kapibara
(Kapibara6)
19 Czerwiec 2008 19:11
#1
Mam prośbę, moglibyście sprawdzić mój log? Co jakiś czas nie mogę przeglądać żadnych stron internetowych. po zeskanowaniu systemu okazało sie ze mam takie wirusy jak: SdBot-gen i Prorat-HY. Niestety nie potrafię ich usunąć. Byłabym wdzięczna za pomoc. Pozdrawiam Kapibara
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:07:01, on 2008-06-19 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Ahead\InCD\InCDsrv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe C:\Program Files\Ahead\InCD\InCD.exe C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE C:\Program Files\lg_fwupdate\fwupdate.exe C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\Samsung\ComSMMgr\ssmmgr.exe C:\Program Files\iTunes\iTunesHelper.exe C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\rundll32.exe C:\Program Files\Gadu-Gadu\gg.exe C:\Program Files\DAEMON Tools Lite\daemon.exe C:\Program Files\Nokia\Nokia PC Suite 6\PCSync2.exe C:\Program Files\Nokia\Nokia PC Suite 6\PCSuite.exe C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Program Files\Bonjour\mDNSResponder.exe C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe C:\Program Files\Google\Google Updater\GoogleUpdater.exe C:\Program Files\Gigabyte\Gigabyte GN-WP01GS Wireless PCI Adapter SoftAP\Installer\WINXP\RaConfig61.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\WINDOWS\system32\wscntfy.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\Program Files\PC Connectivity Solution\ServiceLayer.exe C:\Program Files\iPod\bin\iPodService.exe C:\Program Files\PC Connectivity Solution\Transports\NclUSBSrv.exe C:\Program Files\PC Connectivity Solution\Transports\NclRSSrv.exe C:\Program Files\Common Files\Nokia\MPAPI\MPAPI3s.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.daemon-search.com/startpage R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://us.rd.yahoo.com/customize/ycomp/ … .yahoo.com R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll R3 - URLSearchHook: wellgames Toolbar - {8e41e543-e069-4197-8608-e8b4c2f75747} - C:\Program Files\wellgames\tbwel1.dll O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {280EE6F9-E414-4D35-8FEF-8180BB5AC916} - C:\WINDOWS\system32\wvUmjGaa.dll O2 - BHO: (no name) - {759157CF-FA34-4CAE-96F9-DBBA65C67431} - C:\WINDOWS\system32\tuvVPihI.dll O2 - BHO: wellgames Toolbar - {8e41e543-e069-4197-8608-e8b4c2f75747} - C:\Program Files\wellgames\tbwel1.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O3 - Toolbar: wellgames Toolbar - {8e41e543-e069-4197-8608-e8b4c2f75747} - C:\Program Files\wellgames\tbwel1.dll O4 - HKLM…\Run: [startCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe O4 - HKLM…\Run: [RemoteControl] “C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe” O4 - HKLM…\Run: [inCD] C:\Program Files\Ahead\InCD\InCD.exe O4 - HKLM…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM…\Run: [LGODDFU] “C:\Program Files\lg_fwupdate\fwupdate.exe” O4 - HKLM…\Run: [speedTouch USB Diagnostics] “C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe” /icon O4 - HKLM…\Run: [NETIANET] C:\Program Files\Netia\Net\netianet.exe -auto O4 - HKLM…\Run: [soundMan] SOUNDMAN.EXE O4 - HKLM…\Run: [samsung Common SM] “C:\WINDOWS\Samsung\ComSMMgr\ssmmgr.exe” /autorun O4 - HKLM…\Run: [Adobe Reader Speed Launcher] “C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe” O4 - HKLM…\Run: [QuickTime Task] “C:\Program Files\QuickTime\QTTask.exe” -atboottime O4 - HKLM…\Run: [iTunesHelper] “C:\Program Files\iTunes\iTunesHelper.exe” O4 - HKLM…\Run: [309d7d9e] rundll32.exe “C:\WINDOWS\system32\wlgnecep.dll”,b O4 - HKLM…\Run: [bM33ae4e02] Rundll32.exe “C:\WINDOWS\system32\atgswiws.dll”,s O4 - HKCU…\Run: [Gadu-Gadu] “C:\Program Files\Gadu-Gadu\gg.exe” /tray O4 - HKCU…\Run: [DAEMON Tools Lite] “C:\Program Files\DAEMON Tools Lite\daemon.exe” -autorun O4 - HKCU…\Run: [Nokia.PCSync] “C:\Program Files\Nokia\Nokia PC Suite 6\PCSync2.exe” /NoDialog O4 - HKCU…\Run: [PC Suite Tray] “C:\Program Files\Nokia\Nokia PC Suite 6\PCSuite.exe” -onlytray O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe O4 - Global Startup: Aktualizator Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe O4 - Global Startup: GN-WP01GS Utility.lnk = C:\Program Files\Gigabyte\Gigabyte GN-WP01GS Wireless PCI Adapter SoftAP\Installer\WINXP\RaConfig61.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra ‘Tools’ menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O17 - HKLM\System\CCS\Services\Tcpip…{38CCDAAE-CE43-412A-9162-182B561164A8}: NameServer = 213.241.79.37 83.238.255.76 O20 - Winlogon Notify: wvUmjGaa - C:\WINDOWS\SYSTEM32\wvUmjGaa.dll O23 - Service: Urządzenie mobilne Apple (Apple Mobile Device) - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe O23 - Service: Bonjour Service - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe O23 - Service: Usługa iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe – End of file - 8232 bytes
huber2t
(huber2t)
19 Czerwiec 2008 19:18
#2
fix w hijackthis
O2 - BHO: (no name) - {280EE6F9-E414-4D35-8FEF-8180BB5AC916} - C:\WINDOWS\system32\wvUmjGaa.dll O2 - BHO: (no name) - {759157CF-FA34-4CAE-96F9-DBBA65C67431} - C:\WINDOWS\system32\tuvVPihI.dll O4 - HKLM…\Run: [309d7d9e] rundll32.exe “C:\WINDOWS\system32\wlgnecep.dll”,b O4 - HKLM…\Run: [bM33ae4e02] Rundll32.exe “C:\WINDOWS\system32\atgswiws.dll”,s O20 - Winlogon Notify: wvUmjGaa - C:\WINDOWS\SYSTEM32\wvUmjGaa.dll
Pobierz ComboFix , ale nie uruchamiaj
Wklej do notatnika:
File::
C:\WINDOWS\system32\wvUmjGaa.dll
C:\WINDOWS\system32\tuvVPihI.dll
C:\WINDOWS\system32\wlgnecep.dll
C:\WINDOWS\system32\atgswiws.dll
Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->
Rozpocznie się usuwanie i powstanie log, daj ten log na forum.
Logi dajesz na http://www.wklej.org a w poście dajesz tylko link
Leon1
(Leon$)
19 Czerwiec 2008 19:21
#3
wpisy
O2 - BHO: (no name) - {280EE6F9-E414-4D35-8FEF-8180BB5AC916} - C:\WINDOWS\system32\wvUmjGaa.dll O2 - BHO: (no name) - {759157CF-FA34-4CAE-96F9-DBBA65C67431} - C:\WINDOWS\system32\tuvVPihI.dll O4 - HKLM…\Run: [309d7d9e] rundll32.exe “C:\WINDOWS\system32\wlgnecep.dll”,b O4 - HKLM…\Run: [bM33ae4e02] Rundll32.exe “C:\WINDOWS\system32\atgswiws.dll”,s O20 - Winlogon Notify: wvUmjGaa - C:\WINDOWS\SYSTEM32\wvUmjGaa.dll
usuń HijackThisem >> Fix checked
Pobierz Combofix http://www.searchengines.pl/index.php?s … ntry395642 ale nie włączaj.
Otwórz notatnik i wklej
zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe
http://img.wklej.org/images/88953CFScri … iemoes.gif
Powinno rozpocząć się usuwanie
Potem log z usuwania Combofix
kapibara
(Kapibara6)
19 Czerwiec 2008 21:04
#4
Zrobiłam tak jak napisaliście, a to jest log z comboFixa.
ComboFix 08-06-19.1 - Magda 2008-06-19 22:51:18.3 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1250.1.1033.18.576 [GMT 2:00] Running from: C:\Documents and Settings\Magda\Desktop\ComboFix.exe Command switches used :: C:\Documents and Settings\Magda\Desktop\CFScript.txt * Created a new restore point WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED FILE :: C:\WINDOWS\system32\atgswiws.dll C:\WINDOWS\system32\tuvVPihI.dll C:\WINDOWS\system32\wlgnecep.dll C:\WINDOWS\system32\wvUmjGaa.dll . ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\BM33ae4e02.xml C:\WINDOWS\cookies.ini C:\WINDOWS\pskt.ini C:\WINDOWS\system32\adsgqvad.dll C:\WINDOWS\system32\atgswiws.dll C:\WINDOWS\system32\IhiPVvut.ini C:\WINDOWS\system32\IhiPVvut.ini2 C:\WINDOWS\system32\kootqpfs.dll C:\WINDOWS\system32\pecenglw.ini C:\WINDOWS\system32\tuvVPihI.dll C:\WINDOWS\system32\wlgnecep.dll C:\WINDOWS\system32\wvUmjGaa.dll C:\WINDOWS\system32\xuewaobg.ini . ((((((((((((((((((((((((( Files Created from 2008-05-19 to 2008-06-19 ))))))))))))))))))))))))))))))) . 2008-06-19 21:06 . 2008-06-19 21:06 2008-06-13 09:02 . 2008-06-13 09:02 2008-06-13 08:59 . 2008-06-13 09:07 2008-06-13 08:58 . 2008-06-13 17:58 2008-06-13 08:58 . 2008-06-13 08:58 2008-06-11 10:14 . 2008-04-14 13:01 272,128 --------- C:\WINDOWS\system32\drivers\bthport.sys 2008-06-11 10:14 . 2008-04-14 13:01 272,128 -----c— C:\WINDOWS\system32\dllcache\bthport.sys 2008-06-06 21:55 . 2008-06-06 21:55 2008-06-06 21:55 . 2008-06-06 21:55 2008-06-06 21:40 . 2008-06-06 21:40 2008-06-01 19:03 . 2008-06-01 19:03 2008-06-01 19:03 . 2008-06-01 19:03 2008-06-01 12:26 . 2008-06-09 21:55 2008-05-31 21:14 . 2008-05-31 21:14 2008-05-29 21:58 . 2008-05-29 21:58 2008-05-29 21:58 . 2008-05-29 21:58 2008-05-24 10:42 . 2008-05-24 10:42 2008-05-23 19:45 . 2008-05-23 19:45 . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-06-19 20:54 --------- d-----w C:\Program Files\lg_fwupdate 2008-06-19 12:56 --------- d-----w C:\Documents and Settings\All Users\Application Data\Google Updater 2008-06-17 21:50 --------- d-----w C:\Documents and Settings\Magda\Application Data\uTorrent 2008-06-12 07:45 --------- d-----w C:\Documents and Settings\Magda\Application Data\foobar2000 2008-06-01 09:15 --------- d-----w C:\Program Files\eMule 2008-05-27 20:49 --------- d-----w C:\Documents and Settings\Magda\Application Data\MysteryStudio 2008-05-27 20:48 --------- d–h--w C:\Program Files\InstallShield Installation Information 2008-05-27 20:48 --------- d-----w C:\Program Files\CyberLink DVD Solution 2008-05-26 15:40 40,960 ----a-w C:\Program Files\Uninstall_CDS.exe 2008-05-26 15:40 306,688 ----a-w C:\WINDOWS\IsUninst.exe 2008-05-26 15:40 208,896 ----a-w C:\WINDOWS\alcupd.exe 2008-05-26 15:40 2,973,696 ----a-w C:\WINDOWS\NuNinst.exe 2008-05-26 15:40 139,264 ----a-w C:\WINDOWS\alcrmv.exe 2008-05-16 17:21 --------- d-----w C:\Documents and Settings\Magda\Application Data\Gaijin Ent 2008-05-15 19:02 --------- d-----w C:\Documents and Settings\All Users\Application Data\Trymedia 2008-05-15 18:41 --------- d-----w C:\Program Files\Shockwave.com 2008-05-09 15:20 --------- d—a-w C:\Documents and Settings\All Users\Application Data\TEMP 2008-05-09 14:58 --------- d-----w C:\Documents and Settings\All Users\Application Data\Gogii 2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys 2008-05-07 19:33 --------- d-----w C:\Program Files\Samsung ML-2010 Series 2008-05-05 07:15 --------- d-----w C:\Documents and Settings\Magda\Application Data\Microsoft Web Folders 2008-05-05 07:14 --------- d-----w C:\Program Files\microsoft frontpage 2008-04-30 07:54 --------- d-----w C:\Program Files\Safari 2008-04-30 07:50 --------- d-----w C:\Program Files\Apple Software Update 2008-04-25 10:48 0 —ha-w C:\WINDOWS\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf 2008-04-25 10:48 0 —ha-w C:\WINDOWS\system32\drivers\Msft_Kernel_ccdcmb_01005.Wdf 2008-04-24 16:50 --------- d-----w C:\Documents and Settings\Magda\Application Data\PC Suite 2008-04-24 16:50 --------- d-----w C:\Documents and Settings\Magda\Application Data\Nokia 2008-04-24 16:50 --------- d-----w C:\Documents and Settings\All Users\Application Data\PC Suite 2008-04-24 16:49 --------- d-----w C:\Program Files\PC Connectivity Solution 2008-04-24 16:49 --------- d-----w C:\Program Files\Nokia 2008-04-24 16:49 --------- d-----w C:\Program Files\DIFX 2008-04-24 16:49 --------- d-----w C:\Program Files\Common Files\PCSuite 2008-04-24 16:49 --------- d-----w C:\Program Files\Common Files\Nokia 2008-04-24 16:48 --------- d-----w C:\Documents and Settings\All Users\Application Data\Installations 2008-04-20 18:24 --------- d-----w C:\Documents and Settings\Magda\Application Data\DivX 2008-04-17 17:28 0 ----a-w C:\Program Files\temp01 . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries legit default entries are not shown REGEDIT4 [HKEY_LOCAL_MACHINE~\Browser Helper Objects{8e41e543-e069-4197-8608-e8b4c2f75747}] 2008-04-17 18:51 1470488 --a------ C:\Program Files\wellgames\tbwel1.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] “{8E41E543-E069-4197-8608-E8B4C2F75747}”= “C:\Program Files\wellgames\tbwel1.dll” [2008-04-17 18:51 1470488] [HKEY_CLASSES_ROOT\clsid{8e41e543-e069-4197-8608-e8b4c2f75747}] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] “{8E41E543-E069-4197-8608-E8B4C2F75747}”= C:\Program Files\wellgames\tbwel1.dll [2008-04-17 18:51 1470488] [HKEY_CLASSES_ROOT\clsid{8e41e543-e069-4197-8608-e8b4c2f75747}] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “Gadu-Gadu”=“C:\Program Files\Gadu-Gadu\gg.exe” [2008-05-26 17:40 2131392] “DAEMON Tools Lite”=“C:\Program Files\DAEMON Tools Lite\daemon.exe” [2008-04-01 11:39 486856] “Nokia.PCSync”=“C:\Program Files\Nokia\Nokia PC Suite 6\PCSync2.exe” [2008-03-26 18:41 1232896] “PC Suite Tray”=“C:\Program Files\Nokia\Nokia PC Suite 6\PCSuite.exe” [2008-03-28 11:20 1079296] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “StartCCC”=“C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe” [2008-05-26 17:40 90112] “RemoteControl”=“C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe” [2003-12-08 18:35 32768] “InCD”=“C:\Program Files\Ahead\InCD\InCD.exe” [2005-07-08 16:25 1397760] “NeroFilterCheck”=“C:\WINDOWS\system32\NeroCheck.exe” [2008-05-26 17:41 155648] “LGODDFU”=“C:\Program Files\lg_fwupdate\fwupdate.exe” [2005-04-12 11:11 229376] “SpeedTouch USB Diagnostics”=“C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe” [2004-01-26 13:38 866816] “NETIANET”=“C:\Program Files\Netia\Net\netianet.exe” [2008-05-26 17:40 493568] “SoundMan”=“SOUNDMAN.EXE” [2004-12-22 11:09 77824 C:\WINDOWS\SOUNDMAN.EXE] “Samsung Common SM”=“C:\WINDOWS\Samsung\ComSMMgr\ssmmgr.exe” [2005-07-03 09:20 372736] “Adobe Reader Speed Launcher”=“C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe” [2008-05-26 17:40 40048] “QuickTime Task”=“C:\Program Files\QuickTime\QTTask.exe” [2008-05-26 17:40 413696] “iTunesHelper”=“C:\Program Files\iTunes\iTunesHelper.exe” [2008-03-30 10:36 267048] “BM33ae4e02”=“C:\WINDOWS\system32\atgswiws.dll” [] C:\Documents and Settings\All Users\Start Menu\Programs\Startup\ Adobe Reader Speed Launch.lnk - C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe [2006-10-23 03:48:00 40048] Adobe Reader Synchronizer.lnk - C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe [2007-05-11 11:29:22 738968] Aktualizator Google.lnk - C:\Program Files\Google\Google Updater\GoogleUpdater.exe [2008-03-26 00:02:36 124400] GN-WP01GS Utility.lnk - C:\Program Files\Gigabyte\Gigabyte GN-WP01GS Wireless PCI Adapter SoftAP\Installer\WINXP\RaConfig61.exe [2008-03-17 23:40:48 716800] Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office\OSA9.EXE [1999-02-17 20:05:56 65588] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\wvUmjGaa] wvUmjGaa.dll [HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile] “EnableFirewall”= 0 (0x0) [HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] “%windir%\system32\sessmgr.exe”= “C:\Program Files\Gadu-Gadu\gg.exe”= “C:\Program Files\Bonjour\mDNSResponder.exe”= “C:\Program Files\uTorrent\uTorrent.exe”= “C:\Program Files\iTunes\iTunes.exe”= R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-03-29 19:31] R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-03-29 19:35] . Contents of the ‘Scheduled Tasks’ folder “2008-06-19 17:03:02 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job” - C:\Program Files\Apple Software Update\SoftwareUpdate.exe . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-06-19 22:55:02 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes … scanning hidden autostart entries … scanning hidden files … scan completed successfully hidden files: 0 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . C:\WINDOWS\system32\ati2evxx.exe C:\Program Files\Ahead\InCD\InCDsrv.exe C:\WINDOWS\system32\ati2evxx.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Program Files\Bonjour\mDNSResponder.exe C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\Program Files\PC Connectivity Solution\ServiceLayer.exe C:\Program Files\iPod\bin\iPodService.exe C:\Program Files\PC Connectivity Solution\Transports\NclUSBSrv.exe C:\Program Files\PC Connectivity Solution\Transports\NclRSSrv.exe C:\Program Files\Common Files\Nokia\MPAPI\MPAPI3s.exe C:\WINDOWS\system32\wscntfy.exe . ************************************************************************** . Completion time: 2008-06-19 22:57:33 - machine was rebooted ComboFix-quarantined-files.txt 2008-06-19 20:57:30 ComboFix2.txt 2008-05-26 20:17:49 Pre-Run: 8,669,843,456 bytes free Post-Run: 8,898,170,880 bytes free 183 — E O F — 2008-06-12 01:01:16 Już jest ok?? a jeszcze po wykonaniu tego zadania i uruchomieniu komp ponownie wyskoczył błąd że system nie może załadować C:\WINDOWS\system32\atgswiws Czy te dwie rzeczy mogą być ze sobą jakos powiązane?? Dziękuję za pomoc:)
huber2t
(huber2t)
20 Czerwiec 2008 03:59
#5
otwórz notatnik i wklej
Z menu Notatnika -> Plik -> Zapisz jako -> Zmień rozszerzenie z .txt na wszystkie pliki -> zapisz pod nazwą Fix.reg
Uruchom ten plik, uruchom ponownie komputer
usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.
Przeczyść komputer Ccleanerem
Wykonaj optymalizację autostartu
Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja
Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum
lub
Dr.WEB CureIt!
Agaton
(Agatonster)
21 Czerwiec 2008 07:55
#7
kapibara ,
Proszę poprawić tytuł tematu na konkretny, mówiący o problemie.
2.15. Na Forum piszemy w języku polskim. Użytkownik ma obowiązek zadbania o poprawność gramatyczną i ortograficzną (polska pisownia, znaki interpunkcyjne) swoich postów, tematów czy innych treści, które publikuje.
Proszę poprawić pisownię w opisie problemu.
W celu dokonania korekty proszę użyć przycisku przy poście otwierającym ten temat.
Zignorowanie zalecenia będzie skutkowało usunięciem tematu do Kosza.
Ważne
W związku ze zmianą, jaka obowiązuje przy wklejaniu logów w tym dziale, przeczytaj i zastosuj się do Tematu
kapibara
(Kapibara6)
22 Czerwiec 2008 09:15
#8
zrobiłam wszystko co mówiliście. Wklejam raport z Kasperskiego.
KASPERSKY ONLINE SCANNER REPORT 21 czerwiec 2008 18:07:17 System operacyjny: Microsoft Windows XP Professional, Service Pack 2 (Build 2600) Kaspersky Online Scanner wersja: 5.0.98.0 Ostatnia aktualizacja Kaspersky Anti-Virus21/06/2008 Liczba wpisów w bazie danych Kaspersky Anti-Virus879999 Ustawienia skanowania Skanowanie przy użyciu następujących baz danych rozszerzone Skanuj archiwa tak Skanuj pocztowe bazy danych tak Obszar skanowania Mój komputer A:\ C:\ D:\ E:\ F:\ G:\ Statystyki skanowania Liczba skanowanych obiektów 62595 Liczba wykrytych wirusów 9 Liczba zainfekowanych obiektów 25 Liczba podejrzanych obiektów 0 Czas trwania skanowania 01:24:16 Nazwa zainfekowanego obiektu Nazwa wirusa Ostatnie działanie C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat Object is locked pominięty C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat Object is locked pominięty C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked pominięty C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked pominięty C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty C:\Documents and Settings\LocalService\Local Settings\History\History.IE5\index.dat Object is locked pominięty C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat Object is locked pominięty C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked pominięty C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked pominięty C:\Documents and Settings\Magda\Cookies\index.dat Object is locked pominięty C:\Documents and Settings\Magda\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked pominięty C:\Documents and Settings\Magda\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty C:\Documents and Settings\Magda\Local Settings\History\History.IE5\index.dat Object is locked pominięty C:\Documents and Settings\Magda\Local Settings\History\History.IE5\MSHist012008062020080621\index.dat Object is locked pominięty C:\Documents and Settings\Magda\Local Settings\Temp~DF1F2D.tmp Object is locked pominięty C:\Documents and Settings\Magda\Local Settings\Temporary Internet Files\Content.IE5\index.dat Object is locked pominięty C:\Documents and Settings\Magda\NTUSER.DAT Object is locked pominięty C:\Documents and Settings\Magda\ntuser.dat.LOG Object is locked pominięty C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked pominięty C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked pominięty C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked pominięty C:\Program Files\Trend Micro\HijackThis\backups\backup-20080619-224456-831.dll Zainfekowanych: Backdoor.Win32.Hupigon.clcp pominięty C:\Program Files\Trend Micro\HijackThis\backups\backup-20080619-224519-306.dll Zainfekowanych: Backdoor.Win32.Hupigon.clcp pominięty C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked pominięty C:\System Volume Information_restore{8C239B38-124C-4AEB-AA6A-9B8C42012C04}\RP119\change.log Object is locked pominięty C:\WINDOWS\Debug\PASSWD.LOG Object is locked pominięty C:\WINDOWS\SchedLgU.Txt Object is locked pominięty C:\WINDOWS\SoftwareDistribution\EventCache{D9683472-BCFF-4BCD-AD47-ECA522BCC901}.bin Object is locked pominięty C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked pominięty C:\WINDOWS\system32\CatRoot2\edb.log Object is locked pominięty C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked pominięty C:\WINDOWS\system32\config\ACEEvent.evt Object is locked pominięty C:\WINDOWS\system32\config\Antiviru.evt Object is locked pominięty C:\WINDOWS\system32\config\AppEvent.Evt Object is locked pominięty C:\WINDOWS\system32\config\default Object is locked pominięty C:\WINDOWS\system32\config\default.LOG Object is locked pominięty C:\WINDOWS\system32\config\SAM Object is locked pominięty C:\WINDOWS\system32\config\SAM.LOG Object is locked pominięty C:\WINDOWS\system32\config\SecEvent.Evt Object is locked pominięty C:\WINDOWS\system32\config\SECURITY Object is locked pominięty C:\WINDOWS\system32\config\SECURITY.LOG Object is locked pominięty C:\WINDOWS\system32\config\software Object is locked pominięty C:\WINDOWS\system32\config\software.LOG Object is locked pominięty C:\WINDOWS\system32\config\SysEvent.Evt Object is locked pominięty C:\WINDOWS\system32\config\system Object is locked pominięty C:\WINDOWS\system32\config\system.LOG Object is locked pominięty C:\WINDOWS\system32\drivers\sptd.sys Object is locked pominięty C:\WINDOWS\system32\h323log.txt Object is locked pominięty C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked pominięty C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked pominięty C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked pominięty C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked pominięty C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked pominięty C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked pominięty C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked pominięty C:\WINDOWS\WindowsUpdate.log Object is locked pominięty D:\System Volume Information\MountPointManagerRemoteDatabase Object is locked pominięty E:\hiddeny\The Secret of Margrave Manor\The Secret of Margrave Manor.exe/data0000.cab/is156151.exe Zainfekowanych: Backdoor.Win32.Hupigon.cmsa pominięty E:\hiddeny\The Secret of Margrave Manor\The Secret of Margrave Manor.exe/data0000.cab Zainfekowanych: Backdoor.Win32.Hupigon.cmsa pominięty E:\hiddeny\The Secret of Margrave Manor\The Secret of Margrave Manor.exe Rsrc-Package: zainfekowany - 2 pominięty E:\incoming\lrc-hsts.txt Share Accelerator.zip/ShareAcceleratorMM_SS06.EXE/WISE0015.BIN/data0015/data0008 Zainfekowanych: not-a-virus:AdWare.Win32.Shopper.k pominięty E:\incoming\lrc-hsts.txt Share Accelerator.zip/ShareAcceleratorMM_SS06.EXE/WISE0015.BIN/data0015 Zainfekowanych: not-a-virus:AdWare.Win32.Shopper.k pominięty E:\incoming\lrc-hsts.txt Share Accelerator.zip/ShareAcceleratorMM_SS06.EXE/WISE0015.BIN Zainfekowanych: not-a-virus:AdWare.Win32.Shopper.k pominięty E:\incoming\lrc-hsts.txt Share Accelerator.zip/ShareAcceleratorMM_SS06.EXE Zainfekowanych: not-a-virus:AdWare.Win32.Shopper.k pominięty E:\incoming\lrc-hsts.txt Share Accelerator.zip ZIP: zainfekowany - 4 pominięty E:\RECYCLER\S-1-5-21-602162358-73586283-725345543-1003\Df134.exe/doc\NH20040517.4a.yy.exe/NHInstall.exe Zainfekowanych: not-a-virus:AdWare.Win32.NavExcel.d pominięty E:\RECYCLER\S-1-5-21-602162358-73586283-725345543-1003\Df134.exe/doc\NH20040517.4a.yy.exe/v2.0.4a.cab/NHelper.dll Zainfekowanych: not-a-virus:AdWare.Win32.NavExcel.b pominięty E:\RECYCLER\S-1-5-21-602162358-73586283-725345543-1003\Df134.exe/doc\NH20040517.4a.yy.exe/v2.0.4a.cab/NHUninstaller.exe Zainfekowanych: not-a-virus:AdWare.Win32.NavExcel pominięty E:\RECYCLER\S-1-5-21-602162358-73586283-725345543-1003\Df134.exe/doc\NH20040517.4a.yy.exe/v2.0.4a.cab/NHUpdater.exe Zainfekowanych: not-a-virus:AdWare.Win32.NavExcel.b pominięty E:\RECYCLER\S-1-5-21-602162358-73586283-725345543-1003\Df134.exe/doc\NH20040517.4a.yy.exe/v2.0.4a.cab Zainfekowanych: not-a-virus:AdWare.Win32.NavExcel.b pominięty E:\RECYCLER\S-1-5-21-602162358-73586283-725345543-1003\Df134.exe/doc\NH20040517.4a.yy.exe Zainfekowanych: not-a-virus:AdWare.Win32.NavExcel.b pominięty E:\RECYCLER\S-1-5-21-602162358-73586283-725345543-1003\Df134.exe/doc\STUNTB.exe Zainfekowanych: not-a-virus:AdWare.Win32.NavExcel.i pominięty E:\RECYCLER\S-1-5-21-602162358-73586283-725345543-1003\Df134.exe/doc\whCC-2MGAMES.exe/data.rar/whAgent.exe Zainfekowanych: not-a-virus:AdWare.Win32.WebHancer.351 pominięty E:\RECYCLER\S-1-5-21-602162358-73586283-725345543-1003\Df134.exe/doc\whCC-2MGAMES.exe/data.rar/whInstaller.exe Zainfekowanych: not-a-virus:AdWare.Win32.WebHancer pominięty E:\RECYCLER\S-1-5-21-602162358-73586283-725345543-1003\Df134.exe/doc\whCC-2MGAMES.exe/data.rar/whSurvey.exe Zainfekowanych: not-a-virus:AdWare.Win32.WebHancer pominięty E:\RECYCLER\S-1-5-21-602162358-73586283-725345543-1003\Df134.exe/doc\whCC-2MGAMES.exe/data.rar/webhdll.dll Zainfekowanych: not-a-virus:AdWare.Win32.WebHancer pominięty E:\RECYCLER\S-1-5-21-602162358-73586283-725345543-1003\Df134.exe/doc\whCC-2MGAMES.exe/data.rar/whiehlpr.dll Zainfekowanych: not-a-virus:AdWare.Win32.WebHancer pominięty E:\RECYCLER\S-1-5-21-602162358-73586283-725345543-1003\Df134.exe/doc\whCC-2MGAMES.exe/data.rar Zainfekowanych: not-a-virus:AdWare.Win32.WebHancer pominięty E:\RECYCLER\S-1-5-21-602162358-73586283-725345543-1003\Df134.exe/doc\whCC-2MGAMES.exe Zainfekowanych: not-a-virus:AdWare.Win32.WebHancer pominięty E:\RECYCLER\S-1-5-21-602162358-73586283-725345543-1003\Df134.exe Gentee: zainfekowany - 14 pominięty E:\System Volume Information\MountPointManagerRemoteDatabase Object is locked pominięty Proces skanowania został zakończony.
Jeszcze teraz mój antywirus zaczął wyświetlać jakieś exploity (DCOM Exploit).
Jeszcze raz dziękuję za pomoc.
huber2t
(huber2t)
22 Czerwiec 2008 09:24
#9
Usuń to:
Opróżnij kosz
Wyłącz i Włącz przywracanie systemu na wszystkich dyskach. Instrukcja