff_vfw.dll.manifest2008-09-08 18:06 . 2008-09-08 18:06 <DIR> d-------- C:\Documents and Settings\home\Dane aplikacji\InstallShield Installation Information2008-09-08 18:00 . 2008-09-08 18:00 <DIR> d-------- C:\Program Files\raptisoft2008-09-08 18:00 . 2008-09-08 18:00 348,160 --a------ C:\WINDOWS\eSellerateEngine.dll2008-09-08 18:00 . 2008-09-08 19:46 40 --a------ C:\WINDOWS\rsoftinfo.dat.(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))).2008-09-27 15:46 --------- d-----w C:\Documents and Settings\home\Dane aplikacji\Skype2008-09-27 15:31 --------- d-----w C:\Documents and Settings\home\Dane aplikacji\skypePM2008-09-27 13:22 --------- d-----w C:\Documents and Settings\home\Dane aplikacji\AVG72008-09-27 09:56 --------- d---a-w C:\Documents and Settings\All Users\Dane aplikacji\TEMP2008-09-26 17:16 --------- d-----w C:\Documents and Settings\Obcy\Dane aplikacji\AVG72008-07-25 08:34 81,920 ----a-w C:\WINDOWS\system32\dpl100.dll2008-07-23 16:50 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll2008-07-07 20:33 253,952 ----a-w C:\WINDOWS\system32\es.dll2008-03-22 16:01 32 ----a-w C:\Documents and Settings\All Users\Dane aplikacji\ezsid.dat.((((((((((((((((((((((((((((( snapshot@2008-09-27_15.49.29.31 ))))))))))))))))))))))))))))))))))))))))).+ 2008-08-07 14:27:04 163,328 ----a-w C:\WINDOWS\ERUNT\SDFIX\ERDNT.EXE+ 2008-09-27 15:59:22 4,390,912 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\[u]0[/u]0000001\NTUSER.DAT+ 2008-09-27 15:59:22 172,032 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\[u]0[/u]0000002\UsrClass.dat+ 2008-08-07 14:27:04 163,328 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\ERDNT.EXE+ 2008-09-27 15:59:07 4,390,912 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\[u]0[/u]0000001\NTUSER.DAT+ 2008-09-27 15:59:07 172,032 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\[u]0[/u]0000002\UsrClass.dat.((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))..*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane REGEDIT4[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-04-06 68856]"Orb"="C:\Program Files\Winamp Remote\bin\OrbTray.exe" [2008-04-01 507904]"Gadu-Gadu"="D:\Programy\Gadu gadu\Gadu-Gadu\gg.exe" [2008-03-20 2127296][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"igfxtray"="C:\WINDOWS\system32\igfxtray.exe" [2008-03-13 94208]"igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2008-03-13 77824]"igfxpers"="C:\WINDOWS\system32\igfxpers.exe" [2008-03-13 114688]"IntelZeroConfig"="C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe" [2006-08-02 802816]"IntelWireless"="C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" [2006-08-02 696320]"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2008-04-15 579584]"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2008-03-28 413696]"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 144784]"WinampAgent"="D:\Programy\Winap\Winamp\winampa.exe" [2008-04-01 36352]"DAEMON Tools"="D:\Filmy\Simsy\DAEMON Tools\daemon.exe" [2005-11-09 128920]"Skrót do strony właściwości High Definition Audio"="HDAShCut.exe" [2005-01-07 C:\WINDOWS\system32\HdAShCut.exe]"SoundMan"="SOUNDMAN.EXE" [2008-03-13 C:\WINDOWS\SOUNDMAN.EXE]"AlcWzrd"="ALCWZRD.EXE" [2008-03-13 C:\WINDOWS\ALCWZRD.EXE][HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 15360]"AVG7_Run"="C:\PROGRA~1\Grisoft\AVG7\avgw.exe" [2008-03-18 219136][HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]"VIDC.YV12"= yv12vfw.dll[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]"%windir%\\system32\\sessmgr.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe"="C:\\Program Files\\Grisoft\\AVG7\\avginet.exe"="C:\\Program Files\\Grisoft\\AVG7\\avgamsvr.exe"="C:\\Program Files\\Grisoft\\AVG7\\avgcc.exe"="C:\\Program Files\\Grisoft\\AVG7\\avgemc.exe"="D:\\Programy\\Gadu gadu\\Tlen.pl\\tlen.exe"="D:\\Programy\\Bearshare\\BearShare.exe"="C:\\Program Files\\Bonjour\\mDNSResponder.exe"="C:\\Program Files\\Winamp Remote\\bin\\Orb.exe"="C:\\Program Files\\Winamp Remote\\bin\\OrbTray.exe"="C:\\Program Files\\Winamp Remote\\bin\\OrbStreamerClient.exe"="D:\\Programy\\Gadu gadu\\Gadu-Gadu\\gg.exe"="D:\\Programy\\Winap\\AQQ\\WapSter AQQ\\AQQ.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe"=[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]"8461:TCP"= 8461:TCP:GoD High Port"8462:TCP"= 8462:TCP:GoD Low Port.Zawartość folderu 'Zaplanowane zadania'..------- Skan uzupełniający -------.R0 -: HKCU-Main,Start Page = hxxp://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2R0 -: HKCU-Main,Default_Search_URL = hxxp://www.google.com/ieR1 -: HKCU-Internet Settings,ProxyOverride = *.localR1 -: HKCU-SearchURL,(Default) = hxxp://www.google.com/search?q=%sO8 -: E&ksport do programu Microsoft Excel - C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000O17 -: HKLM\CCS\Interface\{ADB64C08-BC9F-4B58-8ED8-A480AD2A39E3}: NameServer = 192.168.2.253,194.204.152.34O16 -: DirectAnimation Java Classes - file://C:\WINDOWS\Java\classes\dajava.cabC:\WINDOWS\Downloaded Program Files\DirectAnimation Java Classes.osdO16 -: Microsoft XML Parser for Java - file://C:\WINDOWS\Java\classes\xmldso.cabC:\WINDOWS\Downloaded Program Files\Microsoft XML Parser for Java.osdO16 -: {631FF594-EC25-4CFF-B869-402DF294E1D6} - hxxp://slimak.onet.pl/_m/kamerzysta/OnetInstalator012s.ocxC:\WINDOWS\Downloaded Program Files\OnetInstalator012s.ocx.**************************************************************************catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.netRootkit scan 2008-09-27 18:29:48Windows 5.1.2600 Dodatek Service Pack 2 NTFSskanowanie ukrytych procesów ... skanowanie ukrytych wpisów autostartu ...skanowanie ukrytych plików ... C:\Documents and Settings\home\Ustawienia lokalne\Dane aplikacji\Opera\Opera\profile\vps\[u]0[/u]000\adoc.bx-gC:\Documents and Settings\home\Ustawienia lokalne\Dane aplikacji\Opera\Opera\profile\vps\[u]0[/u]000\url.ax-gC:\Documents and Settings\home\Ustawienia lokalne\Dane aplikacji\Opera\Opera\profile\vps\[u]0[/u]000\w.ax-gskanowanie pomyślnie ukończoneukryte pliki: 3**************************************************************************.Czas ukończenia: 2008-09-27 18:31:15ComboFix-quarantined-files.txt 2008-09-27 16:31:01ComboFix2.txt 2008-09-27 14:38:40ComboFix3.txt 2008-09-27 13:49:52ComboFix4.txt 2008-09-27 07:48:26Przed: 2˙668˙331˙008 bajt˘w wolnychPo: 2,726,973,440 bajt˘w wolnych152 --- E O F --- 2008-09-24 13:44:39
lingaaa komentarz 27 września 2008 Autor komentarz 27 września 2008 Zrobione view a roport: Saturday, September 27, 2008Operating System: Microsoft Windows XP Home Edition Dodatek Service Pack 2 (build 2600)Kaspersky Online Scanner 7 version: 7.0.25.0Program database last update: Saturday, September 27, 2008 17:36:42Records in database: 1266068Scan settingsScan using the following database extendedScan archives yesScan mail databases yesScan area My ComputerC:\D:\E:\F:\ Scan statisticsFiles scanned 70386Threat name 7Infected objects 6Suspicious objects 4Duration of the scan 01:37:37File name Threat name Threats countC:\Documents and Settings\home\Pulpit\SDFix.exe Suspicious: Password-protected-EXE 2 C:\Program Files\EA GAMES\The Sims 2 Zwierzaki\crack_ver1.454.0.exe Infected: Trojan-Downloader.Win32.Zlob.zqg 1 C:\Qoobox\Quarantine\C\WINDOWS\system32\tdssadw.dll.vir Infected: Rootkit.Win32.Clbd.kg 1 C:\Qoobox\Quarantine\C\WINDOWS\system32\tdsslog.dll.vir Infected: Backdoor.Win32.Agent.rfv 1 C:\Qoobox\Quarantine\C\WINDOWS\system32\tdssmain.dll.vir Infected: Backdoor.Win32.Agent.rfw 1 C:\Qoobox\Quarantine\C\WINDOWS\system32\tdssserf.dll.vir Infected: Trojan-Downloader.Win32.FraudLoad.vbxt 1 C:\SDFix\apps\procs.zip Suspicious: Password-protected-EXE 1 C:\SDFix\apps\RestartIt!.zip Suspicious: Password-protected-EXE 1 D:\Filmy\Simsy\DAEMON Tools\SetupDTSB.exe Infected: not-a-virus:AdTool.Win32.WhenU.a 1 The selected area was scanned. Eeee. a co ja mam teraz z tym zrobić ?
Gość komentarz 27 września 2008 komentarz 27 września 2008 Pobierz ---> The Avenger Wklej do niego ten tekst: Files to delete:C:\Documents and Settings\home\Pulpit\SDFix.exeC:\Program Files\EA GAMES\The Sims 2 Zwierzaki\crack_ver1.454.0.exeD:\Filmy\Simsy\DAEMON Tools\SetupDTSB.exeFolders to delete:C:\QooboxC:\SDFix Kopiujesz - Klikasz na Paste Script from Clipboard - Execute - Potwierdzasz i zgadzasz się na restart klikając OK. Po wykonaniu skasuj z dysku plik: C:\Avenger\backup.zip i wklej raport na forum C:\avenger.txt
lingaaa komentarz 27 września 2008 Autor komentarz 27 września 2008 Usunęłam backup, zrobiłam wsyztsko według instrukcji, oto raport: Logfile of The Avenger Version 2.0, © by Swandog46http://swandog46.geekstogo.comPlatform: Windows XP*******************Script file opened successfully.Script file read successfully.Backups directory opened successfully at C:\Avenger*******************Beginning to process script file:Rootkit scan active.No rootkits found!File "C:\Documents and Settings\home\Pulpit\SDFix.exe" deleted successfully.Error: could not open file "C:\Program Files\EA GAMES\The Sims 2 Zwierzaki\crack_ver1.454.0.exe"Deletion of file "C:\Program Files\EA GAMES\The Sims 2 Zwierzaki\crack_ver1.454.0.exe" failed!Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND) --> bad path / the parent directory does not existFile "D:\Filmy\Simsy\DAEMON Tools\SetupDTSB.exe" deleted successfully.Folder "C:\Qoobox" deleted successfully.Folder "C:\SDFix" deleted successfully.Completed script processing.*******************Finished! Terminate.
Gość komentarz 27 września 2008 komentarz 27 września 2008 C:\Program Files\EA GAMES\The Sims 2 Zwierzaki\crack_ver1.454.0.exe Usuń ręcznie. To wszystko z mojej strony.
lingaaa komentarz 27 września 2008 Autor komentarz 27 września 2008 Usunęłam. Czyli to ju z wsyztsko i mam, że tak powiem "zdrowy" komputer ? Nie wiem jak mam być Wam wdzięczna Dzięki wieeelkie za pomoc, bez was musiałabym zapłacić za sprowadzenie informatyka a tak to działa wszytsko. Jeszcze raz DZIĘKUJĘ
snip91 komentarz 27 września 2008 komentarz 27 września 2008 Skoro wszystko działa tzn., że komp czysty. Logi nie pokazują już nic groźnego, więc raczej jest czysto. Pozdrawiam i do tematu daję [Rozwiązany].
Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!
Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.