Niestety jestem amatorką,ale chciałabym spróbować z czyjąś pomocą usunąć tego złośliwca
Pobierz Combofix (u dołu strony w linku) przeskanuj system i daj log na forum.
Następnie pobierz HijackThis przeskanuj system i daj log na forum
Loga wklej na http://www.wklejto.pl lub http://www.wklej.org/ a w poście daj tylko linka
ComboFix 09-03-23.01 - Monia 2009-03-25 19:00:43.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.1.1250.1.1045.18.502.298 [GMT 1:00]
Uruchomiony z: c:\documents and settings\Monia\Pulpit\ComboFix.exe
* Utworzono nowy punkt przywracania
UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA
.
((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\documents and settings\Monia\file.exe
c:\windows\system32\crypts.dll
c:\windows\system32\digeste.dll
.
((((((((((((((((((((((((( Pliki utworzone od 2009-02-25 do 2009-03-25 )))))))))))))))))))))))))))))))
.
2009-03-24 22:57 . 2009-03-24 22:57
2009-03-24 20:09 . 2009-03-24 20:09
2009-03-24 20:09 . 2009-03-24 20:08 410,984 --a------ c:\windows\system32\deploytk.dll
2009-03-24 20:09 . 2009-03-24 20:09 73,728 --a------ c:\windows\system32\javacpl.cpl
2009-03-24 20:08 . 2009-03-24 20:08
2009-03-23 22:19 . 2009-03-23 22:19
2009-03-23 22:19 . 2009-03-23 22:19
.
(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-24 18:52 --------- d-----w c:\program files\PhotoScape
2009-02-08 16:24 --------- d-----w c:\program files\Real Alternative
2009-02-08 16:22 --------- d-----w c:\program files\ffdshow
2009-02-07 19:58 --------- d-----w c:\documents and settings\Monia\Dane aplikacji\BESTplayer
2009-02-05 06:58 --------- d-----w c:\program files\Rockstar Games
2009-02-05 06:58 --------- d-----w c:\program files\MTA
2009-02-02 17:21 --------- d-----w c:\program files\Google
2009-01-30 18:58 --------- d-----w c:\program files\Pity 2008
2009-01-20 16:34 19,862 ----a-w c:\documents and settings\Monia\Monia.VIR
.
((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“CTFMON.EXE”=“c:\windows\System32\ctfmon.exe” [2002-09-23 13312]
“Gadu-Gadu”=“c:\program files\Gadu-Gadu\gg.exe” [2008-03-20 2127296]
“MSMSGS”=“c:\program files\Messenger\msmsgs.exe” [2002-08-20 1511453]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“IgfxTray”=“c:\windows\System32\igfxtray.exe” [2007-03-13 138008]
“HotKeysCmds”=“c:\windows\System32\hkcmd.exe” [2007-03-13 154392]
“Persistence”=“c:\windows\System32\igfxpers.exe” [2007-03-13 133912]
“TrojanScanner”=“c:\program files\Trojan Remover\Trjscan.exe” [2008-05-21 877136]
“SunJavaUpdateSched”=“c:\program files\Java\jre6\bin\jusched.exe” [2009-03-24 148888]
“RTHDCPL”=“RTHDCPL.EXE” [2007-03-21 c:\windows\RTHDCPL.exe]
[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
“CTFMON.EXE”=“c:\windows\System32\CTFMON.EXE” [2002-09-23 13312]
c:\documents and settings\All Users\Menu Start\Programy\Autostart\
Program sieciowy dla SAGEM Wi-Fi 11g USB adapter.lnk - c:\program files\SAGEM WiFi manager\WLANUTL.exe [2008-05-24 950272]
R3 SG762_XP;SAGEM 802.11g XG762 1211B Driver;c:\windows\system32\drivers\WlanBZXP.sys [2008-05-24 450560]
S2 ksi32sk;ksi32sk;??\c:\windows\system32\drivers\ksi32sk.sys – c:\windows\system32\drivers\ksi32sk.sys [?]
S2 nicsk32;nicsk32;c:\windows\system32\drivers\nicsk32.sys [2002-09-23 30464]
S2 ws2_32sik;ws2_32sik;??\c:\windows\system32\drivers\ws2_32sik.sys – c:\windows\system32\drivers\ws2_32sik.sys [?]
S3 ZDCndis5;ZDCndis5 Protocol Driver;??\c:\windows\System32\ZDCndis5.SYS – c:\windows\System32\ZDCndis5.SYS [?]
— Inne Usługi/Sterowniki w Pamięci —
*NewlyCreated* - ALG
*NewlyCreated* - IPNAT
.
-
-
-
- USUNIĘTO PUSTE WPISY - - - -
-
-
HKCU-Run-Monia - c:\documents and settings\Monia\Monia.exe
.
------- Skan uzupełniający -------
.
uStart Page = hxxp://www.onet.pl/
IE: Eksport do programu Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-25 19:10:47
Windows 5.1.2600 Dodatek Service Pack. 1 NTFS
skanowanie ukrytych procesów …
skanowanie ukrytych wpisów autostartu …
skanowanie ukrytych plików …
skanowanie pomyślnie ukończone
ukryte pliki: 0
**************************************************************************
.
--------------------- ZABLOKOWANE KLUCZE REJESTRU ---------------------
[HKEY_USERS\S-1-5-21-725345543-1547161642-839522115-1005\Software\SecuROM\License information*]
“datasecu”=hex:20,b0,4e,89,c4,c2,b1,40,e3,dc,da,32,91,d8,6c,64,be,42,0a,98,d7,
8a,dc,42,7d,6a,c8,ae,d5,0f,1c,c3,1a,bd,8c,6f,ff,f1,4d,03,9a,5d,5c,da,1e,59,\
“rkeysecu”=hex:16,2c,c8,4e,dc,47,74,91,80,4e,c1,c1,ec,58,fb,49
.
--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------
-
-
-
-
-
-
- ‘winlogon.exe’(588)
-
-
-
-
-
c:\windows\System32\ODBC32.dll
-
-
-
-
-
-
- ‘lsass.exe’(764)
-
-
-
-
-
c:\windows\system32\MSVCRT40.dll
c:\windows\system32\MSVCIRT.dll
c:\windows\System32\dssenh.dll
.
------------------------ Pozostałe uruchomione procesy ------------------------
.
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Czas ukończenia: 2009-03-25 19:12:08 - komputer został uruchomiony ponownie
ComboFix-quarantined-files.txt 2009-03-25 18:12:02
Przed: 104 768 528 384 bajtów wolnych
Po: 106,727,489,536 bajtów wolnych
110 — E O F — 2009-01-22 15:08:27
Wyłącz przywracanie systemu na wszystkich dyskach. Instrukcja
wklej do notatnika ten tekst:
Zapisz plik jako CFScript.txt najlepiej aby ikonka tego pliku znajdowała się obok ikonki ComboFix.exe
Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe powinno rozpocząć się usuwanie po tym daj log na forum.
Loga wklej na www.wklejto.pl lub http://www.wklej.org/ a w poście daj linka
dziękuję Ci bardzo za pomoc, nie wiem czy udało mi sie dobrze to utworzyć
– Dodane 25.03.2009 (Śr) 19:55 –
a z tego Hijacka też wkleić loga ?
– Dodane 25.03.2009 (Śr) 20:20 –
– Dodane 25.03.2009 (Śr) 20:36 –
hym, imój prowadzący ucichł
– Dodane 25.03.2009 (Śr) 21:12 –
czy mógłby mi ktoś pomóc, bo nie wiem co dalej ???
Daj logi z ukośnikami
Twoje wyglądają tak:
A powinny tak:
hym, tylko nie wiem jak to zrobić
– Dodane 25.03.2009 (Śr) 23:16 –
chyba teraz ok. ?
W logach nic nie widzę
usuń ręcznie folder C:\Qoobox oraz Combofix , usuń instalkę Combofix z dysku.
Przeczyść system Ccleanerem
Wykonaj optymalizację autostartu
Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja
Przeskanuj obszar całego komputera http://www.kaspersky.pl/virusscanner.html Daj raport z niego na forum
Pobierz The Avenger
wklej do niego ten tekst:
Files to delete:
C:\WINDOWS\system32\drivers\nicsk32.sys
kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.
Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt
proszę
Logfile of The Avenger Version 2.0, © by Swandog46
http://swandog46.geekstogo.com
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
File “C:\WINDOWS\system32\drivers\nicsk32.sys” deleted successfully.
Completed script processing.
*******************
Finished! Terminate.
– Dodane 26.03.2009 (Cz) 20:23 –
Rootkit scan active.
No rootkits found!
czyli rozumiem że to już wszystko ?
Tak, powinno być oki
bardzo dziękuję za pomoc