huber2t
(huber2t)
28 Lipiec 2008 17:47
#4
Pobierz ComboFix , ale nie uruchamiaj
Otwórz notatnik i wklej do niego:
Folder::
D:\FOUND.002
D:\FOUND.001
Plik -> zapisz jako -> CFScript.txt .
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->
Rozpocznie się usuwanie i powstanie log, który dasz na forum.
Logi dajesz na http://wklejto.pl lub na http://wklej.org a w poście dajesz tylko link
problem mam tez z tym ze po wlaczeniu kompa od razu wyskakuja bledy antyvira (ktorego nie moge odinstalowac bo jest napisane ze plik nie istnieje ) i rundll
huber2t
(huber2t)
28 Lipiec 2008 17:51
#6
To służy do usunięcia driverów Avg
Pobierz ComboFix , ale nie uruchamiaj
Otwórz notatnik i wklej do niego:
Driver::
avgntmgr
avgntdd
Plik -> zapisz jako -> CFScript.txt .
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->
Rozpocznie się usuwanie i powstanie log, który dasz na forum.
Logi dajesz na http://wklejto.pl lub na http://wklej.org a w poście dajesz tylko link
huber2t
(huber2t)
28 Lipiec 2008 18:45
#9
Wykonaj też pierwszą wskazówkę z combofix, usuń wszystkie antywirusy i zainstaluj jednego
mam tylko jednego problem jest w tym ze antyvir sie nie chce usunac bo jak napisalam wczesniej po kliknieciu w panelu sterowania wyskakuje ze nie mozna odnalesc pliku
huber2t
(huber2t)
28 Lipiec 2008 18:53
#11
Ale masz dwa antywirusy, spróbuj total uninstallerem
no sprobowalam i pomoglo , ale komuter wlacza sie jeszcze wolniej strasznie dlugo loguje jakies 5 minut
log nowy
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:20:27, on 2008-07-29 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Boot mode: Normal Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe D:\Program Files\Alwil Software\Avast4\ashServ.exe D:\WINDOWS\system32\LEXBCES.EXE D:\WINDOWS\system32\spoolsv.exe D:\WINDOWS\system32\LEXPPS.EXE D:\WINDOWS\ATKKBService.exe D:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe D:\WINDOWS\System32\nvsvc32.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\Explorer.EXE D:\Program Files\Common Files\Sonic\Update Manager\sgtray.exe D:\Program Files\Winamp\winampa.exe D:\Program Files\Lexmark P910 Series\lxbymon.exe D:\Program Files\Lexmark P910 Series\ezprint.exe D:\WINDOWS\system32\dla\tfswctrl.exe D:\WINDOWS\System32\ctfmon.exe D:\Program Files\Gadu-Gadu\gg.exe D:\Program Files\WinZip\WZQKPICK.EXE D:\WINDOWS\System32\wuauclt.exe D:\Program Files\Alwil Software\Avast4\ashWebSv.exe D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe D:\WINDOWS\System32\lxbycoms.exe D:\WINDOWS\System32\wuauclt.exe D:\Program Files\mozilla.org \Mozilla\mozilla.exe D:\Documents and Settings\Agnieszka\Pulpit\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - D:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL O2 - BHO: Winamp Toolbar BHO - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - D:\Program Files\Winamp Toolbar\winamptb.dll O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - D:\WINDOWS\system32\dla\tfswshx.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - D:\Program Files\Winamp Toolbar\winamptb.dll O4 - HKLM…\Run: [storageGuard] “D:\Program Files\Common Files\Sonic\Update Manager\sgtray.exe” /r O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM…\Run: [nwiz] nwiz.exe /install O4 - HKLM…\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM…\Run: [WinampAgent] “D:\Program Files\Winamp\winampa.exe” O4 - HKLM…\Run: [lxbymon.exe] “D:\Program Files\Lexmark P910 Series\lxbymon.exe” O4 - HKLM…\Run: [EzPrint] “D:\Program Files\Lexmark P910 Series\ezprint.exe” O4 - HKLM…\Run: [dla] D:\WINDOWS\system32\dla\tfswctrl.exe O4 - HKCU…\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe O4 - HKCU…\Run: [Komunikator] “C:\Program Files\Tlen.pl\tlen.exe” O4 - HKCU…\Run: [Gadu-Gadu] “D:\Program Files\Gadu-Gadu\StrongGG.exe” /tray O4 - HKCU…\Run: [uTorrent] “C:\utorrent.exe” O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User ‘USŁUGA LOKALNA’) O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User ‘USŁUGA SIECIOWA’) O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User ‘SYSTEM’) O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User ‘Default user’) O4 - Global Startup: WinZip Quick Pick.lnk = D:\Program Files\WinZip\WZQKPICK.EXE O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Adobe Gamma Loader.lnk = D:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: &Winamp Toolbar Search - D:\Documents and Settings\All Users\Dane aplikacji\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - D:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL O12 - Plugin for .avi: D:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll O12 - Plugin for .mid: D:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll O12 - Plugin for .png: D:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - D:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O23 - Service: Adobe LM Service - Adobe Systems - D:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - D:\WINDOWS\ATKKBService.exe O23 - Service: avast! Antivirus - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashWebSv.exe O23 - Service: Google Updater Service (gusvc) - Unknown owner - D:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - D:\WINDOWS\system32\LEXBCES.EXE O23 - Service: lxby_device - Lexmark International, Inc. - D:\WINDOWS\System32\lxbycoms.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe – End of file - 6175 bytes
eh… chyba bede musiala zrobic format
log z combofix …
ComboFix 08-07-27.6 - Agnieszka 2008-07-29 21:34:42.8 - FAT32x86 Microsoft Windows XP Professional 5.1.2600.0.1250.48.1045.18.291 [GMT 2:00] Running from: D:\Documents and Settings\Agnieszka\Pulpit\ComboFix.exe WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED . ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) . . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_NPF ((((((((((((((((((((((((( Files Created from 2008-06-28 to 2008-07-29 ))))))))))))))))))))))))))))))) . 2008-07-29 21:08 . 2008-07-29 21:08 2008-07-29 21:07 . 2008-07-29 21:08 2008-07-28 21:49 . 2008-07-28 21:49 30 --a------ D:\WINDOWS\TextSpy.ini 2008-07-26 13:32 . 2008-07-26 13:32 2008-07-26 13:18 . 2008-07-26 13:18 2008-07-24 18:46 . 1998-10-29 16:45 306,688 --a------ D:\WINDOWS\IsUninst.exe 2008-07-21 22:49 . 2008-07-21 22:50 355,683 --a------ D:\R0721__22_49_50.mp3 2008-07-21 22:03 . 2008-07-21 22:47 322,713,128 --a------ D:\WindowsXP-KB936929-SP3-x86-PLK.exe 2008-07-21 11:19 . 2008-07-21 11:19 2008-07-19 21:04 . 2008-07-19 21:04 126 --a------ D:\WINDOWS_delis43.ini 2008-07-19 21:02 . 1997-04-18 11:52 298,496 --a------ D:\WINDOWS\unin0415.exe 2008-07-16 18:30 . 2008-07-16 18:30 . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-07-19 20:41 20,632 ----a-w D:\Documents and Settings\Agnieszka\Dane aplikacji\GDIPFONTCACHEV1.DAT 2008-06-12 16:25 --------- d-----w D:\Program Files\Common Files\Adobe Systems Shared 2008-06-12 12:35 --------- d-----w D:\Documents and Settings\Agnieszka\Dane aplikacji\uTorrent 2008-06-11 14:27 --------- d-----w D:\Documents and Settings\Agnieszka\Dane aplikacji\gretl 2008-06-09 17:30 --------- d-----w D:\Documents and Settings\All Users\Dane aplikacji\Adobe Systems 2008-01-22 14:13 26,432 ----a-w D:\Documents and Settings\Iza\Dane aplikacji\GDIPFONTCACHEV1.DAT . ((((((((((((((((((((((((((((( snapshot@2008-07-21_23.49.11.71 ))))))))))))))))))))))))))))))))))))))))) . + 2005-10-20 18:02:28 163,328 ----a-w D:\WINDOWS\erdnt\subs\ERDNT.EXE - 2008-07-21 21:46:20 262,144 ----a-w D:\WINDOWS\system32\config\systemprofile\ntuser.dat + 2008-07-29 18:05:34 262,144 ----a-w D:\WINDOWS\system32\config\systemprofile\ntuser.dat - 2008-07-21 09:23:52 122,928 ----a-w D:\WINDOWS\system32\FNTCACHE.DAT + 2008-07-24 08:32:52 122,136 ----a-w D:\WINDOWS\system32\FNTCACHE.DAT + 2008-07-29 19:40:04 16,384 ----a-w D:\WINDOWS\TEMP\Perflib_Perfdata_49c.dat . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries legit default entries are not shown REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “CTFMON.EXE”=“D:\WINDOWS\System32\ctfmon.exe” [2001-10-26 17:29 13312] “Komunikator”=“C:\Program Files\Tlen.pl\tlen.exe” [2006-04-13 14:51 957440] “Gadu-Gadu”=“D:\Program Files\Gadu-Gadu\StrongGG.exe” [2008-05-16 02:03 21504] “uTorrent”=“C:\utorrent.exe” [2008-02-12 20:40 219952] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “StorageGuard”=“D:\Program Files\Common Files\Sonic\Update Manager\sgtray.exe” [2003-02-13 01:01 155648] “NvCplDaemon”=“D:\WINDOWS\System32\NvCpl.dll” [2005-10-28 16:06 7307264] “NvMediaCenter”=“D:\WINDOWS\System32\NvMcTray.dll” [2005-10-28 16:06 86016] “WinampAgent”=“D:\Program Files\Winamp\winampa.exe” [2007-10-10 06:28 36352] “lxbymon.exe”=“D:\Program Files\Lexmark P910 Series\lxbymon.exe” [2004-09-22 06:55 188416] “EzPrint”=“D:\Program Files\Lexmark P910 Series\ezprint.exe” [2004-09-17 09:24 61440] “dla”=“D:\WINDOWS\system32\dla\tfswctrl.exe” [2003-02-07 01:03 114741] “nwiz”=“nwiz.exe” [2005-10-28 16:06 1519616 D:\WINDOWS\system32\nwiz.exe] [HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] “CTFMON.EXE”=“D:\WINDOWS\System32\CTFMON.EXE” [2001-10-26 17:29 13312] “Picasa Media Detector”=“D:\Program Files\Picasa2\PicasaMediaDetector.exe” [2007-09-28 02:17 443968] D:\Documents and Settings\All Users\Menu Start\Programy\Autostart\ WinZip Quick Pick.lnk - D:\Program Files\WinZip\WZQKPICK.EXE [2007-05-29 23:18:44 118784] Microsoft Office.lnk - D:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 10:01:04 83360] Adobe Gamma Loader.lnk - D:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2008-07-24 18:53:22 113664] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] “aux”= ctwdm32.dll “aux1”= ctwdm32.dll “msacm.avis”= ff_acm.acm R1 aswSP;avast! Self Protection;D:\WINDOWS\System32\drivers\aswSP.sys [2008-07-19 16:35] . . ------- Supplementary Scan ------- . R0 -: HKCU-Main,Start Page = hxxp://www.onet.pl/ R0 -: HKCU-Main,Default_Search_URL = hxxp://www.google.com/ie R1 -: HKCU-SearchURL,(Default) = hxxp://www.google.com/search?q=%s O8 -: Winamp Toolbar Search - D:\Documents and Settings\All Users\Dane aplikacji\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html O8 -: Eksport do programu Microsoft Excel - D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-07-29 21:41:18 Windows 5.1.2600 FAT NTAPI scanning hidden processes … scanning hidden autostart entries … scanning hidden files … scan completed successfully hidden files: 0 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe D:\Program Files\Alwil Software\Avast4\ashServ.exe D:\WINDOWS\system32\LEXBCES.EXE D:\WINDOWS\system32\LEXPPS.EXE D:\WINDOWS\ATKKBService.exe D:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe D:\WINDOWS\System32\nvsvc32.exe D:\WINDOWS\System32\wdfmgr.exe D:\Program Files\Gadu-Gadu\gg.exe D:\Program Files\Alwil Software\Avast4\ashWebSv.exe D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe D:\WINDOWS\System32\lxbycoms.exe . ************************************************************************** . Completion time: 2008-07-29 21:44:14 - machine was rebooted ComboFix-quarantined-files.txt 2008-07-29 19:44:04 ComboFix4.txt 2008-07-29 17:55:32 ComboFix5.txt 2008-07-29 19:34:18 ComboFix3.txt 2008-07-29 18:07:28 ComboFix2.txt 2008-07-29 18:19:28 Pre-Run: 5,977,735,168 bajtów wolnych Post-Run: 5,987,696,640 bajt˘w wolnych 120