Komputer sam wysyła niechcianą pocztę


(Lbaranski) #1

Witajcie

Mam problem - Avast ciągle pokazuje, że skanuje wychodzącą pocztę. Nie korzystam z żadnego programu do obsługi poczty. Standardowe metody (antywirus Avast, Ashampoo Firewall) nie pomagają. Proszę o pomoc. Poniżej log z Hijack


(Gutek) #2

Pobierz program SDFix

-


(Lbaranski) #3

ok. Oto log z SDFix

a poniżej log z Combofix


(Gutek) #4

C:\WINDOWS\system32\mysnlive.exe

C:\WINDOWS\system32\dllcache\msfav32.exe

C:\adware.exe

C:\einmia.exe

C:\qwji.exe

C:\actgm.exe

Wklej do Notatnika:

File::

C:\WINDOWS\system32\hqghumea.dll

C:\WINDOWS\Aeh47.sys

C:\WINDOWS\system32\drivers\Aeh47.sys


Folder::

C:\WINDOWS\system32\i


Registry::

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Microsoft Winedows Updeta"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"WinDLL (mysnlive.exe)"=-

"Microsoft Winedows Updeta"=-

"Windows Network Firewall"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

"Microsoft Winedows Updeta"=-

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Aeh47.sys]

>>Plik>>Zapisz jako... >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku -->88953CFScript-createdbyMiekiemoes.gif

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: **** Qoobox.

Po tym nowy log z Combo


(Lbaranski) #5


(Gutek) #6

Wklej do Notatnika:

File::

C:\WINDOWS\system32\crehcjid.dll

C:\bpfsqpq.exe

C:\WINDOWS\system32\tcpip_patcher.sys

C:\xfmb.exe

C:\WINDOWS\system32\ftpupd.exe

C:\WINDOWS\system32\crehcjid.dll

C:\WINDOWS\system32\dllcache\msfav32.exe


Folder::

C:\WINDOWS\system32\o

C:\WINDOWS\system32\i


Driver::

Aeh47

"Windows Internet Connection Sharing"


Registry::

[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\crehcjid]

[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\đ `˙]

>>Plik>>Zapisz jako... >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku -->88953CFScript-createdbyMiekiemoes.gif

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: **** Qoobox.

Po tym nowy log z Combo


(Lbaranski) #7

Witam ponownie,

w międzyczasie komputer zaczął się sam wyłączać.

Nowy log z Combo:


(Gutek) #8

Wklej do Notatnika:

File::

C:\WINDOWS\system32\ttohb .exe

C:\WINDOWS\system32\firewall .exe


Folder::

C:\-1937839636

C:\WINDOWS\system32\i

C:\WINDOWS\system32\TFTP3064


Registry::

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Windows Network Firewall"=-

>>Plik>>Zapisz jako... >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku -->88953CFScript-createdbyMiekiemoes.gif

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: **** Qoobox.

Po tym nowy log z Combo


(Lbaranski) #9

Witam ponownie,

zrobiłem wszystko zgodnie z zaleceniami. Komputer na razie sam się nie wyłącza więc jest lepiej.Poniżej nowy log:


(Gutek) #10

Nie jest Ok

Pobierz program SDFix

-


(Lbaranski) #11

niestety na etapie:

Wejdź do folderu z SDFix kliknij dwa razy na plik RunThis.bat

Wciśnij Y nastąpi proces usuwania - NIE MAM OPCJI "Y" więc nic nie mogę nic dalej zrobić


(Gutek) #12

Pobierz The Avenger. Wypakuj => uruchom => zaznacz opcję Input script manually => kliknij w taką lupkę => w okienku, które się otworzy wklej:

Files to delete:


C:\WINDOWS\system32\ddayv.dll

C:\WINDOWS\system32\spooIsv .exe

C:\WINDOWS\system32\lssas .exe

C:\WINDOWS\system32\iexplore .exe

C:\WINDOWS\system32\spooIsv.exe

C:\WINDOWS\system32\lssas.exe

C:\WINDOWS\system32\ddayv.exe

C:\WINDOWS\system32\dsdtiv .exe

C:\WINDOWS\system32\cgsshxl .exe

C:\WINDOWS\system32\rgxcqr .exe

C:\WINDOWS\system32\csrs .exe

C:\WINDOWS\system32\xjsfe.exe

C:\WINDOWS\system32\djvpjngf .exe

C:\WINDOWS\system32\djvpjngf.exe


Folders to delete:


C:\WINDOWS\system32\TFTP1196

C:\WINDOWS\system32\TFTP3064

C:\-1937839636

C:\WINDOWS\system32\i

kliknij klawisz Done => teraz kliknij na zielone światełko => powinna pojawić się pewna informacja i kliknij OK (teraz restart). Nie pomyl się i przeskanuj

2007-12-30 09:51 . 2007-12-30 10:10 49,152 --a------ C:\WINDOWS\ZSSnp211 .exe

2007-12-30 09:51 . 2007-12-30 10:10 49,152 --a------ C:\WINDOWS\Domino .exe

widzisz przerwę w pliku ZSSnp211" przerwa".exe - przeskanuj na http://virusscan.jotti.org/

po tym nowy log z Combo


(Lbaranski) #13

Witam

niestety za chwile wyjeżdżam i nie będzie mnie przez ten tydzień więc nie będę mieć dostępu do komputera.oto nowy raport:


(Gutek) #14

Nie zrobiłeś do konca tego o co prosiłem.

Więc w ciemno usuniemy może pójdą prawidłowe, ale najwyżej wgrasz na nowo.

Wklej do Notatnika:

File::

C:\WINDOWS\system32\ddayv.dll

C:\WINDOWS\system32\algs .exe

C:\WINDOWS\system32\ddayv.exe

C:\WINDOWS\system32\rtjix .exe

C:\WINDOWS\system32\xtwy .exe

C:\WINDOWS\system32\winamp .exe

C:\WINDOWS\ZSSnp211 .exe

C:\WINDOWS\Domino .exe

C:\WINDOWS\system32\vyadd.ini 


Folder::

C:\WINDOWS\system32\i

C:\WINDOWS\system32\TFTP1196

C:\WINDOWS\system32\TFTP3064

C:\-1937839636


Registry::

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{80722B40-9F28-429B-AAF1-5BEEA6673507}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ZSSnp211"=-

"Domino"=-

"Local Security Authority Service"=-

"Client Server Runtime Process"=-

"Spooler SubSystem App"=-

"Application Layer Gateway Service"=-

"Windows Explorer"=-

[HKEY_CURRENT_USER\software\microsoft\windows nt\currentversion\windows]

"load"=-

>>Plik>>Zapisz jako... >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku -->88953CFScript-createdbyMiekiemoes.gif

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: **** Qoobox.

Po tym nowy log z Combo