Problem Infostealer.Gampass

hany · 28 Listopad 2008 15:19

Zrobiłem skana Nortonem i ciągle pokazuje że mam Infostealer.Gampass nie da się go usunąć programem. Co mam zrobić ??

Leon1 · 28 Listopad 2008 15:31

Zastosuj Malwarebytes’ Anti-Malware http://cybertrash.pl/Tata/MBAM/Malwarebytes_%20Anti-Malware.html pełny skan - jak coś znajdzie to usuń - pokaż log

Pobierz Combofix http://forum.dobreprogramy.pl/viewtopic.php?f=16&t=36654 przeskanuj system daj log

potem przeskanuj HijackThis 2.02 daj log

kolejność skanowania jak podałem

hany · 28 Listopad 2008 16:54

Malwarebytes’ Anti-Malware 1.30 Wersja bazy definicji: 1306 Windows 5.1.2600 Dodatek Service Pack 2 2008-11-28 17:34:04 mbam-log-2008-11-28 (17-27-16).txt Typ skanowania: Szybkie skanowanie Przeskanowane obiekty: 49106 Upłynęło: 5 minute(s), 45 second(s) Zainfekowane procesy w pamięci: 0 Zainfekowane moduły pamięci: 0 Zainfekowane klucze rejestru: 0 Zainfekowane wartości rejestru: 0 Zainfekowane pliki rejestru: 1 Zainfekowane foldery: 0 Zainfekowane pliki: 2 Zainfekowane procesy w pamięci: (Nie wykryto groźnych plików) Zainfekowane moduły pamięci: (Nie wykryto groźnych plików) Zainfekowane klucze rejestru: (Nie wykryto groźnych plików) Zainfekowane wartości rejestru: (Nie wykryto groźnych plików) Zainfekowane pliki rejestru: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken. Zainfekowane foldery: (Nie wykryto groźnych plików) Zainfekowane pliki: C:\WINDOWS\system32_002852_.tmp.dll (Trojan.Agent) -> No action taken. C:\WINDOWS\system32_002884_.tmp.dll (Trojan.Agent) -> No action taken.

ComboFix 08-11-27.07 - Bartosz 2008-11-28 17:42:14.1 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1250.1.1045.18.1506 [GMT 1:00] Uruchomiony z: c:\documents and settings\Bartosz\Pulpit\ComboFix.exe * Utworzono nowy punkt przywracania UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA . ((((((((((((((((((((((((((((((((((((((( Usunięto ))))))))))))))))))))))))))))))))))))))))))))))))) . c:\documents and settings\Bartosz\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows Media\10.0\WMSDKNSD.XML c:\windows\system32_000005_.tmp.dll c:\windows\system32_000006_.tmp.dll c:\windows\system32_000007_.tmp.dll c:\windows\system32_000008_.tmp.dll c:\windows\system32_000009_.tmp.dll c:\windows\system32_000010_.tmp.dll c:\windows\system32_000117_.tmp.dll c:\windows\system32_000120_.tmp.dll c:\windows\system32_000123_.tmp.dll c:\windows\system32_000130_.tmp.dll c:\windows\system32_000141_.tmp.dll c:\windows\system32_002841_.tmp.dll c:\windows\system32_002842_.tmp.dll c:\windows\system32_002843_.tmp.dll c:\windows\system32_002844_.tmp.dll c:\windows\system32_002851_.tmp.dll c:\windows\system32_002853_.tmp.dll c:\windows\system32_002854_.tmp.dll c:\windows\system32_002856_.tmp.dll c:\windows\system32_002857_.tmp.dll c:\windows\system32_002860_.tmp.dll c:\windows\system32_002861_.tmp.dll c:\windows\system32_002864_.tmp.dll c:\windows\system32_002865_.tmp.dll c:\windows\system32_002867_.tmp.dll c:\windows\system32_002870_.tmp.dll c:\windows\system32_002871_.tmp.dll c:\windows\system32_002876_.tmp.dll c:\windows\system32_002878_.tmp.dll c:\windows\system32_002881_.tmp.dll c:\windows\system32_002883_.tmp.dll c:\windows\system32_002885_.tmp.dll c:\windows\system32_002886_.tmp.dll c:\windows\system32_002887_.tmp.dll c:\windows\system32_002890_.tmp.dll c:\windows\system32_002891_.tmp.dll c:\windows\system32_002892_.tmp.dll c:\windows\system32_002893_.tmp.dll c:\windows\system32_002894_.tmp.dll c:\windows\system32_002899_.tmp.dll c:\windows\system32_002901_.tmp.dll . ((((((((((((((((((((((((( Pliki utworzone od 2008-10-28 do 2008-11-28 ))))))))))))))))))))))))))))))) . 2008-11-28 17:10 . 2008-11-28 17:10 2008-11-28 17:10 . 2008-11-28 17:10 2008-11-28 17:10 . 2008-11-28 17:10 2008-11-28 17:10 . 2008-10-22 16:10 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys 2008-11-28 17:10 . 2008-10-22 16:10 15,504 --a------ c:\windows\system32\drivers\mbam.sys 2008-11-28 17:02 . 2006-08-21 10:14 128,896 -----c— c:\windows\system32\dllcache\fltmgr.sys 2008-11-28 17:02 . 2006-08-21 10:14 23,040 -----c— c:\windows\system32\dllcache\fltmc.exe 2008-11-28 17:02 . 2006-08-21 13:28 16,896 -----c— c:\windows\system32\dllcache\fltlib.dll 2008-11-28 16:49 . 2008-11-28 16:49 2008-11-28 16:49 . 2006-07-13 14:36 12,896,256 --a------ c:\windows\system32\SET17D.tmp 2008-11-28 16:49 . 2006-07-13 14:36 12,896,256 --a------ c:\windows\system32\SET176.tmp 2008-11-28 16:49 . 2004-08-04 12:00 581,120 --a------ c:\windows\system32\SET16D.tmp 2008-11-28 16:49 . 2004-08-04 12:00 135,168 --a------ c:\windows\system32\SET177.tmp 2008-11-28 16:48 . 2008-11-28 16:48 2008-11-28 16:48 . 2005-05-04 14:45 2,890,240 --a------ c:\windows\system32\SET13E.tmp 2008-11-28 16:48 . 2004-08-04 12:00 1,439,744 --a------ c:\windows\system32\SET163.tmp 2008-11-28 16:48 . 2004-08-04 12:00 975,872 --a------ c:\windows\SET153.tmp 2008-11-28 16:47 . 2005-03-02 19:18 578,560 --a------ c:\windows\system32\SET130.tmp 2008-11-28 16:47 . 2005-12-29 03:56 280,064 --a------ c:\windows\system32\SET12E.tmp 2008-11-28 16:46 . 2005-09-01 03:28 293,376 --a------ c:\windows\system32\SET102.tmp 2008-11-28 16:46 . 2006-08-21 10:14 128,896 --a------ c:\windows\system32\drivers\fltmgr.sys 2008-11-28 16:46 . 2004-08-04 12:00 118,272 --a------ c:\windows\system32\SET114.tmp 2008-11-28 16:46 . 2004-08-04 12:00 22,528 --a------ c:\windows\system32\SETF6.tmp 2008-11-28 16:46 . 2004-08-04 12:00 16,896 --a------ c:\windows\system32\SETF5.tmp 2008-11-28 16:35 . 2008-11-28 16:43 1,436 --a------ c:\windows\system\Cm108.ini 2008-11-28 16:34 . 2008-11-28 16:34 2008-11-28 16:27 . 2008-11-28 16:49 2008-11-28 16:27 . 2008-11-28 16:27 10,671 --a------ c:\windows\system32\drivers\SYMEVENT.CAT 2008-11-28 16:27 . 2008-11-28 16:27 805 --a------ c:\windows\system32\drivers\SYMEVENT.INF 2008-11-28 16:07 . 2008-11-28 16:07 2008-11-28 16:07 . 2008-11-28 17:34 2008-11-28 16:04 . 2008-11-28 16:10 2008-11-28 16:02 . 2008-11-28 16:02 2008-11-28 16:01 . 2008-11-28 16:01 2008-11-28 16:01 . 2008-11-28 17:17 69 --a------ c:\windows\NeroDigital.ini 2008-11-28 15:43 . 2007-10-25 17:57 8,483,328 --------- c:\windows\system32\SET179.tmp 2008-11-28 15:43 . 2007-07-09 14:11 584,192 --------- c:\windows\system32\SET165.tmp 2008-11-28 15:43 . 2007-07-09 14:11 584,192 -----c— c:\windows\system32\dllcache\rpcrt4.dll 2008-11-28 15:42 . 2007-04-18 17:14 2,854,400 --------- c:\windows\system32\SET13C.tmp 2008-11-28 15:33 . 2008-11-28 15:34 2008-11-28 15:31 . 2008-11-28 15:32 2008-11-28 15:31 . 2008-11-28 15:31 2008-11-28 15:00 . 2008-11-28 15:02 2008-11-28 15:00 . 2008-11-28 15:02 2008-11-28 15:00 . 2008-11-28 15:02 2008-11-28 15:00 . 2008-11-28 15:02 2008-11-28 14:58 . 2008-11-28 15:00 2008-11-28 14:49 . 2008-11-28 16:48 2008-11-28 14:48 . 2008-11-28 14:48 2008-11-28 14:35 . 2008-11-28 14:35 2008-11-28 14:18 . 2008-11-28 14:18 2008-11-28 14:18 . 2008-11-28 14:28 2008-11-28 14:18 . 2008-09-19 22:57 129,784 --------- c:\windows\system32\pxafs.dll 2008-11-28 14:18 . 2007-03-08 00:51 9,464 --------- c:\windows\system32\drivers\cdralw2k.sys 2008-11-28 14:18 . 2007-03-08 00:51 9,336 --------- c:\windows\system32\drivers\cdr4_xp.sys 2008-11-28 14:17 . 2008-11-28 14:17 2008-11-28 14:16 . 2008-11-28 14:16 2008-11-28 14:15 . 2008-11-28 14:15 2008-11-28 14:15 . 2008-11-28 14:15 2008-11-28 14:15 . 2008-11-28 14:15 2008-11-28 14:07 . 2008-11-28 14:07 2008-11-28 14:07 . 2008-11-28 14:07 2008-11-28 14:05 . 2008-11-28 14:05 2008-11-28 14:04 . 2008-11-28 14:04 2008-11-28 13:52 . 2008-11-28 13:52 2008-11-28 13:50 . 2008-11-28 14:08 2008-11-28 13:21 . 2006-05-16 18:04 2,879,488 --a------ c:\windows\SkyTel.exe 2008-11-28 13:21 . 2005-05-03 18:43 69,632 --a------ c:\windows\Alcmtr.exe 2008-11-28 12:42 . 2008-11-28 15:13 2008-11-28 12:37 . 2006-12-07 07:40 2,362,184 -----c— c:\windows\system32\dllcache\wmvcore.dll 2008-11-28 12:37 . 2008-09-04 17:46 1,106,944 -----c— c:\windows\system32\dllcache\msxml3.dll 2008-11-28 12:37 . 2008-05-01 15:33 331,776 -----c— c:\windows\system32\dllcache\msadce.dll 2008-11-28 12:36 . 2008-11-28 12:36 2008-11-28 12:33 . 2008-10-16 14:08 35,864 --a------ c:\windows\system32\wucltui.dll.mui 2008-11-28 12:33 . 2008-10-16 14:08 27,672 --a------ c:\windows\system32\wuaucpl.cpl.mui 2008-11-28 12:33 . 2008-10-16 14:08 27,672 --a------ c:\windows\system32\wuapi.dll.mui 2008-11-28 12:33 . 2008-10-16 14:07 19,480 --a------ c:\windows\system32\wuaueng.dll.mui 2008-11-28 11:32 . 2008-11-28 11:32 0 --a------ c:\windows\nsreg.dat 2008-11-28 11:21 . 2008-11-28 16:49 1,393 --a------ c:\windows\imsins.BAK 2008-11-28 11:13 . 2008-11-28 11:13 3,072,054 --a------ c:\windows\BricoPack Wallpaper.bmp 2008-11-28 11:13 . 2008-11-28 11:13 58,283 --a------ c:\windows\BricoPackUninst.cmd 2008-11-28 11:11 . 2008-11-28 11:13 5,347 --a------ c:\windows\BricoPackFoldersDelete.cmd 2008-11-28 11:07 . 2008-11-28 11:07 2008-11-28 11:04 . 2008-11-28 11:09 2008-11-28 10:55 . 2008-11-28 10:55 2008-11-28 10:55 . 2008-11-28 10:55 2008-11-28 10:55 . 2008-11-28 10:55 21,275 --a------ c:\windows\system32\drivers\AegisP.sys 2008-11-28 10:55 . 2008-11-28 10:55 0 -rahs---- c:\windows\system32\drivers\TOSHIBA_SATELLITE A100_04706-PL_PSAARE-04801.MRK 2008-11-28 10:54 . 2008-11-28 10:54 2008-11-28 10:47 . 2004-08-20 10:05 3,072,054 --a------ c:\windows\TOSHIBA SATELLITE.bmp 2008-11-28 10:46 . 2008-11-28 19:09 2008-11-28 10:46 . 2008-11-28 17:43 2008-11-28 10:46 . 2008-11-28 19:09 2008-11-28 10:46 . 2008-11-28 10:56 2008-11-28 10:46 . 2008-11-28 16:01 2008-11-28 10:46 . 2008-11-28 17:40 2008-11-28 10:46 . 2008-11-28 15:31 2008-11-28 10:46 . 2008-11-28 19:09 2008-11-28 10:46 . 2008-11-28 19:09 2008-11-28 10:46 . 2008-11-28 19:09 2008-11-28 10:46 . 2008-11-28 19:09 2008-11-28 10:46 . 2008-11-28 19:09 2008-11-28 10:46 . 2008-11-28 19:09 2008-11-28 10:46 . 2008-11-28 17:10 2008-11-28 10:46 . 2008-11-28 17:47 2008-11-28 10:45 . 2008-11-28 19:09 2008-11-28 10:45 . 2008-11-28 19:09 2008-11-28 10:44 . 2008-11-28 19:09 2008-11-28 10:44 . 2008-11-28 19:09 2008-11-28 10:41 . 2001-10-26 16:57 12,160 --a------ c:\windows\system32\drivers\mouhid.sys 2008-10-28 23:36 . 2008-10-28 23:36 823,296 --a------ c:\windows\system32\divx_xx0c.dll 2008-10-28 23:36 . 2008-10-28 23:36 823,296 --a------ c:\windows\system32\divx_xx07.dll 2008-10-28 23:35 . 2008-10-28 23:35 815,104 --a------ c:\windows\system32\divx_xx0a.dll 2008-10-28 23:35 . 2008-10-28 23:35 802,816 --a------ c:\windows\system32\divx_xx11.dll 2008-10-28 23:35 . 2008-10-28 23:35 729,088 --a------ c:\windows\system32\divxdec.ax 2008-10-28 23:35 . 2008-10-28 23:35 684,032 --a------ c:\windows\system32\DivX.dll . (((((((((((((((((((((((((((((((((((((((( Sekcja Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-11-28 18:21 --------- d-----w c:\program files\Usługi online 2008-11-28 18:18 --------- d-----w c:\program files\microsoft frontpage 2008-11-28 18:18 --------- d-----w c:\program files\ltmoh 2008-11-28 18:16 --------- d-----w c:\program files\Common Files\InstallShield 2008-11-28 16:46 --------- d-----w c:\program files\Common Files\Symantec Shared 2008-11-28 15:27 123,952 ----a-w c:\windows\system32\drivers\SYMEVENT.SYS 2008-11-28 15:27 --------- d-----w c:\program files\Symantec 2008-11-28 15:27 --------- d-----w c:\documents and settings\All Users\Dane aplikacji\Symantec 2008-11-28 15:08 --------- d-----w c:\program files\Norton Internet Security 2008-11-28 15:01 --------- d-----w c:\program files\Common Files\Adobe 2008-11-28 12:21 --------- d-----w c:\program files\Realtek 2008-11-28 10:20 --------- d-----w c:\program files\MSN Toolbar Suite 2008-11-28 10:19 --------- d–h--w c:\program files\InstallShield Installation Information 2008-11-28 10:19 --------- d-----w c:\program files\Toshiba 2008-11-28 09:55 --------- d-----w c:\program files\Intel 2008-10-24 11:10 453,632 ----a-w c:\windows\system32\drivers\mrxsmb.sys . ((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “ctfmon.exe”=“c:\windows\system32\ctfmon.exe” [2004-08-04 15360] “RocketDock”=“c:\windows\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe” [2007-03-18 630784] “IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}”=“c:\program files\Common Files\Nero\Lib\NMIndexStoreSvr.exe” [2008-02-28 1828136] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “THotkey”=“c:\program files\Toshiba\Toshiba Applet\thotkey.exe” [2006-01-05 352256] “ccApp”=“c:\program files\Common Files\Symantec Shared\ccApp.exe” [2005-09-16 52848] “SynTPEnh”=“c:\program files\Synaptics\SynTP\SynTPEnh.exe” [2006-03-02 761948] “Tvs”=“c:\program files\TOSHIBA\Tvs\TvsTray.exe” [2006-02-02 73728] “NvCplDaemon”=“c:\windows\system32\NvCpl.dll” [2006-05-01 7557120] “NVRotateSysTray”=“c:\windows\system32\nvsysrot.dll” [2006-05-01 49152] “IntelZeroConfig”=“c:\program files\Intel\Wireless\bin\ZCfgSvc.exe” [2005-12-05 667718] “IntelWireless”=“c:\program files\Intel\Wireless\Bin\ifrmewrk.exe” [2005-11-28 602182] “NeroFilterCheck”=“c:\program files\Common Files\Nero\Lib\NeroCheck.exe” [2008-02-28 570664] “NBKeyScan”=“c:\program files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe” [2008-02-18 2221352] “Symantec PIF AlertEng”=“c:\program files\Common Files\Symantec Shared\PIF{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe” [2008-01-29 583048] “AGRSMMSG”=“AGRSMMSG.exe” [2005-10-15 c:\windows\agrsmmsg.exe] “TPSMain”=“TPSMain.exe” [2005-08-04 c:\windows\system32\TPSMain.exe] “TFncKy”=“TFncKy.exe” [bU] “TDispVol”=“TDispVol.exe” [2005-09-16 c:\windows\system32\TDispVol.exe] “NDSTray.exe”=“NDSTray.exe” [bU] “nwiz”=“nwiz.exe” [2006-05-01 c:\windows\system32\nwiz.exe] “RTHDCPL”=“RTHDCPL.EXE” [2006-12-19 c:\windows\RTHDCPL.exe] “SkyTel”=“SkyTel.EXE” [2006-05-16 c:\windows\SkyTel.exe] [HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] “CTFMON.EXE”=“c:\windows\system32\CTFMON.EXE” [2004-08-04 15360] c:\documents and settings\Bartosz\Menu Start\Programy\Autostart\ RocketDock.lnk - c:\windows\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe [2007-03-18 630784] c:\documents and settings\All Users\Menu Start\Programy\Autostart\ Windows Desktop Search.lnk - c:\program files\Windows Desktop Search\WindowsSearch.exe [2006-03-26 257752] [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks] “{56F9679E-7826-4C84-81F3-532071A8BCC5}”= “c:\program files\Windows Desktop Search\MSNLNamespaceMgr.dll” [2006-03-13 233472] [HKEY_LOCAL_MACHINE\software\microsoft\security center] “AntiVirusDisableNotify”=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus] “DisableMonitoring”=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] “DisableMonitoring”=dword:00000001 [HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile] “EnableFirewall”= 0 (0x0) [HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] “%windir%\system32\sessmgr.exe”= “c:\Program Files\uTorrent\uTorrent.exe”= R2 Harmonogram automatycznej usługi LiveUpdate;Harmonogram automatycznej usługi LiveUpdate;“c:\program files\Symantec\LiveUpdate\ALUSchedulerSvc.exe” [2008-11-28 100032] R3 CM1083264;C-Media CM108 Like Sound UDAX Interface;c:\windows\system32\drivers\CM108.sys [2008-11-28 1294336] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{9eedb47b-bd48-11dd-ab7a-00a0d16efb43}] \Shell\AutoRun\command - g:\restore\S-1-5-21-1482476501-1644491937-682003330-1013\bob.exe \Shell\open\command - g:\restore\S-1-5-21-1482476501-1644491937-682003330-1013\bob.exe *Newly Created Service* - COMHOST . Zawartość folderu ‘Zaplanowane zadania’ 2008-11-28 c:\windows\Tasks\Norton AntiVirus - Uruchom pełne skanowanie systemu - Bartosz.job - c:\progra~1\NORTON~1\NORTON~1\Navw32.exe [2007-05-28 12:00] 2008-11-28 c:\windows\Tasks\Przypomnienie o rejestracji 1.job - c:\windows\system32\OOBE\oobebaln.exe [2004-08-04 12:00] 2008-11-28 c:\windows\Tasks\Przypomnienie o rejestracji 2.job - c:\windows\system32\OOBE\oobebaln.exe [2004-08-04 12:00] 2008-11-28 c:\windows\Tasks\Przypomnienie o rejestracji 3.job - c:\windows\system32\OOBE\oobebaln.exe [2004-08-04 12:00] . - - - - USUNIĘTO PUSTE WPISY - - - - HKLM-Run-WinampAgent - c:\program files\Winamp\winampa.exe HKLM-Run-CM108Sound - CM108.cpl . ------- Skan uzupełniający ------- . FireFox -: Profile - c:\documents and settings\Bartosz\Dane aplikacji\Mozilla\Firefox\Profiles\6ndbj58y.default\ FireFox -: prefs.js - STARTUP.HOMEPAGE - www.google.pl FF -: plugin - c:\program files\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll FF -: plugin - c:\program files\Java\jre1.5.0_04\bin\NPJava11.dll FF -: plugin - c:\program files\Java\jre1.5.0_04\bin\NPJava12.dll FF -: plugin - c:\program files\Java\jre1.5.0_04\bin\NPJava13.dll FF -: plugin - c:\program files\Java\jre1.5.0_04\bin\NPJava14.dll FF -: plugin - c:\program files\Java\jre1.5.0_04\bin\NPJava32.dll FF -: plugin - c:\program files\Java\jre1.5.0_04\bin\NPJPI150_04.dll FF -: plugin - c:\program files\Java\jre1.5.0_04\bin\NPOJI610.dll FF -: plugin - c:\program files\Opera\program\plugins\npdivx32.dll . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-11-28 17:48:34 Windows 5.1.2600 Dodatek Service Pack 2 NTFS skanowanie ukrytych procesów … skanowanie ukrytych wpisów autostartu … skanowanie ukrytych plików … skanowanie pomyślnie ukończone ukryte pliki: 0 ************************************************************************** . --------------------- Pliki DLL ładowane pod uruchomionymi procesami --------------------- - - - - - - - ‘winlogon.exe’(944) c:\windows\system32\Ati2evxx.dll - - - - - - - ‘explorer.exe’(4052) c:\windows\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.dll c:\windows\system32\nview.dll c:\windows\system32\NVWRSPL.DLL c:\windows\system32\TDispVol.dll c:\windows\system32\ntshrui.dll c:\windows\system32\nvwddi.dll . ------------------------ Pozostałe uruchomione procesy ------------------------ . c:\program files\Intel\Wireless\Bin\EvtEng.exe c:\program files\Intel\Wireless\Bin\S24EvMon.exe c:\program files\Common Files\Symantec Shared\ccSetMgr.exe c:\program files\Common Files\Symantec Shared\ccEvtMgr.exe c:\program files\Common Files\Symantec Shared\CCPROXY.EXE c:\program files\Common Files\Symantec Shared\SNDSrvc.exe c:\program files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe c:\program files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe c:\program files\Toshiba\ConfigFree\CFSvcs.exe c:\program files\Norton Internet Security\Norton AntiVirus\NAVAPSVC.EXE c:\program files\Nero\Nero8\Nero BackItUp\NBService.exe c:\windows\system32\nvsvc32.exe c:\windows\system32\IoctlSvc.exe c:\program files\Intel\Wireless\Bin\RegSrvc.exe c:\program files\Toshiba\TOSHIBA Applet\TAPPSRV.exe c:\windows\system32\wdfmgr.exe c:\program files\Toshiba\TOSHIBA Controls\TFncKy.exe c:\program files\Toshiba\ConfigFree\NDSTray.exe c:\windows\system32\rundll32.exe c:\program files\Synaptics\SynTP\Toshiba.exe c:\windows\system32\TPSBattM.exe c:\windows\system32\rundll32.exe c:\windows\system32\rundll32.exe c:\progra~1\Intel\Wireless\Bin\Dot1XCfg.exe c:\windows\system32\imapi.exe c:\program files\Common Files\Nero\Lib\NMIndexingService.exe . ************************************************************************** . Czas ukończenia: 2008-11-28 17:51:06 - komputer został uruchomiony ponownie ComboFix-quarantined-files.txt 2008-11-28 16:50:56 Przed: 40 979 419 136 bajtów wolnych Po: 41,614,385,152 bajtów wolnych 329 — E O F — 2008-11-28 16:05:36 Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:53:19, on 2008-11-28 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Intel\Wireless\Bin\EvtEng.exe C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe C:\Program Files\Common Files\Symantec Shared\ccProxy.exe C:\Program Files\Common Files\Symantec Shared\PIF{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\IoctlSvc.exe C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe C:\Program Files\Toshiba\TOSHIBA Applet\TAPPSRV.exe C:\WINDOWS\AGRSMMSG.exe C:\Program Files\Toshiba\Toshiba Applet\thotkey.exe C:\Program Files\TOSHIBA\TOSHIBA Controls\TFncKy.exe C:\WINDOWS\system32\TDispVol.exe C:\Program Files\Common Files\Symantec Shared\ccApp.exe C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\Program Files\TOSHIBA\Tvs\TvsTray.exe C:\Program Files\TOSHIBA\ConfigFree\NDSTray.exe C:\WINDOWS\system32\rundll32.exe C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe C:\Program Files\Synaptics\SynTP\Toshiba.exe C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe C:\WINDOWS\system32\TPSBattM.exe C:\WINDOWS\RTHDCPL.EXE C:\WINDOWS\system32\RunDll32.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\imapi.exe C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe C:\WINDOWS\explorer.exe C:\Program Files\Common Files\Symantec Shared\Security Console\NSCSRVCE.EXE C:\WINDOWS\system32\igfxsrvc.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.co.uk/0SEENWW/SAOS01?FORM=TOOLBR R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://g.msn.com/8SEENUS020600TBR/InstallTBSite R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: dsWebAllowBHO Class - {2F85D76C-0569-466F-A488-493E6BD0E955} - C:\Program Files\Windows Desktop Search\dsWebAllow.dll O2 - BHO: Norton Internet Security 2006 - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton Internet Security 2006 - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll O4 - HKLM…\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM…\Run: [THotkey] C:\Program Files\Toshiba\Toshiba Applet\thotkey.exe O4 - HKLM…\Run: [TPSMain] TPSMain.exe O4 - HKLM…\Run: [TFncKy] TFncKy.exe O4 - HKLM…\Run: [TDispVol] TDispVol.exe O4 - HKLM…\Run: [ccApp] “C:\Program Files\Common Files\Symantec Shared\ccApp.exe” O4 - HKLM…\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM…\Run: [Tvs] C:\Program Files\TOSHIBA\Tvs\TvsTray.exe O4 - HKLM…\Run: [NDSTray.exe] NDSTray.exe O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM…\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect O4 - HKLM…\Run: [NVRotateSysTray] rundll32.exe C:\WINDOWS\system32\nvsysrot.dll,Enable O4 - HKLM…\Run: [intelZeroConfig] “C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe” O4 - HKLM…\Run: [intelWireless] “C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe” /tf Intel PROSet/Wireless O4 - HKLM…\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM…\Run: [skyTel] SkyTel.EXE O4 - HKLM…\Run: [NeroFilterCheck] C:\Program Files\Common Files\Nero\Lib\NeroCheck.exe O4 - HKLM…\Run: [NBKeyScan] “C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe” O4 - HKLM…\Run: [symantec PIF AlertEng] “C:\Program Files\Common Files\Symantec Shared\PIF{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe” /a /m “C:\Program Files\Common Files\Symantec Shared\PIF{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll” O4 - HKCU…\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU…\Run: [RocketDock] “C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe” O4 - HKCU…\Run: [indxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] “C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe” ASO-616B5711-6DAE-4795-A05F-39A1E5104020 O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’) O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’) O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe O4 - Global Startup: Windows Desktop Search.lnk = C:\Program Files\Windows Desktop Search\WindowsSearch.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda … 6496058125 O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\ccPwdSvc.exe O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccProxy.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Norton Internet Security\comHost.exe O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe O23 - Service: Harmonogram automatycznej usługi LiveUpdate - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\PIF{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe O23 - Service: Usługa Auto-Protect programu Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe O23 - Service: Usługa Norton Protection Center (NSCService) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Console\NSCSRVCE.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Intel® PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Symantec Core LC - Unknown owner - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe O23 - Service: TOSHIBA Application Service (TAPPSRV) - TOSHIBA Corp. - C:\Program Files\Toshiba\TOSHIBA Applet\TAPPSRV.exe – End of file - 10095 bytes Proszę. I dziękuje

Gutek · 28 Listopad 2008 21:23

Zmiana zasad wklejania logów na forum - viewtopic.php?f=16&t=253052

Użyj jeszcze raz Malwarebytes’ Anti-Malware, ale teraz:

Wciskamy Skanuj , wybieramy dyski do skanowania i Rozpoczynamy skanowanie , na końcu wciskamy Usuń zaznaczone jak będą i Ok

Wklej do Notatnika:

File::

c:\windows\system32\SET17D.tmp

c:\windows\system32\SET176.tmp

c:\windows\system32\SET16D.tmp

c:\windows\system32\SET177.tmp

c:\windows\system32\SET13E.tmp

c:\windows\system32\SET163.tmp

c:\windows\SET153.tmp

c:\windows\system32\SET130.tmp

c:\windows\system32\SET12E.tmp

c:\windows\system32\SET102.tmp

c:\windows\system32\drivers\fltmgr.sys

c:\windows\system32\SET114.tmp

c:\windows\system32\SETF6.tmp

c:\windows\system32\SETF5.tmp

c:\windows\system32\SET179.tmp

c:\windows\system32\SET165.tmp

c:\windows\system32\SET13C.tmp


Registry::

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9eedb47b-bd48-11dd-ab7a-00a0d16efb43}]

>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku –>

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: ** Qoobox**.

Po tym nowy log z Combo

hany · 28 Listopad 2008 23:42

Mam jeszcze problemy z wirusem z mirca;)

Gutek · 28 Listopad 2008 23:58

Gdzie nowy log z Combo + raport Malwarebytes’ Anti-Malware

hany · 29 Listopad 2008 00:39

Malwarebytes’ Anti-Malware 1.30 Wersja bazy definicji: 1306 Windows 5.1.2600 Dodatek Service Pack 2 2008-11-29 01:24:44 mbam-log-2008-11-29 (01-24-42).txt Typ skanowania: Szybkie skanowanie Przeskanowane obiekty: 47996 Upłynęło: 4 minute(s), 41 second(s) Zainfekowane procesy w pamięci: 0 Zainfekowane moduły pamięci: 0 Zainfekowane klucze rejestru: 0 Zainfekowane wartości rejestru: 0 Zainfekowane pliki rejestru: 2 Zainfekowane foldery: 0 Zainfekowane pliki: 0 Zainfekowane procesy w pamięci: (Nie wykryto groźnych plików) Zainfekowane moduły pamięci: (Nie wykryto groźnych plików) Zainfekowane klucze rejestru: (Nie wykryto groźnych plików) Zainfekowane wartości rejestru: (Nie wykryto groźnych plików) Zainfekowane pliki rejestru: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowSearch (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken. Zainfekowane foldery: (Nie wykryto groźnych plików) Zainfekowane pliki: (Nie wykryto groźnych plików)

ComboFix 08-11-28.02 - Bartosz 2008-11-29 1:31:24.2 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1250.48.1045.18.1532 [GMT 1:00] Uruchomiony z: c:\documents and settings\Bartosz\Pulpit\ComboFix.exe.exe Użyto następujących komend :: c:\documents and settings\Bartosz\Pulpit\CFScript.txt.txt * Utworzono nowy punkt przywracania UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA FILE :: c:\windows\SET153.tmp c:\windows\system32\drivers\fltmgr.sys c:\windows\system32\SET102.tmp c:\windows\system32\SET114.tmp c:\windows\system32\SET12E.tmp c:\windows\system32\SET130.tmp c:\windows\system32\SET13C.tmp c:\windows\system32\SET13E.tmp c:\windows\system32\SET163.tmp c:\windows\system32\SET165.tmp c:\windows\system32\SET16D.tmp c:\windows\system32\SET176.tmp c:\windows\system32\SET177.tmp c:\windows\system32\SET179.tmp c:\windows\system32\SET17D.tmp c:\windows\system32\SETF5.tmp c:\windows\system32\SETF6.tmp . ((((((((((((((((((((((((((((((((((((((( Usunięto ))))))))))))))))))))))))))))))))))))))))))))))))) . c:\windows\SET153.tmp c:\windows\system32\drivers\fltmgr.sys c:\windows\system32\SET102.tmp c:\windows\system32\SET114.tmp c:\windows\system32\SET12E.tmp c:\windows\system32\SET130.tmp c:\windows\system32\SET13C.tmp c:\windows\system32\SET13E.tmp c:\windows\system32\SET163.tmp c:\windows\system32\SET165.tmp c:\windows\system32\SET16D.tmp c:\windows\system32\SET176.tmp c:\windows\system32\SET177.tmp c:\windows\system32\SET179.tmp c:\windows\system32\SET17D.tmp c:\windows\system32\SETF5.tmp c:\windows\system32\SETF6.tmp . ((((((((((((((((((((((((((((((((((((((( Sterowniki/Usługi ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Service_Binary file SvcDump matches ((((((((((((((((((((((((( Pliki utworzone od 2008-10-28 do 2008-11-29 ))))))))))))))))))))))))))))))) . 2008-11-29 01:29 . 2008-11-29 01:30 2008-11-28 23:08 . 2004-08-03 23:08 26,496 --a–c— c:\windows\system32\dllcache\usbstor.sys 2008-11-28 19:53 . 2008-11-28 19:53 2008-11-28 19:53 . 2008-11-28 19:53 2008-11-28 19:35 . 2008-11-28 19:36 2008-11-28 19:31 . 2008-11-29 00:38 2008-11-28 19:31 . 2008-11-29 01:16 2008-11-28 18:53 . 2008-11-28 18:53 2008-11-28 18:53 . 2008-11-28 18:53 2008-11-28 18:53 . 2008-01-01 00:00 60,273 --a------ c:\windows\system32\pthreadGC2.dll 2008-11-28 18:53 . 2008-10-17 19:10 7,680 --a------ c:\windows\system32\ff_vfw.dll 2008-11-28 18:53 . 2008-01-01 00:00 547 --a------ c:\windows\system32\ff_vfw.dll.manifest 2008-11-28 18:52 . 2008-11-28 18:52 2008-11-28 17:53 . 2008-11-28 17:53 2008-11-28 17:10 . 2008-11-28 17:10 2008-11-28 17:10 . 2008-11-28 17:10 2008-11-28 17:10 . 2008-11-28 17:10 2008-11-28 17:10 . 2008-10-22 16:10 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys 2008-11-28 17:10 . 2008-10-22 16:10 15,504 --a------ c:\windows\system32\drivers\mbam.sys 2008-11-28 17:02 . 2006-08-21 10:14 23,040 -----c— c:\windows\system32\dllcache\fltmc.exe 2008-11-28 17:02 . 2006-08-21 13:28 16,896 -----c— c:\windows\system32\dllcache\fltlib.dll 2008-11-28 16:46 . 2006-08-21 10:14 128,896 --a–c— c:\windows\system32\dllcache\fltmgr.sys 2008-11-28 16:35 . 2008-11-28 20:31 1,436 --a------ c:\windows\system\Cm108.ini 2008-11-28 16:34 . 2008-11-28 16:34 2008-11-28 16:27 . 2008-11-28 16:49 2008-11-28 16:27 . 2008-11-28 16:27 10,671 --a------ c:\windows\system32\drivers\SYMEVENT.CAT 2008-11-28 16:27 . 2008-11-28 16:27 805 --a------ c:\windows\system32\drivers\SYMEVENT.INF 2008-11-28 16:07 . 2008-11-28 16:07 2008-11-28 16:07 . 2008-11-29 01:25 2008-11-28 16:04 . 2008-11-28 16:10 2008-11-28 16:02 . 2008-11-28 16:02 2008-11-28 16:01 . 2008-11-28 16:01 2008-11-28 16:01 . 2008-11-28 18:51 69 --a------ c:\windows\NeroDigital.ini 2008-11-28 15:43 . 2007-07-09 14:11 584,192 -----c— c:\windows\system32\dllcache\rpcrt4.dll 2008-11-28 15:33 . 2008-11-28 23:21 2008-11-28 15:31 . 2008-11-28 15:32 2008-11-28 15:31 . 2008-11-28 15:31 2008-11-28 15:00 . 2008-11-28 15:02 2008-11-28 15:00 . 2008-11-28 15:02 2008-11-28 15:00 . 2008-11-28 15:02 2008-11-28 15:00 . 2008-11-28 15:02 2008-11-28 14:58 . 2008-11-28 15:00 2008-11-28 14:49 . 2008-11-29 00:50 2008-11-28 14:48 . 2008-11-28 14:48 2008-11-28 14:35 . 2008-11-28 14:35 2008-11-28 14:18 . 2008-11-28 14:18 2008-11-28 14:18 . 2008-11-28 14:28 2008-11-28 14:18 . 2008-09-19 22:57 129,784 --------- c:\windows\system32\pxafs.dll 2008-11-28 14:18 . 2007-03-08 00:51 9,464 --------- c:\windows\system32\drivers\cdralw2k.sys 2008-11-28 14:18 . 2007-03-08 00:51 9,336 --------- c:\windows\system32\drivers\cdr4_xp.sys 2008-11-28 14:17 . 2008-11-28 14:17 2008-11-28 14:16 . 2008-11-28 14:16 2008-11-28 14:15 . 2008-11-28 14:15 2008-11-28 14:15 . 2008-11-28 14:15 2008-11-28 14:15 . 2008-11-28 14:15 2008-11-28 14:07 . 2008-11-28 14:07 2008-11-28 14:07 . 2008-11-28 14:07 2008-11-28 14:05 . 2008-11-28 14:05 2008-11-28 14:04 . 2008-11-28 14:04 2008-11-28 13:52 . 2008-11-28 13:52 2008-11-28 13:50 . 2008-11-28 14:08 2008-11-28 13:21 . 2006-05-16 18:04 2,879,488 --a------ c:\windows\SkyTel.exe 2008-11-28 13:21 . 2005-05-03 18:43 69,632 --a------ c:\windows\Alcmtr.exe 2008-11-28 12:42 . 2008-11-28 15:13 2008-11-28 12:37 . 2006-12-07 07:40 2,362,184 -----c— c:\windows\system32\dllcache\wmvcore.dll 2008-11-28 12:37 . 2008-09-04 17:46 1,106,944 -----c— c:\windows\system32\dllcache\msxml3.dll 2008-11-28 12:37 . 2008-05-01 15:33 331,776 -----c— c:\windows\system32\dllcache\msadce.dll 2008-11-28 12:36 . 2008-11-28 12:36 2008-11-28 12:33 . 2008-10-16 14:08 35,864 --a------ c:\windows\system32\wucltui.dll.mui 2008-11-28 12:33 . 2008-10-16 14:08 27,672 --a------ c:\windows\system32\wuaucpl.cpl.mui 2008-11-28 12:33 . 2008-10-16 14:08 27,672 --a------ c:\windows\system32\wuapi.dll.mui 2008-11-28 12:33 . 2008-10-16 14:07 19,480 --a------ c:\windows\system32\wuaueng.dll.mui 2008-11-28 11:32 . 2008-11-28 11:32 0 --a------ c:\windows\nsreg.dat 2008-11-28 11:13 . 2008-11-28 11:13 3,072,054 --a------ c:\windows\BricoPack Wallpaper.bmp 2008-11-28 11:13 . 2008-11-28 11:13 58,283 --a------ c:\windows\BricoPackUninst.cmd 2008-11-28 11:11 . 2008-11-28 11:13 5,347 --a------ c:\windows\BricoPackFoldersDelete.cmd 2008-11-28 11:07 . 2008-11-28 11:07 2008-11-28 11:04 . 2008-11-28 11:09 2008-11-28 10:55 . 2008-11-28 10:55 2008-11-28 10:55 . 2008-11-28 10:55 2008-11-28 10:55 . 2008-11-28 10:55 2008-11-28 10:55 . 2008-11-28 10:55 21,275 --a------ c:\windows\system32\drivers\AegisP.sys 2008-11-28 10:55 . 2008-11-28 10:55 0 -rahs---- c:\windows\system32\drivers\TOSHIBA_SATELLITE A100_04706-PL_PSAARE-04801.MRK 2008-11-28 10:54 . 2008-11-28 10:54 2008-11-28 10:47 . 2004-08-20 10:05 3,072,054 --a------ c:\windows\TOSHIBA SATELLITE.bmp 2008-11-28 10:46 . 2008-11-28 19:09 2008-11-28 10:46 . 2008-11-29 01:32 2008-11-28 10:46 . 2008-11-28 19:09 2008-11-28 10:46 . 2008-11-28 10:56 2008-11-28 10:46 . 2008-11-28 16:01 2008-11-28 10:46 . 2008-11-29 01:31 2008-11-28 10:46 . 2008-11-28 19:20 2008-11-28 10:46 . 2008-11-28 19:09 2008-11-28 10:46 . 2008-11-28 19:09 2008-11-28 10:46 . 2008-11-28 19:09 2008-11-28 10:46 . 2008-11-28 19:09 2008-11-28 10:46 . 2008-11-28 19:09 2008-11-28 10:46 . 2008-11-28 19:09 2008-11-28 10:46 . 2008-11-28 19:35 2008-11-28 10:46 . 2008-11-29 01:33 2008-11-28 10:45 . 2008-11-28 19:09 2008-11-28 10:45 . 2008-11-28 19:09 2008-11-28 10:45 . 2008-11-28 19:09 2008-11-28 10:45 . 2008-11-28 19:09 2008-11-28 10:45 . 2008-11-28 19:09 2008-11-28 10:45 . 2008-11-28 19:09 2008-11-28 10:45 . 2008-11-28 19:09 2008-11-28 10:44 . 2008-11-28 19:09 2008-11-28 10:44 . 2008-11-28 19:09 2008-11-28 10:41 . 2001-10-26 16:57 12,160 --a------ c:\windows\system32\drivers\mouhid.sys . (((((((((((((((((((((((((((((((((((((((( Sekcja Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-11-29 00:32 --------- d-----w c:\program files\Common Files\Symantec Shared 2008-11-28 19:18 --------- d-----w c:\program files\Norton Internet Security 2008-11-28 18:21 --------- d-----w c:\program files\Usługi online 2008-11-28 18:18 --------- d-----w c:\program files\microsoft frontpage 2008-11-28 18:18 --------- d-----w c:\program files\ltmoh 2008-11-28 18:16 --------- d-----w c:\program files\Common Files\InstallShield 2008-11-28 15:27 123,952 ----a-w c:\windows\system32\drivers\SYMEVENT.SYS 2008-11-28 15:27 --------- d-----w c:\program files\Symantec 2008-11-28 15:27 --------- d-----w c:\documents and settings\All Users\Dane aplikacji\Symantec 2008-11-28 15:01 --------- d-----w c:\program files\Common Files\Adobe 2008-11-28 12:21 --------- d-----w c:\program files\Realtek 2008-11-28 10:20 --------- d-----w c:\program files\MSN Toolbar Suite 2008-11-28 10:19 --------- d–h--w c:\program files\InstallShield Installation Information 2008-11-28 10:19 --------- d-----w c:\program files\Toshiba 2008-11-28 09:55 --------- d-----w c:\program files\Intel 2008-10-24 11:10 453,632 ----a-w c:\windows\system32\drivers\mrxsmb.sys . ((((((((((((((((((((((((((((( snapshot@2008-11-28_17.50.01.37 ))))))))))))))))))))))))))))))))))))))))) . - 2008-11-28 15:49:07 5,120 ----a-r c:\windows\Installer{789289CA-F73A-4A16-A331-54D498CE069F}\Icon789289CA.exe + 2008-11-28 18:53:47 5,120 ----a-r c:\windows\Installer{789289CA-F73A-4A16-A331-54D498CE069F}\Icon789289CA.exe + 2004-08-03 22:08:48 26,496 ----a-w c:\windows\system32\drivers\USBSTOR.SYS + 2001-06-22 23:31:20 278,528 ----a-w c:\windows\system32\pncrt.dll + 1998-03-26 02:57:34 6,656 ----a-w c:\windows\system32\pndx5016.dll + 1998-05-12 18:36:42 5,632 ----a-w c:\windows\system32\pndx5032.dll . ((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “ctfmon.exe”=“c:\windows\system32\ctfmon.exe” [2004-08-04 15360] “RocketDock”=“c:\windows\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe” [2007-03-18 630784] “IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}”=“c:\program files\Common Files\Nero\Lib\NMIndexStoreSvr.exe” [2008-02-28 1828136] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “THotkey”=“c:\program files\Toshiba\Toshiba Applet\thotkey.exe” [2006-01-05 352256] “ccApp”=“c:\program files\Common Files\Symantec Shared\ccApp.exe” [2008-03-07 53096] “SynTPEnh”=“c:\program files\Synaptics\SynTP\SynTPEnh.exe” [2006-03-02 761948] “Tvs”=“c:\program files\TOSHIBA\Tvs\TvsTray.exe” [2006-02-02 73728] “NvCplDaemon”=“c:\windows\system32\NvCpl.dll” [2006-05-01 7557120] “NVRotateSysTray”=“c:\windows\system32\nvsysrot.dll” [2006-05-01 49152] “IntelZeroConfig”=“c:\program files\Intel\Wireless\bin\ZCfgSvc.exe” [2005-12-05 667718] “IntelWireless”=“c:\program files\Intel\Wireless\Bin\ifrmewrk.exe” [2005-11-28 602182] “NeroFilterCheck”=“c:\program files\Common Files\Nero\Lib\NeroCheck.exe” [2008-02-28 570664] “NBKeyScan”=“c:\program files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe” [2008-02-18 2221352] “Symantec PIF AlertEng”=“c:\program files\Common Files\Symantec Shared\PIF{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe” [2008-01-29 583048] “AGRSMMSG”=“AGRSMMSG.exe” [2005-10-15 c:\windows\agrsmmsg.exe] “TPSMain”=“TPSMain.exe” [2005-08-04 c:\windows\system32\TPSMain.exe] “TFncKy”=“TFncKy.exe” [bU] “TDispVol”=“TDispVol.exe” [2005-09-16 c:\windows\system32\TDispVol.exe] “NDSTray.exe”=“NDSTray.exe” [bU] “nwiz”=“nwiz.exe” [2006-05-01 c:\windows\system32\nwiz.exe] “RTHDCPL”=“RTHDCPL.EXE” [2006-12-19 c:\windows\RTHDCPL.exe] “SkyTel”=“SkyTel.EXE” [2006-05-16 c:\windows\SkyTel.exe] [HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] “CTFMON.EXE”=“c:\windows\system32\CTFMON.EXE” [2004-08-04 15360] c:\documents and settings\Bartosz\Menu Start\Programy\Autostart\ RocketDock.lnk - c:\windows\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe [2007-03-18 630784] c:\documents and settings\All Users\Menu Start\Programy\Autostart\ Windows Desktop Search.lnk - c:\program files\Windows Desktop Search\WindowsSearch.exe [2006-03-26 257752] [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks] “{56F9679E-7826-4C84-81F3-532071A8BCC5}”= “c:\program files\Windows Desktop Search\MSNLNamespaceMgr.dll” [2006-03-13 233472] [HKEY_LOCAL_MACHINE\software\microsoft\security center] “AntiVirusDisableNotify”=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus] “DisableMonitoring”=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] “DisableMonitoring”=dword:00000001 [HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile] “EnableFirewall”= 0 (0x0) [HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] “%windir%\system32\sessmgr.exe”= “c:\Program Files\uTorrent\uTorrent.exe”= R2 Harmonogram automatycznej usługi LiveUpdate;Harmonogram automatycznej usługi LiveUpdate;“c:\program files\Symantec\LiveUpdate\ALUSchedulerSvc.exe” [2008-11-28 100032] R3 CM1083264;C-Media CM108 Like Sound UDAX Interface;c:\windows\system32\drivers\CM108.sys [2008-11-28 1294336] *Newly Created Service* - COMHOST . Zawartość folderu ‘Zaplanowane zadania’ 2008-11-28 c:\windows\Tasks\Norton AntiVirus - Uruchom pełne skanowanie systemu - Bartosz.job - c:\progra~1\NORTON~1\NORTON~1\Navw32.exe [2007-05-28 12:00] 2008-11-28 c:\windows\Tasks\Przypomnienie o rejestracji 1.job - c:\windows\system32\OOBE\oobebaln.exe [2004-08-04 12:00] 2008-11-28 c:\windows\Tasks\Przypomnienie o rejestracji 2.job - c:\windows\system32\OOBE\oobebaln.exe [2004-08-04 12:00] 2008-11-28 c:\windows\Tasks\Przypomnienie o rejestracji 3.job - c:\windows\system32\OOBE\oobebaln.exe [2004-08-04 12:00] . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-11-29 01:34:34 Windows 5.1.2600 Dodatek Service Pack 2 NTFS skanowanie ukrytych procesów … skanowanie ukrytych wpisów autostartu … skanowanie ukrytych plików … skanowanie pomyślnie ukończone ukryte pliki: 0 ************************************************************************** . --------------------- Pliki DLL ładowane pod uruchomionymi procesami --------------------- - - - - - - - ‘winlogon.exe’(944) c:\windows\system32\Ati2evxx.dll . ------------------------ Pozostałe uruchomione procesy ------------------------ . c:\program files\Intel\Wireless\Bin\EvtEng.exe c:\program files\Intel\Wireless\Bin\S24EvMon.exe c:\program files\Common Files\Symantec Shared\CCSETMGR.EXE c:\program files\Common Files\Symantec Shared\CCEVTMGR.EXE c:\program files\Common Files\Symantec Shared\CCPROXY.EXE c:\program files\Common Files\Symantec Shared\SNDSrvc.exe c:\program files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe c:\program files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe c:\program files\Toshiba\ConfigFree\CFSvcs.exe c:\program files\Norton Internet Security\Norton AntiVirus\NAVAPSVC.EXE c:\program files\Nero\Nero8\Nero BackItUp\NBService.exe c:\windows\system32\nvsvc32.exe c:\windows\system32\IoctlSvc.exe c:\program files\Intel\Wireless\Bin\RegSrvc.exe c:\program files\Toshiba\TOSHIBA Applet\TAPPSRV.exe c:\windows\system32\wdfmgr.exe c:\program files\Toshiba\TOSHIBA Controls\TFncKy.exe c:\program files\Toshiba\ConfigFree\NDSTray.exe c:\windows\system32\rundll32.exe c:\program files\Synaptics\SynTP\Toshiba.exe c:\windows\system32\TPSBattM.exe c:\windows\system32\rundll32.exe c:\progra~1\Intel\Wireless\Bin\Dot1XCfg.exe . ************************************************************************** . Czas ukończenia: 2008-11-29 1:37:04 - komputer został uruchomiony ponownie [bartosz] ComboFix-quarantined-files.txt 2008-11-29 00:37:00 Przed: 41,240,915,968 bajtów wolnych Po: 41,231,216,640 bajtów wolnych 298 — E O F — 2008-11-28 16:05:36

huber2t · 29 Listopad 2008 04:26

W logu nic nie widzę

usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.

Przeczyść komputer Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar całego komputera http://www.kaspersky.pl/virusscanner.html Daj raport z niego na forum

lub

Dr.WEB CureIt!

hany · 29 Listopad 2008 13:45

Nie rozumiem troche z ta optymalizacja, nie ogarniam co zrobic

huber2t · 29 Listopad 2008 14:21

Usuwasz z autostartu aplikacje które są w nim nie potrzebne, w linku zostały wymienione zbędne aplikacje w autostarcie

hany · 30 Listopad 2008 19:52

Zrobilem wszystko

RAPORT KASPERSKY ONLINE SCANNER 7.0

niedziela, 30 listopad 2008

System operacyjny: Microsoft Windows XP Home Edition Dodatek Service Pack 2 (build 2600)

Wersja Kaspersky Online Scanner: 7.0.26.12

Data ostatniej aktualizacji bazy danych: Sunday, November 30, 2008 16:41:38

Liczba wpisów: 1428591

Ustawienia skanowania:

Typ bazy danych użytej do skanowania: rozszerzona

Skanuj archiwa: tak

Skanuj pocztowe bazy danych: tak

Obszar skanowania - Mój komputer:

C:\

D:\

E:\

F:\

Statystyki skanowania:

Przeskanowanych plików: 61388

Nazwa zagrożenia: 4

Zainfekowanych obiektów: 5

Podejrzanych obiektów: 0

Czas skanowania: 01:19:35

Nazwa pliku / Nazwa zagrożenia / Liczba zagrożeń

C:\Documents and Settings\All Users\Dane aplikacji\Symantec\Norton AntiVirus\Quarantine\0B600F94.log Zainfekowany: IRC-Worm.Win32.Small.g 1

C:\Documents and Settings\All Users\Dane aplikacji\Symantec\Norton AntiVirus\Quarantine\0B643991.log Zainfekowany: IRC-Worm.Win32.Small.g 1

C:\Documents and Settings\All Users\Dane aplikacji\Symantec\Norton AntiVirus\Quarantine\62A72987.exe Zainfekowany: Worm.Win32.AutoRun.taa 1

C:\Documents and Settings\All Users\Dane aplikacji\Symantec\Norton AntiVirus\Quarantine\644029C5.exe Zainfekowany: Trojan-Downloader.Win32.Small.adjy 1

C:\Documents and Settings\All Users\Dane aplikacji\Symantec\Norton AntiVirus\Quarantine\644353C2.exe Zainfekowany: Worm.Win32.AutoRun.mua 1

Wybrany obszar został przeskanowany.

Leon1 · 30 Listopad 2008 19:55

opróżnij kwarantannę Nortona

hany · 30 Listopad 2008 21:03

Ale w jaki sposob bo jesli zaznaczam shift+del i odsiweze to znowu sie pokazuje.

Pliki w tym katalogu

http://img146.imageshack.us/my.php?image=123jn4.jpg

Leon1 · 1 Grudzień 2008 19:00

Masz Nortona i nie wiesz jak usunąć pliki z kwaranntanny?

Pobierz i uruchom narzędzie The Avenger Zaznaczasz tekst podany do usunięcia na forum

kopiuj >> klikasz na Paste Script from Clipboard >> Execute >> Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

hany · 3 Grudzień 2008 22:34

http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.

Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

No rootkits found!

File “C:\Documents and Settings\All Users\Dane aplikacji\Symantec\Norton AntiVirus\Quarantine\0B600F94.log” deleted successfully.

File “C:\Documents and Settings\All Users\Dane aplikacji\Symantec\Norton AntiVirus\Quarantine\0B643991.log” deleted successfully.

File “C:\Documents and Settings\All Users\Dane aplikacji\Symantec\Norton AntiVirus\Quarantine\62A72987.exe” deleted successfully.

File “C:\Documents and Settings\All Users\Dane aplikacji\Symantec\Norton AntiVirus\Quarantine\644029C5.exe” deleted successfully.

File “C:\Documents and Settings\All Users\Dane aplikacji\Symantec\Norton AntiVirus\Quarantine\644353C2.exe” deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

I jak to zawsze bywa ciag dalszy problemow zainstalowalem SP 3 i wyskakuje mi teraz na starcie systemu

http://img88.imageshack.us/my.php?image=123yb6.jpg

Mam nortona 2006 oryginalnego

huber2t · 4 Grudzień 2008 05:09

Pliki zostaly usunięte

Powinno być ok