Błąd otwierania dysków - E9NAQ.EXE

system · 5 Styczeń 2010 20:35

Witam miałem problem z otwieraniem dysków C,D.

Kiedy klikałem otwórz, Kaspersky spytał czy ufam tej aplikacji (E9NAQ.EXE) w pierwszej chwili zdziwiłem się co to jest i kliknąłem zablokuj, ale na drugim dysku (D) kliknąłem tylko ogranicz. Później zorientowałem się, że to może być wirus. Dodałem go więc do niezaufanych. Dokładną lokacje pliku pokazywało na dysk C i D. Wszedłem więc w kwarantanne do Kasperskiego i dodałem te pliki z dwóch dysków ręcznie. Ale wydaje mi się że wirus mógł już sporo namieszać i pozmieniać pliki w rejestrze…

Mam tutaj logi z ComboFix oraz HJT.

Proszę o sprawdzenie tego, z góry dziękuje.

ComboFix 10-01-04.01 - StrQ 2010-01-05 21:03:29.1.1 - x86

Microsoft Windows XP Professional 5.1.2600.2.1250.48.1045.18.1536.1194 [GMT 1:00]

Uruchomiony z: c:\documents and settings\StrQ\Pulpit\ComboFix.exe

AV: Kaspersky Internet Security *On-access scanning disabled* (Updated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}

FW: Kaspersky Internet Security *disabled* {2C4D4BC6-0793-4956-A9F9-E252435469C0}

UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA

.

((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\autorun.inf

c:\docume~1\StrQ\USTAWI~1\Temp\cvasds0.dll

c:\docume~1\StrQ\USTAWI~1\Temp\cvasds1.dll

c:\windows\system32\ieuinit.inf

c:\windows\system32\msssc.dll

D:\autorun.inf

.

((((((((((((((((((((((((((((((((((((((( Sterowniki/Usługi )))))))))))))))))))))))))))))))))))))))))))))))))

.

-------\Service_AVPsys

((((((((((((((((((((((((( Pliki utworzone od 2009-12-05 do 2010-01-05 )))))))))))))))))))))))))))))))

.

2010-01-05 19:56 . 2010-01-05 19:56 -------- d-----w- c:\program files\Trend Micro

2010-01-05 19:31 . 2010-01-05 19:31 80400 ----a-w- c:\documents and settings\All Users\Dane aplikacji\Kaspersky Lab\AVP9\Data\Updater\Temporary Files\rollback\patch\AutoPatches\kav9exec\9.0.0.736\fssync.dll

2010-01-05 19:31 . 2010-01-05 19:31 397328 ----a-w- c:\documents and settings\All Users\Dane aplikacji\Kaspersky Lab\AVP9\Data\Updater\Temporary Files\rollback\patch\AutoPatches\kav9exec\9.0.0.736\oeas.dll

2010-01-05 19:31 . 2010-01-05 19:31 19472 ----a-w- c:\documents and settings\All Users\Dane aplikacji\Kaspersky Lab\AVP9\Data\Updater\Temporary Files\rollback\patch\AutoPatches\kav9exec\9.0.0.736\kloehk.dll

2010-01-05 17:59 . 2010-01-05 18:04 118272 --sh–r- C:\e9naq.exe

2010-01-01 22:03 . 2010-01-01 22:03 -------- d-----w- c:\documents and settings\StrQ\Dane aplikacji\ESET

2010-01-01 22:02 . 2010-01-01 22:02 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\ESET

2010-01-01 19:40 . 2010-01-01 19:40 -------- d-----w- c:\documents and settings\StrQ\Ustawienia lokalne\Dane aplikacji\Identities

2009-12-20 22:15 . 2009-12-20 22:15 -------- d-----w- c:\windows$regcmp$

2009-12-20 18:42 . 2009-10-09 18:00 94208 ----a-w- c:\documents and settings\StrQ\Dane aplikacji\Nowe Gadu-Gadu_userdata\nprpjplug.dll

2009-12-20 18:42 . 2009-10-09 18:00 140864 ----a-w- c:\documents and settings\StrQ\Dane aplikacji\Nowe Gadu-Gadu_userdata\nppl3260.dll

2009-12-20 18:42 . 2009-12-20 18:42 -------- d-----w- c:\program files\Real Alternative

2009-12-20 18:42 . 2004-01-11 22:00 348160 ----a-w- c:\windows\system32\msvcr71.dll

2009-12-20 18:42 . 2003-03-19 03:14 499712 ----a-w- c:\windows\system32\msvcp71.dll

2009-12-20 18:39 . 2009-12-20 18:39 -------- d-----w- c:\documents and settings\StrQ\Dane aplikacji\BESTplayer

2009-12-20 13:00 . 2009-12-20 13:00 -------- d-----w- c:\program files\Eusing Free Registry Cleaner

2009-12-20 12:41 . 2009-12-20 12:41 -------- d-----w- c:\program files\Registry Clean Expert

2009-12-20 12:41 . 2002-01-05 10:37 344064 ----a-w- c:\windows\system32\msvcr70.dll

2009-12-20 12:41 . 2002-01-05 04:40 487424 ----a-w- c:\windows\system32\msvcp70.dll

2009-12-20 12:41 . 2009-12-20 12:41 -------- d-----w- c:\program files\AML Products

2009-12-20 12:41 . 2002-01-05 05:48 974848 ----a-w- c:\windows\system32\mfc70.dll

2009-12-19 18:30 . 2010-01-05 18:28 -------- d-----w- C:\output

2009-12-17 17:44 . 2010-01-04 21:21 -------- d—a-w- c:\documents and settings\All Users\Dane aplikacji\TEMP

2009-12-17 16:32 . 2003-06-19 00:31 18944 ----a-w- c:\windows\system32\Spool\prtprocs\w32x86\mdippr.dll

2009-12-17 16:32 . 2003-06-19 00:31 17920 ----a-w- c:\windows\system32\mdimon.dll

2009-12-17 16:31 . 2009-12-17 16:31 -------- d-----w- c:\windows\SHELLNEW

2009-12-17 16:31 . 2009-12-17 16:31 -------- d-----w- c:\program files\Microsoft.NET

2009-12-17 16:26 . 2009-12-17 16:26 -------- d-----w- c:\documents and settings\StrQ\Dane aplikacji\Thinstall

2009-12-16 16:07 . 2009-12-16 16:07 -------- d-----w- c:\program files\Netropa

2009-12-16 16:07 . 2002-07-11 05:47 98304 ----a-w- c:\windows\system32\Msikbd.dll

2009-12-16 16:07 . 2001-12-20 07:02 6656 ----a-w- c:\windows\system32\drivers\Msikbd2k.sys

2009-12-16 16:07 . 2000-06-08 00:09 28672 ----a-w- c:\windows\system32\msiosd32.dll

2009-12-15 18:20 . 2009-12-15 18:20 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\OpenFM

2009-12-15 18:20 . 2009-12-15 18:20 -------- d-----w- c:\documents and settings\StrQ\Dane aplikacji\OpenFM

2009-12-11 17:03 . 1998-04-23 23:00 368912 ----a-w- c:\windows\system32\vbar332.dll

.

(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-01-05 20:09 . 2010-01-05 18:06 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Kaspersky Lab

2010-01-05 19:54 . 2009-11-27 16:29 -------- d-----w- c:\documents and settings\StrQ\Dane aplikacji\AIMP

2010-01-05 19:31 . 2010-01-05 19:31 109072 ----a-w- c:\documents and settings\All Users\Dane aplikacji\Kaspersky Lab\AVP9\Data\Updater\Temporary Files\rollback\patch\AutoPatches\kav9exec\9.0.0.736\mzvkbd3.dll

2010-01-05 19:31 . 2010-01-05 19:31 315408 ----a-w- c:\documents and settings\All Users\Dane aplikacji\Kaspersky Lab\AVP9\Data\Updater\Temporary Files\rollback\patch\AutoPatches\kav9exec\9.0.0.736\sys\i386\5.1\klif.sys

2010-01-05 19:31 . 2010-01-05 19:31 397328 ----a-w- c:\documents and settings\All Users\Dane aplikacji\Kaspersky Lab\AVP9\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav9exec\9.0.0.736\oeas.dll

2010-01-05 19:31 . 2010-01-05 19:31 109072 ----a-w- c:\documents and settings\All Users\Dane aplikacji\Kaspersky Lab\AVP9\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav9exec\9.0.0.736\mzvkbd3.dll

2010-01-05 19:31 . 2010-01-05 19:31 17936 ----a-w- c:\documents and settings\All Users\Dane aplikacji\Kaspersky Lab\AVP9\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav9exec\9.0.0.736\kloehk.dll

2010-01-05 19:30 . 2010-01-05 19:30 80400 ----a-w- c:\documents and settings\All Users\Dane aplikacji\Kaspersky Lab\AVP9\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav9exec\9.0.0.736\fssync.dll

2010-01-05 19:30 . 2010-01-05 19:30 315408 ----a-w- c:\documents and settings\All Users\Dane aplikacji\Kaspersky Lab\AVP9\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav9exec\9.0.0.736\sys\i386\5.1\klif.sys

2010-01-05 18:07 . 2010-01-05 18:07 95259 ----a-w- c:\windows\system32\drivers\klick.dat

2010-01-05 18:07 . 2010-01-05 18:07 108059 ----a-w- c:\windows\system32\drivers\klin.dat

2010-01-05 18:06 . 2010-01-05 18:06 -------- d-----w- c:\program files\Kaspersky Lab

2010-01-05 18:04 . 2009-11-27 15:17 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Kaspersky Lab Setup Files

2010-01-02 15:31 . 2009-11-27 16:24 -------- d-----w- c:\program files\Gadu-Gadu

2009-12-30 21:45 . 2009-11-27 16:25 -------- d-----w- c:\documents and settings\StrQ\Dane aplikacji\Nowe Gadu-Gadu

2009-12-20 16:03 . 2009-11-27 14:43 -------- d-----w- c:\program files\Common Files\InstallShield

2009-12-19 18:32 . 2009-11-27 14:58 42944 ----a-w- c:\documents and settings\StrQ\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT

2009-12-16 16:07 . 2009-11-27 14:44 -------- d–h--w- c:\program files\InstallShield Installation Information

2009-12-12 11:50 . 2009-12-05 12:58 249856 ------w- c:\windows\Setup1.exe

2009-12-12 11:50 . 2009-12-05 12:58 73216 ----a-w- c:\windows\ST6UNST.EXE

2009-12-11 19:53 . 2009-11-27 14:30 86327 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat

2009-12-10 18:46 . 2009-11-27 16:23 -------- d-----w- c:\program files\AIMP2

2009-12-05 16:08 . 2009-12-05 16:08 716272 ----a-w- c:\windows\system32\drivers\sptd.sys

2009-12-03 15:27 . 2009-11-27 17:45 -------- d-----w- c:\documents and settings\StrQ\Dane aplikacji\Ahead

2009-11-27 18:07 . 2009-11-27 18:07 -------- d-----w- c:\documents and settings\StrQ\Dane aplikacji\Media Player Classic

2009-11-27 17:41 . 2009-11-27 17:41 -------- d-----w- c:\program files\Common Files\Ahead

2009-11-27 17:41 . 2009-11-27 17:41 -------- d-----w- c:\program files\Nero

2009-11-27 16:33 . 2009-11-27 15:13 -------- d-----w- c:\documents and settings\StrQ\Dane aplikacji\iPlus

2009-11-27 16:33 . 2009-11-27 15:31 -------- d-----w- c:\program files\iPlus

2009-11-27 16:25 . 2009-11-27 16:25 -------- d-----w- c:\program files\Nowe Gadu-Gadu

2009-11-27 16:25 . 2009-11-27 16:25 -------- d-----w- c:\documents and settings\StrQ\Dane aplikacji\Gadu-Gadu

2009-11-27 16:20 . 2009-11-27 16:20 -------- d-----w- c:\program files\K-Lite Codec Pack

2009-11-27 16:18 . 2009-11-27 16:18 -------- d-----w- c:\program files\CCleaner

2009-11-27 15:56 . 2009-11-27 15:56 0 ----a-w- c:\windows\nsreg.dat

2009-11-27 15:15 . 2001-10-26 16:15 74230 ----a-w- c:\windows\system32\perfc015.dat

2009-11-27 15:15 . 2001-10-26 16:15 448004 ----a-w- c:\windows\system32\perfh015.dat

2009-11-27 14:58 . 2009-11-27 14:58 -------- d-----w- c:\documents and settings\StrQ\Dane aplikacji\ATI

2009-11-27 14:54 . 2009-11-27 14:49 -------- d-----w- c:\program files\ATI Technologies

2009-11-27 14:53 . 2009-11-27 14:53 9158 ----a-r- c:\documents and settings\StrQ\Dane aplikacji\Microsoft\Installer{C941F1F1-25B3-4DF5-83E6-888C51A1AAB6}\ARPPRODUCTICON.exe

2009-11-27 14:53 . 2009-11-27 14:53 -------- d-----w- c:\program files\Common Files\ATI Technologies

2009-11-27 14:44 . 2009-11-27 14:44 -------- d-----w- c:\program files\Analog Devices

2009-11-27 14:44 . 2009-11-27 14:43 -------- d-----w- c:\program files\VIA

2009-11-27 14:31 . 2009-11-27 14:31 -------- d-----w- c:\program files\microsoft frontpage

2009-11-27 14:29 . 2009-11-27 14:29 -------- d-----w- c:\program files\Usługi online

2009-11-27 14:27 . 2009-11-27 14:27 21856 ----a-w- c:\windows\system32\emptyregdb.dat

2009-11-09 18:00 . 2009-11-27 16:20 85504 ----a-w- c:\windows\system32\ff_vfw.dll

2009-11-02 15:02 . 2009-11-02 15:02 59992 ----a-w- c:\documents and settings\All Users\Dane aplikacji\Kaspersky Lab Setup Files\Kaspersky Internet Security 2010 9.0.0.736\Polish\setup.exe

2009-10-28 12:44 . 2009-10-28 12:44 42088 ----a-w- c:\documents and settings\StrQ\Dane aplikacji\Nowe Gadu-Gadu_userdata\ggbho.1.dll

2009-10-28 12:04 . 2009-10-28 12:04 11264 ----a-w- c:\documents and settings\StrQ\Dane aplikacji\Nowe Gadu-Gadu_userdata\npgg.1.dll

2009-10-20 18:34 . 2009-10-20 18:34 219664 ----a-w- c:\windows\system32\klogon.dll

2009-10-14 19:18 . 2009-10-14 19:18 36880 ----a-w- c:\windows\system32\drivers\klbg.sys

.

((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))

.

*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“AVP”=“c:\program files\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe” [2009-10-20 340456]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

“CTFMON.EXE”=“c:\windows\system32\CTFMON.EXE” [2004-08-03 15360]

[HKLM~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^VIA RAID TOOL.lnk]

backup=c:\windows\pss\VIA RAID TOOL.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATICCC]

2006-05-10 10:12 90112 ----a-w- c:\program files\ATI Technologies\ATI.ACE\CLIStart.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]

2004-08-03 23:44 15360 ------w- c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iPlusManager]

2009-05-06 07:39 438272 ----a-w- c:\program files\iPlus\iPlusChecker.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MULTIMEDIA KEYBOARD]

2002-12-20 23:56 167936 ----a-w- c:\program files\Netropa\Multimedia Keyboard\MMKeybd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]

“DisableMonitoring”=dword:00000001

[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

“EnableFirewall”= 0 (0x0)

[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

“%windir%\system32\sessmgr.exe”=

R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [2009-10-14 36880]

R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [2009-12-05 716272]

R0 viasraid;viasraid;c:\windows\system32\drivers\viasraid.sys [2009-11-27 77312]

R1 msikbd2k;Multimedia Keyboard Filter Driver;c:\windows\system32\drivers\Msikbd2k.sys [2009-12-16 6656]

R2 nhksrv;Netropa NHK Server;c:\program files\Netropa\Multimedia Keyboard\nhksrv.exe [2009-12-16 28672]

R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [2009-09-14 32272]

R3 klmouflt;Kaspersky Lab KLMOUFLT;c:\windows\system32\drivers\klmouflt.sys [2009-10-02 19472]

.

------- Skan uzupełniający -------

.

IE: Dodaj do blokowanych banerów - c:\program files\Kaspersky Lab\Kaspersky Internet Security 2010\ie_banner_deny.htm

IE: Eksport do programu Microsoft Excel - d:\progra~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

FF - ProfilePath - c:\documents and settings\StrQ\Dane aplikacji\Mozilla\Firefox\Profiles\r3qv5exy.default\

FF - component: c:\program files\Mozilla Firefox\extensions\linkfilter@kaspersky.ru\components\KavLinkFilter.dll

FF - plugin: c:\documents and settings\StrQ\Dane aplikacji\Nowe Gadu-Gadu_userdata\npgg.1.dll

FF - plugin: c:\documents and settings\StrQ\Dane aplikacji\Nowe Gadu-Gadu_userdata\nppl3260.dll

FF - plugin: c:\documents and settings\StrQ\Dane aplikacji\Nowe Gadu-Gadu_userdata\nprpjplug.dll

.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2010-01-05 21:09

Windows 5.1.2600 Dodatek Service Pack 2 NTFS

skanowanie ukrytych procesów …

skanowanie ukrytych wpisów autostartu …

skanowanie ukrytych plików …

skanowanie pomyślnie ukończone

ukryte pliki: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully

user: MBR read successfully

called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll UNKNOWN [0x899191F8]

kernel: MBR read successfully

detected MBR rootkit hooks:

\Driver\Disk - CLASSPNP.SYS @ 0xf763bfc3

\Driver\ACPI - ACPI.sys @ 0xf7498cb8

\Driver\atapi - 0x899191f8

IoDeviceObjectType - DeleteProcedure - ntoskrnl.exe @ 0x805a1afe

ParseProcedure - ntoskrnl.exe @ 0x80570a6e

\Device\Harddisk0\DR0 - DeleteProcedure - ntoskrnl.exe @ 0x805a1afe

ParseProcedure - ntoskrnl.exe @ 0x80570a6e

NDIS: - SendCompleteHandler - 0x0

PacketIndicateHandler - 0x0

SendHandler - 0x0

Warning: possible MBR rootkit infection !

user kernel MBR OK

**************************************************************************

.

--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------

- - - - ‘winlogon.exe’(676)

c:\windows\system32\Ati2evxx.dll

- - - - ‘explorer.exe’(3400)

c:\program files\Common Files\Ahead\Lib\NeroDigitalExt.dll

c:\program files\ATI Technologies\ATI.ACE\atiacmxx.dll

.

------------------------ Pozostałe uruchomione procesy ------------------------

.

c:\windows\system32\Ati2evxx.exe

c:\program files\Analog Devices\SoundMAX\SMAgent.exe

d:\program files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

c:\windows\system32\wscntfy.exe

.

**************************************************************************

.

Czas ukończenia: 2010-01-05 21:12:35 - komputer został uruchomiony ponownie

ComboFix-quarantined-files.txt 2010-01-05 20:12

Przed: 3 975 569 408 bajtów wolnych

Po: 3 840 552 960 bajtów wolnych

- End Of File - - 5E3FEBA73F556CD05242C124BA8F2E65

HJT

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 20:56:31, on 2010-01-05

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe

C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

d:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe

C:\Program Files\iPlus\iPlusManager.exe

C:\Program Files\Nowe Gadu-Gadu\gg.exe

C:\Program Files\Nowe Gadu-Gadu\spellchecker_gg.exe

C:\Program Files\ATI Technologies\ATI.ACE\cli.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\ievkbd.dll

O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll

O4 - HKLM…\Run: [AVP] “C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe”

O4 - HKCU…\Run: [cdoosoft] C:\DOCUME~1\StrQ\USTAWI~1\Temp\herss.exe

O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA LOKALNA’)

O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA SIECIOWA’)

O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’)

O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’)

O8 - Extra context menu item: Dodaj do blokowanych banerów - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\ie_banner_deny.htm

O8 - Extra context menu item: Eksport do programu Microsoft Excel - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Wirtualna klawiatura - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Sprawdzanie adresów - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip…{963CFD2A-D171-4C09-AC5B-4B9F07262D1F}: NameServer = 212.2.96.54 212.2.96.52

O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe

O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - d:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

–

End of file - 4100 bytes

jessica · 6 Styczeń 2010 08:16

Wklej do Notatnika :

File::

C:\documents and settings\StrQ\USTAWI~1\Temp\herss.exe

C:\e9naq.exe

D:\e9naq.exe


Registry::

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 

"cdoosoft"=--

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]

"SuperHidden"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]

"Hidden"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]

"ShowSuperHidden"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]

"CheckedValue"=dword:00000001

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]

@=""

>>Plik>>Zapisz jako… >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

-------->

Ma się rozpocząć usuwanie. (i powstanie log).

Daj ten log, który powstanie w trakcie usuwania.

Log wklej na http://wklejto.pl/, a w poście daj tylko link.(czyli skopiuj adres z paska adresów)

jessi

system · 6 Styczeń 2010 16:14

Witam ponownie.

Zrobiłem jak kazałaś, oto nowy log:

http://wklejto.pl/52678

jessica · 6 Styczeń 2010 16:22

Jest OK.

Usuń ręcznie folder C:\Qoobox.

Usuń kopie szkodników z folderu “System Volume Information” poprzez chwilowe wyłączenie “Przywracania Systemu”:

Użyj szczepionki >Panda Vaccine

jessi

system · 6 Styczeń 2010 16:42

Wszystko zrobione.

Bardzo dziękuje za pomoc

Pozdrawiam.