Strony z antywirusami nie działają


(K Ilak) #1

Witam,

Nie idą mi stronki antywirów, takich, jak np. kaspersky.pl, czy avast.com, wyskakuje błąd, że nie można znaleźć serwera, kiedy skanowałem antywirem wyskakiwały błędy Tracking cookie, na każdym koncie w folderze cookies...

Daję loga z ComboFixa:

http://wklej.org/id/185645/

proszę o pomoc :slight_smile:

z góry dzięks za odp...


(Patryk94) #2

Trackling Cookie z tego co wiem nie jest groźny tylko zapisuje Ci niebezpiezpieczne pliki cookies :slight_smile:


(K Ilak) #3

no dobra, ale tutaj ważniejsze są te stronki, jak temu zaradzić????


(deFco247) #4

Miałeś Confickera , którego Combofix już usunął z automatu.

Otwórz Notatnik i wklej do niego:

Plik zapisz jako typ wszystkie pliki pod nazwą plik.reg -> uruchom powstały plik, potwierdź chęć dodania do rejestru -> restart.

Zastosuj OTC.

Wykonaj pełny skan Malwarebytes' Anti-Malware - znalezione obiekty usuń.

Gdy będą wirusy pokaż raport.

Wyczyść rejestr i dysk CCleaner.

Usuń zbędniki z autostartu.

Jak zabezpieczyć się przed Confickerem/usuwanie: http://www.bezpieczenstwosystemow.pl/in ... pic=4809.0


(jessica) #5

W logu widzę tylko ślady wirusa CONFiCKER, ale to na pewno on blokował te stronki Antivirusów.

Wklej do Notatnika :

Driver::

uyzgm


NetSvc::

uyzgm


Registry::

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"9136:TCP"=-

>>Plik>>Zapisz jako... >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

-------->cfscript10gm1.gif

Ma się rozpocząć usuwanie. (i powstanie log).

EDIT:

Jeśli dobrze pamiętam, to przed dwoma dniami też miałeś CONFICKERA?

jessi


(K Ilak) #6

no tak, i ty mi pomogłaś :slight_smile: ale właśnie po tym wystąpił ten problem ze stronkami...


(jessica) #7

Czy mam przez to rozumieć, że dalej jest blokada?

jessi


(K Ilak) #8

jak zrobiłem to z ComboFixem to działało, a kiedy następnego dnia chciałem w wbić, to nie działa, co jest???


(jessica) #9

Domyślam się, że Twój dostawca internetowy zablokował Ci dostęp do internetu, bo pewnie zauważył, że masz Confickera.

No cóż, w takim przypadku poszukaj innego dostawcy internetu, bo ten już raczej nigdy nie usunie blokady.

jessi


(K Ilak) #10

no ale popatrz, że zablokował tylko do antywirów! !!


(jessica) #11

No to daj od nowa log z ComboFixa.

Poza tym:

>>C:\WINDOWS\system32\drivers\etc\ HOSTS >> otwórz jako Notatnik >>usuń wszystkie wpisy , zostaw tylko:

127.0.0.1 localhost oraz te wpisy, które sam tam dodałeś.

jessi


(K Ilak) #12

co do tego hosts to tam nic nie miałem, log:

#


ComboFix 09-10-26.06 - Karolek 2009-10-27 21:11.6.2 - NTFSx86


#


Microsoft Windows XP Professional 5.1.2600.2.1250.48.1045.18.510.119 [GMT 1:00]


#


Uruchomiony z: c:\documents and settings\Karolek\Pulpit\ComboFix.exe


#


AV: AVG Anti-Virus Free *On-access scanning enabled* (Outdated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}


#


.


#



#


((((((((((((((((((((((((( Pliki utworzone od 2009-09-27 do 2009-10-27 )))))))))))))))))))))))))))))))


#


.


#



#


2009-10-25 16:51 . 2009-10-25 16:53	--------	d-----w-	C:\$AVG8.VAULT$


#


2009-10-25 15:26 . 2009-10-25 15:26	76040	----a-w-	c:\windows\system32\drivers\avgtdix.sys


#


2009-10-25 15:26 . 2009-10-25 15:26	10520	----a-w-	c:\windows\system32\avgrsstx.dll


#


2009-10-25 15:26 . 2009-10-25 15:26	97928	----a-w-	c:\windows\system32\drivers\avgldx86.sys


#


2009-10-25 15:26 . 2009-10-25 15:26	26824	----a-w-	c:\windows\system32\drivers\avgmfx86.sys


#


2009-10-25 15:26 . 2009-10-25 15:26	--------	d-----w-	c:\windows\system32\drivers\Avg


#


2009-10-25 15:26 . 2009-10-25 15:26	--------	d-----w-	c:\program files\AVG


#


2009-10-25 15:26 . 2009-10-25 15:26	--------	d-----w-	c:\documents and settings\All Users.WINDOWS\Dane aplikacji\avg8


#


2009-10-24 12:28 . 2009-10-24 12:28	--------	d-----w-	c:\documents and settings\Tata.KOMPUTER\Dane aplikacji\iolo


#


2009-10-24 12:28 . 2009-10-24 12:28	--------	d-----w-	c:\documents and settings\All Users.WINDOWS\Dane aplikacji\iolo


#


2009-10-22 08:39 . 2009-10-22 08:39	--------	d-s---w-	c:\documents and settings\Karolek\UserData


#


2009-10-20 20:03 . 2008-05-15 23:24	1152888	----a-w-	c:\windows\system32\aswBoot.exe


#


2009-10-17 13:23 . 2009-10-17 13:23	--------	d-----w-	c:\program files\MSECache


#


2009-10-17 10:17 . 2009-10-17 10:17	--------	d-----w-	c:\documents and settings\Karolek\Ustawienia lokalne\Dane aplikacji\Apple


#


2009-10-16 17:58 . 2009-10-16 17:58	--------	d-----w-	c:\documents and settings\Karolek\Dane aplikacji\AdobeUM


#


2009-10-16 17:56 . 2009-10-16 17:56	--------	d-----w-	c:\documents and settings\Karolek\Ustawienia lokalne\Dane aplikacji\Adobe


#


2009-10-16 17:06 . 1997-12-11 11:38	171520	----a-w-	c:\windows\Helion Screen Saver.scr


#


2009-10-16 17:03 . 2009-10-16 17:03	--------	d-----w-	c:\documents and settings\Karolek\WINDOWS


#


2009-10-12 16:15 . 2009-10-12 16:15	--------	d-----w-	c:\documents and settings\Tata.KOMPUTER\Dane aplikacji\Talkback


#


2009-10-12 16:15 . 2009-10-12 16:15	--------	d-----w-	c:\documents and settings\Tata.KOMPUTER\Ustawienia lokalne\Dane aplikacji\Thunderbird


#


2009-10-12 16:15 . 2009-10-12 16:15	--------	d-----w-	c:\documents and settings\Tata.KOMPUTER\Dane aplikacji\Thunderbird


#


2009-10-10 20:23 . 2009-10-10 20:23	--------	d-----w-	c:\documents and settings\Karolek\Ustawienia lokalne\Dane aplikacji\Thunderbird


#


2009-10-10 20:23 . 2009-10-10 20:23	--------	d-----w-	c:\documents and settings\Karolek\Dane aplikacji\Thunderbird


#


2009-10-09 08:23 . 2009-10-15 09:44	75488	----a-w-	c:\documents and settings\Tata.KOMPUTER\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT


#


2009-10-08 09:00 . 2009-10-08 09:00	--------	d-s---w-	c:\documents and settings\Tata.KOMPUTER\UserData


#


2009-10-06 08:44 . 2009-10-06 08:45	--------	d-----w-	c:\documents and settings\Karolek\Ustawienia lokalne\Dane aplikacji\lazarus


#


2009-10-06 08:44 . 2008-11-28 10:36	1404928	----a-w-	c:\windows\system32\libqt4intf.dll


#


2009-10-03 14:14 . 2009-10-03 14:14	--------	d-----w-	c:\documents and settings\Karolek\Dane aplikacji\Panasonic


#


2009-10-02 17:25 . 2009-10-02 17:26	--------	d-----w-	c:\program files\ABBYY FineReader 6.0 Sprint


#


2009-10-02 17:22 . 2009-10-02 17:22	--------	d-----w-	c:\documents and settings\All Users.WINDOWS\Dane aplikacji\EPSON


#


2009-10-02 17:21 . 2004-09-10 20:12	49152	----a-w-	c:\windows\system32\E_DCINST.DLL


#


2009-10-02 17:21 . 2006-12-08 02:04	76800	----a-w-	c:\windows\system32\E_FLBCDE.DLL


#


2009-10-02 17:21 . 2006-04-19 02:00	62976	----a-w-	c:\windows\system32\E_FD4BCDE.DLL


#


2009-10-02 17:20 . 2009-10-02 17:26	--------	d-----w-	c:\program files\epson


#


2009-10-02 17:20 . 2007-03-26 22:00	67072	----a-w-	c:\windows\system32\escwiad.dll


#


2009-09-29 16:56 . 2009-09-29 16:56	--------	d-----w-	c:\documents and settings\Karolek\Ustawienia lokalne\Dane aplikacji\Scansoft


#


2009-09-29 09:20 . 2009-09-29 09:20	--------	d-----w-	c:\documents and settings\Tata.KOMPUTER\Ustawienia lokalne\Dane aplikacji\Scansoft


#


2009-09-29 07:43 . 2006-09-05 10:28	38480	------w-	c:\windows\system32\IJRMF.exe


#


2009-09-29 07:42 . 2009-09-29 07:42	--------	d-----w-	c:\documents and settings\All Users.WINDOWS\Dane aplikacji\InstallShield


#


2009-09-29 07:42 . 2009-09-29 07:42	--------	d-----w-	c:\documents and settings\Karolek\Dane aplikacji\ScanSoft


#


2009-09-29 07:42 . 2009-09-29 07:42	--------	d-----w-	c:\documents and settings\All Users.WINDOWS\Dane aplikacji\ScanSoft


#


2009-09-29 07:31 . 2009-09-29 07:45	--------	d-----w-	c:\documents and settings\Karolek\Dane aplikacji\Canon


#


2009-09-29 07:31 . 2009-09-29 07:31	--------	d-----w-	c:\documents and settings\Karolek\Dane aplikacji\Creative


#



#


.


#


(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))


#


.


#


2009-10-25 14:46 . 2009-09-06 17:46	--------	d-----w-	c:\documents and settings\Karolek\Dane aplikacji\Skype


#


2009-10-25 07:55 . 2001-10-26 14:15	85244	----a-w-	c:\windows\system32\perfc015.dat


#


2009-10-25 07:55 . 2001-10-26 14:15	494156	----a-w-	c:\windows\system32\perfh015.dat


#


2009-10-13 15:45 . 2009-09-06 16:50	75488	----a-w-	c:\documents and settings\Karolek\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT


#


2009-10-11 20:18 . 2009-06-20 20:16	--------	d-----w-	c:\documents and settings\All Users.WINDOWS\Dane aplikacji\Microsoft Help


#


2009-10-02 17:27 . 2007-04-30 12:12	--------	d--h--w-	c:\program files\InstallShield Installation Information


#


2009-10-01 16:03 . 2009-09-06 17:22	--------	d-----w-	c:\documents and settings\Karolek\Dane aplikacji\Nowe Gadu-Gadu


#


2009-09-25 20:41 . 2009-09-25 19:32	568	---ha-w-	C:\os678647.bin


#


2009-09-25 19:33 . 2009-09-25 19:33	--------	d-----w-	c:\documents and settings\Karolek\Dane aplikacji\DivX


#


2009-09-20 08:52 . 2009-08-20 16:20	618	----a-w-	c:\windows\eReg.dat


#


2009-09-19 10:00 . 2009-09-19 09:26	--------	d-----w-	c:\documents and settings\Karolek\Dane aplikacji\Dev-Cpp


#


2009-09-18 16:12 . 2009-09-18 16:12	--------	d-----w-	c:\program files\EA SPORTS


#


2009-09-18 16:11 . 2009-09-18 16:11	--------	d--h--r-	c:\documents and settings\Karolek\Dane aplikacji\SecuROM


#


2009-09-18 16:11 . 2009-09-18 16:11	107888	----a-w-	c:\windows\system32\CmdLineExt.dll


#


2009-09-16 08:47 . 2009-09-16 08:47	53616	---ha-w-	c:\windows\system32\mlfcache.dat


#


2009-09-13 16:02 . 2009-09-13 16:02	--------	d-----w-	c:\documents and settings\Karolek\Dane aplikacji\ATI


#


2009-09-05 11:14 . 2004-08-03 22:44	6656	----a-w-	c:\windows\system32\lpcio.dll


#


2009-08-28 13:48 . 2009-08-28 13:48	271360	----a-w-	c:\windows\system32\drivers\atksgt.sys


#


2009-08-28 13:48 . 2009-08-28 13:48	18048	----a-w-	c:\windows\system32\drivers\lirsgt.sys


#


2008-09-09 12:22 . 2008-09-09 12:22	14275	----a-w-	c:\program files\settings.dat


#


2004-08-03 22:44 . 2004-08-03 22:44	167403	--sha-r-	c:\windows\system32\ljtsxmeu.dll


#


.


#



#


((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))


#


.


#


.


#


*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane  


#


REGEDIT4


#



#


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]


#


"RocketDock"="c:\documents and settings\Karolek\Pulpit\Moje\PROGRAMY\RocketDock\RocketDock.exe" [2007-09-02 495616]


#


"FirstCap"="e:\firstcap\CapHk.exe" [2003-11-28 61440]


#


"Creative WebCam Tray"="c:\program files\Creative\Shared Files\CamTray.exe" [2005-10-27 299008]


#


"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-06-21 39408]


#



#


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]


#


"CTRegRun"="c:\windows\CTRegRun.EXE" [1999-10-10 41984]


#


"SSBkgdUpdate"="c:\program files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-09-28 185896]


#


"QuickTime Task"="e:\quicktime\qttask.exe" [2007-06-29 286720]


#


"OpwareSE4"="e:\omnipage\OpwareSE4.exe" [2006-10-11 75304]


#


"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]


#


"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016]


#


"ATICCC"="c:\program files\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-09-25 90112]


#


"AVG8_TRAY"="e:\avgfre~1.0\avgtray.exe" [2009-10-25 1234712]


#


"SoundMan"="SOUNDMAN.EXE" - c:\windows\soundman.exe [2006-06-20 577536]


#



#


[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]


#


"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360]


#



#


c:\documents and settings\All Users.WINDOWS\Menu Start\Programy\Autostart\


#


Adobe Reader Speed Launch.lnk - e:\adobe acrobat reader 7.0.5\Reader\reader_sl.exe [2005-9-24 29696]


#


PHOTOfunSTUDIO -viewer-.lnk - e:\photofunstudio-viewer-\PhAutoRun.exe [2009-7-11 40960]


#



#


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]


#


"AppInit_DLLs"=c:\windows\system32\avgrsstx.dll


#



#


[HKLM\~\startupfolder\C:^Documents and Settings^Karolek^Menu Start^Programy^Autostart^Tworzenie wycinków ekranu i uruchamianie programu OneNote 2007.lnk]


#


path=c:\documents and settings\Karolek\Menu Start\Programy\Autostart\Tworzenie wycinków ekranu i uruchamianie programu OneNote 2007.lnk


#


backup=c:\windows\pss\Tworzenie wycinków ekranu i uruchamianie programu OneNote 2007.lnkStartup


#



#


[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]


#


"%windir%\\system32\\sessmgr.exe"=


#


"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=


#


"c:\\Program Files\\Microsoft Office\\Office12\\GROOVE.EXE"=


#


"c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=


#


"d:\\Metin2\\metin2.bin"=


#


"e:\\Nowe Gadu-Gadu5\\gg.exe"=


#


"e:\\Gadu-Gadu\\gg.exe"=


#


"d:\\XRX\\XRX.exe"=


#


"e:\\Skype\\Phone\\Skype.exe"=


#


"d:\\Metin2\\metin2client.bin"=


#


"c:\\Documents and Settings\\Karolek\\Pulpit\\Moje\\skróty\\Skype.exe"=


#


"e:\\AVG Free 8.0\\avgemc.exe"=


#


"e:\\AVG Free 8.0\\avgupd.exe"=


#



#


[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]


#


"9136:TCP"= 9136:TCP:uyzgm


#



#


R0 xfilt;VIA SATA IDE Hot-plug Driver;c:\windows\system32\drivers\xfilt.sys [2009-06-20 11264]


#


R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [2009-10-25 97928]


#


R2 avg8emc;AVG Free8 E-mail Scanner;e:\avgfre~1.0\avgemc.exe [2009-10-25 875288]


#


R2 avg8wd;AVG Free8 WatchDog;e:\avgfre~1.0\avgwdsvc.exe [2009-10-25 231704]


#


R2 AvgTdiX;AVG Free8 Network Redirector;c:\windows\system32\drivers\avgtdix.sys [2009-10-25 76040]


#


R3 V0260VID;Live! Cam Vista IM;c:\windows\system32\drivers\V0260Vid.sys [2009-06-21 162176]


#


S2 qgofaeey;Helper Network;c:\windows\system32\svchost.exe -k netsvcs [2004-08-03 14336]


#


S3 SetupNTGLM7X;SetupNTGLM7X;\??\g:\ntglm7x.sys --> g:\NTGLM7X.sys [?]


#



#


--- Inne Usługi/Sterowniki w Pamięci ---


#



#


*NewlyCreated* - MBR


#


*Deregistered* - mbr


#



#


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs


#


qgofaeey


#


.


#


Zawartość folderu 'Zaplanowane zadania'


#



#


2009-10-24 c:\windows\Tasks\AppleSoftwareUpdate.job


#


- c:\program files\Apple Software Update\SoftwareUpdate.exe [2007-06-03 11:42]


#



#


2009-10-25 c:\windows\Tasks\Norton Security Scan for Admin.job


#


- c:\program files\Norton Security Scan\Norton Security Scan\Engine\2.3.0.44\Nss.exe [2009-08-14 16:02]


#


.


#


.


#


------- Skan uzupełniający -------


#


.


#


uSearch Page = hxxp://www.google.com


#


uSearch Bar = hxxp://www.google.com/ie


#


uSearchURL,(Default) = hxxp://www.google.com/search?q=%s


#


IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200


#


IE: E&ksportuj do programu Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000


#


IE: Easy-WebPrint – Dodaj do listy drukowania - c:\program files\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html


#


IE: Easy-WebPrint – Drukuj - c:\program files\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html


#


IE: Easy-WebPrint – Drukuj z dużą szybkością - c:\program files\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html


#


IE: Easy-WebPrint – Podgląd - c:\program files\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html


#


FF - ProfilePath - c:\documents and settings\Karolek\Dane aplikacji\Mozilla\Firefox\Profiles\vnbf7k74.default\


#


FF - plugin: e:\adobe acrobat reader 7.0.5\Reader\browser\nppdf32.dll


#


FF - plugin: e:\mozilla firefox\plugins\npOggX.dll


#


FF - plugin: e:\picasa3\npPicasa3.dll


#


FF - plugin: e:\quicktime\Plugins\npqtplugin.dll


#


FF - plugin: e:\quicktime\Plugins\npqtplugin2.dll


#


FF - plugin: e:\quicktime\Plugins\npqtplugin3.dll


#


FF - plugin: e:\quicktime\Plugins\npqtplugin4.dll


#


FF - plugin: e:\quicktime\Plugins\npqtplugin5.dll


#


FF - plugin: e:\quicktime\Plugins\npqtplugin6.dll


#


FF - plugin: e:\quicktime\Plugins\npqtplugin7.dll


#


.


#



#


**************************************************************************


#



#


catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net


#


Rootkit scan 2009-10-27 21:19


#


Windows 5.1.2600 Dodatek Service Pack 2 NTFS


#



#


skanowanie ukrytych procesów ...  


#



#


skanowanie ukrytych wpisów autostartu ... 


#



#


skanowanie ukrytych plików ...  


#



#


skanowanie pomyślnie ukończone


#


ukryte pliki: 0


#



#


**************************************************************************


#



#


[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\qgofaeey]


#


"ServiceDll"="c:\windows\system32\ljtsxmeu.dll"


#


.


#


--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------


#



#


- - - - - - - > 'winlogon.exe'(588)


#


c:\windows\system32\avgrsstx.dll


#


c:\windows\system32\Ati2evxx.dll


#



#


- - - - - - - > 'lsass.exe'(696)


#


c:\windows\system32\avgrsstx.dll


#



#


- - - - - - - > 'explorer.exe'(1556)


#


e:\omnipage\OpHookSE4.dll


#


e:\firstcap\WndHk.dll


#


c:\windows\system32\msi.dll


#


.


#


Czas ukończenia: 2009-10-27 21:21


#


ComboFix-quarantined-files.txt 2009-10-27 20:21


#


ComboFix2.txt 2009-10-25 19:55


#


ComboFix3.txt 2009-10-25 17:55


#


ComboFix4.txt 2009-10-22 09:02


#



#


Przed: 3 657 170 944 bajtów wolnych


#


Po: 3 670 806 528 bajtów wolnych


#



#


- - End Of File - - C8BC4512B8EC5C3A1503C12D9E1F01C2

-- Dodane 27.10.2009 (Wt) 21:28 --

możesz też na wlej.org zobaczyc ten sam log: http://wklej.org/id/187662/


(deFco247) #13

No niestety Conficker do Ciebie powraca.

Otwórz Notatnik i wklej do niego:

Plik zapisz pod nazwą CFScript , najlepiej w tym samym folderze co Combofix.exe

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę Combofix.exe

Powinno się rozpocząć usuwanie.

_ Potem dajesz log z usuwania Combofix. _


(K Ilak) #14

log:

ComboFix 09-10-26.06 - Karolek 2009-10-28 11:06.7.2 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1250.48.1045.18.510.205 [GMT 1:00]

Uruchomiony z: c:\documents and settings\Karolek\Pulpit\ComboFix.exe

Użyto następujących komend :: c:\documents and settings\Karolek\Pulpit\CFScript.txt

AV: AVG Anti-Virus Free *On-access scanning enabled* (Outdated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}


FILE ::

"c:\windows\system32\ljtsxmeu.dll"

.


((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))

.


c:\windows\system32\ljtsxmeu.dll


.

((((((((((((((((((((((((((((((((((((((( Sterowniki/Usługi )))))))))))))))))))))))))))))))))))))))))))))))))

.


-------\Legacy_QGOFAEEY

-------\Service_qgofaeey



((((((((((((((((((((((((( Pliki utworzone od 2009-09-28 do 2009-10-28 )))))))))))))))))))))))))))))))

.


2009-10-25 16:51 . 2009-10-25 16:53	--------	d-----w-	C:\$AVG8.VAULT$

2009-10-25 15:26 . 2009-10-25 15:26	76040	----a-w-	c:\windows\system32\drivers\avgtdix.sys

2009-10-25 15:26 . 2009-10-25 15:26	10520	----a-w-	c:\windows\system32\avgrsstx.dll

2009-10-25 15:26 . 2009-10-25 15:26	97928	----a-w-	c:\windows\system32\drivers\avgldx86.sys

2009-10-25 15:26 . 2009-10-25 15:26	26824	----a-w-	c:\windows\system32\drivers\avgmfx86.sys

2009-10-25 15:26 . 2009-10-25 15:26	--------	d-----w-	c:\windows\system32\drivers\Avg

2009-10-25 15:26 . 2009-10-25 15:26	--------	d-----w-	c:\program files\AVG

2009-10-25 15:26 . 2009-10-25 15:26	--------	d-----w-	c:\documents and settings\All Users.WINDOWS\Dane aplikacji\avg8

2009-10-24 12:28 . 2009-10-24 12:28	--------	d-----w-	c:\documents and settings\Tata.KOMPUTER\Dane aplikacji\iolo

2009-10-24 12:28 . 2009-10-24 12:28	--------	d-----w-	c:\documents and settings\All Users.WINDOWS\Dane aplikacji\iolo

2009-10-22 08:39 . 2009-10-22 08:39	--------	d-s---w-	c:\documents and settings\Karolek\UserData

2009-10-20 20:03 . 2008-05-15 23:24	1152888	----a-w-	c:\windows\system32\aswBoot.exe

2009-10-17 13:23 . 2009-10-17 13:23	--------	d-----w-	c:\program files\MSECache

2009-10-17 10:17 . 2009-10-17 10:17	--------	d-----w-	c:\documents and settings\Karolek\Ustawienia lokalne\Dane aplikacji\Apple

2009-10-16 17:58 . 2009-10-16 17:58	--------	d-----w-	c:\documents and settings\Karolek\Dane aplikacji\AdobeUM

2009-10-16 17:56 . 2009-10-16 17:56	--------	d-----w-	c:\documents and settings\Karolek\Ustawienia lokalne\Dane aplikacji\Adobe

2009-10-16 17:06 . 1997-12-11 11:38	171520	----a-w-	c:\windows\Helion Screen Saver.scr

2009-10-16 17:03 . 2009-10-16 17:03	--------	d-----w-	c:\documents and settings\Karolek\WINDOWS

2009-10-12 16:15 . 2009-10-12 16:15	--------	d-----w-	c:\documents and settings\Tata.KOMPUTER\Dane aplikacji\Talkback

2009-10-12 16:15 . 2009-10-12 16:15	--------	d-----w-	c:\documents and settings\Tata.KOMPUTER\Ustawienia lokalne\Dane aplikacji\Thunderbird

2009-10-12 16:15 . 2009-10-12 16:15	--------	d-----w-	c:\documents and settings\Tata.KOMPUTER\Dane aplikacji\Thunderbird

2009-10-10 20:23 . 2009-10-10 20:23	--------	d-----w-	c:\documents and settings\Karolek\Ustawienia lokalne\Dane aplikacji\Thunderbird

2009-10-10 20:23 . 2009-10-10 20:23	--------	d-----w-	c:\documents and settings\Karolek\Dane aplikacji\Thunderbird

2009-10-09 08:23 . 2009-10-15 09:44	75488	----a-w-	c:\documents and settings\Tata.KOMPUTER\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT

2009-10-08 09:00 . 2009-10-08 09:00	--------	d-s---w-	c:\documents and settings\Tata.KOMPUTER\UserData

2009-10-06 08:44 . 2009-10-06 08:45	--------	d-----w-	c:\documents and settings\Karolek\Ustawienia lokalne\Dane aplikacji\lazarus

2009-10-06 08:44 . 2008-11-28 10:36	1404928	----a-w-	c:\windows\system32\libqt4intf.dll

2009-10-03 14:14 . 2009-10-03 14:14	--------	d-----w-	c:\documents and settings\Karolek\Dane aplikacji\Panasonic

2009-10-02 17:25 . 2009-10-02 17:26	--------	d-----w-	c:\program files\ABBYY FineReader 6.0 Sprint

2009-10-02 17:22 . 2009-10-02 17:22	--------	d-----w-	c:\documents and settings\All Users.WINDOWS\Dane aplikacji\EPSON

2009-10-02 17:21 . 2004-09-10 20:12	49152	----a-w-	c:\windows\system32\E_DCINST.DLL

2009-10-02 17:21 . 2006-12-08 02:04	76800	----a-w-	c:\windows\system32\E_FLBCDE.DLL

2009-10-02 17:21 . 2006-04-19 02:00	62976	----a-w-	c:\windows\system32\E_FD4BCDE.DLL

2009-10-02 17:20 . 2009-10-02 17:26	--------	d-----w-	c:\program files\epson

2009-10-02 17:20 . 2007-03-26 22:00	67072	----a-w-	c:\windows\system32\escwiad.dll

2009-09-29 16:56 . 2009-09-29 16:56	--------	d-----w-	c:\documents and settings\Karolek\Ustawienia lokalne\Dane aplikacji\Scansoft

2009-09-29 09:20 . 2009-09-29 09:20	--------	d-----w-	c:\documents and settings\Tata.KOMPUTER\Ustawienia lokalne\Dane aplikacji\Scansoft

2009-09-29 07:43 . 2006-09-05 10:28	38480	------w-	c:\windows\system32\IJRMF.exe

2009-09-29 07:42 . 2009-09-29 07:42	--------	d-----w-	c:\documents and settings\All Users.WINDOWS\Dane aplikacji\InstallShield

2009-09-29 07:42 . 2009-09-29 07:42	--------	d-----w-	c:\documents and settings\Karolek\Dane aplikacji\ScanSoft

2009-09-29 07:42 . 2009-09-29 07:42	--------	d-----w-	c:\documents and settings\All Users.WINDOWS\Dane aplikacji\ScanSoft

2009-09-29 07:31 . 2009-09-29 07:45	--------	d-----w-	c:\documents and settings\Karolek\Dane aplikacji\Canon

2009-09-29 07:31 . 2009-09-29 07:31	--------	d-----w-	c:\documents and settings\Karolek\Dane aplikacji\Creative


.

(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-10-25 14:46 . 2009-09-06 17:46	--------	d-----w-	c:\documents and settings\Karolek\Dane aplikacji\Skype

2009-10-25 07:55 . 2001-10-26 14:15	85244	----a-w-	c:\windows\system32\perfc015.dat

2009-10-25 07:55 . 2001-10-26 14:15	494156	----a-w-	c:\windows\system32\perfh015.dat

2009-10-13 15:45 . 2009-09-06 16:50	75488	----a-w-	c:\documents and settings\Karolek\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT

2009-10-11 20:18 . 2009-06-20 20:16	--------	d-----w-	c:\documents and settings\All Users.WINDOWS\Dane aplikacji\Microsoft Help

2009-10-02 17:27 . 2007-04-30 12:12	--------	d--h--w-	c:\program files\InstallShield Installation Information

2009-10-01 16:03 . 2009-09-06 17:22	--------	d-----w-	c:\documents and settings\Karolek\Dane aplikacji\Nowe Gadu-Gadu

2009-09-25 20:41 . 2009-09-25 19:32	568	---ha-w-	C:\os678647.bin

2009-09-25 19:33 . 2009-09-25 19:33	--------	d-----w-	c:\documents and settings\Karolek\Dane aplikacji\DivX

2009-09-20 08:52 . 2009-08-20 16:20	618	----a-w-	c:\windows\eReg.dat

2009-09-19 10:00 . 2009-09-19 09:26	--------	d-----w-	c:\documents and settings\Karolek\Dane aplikacji\Dev-Cpp

2009-09-18 16:12 . 2009-09-18 16:12	--------	d-----w-	c:\program files\EA SPORTS

2009-09-18 16:11 . 2009-09-18 16:11	--------	d--h--r-	c:\documents and settings\Karolek\Dane aplikacji\SecuROM

2009-09-18 16:11 . 2009-09-18 16:11	107888	----a-w-	c:\windows\system32\CmdLineExt.dll

2009-09-16 08:47 . 2009-09-16 08:47	53616	---ha-w-	c:\windows\system32\mlfcache.dat

2009-09-13 16:02 . 2009-09-13 16:02	--------	d-----w-	c:\documents and settings\Karolek\Dane aplikacji\ATI

2009-09-05 11:14 . 2004-08-03 22:44	6656	----a-w-	c:\windows\system32\lpcio.dll

2009-08-28 13:48 . 2009-08-28 13:48	271360	----a-w-	c:\windows\system32\drivers\atksgt.sys

2009-08-28 13:48 . 2009-08-28 13:48	18048	----a-w-	c:\windows\system32\drivers\lirsgt.sys

2008-09-09 12:22 . 2008-09-09 12:22	14275	----a-w-	c:\program files\settings.dat

.


((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane  

REGEDIT4


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"RocketDock"="c:\documents and settings\Karolek\Pulpit\Moje\PROGRAMY\RocketDock\RocketDock.exe" [2007-09-02 495616]

"FirstCap"="e:\firstcap\CapHk.exe" [2003-11-28 61440]

"Creative WebCam Tray"="c:\program files\Creative\Shared Files\CamTray.exe" [2005-10-27 299008]

"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-06-21 39408]


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTRegRun"="c:\windows\CTRegRun.EXE" [1999-10-10 41984]

"SSBkgdUpdate"="c:\program files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-09-28 185896]

"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]

"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016]

"ATICCC"="c:\program files\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-09-25 90112]

"SoundMan"="SOUNDMAN.EXE" - c:\windows\soundman.exe [2006-06-20 577536]


[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360]


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]

2009-10-25 15:26	10520	----a-w-	c:\windows\system32\avgrsstx.dll


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

"AppInit_DLLs"=c:\windows\system32\avgrsstx.dll


[HKLM\~\startupfolder\C:^Documents and Settings^All Users.WINDOWS^Menu Start^Programy^Autostart^Adobe Reader Speed Launch.lnk]

path=c:\documents and settings\All Users.WINDOWS\Menu Start\Programy\Autostart\Adobe Reader Speed Launch.lnk

backup=c:\windows\pss\Adobe Reader Speed Launch.lnkCommon Startup


[HKLM\~\startupfolder\C:^Documents and Settings^All Users.WINDOWS^Menu Start^Programy^Autostart^PHOTOfunSTUDIO -viewer-.lnk]

path=c:\documents and settings\All Users.WINDOWS\Menu Start\Programy\Autostart\PHOTOfunSTUDIO -viewer-.lnk

backup=c:\windows\pss\PHOTOfunSTUDIO -viewer-.lnkCommon Startup


[HKLM\~\startupfolder\C:^Documents and Settings^Karolek^Menu Start^Programy^Autostart^Tworzenie wycinków ekranu i uruchamianie programu OneNote 2007.lnk]

path=c:\documents and settings\Karolek\Menu Start\Programy\Autostart\Tworzenie wycinków ekranu i uruchamianie programu OneNote 2007.lnk

backup=c:\windows\pss\Tworzenie wycinków ekranu i uruchamianie programu OneNote 2007.lnkStartup


[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"c:\\Program Files\\Microsoft Office\\Office12\\GROOVE.EXE"=

"c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=

"d:\\Metin2\\metin2.bin"=

"e:\\Nowe Gadu-Gadu5\\gg.exe"=

"e:\\Gadu-Gadu\\gg.exe"=

"d:\\XRX\\XRX.exe"=

"e:\\Skype\\Phone\\Skype.exe"=

"d:\\Metin2\\metin2client.bin"=

"c:\\Documents and Settings\\Karolek\\Pulpit\\Moje\\skróty\\Skype.exe"=

"e:\\AVG Free 8.0\\avgemc.exe"=

"e:\\AVG Free 8.0\\avgupd.exe"=


R0 xfilt;VIA SATA IDE Hot-plug Driver;c:\windows\system32\drivers\xfilt.sys [2009-06-20 11264]

R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [2009-10-25 97928]

R2 avg8emc;AVG Free8 E-mail Scanner;e:\avgfre~1.0\avgemc.exe [2009-10-25 875288]

R2 avg8wd;AVG Free8 WatchDog;e:\avgfre~1.0\avgwdsvc.exe [2009-10-25 231704]

R2 AvgTdiX;AVG Free8 Network Redirector;c:\windows\system32\drivers\avgtdix.sys [2009-10-25 76040]

R3 V0260VID;Live! Cam Vista IM;c:\windows\system32\drivers\V0260Vid.sys [2009-06-21 162176]

S3 SetupNTGLM7X;SetupNTGLM7X;\??\g:\ntglm7x.sys --> g:\NTGLM7X.sys [?]


--- Inne Usługi/Sterowniki w Pamięci ---


*Deregistered* - mbr

.

Zawartość folderu 'Zaplanowane zadania'


2009-10-24 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program files\Apple Software Update\SoftwareUpdate.exe [2007-06-03 11:42]


2009-10-25 c:\windows\Tasks\Norton Security Scan for Admin.job

- c:\program files\Norton Security Scan\Norton Security Scan\Engine\2.3.0.44\Nss.exe [2009-08-14 16:02]

.

.

------- Skan uzupełniający -------

.

uSearch Page = hxxp://www.google.com

uSearch Bar = hxxp://www.google.com/ie

mDefault_Search_URL = hxxp://www.google.com/ie

uSearchAssistant = hxxp://www.google.com/ie

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

mSearchAssistant = hxxp://www.google.com/ie

IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200

IE: E&ksportuj do programu Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

IE: Easy-WebPrint – Dodaj do listy drukowania - c:\program files\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html

IE: Easy-WebPrint – Drukuj - c:\program files\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html

IE: Easy-WebPrint – Drukuj z dużą szybkością - c:\program files\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html

IE: Easy-WebPrint – Podgląd - c:\program files\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html

FF - ProfilePath - c:\documents and settings\Karolek\Dane aplikacji\Mozilla\Firefox\Profiles\vnbf7k74.default\

FF - plugin: e:\adobe acrobat reader 7.0.5\Reader\browser\nppdf32.dll

FF - plugin: e:\mozilla firefox\plugins\npOggX.dll

FF - plugin: e:\picasa3\npPicasa3.dll

FF - plugin: e:\quicktime\Plugins\npqtplugin.dll

FF - plugin: e:\quicktime\Plugins\npqtplugin2.dll

FF - plugin: e:\quicktime\Plugins\npqtplugin3.dll

FF - plugin: e:\quicktime\Plugins\npqtplugin4.dll

FF - plugin: e:\quicktime\Plugins\npqtplugin5.dll

FF - plugin: e:\quicktime\Plugins\npqtplugin6.dll

FF - plugin: e:\quicktime\Plugins\npqtplugin7.dll

.


**************************************************************************


catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-10-28 11:16

Windows 5.1.2600 Dodatek Service Pack 2 NTFS


skanowanie ukrytych procesów ...  


skanowanie ukrytych wpisów autostartu ... 


skanowanie ukrytych plików ...  


skanowanie pomyślnie ukończone

ukryte pliki: 0


**************************************************************************

.

--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------


- - - - - - - > 'winlogon.exe'(592)

c:\windows\system32\Ati2evxx.dll


- - - - - - - > 'explorer.exe'(2568)

c:\documents and settings\Karolek\Pulpit\Moje\PROGRAMY\RocketDock\RocketDock.dll

e:\firstcap\WndHk.dll

c:\windows\system32\msi.dll

.

------------------------ Pozostałe uruchomione procesy ------------------------

.

c:\windows\system32\Ati2evxx.exe

c:\windows\system32\Ati2evxx.exe

c:\documents and settings\All Users.WINDOWS\Dane aplikacji\EPSON\EPW!3 SSRP\E_S40RP7.EXE

c:\windows\system32\wdfmgr.exe

e:\avgfre~1.0\avgrsx.exe

c:\windows\system32\wscntfy.exe

c:\combofix\CF32369.exe

c:\program files\ATI Technologies\ATI.ACE\CLI.EXE

c:\program files\ATI Technologies\ATI.ACE\cli.exe

c:\program files\ATI Technologies\ATI.ACE\cli.exe

e:\avg free 8.0\avgupd.exe

c:\combofix\PEV.cfxxe

.

**************************************************************************

.

Czas ukończenia: 2009-10-28 11:20 - komputer został uruchomiony ponownie

ComboFix-quarantined-files.txt 2009-10-28 10:20

ComboFix2.txt 2009-10-27 20:21

ComboFix3.txt 2009-10-25 19:55

ComboFix4.txt 2009-10-25 17:55

ComboFix5.txt 2009-10-28 10:04


Przed: 3 596 615 680 bajtów wolnych

Po: 3 548 413 952 bajtów wolnych


- - End Of File - - 1B5565106276BE07B567A836979BB6AA

narazie stronki z antywirami działają :slight_smile:


(jessica) #15

Jest czysto. (na razie!).

Ponieważ zainstalowałeś już poprzednio łatkę Microsoftu, więc reinfekcja nie powraca teraz z sieci.

Pozostają więc dwie drogi:

1) poprzez zarażony pendrive - trzeba go sformatować, bo to nie jest zwykła infekcja "pendrivowa", więc "Flash Disinfector" lub "Panda Vaccine" nic tu nie pomogą.

2) poprzez USB -jeśli komputer jest w sieci domowej - w tym przypadku pozostałe komputery są zarażone.

Usuń ręcznie folder C:**** Qoobox.

Usuń kopie szkodnika z folderu "System Volume Information" poprzez chwilowe wyłączenie "Przywracania Systemu":

jessi


(K Ilak) #16

problem! dostałem klucz od avasta a wyskakuje w oknie, że jest niewłaściwy co jest??