infoR_96
(infoR_96)
25 Październik 2009 18:42
#1
Witam,
Nie idą mi stronki antywirów, takich, jak np. kaspersky.pl, czy avast.com , wyskakuje błąd, że nie można znaleźć serwera, kiedy skanowałem antywirem wyskakiwały błędy Tracking cookie, na każdym koncie w folderze cookies…
Daję loga z ComboFixa:
http://wklej.org/id/185645/
proszę o pomoc
z góry dzięks za odp…
Patryk94
(Patryk94)
25 Październik 2009 18:50
#2
Trackling Cookie z tego co wiem nie jest groźny tylko zapisuje Ci niebezpiezpieczne pliki cookies
infoR_96
(infoR_96)
25 Październik 2009 19:18
#3
no dobra, ale tutaj ważniejsze są te stronki, jak temu zaradzić???
deFco247
(deFco247)
25 Październik 2009 19:25
#4
Miałeś Confickera , którego Combofix już usunął z automatu.
Otwórz Notatnik i wklej do niego:
Plik zapisz jako typ wszystkie pliki pod nazwą plik.reg -> uruchom powstały plik, potwierdź chęć dodania do rejestru -> restart.
Zastosuj OTC .
Wykonaj pełny skan Malwarebytes’ Anti-Malware - znalezione obiekty usuń.
Gdy będą wirusy pokaż raport.
Wyczyść rejestr i dysk CCleaner .
Usuń zbędniki z autostartu.
Jak zabezpieczyć się przed Confickerem/usuwanie: http://www.bezpieczenstwosystemow.pl/in … pic=4809.0
jessica
(jessica)
25 Październik 2009 19:30
#5
W logu widzę tylko ślady wirusa CONFiCKER, ale to na pewno on blokował te stronki Antivirusów.
Wklej do Notatnika :
Driver::
uyzgm
NetSvc::
uyzgm
Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"9136:TCP"=-
>>Plik>>Zapisz jako… >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
-------->
Ma się rozpocząć usuwanie. (i powstanie log).
EDIT:
Jeśli dobrze pamiętam, to przed dwoma dniami też miałeś CONFICKERA?
jessi
infoR_96
(infoR_96)
25 Październik 2009 19:42
#6
no tak, i ty mi pomogłaś ale właśnie po tym wystąpił ten problem ze stronkami…
jessica
(jessica)
25 Październik 2009 20:51
#7
Czy mam przez to rozumieć, że dalej jest blokada?
jessi
infoR_96
(infoR_96)
26 Październik 2009 08:01
#8
jak zrobiłem to z ComboFixem to działało, a kiedy następnego dnia chciałem w wbić, to nie działa, co jest???
jessica
(jessica)
26 Październik 2009 08:17
#9
Domyślam się, że Twój dostawca internetowy zablokował Ci dostęp do internetu, bo pewnie zauważył, że masz Confickera.
No cóż, w takim przypadku poszukaj innego dostawcy internetu, bo ten już raczej nigdy nie usunie blokady.
jessi
infoR_96
(infoR_96)
26 Październik 2009 20:28
#10
no ale popatrz, że zablokował tylko do antywirów!
jessica
(jessica)
27 Październik 2009 01:54
#11
No to daj od nowa log z ComboFixa.
Poza tym:
>>C:\WINDOWS\system32\drivers\etc\ HOSTS >> otwórz jako Notatnik >>usuń wszystkie wpisy , zostaw tylko:
127.0.0.1 localhost oraz te wpisy, które sam tam dodałeś.
jessi
infoR_96
(infoR_96)
27 Październik 2009 20:27
#12
co do tego hosts to tam nic nie miałem, log:
#
ComboFix 09-10-26.06 - Karolek 2009-10-27 21:11.6.2 - NTFSx86
#
Microsoft Windows XP Professional 5.1.2600.2.1250.48.1045.18.510.119 [GMT 1:00]
#
Uruchomiony z: c:\documents and settings\Karolek\Pulpit\ComboFix.exe
#
AV: AVG Anti-Virus Free *On-access scanning enabled* (Outdated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}
#
.
#
#
((((((((((((((((((((((((( Pliki utworzone od 2009-09-27 do 2009-10-27 )))))))))))))))))))))))))))))))
#
.
#
#
2009-10-25 16:51 . 2009-10-25 16:53 -------- d-----w- C:\$AVG8.VAULT$
#
2009-10-25 15:26 . 2009-10-25 15:26 76040 ----a-w- c:\windows\system32\drivers\avgtdix.sys
#
2009-10-25 15:26 . 2009-10-25 15:26 10520 ----a-w- c:\windows\system32\avgrsstx.dll
#
2009-10-25 15:26 . 2009-10-25 15:26 97928 ----a-w- c:\windows\system32\drivers\avgldx86.sys
#
2009-10-25 15:26 . 2009-10-25 15:26 26824 ----a-w- c:\windows\system32\drivers\avgmfx86.sys
#
2009-10-25 15:26 . 2009-10-25 15:26 -------- d-----w- c:\windows\system32\drivers\Avg
#
2009-10-25 15:26 . 2009-10-25 15:26 -------- d-----w- c:\program files\AVG
#
2009-10-25 15:26 . 2009-10-25 15:26 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Dane aplikacji\avg8
#
2009-10-24 12:28 . 2009-10-24 12:28 -------- d-----w- c:\documents and settings\Tata.KOMPUTER\Dane aplikacji\iolo
#
2009-10-24 12:28 . 2009-10-24 12:28 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Dane aplikacji\iolo
#
2009-10-22 08:39 . 2009-10-22 08:39 -------- d-s---w- c:\documents and settings\Karolek\UserData
#
2009-10-20 20:03 . 2008-05-15 23:24 1152888 ----a-w- c:\windows\system32\aswBoot.exe
#
2009-10-17 13:23 . 2009-10-17 13:23 -------- d-----w- c:\program files\MSECache
#
2009-10-17 10:17 . 2009-10-17 10:17 -------- d-----w- c:\documents and settings\Karolek\Ustawienia lokalne\Dane aplikacji\Apple
#
2009-10-16 17:58 . 2009-10-16 17:58 -------- d-----w- c:\documents and settings\Karolek\Dane aplikacji\AdobeUM
#
2009-10-16 17:56 . 2009-10-16 17:56 -------- d-----w- c:\documents and settings\Karolek\Ustawienia lokalne\Dane aplikacji\Adobe
#
2009-10-16 17:06 . 1997-12-11 11:38 171520 ----a-w- c:\windows\Helion Screen Saver.scr
#
2009-10-16 17:03 . 2009-10-16 17:03 -------- d-----w- c:\documents and settings\Karolek\WINDOWS
#
2009-10-12 16:15 . 2009-10-12 16:15 -------- d-----w- c:\documents and settings\Tata.KOMPUTER\Dane aplikacji\Talkback
#
2009-10-12 16:15 . 2009-10-12 16:15 -------- d-----w- c:\documents and settings\Tata.KOMPUTER\Ustawienia lokalne\Dane aplikacji\Thunderbird
#
2009-10-12 16:15 . 2009-10-12 16:15 -------- d-----w- c:\documents and settings\Tata.KOMPUTER\Dane aplikacji\Thunderbird
#
2009-10-10 20:23 . 2009-10-10 20:23 -------- d-----w- c:\documents and settings\Karolek\Ustawienia lokalne\Dane aplikacji\Thunderbird
#
2009-10-10 20:23 . 2009-10-10 20:23 -------- d-----w- c:\documents and settings\Karolek\Dane aplikacji\Thunderbird
#
2009-10-09 08:23 . 2009-10-15 09:44 75488 ----a-w- c:\documents and settings\Tata.KOMPUTER\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT
#
2009-10-08 09:00 . 2009-10-08 09:00 -------- d-s---w- c:\documents and settings\Tata.KOMPUTER\UserData
#
2009-10-06 08:44 . 2009-10-06 08:45 -------- d-----w- c:\documents and settings\Karolek\Ustawienia lokalne\Dane aplikacji\lazarus
#
2009-10-06 08:44 . 2008-11-28 10:36 1404928 ----a-w- c:\windows\system32\libqt4intf.dll
#
2009-10-03 14:14 . 2009-10-03 14:14 -------- d-----w- c:\documents and settings\Karolek\Dane aplikacji\Panasonic
#
2009-10-02 17:25 . 2009-10-02 17:26 -------- d-----w- c:\program files\ABBYY FineReader 6.0 Sprint
#
2009-10-02 17:22 . 2009-10-02 17:22 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Dane aplikacji\EPSON
#
2009-10-02 17:21 . 2004-09-10 20:12 49152 ----a-w- c:\windows\system32\E_DCINST.DLL
#
2009-10-02 17:21 . 2006-12-08 02:04 76800 ----a-w- c:\windows\system32\E_FLBCDE.DLL
#
2009-10-02 17:21 . 2006-04-19 02:00 62976 ----a-w- c:\windows\system32\E_FD4BCDE.DLL
#
2009-10-02 17:20 . 2009-10-02 17:26 -------- d-----w- c:\program files\epson
#
2009-10-02 17:20 . 2007-03-26 22:00 67072 ----a-w- c:\windows\system32\escwiad.dll
#
2009-09-29 16:56 . 2009-09-29 16:56 -------- d-----w- c:\documents and settings\Karolek\Ustawienia lokalne\Dane aplikacji\Scansoft
#
2009-09-29 09:20 . 2009-09-29 09:20 -------- d-----w- c:\documents and settings\Tata.KOMPUTER\Ustawienia lokalne\Dane aplikacji\Scansoft
#
2009-09-29 07:43 . 2006-09-05 10:28 38480 ------w- c:\windows\system32\IJRMF.exe
#
2009-09-29 07:42 . 2009-09-29 07:42 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Dane aplikacji\InstallShield
#
2009-09-29 07:42 . 2009-09-29 07:42 -------- d-----w- c:\documents and settings\Karolek\Dane aplikacji\ScanSoft
#
2009-09-29 07:42 . 2009-09-29 07:42 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Dane aplikacji\ScanSoft
#
2009-09-29 07:31 . 2009-09-29 07:45 -------- d-----w- c:\documents and settings\Karolek\Dane aplikacji\Canon
#
2009-09-29 07:31 . 2009-09-29 07:31 -------- d-----w- c:\documents and settings\Karolek\Dane aplikacji\Creative
#
#
.
#
(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
#
.
#
2009-10-25 14:46 . 2009-09-06 17:46 -------- d-----w- c:\documents and settings\Karolek\Dane aplikacji\Skype
#
2009-10-25 07:55 . 2001-10-26 14:15 85244 ----a-w- c:\windows\system32\perfc015.dat
#
2009-10-25 07:55 . 2001-10-26 14:15 494156 ----a-w- c:\windows\system32\perfh015.dat
#
2009-10-13 15:45 . 2009-09-06 16:50 75488 ----a-w- c:\documents and settings\Karolek\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT
#
2009-10-11 20:18 . 2009-06-20 20:16 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Dane aplikacji\Microsoft Help
#
2009-10-02 17:27 . 2007-04-30 12:12 -------- d--h--w- c:\program files\InstallShield Installation Information
#
2009-10-01 16:03 . 2009-09-06 17:22 -------- d-----w- c:\documents and settings\Karolek\Dane aplikacji\Nowe Gadu-Gadu
#
2009-09-25 20:41 . 2009-09-25 19:32 568 ---ha-w- C:\os678647.bin
#
2009-09-25 19:33 . 2009-09-25 19:33 -------- d-----w- c:\documents and settings\Karolek\Dane aplikacji\DivX
#
2009-09-20 08:52 . 2009-08-20 16:20 618 ----a-w- c:\windows\eReg.dat
#
2009-09-19 10:00 . 2009-09-19 09:26 -------- d-----w- c:\documents and settings\Karolek\Dane aplikacji\Dev-Cpp
#
2009-09-18 16:12 . 2009-09-18 16:12 -------- d-----w- c:\program files\EA SPORTS
#
2009-09-18 16:11 . 2009-09-18 16:11 -------- d--h--r- c:\documents and settings\Karolek\Dane aplikacji\SecuROM
#
2009-09-18 16:11 . 2009-09-18 16:11 107888 ----a-w- c:\windows\system32\CmdLineExt.dll
#
2009-09-16 08:47 . 2009-09-16 08:47 53616 ---ha-w- c:\windows\system32\mlfcache.dat
#
2009-09-13 16:02 . 2009-09-13 16:02 -------- d-----w- c:\documents and settings\Karolek\Dane aplikacji\ATI
#
2009-09-05 11:14 . 2004-08-03 22:44 6656 ----a-w- c:\windows\system32\lpcio.dll
#
2009-08-28 13:48 . 2009-08-28 13:48 271360 ----a-w- c:\windows\system32\drivers\atksgt.sys
#
2009-08-28 13:48 . 2009-08-28 13:48 18048 ----a-w- c:\windows\system32\drivers\lirsgt.sys
#
2008-09-09 12:22 . 2008-09-09 12:22 14275 ----a-w- c:\program files\settings.dat
#
2004-08-03 22:44 . 2004-08-03 22:44 167403 --sha-r- c:\windows\system32\ljtsxmeu.dll
#
.
#
#
((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
#
.
#
.
#
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
#
REGEDIT4
#
#
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
#
"RocketDock"="c:\documents and settings\Karolek\Pulpit\Moje\PROGRAMY\RocketDock\RocketDock.exe" [2007-09-02 495616]
#
"FirstCap"="e:\firstcap\CapHk.exe" [2003-11-28 61440]
#
"Creative WebCam Tray"="c:\program files\Creative\Shared Files\CamTray.exe" [2005-10-27 299008]
#
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-06-21 39408]
#
#
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
#
"CTRegRun"="c:\windows\CTRegRun.EXE" [1999-10-10 41984]
#
"SSBkgdUpdate"="c:\program files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-09-28 185896]
#
"QuickTime Task"="e:\quicktime\qttask.exe" [2007-06-29 286720]
#
"OpwareSE4"="e:\omnipage\OpwareSE4.exe" [2006-10-11 75304]
#
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
#
"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016]
#
"ATICCC"="c:\program files\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-09-25 90112]
#
"AVG8_TRAY"="e:\avgfre~1.0\avgtray.exe" [2009-10-25 1234712]
#
"SoundMan"="SOUNDMAN.EXE" - c:\windows\soundman.exe [2006-06-20 577536]
#
#
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
#
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360]
#
#
c:\documents and settings\All Users.WINDOWS\Menu Start\Programy\Autostart\
#
Adobe Reader Speed Launch.lnk - e:\adobe acrobat reader 7.0.5\Reader\reader_sl.exe [2005-9-24 29696]
#
PHOTOfunSTUDIO -viewer-.lnk - e:\photofunstudio-viewer-\PhAutoRun.exe [2009-7-11 40960]
#
#
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
#
"AppInit_DLLs"=c:\windows\system32\avgrsstx.dll
#
#
[HKLM\~\startupfolder\C:^Documents and Settings^Karolek^Menu Start^Programy^Autostart^Tworzenie wycinków ekranu i uruchamianie programu OneNote 2007.lnk]
#
path=c:\documents and settings\Karolek\Menu Start\Programy\Autostart\Tworzenie wycinków ekranu i uruchamianie programu OneNote 2007.lnk
#
backup=c:\windows\pss\Tworzenie wycinków ekranu i uruchamianie programu OneNote 2007.lnkStartup
#
#
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
#
"%windir%\\system32\\sessmgr.exe"=
#
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
#
"c:\\Program Files\\Microsoft Office\\Office12\\GROOVE.EXE"=
#
"c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=
#
"d:\\Metin2\\metin2.bin"=
#
"e:\\Nowe Gadu-Gadu5\\gg.exe"=
#
"e:\\Gadu-Gadu\\gg.exe"=
#
"d:\\XRX\\XRX.exe"=
#
"e:\\Skype\\Phone\\Skype.exe"=
#
"d:\\Metin2\\metin2client.bin"=
#
"c:\\Documents and Settings\\Karolek\\Pulpit\\Moje\\skróty\\Skype.exe"=
#
"e:\\AVG Free 8.0\\avgemc.exe"=
#
"e:\\AVG Free 8.0\\avgupd.exe"=
#
#
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
#
"9136:TCP"= 9136:TCP:uyzgm
#
#
R0 xfilt;VIA SATA IDE Hot-plug Driver;c:\windows\system32\drivers\xfilt.sys [2009-06-20 11264]
#
R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [2009-10-25 97928]
#
R2 avg8emc;AVG Free8 E-mail Scanner;e:\avgfre~1.0\avgemc.exe [2009-10-25 875288]
#
R2 avg8wd;AVG Free8 WatchDog;e:\avgfre~1.0\avgwdsvc.exe [2009-10-25 231704]
#
R2 AvgTdiX;AVG Free8 Network Redirector;c:\windows\system32\drivers\avgtdix.sys [2009-10-25 76040]
#
R3 V0260VID;Live! Cam Vista IM;c:\windows\system32\drivers\V0260Vid.sys [2009-06-21 162176]
#
S2 qgofaeey;Helper Network;c:\windows\system32\svchost.exe -k netsvcs [2004-08-03 14336]
#
S3 SetupNTGLM7X;SetupNTGLM7X;\??\g:\ntglm7x.sys --> g:\NTGLM7X.sys [?]
#
#
--- Inne Usługi/Sterowniki w Pamięci ---
#
#
*NewlyCreated* - MBR
#
*Deregistered* - mbr
#
#
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
#
qgofaeey
#
.
#
Zawartość folderu 'Zaplanowane zadania'
#
#
2009-10-24 c:\windows\Tasks\AppleSoftwareUpdate.job
#
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2007-06-03 11:42]
#
#
2009-10-25 c:\windows\Tasks\Norton Security Scan for Admin.job
#
- c:\program files\Norton Security Scan\Norton Security Scan\Engine\2.3.0.44\Nss.exe [2009-08-14 16:02]
#
.
#
.
#
------- Skan uzupełniający -------
#
.
#
uSearch Page = hxxp://www.google.com
#
uSearch Bar = hxxp://www.google.com/ie
#
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
#
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
#
IE: E&ksportuj do programu Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
#
IE: Easy-WebPrint – Dodaj do listy drukowania - c:\program files\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
#
IE: Easy-WebPrint – Drukuj - c:\program files\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
#
IE: Easy-WebPrint – Drukuj z dużą szybkością - c:\program files\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
#
IE: Easy-WebPrint – Podgląd - c:\program files\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
#
FF - ProfilePath - c:\documents and settings\Karolek\Dane aplikacji\Mozilla\Firefox\Profiles\vnbf7k74.default\
#
FF - plugin: e:\adobe acrobat reader 7.0.5\Reader\browser\nppdf32.dll
#
FF - plugin: e:\mozilla firefox\plugins\npOggX.dll
#
FF - plugin: e:\picasa3\npPicasa3.dll
#
FF - plugin: e:\quicktime\Plugins\npqtplugin.dll
#
FF - plugin: e:\quicktime\Plugins\npqtplugin2.dll
#
FF - plugin: e:\quicktime\Plugins\npqtplugin3.dll
#
FF - plugin: e:\quicktime\Plugins\npqtplugin4.dll
#
FF - plugin: e:\quicktime\Plugins\npqtplugin5.dll
#
FF - plugin: e:\quicktime\Plugins\npqtplugin6.dll
#
FF - plugin: e:\quicktime\Plugins\npqtplugin7.dll
#
.
#
#
**************************************************************************
#
#
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
#
Rootkit scan 2009-10-27 21:19
#
Windows 5.1.2600 Dodatek Service Pack 2 NTFS
#
#
skanowanie ukrytych procesów ...
#
#
skanowanie ukrytych wpisów autostartu ...
#
#
skanowanie ukrytych plików ...
#
#
skanowanie pomyślnie ukończone
#
ukryte pliki: 0
#
#
**************************************************************************
#
#
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\qgofaeey]
#
"ServiceDll"="c:\windows\system32\ljtsxmeu.dll"
#
.
#
--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------
#
#
- - - - - - - > 'winlogon.exe'(588)
#
c:\windows\system32\avgrsstx.dll
#
c:\windows\system32\Ati2evxx.dll
#
#
- - - - - - - > 'lsass.exe'(696)
#
c:\windows\system32\avgrsstx.dll
#
#
- - - - - - - > 'explorer.exe'(1556)
#
e:\omnipage\OpHookSE4.dll
#
e:\firstcap\WndHk.dll
#
c:\windows\system32\msi.dll
#
.
#
Czas ukończenia: 2009-10-27 21:21
#
ComboFix-quarantined-files.txt 2009-10-27 20:21
#
ComboFix2.txt 2009-10-25 19:55
#
ComboFix3.txt 2009-10-25 17:55
#
ComboFix4.txt 2009-10-22 09:02
#
#
Przed: 3 657 170 944 bajtów wolnych
#
Po: 3 670 806 528 bajtów wolnych
#
#
- - End Of File - - C8BC4512B8EC5C3A1503C12D9E1F01C2
– Dodane 27.10.2009 (Wt) 21:28 –
możesz też na wlej.org zobaczyc ten sam log: http://wklej.org/id/187662/
deFco247
(deFco247)
27 Październik 2009 20:38
#13
No niestety Conficker do Ciebie powraca.
Otwórz Notatnik i wklej do niego:
Plik zapisz pod nazwą CFScript , najlepiej w tym samym folderze co Combofix.exe
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę Combofix.exe
Powinno się rozpocząć usuwanie.
_ Potem dajesz log z usuwania Combofix. _
infoR_96
(infoR_96)
28 Październik 2009 10:42
#14
log:
ComboFix 09-10-26.06 - Karolek 2009-10-28 11:06.7.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1250.48.1045.18.510.205 [GMT 1:00]
Uruchomiony z: c:\documents and settings\Karolek\Pulpit\ComboFix.exe
Użyto następujących komend :: c:\documents and settings\Karolek\Pulpit\CFScript.txt
AV: AVG Anti-Virus Free *On-access scanning enabled* (Outdated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}
FILE ::
"c:\windows\system32\ljtsxmeu.dll"
.
((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\system32\ljtsxmeu.dll
.
((((((((((((((((((((((((((((((((((((((( Sterowniki/Usługi )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_QGOFAEEY
-------\Service_qgofaeey
((((((((((((((((((((((((( Pliki utworzone od 2009-09-28 do 2009-10-28 )))))))))))))))))))))))))))))))
.
2009-10-25 16:51 . 2009-10-25 16:53 -------- d-----w- C:\$AVG8.VAULT$
2009-10-25 15:26 . 2009-10-25 15:26 76040 ----a-w- c:\windows\system32\drivers\avgtdix.sys
2009-10-25 15:26 . 2009-10-25 15:26 10520 ----a-w- c:\windows\system32\avgrsstx.dll
2009-10-25 15:26 . 2009-10-25 15:26 97928 ----a-w- c:\windows\system32\drivers\avgldx86.sys
2009-10-25 15:26 . 2009-10-25 15:26 26824 ----a-w- c:\windows\system32\drivers\avgmfx86.sys
2009-10-25 15:26 . 2009-10-25 15:26 -------- d-----w- c:\windows\system32\drivers\Avg
2009-10-25 15:26 . 2009-10-25 15:26 -------- d-----w- c:\program files\AVG
2009-10-25 15:26 . 2009-10-25 15:26 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Dane aplikacji\avg8
2009-10-24 12:28 . 2009-10-24 12:28 -------- d-----w- c:\documents and settings\Tata.KOMPUTER\Dane aplikacji\iolo
2009-10-24 12:28 . 2009-10-24 12:28 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Dane aplikacji\iolo
2009-10-22 08:39 . 2009-10-22 08:39 -------- d-s---w- c:\documents and settings\Karolek\UserData
2009-10-20 20:03 . 2008-05-15 23:24 1152888 ----a-w- c:\windows\system32\aswBoot.exe
2009-10-17 13:23 . 2009-10-17 13:23 -------- d-----w- c:\program files\MSECache
2009-10-17 10:17 . 2009-10-17 10:17 -------- d-----w- c:\documents and settings\Karolek\Ustawienia lokalne\Dane aplikacji\Apple
2009-10-16 17:58 . 2009-10-16 17:58 -------- d-----w- c:\documents and settings\Karolek\Dane aplikacji\AdobeUM
2009-10-16 17:56 . 2009-10-16 17:56 -------- d-----w- c:\documents and settings\Karolek\Ustawienia lokalne\Dane aplikacji\Adobe
2009-10-16 17:06 . 1997-12-11 11:38 171520 ----a-w- c:\windows\Helion Screen Saver.scr
2009-10-16 17:03 . 2009-10-16 17:03 -------- d-----w- c:\documents and settings\Karolek\WINDOWS
2009-10-12 16:15 . 2009-10-12 16:15 -------- d-----w- c:\documents and settings\Tata.KOMPUTER\Dane aplikacji\Talkback
2009-10-12 16:15 . 2009-10-12 16:15 -------- d-----w- c:\documents and settings\Tata.KOMPUTER\Ustawienia lokalne\Dane aplikacji\Thunderbird
2009-10-12 16:15 . 2009-10-12 16:15 -------- d-----w- c:\documents and settings\Tata.KOMPUTER\Dane aplikacji\Thunderbird
2009-10-10 20:23 . 2009-10-10 20:23 -------- d-----w- c:\documents and settings\Karolek\Ustawienia lokalne\Dane aplikacji\Thunderbird
2009-10-10 20:23 . 2009-10-10 20:23 -------- d-----w- c:\documents and settings\Karolek\Dane aplikacji\Thunderbird
2009-10-09 08:23 . 2009-10-15 09:44 75488 ----a-w- c:\documents and settings\Tata.KOMPUTER\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT
2009-10-08 09:00 . 2009-10-08 09:00 -------- d-s---w- c:\documents and settings\Tata.KOMPUTER\UserData
2009-10-06 08:44 . 2009-10-06 08:45 -------- d-----w- c:\documents and settings\Karolek\Ustawienia lokalne\Dane aplikacji\lazarus
2009-10-06 08:44 . 2008-11-28 10:36 1404928 ----a-w- c:\windows\system32\libqt4intf.dll
2009-10-03 14:14 . 2009-10-03 14:14 -------- d-----w- c:\documents and settings\Karolek\Dane aplikacji\Panasonic
2009-10-02 17:25 . 2009-10-02 17:26 -------- d-----w- c:\program files\ABBYY FineReader 6.0 Sprint
2009-10-02 17:22 . 2009-10-02 17:22 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Dane aplikacji\EPSON
2009-10-02 17:21 . 2004-09-10 20:12 49152 ----a-w- c:\windows\system32\E_DCINST.DLL
2009-10-02 17:21 . 2006-12-08 02:04 76800 ----a-w- c:\windows\system32\E_FLBCDE.DLL
2009-10-02 17:21 . 2006-04-19 02:00 62976 ----a-w- c:\windows\system32\E_FD4BCDE.DLL
2009-10-02 17:20 . 2009-10-02 17:26 -------- d-----w- c:\program files\epson
2009-10-02 17:20 . 2007-03-26 22:00 67072 ----a-w- c:\windows\system32\escwiad.dll
2009-09-29 16:56 . 2009-09-29 16:56 -------- d-----w- c:\documents and settings\Karolek\Ustawienia lokalne\Dane aplikacji\Scansoft
2009-09-29 09:20 . 2009-09-29 09:20 -------- d-----w- c:\documents and settings\Tata.KOMPUTER\Ustawienia lokalne\Dane aplikacji\Scansoft
2009-09-29 07:43 . 2006-09-05 10:28 38480 ------w- c:\windows\system32\IJRMF.exe
2009-09-29 07:42 . 2009-09-29 07:42 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Dane aplikacji\InstallShield
2009-09-29 07:42 . 2009-09-29 07:42 -------- d-----w- c:\documents and settings\Karolek\Dane aplikacji\ScanSoft
2009-09-29 07:42 . 2009-09-29 07:42 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Dane aplikacji\ScanSoft
2009-09-29 07:31 . 2009-09-29 07:45 -------- d-----w- c:\documents and settings\Karolek\Dane aplikacji\Canon
2009-09-29 07:31 . 2009-09-29 07:31 -------- d-----w- c:\documents and settings\Karolek\Dane aplikacji\Creative
.
(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-10-25 14:46 . 2009-09-06 17:46 -------- d-----w- c:\documents and settings\Karolek\Dane aplikacji\Skype
2009-10-25 07:55 . 2001-10-26 14:15 85244 ----a-w- c:\windows\system32\perfc015.dat
2009-10-25 07:55 . 2001-10-26 14:15 494156 ----a-w- c:\windows\system32\perfh015.dat
2009-10-13 15:45 . 2009-09-06 16:50 75488 ----a-w- c:\documents and settings\Karolek\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT
2009-10-11 20:18 . 2009-06-20 20:16 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Dane aplikacji\Microsoft Help
2009-10-02 17:27 . 2007-04-30 12:12 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-10-01 16:03 . 2009-09-06 17:22 -------- d-----w- c:\documents and settings\Karolek\Dane aplikacji\Nowe Gadu-Gadu
2009-09-25 20:41 . 2009-09-25 19:32 568 ---ha-w- C:\os678647.bin
2009-09-25 19:33 . 2009-09-25 19:33 -------- d-----w- c:\documents and settings\Karolek\Dane aplikacji\DivX
2009-09-20 08:52 . 2009-08-20 16:20 618 ----a-w- c:\windows\eReg.dat
2009-09-19 10:00 . 2009-09-19 09:26 -------- d-----w- c:\documents and settings\Karolek\Dane aplikacji\Dev-Cpp
2009-09-18 16:12 . 2009-09-18 16:12 -------- d-----w- c:\program files\EA SPORTS
2009-09-18 16:11 . 2009-09-18 16:11 -------- d--h--r- c:\documents and settings\Karolek\Dane aplikacji\SecuROM
2009-09-18 16:11 . 2009-09-18 16:11 107888 ----a-w- c:\windows\system32\CmdLineExt.dll
2009-09-16 08:47 . 2009-09-16 08:47 53616 ---ha-w- c:\windows\system32\mlfcache.dat
2009-09-13 16:02 . 2009-09-13 16:02 -------- d-----w- c:\documents and settings\Karolek\Dane aplikacji\ATI
2009-09-05 11:14 . 2004-08-03 22:44 6656 ----a-w- c:\windows\system32\lpcio.dll
2009-08-28 13:48 . 2009-08-28 13:48 271360 ----a-w- c:\windows\system32\drivers\atksgt.sys
2009-08-28 13:48 . 2009-08-28 13:48 18048 ----a-w- c:\windows\system32\drivers\lirsgt.sys
2008-09-09 12:22 . 2008-09-09 12:22 14275 ----a-w- c:\program files\settings.dat
.
((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RocketDock"="c:\documents and settings\Karolek\Pulpit\Moje\PROGRAMY\RocketDock\RocketDock.exe" [2007-09-02 495616]
"FirstCap"="e:\firstcap\CapHk.exe" [2003-11-28 61440]
"Creative WebCam Tray"="c:\program files\Creative\Shared Files\CamTray.exe" [2005-10-27 299008]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-06-21 39408]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTRegRun"="c:\windows\CTRegRun.EXE" [1999-10-10 41984]
"SSBkgdUpdate"="c:\program files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-09-28 185896]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016]
"ATICCC"="c:\program files\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-09-25 90112]
"SoundMan"="SOUNDMAN.EXE" - c:\windows\soundman.exe [2006-06-20 577536]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]
2009-10-25 15:26 10520 ----a-w- c:\windows\system32\avgrsstx.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\system32\avgrsstx.dll
[HKLM\~\startupfolder\C:^Documents and Settings^All Users.WINDOWS^Menu Start^Programy^Autostart^Adobe Reader Speed Launch.lnk]
path=c:\documents and settings\All Users.WINDOWS\Menu Start\Programy\Autostart\Adobe Reader Speed Launch.lnk
backup=c:\windows\pss\Adobe Reader Speed Launch.lnkCommon Startup
[HKLM\~\startupfolder\C:^Documents and Settings^All Users.WINDOWS^Menu Start^Programy^Autostart^PHOTOfunSTUDIO -viewer-.lnk]
path=c:\documents and settings\All Users.WINDOWS\Menu Start\Programy\Autostart\PHOTOfunSTUDIO -viewer-.lnk
backup=c:\windows\pss\PHOTOfunSTUDIO -viewer-.lnkCommon Startup
[HKLM\~\startupfolder\C:^Documents and Settings^Karolek^Menu Start^Programy^Autostart^Tworzenie wycinków ekranu i uruchamianie programu OneNote 2007.lnk]
path=c:\documents and settings\Karolek\Menu Start\Programy\Autostart\Tworzenie wycinków ekranu i uruchamianie programu OneNote 2007.lnk
backup=c:\windows\pss\Tworzenie wycinków ekranu i uruchamianie programu OneNote 2007.lnkStartup
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"d:\\Metin2\\metin2.bin"=
"e:\\Nowe Gadu-Gadu5\\gg.exe"=
"e:\\Gadu-Gadu\\gg.exe"=
"d:\\XRX\\XRX.exe"=
"e:\\Skype\\Phone\\Skype.exe"=
"d:\\Metin2\\metin2client.bin"=
"c:\\Documents and Settings\\Karolek\\Pulpit\\Moje\\skróty\\Skype.exe"=
"e:\\AVG Free 8.0\\avgemc.exe"=
"e:\\AVG Free 8.0\\avgupd.exe"=
R0 xfilt;VIA SATA IDE Hot-plug Driver;c:\windows\system32\drivers\xfilt.sys [2009-06-20 11264]
R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [2009-10-25 97928]
R2 avg8emc;AVG Free8 E-mail Scanner;e:\avgfre~1.0\avgemc.exe [2009-10-25 875288]
R2 avg8wd;AVG Free8 WatchDog;e:\avgfre~1.0\avgwdsvc.exe [2009-10-25 231704]
R2 AvgTdiX;AVG Free8 Network Redirector;c:\windows\system32\drivers\avgtdix.sys [2009-10-25 76040]
R3 V0260VID;Live! Cam Vista IM;c:\windows\system32\drivers\V0260Vid.sys [2009-06-21 162176]
S3 SetupNTGLM7X;SetupNTGLM7X;\??\g:\ntglm7x.sys --> g:\NTGLM7X.sys [?]
--- Inne Usługi/Sterowniki w Pamięci ---
*Deregistered* - mbr
.
Zawartość folderu 'Zaplanowane zadania'
2009-10-24 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2007-06-03 11:42]
2009-10-25 c:\windows\Tasks\Norton Security Scan for Admin.job
- c:\program files\Norton Security Scan\Norton Security Scan\Engine\2.3.0.44\Nss.exe [2009-08-14 16:02]
.
.
------- Skan uzupełniający -------
.
uSearch Page = hxxp://www.google.com
uSearch Bar = hxxp://www.google.com/ie
mDefault_Search_URL = hxxp://www.google.com/ie
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
mSearchAssistant = hxxp://www.google.com/ie
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: E&ksportuj do programu Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Easy-WebPrint – Dodaj do listy drukowania - c:\program files\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
IE: Easy-WebPrint – Drukuj - c:\program files\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
IE: Easy-WebPrint – Drukuj z dużą szybkością - c:\program files\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
IE: Easy-WebPrint – Podgląd - c:\program files\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
FF - ProfilePath - c:\documents and settings\Karolek\Dane aplikacji\Mozilla\Firefox\Profiles\vnbf7k74.default\
FF - plugin: e:\adobe acrobat reader 7.0.5\Reader\browser\nppdf32.dll
FF - plugin: e:\mozilla firefox\plugins\npOggX.dll
FF - plugin: e:\picasa3\npPicasa3.dll
FF - plugin: e:\quicktime\Plugins\npqtplugin.dll
FF - plugin: e:\quicktime\Plugins\npqtplugin2.dll
FF - plugin: e:\quicktime\Plugins\npqtplugin3.dll
FF - plugin: e:\quicktime\Plugins\npqtplugin4.dll
FF - plugin: e:\quicktime\Plugins\npqtplugin5.dll
FF - plugin: e:\quicktime\Plugins\npqtplugin6.dll
FF - plugin: e:\quicktime\Plugins\npqtplugin7.dll
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-10-28 11:16
Windows 5.1.2600 Dodatek Service Pack 2 NTFS
skanowanie ukrytych procesów ...
skanowanie ukrytych wpisów autostartu ...
skanowanie ukrytych plików ...
skanowanie pomyślnie ukończone
ukryte pliki: 0
**************************************************************************
.
--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------
- - - - - - - > 'winlogon.exe'(592)
c:\windows\system32\Ati2evxx.dll
- - - - - - - > 'explorer.exe'(2568)
c:\documents and settings\Karolek\Pulpit\Moje\PROGRAMY\RocketDock\RocketDock.dll
e:\firstcap\WndHk.dll
c:\windows\system32\msi.dll
.
------------------------ Pozostałe uruchomione procesy ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\documents and settings\All Users.WINDOWS\Dane aplikacji\EPSON\EPW!3 SSRP\E_S40RP7.EXE
c:\windows\system32\wdfmgr.exe
e:\avgfre~1.0\avgrsx.exe
c:\windows\system32\wscntfy.exe
c:\combofix\CF32369.exe
c:\program files\ATI Technologies\ATI.ACE\CLI.EXE
c:\program files\ATI Technologies\ATI.ACE\cli.exe
c:\program files\ATI Technologies\ATI.ACE\cli.exe
e:\avg free 8.0\avgupd.exe
c:\combofix\PEV.cfxxe
.
**************************************************************************
.
Czas ukończenia: 2009-10-28 11:20 - komputer został uruchomiony ponownie
ComboFix-quarantined-files.txt 2009-10-28 10:20
ComboFix2.txt 2009-10-27 20:21
ComboFix3.txt 2009-10-25 19:55
ComboFix4.txt 2009-10-25 17:55
ComboFix5.txt 2009-10-28 10:04
Przed: 3 596 615 680 bajtów wolnych
Po: 3 548 413 952 bajtów wolnych
- - End Of File - - 1B5565106276BE07B567A836979BB6AA
narazie stronki z antywirami działają
jessica
(jessica)
28 Październik 2009 12:04
#15
Jest czysto. (na razie!).
Ponieważ zainstalowałeś już poprzednio łatkę Microsoftu, więc reinfekcja nie powraca teraz z sieci.
Pozostają więc dwie drogi:
poprzez zarażony pendrive - trzeba go sformatować, bo to nie jest zwykła infekcja “pendrivowa”, więc “Flash Disinfector” lub “Panda Vaccine” nic tu nie pomogą.
poprzez USB -jeśli komputer jest w sieci domowej - w tym przypadku pozostałe komputery są zarażone.
Usuń ręcznie folder C:* * Qoobox**.
Usuń kopie szkodnika z folderu “System Volume Information” poprzez chwilowe wyłączenie “Przywracania Systemu”:
>START>Panel Sterowania>System>Przywracanie Systemu>>zaznacz w okienku przy “Wyłącz przywracanie na wszystkich dyskach”>Zastosuj>OK. (W czasie tego chwilowego wyłączenia te kopie usuną się samoczynnie, więc nie ma potrzeby zaglądania do folderu.) Potem możesz powrócić do poprzedniego ustawienia (czyli usunąć zaznaczenie z okienka).
jessi
infoR_96
(infoR_96)
28 Październik 2009 18:40
#16
problem! dostałem klucz od avasta a wyskakuje w oknie, że jest niewłaściwy co jest??