blaugrana83 utworzono 30 listopada 2008 utworzono 30 listopada 2008 witam, z tego co zdążyłem zauważyć, Tankiani miał podobny problem do mojego i prosiłbym o przyjrzenie się logowi z pierwszego użycia ComboFixa na moim kompie. Mam jeszcze takie pytanie: jakie znaczenie mają wpisywane komendy do notatnika i czy za każdym razem trzeba to robić?? ComboFix 08-11-28.03 - Ja 2008-11-29 18:04:37.1 - NTFSx86Uruchomiony z: c:\documents and settings\Ja\Pulpit\ComboFix.exe.((((((((((((((((((((((((((((((((((((((( Usunięto ))))))))))))))))))))))))))))))))))))))))))))))))).C:\autorun.infc:\documents and settings\Ja\ravmonlogC:\m2nl.batc:\recycled\Recycledc:\windows\system32\gasretyw0.dllc:\windows\system32\gasretyw1.dllc:\windows\system32\kamsoft.exeD:\Autorun.infD:\m2nl.bat.((((((((((((((((((((((((( Pliki utworzone od 2008-10-28 do 2008-11-29 ))))))))))))))))))))))))))))))).2008-11-28 07:12 . 2008-11-28 07:12 105,411 -r-hs---- C:\o1.com2008-11-24 23:37 . 2008-11-24 23:36 410,976 --a------ c:\windows\system32\deploytk.dll2008-11-24 17:56 . 2008-11-24 18:03 <DIR> d-------- c:\program files\MediaCoder2008-11-14 16:12 . 2008-11-14 16:12 <DIR> d-------- c:\documents and settings\All Users\Dane aplikacji\CTSoft2008-11-14 16:10 . 2008-11-14 16:10 <DIR> d-------- c:\program files\CTSoft2008-11-12 07:25 . 2008-09-04 18:17 1,106,944 --------- c:\windows\system32\dllcache\msxml3.dll2008-11-12 07:25 . 2008-10-24 12:21 455,296 --------- c:\windows\system32\dllcache\mrxsmb.sys2008-11-10 15:27 . 2008-11-10 15:27 <DIR> d-------- c:\windows\system32\LogFiles2008-11-09 11:22 . 2008-11-09 11:22 <DIR> d-------- c:\windows\Google Toolbar2008-11-09 11:22 . 2008-11-09 11:22 <DIR> d-------- c:\windows\__SkypeIEToolbar_Cache2008-11-08 20:38 . 2008-11-08 20:38 <DIR> d-------- c:\documents and settings\All Users\Dane aplikacji\FLEXnet2008-11-08 20:28 . 2008-11-08 20:28 <DIR> d-------- c:\program files\Bonjour2008-11-08 20:11 . 2008-11-08 20:11 <DIR> d-------- c:\program files\Common Files\Macrovision Shared.(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))).2008-11-28 22:57 --------- d-----w c:\documents and settings\Ja\Dane aplikacji\Skype2008-11-28 16:02 --------- d-----w c:\documents and settings\Ja\Dane aplikacji\skypePM2008-11-24 22:36 --------- d-----w c:\program files\Java2008-11-08 19:30 --------- d-----w c:\program files\Common Files\Adobe2008-10-31 14:24 --------- d-----w c:\program files\ALLPlayer2008-10-27 20:25 --------- d-----w c:\program files\English Translator 32008-10-27 12:20 --------- d-----w c:\program files\Real Alternative2008-10-27 12:20 --------- d-----w c:\documents and settings\Ja\Dane aplikacji\Media Player Classic2008-10-27 12:05 --------- d-----w c:\program files\NAPI-PROJEKT2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys2008-10-19 15:07 --------- d-----w c:\program files\vanBasco's Karaoke Player2008-10-01 17:51 --------- d-----w c:\program files\Google2008-10-01 17:50 --------- d-----w c:\program files\Skype2008-10-01 17:50 --------- d-----w c:\program files\Common Files\Skype2008-10-01 17:50 --------- d-----w c:\documents and settings\All Users\Dane aplikacji\Skype2006-11-29 19:14 56 -csh--r c:\windows\system32\7958590B26.sys2008-05-29 16:42 11,480 -csha-w c:\windows\system32\KGyGaAvL.sys.((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))..*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane REGEDIT4[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-14 1695232]"AlcoholAutomount"="c:\program files\Alcohol Soft\Alcohol 120\axcmd.exe" [2007-07-02 219520]"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-10-27 68856][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"IgfxTray"="c:\windows\system32\igfxtray.exe" [2005-02-08 155648]"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2005-02-08 126976]"GhostStartTrayApp"="c:\program files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe" [2002-08-14 94208]"SynTPLpr"="c:\program files\Synaptics\SynTP\SynTPLpr.exe" [2004-11-10 98394]"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2004-11-10 688218]"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-11-24 136600]"IAAnotif"="c:\program files\Intel\Intel Application Accelerator\iaanotif.exe" [2004-12-17 135168]"NeroCheck"="c:\windows\system32\\NeroCheck.exe" [2001-07-09 155648]"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 79224]"SSBkgdUpdate"="c:\program files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-10-25 210472]"PaperPort PTD"="c:\program files\ScanSoft\PaperPort\pptd40nt.exe" [2007-01-29 30248]"IndexSearch"="c:\program files\ScanSoft\PaperPort\IndexSearch.exe" [2007-01-29 46632]"PPort11reminder"="c:\program files\ScanSoft\PaperPort\Ereg\Ereg.exe" [2007-02-01 255528]"BrMfcWnd"="c:\program files\Brother\Brmfcmon\BrMfcWnd.exe" [2007-03-12 663552]"ControlCenter3"="c:\program files\Brother\ControlCenter3\brctrcen.exe" [2007-01-26 65536]"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2008-09-06 413696][HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]c:\documents and settings\All Users\Menu Start\Programy\Autostart\BlueSoleil.lnk - c:\program files\IVT Corporation\BlueSoleil\BlueSoleil.exe [2007-07-04 1183744]BOOKcase 4.0.lnk - c:\program files\TEXTware\BOOKcase40\BC40CASE.exe [2006-05-23 426028]Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-02-17 65588][HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]"vidc.xvid"= xvid.dll"msacm.dvacm"= c:\progra~1\COMMON~1\ULEADS~1\Vio\Dvacm.acm[HKEY_LOCAL_MACHINE\software\microsoft\security center]"AntiVirusDisableNotify"=dword:00000001[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]"%windir%\\system32\\sessmgr.exe"="c:\\Program Files\\Gadu-Gadu\\gg.exe"="c:\\Program Files\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"="c:\\Program Files\\SopCast\\adv\\SopAdver.exe"="c:\\Program Files\\SopCast\\SopCast.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe"="c:\\Program Files\\Bonjour\\mDNSResponder.exe"="c:\\Program Files\\Skype\\Phone\\Skype.exe"=[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]"16470:TCP"= 16470:TCP:NortonAV"13382:TCP"= 13382:TCP:NortonAVR1 GhPciScan;GhostPciScanner;\??\c:\program files\Symantec\Norton Ghost 2003\ghpciscan.sys [2002-08-14 5632]S3 CrystalSysInfo;CrystalSysInfo;\??\c:\program files\MediaCoder\SysInfo.sys [][HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C]\Shell\AutoRun\command - C:\o1.com\Shell\explore\Command - C:\o1.com\Shell\open\Command - C:\o1.com[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]\Shell\AutoRun\command - D:\o1.com\Shell\explore\Command - D:\o1.com\Shell\open\Command - D:\o1.com[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0014de10-c469-11dc-8a68-001583b3d027}]\Shell\AutoRun\command - ranvrgn.exe\Shell\explore\Command - ranvrgn.exe\Shell\open\Command - ranvrgn.exe[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6f8f65e1-9ebf-11dd-8ceb-001583b3d027}]\Shell\AutoRun\command - F:\setup.exe[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{76541fc9-7e2d-11dc-ad97-001583b3d027}]\Shell\AutoRun\command - f:\restore\S-1-5-21-1482476501-1644491937-682003330-1013\lin32.exe\Shell\open\command - f:\restore\S-1-5-21-1482476501-1644491937-682003330-1013\lin32.exe[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c71b2b18-38f7-11da-9428-acb3632dae9a}]\Shell\AutoRun\command - f:\restore\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe\Shell\open\command - f:\restore\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e3e89d56-90a7-11dd-8cc7-001583b3d027}]\Shell\AutoRun\command - f:\restore\S-1-5-21-1482476501-1644491937-682003330-1013\lin32.exe\Shell\open\command - f:\restore\S-1-5-21-1482476501-1644491937-682003330-1013\lin32.exe*Newly Created Service* - PROCEXP90.Zawartość folderu 'Zaplanowane zadania'2008-11-29 c:\windows\Tasks\Symantec NetDetect.job- c:\program files\Symantec\LiveUpdate\NDETECT.EXE [2004-08-20 17:26].- - - - USUNIĘTO PUSTE WPISY - - - -HKLM-Run-WinampAgent - c:\program files\Winamp\winampa.exe**************************************************************************catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.netRootkit scan 2008-11-29 18:10:18Windows 5.1.2600 Dodatek Service Pack 3 NTFSskanowanie ukrytych procesów ... skanowanie ukrytych wpisów autostartu ...skanowanie ukrytych plików ... skanowanie pomyślnie ukończoneukryte pliki: 0**************************************************************************.Czas ukończenia: 2008-11-29 18:14:03ComboFix-quarantined-files.txt 2008-11-29 17:13:59Przed: 5,532,278,784 bajtów wolnychPo: 6,278,213,632 bajtów wolnych149 --- E O F --- 2008-11-14 06:19:21 Bo np. za drugim razem gdy podłączyłem dwa używane przez mnie pendrive'y i zeskanowałem ComboFix'em, to pokazał mi się taki log. Użyłem też potem Flash Disinfector'a i mi nic nie znalazł na nich. Dlatego pytam o to wpisywanie do notatnika kodu, który potem ma być przeciągany do ComboFix'a, czy jest on konieczny ComboFix 08-11-28.03 - Ja 2008-11-29 18:43:48.2 - NTFSx86Uruchomiony z: c:\documents and settings\Ja\Pulpit\ComboFix.exe.((((((((((((((((((((((((((((((((((((((( Usunięto ))))))))))))))))))))))))))))))))))))))))))))))))).F:\b.com.((((((((((((((((((((((((( Pliki utworzone od 2008-10-28 do 2008-11-29 ))))))))))))))))))))))))))))))).2008-11-28 07:12 . 2008-11-28 07:12 105,411 -r-hs---- C:\o1.com2008-11-24 23:37 . 2008-11-24 23:36 410,976 --a------ c:\windows\system32\deploytk.dll2008-11-24 17:56 . 2008-11-24 18:03 <DIR> d-------- c:\program files\MediaCoder2008-11-14 16:12 . 2008-11-14 16:12 <DIR> d-------- c:\documents and settings\All Users\Dane aplikacji\CTSoft2008-11-14 16:10 . 2008-11-14 16:10 <DIR> d-------- c:\program files\CTSoft2008-11-12 07:25 . 2008-09-04 18:17 1,106,944 --------- c:\windows\system32\dllcache\msxml3.dll2008-11-12 07:25 . 2008-10-24 12:21 455,296 --------- c:\windows\system32\dllcache\mrxsmb.sys2008-11-10 15:27 . 2008-11-10 15:27 <DIR> d-------- c:\windows\system32\LogFiles2008-11-09 11:22 . 2008-11-09 11:22 <DIR> d-------- c:\windows\Google Toolbar2008-11-09 11:22 . 2008-11-09 11:22 <DIR> d-------- c:\windows\__SkypeIEToolbar_Cache2008-11-08 20:38 . 2008-11-08 20:38 <DIR> d-------- c:\documents and settings\All Users\Dane aplikacji\FLEXnet2008-11-08 20:28 . 2008-11-08 20:28 <DIR> d-------- c:\program files\Bonjour2008-11-08 20:11 . 2008-11-08 20:11 <DIR> d-------- c:\program files\Common Files\Macrovision Shared.(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))).2008-11-28 22:57 --------- d-----w c:\documents and settings\Ja\Dane aplikacji\Skype2008-11-28 16:02 --------- d-----w c:\documents and settings\Ja\Dane aplikacji\skypePM2008-11-24 22:36 --------- d-----w c:\program files\Java2008-11-08 19:30 --------- d-----w c:\program files\Common Files\Adobe2008-10-31 14:24 --------- d-----w c:\program files\ALLPlayer2008-10-27 20:25 --------- d-----w c:\program files\English Translator 32008-10-27 12:20 --------- d-----w c:\program files\Real Alternative2008-10-27 12:20 --------- d-----w c:\documents and settings\Ja\Dane aplikacji\Media Player Classic2008-10-27 12:05 --------- d-----w c:\program files\NAPI-PROJEKT2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys2008-10-19 15:07 --------- d-----w c:\program files\vanBasco's Karaoke Player2008-10-01 17:51 --------- d-----w c:\program files\Google2008-10-01 17:50 --------- d-----w c:\program files\Skype2008-10-01 17:50 --------- d-----w c:\program files\Common Files\Skype2008-10-01 17:50 --------- d-----w c:\documents and settings\All Users\Dane aplikacji\Skype2006-11-29 19:14 56 -csh--r c:\windows\system32\7958590B26.sys2008-05-29 16:42 11,480 -csha-w c:\windows\system32\KGyGaAvL.sys.((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))..*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane REGEDIT4[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-14 1695232]"AlcoholAutomount"="c:\program files\Alcohol Soft\Alcohol 120\axcmd.exe" [2007-07-02 219520]"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-10-27 68856][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"IgfxTray"="c:\windows\system32\igfxtray.exe" [2005-02-08 155648]"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2005-02-08 126976]"GhostStartTrayApp"="c:\program files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe" [2002-08-14 94208]"SynTPLpr"="c:\program files\Synaptics\SynTP\SynTPLpr.exe" [2004-11-10 98394]"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2004-11-10 688218]"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-11-24 136600]"IAAnotif"="c:\program files\Intel\Intel Application Accelerator\iaanotif.exe" [2004-12-17 135168]"NeroCheck"="c:\windows\system32\\NeroCheck.exe" [2001-07-09 155648]"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 79224]"SSBkgdUpdate"="c:\program files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-10-25 210472]"PaperPort PTD"="c:\program files\ScanSoft\PaperPort\pptd40nt.exe" [2007-01-29 30248]"IndexSearch"="c:\program files\ScanSoft\PaperPort\IndexSearch.exe" [2007-01-29 46632]"PPort11reminder"="c:\program files\ScanSoft\PaperPort\Ereg\Ereg.exe" [2007-02-01 255528]"BrMfcWnd"="c:\program files\Brother\Brmfcmon\BrMfcWnd.exe" [2007-03-12 663552]"ControlCenter3"="c:\program files\Brother\ControlCenter3\brctrcen.exe" [2007-01-26 65536]"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2008-09-06 413696][HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]c:\documents and settings\All Users\Menu Start\Programy\Autostart\BlueSoleil.lnk - c:\program files\IVT Corporation\BlueSoleil\BlueSoleil.exe [2007-07-04 1183744]BOOKcase 4.0.lnk - c:\program files\TEXTware\BOOKcase40\BC40CASE.exe [2006-05-23 426028]Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-02-17 65588][HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]"vidc.xvid"= xvid.dll"msacm.dvacm"= c:\progra~1\COMMON~1\ULEADS~1\Vio\Dvacm.acm[HKEY_LOCAL_MACHINE\software\microsoft\security center]"AntiVirusDisableNotify"=dword:00000001[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]"%windir%\\system32\\sessmgr.exe"="c:\\Program Files\\Gadu-Gadu\\gg.exe"="c:\\Program Files\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"="c:\\Program Files\\SopCast\\adv\\SopAdver.exe"="c:\\Program Files\\SopCast\\SopCast.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe"="c:\\Program Files\\Bonjour\\mDNSResponder.exe"="c:\\Program Files\\Skype\\Phone\\Skype.exe"=[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]"16470:TCP"= 16470:TCP:NortonAV"13382:TCP"= 13382:TCP:NortonAVR1 GhPciScan;GhostPciScanner;\??\c:\program files\Symantec\Norton Ghost 2003\ghpciscan.sys [2002-08-14 5632]S3 CrystalSysInfo;CrystalSysInfo;\??\c:\program files\MediaCoder\SysInfo.sys [][HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C]\Shell\AutoRun\command - C:\o1.com\Shell\explore\Command - C:\o1.com\Shell\open\Command - C:\o1.com[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]\Shell\AutoRun\command - D:\o1.com\Shell\explore\Command - D:\o1.com\Shell\open\Command - D:\o1.com[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0014de10-c469-11dc-8a68-001583b3d027}]\Shell\AutoRun\command - ranvrgn.exe\Shell\explore\Command - ranvrgn.exe\Shell\open\Command - ranvrgn.exe[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6f8f65e1-9ebf-11dd-8ceb-001583b3d027}]\Shell\AutoRun\command - F:\setup.exe[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{76541fc9-7e2d-11dc-ad97-001583b3d027}]\Shell\AutoRun\command - f:\restore\S-1-5-21-1482476501-1644491937-682003330-1013\lin32.exe\Shell\open\command - f:\restore\S-1-5-21-1482476501-1644491937-682003330-1013\lin32.exe[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c71b2b18-38f7-11da-9428-acb3632dae9a}]\Shell\AutoRun\command - f:\restore\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe\Shell\open\command - f:\restore\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe*Newly Created Service* - CATCHME*Newly Created Service* - PROCEXP90.Zawartość folderu 'Zaplanowane zadania'2008-11-29 c:\windows\Tasks\Symantec NetDetect.job- c:\program files\Symantec\LiveUpdate\NDETECT.EXE [2004-08-20 17:26].**************************************************************************catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.netRootkit scan 2008-11-29 18:48:25Windows 5.1.2600 Dodatek Service Pack 3 NTFSskanowanie ukrytych procesów ... skanowanie ukrytych wpisów autostartu ...skanowanie ukrytych plików ... skanowanie pomyślnie ukończoneukryte pliki: 0**************************************************************************.Czas ukończenia: 2008-11-29 18:51:14ComboFix-quarantined-files.txt 2008-11-29 17:51:03ComboFix2.txt 2008-11-29 17:14:06Przed: 6 288 809 984 bajtów wolnychPo: 6,275,526,656 bajtów wolnych138 --- E O F --- 2008-11-14 06:19:21
Gość komentarz 30 listopada 2008 komentarz 30 listopada 2008 Dwa logi to z jednego komputera/laptopa.? Wklej do Notatnika: File::C:\o1.comD:\o1.comF:\o1.comRegistry::[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C][-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D][-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0014de10-c469-11dc-8a68-001583b3d027}][-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6f8f65e1-9ebf-11dd-8ceb-001583b3d027}][-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{76541fc9-7e2d-11dc-ad97-001583b3d027}][-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c71b2b18-38f7-11da-9428-acb3632dae9a}] >>Plik>>Zapisz jako... >>> CFScript Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe --> Ma się rozpocząć usuwanie. (i powstanie log).Daj ten log, który powstanie w trakcie usuwania. Jeśli pójdzie dobrze, to: Po restarcie usuń ręcznie folder C:\Qoobox.
blaugrana83 komentarz 30 listopada 2008 Autor komentarz 30 listopada 2008 tak, te logi były z jednego laptopa, a po przeskanowaniu teraz dostałem loga który wygląda tak: ComboFix 08-11-28.03 - Ja 2008-11-30 16:26:12.3 - NTFSx86Microsoft Windows XP Professional 5.1.2600.3.1250.1.1045.18.22 [GMT 1:00]Uruchomiony z: c:\documents and settings\Ja\Pulpit\ComboFix.exeUżyto następujących komend :: c:\documents and settings\Ja\Pulpit\CFScript.txt * Utworzono nowy punkt przywracaniaFILE ::C:\o1.comD:\o1.comF:\o1.com.((((((((((((((((((((((((((((((((((((((( Usunięto ))))))))))))))))))))))))))))))))))))))))))))))))).D:\o1.com.((((((((((((((((((((((((( Pliki utworzone od 2008-10-28 do 2008-11-30 ))))))))))))))))))))))))))))))).2008-11-30 14:06 . 2008-11-30 15:28 <DIR> d-------- c:\documents and settings\Ja\DoctorWeb2008-11-24 23:37 . 2008-11-24 23:36 410,976 --a------ c:\windows\system32\deploytk.dll2008-11-24 17:56 . 2008-11-24 18:03 <DIR> d-------- c:\program files\MediaCoder2008-11-14 16:12 . 2008-11-14 16:12 <DIR> d-------- c:\documents and settings\All Users\Dane aplikacji\CTSoft2008-11-14 16:10 . 2008-11-14 16:10 <DIR> d-------- c:\program files\CTSoft2008-11-12 07:25 . 2008-09-04 18:17 1,106,944 --------- c:\windows\system32\dllcache\msxml3.dll2008-11-12 07:25 . 2008-10-24 12:21 455,296 --------- c:\windows\system32\dllcache\mrxsmb.sys2008-11-10 15:27 . 2008-11-10 15:27 <DIR> d-------- c:\windows\system32\LogFiles2008-11-09 11:22 . 2008-11-09 11:22 <DIR> d-------- c:\windows\Google Toolbar2008-11-09 11:22 . 2008-11-09 11:22 <DIR> d-------- c:\windows\__SkypeIEToolbar_Cache2008-11-08 20:38 . 2008-11-08 20:38 <DIR> d-------- c:\documents and settings\All Users\Dane aplikacji\FLEXnet2008-11-08 20:28 . 2008-11-08 20:28 <DIR> d-------- c:\program files\Bonjour2008-11-08 20:11 . 2008-11-08 20:11 <DIR> d-------- c:\program files\Common Files\Macrovision Shared2008-10-27 13:20 . 2008-10-27 13:20 <DIR> d-------- c:\program files\Real Alternative2008-10-27 13:20 . 2008-10-27 13:20 <DIR> d-------- c:\documents and settings\Ja\Dane aplikacji\Media Player Classic2008-10-27 13:05 . 2008-10-27 13:05 <DIR> d-------- c:\program files\NAPI-PROJEKT2008-10-27 13:05 . 2008-10-31 15:24 <DIR> d-------- c:\program files\ALLPlayer2008-10-24 18:52 . 2008-10-24 18:54 6,661 --a------ c:\windows\system32\spupdsvc.inf2008-10-24 18:48 . 2008-10-24 18:48 <DIR> d-------- c:\windows\system32\pl-pl2008-10-24 18:48 . 2008-10-24 18:48 <DIR> d-------- c:\windows\system32\pl2008-10-24 18:48 . 2008-10-24 18:48 <DIR> d-------- c:\windows\system32\bits2008-10-24 18:48 . 2008-10-24 18:48 <DIR> d-------- c:\windows\l2schemas2008-10-24 18:45 . 2008-10-24 18:49 <DIR> d-------- c:\windows\ServicePackFiles2008-10-24 13:40 . 2008-10-15 17:36 337,408 --------- c:\windows\system32\dllcache\netapi32.dll2008-10-19 16:07 . 2008-10-19 16:07 <DIR> d-------- c:\program files\vanBasco's Karaoke Player2008-10-17 11:12 . 2008-10-17 11:14 <DIR> d-------- c:\windows\system32\NtmsData2008-10-15 06:48 . 2008-08-14 14:26 2,190,464 --------- c:\windows\system32\dllcache\ntoskrnl.exe2008-10-15 06:48 . 2008-08-14 14:26 2,146,816 --------- c:\windows\system32\dllcache\ntkrnlmp.exe2008-10-15 06:48 . 2008-08-14 14:26 2,067,328 --------- c:\windows\system32\dllcache\ntkrnlpa.exe2008-10-15 06:48 . 2008-08-14 14:26 2,025,472 --------- c:\windows\system32\dllcache\ntkrpamp.exe2008-10-15 06:48 . 2008-09-15 16:27 1,846,656 --------- c:\windows\system32\dllcache\win32k.sys2008-10-15 06:48 . 2008-09-08 11:41 333,824 --------- c:\windows\system32\dllcache\srv.sys2008-10-13 22:01 . 2004-08-03 21:29 1,897,408 --------- c:\windows\system32\drivers\nv4_mini.sys2008-10-13 21:57 . 2004-08-03 23:35 701,440 --------- c:\windows\system32\drivers\ati2mtag.sys2008-10-01 18:55 . 2008-11-28 17:02 <DIR> d-------- c:\documents and settings\Ja\Dane aplikacji\skypePM2008-10-01 18:55 . 2008-10-01 18:55 56 --ah----- c:\windows\system32\ezsidmv.dat2008-10-01 18:51 . 2008-11-28 23:57 <DIR> d-------- c:\documents and settings\Ja\Dane aplikacji\Skype2008-10-01 18:50 . 2008-10-01 18:50 <DIR> d-------- c:\program files\Common Files\Skype2008-10-01 18:49 . 2008-10-01 18:50 <DIR> d-------- c:\documents and settings\All Users\Dane aplikacji\Skype.(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))).2008-11-24 22:36 --------- d-----w c:\program files\Java2008-11-08 19:30 --------- d-----w c:\program files\Common Files\Adobe2008-10-27 20:25 --------- d-----w c:\program files\English Translator 32008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys2008-10-01 17:51 --------- d-----w c:\program files\Google2008-10-01 17:50 --------- d-----w c:\program files\Skype2006-11-29 19:14 56 -csh--r c:\windows\system32\7958590B26.sys2008-05-29 16:42 11,480 -csha-w c:\windows\system32\KGyGaAvL.sys.((((((((((((((((((((((((((((( snapshot@2008-11-29_18.13.10.68 ))))))))))))))))))))))))))))))))))))))))).+ 2008-11-30 10:52:04 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_3e8.dat+ 2008-11-30 10:51:30 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_7b0.dat.((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))..*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane REGEDIT4[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-14 1695232]"AlcoholAutomount"="c:\program files\Alcohol Soft\Alcohol 120\axcmd.exe" [2007-07-02 219520]"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-10-27 68856][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"IgfxTray"="c:\windows\system32\igfxtray.exe" [2005-02-08 155648]"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2005-02-08 126976]"GhostStartTrayApp"="c:\program files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe" [2002-08-14 94208]"SynTPLpr"="c:\program files\Synaptics\SynTP\SynTPLpr.exe" [2004-11-10 98394]"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2004-11-10 688218]"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-11-24 136600]"IAAnotif"="c:\program files\Intel\Intel Application Accelerator\iaanotif.exe" [2004-12-17 135168]"NeroCheck"="c:\windows\system32\\NeroCheck.exe" [2001-07-09 155648]"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 79224]"SSBkgdUpdate"="c:\program files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-10-25 210472]"PaperPort PTD"="c:\program files\ScanSoft\PaperPort\pptd40nt.exe" [2007-01-29 30248]"IndexSearch"="c:\program files\ScanSoft\PaperPort\IndexSearch.exe" [2007-01-29 46632]"PPort11reminder"="c:\program files\ScanSoft\PaperPort\Ereg\Ereg.exe" [2007-02-01 255528]"BrMfcWnd"="c:\program files\Brother\Brmfcmon\BrMfcWnd.exe" [2007-03-12 663552]"ControlCenter3"="c:\program files\Brother\ControlCenter3\brctrcen.exe" [2007-01-26 65536]"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2008-09-06 413696][HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]c:\documents and settings\All Users\Menu Start\Programy\Autostart\BlueSoleil.lnk - c:\program files\IVT Corporation\BlueSoleil\BlueSoleil.exe [2007-07-04 1183744]BOOKcase 4.0.lnk - c:\program files\TEXTware\BOOKcase40\BC40CASE.exe [2006-05-23 426028]Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-02-17 65588][HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]"vidc.xvid"= xvid.dll"msacm.dvacm"= c:\progra~1\COMMON~1\ULEADS~1\Vio\Dvacm.acm[HKEY_LOCAL_MACHINE\software\microsoft\security center]"AntiVirusDisableNotify"=dword:00000001[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]"%windir%\\system32\\sessmgr.exe"="c:\\Program Files\\Gadu-Gadu\\gg.exe"="c:\\Program Files\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"="c:\\Program Files\\SopCast\\adv\\SopAdver.exe"="c:\\Program Files\\SopCast\\SopCast.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe"="c:\\Program Files\\Bonjour\\mDNSResponder.exe"="c:\\Program Files\\Skype\\Phone\\Skype.exe"=[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]"16470:TCP"= 16470:TCP:NortonAV"13382:TCP"= 13382:TCP:NortonAVR1 GhPciScan;GhostPciScanner;\??\c:\program files\Symantec\Norton Ghost 2003\ghpciscan.sys [2002-08-14 5632]S3 CrystalSysInfo;CrystalSysInfo;\??\c:\program files\MediaCoder\SysInfo.sys [].Zawartość folderu 'Zaplanowane zadania'2008-11-30 c:\windows\Tasks\Symantec NetDetect.job- c:\program files\Symantec\LiveUpdate\NDETECT.EXE [2004-08-20 17:26].**************************************************************************catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.netRootkit scan 2008-11-30 16:31:55Windows 5.1.2600 Dodatek Service Pack 3 NTFSskanowanie ukrytych procesów ... skanowanie ukrytych wpisów autostartu ...skanowanie ukrytych plików ... skanowanie pomyślnie ukończoneukryte pliki: 0**************************************************************************.Czas ukończenia: 2008-11-30 16:35:36ComboFix-quarantined-files.txt 2008-11-30 15:35:31ComboFix2.txt 2008-11-29 17:51:16ComboFix3.txt 2008-11-29 17:14:06Przed: 4 225 822 720 bajtów wolnychPo: 4,218,654,720 bajtów wolnych146 --- E O F --- 2008-11-14 06:19:21
Gość komentarz 30 listopada 2008 komentarz 30 listopada 2008 Czysto. Usuń ręcznie folder C:\Qoobox, Przeczyść komputer Ccleanerem Z folderu "System Volume Information" usuniesz kopie "wirusów" poprzez chwilowe wyłączenie "Przywracania Systemu": >Panel Sterowania>System>Przywracanie Systemu>>zaznacz w okienku przy "Wyłącz przywracanie na wszystkich dyskach">Zastosuj>OK.Potem możesz powrócić do poprzedniego ustawienia (czyli usunąć zaznaczenie z okienka). Użyj tego programu ---> Dr.WEB CureIt!.
blaugrana83 komentarz 30 listopada 2008 Autor komentarz 30 listopada 2008 dzięki, dodałem plusik przy reputacji, bo się taki należy;) prawdopodobnie w najbliższym czasie się odezwę w sprawie kolejnych kompów, bo jeszcze dwa są w sieci i trzeba je wysprzątać;D mam w każdym razie jeszcze pytanie...bo w programie CCleaner są dwie zakładki: Windows i Programy. Czy w związku z tymi zaznaczonymi miejscami to on po prostu usuwa pliki tymczasowe i wszelakie listy otwieranych plików przez różne programy z mojego kompa, czyli je czyści ze śmieci, a samych programów nie usuwa tak?? Może moje wątpliwości wydają się dziwne i błahe, ale wolę nawet o głupotę zapytać niż czegoś żałować pzdr oki...uznajmy, że pytania nie było, bo zrobiłem analizę najpierw i wiem już wszystko na temat jego działania po wciśnięciu klawisza "uruchom", dzięki raz jeszcze:)
Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!
Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.