od jakiegoś czasu mam problem z wirusem. jakiś czas temu pozbyłam się go ale jak widać nie na długo. tych zainfekowanych plików jest coraz więcej. moj antywirus G Data sobie z nimi nie radzi. nawet ich nie znajduje. o co tutaj chodzi? jak mam sie pozbyć tych wirusów? proszę o pomoc

log z combofix

ComboFix 08-11-04.02 - admin 2008-11-05 13:00:43.1 - NTFSx86

Microsoft Windows XP Home Edition 5.1.2600.3.1250.1.1045.18.217 [GMT 1:00]

Uruchomiony z: C:\ComboFix.exe

* Utworzono nowy punkt przywracania

* Resident AV is active

.

((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\autorun.inf

C:\i.exe

C:\itsduel.exe

C:\nq0cq.cmd

C:\pnt.com

c:\windows\system32_004042_.tmp.dll

c:\windows\system32_004043_.tmp.dll

c:\windows\system32_004044_.tmp.dll

c:\windows\system32_004045_.tmp.dll

c:\windows\system32_004052_.tmp.dll

c:\windows\system32_004053_.tmp.dll

c:\windows\system32_004054_.tmp.dll

c:\windows\system32_004055_.tmp.dll

c:\windows\system32_004057_.tmp.dll

c:\windows\system32_004058_.tmp.dll

c:\windows\system32_004061_.tmp.dll

c:\windows\system32_004062_.tmp.dll

c:\windows\system32_004064_.tmp.dll

c:\windows\system32_004065_.tmp.dll

c:\windows\system32_004066_.tmp.dll

c:\windows\system32_004068_.tmp.dll

c:\windows\system32_004071_.tmp.dll

c:\windows\system32_004072_.tmp.dll

c:\windows\system32_004076_.tmp.dll

c:\windows\system32_004077_.tmp.dll

c:\windows\system32_004079_.tmp.dll

c:\windows\system32_004082_.tmp.dll

c:\windows\system32_004084_.tmp.dll

c:\windows\system32_004085_.tmp.dll

c:\windows\system32_004086_.tmp.dll

c:\windows\system32_004087_.tmp.dll

c:\windows\system32_004088_.tmp.dll

c:\windows\system32_004091_.tmp.dll

c:\windows\system32_004092_.tmp.dll

c:\windows\system32_004093_.tmp.dll

c:\windows\system32_004094_.tmp.dll

c:\windows\system32_004095_.tmp.dll

c:\windows\system32_004100_.tmp.dll

c:\windows\system32\8_exception.nls

c:\windows\system32\amvo.exe

c:\windows\system32\amvo0.dll

c:\windows\system32\amvo1.dll

c:\windows\system32\Bitkv1.dll

c:\windows\system32\ckvo.exe

c:\windows\system32\ckvo0.dll

c:\windows\system32\ckvo1.dll

c:\windows\system32\ckvo2.dll

C:\xih9.cmd

D:\08dgu.com

D:\a9.com

D:\Autorun.inf

D:\b.exe

D:\d.com

D:\itsduel.exe

D:\nq0cq.cmd

D:\pnt.com

D:\xih9.cmd

E:\08dgu.com

E:\a9.com

E:\Autorun.inf

E:\b.exe

E:\d.com

E:\itsduel.exe

E:\nq0cq.cmd

E:\pnt.com

E:\xih9.cmd

F:\08dgu.com

F:\a9.com

F:\Autorun.inf

F:\b.exe

F:\d.com

F:\itsduel.exe

F:\nq0cq.cmd

F:\pnt.com

F:\xih9.cmd

.

((((((((((((((((((((((((((((((((((((((( Sterowniki/Usługi )))))))))))))))))))))))))))))))))))))))))))))))))

.

-------\Service_runtime

((((((((((((((((((((((((( Pliki utworzone od 2008-10-05 do 2008-11-05 )))))))))))))))))))))))))))))))

.

2008-11-05 12:55 . 2008-11-05 12:55 3,024,895 -ra------ C:\ComboFix.exe

2008-11-05 12:27 . 2008-11-05 12:28

2008-11-05 12:27 . 2008-11-05 12:54 751 --a------ c:\windows\wincmd.ini

2008-11-05 12:27 . 2008-08-08 07:04 545 --a------ c:\windows\UC.PIF

2008-11-05 12:27 . 2008-08-08 07:04 545 --a------ c:\windows\RAR.PIF

2008-11-05 12:27 . 2008-08-08 07:04 545 --a------ c:\windows\PKZIP.PIF

2008-11-05 12:27 . 2008-08-08 07:04 545 --a------ c:\windows\PKUNZIP.PIF

2008-11-05 12:27 . 2008-08-08 07:04 545 --a------ c:\windows\NOCLOSE.PIF

2008-11-05 12:27 . 2008-08-08 07:04 545 --a------ c:\windows\LHA.PIF

2008-11-05 12:27 . 2008-08-08 07:04 545 --a------ c:\windows\ARJ.PIF

.

(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-11-05 11:29 --------- d-----w c:\documents and settings\All Users\Dane aplikacji\G DATA

2008-09-26 17:00 45,768 ----a-w c:\windows\system32\drivers\MiniIcpt.sys

2008-09-26 17:00 41,928 ----a-w c:\windows\system32\drivers\GDTdiIcpt.sys

2008-09-26 17:00 32,072 ----a-w c:\windows\system32\drivers\HookCentre.sys

2008-09-26 17:00 --------- d-----w c:\program files\G DATA AntiVirus

2008-09-26 17:00 --------- d-----w c:\program files\Common Files\G DATA

2008-09-26 16:59 --------- d–h--w c:\program files\InstallShield Installation Information

2008-09-26 16:59 --------- d-----w c:\documents and settings\admin\Dane aplikacji\InstallShield

2008-09-26 16:47 --------- d-----w c:\documents and settings\All Users\Dane aplikacji\EPSON

2008-09-26 16:45 --------- d–h--w c:\program files\Avago-HP

2008-09-26 16:45 --------- d-----w c:\program files\HP

2008-09-24 04:41 --------- d-----w c:\program files\VersalSoft

2008-09-24 04:41 --------- d-----w c:\program files\Universal

2008-09-23 18:11 103,570 --sh–r C:\je26200.com

2008-09-23 17:54 104,123 --sh–r C:\xlk9.com

2008-09-16 08:20 101,266 --sh–r C:\tknapl.exe

2008-09-15 16:48 99,286 --sh–r C:\rdsfk.com

2008-09-14 11:30 --------- d-----w c:\documents and settings\admin\Dane aplikacji\Gadu-Gadu

2008-09-14 11:25 --------- d-----w c:\program files\Gadu-Gadu

.

((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“ctfmon.exe”=“c:\windows\system32\ctfmon.exe” [2006-03-02 15360]

“EPSON Stylus DX4400 Series”=“c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATICAE.EXE” [2007-03-01 180736]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“ATIPTA”=“c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe” [2002-07-12 290816]

“UpdReg”=“c:\windows\UpdReg.EXE” [2000-05-11 90112]

“Jet Detection”=“c:\program files\Creative\SBLive\PROGRAM\ADGJDet.exe” [2001-11-29 28672]

“CTStartup”=“c:\program files\Creative\Splash Screen\CTEaxSpl.EXE” [2001-12-20 28672]

“NeroCheck”=“c:\windows\system32\NeroCheck.exe” [2001-07-09 155648]

“Samsung Common SM”=“c:\windows\Samsung\ComSMMgr\ssmmgr.exe” [2005-07-03 372736]

“AVKTray”=“c:\program files\G DATA AntiVirus\AVKTray\AVKTray.exe” [2007-10-11 603720]

“WINDVDPatch”=“CTHELPER.EXE” [2002-07-02 c:\windows\system32\CTHELPER.EXE]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

“CTFMON.EXE”=“c:\windows\system32\CTFMON.EXE” [2006-03-02 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

“msacm.ctmp3”= c:\windows\system32\ctmp3.acm

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

“AntiVirusOverride”=dword:00000001

[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

“%windir%\system32\sessmgr.exe”=

“%windir%\Network Diagnostic\xpnetdiag.exe”=

R2 AVKProxy;G DATA AntiVirus Proxy;c:\program files\Common Files\G DATA\AVKProxy\AVKProxy.exe [2007-10-11 714312]

R2 AVKService;G DATA Scheduler;c:\program files\G DATA AntiVirus\AVK\AVKService.exe [2007-09-27 407112]

R2 AVKWCtl;Strażnik AntiVirus;c:\program files\G DATA AntiVirus\AVK\AVKWCtl.exe [2007-10-08 1091144]

R2 GDTdiInterceptor;GDTdiInterceptor;c:\windows\system32\drivers\GDTdiIcpt.sys [2008-09-26 41928]

R3 GDMnIcpt;GDMnIcpt;c:\windows\system32\drivers\MiniIcpt.sys [2008-09-26 45768]

R3 HookCentre;HookCentre;c:\windows\system32\drivers\HookCentre.sys [2008-09-26 32072]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{156d73e4-496c-11dc-8caa-ae6996d1728a}]

\Shell\AutoRun\command - H:\yew.bat

\Shell\explore\Command - H:\yew.bat

\Shell\open\Command - H:\yew.bat

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{23d60b6a-c9c0-11dc-8d06-a405f147e88b}]

\Shell\AutoRun\command - EXPLORER.EXE

\Shell\explore\Command - EXPLORER.EXE

\Shell\open\Command - EXPLORER.EXE

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{4755a9f8-8714-11dd-8dac-00b0c40059f3}]

\Shell\AutoRun\command - H:\i.exe

\Shell\explore\Command - H:\i.exe

\Shell\open\Command - H:\i.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{8fa9c22c-ad79-11dc-8cec-c5e13a3fce8b}]

\shell\Setup\command - setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{b83dd1e6-8a38-11dd-8dc1-00b0c40059f3}]

\Shell\AutoRun\command - H:\b.com

\Shell\explore\Command - H:\b.com

\Shell\open\Command - H:\b.com

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{bc7f12a1-218e-11dd-8d49-fa018591c58b}]

\Shell\AutoRun\command - tpfbusg.cmd

\Shell\explore\Command - tpfbusg.cmd

\Shell\open\Command - tpfbusg.cmd

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{c89a53a6-4e70-11dd-8d6d-d5490983748a}]

\Shell\AutoRun\command - tpfbusg.cmd

\Shell\explore\Command - tpfbusg.cmd

\Shell\open\Command - tpfbusg.cmd

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{c8b968be-b842-11dc-8cf4-e921fe70668a}]

\shell\Setup\command - setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{e1ea89a6-1a3d-11dc-8c7c-e489bee79c8a}]

\shell\Setup\command - H:\setup.exe

.

.

------- Skan uzupełniający -------

.

R0 -: HKCU-Main,Start Page = hxxp://www.google.pl/

O8 -: E&ksport do programu Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-11-05 13:04:47

Windows 5.1.2600 Dodatek Service Pack 3 NTFS

skanowanie ukrytych procesów …

skanowanie ukrytych wpisów autostartu …

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

CTStartup = c:\program files\Creative\Splash Screen\CTEaxSpl.EXE /run???h???s???w? ?w???w???w4???.??w4???4???TA?s4???:8???wd??w???w-??w?????????C@?\???\??????s????\??????s\???@:8?A??s@:8??C@?x???|?w???@

skanowanie ukrytych plików …

skanowanie pomyślnie ukończone

ukryte pliki: 0

**************************************************************************

.

------------------------ Pozostałe uruchomione procesy ------------------------

.

c:\windows\system32\spool\drivers\w32x86\3\HP1006MC.EXE

c:\windows\system32\CTSVCCDA.EXE

c:\documents and settings\All Users\Dane aplikacji\EPSON\EPW!3 SSRP\E_S40RP7.EXE

c:\program files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

c:\windows\system32\MsPMSPSv.exe

.

**************************************************************************

.

Czas ukończenia: 2008-11-05 13:09:29 - komputer został uruchomiony ponownie

ComboFix-quarantined-files.txt 2008-11-05 12:09:15

Przed: 30 020 440 064 bajtów wolnych

Po: 30,618,718,208 bajtów wolnych

WindowsXP-KB310994-SP2-Home-BootDisk-PLK.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT=“Microsoft Windows Recovery Console” /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS=“Microsoft Windows XP Home Edition” /noexecute=optin /fastdetect

225 — E O F — 2008-09-22 01:08:18

Wylecz pendriva lub kartę pamięci http://www.softpedia.com/get/Security/S … Tool.shtml

Flash Disinfector http://www.searchengines.pl/index.php?s … ntry369724

lub format

wklej do notatnika:

Zapisz plik jako CFScript.txt najlepiej aby ikonka tego pliku znajdowała się obok ikonki ComboFix.exe

Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe powinno rozpocząć się usuwanie po tym daj log na forum.

Loga wklej na www.wklejto.pl lub http://www.wklej.org/ a w poście daj linka

mam nadzieje ze na jakis czas znow bedzie spokoj. dzieki za pomoc. pozdrawiam

Daj log z usuwania Combofix. Dodatkowo

Przeczyść system oraz rejestr CCleaner

Wykonaj optymalizacje Autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar Mój komputer Kaspersky Online Scanner Uruchom pod IE daj raport na forum

lub Dr.WEB CureIt!

Witam mam ten sam problem, ściągam sporo z rapidshare więc nazbierało się wiele trojanów. Proszę o sprawdzenie loga, i o ewentualna pomoc co wrzucić do combofixa. Z góry dziękuje Oto log:

ComboFix 08-11-09.01 - Florek 2008-11-09 23:48:00.16 - NTFSx86

Microsoft Windows XP Home Edition 5.1.2600.3.1250.1.1045.18.1554 [GMT 1:00]

Uruchomiony z: c:\documents and settings\Florek\Pulpit\Programy\ComboFix.exe

* Utworzono nowy punkt przywracania

.

((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\08dgu.com

C:\0u.cmd

C:\68.exe

C:\9.cmd

C:\9yqusig.bat

C:\Autorun.inf

C:\b.exe

C:\bo1dhu.bat

C:\ev60a2.cmd

C:\fe.bat

C:\itsduel.exe

C:\n6t1h.cmd

C:\nfdmg.com

C:\nq0cq.cmd

C:\otyh.cmd

C:\pnt.com

C:\rqq2v.bat

C:\vva0hc0p.cmd

c:\windows\system32_000006_.tmp.dll

c:\windows\system32\amvo1.dll

c:\windows\system32\Bitkv0.dll

c:\windows\system32\ckvo.exe

c:\windows\system32\ckvo0.dll

c:\windows\system32\ckvo1.dll

c:\windows\system32\ckvo2.dll

C:\wjlfhtfm.cmd

C:\xih9.cmd

C:\yew.bat

D:\08dgu.com

D:\0u.cmd

D:\68.exe

D:\9.cmd

D:\9yqusig.bat

D:\Autorun.inf

D:\b.exe

D:\bo1dhu.bat

D:\ev60a2.cmd

D:\fe.bat

D:\itsduel.exe

D:\n6t1h.cmd

D:\nfdmg.com

D:\nq0cq.cmd

D:\otyh.cmd

D:\pnt.com

D:\rqq2v.bat

D:\vva0hc0p.cmd

D:\wjlfhtfm.cmd

D:\xih9.cmd

D:\yew.bat

E:\08dgu.com

E:\0u.cmd

E:\68.exe

E:\9.cmd

E:\9yqusig.bat

E:\Autorun.inf

E:\b.exe

E:\bo1dhu.bat

E:\ev60a2.cmd

E:\fe.bat

E:\itsduel.exe

E:\n6t1h.cmd

E:\nfdmg.com

E:\nq0cq.cmd

E:\otyh.cmd

E:\pnt.com

E:\rqq2v.bat

E:\vva0hc0p.cmd

E:\wjlfhtfm.cmd

E:\xih9.cmd

E:\yew.bat

.

((((((((((((((((((((((((( Pliki utworzone od 2008-10-09 do 2008-11-09 )))))))))))))))))))))))))))))))

.

2008-11-09 23:33 . 2008-11-09 23:33 85,504 -r-hs---- c:\windows\system32\gasretyw1.dll

2008-11-09 16:30 . 2008-11-09 23:33 110,031 -r-hs---- C:\whi.com

2008-11-09 16:29 . 2008-11-09 23:33 110,031 -r-hs---- c:\windows\system32\kamsoft.exe

2008-11-09 16:29 . 2008-11-09 23:32 85,504 --------- c:\windows\system32\gasretyw0.dll

2008-11-09 10:36 . 2008-11-09 10:36

2008-11-09 10:36 . 2008-11-09 10:36

2008-11-07 13:37 . 2008-11-09 11:27 110,013 -r-hs---- C:\sq.com

2008-10-31 23:08 . 2008-10-31 23:08

2008-10-31 22:40 . 2008-10-31 22:40 38 --a------ c:\windows\avisplitter.INI

2008-10-31 18:59 . 2008-10-31 18:59

2008-10-24 13:10 . 2008-10-15 17:36 337,408 -----c— c:\windows\system32\dllcache\netapi32.dll

2008-10-22 13:30 . 2008-10-22 15:31 104,123 -r-hs---- C:\xlk9.com

2008-10-17 17:57 . 2008-10-21 17:22 103,973 -r-hs---- C:\2fiji.com

2008-10-16 12:39 . 2008-09-15 16:27 1,846,656 -----c— c:\windows\system32\dllcache\win32k.sys

2008-10-16 12:39 . 2008-09-08 11:41 333,824 -----c— c:\windows\system32\dllcache\srv.sys

2008-10-16 12:38 . 2008-08-14 14:26 2,190,464 -----c— c:\windows\system32\dllcache\ntoskrnl.exe

2008-10-16 12:38 . 2008-08-14 14:26 2,146,816 -----c— c:\windows\system32\dllcache\ntkrnlmp.exe

2008-10-16 12:38 . 2008-08-14 14:26 2,067,328 -----c— c:\windows\system32\dllcache\ntkrnlpa.exe

2008-10-16 12:38 . 2008-08-14 14:26 2,025,472 -----c— c:\windows\system32\dllcache\ntkrpamp.exe

.

(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-11-09 21:28 --------- d—a-w c:\documents and settings\All Users\Dane aplikacji\TEMP

2008-11-04 22:49 --------- d-----w c:\documents and settings\Florek\Dane aplikacji\OpenOffice.ux.pl2

2008-11-01 15:24 --------- d–h--w c:\program files\InstallShield Installation Information

2008-10-31 21:48 --------- d-----w c:\program files\Common Files\Wise Installation Wizard

2008-10-31 21:48 --------- d-----w c:\program files\AGEIA Technologies

2008-10-18 09:10 --------- d-----w c:\documents and settings\Florek\Dane aplikacji\uTorrent

2008-10-11 14:00 --------- d-----w c:\documents and settings\Florek\Dane aplikacji\Tibia

2008-10-08 15:27 59,582 ----a-w c:\windows\BricoPackUninst.cmd

2008-10-08 15:27 5,242 ----a-w c:\windows\BricoPackFoldersDelete.cmd

2008-10-01 17:36 --------- d-----w c:\program files\eMule

2008-09-21 21:44 98,533 --sh–r C:\rdsfk.com

2008-09-17 20:28 --------- d-----w c:\documents and settings\Florek\Dane aplikacji\Skype

.

((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“CTFMON.EXE”=“c:\windows\system32\ctfmon.exe” [2008-04-14 15360]

“swg”=“c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe” [2007-07-24 68856]

“MSMSGS”=“c:\program files\Messenger\msmsgs.exe” [2008-04-14 1695232]

“RocketDock”=“c:\windows\Vista Inspirat 2\RocketDock\RocketDock.exe” [2007-03-18 630784]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“RemoteControl”=“c:\program files\PowerDVD\PDVDServ.exe” [2005-01-12 32768]

“NeroFilterCheck”=“c:\windows\system32\NeroCheck.exe” [2001-07-09 155648]

“DAEMON Tools”=“d:\daemon tools\daemon.exe” [2005-12-10 133016]

“avast!”=“c:\progra~1\Avast4\ashDisp.exe” [2008-07-19 78008]

“SunJavaUpdateSched”=“c:\program files\Java\jre1.6.0_07\bin\jusched.exe” [2008-06-10 144784]

“PE2CKFNT SE”=“c:\program files\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe” [1998-07-03 25088]

“SW20”=“c:\windows\system32\sw20.exe” [2006-06-01 208896]

“SW24”=“c:\windows\system32\sw24.exe” [2006-06-01 69632]

“NvCplDaemon”=“c:\windows\system32\NvCpl.dll” [2007-12-05 8523776]

“NvMediaCenter”=“c:\windows\system32\NvMcTray.dll” [2007-12-05 81920]

“SkyTel”=“SkyTel.EXE” [2006-05-16 c:\windows\SkyTel.exe]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

“CTFMON.EXE”=“c:\windows\system32\CTFMON.EXE” [2008-04-14 15360]

“Nokia.PCSync”=“c:\program files\Nokia\Nokia PC Suite 6\PcSync2.exe” [2007-11-07 1294336]

c:\docume~1\ALLUSE~1\MENUST~1\Programy\AUTOST~1\

Photo Express Calendar Checker SE.lnk - c:\program files\Ulead Systems\Ulead Photo Express 2 SE\CalCheck.exe [2007-04-19 55296]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

“msacm.l3fhg”= mp3fhg.acm

“VIDC.X264”= x264vfw.dll

“VIDC.HFYU”= huffyuv.dll

“vidc.i263”= i263_32.drv

“msacm.divxa32”= divxa32.acm

[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

“%windir%\system32\sessmgr.exe”=

“c:\Program Files\Gadu-Gadu\gg.exe”=

“e:\Stronghold Crusader\Stronghold Crusader.exe”=

“c:\WINDOWS\system32\dplaysvr.exe”=

“%windir%\Network Diagnostic\xpnetdiag.exe”=

“d:\NAPI-PROJEKT\napisy.exe”=

“c:\Program Files\eMule\emule.exe”=

“c:\Program Files\uTorrent\uTorrent.exe”=

“c:\Program Files\Mozilla Firefox\firefox.exe”=

“d:\Assassin’s Creed\AssassinsCreed_Dx9.exe”=

“d:\Assassin’s Creed\AssassinsCreed_Dx10.exe”=

“d:\Assassin’s Creed\AssassinsCreed_Launcher.exe”=

“c:\Program Files\Skype\Skype.exe”=

“d:\Gry Pegasus\Gry\RockNESX.exe”=

“c:\WINDOWS\system32\dpnsvr.exe”=

“d:\ProjectTorque\ProjectTorque.bin”=

“e:\Turok\Binaries\TurokGame.exe”=

“d:\Stronghold 2\game.dat”=

“e:\Moje\OTS\Loader\apps\tibia822\Tibia.exe”=

“e:\Moje\OTS\Loader\apps\tibia792\Tibia.exe”=

[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

“25957:TCP”= 25957:TCP:BitComet 25957 TCP

“25957:UDP”= 25957:UDP:BitComet 25957 UDP

“8461:TCP”= 8461:TCP:GoD High Port

“8462:TCP”= 8462:TCP:GoD Low Port

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-07-19 78416]

R2 aswFsBlk;aswFsBlk;c:\windows\system32\DRIVERS\aswFsBlk.sys [2008-07-19 20560]

R3 SG762_XP;SAGEM 802.11g XG762 1211B Driver;c:\windows\system32\DRIVERS\WlanBZXP.sys [2005-12-22 402432]

S3 ZDCndis5;ZDCndis5 Protocol Driver;c:\windows\system32\ZDCndis5.SYS []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{09e527c2-97a2-11dc-80b0-0060b33e670f}]

\Shell\AutoRun\command - J:\rqq2v.bat

\Shell\explore\Command - J:\rqq2v.bat

\Shell\open\Command - J:\rqq2v.bat

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{391a09b8-3dc4-11dd-8262-0060b33e670f}]

\Shell\Auto\command - I:\qq.exe

\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL qq.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{6a5d3678-5dfd-11dc-8019-0060b33e670f}]

\Shell\AutoRun\command - I:\InstallTomTomHOME.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{918f8595-d95d-11db-be70-001556ea005a}]

\Shell\AutoRun\command - J:\b3b9u.com

\Shell\explore\Command - J:\b3b9u.com

\Shell\open\Command - J:\b3b9u.com

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{b9ef7660-c6e4-11dc-8135-0016e6800853}]

\Shell\AutoRun\command - jfvkcsy.bat

\Shell\explore\Command - jfvkcsy.bat

\Shell\open\Command - jfvkcsy.bat

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{ce703b22-2628-11dc-bf7f-0016e6800853}]

\Shell\AutoRun\command - jfvkcsy.bat

\Shell\explore\Command - jfvkcsy.bat

\Shell\open\Command - jfvkcsy.bat

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{ce703b23-2628-11dc-bf7f-0016e6800853}]

\Shell\AutoRun\command - jfvkcsy.bat

\Shell\explore\Command - jfvkcsy.bat

\Shell\open\Command - jfvkcsy.bat

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{f2a1a192-9a6e-11dc-80b6-0016e6800853}]

\Shell\AutoRun\command - J:\ev60a2.cmd

\Shell\explore\Command - J:\ev60a2.cmd

\Shell\open\Command - J:\ev60a2.cmd

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{fa149519-03e4-11dd-81c9-0060b33e670f}]

\Shell\AutoRun\command - J:\r813.bat

\Shell\explore\Command - J:\r813.bat

\Shell\open\Command - J:\r813.bat

.

.

------- Skan uzupełniający -------

.

FireFox -: Profile - c:\documents and settings\Florek\Dane aplikacji\Mozilla\Firefox\Profiles\o084bn4o.default\

FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.pl

FF -: plugin - c:\program files\Acrobat 7.0\Reader\browser\nppdf32.dll

FF -: plugin - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll

FF -: plugin - d:\k-lite codec pack\Real\browser\plugins\nppl3260.dll

FF -: plugin - d:\k-lite codec pack\Real\browser\plugins\nprpjplug.dll

.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-11-09 23:50:54

Windows 5.1.2600 Dodatek Service Pack 3 NTFS

skanowanie ukrytych procesów …

skanowanie ukrytych wpisów autostartu …

skanowanie ukrytych plików …

skanowanie pomyślnie ukończone

ukryte pliki: 0

**************************************************************************

.

------------------------ Pozostałe uruchomione procesy ------------------------

.

c:\program files\Avast4\aswUpdSv.exe

c:\program files\Avast4\ashServ.exe

c:\program files\Common Files\LightScribe\LSSrvc.exe

c:\windows\system32\nvsvc32.exe

c:\windows\system32\UAService7.exe

c:\program files\Avast4\ashMaiSv.exe

c:\program files\Avast4\ashWebSv.exe

c:\windows\system32\wscntfy.exe

c:\windows\system32\rundll32.exe

.

**************************************************************************

.

Czas ukończenia: 2008-11-09 23:53:21 - komputer został uruchomiony ponownie

ComboFix-quarantined-files.txt 2008-11-09 22:53:17

Przed: 21 362 089 984 bajtów wolnych

Po: 21,360,185,344 bajtów wolnych

WindowsXP-KB310994-SP2-Home-BootDisk-PLK.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT=“Microsoft Windows Recovery Console” /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS=“Microsoft Windows XP Home Edition” /noexecute=optin /fastdetect /usepmtimer

258 — E O F — 2008-10-24 22:19:12

kennshy ,

Wylecz pendriva lub kartę pamięci http://www.softpedia.com/get/Security/S … Tool.shtml

Flash Disinfector http://www.searchengines.pl/index.php?s … ntry369724

lub format

wklej do notatnika:

Zapisz plik jako CFScript.txt najlepiej aby ikonka tego pliku znajdowała się obok ikonki ComboFix.exe

Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe powinno rozpocząć się usuwanie po tym daj log na forum.

Loga wklej na www.wklejto.pl lub http://www.wklej.org/ a w poście daj linka

Zmiana zasad wklejania logów na forum - viewtopic.php?f=16&t=253052

Dzięki bardzo za pomoc