Problem z ukrytymi plikami


(system) #1

czesc mam problem z ukrytymi plikami tzn. nie moge ich zobaczyc nawet po tym jak ustawie w narzedziach "pokaz ukryte pliki"

wklejam log z DSS

http://www.wklej.org/id/96368461f9


(Ktrojanek) #2

odznacz opcję "Ukryj chronione pliku systemowe" czy jakoś tak... jest dwie albo 3 pozycje pod tym co Ty mówisz o ukrywaniu plików :slight_smile:

Pozdrawiam


(system) #3

Nie chodzi o pliki chronione tylko o pliki ukryte ktore mam na dyskach nie moge ich zobaczyc


(jessica) #4

To się tak dzieje z powodu infekcji z pendrive. Godzillę chyba usunąłeś, ale teraz masz tam inne infekcje.

Ściągnij -->ComboFix

Wklej do Notatnika :

File::

C:\8ng8w.com

C:\WINDOWS\system32\amvo0.dll

C:\*0hct8ybw.bat 

C:\ylr.exe 

C:\juok3st.bat 

C:\WINDOWS\system32\amvo.exe

F:\ylr.exe

D:\8ng8w.com

C:\8ng8w.com

F:\8ng8w.com

F:\ylr.exe

I:\qd.cmd

X:\amvo0.dll

X:\*0hct8ybw.bat 

X:\ylr.exe 

X:\juok3st.bat 

X:\amvo.exe

X:\8ng8w.com

X:\qd.cmd


Registry::

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"MS32DLL"=-

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 

"amva"=-

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0bdf3603-7b07-11dc-8257-000ae4e1c474}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0bdf3604-7b07-11dc-8257-000ae4e1c474}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3a57834e-ae1a-11dc-828a-a7cbaaef5cd3}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6f44b158-d304-11dc-82c3-d855f163cedd}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7802f1e7-8026-11dc-825d-fa1c577cd7f1}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9650f8c2-b632-11dc-8296-c0b2b5d71adc}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b0d6d8f3-7a9f-11dc-a5aa-806d6172696f}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b0d6d8f4-7a9f-11dc-a5aa-806d6172696f}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b1345576-986e-11dc-8275-e6c6670db7de}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c954df56-dedf-11dc-82df-0014a41c9b61}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e78a56a2-b3d5-11dc-8292-a6e0af02d1df}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{eacd8329-c99e-11dc-82b2-000ae4e1c474}]

Uwaga: Po wklejeniu do Notatnika usuń * gwiazdki z tekstu!

Pod X podstaw literę pod jaką aktualnie będzie widziany pen (to się oczywiście zmienia przy podpinaniu).

>>Plik>>Zapisz jako... >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

– podobnie jak na tym obrazku -->88953CFScript-createdbyMiekiemoes.gif

Ma się rozpocząć usuwanie. (i powstanie log).

Daj ten log, który powstanie w trakcie usuwania.

Uwaga: ComboFix powoduje utratę internetu. Trzeba po prostu zrestartować komputer.

jessi


(system) #5

to jest log z CF

http://wklej.org/id/1f095eaea3


(jessica) #6

Wklej do Notatnika :

File::

C:\gumkrhf.bat 

C:\8ng8w.com

C:\*0hct8ybw.bat

C:\ylr.exe

F:\ylr.exe

F:\8ng8w.com 

X:\activexdebugger32.exe

X:\ylr.exe

X:\8ng8w.com

X:\*0hct8ybw.bat

X:\autorun.inf

X:\gumkrhf.bat 


Registry::

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0bdf3604-7b07-11dc-8257-000ae4e1c474}] 

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3a57834e-ae1a-11dc-828a-a7cbaaef5cd3}] 

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6f44b158-d304-11dc-82c3-d855f163cedd}] 

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7802f1e7-8026-11dc-825d-fa1c577cd7f1}] 

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9650f8c2-b632-11dc-8296-c0b2b5d71adc}] 

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e78a56a2-b3d5-11dc-8292-a6e0af02d1df}]

Uwaga: Po wklejeniu do Notatnika usuń * gwiazdki z tekstu!

Pod X podstaw literę pod jaką aktualnie będzie widziany pen (to się oczywiście zmienia przy podpinaniu).

>>Plik>>Zapisz jako... >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

– podobnie jak na tym obrazku -->88953CFScript-createdbyMiekiemoes.gif

Ma się rozpocząć usuwanie. (i powstanie log). Daj ten log, który powstanie w trakcie usuwania.

Jeśli pójdzie dobrze, to: Po restarcie usuń ręcznie folder C:**** Qoobox.

Sprawdź je na -- http://virusscan.jotti.org/

albo na http://www.virustotal.com/en/indexf.html.

jessi


(system) #7

oto i on

http://wklej.org/id/9b4575ed79


(jessica) #8

Wklej do Notatnika :

File::

C:\WINDOWS\system32\tmpC4EBE.FOT

C:\WINDOWS\system32\tmp25493.FOT

C:\[u]0[/u]hct8ybw.bat

C:\*0hct8ybw.bat

Uwaga: Po wklejeniu do Notatnika usuń * gwiazdki z tekstu!

>>Plik>>Zapisz jako... >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

– podobnie jak na tym obrazku -->88953CFScript-createdbyMiekiemoes.gif

Ma się rozpocząć usuwanie. (i powstanie log). Daj ten log, który powstanie w trakcie usuwania.

Jeśli pójdzie dobrze, to: Po restarcie usuń ręcznie folder C: **** Qoobox.

Nie napisałeś o wyniku sprawdzania.

Tego drugiego usunął już samoczynnie ComboFix.

jessi


(system) #9

To jest wynik:

C:\WINDOWS\taskmon.exe

Plik taskmon.exe otrzymany 2008.02.19 22:45:49 (CET)

Obecny status: zakończono

Wynik: 12/32 (37.50%)

Zwięzły Drukuj wyniki

Antywirus Wersja Ostatnia aktualizacja Wynik

AhnLab-V3 2008.2.20.0 2008.02.19 -

AntiVir 7.6.0.67 2008.02.19 TR/Spy.Gen

Authentium 4.93.8 2008.02.19 -

Avast 4.7.1098.0 2008.02.18 -

AVG 7.5.0.516 2008.02.19 Generic9.BBVE

BitDefender 7.2 2008.02.19 Trojan.Peed.IYS

CAT-QuickHeal 9.50 2008.02.18 (Suspicious) - DNAScan

ClamAV 0.92.1 2008.02.19 -

DrWeb 4.44.0.09170 2008.02.19 -

eSafe 7.0.15.0 2008.02.17 -

eTrust-Vet 31.3.5548 2008.02.19 -

Ewido 4.0 2008.02.19 -

FileAdvisor 1 2008.02.19 -

Fortinet 3.14.0.0 2008.02.19 W32/Dorf.F!worm

F-Prot 4.4.2.54 2008.02.18 -

F-Secure 6.70.13260.0 2008.02.19 Suspicious:W32/Malware!Gemini

Ikarus T3.1.1.20 2008.02.19 Trojan-Spy

Kaspersky 7.0.0.125 2008.02.19 -

McAfee 5232 2008.02.18 -

Microsoft 1.3204 2008.02.19 -

NOD32v2 2886 2008.02.19 probably unknown NewHeur_PE virus

Norman 5.80.02 2008.02.19 -

Panda 9.0.0.4 2008.02.19 Suspicious file

Prevx1 V2 2008.02.19 Heuristic: Suspicious File With Outbound Communications

Rising 20.32.12.00 2008.02.19 -

Sophos 4.26.0 2008.02.19 Mal/Heuri-E

Sunbelt 3.0.884.0 2008.02.19 -

Symantec 10 2008.02.19 -

TheHacker 6.2.9.224 2008.02.19 -

VBA32 3.12.6.1 2008.02.17 -

VirusBuster 4.3.26:9 2008.02.19 -

Webwasher-Gateway 6.6.2 2008.02.19 Trojan.Spy.Gen

Dodatkowe informacje

File size: 41984 bytes

MD5: fa5025741984a5abec12cf5f9599431a

SHA1: fd2e05dd2e9a60529e336851e2b20da8d1f63097

PEiD: -

Prevx info: http://info.prevx.com/aboutprogramtext. ... 0030E1582A


(jessica) #10

Wynik niejednoznaczny, ale u mnie tego pliku nie ma, a u Ciebie zainstalował się wczoraj wieczorem.

Usuwamy go.

Zmień Script:

File::

C:\WINDOWS\system32\tmpC4EBE.FOT

C:\WINDOWS\system32\tmp25493.FOT

C:\[u]0[/u]hct8ybw.bat

C:\*0hct8ybw.bat

C:\WINDOWS\taskmon.exe


Registry::

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"taskmon"=-

Reszta postępowania - bez zmian.

jessi


(system) #11

ok, zaraz zrobie to ponownie

poniżej poprzedni log

ComboFix 08-02-20.2 - robert 2008-02-20 18:43:00.3 - FAT32 x86

Running from: C:\Documents and Settings\robert\Pulpit\ComboFix.exe

Command switches used :: C:\Documents and Settings\robert\Pulpit\CFScript.txt

* Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED!!

FILE ::

C:\0hct8ybw.bat

C:\0hct8ybw.bat

C:\WINDOWS\system32\tmp25493.FOT

C:\WINDOWS\system32\tmpC4EBE.FOT

.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\0hct8ybw.bat

C:\Autorun.inf

C:\WINDOWS\system32\tmp25493.FOT

C:\WINDOWS\system32\tmpC4EBE.FOT

D:\Autorun.inf

.

((((((((((((((((((((((((( Files Created from 2008-01-20 to 2008-02-20 )))))))))))))))))))))))))))))))

.

2008-02-19 20:27 . 2008-02-19 20:27 41,984 -rahs---- C:\WINDOWS\taskmon.exe

2008-02-19 13:33 . 2008-02-19 13:33

2008-02-19 13:29 . 2008-02-19 13:29

2008-02-18 15:44 . 2008-02-18 15:44

2008-02-17 11:37 . 2008-02-17 11:37

2008-02-16 09:51 . 2008-02-16 09:51

2008-02-15 16:01 . 2008-02-15 16:01

2008-02-15 16:00 . 2007-07-12 02:22 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl

2008-02-15 15:59 . 2008-02-15 15:59

2008-02-15 15:57 . 2008-02-15 15:57

2008-02-14 16:48 . 2008-02-14 16:49

2008-02-14 08:51 . 2003-12-08 11:53 70,688 --a------ C:\WINDOWS\system32\drivers\alcaudsl.sys

2008-02-14 08:51 . 2003-12-08 11:53 53,600 --a------ C:\WINDOWS\system32\drivers\alcan5wn.sys

2008-02-14 08:51 . 2003-12-08 11:53 5,606 --a------ C:\WINDOWS\system32\stci.dll

2008-02-14 08:51 . 2003-12-08 11:53 5,280 --a------ C:\WINDOWS\system32\drivers\alcawh.sys

2008-02-14 08:51 . 2003-12-08 11:53 3,968 --a------ C:\WINDOWS\system32\drivers\alcacr.sys

2008-02-14 08:43 . 2003-10-16 19:07 32,768 --a------ C:\WINDOWS\system32\WooDial2000.dll

2008-02-14 08:35 . 2008-02-14 08:35

2008-02-04 14:07 . 2008-02-04 14:07

2008-01-30 20:46 . 2008-01-30 20:46 7,168 --ahs---- C:\WINDOWS\Thumbs.db

2008-01-26 10:44 . 2008-01-26 10:44

2008-01-21 18:06 . 2008-01-21 18:06

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-01-17 21:56 --------- d-----w C:\Program Files\Google

2008-01-17 21:46 --------- d-----w C:\Program Files\SkanerOnline

2008-01-17 21:43 --------- d-----w C:\Program Files\uTorrent

2008-01-17 21:43 --------- d-----w C:\Documents and Settings\robert\Dane aplikacji\uTorrent

2008-01-05 09:16 --------- d-----w C:\Program Files\eMule

2007-12-04 13:04 837,496 ----a-w C:\WINDOWS\system32\aswBoot.exe

2007-12-04 12:54 95,608 ----a-w C:\WINDOWS\system32\AVASTSS.scr

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries legit default entries are not shown

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 22:44 15360]

"swg"="C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe" [2008-01-17 22:56 171448]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Broadcom Wireless Manager UI"="C:\WINDOWS\system32\WLTRAY" []

"ccApp"="C:\Program Files\Common Files\Symantec Shared\ccApp.exe" [2005-09-17 09:27 52848]

"SoundMan"="SOUNDMAN.EXE" [2005-04-15 05:01 77824 C:\WINDOWS\SOUNDMAN.EXE]

"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2005-01-23 04:36 155648]

"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2005-01-23 04:31 126976]

"ACU"="C:\Program Files\Atheros\ACU.exe" [2005-01-31 08:05 253952]

"Acrobat Assistant 7.0"="C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2004-12-14 02:12 483328]

"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]

"HumMeteringClient"="C:\Program Files\Hummingbird\Connectivity\9.00\Accessories\MeteringClient.dll" [2003-08-01 23:40 167936]

"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224]

"WooCnxMon"="C:\PROGRA~1\NEOSTR~1\CnxMon.exe" [2003-10-16 19:07 24576]

"SpeedTouch USB Diagnostics"="C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" [2004-01-26 11:38 866816]

"WOOWATCH"="C:\PROGRA~1\NEOSTR~1\Watch.exe" [2003-10-16 19:07 20480]

"WOOTASKBARICON"="C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe" [2003-10-16 19:07 53248]

"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 04:00 132496]

"taskmon"="C:\WINDOWS\taskmon.exe" [2008-02-19 20:27 41984]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-03 22:44 15360]

C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\

Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office\OSA9.EXE [1999-02-17 21:05:56 65588]

Adobe Acrobat Speed Launcher.lnk - C:\WINDOWS\Installer{AC76BA86-1033-F400-7760-000000000002}\SC_Acrobat.exe [2007-10-15 12:22:33 25214]

Przyspieszenie uruchomienia programu AutoCAD.lnk - C:\Program Files\Common Files\Autodesk Shared\acstart16.exe [2004-02-25 01:35:22 10872]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{0bdf3602-7b07-11dc-8257-000ae4e1c474}]

\Shell\AutoRun\command - G:\LaunchU3.exe -a

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{7802f1e8-8026-11dc-825d-fa1c577cd7f1}]

\Shell\AutoRun\command - F:\LaunchU3.exe

.

**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-02-20 18:47:21

Windows 5.1.2600 Dodatek Service Pack 2 FAT NTAPI

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully

hidden files: 0

**************************************************************************

.

Completion time: 2008-02-20 18:49:58

ComboFix2.txt 2008-02-20 16:28:24

ComboFix-quarantined-files.txt 2008-02-20 17:49:52


(system) #12

pomyłka

http://www.wklej.org/id/988ff85c65


(system) #13

to ostatni log

http://wklej.org/id/e0f3ad9923


(system) #14

po tych wszystkich operacjach komputer bardzo wolno uruchamia wszystkie programy. Co się stało????


(jessica) #15

Log jest czysty, więc nie widzę żadnego powodu "mulenia".

Opróżnij foldery TEMP np. przy pomocy ATF Cleaner >>http://www.searchengines.pl/index.php?showtopic=13278&st=0&p=138520

jessi