POMOCY! wirus delf-ify

aniaa-a · 25 Sierpień 2008 11:06

pomocy. usunęłam z kompa 2 wirusy junkpoly i delf-ify. zrobiłam to za pomocą programu avast. niestety chyba dalej jest coś mimo że avast pokazuje czysty komputer. wyskakuje mi cały czas okienko programu delextra.exe z komuniakatem: " delextra.exe napotkał niedozwoloną operację NTUDM CPU." POMÓŻCIE! oprócz tego różne funkcje kompa się wieszają.

aniaa-a · 25 Sierpień 2008 11:11

a teraz avast znalazł BV-Ftpl

Olcia · 25 Sierpień 2008 11:14

aniaa-a , a wiec daj logi z HijackThis i Combofix Instrukcja.

aniaa-a · 25 Sierpień 2008 11:58

http://wklej.org/id/865/

aniaa-a · 25 Sierpień 2008 11:59

Logfile of HijackThis v1.99.1

Scan saved at 13:59:01, on 2008-08-25

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Conexant\Adsl\dslstat.exe

C:\Program Files\Conexant\Adsl\dslagent.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\WINDOWS\explorer.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Documents and Settings\Administrator\Ustawienia lokalne\temp\Katalog tymczasowy 1 dla hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM…\Run: [DSLSTATEXE] C:\Program Files\Conexant\Adsl\dslstat.exe icon

O4 - HKLM…\Run: [DSLAGENTEXE] C:\Program Files\Conexant\Adsl\dslagent.exe

O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background

O4 - HKCU…\Run: [skype] “C:\Program Files\Skype\Phone\Skype.exe” /nosplash /minimized

O4 - HKCU…\Run: [Gadu-Gadu] “C:\Program Files\Gadu-Gadu\gg.exe” /tray

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra ‘Tools’ menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O17 - HKLM\System\CCS\Services\Tcpip…{323F14C9-864A-46A6-88D0-2C0DDBACB53B}: NameServer = 217.30.129.149 217.30.137.200

O17 - HKLM\System\CS1\Services\Tcpip…{323F14C9-864A-46A6-88D0-2C0DDBACB53B}: NameServer = 217.30.129.149 217.30.137.200

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: b438958747a7r91053 - Unknown owner - C:\WINDOWS\system32\csrcs.exe (file missing)

O23 - Service: Windows Applications Manager - Unknown owner - C:\WINDOWS\system32\csrcs.exe (file missing)

djarta · 25 Sierpień 2008 12:03

Wklej do Notatnika :

Driver::

b438958747a7r91053;b438958747a7r91053

Windows Applications Manager


File::

C:\WINDOWS\system32\csrcs.exe

>>Plik>>Zapisz jako… >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

–>

Ma się rozpocząć usuwanie. (i powstanie log).Daj ten log, który powstanie w trakcie usuwania.

Jeśli pójdzie dobrze, to: Po restarcie usuń ręcznie folder C:** Qoobox.**

Potem :

Sprawdź go na – http://virusscan.jotti.org/

albo na http://www.virustotal.com/en/indexf.html.

==================

K.

aniaa-a · 25 Sierpień 2008 12:24

http://wklej.org/id/867/

djarta · 25 Sierpień 2008 12:25

Wklej do Notatnika :

Driver::

b438958747a7r91053

>>Plik>>Zapisz jako… >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

–>

Ma się rozpocząć usuwanie. (i powstanie log).Daj ten log, który powstanie w trakcie usuwania.

Jeśli pójdzie dobrze, to: Po restarcie usuń ręcznie folder C:** Qoobox.**

Sprawdzony ten plik?

================

K.

aniaa-a · 25 Sierpień 2008 12:46

http://wklej.org/id/870/

pliku Gjm48.sys nie sprawdziłam bo go nie mam nigdzie

ale chyba ju z wszystko ok bo zaczyna wszystko normalnie działać

djarta · 25 Sierpień 2008 12:47

Jeszcze raz poszukaj.

===============

K.

huber2t · 25 Sierpień 2008 12:48

start>>uruchom>>>cmd

sc stop Gjm48

sc delete Gjm48

po każdej linijce enter

usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.

Przeczyść komputer Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum

lub

Dr.WEB CureIt!

aniaa-a · 25 Sierpień 2008 12:48

szukałam przez wyszukiwanie i nic nie znalazłam

nie ma takiego pliku nigdzie

huber2t · 25 Sierpień 2008 12:49

Wykonaj to co napisałem

aniaa-a · 25 Sierpień 2008 12:50

ok już to robię

aniaa-a · 25 Sierpień 2008 14:30

KASPERSKY ONLINE SCANNER REPORT

25 sierpień 2008 16:29:11

System operacyjny: Microsoft Windows XP Professional, (Build 2600)

Kaspersky Online Scanner wersja: 5.0.98.1

Ostatnia aktualizacja Kaspersky Anti-Virus25/08/2008

Liczba wpisów w bazie danych Kaspersky Anti-Virus1143253

Ustawienia skanowania:

Skanowanie przy użyciu następujących baz danych: rozszerzone

Skanuj archiwa: tak

Skanuj pocztowe bazy danych: tak

Obszar skanowania - Mój komputer:

A:\

C:\

D:\

Statystyki skanowania:

Liczba skanowanych obiektów: 12113

Liczba wykrytych wirusów: 0

Liczba zainfekowanych obiektów: 0

Liczba podejrzanych obiektów: 0

Czas trwania skanowania: 00:24:37

Nazwa zainfekowanego obiektu / Nazwa wirusa / Ostatnie działanie

C:\Documents and Settings\Administrator\Cookies\index.dat Object is locked pominięty

C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\4yazltvh.default\cert8.db Object is locked pominięty

C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\4yazltvh.default\content-prefs.sqlite Object is locked pominięty

C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\4yazltvh.default\cookies.sqlite Object is locked pominięty

C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\4yazltvh.default\downloads.sqlite Object is locked pominięty

C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\4yazltvh.default\formhistory.sqlite Object is locked pominięty

C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\4yazltvh.default\key3.db Object is locked pominięty

C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\4yazltvh.default\parent.lock Object is locked pominięty

C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\4yazltvh.default\permissions.sqlite Object is locked pominięty

C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\4yazltvh.default\places.sqlite Object is locked pominięty

C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\4yazltvh.default\places.sqlite-journal Object is locked pominięty

C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\4yazltvh.default\search.sqlite Object is locked pominięty

C:\Documents and Settings\Administrator\NTUSER.DAT Object is locked pominięty

C:\Documents and Settings\Administrator\ntuser.dat.LOG Object is locked pominięty

C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty

C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty

C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\4yazltvh.default\Cache_CACHE_001_ Object is locked pominięty

C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\4yazltvh.default\Cache_CACHE_002_ Object is locked pominięty

C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\4yazltvh.default\Cache_CACHE_003_ Object is locked pominięty

C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\4yazltvh.default\Cache_CACHE_MAP_ Object is locked pominięty

C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\4yazltvh.default\urlclassifier3.sqlite Object is locked pominięty

C:\Documents and Settings\Administrator\Ustawienia lokalne\Historia\History.IE5\index.dat Object is locked pominięty

C:\Documents and Settings\Administrator\Ustawienia lokalne\temp\etilqs_sn48DfIdaBOa9Pm5XfQL Object is locked pominięty

C:\Documents and Settings\Administrator\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat Object is locked pominięty

C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked pominięty

C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked pominięty

C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked pominięty

C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty

C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty

C:\Documents and Settings\LocalService\Ustawienia lokalne\Historia\History.IE5\index.dat Object is locked pominięty

C:\Documents and Settings\LocalService\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat Object is locked pominięty

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked pominięty

C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked pominięty

C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty

C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty

C:\Program Files\Alwil Software\Avast4\DATA\aswResp.dat Object is locked pominięty

C:\Program Files\Alwil Software\Avast4\DATA\Avast4.db Object is locked pominięty

C:\Program Files\Alwil Software\Avast4\DATA\log\AshWebSv.ws Object is locked pominięty

C:\Program Files\Alwil Software\Avast4\DATA\log\aswMaiSv.log Object is locked pominięty

C:\Program Files\Alwil Software\Avast4\DATA\log\nshield.log Object is locked pominięty

C:\Program Files\Alwil Software\Avast4\DATA\log\selfdef.log Object is locked pominięty

C:\Program Files\Alwil Software\Avast4\DATA\report\Osłona rezydentna.txt Object is locked pominięty

C:\System Volume Information_restore{0CAAD2FF-0610-46F7-A5D6-58EB2DEF4BF3}\RP16\change.log Object is locked pominięty

C:\WINDOWS\Debug\oakley.log Object is locked pominięty

C:\WINDOWS\Debug\PASSWD.LOG Object is locked pominięty

C:\WINDOWS\SchedLgU.Txt Object is locked pominięty

C:\WINDOWS\system32\config\Antivirus.Evt Object is locked pominięty

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked pominięty

C:\WINDOWS\system32\config\default Object is locked pominięty

C:\WINDOWS\system32\config\default.LOG Object is locked pominięty

C:\WINDOWS\system32\config\SAM Object is locked pominięty

C:\WINDOWS\system32\config\SAM.LOG Object is locked pominięty

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked pominięty

C:\WINDOWS\system32\config\SECURITY Object is locked pominięty

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked pominięty

C:\WINDOWS\system32\config\software Object is locked pominięty

C:\WINDOWS\system32\config\software.LOG Object is locked pominięty

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked pominięty

C:\WINDOWS\system32\config\system Object is locked pominięty

C:\WINDOWS\system32\config\system.LOG Object is locked pominięty

C:\WINDOWS\system32\h323log.txt Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked pominięty

C:\WINDOWS\Temp\Perflib_Perfdata_494.dat Object is locked pominięty

C:\WINDOWS\Temp_avast4_\Webshlock.txt Object is locked pominięty

Proces skanowania został zakończony.

djarta · 25 Sierpień 2008 14:33

Chyba wiesz co to oznacza?

================

K.

aniaa-a · 25 Sierpień 2008 14:38

JA CIĘ

Super. dzięki:) nie poradziłabym sobie bez was

DZIĘKI DZIĘKI:)