Trojan win32, Application.TrackingCookies, adware.maxifiles

natalia109 · 20 Luty 2008 22:19

Witam!

Mam problem z wirusami. Chcialam pobrac nowa wersje windows media player i wyskoczyl mi komunikat C:\Documents and Settings\Natalia\ustawienia lokalne\Temporary Internet Files\content.IE5\N219W835\wmp11-windowsxp-x86-PL-PL[1].exe nie jest prawidłową aplikacją systemu Win32. :? Za pomocą antivirusa avast, który wykrył 2 trojany włączylam kwarantannę. Nic nie dało. Poszukalam cos o tym w google, sciagnelam program spyware doctor i po skanowaniu wyswietlily się 2 zagrożenia i 9 infekcji. Pierwsza Application.TrackingCookies (1 infekcja), druga Adware.Maxifiles (8 infekcji). Czytalam coś na forach rożnych o progrmie Hijack This, ze trzeba pozniej skonsultowac logi, trzeba je wkleic itp. Nie sciagnelam jeszcze tego programu, bo kompletnie nie wiem o co chodzi. Potrzebuje pomocy, by przez ten program, bądz inny usunac te wirusy jak najszybciej. Proszę o dokladne wytlumaczenie, bo ja sie na tym kompletnie nie znam i o cieprliwosc ;p;p. Bardzo prosze o szybka pomoc i z gory bardzo dziekuje.

Leon1 · 20 Luty 2008 22:24

Tu jest nowa instalka i opis programu HijackThis 2.0.2 http://www.searchengines.pl/Narzedzia-HijackThis-i-Silent-Runners-t15989.html

natalia109 · 20 Luty 2008 22:36

Zainstalowalam wersje standardową, kliknelam “Do a system scan and save a logfile” i w notatniku pokazalo mi sie w notatniku to:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 23:31:04, on 2008-02-20

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16608)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\AVAST!\aswUpdSv.exe

C:\Program Files\AVAST!\ashServ.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\FTRTSVC.exe

C:\Program Files\CyberLink\Shared Files\RichVideo.exe

C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

C:\WINDOWS\sm56hlpr.exe

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\PROGRA~1\AVAST!\ashDisp.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

C:\Program Files\Gadu-Gadu\Gadu-Gadu\gg.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\Program Files\Ares\Ares.exe

C:\Program Files\AVAST!\ashMaiSv.exe

C:\Program Files\AVAST!\ashWebSv.exe

C:\WINDOWS\System32\alg.exe

C:\Program Files\OrangeBs\TaskBarIcon.exe

C:\Program Files\OrangeBs\BusinessEverywhere.exe

C:\Program Files\OrangeBs\ComComp.exe

C:\Program Files\OrangeBs\Watch.exe

C:\WINDOWS\System32\FTCOMM~1\FTCOMM~1.EXE

C:\Program Files\MSN Messenger\usnsvc.exe

C:\WINDOWS\system32\igfxsrvc.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Adobe\Acrobat 7.0\Reader\AcroRd32.exe

C:\DOCUME~1\Natalia\USTAWI~1\Temp\65exgmrgml19.exe

C:\Program Files\Spyware Doctor\pctsAuxs.exe

C:\Program Files\Spyware Doctor\pctsSvc.exe

C:\Program Files\Spyware Doctor\pctsTray.exe

C:\WINDOWS\system32\svchost.exe

C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe

C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

C:\Program Files\Grisoft\AVG7\avgcc.exe

C:\Program Files\Grisoft\AVG7\avgwb.dat

C:\anty\HiJackThis.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM…\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe

O4 - HKLM…\Run: [RemoteControl] “C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe”

O4 - HKLM…\Run: [LanguageShortcut] “C:\Program Files\CyberLink\PowerDVD\Language\Language.exe”

O4 - HKLM…\Run: [sMSERIAL] sm56hlpr.exe

O4 - HKLM…\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM…\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM…\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM…\Run: [OBSWATCH] C:\PROGRA~1\OrangeBs\Watch.exe

O4 - HKLM…\Run: [avast!] C:\PROGRA~1\AVAST!\ashDisp.exe

O4 - HKLM…\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,BluetoothAuthenticationAgent

O4 - HKLM…\Run: [devenv] C:\WINDOWS\system\smvss.exe /w

O4 - HKLM…\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM…\Run: [skyTel] SkyTel.EXE

O4 - HKLM…\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM…\Run: [runner1] C:\WINDOWS\mrofinu2000382.exe 61A847B5BBF72810329B38557AFB01F0B3E35B6638993E4661AA4EBD86D67C56388B2B1078F80DE3DE833E112288670A26F362E9AEE45B6C46E45F351EA453BC94DA7C57309B385671F113FD97CB77

O4 - HKLM…\Run: [iSTray] “C:\Program Files\Spyware Doctor\pctsTray.exe”

O4 - HKLM…\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP

O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU…\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

O4 - HKCU…\Run: [Gadu-Gadu] “C:\Program Files\Gadu-Gadu\Gadu-Gadu\gg.exe” /tray

O4 - HKCU…\Run: [MsnMsgr] “C:\Program Files\MSN Messenger\MsnMsgr.Exe” /background

O4 - HKCU…\Run: [ares] “C:\Program Files\Ares\Ares.exe” -h

O4 - HKCU…\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE

O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA LOKALNA’)

O4 - HKUS\S-1-5-19…\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User ‘USŁUGA LOKALNA’)

O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA SIECIOWA’)

O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’)

O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’)

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)

O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda … 7749529805

O17 - HKLM\System\CCS\Services\Tcpip…{0335E154-4EEF-4028-89EC-691FD6E39A20}: NameServer = 217.116.100.65 217.116.100.66

O17 - HKLM\System\CS1\Services\Tcpip…{0335E154-4EEF-4028-89EC-691FD6E39A20}: NameServer = 217.116.100.65 217.116.100.66

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Program Files\Ares\chatServer.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\AVAST!\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\AVAST!\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\AVAST!\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\AVAST!\ashWebSv.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe

O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe

O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe

–

End of file - 8621 bytes

co dalej?

Leon1 · 20 Luty 2008 23:21

Wyłącz przywracanie systemu na wszystkich dyskach

wpisy

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKLM\..\Run: [devenv] C:\WINDOWS\system\smvss.exe /w

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [runner1] C:\WINDOWS\mrofinu2000382.exe 61A847B5BBF72810329B38557AFB01F0B3E35B6638993E4661AA4EBD86D67C56388B2B1078F80DE3 DE833E112288670A26F362E9AEE45B6C46E45F351EA453BC94DA7C57309B385671F113FD97CB77

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)

usuń HijackThisem >> Fix checked Pobierz Combofix http://www.searchengines.pl/index.php?showtopic=86306&st=0&p=395642entry395642 ale nie włączaj otwórz notatnik i wklej

File::

C:\DOCUME~1\Natalia\USTAWI~1\Temp\65exgmrgml19.exe

C:\WINDOWS\system\smvss.exe

C:\WINDOWS\mrofinu2000382.exe

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri … iemoes.gif

Powinno rozpocząć się usuwanie

Potem log z usuwania

Po restarcie jeśli wszystko będzie OK usuń ręcznie folder C: \Qoobox

natalia109 · 21 Luty 2008 00:17

Zrobilam wszystko do “Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe” i zaczelo sie usuwanie i wyskonczylo takie cos: DISCLAIMER OF WARRANTY ON SOFTWARE:

DISCLAIMER OF WARRANTY ON SOFTWARE.

A guide on proper ComboFix usage may be found at:

http://www.bleepingcomputer.com/combofi … e-combofix

_________________________________________________________________________

This tool is meant for private use. It should never be used in an unsupervised environment.

If infections are found, it will automatically reboot windows to complete the removal process.

Please ensure all opened windows are closed before proceeding.

_________________________________________________________________________

This software is provided ‘as is’, without warranty of any kind.

All implied warranties are expressly disclaimed.

If you do not agree to the above terms, please click No to exit

Tak Nie

Co kliknąć?

natalia109 · 21 Luty 2008 00:43

hyhh nacisnelam tak, pozniej nie i po tym programu combofix nie bylo , tak wiec moze powtorze wszystko z tym combofix

natalia109 · 21 Luty 2008 00:47

oj włączyl się i jak poprzednio wyskoczylo:

DISCLAIMER OF WARRANTY ON SOFTWARE.

A guide on proper ComboFix usage may be found at:

http://www.bleepingcomputer.com/combofi … e-combofix

_________________________________________________________________________

This tool is meant for private use. It should never be used in an unsupervised environment.

If infections are found, it will automatically reboot windows to complete the removal process.

Please ensure all opened windows are closed before proceeding.

_________________________________________________________________________

This software is provided ‘as is’, without warranty of any kind.

All implied warranties are expressly disclaimed.

If you do not agree to the above terms, please click No to exit

Tak Nie

chyba jest cos nie tak

natalia109 · 21 Luty 2008 01:05

Powtorzylam jeszcze raz cos tam wyskakiwalo, to kliknelem dwa razy “tak” i chyba sie cos udalo, bo otworzylo mi sie w notatniku:

ComboFix 08-02-21 - Natalia 2008-02-21 1:55:21.1 - NTFSx86

Microsoft Windows XP Home Edition 5.1.2600.2.1250.1.1045.18.543 [GMT 1:00]

Running from: C:\anty\ComboFix.exe

Command switches used :: C:\anty\CFScript.txt

* Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED

FILE ::

C:\DOCUME~1\Natalia\USTAWI~1\Temp\65exgmrgml19.exe

C:\WINDOWS\mrofinu2000382.exe

C:\WINDOWS\system\smvss.exe

.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\DOCUME~1\Natalia\USTAWI~1\Temp\65exgmrgml19.exe

C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Network\Downloader\qmgr0.dat

C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Network\Downloader\qmgr1.dat

C:\WINDOWS\system\smvss.exe

----- BITS: Possible infected sites -----

hxxp://au.download.windowsupdate.cőj

.

((((((((((((((((((((((((( Files Created from 2008-01-21 to 2008-02-21 )))))))))))))))))))))))))))))))

.

2008-02-20 23:22 . 2008-02-20 23:22

2008-02-20 23:21 . 2008-02-21 00:44

2008-02-20 21:47 . 2008-02-20 21:57

2008-02-20 21:47 . 2008-02-20 21:47

2008-02-20 21:47 . 2008-02-21 01:53

2008-02-20 21:47 . 2007-12-10 14:53 81,288 --a------ C:\Windows\system32\drivers\iksyssec.sys

2008-02-20 21:47 . 2007-12-10 14:53 66,952 --a------ C:\Windows\system32\drivers\iksysflt.sys

2008-02-20 21:47 . 2007-12-10 14:53 41,864 --a------ C:\Windows\system32\drivers\ikfilesec.sys

2008-02-20 21:47 . 2007-12-10 14:53 29,576 --a------ C:\Windows\system32\drivers\kcom.sys

2008-02-09 22:03 . 2008-02-09 22:03 0 --a------ C:\Windows\nsreg.dat

2008-02-01 23:18 . 2008-02-01 23:18

2008-02-01 22:51 . 2008-02-01 23:29

2008-02-01 22:51 . 2008-02-01 22:51

2008-02-01 22:50 . 2008-02-03 02:04

2008-01-28 23:07 . 2008-02-19 16:14 117,640 --a------ C:\test.htm

2008-01-27 16:23 . 2008-01-31 23:38

2008-01-27 15:00 . 2006-03-02 13:00 38,016 --a------ C:\Windows\system32\drivers\bthmodem.sys

2008-01-27 15:00 . 2006-03-02 13:00 38,016 --a------ C:\Windows\system32\dllcache\bthmodem.sys

2008-01-27 14:53 . 2008-01-27 14:53

2008-01-22 17:57 . 2008-02-17 14:03

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-02-21 00:54 --------- d-----w C:\Program Files\OrangeBs

2008-01-12 13:21 --------- d-----w C:\Program Files\MSN Messenger

2008-01-11 05:41 44,544 ------w C:\WINDOWS\system32\dllcache\pngfilt.dll

2007-12-26 23:33 --------- d-----w C:\Program Files\Flash

2007-12-26 20:29 --------- d-----w C:\Program Files\Java

2007-12-26 20:28 --------- d-----w C:\Program Files\Common Files\Java

2007-12-22 22:46 --------- d-----w C:\Program Files\BearShare Applications

2007-12-22 21:26 --------- d-----w C:\Program Files\eMule

2007-12-22 21:25 --------- d-----w C:\Documents and Settings\Natalia\Dane aplikacji\eMule

2007-12-22 10:51 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Microsoft Help

2007-12-21 22:34 --------- d-----w C:\Program Files\Gadu-Gadu

2007-12-21 20:55 --------- d-----w C:\Program Files\Google

2007-12-21 20:14 --------- d-----w C:\Program Files\AVAST!

2007-12-21 15:16 --------- d-----w C:\Documents and Settings\Natalia\Dane aplikacji\AdobeUM

2007-12-21 15:01 --------- d-----w C:\Program Files\FranceTelecomUninstall

2007-12-19 22:58 347,136 ------w C:\WINDOWS\system32\dllcache\dxtmsft.dll

2007-12-18 09:51 179,584 ------w C:\WINDOWS\system32\dllcache\mrxdav.sys

2007-12-08 05:14 3,592,192 ------w C:\WINDOWS\system32\dllcache\mshtml.dll

2007-12-06 11:06 625,664 ------w C:\WINDOWS\system32\dllcache\iexplore.exe

2007-12-06 11:05 70,656 ------w C:\WINDOWS\system32\dllcache\ie4uinit.exe

2007-12-06 11:00 13,824 ------w C:\WINDOWS\system32\dllcache\ieudinit.exe

2007-12-06 04:59 161,792 ------w C:\WINDOWS\system32\dllcache\ieakui.dll

2007-12-04 18:42 550,912 ----a-w C:\WINDOWS\system32\oleaut32.dll

2007-12-04 18:42 550,912 ------w C:\WINDOWS\system32\dllcache\oleaut32.dll

2007-12-04 13:04 837,496 ----a-w C:\WINDOWS\system32\aswBoot.exe

2007-12-04 12:54 95,608 ----a-w C:\WINDOWS\system32\AvastSS.scr

2007-04-26 06:54 32,768 --sha-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Dane aplikacji\Microsoft\Feeds Cache\index.dat

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

*Note* empty entries legit default entries are not shown

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“CTFMON.EXE”=“C:\WINDOWS\system32\ctfmon.exe” [2006-03-02 13:00 15360]

“swg”=“C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe” [2007-12-21 21:55 171448]

“Gadu-Gadu”=“C:\Program Files\Gadu-Gadu\Gadu-Gadu\gg.exe” [2005-08-30 19:51 1708032]

“MsnMsgr”=“C:\Program Files\MSN Messenger\MsnMsgr.exe” [2007-01-19 12:54 5674352]

“ares”=“C:\Program Files\Ares\Ares.exe” [2007-12-31 15:29 962560]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“NeroFilterCheck”=“C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe” [2006-01-12 15:40 155648]

“RemoteControl”=“C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe” [2006-11-23 14:10 56928]

“LanguageShortcut”=“C:\Program Files\CyberLink\PowerDVD\Language\Language.exe” [2006-12-05 21:55 54832]

“SMSERIAL”=“sm56hlpr.exe” [2005-07-03 16:03 544768 C:\Windows\sm56hlpr.exe]

“igfxtray”=“C:\WINDOWS\system32\igfxtray.exe” [2006-03-23 05:17 94208]

“igfxhkcmd”=“C:\WINDOWS\system32\hkcmd.exe” [2006-03-23 05:13 77824]

“igfxpers”=“C:\WINDOWS\system32\igfxpers.exe” [2006-03-23 05:17 118784]

“OBSWATCH”=“C:\PROGRA~1\OrangeBs\Watch.exe” [2005-09-07 10:26 20480]

“avast!”=“C:\PROGRA~1\AVAST!\ashDisp.exe” [2007-12-04 14:00 79224]

“BluetoothAuthenticationAgent”=“bthprops.cpl” [2006-03-02 13:00 110592 C:\Windows\system32\bthprops.cpl]

“RTHDCPL”=“RTHDCPL.EXE” [2006-11-14 17:21 16270848 C:\Windows\RTHDCPL.EXE]

“SkyTel”=“SkyTel.EXE” [2006-05-16 18:04 2879488 C:\Windows\SkyTel.exe]

“ISTray”=“C:\Program Files\Spyware Doctor\pctsTray.exe” [2007-12-10 14:53 1103752]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

“CTFMON.EXE”=“C:\WINDOWS\system32\CTFMON.EXE” [2006-03-02 13:00 15360]

R0 O2MDRDR;O2MDRDR;C:\WINDOWS\system32\DRIVERS\o2media.sys [2006-02-27 08:00]

R0 O2SDRDR;O2SDRDR;C:\WINDOWS\system32\DRIVERS\o2sd.sys [2006-02-20 09:01]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{c7bd7529-b636-11dc-a726-001b773e7454}]

\Shell\Auto\command - F:\auto.exe

\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL auto.exe

\Shell\explore\Command - F:\EXPLORER.EXE

\Shell\open\Command - F:\EXPLORER.EXE

.

**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-02-21 01:57:01

Windows 5.1.2600 Dodatek Service Pack 2 NTFS

detected NTDLL code modification:

ZwClose

scanning hidden processes …

scanning hidden autostart entries …

scanning hidden files …

scan completed successfully

hidden files: 0

**************************************************************************

.

Completion time: 2008-02-21 1:57:39

ComboFix-quarantined-files.txt 2008-02-21 00:57:36

.

2008-02-13 22:40:11 — E O F —

nic teraz nie ruszam, czekam na odp co robić dalej

jessica · 21 Luty 2008 10:28

ComboFix usunął jednego szkodnika samoczynnie i nic więcej podejrzanego nie widzę - oprócz infekcji na pendrive.

Do Notatnika wklej:

Windows Registry Editor Version 5.00


[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c7bd7529-b636-11dc-a726-001b773e7454}]

Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na: “Wszystkie pliki” >>> Zapisz jako FIX.REG >>>

plik uruchom (dwuklik i OK).

Zrestartuj komputer.

jessi

natalia109 · 21 Luty 2008 10:50

Dziekuje za odpowiedz. Zrobilam tak. Jeszcze chyba musze powiedziec ze zapomnialam wczesniej Wyłączyc przywracanie systemu na wszystkich dyskach. Teraz to zrobilam. Nadal mam te wirusy: Trojan-PWS.Tanspy i Trojan.Generic. Jeszcze chcialam zapytac co z folderem C: \Qoobox? usunac go recznie i pozniej właczyc przywracanie systemu na wszystkich dyskach?

jessica · 21 Luty 2008 11:23

Chwilowe wyłączenie “Przywracania Systemu” ma na celu opróżnienie folderu “System Volume Information”, w tym także znajdujących się tam “śmieci”.

A więc możesz już powrócić do poprzedniego jego ustawienia, po tym chwilowym wyłączeniu.

“Qoobox” usuń ręcznie.

Nie widzę podanej ścieżki, gdzie jest wykrywany ten “Generic”?

A jeśli chodzi o “Tanspy” to “Spyware Doctor” znany jest z tego, że wykrywa na komputerze tego szkodnika, choć w rzeczywistości on nie istnieje - jednym słowem widzi coś, czego nie ma w ogóle.

jessi

natalia109 · 21 Luty 2008 11:42

Do Trojan.Generic moge podac klucz rejestru: HKEY_USERS\S-1-5-21-1325072439-2419310910-506584239-1006\Software\Wget. Jak tak to z tym “Tanspy” dam sobie spokoj. Pojawilo sie jeszcze cos: Application.NirCdm (4 infekcje), ale poziom zagrozenia to tylko informacja. Avast natomiast nic nie znajduje. Chyba czas najwyzszy, aby zamienic go na cos innego. Mozesz cos polecic?

jessica · 21 Luty 2008 11:59

Tego “Generica” też sobie daruj, bo tam nie ma nawet żadnego pliku.

“Nircmd” jest używany m.in. przez ComboFixa, więc jest OK!

Ja mam Avasta i wystarcza mi w zupełności.

jessi

leser · 3 Marzec 2008 13:13

U mnie był ten sam Trojan. Polecam stronkę http://cybertrash.pl/images/tata/SDFix.html.

100% bezpieczny!

Program SDFix jest skuteczny. POLECAM!

Nie poddawaj się powodzenia. :lol: