Virus alert w pasku zadań


(Robertrobert0692) #1

Na początku proszę o wyrozumiałość, jestem laikiem i to mój pierwszy post na tym forum. Bardzo proszę o pomoc o kilku godzin męczę się z jakiś wirusem. Nie wiem co to w ogóle jest i skąd się wzięło. Nigdy nie miałem żadnych wirusów. A teraz wszędzie mam napis VIRUS ALERT! (np. koło zegarka systemowego), usunął prawie całe menu start, ikonki, 2 partycje w moim komputerze (ale da się wejść przez pasek), menadżera zadań też nie mam, pisze że został wyłączony przez administratora. W IE7 ciągle przekierowuje na jakąś stronę z spyware adware, dodało mi zakładki o tym i ikonki na pulpicie. Wszytko zrobiłem jak tu http://forum.dobreprogramy.pl/viewtopic.php?t=252625 i powstało log:

ComboFix 08-08-27.05 - User 2008-08-28 12:51:29.1 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.3.1250.1.1045.18.110 [GMT 2:00]

Running from: C:\Documents and Settings\User\Pulpit\ComboFix.exe

Command switches used :: C:\Documents and Settings\User\Pulpit\CFScript.txt.log

* Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED!!

.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\Documents and Settings\User\Ulubione\Error Cleaner.url

C:\Documents and Settings\User\Ulubione\Privacy Protector.url

C:\Documents and Settings\User\Ulubione\SpywareMalware Protection.url

C:\Program Files\PCHealthCenter

C:\Program Files\PCHealthCenter\0.exe

C:\Program Files\PCHealthCenter\0.gif

C:\Program Files\PCHealthCenter\1.exe

C:\Program Files\PCHealthCenter\1.gif

C:\Program Files\PCHealthCenter\1.ico

C:\Program Files\PCHealthCenter\2.exe

C:\Program Files\PCHealthCenter\2.gif

C:\Program Files\PCHealthCenter\2.ico

C:\Program Files\PCHealthCenter\3.exe

C:\Program Files\PCHealthCenter\3.gif

C:\Program Files\PCHealthCenter\4.exe

C:\Program Files\PCHealthCenter\5.exe

C:\Program Files\PCHealthCenter\7.exe

C:\WINDOWS\edrb.exe

C:\WINDOWS\system32\flhicvip.ini

C:\WINDOWS\system32\jkkLCuRk.dll

C:\WINDOWS\system32\MlUFgfii.ini

C:\WINDOWS\system32\MlUFgfii.ini2

D:\Autorun.inf

E:\Autorun.inf

F:\Autorun.inf

.

((((((((((((((((((((((((( Files Created from 2008-07-28 to 2008-08-28 )))))))))))))))))))))))))))))))

.

2008-08-28 12:33 . 2008-08-28 12:33

2008-08-28 11:38 . 2008-08-28 11:38

2008-08-27 23:36 . 2008-08-27 23:36

2008-08-27 23:36 . 2008-08-27 23:36

2008-08-27 23:36 . 2008-08-27 23:36

2008-08-27 23:36 . 2008-08-27 23:36

2008-08-27 23:36 . 2008-08-27 23:36

2008-08-27 22:52 . 2008-08-28 11:30

2008-08-27 22:52 . 2008-08-27 22:52

2008-08-27 22:52 . 2008-08-28 12:17

2008-08-27 22:52 . 2008-06-10 21:22 81,288 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys

2008-08-27 22:52 . 2008-06-02 15:19 66,952 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys

2008-08-27 22:52 . 2008-06-02 15:19 42,376 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys

2008-08-27 22:52 . 2008-06-02 15:19 29,576 --a------ C:\WINDOWS\system32\drivers\kcom.sys

2008-08-27 21:45 . 2008-08-27 21:45

2008-08-27 21:39 . 2008-08-25 18:48 3,262 --a------ C:\WINDOWS\system32\2.ico

2008-08-27 21:36 . 2008-08-26 17:23 167,424 --a------ C:\WINDOWS\system32\MSA.cpl

2008-08-27 21:35 . 2008-08-27 23:44

2008-08-27 21:35 . 2008-08-27 17:53 344,064 --a------ C:\WINDOWS\rodqgpvlrgq.dll

2008-08-27 21:35 . 2008-08-27 17:53 233,472 --a------ C:\WINDOWS\pdoskegl.dll

2008-08-27 21:35 . 2008-08-27 17:53 188,416 --a------ C:\WINDOWS\rqbmvpso.dll

2008-08-27 21:35 . 2008-08-27 17:53 155,648 --a------ C:\WINDOWS\qalkfxor.dll

2008-08-27 21:35 . 2008-08-27 17:53 86,016 --a------ C:\WINDOWS\rvoelbxt.exe

2008-08-27 21:35 . 2008-08-25 18:48 3,262 --a------ C:\WINDOWS\system32\1.ico

2008-08-27 20:50 . 2008-08-27 21:34

2008-08-15 18:28 . 2008-08-28 12:53 18,560 --a------ C:\WINDOWS\system32\BMXStateBkp-{00000001-00000000-00000008-00001102-00000004-00511102}.rfx

2008-08-15 18:28 . 2008-08-28 12:53 18,560 --a------ C:\WINDOWS\system32\BMXState-{00000001-00000000-00000008-00001102-00000004-00511102}.rfx

2008-08-15 18:28 . 2008-08-28 12:53 1,072 --a------ C:\WINDOWS\system32\settingsbkup.sfm

2008-08-15 18:28 . 2008-08-28 12:53 1,072 --a------ C:\WINDOWS\system32\settings.sfm

2008-08-15 18:28 . 2008-08-28 12:53 24 --a------ C:\WINDOWS\system32\DVCStateBkp-{00000001-00000000-00000008-00001102-00000004-00511102}.dat

2008-08-15 18:28 . 2008-08-28 12:53 24 --a------ C:\WINDOWS\system32\DVCState-{00000001-00000000-00000008-00001102-00000004-00511102}.dat

2008-08-15 18:27 . 2003-10-08 10:05 13,426,176 -ra------ C:\WINDOWS\system32\ALSNDMGR.CPL

2008-08-15 18:27 . 2002-11-21 09:07 765,952 -ra------ C:\WINDOWS\system\crlds3d.dll

2008-08-15 18:27 . 2003-10-09 12:52 475,788 -ra------ C:\WINDOWS\system32\drivers\ALCXWDM.SYS

2008-08-15 18:27 . 2003-10-04 06:25 391,552 -ra------ C:\WINDOWS\system32\drivers\ALCXSENS.SYS

2008-08-15 18:27 . 2002-02-05 07:54 141,016 -ra------ C:\WINDOWS\system32\ALSNDMGR.WAV

2008-08-15 18:27 . 2003-08-19 13:36 65,536 -ra------ C:\WINDOWS\system32\Audio3D.dll

2008-08-15 18:27 . 2003-10-08 11:41 57,344 -ra------ C:\WINDOWS\SOUNDMAN.EXE

2008-08-15 18:26 . 2008-08-28 12:53 23,196 --a------ C:\WINDOWS\system32\BMXCtrlState-{00000001-00000000-00000008-00001102-00000004-00511102}.rfx

2008-08-15 18:26 . 2008-08-28 12:53 23,196 --a------ C:\WINDOWS\system32\BMXBkpCtrlState-{00000001-00000000-00000008-00001102-00000004-00511102}.rfx

2008-08-15 18:25 . 2008-08-15 18:28 3,778,236 --a------ C:\WINDOWS{00000001-00000000-00000008-00001102-00000004-00511102}.CDF

2008-08-15 18:25 . 2008-08-15 18:28 3,778,236 --a------ C:\WINDOWS{00000001-00000000-00000008-00001102-00000004-00511102}.BAK

2008-08-15 18:25 . 1999-10-11 03:01 41,984 --a------ C:\WINDOWS\CTREGRUN.EXE

2008-08-15 18:25 . 2008-08-15 18:25 8,192 --a------ C:\WINDOWS\REGLOCS.OLD

2008-08-15 18:21 . 2000-12-13 20:21 7,572,224 --a------ C:\WINDOWS\system32\CT8MGM.SF2

2008-08-15 18:21 . 2000-12-05 12:11 4,174,814 --a------ C:\WINDOWS\system32\CT4MGM.SF2

2008-08-15 18:20 . 2008-08-15 18:20

2008-08-15 18:20 . 2008-08-15 18:20

2008-08-15 18:20 . 1999-10-07 02:00 55,808 --a------ C:\WINDOWS\system32\CtMp3.Crl

2008-08-15 18:20 . 1999-12-13 01:01 44,032 --a------ C:\WINDOWS\system32\CTSVCCDA.EXE

2008-08-15 18:20 . 1999-11-18 01:00 25,088 --a------ C:\WINDOWS\system32\CTSVCCTL.EXE

2008-08-15 18:18 . 2008-08-15 18:25

2008-08-15 18:18 . 1998-10-29 16:45 306,688 --a------ C:\WINDOWS\IsUninst.exe

2008-08-15 18:18 . 2001-05-28 13:47 32,768 --------- C:\WINDOWS\system32\AudioHQU.cpl

2008-08-15 18:18 . 2001-12-04 14:24 12,288 --------- C:\WINDOWS\system32\AHQCpURes.dll

2008-08-15 18:18 . 1999-12-17 01:00 6,752 --a------ C:\WINDOWS\system32\PfModNT.sys

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-08-27 19:34 43,520 ----a-w C:\WINDOWS\system32\CmdLineExt03.dll

2008-08-27 18:53 --------- d-----w C:\Program Files\eMule

2008-08-27 15:29 --------- d-----w C:\Documents and Settings\User\Dane aplikacji\teamspeak2

2008-08-15 15:33 --------- d-----w C:\Program Files\Usługi online

2008-08-15 15:31 --------- d-----w C:\Program Files\Windows Media Connect 2

2008-07-10 21:08 3,169,792 ----a-w C:\WINDOWS\system32\msgina.dll

2008-07-06 21:44 2,197,376 ----a-w C:\WINDOWS\system32\ntoskrnl.exe

2008-07-05 02:04 2,706,432 ----a-w C:\WINDOWS\system32\winntbbu.dll

2008-07-04 23:05 4,045,312 ----a-w C:\WINDOWS\system32\logonui.exe

2008-07-02 23:21 81,408 ----a-w C:\WINDOWS\system32\mydocs.dll

2008-06-29 16:33 908,800 ----a-w C:\WINDOWS\system32\logon.scr

2008-06-27 03:36 1,424,896 ----a-w C:\WINDOWS\explorer.exe

2008-06-16 05:28 50,688 ----a-w C:\WINDOWS\system32\smss.exe

2008-05-30 12:19 507,400 ----a-w C:\WINDOWS\system32\XAudio2_1.dll

2008-05-30 12:18 238,088 ----a-w C:\WINDOWS\system32\xactengine3_1.dll

2008-05-30 12:17 65,032 ----a-w C:\WINDOWS\system32\XAPOFX1_0.dll

2008-05-30 12:17 25,608 ----a-w C:\WINDOWS\system32\X3DAudio1_4.dll

2008-05-30 12:11 467,984 ----a-w C:\WINDOWS\system32\d3dx10_38.dll

2008-05-30 12:11 3,850,760 ----a-w C:\WINDOWS\system32\d3dx9_38.dll

2008-05-30 12:11 1,491,992 ----a-w C:\WINDOWS\system32\D3DCompiler_38.dll

.

------- Sigcheck -------

2007-07-10 19:06 642560 ce594e18fe0d0af804f1f3694921ce62 C:\WINDOWS\system32\user32.dll

2008-06-16 03:28 361344 030dc4d48cc2b894fee2f390d8e66ad5 C:\WINDOWS\system32\drivers\tcpip.sys

2008-06-16 03:28 549888 335813eacd16e84f3047a3326f6e5473 C:\WINDOWS\system32\winlogon.exe

2008-07-07 23:43 2074240 0dbf1939df18ac8f8c1e4bd63d7d4b0f C:\WINDOWS\system32\ntkrnlpa.exe

2008-07-06 23:44 2197376 37d5daaeda594b9bee00c82f185cc549 C:\WINDOWS\system32\ntoskrnl.exe

2008-06-27 05:36 1424896 4ec7ed41d95d18b3cd1a2bd9dfefb591 C:\WINDOWS\explorer.exe

2008-06-16 03:28 112128 37ed43f3dec4400586554d61c3129478 C:\WINDOWS\system32\wuauclt.exe

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries legit default entries are not shown

REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects{3641FF3E-C5C4-4BEB-9FFB-DCB0A07C4649}]

2008-08-27 17:53 344064 --a------ C:\WINDOWS\rodqgpvlrgq.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

"{EA06F4CB-4B01-498C-B0C1-2414E5817D28}"= "C:\WINDOWS\qalkfxor.dll" [2008-08-27 17:53 155648]

[HKEY_CLASSES_ROOT\clsid{ea06f4cb-4b01-498c-b0c1-2414e5817d28}]

[HKEY_CLASSES_ROOT\qalkfxor.1]

[HKEY_CLASSES_ROOT\TypeLib{0B0B523C-F6D1-47BE-8AC6-0CAA6DDF40D7}]

[HKEY_CLASSES_ROOT\qalkfxor]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Gadu-Gadu"="C:\Program Files\Gadu-Gadu\gg.exe" [2008-03-20 12:04 2127296]

"SpeedX"="C:\PROGRA~1\MyPortal\Speed-X\SpeedX.exe" [2006-06-27 14:11 46718]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Disc Detector"="C:\Program Files\Creative\ShareDLL\CtNotify.exe" [2001-08-01 02:00 191488]

"UpdReg"="C:\WINDOWS\Updreg.exe" [2000-05-11 01:00 90112]

"CTStartup"="C:\Program Files\Creative\Splash Screen\CTEaxSpl.EXE" [2001-09-15 03:10 28672]

"Jet Detection"="C:\Program Files\Creative\SBAudigy\PROGRAM\ADGJDet.exe" [2001-10-04 01:00 28672]

"WinampAgent"="C:\Program Files\Winamp\winampa.exe" [2008-08-04 01:02 36352]

"SoundMan"="SOUNDMAN.EXE" [2003-10-08 11:41 57344 C:\WINDOWS\SOUNDMAN.EXE]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"nltide_2"="shell32" [X]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"DisableStatusMessages"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

"NoDesktopCleanupWizard"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"NoSMHelp"= 1 (0x1)

"NoSMMyPictures"= 1 (0x1)

"NoSMConfigurePrograms"= 1 (0x1)

"NoResolveTrack"= 1 (0x1)

"NoResolveSearch"= 1 (0x1)

[HKEY_USERS.default\software\microsoft\windows\currentversion\policies\explorer]

"NoSMHelp"= 1 (0x1)

"NoSMMyPictures"= 1 (0x1)

"NoSMConfigurePrograms"= 1 (0x1)

"NoResolveTrack"= 1 (0x1)

"NoResolveSearch"= 1 (0x1)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]

"rqbmvpso"= {49ECFF7E-C647-4EDD-985D-74F3166DBEE8} - C:\WINDOWS\rqbmvpso.dll [2008-08-27 17:53 188416]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"msacm.ctmp3"= C:\WINDOWS\system32\ctmp3.acm

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\Network Diagnostic\xpnetdiag.exe"=

"%windir%\system32\sessmgr.exe"=

"F:\Mateusz\Counter Strike 1.6\hl.exe"=

"C:\Program Files\eMule\emule.exe"=

"C:\Program Files\Gadu-Gadu\gg.exe"=

R3 emu10kx;Creative EMU10K1/EMU10K2 Audio Driver (WDM);C:\WINDOWS\system32\drivers\e10kx2k.sys [2001-11-05 14:02]

*Newly Created Service* - HELPSVC

.

  • ORPHANS REMOVED - - - -

Notify-AutorunsDisabled - vtUNgEXP.dll

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-08-28 12:54:40

Windows 5.1.2600 Dodatek Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

Disc Detector = C:\Program Files\Creative\ShareDLL\CtNotify.exe?X???P???????????? C?????Disc Detector?B???A???????A???????B???@???@?? C???????@?????????@?B???A???????A? ????B???@?????P?????@???????????6~??????????@???????????????????B?????, ????????????????????????????B

CTStartup = C:\Program Files\Creative\Splash Screen\CTEaxSpl.EXE /run???h??????s?????\?w? ?w???????w???w4???????.??w4???????4???TA?s4???J????98?????\??? ??? ???\???\???????????E?6~u?6~\???\????????'_??????C@?\???\??????sJ???\??????s\????98?A??s?98??C@?x???`|?w\?????@

scanning hidden files ...

scan completed successfully

hidden files: 0

**************************************************************************

.

------------------------ Other Running Processes ------------------------

.

C:\WINDOWS\system32\CTSVCCDA.EXE

C:\WINDOWS\system32\MsPMSPSv.exe

C:\Program Files\Linksys\Compact Wireless-G USB Adapter Wireless Network Monitor\WLService.exe

C:\Program Files\Linksys\Compact Wireless-G USB Adapter Wireless Network Monitor\WUSB54GC.exe

C:\Program Files\Creative\ShareDLL\Mediadet.exe

C:\Program Files\Teamspeak2_RC2\TeamSpeak.exe

C:\Documents and Settings\User\Pulpit\TeamViewer.exe

.

**************************************************************************

.

Completion time: 2008-08-28 12:57:13 - machine was rebooted

ComboFix-quarantined-files.txt 2008-08-28 10:57:05

Pre-Run: 19,941,961,728 bajtów wolnych

Post-Run: 19,957,694,464 bajt˘w wolnych

212

Jest wszytko wporzadku? prosze o odpowiedz


(Kaka') #2

Roberto24 ,

Rejestrując się na niniejszym forum zobowiązałeś się przestrzegać jego regulaminu. Niestety, w tym momencie łamiesz go nie tytułując poprawnie tematu. Proszę więc zapoznać się w pierwszej kolejności z całym regulaminem forum, a następnie używając przycisku zmien.gif

Zmiana zasad wklejania logów na forum - viewtopic.php?f=16t=253052 Proszę poprawić swój post.

W przypadku zignorowania prośby temat poleci do śmietnika oraz mogą zostać wyciągnięte konsekwencje w postaci ostrzeżenia.


(Spandau) #3

Pobierz Combofix ale nie uruchamiaj wklej do notatnika:

Zapisz plik jako CFScript.txt najlepiej aby ikonka tego pliku znajdowała się obok ikonki ComboFix.exe

Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe powinno rozpocząć się usuwanie po tym daj log na forum.

Usuń ręcznie folder C:\Qoobox , usuń instalkę Combofix z dysku.