Wirus "Antivirus XP 2008"

Witam! Złapałem dzisiaj Antivirus XP 2008 daję log z hijckthis i proszę o pomoc.

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:23:33, on 2008-08-24

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe

C:\WINDOWS\system32\svchost.exe

C:\PROGRA~1\AVG\AVG8\avgrsx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\system32\VTTimer.exe

C:\WINDOWS\system32\VTtrayp.exe

C:\PROGRA~1\AVG\AVG8\avgtray.exe

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\Winamp\winampa.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\Program Files\Nowe Gadu-Gadu\gg.exe

C:\WINDOWS\system32\drivers\svchost.exe

C:\PROGRA~1\AVG\AVG8\avgemc.exe

C:\Program Files\Winamp\winamp.exe

C:\Program Files\Skype\Plugin Manager\skypePM.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe

O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe

O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"

O4 - HKLM\..\Run: [lphc7c2j0eee9] C:\WINDOWS\system32\lphc7c2j0eee9.exe

O4 - HKLM\..\Run: [SMrhc3c2j0eee9] C:\Program Files\rhc3c2j0eee9\rhc3c2j0eee9.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray

O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [Nowe Gadu-Gadu] "C:\Program Files\Nowe Gadu-Gadu\gg.exe"

O4 - HKCU\..\Run: [SVCHOST.EXE] C:\WINDOWS\system32\drivers\svchost.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O20 - AppInit_DLLs: avgrsstx.dll

O20 - Winlogon Notify: Antiwpa - C:\WINDOWS\SYSTEM32\antiwpa.dll

O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe

O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe


--

End of file - 4079 bytes

fix w hijackthis

Pobierz ComboFix, ale nie uruchamiaj

Otwórz notatnik i wklej do niego:

File::

C:\WINDOWS\system32\lphc7c2j0eee9.exe

C:\WINDOWS\system32\drivers\svchost.exe


Folder::

C:\Program Files\rhc3c2j0eee9

Plik -> zapisz jako -> CFScript.txt.

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->

cfscript10uc2.gif

Rozpocznie się usuwanie i powstanie log, który dasz na forum.

Logi dajesz na http://wklej.eu lub na http://wklej.org a w poście dajesz tylko link

to jest link do loga z Combofix http://wklej.eu/index.php?id=030aebdccc

dodaję jescze log z hijackthis

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 21:19:19, on 2008-08-24

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe

C:\WINDOWS\system32\svchost.exe

C:\PROGRA~1\AVG\AVG8\avgrsx.exe

C:\PROGRA~1\AVG\AVG8\avgemc.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\system32\VTTimer.exe

C:\WINDOWS\system32\VTtrayp.exe

C:\PROGRA~1\AVG\AVG8\avgtray.exe

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\Winamp\winampa.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\Program Files\Nowe Gadu-Gadu\gg.exe

C:\Program Files\Skype\Plugin Manager\skypePM.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe

O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe

O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray

O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [Nowe Gadu-Gadu] "C:\Program Files\Nowe Gadu-Gadu\gg.exe"

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: Antiwpa - C:\WINDOWS\SYSTEM32\antiwpa.dll

O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe

O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe


--

End of file - 3739 bytes

Aha zapomniałem dodać, że nic się nie zmieniło w komputerze.

to nie jest ten log co trzeba

Start >> wyszukaj >> ComboFix.txt

:slight_smile:

Nic takiego nie znajduje.

uruchom Combofix jeszcze raz dwuklikiem

:slight_smile:

Po trzech razach “upuszczenia pliku CFScript.txt na Combofix.exe” zniknęła ikonka z paska szybkiego uruchamiania i mogę już zmienić tapetę. Pozostaje jeszcze w Program files folder “rhc3c2j0eee9” oraz Start >> Programy >> Antivirus XP 2008 (jedno jako folder adrugie jako antiwirus XP 2008.exe)

Po dwukliku na Combofix wyskakuje okienko z informacją “combofix has detected the presence of rootkit activity and needs to reboot the machine” po kliku na ok jest restart i dalej nic się nie dzieje :frowning:

Pobierz program SDFix

Trochę to trwało ale mam raport z SDFix

[b]SDFix: Version 1.219 [/b]

Run by Dom on 2008-08-24 at 23:37


Microsoft Windows XP [Wersja 5.1.2600]

Running From: C:\SDFix


[b]Checking Services [/b]:



Restoring Default Security Values

Restoring Default Hosts File

Restoring Default Desktop Wallpaper  


Rebooting



[b]Checking Files [/b]: 


Trojan Files Found:


C:\WINDOWS\system32\pphc7c2j0eee9.exe - Deleted

C:\Program Files\rhc3c2j0eee9\database.dat - Deleted

C:\Program Files\rhc3c2j0eee9\license.txt - Deleted

C:\Program Files\rhc3c2j0eee9\MFC71.dll - Deleted

C:\Program Files\rhc3c2j0eee9\MFC71ENU.DLL - Deleted

C:\Program Files\rhc3c2j0eee9\msvcp71.dll - Deleted

C:\Program Files\rhc3c2j0eee9\msvcr71.dll - Deleted

C:\Program Files\rhc3c2j0eee9\rhc3c2j0eee9.exe.local - Deleted

C:\Program Files\rhc3c2j0eee9\Uninstall.exe - Deleted

C:\WINDOWS\system32\phc7c2j0eee9.bmp - Deleted

C:\Documents and Settings\All Users\Menu Start\Programy\Antivirus XP 2008\Antivirus XP 2008.lnk - Deleted

C:\Documents and Settings\All Users\Menu Start\Programy\Antivirus XP 2008\How to Register Antivirus XP 2008.lnk - Deleted

C:\Documents and Settings\All Users\Menu Start\Programy\Antivirus XP 2008\License Agreement.lnk - Deleted

C:\Documents and Settings\All Users\Menu Start\Programy\Antivirus XP 2008\Register Antivirus XP 2008.lnk - Deleted

C:\Documents and Settings\All Users\Menu Start\Programy\Antivirus XP 2008\Uninstall.lnk - Deleted

C:\DOCUME~1\Dom\USTAWI~1\Temp\.tt1.tmp - Deleted

C:\DOCUME~1\Dom\USTAWI~1\Temp\.tt10.tmp - Deleted

C:\DOCUME~1\Dom\USTAWI~1\Temp\.tt11.tmp - Deleted

C:\DOCUME~1\Dom\USTAWI~1\Temp\.tt12.tmp - Deleted

C:\DOCUME~1\Dom\USTAWI~1\Temp\.tt13.tmp - Deleted

C:\DOCUME~1\Dom\USTAWI~1\Temp\.tt14.tmp - Deleted

C:\DOCUME~1\Dom\USTAWI~1\Temp\.tt15.tmp - Deleted

C:\DOCUME~1\Dom\USTAWI~1\Temp\.tt16.tmp - Deleted

C:\DOCUME~1\Dom\USTAWI~1\Temp\.tt17.tmp - Deleted

C:\DOCUME~1\Dom\USTAWI~1\Temp\.tt18.tmp - Deleted

C:\DOCUME~1\Dom\USTAWI~1\Temp\.tt19.tmp - Deleted

C:\DOCUME~1\Dom\USTAWI~1\Temp\.tt1A.tmp - Deleted

C:\DOCUME~1\Dom\USTAWI~1\Temp\.tt1B.tmp - Deleted

C:\DOCUME~1\Dom\USTAWI~1\Temp\.tt1C.tmp - Deleted

C:\DOCUME~1\Dom\USTAWI~1\Temp\.tt1D.tmp - Deleted

C:\DOCUME~1\Dom\USTAWI~1\Temp\.tt1E.tmp - Deleted

C:\DOCUME~1\Dom\USTAWI~1\Temp\.tt1F.tmp - Deleted

C:\DOCUME~1\Dom\USTAWI~1\Temp\.tt20.tmp - Deleted

C:\DOCUME~1\Dom\USTAWI~1\Temp\.tt21.tmp - Deleted

C:\DOCUME~1\Dom\USTAWI~1\Temp\.tt22.tmp - Deleted

C:\DOCUME~1\Dom\USTAWI~1\Temp\.tt23.tmp - Deleted

C:\DOCUME~1\Dom\USTAWI~1\Temp\.tt24.tmp - Deleted

C:\DOCUME~1\Dom\USTAWI~1\Temp\.tt25.tmp - Deleted

C:\DOCUME~1\Dom\USTAWI~1\Temp\.tt26.tmp - Deleted

C:\DOCUME~1\Dom\USTAWI~1\Temp\.tt27.tmp - Deleted

C:\DOCUME~1\Dom\USTAWI~1\Temp\.tt28.tmp - Deleted

C:\DOCUME~1\Dom\USTAWI~1\Temp\.tt29.tmp - Deleted

C:\DOCUME~1\Dom\USTAWI~1\Temp\.tt3.tmp - Deleted

C:\DOCUME~1\Dom\USTAWI~1\Temp\.tt5.tmp - Deleted

C:\DOCUME~1\Dom\USTAWI~1\Temp\.tt6.tmp - Deleted

C:\DOCUME~1\Dom\USTAWI~1\Temp\.tt7.tmp - Deleted

C:\DOCUME~1\Dom\USTAWI~1\Temp\.tt8.tmp - Deleted

C:\DOCUME~1\Dom\USTAWI~1\Temp\.ttF.tmp - Deleted

C:\DOCUME~1\Dom\USTAWI~1\Temp\.tt1.tmp.vbs - Deleted

C:\DOCUME~1\Dom\USTAWI~1\Temp\.tt3.tmp.vbs - Deleted

C:\DOCUME~1\Dom\USTAWI~1\Temp\tds2.tmp - Deleted

C:\DOCUME~1\Dom\USTAWI~1\Temp\tds2.tmp - Deleted

C:\Documents and Settings\Dom\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Antivirus XP 2008.lnk - Deleted

C:\Documents and Settings\All Users\Pulpit\Antivirus XP 2008.lnk - Deleted

C:\Documents and Settings\All Users\Menu Start\Programy\Antivirus XP 2008.lnk - Deleted

C:\WINDOWS\system32\drivers\svchost.exe - Deleted

C:\WINDOWS\system32\drivers\tdssserv.sys - Deleted

C:\WINDOWS\system32\tdssadw.dll - Deleted

C:\WINDOWS\system32\tdssinit.dll - Deleted

C:\WINDOWS\system32\tdssl.dll - Deleted

C:\WINDOWS\system32\tdssmain.dll - Deleted

C:\WINDOWS\system32\tdssservers.dat - Deleted




Folder C:\Program Files\rhc3c2j0eee9 - Removed

Folder C:\Documents and Settings\Dom\Dane aplikacji\rhc3c2j0eee9 - Removed

Folder C:\Documents and Settings\All Users\Menu Start\Programy\Antivirus XP 2008 - Removed



Removing Temp Files


[b]ADS Check [/b]:




                                 [b]Final Check [/b]:


catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-08-24 23:51:10

Windows 5.1.2600 Dodatek Service Pack 2 NTFS


scanning hidden processes ...


scanning hidden services & system hive ...


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tdssserv]

"start"=dword:00000001

"type"=dword:00000001

"imagepath"=str(2):"\systemroot\system32\drivers\tdssserv.sys"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\tdssserv]

"start"=dword:00000001

"type"=dword:00000001

"imagepath"=str(2):"\systemroot\system32\drivers\tdssserv.sys"


scanning hidden registry entries ...


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"="avgrsstx.dll"

"DeviceNotSelectedTimeout"="15"

"GDIProcessHandleQuota"=dword:00002710

"Spooler"="yes"

"swapdisk"=""

"TransmissionRetryTimeout"="90"

"USERProcessHandleQuota"=dword:00002710

"LoadAppInit_DLLs"=dword:00000001


scanning hidden files ...


scan completed successfully

hidden processes: 0

hidden services: 0

hidden files: 0



[b]Remaining Services [/b]:





Authorized Application Key Export:


[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Program Files\\AVG\\AVG8\\avgupd.exe"="C:\\Program Files\\AVG\\AVG8\\avgupd.exe:*:Enabled:avgupd.exe"

"C:\\Program Files\\AVG\\AVG8\\avgemc.exe"="C:\\Program Files\\AVG\\AVG8\\avgemc.exe:*:Enabled:avgemc.exe"

"C:\\Program Files\\Nowe Gadu-Gadu\\gg.exe"="C:\\Program Files\\Nowe Gadu-Gadu\\gg.exe:*:Enabled:Nowe Gadu-Gadu beta"

"C:\\WINDOWS\\system32\\drivers\\svchost.exe"="C:\\WINDOWS\\system32\\drivers\\svchost.exe:*:Disabled:svchost"

"C:\\Program Files\\Skype\\Phone\\Skype.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"


[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"


[b]Remaining Files [/b]:



File Backups: - C:\SDFix\backups\backups.zip


[b]Files with Hidden Attributes [/b]:



[b]Finished![/b]

Dodaję jeszcze log z SRE i powiem jeszcze, że niepokojące rzeczy, o których mowa wyżej, poznikały i wszystko działa.

http://wklej.eu/index.php?id=412b04f2c5

Jeżeli to koniec to dziękuję wszystkim za pomoc. Jesteście naprawdę dobrzy w tych sprawach.

uruchom System Repair Engineer zakładka System Repair >> Browser Add-ons >> odszukaj i usuń

usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.

Przeczyść komputer Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum

lub

Dr.WEB CureIt!

Oto raport z kaspersky’ego

KASPERSKY ONLINE SCANNER REPORT

26 sierpień 2008 17:00:29

System operacyjny: Microsoft Windows XP Home Edition, Dodatek Service Pack 2 (Build 2600)

Kaspersky Online Scanner wersja: 5.0.98.1

Ostatnia aktualizacja Kaspersky Anti-Virus26/08/2008

Liczba wpisów w bazie danych Kaspersky Anti-Virus1148260

Ustawienia skanowania

Skanowanie przy użyciu następujących baz danych rozszerzone

Skanuj archiwa tak

Skanuj pocztowe bazy danych tak

Obszar skanowania Mój komputer

C:\

D:\

E:\

F:\

Statystyki skanowania

Liczba skanowanych obiektów 29166

Liczba wykrytych wirusów 2

Liczba zainfekowanych obiektów 3

Liczba podejrzanych obiektów 0

Czas trwania skanowania 00:43:03


Nazwa zainfekowanego obiektu Nazwa wirusa Ostatnie działanie

C:\Documents and Settings\All Users\Dane aplikacji\avg8\emc\Log\emc.log Object is locked pominięty

C:\Documents and Settings\All Users\Dane aplikacji\avg8\Log\avgcore.log Object is locked pominięty

C:\Documents and Settings\All Users\Dane aplikacji\avg8\Log\avgrs.log Object is locked pominięty

C:\Documents and Settings\All Users\Dane aplikacji\avg8\Log\avgsched.log Object is locked pominięty

C:\Documents and Settings\All Users\Dane aplikacji\avg8\Log\avgui.log Object is locked pominięty

C:\Documents and Settings\Dom\Cookies\index.dat Object is locked pominięty

C:\Documents and Settings\Dom\Dane aplikacji\Mozilla\Firefox\Profiles\2gcmvngh.default\cert8.db Object is locked pominięty

C:\Documents and Settings\Dom\Dane aplikacji\Mozilla\Firefox\Profiles\2gcmvngh.default\content-prefs.sqlite Object is locked pominięty

C:\Documents and Settings\Dom\Dane aplikacji\Mozilla\Firefox\Profiles\2gcmvngh.default\cookies.sqlite Object is locked pominięty

C:\Documents and Settings\Dom\Dane aplikacji\Mozilla\Firefox\Profiles\2gcmvngh.default\downloads.sqlite Object is locked pominięty

C:\Documents and Settings\Dom\Dane aplikacji\Mozilla\Firefox\Profiles\2gcmvngh.default\formhistory.sqlite Object is locked pominięty

C:\Documents and Settings\Dom\Dane aplikacji\Mozilla\Firefox\Profiles\2gcmvngh.default\key3.db Object is locked pominięty

C:\Documents and Settings\Dom\Dane aplikacji\Mozilla\Firefox\Profiles\2gcmvngh.default\parent.lock Object is locked pominięty

C:\Documents and Settings\Dom\Dane aplikacji\Mozilla\Firefox\Profiles\2gcmvngh.default\permissions.sqlite Object is locked pominięty

C:\Documents and Settings\Dom\Dane aplikacji\Mozilla\Firefox\Profiles\2gcmvngh.default\places.sqlite Object is locked pominięty

C:\Documents and Settings\Dom\Dane aplikacji\Mozilla\Firefox\Profiles\2gcmvngh.default\places.sqlite-journal Object is locked pominięty

C:\Documents and Settings\Dom\Dane aplikacji\Mozilla\Firefox\Profiles\2gcmvngh.default\search.sqlite Object is locked pominięty

C:\Documents and Settings\Dom\Dane aplikacji\Nowe Gadu-Gadu\5645362\Archive.db Object is locked pominięty

C:\Documents and Settings\Dom\Dane aplikacji\Skype\agnieszka-bn\call256.dbb Object is locked pominięty

C:\Documents and Settings\Dom\Dane aplikacji\Skype\agnieszka-bn\callmember256.dbb Object is locked pominięty

C:\Documents and Settings\Dom\Dane aplikacji\Skype\agnieszka-bn\chat256.dbb Object is locked pominięty

C:\Documents and Settings\Dom\Dane aplikacji\Skype\agnieszka-bn\chat512.dbb Object is locked pominięty

C:\Documents and Settings\Dom\Dane aplikacji\Skype\agnieszka-bn\chatmember256.dbb Object is locked pominięty

C:\Documents and Settings\Dom\Dane aplikacji\Skype\agnieszka-bn\chatmsg1024.dbb Object is locked pominięty

C:\Documents and Settings\Dom\Dane aplikacji\Skype\agnieszka-bn\chatmsg256.dbb Object is locked pominięty

C:\Documents and Settings\Dom\Dane aplikacji\Skype\agnieszka-bn\chatmsg512.dbb Object is locked pominięty

C:\Documents and Settings\Dom\Dane aplikacji\Skype\agnieszka-bn\chatsync\5c\5c730a7c5f731537.dat Object is locked pominięty

C:\Documents and Settings\Dom\Dane aplikacji\Skype\agnieszka-bn\contactgroup256.dbb Object is locked pominięty

C:\Documents and Settings\Dom\Dane aplikacji\Skype\agnieszka-bn\conversation256.dbb Object is locked pominięty

C:\Documents and Settings\Dom\Dane aplikacji\Skype\agnieszka-bn\dyncontent\bundle.dat Object is locked pominięty

C:\Documents and Settings\Dom\Dane aplikacji\Skype\agnieszka-bn\index2.dat Object is locked pominięty

C:\Documents and Settings\Dom\Dane aplikacji\Skype\agnieszka-bn\participant256.dbb Object is locked pominięty

C:\Documents and Settings\Dom\Dane aplikacji\Skype\agnieszka-bn\profile4096.dbb Object is locked pominięty

C:\Documents and Settings\Dom\Dane aplikacji\Skype\agnieszka-bn\transfer256.dbb Object is locked pominięty

C:\Documents and Settings\Dom\Dane aplikacji\Skype\agnieszka-bn\transfer512.dbb Object is locked pominięty

C:\Documents and Settings\Dom\Dane aplikacji\Skype\agnieszka-bn\user1024.dbb Object is locked pominięty

C:\Documents and Settings\Dom\Dane aplikacji\Skype\agnieszka-bn\user16384.dbb Object is locked pominięty

C:\Documents and Settings\Dom\Dane aplikacji\Skype\agnieszka-bn\user4096.dbb Object is locked pominięty

C:\Documents and Settings\Dom\Dane aplikacji\Skype\agnieszka-bn\voicemail256.dbb Object is locked pominięty

C:\Documents and Settings\Dom\NTUSER.DAT Object is locked pominięty

C:\Documents and Settings\Dom\ntuser.dat.LOG Object is locked pominięty

C:\Documents and Settings\Dom\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty

C:\Documents and Settings\Dom\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty

C:\Documents and Settings\Dom\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\2gcmvngh.default\Cache\_CACHE_001_ Object is locked pominięty

C:\Documents and Settings\Dom\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\2gcmvngh.default\Cache\_CACHE_002_ Object is locked pominięty

C:\Documents and Settings\Dom\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\2gcmvngh.default\Cache\_CACHE_003_ Object is locked pominięty

C:\Documents and Settings\Dom\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\2gcmvngh.default\Cache\_CACHE_MAP_ Object is locked pominięty

C:\Documents and Settings\Dom\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\2gcmvngh.default\urlclassifier3.sqlite Object is locked pominięty

C:\Documents and Settings\Dom\Ustawienia lokalne\Historia\History.IE5\index.dat Object is locked pominięty

C:\Documents and Settings\Dom\Ustawienia lokalne\Historia\History.IE5\MSHist012008082620080827\index.dat Object is locked pominięty

C:\Documents and Settings\Dom\Ustawienia lokalne\Temp\etilqs_60wAktpZibHSfOON4J7y Object is locked pominięty

C:\Documents and Settings\Dom\Ustawienia lokalne\Temp\~DFE07E.tmp Object is locked pominięty

C:\Documents and Settings\Dom\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat Object is locked pominięty

C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked pominięty

C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked pominięty

C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked pominięty

C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty

C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty

C:\Documents and Settings\LocalService\Ustawienia lokalne\Historia\History.IE5\index.dat Object is locked pominięty

C:\Documents and Settings\LocalService\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat Object is locked pominięty

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked pominięty

C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked pominięty

C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty

C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty

C:\SDFix\backups\catchme.zip/tdssserv.sys Zainfekowanych: Backdoor.Win32.Agent.qbo pominięty

C:\SDFix\backups\catchme.zip ZIP: zainfekowany - 1 pominięty

C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked pominięty

C:\WINDOWS\Debug\PASSWD.LOG Object is locked pominięty

C:\WINDOWS\SchedLgU.Txt Object is locked pominięty

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked pominięty

C:\WINDOWS\Sti_Trace.log Object is locked pominięty

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked pominięty

C:\WINDOWS\system32\config\default Object is locked pominięty

C:\WINDOWS\system32\config\default.LOG Object is locked pominięty

C:\WINDOWS\system32\config\SAM Object is locked pominięty

C:\WINDOWS\system32\config\SAM.LOG Object is locked pominięty

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked pominięty

C:\WINDOWS\system32\config\SECURITY Object is locked pominięty

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked pominięty

C:\WINDOWS\system32\config\software Object is locked pominięty

C:\WINDOWS\system32\config\software.LOG Object is locked pominięty

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked pominięty

C:\WINDOWS\system32\config\system Object is locked pominięty

C:\WINDOWS\system32\config\system.LOG Object is locked pominięty

C:\WINDOWS\system32\h323log.txt Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked pominięty

C:\WINDOWS\wiadebug.log Object is locked pominięty

C:\WINDOWS\wiaservc.log Object is locked pominięty

C:\WINDOWS\WindowsUpdate.log Object is locked pominięty

D:\System Volume Information\MountPointManagerRemoteDatabase Object is locked pominięty

E:\sterowniki\msi automat\Utility\AT&T\Vnc\Win32\vncviewer\vncviewer.exe Zainfekowanych: not-a-virus:RemoteAdmin.Win32.WinVNC.333 pominięty

E:\System Volume Information\MountPointManagerRemoteDatabase Object is locked pominięty

Proces skanowania został zakończony.

Pobierz —> The Avenger

Wklej do niego ten tekst:

Folders to delete:

C:\SDFix\backups

Kopiujesz - Klikasz na Paste Script from Clipboard - Execute - Potwierdzasz i zgadzasz się na restart klikając OK.

Po wykonaniu skasuj z dysku plik: C:\Avenger\backup.zip i wklej raport na forum C:\avenger.txt

Potem:

Sprawdź go na --> http://virusscan.jotti.org/

albo na http://www.virustotal.com/en/indexf.html.

==================

K.

usuń folder C:\SDFix\backups ręcznie bo to nie jest potrzerbne… System jest czysty. A antywirus stwierdził infekcje bo w folderze C:\SDFix\backups są kopie zapasowe zainfekowanych plików…

Daję raport z avengera i z http://virusscan.jotti.org/

Logfile of The Avenger Version 2.0, (c) by Swandog46

http://swandog46.geekstogo.com


Platform: Windows XP


*******************


Script file opened successfully.

Script file read successfully.


Backups directory opened successfully at C:\Avenger


*******************


Beginning to process script file:


Rootkit scan active.

No rootkits found!


Folder "C:\SDFix\backups" deleted successfully.


Completed script processing.


*******************


Finished! Terminate.

Jotti's malware scan 2.99-TRANSITION_TO_3.00-R1

File to upload & scan: Virus 	


Service

Service load: 	

0% 100%

File: vncviewer.exe

Status: 	

INFECTED/MALWARE

MD5: fdd6e4b8a91d477ad90d930b1e7372fa

Packers detected: 	

-

Scanner results

Scan taken on 26 Aug 2008 20:05:58 (GMT)

A-Squared 	

Found nothing

AntiVir 	

Found nothing

ArcaVir 	

Found nothing

Avast 	

Found nothing

AVG Antivirus 	

Found nothing

BitDefender 	

Found Application.Remoteadmin.BI

ClamAV 	

Found PUA.RAT.VNC-19

CPsecure 	

Found nothing

Dr.Web 	

Found nothing

F-Prot Antivirus 	

Found nothing

F-Secure Anti-Virus 	

Found not-a-virus:RemoteAdmin.Win32.WinVNC.333 (6, 2, 606)

Fortinet 	

Found nothing

Ikarus 	

Found nothing

Kaspersky Anti-Virus 	

Found not-a-virus:RemoteAdmin.Win32.WinVNC.333

NOD32 	

Found nothing

Norman Virus Control 	

Found nothing

Panda Antivirus 	

Found nothing

Sophos Antivirus 	

Found nothing

VirusBuster 	

Found nothing

VBA32 	

Found nothing


Powered by

images/asquared.png images/antivir.png images/arcabit.png images/avast.png images/avg.gif images/bitdefender.png images/clamav-logo1.png images/cpsecure.gif images/drweb.gif images/f-prot.png images/f-secure_logo.gif images/fortinet.gif images/ikarus.gif images/kaspersky.png images/nod32.gif images/norman.png images/panda.gif images/sophos.gif images/virusbuster.gif images/vba32.png

Disclaimer

This service is by no means 100% safe. If this scanner says 'OK', it does not necessarily mean the file is clean. There could be a whole new virus on the loose. NEVER EVER rely on one single product only, not even this service, even though it utilizes several products. Therefore, We cannot and will not be held responsible for any damage caused by results presented by this non-profit online service.


Also, we are aware of the implications of a setup like this. We are sure this whole thing is by no means scientifically correct, since this is a fully automated service (although manual correction is possible). We are aware, in spite of efforts to proactively counter these, false positives might occur, for example. We do not consider this a very big issue, so please do not e-mail us about it. This is a simple online scan service, not the university of Wichita.


Scanning can take a while, since several scanners are being used, plus the fact some scanners use very high levels of (time consuming) heuristics. Scanners used are Linux versions, differences with Windows scanners may or may not occur. Another note: some scanners will only report one virus when scanning archives with multiple pieces of malware.


Virus definitions are updated every hour. There is a 10Mb limit per file. Please refrain from uploading tons of hex-edited or repacked variants of the same sample.


Please do not ask for viruses uploaded here, unless you work for an anti-virus vendor. They are not for trade. This is a legitimate service, not a VX site. Viruses uploaded here will be distributed to antivirus vendors without exception. Read more about this in our privacy policy. If you do not want your files to be distributed, please do not send them at all.


Sponsored by HotelScraper.com.

Statistics

Last file scanned at least one scanner reported something about: weiss.exe (MD5: e4344d9b7ae8a4c71d91b6d4fd97aa09, size: 15748 bytes), detected by:


Scanner Malware name

A-Squared X

AntiVir TR/Crypt.PEPM.Gen

ArcaVir X

Avast Win32:Agent-AABV

AVG Antivirus Win32/PolyCrypt

BitDefender Trojan.LdPinch.NCT

ClamAV X

CPsecure X

Dr.Web Trojan.Packed.469

F-Prot Antivirus X

F-Secure Anti-Virus X

Fortinet W32/LdPinch.CDS!tr.pws

Ikarus X

Kaspersky Anti-Virus X

NOD32 X

Norman Virus Control X

Panda Antivirus X

Sophos Antivirus Sus/UnkPacker

VirusBuster X

VBA32 X



You're free to (mis)interpret these automated, flawed statistics at your own discretion. For antivirus comparisons, visit AV comparatives

We are not affiliated with any third parties that conduct tests using this service.

usuń to

:slight_smile:

Usunięte. Czy coś jeszcze powinienem zrobić?

jeśli zrobiłeś co hubert podał to dla pewności możesz przeskanować Dr.WEB CureIt! http://dobreprogramy.pl/index.php?dz=2& … It!+4.44.5

powinno być OK

:slight_smile: