Przy uruchamianiu komputera pojawia sie komunikat

link do zrzutu ekranowego :

img22.imageshack.us

również nie można pokazać ukrytych folderów

Daj log z ComboFixa.

ComboFix 09-02-03.01 - Darek 2009-03-04 17:47:51.9 - FAT32 x86

Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.511.149 [GMT 1:00]

Uruchomiony z: c:\documents and settings\Darek\Pulpit\ComboFix.exe

Użyto następujących komend :: c:\documents and settings\Darek\Pulpit\CFScript.txt…txt

AV: avast! antivirus 4.8.1201 [VPS 081012-0] *On-access scanning disabled* (Outdated)

* Utworzono nowy punkt przywracania

FILE ::

c:\windows\system32\amvo.exe

.

((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\autorun.inf

c:\windows\system32\nmdfgds0.dll

D:\Autorun.inf

.

---- Poprzednie uruchomienie -------

.

C:\autorun.inf

c:\windows\system32\nmdfgds0.dll

c:\windows\system32\nmdfgds1.dll

D:\Autorun.inf

.

((((((((((((((((((((((((( Pliki utworzone od 2009-02-04 do 2009-03-04 )))))))))))))))))))))))))))))))

.

2009-09-11 19:08 . 2009-09-11 19:08

2009-03-04 17:52 . 2009-03-04 17:52

2009-03-03 19:00 . 2009-03-03 19:00

2009-03-03 18:54 . 2009-03-03 18:54

2009-03-03 18:06 . 2009-03-03 18:06

2009-03-03 11:44 . 2009-03-03 11:43 109,930 -r-hs---- C:\a2h2.com

2009-03-03 11:43 . 2009-03-03 21:32 108,836 -r-hs---- c:\windows\system32\olhrwef.exe

.

(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2048-06-15 04:49 --------- d-----w c:\program files\Flock

2048-06-15 04:49 --------- d-----w c:\documents and settings\Darek\Dane aplikacji\Flock

2048-06-15 04:30 --------- d-----w c:\program files\Ghost Navigator2_8_1

2009-09-11 18:42 --------- d-----w c:\program files\Microsoft Games

2009-09-11 18:03 --------- d-----w c:\documents and settings\Darek\Dane aplikacji\InstallShield

2009-01-27 15:10 --------- d-----w c:\program files\John Deere North American Farmer

2009-01-23 14:53 --------- d-----w c:\program files\MegauploadToolbar

2009-01-23 14:53 --------- d-----w c:\documents and settings\Darek\Dane aplikacji\MegauploadToolbar

2009-01-23 14:52 --------- d-----w c:\program files\Megaupload

2009-01-06 21:36 --------- d-----w c:\documents and settings\Darek\Dane aplikacji\Megaupload

2009-01-06 21:35 --------- d-----w c:\documents and settings\Darek\Dane aplikacji\EmailNotifier

2009-01-06 21:35 --------- d-----w c:\documents and settings\All Users\Dane aplikacji\Megaupload

2009-01-06 21:35 --------- d-----w c:\documents and settings\All Users\Dane aplikacji\EmailNotifier

2009-01-06 19:46 50,688 ----a-w c:\windows\system32\wbhelp2.dll

2009-01-06 19:46 --------- d-----w c:\program files\DAP

2009-01-06 19:46 --------- d-----w c:\documents and settings\All Users\Dane aplikacji\TEMP

2009-01-06 19:46 --------- d-----w c:\documents and settings\All Users\Dane aplikacji\SpeedBit

2009-01-06 19:17 --------- d-----w c:\documents and settings\Darek\Dane aplikacji\ShutDownTool

2008-12-12 17:36 3,081,216 ------w c:\windows\system32\dllcache\mshtml.dll

2008-12-11 11:57 333,184 ------w c:\windows\system32\dllcache\srv.sys

2008-11-10 15:51 106,174 --sh–r c:\documents and settings\Darek\kamsoft.exe

2008-10-21 10:06 105,553 --sh–r c:\documents and settings\Darek\ckvo.exe

2007-12-24 04:50 32 ----a-w c:\documents and settings\All Users\Dane aplikacji\ezsid.dat

.

((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane

REGEDIT4

[HKEY_LOCAL_MACHINE~\Browser Helper Objects{40498DEF-8B13-44A6-A1A7-69DFE36E9210}]

2007-03-05 21:39 915160 --------- c:\program files\Congoo Netpass\congootb.dll

[HKEY_LOCAL_MACHINE~\Browser Helper Objects{A057A204-BACC-4D26-C39E-35F1D2A32EC8}]

2008-08-04 21:44 1947080 --a------ c:\progra~1\MEGAUP~2\MEGAUP~1.DLL

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

“{40498DEF-8B13-44A6-A1A7-69DFE36E9210}”= “c:\program files\Congoo Netpass\congootb.dll” [2007-03-05 915160]

“{A057A204-BACC-4D26-C39E-35F1D2A32EC8}”= “c:\progra~1\MEGAUP~2\MEGAUP~1.DLL” [2008-08-04 1947080]

[HKEY_CLASSES_ROOT\clsid{40498def-8b13-44a6-a1a7-69dfe36e9210}]

[HKEY_CLASSES_ROOT\congootb.Band.1]

[HKEY_CLASSES_ROOT\TypeLib{7AB2CD40-C33A-4C5A-B701-A68541DFF7DF}]

[HKEY_CLASSES_ROOT\congootb.Band]

[HKEY_CLASSES_ROOT\clsid{a057a204-bacc-4d26-c39e-35f1d2a32ec8}]

[HKEY_CLASSES_ROOT\megauploadtoolbar.MEGAUPLOADTOOLBAR]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]

“{A057A204-BACC-4D26-C39E-35F1D2A32EC8}”= “c:\progra~1\MEGAUP~2\MEGAUP~1.DLL” [2008-08-04 1947080]

[HKEY_CLASSES_ROOT\clsid{a057a204-bacc-4d26-c39e-35f1d2a32ec8}]

[HKEY_CLASSES_ROOT\megauploadtoolbar.MEGAUPLOADTOOLBAR]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“MSMSGS”=“c:\program files\Messenger\msmsgs.exe” [2004-10-13 1694208]

“ctfmon.exe”=“c:\windows\system32\ctfmon.exe” [2004-08-04 15360]

“swg”=“c:\program files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe” [2007-12-05 171448]

“BitTorrent DNA”=“c:\program files\DNA\btdna.exe” [2008-12-16 342848]

“CTSyncU.exe”=“c:\program files\Creative\Sync Manager Unicode\CTSyncU.exe” [2007-07-17 868352]

“ALLUpdate”=“c:\program files\ALLPlayer\ALLUpdate.exe” [2008-11-24 869888]

“cdoosoft”=“c:\windows\system32\olhrwef.exe” [2009-03-03 108836]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“NeroFilterCheck”=“c:\windows\system32\NeroCheck.exe” [2001-07-09 155648]

“HPDJ Taskbar Utility”=“c:\windows\system32\spool\drivers\w32x86\3\hpztsb10.exe” [2004-03-04 172032]

“HP Component Manager”=“c:\program files\HP\hpcoretech\hpcmpmgr.exe” [2003-12-22 241664]

“HP Software Update”=“c:\program files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe” [2005-02-16 49152]

“MediaKey”=“c:\progra~1\INTERN~2\MEDIAKEY.EXE” [2000-08-01 73728]

“avast!”=“c:\progra~1\ALWILS~1\Avast4\ashDisp.exe” [2008-05-16 79224]

“LVCOMSX”=“c:\windows\system32\LVCOMSX.EXE” [2005-12-09 225280]

“Adobe Reader Speed Launcher”=“c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe” [2007-10-10 39792]

“WinampAgent”=“c:\program files\Winamp\winampa.exe” [2007-12-20 37376]

“CTCheck”=“c:\program files\Creative\Creative ZEN\ZEN Media Explorer\CTCheck.exe” [2007-11-06 397312]

“SoundMan”=“SOUNDMAN.EXE” [2004-07-27 c:\windows\SOUNDMAN.EXE]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

“CTFMON.EXE”=“c:\windows\System32\CTFMON.EXE” [2004-08-04 15360]

c:\documents and settings\All Users\Menu Start\Programy\Autostart\

Ralink Wireless Utility.lnk - c:\program files\RALINK\Common\RaUI.exe [2007-09-07 659456]

HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2007-03-11 210520]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]

Authentication Packages REG_MULTI_SZ msv1_0 nwprovau

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

“AntiVirusOverride”=dword:00000001

[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

“%windir%\system32\sessmgr.exe”=

“c:\Program Files\Gadu-Gadu\gg.exe”=

“c:\Program Files\iMesh Applications\iMesh\iMesh.exe”=

“c:\Program Files\Messenger\MSMSGS.EXE”=

“c:\WINDOWS\System32\dpvsetup.exe”=

“c:\Program Files\WapSter\AQQ\AQQ.exe”=

“c:\PROGRA~1\WapSter\AQQ\AQQ.exe”=

“c:\Program Files\WapSter\WapSter AQQ\AQQ.exe”=

“c:\Program Files\DNA\btdna.exe”=

“c:\Program Files\Skype\Phone\Skype.exe”=

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-06-19 78416]

R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2008-06-19 20560]

R2 NwSapAgent;Agent SAP;c:\windows\system32\svchost.exe -k netsvcs [2001-10-26 14336]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12

hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{77f115de-07f3-11dd-aa79-000fea0a497e}]

\Shell\AutoRun\command - F:\yannh.cmd

\Shell\explore\Command - F:\yannh.cmd

\Shell\open\Command - F:\yannh.cmd

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{f5c1b4b8-cb1d-11dc-a991-000fea0a497e}]

\Shell\AutoRun\command - F:\2fiji.com

\Shell\explore\Command - F:\2fiji.com

\Shell\open\Command - F:\2fiji.com

.

.

------- Skan uzupełniający -------

.

uStart Page = hxxp://search.speedbit.com/

uSearch Page = hxxp://www.google.com

uSearch Bar = hxxp://www.google.com/ie

mDefault_Search_URL = hxxp://www.google.com/ie

uInternet Connection Wizard,ShellNext = iexplore

uSearchAssistant = hxxp://www.google.com/ie

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

mSearchAssistant = hxxp://www.google.com/ie

IE: Download Link Using Mega Manager… - c:\program files\Megaupload\Mega Manager\mm_file.htm

IE: E&ksport do programu Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

IE: Pobierz za pomocą Mega Manager… - c:\program files\Megaupload\Mega Manager\mm_file.htm

IE: {{18955D47-882E-48fc-B903-A4BDD030E7FD}

IE: {{ECC5777A-6E88-BFCE-13CE-81F134789E7B} - c:\program files\Ghost Navigator2_8_1\Ghost

IE: {{0AD475F1-D955-40a7-9FFF-C3BF075F04AA} - {40498DEF-8B13-44A6-A1A7-69DFE36E9210} {40498DEF-8B13-44A6-A1A7-69DFE36E9210} - {40498def-8b13-44a6-a1a7-69dfe36e9210}\inprocserver32 does not exist!

TCP: {7BEB03CF-178A-4319-817F-A3D6E1B859C4} = 10.1.1.1,194.204.152.34

DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab

.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-03-04 17:53:34

Windows 5.1.2600 Dodatek Service Pack 2 FAT NTAPI

skanowanie ukrytych procesów …

skanowanie ukrytych wpisów autostartu …

skanowanie ukrytych plików …

skanowanie pomyślnie ukończone

ukryte pliki: 0

**************************************************************************

.

--------------------- ZABLOKOWANE KLUCZE REJESTRU ---------------------

[HKEY_USERS\S-1-5-21-1004336348-920026266-725345543-1003\Software\SecuROM!CAUTION! NEVER A OR CHANGE ANY KEY*]

“??”=hex:f9,dc,da,19,6b,f2,b4,4c,b0,d8,60,11,80,0c,07,9b,66,1c,db,84,3f,a9,35,

ad,37,83,41,8e,07,27,0b,13,01,8d,b1,f5,ca,9e,52,42,a5,ed,27,38,09,1c,cf,55,\

“??”=hex:ce,99,53,8a,a1,54,ca,6b,6a,f7,21,e3,cf,a5,c2,41

.

--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------

              • > ‘winlogon.exe’(880)

c:\windows\system32\Ati2evxx.dll

.

------------------------ Pozostałe uruchomione procesy ------------------------

.

c:\windows\system32\Ati2evxx.exe

c:\program files\Alwil Software\Avast4\aswUpdSv.exe

c:\program files\Alwil Software\Avast4\ashServ.exe

c:\program files\common files\logitech\lvmvfm\LVPrcSrv.exe

c:\windows\system32\CTsvcCDA.exe

c:\program files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

c:\windows\system32\Ati2evxx.exe

c:\program files\ALWIL SOFTWARE\AVAST4\ASHMAISV.EXE

c:\program files\ALWIL SOFTWARE\AVAST4\ASHWEBSV.EXE

c:\program files\HP\hpcoretech\comp\hptskmgr.exe

c:\program files\HP\Digital Imaging\bin\hpqSTE08.exe

.

**************************************************************************

.

Czas ukończenia: 2009-03-04 17:55:42 - komputer został uruchomiony ponownie [Darek]

ComboFix-quarantined-files.txt 2009-03-04 16:55:40

Przed: 12,159,123,456 bajtów wolnych

Po: 12,166,758,400 bajtów wolnych

196 — E O F — 2009-01-06 03:38:59

Wylecz pendriva lub kartę pamięci http://www.softpedia.com/get/Security/S … Tool.shtml

Flash Disinfector http://www.searchengines.pl/index.php?s … ntry369724

lub format

Wyłącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

Otwórz notatnik i wklej

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri … iemoes.gif

Powinno rozpocząć się usuwanie

Potem log z usuwania Combofix

:slight_smile:

teraz w linku :slight_smile:

http://wklej.org/id/48767/

Wklej do notatnika:

File::

C:\pook.com

Plik -> zapisz jako -> CFScript.txt.

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->

cfscript10uc2.gif

Rozpocznie się usuwanie i powstanie log, który dasz na forum.

Logi dajesz na http://wklej.eu lub na http://wklej.org a w poście dajesz tylko link

dzięki za pomoc . wszystko ładnie działa :slight_smile: