link do zrzutu ekranowego :
również nie można pokazać ukrytych folderów
link do zrzutu ekranowego :
również nie można pokazać ukrytych folderów
Daj log z ComboFixa.
ComboFix 09-02-03.01 - Darek 2009-03-04 17:47:51.9 - FAT32 x86
Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.511.149 [GMT 1:00]
Uruchomiony z: c:\documents and settings\Darek\Pulpit\ComboFix.exe
Użyto następujących komend :: c:\documents and settings\Darek\Pulpit\CFScript.txt…txt
AV: avast! antivirus 4.8.1201 [VPS 081012-0] *On-access scanning disabled* (Outdated)
* Utworzono nowy punkt przywracania
FILE ::
c:\windows\system32\amvo.exe
.
((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\autorun.inf
c:\windows\system32\nmdfgds0.dll
D:\Autorun.inf
.
---- Poprzednie uruchomienie -------
.
C:\autorun.inf
c:\windows\system32\nmdfgds0.dll
c:\windows\system32\nmdfgds1.dll
D:\Autorun.inf
.
((((((((((((((((((((((((( Pliki utworzone od 2009-02-04 do 2009-03-04 )))))))))))))))))))))))))))))))
.
2009-09-11 19:08 . 2009-09-11 19:08
2009-03-04 17:52 . 2009-03-04 17:52
2009-03-03 19:00 . 2009-03-03 19:00
2009-03-03 18:54 . 2009-03-03 18:54
2009-03-03 18:06 . 2009-03-03 18:06
2009-03-03 11:44 . 2009-03-03 11:43 109,930 -r-hs---- C:\a2h2.com
2009-03-03 11:43 . 2009-03-03 21:32 108,836 -r-hs---- c:\windows\system32\olhrwef.exe
.
(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2048-06-15 04:49 --------- d-----w c:\program files\Flock
2048-06-15 04:49 --------- d-----w c:\documents and settings\Darek\Dane aplikacji\Flock
2048-06-15 04:30 --------- d-----w c:\program files\Ghost Navigator2_8_1
2009-09-11 18:42 --------- d-----w c:\program files\Microsoft Games
2009-09-11 18:03 --------- d-----w c:\documents and settings\Darek\Dane aplikacji\InstallShield
2009-01-27 15:10 --------- d-----w c:\program files\John Deere North American Farmer
2009-01-23 14:53 --------- d-----w c:\program files\MegauploadToolbar
2009-01-23 14:53 --------- d-----w c:\documents and settings\Darek\Dane aplikacji\MegauploadToolbar
2009-01-23 14:52 --------- d-----w c:\program files\Megaupload
2009-01-06 21:36 --------- d-----w c:\documents and settings\Darek\Dane aplikacji\Megaupload
2009-01-06 21:35 --------- d-----w c:\documents and settings\Darek\Dane aplikacji\EmailNotifier
2009-01-06 21:35 --------- d-----w c:\documents and settings\All Users\Dane aplikacji\Megaupload
2009-01-06 21:35 --------- d-----w c:\documents and settings\All Users\Dane aplikacji\EmailNotifier
2009-01-06 19:46 50,688 ----a-w c:\windows\system32\wbhelp2.dll
2009-01-06 19:46 --------- d-----w c:\program files\DAP
2009-01-06 19:46 --------- d-----w c:\documents and settings\All Users\Dane aplikacji\TEMP
2009-01-06 19:46 --------- d-----w c:\documents and settings\All Users\Dane aplikacji\SpeedBit
2009-01-06 19:17 --------- d-----w c:\documents and settings\Darek\Dane aplikacji\ShutDownTool
2008-12-12 17:36 3,081,216 ------w c:\windows\system32\dllcache\mshtml.dll
2008-12-11 11:57 333,184 ------w c:\windows\system32\dllcache\srv.sys
2008-11-10 15:51 106,174 --sh–r c:\documents and settings\Darek\kamsoft.exe
2008-10-21 10:06 105,553 --sh–r c:\documents and settings\Darek\ckvo.exe
2007-12-24 04:50 32 ----a-w c:\documents and settings\All Users\Dane aplikacji\ezsid.dat
.
((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4
[HKEY_LOCAL_MACHINE~\Browser Helper Objects{40498DEF-8B13-44A6-A1A7-69DFE36E9210}]
2007-03-05 21:39 915160 --------- c:\program files\Congoo Netpass\congootb.dll
[HKEY_LOCAL_MACHINE~\Browser Helper Objects{A057A204-BACC-4D26-C39E-35F1D2A32EC8}]
2008-08-04 21:44 1947080 --a------ c:\progra~1\MEGAUP~2\MEGAUP~1.DLL
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
“{40498DEF-8B13-44A6-A1A7-69DFE36E9210}”= “c:\program files\Congoo Netpass\congootb.dll” [2007-03-05 915160]
“{A057A204-BACC-4D26-C39E-35F1D2A32EC8}”= “c:\progra~1\MEGAUP~2\MEGAUP~1.DLL” [2008-08-04 1947080]
[HKEY_CLASSES_ROOT\clsid{40498def-8b13-44a6-a1a7-69dfe36e9210}]
[HKEY_CLASSES_ROOT\congootb.Band.1]
[HKEY_CLASSES_ROOT\TypeLib{7AB2CD40-C33A-4C5A-B701-A68541DFF7DF}]
[HKEY_CLASSES_ROOT\congootb.Band]
[HKEY_CLASSES_ROOT\clsid{a057a204-bacc-4d26-c39e-35f1d2a32ec8}]
[HKEY_CLASSES_ROOT\megauploadtoolbar.MEGAUPLOADTOOLBAR]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
“{A057A204-BACC-4D26-C39E-35F1D2A32EC8}”= “c:\progra~1\MEGAUP~2\MEGAUP~1.DLL” [2008-08-04 1947080]
[HKEY_CLASSES_ROOT\clsid{a057a204-bacc-4d26-c39e-35f1d2a32ec8}]
[HKEY_CLASSES_ROOT\megauploadtoolbar.MEGAUPLOADTOOLBAR]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“MSMSGS”=“c:\program files\Messenger\msmsgs.exe” [2004-10-13 1694208]
“ctfmon.exe”=“c:\windows\system32\ctfmon.exe” [2004-08-04 15360]
“swg”=“c:\program files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe” [2007-12-05 171448]
“BitTorrent DNA”=“c:\program files\DNA\btdna.exe” [2008-12-16 342848]
“CTSyncU.exe”=“c:\program files\Creative\Sync Manager Unicode\CTSyncU.exe” [2007-07-17 868352]
“ALLUpdate”=“c:\program files\ALLPlayer\ALLUpdate.exe” [2008-11-24 869888]
“cdoosoft”=“c:\windows\system32\olhrwef.exe” [2009-03-03 108836]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“NeroFilterCheck”=“c:\windows\system32\NeroCheck.exe” [2001-07-09 155648]
“HPDJ Taskbar Utility”=“c:\windows\system32\spool\drivers\w32x86\3\hpztsb10.exe” [2004-03-04 172032]
“HP Component Manager”=“c:\program files\HP\hpcoretech\hpcmpmgr.exe” [2003-12-22 241664]
“HP Software Update”=“c:\program files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe” [2005-02-16 49152]
“MediaKey”=“c:\progra~1\INTERN~2\MEDIAKEY.EXE” [2000-08-01 73728]
“avast!”=“c:\progra~1\ALWILS~1\Avast4\ashDisp.exe” [2008-05-16 79224]
“LVCOMSX”=“c:\windows\system32\LVCOMSX.EXE” [2005-12-09 225280]
“Adobe Reader Speed Launcher”=“c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe” [2007-10-10 39792]
“WinampAgent”=“c:\program files\Winamp\winampa.exe” [2007-12-20 37376]
“CTCheck”=“c:\program files\Creative\Creative ZEN\ZEN Media Explorer\CTCheck.exe” [2007-11-06 397312]
“SoundMan”=“SOUNDMAN.EXE” [2004-07-27 c:\windows\SOUNDMAN.EXE]
[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
“CTFMON.EXE”=“c:\windows\System32\CTFMON.EXE” [2004-08-04 15360]
c:\documents and settings\All Users\Menu Start\Programy\Autostart\
Ralink Wireless Utility.lnk - c:\program files\RALINK\Common\RaUI.exe [2007-09-07 659456]
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2007-03-11 210520]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 nwprovau
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
“AntiVirusOverride”=dword:00000001
[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
“%windir%\system32\sessmgr.exe”=
“c:\Program Files\Gadu-Gadu\gg.exe”=
“c:\Program Files\iMesh Applications\iMesh\iMesh.exe”=
“c:\Program Files\Messenger\MSMSGS.EXE”=
“c:\WINDOWS\System32\dpvsetup.exe”=
“c:\Program Files\WapSter\AQQ\AQQ.exe”=
“c:\PROGRA~1\WapSter\AQQ\AQQ.exe”=
“c:\Program Files\WapSter\WapSter AQQ\AQQ.exe”=
“c:\Program Files\DNA\btdna.exe”=
“c:\Program Files\Skype\Phone\Skype.exe”=
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-06-19 78416]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2008-06-19 20560]
R2 NwSapAgent;Agent SAP;c:\windows\system32\svchost.exe -k netsvcs [2001-10-26 14336]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{77f115de-07f3-11dd-aa79-000fea0a497e}]
\Shell\AutoRun\command - F:\yannh.cmd
\Shell\explore\Command - F:\yannh.cmd
\Shell\open\Command - F:\yannh.cmd
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{f5c1b4b8-cb1d-11dc-a991-000fea0a497e}]
\Shell\AutoRun\command - F:\2fiji.com
\Shell\explore\Command - F:\2fiji.com
\Shell\open\Command - F:\2fiji.com
.
.
------- Skan uzupełniający -------
.
uStart Page = hxxp://search.speedbit.com/
uSearch Page = hxxp://www.google.com
uSearch Bar = hxxp://www.google.com/ie
mDefault_Search_URL = hxxp://www.google.com/ie
uInternet Connection Wizard,ShellNext = iexplore
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
mSearchAssistant = hxxp://www.google.com/ie
IE: Download Link Using Mega Manager… - c:\program files\Megaupload\Mega Manager\mm_file.htm
IE: E&ksport do programu Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Pobierz za pomocą Mega Manager… - c:\program files\Megaupload\Mega Manager\mm_file.htm
IE: {{18955D47-882E-48fc-B903-A4BDD030E7FD}
IE: {{ECC5777A-6E88-BFCE-13CE-81F134789E7B} - c:\program files\Ghost Navigator2_8_1\Ghost
IE: {{0AD475F1-D955-40a7-9FFF-C3BF075F04AA} - {40498DEF-8B13-44A6-A1A7-69DFE36E9210} {40498DEF-8B13-44A6-A1A7-69DFE36E9210} - {40498def-8b13-44a6-a1a7-69dfe36e9210}\inprocserver32 does not exist!
TCP: {7BEB03CF-178A-4319-817F-A3D6E1B859C4} = 10.1.1.1,194.204.152.34
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-04 17:53:34
Windows 5.1.2600 Dodatek Service Pack 2 FAT NTAPI
skanowanie ukrytych procesów …
skanowanie ukrytych wpisów autostartu …
skanowanie ukrytych plików …
skanowanie pomyślnie ukończone
ukryte pliki: 0
**************************************************************************
.
--------------------- ZABLOKOWANE KLUCZE REJESTRU ---------------------
[HKEY_USERS\S-1-5-21-1004336348-920026266-725345543-1003\Software\SecuROM!CAUTION! NEVER A OR CHANGE ANY KEY*]
“??”=hex:f9,dc,da,19,6b,f2,b4,4c,b0,d8,60,11,80,0c,07,9b,66,1c,db,84,3f,a9,35,
ad,37,83,41,8e,07,27,0b,13,01,8d,b1,f5,ca,9e,52,42,a5,ed,27,38,09,1c,cf,55,\
“??”=hex:ce,99,53,8a,a1,54,ca,6b,6a,f7,21,e3,cf,a5,c2,41
.
--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------
c:\windows\system32\Ati2evxx.dll
.
------------------------ Pozostałe uruchomione procesy ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\program files\Alwil Software\Avast4\aswUpdSv.exe
c:\program files\Alwil Software\Avast4\ashServ.exe
c:\program files\common files\logitech\lvmvfm\LVPrcSrv.exe
c:\windows\system32\CTsvcCDA.exe
c:\program files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\system32\Ati2evxx.exe
c:\program files\ALWIL SOFTWARE\AVAST4\ASHMAISV.EXE
c:\program files\ALWIL SOFTWARE\AVAST4\ASHWEBSV.EXE
c:\program files\HP\hpcoretech\comp\hptskmgr.exe
c:\program files\HP\Digital Imaging\bin\hpqSTE08.exe
.
**************************************************************************
.
Czas ukończenia: 2009-03-04 17:55:42 - komputer został uruchomiony ponownie [Darek]
ComboFix-quarantined-files.txt 2009-03-04 16:55:40
Przed: 12,159,123,456 bajtów wolnych
Po: 12,166,758,400 bajtów wolnych
196 — E O F — 2009-01-06 03:38:59
Wylecz pendriva lub kartę pamięci http://www.softpedia.com/get/Security/S … Tool.shtml
Flash Disinfector http://www.searchengines.pl/index.php?s … ntry369724
lub format
Wyłącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl
Otwórz notatnik i wklej
zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe
http://img.wklej.org/images/88953CFScri … iemoes.gif
Powinno rozpocząć się usuwanie
Potem log z usuwania Combofix
Wklej do notatnika:
File::
C:\pook.com
Plik -> zapisz jako -> CFScript.txt.
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->
Rozpocznie się usuwanie i powstanie log, który dasz na forum.
Logi dajesz na http://wklej.eu lub na http://wklej.org a w poście dajesz tylko link
dzięki za pomoc . wszystko ładnie działa