Win32:Adware-gen Pomocy-jak się tego pozbyć?

mgirlm · 21 Sierpień 2007 18:07

Witam,

Proszę o pomoc. Jako zypełny laik komputerowy muszę zmierzyć się z problemem natretnego reklamiarza. Od jakiegoś czasu przy zamykaniu systemu mam problem bo pojawia się program brdr, który musi byc zamkniety manualnie, bo inaczej kom. się nie wyłączy. Uzywam od dłuższego czasu avast wersja 4.7 professional, który co jakiś czas daje alert o wykryciu reklamiarza. Mam niby nie wpadać w panikę, ale bierze mnie nie powiem co, bo avast ani go nie usuwa ani zalecana kwarantanna nie pomaga.Dostaję alert,że zainfekowany plik to C:\WINDOWS\system32\twinrmdt.exe, ale za groma nie mogę go znaleźć, bo jestem zupełny cienias w tej kwestii i nie ma wokół mnie jakiś informatyków do pomocy, więc sama muszę sobie poradzić. Proszę o krok-po-kroku guidance,please. Obiecuję dozgonna wdzięczność! mgirlm

jessica · 21 Sierpień 2007 18:11

Tak “w ciemno” to się nie da. I na dodatek KRZYCZYSZ na nas!

Daj log z ComboFixa (na dole tej strony z linku) -

Log wklej na http://wklej.org/, a w poście daj tylko link.

Mile widziany byłby także log z HijackThis.

jessi

mgirlm · 21 Sierpień 2007 18:22

Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:18, on 2007-08-21 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\WINDOWS\system32\RunDll32.exe C:\windows\system32\lqdsrngr.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\MSN Messenger\MsnMsgr.Exe C:\Program Files\Messenger\MSMSGS.EXE C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\Program Files\MSN Messenger\usnsvc.exe C:\Program Files\Internet Explorer\iexplore.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll O4 - HKLM…\Run: [sunJavaUpdateSched] “C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe” O4 - HKLM…\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM…\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM…\Run: [CM-SmWizard] C:\WINDOWS\System\SmWizard.exe O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM…\Run: [nwiz] nwiz.exe /install O4 - HKLM…\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon O4 - HKLM…\Run: [Adobe Reader Speed Launcher] “C:\ADOBE READER\Reader\Reader_sl.exe” O4 - HKLM…\Run: [{2D-D7-75-56-ZN}] C:\windows\system32\lqdsrngr.exe P2D002 O4 - HKLM…\Run: [zzzHPSETUP] E:\Setup.exe O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU…\Run: [MsnMsgr] “C:\Program Files\MSN Messenger\MsnMsgr.Exe” /background O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\MSMSGS.EXE” /background O4 - HKCU…\Run: [bitTorrent] “C:\Program Files\BitTorrent\bittorrent.exe” --force_start_minimized O4 - HKCU…\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘USŁUGA LOKALNA’) O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘USŁUGA SIECIOWA’) O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘SYSTEM’) O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘Default user’) O4 - Startup: TA_Start.lnk = C:\WINDOWS\system32\lqdsrngr.exe O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftup … 8800831968 O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe – End of file - 6029 bytes [color=darkblue][size=75]Złączono Posta: 21.08.2007 (Wto) 20:23[/size][/color] ComboFix 07-08-17.2 - “Marta” 2007-08-21 20:15:58.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.69 [GMT 2:00] * Created a new restore point ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) C:\Program Files\myglobalsearch C:\Program Files\myglobalsearch\bar\History\search C:\WINDOWS\system32\dwdsrngt.exe C:\WINDOWS\system32\lqdsrngr.exe ((((((((((((((((((((((((( Files Created from 2007-07-21 to 2007-08-21 ))))))))))))))))))))))))))))))) 2007-08-21 20:14 51,200 --a------ C:\WINDOWS\nircmd.exe 2007-08-21 16:01 [color=darkblue][size=75]Złączono Posta: 21.08.2007 (Wto) 20:28[/size][/color]

kryzelek · 21 Sierpień 2007 18:57

Prosze cię mgirlm, nie pisz z caps lockiem, wiem że nie jestem moderatorem etc. ale z capsem bardzo trudno się to czyta :lol:

mgirlm · 21 Sierpień 2007 19:01

juz nie będę, obiecuję i przepraszam jeszcze raz

Gutek · 21 Sierpień 2007 19:02

Użyj SmitFraudFix wybierz opcji nr 2 , oczywiście w trybie awaryjnym i po tym nowy log z Combofix

Uwaga: Jak wklejasz loga to obejmuj go znacznikiem (tagiem) CODE lub QUOTE

Pobierz program SDFix

jessica · 21 Sierpień 2007 19:05

Z logu ComboFixa wynika, że te wpisy są już bezplikowe, więc je sfiksuj w Hijacku:

>>Hijack>>scan(Do a system scan only)>>zaznacz je >> Fix checked.

Wklej do Notatnika :

File::

C:\WINDOWS\system32\winpfz32.sys


Folder::

C:\DOCUME~1\Marta\DANEAP~1\Hold Knob Second

C:\Program Files\Hold Knob Second

>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie,

jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

(czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku -->http://i12.tinypic.com/4l761r5.gif

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie.

Po restarcie usuń ręcznie folder C: ** Qoobox**.

Nie wiem, które jeszcze wpisy należą do infekcji “LOP” , którą dodatkowo masz.

Te wpisy trudno rozpoznać, bo są podobne do normalnych Aplikacji/progamów.

Daj potem lo z ComboFixa.

EDIT:

Pisałam w tym czasie, gdy dostałaś już odpowiedź, ale możesz wykonać zarówno moje zalecenie, jak i @Gutka2222 - nie są ze sobą sprzeczne, tylko się uzupełniają.

jessi

Gutek · 21 Sierpień 2007 19:27

mgirlm proszę użyj jeszcze SmitFraudFix i SDFix

Monczkin · 22 Sierpień 2007 07:31

mgirlm NIE KRZYCZ, zmień litery na małe i popraw posta z logami, obejmując je znacznikami. Inaczej temat wyleci.

mgirlm · 22 Sierpień 2007 09:04

Postąpując zgodnie z instrukcjami zrobiłam to co kazała mi jessica , napotkałam problem-przy robieniu scanu systemu w Hijack’u jednego bezplikowego wpisu nie znalazłam, chodzi o O4 - HKLM…\Run: [{2D-D7-75-56-ZN}] C:\windows\system32\lqdsrngr.exe P2D002 , resztę sfiksowałam.

Następnie przy przeciąganiu pliku CFScript na plik ComboFix.exe odezwał się avast - wykrył konia trojańskiego (Win32:Dadobra-EY w C:\ComboFix\Cfiles.cf)

Dodaję log z ComboFix’a, który otrzymałam już po wszystkim:

ComboFix 07-08-17.2 - “Marta” 2007-08-22 10:09:42.2 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.75 [GMT 2:00] Command switches used :: C:\Documents and Settings\Marta\Pulpit\CFScript.txt * Created a new restore point FILE:: C:\WINDOWS\system32\winpfz32.sys ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) C:\DOCUME~1\Marta\DANEAP~1\Hold Knob Second C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe\ C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe\ C:\Program Files\Alwil Software\Avast4\ashServ.exe\ C:\Program Files\Alwil Software\Avast4\ashWebSv.exe\ C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe\ C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE\ C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe\ C:\Program Files\Internet Explorer\iexplore.exe\ C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe\ C:\Program Files\Messenger\MSMSGS.EXE\ C:\Program Files\MSN Messenger\MsnMsgr.Exe\ C:\Program Files\MSN Messenger\usnsvc.exe\ C:\Program Files\Trend Micro\HijackThis\HijackThis.exe\ C:\WINDOWS\system32\ctfmon.exe\ C:\WINDOWS\System32\nvsvc32.exe\ C:\WINDOWS\system32\RunDll32.exe\ C:\WINDOWS\system32\spoolsv.exe\ C:\WINDOWS\system32\winpfz32.sys ((((((((((((((((((((((((( Files Created from 2007-07-22 to 2007-08-22 ))))))))))))))))))))))))))))))) 2007-08-21 20:14 51,200 --a------ C:\WINDOWS\nircmd.exe 2007-08-21 16:01 2007-08-21 14:03 2007-08-21 14:02 77,312 --a------ C:\WINDOWS\system32\ztvunace26.dll 2007-08-21 14:02 75,264 --a------ C:\WINDOWS\system32\unacev2.dll 2007-08-21 14:02 69,632 --a------ C:\WINDOWS\system32\ztvcabinet.dll 2007-08-21 14:02 162,304 --a------ C:\WINDOWS\system32\ztvunrar36.dll 2007-08-21 14:02 153,088 --a------ C:\WINDOWS\system32\UNRAR3.dll 2007-08-21 13:29 2007-08-20 21:11 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll 2007-08-20 17:09 2007-08-20 13:52 2007-08-20 13:52 2007-08-20 13:52 2007-08-19 20:21 2007-08-19 20:21 2007-08-15 14:36 0 --a------ C:\WINDOWS\popcreg.dat 2007-08-15 14:36 0 --a------ C:\WINDOWS\popcinfot.dat 2007-08-14 14:56 2007-08-14 12:01 2007-08-14 12:00 2007-08-14 11:58 2007-08-14 09:13 2007-08-13 19:59 2007-08-13 19:58 2007-08-12 15:18 2007-08-10 20:50 2007-08-10 16:11 2007-08-10 16:01 2007-08-01 14:09 43,520 --------- C:\WINDOWS\system32\CmdLineExt03.dll 2007-07-31 18:28 63,488 --------- C:\WINDOWS\system32\unam4ie.exe 2007-07-31 18:28 4,608 --------- C:\WINDOWS\system32\w95inf32.dll 2007-07-31 18:28 38,160 --------- C:\WINDOWS\system32\LMRTREND.dll 2007-07-31 18:28 2,272 --------- C:\WINDOWS\system32\w95inf16.dll 2007-07-31 18:28 194,320 --------- C:\WINDOWS\system32\qcut.dll 2007-07-31 18:28 182,032 --------- C:\WINDOWS\system32\dxtmsft3.dll 2007-07-31 18:28 10,240 --------- C:\WINDOWS\system32\vidx16.dll 2007-07-31 17:43 2007-07-30 08:53 152,064 --a------ C:\WINDOWS\snap.dat 2007-07-30 08:41 85,376 --a------ C:\WINDOWS\system32\drivers\NABTSFEC.sys 2007-07-30 08:41 54,784 --------- C:\WINDOWS\system32\vfwwdm32.dll 2007-07-30 08:41 5,504 --a------ C:\WINDOWS\system32\drivers\MSTEE.sys 2007-07-30 08:41 19,328 --a------ C:\WINDOWS\system32\drivers\WSTCODEC.SYS 2007-07-30 08:41 17,024 --a------ C:\WINDOWS\system32\drivers\CCDECODE.sys 2007-07-30 08:41 15,360 --a------ C:\WINDOWS\system32\drivers\StreamIP.sys 2007-07-30 08:41 11,136 --a------ C:\WINDOWS\system32\drivers\SLIP.sys 2007-07-30 08:41 10,880 --a------ C:\WINDOWS\system32\drivers\NdisIP.sys 2007-07-30 08:39 53,248 --a------ C:\WINDOWS\ap561.exe 2007-07-30 08:39 119,798 --a------ C:\WINDOWS\system32\drivers\spca561.sys 2007-07-30 08:39 118,784 --a------ C:\WINDOWS\ShowBmp.exe 2007-07-30 08:39 2007-07-30 08:28 5,632 --------- C:\WINDOWS\system32\ptpusb.dll 2007-07-30 08:28 159,232 --------- C:\WINDOWS\system32\ptpusd.dll 2007-07-30 08:28 15,104 --a------ C:\WINDOWS\system32\drivers\usbscan.sys 2007-07-24 22:34 2007-07-24 22:34 (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-08-20 19:27 --------- d-------- C:\DOCUME~1\Marta\DANEAP~1\uTorrent 2007-08-20 16:31 --------- d–h----- C:\Program Files\InstallShield Installation Information 2007-08-14 20:29 --------- d-------- C:\Program Files\Google 2007-08-14 19:53 --------- d-------- C:\DOCUME~1\Marta\DANEAP~1\Google 2007-07-30 08:21 --------- d-------- C:\Program Files\Canon 2007-07-30 08:17 --------- d-------- C:\Program Files\Common Files\InstallShield 2007-07-28 00:07 783224 --a------ C:\WINDOWS\system32\aswBoot.exe 2007-07-28 00:02 94416 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys 2007-07-28 00:02 92848 --a------ C:\WINDOWS\system32\drivers\aswmon.sys 2007-07-28 00:00 23152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys 2007-07-27 23:59 42912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys 2007-07-27 23:58 26624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys 2007-07-27 23:57 95608 --a------ C:\WINDOWS\system32\AVASTSS.scr 2007-07-15 15:02 --------- d-------- C:\Program Files\BFG 2007-07-08 09:38 --------- d-------- C:\Program Files\VideoLAN 2007-07-07 20:14 --------- d-------- C:\DOCUME~1\Marta\DANEAP~1\vlc 2007-07-07 19:57 --------- d-------- C:\Program Files\Hold Knob Second 2007-07-01 14:22 --------- d-------- C:\Program Files\flashFONT 2007-06-26 08:10 1104896 --a------ C:\WINDOWS\system32\msxml3.dll 2007-06-19 15:32 282112 --a------ C:\WINDOWS\system32\gdi32.dll 2007-06-13 15:23 1034752 --a------ C:\WINDOWS\explorer.exe 2001-11-23 06:08 712704 --a------ C:\WINDOWS\inf\OTHER\AUDIO3D.DLL --------- C:\DOCUME~1\Marta\DANEAP~1\Folder przesyłania Share-to-Web ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “SunJavaUpdateSched”=“C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe” [2007-07-12 04:00] “avast!”=“C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe” [2007-07-28 00:03] “Cmaudio”=“cmicnfg.cpl” [] “CM-SmWizard”=“C:\WINDOWS\System\SmWizard.exe” [2003-08-29 06:02] “NvCplDaemon”=“C:\WINDOWS\System32\NvCpl.dll” [2003-07-18 09:08] “nwiz”=“nwiz.exe” [2003-07-18 09:08 C:\WINDOWS\system32\nwiz.exe] “Easy-PrintToolBox”=“C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.exe” [2004-01-14 13:10] “Adobe Reader Speed Launcher”=“C:\ADOBE READER\Reader\Reader_sl.exe” [2007-05-11 03:06] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “CTFMON.EXE”=“C:\WINDOWS\system32\ctfmon.exe” [2004-08-04 00:44] “MsnMsgr”=“C:\Program Files\MSN Messenger\MsnMsgr.exe” [2007-01-19 12:54] “MSMSGS”=“C:\Program Files\Messenger\MSMSGS.exe” [2004-10-13 18:24] “swg”=“C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe” [2007-08-17 18:49] R2 SetupNT;SetupNT;C:\WINDOWS\system32\SetupNT.sys R3 FETNDISB;VIA Rhine Family Fast Ethernet Adapter Driver Service;C:\WINDOWS\system32\DRIVERS\fetnd5b.sys S3 FETNDIS;Sterownik NT karty VIA PCI 10/100Mb Fast Ethernet;C:\WINDOWS\system32\DRIVERS\fetnd5.sys S3 NTSIM;NTSIM;??\C:\WINDOWS\System32\ntsim.sys ************************************************************************** catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-08-22 10:12:12 Windows 5.1.2600 Dodatek Service Pack 2 NTFS scanning hidden processes … scanning hidden autostart entries … scanning hidden files … scan completed successfully hidden files: 0 ************************************************************************** Completion time: 2007-08-22 10:13:01 C:\ComboFix-quarantined-files.txt … 2007-08-22 10:12 C:\ComboFix2.txt … 2007-08-21 20:20 — E O F —

jessica · 22 Sierpień 2007 10:08

Coś tu jest niejasnego.

Oprócz plików, które miały być usunięte, ComboFix usunął także inne pliki, a przynajmniej tak wynika z jego sekcji “Other Deletions” w logu.

Są tam widoczne, oprócz złych plików, także zupełnie prawidłowe i potrzebne pliki.

Sprawdź, czy to tylko pomyłka w logu, czy też rzeczywiście ComboFix popełnił straszną pomyłkę i usunął prawidłowe pliki.

)))))))))))))Other Deletions )))))))))))))))))))))))))))))))))))) C:\DOCUME~1\Marta\DANEAP~1\Hold Knob Second C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe\ C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe\ C:\Program Files\Alwil Software\Avast4\ashServ.exe\ C:\Program Files\Alwil Software\Avast4\ashWebSv.exe\ C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe\ C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE\ C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe\ C:\Program Files\Internet Explorer\iexplore.exe\ C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe\ C:\Program Files\Messenger\MSMSGS.EXE\ C:\Program Files\MSN Messenger\MsnMsgr.Exe\ C:\Program Files\MSN Messenger\usnsvc.exe\ C:\Program Files\Trend Micro\HijackThis\HijackThis.exe\ C:\WINDOWS\system32\ctfmon.exe\ C:\WINDOWS\System32\nvsvc32.exe\ C:\WINDOWS\system32\RunDll32.exe\ C:\WINDOWS\system32\spoolsv.exe\ C:\WINDOWS\system32\winpfz32.sys

Te zaznaczone na czerwono miały być usunięte, - pozostałe nie miały być usuwane.

Sprawdź, wg ścieżek, czy faktycznie ComboFix je usunął.

Jeśli rzeczywiście je usunął to mamy wielki kłopot.

Gdyby nie została usunięta Kwarantanna (C:\Qoobox), to można by z niej wyciągnąć te potrzebne pliki.

Jeśli nie miałaś wyłączonego “Przywracania Systemu”, to można by przywrócić System do jakiejś daty, gdy System był dobry.

Ale jeśli “Przywracanie” masz wyłączone, to pozostanie tylko reinstalacja systemu i programu.

Nigdy dotąd nie spotkałam się z taką pomyłką ComboFixa.

Miejmy nadzieję, że to tylko pomyłka w logu, a nie w usuwaniu!

jessi

mgirlm · 22 Sierpień 2007 11:15

próbowałam znaleźć usunięte pliki, ale wyglada na to że w komputerze nie ma ich, za to gdy chcę uruchomić program Combofix avast pokazuje mi informację o tym koniu trojańskim -(Win32:Dadobra-EY w C:\ComboFix\Cfiles.cf) . Poza tym nic nie rozumiem, bo problem, od którego to sie zaczęlo zniknął-avast nie ryczy, że mam Win32:Ad-ware, a przy zamykaniu komputera nie ma natrętnego programu brdr, który musiałam wyłączać ręcznie. Wygląda na to,że program,który miał mi pomóc obrócił się przeciwko mnie. Próbowałam wykonać akcję,którą zalecał użytkownik Guttek 2222, ale wydaje mi się,że mam cos nie tak z administratorem. Nie piszę o tym, bo kojarzę,że ten problem był na rzecz u mnie jakieś 2 miesiące temu jak mój znajomy robił mi komputer-dopiero jak się z nim spotkam wyjaśnię tę kwestję, bo nie pamiętam. mam jeszcze pytanie co mam dalej robić? Od jakiś dwóch tygodni na moją skrzynkę, “ktoś” przysyła mi rzekomo kartki, ale po odtwarciu avast znowu ryczy,że to trojan! Co mam dalej robic z moim kompem? - z r o z p a c z o n a

Złączono Posta : 22.08.2007 (Sro) 13:25

te programy co miały być usunięte działają co do jednego, więc o co tu chodzi? mam wyrzucić tego zainfekowanego combofixa z komputera i czy to coś pomoże?co dalej?

jessica · 22 Sierpień 2007 11:35

Antivirusy często wszczynają alarm na ComboFixa, bo on ma wbudowany w siebie moduł niszczenia “wirusów”, a niby skąd Antivirus ma wiedzieć, że ten moduł usuwa tylko “wirusy”.

Można ustawić w Antivirusie, żeby omijał ComboFixa.

Chociaż, jeśli ComboFix u Ciebie usuwa prawidłowe pliki, to może rzeczywiście jest jakiś zarażony.?

Możesz go usunąć, a zainstalować ewentualnie potem od nowa.

Mam nadzieję, że te programy bez tych usuniętych plików będą cały czas jakoś działały.

jessi

Gutek · 22 Sierpień 2007 13:03

Pobierz program SDFix