Wirus... prośba o pomoc


(Katros) #1

Witam serdecznie, od wczoraj obserwuję dziwny problem - zamykanie okienek przeglądarki Internet Exploler 6.0 po logowaniu, prośba o podawanie dodatkowych haseł przy logowaniu np. do banku... Skanowałąm kompter programem Arcamikcroscan 2008 i wykazał wirusa Dialer.Yz.

Potam skanował komputer Kasperskim, oto raport:

24 kwiecień 2008 15:55:17

System operacyjny: Microsoft Windows XP Professional, Dodatek Service Pack 2 (Build 2600)

Kaspersky Online Scanner wersja: 5.0.98.0

Ostatnia aktualizacja Kaspersky Anti-Virus24/04/2008

Liczba wpisów w bazie danych Kaspersky Anti-Virus724509

Ustawienia skanowania

Skanowanie przy użyciu następujących baz danych rozszerzone

Skanuj archiwa tak

Skanuj pocztowe bazy danych tak

Obszar skanowania Mój komputer

A:\

C:\

D:\

E:\

F:\

G:\

Statystyki skanowania

Liczba skanowanych obiektów 63428

Liczba wykrytych wirusów 5

Liczba zainfekowanych obiektów 7

Liczba podejrzanych obiektów 0

Czas trwania skanowania 01:05:05

Nazwa zainfekowanego obiektu Nazwa wirusa Ostatnie działanie

C:\Documents and Settings\KASIA Zainfekowanych: Trojan-Downloader.Win32.Zlob.fns pominięty

C:\Documents and Settings\Kasia & Tomek\Cookies\index.dat Object is locked pominięty

C:\Documents and Settings\Kasia & Tomek\ntuser.dat Object is locked pominięty

C:\Documents and Settings\Kasia & Tomek\ntuser.dat.LOG Object is locked pominięty

C:\Documents and Settings\Kasia & Tomek\Ustawienia lokalne\Dane aplikacji\ApplicationHistory\cli.exe.c88dbd71.ini.inuse Object is locked pominięty

C:\Documents and Settings\Kasia & Tomek\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty

C:\Documents and Settings\Kasia & Tomek\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty

C:\Documents and Settings\Kasia & Tomek\Ustawienia lokalne\Historia\History.IE5\index.dat Object is locked pominięty

C:\Documents and Settings\Kasia & Tomek\Ustawienia lokalne\Historia\History.IE5\MSHist012008042420080425\index.dat Object is locked pominięty

C:\Documents and Settings\Kasia & Tomek\Ustawienia lokalne\Temp\Perflib_Perfdata_d2c.dat Object is locked pominięty

C:\Documents and Settings\Kasia & Tomek\Ustawienia lokalne\Temp\Perflib_Perfdata_ec0.dat Object is locked pominięty

C:\Documents and Settings\Kasia & Tomek\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat Object is locked pominięty

C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked pominięty

C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked pominięty

C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked pominięty

C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty

C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty

C:\Documents and Settings\LocalService\Ustawienia lokalne\Historia\History.IE5\index.dat Object is locked pominięty

C:\Documents and Settings\LocalService\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat Object is locked pominięty

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked pominięty

C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked pominięty

C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty

C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty

C:\Program Files\Alwil Software\Avast4\DATA\aswResp.dat Object is locked pominięty

C:\Program Files\Alwil Software\Avast4\DATA\Avast4.db Object is locked pominięty

C:\Program Files\Alwil Software\Avast4\DATA\log\AshWebSv.ws Object is locked pominięty

C:\Program Files\Alwil Software\Avast4\DATA\log\aswMaiSv.log Object is locked pominięty

C:\Program Files\Alwil Software\Avast4\DATA\log\nshield.log Object is locked pominięty

C:\Program Files\Alwil Software\Avast4\DATA\report\Osłona rezydentna.txt Object is locked pominięty

C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked pominięty

C:\System Volume Information_restore{E8C906C2-DF06-4684-9032-34B08D845BD1}\RP430\change.log Object is locked pominięty

C:\WINDOWS\CSC\00000001 Object is locked pominięty

C:\WINDOWS\Debug\PASSWD.LOG Object is locked pominięty

C:\WINDOWS\Internet Logs\fwdbglog.txt Object is locked pominięty

C:\WINDOWS\Internet Logs\fwpktlog.txt Object is locked pominięty

C:\WINDOWS\Internet Logs\IAMDB.RDB Object is locked pominięty

C:\WINDOWS\Internet Logs\KT.ldb Object is locked pominięty

C:\WINDOWS\Internet Logs\tvDebug.log Object is locked pominięty

C:\WINDOWS\SchedLgU.Txt Object is locked pominięty

C:\WINDOWS\SoftwareDistribution\EventCache{19DB1100-C242-4566-BA8C-66507612D20D}.bin Object is locked pominięty

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked pominięty

C:\WINDOWS\Sti_Trace.log Object is locked pominięty

C:\WINDOWS\system32\CatRoot2\edb.log Object is locked pominięty

C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked pominięty

C:\WINDOWS\system32\config\ACEEvent.evt Object is locked pominięty

C:\WINDOWS\system32\config\Antivirus.Evt Object is locked pominięty

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked pominięty

C:\WINDOWS\system32\config\default Object is locked pominięty

C:\WINDOWS\system32\config\default.LOG Object is locked pominięty

C:\WINDOWS\system32\config\SAM Object is locked pominięty

C:\WINDOWS\system32\config\SAM.LOG Object is locked pominięty

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked pominięty

C:\WINDOWS\system32\config\SECURITY Object is locked pominięty

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked pominięty

C:\WINDOWS\system32\config\software Object is locked pominięty

C:\WINDOWS\system32\config\software.LOG Object is locked pominięty

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked pominięty

C:\WINDOWS\system32\config\system Object is locked pominięty

C:\WINDOWS\system32\config\system.LOG Object is locked pominięty

C:\WINDOWS\system32\drivers\atapi.sys Object is locked pominięty

C:\WINDOWS\system32\drivers\fidbox.dat Object is locked pominięty

C:\WINDOWS\system32\drivers\fidbox.idx Object is locked pominięty

C:\WINDOWS\system32\h323log.txt Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked pominięty

C:\WINDOWS\system32\winubg32.dll Zainfekowanych: Trojan.Win32.Dialer.yz pominięty

C:\WINDOWS\system32\~.exe [b]Zainfekowanych: Trojan.Win32.Agent.cyt pominięty

C:\WINDOWS\Temp\bca4e2da.$$$ Object is locked pominięty

C:\WINDOWS\Temp\fa56d7ec.$$$ Object is locked pominięty

C:\WINDOWS\Temp\Perflib_Perfdata_6fc.dat Object is locked pominięty

C:\WINDOWS\Temp\ZLT0432c.TMP Object is locked pominięty

C:\WINDOWS\Temp\ZLT0432f.TMP Object is locked pominięty

C:\WINDOWS\Temp_avast4_\Webshlock.txt Object is locked pominięty

C:\WINDOWS\wiadebug.log Object is locked pominięty

C:\WINDOWS\wiaservc.log Object is locked pominięty

C:\WINDOWS\WindowsUpdate.log Object is locked pominięty

Byłabym bardzo wdzięczna za pomoc...

Z góry bardzo dziękuję i serdecznie pozdrawiam,

kasia

W dniu 24.04.2008 , o godzinie 16:32 został dopisany post przez katarynka

Chciałam jeszcze tylko dodać - nie wiem czy to ma znaczenie, ale komputer bardzo wolno pracuje, strony odświeżają się bardzo bardzo wolno...

Proszę o poradę, za którą z góry bardzo dziękuję!


(Panfrost) #2

Przeskanuj komputer jakimś skanerem online, np. Pandy

http://www.pandasoftware.com/activescan ... ncipal.htm

lub NOD-a

http://www.eset.pl/onlinescan

i postaraj się używać programów w najnowszych wersjach, które nie mają (znanych przynajmniej :wink: ) luk bezpieczeństwa. W szczególności uaktualnij Internet Explorera do wersji 7


(huber2t) #3

Usuń te pliki:

Daj cały raport z Kaspeskiego na forum, daj logi z combofix i Hijackthis


(Katros) #4

raport z COMBOFIX (przepraszam ale nie wiem co to są logi... wysyłam wiec całość:slight_smile:ComboFix 08-04-22.5 - Kasia & Tomek 2008-04-24 17:33:18.1 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.610 [GMT 2:00]

Running from: C:\Documents and Settings\Kasia & Tomek\Pulpit\ComboFix.exe

* Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED!!

.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\WINDOWS\system32\~.exe

.

((((((((((((((((((((((((( Files Created from 2008-03-24 to 2008-04-24 )))))))))))))))))))))))))))))))

.

2008-04-24 16:51 . 2008-04-24 16:52

2008-04-24 16:51 . 2008-04-24 16:51

2008-04-24 16:51 . 2008-04-24 16:51 30,590 --a------ C:\WINDOWS\system32\pavas.ico

2008-04-24 16:51 . 2008-04-24 16:51 2,550 --a------ C:\WINDOWS\system32\Uninstall.ico

2008-04-24 16:51 . 2008-04-24 16:51 1,406 --a------ C:\WINDOWS\system32\Help.ico

2008-04-24 14:30 . 2008-04-24 14:30

2008-03-28 15:44 . 2008-03-28 15:44

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-04-24 15:35 26,910,752 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat

2008-04-24 14:36 --------- d-----w C:\Documents and Settings\Kasia Tomek\Dane aplikacji\Skype

2008-04-24 14:35 317,900 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx

2008-04-24 12:42 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab

2008-03-20 08:09 1,845,504 ----a-w C:\WINDOWS\system32\win32k.sys

2008-03-19 20:49 --------- d-----w C:\Documents and Settings\Kasia Tomek\Dane aplikacji\Tlen.pl

2008-03-05 23:39 --------- d-----w C:\Program Files\fotoqbee

2008-02-20 06:51 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll

2008-02-20 05:38 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll

2008-02-16 09:05 662,016 ----a-w C:\WINDOWS\system32\wininet.dll

2008-02-01 11:56 10,894,891 -c--a-w C:\WINDOWS\Internet Logs\tvDebug.zip

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries legit default entries are not shown

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:44 15360]

"Skype"="C:\Program Files\Skype\Phone\Skype.exe" [2006-09-25 19:04 19970600]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SoundMan"="SOUNDMAN.EXE" [2005-08-17 12:39 90112 C:\WINDOWS\SOUNDMAN.EXE]

"ATICCC"="C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" [2005-08-06 01:07 61440]

"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]

"Acrobat Assistant 7.0"="C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2004-12-14 02:12 483328]

"SunJavaUpdateSched"="C:\Program Files\Java\jre1.5.0_08\bin\jusched.exe" [2006-07-26 03:03 49263]

"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2006-09-01 15:57 282624]

"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 15:00 79224]

"PCSuiteTrayApplication"="C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.exe" [2005-12-13 09:49 217088]

"ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-11-14 17:05 919016]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 00:44 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winubg32]

winubg32.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]

"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\system32\sessmgr.exe"=

"C:\Program Files\Tlen.pl\tlen.exe"=

"C:\WINDOWS\system32\winver.exe"=

"C:\Program Files\Skype\Phone\Skype.exe"=

R2 HPFECP16;HPFECP16;C:\WINDOWS\system32\drivers\HPFECP16.SYS [1998-07-01 08:55]

R2 Kmm4xNT;Kmm4xNT;C:\WINDOWS\system32\drivers\Kmm4xNT.sys [2002-04-26 12:04]

R2 port_nt;port_nt;c:\windows\system32\drivers\port_nt.sys [2000-10-24 00:00]

R3 ULI5261XP;ULi M526X Ethernet NT Driver;C:\WINDOWS\system32\DRIVERS\ULILAN51.SYS [2005-03-22 20:36]

S3 {DEF85C80-216A-43ab-AF70-1665EDBE2780};{DEF85C80-216A-43ab-AF70-1665EDBE2780};C:\WINDOWS\TEMP\879.tmp []

*Newly Created Service* - CATCHME

.

**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-04-24 17:35:49

Windows 5.1.2600 Dodatek Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully

hidden files: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services{DEF85C80-216A-43ab-AF70-1665EDBE2780}]

"ImagePath"="\??\C:\WINDOWS\TEMP\879.tmp"

.

Completion time: 2008-04-24 17:36:52

ComboFix-quarantined-files.txt 2008-04-24 15:36:47

Pre-Run: 11,438,399,488 bajtów wolnych

Post-Run: 11,479,277,568 bajtów wolnych

89 --- E O F --- 2008-04-09 18:56:28

W dniu 24.04.2008 , o godzinie 17:53 został dopisany post przez katarynka

raport z hijackthis

Logfile of HijackThis v1.99.1

Scan saved at 17:39:45, on 2008-04-24

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\ATI Technologies\ATI.ACE\cli.exe

C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe

C:\Program Files\Java\jre1.5.0_08\bin\jusched.exe

C:\Program Files\QuickTime\qttask.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\WINDOWS\system32\ctfmon.exe

C:\PROGRA~1\COMMON~1\PCSuite\Services\SERVIC~1.EXE

C:\Program Files\YDP\YdpDict\Watch.exe

C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE

C:\WINDOWS\explorer.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Documents and Settings\Kasia Tomek\Pulpit\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.o2.pl/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime

O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM..\Run: [Acrobat Assistant 7.0] "C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"

O4 - HKLM..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_08\bin\jusched.exe"

O4 - HKLM..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -onlytray

O4 - HKLM..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKCU..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?

O4 - Global Startup: Aktywacja Testera.lnk = C:\Program Files\YDP\YdpDict\Watch.exe

O4 - Global Startup: ATI CATALYST – pasek zadań.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe

O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Eksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.pl/resources/virus ... nicode.cab

O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MainControl Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan ... asinst.cab

O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://asp12.photoprintit.de/microsite/ ... loader.cab

O20 - Winlogon Notify: winubg32 - winubg32.dll (file missing)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


(huber2t) #5

otwórz notatnik i wklej

Z menu Notatnika -> Plik -> Zapisz jako -> Zmień rozszerzenie z .txt na wszystkie pliki -> zapisz pod nazwą Fix.reg

Uruchom ten plik, uruchom ponownie komputer

02f8f1e3c410a4cc.gif

Powinno się rozpocząć usuwanie i powstanie log, daj ten log na forum.


(Katros) #6

zrobiłam wszystko jak napisałeś, stworzyłam plik reg, uruchomiłam system na nowo, ale jak znaleźć ten log???


(huber2t) #7

Z tego log nie powstaje

Przeskanuj komputer tym (uruchom przez IE) http://www.kaspersky.pl/virusscanner.html Daj raport z niego na forum


(Katros) #8

Ok, właśnie skanuję Kasperskim... ale nie chciałbym czegoś zaniedbać z tymi logami z tych programów o jakich wcześniej wspominałeś COMBOFIX i hijackthis... Przepraszam za swoje pytania, ale nie jestem w tym temacie mocna. Za to Twoje wskazówki są super dokładnie więc jestem dobrej myśli:)


(Monczkin) #9

katarynka , popraw temat na konkretny oraz posty z logami. Przeczytaj regulamin i zasady pisani ana forum. Od czego masz dział bezpieczeństwo?

viewtopic.php?f=16&t=66889

viewtopic.php?f=16&t=213350

Popraw to, inaczej temat wyleci.


(Katros) #10

Witam, przepraszam za całe to zamieszanie. Byłam tu po raz pierwszy i rzeczywiście popełniłam sporo błędów. Całę szczęście post już nieaktualny więc może zostać usunięty. Chciałam tylko dodać, że macie tutaj super fachowców, szczególne podziękowania dla huber2t za poświęcony czas i super wskazówki. Serdeczne pozdrawienia dla wszystkich, Kasia katarynka


(jessica) #11

Ciekawi mnie jedna sprawa:

W logu ComboFixa widać ten powyższy wpis, świadczący o obecności Rootkita w MBR (Master Boot Record) dysku twardego.

Czyżby Kaspersky potrafił już usuwać tego Rootkita (bo piszesz, że post jest już nieaktualny) ?.?

Chciałabym zobaczyć potwierdzenie tego.

Dlatego proszę o zrobienie logu (raportu) z > mbr.exe >>http://www.searchengines.pl/phpbb203/index.php?showtopic=31936.

I oczywiście daj ten raport/log tutaj.

jessi