Wirusy których nie moge sie pozbyć! :(


(Cacao66) #1

Mam problem z wirusami które znajdują sie np. w

C:\Documents and Settings\Łukasz\Ustawienia lokalne\Temp lub C:\Documents and Settings\Łukasz\Ustawienia lokalne\Temporary Internet Files i są to wirusy typu 321.exe albo c1234[1].exe.

Nie moge się ich pozbyc mimo ze mam NOD32(nawet ich nie wykrywa) przez te wirusy mam problem niekiedy z netem i nie moge otworzyc stron w przeglądarce internetowej mimo ze np gg działa.. :frowning: nie wiem co sie dzieje z tym netem i czy ma to związek z tymi wirusami... niekiedy tez pojawia mi sie wirus bezposrednio na dysku C :frowning: co mam robic ??


(Leon$) #2

Zastosuj Malwarebytes' Anti-Malware http://cybertrash.pl/Tata/MBAM/Malwarebytes_%20Anti-Malware.html pełny skan - jak coś znajdzie to usuń zaznaczone - pokaż log

Pobierz Combofix viewtopic.php?f=16&t=36654 przeskanuj system daj log

potem przeskanuj HijackThis 2.02 daj log

kolejność skanowania jak podałem

:slight_smile:


(Cacao66) #3

teraz pojawił mi sie plik na dysku C o nazwie y3q2s3w17m5 i jest to plik typu UTool.exe

OK zrobie tak jak napisałes mam nadzieje ze pomoze, jak nie to format:(

-- Dodane 23.02.2009 (Pn) 21:10 --

Malwarebytes' Anti-Malware 1.34

Wersja bazy definicji: 1797

Windows 5.1.2600 Dodatek Service Pack 2

2009-02-23 21:10:07

mbam-log-2009-02-23 (21-10-07).txt

Typ skanowania: Pełne skanowanie (C:\|D:\|)

Przeskanowane obiekty: 106981

Upłynęło: 20 minute(s), 7 second(s)

Zainfekowane procesy w pamięci: 0

Zainfekowane moduły pamięci: 0

Zainfekowane klucze rejestru: 0

Zainfekowane wartości rejestru: 0

Zainfekowane pliki rejestru: 0

Zainfekowane foldery: 0

Zainfekowane pliki: 0

Zainfekowane procesy w pamięci:

(Nie wykryto groźnych plików)

Zainfekowane moduły pamięci:

(Nie wykryto groźnych plików)

Zainfekowane klucze rejestru:

(Nie wykryto groźnych plików)

Zainfekowane wartości rejestru:

(Nie wykryto groźnych plików)

Zainfekowane pliki rejestru:

(Nie wykryto groźnych plików)

Zainfekowane foldery:

(Nie wykryto groźnych plików)

Zainfekowane pliki:

(Nie wykryto groźnych plików)

-- Dodane 23.02.2009 (Pn) 21:20 --

ComboFix 09-02-21.01 - Łukasz 2009-02-23 21:17:18.1 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.1014.502 [GMT 1:00]

Uruchomiony z: c:\documents and settings\Łukasz\Pulpit\ComboFix.exe

AV: ESET NOD32 Antivirus 3.0 *On-access scanning disabled* (Updated)

* Utworzono nowy punkt przywracania

.

((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\windows\Temp\62157.exe

.

((((((((((((((((((((((((( Pliki utworzone od 2009-01-23 do 2009-02-23 )))))))))))))))))))))))))))))))

.

2009-02-23 20:43 . 2009-02-23 20:43

2009-02-23 20:43 . 2009-02-23 20:43

2009-02-23 20:43 . 2009-02-23 20:43

2009-02-23 20:43 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys

2009-02-23 20:43 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys

2009-02-23 20:24 . 2009-02-23 20:24 26,157 --a------ C:\y3q2s3w17m5.exe

2009-02-23 15:30 . 2009-02-23 20:51

2009-02-23 15:30 . 2009-02-23 20:51

2009-02-23 13:47 . 2009-02-23 13:47

2009-02-23 13:47 . 2009-02-23 13:47

2009-02-23 13:18 . 2009-02-23 13:18

2009-02-20 22:50 . 2009-02-20 22:50

2009-02-20 22:50 . 2003-03-18 21:20 1,060,864 --a------ c:\windows\system32\MFC71.dll

2009-02-20 22:50 . 2003-03-18 20:14 499,712 --a------ c:\windows\system32\MSVCP71.dll

2009-02-19 08:05 . 2009-02-19 08:05 723,968 -r-hs---- c:\windows\system32\drivers\WinMgmt.exe

2009-02-17 12:54 . 2009-02-17 12:54 677,888 -r-hs---- c:\windows\system32\drivers\NirCmd.exe

2009-02-07 22:56 . 2009-02-07 22:56

2009-02-07 22:56 . 2009-02-08 11:11

2009-02-07 14:23 . 2009-02-07 14:23

.

(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-02-23 20:17 --------- d-----w c:\documents and settings\Łukasz\Dane aplikacji\DNA

2009-02-23 19:53 --------- d-----w c:\program files\DAEMON Tools Lite

2009-02-23 19:37 --------- d-----w c:\program files\DNA

2009-02-23 12:29 --------- d-----w c:\documents and settings\All Users\Dane aplikacji\Avira

2009-02-23 09:46 --------- d-----w c:\documents and settings\All Users\Dane aplikacji\Google Updater

2009-02-19 12:42 --------- d-----w c:\documents and settings\Łukasz\Dane aplikacji\Winamp

2009-02-15 13:16 --------- d-----w c:\documents and settings\Łukasz\Dane aplikacji\BitTorrent

2009-02-07 13:20 --------- d-----w c:\documents and settings\Łukasz\Dane aplikacji\Skype

2009-02-07 13:16 --------- d-----w c:\documents and settings\Łukasz\Dane aplikacji\skypePM

2009-02-07 13:06 --------- d---a-w c:\documents and settings\All Users\Dane aplikacji\Sports Interactive

2009-01-21 17:40 --------- d-----w c:\program files\Google

2009-01-17 21:02 --------- d--h--w c:\program files\InstallShield Installation Information

2009-01-17 20:48 163,644 ----a-w c:\windows\system32\drivers\secdrv.sys

2008-12-15 09:10 21,840 ----atw c:\windows\system32\SIntfNT.dll

2008-12-15 09:10 17,212 ----atw c:\windows\system32\SIntf32.dll

2008-12-15 09:10 12,067 ----atw c:\windows\system32\SIntf16.dll

.

-- Dodane 23.02.2009 (Pn) 21:27 --

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 21:24:02, on 2009-02-23

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\WINDOWS\system32\igfxsrvc.exe

C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe

C:\Program Files\Java\jre6\bin\jusched.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\DNA\btdna.exe

C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe

C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\WINDOWS\system32\imapi.exe

C:\WINDOWS\explorer.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\WinRAR\WinRAR.exe

C:\DOCUME~1\UKASZ~1\USTAWI~1\Temp\Rar$EX00.312\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - URLSearchHook: Winamp Search Class - {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Program Files\Winamp Toolbar\winamptb.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files\Winamp Toolbar\winamptb.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL

O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll

O4 - HKLM..\Run: [AzMixerSel] C:\Program Files\Realtek\InstallShield\AzMixerSel.exe

O4 - HKLM..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM..\Run: [synTPStart] C:\Program Files\Synaptics\SynTP\SynTPStart.exe

O4 - HKLM..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKLM..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice

O4 - HKCU..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun

O4 - HKCU..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray

O4 - HKCU..\Run: [bitTorrent DNA] "C:\Program Files\DNA\btdna.exe"

O4 - HKUS\S-1-5-18..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS.DEFAULT..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe

O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe

O8 - Extra context menu item: &Winamp Search - C:\Documents and Settings\All Users\Dane aplikacji\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html

O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Wyślij do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: Wyślij &do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe

O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: WinSoft Service Controler - Unknown owner - C:\WINDOWS\system32\drivers\WinMgmt.exe (file missing)

--

End of file - 6036 bytes


(jessica) #4

Log z ComboFixa nie jest cały.

Wklej do Notatnika :

File::

C:\y3q2s3w17m5.exe

>>Plik>>Zapisz jako... >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

-->cfscript10gm1.gif

Ma się rozpocząć usuwanie. (i powstanie log).

Daj ten log, który powstanie w trakcie usuwania.

jessi


(Cacao66) #5

ComboFix 09-02-21.01 - Łukasz 2009-02-24 0:13:05.2 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.1014.409 [GMT 1:00]

Uruchomiony z: d:\programy\ComboFix.exe

Użyto następujących komend :: c:\documents and settings\Łukasz\Pulpit\CFScript.txt

AV: ESET NOD32 Antivirus 3.0 *On-access scanning disabled* (Updated)

* Utworzono nowy punkt przywracania

FILE ::

C:\y3q2s3w17m5.exe

.

((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\y3q2s3w17m5.exe

.

((((((((((((((((((((((((( Pliki utworzone od 2009-01-23 do 2009-02-23 )))))))))))))))))))))))))))))))

.

2009-02-23 20:43 . 2009-02-23 20:43

2009-02-23 20:43 . 2009-02-23 20:43

2009-02-23 20:43 . 2009-02-23 20:43

2009-02-23 20:43 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys

2009-02-23 20:43 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys

2009-02-23 15:30 . 2009-02-24 00:12

2009-02-23 15:30 . 2009-02-24 00:12

2009-02-23 13:47 . 2009-02-23 13:47

2009-02-23 13:47 . 2009-02-23 13:47

2009-02-23 13:18 . 2009-02-23 13:18

2009-02-20 22:50 . 2009-02-20 22:50

2009-02-20 22:50 . 2003-03-18 21:20 1,060,864 --a------ c:\windows\system32\MFC71.dll

2009-02-20 22:50 . 2003-03-18 20:14 499,712 --a------ c:\windows\system32\MSVCP71.dll

2009-02-17 12:54 . 2009-02-17 12:54 677,888 -r-hs---- c:\windows\system32\drivers\NirCmd.exe

2009-02-07 22:56 . 2009-02-07 22:56

2009-02-07 22:56 . 2009-02-08 11:11

2009-02-07 14:23 . 2009-02-07 14:23

.

(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-02-23 23:07 --------- d-----w c:\documents and settings\Łukasz\Dane aplikacji\DNA

2009-02-23 19:53 --------- d-----w c:\program files\DAEMON Tools Lite

2009-02-23 19:37 --------- d-----w c:\program files\DNA

2009-02-23 12:29 --------- d-----w c:\documents and settings\All Users\Dane aplikacji\Avira

2009-02-23 09:46 --------- d-----w c:\documents and settings\All Users\Dane aplikacji\Google Updater

2009-02-19 12:42 --------- d-----w c:\documents and settings\Łukasz\Dane aplikacji\Winamp

2009-02-15 13:16 --------- d-----w c:\documents and settings\Łukasz\Dane aplikacji\BitTorrent

2009-02-07 13:20 --------- d-----w c:\documents and settings\Łukasz\Dane aplikacji\Skype

2009-02-07 13:16 --------- d-----w c:\documents and settings\Łukasz\Dane aplikacji\skypePM

2009-02-07 13:06 --------- d---a-w c:\documents and settings\All Users\Dane aplikacji\Sports Interactive

2009-01-21 17:40 --------- d-----w c:\program files\Google

2009-01-17 21:02 --------- d--h--w c:\program files\InstallShield Installation Information

2009-01-17 20:48 163,644 ----a-w c:\windows\system32\drivers\secdrv.sys

2008-12-15 09:10 21,840 ----atw c:\windows\system32\SIntfNT.dll

2008-12-15 09:10 17,212 ----atw c:\windows\system32\SIntf32.dll

2008-12-15 09:10 12,067 ----atw c:\windows\system32\SIntf16.dll

.

((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]

"{57BCA5FA-5DBB-45a2-B558-1755C3F6253B}"= "c:\program files\Winamp Toolbar\winamptb.dll" [2008-07-16 1266992]

[HKEY_CLASSES_ROOT\clsid{57bca5fa-5dbb-45a2-b558-1755c3f6253b}]

[HKEY_CLASSES_ROOT\WINAMPTB.AOLTBSearch.1]

[HKEY_CLASSES_ROOT\TypeLib{538CD77C-BFDD-49b0-9562-77419CAB89D1}]

[HKEY_CLASSES_ROOT\WINAMPTB.AOLTBSearch]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-03 15360]

"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" [2008-02-14 486856]

"Gadu-Gadu"="c:\program files\Gadu-Gadu\gg.exe" [2008-03-20 2127296]

"BitTorrent DNA"="c:\program files\DNA\btdna.exe" [2008-12-16 342848]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"AzMixerSel"="c:\program files\Realtek\InstallShield\AzMixerSel.exe" [2008-07-01 53248]

"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-04-21 142104]

"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-04-21 162584]

"Persistence"="c:\windows\system32\igfxpers.exe" [2007-04-21 138008]

"SynTPStart"="c:\program files\Synaptics\SynTP\SynTPStart.exe" [2007-09-07 102400]

"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016]

"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-10-27 136600]

"egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2008-07-01 1447168]

"RTHDCPL"="RTHDCPL.EXE" [2008-07-01 c:\windows\RTHDCPL.exe]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360]

c:\documents and settings\All Users\Menu Start\Programy\Autostart\

Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe [2006-10-23 40048]

Adobe Reader Synchronizer.lnk - c:\program files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe [2006-10-23 734872]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"msacm.ac3filter"= ac3filter.acm

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusDisableNotify"=dword:00000001

"UpdatesDisableNotify"=dword:00000001

"AntiVirusOverride"=dword:00000001

"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\system32\sessmgr.exe"=

"c:\Program Files\DNA\btdna.exe"=

"c:\Program Files\BitTorrent\bittorrent.exe"=

"c:\WINDOWS\system32\dplaysvr.exe"=

"d:\Gry\Soldat\Soldat.exe"=

"d:\Gry\Age Of Empires 2\age2_x1.exe"=

"c:\Program Files\Gadu-Gadu\gg.exe"=

"d:\Gry\CS\hl.exe"=

"c:\Program Files\Skype\Phone\Skype.exe"=

"d:\Gry\C-S\hl.exe"=

R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [2008-07-01 34312]

R2 ekrn;Eset Service;c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe [2008-07-01 468224]

S2 WinSoft Service Controler;WinSoft Service Controler;"c:\windows\system32\drivers\WinMgmt.exe" --> c:\windows\system32\drivers\WinMgmt.exe [?]

S3 WRSWanDD;WinPoET PPPoE Adapter;c:\windows\system32\drivers\WrKPoETNic2000.sys [2008-07-24 65604]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{975b07ac-8626-11dd-8663-001f3a67a359}]

\Shell\AutoRun\command - G:\cv22.cmd

\Shell\open\Command - G:\cv22.cmd

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{c2f9d2f8-b7f9-11dd-8725-9659897bcb38}]

\Shell\AutoRun\command - G:\wada.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{c5b14467-ca7b-11dd-8761-001f3a67a359}]

\Shell\AutoRun\command - 3rl3lqbq.bat

\Shell\explore\Command - 3rl3lqbq.bat

\Shell\open\Command - 3rl3lqbq.bat

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{e7f1a272-75fd-11dd-863d-001f3a67a359}]

\Shell\AutoRun\command - G:\0u.cmd

\Shell\explore\Command - G:\0u.cmd

\Shell\open\Command - G:\0u.cmd

.

.

------- Skan uzupełniający -------

.

uStart Page = hxxp://www.google.pl/

uInternet Connection Wizard,ShellNext = iexplore

IE: &Winamp Search - c:\documents and settings\All Users\Dane aplikacji\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html

IE: E&ksportuj do programu Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

FF - ProfilePath - c:\documents and settings\Łukasz\Dane aplikacji\Mozilla\Firefox\Profiles\kwbpud9z.default\

FF - prefs.js: browser.search.defaulturl - hxxp://slirsredirect.search.aol.com/sli ... ie7&query=

FF - prefs.js: browser.search.selectedEngine - Google

FF - prefs.js: keyword.URL - hxxp://slirsredirect.search.aol.com/sli ... pab&query=

FF - component: c:\documents and settings\Łukasz\Dane aplikacji\Mozilla\Firefox\Profiles\kwbpud9z.default\extensions{0b38152b-1b20-484d-a11f-5e04a9b0661f}\components\WinampTBPlayer.dll

FF - plugin: c:\program files\Google\Google Updater\2.4.1439.6872\npCIDetect13.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\npbittorrent.dll

.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-02-24 00:14:15

Windows 5.1.2600 Dodatek Service Pack 2 NTFS

skanowanie ukrytych procesów ...

skanowanie ukrytych wpisów autostartu ...

skanowanie ukrytych plików ...

skanowanie pomyślnie ukończone

ukryte pliki: 0

**************************************************************************

.

Czas ukończenia: 2009-02-24 0:15:12

ComboFix-quarantined-files.txt 2009-02-23 23:15:09

ComboFix2.txt 2009-02-23 20:19:22

Przed: 25 368 039 424 bajtów wolnych

Po: 25,357,283,328 bajtów wolnych

151


(jessica) #6

Sprawdź, czy masz ten plik (w tej lokalizacji).

Jeśli masz, to wykonaj poniższy Script.

Jeśli nie masz, to nie wykonuj, bo może trzeba będzie podmienić/przesunąć plik.

W każdym przypadku sprawdź

na --> JOTTI/

albo na VIRUSTOTAL.

Wklej do Notatnika :

File::

c:\windows\system32\drivers\NirCmd.exe

c:\windows\system32\drivers\WinMgmt.exe


Driver::

"WinSoft Service Controler"


Registry::

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{975b07ac-8626-11dd-8663-001f3a67a359}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c2f9d2f8-b7f9-11dd-8725-9659897bcb38}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c5b14467-ca7b-11dd-8761-001f3a67a359}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e7f1a272-75fd-11dd-863d-001f3a67a359}]

>>Plik>>Zapisz jako... >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

-->cfscript10gm1.gif

Ma się rozpocząć usuwanie. (i powstanie log).

Daj ten log, który powstanie w trakcie usuwania.

EDIT:

Nie zapomnij o tym, by log wkleić na http://wklejto.pl/ , a tu dać tylko link.

jessi


(Cacao66) #7

nie mam tych plików na swoim komputerze... więc co mam teraz zrobić ??

mam robić to z tym notatnikiem i ComboFix'em??


(jessica) #8

Skoro w ogóle nie masz tych obu plików, to wykonaj Script, i tak nie usunie prawidłowego pliku, skoro już go nie ma.

jessi


(Cacao66) #9

wykonałem ten script i wyszedł teraz taki log: http://wklejto.pl/27318


(jessica) #10

Wg mnie - log jest czysty.

Usuń ręcznie folder C:**** Qoobox.

jessi


(Cacao66) #11

ok... dziękuje bardzo za pomoc :slight_smile: Pozdrawiam