Strony z antywirusami nie działają

Witam,

Nie idą mi stronki antywirów, takich, jak np. kaspersky.pl, czy avast.com, wyskakuje błąd, że nie można znaleźć serwera, kiedy skanowałem antywirem wyskakiwały błędy Tracking cookie, na każdym koncie w folderze cookies…

Daję loga z ComboFixa:

http://wklej.org/id/185645/

proszę o pomoc :slight_smile:

z góry dzięks za odp…

Trackling Cookie z tego co wiem nie jest groźny tylko zapisuje Ci niebezpiezpieczne pliki cookies :slight_smile:

no dobra, ale tutaj ważniejsze są te stronki, jak temu zaradzić???

Miałeś Confickera , którego Combofix już usunął z automatu.

Otwórz Notatnik i wklej do niego:

Plik zapisz jako typ wszystkie pliki pod nazwą plik.reg -> uruchom powstały plik, potwierdź chęć dodania do rejestru -> restart.

Zastosuj OTC.

Wykonaj pełny skan Malwarebytes’ Anti-Malware - znalezione obiekty usuń.

Gdy będą wirusy pokaż raport.

Wyczyść rejestr i dysk CCleaner.

Usuń zbędniki z autostartu.

Jak zabezpieczyć się przed Confickerem/usuwanie: http://www.bezpieczenstwosystemow.pl/in … pic=4809.0

W logu widzę tylko ślady wirusa CONFiCKER, ale to na pewno on blokował te stronki Antivirusów.

Wklej do Notatnika :

Driver::

uyzgm


NetSvc::

uyzgm


Registry::

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"9136:TCP"=-

>>Plik>>Zapisz jako… >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

-------->cfscript10gm1.gif

Ma się rozpocząć usuwanie. (i powstanie log).

EDIT:

Jeśli dobrze pamiętam, to przed dwoma dniami też miałeś CONFICKERA?

jessi

no tak, i ty mi pomogłaś :slight_smile: ale właśnie po tym wystąpił ten problem ze stronkami…

Czy mam przez to rozumieć, że dalej jest blokada?

jessi

jak zrobiłem to z ComboFixem to działało, a kiedy następnego dnia chciałem w wbić, to nie działa, co jest???

Domyślam się, że Twój dostawca internetowy zablokował Ci dostęp do internetu, bo pewnie zauważył, że masz Confickera.

No cóż, w takim przypadku poszukaj innego dostawcy internetu, bo ten już raczej nigdy nie usunie blokady.

jessi

no ale popatrz, że zablokował tylko do antywirów! !!

No to daj od nowa log z ComboFixa.

Poza tym:

>>C:\WINDOWS\system32\drivers\etc\ HOSTS >> otwórz jako Notatnik >>usuń wszystkie wpisy , zostaw tylko:

127.0.0.1 localhost oraz te wpisy, które sam tam dodałeś.

jessi

co do tego hosts to tam nic nie miałem, log:

#


ComboFix 09-10-26.06 - Karolek 2009-10-27 21:11.6.2 - NTFSx86


#


Microsoft Windows XP Professional 5.1.2600.2.1250.48.1045.18.510.119 [GMT 1:00]


#


Uruchomiony z: c:\documents and settings\Karolek\Pulpit\ComboFix.exe


#


AV: AVG Anti-Virus Free *On-access scanning enabled* (Outdated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}


#


.


#



#


((((((((((((((((((((((((( Pliki utworzone od 2009-09-27 do 2009-10-27 )))))))))))))))))))))))))))))))


#


.


#



#


2009-10-25 16:51 . 2009-10-25 16:53	--------	d-----w-	C:\$AVG8.VAULT$


#


2009-10-25 15:26 . 2009-10-25 15:26	76040	----a-w-	c:\windows\system32\drivers\avgtdix.sys


#


2009-10-25 15:26 . 2009-10-25 15:26	10520	----a-w-	c:\windows\system32\avgrsstx.dll


#


2009-10-25 15:26 . 2009-10-25 15:26	97928	----a-w-	c:\windows\system32\drivers\avgldx86.sys


#


2009-10-25 15:26 . 2009-10-25 15:26	26824	----a-w-	c:\windows\system32\drivers\avgmfx86.sys


#


2009-10-25 15:26 . 2009-10-25 15:26	--------	d-----w-	c:\windows\system32\drivers\Avg


#


2009-10-25 15:26 . 2009-10-25 15:26	--------	d-----w-	c:\program files\AVG


#


2009-10-25 15:26 . 2009-10-25 15:26	--------	d-----w-	c:\documents and settings\All Users.WINDOWS\Dane aplikacji\avg8


#


2009-10-24 12:28 . 2009-10-24 12:28	--------	d-----w-	c:\documents and settings\Tata.KOMPUTER\Dane aplikacji\iolo


#


2009-10-24 12:28 . 2009-10-24 12:28	--------	d-----w-	c:\documents and settings\All Users.WINDOWS\Dane aplikacji\iolo


#


2009-10-22 08:39 . 2009-10-22 08:39	--------	d-s---w-	c:\documents and settings\Karolek\UserData


#


2009-10-20 20:03 . 2008-05-15 23:24	1152888	----a-w-	c:\windows\system32\aswBoot.exe


#


2009-10-17 13:23 . 2009-10-17 13:23	--------	d-----w-	c:\program files\MSECache


#


2009-10-17 10:17 . 2009-10-17 10:17	--------	d-----w-	c:\documents and settings\Karolek\Ustawienia lokalne\Dane aplikacji\Apple


#


2009-10-16 17:58 . 2009-10-16 17:58	--------	d-----w-	c:\documents and settings\Karolek\Dane aplikacji\AdobeUM


#


2009-10-16 17:56 . 2009-10-16 17:56	--------	d-----w-	c:\documents and settings\Karolek\Ustawienia lokalne\Dane aplikacji\Adobe


#


2009-10-16 17:06 . 1997-12-11 11:38	171520	----a-w-	c:\windows\Helion Screen Saver.scr


#


2009-10-16 17:03 . 2009-10-16 17:03	--------	d-----w-	c:\documents and settings\Karolek\WINDOWS


#


2009-10-12 16:15 . 2009-10-12 16:15	--------	d-----w-	c:\documents and settings\Tata.KOMPUTER\Dane aplikacji\Talkback


#


2009-10-12 16:15 . 2009-10-12 16:15	--------	d-----w-	c:\documents and settings\Tata.KOMPUTER\Ustawienia lokalne\Dane aplikacji\Thunderbird


#


2009-10-12 16:15 . 2009-10-12 16:15	--------	d-----w-	c:\documents and settings\Tata.KOMPUTER\Dane aplikacji\Thunderbird


#


2009-10-10 20:23 . 2009-10-10 20:23	--------	d-----w-	c:\documents and settings\Karolek\Ustawienia lokalne\Dane aplikacji\Thunderbird


#


2009-10-10 20:23 . 2009-10-10 20:23	--------	d-----w-	c:\documents and settings\Karolek\Dane aplikacji\Thunderbird


#


2009-10-09 08:23 . 2009-10-15 09:44	75488	----a-w-	c:\documents and settings\Tata.KOMPUTER\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT


#


2009-10-08 09:00 . 2009-10-08 09:00	--------	d-s---w-	c:\documents and settings\Tata.KOMPUTER\UserData


#


2009-10-06 08:44 . 2009-10-06 08:45	--------	d-----w-	c:\documents and settings\Karolek\Ustawienia lokalne\Dane aplikacji\lazarus


#


2009-10-06 08:44 . 2008-11-28 10:36	1404928	----a-w-	c:\windows\system32\libqt4intf.dll


#


2009-10-03 14:14 . 2009-10-03 14:14	--------	d-----w-	c:\documents and settings\Karolek\Dane aplikacji\Panasonic


#


2009-10-02 17:25 . 2009-10-02 17:26	--------	d-----w-	c:\program files\ABBYY FineReader 6.0 Sprint


#


2009-10-02 17:22 . 2009-10-02 17:22	--------	d-----w-	c:\documents and settings\All Users.WINDOWS\Dane aplikacji\EPSON


#


2009-10-02 17:21 . 2004-09-10 20:12	49152	----a-w-	c:\windows\system32\E_DCINST.DLL


#


2009-10-02 17:21 . 2006-12-08 02:04	76800	----a-w-	c:\windows\system32\E_FLBCDE.DLL


#


2009-10-02 17:21 . 2006-04-19 02:00	62976	----a-w-	c:\windows\system32\E_FD4BCDE.DLL


#


2009-10-02 17:20 . 2009-10-02 17:26	--------	d-----w-	c:\program files\epson


#


2009-10-02 17:20 . 2007-03-26 22:00	67072	----a-w-	c:\windows\system32\escwiad.dll


#


2009-09-29 16:56 . 2009-09-29 16:56	--------	d-----w-	c:\documents and settings\Karolek\Ustawienia lokalne\Dane aplikacji\Scansoft


#


2009-09-29 09:20 . 2009-09-29 09:20	--------	d-----w-	c:\documents and settings\Tata.KOMPUTER\Ustawienia lokalne\Dane aplikacji\Scansoft


#


2009-09-29 07:43 . 2006-09-05 10:28	38480	------w-	c:\windows\system32\IJRMF.exe


#


2009-09-29 07:42 . 2009-09-29 07:42	--------	d-----w-	c:\documents and settings\All Users.WINDOWS\Dane aplikacji\InstallShield


#


2009-09-29 07:42 . 2009-09-29 07:42	--------	d-----w-	c:\documents and settings\Karolek\Dane aplikacji\ScanSoft


#


2009-09-29 07:42 . 2009-09-29 07:42	--------	d-----w-	c:\documents and settings\All Users.WINDOWS\Dane aplikacji\ScanSoft


#


2009-09-29 07:31 . 2009-09-29 07:45	--------	d-----w-	c:\documents and settings\Karolek\Dane aplikacji\Canon


#


2009-09-29 07:31 . 2009-09-29 07:31	--------	d-----w-	c:\documents and settings\Karolek\Dane aplikacji\Creative


#



#


.


#


(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))


#


.


#


2009-10-25 14:46 . 2009-09-06 17:46	--------	d-----w-	c:\documents and settings\Karolek\Dane aplikacji\Skype


#


2009-10-25 07:55 . 2001-10-26 14:15	85244	----a-w-	c:\windows\system32\perfc015.dat


#


2009-10-25 07:55 . 2001-10-26 14:15	494156	----a-w-	c:\windows\system32\perfh015.dat


#


2009-10-13 15:45 . 2009-09-06 16:50	75488	----a-w-	c:\documents and settings\Karolek\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT


#


2009-10-11 20:18 . 2009-06-20 20:16	--------	d-----w-	c:\documents and settings\All Users.WINDOWS\Dane aplikacji\Microsoft Help


#


2009-10-02 17:27 . 2007-04-30 12:12	--------	d--h--w-	c:\program files\InstallShield Installation Information


#


2009-10-01 16:03 . 2009-09-06 17:22	--------	d-----w-	c:\documents and settings\Karolek\Dane aplikacji\Nowe Gadu-Gadu


#


2009-09-25 20:41 . 2009-09-25 19:32	568	---ha-w-	C:\os678647.bin


#


2009-09-25 19:33 . 2009-09-25 19:33	--------	d-----w-	c:\documents and settings\Karolek\Dane aplikacji\DivX


#


2009-09-20 08:52 . 2009-08-20 16:20	618	----a-w-	c:\windows\eReg.dat


#


2009-09-19 10:00 . 2009-09-19 09:26	--------	d-----w-	c:\documents and settings\Karolek\Dane aplikacji\Dev-Cpp


#


2009-09-18 16:12 . 2009-09-18 16:12	--------	d-----w-	c:\program files\EA SPORTS


#


2009-09-18 16:11 . 2009-09-18 16:11	--------	d--h--r-	c:\documents and settings\Karolek\Dane aplikacji\SecuROM


#


2009-09-18 16:11 . 2009-09-18 16:11	107888	----a-w-	c:\windows\system32\CmdLineExt.dll


#


2009-09-16 08:47 . 2009-09-16 08:47	53616	---ha-w-	c:\windows\system32\mlfcache.dat


#


2009-09-13 16:02 . 2009-09-13 16:02	--------	d-----w-	c:\documents and settings\Karolek\Dane aplikacji\ATI


#


2009-09-05 11:14 . 2004-08-03 22:44	6656	----a-w-	c:\windows\system32\lpcio.dll


#


2009-08-28 13:48 . 2009-08-28 13:48	271360	----a-w-	c:\windows\system32\drivers\atksgt.sys


#


2009-08-28 13:48 . 2009-08-28 13:48	18048	----a-w-	c:\windows\system32\drivers\lirsgt.sys


#


2008-09-09 12:22 . 2008-09-09 12:22	14275	----a-w-	c:\program files\settings.dat


#


2004-08-03 22:44 . 2004-08-03 22:44	167403	--sha-r-	c:\windows\system32\ljtsxmeu.dll


#


.


#



#


((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))


#


.


#


.


#


*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane  


#


REGEDIT4


#



#


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]


#


"RocketDock"="c:\documents and settings\Karolek\Pulpit\Moje\PROGRAMY\RocketDock\RocketDock.exe" [2007-09-02 495616]


#


"FirstCap"="e:\firstcap\CapHk.exe" [2003-11-28 61440]


#


"Creative WebCam Tray"="c:\program files\Creative\Shared Files\CamTray.exe" [2005-10-27 299008]


#


"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-06-21 39408]


#



#


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]


#


"CTRegRun"="c:\windows\CTRegRun.EXE" [1999-10-10 41984]


#


"SSBkgdUpdate"="c:\program files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-09-28 185896]


#


"QuickTime Task"="e:\quicktime\qttask.exe" [2007-06-29 286720]


#


"OpwareSE4"="e:\omnipage\OpwareSE4.exe" [2006-10-11 75304]


#


"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]


#


"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016]


#


"ATICCC"="c:\program files\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-09-25 90112]


#


"AVG8_TRAY"="e:\avgfre~1.0\avgtray.exe" [2009-10-25 1234712]


#


"SoundMan"="SOUNDMAN.EXE" - c:\windows\soundman.exe [2006-06-20 577536]


#



#


[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]


#


"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360]


#



#


c:\documents and settings\All Users.WINDOWS\Menu Start\Programy\Autostart\


#


Adobe Reader Speed Launch.lnk - e:\adobe acrobat reader 7.0.5\Reader\reader_sl.exe [2005-9-24 29696]


#


PHOTOfunSTUDIO -viewer-.lnk - e:\photofunstudio-viewer-\PhAutoRun.exe [2009-7-11 40960]


#



#


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]


#


"AppInit_DLLs"=c:\windows\system32\avgrsstx.dll


#



#


[HKLM\~\startupfolder\C:^Documents and Settings^Karolek^Menu Start^Programy^Autostart^Tworzenie wycinków ekranu i uruchamianie programu OneNote 2007.lnk]


#


path=c:\documents and settings\Karolek\Menu Start\Programy\Autostart\Tworzenie wycinków ekranu i uruchamianie programu OneNote 2007.lnk


#


backup=c:\windows\pss\Tworzenie wycinków ekranu i uruchamianie programu OneNote 2007.lnkStartup


#



#


[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]


#


"%windir%\\system32\\sessmgr.exe"=


#


"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=


#


"c:\\Program Files\\Microsoft Office\\Office12\\GROOVE.EXE"=


#


"c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=


#


"d:\\Metin2\\metin2.bin"=


#


"e:\\Nowe Gadu-Gadu5\\gg.exe"=


#


"e:\\Gadu-Gadu\\gg.exe"=


#


"d:\\XRX\\XRX.exe"=


#


"e:\\Skype\\Phone\\Skype.exe"=


#


"d:\\Metin2\\metin2client.bin"=


#


"c:\\Documents and Settings\\Karolek\\Pulpit\\Moje\\skróty\\Skype.exe"=


#


"e:\\AVG Free 8.0\\avgemc.exe"=


#


"e:\\AVG Free 8.0\\avgupd.exe"=


#



#


[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]


#


"9136:TCP"= 9136:TCP:uyzgm


#



#


R0 xfilt;VIA SATA IDE Hot-plug Driver;c:\windows\system32\drivers\xfilt.sys [2009-06-20 11264]


#


R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [2009-10-25 97928]


#


R2 avg8emc;AVG Free8 E-mail Scanner;e:\avgfre~1.0\avgemc.exe [2009-10-25 875288]


#


R2 avg8wd;AVG Free8 WatchDog;e:\avgfre~1.0\avgwdsvc.exe [2009-10-25 231704]


#


R2 AvgTdiX;AVG Free8 Network Redirector;c:\windows\system32\drivers\avgtdix.sys [2009-10-25 76040]


#


R3 V0260VID;Live! Cam Vista IM;c:\windows\system32\drivers\V0260Vid.sys [2009-06-21 162176]


#


S2 qgofaeey;Helper Network;c:\windows\system32\svchost.exe -k netsvcs [2004-08-03 14336]


#


S3 SetupNTGLM7X;SetupNTGLM7X;\??\g:\ntglm7x.sys --> g:\NTGLM7X.sys [?]


#



#


--- Inne Usługi/Sterowniki w Pamięci ---


#



#


*NewlyCreated* - MBR


#


*Deregistered* - mbr


#



#


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs


#


qgofaeey


#


.


#


Zawartość folderu 'Zaplanowane zadania'


#



#


2009-10-24 c:\windows\Tasks\AppleSoftwareUpdate.job


#


- c:\program files\Apple Software Update\SoftwareUpdate.exe [2007-06-03 11:42]


#



#


2009-10-25 c:\windows\Tasks\Norton Security Scan for Admin.job


#


- c:\program files\Norton Security Scan\Norton Security Scan\Engine\2.3.0.44\Nss.exe [2009-08-14 16:02]


#


.


#


.


#


------- Skan uzupełniający -------


#


.


#


uSearch Page = hxxp://www.google.com


#


uSearch Bar = hxxp://www.google.com/ie


#


uSearchURL,(Default) = hxxp://www.google.com/search?q=%s


#


IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200


#


IE: E&ksportuj do programu Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000


#


IE: Easy-WebPrint – Dodaj do listy drukowania - c:\program files\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html


#


IE: Easy-WebPrint – Drukuj - c:\program files\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html


#


IE: Easy-WebPrint – Drukuj z dużą szybkością - c:\program files\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html


#


IE: Easy-WebPrint – Podgląd - c:\program files\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html


#


FF - ProfilePath - c:\documents and settings\Karolek\Dane aplikacji\Mozilla\Firefox\Profiles\vnbf7k74.default\


#


FF - plugin: e:\adobe acrobat reader 7.0.5\Reader\browser\nppdf32.dll


#


FF - plugin: e:\mozilla firefox\plugins\npOggX.dll


#


FF - plugin: e:\picasa3\npPicasa3.dll


#


FF - plugin: e:\quicktime\Plugins\npqtplugin.dll


#


FF - plugin: e:\quicktime\Plugins\npqtplugin2.dll


#


FF - plugin: e:\quicktime\Plugins\npqtplugin3.dll


#


FF - plugin: e:\quicktime\Plugins\npqtplugin4.dll


#


FF - plugin: e:\quicktime\Plugins\npqtplugin5.dll


#


FF - plugin: e:\quicktime\Plugins\npqtplugin6.dll


#


FF - plugin: e:\quicktime\Plugins\npqtplugin7.dll


#


.


#



#


**************************************************************************


#



#


catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net


#


Rootkit scan 2009-10-27 21:19


#


Windows 5.1.2600 Dodatek Service Pack 2 NTFS


#



#


skanowanie ukrytych procesów ...  


#



#


skanowanie ukrytych wpisów autostartu ... 


#



#


skanowanie ukrytych plików ...  


#



#


skanowanie pomyślnie ukończone


#


ukryte pliki: 0


#



#


**************************************************************************


#



#


[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\qgofaeey]


#


"ServiceDll"="c:\windows\system32\ljtsxmeu.dll"


#


.


#


--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------


#



#


- - - - - - - > 'winlogon.exe'(588)


#


c:\windows\system32\avgrsstx.dll


#


c:\windows\system32\Ati2evxx.dll


#



#


- - - - - - - > 'lsass.exe'(696)


#


c:\windows\system32\avgrsstx.dll


#



#


- - - - - - - > 'explorer.exe'(1556)


#


e:\omnipage\OpHookSE4.dll


#


e:\firstcap\WndHk.dll


#


c:\windows\system32\msi.dll


#


.


#


Czas ukończenia: 2009-10-27 21:21


#


ComboFix-quarantined-files.txt 2009-10-27 20:21


#


ComboFix2.txt 2009-10-25 19:55


#


ComboFix3.txt 2009-10-25 17:55


#


ComboFix4.txt 2009-10-22 09:02


#



#


Przed: 3 657 170 944 bajtów wolnych


#


Po: 3 670 806 528 bajtów wolnych


#



#


- - End Of File - - C8BC4512B8EC5C3A1503C12D9E1F01C2

Dodane 27.10.2009 (Wt) 21:28

możesz też na wlej.org zobaczyc ten sam log: http://wklej.org/id/187662/

No niestety Conficker do Ciebie powraca.

Otwórz Notatnik i wklej do niego:

Plik zapisz pod nazwą CFScript , najlepiej w tym samym folderze co Combofix.exe

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę Combofix.exe

Powinno się rozpocząć usuwanie.

_ Potem dajesz log z usuwania Combofix. _

log:

ComboFix 09-10-26.06 - Karolek 2009-10-28 11:06.7.2 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1250.48.1045.18.510.205 [GMT 1:00]

Uruchomiony z: c:\documents and settings\Karolek\Pulpit\ComboFix.exe

Użyto następujących komend :: c:\documents and settings\Karolek\Pulpit\CFScript.txt

AV: AVG Anti-Virus Free *On-access scanning enabled* (Outdated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}


FILE ::

"c:\windows\system32\ljtsxmeu.dll"

.


((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))

.


c:\windows\system32\ljtsxmeu.dll


.

((((((((((((((((((((((((((((((((((((((( Sterowniki/Usługi )))))))))))))))))))))))))))))))))))))))))))))))))

.


-------\Legacy_QGOFAEEY

-------\Service_qgofaeey



((((((((((((((((((((((((( Pliki utworzone od 2009-09-28 do 2009-10-28 )))))))))))))))))))))))))))))))

.


2009-10-25 16:51 . 2009-10-25 16:53	--------	d-----w-	C:\$AVG8.VAULT$

2009-10-25 15:26 . 2009-10-25 15:26	76040	----a-w-	c:\windows\system32\drivers\avgtdix.sys

2009-10-25 15:26 . 2009-10-25 15:26	10520	----a-w-	c:\windows\system32\avgrsstx.dll

2009-10-25 15:26 . 2009-10-25 15:26	97928	----a-w-	c:\windows\system32\drivers\avgldx86.sys

2009-10-25 15:26 . 2009-10-25 15:26	26824	----a-w-	c:\windows\system32\drivers\avgmfx86.sys

2009-10-25 15:26 . 2009-10-25 15:26	--------	d-----w-	c:\windows\system32\drivers\Avg

2009-10-25 15:26 . 2009-10-25 15:26	--------	d-----w-	c:\program files\AVG

2009-10-25 15:26 . 2009-10-25 15:26	--------	d-----w-	c:\documents and settings\All Users.WINDOWS\Dane aplikacji\avg8

2009-10-24 12:28 . 2009-10-24 12:28	--------	d-----w-	c:\documents and settings\Tata.KOMPUTER\Dane aplikacji\iolo

2009-10-24 12:28 . 2009-10-24 12:28	--------	d-----w-	c:\documents and settings\All Users.WINDOWS\Dane aplikacji\iolo

2009-10-22 08:39 . 2009-10-22 08:39	--------	d-s---w-	c:\documents and settings\Karolek\UserData

2009-10-20 20:03 . 2008-05-15 23:24	1152888	----a-w-	c:\windows\system32\aswBoot.exe

2009-10-17 13:23 . 2009-10-17 13:23	--------	d-----w-	c:\program files\MSECache

2009-10-17 10:17 . 2009-10-17 10:17	--------	d-----w-	c:\documents and settings\Karolek\Ustawienia lokalne\Dane aplikacji\Apple

2009-10-16 17:58 . 2009-10-16 17:58	--------	d-----w-	c:\documents and settings\Karolek\Dane aplikacji\AdobeUM

2009-10-16 17:56 . 2009-10-16 17:56	--------	d-----w-	c:\documents and settings\Karolek\Ustawienia lokalne\Dane aplikacji\Adobe

2009-10-16 17:06 . 1997-12-11 11:38	171520	----a-w-	c:\windows\Helion Screen Saver.scr

2009-10-16 17:03 . 2009-10-16 17:03	--------	d-----w-	c:\documents and settings\Karolek\WINDOWS

2009-10-12 16:15 . 2009-10-12 16:15	--------	d-----w-	c:\documents and settings\Tata.KOMPUTER\Dane aplikacji\Talkback

2009-10-12 16:15 . 2009-10-12 16:15	--------	d-----w-	c:\documents and settings\Tata.KOMPUTER\Ustawienia lokalne\Dane aplikacji\Thunderbird

2009-10-12 16:15 . 2009-10-12 16:15	--------	d-----w-	c:\documents and settings\Tata.KOMPUTER\Dane aplikacji\Thunderbird

2009-10-10 20:23 . 2009-10-10 20:23	--------	d-----w-	c:\documents and settings\Karolek\Ustawienia lokalne\Dane aplikacji\Thunderbird

2009-10-10 20:23 . 2009-10-10 20:23	--------	d-----w-	c:\documents and settings\Karolek\Dane aplikacji\Thunderbird

2009-10-09 08:23 . 2009-10-15 09:44	75488	----a-w-	c:\documents and settings\Tata.KOMPUTER\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT

2009-10-08 09:00 . 2009-10-08 09:00	--------	d-s---w-	c:\documents and settings\Tata.KOMPUTER\UserData

2009-10-06 08:44 . 2009-10-06 08:45	--------	d-----w-	c:\documents and settings\Karolek\Ustawienia lokalne\Dane aplikacji\lazarus

2009-10-06 08:44 . 2008-11-28 10:36	1404928	----a-w-	c:\windows\system32\libqt4intf.dll

2009-10-03 14:14 . 2009-10-03 14:14	--------	d-----w-	c:\documents and settings\Karolek\Dane aplikacji\Panasonic

2009-10-02 17:25 . 2009-10-02 17:26	--------	d-----w-	c:\program files\ABBYY FineReader 6.0 Sprint

2009-10-02 17:22 . 2009-10-02 17:22	--------	d-----w-	c:\documents and settings\All Users.WINDOWS\Dane aplikacji\EPSON

2009-10-02 17:21 . 2004-09-10 20:12	49152	----a-w-	c:\windows\system32\E_DCINST.DLL

2009-10-02 17:21 . 2006-12-08 02:04	76800	----a-w-	c:\windows\system32\E_FLBCDE.DLL

2009-10-02 17:21 . 2006-04-19 02:00	62976	----a-w-	c:\windows\system32\E_FD4BCDE.DLL

2009-10-02 17:20 . 2009-10-02 17:26	--------	d-----w-	c:\program files\epson

2009-10-02 17:20 . 2007-03-26 22:00	67072	----a-w-	c:\windows\system32\escwiad.dll

2009-09-29 16:56 . 2009-09-29 16:56	--------	d-----w-	c:\documents and settings\Karolek\Ustawienia lokalne\Dane aplikacji\Scansoft

2009-09-29 09:20 . 2009-09-29 09:20	--------	d-----w-	c:\documents and settings\Tata.KOMPUTER\Ustawienia lokalne\Dane aplikacji\Scansoft

2009-09-29 07:43 . 2006-09-05 10:28	38480	------w-	c:\windows\system32\IJRMF.exe

2009-09-29 07:42 . 2009-09-29 07:42	--------	d-----w-	c:\documents and settings\All Users.WINDOWS\Dane aplikacji\InstallShield

2009-09-29 07:42 . 2009-09-29 07:42	--------	d-----w-	c:\documents and settings\Karolek\Dane aplikacji\ScanSoft

2009-09-29 07:42 . 2009-09-29 07:42	--------	d-----w-	c:\documents and settings\All Users.WINDOWS\Dane aplikacji\ScanSoft

2009-09-29 07:31 . 2009-09-29 07:45	--------	d-----w-	c:\documents and settings\Karolek\Dane aplikacji\Canon

2009-09-29 07:31 . 2009-09-29 07:31	--------	d-----w-	c:\documents and settings\Karolek\Dane aplikacji\Creative


.

(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-10-25 14:46 . 2009-09-06 17:46	--------	d-----w-	c:\documents and settings\Karolek\Dane aplikacji\Skype

2009-10-25 07:55 . 2001-10-26 14:15	85244	----a-w-	c:\windows\system32\perfc015.dat

2009-10-25 07:55 . 2001-10-26 14:15	494156	----a-w-	c:\windows\system32\perfh015.dat

2009-10-13 15:45 . 2009-09-06 16:50	75488	----a-w-	c:\documents and settings\Karolek\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT

2009-10-11 20:18 . 2009-06-20 20:16	--------	d-----w-	c:\documents and settings\All Users.WINDOWS\Dane aplikacji\Microsoft Help

2009-10-02 17:27 . 2007-04-30 12:12	--------	d--h--w-	c:\program files\InstallShield Installation Information

2009-10-01 16:03 . 2009-09-06 17:22	--------	d-----w-	c:\documents and settings\Karolek\Dane aplikacji\Nowe Gadu-Gadu

2009-09-25 20:41 . 2009-09-25 19:32	568	---ha-w-	C:\os678647.bin

2009-09-25 19:33 . 2009-09-25 19:33	--------	d-----w-	c:\documents and settings\Karolek\Dane aplikacji\DivX

2009-09-20 08:52 . 2009-08-20 16:20	618	----a-w-	c:\windows\eReg.dat

2009-09-19 10:00 . 2009-09-19 09:26	--------	d-----w-	c:\documents and settings\Karolek\Dane aplikacji\Dev-Cpp

2009-09-18 16:12 . 2009-09-18 16:12	--------	d-----w-	c:\program files\EA SPORTS

2009-09-18 16:11 . 2009-09-18 16:11	--------	d--h--r-	c:\documents and settings\Karolek\Dane aplikacji\SecuROM

2009-09-18 16:11 . 2009-09-18 16:11	107888	----a-w-	c:\windows\system32\CmdLineExt.dll

2009-09-16 08:47 . 2009-09-16 08:47	53616	---ha-w-	c:\windows\system32\mlfcache.dat

2009-09-13 16:02 . 2009-09-13 16:02	--------	d-----w-	c:\documents and settings\Karolek\Dane aplikacji\ATI

2009-09-05 11:14 . 2004-08-03 22:44	6656	----a-w-	c:\windows\system32\lpcio.dll

2009-08-28 13:48 . 2009-08-28 13:48	271360	----a-w-	c:\windows\system32\drivers\atksgt.sys

2009-08-28 13:48 . 2009-08-28 13:48	18048	----a-w-	c:\windows\system32\drivers\lirsgt.sys

2008-09-09 12:22 . 2008-09-09 12:22	14275	----a-w-	c:\program files\settings.dat

.


((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane  

REGEDIT4


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"RocketDock"="c:\documents and settings\Karolek\Pulpit\Moje\PROGRAMY\RocketDock\RocketDock.exe" [2007-09-02 495616]

"FirstCap"="e:\firstcap\CapHk.exe" [2003-11-28 61440]

"Creative WebCam Tray"="c:\program files\Creative\Shared Files\CamTray.exe" [2005-10-27 299008]

"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-06-21 39408]


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTRegRun"="c:\windows\CTRegRun.EXE" [1999-10-10 41984]

"SSBkgdUpdate"="c:\program files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-09-28 185896]

"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]

"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016]

"ATICCC"="c:\program files\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-09-25 90112]

"SoundMan"="SOUNDMAN.EXE" - c:\windows\soundman.exe [2006-06-20 577536]


[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360]


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]

2009-10-25 15:26	10520	----a-w-	c:\windows\system32\avgrsstx.dll


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

"AppInit_DLLs"=c:\windows\system32\avgrsstx.dll


[HKLM\~\startupfolder\C:^Documents and Settings^All Users.WINDOWS^Menu Start^Programy^Autostart^Adobe Reader Speed Launch.lnk]

path=c:\documents and settings\All Users.WINDOWS\Menu Start\Programy\Autostart\Adobe Reader Speed Launch.lnk

backup=c:\windows\pss\Adobe Reader Speed Launch.lnkCommon Startup


[HKLM\~\startupfolder\C:^Documents and Settings^All Users.WINDOWS^Menu Start^Programy^Autostart^PHOTOfunSTUDIO -viewer-.lnk]

path=c:\documents and settings\All Users.WINDOWS\Menu Start\Programy\Autostart\PHOTOfunSTUDIO -viewer-.lnk

backup=c:\windows\pss\PHOTOfunSTUDIO -viewer-.lnkCommon Startup


[HKLM\~\startupfolder\C:^Documents and Settings^Karolek^Menu Start^Programy^Autostart^Tworzenie wycinków ekranu i uruchamianie programu OneNote 2007.lnk]

path=c:\documents and settings\Karolek\Menu Start\Programy\Autostart\Tworzenie wycinków ekranu i uruchamianie programu OneNote 2007.lnk

backup=c:\windows\pss\Tworzenie wycinków ekranu i uruchamianie programu OneNote 2007.lnkStartup


[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"c:\\Program Files\\Microsoft Office\\Office12\\GROOVE.EXE"=

"c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=

"d:\\Metin2\\metin2.bin"=

"e:\\Nowe Gadu-Gadu5\\gg.exe"=

"e:\\Gadu-Gadu\\gg.exe"=

"d:\\XRX\\XRX.exe"=

"e:\\Skype\\Phone\\Skype.exe"=

"d:\\Metin2\\metin2client.bin"=

"c:\\Documents and Settings\\Karolek\\Pulpit\\Moje\\skróty\\Skype.exe"=

"e:\\AVG Free 8.0\\avgemc.exe"=

"e:\\AVG Free 8.0\\avgupd.exe"=


R0 xfilt;VIA SATA IDE Hot-plug Driver;c:\windows\system32\drivers\xfilt.sys [2009-06-20 11264]

R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [2009-10-25 97928]

R2 avg8emc;AVG Free8 E-mail Scanner;e:\avgfre~1.0\avgemc.exe [2009-10-25 875288]

R2 avg8wd;AVG Free8 WatchDog;e:\avgfre~1.0\avgwdsvc.exe [2009-10-25 231704]

R2 AvgTdiX;AVG Free8 Network Redirector;c:\windows\system32\drivers\avgtdix.sys [2009-10-25 76040]

R3 V0260VID;Live! Cam Vista IM;c:\windows\system32\drivers\V0260Vid.sys [2009-06-21 162176]

S3 SetupNTGLM7X;SetupNTGLM7X;\??\g:\ntglm7x.sys --> g:\NTGLM7X.sys [?]


--- Inne Usługi/Sterowniki w Pamięci ---


*Deregistered* - mbr

.

Zawartość folderu 'Zaplanowane zadania'


2009-10-24 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program files\Apple Software Update\SoftwareUpdate.exe [2007-06-03 11:42]


2009-10-25 c:\windows\Tasks\Norton Security Scan for Admin.job

- c:\program files\Norton Security Scan\Norton Security Scan\Engine\2.3.0.44\Nss.exe [2009-08-14 16:02]

.

.

------- Skan uzupełniający -------

.

uSearch Page = hxxp://www.google.com

uSearch Bar = hxxp://www.google.com/ie

mDefault_Search_URL = hxxp://www.google.com/ie

uSearchAssistant = hxxp://www.google.com/ie

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

mSearchAssistant = hxxp://www.google.com/ie

IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200

IE: E&ksportuj do programu Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

IE: Easy-WebPrint – Dodaj do listy drukowania - c:\program files\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html

IE: Easy-WebPrint – Drukuj - c:\program files\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html

IE: Easy-WebPrint – Drukuj z dużą szybkością - c:\program files\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html

IE: Easy-WebPrint – Podgląd - c:\program files\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html

FF - ProfilePath - c:\documents and settings\Karolek\Dane aplikacji\Mozilla\Firefox\Profiles\vnbf7k74.default\

FF - plugin: e:\adobe acrobat reader 7.0.5\Reader\browser\nppdf32.dll

FF - plugin: e:\mozilla firefox\plugins\npOggX.dll

FF - plugin: e:\picasa3\npPicasa3.dll

FF - plugin: e:\quicktime\Plugins\npqtplugin.dll

FF - plugin: e:\quicktime\Plugins\npqtplugin2.dll

FF - plugin: e:\quicktime\Plugins\npqtplugin3.dll

FF - plugin: e:\quicktime\Plugins\npqtplugin4.dll

FF - plugin: e:\quicktime\Plugins\npqtplugin5.dll

FF - plugin: e:\quicktime\Plugins\npqtplugin6.dll

FF - plugin: e:\quicktime\Plugins\npqtplugin7.dll

.


**************************************************************************


catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-10-28 11:16

Windows 5.1.2600 Dodatek Service Pack 2 NTFS


skanowanie ukrytych procesów ...  


skanowanie ukrytych wpisów autostartu ... 


skanowanie ukrytych plików ...  


skanowanie pomyślnie ukończone

ukryte pliki: 0


**************************************************************************

.

--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------


- - - - - - - > 'winlogon.exe'(592)

c:\windows\system32\Ati2evxx.dll


- - - - - - - > 'explorer.exe'(2568)

c:\documents and settings\Karolek\Pulpit\Moje\PROGRAMY\RocketDock\RocketDock.dll

e:\firstcap\WndHk.dll

c:\windows\system32\msi.dll

.

------------------------ Pozostałe uruchomione procesy ------------------------

.

c:\windows\system32\Ati2evxx.exe

c:\windows\system32\Ati2evxx.exe

c:\documents and settings\All Users.WINDOWS\Dane aplikacji\EPSON\EPW!3 SSRP\E_S40RP7.EXE

c:\windows\system32\wdfmgr.exe

e:\avgfre~1.0\avgrsx.exe

c:\windows\system32\wscntfy.exe

c:\combofix\CF32369.exe

c:\program files\ATI Technologies\ATI.ACE\CLI.EXE

c:\program files\ATI Technologies\ATI.ACE\cli.exe

c:\program files\ATI Technologies\ATI.ACE\cli.exe

e:\avg free 8.0\avgupd.exe

c:\combofix\PEV.cfxxe

.

**************************************************************************

.

Czas ukończenia: 2009-10-28 11:20 - komputer został uruchomiony ponownie

ComboFix-quarantined-files.txt 2009-10-28 10:20

ComboFix2.txt 2009-10-27 20:21

ComboFix3.txt 2009-10-25 19:55

ComboFix4.txt 2009-10-25 17:55

ComboFix5.txt 2009-10-28 10:04


Przed: 3 596 615 680 bajtów wolnych

Po: 3 548 413 952 bajtów wolnych


- - End Of File - - 1B5565106276BE07B567A836979BB6AA

narazie stronki z antywirami działają :slight_smile:

Jest czysto. (na razie!).

Ponieważ zainstalowałeś już poprzednio łatkę Microsoftu, więc reinfekcja nie powraca teraz z sieci.

Pozostają więc dwie drogi:

  1. poprzez zarażony pendrive - trzeba go sformatować, bo to nie jest zwykła infekcja “pendrivowa”, więc “Flash Disinfector” lub “Panda Vaccine” nic tu nie pomogą.

  2. poprzez USB -jeśli komputer jest w sieci domowej - w tym przypadku pozostałe komputery są zarażone.

Usuń ręcznie folder C:** Qoobox**.

Usuń kopie szkodnika z folderu “System Volume Information” poprzez chwilowe wyłączenie “Przywracania Systemu”:

jessi

problem! dostałem klucz od avasta a wyskakuje w oknie, że jest niewłaściwy co jest??