Witam,

Wczoraj wykonałem skan ad-aware i mksem. Wykryło mi kilka świństw więc je usunąłem, jednak jak zauważyłem nie wszystkie. Zrobiłem format partycji systemowej(używam xp), jednak najważniejsze problemy cały czas nie ustały:

• nie zamyka się system

• kiedy klikam 2 razy na dysk pojawia mi się okno z wyborem programu do otwrcia

• komp troche muli(tak przynajmniej mi się wydaje)

Usunąłem przed formatem plik autorun z partycji D:, jak widać nie pomogło za bardzo.

Logi

Hijack:

http://wklej.org/id/d46dead04c

Combofix:

http://wklej.org/dl/272472469b

Proszę o pomoc.

Pozdrawiam

hijackthis czysty

A co do logu combofix to zamieść nowy log z ukośnikami

Coś mi nie wychodzi…zamieszczam tu.

ComboFix 08-05-21.3 - Agunia 2008-05-24 11:10:20.4 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.3.1250.1.1045.18.330 [GMT 2:00]

Running from: C:\Documents and Settings\Agunia\Pulpit\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED

.

((((((((((((((((((((((((( Files Created from 2008-04-24 to 2008-05-24 )))))))))))))))))))))))))))))))

.

2008-05-24 10:26 . 2008-05-24 10:26

2008-05-24 10:26 . 2008-05-24 10:26

2008-05-23 21:24 . 2008-05-23 21:24

2008-05-23 21:24 . 2008-05-23 21:24

2008-05-03 09:24 . 2008-05-03 09:24 431,616 --a------ C:\WINDOWS\system32\sysdm.cpl

2008-05-03 09:24 . 2008-05-03 09:24 18,870 --a------ C:\WINDOWS\system32\oemlogo.bmp

2008-05-03 09:24 . 2008-05-03 09:24 82 --a------ C:\WINDOWS\system32\oeminfo.ini

2008-05-02 08:48 . 2008-05-02 08:48 999,936 --a------ C:\WINDOWS\system32\syssetup.dll

2008-05-02 08:48 . 2008-05-02 08:48 361,344 --a------ C:\WINDOWS\system32\drivers\tcpip.sys

2008-05-02 08:48 . 2008-05-02 08:48 219,648 --a------ C:\WINDOWS\system32\uxtheme.dll

2008-05-02 08:48 . 2008-05-02 08:48 140,800 --a------ C:\WINDOWS\system32\sfc_os.dll

2008-05-02 08:48 . 2008-05-02 08:48 62,208 --a------ C:\WINDOWS\system32\drivers\si3112.sys

2008-05-02 08:46 . 2008-05-02 08:46 2,603,008 --a------ C:\WINDOWS\system32\wpdshext.dll

2008-05-02 08:31 . 2008-05-02 08:31 778,113 --a------ C:\WINDOWS\system32\logon.scr

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-05-23 20:02 --------- d-----w C:\Program Files\Trend Micro

2008-05-23 18:48 --------- d-----w C:\Program Files\Usługi online

2008-05-23 18:44 --------- d-----w C:\Program Files\Windows Media Connect 2

2008-05-02 06:46 991,744 ----a-w C:\WINDOWS\system32\drmv2clt.dll

2008-04-14 23:04 1,246,357 ----a-r C:\WINDOWS\SET3.tmp

2008-04-14 22:56 16,825 ----a-r C:\WINDOWS\SET8.tmp

2008-04-14 22:56 1,088,840 ----a-r C:\WINDOWS\SET4.tmp

2008-04-14 22:50 77,312 ----a-w C:\WINDOWS\system32\usbui.dll

2008-04-14 22:50 75,776 ----a-w C:\WINDOWS\system32\storprop.dll

2008-04-14 22:50 4,274,816 ----a-w C:\WINDOWS\system32\nv4_disp.dll

2008-04-14 22:50 30,208 ----a-w C:\WINDOWS\system32\bthserv.dll

2008-04-14 22:50 29,184 ----a-w C:\WINDOWS\system32\sdhcinst.dll

2008-04-14 22:50 20,992 ----a-w C:\WINDOWS\system32\bthci.dll

2008-04-14 21:35 58,880 ----a-w C:\WINDOWS\system32\drivers\redbook.sys

2008-04-14 21:16 1,804 ----a-w C:\WINDOWS\system32\Dcache.bin

2008-04-14 20:56 332,288 ----a-w C:\WINDOWS\system32\netsetup.exe

2008-04-14 20:52 92,424 ----a-w C:\WINDOWS\system32\rdpdd.dll

2008-04-14 20:52 87,176 ----a-w C:\WINDOWS\system32\rdpwsx.dll

2008-04-14 20:52 40,840 ----a-w C:\WINDOWS\system32\drivers\termdd.sys

2008-04-14 20:52 299,520 ----a-w C:\WINDOWS\system32\drmclien.dll

2008-04-14 20:52 21,896 ----a-w C:\WINDOWS\system32\drivers\tdtcp.sys

2008-04-14 20:52 139,656 ----a-w C:\WINDOWS\system32\drivers\rdpwd.sys

2008-04-14 20:52 12,168 ----a-w C:\WINDOWS\system32\tsddd.dll

2008-04-14 20:52 12,040 ----a-w C:\WINDOWS\system32\drivers\tdpipe.sys

2008-04-14 20:50 997,888 ----a-w C:\WINDOWS\system32\setupapi.dll

2008-04-14 20:49 98,304 ----a-w C:\WINDOWS\system32\actxprxy.dll

2008-04-14 20:48 5,632 ----a-w C:\WINDOWS\system32\wmi.dll

2008-04-14 20:48 2,417,664 ----a-w C:\WINDOWS\system32\winntbbu.dll

2008-04-14 20:47 57,375 ----a-w C:\WINDOWS\system32\odbcji32.dll

2008-04-14 20:47 103,424 ----a-w C:\WINDOWS\system32\dpcdll.dll

2008-04-14 20:43 4,126 ----a-w C:\WINDOWS\system32\msdxmlc.dll

2008-04-14 20:42 3,584 ----a-w C:\WINDOWS\system32\msafd.dll

2008-04-14 20:36 3,584 ----a-w C:\WINDOWS\system32\icmp.dll

2008-04-14 20:35 9,344 ----a-w C:\WINDOWS\system32\framebuf.dll

2008-04-14 20:35 569,856 ----a-w C:\WINDOWS\system32\gpedit.dll

2008-04-14 20:33 3,072 ----a-w C:\WINDOWS\system32\dpnlobby.dll

2008-04-14 20:33 3,072 ----a-w C:\WINDOWS\system32\dpnaddr.dll

2008-04-14 20:33 24,064 ----a-w C:\WINDOWS\system32\pidgen.dll

2008-04-14 20:31 16,896 ----a-w C:\WINDOWS\system32\cfgmgr32.dll

2008-04-14 20:30 285,696 ----a-w C:\WINDOWS\system32\atmfd.dll

2008-04-14 20:04 73,472 ----a-w C:\WINDOWS\system32\drivers\sr.sys

2008-04-14 20:03 68,608 ----a-w C:\WINDOWS\system32\drivers\pci.sys

2008-04-14 20:03 120,320 ----a-w C:\WINDOWS\system32\drivers\pcmcia.sys

2008-04-14 20:00 2,190,336 ----a-w C:\WINDOWS\system32\ntoskrnl.exe

2008-04-14 19:55 4,096 ----a-w C:\WINDOWS\system32\dsprpres.dll

2008-04-14 19:52 89,600 ----a-w C:\WINDOWS\system32\msxml6r.dll

2008-04-14 19:52 800,000 ----a-w C:\WINDOWS\system32\drivers\dmboot.sys

2008-04-14 19:52 153,856 ----a-w C:\WINDOWS\system32\drivers\dmio.sys

2008-04-14 19:50 80,896 ----a-w C:\WINDOWS\system32\msshavmsg.dll

2008-04-14 19:50 24,960 ----a-w C:\WINDOWS\system32\drivers\kbdclass.sys

2008-04-14 19:48 37,632 ----a-w C:\WINDOWS\system32\drivers\isapnp.sys

2008-04-14 19:46 40,448 ----a-w C:\WINDOWS\system32\drivers\intelppm.sys

2008-04-14 19:45 49,664 ----a-w C:\WINDOWS\system32\inetres.dll

2008-04-14 19:43 563,200 ----a-w C:\WINDOWS\system32\shdoclc.dll

2008-04-14 19:41 65,280 ----a-w C:\WINDOWS\system32\drivers\serial.sys

2008-04-14 19:41 53,248 ----a-w C:\WINDOWS\system32\drivers\i8042prt.sys

2008-04-14 19:37 10,240 ----a-w C:\WINDOWS\system32\gpkrsrc.dll

2008-04-14 19:35 67,584 ----a-w C:\WINDOWS\system32\browselc.dll

2008-04-14 19:35 1,845,888 ----a-w C:\WINDOWS\system32\win32k.sys

2008-04-14 19:33 44,672 ----a-w C:\WINDOWS\system32\drivers\fips.sys

2008-04-14 19:31 52,864 ----a-w C:\WINDOWS\system32\drivers\volsnap.sys

2008-04-14 19:24 69,552 ----a-w C:\WINDOWS\system32\mmsystem.dll

2008-04-14 19:24 188,544 ----a-w C:\WINDOWS\system32\drivers\acpi.sys

2008-04-14 00:15 10,624 ----a-w C:\WINDOWS\system32\drivers\gameenum.sys

2008-04-14 00:10 96,512 ----a-w C:\WINDOWS\system32\drivers\atapi.sys

2008-04-14 00:10 5,376 ----a-w C:\WINDOWS\system32\drivers\viaide.sys

2008-04-14 00:10 24,960 ----a-w C:\WINDOWS\system32\drivers\pciidex.sys

2008-04-14 00:06 42,240 ----a-w C:\WINDOWS\system32\drivers\VIAAGP.SYS

2008-04-13 22:58 175,744 ----a-w C:\WINDOWS\system32\drivers\rdbss.sys

2008-04-13 22:51 162,816 ----a-w C:\WINDOWS\system32\drivers\netbt.sys

2008-04-13 22:50 91,520 ----a-w C:\WINDOWS\system32\drivers\ndiswan.sys

2008-04-13 22:50 182,656 ----a-w C:\WINDOWS\system32\drivers\ndis.sys

2008-04-13 22:49 75,264 ----a-w C:\WINDOWS\system32\drivers\ipsec.sys

2008-04-13 22:49 51,328 ----a-w C:\WINDOWS\system32\drivers\rasl2tp.sys

2008-04-13 22:49 48,384 ----a-w C:\WINDOWS\system32\drivers\raspptp.sys

2008-04-13 22:49 138,112 ----a-w C:\WINDOWS\system32\drivers\afd.sys

2008-04-13 22:47 456,576 ----a-w C:\WINDOWS\system32\drivers\mrxsmb.sys

2008-04-13 22:47 105,344 ----a-w C:\WINDOWS\system32\drivers\mup.sys

2008-04-13 22:46 49,536 ----a-w C:\WINDOWS\system32\drivers\classpnp.sys

2008-04-13 22:45 574,976 ----a-w C:\WINDOWS\system32\drivers\ntfs.sys

2008-04-13 22:45 334,848 ----a-w C:\WINDOWS\system32\drivers\srv.sys

2008-04-13 22:44 63,744 ----a-w C:\WINDOWS\system32\drivers\cdfs.sys

2008-04-13 22:44 143,744 ----a-w C:\WINDOWS\system32\drivers\fastfat.sys

2008-04-13 22:30 225,664 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys

2008-04-13 22:30 19,072 ----a-w C:\WINDOWS\system32\drivers\tdi.sys

2008-04-13 22:27 41,472 ----a-w C:\WINDOWS\system32\drivers\raspppoe.sys

2008-04-13 22:27 40,576 ----a-w C:\WINDOWS\system32\drivers\ndproxy.sys

2008-04-13 22:27 34,560 ----a-w C:\WINDOWS\system32\drivers\wanarp.sys

2008-04-13 22:27 20,864 ----a-w C:\WINDOWS\system32\drivers\ipinip.sys

2008-04-13 22:27 152,832 ----a-w C:\WINDOWS\system32\drivers\ipnat.sys

2008-04-13 22:27 14,336 ----a-w C:\WINDOWS\system32\drivers\asyncmac.sys

2008-04-13 22:27 10,112 ----a-w C:\WINDOWS\system32\drivers\ndistapi.sys

2008-04-13 22:26 88,320 ----a-w C:\WINDOWS\system32\drivers\nwlnkipx.sys

2008-04-13 22:26 69,120 ----a-w C:\WINDOWS\system32\drivers\psched.sys

2008-04-13 22:26 35,072 ----a-w C:\WINDOWS\system32\drivers\msgpc.sys

2008-04-13 22:26 34,688 ----a-w C:\WINDOWS\system32\drivers\netbios.sys

2008-04-13 22:26 30,592 ----a-w C:\WINDOWS\system32\drivers\rndismp.sys

2008-04-13 22:26 12,800 ----a-w C:\WINDOWS\system32\drivers\usb8023.sys

2008-04-13 22:25 202,624 ----a-w C:\WINDOWS\system32\drivers\RMCast.sys

2008-04-13 22:24 11,264 ----a-w C:\WINDOWS\system32\drivers\irenum.sys

.

------- Sigcheck -------

2008-05-02 08:48 361344 8e036eec565910417ea020ce0962aa24 C:\WINDOWS\system32\drivers\tcpip.sys

.

((((((((((((((((((((((((((((( snapshot@2008-05-23_21.52.31,77 )))))))))))))))))))))))))))))))))))))))))

.

• 2008-05-23 19:08:40 2,048 --s-a-w C:\WINDOWS\bootstat.dat

• 2008-05-24 08:26:24 2,048 --s-a-w C:\WINDOWS\bootstat.dat

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries legit default entries are not shown

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“CTFMON.EXE”=“C:\WINDOWS\system32\ctfmon.exe” [2008-04-14 22:51 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“egui”=“C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe” [2008-03-13 16:48 1443072]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

“CTFMON.EXE”=“C:\WINDOWS\system32\CTFMON.EXE” [2008-04-14 22:51 15360]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

“nltide_2”=“regsvr32 /s /n /i:U shell32” []

“nltide_3”=“advpack.dll” [2008-03-01 16:02 124928 C:\WINDOWS\system32\advpack.dll]

[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

“%windir%\Network Diagnostic\xpnetdiag.exe”=

“%windir%\system32\sessmgr.exe”=

R0 Si3112;Si3112;C:\WINDOWS\system32\drivers\Si3112.sys [2008-05-02 08:48]

R1 epfwtdir;epfwtdir;C:\WINDOWS\system32\DRIVERS\epfwtdir.sys [2008-03-13 16:52]

.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-05-24 11:11:30

Windows 5.1.2600 Dodatek Service Pack 3 NTFS

scanning hidden processes …

scanning hidden autostart entries …

scanning hidden files …

scan completed successfully

hidden files: 0

**************************************************************************

.

Completion time: 2008-05-24 11:12:11

ComboFix-quarantined-files.txt 2008-05-24 09:12:01

ComboFix2.txt 2008-05-24 08:51:35

ComboFix3.txt 2008-05-23 19:52:50

Pre-Run: 6,500,294,656 bajtów wolnych

Post-Run: 6,496,206,848 bajtów wolnych

170

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\WINDOWS\SET3.tmp

C:\WINDOWS\SET8.tmp

C:\WINDOWS\SET4.tmp

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

Rozpocznie się usuwanie.

Usuń ręcznie folder C:\Qoobox ,usuń instalkę Combofix z dysku

Przeczyść komputer Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum

Włącz przywracanie systemu.

Wszystko zrobione po kolei. Wklejam raport z kasperskiego…wykryło, tylko chyba nim nie mogę nic usuwać?

Link do raportu:

http://plikownik.pl/956raportkasp.html

Pobierz i uruchom narzędzie The Avenger Zaznaczasz tekst podany do usunięcia na forum

kopiuj >> klikasz na Paste Script from Clipboard >> Execute >> Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

Raport z Avengera:

Pliki się usuneły powinno być wszsytko ok

Ok, dziękuje bardzo za pomoc. Jesteście niesamowici pod względem szybkości jak i jakości pomocy.

Jednak problem z otwieraniem dysków pozostał. Otwiera się okienko wyszukiwania plików po kliknięciu 2 razy na ikonę dysku.

I jeszcze jedno pytanko, jak zabezpieczyć się przed takimi sytuacjami do jakiej doszło na moim kompie.

Pozdrawiam

Start >> Uruchom >> regsvr32 /i shell32

No i wszystko działa. Jeszcze raz bardzo dziękuje.

Szacunek dla waszej wiedzy i chęci pomocy!