czesc mam problem z ukrytymi plikami tzn. nie moge ich zobaczyc nawet po tym jak ustawie w narzedziach “pokaz ukryte pliki”
wklejam log z DSS
czesc mam problem z ukrytymi plikami tzn. nie moge ich zobaczyc nawet po tym jak ustawie w narzedziach “pokaz ukryte pliki”
wklejam log z DSS
odznacz opcję “Ukryj chronione pliku systemowe” czy jakoś tak… jest dwie albo 3 pozycje pod tym co Ty mówisz o ukrywaniu plików
Pozdrawiam
Nie chodzi o pliki chronione tylko o pliki ukryte ktore mam na dyskach nie moge ich zobaczyc
To się tak dzieje z powodu infekcji z pendrive. Godzillę chyba usunąłeś, ale teraz masz tam inne infekcje.
Ściągnij -->ComboFix
Wklej do Notatnika :
File::
C:\8ng8w.com
C:\WINDOWS\system32\amvo0.dll
C:\*0hct8ybw.bat
C:\ylr.exe
C:\juok3st.bat
C:\WINDOWS\system32\amvo.exe
F:\ylr.exe
D:\8ng8w.com
C:\8ng8w.com
F:\8ng8w.com
F:\ylr.exe
I:\qd.cmd
X:\amvo0.dll
X:\*0hct8ybw.bat
X:\ylr.exe
X:\juok3st.bat
X:\amvo.exe
X:\8ng8w.com
X:\qd.cmd
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MS32DLL"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"amva"=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0bdf3603-7b07-11dc-8257-000ae4e1c474}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0bdf3604-7b07-11dc-8257-000ae4e1c474}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3a57834e-ae1a-11dc-828a-a7cbaaef5cd3}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6f44b158-d304-11dc-82c3-d855f163cedd}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7802f1e7-8026-11dc-825d-fa1c577cd7f1}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9650f8c2-b632-11dc-8296-c0b2b5d71adc}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b0d6d8f3-7a9f-11dc-a5aa-806d6172696f}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b0d6d8f4-7a9f-11dc-a5aa-806d6172696f}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b1345576-986e-11dc-8275-e6c6670db7de}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c954df56-dedf-11dc-82df-0014a41c9b61}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e78a56a2-b3d5-11dc-8292-a6e0af02d1df}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{eacd8329-c99e-11dc-82b2-000ae4e1c474}]
Uwaga: Po wklejeniu do Notatnika usuń * gwiazdki z tekstu!
Pod X podstaw literę pod jaką aktualnie będzie widziany pen (to się oczywiście zmienia przy podpinaniu).
>>Plik>>Zapisz jako… >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
– podobnie jak na tym obrazku –>
Ma się rozpocząć usuwanie. (i powstanie log).
Daj ten log, który powstanie w trakcie usuwania.
Uwaga: ComboFix powoduje utratę internetu. Trzeba po prostu zrestartować komputer.
jessi
Wklej do Notatnika :
File::
C:\gumkrhf.bat
C:\8ng8w.com
C:\*0hct8ybw.bat
C:\ylr.exe
F:\ylr.exe
F:\8ng8w.com
X:\activexdebugger32.exe
X:\ylr.exe
X:\8ng8w.com
X:\*0hct8ybw.bat
X:\autorun.inf
X:\gumkrhf.bat
Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0bdf3604-7b07-11dc-8257-000ae4e1c474}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3a57834e-ae1a-11dc-828a-a7cbaaef5cd3}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6f44b158-d304-11dc-82c3-d855f163cedd}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7802f1e7-8026-11dc-825d-fa1c577cd7f1}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9650f8c2-b632-11dc-8296-c0b2b5d71adc}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e78a56a2-b3d5-11dc-8292-a6e0af02d1df}]
Uwaga: Po wklejeniu do Notatnika usuń * gwiazdki z tekstu!
Pod X podstaw literę pod jaką aktualnie będzie widziany pen (to się oczywiście zmienia przy podpinaniu).
>>Plik>>Zapisz jako… >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
– podobnie jak na tym obrazku –>
Ma się rozpocząć usuwanie. (i powstanie log). Daj ten log, który powstanie w trakcie usuwania.
Jeśli pójdzie dobrze, to: Po restarcie usuń ręcznie folder C:** Qoobox**.
Sprawdź je na – http://virusscan.jotti.org/
albo na http://www.virustotal.com/en/indexf.html.
jessi
Wklej do Notatnika :
File::
C:\WINDOWS\system32\tmpC4EBE.FOT
C:\WINDOWS\system32\tmp25493.FOT
C:\[u]0[/u]hct8ybw.bat
C:\*0hct8ybw.bat
Uwaga: Po wklejeniu do Notatnika usuń * gwiazdki z tekstu!
>>Plik>>Zapisz jako… >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
– podobnie jak na tym obrazku –>
Ma się rozpocząć usuwanie. (i powstanie log). Daj ten log, który powstanie w trakcie usuwania.
Jeśli pójdzie dobrze, to: Po restarcie usuń ręcznie folder C: ** Qoobox**.
Nie napisałeś o wyniku sprawdzania.
Tego drugiego usunął już samoczynnie ComboFix.
jessi
To jest wynik:
C:\WINDOWS\taskmon.exe
Plik taskmon.exe otrzymany 2008.02.19 22:45:49 (CET)
Obecny status: zakończono
Wynik: 12/32 (37.50%)
Zwięzły Drukuj wyniki
Antywirus Wersja Ostatnia aktualizacja Wynik
AhnLab-V3 2008.2.20.0 2008.02.19 -
AntiVir 7.6.0.67 2008.02.19 TR/Spy.Gen
Authentium 4.93.8 2008.02.19 -
Avast 4.7.1098.0 2008.02.18 -
AVG 7.5.0.516 2008.02.19 Generic9.BBVE
BitDefender 7.2 2008.02.19 Trojan.Peed.IYS
CAT-QuickHeal 9.50 2008.02.18 (Suspicious) - DNAScan
ClamAV 0.92.1 2008.02.19 -
DrWeb 4.44.0.09170 2008.02.19 -
eSafe 7.0.15.0 2008.02.17 -
eTrust-Vet 31.3.5548 2008.02.19 -
Ewido 4.0 2008.02.19 -
FileAdvisor 1 2008.02.19 -
Fortinet 3.14.0.0 2008.02.19 W32/Dorf.F!worm
F-Prot 4.4.2.54 2008.02.18 -
F-Secure 6.70.13260.0 2008.02.19 Suspicious:W32/Malware!Gemini
Ikarus T3.1.1.20 2008.02.19 Trojan-Spy
Kaspersky 7.0.0.125 2008.02.19 -
McAfee 5232 2008.02.18 -
Microsoft 1.3204 2008.02.19 -
NOD32v2 2886 2008.02.19 probably unknown NewHeur_PE virus
Norman 5.80.02 2008.02.19 -
Panda 9.0.0.4 2008.02.19 Suspicious file
Prevx1 V2 2008.02.19 Heuristic: Suspicious File With Outbound Communications
Rising 20.32.12.00 2008.02.19 -
Sophos 4.26.0 2008.02.19 Mal/Heuri-E
Sunbelt 3.0.884.0 2008.02.19 -
Symantec 10 2008.02.19 -
TheHacker 6.2.9.224 2008.02.19 -
VBA32 3.12.6.1 2008.02.17 -
VirusBuster 4.3.26:9 2008.02.19 -
Webwasher-Gateway 6.6.2 2008.02.19 Trojan.Spy.Gen
Dodatkowe informacje
File size: 41984 bytes
MD5: fa5025741984a5abec12cf5f9599431a
SHA1: fd2e05dd2e9a60529e336851e2b20da8d1f63097
PEiD: -
Prevx info: http://info.prevx.com/aboutprogramtext. … 0030E1582A
Wynik niejednoznaczny, ale u mnie tego pliku nie ma, a u Ciebie zainstalował się wczoraj wieczorem.
Usuwamy go.
Zmień Script:
File::
C:\WINDOWS\system32\tmpC4EBE.FOT
C:\WINDOWS\system32\tmp25493.FOT
C:\[u]0[/u]hct8ybw.bat
C:\*0hct8ybw.bat
C:\WINDOWS\taskmon.exe
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"taskmon"=-
Reszta postępowania - bez zmian.
jessi
ok, zaraz zrobie to ponownie
poniżej poprzedni log
ComboFix 08-02-20.2 - robert 2008-02-20 18:43:00.3 - FAT32 x86
Running from: C:\Documents and Settings\robert\Pulpit\ComboFix.exe
Command switches used :: C:\Documents and Settings\robert\Pulpit\CFScript.txt
* Created a new restore point
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED
FILE ::
C:\0hct8ybw.bat
C:\0hct8ybw.bat
C:\WINDOWS\system32\tmp25493.FOT
C:\WINDOWS\system32\tmpC4EBE.FOT
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\0hct8ybw.bat
C:\Autorun.inf
C:\WINDOWS\system32\tmp25493.FOT
C:\WINDOWS\system32\tmpC4EBE.FOT
D:\Autorun.inf
.
((((((((((((((((((((((((( Files Created from 2008-01-20 to 2008-02-20 )))))))))))))))))))))))))))))))
.
2008-02-19 20:27 . 2008-02-19 20:27 41,984 -rahs---- C:\WINDOWS\taskmon.exe
2008-02-19 13:33 . 2008-02-19 13:33
2008-02-19 13:29 . 2008-02-19 13:29
2008-02-18 15:44 . 2008-02-18 15:44
2008-02-17 11:37 . 2008-02-17 11:37
2008-02-16 09:51 . 2008-02-16 09:51
2008-02-15 16:01 . 2008-02-15 16:01
2008-02-15 16:00 . 2007-07-12 02:22 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-02-15 15:59 . 2008-02-15 15:59
2008-02-15 15:57 . 2008-02-15 15:57
2008-02-14 16:48 . 2008-02-14 16:49
2008-02-14 08:51 . 2003-12-08 11:53 70,688 --a------ C:\WINDOWS\system32\drivers\alcaudsl.sys
2008-02-14 08:51 . 2003-12-08 11:53 53,600 --a------ C:\WINDOWS\system32\drivers\alcan5wn.sys
2008-02-14 08:51 . 2003-12-08 11:53 5,606 --a------ C:\WINDOWS\system32\stci.dll
2008-02-14 08:51 . 2003-12-08 11:53 5,280 --a------ C:\WINDOWS\system32\drivers\alcawh.sys
2008-02-14 08:51 . 2003-12-08 11:53 3,968 --a------ C:\WINDOWS\system32\drivers\alcacr.sys
2008-02-14 08:43 . 2003-10-16 19:07 32,768 --a------ C:\WINDOWS\system32\WooDial2000.dll
2008-02-14 08:35 . 2008-02-14 08:35
2008-02-04 14:07 . 2008-02-04 14:07
2008-01-30 20:46 . 2008-01-30 20:46 7,168 --ahs---- C:\WINDOWS\Thumbs.db
2008-01-26 10:44 . 2008-01-26 10:44
2008-01-21 18:06 . 2008-01-21 18:06
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-17 21:56 --------- d-----w C:\Program Files\Google
2008-01-17 21:46 --------- d-----w C:\Program Files\SkanerOnline
2008-01-17 21:43 --------- d-----w C:\Program Files\uTorrent
2008-01-17 21:43 --------- d-----w C:\Documents and Settings\robert\Dane aplikacji\uTorrent
2008-01-05 09:16 --------- d-----w C:\Program Files\eMule
2007-12-04 13:04 837,496 ----a-w C:\WINDOWS\system32\aswBoot.exe
2007-12-04 12:54 95,608 ----a-w C:\WINDOWS\system32\AVASTSS.scr
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries legit default entries are not shown
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“CTFMON.EXE”=“C:\WINDOWS\system32\ctfmon.exe” [2004-08-03 22:44 15360]
“swg”=“C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe” [2008-01-17 22:56 171448]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“Broadcom Wireless Manager UI”=“C:\WINDOWS\system32\WLTRAY” []
“ccApp”=“C:\Program Files\Common Files\Symantec Shared\ccApp.exe” [2005-09-17 09:27 52848]
“SoundMan”=“SOUNDMAN.EXE” [2005-04-15 05:01 77824 C:\WINDOWS\SOUNDMAN.EXE]
“IgfxTray”=“C:\WINDOWS\system32\igfxtray.exe” [2005-01-23 04:36 155648]
“HotKeysCmds”=“C:\WINDOWS\system32\hkcmd.exe” [2005-01-23 04:31 126976]
“ACU”=“C:\Program Files\Atheros\ACU.exe” [2005-01-31 08:05 253952]
“Acrobat Assistant 7.0”=“C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe” [2004-12-14 02:12 483328]
“NeroFilterCheck”=“C:\WINDOWS\system32\NeroCheck.exe” [2001-07-09 11:50 155648]
“HumMeteringClient”=“C:\Program Files\Hummingbird\Connectivity\9.00\Accessories\MeteringClient.dll” [2003-08-01 23:40 167936]
“avast!”=“C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe” [2007-12-04 14:00 79224]
“WooCnxMon”=“C:\PROGRA~1\NEOSTR~1\CnxMon.exe” [2003-10-16 19:07 24576]
“SpeedTouch USB Diagnostics”=“C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe” [2004-01-26 11:38 866816]
“WOOWATCH”=“C:\PROGRA~1\NEOSTR~1\Watch.exe” [2003-10-16 19:07 20480]
“WOOTASKBARICON”=“C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe” [2003-10-16 19:07 53248]
“SunJavaUpdateSched”=“C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe” [2007-07-12 04:00 132496]
“taskmon”=“C:\WINDOWS\taskmon.exe” [2008-02-19 20:27 41984]
[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
“CTFMON.EXE”=“C:\WINDOWS\system32\CTFMON.EXE” [2004-08-03 22:44 15360]
C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\
Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office\OSA9.EXE [1999-02-17 21:05:56 65588]
Adobe Acrobat Speed Launcher.lnk - C:\WINDOWS\Installer{AC76BA86-1033-F400-7760-000000000002}\SC_Acrobat.exe [2007-10-15 12:22:33 25214]
Przyspieszenie uruchomienia programu AutoCAD.lnk - C:\Program Files\Common Files\Autodesk Shared\acstart16.exe [2004-02-25 01:35:22 10872]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{0bdf3602-7b07-11dc-8257-000ae4e1c474}]
\Shell\AutoRun\command - G:\LaunchU3.exe -a
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{7802f1e8-8026-11dc-825d-fa1c577cd7f1}]
\Shell\AutoRun\command - F:\LaunchU3.exe
.
**************************************************************************
catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-20 18:47:21
Windows 5.1.2600 Dodatek Service Pack 2 FAT NTAPI
scanning hidden processes …
scanning hidden autostart entries …
scanning hidden files …
scan completed successfully
hidden files: 0
**************************************************************************
.
Completion time: 2008-02-20 18:49:58
ComboFix2.txt 2008-02-20 16:28:24
ComboFix-quarantined-files.txt 2008-02-20 17:49:52
po tych wszystkich operacjach komputer bardzo wolno uruchamia wszystkie programy. Co się stało???
Log jest czysty, więc nie widzę żadnego powodu “mulenia”.
Opróżnij foldery TEMP np. przy pomocy ATF Cleaner >>http://www.searchengines.pl/index.php?showtopic=13278&st=0&p=138520
jessi