Niebieski pulpit SPYWARE

kloch7 · 15 Czerwiec 2008 15:49

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 17:42:44, on 2008-06-15

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal


Running processes:

D:\WINDOWS\System32\smss.exe

D:\WINDOWS\system32\csrss.exe

D:\WINDOWS\system32\winlogon.exe

D:\WINDOWS\system32\services.exe

D:\WINDOWS\system32\lsass.exe

D:\WINDOWS\system32\Ati2evxx.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\system32\spoolsv.exe

D:\WINDOWS\system32\CTsvcCDA.exe

D:\Program Files\Creative\Shared Files\CTDevSrv.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\system32\wdfmgr.exe

D:\WINDOWS\System32\alg.exe

D:\WINDOWS\system32\Ati2evxx.exe

D:\WINDOWS\Explorer.EXE

D:\WINDOWS\V0220Mon.exe

D:\WINDOWS\system32\wscntfy.exe

D:\Program Files\PC Connectivity Solution\ServiceLayer.exe

C:\Creative Media Lite\CTZDetec.exe

D:\Documents and Settings\Kłosek\Menu Start\Programy\Autostart\ctfmon.exe

C:\Gadu-Gadu\gg.exe

D:\Program Files\Winamp\winamp.exe

D:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe

D:\Program Files\Netropa\Multimedia Keyboard\TrayMon.exe

D:\Program Files\Netropa\Onscreen Display\OSD.exe

C:\Gadu-Gadu\gg.exe

C:\Program Files\BearShare\BearShare.exe

D:\Program Files\outlook\outlook.exe

D:\WINDOWS\MANTEC~1\javaw.exe

D:\WINDOWS\444.470

D:\WINDOWS\17PHolmes1000106.exe

D:\WINDOWS\system32\iftuyszv.exe

D:\Program Files\Internet Explorer\iexplore.exe

D:\WINDOWS\S7Nvc2Vr\command.exe

D:\Program Files\Network Monitor\netmon.exe

D:\WINDOWS\system32\??crosoft.NET\m?iexec.exe

D:\WINDOWS\system32\rundll32.exe

D:\WINDOWS\system32\rundll32.exe

D:\Program Files\Mozilla Firefox\firefox.exe

D:\Documents and Settings\Kłosek\Pulpit\HiJackThis.exe

D:\WINDOWS\system32\wbem\wmiprvse.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

F2 - REG:system.ini: UserInit=D:\WINDOWS\system32\userinit.exe,D:\WINDOWS\system32\iftuyszv.exe,

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\program files\google\googletoolbar1.dll (file missing)

O4 - HKLM\..\Run: [SBI] D:\Documents and Settings\Kłosek\Pulpit\install_sbd_en.exe

O4 - HKLM\..\Run: [BMN] "D:\Program Files\Common Files\TrustedAntivirus\bm.exe" dm=http://trustedantivirus.com ad=http://trustedantivirus.com sd=http://ykeeper.trustedantivirus.com

O4 - HKLM\..\Run: [DmwClient] "dmwclient.exe"

O4 - HKLM\..\Run: [PCSuiteTrayApplication] D:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup

O4 - HKLM\..\Run: [V0220Mon.exe] D:\WINDOWS\V0220Mon.exe

O4 - HKLM\..\Run: [outlook] D:\Program Files\outlook\outlook.exe /auto

O4 - HKLM\..\Run: [winlog] winlog.exe

O4 - HKLM\..\Run: [runner1] D:\WINDOWS\mrofinu1000106.exe 61A847B5BBF72813329B385772FF01F0B3E35B6638993F4661AA4EBD86D67C56389B284534F310

O4 - HKLM\..\Run: [403ac58e] rundll32.exe "D:\WINDOWS\system32\fofujmgn.dll",b

O4 - HKLM\..\RunServices: [winlog] winlog.exe

O4 - HKCU\..\Run: [VirusIsolator.exe] D:\Program Files\VirusIsolator\VirusIsolator.exe

O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Gadu-Gadu\gg.exe" /tray

O4 - HKCU\..\Run: [CTZDetec.exe] C:\Creative Media Lite\CTZDetec.exe

O4 - HKCU\..\Run: [Uoea] "D:\WINDOWS\MANTEC~1\javaw.exe" -vt yazb

O4 - HKCU\..\Run: [Cjzqy] D:\WINDOWS\system32\??crosoft.NET\m?iexec.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: ctfmon.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Program Files\IrfanView\Ebay\Ebay.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: d:\windows\system32\nwprovau.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{E3B310E8-6D6C-4D26-99F2-9D249E728F0B}: NameServer = 82.160.143.3 213.199.255.14

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - D:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O20 - AppInit_DLLs: D:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Command Service (cmdService) - Unknown owner - D:\WINDOWS\S7Nvc2Vr\command.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - D:\WINDOWS\system32\CTsvcCDA.exe

O23 - Service: CT Device Query service (CTDevice_Srv) - Creative Technology Ltd - D:\Program Files\Creative\Shared Files\CTDevSrv.exe

O23 - Service: MsSecurity Updated (MsSecurity1.209.4) - Unknown owner - D:\WINDOWS\444.470.exe (file missing)

O23 - Service: Network Monitor - Unknown owner - D:\Program Files\Network Monitor\netmon.exe

O23 - Service: ServiceLayer - Nokia. - D:\Program Files\PC Connectivity Solution\ServiceLayer.exe


--

End of file - 5794 bytes

addmir · 15 Czerwiec 2008 18:51

FIX w hijack:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wm … Ojg5&lid=2 F2 - REG:system.ini: UserInit=D:\WINDOWS\system32\userinit.exe,D:\WINDOWS\system32\iftuyszv.exe, O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\program files\google\googletoolbar1.dll (file missing) O4 - HKLM…\Run: [outlook] D:\Program Files\outlook\outlook.exe /auto O4 - HKLM…\Run: [winlog] winlog.exe O4 - HKLM…\Run: [runner1] D:\WINDOWS\mrofinu1000106.exe61A847B5BBF72813329B385772FF01F0B3E35B6638993F4661AA4EBD86D67C56389B284534F310 O4 - HKLM…\Run: [403ac58e] rundll32.exe “D:\WINDOWS\system32\fofujmgn.dll”,b O4 - HKLM…\RunServices: [winlog] winlog.exe O4 - HKCU…\Run: [VirusIsolator.exe] D:\Program Files\VirusIsolator\VirusIsolator.exe O4 - Startup: ctfmon.exe

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

D:\WINDOWS\mrofinu1000106.exe

D:\WINDOWS\system32\iftuyszv.exe

D:\WINDOWS\system32\fofujmgn.dll

D:\WINDOWS\S7Nvc2Vr\command.exe

D:\WINDOWS\444.470.exe


Folder::

D:\Program Files\outlook

D:\Program Files\VirusIsolator

D:\Program Files\Network Monitor


Driver::

MsSecurity1.209.4

Plik -> zapisz jako -> CFScript.txt

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

Powinno się rozpocząć usuwanie i powstanie log, daj ten log na forum + nowy log z HijackThis.

Jeśli wszystko pójdzie dobrze, to po restarcie usuń ręcznie folder C: ** Qoobox**

kloch7 · 15 Czerwiec 2008 19:49

ComboFix 08-06-15.1 - Kłosek 2008-06-15 21:31:34.1 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.145 [GMT 2:00]

Running from: D:\Documents and Settings\Kłosek\Pulpit\ComboFix.exe

Command switches used :: D:\Documents and Settings\Kłosek\Moje dokumenty\CFScript.txt

 * Created a new restore point


[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED [/b][/color]


FILE ::

D:\WINDOWS\444.470.exe

D:\WINDOWS\mrofinu1000106.exe

D:\WINDOWS\S7Nvc2Vr\command.exe

D:\WINDOWS\system32\fofujmgn.dll

D:\WINDOWS\system32\iftuyszv.exe

.


((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.


C:\Autorun.inf

D:\autorun.inf

D:\Documents and Settings\Kłosek\Menu Start\Programy\Autostart\ctfmon.exe

D:\Documents and Settings\Kłosek\ResErrors.log

D:\Documents and Settings\Kłosek\Ulubione\Error Cleaner.url

D:\Documents and Settings\Kłosek\Ulubione\Privacy Protector.url

D:\Documents and Settings\Kłosek\Ulubione\Spyware&Malware Protection.url

D:\Documents and Settings\LocalService\Dane aplikacji\NetMon

D:\Documents and Settings\LocalService\Dane aplikacji\NetMon\domains.txt

D:\Documents and Settings\LocalService\Dane aplikacji\NetMon\log.txt

D:\Program Files\Common Files\Yazzle1396OinAdmin.exe

D:\Program Files\Common Files\Yazzle1396OinUninstaller.exe

D:\Program Files\network monitor

D:\Program Files\network monitor\netmon.exe

D:\Program Files\outerinfo

D:\Program Files\outerinfo\FF\components\FF.dll

D:\Program Files\outerinfo\FF\components\OuterinfoAds.xpt

D:\Program Files\outlook

D:\Program Files\outlook\outlook.exe

D:\Program Files\outlook\p.zip

D:\Program Files\outlook\v.tmp

D:\Recycled\Recycled

D:\Recycled\Recycled\ctfmon.exe

D:\WINDOWS\.protected

D:\WINDOWS\444.470

D:\WINDOWS\accesss.exe

D:\WINDOWS\astctl32.ocx

D:\WINDOWS\avpcc.dll

D:\WINDOWS\bdkpfxqw.dll

D:\WINDOWS\clrssn.exe

D:\WINDOWS\cpan.dll

D:\WINDOWS\ctfmon32.exe

D:\WINDOWS\ctrlpan.dll

D:\WINDOWS\default.htm

D:\WINDOWS\directx32.exe

D:\WINDOWS\dnsrelay.dll

D:\WINDOWS\editpad.exe

D:\WINDOWS\explore.exe

D:\WINDOWS\explorer32.exe

D:\WINDOWS\funniest.exe

D:\WINDOWS\funny.exe

D:\WINDOWS\gfmnaaa.dll

D:\WINDOWS\helpcvs.exe

D:\WINDOWS\iedll.exe

D:\WINDOWS\iexplorer.exe

D:\WINDOWS\inetinf.exe

D:\WINDOWS\internet.exe

D:\WINDOWS\lfn.exe

D:\WINDOWS\loader.exe

D:\WINDOWS\mainms.vpi

D:\WINDOWS\mantec~1

D:\WINDOWS\mantec~1\??mantec\

D:\WINDOWS\mantec~1\javaw.exe

D:\WINDOWS\megavid.cdt

D:\WINDOWS\mrofinu1000106.exe

D:\WINDOWS\msconfd.dll

D:\WINDOWS\msspi.dll

D:\WINDOWS\mssys.exe

D:\WINDOWS\msupdate.exe

D:\WINDOWS\mswsc10.dll

D:\WINDOWS\mswsc20.dll

D:\WINDOWS\mtwirl32.dll

D:\WINDOWS\muotr.so

D:\WINDOWS\notepad32.exe

D:\WINDOWS\olehelp.exe

D:\WINDOWS\portsv.exe

D:\WINDOWS\privacy_danger

D:\WINDOWS\privacy_danger\images\capt.gif

D:\WINDOWS\privacy_danger\images\danger.jpg

D:\WINDOWS\privacy_danger\images\down.gif

D:\WINDOWS\privacy_danger\images\spacer.gif

D:\WINDOWS\privacy_danger\index.htm

D:\WINDOWS\qadovnel.dll

D:\WINDOWS\qttasks.exe

D:\WINDOWS\quicken.exe

D:\WINDOWS\rs.txt

D:\WINDOWS\rundll16.exe

D:\WINDOWS\rundll32.vbe

D:\WINDOWS\S7Nvc2Vr\

D:\WINDOWS\S7Nvc2Vr\\asappsrv.dll

D:\WINDOWS\S7Nvc2Vr\\mehSwZpO.vbs

D:\WINDOWS\S7Nvc2Vr\command.exe

D:\WINDOWS\searchword.dll

D:\WINDOWS\sistem.exe

D:\WINDOWS\spwoqbmv.exe

D:\WINDOWS\svchost32.exe

D:\WINDOWS\svcinit.exe

D:\WINDOWS\systeem.exe

D:\WINDOWS\system32\atmtd.dll

D:\WINDOWS\system32\atmtd.dll._

D:\WINDOWS\system32\bszip.dll

D:\WINDOWS\system32\cmd.com

D:\WINDOWS\system32\crosof~1.net

D:\WINDOWS\system32\crosof~1.net\m?iexec.exe

D:\WINDOWS\system32\drivers\etc\.protected

D:\WINDOWS\system32\fofujmgn.dll

D:\WINDOWS\system32\hhqff.dll

D:\WINDOWS\system32\hljwugsf.bin

D:\WINDOWS\system32\iftuyszv.exe

D:\WINDOWS\system32\khfEtsPi.dll

D:\WINDOWS\system32\MSINET.oca

D:\WINDOWS\system32\netstat.com

D:\WINDOWS\system32\ngmjufof.ini

D:\WINDOWS\system32\pac.txt

D:\WINDOWS\system32\ping.com

D:\WINDOWS\system32\regedit.com

D:\WINDOWS\system32\taskkill.com

D:\WINDOWS\system32\tasklist.com

D:\WINDOWS\system32\tracert.com

D:\WINDOWS\system32\tuvVMcCV.dll

D:\WINDOWS\system32\VCcMVvut.ini

D:\WINDOWS\system32\VCcMVvut.ini2

D:\WINDOWS\system32\winlog.exe

D:\WINDOWS\systemcritical.exe

D:\WINDOWS\time.exe

D:\WINDOWS\uninstall_nmon.vbs

D:\WINDOWS\users32.exe

D:\WINDOWS\waol.exe

D:\WINDOWS\win32e.exe

D:\WINDOWS\win64.exe

D:\WINDOWS\winajbm.dll

D:\WINDOWS\window.exe

D:\WINDOWS\winmgnt.exe

D:\WINDOWS\x.exe

D:\WINDOWS\xbaqktfv.exe

D:\WINDOWS\xplugin.dll

D:\WINDOWS\xxxvideo.hta

D:\WINDOWS\y.exe

E:\Autorun.inf


.

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.


-------\Legacy_CMDSERVICE

-------\Legacy_DHLP

-------\Legacy_MSSECURITY1.209.4

-------\Legacy_NETWORK_MONITOR

-------\Service_cmdService

-------\Service_MsSecurity1.209.4

-------\Service_Network Monitor

-------\Legacy_PlugPlayRPC

-------\Service_PlugPlayRPC



((((((((((((((((((((((((( Files Created from 2008-05-15 to 2008-06-15 )))))))))))))))))))))))))))))))

.


2008-06-15 21:39 . 2008-06-15 21:39	5,982	--a------	D:\Documents and Settings\Kcatchme.zip

2008-06-15 17:58 . 2008-06-15 20:45	




[i]W dniu [b]15.06.2008[/b], o godzinie [b]21:48[/b] został dopisany post przez kloch7[/i]

[code]Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:48:36, on 2008-06-15 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\Ati2evxx.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\system32\spoolsv.exe D:\WINDOWS\system32\Ati2evxx.exe D:\WINDOWS\system32\CTsvcCDA.exe D:\Program Files\Creative\Shared Files\CTDevSrv.exe C:\Creative Media Lite\CTZDetec.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\system32\wscntfy.exe D:\WINDOWS\explorer.exe D:\WINDOWS\system32\notepad.exe D:\Program Files\Mozilla Firefox\firefox.exe C:\Gadu-Gadu\gg.exe D:\Documents and Settings\Kłosek\Pulpit\HiJackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file) O4 - HKCU…\Run: [CTZDetec.exe] C:\Creative Media Lite\CTZDetec.exe O4 - HKCU…\Run: [Gadu-Gadu] “C:\Gadu-Gadu\gg.exe” /tray O4 - HKCU…\Run: [Uoea] “D:\WINDOWS\MANTEC~1\javaw.exe” -vt yazb O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA LOKALNA’) O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA SIECIOWA’) O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’) O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’) O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Program Files\IrfanView\Ebay\Ebay.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: d:\windows\system32\nwprovau.dll O17 - HKLM\System\CCS\Services\Tcpip…{E3B310E8-6D6C-4D26-99F2-9D249E728F0B}: NameServer = 82.160.143.3 213.199.255.14 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - D:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O20 - AppInit_DLLs: D:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - D:\WINDOWS\system32\CTsvcCDA.exe O23 - Service: CT Device Query service (CTDevice_Srv) - Creative Technology Ltd - D:\Program Files\Creative\Shared Files\CTDevSrv.exe – End of file - 3509 bytes

W dniu 15.06.2008 , o godzinie 21:49 został dopisany post przez kloch7

Wielkie dzięki niby już wszystko w porządku …

Gutek · 16 Czerwiec 2008 15:29

Wklej do Notatnika:

File::

D:\WINDOWS\Tasks\AppleSoftwareUpdate.job


Folder::

D:\WINDOWS\system32\1724


Driver::

cpuz


Registry::

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Uoea"=-

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku –>

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: ** Qoobox**.

Po tym nowy log z Combo oraz skan http://www.kaspersky.pl/virusscanner.html

Zmiana zasad wklejania logów na forum - viewtopic.php?f=16t=213350

kloch7 · 16 Czerwiec 2008 20:50

ComboFix 08-06-15.1 - Kłosek 2008-06-16 21:17:18.2 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.219 [GMT 2:00]

Running from: D:\Documents and Settings\Kłosek\Pulpit\ComboFix.exe

Command switches used :: D:\Documents and Settings\Kłosek\Moje dokumenty\CFScript.txt

 * Created a new restore point


[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED [/b][/color]


FILE ::

D:\WINDOWS\Tasks\AppleSoftwareUpdate.job

.


((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.


D:\WINDOWS\system32\1724

D:\WINDOWS\Tasks\AppleSoftwareUpdate.job


.

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.


-------\Legacy_CPUZ

-------\Service_cpuz



((((((((((((((((((((((((( Files Created from 2008-05-16 to 2008-06-16 )))))))))))))))))))))))))))))))

.


2008-06-15 21:45 . 2008-06-15 21:45	




[i]W dniu [b]16.06.2008[/b], o godzinie [b]22:50[/b] został dopisany post przez kloch7[/i]

[code]Ustawienia skanowania Skanowanie przy użyciu następujących baz danych rozszerzone Skanuj archiwa tak Skanuj pocztowe bazy danych tak Obszar skanowania Obszary krytyczne D:\WINDOWS D:\DOCUME~1\KOSEK~1\USTAWI~1\Temp\ Statystyki skanowania Liczba skanowanych obiektów 11186 Liczba wykrytych wirusów 4 Liczba zainfekowanych obiektów 4 Liczba podejrzanych obiektów 0 Czas trwania skanowania 00:12:28 Nazwa zainfekowanego obiektu Nazwa wirusa Ostatnie działanie D:\WINDOWS\Debug\PASSWD.LOG Object is locked pominięty D:\WINDOWS\pss\ctfmon.exeStartup Zainfekowanych: Trojan.Win32.VB.aqt pominięty D:\WINDOWS\SchedLgU.Txt Object is locked pominięty D:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked pominięty D:\WINDOWS\Sti_Trace.log Object is locked pominięty D:\WINDOWS\system32\CatRoot2\edb.log Object is locked pominięty D:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked pominięty D:\WINDOWS\system32\config\AppEvent.Evt Object is locked pominięty D:\WINDOWS\system32\config\default Object is locked pominięty D:\WINDOWS\system32\config\default.LOG Object is locked pominięty D:\WINDOWS\system32\config\SAM Object is locked pominięty D:\WINDOWS\system32\config\SAM.LOG Object is locked pominięty D:\WINDOWS\system32\config\SecEvent.Evt Object is locked pominięty D:\WINDOWS\system32\config\SECURITY Object is locked pominięty D:\WINDOWS\system32\config\SECURITY.LOG Object is locked pominięty D:\WINDOWS\system32\config\software Object is locked pominięty D:\WINDOWS\system32\config\software.LOG Object is locked pominięty D:\WINDOWS\system32\config\SysEvent.Evt Object is locked pominięty D:\WINDOWS\system32\config\system Object is locked pominięty D:\WINDOWS\system32\config\system.LOG Object is locked pominięty D:\WINDOWS\system32\dH\dinacomDE.exe Zainfekowanych: Trojan-Downloader.Win32.Small.buy pominięty D:\WINDOWS\system32\drivers\sptd.sys Object is locked pominięty D:\WINDOWS\system32\h323log.txt Object is locked pominięty D:\WINDOWS\system32\Ib\btuxderr.exe Zainfekowanych: Trojan.Win32.DNSChanger.ebg pominięty D:\WINDOWS\system32\netrax07\netrax071084.exe Zainfekowanych: Trojan-Downloader.Win32.VB.eyc pominięty D:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked pominięty D:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked pominięty D:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked pominięty D:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked pominięty D:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked pominięty D:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked pominięty D:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked pominięty D:\WINDOWS\wiadebug.log Object is locked pominięty D:\WINDOWS\wiaservc.log Object is locked pominięty D:\WINDOWS\WindowsUpdate.log Object is locked pominięty Proces skanowania został zakończony.

Gutek · 16 Czerwiec 2008 21:04

Zmiana zasad wklejania logów na forum - viewtopic.php?f=16&t=213350

Skan http://www.kaspersky.pl/virusscanner.html

kloch7 · 17 Czerwiec 2008 10:45

http://wklej.org/id/9d8f4238b1

W dniu 17.06.2008 , o godzinie 12:45 został dopisany post przez kloch7

http://www.wklej.org/id/bfb557ff8c

Gutek · 17 Czerwiec 2008 18:50

Wklej do Notatnika:

File::

D:\WINDOWS\pss\ctfmon.exe


Folder::

C:\RECYCLER

C:\Temp

D:\WINDOWS\system32\dH

D:\WINDOWS\system32\Ib

D:\WINDOWS\system32\netrax07

>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku –>

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: ** Qoobox**.

oraz Prawoklik na Mój KomputerWłaściwościPrzywracanie systemu wyłącz przywracanie systemu na wszystkich dyskach.

Usuń porno pliki

sebt5 · 1 Lipiec 2008 19:30

Wielkie dzięki nza pomoc wyczyściło trochę więcej niż tylko spyware’a ale pomogło. WIELKIE DZIĘKI.

Ps. nie mogłem załączyć loga