system
(system)
19 Kwiecień 2009 14:53
#1
Mam problem, gdy wchodzę na którykolwiek dysk otwiera się on w nowym oknie a Spyware Terminator wykrywa mi wirusa w KLIF.SYS , a w program avast znajduje plik C:\ej10fkdo.bat w pamięci operacyjnej, lecz jego usuwanie nic nie daje;/ wcześniej wykrywało mi inny plik… Proszę o pomoc. Oto log z HijackThis :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:39:42, on 2009-04-19
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\acs.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Spyware Terminator\sp_rsser.exe
C:\Program Files\TP-LINK\TWCU\TWCU.exe
C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe
C:\WINDOWS\VM305_STI.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Pecet\Pulpit\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [TWCU] "C:\Program Files\TP-LINK\TWCU\TWCU.exe" -nogui
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [BigDog305] C:\WINDOWS\VM305_STI.EXE VIMICRO USB PC Camera (ZC0305)
O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_01] cmd.exe /c md "%USERPROFILE%\Ustawienia lokalne\Temp" (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_03] cmd.exe /c md "%SystemRoot%\System32\dllcache" (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_04] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_05] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_06] rundll32 advpack.dll,LaunchINFSection nlite.inf,S (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlpo_01] cmd.exe /c md "%USERPROFILE%\Ustawienia lokalne\Temp" (User 'USŁUGA SIECIOWA')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{05EC9380-4CDD-43ED-BCB8-116DF33E7686}: NameServer = 10.1.19.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{05EC9380-4CDD-43ED-BCB8-116DF33E7686}: NameServer = 10.1.19.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{05EC9380-4CDD-43ED-BCB8-116DF33E7686}: NameServer = 10.1.19.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: TP-LINK Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe
--
End of file - 5013 bytes
Leon1
(Leon$)
19 Kwiecień 2009 16:25
#2
Pobierz Combofix http://www.searchengines.pl/index.php?s … ntry395642 uruchom dwuklikiem
pokaż log
Podczas pobierania i skanu Combofixem proszę wyłączyć wszelkie zapory i antywirusy
system
(system)
19 Kwiecień 2009 16:30
#3
Czy plik olhrwef.exe może mieć z tym coś wspólnego??
system
(system)
19 Kwiecień 2009 16:43
#5
dzięki wielkie pomogło;p
ComboFix 09-04-19.05 - Pecet 2009-04-19 18:38.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1250.48.1045.18.1023.568 [GMT 2:00]
Uruchomiony z: c:\documents and settings\Pecet\Pulpit\ComboFix.exe
AV: avast! antivirus 4.8.1201 [VPS 080611-1] *On-access scanning disabled* (Outdated)
* Utworzono nowy punkt przywracania
UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA
.
((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\autorun.inf
C:\ej10fkdo.bat
c:\windows\system32\nmdfgds0.dll
c:\windows\system32\nmdfgds1.dll
c:\windows\system32\olhrwef.exe
D:\Autorun.inf
D:\ej10fkdo.bat
D:\em8tqm.cmd
D:\minm.cmd
.
((((((((((((((((((((((((( Pliki utworzone od 2009-03-19 do 2009-04-19 )))))))))))))))))))))))))))))))
.
2009-04-18 09:51 . 2009-04-18 10:14 122 ----a-w c:\windows\WA.INI
2009-04-18 08:54 . 2005-02-02 04:51 545 ----a-w c:\windows\UC.PIF
2009-04-18 08:54 . 2005-02-02 04:51 545 ----a-w c:\windows\RAR.PIF
2009-04-18 08:54 . 2005-02-02 04:51 545 ----a-w c:\windows\PKZIP.PIF
2009-04-18 08:54 . 2005-02-02 04:51 545 ----a-w c:\windows\PKUNZIP.PIF
2009-04-18 08:54 . 2005-02-02 04:51 545 ----a-w c:\windows\NOCLOSE.PIF
2009-04-18 08:54 . 2005-02-02 04:51 545 ----a-w c:\windows\LHA.PIF
2009-04-18 08:54 . 2005-02-02 04:51 545 ----a-w c:\windows\ARJ.PIF
2009-04-18 08:54 . 2009-04-18 08:55 335 ----a-w c:\windows\wincmd.ini
2009-04-18 08:54 . 2009-04-18 08:54 -------- d-----w C:\totalcmd
2009-04-18 06:34 . 2009-04-16 17:01 108169 --sh--r C:\husyu8n.exe
2009-04-16 17:39 . 2006-09-13 16:19 159232 ----a-w c:\windows\system32\ptpusd.dll
2009-04-16 17:39 . 2006-09-13 16:19 15104 ----a-w c:\windows\system32\drivers\usbscan.sys
2009-04-16 17:39 . 2006-09-13 16:17 5632 ----a-w c:\windows\system32\ptpusb.dll
2009-04-14 20:52 . 2009-04-14 20:51 73728 ----a-w c:\windows\system32\javacpl.cpl
2009-04-14 20:52 . 2009-04-14 20:51 410984 ----a-w c:\windows\system32\deploytk.dll
2009-04-14 20:51 . 2009-04-14 20:51 -------- d-----w c:\program files\Java
2009-04-14 17:52 . 2009-04-14 17:52 45 ---h--w c:\windows\dsez1077.dat
2009-04-14 17:52 . 2009-04-14 17:57 -------- d-----w c:\program files\PhotoFiltre Studio
2009-04-14 15:59 . 2009-04-15 21:14 109249 --sh--r C:\[u]0[/u]xuc.com
2009-04-14 15:19 . 2009-04-14 15:19 138624 ----a-w c:\windows\system32\drivers\sp_rsdrv2.sys
2009-04-14 15:16 . 2009-04-14 15:16 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\Spyware Terminator
2009-04-14 15:16 . 2009-04-19 13:19 -------- d-----w c:\program files\Spyware Terminator
2009-04-14 15:12 . 2009-04-14 15:12 56 ---ha-w c:\windows\system32\ezsidmv.dat
2009-04-14 15:12 . 2009-04-18 14:55 -------- d-----w c:\documents and settings\Pecet\Dane aplikacji\skypePM
2009-04-14 15:10 . 2009-04-18 15:26 -------- d-----w c:\documents and settings\Pecet\Dane aplikacji\Skype
2009-04-14 15:10 . 2009-04-14 15:10 -------- d-----w c:\program files\Skype
2009-04-14 15:10 . 2009-04-14 15:10 -------- d-----w c:\program files\Common Files\Skype
2009-04-14 15:10 . 2009-04-14 15:10 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\Skype
2009-04-14 15:09 . 2009-04-14 15:09 109163 --sh--r C:\qwtb.com
2009-04-14 15:00 . 2009-04-14 15:00 0 ----a-w c:\windows\nsreg.dat
2009-04-14 15:00 . 2009-04-14 15:00 -------- d-----w c:\documents and settings\Pecet\Ustawienia lokalne\Dane aplikacji\Mozilla
2009-04-14 14:58 . 2009-04-14 14:58 -------- d-----w c:\documents and settings\Pecet\Dane aplikacji\Gadu-Gadu
2009-04-14 14:57 . 2009-04-14 14:58 -------- d-----w c:\documents and settings\Pecet\Gadu-Gadu
2009-04-14 14:57 . 2009-04-14 14:57 -------- d-----w c:\program files\Gadu-Gadu
2009-04-14 13:31 . 2009-04-14 13:31 1594540 ----a-w c:\windows\WANEUninstaller.exe
2009-04-14 13:28 . 2009-04-14 13:28 -------- d-----w C:\Games
2009-04-13 21:54 . 2009-04-13 21:54 69 ----a-w c:\windows\NeroDigital.ini
2009-04-12 14:32 . 2009-04-12 14:32 -------- d-----w c:\documents and settings\Pecet\Ustawienia lokalne\Dane aplikacji\Adobe
2009-04-12 14:30 . 2009-04-12 14:52 -------- d-----w c:\documents and settings\Pecet\Dane aplikacji\Lavasoft
2009-04-12 14:26 . 2009-04-12 14:32 -------- d-----w c:\program files\Common Files\Adobe
2009-04-12 14:25 . 2009-04-12 14:25 -------- d-----w c:\windows\Cache
2009-04-12 14:24 . 2009-04-12 14:24 715 ----a-w c:\windows\unins000.dat
2009-04-12 14:14 . 2009-04-12 14:14 -------- d-s---w c:\documents and settings\Pecet\UserData
2009-04-12 09:02 . 2009-04-12 09:02 -------- d-----w c:\documents and settings\Pecet\.borland
2009-04-12 09:01 . 2009-04-12 09:01 -------- d-----w c:\program files\Common Files\Borland Shared
2009-04-12 09:01 . 2009-04-12 09:01 -------- d-----w c:\program files\Borland
2009-04-11 14:26 . 2006-03-29 14:04 42484 ----a-w c:\windows\system32\net5211.inf
2009-04-11 14:26 . 2005-12-21 08:16 470048 ----a-w c:\windows\system32\ar5211.sys
2009-04-11 14:26 . 2005-12-21 08:15 26 ----a-w c:\windows\system32\net5211.cat
2009-04-11 14:26 . 2005-12-30 06:15 36864 ----a-w c:\windows\system32\acs.exe
2009-04-11 14:26 . 2009-04-11 14:26 21275 ----a-w c:\windows\system32\drivers\AegisP.sys
2009-04-11 14:26 . 2006-03-21 07:52 249856 ----a-w c:\windows\system32\wgapi.dll
2009-04-11 14:26 . 2005-12-30 06:15 385024 ----a-w c:\windows\system32\athcfg11.dll
2009-04-11 14:26 . 2005-12-30 06:14 77824 ----a-w c:\windows\system32\athcfg11res.dll
2009-04-11 14:26 . 2005-12-30 06:10 237568 ----a-w c:\windows\system32\wcapi.dll
2009-04-11 14:26 . 2005-12-30 06:04 315392 ----a-w c:\windows\system32\AegisI5.exe
2009-04-11 14:26 . 2005-12-30 06:04 1396835 ----a-w c:\windows\system32\AegisE5.dll
2009-04-11 14:26 . 2009-04-09 18:00 110321 --sh--r C:\1ogf.exe
2009-04-11 10:23 . 2009-04-11 10:25 -------- d-----w c:\windows\system32\NtmsData
2009-04-11 10:05 . 2005-12-21 08:16 470048 ----a-w c:\windows\system32\drivers\ar5211.sys
2009-04-11 06:56 . 2009-04-11 07:12 -------- d-----w c:\program files\DAEMON Tools
2009-04-11 06:55 . 2009-04-11 06:55 685816 ----a-w c:\windows\system32\drivers\sptd.sys
.
(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-11 14:27 . 2001-10-26 18:15 74230 ----a-w c:\windows\system32\perfc015.dat
2009-04-11 14:27 . 2001-10-26 18:15 448004 ----a-w c:\windows\system32\perfh015.dat
2009-04-11 14:26 . 2009-04-10 20:46 -------- d-----w c:\program files\TP-LINK
2009-04-11 14:26 . 2009-04-10 20:09 -------- d--h--w c:\program files\InstallShield Installation Information
2009-04-11 06:41 . 2009-04-10 19:48 86327 ----a-w c:\windows\pchealth\helpctr\OfflineCache\index.dat
2009-04-10 21:14 . 2004-07-17 11:36 11973 ----a-w c:\windows\system32\drivers\secdrv.sys
2009-04-10 21:12 . 2009-04-10 21:12 -------- d-----w c:\documents and settings\Pecet\Dane aplikacji\Ahead
2009-04-10 21:11 . 2009-04-10 21:11 -------- d-----w c:\program files\Winamp
2009-04-10 21:11 . 2009-04-10 21:11 -------- d-----w c:\documents and settings\Pecet\Dane aplikacji\Winamp
2009-04-10 21:09 . 2009-04-10 21:09 -------- d-----w c:\program files\Common Files\Ahead
2009-04-10 21:09 . 2009-04-10 21:09 -------- d-----w c:\program files\Nero
2009-04-10 21:09 . 2009-04-10 21:08 -------- d-----w c:\program files\XP Codec Pack
2009-04-10 21:08 . 2009-04-10 21:08 -------- d-----w c:\program files\MarBit
2009-04-10 21:07 . 2009-04-10 21:07 -------- d-----w c:\program files\Alwil Software
2009-04-10 21:05 . 2009-04-10 21:01 126830 ----a-w c:\windows\HPHins12.dat
2009-04-10 21:04 . 2009-04-10 21:04 -------- d-----w c:\documents and settings\Pecet\Dane aplikacji\HP
2009-04-10 21:04 . 2009-04-10 20:36 -------- d-----w c:\program files\HP
2009-04-10 21:04 . 2009-04-10 21:04 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\HP
2009-04-10 21:03 . 2009-04-10 21:03 -------- d-----w c:\program files\Common Files\HP
2009-04-10 21:03 . 2009-04-10 21:03 -------- d-----w c:\program files\Hewlett-Packard
2009-04-10 20:30 . 2009-04-10 20:30 -------- d-----w c:\program files\AMD
2009-04-10 20:28 . 2009-04-10 20:28 -------- d-----w c:\program files\Realtek Sound Manager
2009-04-10 20:28 . 2009-04-10 20:28 -------- d-----w c:\program files\AvRack
2009-04-10 20:28 . 2009-04-10 20:08 -------- d-----w c:\program files\Common Files\InstallShield
2009-04-10 20:24 . 2009-04-10 20:15 -------- d-----w c:\documents and settings\Pecet\Dane aplikacji\ATI
2009-04-10 20:24 . 2009-04-10 20:24 -------- d-----w c:\program files\ATI Technologies
2009-04-10 19:54 . 2009-04-10 19:54 12328 ----a-w c:\documents and settings\Pecet\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT
2009-04-10 19:48 . 2009-04-10 19:48 -------- d-----w c:\program files\Usługi online
2009-04-10 19:46 . 2009-04-10 19:46 21856 ----a-w c:\windows\system32\emptyregdb.dat
2008-07-02 21:2009-04-14 14:56 01:37 . c:\program files\mozilla firefox\components\jar50.dll
2008-07-02 21:2009-04-14 14:56 01:37 . c:\program files\mozilla firefox\components\jsd3250.dll
2008-07-02 21:2009-04-14 14:56 01:37 . c:\program files\mozilla firefox\components\myspell.dll
2008-07-02 21:2009-04-14 14:56 01:37 . c:\program files\mozilla firefox\components\spellchk.dll
2008-07-02 21:2009-04-14 14:56 01:37 . c:\program files\mozilla firefox\components\xpinstal.dll
.
((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-05-15 79224]
"TWCU"="c:\program files\TP-LINK\TWCU\TWCU.exe" [2006-03-29 364544]
"SpywareTerminator"="c:\program files\Spyware Terminator\SpywareTerminatorShield.exe" [2009-04-14 2776576]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-04-14 136600]
"BigDog305"="c:\windows\VM305_STI.EXE" [2005-08-05 61440]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\[u]0[/u]
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^HP Digital Imaging Monitor.lnk]
path=c:\documents and settings\All Users\Menu Start\Programy\Autostart\HP Digital Imaging Monitor.lnk
backup=c:\windows\pss\HP Digital Imaging Monitor.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"ATI Smart"=2 (0x2)
"Ati HotKey Poller"=2 (0x2)
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
S1 aswSP;avast! Self Protection; [x]
S1 sp_rsdrv2;Spyware Terminator Driver 2;c:\windows\system32\drivers\sp_rsdrv2.sys [2009-04-14 138624]
S2 aswFsBlk;aswFsBlk;c:\windows\system32\DRIVERS\aswFsBlk.sys [2008-05-15 20560]
S3 ZSMC0305;A4 TECH PC Camera V;c:\windows\system32\Drivers\usbVM305.sys [2006-05-08 391688]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2f5660e3-260e-11de-9344-d66555fb0233}]
\Shell\AutoRun\command - G:\o3n9k.com
\Shell\open\Command - G:\o3n9k.com
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c6238392-2b95-11de-937f-0019e082e6de}]
\Shell\AutoRun\command - G:\iqe68o.bat
\Shell\explore\Command - G:\iqe68o.bat
\Shell\open\Command - G:\iqe68o.bat
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cbc33916-2855-11de-9365-0019e082e6de}]
\Shell\AutoRun\command - G:\1ogf.exe
\Shell\open\Command - G:\1ogf.exe
.
- - - - USUNIĘTO PUSTE WPISY - - - -
HKCU-Run-cdoosoft - c:\windows\system32\olhrwef.exe
.
------- Skan uzupełniający -------
.
TCP: {05EC9380-4CDD-43ED-BCB8-116DF33E7686} = 10.1.19.1
FF - ProfilePath - c:\documents and settings\Pecet\Dane aplikacji\Mozilla\Firefox\Profiles\y70qknp1.default\
FF - component: c:\program files\Mozilla Firefox\components\xpinstal.dll
FF - component: c:\program files\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-19 18:40
Windows 5.1.2600 Dodatek Service Pack 2 NTFS
skanowanie ukrytych procesów ...
skanowanie ukrytych wpisów autostartu ...
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
BigDog305 = c:\windows\VM305_STI.EXE VIMICRO USB PC Camera (ZC0305)???????????????????0?????????@??????????????
skanowanie ukrytych plików ...
skanowanie pomyślnie ukończone
ukryte pliki: 0
**************************************************************************
.
--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------
- - - - - - - > 'winlogon.exe'(608)
c:\windows\system32\Ati2evxx.dll
.
Czas ukończenia: 2009-04-19 18:41
ComboFix-quarantined-files.txt 2009-04-19 16:41
Przed: 14 017 699 840 bajtów wolnych
Po: 14 078 885 888 bajtów wolnych
198
[/code]
Leon1
(Leon$)
19 Kwiecień 2009 16:54
#6
Wylecz pendriva lub kartę pamięci http://www.softpedia.com/get/Security/S … Tool.shtml
Flash Disinfector http://www.searchengines.pl/index.php?s … ntry369724
lub format
zastosuj ATF Cleaner http://cybertrash.pl/images/tata/ATF/ATF.html
Otwórz notatnik i wklej
zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe
Powinno rozpocząć się usuwanie
Potem log z usuwania Combofix
system
(system)
19 Kwiecień 2009 17:08
#7
ComboFix 09-04-19.05 - Pecet 2009-04-19 19:01.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1250.48.1045.18.1023.675 [GMT 2:00]
Uruchomiony z: d:\instalki\Nowy folder\ComboFix.exe
Użyto następujących komend :: d:\instalki\Nowy folder\CFScript.txt
AV: avast! antivirus 4.8.1201 [VPS 080611-1] *On-access scanning enabled* (Outdated)
* Utworzono nowy punkt przywracania
UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA
FILE ::
C:\[u]0[/u]xuc.com
C:\1ogf.exe
C:\husyu8n.exe
C:\qwtb.com
G:\1ogf.exe
G:\iqe68o.bat
G:\o3n9k.com
.
((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\[u]0[/u]xuc.com
C:\1ogf.exe
C:\husyu8n.exe
C:\qwtb.com
.
((((((((((((((((((((((((( Pliki utworzone od 2009-03-19 do 2009-04-19 )))))))))))))))))))))))))))))))
.
2009-04-18 09:51 . 2009-04-18 10:14 122 ----a-w c:\windows\WA.INI
2009-04-18 08:54 . 2005-02-02 04:51 545 ----a-w c:\windows\UC.PIF
2009-04-18 08:54 . 2005-02-02 04:51 545 ----a-w c:\windows\RAR.PIF
2009-04-18 08:54 . 2005-02-02 04:51 545 ----a-w c:\windows\PKZIP.PIF
2009-04-18 08:54 . 2005-02-02 04:51 545 ----a-w c:\windows\PKUNZIP.PIF
2009-04-18 08:54 . 2005-02-02 04:51 545 ----a-w c:\windows\NOCLOSE.PIF
2009-04-18 08:54 . 2005-02-02 04:51 545 ----a-w c:\windows\LHA.PIF
2009-04-18 08:54 . 2005-02-02 04:51 545 ----a-w c:\windows\ARJ.PIF
2009-04-18 08:54 . 2009-04-18 08:55 335 ----a-w c:\windows\wincmd.ini
2009-04-18 08:54 . 2009-04-18 08:54 -------- d-----w C:\totalcmd
2009-04-16 17:39 . 2006-09-13 16:19 159232 ----a-w c:\windows\system32\ptpusd.dll
2009-04-16 17:39 . 2006-09-13 16:19 15104 ----a-w c:\windows\system32\drivers\usbscan.sys
2009-04-16 17:39 . 2006-09-13 16:17 5632 ----a-w c:\windows\system32\ptpusb.dll
2009-04-14 20:52 . 2009-04-14 20:51 73728 ----a-w c:\windows\system32\javacpl.cpl
2009-04-14 20:52 . 2009-04-14 20:51 410984 ----a-w c:\windows\system32\deploytk.dll
2009-04-14 20:51 . 2009-04-14 20:51 -------- d-----w c:\program files\Java
2009-04-14 17:52 . 2009-04-14 17:52 45 ---h--w c:\windows\dsez1077.dat
2009-04-14 17:52 . 2009-04-14 17:57 -------- d-----w c:\program files\PhotoFiltre Studio
2009-04-14 15:19 . 2009-04-14 15:19 138624 ----a-w c:\windows\system32\drivers\sp_rsdrv2.sys
2009-04-14 15:16 . 2009-04-14 15:16 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\Spyware Terminator
2009-04-14 15:16 . 2009-04-19 16:46 -------- d-----w c:\program files\Spyware Terminator
2009-04-14 15:12 . 2009-04-14 15:12 56 ---ha-w c:\windows\system32\ezsidmv.dat
2009-04-14 15:12 . 2009-04-18 14:55 -------- d-----w c:\documents and settings\Pecet\Dane aplikacji\skypePM
2009-04-14 15:10 . 2009-04-18 15:26 -------- d-----w c:\documents and settings\Pecet\Dane aplikacji\Skype
2009-04-14 15:10 . 2009-04-14 15:10 -------- d-----w c:\program files\Skype
2009-04-14 15:10 . 2009-04-14 15:10 -------- d-----w c:\program files\Common Files\Skype
2009-04-14 15:10 . 2009-04-14 15:10 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\Skype
2009-04-14 15:00 . 2009-04-14 15:00 0 ----a-w c:\windows\nsreg.dat
2009-04-14 15:00 . 2009-04-14 15:00 -------- d-----w c:\documents and settings\Pecet\Ustawienia lokalne\Dane aplikacji\Mozilla
2009-04-14 14:58 . 2009-04-14 14:58 -------- d-----w c:\documents and settings\Pecet\Dane aplikacji\Gadu-Gadu
2009-04-14 14:57 . 2009-04-14 14:58 -------- d-----w c:\documents and settings\Pecet\Gadu-Gadu
2009-04-14 14:57 . 2009-04-14 14:57 -------- d-----w c:\program files\Gadu-Gadu
2009-04-14 13:31 . 2009-04-14 13:31 1594540 ----a-w c:\windows\WANEUninstaller.exe
2009-04-14 13:28 . 2009-04-14 13:28 -------- d-----w C:\Games
2009-04-13 21:54 . 2009-04-13 21:54 69 ----a-w c:\windows\NeroDigital.ini
2009-04-12 14:32 . 2009-04-12 14:32 -------- d-----w c:\documents and settings\Pecet\Ustawienia lokalne\Dane aplikacji\Adobe
2009-04-12 14:30 . 2009-04-12 14:52 -------- d-----w c:\documents and settings\Pecet\Dane aplikacji\Lavasoft
2009-04-12 14:26 . 2009-04-12 14:32 -------- d-----w c:\program files\Common Files\Adobe
2009-04-12 14:25 . 2009-04-12 14:25 -------- d-----w c:\windows\Cache
2009-04-12 14:24 . 2009-04-12 14:24 715 ----a-w c:\windows\unins000.dat
2009-04-12 14:14 . 2009-04-12 14:14 -------- d-s---w c:\documents and settings\Pecet\UserData
2009-04-12 09:02 . 2009-04-12 09:02 -------- d-----w c:\documents and settings\Pecet\.borland
2009-04-12 09:01 . 2009-04-12 09:01 -------- d-----w c:\program files\Common Files\Borland Shared
2009-04-12 09:01 . 2009-04-12 09:01 -------- d-----w c:\program files\Borland
2009-04-11 14:26 . 2006-03-29 14:04 42484 ----a-w c:\windows\system32\net5211.inf
2009-04-11 14:26 . 2005-12-21 08:16 470048 ----a-w c:\windows\system32\ar5211.sys
2009-04-11 14:26 . 2005-12-21 08:15 26 ----a-w c:\windows\system32\net5211.cat
2009-04-11 14:26 . 2005-12-30 06:15 36864 ----a-w c:\windows\system32\acs.exe
2009-04-11 14:26 . 2009-04-11 14:26 21275 ----a-w c:\windows\system32\drivers\AegisP.sys
2009-04-11 14:26 . 2006-03-21 07:52 249856 ----a-w c:\windows\system32\wgapi.dll
2009-04-11 14:26 . 2005-12-30 06:15 385024 ----a-w c:\windows\system32\athcfg11.dll
2009-04-11 14:26 . 2005-12-30 06:14 77824 ----a-w c:\windows\system32\athcfg11res.dll
2009-04-11 14:26 . 2005-12-30 06:10 237568 ----a-w c:\windows\system32\wcapi.dll
2009-04-11 14:26 . 2005-12-30 06:04 315392 ----a-w c:\windows\system32\AegisI5.exe
2009-04-11 14:26 . 2005-12-30 06:04 1396835 ----a-w c:\windows\system32\AegisE5.dll
2009-04-11 10:23 . 2009-04-11 10:25 -------- d-----w c:\windows\system32\NtmsData
2009-04-11 10:05 . 2005-12-21 08:16 470048 ----a-w c:\windows\system32\drivers\ar5211.sys
2009-04-11 06:56 . 2009-04-11 07:12 -------- d-----w c:\program files\DAEMON Tools
2009-04-11 06:55 . 2009-04-11 06:55 685816 ----a-w c:\windows\system32\drivers\sptd.sys
.
(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-11 14:27 . 2001-10-26 18:15 74230 ----a-w c:\windows\system32\perfc015.dat
2009-04-11 14:27 . 2001-10-26 18:15 448004 ----a-w c:\windows\system32\perfh015.dat
2009-04-11 14:26 . 2009-04-10 20:46 -------- d-----w c:\program files\TP-LINK
2009-04-11 14:26 . 2009-04-10 20:09 -------- d--h--w c:\program files\InstallShield Installation Information
2009-04-11 06:41 . 2009-04-10 19:48 86327 ----a-w c:\windows\pchealth\helpctr\OfflineCache\index.dat
2009-04-10 21:14 . 2004-07-17 11:36 11973 ----a-w c:\windows\system32\drivers\secdrv.sys
2009-04-10 21:12 . 2009-04-10 21:12 -------- d-----w c:\documents and settings\Pecet\Dane aplikacji\Ahead
2009-04-10 21:11 . 2009-04-10 21:11 -------- d-----w c:\program files\Winamp
2009-04-10 21:11 . 2009-04-10 21:11 -------- d-----w c:\documents and settings\Pecet\Dane aplikacji\Winamp
2009-04-10 21:09 . 2009-04-10 21:09 -------- d-----w c:\program files\Common Files\Ahead
2009-04-10 21:09 . 2009-04-10 21:09 -------- d-----w c:\program files\Nero
2009-04-10 21:09 . 2009-04-10 21:08 -------- d-----w c:\program files\XP Codec Pack
2009-04-10 21:08 . 2009-04-10 21:08 -------- d-----w c:\program files\MarBit
2009-04-10 21:07 . 2009-04-10 21:07 -------- d-----w c:\program files\Alwil Software
2009-04-10 21:05 . 2009-04-10 21:01 126830 ----a-w c:\windows\HPHins12.dat
2009-04-10 21:04 . 2009-04-10 21:04 -------- d-----w c:\documents and settings\Pecet\Dane aplikacji\HP
2009-04-10 21:04 . 2009-04-10 20:36 -------- d-----w c:\program files\HP
2009-04-10 21:04 . 2009-04-10 21:04 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\HP
2009-04-10 21:03 . 2009-04-10 21:03 -------- d-----w c:\program files\Common Files\HP
2009-04-10 21:03 . 2009-04-10 21:03 -------- d-----w c:\program files\Hewlett-Packard
2009-04-10 20:30 . 2009-04-10 20:30 -------- d-----w c:\program files\AMD
2009-04-10 20:28 . 2009-04-10 20:28 -------- d-----w c:\program files\Realtek Sound Manager
2009-04-10 20:28 . 2009-04-10 20:28 -------- d-----w c:\program files\AvRack
2009-04-10 20:28 . 2009-04-10 20:08 -------- d-----w c:\program files\Common Files\InstallShield
2009-04-10 20:24 . 2009-04-10 20:15 -------- d-----w c:\documents and settings\Pecet\Dane aplikacji\ATI
2009-04-10 20:24 . 2009-04-10 20:24 -------- d-----w c:\program files\ATI Technologies
2009-04-10 19:54 . 2009-04-10 19:54 12328 ----a-w c:\documents and settings\Pecet\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT
2009-04-10 19:48 . 2009-04-10 19:48 -------- d-----w c:\program files\Usługi online
2009-04-10 19:46 . 2009-04-10 19:46 21856 ----a-w c:\windows\system32\emptyregdb.dat
2008-07-02 21:2009-04-14 14:56 01:37 . c:\program files\mozilla firefox\components\jar50.dll
2008-07-02 21:2009-04-14 14:56 01:37 . c:\program files\mozilla firefox\components\jsd3250.dll
2008-07-02 21:2009-04-14 14:56 01:37 . c:\program files\mozilla firefox\components\myspell.dll
2008-07-02 21:2009-04-14 14:56 01:37 . c:\program files\mozilla firefox\components\spellchk.dll
2008-07-02 21:2009-04-14 14:56 01:37 . c:\program files\mozilla firefox\components\xpinstal.dll
.
((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-05-15 79224]
"TWCU"="c:\program files\TP-LINK\TWCU\TWCU.exe" [2006-03-29 364544]
"SpywareTerminator"="c:\program files\Spyware Terminator\SpywareTerminatorShield.exe" [2009-04-14 2776576]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-04-14 136600]
"BigDog305"="c:\windows\VM305_STI.EXE" [2005-08-05 61440]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\[u]0[/u]
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^HP Digital Imaging Monitor.lnk]
path=c:\documents and settings\All Users\Menu Start\Programy\Autostart\HP Digital Imaging Monitor.lnk
backup=c:\windows\pss\HP Digital Imaging Monitor.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"ATI Smart"=2 (0x2)
"Ati HotKey Poller"=2 (0x2)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
S1 aswSP;avast! Self Protection; [x]
S1 sp_rsdrv2;Spyware Terminator Driver 2;c:\windows\system32\drivers\sp_rsdrv2.sys [2009-04-14 138624]
S2 aswFsBlk;aswFsBlk;c:\windows\system32\DRIVERS\aswFsBlk.sys [2008-05-15 20560]
S3 ZSMC0305;A4 TECH PC Camera V;c:\windows\system32\Drivers\usbVM305.sys [2006-05-08 391688]
.
.
------- Skan uzupełniający -------
.
TCP: {05EC9380-4CDD-43ED-BCB8-116DF33E7686} = 10.1.19.1
FF - ProfilePath - c:\documents and settings\Pecet\Dane aplikacji\Mozilla\Firefox\Profiles\y70qknp1.default\
FF - component: c:\program files\Mozilla Firefox\components\xpinstal.dll
FF - component: c:\program files\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-19 19:02
Windows 5.1.2600 Dodatek Service Pack 2 NTFS
skanowanie ukrytych procesów ...
skanowanie ukrytych wpisów autostartu ...
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
BigDog305 = c:\windows\VM305_STI.EXE VIMICRO USB PC Camera (ZC0305)???????????????????0?????????@??????????????
skanowanie ukrytych plików ...
skanowanie pomyślnie ukończone
ukryte pliki: 0
**************************************************************************
.
--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------
- - - - - - - > 'winlogon.exe'(608)
c:\windows\system32\Ati2evxx.dll
.
Czas ukończenia: 2009-04-19 19:03
ComboFix-quarantined-files.txt 2009-04-19 17:03
ComboFix2.txt 2009-04-19 16:41
Przed: 14 122 889 216 bajtów wolnych
Po: 14 115 262 464 bajtów wolnych
183
[/code]
Leon1
(Leon$)
19 Kwiecień 2009 17:16
#8
Log wygląda na czysty
Pobierz CCleaner http://www.filehippo.com/download_ccleaner/
przeskanuj nim i wyczyść rejestr.
zrób optymalizacje uruchamiania
http://cybertrash.netarteria.pl/cyber/i … 378.0.html
usuń ręcznie folder C: \Qoobox usuń instalkę Combofix z dysku.
Wyłącz I włącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl
przeskanuj obszar Mój komputer http://www.kaspersky.pl/virusscanner.html gdy będą wirusy pokaż raport
system
(system)
19 Kwiecień 2009 17:21
#9
ok dzięki
– Dodane 19.04.2009 (N) 22:02 –
a mam jeszcze pytanie : zniknęło mi autoodtwarzanie z płyt i dysków wymiennych, jak mogę to przywrócić? próbowałem w rejestrze i w gpedit.msc i nic nie pomogło…
system
(system)
20 Kwiecień 2009 05:28
#10
– Dodane 19.04.2009 (N) 22:02 –
a mam jeszcze pytanie : zniknęło mi autoodtwarzanie z płyt i dysków wymiennych, jak mogę to przywrócić? próbowałem w rejestrze i w gpedit.msc i nic nie pomogło…
system
(system)
20 Kwiecień 2009 06:37
#11
Bardzo dziwne, ponieważ mam na bieżąco aktualizowany Windows, a autoodtwarzanie działa bezproblemowo.
A tak na poważnie, to ComboFix wprowadza te restrykcje, zaś Microsoft udostępnia narzędzie Autoplay Repair Wizard pozwalające naprawić niedziałające autoodtwarzanie.
KLIF.SYS to sterownik Kasperskiego, co wskazuje na pozostałości w systemie po nim, użyj narzędzia KAVremover w celu usunięcia pozostałości po Kasperskym.