Zainfekowany komputer-wirus koń trojański-sprawdzenie loga

buolax · 7 Lipiec 2008 14:02

Proszę o pomoc

Coś się przybłąkało do komputera

Logi:

hijackthis

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 19:41:31, on 2008-07-06

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\drivers\CDAC11BA.EXE

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spss_lmd.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

F:\Program Files\HP\HP Software Update\HPWuSchd2.exe

C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe

F:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

F:\Program Files\HP\Smart Web Printing\hpswp_clipbook.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Opera\opera.exe

C:\Documents and Settings\natalia\Moje dokumenty\Gadu-Gadu\gg.exe

F:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe

C:\WINDOWS\explorer.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Alwil Software\Avast4\setup\avast.setup

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.babylon.com/home

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - C:\Program Files\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL

O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - F:\Program Files\HP\Smart Web Printing\hpswp_printenhancer.dll

O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - F:\Program Files\HP\Smart Web Printing\hpswp_framework.dll

O2 - BHO: (no name) - {5D72C2A4-9AC6-4727-A705-CEA1F0220B78} - C:\WINDOWS\system32\jkkHArOG.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O2 - BHO: (no name) - {87F8E775-57DE-4F8A-8E08-906761465F66} - C:\WINDOWS\system32\ddcCtrSK.dll

O2 - BHO: Ask Search Assistant BHO - {9CB65201-89C4-402c-BA80-02D8C59F9B1D} - C:\Program Files\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL

O3 - Toolbar: Adssite Toolbar - {41C29B07-6F91-4966-91BE-2E2841643C83} - C:\Program Files\Adssite Advanced Toolbar\toolbar.dll (file missing)

O3 - Toolbar: nqgpedlr - {AB802BE5-5918-4875-954F-C878E08FC60E} - C:\WINDOWS\nqgpedlr.dll

O4 - HKLM…\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM…\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM…\Run: [sony Ericsson PC Suite] “C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe” /startoptions

O4 - HKLM…\Run: [Adobe Photo Downloader] “C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe”

O4 - HKLM…\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM…\Run: [bearShare] “C:\Program Files\BearShare\BearShare.exe” /pause

O4 - HKLM…\Run: [HP Software Update] F:\Program Files\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM…\Run: [sunJavaUpdateSched] “C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe”

O4 - HKLM…\Run: [f49990cb] rundll32.exe “C:\WINDOWS\system32\wircnnog.dll”,b

O4 - HKCU…\Run: [MsnMsgr] “C:\Program Files\MSN Messenger\MsnMsgr.Exe” /background

O4 - HKCU…\Run: [PcSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog

O4 - HKCU…\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] “C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe”

O4 - HKCU…\Run: [Gadu-Gadu] “C:\Documents and Settings\natalia\Moje dokumenty\Gadu-Gadu\gg.exe” /tray

O4 - HKCU…\Run: [HEXelon MAX] “C:\Program Files\HEXelon MAX 6\hexelon.exe” /auto

O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA LOKALNA’)

O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA SIECIOWA’)

O4 - HKUS\S-1-5-21-606747145-1202660629-839522115-1005…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User ‘irmina’)

O4 - HKUS\S-1-5-21-606747145-1202660629-839522115-1005…\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (User ‘irmina’)

O4 - HKUS\S-1-5-21-606747145-1202660629-839522115-1005…\Run: [Gadu-Gadu] “C:\Program Files\Gadu-Gadu\gg.exe” /tray (User ‘irmina’)

O4 - HKUS\S-1-5-21-606747145-1202660629-839522115-1005…\Run: [undefined] C:\WINDOWS\system32\winter.exe (User ‘irmina’)

O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’)

O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’)

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = F:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O8 - Extra context menu item: Download with Rapget - C:\Documents and Settings\1\Pulpit\rapget140\rapget.htm

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: Kolekcja wycinków HP - {58ECB495-38F0-49cb-A538-10282ABF65E7} - F:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll

O9 - Extra button: Zaznaczanie HP Smart - {700259D7-1666-479a-93B1-3250410481E8} - F:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll

O20 - Winlogon Notify: jkkHArOG - C:\WINDOWS\SYSTEM32\jkkHArOG.dll

O21 - SSODL: SetDriveDrv - {09c337be-f71c-4157-acce-6c12c31f9a1d} - C:\WINDOWS\Resources\SetDriveDrv.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\system32\drivers\CDAC11BA.EXE

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: License Management Service ESD - element5 - C:\Program Files\Common Files\element5 Shared\Service\Licence Manager ESD.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe

O23 - Service: Spss License Manager (SpssLM) - Unknown owner - C:\WINDOWS\system32\spss_lmd.exe

Z góry dziękuję za pomoc

spandaupol · 7 Lipiec 2008 14:13

Usuń te wpisy w HJT

włącz HijackThis - Do a system scan only - w oknie programu pokaże się log - zaznacz kratki przy podanych wpisach - klikasz Fix checked

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.babylon.com/home R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - C:\Program Files\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL O2 - BHO: (no name) - {5D72C2A4-9AC6-4727-A705-CEA1F0220B78} - C:\WINDOWS\system32\jkkHArOG.dll O2 - BHO: (no name) - {87F8E775-57DE-4F8A-8E08-906761465F66} - C:\WINDOWS\system32\ddcCtrSK.dll O3 - Toolbar: Adssite Toolbar - {41C29B07-6F91-4966-91BE-2E2841643C83} - C:\Program Files\Adssite Advanced Toolbar\toolbar.dll (file missing) O3 - Toolbar: nqgpedlr - {AB802BE5-5918-4875-954F-C878E08FC60E} - C:\WINDOWS\nqgpedlr.dll O4 - HKUS\S-1-5-21-606747145-1202660629-839522115-1005…\Run: [undefined] C:\WINDOWS\system32\winter.exe (User ‘irmina’) O4 - HKLM…\Run: [f49990cb] rundll32.exe “C:\WINDOWS\system32\wircnnog.dll”,b O20 - Winlogon Notify: jkkHArOG - C:\WINDOWS\SYSTEM32\jkkHArOG.dll

Pobierz Combofixale nie uruchamiaj wklej do notatnika:

Zapisz plik jako CFScript.txt najlepiej aby ikonka tego pliku znajdowała się obok ikonki ComboFix.exe

Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe powinno rozpocząć się usuwanie po tym daj log na forum

Usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.

Gutek · 7 Lipiec 2008 14:29

Zastosuj się do tego Tematu i zmień tytuł tematu na konkretny inaczej KOSZ

Pozdrawiam Gutek2222

Zmiana zasad wklejania logów na forum - viewtopic.php?f=16&t=253052

buolax · 7 Lipiec 2008 15:03

Zrobiłam wszystko

Oto log:

ComboFix 08-07-05.1 - 1 2008-07-07 16:30:17.5 - NTFSx86

Running from: C:\Documents and Settings\1\Pulpit\ComboFix.exe

Command switches used :: C:\Documents and Settings\1\Pulpit\CFScript.txt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED

FILE ::

C:\WINDOWS\nqgpedlr.dll

C:\WINDOWS\system32\ddcCtrSK.dll

C:\WINDOWS\system32\jkkHArOG.dll

C:\WINDOWS\system32\winter.exe

C:\WINDOWS\system32\wircnnog.dll

.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\WINDOWS\resources\SetDriveDrv.dll

C:\WINDOWS\system32\wircnnog.dll

.

((((((((((((((((((((((((( Files Created from 2008-06-07 to 2008-07-07 )))))))))))))))))))))))))))))))

.

2008-07-07 12:16 . 2008-07-07 12:29 354 —hs---- C:\WINDOWS\system32\gonncriw.ini

2008-07-03 12:31 . 2008-07-03 06:13 200,704 --a------ C:\WINDOWS\axrfgvek.dll

2008-07-03 12:31 . 2008-07-03 06:13 86,016 --a------ C:\WINDOWS\mrvtdpqe.exe

2008-07-01 21:06 . 2008-07-01 21:06

2008-06-11 11:45 . 2008-06-14 20:01 273,024 --------- C:\WINDOWS\system32\drivers\bthport.sys

2008-06-11 11:45 . 2008-06-14 20:01 273,024 -----c— C:\WINDOWS\system32\dllcache\bthport.sys

2008-06-09 07:37 . 2008-06-09 07:48

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-06-17 09:51 --------- d-----w C:\Program Files\Opera

2008-06-15 20:28 --------- d-----w C:\Documents and Settings\irmina\Dane aplikacji\MEGAUPLOADTOOLBAR

2008-06-02 07:58 --------- d-----w C:\Program Files\FotoSender

2008-05-26 09:56 --------- d-----w C:\Documents and Settings\irmina\Dane aplikacji\AdobeUM

2008-05-15 16:52 --------- d-----w C:\Documents and Settings\irmina\Dane aplikacji\HPAppData

2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys

2007-01-14 17:49 168 -csh–r C:\WINDOWS\system32\1F5AA63849.sys

2007-01-14 17:55 15,860 -csha-w C:\WINDOWS\system32\KGyGaAvL.sys

.

------- Sigcheck -------

2004-08-04 02:44 30208 87c1709bba3683bcb54cd14bf7cea7b5 C:\WINDOWS\system32\ctfmon.exe

2004-08-04 02:44 30208 87c1709bba3683bcb54cd14bf7cea7b5 C:\WINDOWS\system32\dllcache\ctfmon.exe

2004-08-04 02:44 15360 cbfa30492d70ce3938d8a7783d0c0436 C:\WINDOWS\XPize\Backup\ctfmon.exe

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

*Note* empty entries legit default entries are not shown

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“Gadu-Gadu”=“C:\Documents and Settings\natalia\Moje dokumenty\Gadu-Gadu\gg.exe” [2007-07-09 09:39 2119104]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“avast!”=“C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe” [2007-12-04 15:00 79224]

“Sony Ericsson PC Suite”=“C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe” [2006-11-24 01:06 487424]

“Adobe Photo Downloader”=“C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe” [2005-06-06 23:46 57344]

“NeroCheck”=“C:\WINDOWS\system32\NeroCheck.exe” [2001-07-09 10:50 155648]

“HP Software Update”=“F:\Program Files\HP\HP Software Update\HPWuSchd2.exe” [2007-03-11 22:34 49152]

“SunJavaUpdateSched”=“C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe” [2008-02-22 04:25 144784]

“SoundMan”=“SOUNDMAN.EXE” [2004-02-09 18:54 65024 C:\WINDOWS\SOUNDMAN.EXE]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

“CTFMON.EXE”=“C:\WINDOWS\system32\CTFMON.EXE” [2004-08-04 02:44 30208]

C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\

Adobe Gamma Loader.lnk - C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2008-02-19 11:45:49 113664]

HP Digital Imaging Monitor.lnk - F:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe [2007-03-11 21:26:24 210520]

=

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSN Sniffer]

[X]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]

–a------ 2005-06-06 23:46 57344 C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]

--------- 2004-10-13 18:24 1694208 C:\Program Files\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]

--------- 2001-07-09 10:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

–a--c— 2005-08-26 19:14 36975 C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]

–a------ 2006-11-21 19:38 35328 C:\Program Files\Winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

“AntiVirusOverride”=dword:00000001

“FirewallOverride”=dword:00000001

[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

“EnableFirewall”= 0 (0x0)

[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

“C:\Documents and Settings\natalia\Moje dokumenty\Gadu-Gadu\gg.exe”=

“C:\Program Files\Gadu-Gadu\gg.exe”=

R2 SVKP;SVKP;C:\WINDOWS\system32\SVKP.sys [2006-06-28 20:02]

S3 SER120;OTI Serial port driver;C:\WINDOWS\system32\DRIVERS\SER120.sys [2004-12-08 19:24]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12

hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{77fe3a5a-0b0d-11dd-84e9-000b6a697296}]

\Shell\Auto\command - UFO.exe

\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL UFO.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{856f433e-2bd6-11db-adc4-000b6a697296}]

\Shell\AutoRun\command - G:\setupSNK.exe

.

Contents of the ‘Scheduled Tasks’ folder

“2008-06-07 07:36:25 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job”

C:\Program Files\Apple Software Update\SoftwareUpdate.exe

.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-07-07 16:36:33

Windows 5.1.2600 Dodatek Service Pack 2 NTFS

scanning hidden processes …

scanning hidden autostart entries …

scanning hidden files …

C:\Documents and Settings\1\Ustawienia lokalne\Dane aplikacji\Opera\Opera\profile\cache4\opr01P9O 43 bytes

C:\Documents and Settings\1\Ustawienia lokalne\Dane aplikacji\Opera\Opera\profile\cache4\opr01P9P 1257 bytes

C:\Documents and Settings\1\Ustawienia lokalne\Dane aplikacji\Opera\Opera\profile\cache4\opr01P9Q 43 bytes

C:\Documents and Settings\1\Ustawienia lokalne\Dane aplikacji\Opera\Opera\profile\cache4\opr01P9R 43 bytes

C:\Documents and Settings\1\Ustawienia lokalne\Dane aplikacji\Opera\Opera\profile\cache4\opr01P9S 43 bytes

scan completed successfully

hidden files: 5

**************************************************************************

.

Completion time: 2008-07-07 16:54:18

ComboFix-quarantined-files.txt 2008-07-07 14:53:56

ComboFix2.txt 2008-07-07 10:29:11

ComboFix3.txt 2008-01-27 16:02:15

ComboFix4.txt 2008-01-27 13:00:33

ComboFix5.txt 2007-11-11 14:36:46

Pre-Run: 744,574,976 bajtów wolnych

Post-Run: 732,442,624 bajtów wolnych

122 — E O F — 2008-06-20 20:48:24

Dziękuję bardzo za pomoc

Gutek · 7 Lipiec 2008 15:06

Ostatni raz proszę później temat - KOSZ

Wklej do Notatnika:

File::

C:\WINDOWS\system32\gonncriw.ini

C:\WINDOWS\axrfgvek.dll

C:\WINDOWS\mrvtdpqe.exe


Registry::

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku –>

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: ** Qoobox**.

Po tym nowy log z Combo oraz wykonaj skan Dr. Web CureIt

buolax · 7 Lipiec 2008 15:55

Przepraszam bardzo,nie zauwazylam posta z 07.07.2008 (Pon) 16:29

Oto log: http://wklejto.pl/5145

Chyba dobrze wkleilam…

Jeszcze raz przepraszam za bałagan zwiazany z moim postem,jedynym moim wytlumaczeniem moze byc to,ze jestem laikiem jezeli chodzi o sprawy wirusow,logow itp,wiec nie wiedzialam jak zaczac na forum

Dzieki za pomoc

spandaupol · 7 Lipiec 2008 16:27

Przeskanuj plik C:\WINDOWS\system32\1F5AA63849.sys tutaj http://www.kaspersky.pl/services.html?s=online_vir_chk daj raport

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj Kaspersky Online Scanner Uruchom pod IE daj raport na forum

buolax · 7 Lipiec 2008 16:42

Wszystko tak zrobilam,otworzylam przez IE ta strone,ale szukam tego pliku 1F5AA63849.sys i nie moge go znalezc,przeszukalam wszystko pare razy

spandaupol · 7 Lipiec 2008 16:45

Masz włączoną opcje pokaż ukryte pliki i foldery?

Start - Mój komputer - Narzędzia - Opcje folderów - Widok - Pokaż ukryte pliki i foldery zaznacz i zastosuj.

buolax · 7 Lipiec 2008 16:52

Tak mialam wlaczona tą opcje

Zrobilam jeszcze raz

Przeszukalam po nazwach

potem wedlug rozszerzenia .sys

i nie ma nic takiego

moze robie cos zle,ale nie wydaje mi sie

spandaupol · 7 Lipiec 2008 16:56

OK w takim razie jeszcze to!

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar Mój komputer Kaspersky Online Scanner Uruchom pod IE daj raport na forum

buolax · 7 Lipiec 2008 19:39

Dopiero skonczylo sie skanowanie

oto raport:

Ustawienia skanowania:

Skanowanie przy użyciu następujących baz danych: rozszerzone

Skanuj archiwa: tak

Skanuj pocztowe bazy danych: tak

Obszar skanowania - Mój komputer:

A:\

C:\

D:\

E:\

F:\

Statystyki skanowania:

Liczba skanowanych obiektów: 100554

Liczba wykrytych wirusów: 1

Liczba zainfekowanych obiektów: 3

Liczba podejrzanych obiektów: 0

Czas trwania skanowania: 02:10:54

Nazwa zainfekowanego obiektu / Nazwa wirusa / Ostatnie działanie

C:\Documents and Settings\1\Cookies\index.dat Object is locked pominięty

C:\Documents and Settings\1\Dane aplikacji\Opera\Opera\mail\indexer\indexer.ax Object is locked pominięty

C:\Documents and Settings\1\Dane aplikacji\Opera\Opera\mail\indexer\indexer.bx Object is locked pominięty

C:\Documents and Settings\1\Dane aplikacji\Opera\Opera\mail\indexer\message_id Object is locked pominięty

C:\Documents and Settings\1\Dane aplikacji\Opera\Opera\mail\lexicon\lexicon.ax Object is locked pominięty

C:\Documents and Settings\1\Dane aplikacji\Opera\Opera\mail\lexicon\lexicon.bx Object is locked pominięty

C:\Documents and Settings\1\Dane aplikacji\Opera\Opera\mail\omailbase.dat Object is locked pominięty

C:\Documents and Settings\1\Dane aplikacji\Sony Ericsson\Teleca\Telecalib\Logging\Application logs\FM_log.txt Object is locked pominięty

C:\Documents and Settings\1\NTUSER.DAT Object is locked pominięty

C:\Documents and Settings\1\ntuser.dat.LOG Object is locked pominięty

C:\Documents and Settings\1\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty

C:\Documents and Settings\1\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty

C:\Documents and Settings\1\Ustawienia lokalne\Dane aplikacji\Opera\Opera\profile\cache4\opr01RGD Object is locked pominięty

C:\Documents and Settings\1\Ustawienia lokalne\Dane aplikacji\Opera\Opera\profile\vps\0000\adoc.bx Object is locked pominięty

C:\Documents and Settings\1\Ustawienia lokalne\Dane aplikacji\Opera\Opera\profile\vps\0000\md.dat Object is locked pominięty

C:\Documents and Settings\1\Ustawienia lokalne\Dane aplikacji\Opera\Opera\profile\vps\0000\url.ax Object is locked pominięty

C:\Documents and Settings\1\Ustawienia lokalne\Dane aplikacji\Opera\Opera\profile\vps\0000\w.ax Object is locked pominięty

C:\Documents and Settings\1\Ustawienia lokalne\Dane aplikacji\Opera\Opera\profile\vps\0000\wb.vx Object is locked pominięty

C:\Documents and Settings\1\Ustawienia lokalne\Dane aplikacji\Opera\Opera\profile\vps\0001\adoc.bx Object is locked pominięty

C:\Documents and Settings\1\Ustawienia lokalne\Dane aplikacji\Opera\Opera\profile\vps\0001\adoc.bx-j Object is locked pominięty

C:\Documents and Settings\1\Ustawienia lokalne\Dane aplikacji\Opera\Opera\profile\vps\0001\md.dat Object is locked pominięty

C:\Documents and Settings\1\Ustawienia lokalne\Dane aplikacji\Opera\Opera\profile\vps\0001\md.dat-j Object is locked pominięty

C:\Documents and Settings\1\Ustawienia lokalne\Dane aplikacji\Opera\Opera\profile\vps\0001\url.ax Object is locked pominięty

C:\Documents and Settings\1\Ustawienia lokalne\Dane aplikacji\Opera\Opera\profile\vps\0001\url.ax-j Object is locked pominięty

C:\Documents and Settings\1\Ustawienia lokalne\Dane aplikacji\Opera\Opera\profile\vps\0001\w.ax Object is locked pominięty

C:\Documents and Settings\1\Ustawienia lokalne\Dane aplikacji\Opera\Opera\profile\vps\0001\w.ax-j Object is locked pominięty

C:\Documents and Settings\1\Ustawienia lokalne\Dane aplikacji\Opera\Opera\profile\vps\0001\wb.vx Object is locked pominięty

C:\Documents and Settings\1\Ustawienia lokalne\Dane aplikacji\Opera\Opera\profile\vps\0001\wb.vx-j Object is locked pominięty

C:\Documents and Settings\1\Ustawienia lokalne\Dane aplikacji\Opera\Opera\profile\vps\0002\adoc.bx Object is locked pominięty

C:\Documents and Settings\1\Ustawienia lokalne\Dane aplikacji\Opera\Opera\profile\vps\0002\md.dat Object is locked pominięty

C:\Documents and Settings\1\Ustawienia lokalne\Dane aplikacji\Opera\Opera\profile\vps\0002\url.ax Object is locked pominięty

C:\Documents and Settings\1\Ustawienia lokalne\Dane aplikacji\Opera\Opera\profile\vps\0002\w.ax Object is locked pominięty

C:\Documents and Settings\1\Ustawienia lokalne\Dane aplikacji\Opera\Opera\profile\vps\0002\wb.vx Object is locked pominięty

C:\Documents and Settings\1\Ustawienia lokalne\Dane aplikacji\Opera\Opera\profile\vps\0003\adoc.bx Object is locked pominięty

C:\Documents and Settings\1\Ustawienia lokalne\Dane aplikacji\Opera\Opera\profile\vps\0003\md.dat Object is locked pominięty

C:\Documents and Settings\1\Ustawienia lokalne\Dane aplikacji\Opera\Opera\profile\vps\0003\url.ax Object is locked pominięty

C:\Documents and Settings\1\Ustawienia lokalne\Dane aplikacji\Opera\Opera\profile\vps\0003\w.ax Object is locked pominięty

C:\Documents and Settings\1\Ustawienia lokalne\Dane aplikacji\Opera\Opera\profile\vps\0003\wb.vx Object is locked pominięty

C:\Documents and Settings\1\Ustawienia lokalne\Dane aplikacji\Opera\Opera\profile\vps\0004\adoc.bx Object is locked pominięty

C:\Documents and Settings\1\Ustawienia lokalne\Dane aplikacji\Opera\Opera\profile\vps\0004\md.dat Object is locked pominięty

C:\Documents and Settings\1\Ustawienia lokalne\Dane aplikacji\Opera\Opera\profile\vps\0004\url.ax Object is locked pominięty

C:\Documents and Settings\1\Ustawienia lokalne\Dane aplikacji\Opera\Opera\profile\vps\0004\w.ax Object is locked pominięty

C:\Documents and Settings\1\Ustawienia lokalne\Dane aplikacji\Opera\Opera\profile\vps\0004\wb.vx Object is locked pominięty

C:\Documents and Settings\1\Ustawienia lokalne\Dane aplikacji\Opera\Opera\profile\vps\0005\adoc.bx Object is locked pominięty

C:\Documents and Settings\1\Ustawienia lokalne\Dane aplikacji\Opera\Opera\profile\vps\0005\md.dat Object is locked pominięty

C:\Documents and Settings\1\Ustawienia lokalne\Dane aplikacji\Opera\Opera\profile\vps\0005\url.ax Object is locked pominięty

C:\Documents and Settings\1\Ustawienia lokalne\Dane aplikacji\Opera\Opera\profile\vps\0005\w.ax Object is locked pominięty

C:\Documents and Settings\1\Ustawienia lokalne\Dane aplikacji\Opera\Opera\profile\vps\0005\wb.vx Object is locked pominięty

C:\Documents and Settings\1\Ustawienia lokalne\Dane aplikacji\Opera\Opera\profile\vps\0006\adoc.bx Object is locked pominięty

C:\Documents and Settings\1\Ustawienia lokalne\Dane aplikacji\Opera\Opera\profile\vps\0006\md.dat Object is locked pominięty

C:\Documents and Settings\1\Ustawienia lokalne\Dane aplikacji\Opera\Opera\profile\vps\0006\url.ax Object is locked pominięty

C:\Documents and Settings\1\Ustawienia lokalne\Dane aplikacji\Opera\Opera\profile\vps\0006\w.ax Object is locked pominięty

C:\Documents and Settings\1\Ustawienia lokalne\Dane aplikacji\Opera\Opera\profile\vps\0006\wb.vx Object is locked pominięty

C:\Documents and Settings\1\Ustawienia lokalne\Dane aplikacji\Opera\Opera\profile\vps\0007\adoc.bx Object is locked pominięty

C:\Documents and Settings\1\Ustawienia lokalne\Dane aplikacji\Opera\Opera\profile\vps\0007\md.dat Object is locked pominięty

C:\Documents and Settings\1\Ustawienia lokalne\Dane aplikacji\Opera\Opera\profile\vps\0007\url.ax Object is locked pominięty

C:\Documents and Settings\1\Ustawienia lokalne\Dane aplikacji\Opera\Opera\profile\vps\0007\w.ax Object is locked pominięty

C:\Documents and Settings\1\Ustawienia lokalne\Dane aplikacji\Opera\Opera\profile\vps\0007\wb.vx Object is locked pominięty

C:\Documents and Settings\1\Ustawienia lokalne\Historia\History.IE5\index.dat Object is locked pominięty

C:\Documents and Settings\1\Ustawienia lokalne\Historia\History.IE5\MSHist012008070720080708\index.dat Object is locked pominięty

C:\Documents and Settings\1\Ustawienia lokalne\Temp\flaF30.tmp Object is locked pominięty

C:\Documents and Settings\1\Ustawienia lokalne\Temp\hsperfdata_1\3528 Object is locked pominięty

C:\Documents and Settings\1\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat Object is locked pominięty

C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Network\Downloader\qmgr0.dat Object is locked pominięty

C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Network\Downloader\qmgr1.dat Object is locked pominięty

C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked pominięty

C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked pominięty

C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked pominięty

C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty

C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty

C:\Documents and Settings\LocalService\Ustawienia lokalne\Historia\History.IE5\index.dat Object is locked pominięty

C:\Documents and Settings\LocalService\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat Object is locked pominięty

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked pominięty

C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked pominięty

C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty

C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty

C:\Program Files\Alwil Software\Avast4\DATA\aswResp.dat Object is locked pominięty

C:\Program Files\Alwil Software\Avast4\DATA\Avast4.db Object is locked pominięty

C:\Program Files\Alwil Software\Avast4\DATA\log\AshWebSv.ws Object is locked pominięty

C:\Program Files\Alwil Software\Avast4\DATA\log\aswMaiSv.log Object is locked pominięty

C:\Program Files\Alwil Software\Avast4\DATA\log\nshield.log Object is locked pominięty

C:\Program Files\Alwil Software\Avast4\DATA\report\Osłona rezydentna.txt Object is locked pominięty

C:\Program Files\AskTBar\bar\1.bin\A5POPSWT.DLL Zainfekowanych: not-a-virus:AdTool.Win32.MyWebSearch.az pominięty

C:\Program Files\AskTBar\bar\1.bin\ASKTBAR.DLL Zainfekowanych: not-a-virus:AdTool.Win32.MyWebSearch.az pominięty

C:\Program Files\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL Zainfekowanych: not-a-virus:AdTool.Win32.MyWebSearch.az pominięty

C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked pominięty

C:\WINDOWS\Debug\PASSWD.LOG Object is locked pominięty

C:\WINDOWS\SchedLgU.Txt Object is locked pominięty

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked pominięty

C:\WINDOWS\Sti_Trace.log Object is locked pominięty

C:\WINDOWS\system32\CatRoot2\edb.log Object is locked pominięty

C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked pominięty

C:\WINDOWS\system32\config\Antivirus.Evt Object is locked pominięty

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked pominięty

C:\WINDOWS\system32\config\default Object is locked pominięty

C:\WINDOWS\system32\config\default.LOG Object is locked pominięty

C:\WINDOWS\system32\config\SAM Object is locked pominięty

C:\WINDOWS\system32\config\SAM.LOG Object is locked pominięty

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked pominięty

C:\WINDOWS\system32\config\SECURITY Object is locked pominięty

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked pominięty

C:\WINDOWS\system32\config\software Object is locked pominięty

C:\WINDOWS\system32\config\software.LOG Object is locked pominięty

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked pominięty

C:\WINDOWS\system32\config\system Object is locked pominięty

C:\WINDOWS\system32\config\system.LOG Object is locked pominięty

C:\WINDOWS\system32\drivers\sptd.sys Object is locked pominięty

C:\WINDOWS\system32\h323log.txt Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked pominięty

C:\WINDOWS\Temp\Perflib_Perfdata_604.dat Object is locked pominięty

C:\WINDOWS\Temp_avast4_\Webshlock.txt Object is locked pominięty

C:\WINDOWS\wiadebug.log Object is locked pominięty

C:\WINDOWS\wiaservc.log Object is locked pominięty

C:\WINDOWS\WindowsUpdate.log Object is locked pominięty

F:\System Volume Information\MountPointManagerRemoteDatabase Object is locked pominięty

Proces skanowania został zakończony.

Gutek · 7 Lipiec 2008 19:58

C:\Program Files\AskTBar

w trybie awaryjnym usuń folder

Jak miałeś wkleić raport?

buolax · 8 Lipiec 2008 10:12

A w jaki sposób usunąć ten folder w trybie awaryjnym?Nie znam się na tym niestety

huber2t · 8 Lipiec 2008 10:14

Usuń ten folder w trybie normalnym

buolax · 8 Lipiec 2008 10:29

Nie mogę usunąć tego folderu w trybie normalnym

Odmowa dostępu

Mogłam usunąć jedynie 2podfoldery z tego całego folderu a jeden nie mogę wyrzucić

huber2t · 8 Lipiec 2008 10:31

Pobierz The Avenger

wklej do niego ten tekst:

Folders to delete:

C:\Program Files\AskTBar

kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

buolax · 8 Lipiec 2008 10:43

http://wklejto.pl/5219

huber2t · 8 Lipiec 2008 10:48

Powtórz poprzednią wskazówke

buolax · 8 Lipiec 2008 11:00

Już usunęłam tamten folder,więc już się go pozbyłam