BackDoor.Tdss.565 i dziwny proces


(Tomeczek11823) #1

Witam mam problem otóż podczas skanowania systemu programem Dr.Web Cure It! wyskakuje mi proces w pamięci C:\WINDOWS\Explorer.EXE:368, w którym to niby znajduję się BackDoor.Tdss.565 (dodam, że proces explorera ma 60-70K w Menedżerze) oraz dziwny proces w menedżerze o nazwie ex89a_xp.exe (mający 130-140K). Dodam, że tego BackDoora nie sposób usunąć.

Log OTL : http://wklejto.pl/9


(krzych5610) #2

BackDoor.Tdss.565 - zaliczany do rootkitów. Wykonać skan za pomocą TDSSKiller.zip, do pobrania z http://support.kaspersky.com/pl/faq/?qid=208283359.

Zainstalować CIS5 - http://www.dobreprogramy.pl/Comodo-Inte ... 12952.html.

Po instalacji:

  • Potwierdzenie dla sieci ( widoczny w sieci ), można też zaznaczyć automatyczne wykrywanie nowych sieci.

  • Konfiguracja / Comodo - Proactive Security

  • Antywirus, jest przy zmianach, zmienić na Skanuj przy starcie

  • Firewall, bez zmian ( tryb bezpieczny )

  • Defense+, bez zmian

  • Sandbox, bez zmian.

Dalsze ustawienia, otwórz:

  • Antywirus, ustawienia skanera: Skanuj pamięć komputera po jego uruchomieniu , poziom skanowania heurystycznego średni. Aktywować dla trybu Skanowanie ręczne wszystkie pozycje. Nie skanować powyżej 2000MB.

Zaplanowane skanowanie pozycje 1,2,4 do 8. Nie skanować powyżej 1048MB. Nie brać pod uwagę komunikatów o przekroczonych limitach. Zaznaczyć OK.

Przy tych ustawieniach Comodo zabezpiecza przed ROOTKIT

  • Firewall, Ustawienia zachowania zapory sieciowej, zaawansowane - zaznaczyć poz 1 - 4.

(Tomeczek11823) #3

Przy próbie uruchomienia TDSSKillera wyskakuje błąd .exe.


(krzych5610) #4

Jeżeli tak, wykonać skan za pomocą Kaspersky Rescude Disk 10. Obraz ISO do nagrania na CD. http://support.kaspersky.com/pl/faq/?qid=208282170. Uruchomić komputer z poziomu CD.

Potwierdzić w podanym czasie uruchomienie z CD.

Czy udało się zainstalować Comodo?


(Tomeczek11823) #5

Tak zainstalowałem Comodo.

Niestety podczas nagrywania USB rescue disk'a wystąpił błąd Error 0x800000c0 has been encountered when creating the USB rescue disk.

I co teraz ? :frowning:

P.S żeby tego było mało to dodatkowo mam dziwnie przeciążone łącze i cały czas avast informuje mnie o złośliwym oprogramowaniu którego avast nazwał URL Mal (dodam też, że mam blue screeny przy uruchamianiu steama). I co dziwne nie załączają mi się inne stronki niż ta i google. :|.

-- Dodane 25.04.2011 (Pn) 10:07 --

Może ktoś mi pomóc ? Problem wygląda na poważny :?


(krzych5610) #6

Witam.

  1. Z twojego loga OTL nic nie widać, jest pusty!

  2. Kaspersky Rescude Disk 10 najlepiej nagrać na CD i w ustawieniach BIOS wybrać nagrywarkę jako napęd startowy. Z poziomu USB możesz nie uruchomić.

  3. Comodo jest pełnym pakietem antywirusowym, wystąpiła kolizja z zainstalowanym, uszkodzonym Avast. Avast do odinstalowania.

Dodatkowe metody

  1. System zainfekowany BackDoor.Tdss.565

Jeśli chcesz usunąć BackDoor.Tdss.565 z systemu, zalogować się w trybie awaryjnym, naciskając przycisk F8, po czym kliknij na start goto opcję Uruchom i wpisz polecenie regedit, wyszukaj i usuń z rejestru.

HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Ext \ Settings \ {015be035-984b-4381-a5d8-5ed7467f47ed}

Uruchom ponownie uruchom system w trybie normalnym.

  1. Uruchom OTL. W miejsce własny scrypt wklej

************************************************** ******

: OTL

O4 - HKLM .. \ Run: [NWEReboot] Nie znaleziono pliku

: Pliki

C: \ Windows \ System32 \ pb.sys

C: \ Windows \ System32 \ drivers \ atapi.sys | C: \ Windows \ System32 \ DriverStore \ FileRepository \ mshdc.inf_7de13c21 \ atapi.sys / wymienić

: Komendy

[Czystość]

[Emptytemp]

[EMPTYFLASH]

[Restart]

************************************************** ******


(Tomeczek11823) #7

Tam gdzie ty mi podałeś tą ścieżkę to nie ma tego wpisu w rejestrze.


(krzych5610) #8

Wykonaj skan OTL i pozostałe czynności


(Tomeczek11823) #9

All processes killed

Error: Unable to interpret <: OTL> in the current context!

Error: Unable to interpret in the current context!

Error: Unable to interpret <: Pliki> in the current context!

Error: Unable to interpret in the current context!

Error: Unable to interpret in the current context!

Error: Unable to interpret <: Komendy> in the current context!

Error: Unable to interpret <[Czystość]> in the current context!

Error: Unable to interpret <[Emptytemp]> in the current context!

Error: Unable to interpret <[EMPTYFLASH]> in the current context!

Error: Unable to interpret <[Restart]> in the current context!

OTL by OldTimer - Version 3.2.22.3 log created on 04252011_110530

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

Przepraszam, że tak wrzucam tego loga ale dalej nie mogę uruchomić innych stron.

-- Dodane 25.04.2011 (Pn) 11:58 --

Trochę to upierdliwe ale przez cudzą ingerencję w systemie nie mogę wrzucić tego loga na wklejto i wklej więc muszę to wrzucić tak.

OTL logfile created on: 2011-04-25 11:18:55 - Run 2

OTL by OldTimer - Version 3.2.22.3 Folder = C:_OTL\MovedFiles\04252011_110530

Windows XP Professional Edition Dodatek Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation

Internet Explorer (Version = 6.0.2900.5512)

Locale: 00000415 | Country: Polska | Language: PLK | Date Format: yyyy-MM-dd

2,00 Gb Total Physical Memory | 2,00 Gb Available Physical Memory | 75,00% Memory free

4,00 Gb Paging File | 3,00 Gb Available in Paging File | 89,00% Paging File free

Paging file location(s): C:\pagefile.sys 2048 4096 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Program Files

Drive C: | 200,00 Gb Total Space | 22,01 Gb Free Space | 11,01% Space Free | Partition Type: NTFS

Drive D: | 265,75 Gb Total Space | 113,55 Gb Free Space | 42,73% Space Free | Partition Type: NTFS

Computer Name: DOM-D8CF634DFB4 | User Name: Nowy | Logged in as Administrator.

Boot Mode: Normal | Scan Mode: Current user

Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days

========== Processes (SafeList) ==========

PRC - [2011-04-25 10:53:32 | 000,580,608 | ---- | M] (OldTimer Tools) -- C:_OTL\MovedFiles\04252011_110530\OTL_3.2.22.3(dobreprogramy.pl).exe

PRC - [2011-03-24 21:30:00 | 000,910,296 | ---- | M] (Mozilla Corporation) -- C:\Program Files\Mozilla Firefox\firefox.exe

PRC - 2011-01-17 23:30:46 | 001,803,224 | ---- | M -- C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe

PRC - 2011-01-17 23:30:16 | 002,548,552 | ---- | M -- C:\Program Files\COMODO\COMODO Internet Security\cfp.exe

PRC - 2008-07-17 14:21:34 | 000,080,392 | ---- | M -- C:\Program Files\Gigabyte\EasySaver\essvr.exe

PRC - [2008-04-14 23:51:18 | 001,035,264 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe

PRC - [2007-07-12 11:03:40 | 000,380,928 | ---- | M] (ASUSTeK Computer Inc.) -- C:\Program Files\ASUS\GamerOSD\GamerOSD.exe

PRC - [2004-08-23 15:49:56 | 000,040,960 | ---- | M] (France Telecom) -- C:\WINDOWS\system32\FTRTSVC.exe

========== Modules (SafeList) ==========

MOD - [2011-04-25 10:53:32 | 000,580,608 | ---- | M] (OldTimer Tools) -- C:_OTL\MovedFiles\04252011_110530\OTL_3.2.22.3(dobreprogramy.pl).exe

MOD - 2010-12-29 01:42:04 | 000,285,480 | ---- | M -- C:\WINDOWS\system32\guard32.dll

MOD - [2010-08-23 18:12:53 | 001,054,208 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.6028_x-ww_61e65202\comctl32.dll

========== Win32 Services (SafeList) ==========

SRV - File not found [Auto | Stopped] -- -- (aswUpdSv)

SRV - File not found [Auto | Stopped] -- -- (AMService)

SRV - 2011-01-17 23:30:46 | 001,803,224 | ---- | M [Auto | Running] -- C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe -- (cmdAgent)

SRV - [2009-11-23 22:51:00 | 003,620,700 | ---- | M] (INCA Internet Co., Ltd.) [On_Demand | Stopped] -- C:\WINDOWS\System32\GameMon.des -- (npggsvc)

SRV - 2008-07-17 14:21:34 | 000,080,392 | ---- | M [Auto | Running] -- C:\Program Files\Gigabyte\EasySaver\ESSVR.EXE -- (ES lite Service)

SRV - [2007-07-12 17:30:42 | 000,257,024 | ---- | M] (ASUSTeK COMPUTER INC.) [Auto | Stopped] -- C:\WINDOWS\ATKKBService.exe -- (ATKKeyboardService)

SRV - [2004-08-23 15:49:56 | 000,040,960 | ---- | M] (France Telecom) [Auto | Running] -- C:\WINDOWS\system32\FTRTSVC.exe -- (FTRTSVC)

========== Driver Services (SafeList) ==========

DRV - [2011-04-25 11:07:12 | 000,016,608 | ---- | M] (Windows ® 2000 DDK provider) [Kernel | On_Demand | Running] -- C:\WINDOWS\gdrv.sys -- (gdrv)

DRV - [2011-04-22 13:27:18 | 000,025,280 | ---- | M] (LogMeIn, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\hamachi.sys -- (hamachi)

DRV - 2011-01-15 00:46:00 | 000,436,792 | ---- | M [Kernel | Boot | Running] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd)

DRV - 2011-01-06 17:37:04 | 000,094,784 | ---- | M [Kernel | Boot | Running] -- C:\WINDOWS\System32\DRIVERS\inspect.sys -- (Inspect)

DRV - 2011-01-06 17:37:04 | 000,027,576 | ---- | M [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\cmdhlp.sys -- (cmdHlp)

DRV - 2011-01-06 17:37:02 | 000,239,368 | ---- | M [File_System | System | Running] -- C:\WINDOWS\system32\drivers\cmdGuard.sys -- (cmdGuard)

DRV - 2011-01-06 17:37:02 | 000,015,592 | ---- | M [File_System | System | Running] -- C:\WINDOWS\system32\drivers\cmderd.sys -- (cmderd)

DRV - 2010-05-01 06:13:50 | 000,279,712 | ---- | M [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\atksgt.sys -- (atksgt)

DRV - 2009-12-11 19:25:31 | 000,025,888 | ---- | M [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\lirsgt.sys -- (lirsgt)

DRV - [2008-05-02 11:58:28 | 000,008,064 | ---- | M] (Windows ® Codename Longhorn DDK provider) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\usbser_lowerfltj.sys -- (UsbserFilt)

DRV - 2008-05-02 11:58:14 | 000,020,864 | ---- | M [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ccdcmbo.sys -- (nmwcdc)

DRV - [2008-05-02 11:58:14 | 000,008,064 | ---- | M] (Windows ® Codename Longhorn DDK provider) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\usbser_lowerflt.sys -- (upperdev)

DRV - 2008-05-02 11:58:12 | 000,017,536 | ---- | M [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ccdcmb.sys -- (nmwcd)

DRV - [2008-04-14 01:26:50 | 000,012,800 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\usb8023.sys -- (USB_RNDIS)

DRV - [2008-04-14 01:15:30 | 000,010,624 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\gameenum.sys -- (gameenum)

DRV - [2007-07-12 11:03:42 | 000,012,416 | ---- | M] (ASUSTeK Computer Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\asusgsb.sys -- (asusgsb)

DRV - [2007-07-12 11:03:40 | 000,010,752 | ---- | M] (ASUSTeK COMPUTER INC.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\Video3D32.sys -- (Video3D)

DRV - [2007-07-12 11:03:38 | 000,012,288 | ---- | M] (ASUSTeK Computer Inc.) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\EIO.sys -- (EIO)

DRV - [2007-07-12 11:03:38 | 000,011,136 | ---- | M] (ASUSTeK COMPUTER INC.) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\atkkbnt.sys -- (asuskbnt)

DRV - [2007-06-29 14:47:34 | 000,034,304 | ---- | M] (AMD, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\AmdLLD.sys -- (AmdLLD)

DRV - [2007-03-01 10:05:38 | 000,090,496 | R--- | M] (Realtek Semiconductor Corporation ) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\Rtenicxp.sys -- (RTLE8023xp)

DRV - 2006-05-25 15:28:44 | 000,684,265 | R--- | M [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\torususb.sys -- (TaurusUsb)

DRV - [2004-08-16 13:17:18 | 000,798,592 | R--- | M] (C-Media Inc) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\cmuda3.sys -- (cmuda3)

DRV - [2003-08-14 13:43:38 | 000,053,936 | ---- | M] (WIDCOMM, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\btwhid.sys -- (btwhid)

DRV - 2003-08-12 14:51:00 | 000,060,255 | R--- | M [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\stmatm.sys -- (Stmatm)

DRV - [2003-08-04 15:22:44 | 000,016,128 | ---- | M] (Printing Communications Assoc., Inc. (PCAUSA)) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\PCANDIS5.SYS -- (PCANDIS5)

DRV - 2001-10-26 17:56:44 | 000,003,456 | ---- | M [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\pciide.sys -- (PCIIde)

DRV - [2001-08-17 22:19:34 | 000,040,704 | ---- | M] (Creative Technology Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\es1371mp.sys -- (es1371) Creative AudioPCI (ES1371,ES1373) (WDM)

========== Standard Registry (SafeList) ==========

========== Internet Explorer ==========

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank

IE - HKCU..\URLSearchHook: {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\neostrada tp\SearchPageURL.dll ()

IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

========== FireFox ==========

FF - prefs.js..extensions.enabledItems: battlefieldheroespatcher@ea.com:5.0.67.0

FF - prefs.js..extensions.enabledItems: {B042753D-F57E-4e8e-A01B-7379A6D4CEFB}:1.23

FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0

FF - HKLM\software\mozilla\Mozilla Firefox 3.5.18\extensions\Components: C:\Program Files\Mozilla Firefox\components [2011-03-31 22:38:23 | 000,000,000 | ---D | M]

FF - HKLM\software\mozilla\Mozilla Firefox 3.5.18\extensions\Plugins: C:\Program Files\Mozilla Firefox\plugins [2011-03-24 21:30:04 | 000,000,000 | ---D | M]

[2009-11-02 01:02:21 | 000,000,000 | ---D | M] (No name found) -- C:\Documents and Settings\Nowy\Dane aplikacji\Mozilla\Extensions

[2011-04-24 11:45:20 | 000,000,000 | ---D | M] (No name found) -- C:\Documents and Settings\Nowy\Dane aplikacji\Mozilla\Firefox\Profiles\61p5sy5l.default\extensions

[2010-09-04 09:27:45 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Documents and Settings\Nowy\Dane aplikacji\Mozilla\Firefox\Profiles\61p5sy5l.default\extensions{20a82645-c095-46ed-80e3-08825760534b}

[2010-09-08 02:51:36 | 000,000,000 | ---D | M] (BitComet Video Downloader) -- C:\Documents and Settings\Nowy\Dane aplikacji\Mozilla\Firefox\Profiles\61p5sy5l.default\extensions{B042753D-F57E-4e8e-A01B-7379A6D4CEFB}

[2011-03-26 17:15:10 | 000,000,000 | ---D | M] (Battlefield Heroes Updater) -- C:\Documents and Settings\Nowy\Dane aplikacji\Mozilla\Firefox\Profiles\61p5sy5l.default\extensions\battlefieldheroespatcher@ea.com

[2011-04-24 11:45:20 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files\Mozilla Firefox\extensions

[2010-01-02 02:08:22 | 000,000,000 | ---D | M] (Java Quick Starter) -- C:\PROGRAM FILES\JAVA\JRE6\LIB\DEPLOY\JQS\FF

2010-08-24 11:31:30 | 000,773,120 | ---- | M -- C:\Program Files\Mozilla Firefox\plugins\npBitCometAgent.dll

2009-10-16 20:45:02 | 000,002,767 | ---- | M -- C:\Program Files\Mozilla Firefox\searchplugins\allegro-pl.xml

2009-10-16 20:45:02 | 000,001,406 | ---- | M -- C:\Program Files\Mozilla Firefox\searchplugins\fbc-pl.xml

2009-10-16 20:45:02 | 000,000,917 | ---- | M -- C:\Program Files\Mozilla Firefox\searchplugins\merlin-pl.xml

2009-10-16 20:45:02 | 000,000,858 | ---- | M -- C:\Program Files\Mozilla Firefox\searchplugins\pwn-pl.xml

2009-10-16 20:45:02 | 000,001,183 | ---- | M -- C:\Program Files\Mozilla Firefox\searchplugins\wikipedia-pl.xml

2009-10-16 20:45:02 | 000,001,683 | ---- | M -- C:\Program Files\Mozilla Firefox\searchplugins\wp-pl.xml

Hosts file not found

O2 - BHO: (BitComet Helper) - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet\tools\BitCometBHO_1.4.8.11.dll (BitComet)

O4 - HKLM..\Run: [AdslTaskBar] C:\WINDOWS\System32\stmctrl.dll (STMicroelectronics )

O4 - HKLM..\Run: [amd_dc_opt] C:\Program Files\AMD\Dual-Core Optimizer\amd_dc_opt.exe (AMD)

O4 - HKLM..\Run: [ASUSGamerOSD] C:\Program Files\ASUS\GamerOSD\GamerOSD.exe (ASUSTeK Computer Inc.)

O4 - HKLM..\Run: [KernelFaultCheck] File not found

O4 - HKLM..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe ()

O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation)

O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.dll (NVIDIA Corporation)

O4 - HKLM..\Run: [WOOWATCH] C:\Program Files\neostrada tp\Watch.exe (France Télécom R&D)

O4 - HKCU..\Run: [AlcoholAutomount] C:\Program Files\Alcohol Soft\Alcohol 52\AxAutoMntSrv.exe (Alcohol Soft Development Team)

O4 - HKCU..\Run: [Comrade.exe] C:\Program Files\GameSpy\Comrade\Comrade.exe (IGN Entertainment Inc.)

O4 - HKCU..\Run: [DAEMON Tools Lite] C:\Program Files\DAEMON Tools Lite\daemon.exe (DT Soft Ltd)

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1

O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O8 - Extra context menu item: Pobierz wszystko za pomocą BitComet - C:\Program Files\BitComet\BitComet.exe (www.BitComet.com)

O8 - Extra context menu item: Pobierz za pomocą BitComet - C:\Program Files\BitComet\BitComet.exe (www.BitComet.com)

O9 - Extra Button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - C:\Program Files\BitComet\tools\BitCometBHO_1.4.8.11.dll (BitComet)

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinsta ... s-i586.cab (Java Plug-in 1.6.0_18)

O16 - DPF: {CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinsta ... s-i586.cab (Java Plug-in 1.6.0_18)

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinsta ... s-i586.cab (Java Plug-in 1.6.0_18)

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} http://fpdownload.macromedia.com/pub/sh ... wflash.cab (Shockwave Flash Object)

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 93.188.162.233,93.188.161.233

O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Program Files\Common Files\Skype\Skype4COM.dll (Skype Technologies)

O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)

O24 - Desktop Components:0 (Moja bieżąca strona główna) - About:Home

O24 - Desktop WallPaper: C:\Documents and Settings\Nowy\Ustawienia lokalne\Dane aplikacji\Microsoft\Wallpaper1.bmp

O24 - Desktop BackupWallPaper: C:\Documents and Settings\Nowy\Ustawienia lokalne\Dane aplikacji\Microsoft\Wallpaper1.bmp

O32 - HKLM CDRom: AutoRun - 0

O32 - AutoRun File - 2009-11-01 15:51:37 | 000,000,000 | ---- | M - C:\AUTOEXEC.BAT -- [NTFS]

O34 - HKLM BootExecute: (autocheck autochk *) - File not found

O34 - HKLM BootExecute: (OODBS) - File not found

O35 - HKLM..comfile [open] -- "%1" %*

O35 - HKLM..exefile [open] -- "%1" %*

O37 - HKLM...com [@ = comfile] -- "%1" %*

O37 - HKLM...exe [@ = exefile] -- "%1" %*

========== Files/Folders - Created Within 30 Days ==========

[2011-04-25 11:05:30 | 000,000,000 | ---D | C] -- C:_OTL

[2011-04-25 10:33:42 | 000,000,000 | ---D | C] -- C:\WINDOWS\CSC

[2011-04-24 21:09:06 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Menu Start\Programy\COMODO

[2011-04-24 21:08:35 | 000,000,000 | ---D | C] -- C:\Program Files\COMODO

[2011-04-24 21:08:10 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\Comodo

[2011-04-22 13:27:17 | 000,000,000 | ---D | C] -- C:\Program Files\Hamachi

[2011-04-22 13:27:17 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Menu Start\Programy\Hamachi

[2011-04-21 16:54:25 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Nowy\Dane aplikacji.minecraft

[2011-04-21 16:54:19 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Menu Start\Programy\Minecraft

[2011-04-21 16:54:11 | 000,000,000 | ---D | C] -- C:\Users

[2011-04-20 19:53:37 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Nowy\Dane aplikacji\runic games

[2011-04-20 19:43:03 | 000,000,000 | ---D | C] -- C:\Program Files\JoWooD

[2011-04-18 16:25:19 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\Solidshield

[2011-04-17 19:22:07 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Nowy\Dane aplikacji\Soldat

[2011-04-17 01:33:33 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Nowy\Moje dokumenty\18 WoS Extreme Trucker 2

[2011-04-17 01:31:36 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Menu Start\Programy\18 WoS Extreme Trucker 2

[2011-04-17 01:30:57 | 000,000,000 | ---D | C] -- C:\Program Files\18 WoS Extreme Trucker 2

[2011-04-14 19:23:36 | 000,000,000 | ---D | C] -- C:\Program Files\AVAST Software

[2011-04-14 19:23:36 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\AVAST Software

[2011-04-06 00:05:45 | 124,405,528 | ---- | C] (NVIDIA Corporation) -- C:\Documents and Settings\Nowy\Pulpit\266.58_desktop_winxp_32bit_international_whql.exe

[2011-04-05 15:36:45 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Menu Start\Programy\Shift 2 Unleashed

[2011-04-04 23:03:34 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Nowy\Moje dokumenty\SHIFT 2 UNLEASHED

[2011-04-04 22:37:37 | 000,000,000 | ---D | C] -- C:\Program Files\Black_Box

[2011-04-04 22:35:34 | 000,000,000 | ---D | C] -- C:\Program Files\Bing Bar Installer

[2011-04-04 20:18:26 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Menu Start\Programy\Dziel. i łącz. plików

[2011-04-04 20:18:25 | 000,000,000 | ---D | C] -- C:\Program Files\Dzielenie i laczenie plikow

[2011-04-01 00:44:46 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Nowy\Moje dokumenty\Crysis2

[2011-03-30 14:49:43 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Nowy\Dane aplikacji\gamigo

[2011-03-30 14:43:55 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Nowy\Dane aplikacji\launcher

[2011-03-26 17:15:48 | 000,000,000 | ---D | C] -- C:\Program Files\EA Games

========== Files - Modified Within 30 Days ==========

2011-04-25 11:16:46 | 001,474,832 | ---- | M -- C:\WINDOWS\System32\drivers\sfi.dat

[2011-04-25 11:07:12 | 000,016,608 | ---- | M] (Windows ® 2000 DDK provider) -- C:\WINDOWS\gdrv.sys

2011-04-25 11:06:59 | 000,276,202 | ---- | M -- C:\WINDOWS\System32\NvApps.xml

2011-04-25 11:06:51 | 000,002,048 | --S- | M -- C:\WINDOWS\bootstat.dat

2011-04-25 10:27:04 | 000,002,596 | ---- | M -- C:\WINDOWS\System32\CONFIG.NT

2011-04-24 21:22:15 | 000,189,112 | ---- | M -- C:\Documents and Settings\Nowy\Moje dokumenty\lol.xml

2011-04-24 15:38:10 | 000,138,160 | ---- | M -- C:\WINDOWS\System32\drivers\PnkBstrK.sys

2011-04-24 15:38:02 | 000,271,200 | ---- | M -- C:\WINDOWS\System32\PnkBstrB.xtr

2011-04-24 15:37:09 | 000,001,595 | ---- | M -- C:\WINDOWS\System\Cmicnfg3.ini

2011-04-24 11:23:56 | 000,002,206 | ---- | M -- C:\WINDOWS\System32\wpa.dbl

2011-04-23 22:27:01 | 000,271,200 | ---- | M -- C:\WINDOWS\System32\PnkBstrB.ex0

[2011-04-22 13:27:18 | 000,025,280 | ---- | M] (LogMeIn, Inc.) -- C:\WINDOWS\System32\drivers\hamachi.sys

2011-04-20 16:06:34 | 000,000,020 | -H-- | M -- C:\Documents and Settings\Nowy\Pulpit\1302700283_by_odlotptaszora_500.jpg.sha

2011-04-20 16:06:34 | 000,000,000 | ---- | M -- C:\Documents and Settings\Nowy\Pulpit\1302700283_by_odlotptaszora_500.jpg

2011-04-17 19:22:53 | 000,000,000 | R--- | M -- C:\logwmemory.bin

2011-04-17 01:31:36 | 000,001,030 | ---- | M -- C:\Documents and Settings\All Users\Pulpit\18 WoS Extreme Trucker 2.lnk

2011-04-16 11:01:31 | 000,112,584 | ---- | M -- C:\WINDOWS\System32\FNTCACHE.DAT

2011-04-16 03:06:05 | 000,001,374 | ---- | M -- C:\WINDOWS\imsins.BAK

2011-04-16 03:05:07 | 000,502,222 | ---- | M -- C:\WINDOWS\System32\perfh015.dat

2011-04-16 03:05:07 | 000,442,460 | ---- | M -- C:\WINDOWS\System32\perfh009.dat

2011-04-16 03:05:07 | 000,090,160 | ---- | M -- C:\WINDOWS\System32\perfc015.dat

2011-04-16 03:05:07 | 000,072,010 | ---- | M -- C:\WINDOWS\System32\perfc009.dat

2011-04-14 18:07:25 | 000,138,056 | ---- | M -- C:\Documents and Settings\Nowy\Dane aplikacji\PnkBstrK.sys

2011-04-13 01:20:35 | 000,131,072 | ---- | M -- C:\Documents and Settings\Nowy\Ustawienia lokalne\Dane aplikacji\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini

2011-04-07 17:29:53 | 000,000,000 | -H-- | M -- C:\WINDOWS\System32\drivers\UMDF\Msft_User_WpdMtpDr_01_00_00.Wdf

[2011-04-06 00:24:19 | 124,405,528 | ---- | M] (NVIDIA Corporation) -- C:\Documents and Settings\Nowy\Pulpit\266.58_desktop_winxp_32bit_international_whql.exe

2011-04-05 15:36:45 | 000,000,764 | ---- | M -- C:\Documents and Settings\All Users\Pulpit\Shift 2 Unleashed.lnk

2011-04-04 20:18:26 | 000,000,730 | ---- | M -- C:\Documents and Settings\All Users\Pulpit\Dzielenie i łączenie plików.lnk

2011-03-31 23:40:31 | 000,000,796 | ---- | M -- C:\Documents and Settings\All Users\Pulpit\EA Download Manager.lnk

2011-03-31 23:39:38 | 000,002,002 | ---- | M -- C:\Documents and Settings\All Users\Pulpit\Crysis® 2.lnk

========== Files Created - No Company Name ==========

2011-04-24 23:51:47 | 001,474,832 | ---- | C -- C:\WINDOWS\System32\drivers\sfi.dat

2011-04-24 21:22:15 | 000,189,112 | ---- | C -- C:\Documents and Settings\Nowy\Moje dokumenty\lol.xml

2011-04-20 16:06:34 | 000,000,020 | -H-- | C -- C:\Documents and Settings\Nowy\Pulpit\1302700283_by_odlotptaszora_500.jpg.sha

2011-04-20 16:06:34 | 000,000,000 | ---- | C -- C:\Documents and Settings\Nowy\Pulpit\1302700283_by_odlotptaszora_500.jpg

2011-04-17 19:22:53 | 000,000,000 | R--- | C -- C:\logwmemory.bin

2011-04-17 01:31:36 | 000,001,030 | ---- | C -- C:\Documents and Settings\All Users\Pulpit\18 WoS Extreme Trucker 2.lnk

2011-04-05 15:36:45 | 000,000,764 | ---- | C -- C:\Documents and Settings\All Users\Pulpit\Shift 2 Unleashed.lnk

2011-04-04 20:18:26 | 000,000,730 | ---- | C -- C:\Documents and Settings\All Users\Pulpit\Dzielenie i łączenie plików.lnk

2011-03-31 23:40:31 | 000,000,796 | ---- | C -- C:\Documents and Settings\All Users\Pulpit\EA Download Manager.lnk

2011-03-31 23:39:38 | 000,002,002 | ---- | C -- C:\Documents and Settings\All Users\Pulpit\Crysis® 2.lnk

2011-03-06 00:15:15 | 000,354,816 | ---- | C -- C:\WINDOWS\System32\psisdecd.dll

2011-02-19 11:08:23 | 000,000,129 | ---- | C -- C:\Documents and Settings\Nowy\Ustawienia lokalne\Dane aplikacji\fusioncache.dat

2011-02-18 00:53:24 | 000,138,160 | ---- | C -- C:\WINDOWS\System32\drivers\PnkBstrK.sys

2011-02-01 00:46:34 | 001,133,520 | ---- | C -- C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\FontCache3.0.0.0.dat

2010-12-06 22:34:19 | 000,000,057 | ---- | C -- C:\Documents and Settings\All Users\Dane aplikacji\ra3.ini

2010-11-27 17:25:39 | 002,434,856 | ---- | C -- C:\WINDOWS\System32\pbsvc_bc2.exe

2010-11-12 13:19:20 | 000,000,056 | ---- | C -- C:\WINDOWS\kgt2k.INI

2010-09-27 20:51:53 | 000,232,968 | ---- | C -- C:\WINDOWS\System32\nvdrsdb0.bin

2010-09-27 20:51:50 | 000,232,968 | ---- | C -- C:\WINDOWS\System32\nvdrsdb1.bin

2010-09-27 20:51:50 | 000,000,001 | ---- | C -- C:\WINDOWS\System32\nvdrssel.bin

2010-08-23 10:27:36 | 000,000,565 | ---- | C -- C:\Documents and Settings\Nowy\Dane aplikacji\myMPQ.ini

2010-06-03 16:56:49 | 002,427,248 | ---- | C -- C:\WINDOWS\System32\pbsvc_heroes.exe

2010-05-08 15:39:10 | 000,138,056 | ---- | C -- C:\Documents and Settings\Nowy\Dane aplikacji\PnkBstrK.sys

2010-05-08 15:38:53 | 000,271,200 | ---- | C -- C:\WINDOWS\System32\PnkBstrB.exe

2010-05-08 15:38:52 | 000,669,184 | ---- | C -- C:\WINDOWS\System32\pbsvc.exe

2010-05-08 15:38:52 | 000,075,136 | ---- | C -- C:\WINDOWS\System32\PnkBstrA.exe

2010-02-07 20:51:28 | 000,000,228 | ---- | C -- C:\WINDOWS\Insurrec.ini

2010-01-24 02:39:52 | 000,000,000 | ---- | C -- C:\Documents and Settings\Nowy\Dane aplikacji\AVSMediaPlayer.m3u

2010-01-17 19:56:30 | 000,000,193 | ---- | C -- C:\WINDOWS\MBMTool.INI

2010-01-10 14:24:58 | 000,043,520 | ---- | C -- C:\WINDOWS\System32\CmdLineExt03.dll

2010-01-10 14:11:00 | 002,183,470 | ---- | C -- C:\WINDOWS\System32\nvdata.bin

2009-12-19 13:06:10 | 000,237,568 | ---- | C -- C:\WINDOWS\System32\lame_enc.dll

2009-12-17 19:57:43 | 001,867,776 | ---- | C -- C:\WINDOWS\System32\python24.dll

2009-12-11 19:25:31 | 000,279,712 | ---- | C -- C:\WINDOWS\System32\drivers\atksgt.sys

2009-12-11 19:25:31 | 000,025,888 | ---- | C -- C:\WINDOWS\System32\drivers\lirsgt.sys

2009-11-27 17:24:30 | 000,021,840 | ---- | C -- C:\WINDOWS\System32\SIntfNT.dll

2009-11-27 17:24:29 | 000,017,212 | ---- | C -- C:\WINDOWS\System32\SIntf32.dll

2009-11-27 17:24:29 | 000,012,067 | ---- | C -- C:\WINDOWS\System32\SIntf16.dll

2009-11-26 20:03:16 | 000,000,019 | ---- | C -- C:\WINDOWS\clony2.ini

2009-11-16 23:31:46 | 000,000,056 | -H-- | C -- C:\WINDOWS\System32\ezsidmv.dat

2009-11-06 11:58:04 | 000,178,975 | ---- | C -- C:\WINDOWS\System32\xlive.dll.cat

2009-11-03 00:45:37 | 000,000,567 | ---- | C -- C:\WINDOWS\wincmd.ini

2009-11-01 19:50:08 | 000,131,072 | ---- | C -- C:\Documents and Settings\Nowy\Ustawienia lokalne\Dane aplikacji\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini

2009-11-01 19:50:08 | 000,000,069 | ---- | C -- C:\WINDOWS\NeroDigital.ini

2009-11-01 17:10:02 | 000,004,096 | ---- | C -- C:\WINDOWS\d3dx.dat

2009-11-01 17:02:38 | 000,001,183 | ---- | C -- C:\WINDOWS\mozver.dat

2009-11-01 16:55:37 | 000,000,000 | ---- | C -- C:\WINDOWS\oodcnt.INI

2009-11-01 16:53:34 | 000,000,000 | ---- | C -- C:\WINDOWS\nsreg.dat

2009-11-01 16:43:33 | 000,000,161 | R--- | C -- C:\WINDOWS\DSLSetup.ini

2009-11-01 16:43:32 | 000,684,265 | R--- | C -- C:\WINDOWS\System32\drivers\torususb.sys

2009-11-01 16:43:32 | 000,036,864 | R--- | C -- C:\WINDOWS\System32\stmclean.exe

2009-11-01 16:43:32 | 000,000,902 | R--- | C -- C:\WINDOWS\System32\setup.ini

2009-11-01 16:38:16 | 000,041,068 | ---- | C -- C:\WINDOWS\System32\ActPanel.dll

2009-11-01 16:37:25 | 000,004,293 | ---- | C -- C:\WINDOWS\ODBCINST.INI

2009-11-01 16:34:37 | 000,112,584 | ---- | C -- C:\WINDOWS\System32\FNTCACHE.DAT

2009-11-01 16:31:38 | 000,643,142 | ---- | C -- C:\WINDOWS\aticlocklib.dll

2009-11-01 16:31:38 | 000,196,653 | ---- | C -- C:\WINDOWS\System32\drivers\aVivid.bin

2009-11-01 16:31:38 | 000,196,608 | ---- | C -- C:\WINDOWS\System32\drivers\nVivid.bin

2009-11-01 16:31:38 | 000,196,608 | ---- | C -- C:\WINDOWS\System32\drivers\nStandard.bin

2009-11-01 16:31:38 | 000,196,608 | ---- | C -- C:\WINDOWS\System32\drivers\nAsmedia.bin

2009-11-01 16:31:38 | 000,196,608 | ---- | C -- C:\WINDOWS\System32\drivers\nAdvanced.bin

2009-11-01 16:31:38 | 000,196,608 | ---- | C -- C:\WINDOWS\System32\drivers\aAdvanced.bin

2009-11-01 16:31:38 | 000,196,582 | ---- | C -- C:\WINDOWS\System32\drivers\aStandard.bin

2009-11-01 16:31:38 | 000,196,582 | ---- | C -- C:\WINDOWS\System32\drivers\aAsmedia.bin

2009-11-01 16:31:38 | 000,110,592 | ---- | C -- C:\WINDOWS\R5ClkLib.dll

2009-11-01 16:31:38 | 000,020,480 | ---- | C -- C:\WINDOWS\HyperDrive.exe

2009-11-01 16:31:38 | 000,000,018 | ---- | C -- C:\WINDOWS\System32\atkid.ini

2009-11-01 16:31:37 | 000,524,288 | ---- | C -- C:\WINDOWS\System32\xvidcore.dll

2009-11-01 16:31:37 | 000,139,264 | ---- | C -- C:\WINDOWS\System32\xvidvfw.dll

2009-11-01 16:31:37 | 000,046,592 | ---- | C -- C:\WINDOWS\System32\asfrench.dll

2009-11-01 16:31:37 | 000,046,080 | ---- | C -- C:\WINDOWS\System32\asrussian.dll

2009-11-01 16:31:37 | 000,046,080 | ---- | C -- C:\WINDOWS\System32\asgerman.dll

2009-11-01 16:31:37 | 000,046,080 | ---- | C -- C:\WINDOWS\System32\aseng.dll

2009-11-01 16:31:37 | 000,045,568 | ---- | C -- C:\WINDOWS\System32\askorean.dll

2009-11-01 16:31:37 | 000,045,568 | ---- | C -- C:\WINDOWS\System32\asjapan.dll

2009-11-01 16:31:37 | 000,045,568 | ---- | C -- C:\WINDOWS\System32\aschs.dll

2009-11-01 16:31:36 | 000,045,568 | ---- | C -- C:\WINDOWS\System32\ASCHT.dll

2009-11-01 16:22:02 | 000,233,472 | R--- | C -- C:\WINDOWS\System32\CMRMDRV3.exe

2009-11-01 16:22:02 | 000,028,672 | R--- | C -- C:\WINDOWS\System32\CMRMDRV3.DLL

2009-11-01 16:21:56 | 000,028,672 | R--- | C -- C:\WINDOWS\CmiPCIUninstall.exe

2009-11-01 15:53:12 | 000,002,048 | --S- | C -- C:\WINDOWS\bootstat.dat

2009-11-01 15:49:18 | 000,021,856 | ---- | C -- C:\WINDOWS\System32\emptyregdb.dat

2007-06-28 18:43:00 | 001,018,772 | ---- | C -- C:\WINDOWS\System32\nvucode.bin

2007-06-28 18:43:00 | 000,286,720 | ---- | C -- C:\WINDOWS\System32\nvnt4cpl.dll

2004-08-04 00:56:48 | 000,001,804 | ---- | C -- C:\WINDOWS\System32\dcache.bin

2004-08-02 14:20:40 | 000,004,569 | ---- | C -- C:\WINDOWS\System32\secupd.dat

2001-10-26 16:56:42 | 000,003,456 | ---- | C -- C:\WINDOWS\System32\drivers\pciide.sys

2001-10-26 16:15:16 | 000,502,222 | ---- | C -- C:\WINDOWS\System32\perfh015.dat

2001-10-26 16:15:16 | 000,313,828 | ---- | C -- C:\WINDOWS\System32\perfi015.dat

2001-10-26 16:15:16 | 000,090,160 | ---- | C -- C:\WINDOWS\System32\perfc015.dat

2001-10-26 16:15:16 | 000,034,990 | ---- | C -- C:\WINDOWS\System32\perfd015.dat

2001-08-23 13:00:00 | 013,107,200 | ---- | C -- C:\WINDOWS\System32\oembios.bin

2001-08-23 13:00:00 | 000,004,463 | ---- | C -- C:\WINDOWS\System32\oembios.dat

2001-08-17 21:30:24 | 000,442,460 | ---- | C -- C:\WINDOWS\System32\perfh009.dat

2001-08-17 21:30:24 | 000,272,128 | ---- | C -- C:\WINDOWS\System32\perfi009.dat

2001-08-17 21:30:24 | 000,028,626 | ---- | C -- C:\WINDOWS\System32\perfd009.dat

2001-08-17 21:30:22 | 000,072,010 | ---- | C -- C:\WINDOWS\System32\perfc009.dat

2001-08-17 21:15:38 | 000,046,258 | ---- | C -- C:\WINDOWS\System32\mib.bin

2001-07-21 22:36:48 | 000,218,003 | ---- | C -- C:\WINDOWS\System32\dssec.dat

2001-07-21 22:36:04 | 000,673,088 | ---- | C -- C:\WINDOWS\System32\mlang.dat

2001-07-21 22:24:16 | 000,000,741 | ---- | C -- C:\WINDOWS\System32\noise.dat

1997-06-14 02:56:08 | 000,056,832 | ---- | C -- C:\WINDOWS\System32\iyvu9_32.dll

========== Custom Scans ==========

< : OTL >

< O4 - HKLM .. \ Run: [NWEReboot] Nie znaleziono pliku >

< >

< : Pliki >

< C: \ Windows \ System32 \ pb.sys >

< C: \ Windows \ System32 \ drivers \ atapi.sys | C: \ Windows \ System32 \ DriverStore \ FileRepository \ mshdc.inf_7de13c21 \ atapi.sys / wymienić >

Invalid Switch: wymienić

< >

< : Komendy >

< [Czystość] >

< [Emptytemp] >

< [EMPTYFLASH] >

< [Restart] >

< End of report >


(krzych5610) #10

Dysk wygląda na pracujący jako Zombie ( BotNet )

Nie wszystko zostało usunięte. Pobierz i uruchom ComboFix http://www.fixitpc.pl/topic/7-dezynfekc ... -combofix/, http://www.fixitpc.pl/topic/7-dezynfekc ... bofix/#cf2. Przed pobieraniem zmień nazwę na np ComboFix-aaa.exe. Zapisać na pulpit.

jeżeli będą problemy z uruchomieniem w trybie normalnym, wykonać w trybie awaryjnym. Jeżeli zainstalowałeś Comodo, to na czas pobierania i pracy powinien być wyłączony Wyjście.

Czy był wykonywany skan za pomocą Kaspersky Rescude Disk10 za pomocą płyty CD (ISO-Bot)? Jest niezbędny.


(Tomeczek11823) #11

Taa obecnie komputer przechodzi drugi skan KRD10. W pierwszym wyleczyło backdoora i usunęło jakiegoś trojana, a teraz skanuje drugi raz aby się upewnić, że nic nie zostało.

P.S O co ci chodzi z tym zombie :o ?

-- Dodane 25.04.2011 (Pn) 17:43 --

Dobra już wiem o co chodzi z tym zombie. Mogę użyć Combo bez żadnych zastrzeżeń ? I rozwiąże on już mój problem?


(Henio Mazurek) #12

Dobra, dość bo komuś się krzywda stanie.

krzych5610 , gratulacje jesteś pierwszym udokumentowanym jasnowidzem na forum (żeby pisać skrypt OTL nie widząc logu?).

TomiBania, stop.

Od początku.

Odinstaluj Comodo (blokery behawioralne instaluje się na czysty system inaczej są bezużyteczne i jedynie zawadzają, do tego Comodo ma kiepskiego antywira i żadne zaklęcia tego nie zmienią).

Dalej, jeśli posiadasz coś na kształt Deamon Tools - do deinstalacji.

Uruchamiasz rkill

Następnie spróbuj zastosować TDSS.Killer, nic nie kasujesz, ma powstać jedynie log.

Do tego log z GMER i MBR.

http://www.gmer.net/

No i jeszcze raz log z OTL bo się tutaj idzie pogubić.


(Tomeczek11823) #13

TDSSKiller nie działa mi. Jak pisałem wyżej nie ładują mi się strony. A jakie później antyviry zainstalować ?

-- Dodane 25.04.2011 (Pn) 19:43 --

Ciemnowidz logi tutaj wrzucić czy na pw ci napisać? Bo te logi będą wyglądały jak ten wyżej z racji tego, że nie mogę uruchomić innych stron niż ta i google.


(Henio Mazurek) #14

Coś Ci zeżarło plik hosts, nie wiem czy to adept czarnej magii krzych5610 czy jakieś inne ustrojstwo. Pewnie stąd problemy z netem.

Na początek wklej w OTL

Wykonaj skrypt.

Potem normalny skan i logi do wglądu. Najlepiej na wklej.org, jeśli się nie da to tutaj, nie na PW.


(Tomeczek11823) #15

Teraz ani mozilla ani internet explorer nie chce mi się uruchomić :(. Niby ten firefox jest w procesach ale wyłączyć go nie mogę.


(krzych5610) #16

Co do skryptu to jest już napisany na http://www.infocarnivore.com/2010/05/19 ... -tdss-565/, nie wymyśliłem żadnej nowości.

Co do możliwości Comodo to ciemnowidz szerzy defetyzm i niesprawdzone informacje.


(system) #17

Spróbuj przeskanować [MBRCheck](http://www.fixitpc.pl/topic/8-dezynfekcja-zbior-narzedzi-usuwajacych/page p 6557) i daj log do sprawdzienia może pojawi się ktoś kto się na tym zna.

BTW. Widziałem parę tematów w których BackDoor.Tdss.565 to fałszywy alarm Doktorka i u ciebie może siedzieć coś innego. Jeśli uda się przeskanować MBRem to wszystko będzie wiadomo.


(Spandau) #18

Skoro nie potrafisz wymyśleć nic nowego, to przynajmniej przestań pisać głupoty w tym temacie. Podałeś link do Combofixa gdzie pisze

Pisze wyraźnie na podstawie logów z konkretnego przypadku To dotyczy wszystkich narzędzi usuwających na podstawie skryptów, takich jak: Combofix, OTL, Avenger itp

TomiBania

Pobierz na nowo (najlepiej na niezainfekowanym komputerze) zapisz na pendrive narzędzie typu Kasperski TDSSKiller http://hostuje.net/file.php?id=bc75fffc ... 4bfa5d48d7 po użyciu narzędzia rkill przeniesiesz go na zainfekowany komputer i spróbujesz uruchomić

Wiemy że nie działa ale zobacz na kolejność użycia narzędzi

Nie wiem czy to jeszcze aktualne, ale po kolei. Nie wiem co konkretnie robiłeś ale zacytuje ciemnowidza

Jak to zrobić tutaj http://www.fixitpc.pl/forum-6/announcem ... ce-napedy/

Uruchamiasz rkill

Zobacz tutaj do czego służy to narzędzie http://www.fixitpc.pl/topic/5-dezynfekc ... czesc-1/#4

Następnie próbujesz uruchomić narzędzie KasperskiTDSSKiller Ważna jest kolejność Najpierw rkill następnie kasperski Chyba że tak robiłeś i narzędzie także nie działa to będziemy próbować inaczej?


(Tomeczek11823) #19

Aha to ja spróbuje w tej kolejności co mi teraz podałeś.

-- Dodane 26.04.2011 (Wt) 15:12 --

Aha i dodam, że komputer w ogóle nie ma połączenia z internetem a co ciekawe jest podłączony kablem do routera.


(Spandau) #20

Najpierw usuwasz infekcje Jeśli trzeba pobierz narzędzia na niezainfekowanym komputerze nagraj na pendrive przenieś i użyj na zainfekowanym komputerze. Wytworzone logi nagraj na pendrive przenieś i zaprezentuj tutaj