[logi] korni007

huber2t · 18 Sierpień 2008 16:08

Do wyleczenia pendrive z wirusów użyj

lub format

Pobierz ComboFix, ale nie uruchamiaj

Otwórz notatnik i wklej do niego:

File::

C:\\t1ypkh.exe 

C:\\bpu.exe 

C:\\r2nl.com 

C:\\x.com 

C:\\jk.exe 

C:\\g2pfnid.com 

C:\\e.com 

C:\\e9ehn1m8.com 

C:\\ybj8df.exe 

C:\\qa8sywva.cmd


Registry::

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4e13e238-567b-11dd-afd1-001c26c40025}] 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a4a13588-f839-11dc-aee5-0016d3eae6ae}]

Plik -> zapisz jako -> CFScript.txt.

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->

Rozpocznie się usuwanie i powstanie log, który dasz na forum.

Logi dajesz na http://wklejto.pl lub na http://wklej.org a w poście dajesz tylko link

korni007 · 18 Sierpień 2008 19:32

Logi po usuwaniu:

Log Combo #5

huber2t · 18 Sierpień 2008 19:44

otwórz notatnik i wklej

Z menu Notatnika -> Plik -> Zapisz jako -> Zmień rozszerzenie z .txt na wszystkie pliki -> zapisz pod nazwą Fix.reg

Uruchom ten plik, uruchom ponownie komputer

usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.

Przeczyść komputer Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum

lub

Dr.WEB CureIt!

korni007 · 20 Sierpień 2008 09:48

Witam…Po zainstalowaniu avasta zaczął krzyczeć o ukrytych procesach (usunąłem je) podaję logi:

Log Combo #5

Log HJT #5

huber2t · 20 Sierpień 2008 09:51

Ja w logach nic nie widze

korni007 · 20 Sierpień 2008 10:06

OK myślałem że znowu coś wleciało bo w procesie była nazwa amvo…ale ok dzięki

korni007 · 25 Sierpień 2008 12:49

Logi kumpla z kompa:(wklej.org mu niedziała i wklejto też )

ComboFix 08-08-24.02 - gugu 2008-08-25 14:09:50.1 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.250 [GMT 2:00]

Running from: C:\Documents and Settings\gugu\Pulpit\ComboFix.exe

 * Created a new restore point


[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED [/b][/color]

.


((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.


C:\Documents and Settings\gugu\Pulpitblackbird.jpg

C:\Documents and Settings\gugu\PulpitEditorFKWP1.5.exe

C:\Documents and Settings\gugu\PulpitEditorFKWP2.0.exe

C:\Documents and Settings\gugu\Pulpitfilemanagerclient.exe

C:\Documents and Settings\gugu\Pulpitfkwp1.5.exe

C:\Documents and Settings\gugu\Pulpitfkwp2.0.exe

C:\Documents and Settings\gugu\Pulpitfwebd.exe

C:\Documents and Settings\gugu\PulpitFWebdEditor.exe

C:\Documents and Settings\gugu\PulpitTrojan.Win32.BlackBird.exe

C:\Documents and Settings\gugu\Pulpitvirii

C:\WINDOWS\a.bat

C:\WINDOWS\bdn.com

C:\WINDOWS\cookies.ini

C:\WINDOWS\FVProtect.exe

C:\WINDOWS\iTunesMusic.exe

C:\WINDOWS\mssecu.exe

C:\WINDOWS\system32\aaocthxy.ini

C:\WINDOWS\system32\ajqcqpxm.ini

C:\WINDOWS\system32\anctdsxw.ini

C:\WINDOWS\system32\aojggmog.ini

C:\WINDOWS\system32\atmoauqc.ini

C:\WINDOWS\system32\aupnbqkx.ini

C:\WINDOWS\system32\bbblpgfh.ini

C:\WINDOWS\system32\beheshom.ini

C:\WINDOWS\system32\bewciear.ini

C:\WINDOWS\system32\biumavnu.ini

C:\WINDOWS\system32\brtfquny.ini

C:\WINDOWS\system32\btneirri.ini

C:\WINDOWS\system32\bxihbult.ini

C:\WINDOWS\system32\bxjjjbgt.ini

C:\WINDOWS\system32\cablwxva.ini

C:\WINDOWS\system32\caeyuphr.ini

C:\WINDOWS\system32\cjhidtve.ini

C:\WINDOWS\system32\cjqofjfw.ini

C:\WINDOWS\system32\clyxrpmc.ini

C:\WINDOWS\system32\codasmxs.ini

C:\WINDOWS\system32\cwxqutth.ini

C:\WINDOWS\system32\cxhwuluf.ini

C:\WINDOWS\system32\dayxqdbu.ini

C:\WINDOWS\system32\dcitfcee.ini

C:\WINDOWS\system32\DcJklnmp.ini

C:\WINDOWS\system32\DcJklnmp.ini2

C:\WINDOWS\system32\ddvmecgn.ini

C:\WINDOWS\system32\deynrjtt.dll

C:\WINDOWS\system32\dllbkbsl.ini

C:\WINDOWS\system32\dmsvifej.ini

C:\WINDOWS\system32\dqfucgns.ini

C:\WINDOWS\system32\dxtsiahy.ini

C:\WINDOWS\system32\dycmtesd.ini

C:\WINDOWS\system32\ehykvyay.ini

C:\WINDOWS\system32\eldksmks.ini

C:\WINDOWS\system32\ELlmnnmp.ini

C:\WINDOWS\system32\ELlmnnmp.ini2

C:\WINDOWS\system32\eoegoqhr.ini

C:\WINDOWS\system32\epnjrwop.ini

C:\WINDOWS\system32\erxghovc.ini

C:\WINDOWS\system32\fcvabcvx.ini

C:\WINDOWS\system32\fgidxqhu.ini

C:\WINDOWS\system32\fhpwthbo.ini

C:\WINDOWS\system32\fpjkbsmm.ini

C:\WINDOWS\system32\geBuSKCv.dll

C:\WINDOWS\system32\gfvdtkls.ini

C:\WINDOWS\system32\ghvgtlfh.ini

C:\WINDOWS\system32\gileplgm.ini

C:\WINDOWS\system32\gkqiflal.ini

C:\WINDOWS\system32\glekffec.ini

C:\WINDOWS\system32\gpjrfxkx.ini

C:\WINDOWS\system32\grhlbsvq.ini

C:\WINDOWS\system32\gvgxgggq.ini

C:\WINDOWS\system32\gwlsmknx.ini

C:\WINDOWS\system32\hemdxqiw.ini

C:\WINDOWS\system32\hoppenpx.dll

C:\WINDOWS\system32\hvwqyepf.ini

C:\WINDOWS\system32\hwpmjvry.ini

C:\WINDOWS\system32\hxddaecb.ini

C:\WINDOWS\system32\ibaikudd.ini

C:\WINDOWS\system32\iqdpplrk.ini

C:\WINDOWS\system32\iuaouqoc.ini

C:\WINDOWS\system32\jgxjlfgx.ini

C:\WINDOWS\system32\jlkdibbx.ini

C:\WINDOWS\system32\jlkvhssw.ini

C:\WINDOWS\system32\jtyhlyfl.ini

C:\WINDOWS\system32\jxuapgpu.dll

C:\WINDOWS\system32\jymrujhx.ini

C:\WINDOWS\system32\khapspcy.ini

C:\WINDOWS\system32\kqkflwne.ini

C:\WINDOWS\system32\kvdbxwoa.ini

C:\WINDOWS\system32\kyinkesi.ini

C:\WINDOWS\system32\lgnfiwev.ini

C:\WINDOWS\system32\ljjlvjom.ini

C:\WINDOWS\system32\lqwhjtnw.ini

C:\WINDOWS\system32\lyjewboq.ini

C:\WINDOWS\system32\mcrh.tmp

C:\WINDOWS\system32\mivptmio.ini

C:\WINDOWS\system32\mkcevccx.ini

C:\WINDOWS\system32\mlvtkvxk.ini

C:\WINDOWS\system32\mmnclblb.ini

C:\WINDOWS\system32\mrasbumx.ini

C:\WINDOWS\system32\mvphlhej.ini

C:\WINDOWS\system32\nldacbco.ini

C:\WINDOWS\system32\nnnKeCSj.dll

C:\WINDOWS\system32\nukaxsxe.ini

C:\WINDOWS\system32\nuktvbep.ini

C:\WINDOWS\system32\olctstlq.ini

C:\WINDOWS\system32\ooowkcaa.ini

C:\WINDOWS\system32\oyggnoee.ini

C:\WINDOWS\system32\packet.dll

C:\WINDOWS\system32\pbytjpvy.dll

C:\WINDOWS\system32\pcqykqmy.ini

C:\WINDOWS\system32\pfqranca.ini

C:\WINDOWS\system32\plutsuwn.ini

C:\WINDOWS\system32\pmnmnOEX.dll

C:\WINDOWS\system32\pskill.exe

C:\WINDOWS\system32\pvwusfer.ini

C:\WINDOWS\system32\pxjoenfm.ini

C:\WINDOWS\system32\pxtomwmy.ini

C:\WINDOWS\system32\qaxkcxcb.ini

C:\WINDOWS\system32\qBJmTvut.ini

C:\WINDOWS\system32\qBJmTvut.ini2

C:\WINDOWS\system32\qlqkgmih.ini

C:\WINDOWS\system32\qnjqlidw.ini

C:\WINDOWS\system32\qrqXayay.ini

C:\WINDOWS\system32\qrqXayay.ini2

C:\WINDOWS\system32\quknbjlu.ini

C:\WINDOWS\system32\rfgllgwb.ini

C:\WINDOWS\system32\rgnhevrh.ini

C:\WINDOWS\system32\rkvdxriv.ini

C:\WINDOWS\system32\rlcppxst.ini

C:\WINDOWS\system32\rlkdpoai.ini

C:\WINDOWS\system32\ryeftmxq.ini

C:\WINDOWS\system32\SBHkmnmp.ini

C:\WINDOWS\system32\SBHkmnmp.ini2

C:\WINDOWS\system32\sdwmhnsu.ini

C:\WINDOWS\system32\sulektav.ini

C:\WINDOWS\system32\symrdsgv.ini

C:\WINDOWS\system32\tckdwrvx.ini

C:\WINDOWS\system32\tcqrkpat.ini

C:\WINDOWS\system32\teuaromb.ini

C:\WINDOWS\system32\tevdvuqy.ini

C:\WINDOWS\system32\tgbjjjxb.dll

C:\WINDOWS\system32\tqdccqao.ini

C:\WINDOWS\system32\tqmhuqph.ini

C:\WINDOWS\system32\tqswmyue.ini

C:\WINDOWS\system32\trdqfaag.ini

C:\WINDOWS\system32\ttjrnyed.ini2

C:\WINDOWS\system32\ttjrnyed.tmp

C:\WINDOWS\system32\tuvTmJBq.dll

C:\WINDOWS\system32\ucjlgfrr.ini

C:\WINDOWS\system32\udygtbbd.ini

C:\WINDOWS\system32\uljbnkuq.dll

C:\WINDOWS\system32\uokakmqq.ini

C:\WINDOWS\system32\uoqyfgnp.ini

C:\WINDOWS\system32\upgpauxj.ini

C:\WINDOWS\system32\uxustekm.ini

C:\WINDOWS\system32\vcynwdne.ini

C:\WINDOWS\system32\vkomivrf.ini

C:\WINDOWS\system32\vvkjkkwl.ini

C:\WINDOWS\system32\vyhdcjmc.ini

C:\WINDOWS\system32\wciywbnd.ini

C:\WINDOWS\system32\wnflqqgo.ini

C:\WINDOWS\system32\wsgjlqqa.ini

C:\WINDOWS\system32\wvuBbccf.ini

C:\WINDOWS\system32\wvuBbccf.ini2

C:\WINDOWS\system32\XaGhRXyb.ini

C:\WINDOWS\system32\XaGhRXyb.ini2

C:\WINDOWS\system32\xhnvtiyr.ini

C:\WINDOWS\system32\xkqbnpua.dll

C:\WINDOWS\system32\xlhubaxe.ini

C:\WINDOWS\system32\xolhbmpl.ini

C:\WINDOWS\system32\xpneppoh.ini

C:\WINDOWS\system32\xqshsbgq.ini

C:\WINDOWS\system32\xrlqjkqk.ini

C:\WINDOWS\system32\xtdwibnc.ini

C:\WINDOWS\system32\xuixwecr.ini

C:\WINDOWS\system32\xvwdcups.ini

C:\WINDOWS\system32\xwoftouq.ini

C:\WINDOWS\system32\yayAQhGw.dll

C:\WINDOWS\system32\ybfvkpvx.ini

C:\WINDOWS\system32\ycdhrbxp.ini

C:\WINDOWS\system32\ycfspkmp.ini

C:\WINDOWS\system32\ycillcjn.ini

C:\WINDOWS\system32\ycpwqxvq.ini

C:\WINDOWS\system32\yhaxfrvx.ini

C:\WINDOWS\system32\ypkwqkos.ini

C:\WINDOWS\system32\yrtijqry.ini

C:\WINDOWS\system32\ysdhwogr.ini

C:\WINDOWS\system32\yvpjtybp.ini

C:\WINDOWS\system32\ywxcvgkx.ini

C:\WINDOWS\system32\yxkhjigu.ini

C:\WINDOWS\system32akttzn.exe

C:\WINDOWS\system32anticipator.dll

C:\WINDOWS\system32awtoolb.dll

C:\WINDOWS\system32bdn.com

C:\WINDOWS\system32bsva-egihsg52.exe

C:\WINDOWS\system32dpcproxy.exe

C:\WINDOWS\system32emesx.dll

C:\WINDOWS\system32h@tkeysh@@k.dll

C:\WINDOWS\system32hoproxy.dll

C:\WINDOWS\system32hxiwlgpm.dat

C:\WINDOWS\system32hxiwlgpm.exe

C:\WINDOWS\system32medup012.dll

C:\WINDOWS\system32medup020.dll

C:\WINDOWS\system32msgp.exe

C:\WINDOWS\system32msnbho.dll

C:\WINDOWS\system32mssecu.exe

C:\WINDOWS\system32msvchost.exe

C:\WINDOWS\system32mtr2.exe

C:\WINDOWS\system32mwin32.exe

C:\WINDOWS\system32netode.exe

C:\WINDOWS\system32newsd32.exe

C:\WINDOWS\system32ps1.exe

C:\WINDOWS\system32psof1.exe

C:\WINDOWS\system32psoft1.exe

C:\WINDOWS\system32regc64.dll

C:\WINDOWS\system32regm64.dll

C:\WINDOWS\system32Rundl1.exe

C:\WINDOWS\system32smp

C:\WINDOWS\system32smp\msrc.exe

C:\WINDOWS\system32sncntr.exe

C:\WINDOWS\system32ssurf022.dll

C:\WINDOWS\system32ssvchost.com

C:\WINDOWS\system32ssvchost.exe

C:\WINDOWS\system32sysreq.exe

C:\WINDOWS\system32taack.dat

C:\WINDOWS\system32taack.exe

C:\WINDOWS\system32temp#01.exe

C:\WINDOWS\system32thun.dll

C:\WINDOWS\system32thun32.dll

C:\WINDOWS\system32VBIEWER.OCX

C:\WINDOWS\system32vbsys2.dll

C:\WINDOWS\system32vcatchpi.dll

C:\WINDOWS\system32winlogonpc.exe

C:\WINDOWS\system32winsystem.exe

C:\WINDOWS\system32WINWGPX.EXE

C:\WINDOWS\userconfig9x.dll

C:\WINDOWS\Web\def.htm

C:\WINDOWS\winsystem.exe


.

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.


-------\Legacy_6TO4

-------\Service_6to4



((((((((((((((((((((((((( Files Created from 2008-07-25 to 2008-08-25 )))))))))))))))))))))))))))))))

.


2047-12-23 20:35 . 2007-05-16 17:45	3,497,832	--a--c---	C:\WINDOWS\system32\d3dx9_34.dll

2047-12-23 20:35 . 2007-05-16 17:45	1,124,720	--a--c---	C:\WINDOWS\system32\D3DCompiler_34.dll

2047-12-23 20:35 . 2007-05-16 17:45	443,752	--a--c---	C:\WINDOWS\system32\d3dx10_34.dll

2047-12-23 20:35 . 2007-05-31 20:30	266,088	--a--c---	C:\WINDOWS\system32\xactengine2_8.dll

2047-12-23 20:35 . 2007-05-31 20:29	18,280	--a--c---	C:\WINDOWS\system32\x3daudio1_2.dll

2047-12-23 20:33 . 2047-12-23 20:33	319	--a--c---	C:\WINDOWS\game.ini

2047-12-23 19:39 . 2047-12-23 19:41

-c--a-w 1,560,576 2008-03-19 11:22:53 C:\Documents and Settings\gugu\Pulpit\M2_MULTIHACK_1.83 __beta__ \M2 MULTIHACK 1.83 (beta) .exe

[/code] ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries & legit default entries are not shown REGEDIT4 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks] “{57BCA5FA-5DBB-45a2-B558-1755C3F6253B}”= “C:\Program Files\Winamp Toolbar\winamptb.dll” [2008-03-20 00:36 1267040] [HKEY_CLASSES_ROOT\clsid{57bca5fa-5dbb-45a2-b558-1755c3f6253b}] [HKEY_CLASSES_ROOT\WINAMPTB.AOLTBSearch.1] [HKEY_CLASSES_ROOT\TypeLib{538CD77C-BFDD-49b0-9562-77419CAB89D1}] [HKEY_CLASSES_ROOT\WINAMPTB.AOLTBSearch] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “AQQ”=“C:\PROGRA~1\WapSter\WAPSTE~1\AQQ.exe” [2008-08-12 19:05 1582064] “ctfmon.exe”=“C:\WINDOWS\system32\ctfmon.exe” [2004-08-04 00:44 15360] “swg”=“C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe” [2007-06-15 20:17 68856] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “WheelMouse”=“C:\Program Files\A4tech\Mouse\Awmmain.exe” [2001-03-20 07:31 229376] “NvCplDaemon”=“C:\WINDOWS\system32\NvCpl.dll” [2007-10-04 18:14 8491008] “VisualTooltip”=“C:\Program Files\VisualTooltip\VisualToolTip.exe” [2006-10-06 10:21 942080] “NVMixerTray”=“C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe” [2004-06-03 20:51 131072] “NvMediaCenter”=“C:\WINDOWS\system32\NvMcTray.dll” [2007-10-04 18:14 81920] “DeviceDiscovery”=“C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe” [2003-05-21 19:37 229437] “GrooveMonitor”=“C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe” [2006-10-27 00:47 31016] “SunJavaUpdateSched”=“C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe” [2008-06-10 04:27 144784] “nwiz”=“nwiz.exe” [2007-10-04 18:14 1626112 C:\WINDOWS\system32\nwiz.exe] [HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] “CTFMON.EXE”=“C:\WINDOWS\system32\CTFMON.EXE” [2004-08-04 00:44 15360] C:\Documents and Settings\All Users.WINDOWS\Menu Start\Programy\Autostart\ D-Link AirPlus.lnk - C:\Program Files\D-Link AirPlus\AirPlus.exe [2007-02-03 19:12:41 262144] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon] “UIHost”=hex(2):76,69,73,74,61,75,69,2e,65,78,65,00 [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WBSrv] 2007-03-05 18:36 140976 C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\WbSrv.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] “AppInit_DLLs”=wbsys.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] “msacm.avis”= ff_acm.acm “vidc.DIV3”= DivXc32.dll “vidc.DIV4”= DivXc32f.dll “msacm.divxa32”= DivXa32.acm “msacm.lameacm”= LameACM.dll [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] Authentication Packages REG_MULTI_SZ msv1_0 nwprovau [HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile] “EnableFirewall”= 0 (0x0) [HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] “C:\Program Files\Ares\Ares.exe”= “C:\Program Files\Wolfenstein - Enemy Territory\ET.exe”= “C:\Program Files\Wapster\AQQ\AQQ.exe”= “C:\WINDOWS\system32\sessmgr.exe”= “C:\Program Files\Gadu-Gadu\gg.exe”= “C:\Program Files\mIRC\mirc.exe”= “C:\PROGRA~1\Wapster\AQQ\AQQ.exe”= “C:\Program Files\LittleFighter2\LF2_v1.9c\lf2.exe”= “C:\Program Files\GameSpy Arcade\Aphex.exe”= “C:\WINDOWS\system32\dplaysvr.exe”= “C:\WINDOWS\system32\dpvsetup.exe”= “C:\Program Files\Metin2_PL\metin2.bin”= “D:\Sacred\Sacred.exe”= “C:\WINDOWS\system32\PnkBstrA.exe”= “C:\WINDOWS\system32\PnkBstrB.exe”= “C:\Program Files\Winamp Remote\bin\Orb.exe”= “C:\Program Files\Winamp Remote\bin\OrbTray.exe”= “C:\Program Files\Winamp Remote\bin\OrbStreamerClient.exe”= “C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE”= “C:\Program Files\Microsoft Office\Office12\GROOVE.EXE”= “C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE”= “D:\EA GAMES\Battlefield 2\BF2.exe”= “C:\Program Files\Skype\Phone\Skype.exe”= R2 NwSapAgent;Agent SAP;C:\WINDOWS\system32\svchost.exe [2004-08-04 00:44] R3 Aps2wmou;A4Tech PS/2 Port Mouse Filter Driver;C:\WINDOWS\system32\DRIVERS\Aps2wmou.sys [2001-03-20 07:32] R3 PAC207;Trust WB-1400T Webcam;C:\WINDOWS\system32\DRIVERS\PFC027.SYS [2007-05-14 11:26] S4 hpdj3600;hpdj3600;C:\DOCUME~1\gugu\USTAWI~1\Temp\hpdj3600.exe [] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D] \Shell\AutoRun\command - D:\setupSNK.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F] \Shell\AutoRun\command - F:\Autorun.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{bf9aa5bb-3848-11dc-9e36-806d6172696f}] \Shell\AutoRun\command - F:\Bin\asusqfe.exe . - - - - ORPHANS REMOVED - - - - WebBrowser-{8FF5E180-ABDE-46EB-B09E-D2AAB95CABE3} - (no file) . ------- Supplementary Scan ------- . FireFox -: Profile - C:\Documents and Settings\gugu\Dane aplikacji\Mozilla\Firefox\Profiles\12s5ibnd.default\ . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.netRootkit scan 2008-08-25 14:22:00 Windows 5.1.2600 Dodatek Service Pack 2 NTFS scanning hidden processes … scanning hidden autostart entries … scanning hidden files … scan completed successfully hidden files: 0 ************************************************************************** . --------------------- DLLs Loaded Under Running Processes --------------------- PROCESS: C:\WINDOWS\system32\lsass.exe -> C:\WINDOWS\system32\xfire_lsp_9028.dll . ------------------------ Other Running Processes ------------------------ . C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\PnkBstrA.exe C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe C:\WINDOWS\system32\wdfmgr.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\rundll32.exe C:\Program Files\Winamp\winamp.exe . ************************************************************************** . Completion time: 2008-08-25 14:28:34 - machine was rebooted ComboFix-quarantined-files.txt 2008-08-25 12:28:28 Pre-Run: 1,097,699,328 bajtów wolnych Post-Run: 829,628,416 bajt˘w wolnych 434 — E O F — 2007-12-12 00:29:04 [/code]

[code][code]

huber2t · 25 Sierpień 2008 12:51

otwórz notatnik i wklej

Z menu Notatnika -> Plik -> Zapisz jako -> Zmień rozszerzenie z .txt na wszystkie pliki -> zapisz pod nazwą Fix.reg

Uruchom ten plik, uruchom ponownie komputer

usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.

Przeczyść komputer Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum

lub

Dr.WEB CureIt!

djarta · 25 Sierpień 2008 12:53

Wklej do Notatnika :

Driver::

hpdj3600


Registry::

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

>>Plik>>Zapisz jako… >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

–>

Ma się rozpocząć usuwanie. (i powstanie log).Daj ten log, który powstanie w trakcie usuwania.

Jeśli pójdzie dobrze, to: Po restarcie usuń ręcznie folder C:** Qoobox.**

================

K.

korni007 · 12 Wrzesień 2008 13:15

Log Combo #6

huber2t · 12 Wrzesień 2008 13:21

Wykonaj to co napisałem

korni007 · 13 Wrzesień 2008 16:57

Log Combo #8

Wykonałem już wpis do rejestru mountpoints2

Gutek · 13 Wrzesień 2008 21:15

Temt powiniem wylądować w koszu - Zastosuj się do tego Tematu i zmień tytuł tematu na konkretny inaczej KOSZ

Pozdrawiam Gutek2222

Co do loga użyj - http://www.atribune.org/ccount/click.php?id=1 i oczyść TEMP

korni007 · 16 Październik 2008 22:16

Zrobiłem skan kontrolny i coś znalazło:

Log Combo #1

huber2t · 17 Październik 2008 03:20

otwórz notatnik i wklej

Z menu Notatnika -> Plik -> Zapisz jako -> Zmień rozszerzenie z .txt na wszystkie pliki -> zapisz pod nazwą Fix.reg

Uruchom ten plik, uruchom ponownie komputer

usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.

Przeczyść komputer Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar całego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum

lub

Dr.WEB CureIt!

korni007 · 2 Listopad 2008 20:30

Witam.Do komputera wlazło mi jakieś świństwo niemoge tego w ogóle usunąć,procesy cały czas się odnawiają…Z góry THX za pomoc…

Log Combo #2

Gutek · 2 Listopad 2008 22:16

Zastosuj się do tego Tematu i zmień tytuł tematu na konkretny inaczej KOSZ

Pozdrawiam Gutek2222

Wklej do Notatnika:

File::

C:\Documents and Settings\LocalService\Dane aplikacji\1170817257.exe

C:\WINDOWS\system32\CbEvtSvc.exe

C:\WINDOWS\wininit.ini

C:\WINDOWS\system32\ydragxsu.ini

C:\WINDOWS\system32\jjnasv32.dll

C:\WINDOWS\system32\jjnasv.dll

C:\WINDOWS\system32\tafigqif.tmp

C:\WINDOWS\system32\drivers\254aac7b.sys

C:\WINDOWS\system32\drivers\ati8uxxx.sys

C:\Documents and Settings\Kornel\lsb.exe

C:\WINDOWS\system32\wvUoMeBu.dll

C:\WINDOWS\system32\nnnnLccB.dll

C:\WINDOWS\system32\psyche.exe


Folder::

C:\408737902


Driver::

restore


Registry::

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{9d0d1fd2-d1a2-40e7-94f3-a9db5e7672ea}]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

"{9D0D1FD2-D1A2-40E7-94F3-A9DB5E7672EA}"=-

[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\jjnasv]

[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\nnnnLccB]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]

"Authentication Packages"=-

"Authentication Packages"=hex(7):6d,00,73,00,76,00,31,00,5f,00,30,00,00,00,00,\

  00

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati8uxxx.sys]

>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku –>

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: ** Qoobox**.

Proszę pobrać i użyć Malwarebytes’ Anti-Malware

Wciskamy Skanuj , wybieramy dyski do skanowania i Rozpoczynamy skanowanie , na końcu wciskamy Usuń zaznaczone jak będą i Ok