Nie mogę wejść do zadnej partycji


(KubVard) #1

Witam,

Tak jak w temacie. Nie potrafię wejść do żadnej partycji. Wyskakuje mi taki błąd:

C\:resycled\boot.com nie jest prawidłową aplikacją systemu win32.

mieszkam obecnie w akademiku, kumpel przyniósł pendriva z najprawdopodobniej jakimś wirusem. Bo i ja i mój współlokator mamy to samo. Do tego forum, z którego często korzystam, jest zablokowane. TYLKO ja tak mam. Gdy próbuje się zalogować wyskakuje:

• You have damaged: config.php file !

• File must begin with: <?php and finish with ?> with any other chars (spaces, tabs or new line) before <?php and after ?>

• You must correct the file !

• Remember it is not mistake, if your text editor can not see this space, tab or new line, use other editor with operating multi (CR/LF) format or create new file with clean content.

• Forum will not work correctly with damaged config.php file.


Warning: Cannot modify header information - headers already sent by (output started at /var/www/dark-forest.pl/public_html/login.php:65) in /var/www/dark-forest.pl/public_html/includes/sessions.php on line 676


Warning: Cannot modify header information - headers already sent by (output started at /var/www/dark-forest.pl/public_html/login.php:65) in /var/www/dark-forest.pl/public_html/includes/sessions.php on line 677


Warning: Cannot modify header information - headers already sent by (output started at /var/www/dark-forest.pl/public_html/login.php:65) in /var/www/dark-forest.pl/public_html/includes/sessions.php on line 546


Warning: Cannot modify header information - headers already sent by (output started at /var/www/dark-forest.pl/public_html/login.php:65) in /var/www/dark-forest.pl/public_html/includes/sessions.php on line 547


Warning: Cannot modify header information - headers already sent by (output started at /var/www/dark-forest.pl/public_html/login.php:65) in /var/www/dark-forest.pl/public_html/includes/functions.php on line 1737

Skanowałem już cały dysk avastem, spybotem search & destroy. Jakieś śmiecie mi tam znalazły, ale nic związanego z tym. Oto mój log sporządzony przez Hijack Thisa.

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 11:50:01, on 2008-10-30

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Avast4\aswUpdSv.exe

C:\Avast4\ashServ.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Avast4\ashDisp.exe

C:\Program Files\VIAudioi\SBADeck\ADeck.exe

C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb11.exe

C:\WINDOWS\system32\hphmon06.exe

C:\Program Files\A4Tech\Mouse\Amoumain.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\PROGRA~1\WapSter\WAPSTE~1\AQQ.exe

C:\Program Files\DAEMON Tools Lite\daemon.exe

C:\Program Files\Kalendarz XP\Kalendarz.exe

C:\Bluth\IVT Corporation\BlueSoleil\BTNtService.exe

C:\Avast4\ashMaiSv.exe

C:\Avast4\ashWebSv.exe

C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\JetAudio\JetAudio.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\BitComet\BitComet.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

C:\WINDOWS\system32\RunDLL32.EXE


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.daemon-search.com/startpage

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL (file missing)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll

O4 - HKLM\..\Run: [avast!] C:\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [AudioDeck] C:\Program Files\VIAudioi\SBADeck\ADeck.exe 1

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb11.exe

O4 - HKLM\..\Run: [HPHUPD06] C:\Program Files\HP\{AAC4FC36-8F89-4587-8DD3-EBC57C83374D}\hphupd06.exe

O4 - HKLM\..\Run: [HPHmon06] C:\WINDOWS\system32\hphmon06.exe

O4 - HKLM\..\Run: [WheelMouse] C:\Program Files\A4Tech\Mouse\Amoumain.exe

O4 - HKLM\..\Run: [CafeNews] C:\Program Files\CafeNews\CN.exe /autostart

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [Odkurzacz-MCD] C:\Program Files\Odkurzacz\odk_mcd.exe

O4 - HKCU\..\Run: [AQQ] C:\PROGRA~1\WapSter\WAPSTE~1\AQQ.exe

O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Kalendarz XP.lnk = C:\Program Files\Kalendarz XP\Kalendarz.exe

O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm

O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm

O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {3D8700FB-86A4-4CB4-B738-6F0FC016AC7D} (MainControl Class) - http://slimak.onet.pl/_m/wirusy/ArcaOnline.cab

O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} - http://www.mks.com.pl/skaner/SkanerOnline.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{496334DA-854F-4D29-A967-62F17782FC37}: NameServer = 85.255.112.233;85.255.112.151

O17 - HKLM\System\CCS\Services\Tcpip\..\{FC84B939-450C-459E-8665-3404390406C3}: NameServer = 85.255.112.233;85.255.112.151

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Avast4\aswUpdSv.exe

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Avast4\ashWebSv.exe

O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Bluth\IVT Corporation\BlueSoleil\BTNtService.exe

O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe


--

End of file - 6231 bytes

(maku13) #2

Użyj funkcji Fix checked w HijackThis:

Pobierz ComboFix, a loga wklej na http://www.wklejto.pl lub http://www.wklej.org, a w poście daj linka.


(Hawk) #3

Wejdz na partycje za pomoca total commandera tylko ustaw w nim zeby widzial wszystkie pliki i wywal tam wszystkie autoron. I po sprawie.


(Kambor4) #4

1)

Masz ukraińską infekcję czyli Rootkit "Windows Security Center".

Użyj -->FixWareout

Po jego użyciu może zajść potrzeba ustawiania od nowa DNS Twojego dostawcy internetowego.

-->Jak przywrócić prawidłowe DNS.Pokaż Report.txt znajdujący się w C:\Fixwareout.txt

2)

Zamknij robaczywe porty przy pomocy --> Windows Worms Doors Cleaner (niżej na stronie linku)..

Ustaw znaczki na zielono, Netbios może być na żółto.

Po użyciu narzędzia wymagany jest restart.

3) Daj log z -----> ComboFix (niżej na stronie linku).

===============

K.


(KubVard) #5

Fix Checka zrobiłem, Ściągnąłem ComboFixa i log znajduje się w linku poniżej.

http://www.wklej.org/id/13971/


(Kambor4) #6

Wklej do Notatnika :

Folder::

C:\resycled

D:\resycled

E:\resycled

J:\resycled

C:\FOUND.002

C:\FOUND.001


Registry::

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1c989a33-0ddd-11dc-a86a-806d6172696f}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1c989a34-0ddd-11dc-a86a-806d6172696f}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2e70389a-63ba-11dd-9278-101111111111}]

>>Plik>>Zapisz jako... >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

-->95706CFScript-8a-4.gif

Ma się rozpocząć usuwanie. (i powstanie log).Daj ten log, który powstanie w trakcie usuwania.

Jeśli pójdzie dobrze, to: Po restarcie usuń ręcznie folder C:**** Qoobox.

==================

K.