Malware-gen i spowolnienie systemu


(doktór) #1

Witam,

bardzo proszę o sprawdzenie loga. jestem w tym totalnie zielony, dlatego będę wdzięczny za wszelką pomoc. przy okazji, co to są za pliki wa6.cvb? czy je się usuwa?? to właśnie potwierdza, że nie ma zielonego na temat tego wszystkiego, więc post factum będę miał pewnie mnóstwo pytań. póki co ogromna prośba, by ktoś mógł przejrzeć co siedzi w moim kompie. dzieki i pozdrawiam. :shocked!:

oto log z hijackthis:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 22:01:39, on 2008-10-29

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16735)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\eHome\ehRecvr.exe

C:\WINDOWS\eHome\ehSched.exe

C:\WINDOWS\system32\o2flash.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\dllhost.exe

C:\WINDOWS\system32\ntvdm.exe

C:\WINDOWS\ehome\ehtray.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\WINDOWS\eHome\ehmsas.exe

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\sm56hlpr.exe

C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe

C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe

C:\Program Files\Winamp\Winampa.exe

C:\Program Files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe

C:\Program Files\Common Files\Real\Update_OB\realsched.exe

C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

C:\WINDOWS\system32\wscript.exe

C:\Program Files\COMODO\COMODO Internet Security\cfp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\wscript.exe

E:\użytki\antywiry\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.comodo.com/search/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Gdooey Mae

R3 - URLSearchHook: Winamp Search Class - {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Program Files\Winamp Toolbar\winamptb.dll

F3 - REG:win.ini: load=C:\YDPDict\watch.exe

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll

O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files\Winamp Toolbar\winamptb.dll

O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet\tools\BitCometBHO_1.2.8.7.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll

O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll

O4 - HKLM..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe

O4 - HKLM..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM..\Run: [skyTel] SkyTel.EXE

O4 - HKLM..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM..\Run: [sMSERIAL] sm56hlpr.exe

O4 - HKLM..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM..\Run: [ssAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe

O4 - HKLM..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"

O4 - HKLM..\Run: [sSBkgdUpdate] "C:\Program Files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot

O4 - HKLM..\Run: [OpwareSE4] "C:\Program Files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe"

O4 - HKLM..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM..\Run: [Zip] wscript.exe /E:vbs C:\autoexec.bat

O4 - HKLM..\Run: [COMODO Internet Security] "C:\Program Files\COMODO\COMODO Internet Security\cfp.exe" -h

O4 - HKCU..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray

O4 - HKUS\S-1-5-19..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-18..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS.DEFAULT..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm

O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm

O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm

O8 - Extra context menu item: &Winamp Search - C:\Documents and Settings\All Users\Application Data\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html

O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Wyślij do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: Wyślij &do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Program Files\BitComet\tools\BitCometBHO_1.2.8.7.dll/206 (file missing)

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL

O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll

O20 - Winlogon Notify: fsmgmt - C:\WINDOWS\

O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - Unknown owner - C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\MSCSPTISRV.exe

O23 - Service: O2Micro Flash Memory (O2Flash) - Unknown owner - C:\WINDOWS\system32\o2flash.exe

O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\PACSPTISVR.exe

O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\SPTISRV.exe

O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\SSScsiSV.exe

--

End of file - 8463 bytes

mam nadzieję że skopriowałem wszystko i niczego nie brakuje. :shocked!:


(maku13) #2

Ściągnij sobie: Malwarebytes' Anti-Malware i nim przeskanuj.


(doktór) #3

in progress. dzięki za szybką odpowiedź.


(Apdjs) #4

Fix w HJt

Uruchamiasz jeszcze raz HJT i klikasz "do a system scan only"

zaznaczasz podane wpisy i Fix checked

Daj log z Combofix


(doktór) #5

Oto log z combofixa. co teraz? tapeta pulpitu już sie pojawia, dostęp do dysków też jest...

ComboFix 08-10-29.07 - Maciek 2008-10-29 23:17:58.1 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.3.1250.1.1033.18.558 [GMT 1:00]

Uruchomiony z: E:\użytki\antywiry\ComboFix.exe

* Utworzono nowy punkt przywracania

UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA!!

.

((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\autorun.inf

D:\Autorun.inf

E:\Autorun.inf

.

((((((((((((((((((((((((( Pliki utworzone od 2008-09-28 do 2008-10-29 )))))))))))))))))))))))))))))))

.

2008-10-29 22:57 . 2008-10-29 22:57

2008-10-29 22:57 . 2008-10-29 22:57

2008-10-29 22:57 . 2008-10-29 22:57

2008-10-29 22:57 . 2008-10-22 16:10 38,496 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys

2008-10-29 22:57 . 2008-10-22 16:10 15,504 --a------ C:\WINDOWS\system32\drivers\mbam.sys

2008-10-29 22:01 . 2008-10-29 22:01

2008-10-29 21:53 . 2008-10-29 21:53 120 --a------ C:\WINDOWS\CIS_Setup_3.5.53896.424_XP_Vista_x32.INI

2008-10-29 21:25 . 2008-10-29 21:25 143,096 --a------ C:\WINDOWS\system32\guard32.dll

2008-10-29 21:25 . 2008-10-29 21:25 99,856 --a------ C:\WINDOWS\system32\drivers\cmdguard.sys

2008-10-29 21:25 . 2008-10-29 21:25 31,504 --a------ C:\WINDOWS\system32\drivers\cmdhlp.sys

2008-10-29 13:27 . 2008-10-29 13:27

2008-10-29 13:27 . 2008-10-29 13:27 249,592 --a------ C:\WINDOWS\system32\cssdll32.dll

2008-10-29 13:26 . 2008-10-29 21:25

2008-10-29 13:26 . 2008-10-29 21:54

2008-10-29 09:15 . 2008-03-27 20:40 1,952 --ah----- C:\wa6.vbs

2008-10-26 21:23 . 2008-09-15 13:12 1,846,400 -----c--- C:\WINDOWS\system32\dllcache\win32k.sys

2008-10-26 21:23 . 2008-09-08 11:41 333,824 -----c--- C:\WINDOWS\system32\dllcache\srv.sys

2008-10-26 21:22 . 2008-08-14 11:11 2,189,184 -----c--- C:\WINDOWS\system32\dllcache\ntoskrnl.exe

2008-10-26 21:22 . 2008-08-14 11:09 2,145,280 -----c--- C:\WINDOWS\system32\dllcache\ntkrnlmp.exe

2008-10-26 21:22 . 2008-08-14 10:33 2,066,048 -----c--- C:\WINDOWS\system32\dllcache\ntkrnlpa.exe

2008-10-26 21:22 . 2008-08-14 10:33 2,023,936 -----c--- C:\WINDOWS\system32\dllcache\ntkrpamp.exe

2008-10-26 21:21 . 2008-10-15 17:34 337,408 -----c--- C:\WINDOWS\system32\dllcache\netapi32.dll

.

(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-09-15 12:12 1,846,400 ----a-w C:\WINDOWS\system32\win32k.sys

2008-09-08 10:41 333,824 ----a-w C:\WINDOWS\system32\drivers\srv.sys

2008-09-03 20:59 --------- d-----w C:\Program Files\Alwil Software

2008-09-03 19:11 --------- d-----w C:\Program Files\BitComet

2008-08-26 07:24 826,368 ----a-w C:\WINDOWS\system32\wininet.dll

2008-08-14 10:09 2,145,280 ----a-w C:\WINDOWS\system32\ntoskrnl.exe

2008-08-14 09:33 2,023,936 ----a-w C:\WINDOWS\system32\ntkrnlpa.exe

.

((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]

"{57BCA5FA-5DBB-45a2-B558-1755C3F6253B}"= "C:\Program Files\Winamp Toolbar\winamptb.dll" [2008-03-19 1267040]

[HKEY_CLASSES_ROOT\clsid{57bca5fa-5dbb-45a2-b558-1755c3f6253b}]

[HKEY_CLASSES_ROOT\WINAMPTB.AOLTBSearch.1]

[HKEY_CLASSES_ROOT\TypeLib{538CD77C-BFDD-49b0-9562-77419CAB89D1}]

[HKEY_CLASSES_ROOT\WINAMPTB.AOLTBSearch]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects{201f27d4-3704-41d6-89c1-aa35e39143ed}]

2008-08-06 15:20 279944 --a------ C:\Program Files\AskBarDis\bar\bin\askBar.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

"{3041d03e-fd4b-44e0-b742-2d9b88305f98}"= "C:\Program Files\AskBarDis\bar\bin\askBar.dll" [2008-08-06 279944]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]

"Gadu-Gadu"="C:\Program Files\Gadu-Gadu\gg.exe" [2008-03-20 2127296]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2005-08-05 64512]

"SunJavaUpdateSched"="C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe" [2005-11-10 36975]

"igfxtray"="C:\WINDOWS\system32\igfxtray.exe" [2006-03-23 94208]

"igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2006-03-23 77824]

"igfxpers"="C:\WINDOWS\system32\igfxpers.exe" [2006-03-23 118784]

"GrooveMonitor"="C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016]

"SsAAD.exe"="C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe" [2006-01-07 81920]

"WinampAgent"="C:\Program Files\Winamp\Winampa.exe" [2003-04-02 12288]

"SSBkgdUpdate"="C:\Program Files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-09-28 185896]

"OpwareSE4"="C:\Program Files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe" [2006-10-11 75304]

"TkBellExe"="C:\Program Files\Common Files\Real\Update_OB\realsched.exe" [2008-07-16 185896]

"RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [2005-04-15 45056]

"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 155648]

"COMODO Internet Security"="C:\Program Files\COMODO\COMODO Internet Security\cfp.exe" [2008-10-29 1796856]

"RTHDCPL"="RTHDCPL.EXE" [2006-09-06 C:\WINDOWS\RTHDCPL.exe]

"SkyTel"="SkyTel.EXE" [2006-05-16 C:\WINDOWS\SkyTel.exe]

"SMSERIAL"="sm56hlpr.exe" [2006-01-20 C:\WINDOWS\sm56hlpr.exe]

"Zip"="wscript.exe" [2008-05-08 C:\WINDOWS\system32\wscript.exe]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360]

C:\Documents and Settings\All Users\Start Menu\Programs\Startup\

Adobe Reader Speed Launch.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 29696]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles

"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

"AppInit_DLLs"= C:\WINDOWS\system32\guard32.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\system32\sessmgr.exe"=

"C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE"=

"C:\Program Files\Microsoft Office\Office12\GROOVE.EXE"=

"C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE"=

"%windir%\Network Diagnostic\xpnetdiag.exe"=

"C:\Program Files\BitComet\BitComet.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"27574:TCP"= 27574:TCP:BitCometBeta 27574 TCP

"27574:UDP"= 27574:UDP:BitCometBeta 27574 UDP

R0 O2MDRDR;O2MDRDR;C:\WINDOWS\system32\DRIVERS\o2media.sys [2006-02-27 34880]

R0 O2SDRDR;O2SDRDR;C:\WINDOWS\system32\DRIVERS\o2sd.sys [2006-02-20 29056]

R1 cmdGuard;COMODO Internet Security Sandbox Driver;C:\WINDOWS\system32\DRIVERS\cmdguard.sys [2008-10-29 99856]

R1 cmdHlp;COMODO Internet Security Helper Driver;C:\WINDOWS\system32\DRIVERS\cmdhlp.sys [2008-10-29 31504]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{6becf197-45a5-11dd-bbb0-0018de9eebe4}]

\Shell\Auto\command - H:\Long.exe

\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Long.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{ee1d916a-5760-11dd-bbe5-ff16717191fb}]

\Shell\AutoRun\command - H:\v.exe

\Shell\explore\Command - H:\v.exe

\Shell\open\Command - H:\v.exe

*Newly Created Service* - PROCEXP90

.

.

------- Skan uzupełniający -------

.

FireFox -: Profile - C:\Documents and Settings\Maciek\Application Data\Mozilla\Firefox\Profiles\wcgjt5hz.default\

FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.onet.pl/

FF -: plugin - C:\Program Files\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll

FF -: plugin - C:\Program Files\Java\jre1.5.0_06\bin\NPJava11.dll

FF -: plugin - C:\Program Files\Java\jre1.5.0_06\bin\NPJava12.dll

FF -: plugin - C:\Program Files\Java\jre1.5.0_06\bin\NPJava13.dll

FF -: plugin - C:\Program Files\Java\jre1.5.0_06\bin\NPJava14.dll

FF -: plugin - C:\Program Files\Java\jre1.5.0_06\bin\NPJava32.dll

FF -: plugin - C:\Program Files\Java\jre1.5.0_06\bin\NPJPI150_06.dll

FF -: plugin - C:\Program Files\Java\jre1.5.0_06\bin\NPOJI610.dll

.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-10-29 23:19:46

Windows 5.1.2600 Service Pack 3 NTFS

skanowanie ukrytych procesów ...

skanowanie ukrytych wpisów autostartu ...

skanowanie ukrytych plików ...

C:\DOCUME~1\Maciek\LOCALS~1\Temp\RGI3.tmp

skanowanie pomyślnie ukończone

ukryte pliki: 1

**************************************************************************

.

--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------

PROCES: C:\WINDOWS\system32\winlogon.exe

  • C:\WINDOWS\system32\guard32.dll

PROCES: C:\WINDOWS\system32\lsass.exe

  • C:\WINDOWS\system32\guard32.dll

.

Czas ukończenia: 2008-10-29 23:22:28

ComboFix-quarantined-files.txt 2008-10-29 22:22:15

Przed: 27 371 024 384 bytes free

Po: 27,573,039,104 bajtów wolnych

152 --- E O F --- 2008-10-26 20:33:35


(doktór) #6

dostęp do dysków jest, ale tapeta dalej się ładuje jakoś samoistnie po każdym odpaleniu kompa na nowo. proponowany Malwarebytes' Anti-Malware nic nie wykrywa - wcześniej znalazł jedną sztukę


(Apdjs) #7

Zapisz plik jako CFScript.txt najlepiej aby ikonka tego pliku znajdowała się obok ikonki ComboFix.exe

Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe powinno rozpocząć się usuwanie po tym daj log na forum

cfscript10uc2.gif

Loga wklej na WKLEJ TO lub WKLEJ a w poście daj linka


(doktór) #8

witam, oto najnowszy log z combofixa. jeśli chodzi o TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !!

Oto link: http://www.wklejto.pl/13527


(Spandau) #9

Wylecz pendriva lub kartę pamięci http://www.softpedia.com/get/Security/S ... Tool.shtml

Flash Disinfector http://www.searchengines.pl/index.php?s ... ntry369724

lub format

wklej do notatnika:

Zapisz plik jako CFScript.txt najlepiej aby ikonka tego pliku znajdowała się obok ikonki ComboFix.exe

Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe powinno rozpocząć się usuwanie po tym daj log na forum.

Loga wklej na www.wklejto.pl lub http://www.wklej.org/ a w poście daj linka


(doktór) #10

przy użyciu programu PRT za każdym razem pojawia się info: Run-Time Error: 53. File Not Found. "Zrobiłem" też pen-drive'a Flash Disinfectorem, ale chyba niewiele to dało. Po wydaniu nowego loga przez ComboFixa - ten tutaj: http://www.wklejto.pl/13540 przez chwile nie było na C: pliku wa6.vbs, ale pozniej znowu chyba sie pojawił. teraz juz zrobilem format pendrive'a, wiec powinien byc czysty, ale sam juz nie wiem. w kazdym razie na wszystkich dyskach pojawił sie folder: Qoobox. Czy problemem w tym wszystkim moze byc fakt, ze komp na ktorym jest caly ten syf nie ma polaczenia z netem?? Bo co chwile musze przenosic CFScript i logi z jednego kompa na drugi, no i nie wiem jaki to moze miec wplyw.

dzieki za wszystko, i sorry ze tego az tyle. jak to wszystko sie skonczy, to postaram sie jakies porzadne antywiry powstawiac - do tej pory jakos nie bylo czasu, czyli kompletny brak odpowiedzialnosci #-o . no i jak ktos jest z krakowa, to zapraszam na piwo.


(Spandau) #11

Folder Qoobox to kwarantanna Combofix możesz usunąć po ponownym skanowaniu znowu się pojawi.

Usuń te wpisy w HJT

Uruchom HijackThis - Do a system scan only - w oknie programu pokaże się log - zaznacz kratki przy podanych wpisach - klikasz Fix checked

Pobierz Combofix ale nie uruchamiaj wklej do notatnika:

Zapisz plik jako CFScript.txt najlepiej aby ikonka tego pliku znajdowała się obok ikonki ComboFix.exe

Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe powinno rozpocząć się usuwanie po tym daj log na forum.

Loga wklej na http://www.wklejto.pl lub http://www.wklej.org/ a w poście daj tylko linka


(doktór) #12

Witam,

HijackThis pokazuje jedynie kilka z wymienionych wyżej.

nie ma takich rzeczy:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe

O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Program Files\BitComet\tools\BitCometBHO_1.2.8.7.dll/206 (file missing)

O20 - Winlogon Notify: fsmgmt - C:\WINDOWS\

pozostałe są.

czy wykasować tylko te które są?? pytam, bo nie chcę znowu czegoś spieprzyć. pozdrawiam


(Spandau) #13

Tak niektórych wpisów w HJT może już nie być, więc wykasuj te które pozostały. Dodatkowo daj log z usuwania Combofix

:slight_smile:


(doktór) #14

http://www.wklejto.pl/13592

oto najnowszy log z combo. będę wdzięczny za dalsze instrukcje.


(Leon$) #15

Wylecz pendriva lub kartę pamięci http://www.softpedia.com/get/Security/S ... Tool.shtml

Flash Disinfector http://www.searchengines.pl/index.php?s ... ntry369724

lub format

Log wygląda na czysty

Pobierz CCleaner http://www.filehippo.com/download_ccleaner/

przeskanuj nim i wyczyść rejestr.

zrób optymalizacje uruchamiania

http://cybertrash.netarteria.pl/cyber/i ... 378.0.html

usuń ręcznie folder C: \Qoobox usuń instalkę Combofix z dysku.

Wyłącz I włącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

przeskanuj obszar Mój komputer http://www.kaspersky.pl/virusscanner.html gdy będą wirusy pokaż raport stronę uruchomić przez IE

:slight_smile:


(doktór) #16

witam,

nie przeskanowałem kasperskym - nie mam w laptopie dostępu do netu. postaram się to zrobić przy najbliższej okazji - jutro wybiore sie gdzieś do hotspota.

ale wszystko wygląda już chyba dobrze, wszystko działa o wiele szybciej. bardzo dziękuję wszystkim za poświęcenie mi i moim problemom Waszego czasu.

przy okazji, czy ktoś może dać radę jak wyczyścić pendrivy?? PRT cały czas pokazuje komunikat Run-Time Error: 53. File Not Found. Flash Disinfectorem też jakoś średnio idzie - poprzednio chyba nic to nie dało, bo pendrive dawał się dalej zakażac. zastosowałem zatem format, i wszystko gra. tyle ze mam jeszcze jednego pendrive'a ktorego nie moge sformatować, a boję sie go wrzucać do jakiekolwiek komputera. bardzo będę zobowiązany za jakąś podpowiedź.

przy okazji, gdyby ktoś mógł przejrzeć tego loga: http://www.wklejto.pl/13609, to z kompa którego wczoraj jakoś na czuja wyczyściłem, ale nie wiem czy coś netu nie zapycha. bo czasem pojawia się błąd 676: linia jest zajęta, albo 678: komputer zdalny nie odpowiada. nigdy wcześniej czegoś takiego nie widziałem, i boję się że to pozostałość po nieproszonych gościach. a że to o komputer Taty tu idzie, to boję się podwójnie :wink: ale tu wszystko ładnie działa, chcę się tylko upewnić że będzie to płynne, bo wyjeżdżam niedługo na parę dni, i jak tu się coś wydarzy to będzie wybuchowo.

jeszcze raz, bardzo dziękuję.


(maku13) #17

Użyj funkcji Fix checked w HijackThis:


(Apdjs) #18

Fix w HJT


(doktór) #19

dzięki, zrobione. czy poza tym wszystko jest okay?? rzucić jakiegoś loga??


(Apdjs) #20

daj loga z Combofix