Problem z plikiem KLIF.SYS i C:\ej10fkdo.bat!


(system) #1

Mam problem, gdy wchodzę na którykolwiek dysk otwiera się on w nowym oknie a Spyware Terminator wykrywa mi wirusa w KLIF.SYS , a w program avast znajduje plik C:\ej10fkdo.bat w pamięci operacyjnej, lecz jego usuwanie nic nie daje;/ wcześniej wykrywało mi inny plik.. Proszę o pomoc. Oto log z HijackThis :

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 16:39:42, on 2009-04-19

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\acs.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Spyware Terminator\sp_rsser.exe

C:\Program Files\TP-LINK\TWCU\TWCU.exe

C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe

C:\WINDOWS\VM305_STI.EXE

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Documents and Settings\Pecet\Pulpit\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [TWCU] "C:\Program Files\TP-LINK\TWCU\TWCU.exe" -nogui

O4 - HKLM\..\Run: [SpywareTerminator] "C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [BigDog305] C:\WINDOWS\VM305_STI.EXE VIMICRO USB PC Camera (ZC0305)

O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_01] cmd.exe /c md "%USERPROFILE%\Ustawienia lokalne\Temp" (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_03] cmd.exe /c md "%SystemRoot%\System32\dllcache" (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_04] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_05] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_06] rundll32 advpack.dll,LaunchINFSection nlite.inf,S (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-20\..\RunOnce: [nlpo_01] cmd.exe /c md "%USERPROFILE%\Ustawienia lokalne\Temp" (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{05EC9380-4CDD-43ED-BCB8-116DF33E7686}: NameServer = 10.1.19.1

O17 - HKLM\System\CS1\Services\Tcpip\..\{05EC9380-4CDD-43ED-BCB8-116DF33E7686}: NameServer = 10.1.19.1

O17 - HKLM\System\CS2\Services\Tcpip\..\{05EC9380-4CDD-43ED-BCB8-116DF33E7686}: NameServer = 10.1.19.1

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O23 - Service: TP-LINK Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe


--

End of file - 5013 bytes

(Leon$) #2

Pobierz Combofix http://www.searchengines.pl/index.php?s ... ntry395642 uruchom dwuklikiem

pokaż log

Podczas pobierania i skanu Combofixem proszę wyłączyć wszelkie zapory i antywirusy

:slight_smile:


(system) #3

Czy plik olhrwef.exe może mieć z tym coś wspólnego??


(Leon$) #4

tak


(system) #5

dzięki wielkie pomogło;p

ComboFix 09-04-19.05 - Pecet 2009-04-19 18:38.1 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1250.48.1045.18.1023.568 [GMT 2:00]

Uruchomiony z: c:\documents and settings\Pecet\Pulpit\ComboFix.exe

AV: avast! antivirus 4.8.1201 [VPS 080611-1] *On-access scanning disabled* (Outdated)

 * Utworzono nowy punkt przywracania


UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA 

.


((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))

.


C:\autorun.inf

C:\ej10fkdo.bat

c:\windows\system32\nmdfgds0.dll

c:\windows\system32\nmdfgds1.dll

c:\windows\system32\olhrwef.exe

D:\Autorun.inf

D:\ej10fkdo.bat

D:\em8tqm.cmd

D:\minm.cmd


.

((((((((((((((((((((((((( Pliki utworzone od 2009-03-19 do 2009-04-19 )))))))))))))))))))))))))))))))

.


2009-04-18 09:51 . 2009-04-18 10:14	122	----a-w	c:\windows\WA.INI

2009-04-18 08:54 . 2005-02-02 04:51	545	----a-w	c:\windows\UC.PIF

2009-04-18 08:54 . 2005-02-02 04:51	545	----a-w	c:\windows\RAR.PIF

2009-04-18 08:54 . 2005-02-02 04:51	545	----a-w	c:\windows\PKZIP.PIF

2009-04-18 08:54 . 2005-02-02 04:51	545	----a-w	c:\windows\PKUNZIP.PIF

2009-04-18 08:54 . 2005-02-02 04:51	545	----a-w	c:\windows\NOCLOSE.PIF

2009-04-18 08:54 . 2005-02-02 04:51	545	----a-w	c:\windows\LHA.PIF

2009-04-18 08:54 . 2005-02-02 04:51	545	----a-w	c:\windows\ARJ.PIF

2009-04-18 08:54 . 2009-04-18 08:55	335	----a-w	c:\windows\wincmd.ini

2009-04-18 08:54 . 2009-04-18 08:54	--------	d-----w	C:\totalcmd

2009-04-18 06:34 . 2009-04-16 17:01	108169	--sh--r	C:\husyu8n.exe

2009-04-16 17:39 . 2006-09-13 16:19	159232	----a-w	c:\windows\system32\ptpusd.dll

2009-04-16 17:39 . 2006-09-13 16:19	15104	----a-w	c:\windows\system32\drivers\usbscan.sys

2009-04-16 17:39 . 2006-09-13 16:17	5632	----a-w	c:\windows\system32\ptpusb.dll

2009-04-14 20:52 . 2009-04-14 20:51	73728	----a-w	c:\windows\system32\javacpl.cpl

2009-04-14 20:52 . 2009-04-14 20:51	410984	----a-w	c:\windows\system32\deploytk.dll

2009-04-14 20:51 . 2009-04-14 20:51	--------	d-----w	c:\program files\Java

2009-04-14 17:52 . 2009-04-14 17:52	45	---h--w	c:\windows\dsez1077.dat

2009-04-14 17:52 . 2009-04-14 17:57	--------	d-----w	c:\program files\PhotoFiltre Studio

2009-04-14 15:59 . 2009-04-15 21:14	109249	--sh--r	C:\[u]0[/u]xuc.com

2009-04-14 15:19 . 2009-04-14 15:19	138624	----a-w	c:\windows\system32\drivers\sp_rsdrv2.sys

2009-04-14 15:16 . 2009-04-14 15:16	--------	d-----w	c:\documents and settings\All Users\Dane aplikacji\Spyware Terminator

2009-04-14 15:16 . 2009-04-19 13:19	--------	d-----w	c:\program files\Spyware Terminator

2009-04-14 15:12 . 2009-04-14 15:12	56	---ha-w	c:\windows\system32\ezsidmv.dat

2009-04-14 15:12 . 2009-04-18 14:55	--------	d-----w	c:\documents and settings\Pecet\Dane aplikacji\skypePM

2009-04-14 15:10 . 2009-04-18 15:26	--------	d-----w	c:\documents and settings\Pecet\Dane aplikacji\Skype

2009-04-14 15:10 . 2009-04-14 15:10	--------	d-----w	c:\program files\Skype

2009-04-14 15:10 . 2009-04-14 15:10	--------	d-----w	c:\program files\Common Files\Skype

2009-04-14 15:10 . 2009-04-14 15:10	--------	d-----w	c:\documents and settings\All Users\Dane aplikacji\Skype

2009-04-14 15:09 . 2009-04-14 15:09	109163	--sh--r	C:\qwtb.com

2009-04-14 15:00 . 2009-04-14 15:00	0	----a-w	c:\windows\nsreg.dat

2009-04-14 15:00 . 2009-04-14 15:00	--------	d-----w	c:\documents and settings\Pecet\Ustawienia lokalne\Dane aplikacji\Mozilla

2009-04-14 14:58 . 2009-04-14 14:58	--------	d-----w	c:\documents and settings\Pecet\Dane aplikacji\Gadu-Gadu

2009-04-14 14:57 . 2009-04-14 14:58	--------	d-----w	c:\documents and settings\Pecet\Gadu-Gadu

2009-04-14 14:57 . 2009-04-14 14:57	--------	d-----w	c:\program files\Gadu-Gadu

2009-04-14 13:31 . 2009-04-14 13:31	1594540	----a-w	c:\windows\WANEUninstaller.exe

2009-04-14 13:28 . 2009-04-14 13:28	--------	d-----w	C:\Games

2009-04-13 21:54 . 2009-04-13 21:54	69	----a-w	c:\windows\NeroDigital.ini

2009-04-12 14:32 . 2009-04-12 14:32	--------	d-----w	c:\documents and settings\Pecet\Ustawienia lokalne\Dane aplikacji\Adobe

2009-04-12 14:30 . 2009-04-12 14:52	--------	d-----w	c:\documents and settings\Pecet\Dane aplikacji\Lavasoft

2009-04-12 14:26 . 2009-04-12 14:32	--------	d-----w	c:\program files\Common Files\Adobe

2009-04-12 14:25 . 2009-04-12 14:25	--------	d-----w	c:\windows\Cache

2009-04-12 14:24 . 2009-04-12 14:24	715	----a-w	c:\windows\unins000.dat

2009-04-12 14:14 . 2009-04-12 14:14	--------	d-s---w	c:\documents and settings\Pecet\UserData

2009-04-12 09:02 . 2009-04-12 09:02	--------	d-----w	c:\documents and settings\Pecet\.borland

2009-04-12 09:01 . 2009-04-12 09:01	--------	d-----w	c:\program files\Common Files\Borland Shared

2009-04-12 09:01 . 2009-04-12 09:01	--------	d-----w	c:\program files\Borland

2009-04-11 14:26 . 2006-03-29 14:04	42484	----a-w	c:\windows\system32\net5211.inf

2009-04-11 14:26 . 2005-12-21 08:16	470048	----a-w	c:\windows\system32\ar5211.sys

2009-04-11 14:26 . 2005-12-21 08:15	26	----a-w	c:\windows\system32\net5211.cat

2009-04-11 14:26 . 2005-12-30 06:15	36864	----a-w	c:\windows\system32\acs.exe

2009-04-11 14:26 . 2009-04-11 14:26	21275	----a-w	c:\windows\system32\drivers\AegisP.sys

2009-04-11 14:26 . 2006-03-21 07:52	249856	----a-w	c:\windows\system32\wgapi.dll

2009-04-11 14:26 . 2005-12-30 06:15	385024	----a-w	c:\windows\system32\athcfg11.dll

2009-04-11 14:26 . 2005-12-30 06:14	77824	----a-w	c:\windows\system32\athcfg11res.dll

2009-04-11 14:26 . 2005-12-30 06:10	237568	----a-w	c:\windows\system32\wcapi.dll

2009-04-11 14:26 . 2005-12-30 06:04	315392	----a-w	c:\windows\system32\AegisI5.exe

2009-04-11 14:26 . 2005-12-30 06:04	1396835	----a-w	c:\windows\system32\AegisE5.dll

2009-04-11 14:26 . 2009-04-09 18:00	110321	--sh--r	C:\1ogf.exe

2009-04-11 10:23 . 2009-04-11 10:25	--------	d-----w	c:\windows\system32\NtmsData

2009-04-11 10:05 . 2005-12-21 08:16	470048	----a-w	c:\windows\system32\drivers\ar5211.sys

2009-04-11 06:56 . 2009-04-11 07:12	--------	d-----w	c:\program files\DAEMON Tools

2009-04-11 06:55 . 2009-04-11 06:55	685816	----a-w	c:\windows\system32\drivers\sptd.sys


.

(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-04-11 14:27 . 2001-10-26 18:15	74230	----a-w	c:\windows\system32\perfc015.dat

2009-04-11 14:27 . 2001-10-26 18:15	448004	----a-w	c:\windows\system32\perfh015.dat

2009-04-11 14:26 . 2009-04-10 20:46	--------	d-----w	c:\program files\TP-LINK

2009-04-11 14:26 . 2009-04-10 20:09	--------	d--h--w	c:\program files\InstallShield Installation Information

2009-04-11 06:41 . 2009-04-10 19:48	86327	----a-w	c:\windows\pchealth\helpctr\OfflineCache\index.dat

2009-04-10 21:14 . 2004-07-17 11:36	11973	----a-w	c:\windows\system32\drivers\secdrv.sys

2009-04-10 21:12 . 2009-04-10 21:12	--------	d-----w	c:\documents and settings\Pecet\Dane aplikacji\Ahead

2009-04-10 21:11 . 2009-04-10 21:11	--------	d-----w	c:\program files\Winamp

2009-04-10 21:11 . 2009-04-10 21:11	--------	d-----w	c:\documents and settings\Pecet\Dane aplikacji\Winamp

2009-04-10 21:09 . 2009-04-10 21:09	--------	d-----w	c:\program files\Common Files\Ahead

2009-04-10 21:09 . 2009-04-10 21:09	--------	d-----w	c:\program files\Nero

2009-04-10 21:09 . 2009-04-10 21:08	--------	d-----w	c:\program files\XP Codec Pack

2009-04-10 21:08 . 2009-04-10 21:08	--------	d-----w	c:\program files\MarBit

2009-04-10 21:07 . 2009-04-10 21:07	--------	d-----w	c:\program files\Alwil Software

2009-04-10 21:05 . 2009-04-10 21:01	126830	----a-w	c:\windows\HPHins12.dat

2009-04-10 21:04 . 2009-04-10 21:04	--------	d-----w	c:\documents and settings\Pecet\Dane aplikacji\HP

2009-04-10 21:04 . 2009-04-10 20:36	--------	d-----w	c:\program files\HP

2009-04-10 21:04 . 2009-04-10 21:04	--------	d-----w	c:\documents and settings\All Users\Dane aplikacji\HP

2009-04-10 21:03 . 2009-04-10 21:03	--------	d-----w	c:\program files\Common Files\HP

2009-04-10 21:03 . 2009-04-10 21:03	--------	d-----w	c:\program files\Hewlett-Packard

2009-04-10 20:30 . 2009-04-10 20:30	--------	d-----w	c:\program files\AMD

2009-04-10 20:28 . 2009-04-10 20:28	--------	d-----w	c:\program files\Realtek Sound Manager

2009-04-10 20:28 . 2009-04-10 20:28	--------	d-----w	c:\program files\AvRack

2009-04-10 20:28 . 2009-04-10 20:08	--------	d-----w	c:\program files\Common Files\InstallShield

2009-04-10 20:24 . 2009-04-10 20:15	--------	d-----w	c:\documents and settings\Pecet\Dane aplikacji\ATI

2009-04-10 20:24 . 2009-04-10 20:24	--------	d-----w	c:\program files\ATI Technologies

2009-04-10 19:54 . 2009-04-10 19:54	12328	----a-w	c:\documents and settings\Pecet\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT

2009-04-10 19:48 . 2009-04-10 19:48	--------	d-----w	c:\program files\Usługi online

2009-04-10 19:46 . 2009-04-10 19:46	21856	----a-w	c:\windows\system32\emptyregdb.dat

2008-07-02 21:2009-04-14 14:56 01:37 .	c:\program files\mozilla firefox\components\jar50.dll

2008-07-02 21:2009-04-14 14:56 01:37 .	c:\program files\mozilla firefox\components\jsd3250.dll

2008-07-02 21:2009-04-14 14:56 01:37 .	c:\program files\mozilla firefox\components\myspell.dll

2008-07-02 21:2009-04-14 14:56 01:37 .	c:\program files\mozilla firefox\components\spellchk.dll

2008-07-02 21:2009-04-14 14:56 01:37 .	c:\program files\mozilla firefox\components\xpinstal.dll

.


((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane  

REGEDIT4


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-05-15 79224]

"TWCU"="c:\program files\TP-LINK\TWCU\TWCU.exe" [2006-03-29 364544]

"SpywareTerminator"="c:\program files\Spyware Terminator\SpywareTerminatorShield.exe" [2009-04-14 2776576]

"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-04-14 136600]

"BigDog305"="c:\windows\VM305_STI.EXE" [2005-08-05 61440]


[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]


[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]

BootExecute	REG_MULTI_SZ autocheck autochk *\[u]0[/u]


[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^HP Digital Imaging Monitor.lnk]

path=c:\documents and settings\All Users\Menu Start\Programy\Autostart\HP Digital Imaging Monitor.lnk

backup=c:\windows\pss\HP Digital Imaging Monitor.lnkCommon Startup


[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"ATI Smart"=2 (0x2)

"Ati HotKey Poller"=2 (0x2)


[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusDisableNotify"=dword:00000001

"UpdatesDisableNotify"=dword:00000001

"AntiVirusOverride"=dword:00000001


[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)


[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Skype\\Phone\\Skype.exe"=


S1 aswSP;avast! Self Protection; [x]

S1 sp_rsdrv2;Spyware Terminator Driver 2;c:\windows\system32\drivers\sp_rsdrv2.sys [2009-04-14 138624]

S2 aswFsBlk;aswFsBlk;c:\windows\system32\DRIVERS\aswFsBlk.sys [2008-05-15 20560]

S3 ZSMC0305;A4 TECH PC Camera V;c:\windows\system32\Drivers\usbVM305.sys [2006-05-08 391688]



[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2f5660e3-260e-11de-9344-d66555fb0233}]

\Shell\AutoRun\command - G:\o3n9k.com

\Shell\open\Command - G:\o3n9k.com


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c6238392-2b95-11de-937f-0019e082e6de}]

\Shell\AutoRun\command - G:\iqe68o.bat

\Shell\explore\Command - G:\iqe68o.bat

\Shell\open\Command - G:\iqe68o.bat


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cbc33916-2855-11de-9365-0019e082e6de}]

\Shell\AutoRun\command - G:\1ogf.exe

\Shell\open\Command - G:\1ogf.exe

.

- - - - USUNIĘTO PUSTE WPISY - - - -


HKCU-Run-cdoosoft - c:\windows\system32\olhrwef.exe



.

------- Skan uzupełniający -------

.

TCP: {05EC9380-4CDD-43ED-BCB8-116DF33E7686} = 10.1.19.1

FF - ProfilePath - c:\documents and settings\Pecet\Dane aplikacji\Mozilla\Firefox\Profiles\y70qknp1.default\

FF - component: c:\program files\Mozilla Firefox\components\xpinstal.dll

FF - component: c:\program files\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll

.


**************************************************************************


catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-04-19 18:40

Windows 5.1.2600 Dodatek Service Pack 2 NTFS


skanowanie ukrytych procesów ...  


skanowanie ukrytych wpisów autostartu ... 


HKLM\Software\Microsoft\Windows\CurrentVersion\Run

  BigDog305 = c:\windows\VM305_STI.EXE VIMICRO USB PC Camera (ZC0305)???????????????????0?????????@?????????????? 


skanowanie ukrytych plików ...  


skanowanie pomyślnie ukończone

ukryte pliki: 0


**************************************************************************

.

--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------


- - - - - - - > 'winlogon.exe'(608)

c:\windows\system32\Ati2evxx.dll

.

Czas ukończenia: 2009-04-19 18:41

ComboFix-quarantined-files.txt 2009-04-19 16:41


Przed: 14 017 699 840 bajtów wolnych

Po: 14 078 885 888 bajtów wolnych


198

[/code]

(Leon$) #6

Wylecz pendriva lub kartę pamięci http://www.softpedia.com/get/Security/S ... Tool.shtml

Flash Disinfector http://www.searchengines.pl/index.php?s ... ntry369724

lub format

zastosuj ATF Cleaner http://cybertrash.pl/images/tata/ATF/ATF.html

Otwórz notatnik i wklej

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

Powinno rozpocząć się usuwanie

Potem log z usuwania Combofix

:slight_smile:


(system) #7
ComboFix 09-04-19.05 - Pecet 2009-04-19 19:01.2 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1250.48.1045.18.1023.675 [GMT 2:00]

Uruchomiony z: d:\instalki\Nowy folder\ComboFix.exe

Użyto następujących komend :: d:\instalki\Nowy folder\CFScript.txt

AV: avast! antivirus 4.8.1201 [VPS 080611-1] *On-access scanning enabled* (Outdated)

 * Utworzono nowy punkt przywracania


UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA 


FILE ::

C:\[u]0[/u]xuc.com

C:\1ogf.exe

C:\husyu8n.exe

C:\qwtb.com

G:\1ogf.exe

G:\iqe68o.bat

G:\o3n9k.com

.


((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))

.


C:\[u]0[/u]xuc.com

C:\1ogf.exe

C:\husyu8n.exe

C:\qwtb.com


.

((((((((((((((((((((((((( Pliki utworzone od 2009-03-19 do 2009-04-19 )))))))))))))))))))))))))))))))

.


2009-04-18 09:51 . 2009-04-18 10:14	122	----a-w	c:\windows\WA.INI

2009-04-18 08:54 . 2005-02-02 04:51	545	----a-w	c:\windows\UC.PIF

2009-04-18 08:54 . 2005-02-02 04:51	545	----a-w	c:\windows\RAR.PIF

2009-04-18 08:54 . 2005-02-02 04:51	545	----a-w	c:\windows\PKZIP.PIF

2009-04-18 08:54 . 2005-02-02 04:51	545	----a-w	c:\windows\PKUNZIP.PIF

2009-04-18 08:54 . 2005-02-02 04:51	545	----a-w	c:\windows\NOCLOSE.PIF

2009-04-18 08:54 . 2005-02-02 04:51	545	----a-w	c:\windows\LHA.PIF

2009-04-18 08:54 . 2005-02-02 04:51	545	----a-w	c:\windows\ARJ.PIF

2009-04-18 08:54 . 2009-04-18 08:55	335	----a-w	c:\windows\wincmd.ini

2009-04-18 08:54 . 2009-04-18 08:54	--------	d-----w	C:\totalcmd

2009-04-16 17:39 . 2006-09-13 16:19	159232	----a-w	c:\windows\system32\ptpusd.dll

2009-04-16 17:39 . 2006-09-13 16:19	15104	----a-w	c:\windows\system32\drivers\usbscan.sys

2009-04-16 17:39 . 2006-09-13 16:17	5632	----a-w	c:\windows\system32\ptpusb.dll

2009-04-14 20:52 . 2009-04-14 20:51	73728	----a-w	c:\windows\system32\javacpl.cpl

2009-04-14 20:52 . 2009-04-14 20:51	410984	----a-w	c:\windows\system32\deploytk.dll

2009-04-14 20:51 . 2009-04-14 20:51	--------	d-----w	c:\program files\Java

2009-04-14 17:52 . 2009-04-14 17:52	45	---h--w	c:\windows\dsez1077.dat

2009-04-14 17:52 . 2009-04-14 17:57	--------	d-----w	c:\program files\PhotoFiltre Studio

2009-04-14 15:19 . 2009-04-14 15:19	138624	----a-w	c:\windows\system32\drivers\sp_rsdrv2.sys

2009-04-14 15:16 . 2009-04-14 15:16	--------	d-----w	c:\documents and settings\All Users\Dane aplikacji\Spyware Terminator

2009-04-14 15:16 . 2009-04-19 16:46	--------	d-----w	c:\program files\Spyware Terminator

2009-04-14 15:12 . 2009-04-14 15:12	56	---ha-w	c:\windows\system32\ezsidmv.dat

2009-04-14 15:12 . 2009-04-18 14:55	--------	d-----w	c:\documents and settings\Pecet\Dane aplikacji\skypePM

2009-04-14 15:10 . 2009-04-18 15:26	--------	d-----w	c:\documents and settings\Pecet\Dane aplikacji\Skype

2009-04-14 15:10 . 2009-04-14 15:10	--------	d-----w	c:\program files\Skype

2009-04-14 15:10 . 2009-04-14 15:10	--------	d-----w	c:\program files\Common Files\Skype

2009-04-14 15:10 . 2009-04-14 15:10	--------	d-----w	c:\documents and settings\All Users\Dane aplikacji\Skype

2009-04-14 15:00 . 2009-04-14 15:00	0	----a-w	c:\windows\nsreg.dat

2009-04-14 15:00 . 2009-04-14 15:00	--------	d-----w	c:\documents and settings\Pecet\Ustawienia lokalne\Dane aplikacji\Mozilla

2009-04-14 14:58 . 2009-04-14 14:58	--------	d-----w	c:\documents and settings\Pecet\Dane aplikacji\Gadu-Gadu

2009-04-14 14:57 . 2009-04-14 14:58	--------	d-----w	c:\documents and settings\Pecet\Gadu-Gadu

2009-04-14 14:57 . 2009-04-14 14:57	--------	d-----w	c:\program files\Gadu-Gadu

2009-04-14 13:31 . 2009-04-14 13:31	1594540	----a-w	c:\windows\WANEUninstaller.exe

2009-04-14 13:28 . 2009-04-14 13:28	--------	d-----w	C:\Games

2009-04-13 21:54 . 2009-04-13 21:54	69	----a-w	c:\windows\NeroDigital.ini

2009-04-12 14:32 . 2009-04-12 14:32	--------	d-----w	c:\documents and settings\Pecet\Ustawienia lokalne\Dane aplikacji\Adobe

2009-04-12 14:30 . 2009-04-12 14:52	--------	d-----w	c:\documents and settings\Pecet\Dane aplikacji\Lavasoft

2009-04-12 14:26 . 2009-04-12 14:32	--------	d-----w	c:\program files\Common Files\Adobe

2009-04-12 14:25 . 2009-04-12 14:25	--------	d-----w	c:\windows\Cache

2009-04-12 14:24 . 2009-04-12 14:24	715	----a-w	c:\windows\unins000.dat

2009-04-12 14:14 . 2009-04-12 14:14	--------	d-s---w	c:\documents and settings\Pecet\UserData

2009-04-12 09:02 . 2009-04-12 09:02	--------	d-----w	c:\documents and settings\Pecet\.borland

2009-04-12 09:01 . 2009-04-12 09:01	--------	d-----w	c:\program files\Common Files\Borland Shared

2009-04-12 09:01 . 2009-04-12 09:01	--------	d-----w	c:\program files\Borland

2009-04-11 14:26 . 2006-03-29 14:04	42484	----a-w	c:\windows\system32\net5211.inf

2009-04-11 14:26 . 2005-12-21 08:16	470048	----a-w	c:\windows\system32\ar5211.sys

2009-04-11 14:26 . 2005-12-21 08:15	26	----a-w	c:\windows\system32\net5211.cat

2009-04-11 14:26 . 2005-12-30 06:15	36864	----a-w	c:\windows\system32\acs.exe

2009-04-11 14:26 . 2009-04-11 14:26	21275	----a-w	c:\windows\system32\drivers\AegisP.sys

2009-04-11 14:26 . 2006-03-21 07:52	249856	----a-w	c:\windows\system32\wgapi.dll

2009-04-11 14:26 . 2005-12-30 06:15	385024	----a-w	c:\windows\system32\athcfg11.dll

2009-04-11 14:26 . 2005-12-30 06:14	77824	----a-w	c:\windows\system32\athcfg11res.dll

2009-04-11 14:26 . 2005-12-30 06:10	237568	----a-w	c:\windows\system32\wcapi.dll

2009-04-11 14:26 . 2005-12-30 06:04	315392	----a-w	c:\windows\system32\AegisI5.exe

2009-04-11 14:26 . 2005-12-30 06:04	1396835	----a-w	c:\windows\system32\AegisE5.dll

2009-04-11 10:23 . 2009-04-11 10:25	--------	d-----w	c:\windows\system32\NtmsData

2009-04-11 10:05 . 2005-12-21 08:16	470048	----a-w	c:\windows\system32\drivers\ar5211.sys

2009-04-11 06:56 . 2009-04-11 07:12	--------	d-----w	c:\program files\DAEMON Tools

2009-04-11 06:55 . 2009-04-11 06:55	685816	----a-w	c:\windows\system32\drivers\sptd.sys


.

(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-04-11 14:27 . 2001-10-26 18:15	74230	----a-w	c:\windows\system32\perfc015.dat

2009-04-11 14:27 . 2001-10-26 18:15	448004	----a-w	c:\windows\system32\perfh015.dat

2009-04-11 14:26 . 2009-04-10 20:46	--------	d-----w	c:\program files\TP-LINK

2009-04-11 14:26 . 2009-04-10 20:09	--------	d--h--w	c:\program files\InstallShield Installation Information

2009-04-11 06:41 . 2009-04-10 19:48	86327	----a-w	c:\windows\pchealth\helpctr\OfflineCache\index.dat

2009-04-10 21:14 . 2004-07-17 11:36	11973	----a-w	c:\windows\system32\drivers\secdrv.sys

2009-04-10 21:12 . 2009-04-10 21:12	--------	d-----w	c:\documents and settings\Pecet\Dane aplikacji\Ahead

2009-04-10 21:11 . 2009-04-10 21:11	--------	d-----w	c:\program files\Winamp

2009-04-10 21:11 . 2009-04-10 21:11	--------	d-----w	c:\documents and settings\Pecet\Dane aplikacji\Winamp

2009-04-10 21:09 . 2009-04-10 21:09	--------	d-----w	c:\program files\Common Files\Ahead

2009-04-10 21:09 . 2009-04-10 21:09	--------	d-----w	c:\program files\Nero

2009-04-10 21:09 . 2009-04-10 21:08	--------	d-----w	c:\program files\XP Codec Pack

2009-04-10 21:08 . 2009-04-10 21:08	--------	d-----w	c:\program files\MarBit

2009-04-10 21:07 . 2009-04-10 21:07	--------	d-----w	c:\program files\Alwil Software

2009-04-10 21:05 . 2009-04-10 21:01	126830	----a-w	c:\windows\HPHins12.dat

2009-04-10 21:04 . 2009-04-10 21:04	--------	d-----w	c:\documents and settings\Pecet\Dane aplikacji\HP

2009-04-10 21:04 . 2009-04-10 20:36	--------	d-----w	c:\program files\HP

2009-04-10 21:04 . 2009-04-10 21:04	--------	d-----w	c:\documents and settings\All Users\Dane aplikacji\HP

2009-04-10 21:03 . 2009-04-10 21:03	--------	d-----w	c:\program files\Common Files\HP

2009-04-10 21:03 . 2009-04-10 21:03	--------	d-----w	c:\program files\Hewlett-Packard

2009-04-10 20:30 . 2009-04-10 20:30	--------	d-----w	c:\program files\AMD

2009-04-10 20:28 . 2009-04-10 20:28	--------	d-----w	c:\program files\Realtek Sound Manager

2009-04-10 20:28 . 2009-04-10 20:28	--------	d-----w	c:\program files\AvRack

2009-04-10 20:28 . 2009-04-10 20:08	--------	d-----w	c:\program files\Common Files\InstallShield

2009-04-10 20:24 . 2009-04-10 20:15	--------	d-----w	c:\documents and settings\Pecet\Dane aplikacji\ATI

2009-04-10 20:24 . 2009-04-10 20:24	--------	d-----w	c:\program files\ATI Technologies

2009-04-10 19:54 . 2009-04-10 19:54	12328	----a-w	c:\documents and settings\Pecet\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT

2009-04-10 19:48 . 2009-04-10 19:48	--------	d-----w	c:\program files\Usługi online

2009-04-10 19:46 . 2009-04-10 19:46	21856	----a-w	c:\windows\system32\emptyregdb.dat

2008-07-02 21:2009-04-14 14:56 01:37 .	c:\program files\mozilla firefox\components\jar50.dll

2008-07-02 21:2009-04-14 14:56 01:37 .	c:\program files\mozilla firefox\components\jsd3250.dll

2008-07-02 21:2009-04-14 14:56 01:37 .	c:\program files\mozilla firefox\components\myspell.dll

2008-07-02 21:2009-04-14 14:56 01:37 .	c:\program files\mozilla firefox\components\spellchk.dll

2008-07-02 21:2009-04-14 14:56 01:37 .	c:\program files\mozilla firefox\components\xpinstal.dll

.


((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane  

REGEDIT4


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-05-15 79224]

"TWCU"="c:\program files\TP-LINK\TWCU\TWCU.exe" [2006-03-29 364544]

"SpywareTerminator"="c:\program files\Spyware Terminator\SpywareTerminatorShield.exe" [2009-04-14 2776576]

"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-04-14 136600]

"BigDog305"="c:\windows\VM305_STI.EXE" [2005-08-05 61440]


[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]


[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]

BootExecute	REG_MULTI_SZ autocheck autochk *\[u]0[/u]


[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^HP Digital Imaging Monitor.lnk]

path=c:\documents and settings\All Users\Menu Start\Programy\Autostart\HP Digital Imaging Monitor.lnk

backup=c:\windows\pss\HP Digital Imaging Monitor.lnkCommon Startup


[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"ATI Smart"=2 (0x2)

"Ati HotKey Poller"=2 (0x2)


[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)


[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Skype\\Phone\\Skype.exe"=


S1 aswSP;avast! Self Protection; [x]

S1 sp_rsdrv2;Spyware Terminator Driver 2;c:\windows\system32\drivers\sp_rsdrv2.sys [2009-04-14 138624]

S2 aswFsBlk;aswFsBlk;c:\windows\system32\DRIVERS\aswFsBlk.sys [2008-05-15 20560]

S3 ZSMC0305;A4 TECH PC Camera V;c:\windows\system32\Drivers\usbVM305.sys [2006-05-08 391688]


.

.

------- Skan uzupełniający -------

.

TCP: {05EC9380-4CDD-43ED-BCB8-116DF33E7686} = 10.1.19.1

FF - ProfilePath - c:\documents and settings\Pecet\Dane aplikacji\Mozilla\Firefox\Profiles\y70qknp1.default\

FF - component: c:\program files\Mozilla Firefox\components\xpinstal.dll

FF - component: c:\program files\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll

.


**************************************************************************


catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-04-19 19:02

Windows 5.1.2600 Dodatek Service Pack 2 NTFS


skanowanie ukrytych procesów ...  


skanowanie ukrytych wpisów autostartu ... 


HKLM\Software\Microsoft\Windows\CurrentVersion\Run

  BigDog305 = c:\windows\VM305_STI.EXE VIMICRO USB PC Camera (ZC0305)???????????????????0?????????@?????????????? 


skanowanie ukrytych plików ...  


skanowanie pomyślnie ukończone

ukryte pliki: 0


**************************************************************************

.

--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------


- - - - - - - > 'winlogon.exe'(608)

c:\windows\system32\Ati2evxx.dll

.

Czas ukończenia: 2009-04-19 19:03

ComboFix-quarantined-files.txt 2009-04-19 17:03

ComboFix2.txt 2009-04-19 16:41


Przed: 14 122 889 216 bajtów wolnych

Po: 14 115 262 464 bajtów wolnych


183

[/code]

(Leon$) #8

Log wygląda na czysty

Pobierz CCleaner http://www.filehippo.com/download_ccleaner/

przeskanuj nim i wyczyść rejestr.

zrób optymalizacje uruchamiania

http://cybertrash.netarteria.pl/cyber/i ... 378.0.html

usuń ręcznie folder C: \Qoobox usuń instalkę Combofix z dysku.

Wyłącz I włącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

przeskanuj obszar Mój komputer http://www.kaspersky.pl/virusscanner.html gdy będą wirusy pokaż raport

:slight_smile:


(system) #9

ok dzięki :slight_smile:

-- Dodane 19.04.2009 (N) 22:02 --

a mam jeszcze pytanie : zniknęło mi autoodtwarzanie z płyt i dysków wymiennych, jak mogę to przywrócić? próbowałem w rejestrze i w gpedit.msc i nic nie pomogło...


(system) #10

-- Dodane 19.04.2009 (N) 22:02 --

a mam jeszcze pytanie : zniknęło mi autoodtwarzanie z płyt i dysków wymiennych, jak mogę to przywrócić? próbowałem w rejestrze i w gpedit.msc i nic nie pomogło...


(system) #11

Bardzo dziwne, ponieważ mam na bieżąco aktualizowany Windows, a autoodtwarzanie działa bezproblemowo.

A tak na poważnie, to ComboFix wprowadza te restrykcje, zaś Microsoft udostępnia narzędzie Autoplay Repair Wizard pozwalające naprawić niedziałające autoodtwarzanie.

KLIF.SYS to sterownik Kasperskiego, co wskazuje na pozostałości w systemie po nim, użyj narzędzia KAVremover w celu usunięcia pozostałości po Kasperskym.


(system) #12

dzięki za pomoc :smiley: