Windefender jak usunąć

Dla specjalistów Bezpieczeństwo
#1

Proszę o sprawdzenie mojego loga rowniez, otoz problem dotyczyl takiej sprawy, iz gdy wchodzilem do folderu “moj komputer” zamiast okna folderu otwierala mi sie strona “windefender” Comnbofix usunal problem, lecz nadal mam pewne niedociaglosci w systemie. Kiedy chce otworzyc dany plik, otwiera mi sie okinko czy chce sciagnac pornosa… :expressionless: :?: :?: :?: :?: :?: :?: :?: :?: :?:

ComboFix 08-12-13.03 - Julita 2008-12-14 13:12:04.1 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.255.86 [GMT 1:00]

Uruchomiony z: D:\ComboFix.exe

* Utworzono nowy punkt przywracania

.

((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\documents and settings\All Users\Dane aplikacji\Microsoft\Network\Downloader\qmgr0.dat

c:\documents and settings\All Users\Dane aplikacji\Microsoft\Network\Downloader\qmgr1.dat

c:\program files\WinDefender

c:\program files\WinDefender\winnt.bmp

----- BITS: Możliwe zainfekowane strony -----

hxxp://09021030408721.cn

.

((((((((((((((((((((((((( Pliki utworzone od 2008-11-14 do 2008-12-14 )))))))))))))))))))))))))))))))

.

2008-12-14 12:54 . 2008-12-14 12:54

2008-12-14 12:51 . 2008-12-14 12:57

2008-12-14 12:44 . 2008-12-14 12:44

2008-12-14 12:44 . 2008-12-14 12:44

2008-12-14 12:44 . 2008-12-14 12:44

2008-12-14 12:44 . 2008-12-14 12:44

2008-12-14 12:41 . 2008-12-14 12:41 642,560 --a------ c:\windows\system32\dllcache\user32.dll

2008-12-14 12:38 . 2008-12-14 12:38

2008-12-14 12:30 . 2008-12-14 12:48

2008-12-13 16:22 . 2008-12-13 16:22 110,592 --a------ c:\windows\system32\knzg.dll

2008-12-13 16:22 . 2008-12-13 16:22 21,446 --a------ c:\windows\system32\sf.ico

2008-12-13 16:22 . 2008-12-13 16:22 13,942 --a------ c:\windows\system32\m3.ico

2008-12-11 20:44 . 2008-12-14 11:00 3,097 --a------ c:\windows\ios.dat

2008-12-01 18:28 . 2008-12-09 16:44 997 --a------ c:\windows\CDPLAYER.INI

2008-12-01 13:03 . 2008-12-01 13:03

2008-12-01 13:02 . 2008-12-01 13:02

2008-12-01 13:01 . 2008-12-01 13:01

2008-11-25 20:08 . 2008-11-25 20:08

2008-11-25 20:08 . 2008-11-25 20:08

2008-11-25 20:08 . 2008-11-25 20:08

2008-11-25 20:08 . 2008-11-25 20:08

2008-11-25 20:04 . 2008-11-25 20:05

2008-11-15 20:55 . 2008-11-15 20:55

2008-11-15 20:55 . 2008-11-15 20:55

2008-11-15 20:09 . 2008-11-15 20:09

.

(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-12-14 10:19 --------- d-----w c:\program files\Common Files\Symantec Shared

2008-12-14 10:18 --------- d-----w c:\program files\Norton Security Scan

2008-12-08 14:23 --------- d-----w c:\program files\Last.fm

2008-12-01 12:05 --------- d-----w c:\documents and settings\Julita\Dane aplikacji\Sony

2008-12-01 12:03 --------- d-----w c:\program files\Vstplugins

2008-11-25 19:01 --------- d-----w c:\program files\Common Files\Adobe

2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll

2008-10-16 13:13 202,776 ----a-w c:\windows\system32\dllcache\wuweb.dll

2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll

2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\dllcache\wuaueng.dll

2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll

2008-10-16 13:12 561,688 ----a-w c:\windows\system32\dllcache\wuapi.dll

2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll

2008-10-16 13:12 323,608 ----a-w c:\windows\system32\dllcache\wucltui.dll

2008-10-16 13:09 92,696 ----a-w c:\windows\system32\dllcache\cdm.dll

2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll

2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe

2008-10-16 13:09 51,224 ----a-w c:\windows\system32\dllcache\wuauclt.exe

2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll

2008-04-13 17:49 16,384 --sha-w c:\windows\system32\config\systemprofile\Cookies\index.dat

2008-04-13 17:49 32,768 --sha-w c:\windows\system32\config\systemprofile\Ustawienia lokalne\Historia\History.IE5\index.dat

2008-04-13 17:49 32,768 --sha-w c:\windows\system32\config\systemprofile\Ustawienia lokalne\Historia\History.IE5\MSHist012008041320080414\index.dat

2008-04-13 17:49 32,768 --sha-w c:\windows\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat

.

((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane

REGEDIT4

[HKEY_LOCAL_MACHINE~\Browser Helper Objects{46CFEC0B-CA28-4C82-BD91-EF9C6AE197B5}]

2008-12-13 16:22 110592 --a------ c:\windows\system32\knzg.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“CTFMON.EXE”=“c:\windows\system32\ctfmon.exe” [2004-08-04 15360]

“swg”=“c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe” [2008-04-22 68856]

“ares”=“c:\program files\Ares\Ares.exe” [2008-02-20 963072]

“Gadu-Gadu”=“c:\program files\Gadu-Gadu\gg.exe” [2008-03-20 2127296]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“avgnt”=“c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe” [2008-07-18 266497]

“USB Storage Toolbox”=“c:\program files\USB Disk Win98 Driver\Res.EXE” [2005-09-14 65536]

“WinampAgent”=“c:\program files\Winamp\winampa.exe” [2007-02-13 35328]

“HPDJ Taskbar Utility”=“c:\windows\system32\spool\drivers\w32x86\3\hpztsb08.exe” [2003-03-11 172032]

“HP Software Update”=“c:\program files\Hewlett-Packard\HP Software Update\HPWuSchd.exe” [2002-12-17 49152]

“DeviceDiscovery”=“c:\program files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe” [2002-12-02 40960]

“SunJavaUpdateSched”=“c:\program files\Java\jre1.6.0_07\bin\jusched.exe” [2008-06-10 144784]

“SoundMan”=“SOUNDMAN.EXE” [2007-10-17 c:\windows\SOUNDMAN.EXE]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

“CTFMON.EXE”=“c:\windows\system32\CTFMON.EXE” [2004-08-04 15360]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

“nltide_2”=“shell32” [X]

“nltide_3”=“advpack.dll” [2007-10-09 c:\windows\system32\advpack.dll]

c:\documents and settings\Julita\Menu Start\Programy\Autostart\

Adobe Gamma.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 113664]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

“DisableStatusMessages”= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

“NoSMMyPictures”= 1 (0x1)

“NoSMConfigurePrograms”= 1 (0x1)

“NoSMHelp”= 1 (0x1)

[HKEY_USERS.default\software\microsoft\windows\currentversion\policies\explorer]

“NoSMMyPictures”= 1 (0x1)

“NoSMConfigurePrograms”= 1 (0x1)

“NoSMHelp”= 1 (0x1)

[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

“%windir%\Network Diagnostic\xpnetdiag.exe”=

“%windir%\system32\sessmgr.exe”=

“c:\Program Files\Gadu-Gadu\gg.exe”=

“c:\Program Files\Opera\Opera.exe”=

“c:\Program Files\Ares\Ares.exe”=

“c:\Program Files\Skype\Phone\Skype.exe”=

*Newly Created Service* - PROCEXP90

.

Zawartość folderu ‘Zaplanowane zadania’

2008-12-12 c:\windows\Tasks\Norton Security Scan for Julita.job

  • c:\program files\Norton Security Scan\Nss.exe [2008-09-19 04:18]

.

.

------- Skan uzupełniający -------

.

uStart Page = hxxp://www.onet.pl/

IE: E&ksport do programu Microsoft Excel - c:\progra~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

c:\windows\Downloaded Program Files\SignActivX.ocx - O16 -: {92ECE6FA-AC2E-4042-BFAE-0C8608E52A43}

hxxps://www.bph.pl/pi/components/SignActivX.cab

FF - ProfilePath - c:\documents and settings\Julita\Dane aplikacji\Mozilla\Firefox\Profiles\ifvd7uol.default\

FF - plugin: c:\program files\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll

FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll

FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll

.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-12-14 13:13:31

Windows 5.1.2600 Dodatek Service Pack 2 NTFS

skanowanie ukrytych procesów …

skanowanie ukrytych wpisów autostartu …

skanowanie ukrytych plików …

skanowanie pomyślnie ukończone

ukryte pliki: 0

**************************************************************************

.

--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------

              • > ‘winlogon.exe’(644)

c:\windows\system32\cscui.dll

.

Czas ukończenia: 2008-12-14 13:15:02

ComboFix-quarantined-files.txt 2008-12-14 12:14:35

Przed: 4˙096˙487˙424 bajt˘w wolnych

Po: 4,135,288,832 bajt˘w wolnych

WindowsXP-KB310994-SP2-Pro-BootDisk-PLK.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT=“Microsoft Windows Recovery Console” /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS=“Microsoft Windows XP Professional” /noexecute=optin /fastdetect

157

#2

Nie podpinaj się pod cudzy temat - wydzielam!

Zmiana zasad wklejania logów na forum - viewtopic.php?f=16&t=253052

Wklej do Notatnika:

File::

c:\windows\system32\knzg.dll

c:\windows\system32\sf.ico

c:\windows\system32\m3.ico

c:\windows\ios.dat


Registry::

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{46CFEC0B-CA28-4C82-BD91-EF9C6AE197B5}]

>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku –>88953CFScript-createdbyMiekiemoes.gif

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: ** Qoobox**.

Po tym nowy log z Combo oraz skan http://www.kaspersky.pl/virusscanner.html