witam…przeskanowalem kasperskym on linem kompa i mam pare bardzo groznych wirusów…najlepsze jest to ze jak skanuje kompa natywirusami ktore zainstaluje to tych wirusów nie ma…tylko na kasperskim on line…a jak wiadomo nie ma tam opcji usuniecia tych wirusów …co ronbic? prosze o pomoc
zaden hijacks nie chce sie zainstalowac na moim kompie…wyskakuje jakis blad …sciagalem z roznych stron
ComboFix 08-03-21.1 - Rafaello 2008-03-21 19:48:28.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.1543 [GMT 1:00]
Running from: C:\Documents and Settings\Rafaello\Pulpit\ComboFix.exe
* Created a new restore point
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Documents and Settings\Rafaello\Dane aplikacji\addon.dat
.
((((((((((((((((((((((((( Files Created from 2008-02-21 to 2008-03-21 )))))))))))))))))))))))))))))))
.
2008-03-21 19:34 . 2008-03-21 19:34
2008-03-21 19:16 . 2008-03-21 19:16
2008-03-21 19:10 . 2008-03-21 19:13
2008-03-21 19:10 . 2008-03-21 19:14
2008-03-21 19:10 . 2008-03-21 19:10 42,782 --a------ C:\Documents and Settings\All Users\Dane aplikacji\firstlsp.reg.dat
2008-03-21 19:08 . 2008-03-21 19:08
2008-03-21 18:24 . 2008-03-21 18:24
2008-03-21 17:34 . 2008-03-21 18:11 75,808 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-03-21 17:34 . 2008-03-21 18:11 2,984 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-03-21 17:34 . 2008-03-21 18:11 2,592 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2008-03-21 17:34 . 2008-03-21 18:11 1,292 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx
2008-03-21 16:08 . 2008-03-21 16:08
2008-03-21 15:02 . 2008-03-21 15:02 2,560 --a------ C:\WINDOWS_MSRSTRT.EXE
2008-03-16 14:58 . 2008-03-16 14:58
2008-03-16 11:13 . 2008-03-16 11:13 0 --a------ C:\WINDOWS\system32\SDRemoveDB.db
2008-03-16 11:12 . 2008-03-16 14:21 63 --a------ C:\WINDOWS\system\SysSD.dll
2008-03-16 10:21 . 2008-03-21 19:09
2008-03-15 13:26 . 2008-03-15 13:26 100 --a------ C:\WINDOWS\system32\ikhcore.cfg
2008-03-15 13:17 . 2008-03-15 22:21
2008-03-15 13:02 . 2008-03-15 13:02
2008-03-15 12:56 . 2008-03-15 12:56
2008-03-15 12:56 . 2008-03-15 12:56
2008-03-15 12:52 . 2008-03-15 12:52
2008-03-15 10:58 . 2008-03-16 20:15
2008-03-15 01:11 . 2008-03-15 01:11
2008-03-13 08:43 . 2008-01-21 15:00
2008-03-12 11:13 . 2008-03-12 11:25
2008-03-12 11:10 . 2008-03-21 16:58
2008-03-12 11:01 . 2008-03-12 11:01
2008-03-12 09:55 . 2008-03-12 09:55 36 --a------ C:\WINDOWS\IniFile1.ini
2008-03-12 09:54 . 2008-03-12 09:54
2008-03-09 17:30 . 2008-03-09 17:30
2008-03-09 14:44 . 2008-03-09 16:20
2008-03-09 10:43 . 2008-03-21 19:48
2008-03-08 13:11 . 2008-03-08 13:11 4,096 --a------ C:\WINDOWS\d3dx.dat
2008-03-05 12:28 . 2008-03-21 18:24
2008-03-05 12:10 . 2008-03-05 12:10 245,760 --a-s–t- C:\WINDOWS\system32\TPUTIL.DLL
2008-03-05 12:10 . 2008-03-05 12:10 208,896 --a-s–t- C:\WINDOWS\system32\PAVSHOOK.DLL
2008-03-05 12:03 . 2008-03-05 13:08 84 --a------ C:\WINDOWS\system32\drivers\netfltConfig.dat
2008-03-05 11:41 . 2008-03-05 11:41
2008-02-27 09:48 . 2008-02-27 09:48
2008-02-24 14:49 . 2008-02-24 14:49
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-21 18:10 --------- d-----w C:\Program Files\neostrada tp
2008-03-21 18:10 --------- d-----w C:\Program Files\AutoConnect
2008-03-15 20:43 --------- d-----w C:\Documents and Settings\Rafaello\Dane aplikacji\Tibia
2008-03-12 09:07 --------- d-----w C:\Program Files\FDRLab
2008-03-12 08:54 --------- d-----w C:\Program Files\Movavi Flash Converter
2008-03-09 19:53 --------- d–h--w C:\Program Files\InstallShield Installation Information
2008-03-05 12:10 --------- d-----w C:\Program Files\Common Files\Panda Software
2008-02-23 09:50 --------- d-----w C:\Program Files\NAPI-PROJEKT
2008-02-11 12:27 --------- d-----w C:\Program Files\CDex
2008-01-31 08:00 --------- d-----w C:\Documents and Settings\Rafaello\Dane aplikacji\CyberLink
2008-01-31 07:59 --------- d-----w C:\Program Files\CyberLink
2008-01-31 07:59 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\CyberLink
2008-01-22 10:24 --------- d-----w C:\Program Files\PhotoBrush
2008-01-21 14:03 --------- d-----w C:\Program Files\Crystal Player
2008-01-21 13:57 --------- d-----w C:\Documents and Settings\Rafaello\Dane aplikacji\Media Player Classic
2008-01-21 13:56 --------- d-----w C:\Program Files\Real Alternative
2008-01-21 13:56 --------- d-----w C:\Program Files\Media Player Classic
2008-01-21 13:56 --------- d-----w C:\Program Files\Common Files\Real
2007-12-22 16:06 32 -c–a-w C:\Documents and Settings\All Users\Dane aplikacji\ezsid.dat
2007-11-24 13:40 56 --sh–r C:\WINDOWS\system32\63497FFF13.sys
2007-11-25 10:16 848 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries legit default entries are not shown
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“CTFMON.EXE”=“C:\WINDOWS\system32\ctfmon.exe” [2004-08-03 23:44 15360]
“DAEMON Tools”=“K:\zainstalowane\DAEMON Tools\daemon.exe” [2007-08-22 13:06 167368]
“AutoConnect”=“C:\Program Files\AutoConnect\AutoConnect.exe” [2004-08-28 19:27 295424]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“RTHDCPL”=“RTHDCPL.EXE” [2007-05-10 11:08 16342528 C:\WINDOWS\RTHDCPL.exe]
“NvCplDaemon”=“C:\WINDOWS\system32\NvCpl.dll” [2007-04-12 16:44 8429568]
“nwiz”=“nwiz.exe” [2007-04-12 16:44 1626112 C:\WINDOWS\system32\nwiz.exe]
“SW20”=“C:\WINDOWS\system32\sw20.exe” [2006-12-15 03:58 208896]
“SW24”=“C:\WINDOWS\system32\sw24.exe” [2006-12-15 03:58 69632]
“WinSys2”=“C:\WINDOWS\system32\winsys2.exe” [2006-12-15 03:59 217088]
“NvMediaCenter”=“C:\WINDOWS\system32\NvMcTray.dll” [2007-04-12 16:44 81920]
“NeroCheck”=“C:\WINDOWS\system32\NeroCheck.exe” [2001-07-09 11:50 155648]
“WOOWATCH”=“C:\PROGRA~1\NEOSTR~1\Watch.exe” [2004-08-23 14:49 20480]
“WOOTASKBARICON”=“C:\PROGRA~1\NEOSTR~1\GestMaj.exe” [2004-10-14 16:55 32768]
“WinampAgent”=“C:\Program Files\Winamp\winampa.exe” [2004-12-20 19:41 33792]
“RemoteControl”=“C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe” [2003-10-31 19:42 32768]
“avgnt”=“C:\Program Files\AntiVir PersonalEdition Premium\avgnt.exe” [2007-04-02 10:35 327720]
[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
“CTFMON.EXE”=“C:\WINDOWS\system32\CTFMON.EXE” [2004-08-03 23:44 15360]
C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\
Adobe Reader Speed Launch.lnk - C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe [2006-10-23 02:48:00 40048]
Adobe Reader Synchronizer.lnk - C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe [2006-10-23 01:01:00 734872]
DSLMON.lnk - C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe [2008-01-03 19:49:13 839680]
Kaspersky Anti-Hacker.lnk - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe [2006-05-11 15:05:33 2195583]
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiHacker]
“DisableMonitoring”=dword:00000001
[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
“EnableFirewall”= 0 (0x0)
[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
“%windir%\system32\sessmgr.exe”=
“C:\Program Files\Gadu-Gadu\gg.exe”=
“C:\Program Files\SopCast\SopCast.exe”=
“C:\Documents and Settings\Rafaello\Dane aplikacji\SopCast\adv\SopAdver.exe”=
“C:\Program Files\SopCast\adv\SopAdver.exe”=
“C:\Program Files\Soulseek\slsk.exe”=
“K:\zainstalowane\BitTorrent\bittorrent.exe”=
R0 Klpf;Klpf;C:\WINDOWS\system32\drivers\Klpf.sys [2006-05-11 15:05]
R0 Klpid;Klpid;C:\WINDOWS\system32\drivers\Klpid.sys [2006-05-11 15:06]
R2 AntiVirMailService;AntiVir PersonalEdition Premium MailGuard;“C:\Program Files\AntiVir PersonalEdition Premium\avmailc.exe” [2007-04-04 11:57]
R2 AVEService;AntiVir PersonalEdition Premium MailGuard helper service;“C:\Program Files\AntiVir PersonalEdition Premium\avesvc.exe” [2007-02-26 11:33]
R3 e4usbaw;USB ADSL2 WAN Adapter;C:\WINDOWS\system32\DRIVERS\e4usbaw.sys [2006-09-19 11:03]
S2 IKANLOADER2;General Purpose USB Driver (e4ldr.sys);C:\WINDOWS\system32\Drivers\e4ldr.sys [2006-09-15 11:07]
S3 AvFlt;Antivirus Filter Driver;C:\WINDOWS\system32\drivers\av5flt.sys []
S3 avfwim;AvFw Packet Filter Miniport;C:\WINDOWS\system32\DRIVERS\avfwim.sys []
S3 PAC207;SoC PC-Camer@;C:\WINDOWS\system32\DRIVERS\pfc027.sys [2005-02-24 12:29]
S3 SetupNTGLM7X;SetupNTGLM7X;D:\NTGLM7X.sys []
S3 USBSTOR;Sterownik magazynu masowego USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 23:08]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{083045e6-c432-11dc-a153-4d6564696130}]
\Shell\AutoRun\command - D:\autorun6e.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{7ee0d30e-da47-11dc-a1c4-4d6564696130}]
\Shell\AutoRun\command - E:\start.exe
*Newly Created Service* - ANTIVIRMAILSERVICE
*Newly Created Service* - ANTIVIRSCHEDULER
*Newly Created Service* - ANTIVIRSERVICE
*Newly Created Service* - AVESERVICE
*Newly Created Service* - AVGIO
*Newly Created Service* - AVGNTFLT
*Newly Created Service* - AVIPBB
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components{7AC5DF9C-0F1C-E2CB-6770-4B2C483A02CD}]
C:\WINDOWS\system32\Systemfiles\taskmgr.exe s
.
Contents of the ‘Scheduled Tasks’ folder
“2008-03-21 16:15:00 C:\WINDOWS\Tasks\1-Click Maintenance.job”
- C:\Program Files\TuneUp Utilities 2007\SystemOptimizer.exe
.
**************************************************************************
catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-21 19:49:33
Windows 5.1.2600 Dodatek Service Pack 2 NTFS
scanning hidden processes …
scanning hidden autostart entries …
scanning hidden files …
scan completed successfully
hidden files: 0
**************************************************************************
.
Completion time: 2008-03-21 19:49:54
ComboFix-quarantined-files.txt 2008-03-21 18:49:52
nie znam sie na tym wiec wyslalem wszystko…prosze o pomoc
sorki ,…nie wiedzialem ze tu nie mozna wklejac…wiec wkleje to tam gdzie jest podane czyli na wklej.org…prosze o pomoc i informuje ze kompletnie sie na tym nie znam…na tych logach itp…
Wklej do notatnika:
>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe)
Jeśli masz pendrive’a lub karte pamieci to sformatuj ją ponieważ może dojść do następnej infekcji pendrive’a.
Poza tym nic nie widzę , widzę że masz zainstalowane 2 antywirusy … Na komputerze może być zainstalowany tylko 1 antywirus , jeśli będzie ich więcej możne nawet dojść do nieuruchomienia się systemu odinstaluj jeden z nich .
Możesz jeszcze podać log z SDFix’a http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Instrukcja obsługi…
Ps. Gdzie Kaspersky wykrywa te wirusy ? Podaj dokładną lokalizację .
jacek006 , a kto sie zna na tym
Coś nie mogę wejść na wklej.org czy mógłbyś wkleić te logi na forum tylko żeby były w tagach Code lub Quote , czyli zaznaczasz cały log i klikasz na Code lub Quote . (Chyba Moderatorzy się nie pogniewają )
wywalilem juz raporty …ale ta stronka wklej.org powinna dzialac za jakis czas bo u mnie tez nie chce sie wlaczac…
Wyłącz i włącz przywracanie systemu na wszystkich dyskach . Jak to zrobić http://support.microsoft.com/kb/310405/pl .
Czy zrobiłeś to o co cię prosiłem : (Wklej do notatnika:…) ?
Jeśli tak to podaj wygenerowany log z ComboFix’a , jeśli nie to zrób to .
Usuń folder SDFix’a i CombiFix’a : C:\ SDFix i C: \ Qoobox.
catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-22 00:11:24
Windows 5.1.2600 Dodatek Service Pack 2 NTFS
scanning hidden processes …
scanning hidden services & system hive …
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
“s1”=dword:2df9c43f
“s2”=dword:110480d0
“h0”=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
“h0”=dword:00000000
“khjeh”=hex:02,98,35,c7,37,f3,24,4d,c4,1f,95,2c,50,c2,c0,53,35,06,1c,cd,06,…
“p0”=“K:\zainstalowane\DAEMON Tools”
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
“a0”=hex:20,01,00,00,18,4a,0b,f3,99,96,13,41,d0,44,f7,a1,9c,5a,4e,5e,3e,…
“khjeh”=hex:d6,23,6c,9e,ce,81,78,d3,bd,69,22,16,15,b8,47,6d,05,87,1b,cb,73,…
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
“khjeh”=hex:81,89,7d,00,bd,31,a5,64,61,a2,64,03,41,ff,5f,a3,13,87,0c,4a,60,…
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
“h0”=dword:00000000
“khjeh”=hex:02,98,35,c7,37,f3,24,4d,c4,1f,95,2c,50,c2,c0,53,35,06,1c,cd,06,…
“p0”=“K:\zainstalowane\DAEMON Tools”
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
“a0”=hex:20,01,00,00,18,4a,0b,f3,99,96,13,41,d0,44,f7,a1,9c,5a,4e,5e,3e,…
“khjeh”=hex:d6,23,6c,9e,ce,81,78,d3,bd,69,22,16,15,b8,47,6d,05,87,1b,cb,73,…
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
“khjeh”=hex:81,89,7d,00,bd,31,a5,64,61,a2,64,03,41,ff,5f,a3,13,87,0c,4a,60,…
scanning hidden registry entries …
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Favorites\A\1\5\1c]
“Order”=hex:08,00,00,00,02,00,00,00,b8,01,00,00,01,00,00,00,04,00,00,00,8c,…
scanning hidden files …
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0
skanowalem spyware detector i tam wyskakuja infekcje ktore program uwaza za krytyczne jest ich troche…a zaden inny spyware ich nie widzi…jako ze nie mam full wersji spyware detector to nie moge ich usunac…natomiast np.spyware doctor ich nie widzi…przez to wszystko posypal mi sie firefox…problemy z logowaniem itp…praktycznie nie dziala …natomiast inne przegladarki dzialaja …dziwne to…
Gdzie je widzi te wirusy ?
Podaj log z ComboFix’a
Czy zrobiłeś to : Wklej do notatnika:
>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe)
To może być zarówno prawidłowa usługa, jak i Rootkit. Ale ponieważ u Ciebie nie widzę programu zainstalowanego 22 marca, który używa prawidłowej usługi, więc, tak na wszelki wypadek:
Sprawdź go na --> http://virusscan.jotti.org/
albo na http://www.virustotal.com/en/indexf.html.
Kosmetyka:
Wklej do Notatnika :
Driver::
spydetector
AvFlt
avfwim
SetupNTGLM7X
>>Plik>>Zapisz jako… >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
–>
Ma się rozpocząć usuwanie. (i powstanie log). Daj ten log, który powstanie w trakcie usuwania.
Jeśli pójdzie dobrze, to: Po restarcie usuń ręcznie folder C:** Qoobox**.
jessi
ok…wywALILEM WSZYSTKIE RZECZY JAK KAZALISCIE…A TERAZ dwie najwazniejsze rzeczy…caly czas mi sie sypie fire fox i zlapalem tagiego wirusa przez ktorego nie bedzie mi dzialal internet jesli nie bede mial zainstalowanego kasperskiego anty hackera…jezeli wylacze kasperskiego to wyskakuje komunikat "wystapil problem z aplikacja genetic host dla win32…nastapi zamkniecie programu " i po tym komunikacie juz nie dziala internet…co mam z tym zrobic???