Wirus "Your privacy is in danger"


(Syga63) #1

Złapałam wirusa "Your privacy is in danger". Patrzałam na googlach jak go wykasowac i dzis robilam tak jak pisalo na internecie, no i niby wszystko zrobilam, ale wciąż coś jest nie tak. Tzn. gdy włączam komputer nie ma już czerwonej tapety. Jest taka jak ustawiłam, ale po paru minutach gdy siedzę na necie znika pasek zadań i ikony z pulpitu :? :?

Muszę posługiwa się menadżerem zadań by móc korzysta z kompa. Może ktoś mi pomoże, bo informatykiem to ja nie jestem...


(Leon$) #2

Pobierz Combofix http://www.searchengines.pl/index.php?s ... ntry395642

przeskanuj daj log

potem

Pobierz HijackThis http://forum.dobreprogramy.pl/viewtopic.php?f=16&t=36654 przeskanuj system daj log

kolejność jak podałem

:slight_smile:


(Syga63) #3

Oto mój log:

ComboFix 08-07-11.1 - Ja 2008-07-11 21:56:58.8 - NTFSx86

Microsoft Windows XP Home Edition 5.1.2600.1.1250.1.1045.18.168 [GMT 1:00]

Running from: C:\Documents and Settings\Ja\Pulpit\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED!!

.

((((((((((((((((((((((((( Files Created from 2008-06-11 to 2008-07-11 )))))))))))))))))))))))))))))))

.

2008-07-10 19:54 . 2008-07-10 19:54

2008-07-10 19:50 . 2008-07-10 19:50

2008-07-10 19:49 . 2008-07-10 19:50

2008-07-10 15:54 . 2008-07-10 15:54 116,864 --a------ C:\WINDOWS\system32\rmtriq.dll

2008-07-10 15:54 . 2008-07-10 15:54 116,864 --a------ C:\WINDOWS\system32\nctjjpod.dll

2008-07-10 15:50 . 2008-07-10 15:51 322,304 --a------ C:\WINDOWS\system32\geBtTLfC.dll

2008-07-10 13:38 . 2008-07-10 15:11 347 --ahs---- C:\WINDOWS\system32\MnmWyyay.ini

2008-07-09 20:57 . 2008-07-09 20:57 65,549 --a------ C:\Documents and Settings\Ja\win.exe

2008-07-09 20:57 . 2008-07-09 20:57 18,432 --a------ C:\WINDOWS\system32\nvgflt.dll

2008-07-09 20:50 . 2008-07-09 21:26

2008-07-09 19:52 . 2008-07-09 19:52 112,256 --a------ C:\WINDOWS\system32\tywnelju.dll

2008-07-09 19:52 . 2008-07-09 19:52 112,256 --a------ C:\WINDOWS\system32\omuklb.dll

2008-07-09 19:17 . 2008-07-09 19:18

2008-07-09 12:17 . 2008-07-09 12:17 29,568 --a------ C:\WINDOWS\system32\vtUonMCT.dll

2008-07-09 12:17 . 2008-07-09 12:17 29,568 --a------ C:\WINDOWS\system32\pmnmKAPf.dll

2008-07-08 11:09 . 2008-07-08 11:09

2008-07-08 11:09 . 2008-07-08 11:09

2008-07-07 19:48 . 2008-07-07 19:48

2008-07-06 09:18 . 2008-07-06 09:18

2008-07-06 06:26 . 2008-07-06 06:26 0 --a------ C:\WINDOWS\ativpsrm.bin

2008-07-06 06:25 . 2008-06-02 20:05 593,920 --------- C:\WINDOWS\system32\ati2sgag.exe

2008-07-06 06:24 . 2008-07-06 06:25

2008-07-06 06:23 . 2008-07-06 06:23

2008-07-05 18:39 . 2008-07-05 18:39

2008-07-05 18:39 . 2008-07-05 18:39

2008-07-05 11:41 . 2008-07-05 11:41

2008-07-05 11:41 . 2008-07-05 11:41

2008-07-05 11:41 . 2008-07-05 11:41

2008-07-05 11:41 . 2008-07-05 12:48

2008-07-05 11:39 . 2008-07-05 11:41

2008-07-05 11:39 . 2008-07-06 06:32

2008-07-03 18:00 . 2008-07-03 18:00 579 --a------ C:\WINDOWS\eReg.dat

2008-07-01 10:19 . 2002-09-20 17:04 150,528 --a------ C:\WINDOWS\system32\ptpusd.dll

2008-07-01 10:19 . 2002-08-29 00:48 14,208 --a------ C:\WINDOWS\system32\drivers\usbscan.sys

2008-07-01 10:19 . 2002-08-29 00:48 14,208 --a--c--- C:\WINDOWS\system32\dllcache\usbscan.sys

2008-07-01 10:19 . 2001-10-26 16:29 5,632 --a------ C:\WINDOWS\system32\ptpusb.dll

2008-06-29 20:07 . 2008-06-29 20:07

2008-06-29 20:03 . 2008-06-29 20:03

2008-06-29 18:13 . 2008-06-29 18:13

2008-06-29 18:13 . 2008-06-29 20:03

2008-06-29 18:13 . 2008-03-25 01:37 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl

2008-06-29 18:12 . 2008-06-29 18:12

2008-06-29 17:41 . 2008-06-29 17:41

2008-06-29 13:45 . 2005-12-06 04:27 7,136 -ra------ C:\WINDOWS\system32\drivers\lv302af.sys

2008-06-29 13:45 . 2008-06-29 13:45 552 --a------ C:\WINDOWS\system32\d3d8caps.dat

2008-06-29 13:44 . 2005-12-06 04:30 916,096 -ra------ C:\WINDOWS\system32\drivers\LV302AV.SYS

2008-06-29 13:44 . 2005-12-06 04:26 380,928 -ra------ C:\WINDOWS\system32\LVUI2RC.dll

2008-06-29 13:44 . 2005-12-06 04:25 217,088 -ra------ C:\WINDOWS\system32\LVUI2.dll

2008-06-29 13:44 . 2005-12-06 04:25 204,800 -ra------ C:\WINDOWS\system32\lvcodec2.dll

2008-06-29 13:44 . 2005-12-06 04:22 110,592 -ra------ C:\WINDOWS\system32\lvcoinst.dll

2008-06-29 13:44 . 2002-09-20 17:04 50,688 --a------ C:\WINDOWS\system32\vfwwdm32.dll

2008-06-29 13:44 . 2002-09-20 17:04 50,688 --a--c--- C:\WINDOWS\system32\dllcache\vfwwdm32.dll

2008-06-29 13:44 . 2005-12-06 04:26 39,424 -ra------ C:\WINDOWS\system32\drivers\LVUSBSta.sys

2008-06-29 13:44 . 2005-12-06 03:28 13,126 -ra------ C:\WINDOWS\system32\lvcoinst.ini

2008-06-29 13:44 . 2005-12-06 03:27 2,112 -ra------ C:\WINDOWS\system32\Repository.reg

2008-06-29 13:43 . 2005-01-28 12:44 2,370,296 --a--c--- C:\WINDOWS\system32\dllcache\wmvcore.dll

2008-06-29 13:43 . 2002-12-11 14:16 384,512 --a------ C:\WINDOWS\system32\mp4sdmod.dll

2008-06-29 13:43 . 2008-07-05 11:40 316,640 --a------ C:\WINDOWS\WMSysPr9.prx

2008-06-29 13:43 . 2002-12-11 18:12 316,040 --a------ C:\WINDOWS\system32\mp43dmod.dll

2008-06-29 13:43 . 2002-12-11 16:34 241,664 --a------ C:\WINDOWS\system32\mpg4dmod.dll

2008-06-29 13:43 . 2002-12-11 16:34 241,664 --a--c--- C:\WINDOWS\system32\dllcache\mpg4dmod.dll

2008-06-29 13:43 . 2005-01-28 12:44 224,768 --a--c--- C:\WINDOWS\system32\dllcache\wmasf.dll

2008-06-29 13:43 . 2002-12-11 17:09 217,600 --a--c--- C:\WINDOWS\system32\dllcache\npdrmv2.dll

2008-06-29 13:43 . 2002-12-11 16:34 9,728 --a--c--- C:\WINDOWS\system32\dllcache\npwmsdrm.dll

2008-06-29 13:42 . 2008-06-29 13:42

2008-06-29 13:42 . 2008-06-29 13:42

2008-06-29 09:23 . 2008-07-11 21:02

2008-06-29 09:23 . 2008-06-29 09:23 56 --ah----- C:\WINDOWS\system32\ezsidmv.dat

2008-06-29 09:22 . 2008-07-11 21:52

2008-06-29 09:21 . 2008-06-29 09:21

2008-06-29 09:21 . 2008-06-29 09:21

2008-06-29 09:21 . 2008-06-29 09:21

2008-06-29 08:38 . 2008-06-29 08:38

2008-06-29 08:34 . 2008-06-29 08:34

2008-06-29 08:34 . 2008-06-29 10:50

2008-06-29 08:29 . 2008-06-29 08:29 169 --a------ C:\WINDOWS\RtlRack.ini

2008-06-29 08:23 . 2008-06-29 08:23

2008-06-29 08:22 . 2008-06-29 09:44

2008-06-29 08:22 . 2005-02-25 04:36 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe

2008-06-26 19:45 . 2002-08-29 00:32 21,760 --a--c--- C:\WINDOWS\system32\dllcache\usbstor.sys

2008-06-26 18:07 . 2008-06-26 18:07 1,160 --a------ C:\WINDOWS\mozver.dat

2008-06-26 14:16 . 2004-07-01 23:10 360,448 --a--c--- C:\WINDOWS\system32\dllcache\qmgr.dll

2008-06-26 14:16 . 2004-07-01 23:10 331,776 --a------ C:\WINDOWS\system32\winhttp.dll

2008-06-26 14:16 . 2004-07-01 23:10 331,776 --a--c--- C:\WINDOWS\system32\dllcache\winhttp.dll

2008-06-26 14:16 . 2004-07-01 23:10 17,408 --a------ C:\WINDOWS\system32\qmgrprxy.dll

2008-06-26 14:16 . 2004-07-01 23:10 17,408 --a--c--- C:\WINDOWS\system32\dllcache\qmgrprxy.dll

2008-06-26 14:16 . 2004-07-01 23:10 7,680 -----c--- C:\WINDOWS\system32\dllcache\bitsprx2.dll

2008-06-26 14:16 . 2004-07-01 23:10 7,680 --------- C:\WINDOWS\system32\bitsprx2.dll

2008-06-26 14:16 . 2004-07-01 23:10 7,168 -----c--- C:\WINDOWS\system32\dllcache\bitsprx3.dll

2008-06-26 14:16 . 2004-07-01 23:10 7,168 --------- C:\WINDOWS\system32\bitsprx3.dll

2008-06-26 14:12 . 2007-07-30 18:19 549,720 --a------ C:\WINDOWS\system32\wuapi.dll

2008-06-26 14:12 . 2007-07-30 18:19 325,976 --a------ C:\WINDOWS\system32\wucltui.dll

2008-06-26 14:12 . 2007-07-30 18:19 216,408 --a------ C:\WINDOWS\system32\wuaucpl.cpl

2008-06-26 14:12 . 2007-07-30 18:19 203,096 --a------ C:\WINDOWS\system32\wuweb.dll

2008-06-26 14:12 . 2004-08-03 13:04 187,160 --a------ C:\WINDOWS\system32\wuaueng1.dll

2008-06-26 14:12 . 2004-08-03 13:03 170,264 --a------ C:\WINDOWS\system32\wuauclt1.exe

2008-06-26 14:12 . 2007-07-30 18:18 33,624 --a------ C:\WINDOWS\system32\wups.dll

2008-06-26 14:10 . 2008-06-26 14:10 0 --a------ C:\WINDOWS\nsreg.dat

2008-06-26 13:54 . 2008-06-26 13:54

2008-06-26 13:54 . 2008-06-26 13:54

2008-06-26 13:45 . 2008-07-06 06:21 664 --a------ C:\WINDOWS\system32\d3d9caps.dat

2008-06-26 13:38 . 2005-02-26 06:34 442,368 -ra------ C:\WINDOWS\system32\vp6vfw.dll

2008-06-26 13:30 . 2006-08-18 12:52 4,017,536 -ra------ C:\WINDOWS\system32\drivers\alcxwdm.sys

2008-06-26 13:30 . 2002-08-29 01:01 134,272 --a------ C:\WINDOWS\system32\drivers\portcls.sys

2008-06-26 13:30 . 2002-08-29 01:01 134,272 --a--c--- C:\WINDOWS\system32\dllcache\portcls.sys

2008-06-26 13:30 . 2002-08-29 00:32 57,856 --a------ C:\WINDOWS\system32\drivers\drmk.sys

2008-06-26 13:30 . 2002-08-29 00:32 57,856 --a--c--- C:\WINDOWS\system32\dllcache\drmk.sys

2008-06-26 13:29 . 2008-06-26 13:29

2008-06-26 13:29 . 2006-07-31 10:27 217,088 --a------ C:\WINDOWS\Alcrmv.exe

2008-06-26 13:14 . 2008-06-26 13:14

2008-06-26 13:14 . 2008-06-26 13:30

2008-06-26 13:14 . 2006-08-17 07:11 18,804,736 --a------ C:\WINDOWS\system32\alsndmgr.cpl

2008-06-26 13:14 . 2006-08-10 06:27 10,528,768 --a------ C:\WINDOWS\system32\RTLCPL.exe

2008-06-26 13:14 . 2006-08-03 04:12 577,536 --a------ C:\WINDOWS\soundman.exe

2008-06-26 13:14 . 2006-07-31 10:19 315,392 --a------ C:\WINDOWS\alcupd.exe

2008-06-26 13:14 . 2006-08-01 13:58 143,360 --a------ C:\WINDOWS\system32\RtlCPAPI.dll

2008-06-26 13:14 . 2002-02-05 12:54 141,016 --a------ C:\WINDOWS\system32\alsndmgr.wav

2008-06-26 13:14 . 2006-08-01 14:02 49,152 --a------ C:\WINDOWS\system32\ChCfg.exe

2008-06-26 13:14 . 2001-07-05 23:19 164 --a------ C:\WINDOWS\avrack.ini

2008-06-26 13:13 . 2008-06-26 13:30

2008-06-26 13:13 . 2008-06-26 13:13

2008-06-26 13:13 . 2004-08-11 15:30 39,424 --a------ C:\WINDOWS\system32\drivers\AmdK8.sys

2008-06-26 11:35 . 2008-06-26 11:35

2008-06-26 10:50 . 2008-07-06 06:25

2008-06-26 10:50 . 2005-10-27 14:06 356,096 --a------ C:\WINDOWS\system32\drivers\rt61.sys

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-07-03 17:00 11,376 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys

2008-06-25 08:57 --------- d-----w C:\Program Files\microsoft frontpage

2008-06-25 08:55 --------- d-----w C:\Program Files\Usługi online

2008-06-03 06:20 3,100,160 ----a-w C:\WINDOWS\system32\drivers\ati2mtag.sys

2008-06-03 03:46 10,276,864 ----a-w C:\WINDOWS\system32\atioglx2.dll

2008-06-03 03:22 413,696 ----a-w C:\WINDOWS\system32\ATIDEMGX.dll

2008-06-03 03:21 306,688 ----a-w C:\WINDOWS\system32\ati2dvag.dll

2008-06-03 03:11 43,520 ----a-w C:\WINDOWS\system32\ati2edxx.dll

2008-06-03 03:11 26,112 ----a-w C:\WINDOWS\system32\Ati2mdxx.exe

2008-06-03 03:11 180,224 ----a-w C:\WINDOWS\system32\atipdlxx.dll

2008-06-03 03:11 139,264 ----a-w C:\WINDOWS\system32\Oemdspif.dll

2008-06-03 03:11 139,264 ----a-w C:\WINDOWS\system32\ati2evxx.dll

2008-06-03 03:09 552,960 ----a-w C:\WINDOWS\system32\ati2evxx.exe

2008-06-03 03:08 53,248 ----a-w C:\WINDOWS\system32\ATIDDC.DLL

2008-06-03 03:04 245,760 ----a-w C:\WINDOWS\system32\atiok3x2.dll

2008-06-03 03:02 307,200 ----a-w C:\WINDOWS\system32\atiiiexx.dll

2008-06-03 02:59 3,500,352 ----a-w C:\WINDOWS\system32\ati3duag.dll

2008-06-03 02:48 2,120,832 ----a-w C:\WINDOWS\system32\ativvaxx.dll

2008-06-03 02:33 48,128 ----a-w C:\WINDOWS\system32\amdpcom32.dll

2008-06-03 02:29 348,160 ----a-w C:\WINDOWS\system32\atikvmag.dll

2008-06-03 02:28 23,040 ----a-w C:\WINDOWS\system32\atiadlxx.dll

2008-06-03 02:28 17,408 ----a-w C:\WINDOWS\system32\atitvo32.dll

2008-06-03 02:27 49,152 ----a-w C:\WINDOWS\system32\drivers\ati2erec.dll

2008-06-03 02:22 5,439,488 ----a-w C:\WINDOWS\system32\atioglxx.dll

2008-06-03 02:21 557,056 ----a-w C:\WINDOWS\system32\ati2cqag.dll

2007-07-19 23:19 855,886 ----a-w C:\Program Files\AUG2007_d3dx10_35_x64.cab

2007-07-19 23:19 800,467 ----a-w C:\Program Files\AUG2007_d3dx10_35_x86.cab

2007-07-19 23:19 1,803,760 ----a-w C:\Program Files\AUG2007_d3dx9_35_x64.cab

2007-07-19 23:18 44,684 ----a-w C:\Program Files\dxdllreg_x86.cab

2007-07-19 23:18 201,696 ----a-w C:\Program Files\AUG2007_XACT_x64.cab

2007-07-19 23:18 156,612 ----a-w C:\Program Files\AUG2007_XACT_x86.cab

2007-07-19 23:18 1,711,752 ----a-w C:\Program Files\AUG2007_d3dx9_35_x86.cab

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries legit default entries are not shown

REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects{2253DE51-0376-4AA2-B014-EAAB2F054150}]

2008-07-10 15:51 322304 --a------ C:\WINDOWS\System32\geBtTLfC.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects{4a31796e-37d3-476a-993f-8fc0c6f90e1a}]

2008-07-10 15:54 116864 --a------ C:\WINDOWS\System32\rmtriq.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects{684BFE7F-F5B2-4AB3-A95E-EB5036A2D286}]

2008-07-09 12:17 29568 --a------ C:\WINDOWS\system32\vtUonMCT.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2003-04-16 13:00 13312]

"Gadu-Gadu"="C:\Program Files\Gadu-Gadu\gg.exe" [2008-03-20 11:04 2127296]

"Skype"="C:\Program Files\Skype\Phone\Skype.exe" [2008-06-03 14:08 21718312]

"Orb"="C:\Program Files\Winamp Remote\bin\OrbTray.exe" [2008-04-01 02:54 507904]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NVRaidService"="C:\WINDOWS\System32\nvraidservice.exe" [2004-06-11 04:15 83968]

"LVCOMSX"="C:\WINDOWS\System32\LVCOMSX.EXE" [2005-12-09 14:32 225280]

"LogitechCameraAssistant"="C:\Program Files\Logitech\Video\CameraAssistant.exe" [2005-12-07 09:26 489472]

"LogitechVideo[inspector]"="C:\Program Files\Logitech\Video\InstallHelper.exe" [2005-12-07 09:33 73728]

"LogitechCameraService(E)"="C:\WINDOWS\System32\ElkCtrl.exe" [2004-11-01 16:22 262144]

"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 21:16 39792]

"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe" [2008-03-25 03:28 144784]

"StartCCC"="C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 11:17 61440]

"WinampAgent"="C:\Program Files\Winamp\winampa.exe" [2008-04-01 19:49 36352]

"SoundMan"="SOUNDMAN.EXE" [2006-08-03 04:12 577536 C:\WINDOWS\soundman.exe]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2003-04-16 13:00 13312]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

"{684BFE7F-F5B2-4AB3-A95E-EB5036A2D286}"= "C:\WINDOWS\system32\vtUonMCT.dll" [2008-07-09 12:17 29568]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]

"SetupService"= {3e4a25df-c6b6-4441-b89f-e731fb82a8a4} - C:\WINDOWS\Resources\SetupService.dll [2008-07-09 19:17 22566]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\vtUonMCT]

2008-07-09 12:17 29568 C:\WINDOWS\system32\vtUonMCT.dll

R1 aswSP;avast! Self Protection;C:\WINDOWS\System32\drivers\aswSP.sys [2008-05-16 00:20]

R3 LVPrcMon;Logitech LVPrcMon Driver;C:\WINDOWS\system32\drivers\LVPrcMon.sys [2005-12-09 14:37]

S3 ADM8511;Konwerter z USB na Fast Ethernet ADMtek ADM8511/AN986;C:\WINDOWS\System32\DRIVERS\ADM8511.SYS [2001-08-17 19:11]

.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-07-11 21:58:27

Windows 5.1.2600 Dodatek Service Pack. 1 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

**************************************************************************

.

--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe

  • C:\WINDOWS\system32\vtUonMCT.dll

.

Completion time: 2008-07-11 22:00:13

ComboFix-quarantined-files.txt 2008-07-11 20:59:09

ComboFix2.txt 2008-07-11 20:55:33

Pre-Run: 29,939,142,656 bajtów wolnych

Post-Run: 29,928,980,480 bajtów wolnych

225 --- E O F --- 2008-06-29 07:23:05

W dniu 11.07.2008 , o godzinie 23:14 został dopisany post przez syga63

Teraz kolejny log:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 22:12, on 2008-07-11

Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

c:\program files\common files\logitech\lvmvfm\LVPrcSrv.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\System32\nvraidservice.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\System32\LVCOMSX.EXE

C:\Program Files\Logitech\Video\CameraAssistant.exe

C:\WINDOWS\System32\ElkCtrl.exe

C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe

C:\Program Files\Winamp\winampa.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\Program Files\Winamp Remote\bin\OrbTray.exe

C:\WINDOWS\System32\wbem\unsecapp.exe

C:\Program Files\Skype\Plugin Manager\skypePM.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\system32\notepad.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\System32\rundll32.exe

C:\Documents and Settings\Ja\Ustawienia lokalne\Temp\Katalog tymczasowy 1 dla HiJackThis.zip\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM..\Run: [NVRaidService] C:\WINDOWS\System32\nvraidservice.exe

O4 - HKLM..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE

O4 - HKLM..\Run: [LogitechCameraAssistant] C:\Program Files\Logitech\Video\CameraAssistant.exe

O4 - HKLM..\Run: [LogitechVideo[inspector]] C:\Program Files\Logitech\Video\InstallHelper.exe /inspect

O4 - HKLM..\Run: [LogitechCameraService(E)] C:\WINDOWS\System32\ElkCtrl.exe /automation

O4 - HKLM..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe"

O4 - HKLM..\Run: [startCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun

O4 - HKLM..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"

O4 - HKCU..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray

O4 - HKCU..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU..\Run: [Orb] "C:\Program Files\Winamp Remote\bin\OrbTray.exe" /background

O4 - HKUS\S-1-5-19..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-18..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS.DEFAULT..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: Winamp Search - C:\Documents and Settings\All Users\Dane aplikacji\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll

O21 - SSODL: SetupService - {3e4a25df-c6b6-4441-b89f-e731fb82a8a4} - C:\WINDOWS\Resources\SetupService.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\common files\logitech\lvmvfm\LVPrcSrv.exe

--

End of file - 5280 bytes

W dniu 11.07.2008 , o godzinie 23:17 został dopisany post przez syga63

Co dalej??????????????????????????????????????????//

Pomocy! !!


(huber2t) #4

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\WINDOWS\system32\rmtriq.dll

C:\WINDOWS\system32\nctjjpod.dll

C:\WINDOWS\system32\geBtTLfC.dll

C:\WINDOWS\system32\MnmWyyay.ini

C:\Documents and Settings\Ja\win.exe

C:\WINDOWS\system32\nvgflt.dll

C:\WINDOWS\system32\tywnelju.dll

C:\WINDOWS\system32\omuklb.dll

C:\WINDOWS\system32\vtUonMCT.dll

C:\WINDOWS\system32\pmnmKAPf.dll


Folder::

C:\WINDOWS\system32\778670


Registry::

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2253DE51-0376-4AA2-B014-EAAB2F054150}]

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{4a31796e-37d3-476a-993f-8fc0c6f90e1a}]

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{684BFE7F-F5B2-4AB3-A95E-EB5036A2D286}]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

"{684BFE7F-F5B2-4AB3-A95E-EB5036A2D286}"=-

[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\vtUonMCT]

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

02f8f1e3c410a4cc.gif

Rozpocznie się usuwanie i powstanie log, który dasz na forum.

Logi dajesz na http://wklejto.pl a w poście dajesz tylko link


(Syga63) #5

dobra dodałam log na tą stronkę. oto link: http://wklejto.pl/5540

co dalej??


(Leon$) #6

Otwórz notatnik i wklej

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri ... iemoes.gif

Powinno rozpocząć się usuwanie

Potem log z usuwania Combofix

:slight_smile:


(Syga63) #7

Spoko tylko że ja już to zrobiłam, to log:

http://wklejto.pl/5540

co dalej??

Jeszcze coś nie gra bo komp sam otwiera strony w explorerze , zazwyczaj są to toolbary.

Czy mam zainstalowac aktualizacje?


(huber2t) #8

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\WINDOWS\system32\hynpos.dll

C:\WINDOWS\system32\alvnhtav.dll

C:\WINDOWS\System32\fbbvjftf.dll


Registry::

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{941734e1-c94c-4c55-bac2-0b387703ce22}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"a846af61"=-

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

02f8f1e3c410a4cc.gif

Rozpocznie się usuwanie i powstanie log, który dasz na forum.

Logi dajesz na http://wklejto.pl a w poście dajesz tylko link


(Syga63) #9

Już to wczoraj wieczorem robiłam, czy mam powtórzyc tę czynnośc?


(huber2t) #10

Tak zauważ że każdy napisany przez nas skrypt jest inny


(Syga63) #11

nie moge zrobic autoscan'u w combofix'ie. gdy sie zaczyna to zatrzymuje sie na stage_8 i musze robic reset kompa :confused:

probowalam dwa razy i czekalalm bardzo dlugo...

druga rzecz: jak wlaczam kompa to pojawia sie okienko z komunikatem bledu: nie można odnalesc określonego modułu C:/WINDOWS/System32/fbbvjftf.dll


(Leon$) #12

Pobierz Deckard's System Scanner (DSS) http://www.searchengines.pl/index.php?s ... ntry392369 przeskanuj daj log Main.txt

:slight_smile:


(Syga63) #13

ok zrobiłam skan, oto log:

http://www.wklejto.pl/5603

co dalej? to log Main.txt


(huber2t) #14

fix w hijackthis

Pobierz The Avenger

wklej do niego ten tekst:

Files to delete:

C:\WINDOWS\System32\fbbvjftf.dll

C:\NV38563860.TMP

C:\NV38483852.TMP


Registry keys to delete:

HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{941734e1-c94c-4c55-bac2-0b387703ce22}


Registry values to delete:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run | a846af61

kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt


(Leon$) #15

Wpisy

usuń HijackThisem >> Fix checked

Pobierz i uruchom narzędzie The Avenger Zaznaczasz tekst podany do usunięcia na forum

kopiuj >> klikasz na Paste Script from Clipboard >> Execute >> Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

potem log DDS

Pobierz System Repair Engineer

http://www.cybertrash.pl/images/tata/System%20Repair/System%20Repair%20Engineer.html

przeskanuj daj log

:slight_smile:


(Syga63) #16

raport z avenger'a:

Logfile of The Avenger Version 2.0, © by Swandog46

http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.

Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

No rootkits found!

Error: file "C:\WINDOWS\System32\fbbvjftf.dll" not found!

Deletion of file "C:\WINDOWS\System32\fbbvjftf.dll" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

--> the object does not exist

Error: "C:\NV38563860.TMP" is a folder, not a file!

Deletion of file "C:\NV38563860.TMP" failed!

Status: 0xc00000ba (STATUS_FILE_IS_A_DIRECTORY)

--> use "Folders to delete:" instead of "Files to delete:" to delete a directory

Error: "C:\NV38483852.TMP" is a folder, not a file!

Deletion of file "C:\NV38483852.TMP" failed!

Status: 0xc00000ba (STATUS_FILE_IS_A_DIRECTORY)

--> use "Folders to delete:" instead of "Files to delete:" to delete a directory

Error: registry key "HKEY_LOCAL_MACHINE\~\Browser Helper Objects{941734e1-c94c-4c55-bac2-0b387703ce22}" not found!

Deletion of registry key "HKEY_LOCAL_MACHINE\~\Browser Helper Objects{941734e1-c94c-4c55-bac2-0b387703ce22}" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

--> the object does not exist

Error: could not delete registry value "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|a846af61"

Deletion of registry value "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|a846af61" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

--> the object does not exist

Completed script processing.

*******************

Finished! Terminate.

W dniu 12.07.2008 , o godzinie 20:43 został dopisany post przez syga63

to jest drugi raport z avanger'a.txt, tak jak doradzał Leon$:

Logfile of The Avenger Version 2.0, © by Swandog46

http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.

Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

No rootkits found!

Error: file "C:\WINDOWS\System32\fbbvjftf.dll" not found!

Deletion of file "C:\WINDOWS\System32\fbbvjftf.dll" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

--> the object does not exist

Completed script processing.

*******************

Finished! Terminate.

W dniu 12.07.2008 , o godzinie 20:47 został dopisany post przez syga63

a to log z DDS:

http://www.wklejto.pl/5608


(Leon$) #17

o coś prosiłem

:slight_smile:


(Syga63) #18

a to log z System Repair Engineer

http://www.wklejto.pl/5609

co dalej ??

W dniu 12.07.2008 , o godzinie 20:59 został dopisany post przez syga63

log z DDS

http://www.wklejto.pl/5608


(Leon$) #19

uruchom System Repair Engineer zakładka >> Boot items >> services >> drivers>> odszukaj

i usuń

System Repair Engineer zakładka >> System repair >> adwanced repair >> auto repair

pobierz i uruchom ATF Cleaner http://cybertrash.pl/images/tata/ATF/ATF.html

zrób optymalizacje uruchamiania

http://cybertrash.netarteria.pl/cyber/i ... 378.0.html

usuń ręcznie folder C: \Qoobox usuń instalkę Combofix z dysku.

Wyłącz I włącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

przeskanuj obszar Mój komputer http://www.kaspersky.pl/virusscanner.html pokaż raport stronę uruchomić przez IE

:slight_smile:


(Syga63) #20

jestem przy tym punkcie i nie wiem co mam robic.??

zrób optymalizacje uruchamiania

http://cybertrash.netarteria.pl/cyber/i ... 378.0.html

czy mam robic wszytkie czynnosci podane na forum??