Wirus "d.exe"

pavel14 · 28 Maj 2008 12:47

Witam.

Mam problem z wirem. Przekierowuje mi adresy stron internetowych. Uwalił także automatyczne aktualizacje WINdy.

Wklejam logi z hijack-a. Proszę o pomoc.

Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14:30:52, on 2008-05-28 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\svchost.exe C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe C:\PROGRA~1\Grisoft\AVG7\avgcc.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\system32\ctfmon.exe C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe C:\PROGRA~1\Grisoft\AVG7\avgemc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wscntfy.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Documents and Settings\magda\Pulpit\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.bearshare.com/sidebar.html?src=ssb R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://us.rd.yahoo.com/customize/ycomp/ … .yahoo.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/ R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://us.rd.yahoo.com/customize/ycomp/ … .yahoo.com R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O3 - Toolbar: BearShare MediaBar - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - C:\Program Files\BearShare Applications\BearShare MediaBar\BearShareMediaBar.dll O4 - HKLM…\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP O4 - HKLM…\Run: [soundMan] SOUNDMAN.EXE O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU…\Run: [Gadu-Gadu] “C:\Program Files\Gadu-Gadu\gg.exe” /tray O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘USŁUGA LOKALNA’) O4 - HKUS\S-1-5-19…\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User ‘USŁUGA LOKALNA’) O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘USŁUGA SIECIOWA’) O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘SYSTEM’) O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘Default user’) O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microso … 3102549796 O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: Ati HotKey Poller AtiCryptSvc (AtiCryptSvc) - Unknown owner - C:\WINDOWS\system32\adsldpcz.exe O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe – End of file - 3862 bytes

baldys16 · 28 Maj 2008 13:16

sfixuj

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.bearshare.com/sidebar.html?src=ssb

O3 - Toolbar: BearShare MediaBar - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - C:\Program Files\BearShare Applications\BearShare MediaBar\BearShareMediaBar.dll

Leon1 · 28 Maj 2008 13:22

oprócz tego Pobierz Combofix http://www.searchengines.pl/index.php?s … ntry395642 przeskanuj daj log

pavel14 · 28 Maj 2008 13:41

Hmmm, no to mam problem. To badziewie tak narządziło, że Combofix się nie uruchamia…

huber2t · 28 Maj 2008 13:46

Spróbuj podczas pobierania zapisujemy nie pod nazwą ComboFix.exe tylko z kreską pomiędzy:

Combo-Fix.exe

pavel14 · 29 Maj 2008 06:42

Postąpiłem według wskazówek. Podziałało. Tylko po skanie combofixem mam problem z IE. Po około 1 min resetuje kompa. Wklejam logi z combo…

ComboFix 08-05-28.4 - magda 2008-05-29 8:11:46.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.100 [GMT 2:00] Running from: C:\Documents and Settings\magda\Pulpit\Combo-Fix.exe * Created a new restore point WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED . ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\BM1fe4c0df.xml C:\WINDOWS\cookies.ini C:\WINDOWS\pskt.ini C:\WINDOWS\system32\autorun.ini C:\WINDOWS\system32\clbdll.dll C:\WINDOWS\system32\clbinit.dll C:\WINDOWS\system32\drivers\clbdriver.sys C:\WINDOWS\system32\geBuSIxw.dll C:\WINDOWS\system32\hsbuiwkv.ini C:\WINDOWS\system32\txhpknws.dll C:\WINDOWS\system32\vkwiubsh.dll C:\WINDOWS\system32\winzzc32.dll C:\WINDOWS\system32\wxISuBeg.ini C:\WINDOWS\system32\wxISuBeg.ini2 C:\WINDOWS\system32\yyscmcwj.ini . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_CLBDRIVER -------\Service_clbdriver ((((((((((((((((((((((((( Files Created from 2008-04-28 to 2008-05-29 ))))))))))))))))))))))))))))))) . 2008-05-28 13:11 . 2008-05-28 13:17 2008-05-28 11:10 . 2008-05-28 11:11 2008-05-27 20:28 . 2008-05-27 20:28 48,585 --a------ C:\WINDOWS\system32\adsldpi.sys 2008-05-27 20:28 . 2008-05-27 20:28 23,040 --ahs---- C:\WINDOWS\system32\aaaamonl.dll 2008-05-27 20:27 . 2008-05-27 20:27 58,368 --a------ C:\WINDOWS\system32\vtUolkhH.dll 2008-05-27 20:27 . 2008-05-27 20:27 41,984 -r-hs---- C:\WINDOWS\system32\adsldpcz.exe 2008-05-27 20:27 . 2001-08-17 23:47 4,224 --a------ C:\WINDOWS\system32\beep.sys 2008-05-27 20:27 . 2008-05-28 05:07 177 --a-s---- C:\WINDOWS\system32\4197575735.dat 2008-05-27 20:26 . 2008-05-28 11:09 2008-05-27 20:11 . 2008-05-27 20:11 32,256 --a------ C:\WINDOWS\system32\winbue32.dll 2008-05-27 20:10 . 2008-05-27 20:10 58,368 --a------ C:\WINDOWS\system32\qoMdayww.dll 2008-05-27 19:53 . 2008-05-27 19:53 2008-05-27 19:53 . 2004-04-30 09:37 160,640 --a------ C:\WINDOWS\system32\drivers\a347bus.sys 2008-05-27 19:53 . 2004-04-30 09:33 5,248 --a------ C:\WINDOWS\system32\drivers\a347scsi.sys 2008-05-27 19:46 . 2004-08-04 00:44 159,232 --a------ C:\WINDOWS\system32\ptpusd.dll 2008-05-27 19:46 . 2004-08-03 22:58 15,104 --a------ C:\WINDOWS\system32\drivers\usbscan.sys 2008-05-27 19:46 . 2004-08-03 22:58 15,104 --a–c— C:\WINDOWS\system32\dllcache\usbscan.sys 2008-05-27 19:46 . 2001-10-26 17:29 5,632 --a------ C:\WINDOWS\system32\ptpusb.dll 2008-05-03 19:57 . 2008-05-03 19:57 2008-05-03 19:57 . 2008-05-27 20:29 1,343 --a------ C:\WINDOWS\wincmd.ini 2008-05-03 19:57 . 2007-09-14 07:02 545 --a------ C:\WINDOWS\UC.PIF 2008-05-03 19:57 . 2007-09-14 07:02 545 --a------ C:\WINDOWS\RAR.PIF 2008-05-03 19:57 . 2007-09-14 07:02 545 --a------ C:\WINDOWS\PKZIP.PIF 2008-05-03 19:57 . 2007-09-14 07:02 545 --a------ C:\WINDOWS\PKUNZIP.PIF 2008-05-03 19:57 . 2007-09-14 07:02 545 --a------ C:\WINDOWS\NOCLOSE.PIF 2008-05-03 19:57 . 2007-09-14 07:02 545 --a------ C:\WINDOWS\LHA.PIF 2008-05-03 19:57 . 2007-09-14 07:02 545 --a------ C:\WINDOWS\ARJ.PIF . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-05-29 06:00 --------- d-----w C:\Documents and Settings\magda\Dane aplikacji\AVG7 2008-05-28 10:30 --------- d-----w C:\Program Files\Yahoo! 2008-05-26 09:46 --------- d-----w C:\Program Files\Gadu-Gadu 2008-04-28 19:25 --------- d-----w C:\Documents and Settings\magda\Dane aplikacji\Yahoo! 2008-04-28 18:30 --------- d-----w C:\Program Files\FLV Player 2008-03-25 04:52 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll 2008-03-25 04:52 178,976 ----a-w C:\WINDOWS\system32\msjint40.dll 2008-03-20 08:09 1,845,504 ----a-w C:\WINDOWS\system32\win32k.sys . ------- Sigcheck ------- 2007-10-30 18:53 360832 64798ecfa43d78c7178375fcdd16d8c8 C:\WINDOWS$hf_mig$\KB941644\SP2QFE\tcpip.sys 2001-08-18 08:24 327168 e7774698bb0d14b0710a9a31e209f9b6 C:\WINDOWS$NtServicePackUninstall$\tcpip.sys 2004-08-04 00:14 359040 9f4b36614a0fc234525ba224957de55c C:\WINDOWS$NtUninstallKB941644$\tcpip.sys 2004-08-04 00:14 359040 1745b00fc1141404b28f4b94f69a8871 C:\WINDOWS\ServicePackFiles\i386\tcpip.sys 2007-10-30 19:20 360064 ecf02439fd31bbd0dbc2ec05600cf08a C:\WINDOWS\system32\dllcache\tcpip.sys 2007-10-30 19:20 360064 ecf02439fd31bbd0dbc2ec05600cf08a C:\WINDOWS\system32\drivers\tcpip.sys . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries legit default entries are not shown REGEDIT4 [HKEY_LOCAL_MACHINE~\Browser Helper Objects{166BCB27-FCFD-4588-9BDB-44FC6A02EF35}] 2008-05-27 20:10 58368 --a------ C:\WINDOWS\system32\qoMdayww.dll [HKEY_LOCAL_MACHINE~\Browser Helper Objects{74322BF9-DF26-493f-B0DA-6D2FC5E6429E}] 2007-12-02 16:13 394680 --a------ C:\Program Files\BearShare Applications\BearShare MediaBar\BearShareIEHelper.dll [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “CTFMON.EXE”=“C:\WINDOWS\system32\ctfmon.exe” [2004-08-04 01:44 15360] “Gadu-Gadu”=“C:\Program Files\Gadu-Gadu\gg.exe” [2007-11-14 12:54 2131392] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “AVG7_CC”=“C:\PROGRA~1\Grisoft\AVG7\avgcc.exe” [2008-04-15 09:47 579584] “SoundMan”=“SOUNDMAN.EXE” [2003-06-10 13:12 55296 C:\WINDOWS\soundman.exe] [HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] “CTFMON.EXE”=“C:\WINDOWS\System32\CTFMON.EXE” [2004-08-04 01:44 15360] “AVG7_Run”=“C:\PROGRA~1\Grisoft\AVG7\avgw.exe” [2008-02-13 23:29 219136] [hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks] “{166BCB27-FCFD-4588-9BDB-44FC6A02EF35}”= C:\WINDOWS\system32\qoMdayww.dll [2008-05-27 20:10 58368] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\qoMdayww] qoMdayww.dll 2008-05-27 20:10 58368 C:\WINDOWS\system32\qoMdayww.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winbue32] winbue32.dll 2008-05-27 20:11 32256 C:\WINDOWS\system32\winbue32.dll [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\hnR38.sys] @=“Driver” [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\1cd7f343] C:\WINDOWS\system32\vkwiubsh.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher] --a------ 2008-01-11 23:16 39792 C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BM1fe4c0df] C:\WINDOWS\system32\txhpknws.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS] --a------ 2004-10-13 18:24 1694208 C:\Program Files\Messenger\msmsgs.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck] --a------ 2001-07-09 12:50 155648 C:\WINDOWS\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Soltek] --------- 2001-10-29 16:00 61440 C:\WINDOWS\system32\autorun.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WintelUpdate] C:\d.exe [HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] “%windir%\system32\sessmgr.exe”= “C:\Program Files\Grisoft\AVG7\avginet.exe”= “C:\Program Files\Grisoft\AVG7\avgamsvr.exe”= “C:\Program Files\Grisoft\AVG7\avgcc.exe”= “C:\Program Files\Grisoft\AVG7\avgemc.exe”= “C:\Program Files\Gadu-Gadu\gg.exe”= “C:\Program Files\BearShare Applications\BearShare\BearShare.exe”= “C:\Program Files\Azureus\Azureus.exe”= “C:\WINDOWS\system32\winver.exe”= S0 hnR38;hnR38;C:\WINDOWS\system32\Drivers\hnR38.sys [] S2 AtiCryptSvc;Ati HotKey Poller AtiCryptSvc;C:\WINDOWS\system32\adsldpcz.exe [2008-05-27 20:27] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{c28d1464-0a44-11dd-8e81-0000003040c7}] \Shell\AutoRun\command - H:\USBNB.exe . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-05-29 08:20:07 Windows 5.1.2600 Dodatek Service Pack 2 NTFS scanning hidden processes … scanning hidden autostart entries … scanning hidden files … scan completed successfully hidden files: 0 ************************************************************************** . --------------------- DLLs Loaded Under Running Processes --------------------- PROCESS: C:\WINDOWS\system32\winlogon.exe - C:\WINDOWS\system32\Ati2evxx.dll - C:\WINDOWS\system32\winbue32.dll - C:\WINDOWS\system32\qoMdayww.dll . ------------------------ Other Running Processes ------------------------ . C:\WINDOWS\system32\ati2evxx.exe C:\WINDOWS\system32\ati2evxx.exe C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe C:\PROGRA~1\Grisoft\AVG7\avgemc.exe . ************************************************************************** . Completion time: 2008-05-29 8:21:37 - machine was rebooted ComboFix-quarantined-files.txt 2008-05-29 06:21:28 Pre-Run: 997,605,376 bajtów wolnych Post-Run: 952,168,448 bajt˘w wolnych 163 — E O F — 2008-05-16 17:09:24

huber2t · 29 Maj 2008 06:48

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\d.exe

C:\WINDOWS\system32\adsldpcz.exe

C:\WINDOWS\system32\adsldpi.sys

C:\WINDOWS\system32\aaaamonl.dll

C:\WINDOWS\system32\vtUolkhH.dll

C:\WINDOWS\system32\beep.sys

C:\WINDOWS\system32\4197575735.dat

C:\WINDOWS\system32\winbue32.dll

C:\WINDOWS\system32\qoMdayww.dll

C:\WINDOWS\system32\qoMdayww.dll

C:\WINDOWS\system32\txhpknws.dll


Folder::

C:\Program Files\BearShare Applications\BearShare MediaBar


Registry::

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{166BCB27-FCFD-4588-9BDB-44FC6A02EF35}]

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{74322BF9-DF26-493f-B0DA-6D2FC5E6429E}]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]

"{166BCB27-FCFD-4588-9BDB-44FC6A02EF35}"=-

[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\qoMdayww]

[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winbue32]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\hnR38.sys]

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\1cd7f343]

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BM1fe4c0df]

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Soltek]

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WintelUpdate]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

Rozpocznie się usuwanie i powstanie log, daj ten log na forum.

Logi dajesz na http://www.wklej.org

pavel14 · 29 Maj 2008 07:10

Log po usunięciu powyższego…

ComboFix 08-05-28.4 - magda 2008-05-29 9:01:52.2 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.78 [GMT 2:00] Running from: C:\Documents and Settings\magda\Pulpit\Combo-Fix.exe Command switches used :: C:\Documents and Settings\magda\Pulpit\CFScript.txt * Created a new restore point WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED FILE :: C:\d.exe C:\WINDOWS\system32\4197575735.dat C:\WINDOWS\system32\aaaamonl.dll C:\WINDOWS\system32\adsldpcz.exe C:\WINDOWS\system32\adsldpi.sys C:\WINDOWS\system32\beep.sys C:\WINDOWS\system32\qoMdayww.dll C:\WINDOWS\system32\txhpknws.dll C:\WINDOWS\system32\vtUolkhH.dll C:\WINDOWS\system32\winbue32.dll . ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) . C:\Program Files\BearShare Applications\BearShare MediaBar C:\Program Files\BearShare Applications\BearShare MediaBar\basis.xml C:\Program Files\BearShare Applications\BearShare MediaBar\bearshare.bmp C:\Program Files\BearShare Applications\BearShare MediaBar\bearshare_icons.bmp C:\Program Files\BearShare Applications\BearShare MediaBar\bearshare_logo.bmp C:\Program Files\BearShare Applications\BearShare MediaBar\BearShareIEHelper.dll C:\Program Files\BearShare Applications\BearShare MediaBar\BearShareMediaBar.dll C:\Program Files\BearShare Applications\BearShare MediaBar\button_arrow.bmp C:\Program Files\BearShare Applications\BearShare MediaBar\historyCombo.html C:\Program Files\BearShare Applications\BearShare MediaBar\resizer.bmp C:\Program Files\BearShare Applications\BearShare MediaBar\search.bmp C:\Program Files\BearShare Applications\BearShare MediaBar\search.js C:\Program Files\BearShare Applications\BearShare MediaBar\search_images.bmp C:\Program Files\BearShare Applications\BearShare MediaBar\search_maps.bmp C:\Program Files\BearShare Applications\BearShare MediaBar\search_news.bmp C:\Program Files\BearShare Applications\BearShare MediaBar\showSettings.js C:\Program Files\BearShare Applications\BearShare MediaBar\storesearchcriteria.js C:\Program Files\BearShare Applications\BearShare MediaBar\Uninstall.exe C:\Program Files\BearShare Applications\BearShare MediaBar\Updater.exe C:\Program Files\BearShare Applications\BearShare MediaBar\version.txt C:\Program Files\BearShare Applications\BearShare MediaBar\web.bmp C:\WINDOWS\BM1fe4c0df.xml C:\WINDOWS\pskt.ini C:\WINDOWS\system32\4197575735.dat C:\WINDOWS\system32\aaaamonl.dll C:\WINDOWS\system32\adsldpcz.exe C:\WINDOWS\system32\adsldpi.sys C:\WINDOWS\system32\beep.sys C:\WINDOWS\system32\mquujqmo.ini C:\WINDOWS\system32\omqjuuqm.dll C:\WINDOWS\system32\qoMdayww.dll C:\WINDOWS\system32\Qttuxyay.ini C:\WINDOWS\system32\Qttuxyay.ini2 C:\WINDOWS\system32\tlltnlae.dll C:\WINDOWS\system32\vtUolkhH.dll C:\WINDOWS\system32\winbue32.dll C:\WINDOWS\system32\yayxuttQ.dll . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_AtiCryptSvc -------\Service_AtiCryptSvc ((((((((((((((((((((((((( Files Created from 2008-04-28 to 2008-05-29 ))))))))))))))))))))))))))))))) . 2008-05-29 08:47 . 2008-05-29 08:47 2008-05-29 08:47 . 2008-05-29 08:59 2008-05-28 13:11 . 2008-05-28 13:17 2008-05-28 11:10 . 2008-05-28 11:11 2008-05-27 20:26 . 2008-05-28 11:09 2008-05-27 19:53 . 2008-05-27 19:53 2008-05-27 19:53 . 2004-04-30 09:37 160,640 --a------ C:\WINDOWS\system32\drivers\a347bus.sys 2008-05-27 19:53 . 2004-04-30 09:33 5,248 --a------ C:\WINDOWS\system32\drivers\a347scsi.sys 2008-05-27 19:46 . 2004-08-04 00:44 159,232 --a------ C:\WINDOWS\system32\ptpusd.dll 2008-05-27 19:46 . 2004-08-03 22:58 15,104 --a------ C:\WINDOWS\system32\drivers\usbscan.sys 2008-05-27 19:46 . 2004-08-03 22:58 15,104 --a–c— C:\WINDOWS\system32\dllcache\usbscan.sys 2008-05-27 19:46 . 2001-10-26 17:29 5,632 --a------ C:\WINDOWS\system32\ptpusb.dll 2008-05-03 19:57 . 2008-05-03 19:57 2008-05-03 19:57 . 2008-05-27 20:29 1,343 --a------ C:\WINDOWS\wincmd.ini 2008-05-03 19:57 . 2007-09-14 07:02 545 --a------ C:\WINDOWS\UC.PIF 2008-05-03 19:57 . 2007-09-14 07:02 545 --a------ C:\WINDOWS\RAR.PIF 2008-05-03 19:57 . 2007-09-14 07:02 545 --a------ C:\WINDOWS\PKZIP.PIF 2008-05-03 19:57 . 2007-09-14 07:02 545 --a------ C:\WINDOWS\PKUNZIP.PIF 2008-05-03 19:57 . 2007-09-14 07:02 545 --a------ C:\WINDOWS\NOCLOSE.PIF 2008-05-03 19:57 . 2007-09-14 07:02 545 --a------ C:\WINDOWS\LHA.PIF 2008-05-03 19:57 . 2007-09-14 07:02 545 --a------ C:\WINDOWS\ARJ.PIF . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-05-29 07:02 --------- d-----w C:\Program Files\BearShare Applications 2008-05-29 06:00 --------- d-----w C:\Documents and Settings\magda\Dane aplikacji\AVG7 2008-05-28 10:30 --------- d-----w C:\Program Files\Yahoo! 2008-05-26 09:46 --------- d-----w C:\Program Files\Gadu-Gadu 2008-04-28 19:25 --------- d-----w C:\Documents and Settings\magda\Dane aplikacji\Yahoo! 2008-04-28 18:30 --------- d-----w C:\Program Files\FLV Player 2008-03-25 04:52 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll 2008-03-25 04:52 178,976 ----a-w C:\WINDOWS\system32\msjint40.dll 2008-03-20 08:09 1,845,504 ----a-w C:\WINDOWS\system32\win32k.sys . ------- Sigcheck ------- 2007-10-30 18:53 360832 64798ecfa43d78c7178375fcdd16d8c8 C:\WINDOWS$hf_mig$\KB941644\SP2QFE\tcpip.sys 2001-08-18 08:24 327168 e7774698bb0d14b0710a9a31e209f9b6 C:\WINDOWS$NtServicePackUninstall$\tcpip.sys 2004-08-04 00:14 359040 9f4b36614a0fc234525ba224957de55c C:\WINDOWS$NtUninstallKB941644$\tcpip.sys 2004-08-04 00:14 359040 1745b00fc1141404b28f4b94f69a8871 C:\WINDOWS\ServicePackFiles\i386\tcpip.sys 2007-10-30 19:20 360064 ecf02439fd31bbd0dbc2ec05600cf08a C:\WINDOWS\system32\dllcache\tcpip.sys 2007-10-30 19:20 360064 ecf02439fd31bbd0dbc2ec05600cf08a C:\WINDOWS\system32\drivers\tcpip.sys . ((((((((((((((((((((((((((((( snapshot@2008-05-29_ 8.21.02.65 ))))))))))))))))))))))))))))))))))))))))) . - 2008-05-29 06:19:27 2,048 --s-a-w C:\WINDOWS\bootstat.dat + 2008-05-29 07:06:09 2,048 --s-a-w C:\WINDOWS\bootstat.dat + 2008-05-09 12:35:06 16,863,864 ----a-w C:\WINDOWS\system32\MRT.exe . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries legit default entries are not shown REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “CTFMON.EXE”=“C:\WINDOWS\system32\ctfmon.exe” [2004-08-04 01:44 15360] “Gadu-Gadu”=“C:\Program Files\Gadu-Gadu\gg.exe” [2007-11-14 12:54 2131392] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “AVG7_CC”=“C:\PROGRA~1\Grisoft\AVG7\avgcc.exe” [2008-04-15 09:47 579584] “SoundMan”=“SOUNDMAN.EXE” [2003-06-10 13:12 55296 C:\WINDOWS\soundman.exe] “UserFaultCheck”=“C:\WINDOWS\system32\dumprep 0 -u” [] [HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] “CTFMON.EXE”=“C:\WINDOWS\System32\CTFMON.EXE” [2004-08-04 01:44 15360] “AVG7_Run”=“C:\PROGRA~1\Grisoft\AVG7\avgw.exe” [2008-02-13 23:29 219136] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher] --a------ 2008-01-11 23:16 39792 C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS] --a------ 2004-10-13 18:24 1694208 C:\Program Files\Messenger\msmsgs.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck] --a------ 2001-07-09 12:50 155648 C:\WINDOWS\system32\NeroCheck.exe [HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] “%windir%\system32\sessmgr.exe”= “C:\Program Files\Grisoft\AVG7\avginet.exe”= “C:\Program Files\Grisoft\AVG7\avgamsvr.exe”= “C:\Program Files\Grisoft\AVG7\avgcc.exe”= “C:\Program Files\Grisoft\AVG7\avgemc.exe”= “C:\Program Files\Gadu-Gadu\gg.exe”= “C:\Program Files\BearShare Applications\BearShare\BearShare.exe”= “C:\Program Files\Azureus\Azureus.exe”= “C:\WINDOWS\system32\winver.exe”= S0 hnR38;hnR38;C:\WINDOWS\system32\Drivers\hnR38.sys [] . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-05-29 09:06:27 Windows 5.1.2600 Dodatek Service Pack 2 NTFS scanning hidden processes … scanning hidden autostart entries … scanning hidden files … scan completed successfully hidden files: 0 ************************************************************************** . --------------------- DLLs Loaded Under Running Processes --------------------- PROCESS: C:\WINDOWS\system32\winlogon.exe - C:\WINDOWS\system32\Ati2evxx.dll . ------------------------ Other Running Processes ------------------------ . C:\WINDOWS\system32\ati2evxx.exe C:\WINDOWS\system32\ati2evxx.exe C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe C:\PROGRA~1\Grisoft\AVG7\avgemc.exe C:\WINDOWS\system32\dumprep.exe C:\WINDOWS\system32\dwwin.exe . ************************************************************************** . Completion time: 2008-05-29 9:07:36 - machine was rebooted ComboFix-quarantined-files.txt 2008-05-29 07:07:33 ComboFix2.txt 2008-05-29 06:21:39 Pre-Run: 840,966,144 bajtów wolnych Post-Run: 833,695,744 bajt˘w wolnych 177 — E O F — 2008-05-29 06:35:50

huber2t · 29 Maj 2008 07:47

Log wyglada na czysty

Usuń ręcznie folder C:\Qoobox ,usuń instalkę Combofix z dysku

Przeczyść komputer Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum

Włącz przywracanie systemu.

pavel14 · 29 Maj 2008 09:13

Wklejam raport po skanowaniu kaspersky-online…

------------------------------------------------------------------------------- KASPERSKY ONLINE SCANNER REPORT 29 maj 2008 11:11:25 System operacyjny: Microsoft Windows XP Professional, Dodatek Service Pack 2 (Build 2600) Kaspersky Online Scanner wersja: 5.0.98.0 Ostatnia aktualizacja Kaspersky Anti-Virus29/05/2008 Liczba wpisów w bazie danych Kaspersky Anti-Virus811407 ------------------------------------------------------------------------------- Ustawienia skanowania: Skanowanie przy użyciu następujących baz danych: rozszerzone Skanuj archiwa: tak Skanuj pocztowe bazy danych: tak Obszar skanowania - Mój komputer: A:\ C:\ D:\ E:\ F:\ G:\ H:\ Statystyki skanowania: Liczba skanowanych obiektów: 28769 Liczba wykrytych wirusów: 2 Liczba zainfekowanych obiektów: 11 Liczba podejrzanych obiektów: 0 Czas trwania skanowania: 01:02:18 Nazwa zainfekowanego obiektu / Nazwa wirusa / Ostatnie działanie C:\Documents and Settings\All Users\Dane aplikacji\avg7\Log\emc.log Object is locked pominięty C:\Documents and Settings\All Users\Dane aplikacji\Grisoft\Avg7Data\avg7log.log Object is locked pominięty C:\Documents and Settings\All Users\Dane aplikacji\Grisoft\Avg7Data\avg7log.log.lck Object is locked pominięty C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Network\Downloader\qmgr0.dat Object is locked pominięty C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Network\Downloader\qmgr1.dat Object is locked pominięty C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked pominięty C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked pominięty C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked pominięty C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty C:\Documents and Settings\LocalService\Ustawienia lokalne\Historia\History.IE5\index.dat Object is locked pominięty C:\Documents and Settings\LocalService\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat Object is locked pominięty C:\Documents and Settings\magda\Cookies\index.dat Object is locked pominięty C:\Documents and Settings\magda\NTUSER.DAT Object is locked pominięty C:\Documents and Settings\magda\ntuser.dat.LOG Object is locked pominięty C:\Documents and Settings\magda\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty C:\Documents and Settings\magda\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty C:\Documents and Settings\magda\Ustawienia lokalne\Historia\History.IE5\index.dat Object is locked pominięty C:\Documents and Settings\magda\Ustawienia lokalne\Historia\History.IE5\MSHist012008052920080530\index.dat Object is locked pominięty C:\Documents and Settings\magda\Ustawienia lokalne\Temp~DFFE60.tmp Object is locked pominięty C:\Documents and Settings\magda\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat Object is locked pominięty C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked pominięty C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked pominięty C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked pominięty C:\WINDOWS\Debug\PASSWD.LOG Object is locked pominięty C:\WINDOWS\SchedLgU.Txt Object is locked pominięty C:\WINDOWS\SoftwareDistribution\EventCache{3CA6DFA1-09BB-4592-B74A-12391FEFDBA1}.bin Object is locked pominięty C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked pominięty C:\WINDOWS\Sti_Trace.log Object is locked pominięty C:\WINDOWS\system32\CatRoot2\edb.log Object is locked pominięty C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked pominięty C:\WINDOWS\system32\config\AppEvent.Evt Object is locked pominięty C:\WINDOWS\system32\config\default Object is locked pominięty C:\WINDOWS\system32\config\default.LOG Object is locked pominięty C:\WINDOWS\system32\config\ODiag.evt Object is locked pominięty C:\WINDOWS\system32\config\OSession.evt Object is locked pominięty C:\WINDOWS\system32\config\SAM Object is locked pominięty C:\WINDOWS\system32\config\SAM.LOG Object is locked pominięty C:\WINDOWS\system32\config\SecEvent.Evt Object is locked pominięty C:\WINDOWS\system32\config\SECURITY Object is locked pominięty C:\WINDOWS\system32\config\SECURITY.LOG Object is locked pominięty C:\WINDOWS\system32\config\software Object is locked pominięty C:\WINDOWS\system32\config\software.LOG Object is locked pominięty C:\WINDOWS\system32\config\SysEvent.Evt Object is locked pominięty C:\WINDOWS\system32\config\system Object is locked pominięty C:\WINDOWS\system32\config\system.LOG Object is locked pominięty C:\WINDOWS\system32\drivers\atapi.sys Object is locked pominięty C:\WINDOWS\system32\h323log.txt Object is locked pominięty C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked pominięty C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked pominięty C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked pominięty C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked pominięty C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked pominięty C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked pominięty C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked pominięty C:\WINDOWS\wiadebug.log Object is locked pominięty C:\WINDOWS\wiaservc.log Object is locked pominięty C:\WINDOWS\WindowsUpdate.log Object is locked pominięty D:\Instalacje\INTERNET\kaZaA\KaZaA Lite K++ 2.4.8 PL (by kazaalite.pl)\Nakladka PL na zainstalowana angielska.exe Zainfekowanych: not-a-virus:AdWare.Win32.EShoper.k pominięty D:\Instalacje\INTERNET\tlen\tleninst45026.exe/data0011 Zainfekowanych: not-a-virus:AdWare.Win32.Doza.a pominięty D:\Instalacje\INTERNET\tlen\tleninst45026.exe NSIS: zainfekowany - 1 pominięty D:\Instalacje\INTERNET\tlen\tleninst46011.exe/data0011 Zainfekowanych: not-a-virus:AdWare.Win32.Doza.a pominięty D:\Instalacje\INTERNET\tlen\tleninst46011.exe NSIS: zainfekowany - 1 pominięty D:\Instalacje\INTERNET\tlen\tlenplus-3.2fulll.exe/setup.msi/media.cab/File3870 Zainfekowanych: not-a-virus:AdWare.Win32.Doza.a pominięty D:\Instalacje\INTERNET\tlen\tlenplus-3.2fulll.exe/setup.msi/media.cab Zainfekowanych: not-a-virus:AdWare.Win32.Doza.a pominięty D:\Instalacje\INTERNET\tlen\tlenplus-3.2fulll.exe/setup.msi Zainfekowanych: not-a-virus:AdWare.Win32.Doza.a pominięty D:\Instalacje\INTERNET\tlen\tlenplus-3.2fulll.exe SEA: zainfekowany - 3 pominięty D:\Instalacje\tleninst52025.exe/data0012 Zainfekowanych: not-a-virus:AdWare.Win32.Doza.a pominięty D:\Instalacje\tleninst52025.exe NSIS: zainfekowany - 1 pominięty D:\System Volume Information\MountPointManagerRemoteDatabase Object is locked pominięty E:\System Volume Information\MountPointManagerRemoteDatabase Object is locked pominięty Proces skanowania został zakończony.

… ale to już chyba nadwrażliwość kasperkyego. Inny antyvir nic nie wykazał na temat tych plików, natomiast czepił sie innych. A kaspersky nie…

huber2t · 29 Maj 2008 09:49

Usuń te pliki:

pavel14 · 29 Maj 2008 09:52

Tak właśnie zrobiłem .

Wielkie dzięki za pomoc. Szacun.