[log] Nie dziala wyszukiwanie w zdnej wyszukiwarce pod Opera


(Fantastiko) #1

Witam.

Mam pewnien problem.

Nie dziala mi wuszukiwanie na wyszukiwarkach pod opera. Poprostu Opera wypisuje ze "Wysylanie żądania do google.pl..." i tak potrafi stac na tym caly czas.

Na innym profilu wszystko jest ok. Na allegro tez wpisujac w wyszukiwarke stoi i wysyla żądanie.

Nie wszystkie wytryny wyswietla. Teraz np. pisze na IE (sic!) :evil: , bo pod Opera otwiera mi sie pusta strona.

Komp jakos wolniej chodzi. Oto LOG

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 16:26:57, on 2008-04-12

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\aspimgr.exe

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\ATKKBService.exe

C:\Program Files\Common Files\Autodata Limited Shared\Service\ADCDLicSvc.exe

C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleilCS.exe

C:\WINDOWS\system32\crypserv.exe

E:\Tlen.pl\tlen.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\TGTSoft\StyleXP\StyleXP.exe

C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

C:\WINDOWS\system32\svchost.exe

C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

C:\Program Files\IVT Corporation\BlueSoleil\BsHelpCS.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Mozilla Thunderbird\thunderbird.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

C:\Program Files\Opera\Opera.exe

C:\Program Files\totalcmd\TOTALCMD.EXE

C:\Program Files\FLY2000TV\Fly2000TV.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.daemonsearch.com/pl/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.opera.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O3 - Toolbar: Ask Toolbar - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - C:\Program Files\AskTBar\bar\1.bin\ASKTBAR.DLL

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [7c594efb] rundll32.exe "C:\WINDOWS\system32\vveyplsk.dll",b

O4 - HKLM\..\Run: [BM7f6a7d67] Rundll32.exe "C:\WINDOWS\system32\hjhnidhh.dll",s

O4 - HKLM\..\RunServices: [Microsoft Updates] svshost.exe

O4 - HKCU\..\Run: [Komunikator] E:\Tlen.pl\tlen.exe

O4 - HKCU\..\Run: [STYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: &Ściągnij przy pomocy FlashGet'a - C:\Program Files\FlashGet\jc_link.htm

O8 - Extra context menu item: &Ściągnij wszystko przy pomocy FlashGet'a - C:\Program Files\FlashGet\jc_all.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe

O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{B4E07349-5F00-4BBD-B0FB-4EE0C789C72F}: NameServer = 217.172.224.92,89.228.7.228

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Microsoft ASPI Manager (aspimgr) - Unknown owner - C:\WINDOWS\system32\aspimgr.exe

O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe

O23 - Service: Autodata Limited License Service - Unknown owner - C:\Program Files\Common Files\Autodata Limited Shared\Service\ADCDLicSvc.exe

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: BlueSoleilCS - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleilCS.exe

O23 - Service: BsHelpCS - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BsHelpCS.exe

O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PunkBuster (PnkBstrA) - Unknown owner - D:\Medal of Honor Airborne\UnrealEngine3\MOHAGame\pb\PnkBstrA.exe

O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

O23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe

O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Program Files\RealVNC\VNC4\WinVNC4.exe

O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe


--

End of file - 6153 bytes

(huber2t) #2

fix w hijackthis

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\WINDOWS\system32\vveyplsk.dll

C:\WINDOWS\system32\hjhnidhh.dll

C:\WINDOWS\system32\aspimgr.exe

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

02f8f1e3c410a4cc.gif

Powinno się rozpocząć usuwanie i powstanie log, daj ten log na forum.

Jeśli wszystko pójdzie dobrze, to po restarcie usuń ręcznie folder C: \Qoobox


(Fantastiko) #3

Oto log z combo

ComboFix 08-04-11.8 - Darek 2008-04-12 22:11:16.2 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.381 [GMT 2:00]

Running from: C:\Downloads\ComboFix.exe

Command switches used :: C:\Downloads\CFScript.txt

 * Created a new restore point


[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED [/b][/color]

.


((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.


C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Network\Downloader\qmgr0.dat

C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Network\Downloader\qmgr1.dat

C:\WINDOWS\g32.txt

C:\WINDOWS\pskt.ini

C:\WINDOWS\s32.txt

C:\WINDOWS\system32\aspimgr.exe

C:\WINDOWS\system32\avrdivja.dll

C:\WINDOWS\system32\awtqo.dll

C:\WINDOWS\system32\awtqolm.dll

C:\WINDOWS\system32\awvtq.dll

C:\WINDOWS\system32\drivers\npf.sys

C:\WINDOWS\system32\fudevjnm.dll

C:\WINDOWS\system32\gjkmp.ini

C:\WINDOWS\system32\gjkmp.ini2

C:\WINDOWS\system32\gwrygtkw.dll

C:\WINDOWS\system32\hjhnidhh.dll

C:\WINDOWS\system32\hrubxhdy.ini

C:\WINDOWS\system32\jravtajy.dll

C:\WINDOWS\system32\kslpyevv.ini

C:\WINDOWS\system32\mswbiqxj.dll

C:\WINDOWS\system32\nsktclwx.ini

C:\WINDOWS\system32\nvyxskko.dll

C:\WINDOWS\system32\oqstv.ini

C:\WINDOWS\system32\oqstv.ini2

C:\WINDOWS\system32\packet.dll

C:\WINDOWS\system32\pmkjg.dll

C:\WINDOWS\system32\qtvwa.ini

C:\WINDOWS\system32\qtvwa.ini2

C:\WINDOWS\system32\vtsqo.dll

C:\WINDOWS\system32\vveyplsk.dll

C:\WINDOWS\system32\wpcap.dll

C:\WINDOWS\system32\ydhxburh.dll

C:\WINDOWS\system32\yjatvarj.ini

C:\WINDOWS\ws386.ini


----- BITS: Possible infected sites -----


hxxp://58.65.234.25

.

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.


-------\Legacy_ASPIMGR

-------\Service_aspimgr

-------\Legacy_NPF

-------\NPF



((((((((((((((((((((((((( Files Created from 2008-03-12 to 2008-04-12 )))))))))))))))))))))))))))))))

.


2008-04-12 18:09 . 2008-04-12 18:09	3,648	--a------	C:\WINDOWS\system32\comnnvap.dll

2008-04-12 15:15 . 2008-04-12 15:15	3,648	--a------	C:\WINDOWS\system32\yqpqbewq.dll

2008-04-12 15:05 . 2008-04-12 15:05	






I nowy log z HiJACK. Podczas skanu wyskaczylo to:

[code]Please help us improve HijackThis by reporting this error Click 'Yes' to submit Error Details: An unexpected error has occurred at procedure: modRegistry_IniGetString(sFile=system.ini, sSection=boot, sValue=Shell) Error #5 - Invalid procedure call or argument Windows version: Windows NT 5.01.2600 MSIE version: 6.0.2900.2180 HijackThis version: 2.0.2
I skanowal reszte

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 22:18:48, on 2008-04-12

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\ATKKBService.exe

C:\Program Files\Common Files\Autodata Limited Shared\Service\ADCDLicSvc.exe

C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleilCS.exe

C:\WINDOWS\system32\crypserv.exe

C:\WINDOWS\system32\nvsvc32.exe

D:\Medal of Honor Airborne\UnrealEngine3\MOHAGame\pb\PnkBstrA.exe

C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\RealVNC\VNC4\WinVNC4.exe

C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

C:\Program Files\IVT Corporation\BlueSoleil\BsHelpCS.exe

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\system32\RUNDLL32.EXE

E:\Tlen.pl\tlen.exe

C:\Program Files\TGTSoft\StyleXP\StyleXP.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\explorer.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.daemonsearch.com/pl/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.opera.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Program Files\FlashGet\jccatch.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Program Files\TGTSoft\StyleXP\TGT_BHO.dll

O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Program Files\FlashGet\getflash.dll

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKCU\..\Run: [Komunikator] E:\Tlen.pl\tlen.exe

O4 - HKCU\..\Run: [STYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: &Ściągnij przy pomocy FlashGet'a - C:\Program Files\FlashGet\jc_link.htm

O8 - Extra context menu item: &Ściągnij wszystko przy pomocy FlashGet'a - C:\Program Files\FlashGet\jc_all.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe

O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O20 - Winlogon Notify: awtqolm - awtqolm.dll (file missing)

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe

O23 - Service: Autodata Limited License Service - Unknown owner - C:\Program Files\Common Files\Autodata Limited Shared\Service\ADCDLicSvc.exe

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: BlueSoleilCS - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleilCS.exe

O23 - Service: BsHelpCS - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BsHelpCS.exe

O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PunkBuster (PnkBstrA) - Unknown owner - D:\Medal of Honor Airborne\UnrealEngine3\MOHAGame\pb\PnkBstrA.exe

O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

O23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe

O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Program Files\RealVNC\VNC4\WinVNC4.exe

O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe


--

End of file - 6604 bytes

Wyszukiwanie w Operze zaczelo dzialac.


(huber2t) #4

Wyłącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

Fix w hijackthis:

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\WINDOWS\system32\comnnvap.dll

C:\WINDOWS\system32\yqpqbewq.dll

C:\WINDOWS\system32\ktltlfgd.dll

C:\WINDOWS\system32\eqnkbfkg.dll

C:\WINDOWS\system32\intsyade.dll

C:\WINDOWS\system32\nwlenrwm.ini

C:\WINDOWS\system32\exaqnkuy.dll

C:\WINDOWS\BM7f6a7d67.xml

C:\BOOT.BKK


Registry::

[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awtqolm]

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\7c594efb]

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BM7f6a7d67]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

02f8f1e3c410a4cc.gif

Powinno się rozpocząć usuwanie i powstanie log, daj ten log na forum.

Jeśli wszystko pójdzie dobrze, to po restarcie usuń ręcznie folder C: \Qoobox


(Fantastiko) #5

Oto log z Combo

ComboFix 08-04-11.8 - Darek 2008-04-13 12:28:30.4 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.649 [GMT 2:00]

Running from: C:\Downloads\ComboFix.exe

Command switches used :: C:\Downloads\CFScript.txt

 * Created a new restore point


[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED [/b][/color]


FILE ::

C:\BOOT.BKK

C:\WINDOWS\BM7f6a7d67.xml

C:\WINDOWS\system32\comnnvap.dll

C:\WINDOWS\system32\eqnkbfkg.dll

C:\WINDOWS\system32\exaqnkuy.dll

C:\WINDOWS\system32\intsyade.dll

C:\WINDOWS\system32\ktltlfgd.dll

C:\WINDOWS\system32\nwlenrwm.ini

C:\WINDOWS\system32\yqpqbewq.dll

.


((((((((((((((((((((((((( Files Created from 2008-03-13 to 2008-04-13 )))))))))))))))))))))))))))))))

.


2008-04-12 15:05 . 2008-04-12 15:05	




I swierzy log z HiJack po restarcie

[code]Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 12:32:26, on 2008-04-13 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\ATKKBService.exe C:\Program Files\Common Files\Autodata Limited Shared\Service\ADCDLicSvc.exe C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleilCS.exe C:\WINDOWS\system32\crypserv.exe C:\WINDOWS\system32\nvsvc32.exe D:\Medal of Honor Airborne\UnrealEngine3\MOHAGame\pb\PnkBstrA.exe C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe C:\WINDOWS\system32\svchost.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\WINDOWS\Explorer.EXE C:\Program Files\IVT Corporation\BlueSoleil\BsHelpCS.exe C:\WINDOWS\RTHDCPL.EXE C:\WINDOWS\system32\RUNDLL32.EXE E:\Tlen.pl\tlen.exe C:\Program Files\TGTSoft\StyleXP\StyleXP.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe C:\WINDOWS\system32\wuauclt.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.daemonsearch.com/pl/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.opera.com/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Program Files\FlashGet\jccatch.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Program Files\TGTSoft\StyleXP\TGT_BHO.dll O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Program Files\FlashGet\getflash.dll O4 - HKLM..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit O4 - HKLM..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKCU..\Run: [Komunikator] E:\Tlen.pl\tlen.exe O4 - HKCU..\Run: [STYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide O4 - HKUS\S-1-5-19..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA') O4 - HKUS\S-1-5-20..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA') O4 - HKUS\S-1-5-18..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS.DEFAULT..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: &Ściągnij przy pomocy FlashGet'a - C:\Program Files\FlashGet\jc_link.htm O8 - Extra context menu item: &Ściągnij wszystko przy pomocy FlashGet'a - C:\Program Files\FlashGet\jc_all.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe O23 - Service: Autodata Limited License Service - Unknown owner - C:\Program Files\Common Files\Autodata Limited Shared\Service\ADCDLicSvc.exe O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe O23 - Service: BlueSoleilCS - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleilCS.exe O23 - Service: BsHelpCS - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BsHelpCS.exe O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PunkBuster (PnkBstrA) - Unknown owner - D:\Medal of Honor Airborne\UnrealEngine3\MOHAGame\pb\PnkBstrA.exe O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe O23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Program Files\RealVNC\VNC4\WinVNC4.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe -- End of file - 6451 bytes


(huber2t) #6

Log z Hijackthis jest czysty


(Leon$) #7

start >> uruchom >> cmd

sc stop SNP325 >> Enter

sc delete SNP325 >> Enter

Otwórz notatnik i wklej

zapisz jako plik.reg >> wszystkie pliki >> scal z rejestrem >> restart

b57f17008275c957m.jpg

powstanie plik o takiej ikonie

062aec4c9b51c033m.jpg

w który dwa razy klikniesz potwierdzisz chęć dodania do rejestru potem restart

zrób optymalizacje uruchamiania http://cybertrash.netarteria.pl/cyber/index.php/topic,378.0.html

usuń ręcznie folder C: \Qoobox usuń instalkę Combofix z dysku.

przeskanuj tym http://www.kaspersky.pl/virusscanner.html pokaż raport

włącz przywracanie systemu

:slight_smile:


(Fantastiko) #8

Log z Kasperskiego.

Wg. mnie nic szczegolnego.

Wszystkie antyviry przyklejaja sie do thunderbirda. Panda nawet tak niby wyleczyla jego pliki ze musialem poczte reinstalowac i ustawiac od poczatku :confused:

C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Network\Downloader\qmgr0.dat Object is locked pominięty 


C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Network\Downloader\qmgr1.dat Object is locked pominięty 


C:\Documents and Settings\All Users\Dane aplikacji\OrbNetworks\Logs\CabDirectory.log Object is locked pominięty 


C:\Documents and Settings\All Users\Dane aplikacji\OrbNetworks\Logs\OrbErrors.log Object is locked pominięty 


C:\Documents and Settings\All Users\Dane aplikacji\OrbNetworks\Logs\OrbTrayIcon.log Object is locked pominięty 


C:\Documents and Settings\Darek\Cookies\index.dat Object is locked pominięty 


C:\Documents and Settings\Darek\Dane aplikacji\Opera\Opera\mail\indexer\indexer.dat Object is locked pominięty 


C:\Documents and Settings\Darek\Dane aplikacji\Opera\Opera\mail\lexicon\lexicon.dat Object is locked pominięty 


C:\Documents and Settings\Darek\Dane aplikacji\Opera\Opera\mail\mailbase.dat Object is locked pominięty 


C:\Documents and Settings\Darek\Dane aplikacji\Thunderbird\Profiles\csjc44he.default\abook.mab Object is locked pominięty 


C:\Documents and Settings\Darek\Dane aplikacji\Thunderbird\Profiles\csjc44he.default\cert8.db Object is locked pominięty 


C:\Documents and Settings\Darek\Dane aplikacji\Thunderbird\Profiles\csjc44he.default\key3.db Object is locked pominięty 


C:\Documents and Settings\Darek\Dane aplikacji\Thunderbird\Profiles\csjc44he.default\Mail\Local Folders\Inbox.msf Object is locked pominięty 


C:\Documents and Settings\Darek\Dane aplikacji\Thunderbird\Profiles\csjc44he.default\Mail\Local Folders\Trash.msf Object is locked pominięty 


C:\Documents and Settings\Darek\Dane aplikacji\Thunderbird\Profiles\csjc44he.default\Mail\poczta.fm\Trash.msf Object is locked pominięty 


C:\Documents and Settings\Darek\Dane aplikacji\Thunderbird\Profiles\csjc44he.default\Mail\poczta.o2-1.pl\Inbox.msf Object is locked pominięty 


C:\Documents and Settings\Darek\Dane aplikacji\Thunderbird\Profiles\csjc44he.default\Mail\poczta.o2-1.pl\Trash.msf Object is locked pominięty 


C:\Documents and Settings\Darek\Dane aplikacji\Thunderbird\Profiles\csjc44he.default\Mail\pop.gmail-2.com\Inbox.msf Object is locked pominięty 


C:\Documents and Settings\Darek\Dane aplikacji\Thunderbird\Profiles\csjc44he.default\Mail\pop.gmail-2.com\Trash.msf Object is locked pominięty 


C:\Documents and Settings\Darek\Dane aplikacji\Thunderbird\Profiles\csjc44he.default\panacea.dat Object is locked pominięty 


C:\Documents and Settings\Darek\Dane aplikacji\Thunderbird\Profiles\csjc44he.default\parent.lock Object is locked pominięty 


C:\Documents and Settings\Darek\Dane aplikacji\Thunderbird\Profiles\csjc44he.default\urlclassifier2.sqlite Object is locked pominięty 


C:\Documents and Settings\Darek\ntuser.dat Object is locked pominięty 


C:\Documents and Settings\Darek\ntuser.dat.LOG Object is locked pominięty 


C:\Documents and Settings\Darek\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty 


C:\Documents and Settings\Darek\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty 


C:\Documents and Settings\Darek\Ustawienia lokalne\Historia\History.IE5\index.dat Object is locked pominięty 


C:\Documents and Settings\Darek\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat Object is locked pominięty 


C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked pominięty 


C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked pominięty 


C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked pominięty 


C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty 


C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty 


C:\Documents and Settings\LocalService\Ustawienia lokalne\Historia\History.IE5\index.dat Object is locked pominięty 


C:\Documents and Settings\LocalService\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat Object is locked pominięty 


C:\Documents and Settings\NetworkService\Cookies\index.dat Object is locked pominięty 


C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked pominięty 


C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked pominięty 


C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty 


C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty 


C:\Documents and Settings\NetworkService\Ustawienia lokalne\Historia\History.IE5\index.dat Object is locked pominięty 


C:\Documents and Settings\NetworkService\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat Object is locked pominięty 


C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\logs\sw_ae-20080413-193002.log Object is locked pominięty 


C:\Program Files\AskTBar\bar\1.bin\A5POPSWT.DLL Zainfekowanych: not-a-virus:AdTool.Win32.MyWebSearch.az pominięty 


C:\Program Files\AskTBar\bar\1.bin\ASKTBAR.DLL Zainfekowanych: not-a-virus:AdTool.Win32.MyWebSearch.az pominięty 


C:\Program Files\PDF Password Remover v3.0\winDecrypt.exe Zainfekowanych: not-a-virus:PSWTool.Win32.PdfCracker.c pominięty 


C:\Program Files\RealVNC\VNC4\wm_hooks.dll Zainfekowanych: not-a-virus:RemoteAdmin.Win32.WinVNC.4 pominięty 


C:\Program Files\themexp\40730.exe/WISE0016.BIN Zainfekowanych: not-a-virus:AdWare.Win32.OneStep.c pominięty 


C:\Program Files\themexp\40730.exe/WISE0019.BIN Zainfekowanych: not-a-virus:AdWare.Win32.Relevant.a pominięty 


C:\Program Files\themexp\40730.exe/WISE0020.BIN Zainfekowanych: not-a-virus:AdTool.Win32.WhenU.a pominięty 


C:\Program Files\themexp\40730.exe WiseSFX: zainfekowany - 3 pominięty 


C:\Program Files\themexp\40730.exe WiseSFXDropper: zainfekowany - 3 pominięty 


C:\Program Files\themexp\latarnia_login.exe/WISE0016.BIN Zainfekowanych: not-a-virus:AdWare.Win32.OneStep.c pominięty 


C:\Program Files\themexp\latarnia_login.exe/WISE0019.BIN Zainfekowanych: not-a-virus:AdWare.Win32.Relevant.a pominięty 


C:\Program Files\themexp\latarnia_login.exe/WISE0020.BIN Zainfekowanych: not-a-virus:AdTool.Win32.WhenU.a pominięty 


C:\Program Files\themexp\latarnia_login.exe WiseSFX: zainfekowany - 3 pominięty 


C:\Program Files\themexp\latarnia_login.exe WiseSFXDropper: zainfekowany - 3 pominięty 


C:\Program Files\themexp\lost in paradise_login.exe/WISE0016.BIN Zainfekowanych: not-a-virus:AdWare.Win32.OneStep.c pominięty 


C:\Program Files\themexp\lost in paradise_login.exe/WISE0019.BIN Zainfekowanych: not-a-virus:AdWare.Win32.Relevant.a pominięty 


C:\Program Files\themexp\lost in paradise_login.exe/WISE0020.BIN Zainfekowanych: not-a-virus:AdTool.Win32.WhenU.a pominięty 


C:\Program Files\themexp\lost in paradise_login.exe WiseSFX: zainfekowany - 3 pominięty 


C:\Program Files\themexp\lost in paradise_login.exe WiseSFXDropper: zainfekowany - 3 pominięty 


C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked pominięty 


C:\System Volume Information\_restore{BB0F32A8-DA21-488B-8289-144B46F24E6B}\RP2\change.log Object is locked pominięty 


C:\WINDOWS\Debug\PASSWD.LOG Object is locked pominięty 


C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked pominięty 


C:\WINDOWS\Sti_Trace.log Object is locked pominięty 


C:\WINDOWS\system32\CatRoot2\edb.log Object is locked pominięty 


C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked pominięty 


C:\WINDOWS\system32\config\AppEvent.Evt Object is locked pominięty 


C:\WINDOWS\system32\config\default Object is locked pominięty 


C:\WINDOWS\system32\config\default.LOG Object is locked pominięty 


C:\WINDOWS\system32\config\ODiag.evt Object is locked pominięty 


C:\WINDOWS\system32\config\OSession.evt Object is locked pominięty 


C:\WINDOWS\system32\config\SAM Object is locked pominięty 


C:\WINDOWS\system32\config\SAM.LOG Object is locked pominięty 


C:\WINDOWS\system32\config\SecEvent.Evt Object is locked pominięty 


C:\WINDOWS\system32\config\SECURITY Object is locked pominięty 


C:\WINDOWS\system32\config\SECURITY.LOG Object is locked pominięty 


C:\WINDOWS\system32\config\software Object is locked pominięty 


C:\WINDOWS\system32\config\software.LOG Object is locked pominięty 


C:\WINDOWS\system32\config\SysEvent.Evt Object is locked pominięty 


C:\WINDOWS\system32\config\system Object is locked pominięty 


C:\WINDOWS\system32\config\system.LOG Object is locked pominięty 


C:\WINDOWS\system32\drivers\sptd.sys Object is locked pominięty 


C:\WINDOWS\system32\h323log.txt Object is locked pominięty 


C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked pominięty 


C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked pominięty 


C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked pominięty 


C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked pominięty 


C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked pominięty 


C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked pominięty 


C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked pominięty 


C:\WINDOWS\wiadebug.log Object is locked pominięty 


C:\WINDOWS\wiaservc.log Object is locked pominięty 


C:\WINDOWS\WindowsUpdate.log Object is locked pominięty

(Leon$) #9

Usuń folder C:\Program Files\ AskTBar

pozostałe do usunięcia po co ci skoro są zarażone wirusami

jak widzisz Kasperski nie ma zastrzeżeń do tego programu

Pousuwasz powinno być OK

:slight_smile: