Trojan na kompie Trojan-Downloader.Win32.FraudLoad.ddl. HELP

Dla specjalistów Bezpieczeństwo
#1

Witam mam problem z otwarciem dysków lokalnych, I i H na moim komputerze. Wyskakuje mi okienko otwórz za pomocą. Jedyne co moge zrobic to eksploruj, wtedy tylko mozliwe jest ich otwarcie. Nie jestem znawca komputerowym ale troszke posiedzialem nad tym problemem i sciagnalem program hijackthis. Mój log to http://wklej.org/id/51862/. Jesli moglibyscie mi pomóc to byłbym bardzo wdzieczny.

#2

Usuń te wpisy w HJT

Uruchom HijackThis - Do a system scan only - w oknie programu pokaże się log - zaznacz kratki przy podanych wpisach - klikasz Fix checked

Pobierz Combofix przeskanuj system i daj log na forum

#3

OK zrobilem to co napisales.

ComboFix 09-02-11.03 - Judyta 2009-02-12 15:38:22.1 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.3583.3156 [GMT 1:00]

Uruchomiony z: h:\documents and settings\Judyta\Pulpit\ComboFix.exe

AV: Kaspersky Anti-Virus *On-access scanning disabled* (Updated)

* Utworzono nowy punkt przywracania

.

((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))

.

H:\autorun.inf

h:\windows\IE4 Error Log.txt

I:\Autorun.inf

.

((((((((((((((((((((((((( Pliki utworzone od 2009-01-12 do 2009-02-12 )))))))))))))))))))))))))))))))

.

2009-02-12 10:18 . 2009-02-12 10:18

2009-02-12 10:18 . 2009-02-12 15:39 2,526,752 --ahs---- h:\windows\system32\drivers\fidbox.dat

2009-02-12 10:18 . 2009-02-12 15:39 245,792 --ahs---- h:\windows\system32\drivers\fidbox2.dat

2009-02-12 10:18 . 2009-02-12 10:52 101,287 --a------ h:\windows\system32\drivers\klin.dat

2009-02-12 10:18 . 2009-02-12 10:52 89,601 --a------ h:\windows\system32\drivers\klick.dat

2009-02-12 10:18 . 2009-02-12 15:39 21,868 --ahs---- h:\windows\system32\drivers\fidbox.idx

2009-02-12 10:18 . 2009-02-12 15:39 1,920 --ahs---- h:\windows\system32\drivers\fidbox2.idx

2009-02-12 10:16 . 2009-02-12 10:16

2009-02-11 19:46 . 2009-02-11 19:46

2009-02-11 18:48 . 2009-02-11 18:51

2009-02-04 18:37 . 2009-02-04 18:37

2009-02-04 18:36 . 2009-02-04 18:36

2009-02-04 18:36 . 2009-02-04 18:36

2009-02-04 18:36 . 2009-02-04 18:36

2009-01-29 18:00 . 2004-08-03 23:08 31,616 --a------ h:\windows\system32\drivers\usbccgp.sys

2009-01-29 18:00 . 2004-08-03 23:08 31,616 --a–c— h:\windows\system32\dllcache\usbccgp.sys

2009-01-29 18:00 . 2004-08-03 23:01 25,856 --a------ h:\windows\system32\drivers\usbprint.sys

2009-01-29 18:00 . 2004-08-03 23:01 25,856 --a–c— h:\windows\system32\dllcache\usbprint.sys

2009-01-29 18:00 . 2001-08-17 22:02 9,600 --a------ h:\windows\system32\drivers\hidusb.sys

2009-01-29 18:00 . 2001-08-17 22:02 9,600 --a–c— h:\windows\system32\dllcache\hidusb.sys

2009-01-28 12:36 . 2009-02-12 15:40

2009-01-28 12:35 . 2009-01-28 12:35

2009-01-28 11:42 . 2009-01-28 11:42

2009-01-28 11:41 . 2009-01-28 11:41

2009-01-28 11:39 . 2009-01-28 11:39

2009-01-28 11:39 . 2009-01-28 11:39

2009-01-28 11:10 . 2009-01-28 11:10 2,422 --a------ h:\windows\system32\wpa.bak

2009-01-27 18:05 . 2009-01-27 18:05

2009-01-27 18:05 . 2009-01-27 18:05

2009-01-27 18:05 . 2009-01-27 18:05 410,984 --a------ h:\windows\system32\deploytk.dll

2009-01-27 18:05 . 2009-01-27 18:05 73,728 --a------ h:\windows\system32\javacpl.cpl

2009-01-26 15:20 . 2009-01-26 15:20

2009-01-26 14:24 . 2009-02-07 00:36

2009-01-24 18:13 . 2009-01-24 18:13

2009-01-24 09:58 . 2009-02-04 19:28 49 --a------ h:\windows\NeroDigital.ini

2009-01-24 09:55 . 2009-01-24 09:55 130,048 --a------ h:\windows\system32\xvidvfw.dll

2009-01-24 09:55 . 2009-01-24 09:55 118,784 --a------ h:\windows\system32\ac3acm.acm

2009-01-24 09:54 . 2009-01-24 09:54 892,928 --a------ h:\windows\system32\iconv.dll

2009-01-24 09:54 . 2009-01-24 09:54 860,160 --a------ h:\windows\system32\lameACM.acm

2009-01-24 09:54 . 2009-01-24 09:54 688,128 --a------ h:\windows\system32\mmamr.ax

2009-01-24 09:54 . 2009-01-24 09:54 675,840 --a------ h:\windows\system32\ac3filter.ax

2009-01-24 09:54 . 2009-01-24 09:54 487,936 --a------ h:\windows\system32\madFlac.ax

2009-01-24 09:54 . 2009-01-24 09:54 348,160 --a------ h:\windows\system32\CoreVorbis.ax

2009-01-24 09:54 . 2009-01-24 09:54 319,488 --a------ h:\windows\system32\CoreAAC.ax

2009-01-24 09:54 . 2009-01-24 09:54 301,568 --a------ h:\windows\system32\l3codecp.acm

2009-01-24 09:54 . 2009-01-24 09:54 258,048 --a------ h:\windows\system32\libFLAC.dll

2009-01-24 09:54 . 2009-01-24 09:54 177,152 --a------ h:\windows\system32\MonkeySource.ax

2009-01-24 09:54 . 2009-01-24 09:54 75,264 --a------ h:\windows\system32\MACDec.dll

2009-01-24 09:52 . 2009-01-24 09:52

2009-01-24 09:52 . 2009-01-24 09:52 1,415,680 --a------ h:\windows\system32\WMV9VCM.dll

2009-01-20 19:34 . 2006-10-26 19:56 32,592 --a------ h:\windows\system32\msonpmon.dll

2009-01-20 19:31 . 2009-01-28 11:56

2009-01-20 14:24 . 2009-01-20 14:24

2009-01-14 14:56 . 2009-01-14 14:56 0 --a------ h:\windows\nsreg.dat

.

(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-02-12 14:41 --------- d-----w h:\documents and settings\Judyta\Dane aplikacji\Skype

2009-02-12 14:40 --------- d-----w h:\documents and settings\All Users\Dane aplikacji\Kaspersky Lab

2009-02-12 14:23 --------- d-----w h:\documents and settings\Judyta\Dane aplikacji\uTorrent

2009-02-12 09:52 33,808 ----a-w h:\windows\system32\drivers\klbg.sys

2009-02-12 09:50 --------- d-----w h:\documents and settings\Judyta\Dane aplikacji\skypePM

2009-02-11 17:56 --------- d–h--w h:\program files\InstallShield Installation Information

2009-01-24 16:11 --------- d-----w h:\program files\ALLPlayer

2009-01-24 08:55 --------- d-----w h:\program files\NAPI-PROJEKT

2009-01-10 21:18 --------- d-----w h:\program files\MSXML 6.0

2009-01-10 21:18 --------- d-----w h:\program files\Common Files\Wise Installation Wizard

2009-01-10 21:17 --------- d-----w h:\program files\MSXML 4.0

2009-01-10 20:35 --------- d–h--r h:\documents and settings\Judyta\Dane aplikacji\SecuROM

2009-01-10 20:35 --------- d-----w h:\program files\Electronic Arts

2009-01-10 20:33 --------- d-----w h:\program files\Common Files\InstallShield

2009-01-10 20:33 --------- d-----w h:\documents and settings\Judyta\Dane aplikacji\Leadertech

2009-01-10 17:23 --------- d-----w h:\program files\CyberLink

2009-01-10 17:07 --------- d-----w h:\documents and settings\Judyta\Dane aplikacji\Ahead

2009-01-09 21:39 --------- d-----w h:\program files\Common Files\SureThing Shared

2009-01-09 21:38 --------- d-----w h:\documents and settings\All Users\Dane aplikacji\Pinnacle

2009-01-09 21:36 --------- d-----w h:\program files\Common Files\Pinnacle

2009-01-09 21:36 --------- d-----w h:\documents and settings\All Users\Dane aplikacji\Pinnacle Studio

2009-01-09 21:31 --------- d-----w h:\program files\Pinnacle

2009-01-09 21:31 --------- d-----w h:\program files\Common Files\Yahoo!

2009-01-09 21:31 --------- d-----w h:\documents and settings\All Users\Dane aplikacji\Studio 12

2009-01-09 21:31 --------- d-----w h:\documents and settings\All Users\Dane aplikacji\Pinnacle Studio Plus

2009-01-09 20:51 --------- d-----w h:\documents and settings\All Users\Dane aplikacji\CyberLink

2009-01-09 20:50 --------- d-----w h:\documents and settings\Judyta\Dane aplikacji\CyberLink

2009-01-09 20:44 --------- d-----w h:\program files\Common Files\Ahead

2009-01-09 20:42 --------- d-----w h:\documents and settings\All Users\Dane aplikacji\Ahead

2009-01-09 20:40 --------- d-----w h:\program files\Nero

2009-01-09 20:40 --------- d-----w h:\documents and settings\All Users\Dane aplikacji\Nero

2009-01-09 19:48 --------- d-----w h:\program files\uTorrent

2009-01-09 18:00 15,600 ----a-w h:\windows\gdrv.sys

2009-01-09 17:57 --------- d-----w h:\program files\ArcaBit

2009-01-09 17:48 5,632 ----a-w h:\windows\system32\drivers\StarOpen.sys

2009-01-09 17:22 --------- d-----w h:\program files\DIFX

2009-01-09 17:21 --------- d-----w h:\program files\Samsung

2009-01-09 16:46 --------- d-----w h:\program files\Skype

2009-01-09 16:46 --------- d-----w h:\program files\Common Files\Skype

2009-01-09 16:46 --------- d-----w h:\documents and settings\All Users\Dane aplikacji\Skype

2009-01-09 16:41 --------- d-----w h:\documents and settings\Judyta\Dane aplikacji\AdobeUM

2009-01-09 16:36 --------- d-----w h:\program files\Google

2009-01-09 14:45 315,392 ----a-w h:\windows\HideWin.exe

2009-01-09 14:45 --------- d-----w h:\program files\Realtek

2009-01-09 14:41 --------- d-----w h:\program files\Yahoo!

2009-01-09 14:33 --------- d-----w h:\program files\AGEIA Technologies

2009-01-09 14:28 --------- d-----w h:\program files\Common Files\Adobe

2009-01-09 14:22 --------- d-----w h:\documents and settings\LocalService\Dane aplikacji\ArcaBit

2009-01-09 14:09 --------- d-----w h:\program files\microsoft frontpage

2009-01-09 14:08 --------- d-----w h:\program files\Usługi online

.

((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane

REGEDIT4

[HKEY_LOCAL_MACHINE~\Browser Helper Objects{61DB16C5-B733-43F4-872E-B20DC9E72740}]

2008-10-10 23:57 444416 --a------ h:\progra~1\ALLPLA~1\YOUTUB~1.DLL

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“CTFMON.EXE”=“h:\windows\system32\ctfmon.exe” [2004-08-04 15360]

“swg”=“h:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe” [2009-01-09 39408]

“Skype”=“h:\program files\Skype\Phone\Skype.exe” [2008-11-18 21633320]

“ALLUpdate”=“h:\program files\ALLPlayer\ALLUpdate.exe” [2008-11-24 869888]

“EA Core”=“i:\program files\Electronic Arts\EADM\Core.exe” [2009-01-09 3321856]

“MSMSGS”=“h:\program files\Messenger\msmsgs.exe” [2004-08-04 1667584]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“NvCplDaemon”=“h:\windows\system32\NvCpl.dll” [2008-10-07 13574144]

“NvMediaCenter”=“h:\windows\system32\NvMcTray.dll” [2008-10-07 86016]

“NeroFilterCheck”=“h:\program files\Common Files\Ahead\Lib\NeroCheck.exe” [2008-02-27 570664]

“SecurDisc”=“h:\program files\Nero\Nero 7\InCD\NBHGui.exe” [2008-02-18 1629480]

“InCD”=“h:\program files\Nero\Nero 7\InCD\InCD.exe” [2008-02-18 1057064]

“RemoteControl”=“h:\program files\CyberLink\PowerDVD\PDVDServ.exe” [2007-03-14 71216]

“LanguageShortcut”=“h:\program files\CyberLink\PowerDVD\Language\Language.exe” [2007-01-08 52256]

“SunJavaUpdateSched”=“h:\program files\Java\jre6\bin\jusched.exe” [2009-01-27 136600]

“AVP”=“h:\program files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe” [2009-02-12 206088]

“nwiz”=“nwiz.exe” [2008-10-07 h:\windows\system32\nwiz.exe]

“RTHDCPL”=“RTHDCPL.EXE” [2007-07-05 h:\windows\RTHDCPL.exe]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

“CTFMON.EXE”=“h:\windows\system32\CTFMON.EXE” [2004-08-04 15360]

h:\documents and settings\Judyta\Menu Start\Programy\Autostart\

OpenOffice.org 2.4.lnk - h:\program files\OpenOffice.org 2.4\program\quickstart.exe [2008-01-21 393216]

h:\documents and settings\All Users\Menu Start\Programy\Autostart\

Adobe Reader Speed Launch.lnk - h:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

“vidc.mjpg”= pvmjpg30.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]

“DisableMonitoring”=dword:00000001

[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

“%windir%\system32\sessmgr.exe”=

“h:\Program Files\uTorrent\uTorrent.exe”=

“i:\Program Files\Pinnacle\Studio 12\Programs\RM.exe”=

“i:\Program Files\Pinnacle\Studio 12\Programs\Studio.exe”=

“i:\Program Files\Pinnacle\Studio 12\Programs\umi.exe”=

“h:\Program Files\CyberLink\PowerDVD\PowerDVD.exe”=

“h:\Program Files\Electronic Arts\EADM\Core.exe”=

“i:\Program Files\Electronic Arts\EADM\Core.exe”=

“h:\Program Files\eMule\emule.exe”=

“h:\Program Files\Microsoft Office\Office12\ONENOTE.EXE”=

“h:\Program Files\Skype\Phone\Skype.exe”=

R0 klbg;Kaspersky Lab Boot Guard Driver;h:\windows\system32\drivers\klbg.sys [2008-01-29 33808]

R3 klim5;Kaspersky Anti-Virus NDIS Filter;h:\windows\system32\drivers\klim5.sys [2008-04-30 24592]

S2 NeroRegInCDSrv;Nero Registry InCD Service;h:\program files\Nero\Nero 7\InCD\NBHRegInCDSrv.exe --> h:\program files\Nero\Nero 7\InCD\NBHRegInCDSrv.exe [?]

S3 ps_drv;ps_drv;??\h:\program files\ArcaBit\ArcaVir\ps_drv.sys --> h:\program files\ArcaBit\ArcaVir\ps_drv.sys [?]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{462f5d89-de8b-11dd-a097-001e58ec04ed}]

\Shell\AutoRun\command - J:\m0vnonh.bat

\Shell\open\Command - J:\m0vnonh.bat

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{462f5d92-de8b-11dd-a097-001e58ec04ed}]

\Shell\AutoRun\command - m0vnonh.bat

\Shell\open\Command - m0vnonh.bat

.

.

------- Skan uzupełniający -------

.

uStart Page = hxxp://www.onet.pl/

uSearch Page = hxxp://www.google.com

uSearch Bar = hxxp://www.google.com/ie

mStart Page = hxxp://www.yahoo.com

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

IE: E&ksportuj do programu Microsoft Excel - h:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-02-12 15:40:51

Windows 5.1.2600 Dodatek Service Pack 2 NTFS

skanowanie ukrytych procesów …

skanowanie ukrytych wpisów autostartu …

skanowanie ukrytych plików …

skanowanie pomyślnie ukończone

ukryte pliki: 0

**************************************************************************

.

--------------------- ZABLOKOWANE KLUCZE REJESTRU ---------------------

[HKEY_USERS\S-1-5-21-1229272821-412668190-839522115-1003\Software\SecuROM\License information*]

“datasecu”=hex:16,89,46,8d,8a,df,b7,12,98,64,25,bc,bc,88,32,60,7f,b9,4a,a1,d2,

f2,e5,81,15,6c,87,48,24,b8,c6,e6,f5,c4,c3,73,e1,53,21,db,4c,92,00,f6,65,16,\

“rkeysecu”=hex:24,bb,05,a9,25,a6,b0,9c,ad,2d,05,28,ab,8d,15,a5

[HKEY_LOCAL_MACHINE\software\Classes\CLSID{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32*]

“ThreadingModel”=“Apartment”

@=“h:\WINDOWS\system32\OLE32.DLL”

“cd042efbbd7f7af1647644e76e06692b”=hex:e2,63,26,f1,3f,c8,ff,68,a1,e1,15,c5,ea,

9f,6a,ea,c8,28,51,af,b0,29,a3,98,4f,8a,0a,05,4f,e2,1d,cb,e2,63,26,f1,3f,c8,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32*]

“ThreadingModel”=“Apartment”

@=“h:\WINDOWS\system32\OLE32.DLL”

“bca643cdc5c2726b20d2ecedcc62c59b”=hex:71,3b,04,66,8b,46,0d,96,1d,1c,ea,ef,cb,

46,53,ef,71,3b,04,66,8b,46,0d,96,ba,b4,bf,0a,5b,24,98,b6,6a,9c,d6,61,af,45,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32*]

“ThreadingModel”=“Apartment”

@=“h:\WINDOWS\system32\OLE32.DLL”

“2c81e34222e8052573023a60d06dd016”=hex:ff,7c,85,e0,43,d4,0e,fe,ad,a0,3c,4b,83,

ae,6d,b0,25,da,ec,7e,55,20,c9,26,dd,6a,d3,7f,00,f5,e8,11,ff,7c,85,e0,43,d4,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32*]

“ThreadingModel”=“Apartment”

@=“h:\WINDOWS\system32\OLE32.DLL”

“2582ae41fb52324423be06337561aa48”=hex:86,8c,21,01,be,91,eb,e7,05,3c,2d,b4,06,

0e,f1,f3,3e,1e,9e,e0,57,5a,93,61,c1,47,88,68,c4,48,e7,2d,86,8c,21,01,be,91,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32*]

“ThreadingModel”=“Apartment”

@=“h:\WINDOWS\system32\OLE32.DLL”

“caaeda5fd7a9ed7697d9686d4b818472”=hex:f5,1d,4d,73,a8,13,5c,05,3e,17,bf,38,4c,

cd,79,dd,cd,44,cd,b9,a6,33,6c,cd,2c,1d,fb,f3,f1,63,cd,7c,f5,1d,4d,73,a8,13,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32*]

“ThreadingModel”=“Apartment”

@=“h:\WINDOWS\system32\OLE32.DLL”

“a4a1bcf2cc2b8bc3716b74b2b4522f5d”=hex:b0,18,ed,a7,3f,8d,37,a4,00,ef,e5,3a,ce,

fe,63,79,b0,18,ed,a7,3f,8d,37,a4,3f,fc,64,1a,dc,af,e3,db,df,20,58,62,78,6b,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32*]

“ThreadingModel”=“Apartment”

@=“h:\WINDOWS\system32\OLE32.DLL”

“4d370831d2c43cd13623e232fed27b7b”=hex:97,20,4e,9a,c7,f1,35,ee,22,8d,a4,f7,7e,

09,0b,01,31,77,e1,ba,b1,f8,68,02,78,03,e6,da,79,f8,fa,c3,fb,a7,78,e6,12,2f,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32*]

“ThreadingModel”=“Apartment”

@=“h:\WINDOWS\system32\OLE32.DLL”

“1d68fe701cdea33e477eb204b76f993d”=hex:83,6c,56,8b,a0,85,96,ab,9b,3d,57,1f,3e,

04,25,76,83,6c,56,8b,a0,85,96,ab,38,2b,df,3d,98,01,5d,3c,01,3a,48,fc,e8,04,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32*]

“ThreadingModel”=“Apartment”

@=“h:\WINDOWS\system32\OLE32.DLL”

“1fac81b91d8e3c5aa4b0a51804d844a3”=hex:f6,0f,4e,58,98,5b,89,c9,e3,a8,29,20,b0,

f7,b5,7a,51,fa,6e,91,28,9e,14,cc,f1,99,0b,61,71,34,fd,bc,f6,0f,4e,58,98,5b,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32*]

“ThreadingModel”=“Apartment”

@=“h:\WINDOWS\system32\OLE32.DLL”

“f5f62a6129303efb32fbe080bb27835b”=hex:b1,cd,45,5a,a8,c4,f8,b9,bd,92,73,44,e0,

0d,ca,0f,b1,cd,45,5a,a8,c4,f8,b9,76,38,0a,ce,7d,0a,57,df,3d,ce,ea,26,2d,45,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32*]

“ThreadingModel”=“Apartment”

@=“h:\WINDOWS\system32\OLE32.DLL”

“fd4e2e1a3940b94dceb5a6a021f2e3c6”=hex:e3,0e,66,d5,eb,bc,2f,6b,ad,24,da,36,83,

d5,a0,8d,e3,0e,66,d5,eb,bc,2f,6b,7e,86,1d,35,fc,3f,1f,81,2a,b7,cc,b5,b9,7f,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32*]

“ThreadingModel”=“Apartment”

@=“h:\WINDOWS\system32\OLE32.DLL”

“8a8aec57dd6508a385616fbc86791ec2”=hex:05,73,21,dd,54,d8,4a,c5,8e,8c,13,2b,b3,

70,fe,b3,fa,ea,66,7f,d4,3b,6b,70,62,48,c1,3e,6e,1a,68,5b,6c,43,2d,1e,aa,22,\

.

------------------------ Pozostałe uruchomione procesy ------------------------

.

h:\program files\Nero\Nero 7\InCD\InCDsrv.exe

h:\program files\Java\jre6\bin\jqs.exe

h:\windows\system32\nvsvc32.exe

h:\windows\system32\rundll32.exe

h:\program files\CyberLink\Shared Files\RichVideo.exe

h:\windows\system32\wdfmgr.exe

h:\program files\OpenOffice.org 2.4\program\soffice.exe

h:\program files\OpenOffice.org 2.4\program\soffice.bin

h:\windows\system32\wscntfy.exe

.

**************************************************************************

.

Czas ukończenia: 2009-02-12 15:42:31 - komputer został uruchomiony ponownie

ComboFix-quarantined-files.txt 2009-02-12 14:42:29

Przed: 89 633 714 176 bajtów wolnych

Po: 91,110,637,568 bajtów wolnych

WindowsXP-KB310994-SP2-Pro-BootDisk-PLK.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

h:\cmdcons\BOOTSECT.DAT=“Microsoft Windows Recovery Console” /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS=“Microsoft Windows XP Professional” /noexecute=optin /fastdetect

293 — E O F — 2009-01-14 10:43:25

Dzieki za naprawde szybko odpowiedz

Dodane 12.02.2009 (Cz) 16:15

wrzuciłem tego loga jeszcze na http://wklej.org/id/51911/ . Pozdrawiam

#4

Wylecz pendriva lub kartę pamięci

Flash Disinfector lub Perlovga Removal Tool

lub format

Wklej do notatnika

Z menu Notatnika wybierasz - Plik - Zapisz jako - Zmieniasz rozszerzenie z .txt na wszystkie pliki - zapisz pod nazwą Fix.reg

Uruchom ten plik, potwierdź dodanie do rejestru, uruchom ponownie komputer.

Log wygląda na czysty.

usuń ręcznie folder C: \Qoobox oraz instalkę Combofix z dysku.

Przeczyść system oraz rejestr CCleaner

Wykonaj optymalizacje Autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar Mój komputer Kaspersky Online Scanner Przeskanuj system daj raport na forum

lub Dr.WEB CureIt!

#5

Skonczyłem wszystko to co mi poradziłeś. Oto raport z kasperskiego

2009-02-12 17:52:19 Zadanie zostało uruchomione

2009-02-12 17:57:39 Zagrożenie: http://www.viruslist.com/pl/advisories/30832 H:\Program Files\Adobe\Acrobat 7.0\Reader\AcroRd32.dll

2009-02-12 17:58:01 Zagrożenie: http://www.viruslist.com/pl/advisories/25952 H:\Program Files\Common Files\ACD Systems\PlugIns\ID_PSP.apl

2009-02-12 18:03:24 Zagrożenie: http://www.viruslist.com/pl/advisories/26003 H:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_wp.exe

2009-02-12 18:04:17 Zagrożenie: http://www.viruslist.com/pl/advisories/26027 H:\WINDOWS\SoftwareDistribution\Download\3ed4af7962c2564903d5c33c33d1489e\flash.ocx

2009-02-12 18:04:45 Zagrożenie: http://www.viruslist.com/pl/advisories/23655 H:\WINDOWS\SoftwareDistribution\Download\3ed4af7962c2564903d5c33c33d1489e\msxml6.dll

2009-02-12 18:06:37 Zagrożenie: http://www.viruslist.com/pl/advisories/23655 H:\WINDOWS\WinSxS\x86_Microsoft.MSXML2_6bd6b9abf345378f_4.20.9818.0_x-ww_8ff50c5d\msxml4.dll

2009-02-12 18:08:37 Zadanie zostało zakończone

Teraz co do uruchamiania dysków lokalnych- nie pojawia sie juz jak wczesniej otwórz za pomocą tylko okienko wyniki wyszukiwania. Gdy klikam prawym przyciskiem na dysk,tam dostepna jest opcja OTWÓRZ. Za jej pomocą juz nie przez eksploruj jestem wstanie wejsc na dysk. Co to moze oznaczac?

Dzieki bardzo za cierpliwosc i pomoc. Pozdrawiam

#6

Nie masz już wirusów Pomyśl nad uaktualnieniem tych programów do najnowszych wersji, zresztą o ile pamiętam to skaner sugeruje takie właśnie rozwiązanie

Jeśli chodzi o dyski to

Start - Uruchom wpisujesz : regsvr32 /i shell32 i Enter

#7

Jesteś wielki. Dzieki bardzo. Pozdrawiam i miłego wieczoru