Wirusy w kompie co robic?

system · 18 Październik 2008 18:27

mam jakies wirusy. avast wykryl kilka - wrzucilam do kwarantanny. ale dalej komp nie chodzil jak powinien - wskakuja okna, windows caly czas pokazuje ze system zagrozony. wylaczylam avasta. wgralam spywere doctora - znlazl - kazalam naprawic. okna juz nie wskakuja ale system caly czas pokazuje ze zagrozony. zrobilam skan on line kaspersky. dostalam taki raport:

KASPERSKY ONLINE SCANNER REPORT

16 październik 2008 22:32:09

System operacyjny: Microsoft Windows XP Professional, Dodatek Service Pack 2 (Build 2600)

Kaspersky Online Scanner wersja: 5.0.98.1

Ostatnia aktualizacja Kaspersky Anti-Virus16/10/2008

Liczba wpisów w bazie danych Kaspersky Anti-Virus1316742

Ustawienia skanowania

Skanowanie przy użyciu następujących baz danych rozszerzone

Skanuj archiwa tak

Skanuj pocztowe bazy danych tak

Obszar skanowania Obszary krytyczne

C:\WINDOWS

C:\DOCUME~1\ada\USTAWI~1\Temp\

Statystyki skanowania

Liczba skanowanych obiektów 19784

Liczba wykrytych wirusów 4

Liczba zainfekowanych obiektów 19

Liczba podejrzanych obiektów 0

Czas trwania skanowania 01:09:02

Nazwa zainfekowanego obiektu Nazwa wirusa Ostatnie działanie

C:\WINDOWS\Debug\PASSWD.LOG Object is locked pominięty

C:\WINDOWS\SchedLgU.Txt Object is locked pominięty

C:\WINDOWS\system32\awtuvtQh.dll Zainfekowanych: Trojan.Win32.Monderb.tyy pominięty

C:\WINDOWS\system32\cbXQgEwu.dll Zainfekowanych: Trojan.Win32.Monderb.tyy pominięty

C:\WINDOWS\system32\config\Antivirus.Evt Object is locked pominięty

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked pominięty

C:\WINDOWS\system32\config\default Object is locked pominięty

C:\WINDOWS\system32\config\default.LOG Object is locked pominięty

C:\WINDOWS\system32\config\Internet.evt Object is locked pominięty

C:\WINDOWS\system32\config\SAM Object is locked pominięty

C:\WINDOWS\system32\config\SAM.LOG Object is locked pominięty

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked pominięty

C:\WINDOWS\system32\config\SECURITY Object is locked pominięty

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked pominięty

C:\WINDOWS\system32\config\software Object is locked pominięty

C:\WINDOWS\system32\config\software.LOG Object is locked pominięty

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked pominięty

C:\WINDOWS\system32\config\system Object is locked pominięty

C:\WINDOWS\system32\config\system.LOG Object is locked pominięty

C:\WINDOWS\system32\drivers\sptd.sys Object is locked pominięty

C:\WINDOWS\system32\efcYqPHY.dll Zainfekowanych: Trojan.Win32.Monder.tdo pominięty

C:\WINDOWS\system32\fhyweiyv.dll Zainfekowanych: not-a-virus:AdWare.Win32.SuperJuan.ekt pominięty

C:\WINDOWS\system32\geBrrSJd.dll Zainfekowanych: Trojan.Win32.Monderb.tyy pominięty

C:\WINDOWS\system32\h323log.txt Object is locked pominięty

C:\WINDOWS\system32\hgGyabcB.dll Zainfekowanych: Trojan.Win32.Monderb.tyy pominięty

C:\WINDOWS\system32\ljJBqonk.dll Zainfekowanych: Trojan.Win32.Monderb.tyy pominięty

C:\WINDOWS\system32\mcqgds.dll Zainfekowanych: not-a-virus:AdWare.Win32.SuperJuan.ekt pominięty

C:\WINDOWS\system32\mlJDvSJC.dll Zainfekowanych: Trojan.Win32.Monderb.tyy pominięty

C:\WINDOWS\system32\mlJYstSK.dll Zainfekowanych: Trojan.Win32.Monderb.tyy pominięty

C:\WINDOWS\system32\opnomJde.dll Zainfekowanych: Trojan.Win32.Monderb.tyy pominięty

C:\WINDOWS\system32\qduayivm.dll Zainfekowanych: not-a-virus:AdWare.Win32.SuperJuan.ekt pominięty

C:\WINDOWS\system32\tuvUOHAr.dll Zainfekowanych: Trojan.Win32.Monderb.tyy pominięty

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked pominięty

C:\WINDOWS\system32\yaywtQKD.dll Zainfekowanych: Trojan.Win32.Monderb.tyy pominięty

C:\WINDOWS\system32\zmjgaq.dll Zainfekowanych: not-a-virus:AdWare.Win32.SuperJuan.ekt pominięty

C:\WINDOWS\Temp\Perflib_Perfdata_640.dat Object is locked pominięty

C:\DOCUME~1\ada\USTAWI~1\Temp\tmp6.tmp Zainfekowanych: Trojan-Downloader.Win32.Agent.ahcg pominięty

C:\DOCUME~1\ada\USTAWI~1\Temp\tmpA.tmp Zainfekowanych: Trojan-Downloader.Win32.Agent.ahcg pominięty

C:\DOCUME~1\ada\USTAWI~1\Temp\tmpB.tmp Zainfekowanych: Trojan-Downloader.Win32.Agent.ahcg pominięty

C:\DOCUME~1\ada\USTAWI~1\Temp\tmpE.tmp Zainfekowanych: Trojan-Downloader.Win32.Agent.ahcg pominięty

Proces skanowania został zakończony.

Co z tym zrobic?

Leon1 · 18 Październik 2008 18:35

pobierz i zastosuj ATF Cleaner http://cybertrash.pl/images/tata/ATF/ATF.html

Wyłącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

Pobierz Combofix http://www.searchengines.pl/index.php?s … ntry395642 ale nie włączaj.

Podczas pobierania i skanu Combofixem proszę wyłączyć wszelkie zapory i antywirusy

Otwórz notatnik i wklej

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri … iemoes.gif

Powinno rozpocząć się usuwanie

Potem log z usuwania Combofix

system · 18 Październik 2008 19:02

combofix wyswietlil komunikat ze komputer nie ma zainstalowanej konsoli odzyskiwania systemu windows i pyta czy zainstalowac - co robic?

system · 18 Październik 2008 19:06

jestem kompletnie zielona i tak cud ze zrobilam wszystkie poprzednie polecenia co teraz ?? pomocy!

system · 18 Październik 2008 19:34

zainstalowalam to o co pytal combofix oto raport:

ComboFix 08-10-17.01 - ada 2008-10-18 21:23:51.1 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.1406 [GMT 2:00]

Uruchomiony z: C:\Documents and Settings\ada\Pulpit\ComboFix.exe

Użyto następujących komend :: C:\Documents and Settings\ada\Pulpit\CFScript.txt

* Utworzono nowy punkt przywracania

UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA

.

((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\Program Files\myglobalsearch

C:\Program Files\myglobalsearch\bar\1.bin\M9FFXTBR.JAR

C:\Program Files\myglobalsearch\bar\1.bin\M9FFXTBR.MANIFEST

C:\Program Files\myglobalsearch\bar\1.bin\M9NTSTBR.JAR

C:\Program Files\myglobalsearch\bar\1.bin\M9NTSTBR.MANIFEST

C:\Program Files\myglobalsearch\bar\1.bin\M9PLUGIN.DLL

C:\Program Files\myglobalsearch\bar\1.bin\MGSBAR.DLL

C:\Program Files\myglobalsearch\bar\1.bin\NPMYGLSH.DLL

C:\Program Files\myglobalsearch\bar\Cache\01CC4539

C:\Program Files\myglobalsearch\bar\Cache\031A3041.bin

C:\Program Files\myglobalsearch\bar\Cache\031A3A44.bin

C:\Program Files\myglobalsearch\bar\Cache\031A464A.bin

C:\Program Files\myglobalsearch\bar\Cache\files.ini

C:\Program Files\myglobalsearch\bar\History\search

C:\Program Files\myglobalsearch\bar\Settings\prevcfg.htm

C:\resycled

C:\resycled\boot.com

C:\WINDOWS\system32\fhyweiyv.dll

C:\WINDOWS\system32\gpwojvvn.exe

C:\WINDOWS\system32\gyfbekhi.ini

C:\WINDOWS\system32\htknduei.exe

C:\WINDOWS\system32\mcqgds.dll

C:\WINDOWS\system32\odnykqst.ini

C:\WINDOWS\system32\qduayivm.dll

C:\WINDOWS\system32\qwinwvcm.dll

C:\WINDOWS\system32\tmqvjocv.ini

C:\WINDOWS\system32\YHPqYcfe.ini

C:\WINDOWS\system32\YHPqYcfe.ini2

C:\WINDOWS\system32\zmjgaq.dll

D:\Autorun.inf

E:\Autorun.inf

.

((((((((((((((((((((((((( Pliki utworzone od 2008-09-18 do 2008-10-18 )))))))))))))))))))))))))))))))

.

2008-10-16 23:36 . 2008-10-16 23:41

2008-10-16 23:36 . 2008-10-16 23:36

2008-10-16 23:36 . 2008-08-25 12:36 81,288 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys

2008-10-16 23:36 . 2008-08-25 12:36 66,952 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys

2008-10-16 23:36 . 2008-08-25 12:36 40,840 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys

2008-10-16 23:36 . 2008-06-02 16:19 29,576 --a------ C:\WINDOWS\system32\drivers\kcom.sys

2008-10-16 22:49 . 2008-10-16 22:49

2008-10-16 20:38 . 2008-10-16 20:38

2008-10-15 22:52 . 2008-10-16 19:57

2008-10-15 18:29 . 2004-08-03 22:31 20,992 --a------ C:\WINDOWS\system32\drivers\RTL8139.sys

2008-10-15 18:29 . 2004-08-03 22:31 20,992 --a–c— C:\WINDOWS\system32\dllcache\rtl8139.sys

2008-10-15 11:32 . 2008-10-15 11:32

2008-10-15 11:32 . 2008-10-15 11:32 34,816 --a------ C:\WINDOWS\system32\tuvUOHAr.dll

2008-10-15 11:32 . 2008-10-15 11:32 34,816 --a------ C:\WINDOWS\system32\opnomJde.dll

2008-10-15 11:32 . 2008-10-15 11:32 34,816 --a------ C:\WINDOWS\system32\mlJYstSK.dll

2008-10-15 11:32 . 2008-10-15 11:32 34,816 --a------ C:\WINDOWS\system32\mlJDvSJC.dll

2008-10-15 11:32 . 2008-10-15 11:32 34,816 --a------ C:\WINDOWS\system32\ljJBqonk.dll

2008-10-15 11:32 . 2008-10-15 11:32 34,816 --a------ C:\WINDOWS\system32\hgGyabcB.dll

2008-10-15 11:32 . 2008-10-15 11:32 34,816 --a------ C:\WINDOWS\system32\geBrrSJd.dll

2008-10-15 11:32 . 2008-10-15 11:32 34,816 --a------ C:\WINDOWS\system32\cbXQgEwu.dll

2008-10-15 11:32 . 2008-10-15 11:32 34,816 --a------ C:\WINDOWS\system32\awtuvtQh.dll

2008-10-04 15:42 . 2008-09-27 17:43 2,645 --a------ C:\WINDOWS\system32\CONFIG.NT.ORGIPS

2008-10-04 15:42 . 2001-10-26 15:45 1,734 --a------ C:\WINDOWS\system32\AUTOEXEC.NT.ORGIPS

2008-10-04 15:39 . 2008-10-04 15:39

2008-10-04 15:21 . 2008-10-04 15:21

2008-10-02 11:37 . 2008-10-02 11:37

2008-10-02 11:28 . 2008-10-16 01:37

2008-09-30 12:42 . 2008-10-16 16:39 140 --a------ C:\WINDOWS\winamp.ini

2008-09-29 18:06 . 2003-06-12 23:25 7,062 --a------ C:\WINDOWS\system32\audiopid.vxd

2008-09-29 18:05 . 2008-09-29 18:08

2008-09-29 18:04 . 2008-09-29 18:04

2008-09-29 18:03 . 2006-08-30 07:10 158,456 --------- C:\WINDOWS\system32\pxwma.dll

2008-09-29 18:03 . 2006-08-30 07:10 36,528 --------- C:\WINDOWS\system32\drivers\PxHelp20.sys

2008-09-29 18:03 . 2006-08-30 07:10 2,560 --------- C:\WINDOWS\system32\drivers\cdralw2k.sys

2008-09-29 18:03 . 2006-08-30 07:10 2,432 --------- C:\WINDOWS\system32\drivers\cdr4_xp.sys

2008-09-29 18:02 . 2008-09-29 18:02

2008-09-29 18:01 . 2008-09-29 18:01

2008-09-29 15:57 . 2008-09-29 15:57

2008-09-29 15:22 . 2006-05-16 08:25 77,824 -ra------ C:\WINDOWS\system32\hpzids01.dll

2008-09-29 15:22 . 2006-06-03 21:29 48,640 --a------ C:\WINDOWS\system32\hpzll4pi.dll

2008-09-29 00:23 . 2004-08-04 00:44 221,184 --a------ C:\WINDOWS\system32\wmpns.dll

2008-09-28 20:04 . 2004-08-03 23:07 59,264 --a------ C:\WINDOWS\system32\drivers\USBAUDIO.sys

2008-09-28 20:04 . 2004-08-03 23:07 59,264 --a–c— C:\WINDOWS\system32\dllcache\usbaudio.sys

2008-09-27 22:25 . 2008-09-27 23:17

2008-09-27 22:16 . 2008-06-14 20:01 273,024 --------- C:\WINDOWS\system32\drivers\bthport.sys

2008-09-27 22:16 . 2008-06-14 20:01 273,024 -----c— C:\WINDOWS\system32\dllcache\bthport.sys

2008-09-27 22:07 . 2008-09-29 00:28

2008-09-27 19:55 . 2008-09-27 19:55

2008-09-27 19:55 . 2008-06-10 02:32 73,728 --a------ C:\WINDOWS\system32\javacpl.cpl

2008-09-27 19:54 . 2008-09-27 19:55

2008-09-27 19:22 . 2008-10-17 21:07 69 --a------ C:\WINDOWS\NeroDigital.ini

2008-09-27 18:14 . 2008-09-27 18:14 1,169 --a------ C:\WINDOWS\mozver.dat

2008-09-27 17:42 . 2003-03-18 22:20 1,060,864 --a------ C:\WINDOWS\system32\MFC71.dll

2008-09-27 17:42 . 2003-03-18 21:14 499,712 --a------ C:\WINDOWS\system32\MSVCP71.dll

2008-09-27 17:42 . 2003-02-21 05:42 348,160 --a------ C:\WINDOWS\system32\MSVCR71.dll

2008-09-27 17:24 . 2008-09-27 17:24 0 --a------ C:\WINDOWS\nsreg.dat

2008-09-27 17:11 . 2008-10-18 20:52

2008-09-27 16:16 . 2006-06-22 05:03 56 --a------ C:\ut9x.bat

2008-09-27 16:16 . 2006-06-19 23:08 54 --a------ C:\ut.bat

2008-09-27 15:13 . 2004-08-04 00:44 21,504 --a------ C:\WINDOWS\system32\hidserv.dll

2008-09-27 15:13 . 2004-08-04 00:44 21,504 --a–c— C:\WINDOWS\system32\dllcache\hidserv.dll

2008-09-27 15:13 . 2004-08-04 00:38 14,848 --a------ C:\WINDOWS\system32\drivers\kbdhid.sys

2008-09-27 15:13 . 2004-08-04 00:38 14,848 --a–c— C:\WINDOWS\system32\dllcache\kbdhid.sys

2008-09-27 15:13 . 2001-10-26 16:57 12,160 --a------ C:\WINDOWS\system32\drivers\mouhid.sys

2008-09-27 15:13 . 2001-10-26 16:57 12,160 --a–c— C:\WINDOWS\system32\dllcache\mouhid.sys

2008-09-27 15:12 . 2004-08-03 23:08 31,616 --a------ C:\WINDOWS\system32\drivers\usbccgp.sys

2008-09-27 15:12 . 2004-08-03 23:08 31,616 --a–c— C:\WINDOWS\system32\dllcache\usbccgp.sys

2008-09-27 15:12 . 2004-08-03 23:01 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys

2008-09-27 15:12 . 2004-08-03 23:01 25,856 --a–c— C:\WINDOWS\system32\dllcache\usbprint.sys

2008-09-27 15:12 . 2001-08-17 22:02 9,600 --a------ C:\WINDOWS\system32\drivers\hidusb.sys

2008-09-27 15:12 . 2001-08-17 22:02 9,600 --a–c— C:\WINDOWS\system32\dllcache\hidusb.sys

2008-09-27 14:30 . 2008-10-11 21:10

2008-09-27 14:28 . 2008-09-27 14:28

2008-09-27 14:26 . 2008-09-27 14:26

2008-09-27 14:02 . 2008-09-27 14:02

2008-09-27 14:01 . 2008-09-27 14:01

2008-09-27 13:58 . 2008-10-14 22:42

2008-09-27 13:57 . 2008-09-27 13:57

2008-09-27 13:57 . 2008-09-27 13:58

2008-09-27 13:56 . 2008-09-27 13:56

2008-09-27 11:51 . 2008-10-17 00:07

2008-09-27 11:49 . 2008-09-27 11:49

2008-09-27 11:47 . 2008-09-27 11:47

2008-09-27 11:46 . 2008-09-27 11:46

2008-09-27 11:46 . 2008-09-27 13:57

2008-09-27 11:46 . 2008-09-27 11:46

2008-09-27 11:45 . 2008-09-27 11:46

2008-09-27 11:45 . 2008-09-27 11:45

2008-09-27 11:26 . 2008-09-27 11:26

2008-09-27 11:26 . 2008-09-29 16:03

2008-09-27 11:26 . 2008-09-27 11:26

2008-09-27 11:26 . 2008-10-04 15:42

2008-09-27 11:26 . 2008-09-27 11:26

2008-09-27 11:26 . 2008-10-16 15:32

2008-09-27 11:26 . 2008-09-27 11:26

2008-09-27 11:26 . 2008-09-27 14:01

2008-09-27 11:26 . 2008-09-27 11:26

2008-09-27 11:25 . 2008-09-27 11:26

2008-09-27 11:25 . 2008-09-27 11:25

2008-09-27 11:25 . 2008-09-27 14:30

2008-09-27 11:25 . 2008-09-27 11:25

.

(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-09-27 11:56 2,560 ----a-w C:\WINDOWS\system32\BitCometRes.dll

2008-09-27 09:02 315,392 ----a-w C:\WINDOWS\HideWin.exe

2008-09-26 18:15 --------- d-----w C:\Program Files\microsoft frontpage

2008-09-26 18:13 --------- d-----w C:\Program Files\Usługi online

2008-07-25 08:34 81,920 ----a-w C:\WINDOWS\system32\dpl100.dll

2008-07-25 08:34 683,520 ----a-w C:\WINDOWS\system32\divx.dll

2008-07-23 16:50 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll

2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll

2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe

2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll

2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll

2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll

2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll

2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll

2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll

.

((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))

.

*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“CTFMON.EXE”=“C:\WINDOWS\system32\ctfmon.exe” [2004-08-04 15360]

“DAEMON Tools Lite”=“C:\Program Files\DAEMON Tools Lite\daemon.exe” [2008-02-14 486856]

“Creative Live! Cam Manager”=“C:\Program Files\Creative\Creative Live! Cam\Live! Cam Manager\CTLCMgr.exe” [2007-06-07 155648]

“Skype”=“C:\Program Files\Skype\Phone\Skype.exe” [2008-08-12 21741864]

“swg”=“C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe” [2008-10-15 171448]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“NvCplDaemon”=“C:\WINDOWS\system32\NvCpl.dll” [2008-05-03 13529088]

“NvMediaCenter”=“C:\WINDOWS\system32\NvMcTray.dll” [2008-05-03 86016]

“NeroFilterCheck”=“C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe” [2006-01-12 155648]

“SunJavaUpdateSched”=“C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe” [2008-06-10 144784]

“V0420Mon.exe”=“C:\WINDOWS\V0420Mon.exe” [2007-04-30 32768]

“Adobe Reader Speed Launcher”=“C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe” [2008-01-11 39792]

“High Definition Audio Property Page Shortcut”=“HDAShCut.exe” [2005-01-07 C:\WINDOWS\system32\HdAShCut.exe]

“RTHDCPL”=“RTHDCPL.EXE” [2007-02-26 C:\WINDOWS\RTHDCPL.exe]

“SkyTel”=“SkyTel.EXE” [2006-05-16 C:\WINDOWS\SkyTel.exe]

“nwiz”=“nwiz.exe” [2008-05-03 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

“CTFMON.EXE”=“C:\WINDOWS\system32\CTFMON.EXE” [2004-08-04 15360]

C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\

Printkey2000.lnk - C:\Program Files\PrintKey2000\Printkey2000.exe [2008-09-27 869376]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]

–a------ 2006-12-23 18:05 143360 C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe

[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

“%windir%\system32\sessmgr.exe”=

“C:\Program Files\SightSpeed\SightSpeed.exe”=

“C:\Program Files\BitComet\BitComet.exe”=

“C:\Program Files\Gadu-Gadu\gg.exe”=

“%windir%\Network Diagnostic\xpnetdiag.exe”=

“C:\Program Files\Skype\Phone\Skype.exe”=

[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

“7462:TCP”= 7462:TCP:BitComet 7462 TCP

“7462:UDP”= 7462:UDP:BitComet 7462 UDP

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 78416]

R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 20560]

R3 V0420VID;Live! Cam Vista IM (VF0420);C:\WINDOWS\system32\DRIVERS\V0420Vid.sys [2007-05-31 99648]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{009f7068-8c71-11dd-b6cd-806d6172696f}]

\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe pagefile.sys.vbs

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{009f7069-8c71-11dd-b6cd-806d6172696f}]

\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe pagefile.sys.vbs

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{5b40e4ce-8c86-11dd-a47f-806d6172696f}]

\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe pagefile.sys.vbs

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{5b40e4d0-8c86-11dd-a47f-806d6172696f}]

\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe pagefile.sys.vbs

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{feccb877-9a24-11dd-9c9b-00132095c74a}]

\Shell\Auto\command - H:\activexdebugger32.exe f

\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL activexdebugger32.exe f

\Shell\explore\Command - H:\activexdebugger32.exe f

\Shell\open\Command - H:\activexdebugger32.exe f

.

- - - USUNIĘTO PUSTE WPISY - - - -

BHO-{8BFC493D-DAAC-4A67-A841-18463B5B3FF9} - C:\WINDOWS\system32\efcYqPHY.dll

BHO-{AD72687B-CF83-4463-8E95-2CB3198CA5F6} - C:\WINDOWS\system32\yaywtQKD.dll

ShellExecuteHooks-{AD72687B-CF83-4463-8E95-2CB3198CA5F6} - C:\WINDOWS\system32\yaywtQKD.dll

Notify-yaywtQKD - yaywtQKD.dll

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-10-18 21:29:43

Windows 5.1.2600 Dodatek Service Pack 2 NTFS

skanowanie ukrytych procesów …

skanowanie ukrytych wpisów autostartu …

skanowanie ukrytych plików …

skanowanie pomyślnie ukończone

ukryte pliki: 0

**************************************************************************

.

------------------------ Pozostałe uruchomione procesy ------------------------

.

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\rundll32.exe

.

**************************************************************************

.

Czas ukończenia: 2008-10-18 21:32:02 - komputer został uruchomiony ponownie

ComboFix-quarantined-files.txt 2008-10-18 19:31:58

Przed: 26 930 929 664 bajtów wolnych

Po: 28,305,199,104 bajtów wolnych

WindowsXP-KB310994-SP2-Pro-BootDisk-PLK.exe

277 — E O F — 2008-09-30 13:06:07

system · 18 Październik 2008 20:01

eeeeh, sobota… nikt nie pomoze :((

Jesiona · 18 Październik 2008 20:06

Do notatnika wklej:

File::

C:\WINDOWS\system32\tuvUOHAr.dll

C:\WINDOWS\system32\opnomJde.dll

C:\WINDOWS\system32\mlJYstSK.dll

C:\WINDOWS\system32\mlJDvSJC.dll

C:\WINDOWS\system32\ljJBqonk.dll

C:\WINDOWS\system32\hgGyabcB.dll

C:\WINDOWS\system32\geBrrSJd.dll

C:\WINDOWS\system32\cbXQgEwu.dll

C:\WINDOWS\system32\awtuvtQh.dll

C:\ut9x.bat

C:\ut.bat


Folder::

C:\Program Files\Applications


Registry::

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{009f7068-8c71-11dd-b6cd-806d6172696f}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{009f7069-8c71-11dd-b6cd-806d6172696f}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5b40e4ce-8c86-11dd-a47f-806d6172696f}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5b40e4d0-8c86-11dd-a47f-806d6172696f}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{feccb877-9a24-11dd-9c9b-00132095c74a}]

>>Plik>>Zapisz jako… >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

Ma się rozpocząć usuwanie i powstanie log, który pokazujesz na forum do sprawdzenia

Jeśli pójdzie dobrze, to: Po restarcie usuń ręcznie folder C:** Qoobox.**

system · 18 Październik 2008 20:09

to juz zrobilam raport ze skanu powyzej

system · 18 Październik 2008 20:16

te pliki sa inne niz te te ktore wklejalam do mobofix’a podane prze leona (post powyzej) czyli co? jesze raz ta sama procedura tylko inne pliki do przeskanowania przez combofix? a co dalej ?

Jesiona · 18 Październik 2008 20:16

Te pliki się nie usunęły.

Więc wykonaj:

Pobierz —> The Avenger

Wklej do niego ten tekst:

Files to delete:

C:\WINDOWS\system32\tuvUOHAr.dll

C:\WINDOWS\system32\opnomJde.dll

C:\WINDOWS\system32\mlJYstSK.dll

C:\WINDOWS\system32\mlJDvSJC.dll

C:\WINDOWS\system32\ljJBqonk.dll

C:\WINDOWS\system32\hgGyabcB.dll

C:\WINDOWS\system32\geBrrSJd.dll

C:\WINDOWS\system32\cbXQgEwu.dll

C:\WINDOWS\system32\awtuvtQh.dll

C:\ut9x.bat

C:\ut.bat


Folders to delete:

C:\Program Files\Applications


Registry keys to delete: 

HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{009f7068-8c71-11dd-b6cd-806d6172696f}

HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{009f7069-8c71-11dd-b6cd-806d6172696f}

HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5b40e4ce-8c86-11dd-a47f-806d6172696f}

HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5b40e4d0-8c86-11dd-a47f-806d6172696f}

HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{feccb877-9a24-11dd-9c9b-00132095c74a}

Kopiujesz - Klikasz na Paste Script from Clipboard - Execute - Potwierdzasz i zgadzasz się na restart klikając OK.

Po wykonaniu skasuj z dysku plik: C:\Avenger\backup.zip i wklej raport na forum C:\avenger.txt

system · 18 Październik 2008 20:20

ok, ale czy przedtem wylaczyc programu=y antywirusowe? i wylaczyc przywracanie systemu - Wyłącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

?? :))

Jesiona · 18 Październik 2008 20:26

Nie, po prostu wykonaj to co pisałem w poprzednim poście.

system · 18 Październik 2008 20:28

ok, mam nadzieje, ze nie zrobie sobie kuku - jak to napisano w opisie programu - komp meza - wyjachal - nagrzebalam - probuje reanimowac…bo mnie udusi:)

Leon1 · 18 Październik 2008 20:30

Wylecz pendriva lub kartę pamięci http://www.softpedia.com/get/Security/S … Tool.shtml

Flash Disinfector http://www.searchengines.pl/index.php?s … ntry369724

lub format

Otwórz notatnik i wklej

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri … iemoes.gif

Powinno rozpocząć się usuwanie

Potem log z usuwania Combofix

Jesiona · 18 Październik 2008 20:33

H:\activexdebugger32.exe

Tego nie usunie.

C:\WINDOWS\system\ACD2.CMD

C:\WINDOWS\system\ACD.CMD

C:\WINDOWS\system32\scrrntr.dll

C:\WINDOWS\system32\PAC.EXE

C:\WINDOWS\system32\KTKBDHK3.DLL

C:\WINDOWS\system32\Ijl11.dll

C:\WINDOWS\system32\activexdebugger32.exe

C:\WINDOWS\system32\kmon.ocx

A to skąd wziąłeś?

system · 18 Październik 2008 20:40

teraz to juz nie wiem co robic… Avenger nie dziala … jakies komunikaty, ktorych nie rozumiem. leon - nie ma pedriva… dlaczego mam wylaczyc karte pamieci ?

Jesiona · 18 Październik 2008 20:42

nie wyłączyć tylko wyleczyć

i chodzi o mp3

Wykonaj post Leona wyjdzie na to samo

system · 18 Październik 2008 20:43

teraz juz nie wiem co robic…avanger wyswietla jakies komunikatu z error…

system · 18 Październik 2008 20:46

juz nie wiem co robic…avenger nie dziala - wyswietla jakies komunikaty z error nie kumam…

Jesiona · 18 Październik 2008 20:47

Wykonaj post Leon-a w takim razie!!