znow mam problem z jakims smieciem z netu
log z hijackthis
pomocy!
Usuń te wpisy w HJT
Uruchom HijackThis - Do a system scan only - w oknie programu pokaże się log - zaznacz kratki przy podanych wpisach - klikasz Fix checked
Pobierz Combofix ale nie uruchamiaj wklej do notatnika:
Zapisz plik jako CFScript.txt najlepiej aby ikonka tego pliku znajdowała się obok ikonki ComboFix.exe
Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe powinno rozpocząć się usuwanie po tym daj log na forum.
Usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.
mam dodatkowy problem,
nie wiem jak to sie stalo ale zostalem odciety od internetu, nie moge sie polaczyc z siecia chyba przez ten virus a teraz korzystam z komputera domowego. usunalem w HJT to co mowiles ale jedna rzecz nie chce sie usunac a mianowicie O21 - SSODL; evagratsm…
tapeta juz jest normalna ale zostal jeszcze napis w prawym dolnym rogu kolo zegarka: “virus alert” wiesz moze co jest przyczyna problemow z siecia?? co mam zrobic?? bo nawet loga nie moge na stronie umiescic
Z tego co podałem do usuwania wszystko jest OK i nie powinno powodować problemów z siecią.
Może tak być że się nie usunie ale czy możesz dać log po usuwaniu z Combofix np z innego computera być może coś jeszcze zostało?
Nie wiem jaka może być tego przyczyna może trzeba przeinstalować sterowniki od modemu, ale teraz tylko zgaduje?
sciagnalem combofixa na tym komputerze i przerzucilem na penie na ten zainfekowany, zrobilem to co mowiles w combofixie i wszystko wrocilo do normy. to czego nie moglem usunac w hijack usunelo sie samo. nie wiem tylko co sie stalo z tym netem, ale to chyba nie jest problem tego wirusa. zaraz popracuje nad nim i wrzuce raport jak tylko bede mogl. dobrze ze juz komputer dziala normlanie. dzieki wielkie za pomoc sam nie dalbym sobie rady.
Daj log z usuwania Combofix na forum.
ComboFix 08-07-15.4 - Arek 2008-07-17 16:43:01.5 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.653 [GMT 2:00]
Running from: C:\Documents and Settings\Arek\Pulpit\ComboFix.exe
Command switches used :: C:\Documents and Settings\Arek\Pulpit\CFScript.txt
* Created a new restore point
* Resident AV is active
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED
FILE ::
C:\WINDOWS\evgratsm.dll
C:\WINDOWS\kgxmotapqeb.dll
C:\WINDOWS\kvxqmtre.dll
C:\WINDOWS\qndsfmao.dll
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Documents and Settings\Arek\Ulubione\Error Cleaner.url
C:\Documents and Settings\Arek\Ulubione\Privacy Protector.url
C:\Documents and Settings\Arek\Ulubione\SpywareMalware Protection.url
C:\WINDOWS\efoe.exe
C:\WINDOWS\evgratsm.dll
C:\WINDOWS\kvxqmtre.dll
C:\WINDOWS\privacy_danger
C:\WINDOWS\privacy_danger\images\capt.gif
C:\WINDOWS\privacy_danger\images\danger.jpg
C:\WINDOWS\privacy_danger\images\down.gif
C:\WINDOWS\privacy_danger\images\spacer.gif
C:\WINDOWS\privacy_danger\index.htm
C:\WINDOWS\qndsfmao.dll
.
((((((((((((((((((((((((( Files Created from 2008-06-17 to 2008-07-17 )))))))))))))))))))))))))))))))
.
2008-07-16 22:02 . 2008-07-16 22:02
2008-07-16 22:02 . 2008-07-16 18:32 98,304 --a------ C:\WINDOWS\agpqlrfm.exe
2008-07-13 10:03 . 2008-07-13 10:03
2008-07-13 10:03 . 2008-07-13 10:03
2008-07-13 09:20 . 2008-07-31 16:32
2008-07-13 09:20 . 2008-07-13 09:21
2008-07-12 21:02 . 2008-07-12 21:02
2008-07-12 20:48 . 2008-07-12 20:48
2008-07-12 20:22 . 2008-07-12 20:22
2008-07-12 16:45 . 2008-07-12 16:45
2008-07-12 16:45 . 2008-07-12 21:33
2008-06-26 16:41 . 2008-06-26 16:48 766 --a------ C:\WINDOWS\system32\uCF2000.ico
2008-06-26 16:30 . 2008-06-26 16:31
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-17 11:40 --------- d-----w C:\Program Files\eMule
2008-06-01 06:20 23,016 ----a-w C:\Documents and Settings\Arek\Dane aplikacji\GDIPFONTCACHEV1.DAT
2008-05-23 10:28 --------- d-----w C:\Program Files\Common Files\Adobe
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries legit default entries are not shown
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“CTFMON.EXE”=“C:\WINDOWS\system32\ctfmon.exe” [2004-08-04 00:44 15360]
“Creative Live! Cam Manager”=“C:\Program Files\Creative\Creative Live! Cam\Live! Cam Manager\CTLCMgr.exe” [2007-05-02 10:30 151552]
“CreativeTaskScheduler”=“C:\Program Files\Creative\Shared Files\CTSched.exe” [2006-11-17 11:42 53341]
“MSMSGS”=“C:\Program Files\Messenger\msmsgs.exe” [2004-10-13 18:24 1694208]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“ACU”=“C:\Program Files\Atheros\ACU.exe” [2007-04-17 02:06 372825]
“SynTPEnh”=“C:\Program Files\Synaptics\SynTP\SynTPEnh.exe” [2007-11-20 11:25 888832]
“egui”=“C:\Program Files\ESET\ESET Smart Security\egui.exe” [2007-11-23 22:51 1410304]
“NeroFilterCheck”=“C:\WINDOWS\system32\NeroCheck.exe” [2001-07-09 11:50 155648]
“Adobe Reader Speed Launcher”=“C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe” [2008-01-11 22:16 39792]
“RTHDCPL”=“RTHDCPL.EXE” [2007-11-20 11:23 16841216 C:\WINDOWS\RTHDCPL.EXE]
[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
“CTFMON.EXE”=“C:\WINDOWS\system32\CTFMON.EXE” [2004-08-04 00:44 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
“VIDC.YV12”= yv12vfw.dll
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
“AntiVirusOverride”=dword:00000001
[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
“EnableFirewall”= 0 (0x0)
[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
“%windir%\system32\sessmgr.exe”=
“D:\gry\S2\The Settlers II - 10th Anniversary\bin\S2DNG.exe”=
“C:\Program Files\Gadu-Gadu\gg.exe”=
“C:\Program Files\eMule\emule.exe”=
“D:\gry\generals\game.dat”=
“D:\gry\generals\generals.exe”=
“C:\Program Files\uTorrent\uTorrent.exe”=
R3 WSIMD;wsimd Service;C:\WINDOWS\system32\DRIVERS\wsimd.sys [2007-12-13 21:31]
S3 VF0470Vid;Live! Cam Notebook (VF0470);C:\WINDOWS\system32\DRIVERS\V0470Vid.sys [2007-04-20 19:00]
*Newly Created Service* - CATCHME
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-17 16:44:03
Windows 5.1.2600 Dodatek Service Pack 2 NTFS
scanning hidden processes …
scanning hidden autostart entries …
scanning hidden files …
scan completed successfully
hidden files: 0
**************************************************************************
.
Completion time: 2008-07-17 16:44:52
ComboFix-quarantined-files.txt 2008-07-17 14:44:31
ComboFix2.txt 2008-07-13 07:11:43
Pre-Run: 8,424,087,552 bajtów wolnych
Post-Run: 8,417,157,120 bajtów wolnych
104 — E O F — 2008-03-23 19:40:38
Pobierz Combofix ale nie uruchamiaj wklej do notatnika:
Zapisz plik jako CFScript.txt najlepiej aby ikonka tego pliku znajdowała się obok ikonki ComboFix.exe
Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe powinno rozpocząć się usuwanie po tym daj log na forum.
Usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.
Zaraz zobaczymy!
Log wygląda na czysty
Usuń ręcznie ten plik
Usuń także folder C: \Qoobox , usuń instalkę Combofix z dysku
Przeczyść komputer CCleaner
Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja
Przeskanuj obszar Mój komputer Kaspersky Online Scanner Uruchom pod IE daj raport na forum
lub Dr.WEB CureIt!
A więc wszystko powinno być OK
problem rozwiazany, dzieki spandaupol