cześć Wszystkim mam na imię daria i nie umiem się pozbyć konia trojańskiego beep.sys proszę Was o POMOC
Logi wklejasz na wklej.org lub wklej.to, a w poście dajesz link.
Otwórz Notatnik i wklej do niego:
Plik zapisz pod nazwą CFScript , najlepiej w tym samym folderze co Combofix.exe
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę Combofix.exe
Powinno się rozpocząć usuwanie.
_ Potem dajesz log z usuwania Combofix. _
taki log otrzymałam robiąc tak jak mi mówiłeś : 1. utworzyłam w notatniku
2. przeciągnęłam na combofixa
i taki log wyszedł
proszę powiedz co dalej
ComboFix 09-09-03.02 - HeY 2009-09-06 20:19.7.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1250.48.1045.18.2046.1521 [GMT 2:00]
Uruchomiony z: d:\pobierane\ComboFix.exe
Użyto następujących komend :: d:\pobierane\CFScript.txt
.
- TRYB ZREDUKOWANEJ FUNKCJONALNOŚCI -
.
((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
--------------- FCopy ---------------
c:\windows\system32\dllcache\beep.sys --> c:\windows\system32\drivers\beep.sys
.
((((((((((((((((((((((((( Pliki utworzone od 2009-08-06 do 2009-09-06 )))))))))))))))))))))))))))))))
.
2009-09-04 16:48 . 2009-09-04 16:48 -------- d-----w- c:\program files\Trend Micro
2009-08-31 10:11 . 2009-08-31 10:11 -------- d-----w- c:\documents and settings\HeY\Ustawienia lokalne\Dane aplikacji\ESET
2009-08-31 10:11 . 2009-08-31 10:11 -------- d-----w- c:\documents and settings\HeY\Ustawienia lokalne\Dane aplikacji\Ahead
2009-08-31 10:03 . 2009-08-31 10:03 -------- d-----w- c:\documents and settings\LocalService\Ustawienia lokalne\Dane aplikacji\ESET
2009-08-30 16:29 . 2009-08-30 16:29 22328 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys
2009-08-30 16:28 . 2009-08-30 16:29 103736 ----a-w- c:\windows\system32\PnkBstrB.exe
2009-08-30 16:28 . 2009-08-30 16:28 66872 ----a-w- c:\windows\system32\PnkBstrA.exe
2009-08-27 12:51 . 2009-08-27 12:51 -------- d-----w- c:\program files\IrfanView
2009-08-20 04:07 . 2000-06-26 09:45 106496 ----a-w- c:\windows\system32\TwnLib20.dll
2009-08-20 04:07 . 2004-07-20 15:24 476320 ------w- c:\windows\system32\ImagXpr7.dll
2009-08-20 04:07 . 2004-07-20 15:24 471040 ------w- c:\windows\system32\ImagXRA7.dll
2009-08-20 04:07 . 2004-07-20 15:24 262144 ------w- c:\windows\system32\ImagXR7.dll
2009-08-20 04:07 . 2004-07-20 15:24 1568768 ------w- c:\windows\system32\ImagX7.dll
2009-08-20 04:07 . 2004-07-09 07:43 364544 ------w- c:\windows\system32\TwnLib4.dll
2009-08-20 04:07 . 2001-06-26 06:15 38912 ------w- c:\windows\system32\picn20.dll
2009-08-20 04:06 . 2009-08-20 04:06 -------- d-----w- c:\program files\Common Files\Ahead
2009-08-20 04:06 . 2001-07-09 09:50 155648 ----a-w- c:\windows\system32\NeroCheck.exe
2009-08-20 04:06 . 2009-08-20 04:07 -------- d-----w- c:\program files\Ahead
2009-08-19 16:41 . 2009-08-19 16:41 -------- d-----w- c:\windows\system32\LogFiles
2009-08-15 16:55 . 2009-08-15 16:55 -------- d-----w- c:\documents and settings\HeY\Dane aplikacji\CyberLink
2009-08-15 11:03 . 2009-08-15 11:03 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\CyberLink
2009-08-15 11:02 . 2009-08-15 11:02 -------- d-----w- c:\program files\CyberLink
2009-08-15 10:05 . 2008-10-24 11:10 453632 -c----w- c:\windows\system32\dllcache\mrxsmb.sys
2009-08-15 10:04 . 2008-06-14 18:01 273024 -c----w- c:\windows\system32\dllcache\bthport.sys
2009-08-15 10:04 . 2008-06-14 18:01 273024 ------w- c:\windows\system32\drivers\bthport.sys
2009-08-15 10:04 . 2009-02-09 11:52 2017280 -c----w- c:\windows\system32\dllcache\ntkrpamp.exe
2009-08-15 10:04 . 2009-02-09 11:52 2059008 -c----w- c:\windows\system32\dllcache\ntkrnlpa.exe
2009-08-15 10:04 . 2009-02-09 11:52 2181760 -c----w- c:\windows\system32\dllcache\ntoskrnl.exe
2009-08-15 10:04 . 2009-02-09 11:52 2137600 -c----w- c:\windows\system32\dllcache\ntkrnlmp.exe
2009-08-15 09:54 . 2009-08-27 09:36 -------- d–h--w- c:\windows$hf_mig$
2009-08-14 19:03 . 2009-08-14 19:03 -------- d-----w- c:\windows\Sun
2009-08-14 19:02 . 2009-08-14 19:02 411368 ----a-w- c:\windows\system32\deploytk.dll
2009-08-14 19:02 . 2009-08-14 19:02 -------- d-----w- c:\program files\Java
.
(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-06 17:50 . 2001-10-26 14:15 49712 ----a-w- c:\windows\system32\perfc015.dat
2009-09-06 17:50 . 2001-10-26 14:15 355830 ----a-w- c:\windows\system32\perfh015.dat
2009-09-04 18:56 . 2009-08-14 14:44 -------- d-----w- c:\documents and settings\HeY\Dane aplikacji\Skype
2009-09-04 18:32 . 2009-08-14 14:49 -------- d-----w- c:\documents and settings\HeY\Dane aplikacji\skypePM
2009-09-01 18:34 . 2009-08-14 14:31 -------- d-----w- c:\program files\Gadu-Gadu
2009-08-30 16:29 . 2009-08-30 16:29 22328 ----a-w- c:\documents and settings\HeY\Dane aplikacji\PnkBstrK.sys
2009-08-15 11:03 . 2009-08-14 14:05 -------- d–h--w- c:\program files\InstallShield Installation Information
2009-08-14 15:11 . 2009-08-14 15:11 -------- d-----w- c:\program files\ESET
2009-08-14 15:11 . 2009-08-14 15:11 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\ESET
2009-08-14 15:08 . 2009-08-14 14:35 -------- d-----w- c:\program files\Common Files\Adobe
2009-08-14 15:03 . 2009-08-14 15:03 -------- d-----w- c:\program files\Real Alternative
2009-08-14 15:00 . 2009-08-14 15:00 -------- d-----w- c:\documents and settings\HeY\Dane aplikacji\Media Player Classic
2009-08-14 14:59 . 2009-08-14 14:59 -------- d-----w- c:\documents and settings\HeY\Dane aplikacji\BESTplayer
2009-08-14 14:56 . 2009-08-14 14:56 -------- d-----w- c:\program files\K-Lite Codec Pack
2009-08-14 14:49 . 2009-08-14 14:49 56 —ha-w- c:\windows\system32\ezsidmv.dat
2009-08-14 14:44 . 2009-08-14 14:43 -------- d-----r- c:\program files\Skype
2009-08-14 14:43 . 2009-08-14 14:43 -------- d-----w- c:\program files\Common Files\Skype
2009-08-14 14:43 . 2009-08-14 14:43 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Skype
2009-08-14 14:36 . 2009-08-14 14:36 -------- d-----w- c:\program files\CCleaner
2009-08-14 14:31 . 2009-08-14 14:31 -------- d-----w- c:\documents and settings\HeY\Dane aplikacji\Gadu-Gadu
2009-08-14 14:29 . 2009-08-14 14:29 -------- d-----w- c:\program files\Winamp
2009-08-14 14:29 . 2009-08-14 14:29 88064 ----a-w- c:\windows\system32\AudioExCtl.dll
2009-08-14 14:29 . 2009-08-14 14:29 -------- d-----w- c:\program files\Mjuice Media Player
2009-08-14 14:27 . 2009-08-14 14:27 15792 ----a-w- c:\documents and settings\HeY\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT
2009-08-14 14:25 . 2009-08-14 14:25 0 ----a-w- c:\windows\nsreg.dat
2009-08-14 14:22 . 2009-08-14 13:59 -------- d-----w- c:\program files\microsoft frontpage
2009-08-14 14:16 . 2009-08-14 14:16 -------- d-----w- c:\program files\SAGEM
2009-08-14 14:16 . 2009-08-14 14:06 -------- d-----w- c:\program files\Common Files\InstallShield
2009-08-14 14:08 . 2009-08-14 14:06 -------- d-----w- c:\program files\Realtek
2009-08-14 14:08 . 2009-08-14 14:05 16608 ----a-w- c:\windows\gdrv.sys
2009-08-14 14:06 . 2009-08-14 14:06 319488 ----a-w- c:\windows\HideWin.exe
2009-08-14 14:06 . 2009-08-14 14:06 -------- d-----w- c:\program files\AMD
2009-08-14 14:06 . 2009-08-14 14:06 -------- d-----w- c:\documents and settings\HeY\Dane aplikacji\InstallShield
2009-08-14 14:05 . 2009-08-14 14:05 -------- d-----w- c:\program files\Browser Configuration Utility
2009-08-14 13:58 . 2009-08-14 13:58 -------- d-----w- c:\program files\Usługi online
2009-08-14 13:56 . 2009-08-14 13:56 21856 ----a-w- c:\windows\system32\emptyregdb.dat
2009-08-05 09:08 . 2004-08-03 22:44 205312 ----a-w- c:\windows\system32\mswebdvd.dll
2009-07-29 04:54 . 2004-08-03 22:44 119808 ----a-w- c:\windows\system32\t2embed.dll
2009-07-29 04:54 . 2001-10-26 15:29 82432 ----a-w- c:\windows\system32\fontsub.dll
2009-07-17 18:57 . 2004-08-03 22:43 58880 ----a-w- c:\windows\system32\atl.dll
2009-07-13 00:18 . 2004-08-03 22:44 233472 ----a-w- c:\windows\system32\wmpdxm.dll
2009-06-26 16:19 . 2004-08-03 22:44 662016 ------w- c:\windows\system32\wininet.dll
2009-06-26 16:19 . 2004-08-03 22:44 81920 ----a-w- c:\windows\system32\ieencode.dll
2009-06-25 18:37 . 2004-08-03 22:44 95744 ----a-w- c:\windows\system32\mqsec.dll
2009-06-25 18:37 . 2004-08-03 22:44 661504 ----a-w- c:\windows\system32\mqqm.dll
2009-06-25 18:37 . 2004-08-03 22:44 517120 ----a-w- c:\windows\system32\mqsnap.dll
2009-06-25 18:37 . 2004-08-03 22:44 512000 ----a-w- c:\windows\system32\mqutil.dll
2009-06-25 18:37 . 2004-08-03 22:44 48640 ----a-w- c:\windows\system32\mqupgrd.dll
2009-06-25 18:37 . 2004-08-03 22:44 47104 ----a-w- c:\windows\system32\mqdscli.dll
2009-06-25 18:37 . 2004-08-03 22:44 225280 ----a-w- c:\windows\system32\mqoa.dll
2009-06-25 18:37 . 2004-08-03 22:44 186880 ----a-w- c:\windows\system32\mqtrig.dll
2009-06-25 18:37 . 2004-08-03 22:44 177152 ----a-w- c:\windows\system32\mqrt.dll
2009-06-25 18:37 . 2004-08-03 22:44 16896 ----a-w- c:\windows\system32\mqise.dll
2009-06-25 18:37 . 2004-08-03 22:44 138240 ----a-w- c:\windows\system32\mqad.dll
2009-06-25 18:37 . 2004-08-03 22:44 123392 ----a-w- c:\windows\system32\mqrtdep.dll
2009-06-22 11:49 . 2004-08-03 22:44 19968 ----a-w- c:\windows\system32\mqbkup.exe
2009-06-22 11:49 . 2004-08-03 22:44 117248 ----a-w- c:\windows\system32\mqtgsvc.exe
2009-06-22 11:49 . 2004-08-03 22:44 4608 ----a-w- c:\windows\system32\mqsvc.exe
2009-06-22 11:48 . 2004-08-03 20:58 91776 ----a-w- c:\windows\system32\drivers\mqac.sys
2009-06-15 11:33 . 2004-08-03 22:44 78336 ----a-w- c:\windows\system32\telnet.exe
2009-06-15 11:33 . 2004-08-03 22:44 82944 ----a-w- c:\windows\system32\tlntsess.exe
2009-06-10 14:25 . 2004-08-03 22:43 84992 ----a-w- c:\windows\system32\avifil32.dll
2009-06-10 06:31 . 2004-08-03 22:44 132096 ----a-w- c:\windows\system32\wkssvc.dll
.
((((((((((((((((((((((((((((( SnapShot@2009-09-04_18.02.56 )))))))))))))))))))))))))))))))))))))))))
.
- 2001-08-17 19:30 . 2009-09-06 17:50 40128 c:\windows\system32\perfc009.dat
-
2001-08-17 19:30 . 2009-09-04 18:00 40128 c:\windows\system32\perfc009.dat
-
2001-08-17 19:47 . 2001-08-17 19:47 4224 c:\windows\system32\dllcache\beep.sys
-
2001-08-17 19:47 . 2001-08-17 19:47 4224 c:\windows\system32\dllcache\beep.sys
-
2001-08-17 19:30 . 2009-09-06 17:50 311740 c:\windows\system32\perfh009.dat
- 2001-08-17 19:30 . 2009-09-04 18:00 311740 c:\windows\system32\perfh009.dat
.
((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“NvCplDaemon”=“c:\windows\system32\NvCpl.dll” [2008-08-02 13570048]
[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
“CTFMON.EXE”=“c:\windows\system32\CTFMON.EXE” [2004-08-03 15360]
[HKLM~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Microsoft Office.lnk]
path=c:\documents and settings\All Users\Menu Start\Programy\Autostart\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup
[HKLM~\startupfolder\c:^documents and settings^hey^menu start^programy^autostart^ikowin32.exe]
path=c:\documents and settings\HeY\Menu Start\Programy\Autostart\ikowin32.exe
backup=c:\windows\pss\ikowin32.exeStartup
[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
“EnableFirewall”= 0 (0x0)
[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
“%windir%\system32\sessmgr.exe”=
“c:\WINDOWS\system32\PnkBstrA.exe”=
“c:\WINDOWS\system32\PnkBstrB.exe”=
“c:\Program Files\Gadu-Gadu\gg.exe”=
“c:\Program Files\Skype\Phone\Skype.exe”=
R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [2008-10-24 34824]
.
.
------- Skan uzupełniający -------
.
FF - ProfilePath - c:\documents and settings\HeY\Dane aplikacji\Mozilla\Firefox\Profiles\dthocj4l.default\
FF - component: c:\program files\Mozilla Firefox\extensions{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-09-06 20:19
Windows 5.1.2600 Dodatek Service Pack 2 NTFS
skanowanie ukrytych procesów …
skanowanie ukrytych wpisów autostartu …
skanowanie ukrytych plików …
skanowanie pomyślnie ukończone
ukryte pliki: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Beep]
.
--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------
-
-
-
-
-
-
- > ‘explorer.exe’(3948)
-
-
-
-
-
c:\windows\system32\msi.dll
.
Czas ukończenia: 2009-09-06 20:20
ComboFix-quarantined-files.txt 2009-09-06 18:20
ComboFix2.txt 2009-09-06 17:52
ComboFix3.txt 2009-09-06 11:46
ComboFix4.txt 2009-09-06 10:27
ComboFix5.txt 2009-09-06 18:19
Przed: 100 700 663 808 bajtów wolnych
Po: 100 691 570 688 bajtów wolnych
182 — E O F — 2009-08-15 11:08
Logi wklejasz na wklej.org lub wklej.to, a w poście tylko link do wklejki
Log wygląda na czysty.
Pobierz i zastosuj OTC.
(Na Windows Vista uruchamiamy program z menu Uruchom jako Administrator… )
Wyczyść rejestr i dysk CCleaner.
Wykonaj pełny skan Malwarebytes’ Anti-Malware - znalezione obiekty usuń.
Gdy będą wirusy pokaż raport.
oki mam xp zaraz zrobię wszystko co mi każesz dzięki zaraz zobaczymy czy pomoże
– Dodane 06.09.2009 (N) 20:46 –
powiedz mi jak włączyło mi się okienko programu Malwarebytes’ Anti-Malware to również pojawiło się okno :Ochrona plików systemu Windows a w nim " Pliki wymagane do prawidłowego działania systemu windows zostały zastąpione nie rozpoznanymi wersjami. Aby zapewnić stabilność systemu, system Windows musi przywrócić oryginalne wersje tych plików. Włóż teraz Dysk CD-ROM systemu Windows XP.
Moje pytanie brzmi : czy najpierw skan programem Malwarebytes’ Anti-Malware czy najpierw włożyć płytkę z XP ??? :razz: dzięki w ogóle za poświęcony czas
anuluj i kliknij tak. skanuj MAM.
wyskoczyło że mam dwa zainfekowane pliki no i nacisnąłem usuń wszystkie i wyskoczyło taki log :
Malwarebytes’ Anti-Malware 1.40
Wersja bazy definicji: 2748
Windows 5.1.2600 Dodatek Service Pack 2
2009-09-06 21:00:43
mbam-log-2009-09-06 (21-00-43).txt
Typ skanowania: Pełne skanowanie (C:|D:|E:|)
Przeskanowane obiekty: 114435
Upłynęło: 8 minute(s), 8 second(s)
Zainfekowane procesy w pamięci: 0
Zainfekowane moduły pamięci: 0
Zainfekowane klucze rejestru: 0
Zainfekowane wartości rejestru: 0
Zainfekowane pliki rejestru: 2
Zainfekowane foldery: 0
Zainfekowane pliki: 0
Zainfekowane procesy w pamięci:
(Nie wykryto groźnych plików)
Zainfekowane moduły pamięci:
(Nie wykryto groźnych plików)
Zainfekowane klucze rejestru:
(Nie wykryto groźnych plików)
Zainfekowane wartości rejestru:
(Nie wykryto groźnych plików)
Zainfekowane pliki rejestru:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\BITS\ImagePath (Hijack.WindowsUpdates) -> Bad: (%fystemRoot%\system32\svchost.exe -k netsvcs) Good: (%SystemRoot%\System32\svchost.exe -k netsvcs) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\wuauserv\ImagePath (Hijack.WindowsUpdates) -> Bad: (%fystemroot%\system32\svchost.exe -k netsvcs) Good: (%SystemRoot%\System32\svchost.exe -k netsvcs) -> Quarantined and deleted successfully.
Zainfekowane foldery:
(Nie wykryto groźnych plików)
Zainfekowane pliki:
(Nie wykryto groźnych plików)
i co teraz ??? już po wszystkim czy coś jednak jeszcze jest
???
– Dodane 06.09.2009 (N) 21:04 –
i co myślicie ??? już po wszystkim ??? :?:
– Dodane 06.09.2009 (N) 21:24 –
dalej MAM wykrył dwie infekcje
Co do stosowania tutaj polecenia SkipFix to bym polemizował, do tego log jeszcze czysty nie jest.
daria84 , uruchom ComboFix z dwukliku by zrobić programowi zadość.
Doklej log z OTL i System Repair Engineer
W OTL przestaw Services na All.