Problem z wirusami

lukaszkrk · 11 Listopad 2007 11:53

hijakcthis pokazał mi to… troche usunalem to co mi nie pasowalo ale zobaczbcie jak mozecie Logfile of HijackThis v1.99.1 Scan saved at 12:50:16, on 2007-11-11 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe C:\Program Files\Norton AntiVirus\navapsvc.exe C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\PnkBstrA.exe C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe C:\Program Files\Common Files\Symantec Shared\ccApp.exe C:\Program Files\Winamp\winampa.exe C:\Program Files\QuickTime\qttask.exe C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe C:\Program Files\Gadu-Gadu\gg.exe C:\Program Files\Common Files\Teleca Shared\CapabilityManager.exe C:\Program Files\WinAble\winable.exe C:\Program Files\Common Files\Teleca Shared\Generic.exe C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\Gadu-Gadu\gg.exe C:\Program Files\Common Files\Symantec Shared\Security Console\NSCSRVCE.EXE C:\Program Files\Messenger\msmsgs.exe C:\Documents and Settings\Łukasz\Pulpit\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/ O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Program Files\Norton AntiVirus\NavShExt.dll O3 - Toolbar: (no name) - {11A69AE4-FBED-4832-A2BF-45AF82825583} - (no file) O4 - HKLM…\Run: [RemoteControl] “C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe” O4 - HKLM…\Run: [ccApp] “C:\Program Files\Common Files\Symantec Shared\ccApp.exe” O4 - HKLM…\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe O4 - HKLM…\Run: [QuickTime Task] “C:\Program Files\QuickTime\qttask.exe” -atboottime O4 - HKLM…\Run: [sunJavaUpdateSched] “C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe” O4 - HKLM…\Run: [sony Ericsson PC Suite] “C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe” /startoptions O4 - HKLM…\Run: [symantec PIF AlertEng] “C:\Program Files\Common Files\Symantec Shared\PIF{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe” /a /m “C:\Program Files\Common Files\Symantec Shared\PIF{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll” O4 - HKLM…\Run: [Microsoft Updates] svehost.exe O4 - HKLM…\Run: [!AVG Anti-Spyware] “C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe” /minimized O4 - HKLM…\Run: [a48b9d74] rundll32.exe “C:\WINDOWS\system32\jyqfleda.dll”,b O4 - HKLM…\RunServices: [Microsoft Updates] svehost.exe O4 - HKCU…\Run: [Gadu-Gadu] “C:\Program Files\Gadu-Gadu\gg.exe” /tray O4 - HKCU…\Run: [WinAble] C:\Program Files\WinAble\winable.exe O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe O23 - Service: Harmonogram automatycznej usługi LiveUpdate - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: Usługa Auto-Protect programu Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe O23 - Service: Usługa Norton Protection Center (NSCService) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Console\NSCSRVCE.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe O23 - Service: SPBBCSvc - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe

dodam ze jeszcze mam w menu start mam 2 ikonki:

Live Safety Center

Online Security Guide

wczesniej przed moim usunieciem niektorych plikow pokazywal mi sie trojkaci z wykrzyknikiem na pasku i pisaly nazyw wirusow i otwieraly sie strony z antywirami… ale to juz nic nie zwyklego z tego co czytam na forum dzieki i prosze o pomoc

Gutek · 11 Listopad 2007 14:10

usuń wpisy HJT

Użyj VundoFix + Trojan.Vundo Removal Tool + VirtumundoBeGone.

Daj log z ComboFix

lukaszkrk · 11 Listopad 2007 16:25

ComboF

ix 07-11-08.1 - Łukasz 2007-11-11 17:13:18.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.531 [GMT 1:00] Running from: C:\Documents and Settings\Łukasz\Pulpit\ComboFix.exe * Created a new restore point . Unable to gain System Privileges ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) . C:\Documents and Settings\All Users\Menu Start\Live Safety Center.lnk C:\Documents and Settings\All Users\Menu Start\Online Security Guide.lnk C:\Documents and Settings\Łukasz\Pulpit\Live Safety Center.lnk C:\Documents and Settings\Łukasz\Pulpit\Online Security Guide.lnk C:\Documents and Settings\Łukasz\Ulubione\Online Security Guide.lnk C:\Program Files\Common Files\Yazzle1848OinAdmin.exe C:\Program Files\Common Files\Yazzle1848OinUninstaller.exe C:\Program Files\Temporary C:\Program Files\Temporary\wininstall.exe C:\Program Files\video activex object C:\Program Files\WinAble C:\Program Files\WinAble\winable.exe C:\WINDOWS\b122.exe C:\WINDOWS\cookies.ini C:\WINDOWS\services.exe C:\WINDOWS\system32\drivers\npf.sys C:\WINDOWS\system32\gurgudag.dllbox C:\WINDOWS\system32\jkklk.dll C:\WINDOWS\system32\klkkj.bak1 C:\WINDOWS\system32\klkkj.bak2 C:\WINDOWS\system32\klkkj.ini C:\WINDOWS\system32\klkkj.ini2 C:\WINDOWS\system32\klkkj.tmp C:\WINDOWS\system32\packet.dll C:\WINDOWS\system32\uyqqhzif.dllbox C:\WINDOWS\system32\wpcap.dll C:\WINDOWS\system32\xsfaiixt.dllbox . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\LEGACY_DOMAINSERVICE -------\DomainService -------\NPF ((((((((((((((((((((((((( Files Created from 2007-10-11 to 2007-11-11 ))))))))))))))))))))))))))))))) . 2007-11-11 17:10 51,200 --a------ C:\WINDOWS\NirCmd.exe 2007-11-11 17:09 145,984 --a------ C:\WINDOWS\system32\uyqqhzif.dll 2007-11-11 17:09 145,984 --a------ C:\WINDOWS\system32\seiootxl.dll 2007-11-11 14:48 79,936 --a------ C:\WINDOWS\system32\pwkjrewh.dll 2007-11-11 14:42 88,128 --a------ C:\WINDOWS\system32\nwdjjsmy.dll 2007-11-11 14:40 71,232 --a------ C:\WINDOWS\system32\wvrwiyed.exe 2007-11-11 12:50 79,936 --a------ C:\WINDOWS\system32\pbxvryyb.dll 2007-11-11 12:41 71,232 --a------ C:\WINDOWS\system32\xjorskae.exe 2007-11-11 12:36 79,936 --a------ C:\WINDOWS\system32\sonawbln.dll 2007-11-11 12:30 71,232 --a------ C:\WINDOWS\system32\ymjugcyd.exe 2007-11-11 12:20 88,128 --a------ C:\WINDOWS\system32\wjhpgtum.dll 2007-11-11 12:17 145,984 --a------ C:\WINDOWS\system32\mdxgvxcn.dll 2007-11-11 12:11 79,936 --a------ C:\WINDOWS\system32\byquhjhb.dll 2007-11-11 12:08 71,232 --a------ C:\WINDOWS\system32\tvjwjroo.exe 2007-11-11 12:05 71,232 --a------ C:\WINDOWS\system32\sjoysgkq.exe 2007-11-11 11:55 71,232 --a------ C:\WINDOWS\system32\jlaiorpl.exe 2007-11-11 11:51 2007-11-11 11:50 2007-11-11 11:50 79,936 --a------ C:\WINDOWS\system32\evyebwyu.dll 2007-11-11 11:50 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys 2007-11-11 11:48 0 --a------ C:\WINDOWS\nsreg.dat 2007-11-11 11:47 71,232 --a------ C:\WINDOWS\system32\qmdlcegy.exe 2007-11-11 10:03 145,984 --a------ C:\WINDOWS\system32\xsfaiixt.dll.vir 2007-11-11 10:03 145,984 --a------ C:\WINDOWS\system32\fksamjsc.dll 2007-11-10 11:56 34,304 --a------ C:\WINDOWS\system32\opnlmmm.dll.vir 2007-11-10 11:56 33,824 --a------ C:\WINDOWS\system32\drivers\oreans32.sys 2007-11-06 16:04 2007-11-06 16:04 2007-11-06 16:04 . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2007-11-11 12:27 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys 2007-11-11 12:27 103,736 ----a-w C:\WINDOWS\system32\PnkBstrB.exe 2007-11-10 11:05 --------- d—a-w C:\Documents and Settings\All Users\Dane aplikacji\TEMP 2007-11-10 10:00 --------- d-----w C:\Program Files\Common Files\Symantec Shared 2007-11-08 17:50 685,816 ----a-w C:\WINDOWS\system32\drivers\sptd.sys 2007-10-14 10:52 --------- d-----w C:\Program Files\America’s Army Server Manager 2007-10-03 10:58 66,872 ----a-w C:\WINDOWS\system32\PnkBstrA.exe 2007-08-21 06:18 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll 2007-01-02 17:50 32 ----a-r C:\Documents and Settings\All Users\hash.dat . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE~\Browser Helper Objects{85e26882-5bac-4835-b9ec-eb0798784d27}] 2007-11-11 14:48 79936 --a------ C:\WINDOWS\system32\pwkjrewh.dll [HKEY_LOCAL_MACHINE~\Browser Helper Objects{A95B2816-1D7E-4561-A202-68C0DE02353A}] 2007-11-11 17:09 145984 --a------ C:\WINDOWS\system32\uyqqhzif.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] “{11A69AE4-FBED-4832-A2BF-45AF82825583}”= C:\WINDOWS\system32\uyqqhzif.dll [2007-11-11 17:09 145984] [HKEY_CLASSES_ROOT\CLSID{11A69AE4-FBED-4832-A2BF-45AF82825583}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “RemoteControl”=“C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe” [2003-10-31 18:42] “ccApp”=“C:\Program Files\Common Files\Symantec Shared\ccApp.exe” [2007-03-01 11:29] “WinampAgent”=“C:\Program Files\Winamp\winampa.exe” [2006-05-25 18:35] “QuickTime Task”=“C:\Program Files\QuickTime\qttask.exe” [2006-10-25 18:58] “SunJavaUpdateSched”=“C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe” [2006-12-15 03:23] “Sony Ericsson PC Suite”=“C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe” [2005-10-26 15:17] “Symantec PIF AlertEng”=“C:\Program Files\Common Files\Symantec Shared\PIF{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe” [2007-03-12 10:22] “!AVG Anti-Spyware”=“C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe” [2007-06-11 10:25] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “Gadu-Gadu”=“C:\Program Files\Gadu-Gadu\gg.exe” [2006-11-14 10:12] C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\ Adobe Reader Speed Launch.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 21:05:26] Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office\OSA9.EXE [2000-01-21 07:15:54] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system] “DisableRegistryTools”=0 (0x0) [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer] “NoResolveSearch”=0 (0x0) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\uyqqhzif] uyqqhzif.dll 2007-11-11 17:09 145984 C:\WINDOWS\system32\uyqqhzif.dll [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] “Authentication Packages”= msv1_0 C:\WINDOWS\system32\jkklk.dll R1 oreans32;oreans32;??\C:\WINDOWS\system32\drivers\oreans32.sys R2 Harmonogram automatycznej usługi LiveUpdate;Harmonogram automatycznej usługi LiveUpdate;“C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe” S3 cmudax;C-Media High Definition Audio Interface;C:\WINDOWS\system32\drivers\cmudax.sys . Contents of the ‘Scheduled Tasks’ folder “2007-11-09 19:00:24 C:\WINDOWS\Tasks\Norton AntiVirus - Uruchom pełne skanowanie systemu - Łukasz.job” . ************************************************************************** catchme 0.3.1250 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-11-11 17:22:09 Windows 5.1.2600 Dodatek Service Pack 2 NTFS scanning hidden processes … scanning hidden autostart entries … scanning hidden files … scan completed successfully hidden files: 0 ************************************************************************** . Completion time: 2007-11-11 17:23:45 - machine was rebooted . — E O F —

Gutek · 11 Listopad 2007 18:18

Wklej do Notatnika:

File:: C:\WINDOWS\system32\uyqqhzif.dll C:\WINDOWS\system32\seiootxl.dll C:\WINDOWS\system32\pwkjrewh.dll C:\WINDOWS\system32\nwdjjsmy.dll C:\WINDOWS\system32\wvrwiyed.exe C:\WINDOWS\system32\pbxvryyb.dll C:\WINDOWS\system32\xjorskae.exe C:\WINDOWS\system32\sonawbln.dll C:\WINDOWS\system32\ymjugcyd.exe C:\WINDOWS\system32\wjhpgtum.dll C:\WINDOWS\system32\mdxgvxcn.dll C:\WINDOWS\system32\byquhjhb.dll C:\WINDOWS\system32\tvjwjroo.exe C:\WINDOWS\system32\sjoysgkq.exe C:\WINDOWS\system32\jlaiorpl.exe C:\WINDOWS\system32\evyebwyu.dll C:\WINDOWS\system32\qmdlcegy.exe C:\WINDOWS\system32\xsfaiixt.dll.vir C:\WINDOWS\system32\fksamjsc.dll C:\WINDOWS\system32\opnlmmm.dll.vir Registry:: [-HKEY_LOCAL_MACHINE~\Browser Helper Objects{85e26882-5bac-4835-b9ec-eb0798784d27}] [-HKEY_LOCAL_MACHINE~\Browser Helper Objects{A95B2816-1D7E-4561-A202-68C0DE02353A}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] [-HKEY_CLASSES_ROOT\CLSID{11A69AE4-FBED-4832-A2BF-45AF82825583}] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\uyqqhzif] [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] “Authentication Packages”=-

>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku –>

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: ** Qoobox**.

Po tym nowy log z Combo

lukaszkrk · 11 Listopad 2007 19:04

to pojawilo sie po pierwszym zrestarowaniu kompa jak wlozylem ten plik co mi dales ComboFix 07-11-08.1 - Łukasz 2007-11-11 19:51:14.2 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.467 [GMT 1:00] Running from: C:\Documents and Settings\Łukasz\Pulpit\ComboFix.exe Command switches used :: C:\Documents and Settings\Łukasz\Pulpit\CFScript.txt * Created a new restore point FILE C:\WINDOWS\system32\byquhjhb.dll C:\WINDOWS\system32\evyebwyu.dll C:\WINDOWS\system32\fksamjsc.dll C:\WINDOWS\system32\jlaiorpl.exe C:\WINDOWS\system32\mdxgvxcn.dll C:\WINDOWS\system32\nwdjjsmy.dll C:\WINDOWS\system32\opnlmmm.dll.vir C:\WINDOWS\system32\pbxvryyb.dll C:\WINDOWS\system32\pwkjrewh.dll C:\WINDOWS\system32\qmdlcegy.exe C:\WINDOWS\system32\seiootxl.dll C:\WINDOWS\system32\sjoysgkq.exe C:\WINDOWS\system32\sonawbln.dll C:\WINDOWS\system32\tvjwjroo.exe C:\WINDOWS\system32\uyqqhzif.dll C:\WINDOWS\system32\wjhpgtum.dll C:\WINDOWS\system32\wvrwiyed.exe C:\WINDOWS\system32\xjorskae.exe C:\WINDOWS\system32\xsfaiixt.dll.vir C:\WINDOWS\system32\ymjugcyd.exe . ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\system32\byquhjhb.dll C:\WINDOWS\system32\evyebwyu.dll C:\WINDOWS\system32\fksamjsc.dll C:\WINDOWS\system32\jlaiorpl.exe C:\WINDOWS\system32\mdxgvxcn.dll C:\WINDOWS\system32\nwdjjsmy.dll C:\WINDOWS\system32\opnlmmm.dll.vir C:\WINDOWS\system32\pbxvryyb.dll C:\WINDOWS\system32\pwkjrewh.dll C:\WINDOWS\system32\qmdlcegy.exe C:\WINDOWS\system32\seiootxl.dll C:\WINDOWS\system32\sjoysgkq.exe C:\WINDOWS\system32\sonawbln.dll C:\WINDOWS\system32\tvjwjroo.exe C:\WINDOWS\system32\uyqqhzif.dllbox C:\WINDOWS\system32\wjhpgtum.dll C:\WINDOWS\system32\wvrwiyed.exe C:\WINDOWS\system32\xjorskae.exe C:\WINDOWS\system32\xsfaiixt.dll.vir C:\WINDOWS\system32\ymjugcyd.exe . ((((((((((((((((((((((((( Files Created from 2007-10-11 to 2007-11-11 ))))))))))))))))))))))))))))))) . 2007-11-11 18:31 1,156 --a------ C:\WINDOWS\mozver.dat 2007-11-11 17:23 2007-11-11 17:23 2007-11-11 17:10 51,200 --a------ C:\WINDOWS\NirCmd.exe 2007-11-11 17:09 145,984 --a------ C:\WINDOWS\system32\uyqqhzif.dll.vir 2007-11-11 11:51 2007-11-11 11:50 2007-11-11 11:50 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys 2007-11-11 11:48 0 --a------ C:\WINDOWS\nsreg.dat 2007-11-10 11:56 33,824 --a------ C:\WINDOWS\system32\drivers\oreans32.sys 2007-11-06 16:04 2007-11-06 16:04 2007-11-06 16:04 . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2007-11-11 17:30 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys 2007-11-11 17:30 103,736 ----a-w C:\WINDOWS\system32\PnkBstrB.exe 2007-11-10 11:05 --------- d—a-w C:\Documents and Settings\All Users\Dane aplikacji\TEMP 2007-11-10 10:00 --------- d-----w C:\Program Files\Common Files\Symantec Shared 2007-11-08 17:50 685,816 ----a-w C:\WINDOWS\system32\drivers\sptd.sys 2007-10-14 10:52 --------- d-----w C:\Program Files\America’s Army Server Manager 2007-10-03 10:58 66,872 ----a-w C:\WINDOWS\system32\PnkBstrA.exe 2007-08-21 06:18 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll 2007-01-02 17:50 32 ----a-r C:\Documents and Settings\All Users\hash.dat . ((((((((((((((((((((((((((((( snapshot@2007-11-11_17.22.49.31 ))))))))))))))))))))))))))))))))))))))))) . + 2007-06-11 12:34:00 2,115,816 ----a-w C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll + 2007-06-11 12:34:00 190,696 ----a-w C:\WINDOWS\system32\Macromed\Flash\NPSWF32_FlashUtil.exe . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “RemoteControl”=“C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe” [2003-10-31 18:42] “ccApp”=“C:\Program Files\Common Files\Symantec Shared\ccApp.exe” [2007-03-01 11:29] “WinampAgent”=“C:\Program Files\Winamp\winampa.exe” [2006-05-25 18:35] “QuickTime Task”=“C:\Program Files\QuickTime\qttask.exe” [2006-10-25 18:58] “SunJavaUpdateSched”=“C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe” [2006-12-15 03:23] “Sony Ericsson PC Suite”=“C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe” [2005-10-26 15:17] “Symantec PIF AlertEng”=“C:\Program Files\Common Files\Symantec Shared\PIF{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe” [2007-03-12 10:22] “!AVG Anti-Spyware”=“C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe” [2007-06-11 10:25] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “Gadu-Gadu”=“C:\Program Files\Gadu-Gadu\gg.exe” [2006-11-14 10:12] C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\ Adobe Reader Speed Launch.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 21:05:26] Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office\OSA9.EXE [2000-01-21 07:15:54] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system] “DisableRegistryTools”=0 (0x0) [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer] “NoResolveSearch”=0 (0x0) R1 oreans32;oreans32;??\C:\WINDOWS\system32\drivers\oreans32.sys R2 Harmonogram automatycznej usługi LiveUpdate;Harmonogram automatycznej usługi LiveUpdate;“C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe” S3 cmudax;C-Media High Definition Audio Interface;C:\WINDOWS\system32\drivers\cmudax.sys . Contents of the ‘Scheduled Tasks’ folder “2007-11-09 19:00:24 C:\WINDOWS\Tasks\Norton AntiVirus - Uruchom pełne skanowanie systemu - Łukasz.job” . ************************************************************************** catchme 0.3.1250 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-11-11 19:55:08 Windows 5.1.2600 Dodatek Service Pack 2 NTFS scanning hidden processes … scanning hidden autostart entries … scanning hidden files … scan completed successfully hidden files: 0 ************************************************************************** . Completion time: 2007-11-11 19:56:04 - machine was rebooted C:\ComboFix2.txt … 2007-11-11 17:23 . — E O F —

natomiast to pojawilo sie jak usunalm ten folder i wlaczylem jeszcze raz program

ComboFix 07-11-08.1 - Łukasz 2007-11-11 19:58:48.3 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.624 [GMT 1:00] Running from: C:\Documents and Settings\Łukasz\Pulpit\ComboFix.exe . ((((((((((((((((((((((((( Files Created from 2007-10-11 to 2007-11-11 ))))))))))))))))))))))))))))))) . 2007-11-11 18:31 1,156 --a------ C:\WINDOWS\mozver.dat 2007-11-11 17:23 2007-11-11 17:10 51,200 --a------ C:\WINDOWS\NirCmd.exe 2007-11-11 17:09 145,984 --a------ C:\WINDOWS\system32\uyqqhzif.dll.vir 2007-11-11 11:55 2007-11-11 11:51 2007-11-11 11:50 2007-11-11 11:50 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys 2007-11-11 11:48 0 --a------ C:\WINDOWS\nsreg.dat 2007-11-10 11:56 33,824 --a------ C:\WINDOWS\system32\drivers\oreans32.sys 2007-11-06 16:04 2007-11-06 16:04 2007-11-06 16:04 2007-11-06 16:04 . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2007-11-11 18:53 3,932,160 —ha-w C:\Documents and Settings\Łukasz\NTUSER.DAT 2007-11-11 18:53 3,932,160 —ha-w C:\Documents and Settings\Łukasz\NTUSER.DAT 2007-11-11 18:53 --------- d-----w C:\Documents and Settings\Łukasz\Dane aplikacji\Skype 2007-11-11 17:30 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys 2007-11-11 17:30 103,736 ----a-w C:\WINDOWS\system32\PnkBstrB.exe 2007-11-11 10:55 --------- d-----w C:\Documents and Settings\Łukasz\Dane aplikacji\Grisoft 2007-11-11 10:48 --------- d-----w C:\Documents and Settings\Łukasz\Dane aplikacji\Mozilla 2007-11-10 12:11 --------- d-----w C:\Documents and Settings\Łukasz\Dane aplikacji\uTorrent 2007-11-10 11:05 --------- d—a-w C:\Documents and Settings\All Users\Dane aplikacji\TEMP 2007-11-10 10:00 --------- d-----w C:\Program Files\Common Files\Symantec Shared 2007-11-08 17:50 685,816 ----a-w C:\WINDOWS\system32\drivers\sptd.sys 2007-11-06 15:04 --------- d-----w C:\Documents and Settings\Łukasz\Dane aplikacji\Ashampoo 2007-10-27 09:28 --------- d-----w C:\Documents and Settings\Łukasz\Dane aplikacji\BearShare 2007-10-14 10:52 --------- d-----w C:\Program Files\America’s Army Server Manager 2007-10-03 10:58 66,872 ----a-w C:\WINDOWS\system32\PnkBstrA.exe 2007-08-21 06:18 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll 2007-01-02 17:50 32 ----a-r C:\Documents and Settings\All Users\hash.dat . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “RemoteControl”=“C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe” [2003-10-31 18:42] “ccApp”=“C:\Program Files\Common Files\Symantec Shared\ccApp.exe” [2007-03-01 11:29] “WinampAgent”=“C:\Program Files\Winamp\winampa.exe” [2006-05-25 18:35] “QuickTime Task”=“C:\Program Files\QuickTime\qttask.exe” [2006-10-25 18:58] “SunJavaUpdateSched”=“C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe” [2006-12-15 03:23] “Sony Ericsson PC Suite”=“C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe” [2005-10-26 15:17] “Symantec PIF AlertEng”=“C:\Program Files\Common Files\Symantec Shared\PIF{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe” [2007-03-12 10:22] “!AVG Anti-Spyware”=“C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe” [2007-06-11 10:25] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “Gadu-Gadu”=“C:\Program Files\Gadu-Gadu\gg.exe” [2006-11-14 10:12] C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\ Adobe Reader Speed Launch.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 21:05:26] Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office\OSA9.EXE [2000-01-21 07:15:54] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer] “NoResolveSearch”=0 (0x0) R1 oreans32;oreans32;??\C:\WINDOWS\system32\drivers\oreans32.sys R2 Harmonogram automatycznej usługi LiveUpdate;Harmonogram automatycznej usługi LiveUpdate;“C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe” S3 cmudax;C-Media High Definition Audio Interface;C:\WINDOWS\system32\drivers\cmudax.sys . Contents of the ‘Scheduled Tasks’ folder “2007-11-09 19:00:24 C:\WINDOWS\Tasks\Norton AntiVirus - Uruchom pełne skanowanie systemu - Łukasz.job” - C:\PROGRA~1\NORTON~1\Navw32.exe . ************************************************************************** catchme 0.3.1250 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-11-11 20:00:30 Windows 5.1.2600 Dodatek Service Pack 2 NTFS scanning hidden processes … scanning hidden autostart entries … scanning hidden files … scan completed successfully hidden files: 0 ************************************************************************** . Completion time: 2007-11-11 20:01:04 C:\ComboFix2.txt … 2007-11-11 19:56 C:\ComboFix3.txt … 2007-11-11 17:23 . — E O F —

Gutek · 11 Listopad 2007 19:08

Wklej do Notatnika:

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku –>

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: ** Qoobox**.

Po tym nowy log z Combo i to chyba będzie koniec

lukaszkrk · 11 Listopad 2007 20:53

jestes moim kumplem…

zrobiłem tak jak kazałes i komputer zarządał hasła a nie miałem wczesniej (przy logowaniu do windowsa)

Gutek · 11 Listopad 2007 20:57

Powiedz mi czy jak nic nie wcisnołeś poszedł system?

Zobacz - http://www.chip.pl/arts/archiwum/n/articlear_89899.html

lukaszkrk · 11 Listopad 2007 21:04

uruchomiłem program usunołem ten ostatni wiersz i po restarcie zarządał hasła. da sie cos zrobic?

Gutek · 11 Listopad 2007 21:06

zaglądałeś na linka? Powiedz czy jak nic nie piszesz i dasz ok system się ładuje?

Inny - http://forum.dobreprogramy.pl/viewtopic … c&start=15

Nie wszyscy wiedza, ze w Windows XP jest konto SYSTEM z takimi samymi prawami co konto Administrator. Aby dostać sie na to konto z poziomu zwykłego usera wystarczy: - kliknać na start --> wybieramy uruchom --> w oknie urachamianie wpisujemy polecenie cmd --> enter - w oknie konsoli wpisujemy polecenie: >at 11:00 /interactive “cmd.exe” Polecenie użyje aplikacji Harmonogram zadań, aby wywołać okno konsli z uprawnieniami systemowymi. Komenda zawiera zdefiniowany czas wykonania (11:02). Zamiast przkładowej godziny podajemy najbliższy możliwy czas wykonania komendy. Po chwili zostanie wyświetlne nowe okno konsoli. Pierwotne okno zamykamy - naciskamy Ctrl+Alt+Del (wyświetli się nam Menadżer Zadań Windows) przechodzimy na zakładkę Procesy i klikamy na proces “explorer.exe” i klikamy zakończ proces - przechodzimy do otwartego okna konsoli i wpisujemy w nim >explorer.exe i klikamy enter - otwieramy menu start i sprawdzamy na jakiego użytkownika jesteśmy zalogowani następnie wystarczy wpisać w uruchom polecenie control userpasswords2 i kliknąć aby zaznaczyć konto administratora potem właściwości a na koniec reset hasła i już gotowe mały error ps jeżeli zależy nam na anonimowości to konto system ma takie same prawa jak administrator

lukaszkrk · 11 Listopad 2007 21:26

nie nie ładuje sie…

Gutek · 11 Listopad 2007 21:29

i wybierz ostatnią dobra konfigurację, po tym nowy log z Combo

Zobacz jeszcze - http://www.searchengines.pl/index.php?showtopic=32367

Jak mnie to tylko zostaje Reinstalacja XP bez utraty danych

http://www.searchengines.pl/phpbb203/in … ntry109540

lukaszkrk · 12 Listopad 2007 12:20

o co chodzi z tym “nowy log”?

mam ostatnie dobre ustawienia i do wyboru tylko Windows.

Gutek · 12 Listopad 2007 17:20

Czy już jest Ok? Uruchamia się normalnie system?

lukaszkrk · 12 Listopad 2007 17:28

niestety dalej niemoge uruchomic normalnie systemu…

Gutek · 12 Listopad 2007 17:30

Pobierz Active@ Boot Disk (DOS Edition) http://www.ntfs.com/boot-disk.htm można wywalić hasło - sprawdzone w pracy