Zawirusowany komputer?

Jackeer · 5 Grudzień 2008 19:38

Mam problem z wirusami… tak przynajmniej mi sie wydaje.

Jakiś tydzień temu zainstalowal sie u nie “Norton Security Scan” nawet sam nie wiem jak. Posiadalem wówczas Avasta i Comodo Firewall Pro. Nie dalo sie tego programu w zaden sposob wywalic (NSS) wiec postanowilem zainstalowac KAV ktory wariowal, tak samo KIS. Wyskakuja rozne bledy ze nie mozna wlaczyc “ochrony plikow”…itp. nie da rady rowniez skanowac. Zwracam sie do was z prośba abyscie mi pomogli pozbyc sie tych wirusow czy cokolwiek to jest. Wiem ze wypadaloby podac jakies logi ale nie wiem dokladnie o co chodzi tak wiec jezeli mozecie dajcie mi linki z instalkami tych programow i co mam dalej robić

Licze na szybka odpowiedz.

Pzdr. Jackeer.

anon96572732 · 5 Grudzień 2008 19:49

Wystarczy przeczytać:

viewtopic.php?f=16&t=36654

A następnie, na początek wkleić logi z HijackThis.

Jackeer · 5 Grudzień 2008 20:02

http://www.wklejto.pl/17432 log z HijackThis

Leon1 · 5 Grudzień 2008 20:17

włącz HijackThis >> Do a system scan only >> w oknie programu pokaże się log >> zaznacz kratki przy podanych wpisach >> klikasz Fix checked

Pobierz Combofix http://www.searchengines.pl/index.php?s … ntry395642 ale nie włączaj.

Podczas pobierania i skanu Combofixem proszę wyłączyć wszelkie zapory i antywirusy

Otwórz notatnik i wklej

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri … iemoes.gif

Powinno rozpocząć się usuwanie

Potem log z usuwania Combofix

Jackeer · 5 Grudzień 2008 21:24

ComboFix 08-12-05.02 - Jackeer 2008-12-05 22:15:09.1 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.3.1250.1.1045.18.268 [GMT 1:00]

Uruchomiony z: c:\documents and settings\Jackeer\Pulpit\ComboFix.exe

Użyto następujących komend :: c:\documents and settings\Jackeer\Pulpit\CFScript.txt

* Utworzono nowy punkt przywracania

.

((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\progra~1\MYWEBS~1\bar

c:\progra~1\MYWEBS~1\bar\1.bin\F3BKGERR.JPG

c:\progra~1\MYWEBS~1\bar\1.bin\F3CJPEG.DLL

c:\progra~1\MYWEBS~1\bar\1.bin\F3HISTSW.DLL

c:\progra~1\MYWEBS~1\bar\1.bin\F3HTTPCT.DLL

c:\progra~1\MYWEBS~1\bar\1.bin\F3SCHMON.EXE

c:\progra~1\MYWEBS~1\bar\1.bin\F3SPACER.WMV

c:\progra~1\MYWEBS~1\bar\1.bin\F3WALLPP.DAT

c:\progra~1\MYWEBS~1\bar\1.bin\FWPBUDDY.PNG

c:\progra~1\MYWEBS~1\bar\1.bin\M3FFXTBR.MANIFEST

c:\progra~1\MYWEBS~1\bar\1.bin\M3HIGHIN.EXE

c:\progra~1\MYWEBS~1\bar\1.bin\M3IMPIPE.EXE

c:\progra~1\MYWEBS~1\bar\1.bin\M3MEDINT.EXE

c:\progra~1\MYWEBS~1\bar\1.bin\M3NTSTBR.MANIFEST

c:\progra~1\MYWEBS~1\bar\1.bin\M3OUTLCN.DLL

c:\progra~1\MYWEBS~1\bar\1.bin\M3SKPLAY.EXE

c:\progra~1\MYWEBS~1\bar\1.bin\NPMYWEBS.DLL

c:\progra~1\MYWEBS~1\bar\Avatar\COMMON.F3S

c:\progra~1\MYWEBS~1\bar\Cache\00724BF6

c:\progra~1\MYWEBS~1\bar\Cache\00726C0A.bin

c:\progra~1\MYWEBS~1\bar\Cache\00727803.bin

c:\progra~1\MYWEBS~1\bar\Cache\007283BF.bin

c:\progra~1\MYWEBS~1\bar\Cache\007286FE.bin

c:\progra~1\MYWEBS~1\bar\Cache\00728B10.bin

c:\progra~1\MYWEBS~1\bar\Cache\files.ini

c:\progra~1\MYWEBS~1\bar\Game\CHECKERS.F3S

c:\progra~1\MYWEBS~1\bar\Game\CHESS.F3S

c:\progra~1\MYWEBS~1\bar\Game\REVERSI.F3S

c:\progra~1\MYWEBS~1\bar\History\search2

c:\progra~1\MYWEBS~1\bar\icons\CM.ICO

c:\progra~1\MYWEBS~1\bar\icons\MFC.ICO

c:\progra~1\MYWEBS~1\bar\icons\PSS.ICO

c:\progra~1\MYWEBS~1\bar\icons\SMILEY.ICO

c:\progra~1\MYWEBS~1\bar\icons\WB.ICO

c:\progra~1\MYWEBS~1\bar\icons\ZWINKY.ICO

c:\progra~1\MYWEBS~1\bar\Message\COMMON.F3S

c:\progra~1\MYWEBS~1\bar\Notifier\COMMON.F3S

c:\progra~1\MYWEBS~1\bar\Notifier\DOG.F3S

c:\progra~1\MYWEBS~1\bar\Notifier\FISH.F3S

c:\progra~1\MYWEBS~1\bar\Notifier\KUNGFU.F3S

c:\progra~1\MYWEBS~1\bar\Notifier\LIFEGARD.F3S

c:\progra~1\MYWEBS~1\bar\Notifier\MAID.F3S

c:\progra~1\MYWEBS~1\bar\Notifier\MAILBOX.F3S

c:\progra~1\MYWEBS~1\bar\Notifier\OPERA.F3S

c:\progra~1\MYWEBS~1\bar\Notifier\ROBOT.F3S

c:\progra~1\MYWEBS~1\bar\Notifier\SEDUCT.F3S

c:\progra~1\MYWEBS~1\bar\Notifier\SURFER.F3S

c:\progra~1\MYWEBS~1\bar\Settings\prevcfg2.htm

c:\progra~1\MYWEBS~1\bar\Settings\s_pid.dat

c:\program files\FunWebProducts

c:\program files\FunWebProducts\Shared\Cache\CursorManiaBtn.html

c:\program files\FunWebProducts\Shared\Cache\SmileyCentralBtn.html

c:\program files\MyWebSearch

c:\program files\MyWebSearch\bar\1.bin\F3BKGERR.JPG

c:\program files\MyWebSearch\bar\1.bin\F3CJPEG.DLL

c:\program files\MyWebSearch\bar\1.bin\F3HISTSW.DLL

c:\program files\MyWebSearch\bar\1.bin\F3HTTPCT.DLL

c:\program files\MyWebSearch\bar\1.bin\F3SCHMON.EXE

c:\program files\MyWebSearch\bar\1.bin\F3SPACER.WMV

c:\program files\MyWebSearch\bar\1.bin\F3WALLPP.DAT

c:\program files\MyWebSearch\bar\1.bin\FWPBUDDY.PNG

c:\program files\MyWebSearch\bar\1.bin\M3FFXTBR.MANIFEST

c:\program files\MyWebSearch\bar\1.bin\M3HIGHIN.EXE

c:\program files\MyWebSearch\bar\1.bin\M3IMPIPE.EXE

c:\program files\MyWebSearch\bar\1.bin\M3MEDINT.EXE

c:\program files\MyWebSearch\bar\1.bin\M3NTSTBR.MANIFEST

c:\program files\MyWebSearch\bar\1.bin\M3OUTLCN.DLL

c:\program files\MyWebSearch\bar\1.bin\M3SKPLAY.EXE

c:\program files\MyWebSearch\bar\1.bin\NPMYWEBS.DLL

c:\program files\MyWebSearch\bar\Avatar\COMMON.F3S

c:\program files\MyWebSearch\bar\Cache\00724BF6

c:\program files\MyWebSearch\bar\Cache\00726C0A.bin

c:\program files\MyWebSearch\bar\Cache\00727803.bin

c:\program files\MyWebSearch\bar\Cache\007283BF.bin

c:\program files\MyWebSearch\bar\Cache\007286FE.bin

c:\program files\MyWebSearch\bar\Cache\00728B10.bin

c:\program files\MyWebSearch\bar\Cache\files.ini

c:\program files\MyWebSearch\bar\Game\CHECKERS.F3S

c:\program files\MyWebSearch\bar\Game\CHESS.F3S

c:\program files\MyWebSearch\bar\Game\REVERSI.F3S

c:\program files\MyWebSearch\bar\History\search2

c:\program files\MyWebSearch\bar\icons\CM.ICO

c:\program files\MyWebSearch\bar\icons\MFC.ICO

c:\program files\MyWebSearch\bar\icons\PSS.ICO

c:\program files\MyWebSearch\bar\icons\SMILEY.ICO

c:\program files\MyWebSearch\bar\icons\WB.ICO

c:\program files\MyWebSearch\bar\icons\ZWINKY.ICO

c:\program files\MyWebSearch\bar\Message\COMMON.F3S

c:\program files\MyWebSearch\bar\Notifier\COMMON.F3S

c:\program files\MyWebSearch\bar\Notifier\DOG.F3S

c:\program files\MyWebSearch\bar\Notifier\FISH.F3S

c:\program files\MyWebSearch\bar\Notifier\KUNGFU.F3S

c:\program files\MyWebSearch\bar\Notifier\LIFEGARD.F3S

c:\program files\MyWebSearch\bar\Notifier\MAID.F3S

c:\program files\MyWebSearch\bar\Notifier\MAILBOX.F3S

c:\program files\MyWebSearch\bar\Notifier\OPERA.F3S

c:\program files\MyWebSearch\bar\Notifier\ROBOT.F3S

c:\program files\MyWebSearch\bar\Notifier\SEDUCT.F3S

c:\program files\MyWebSearch\bar\Notifier\SURFER.F3S

c:\program files\MyWebSearch\bar\Settings\prevcfg2.htm

c:\program files\MyWebSearch\bar\Settings\s_pid.dat

.

((((((((((((((((((((((((((((((((((((((( Sterowniki/Usługi )))))))))))))))))))))))))))))))))))))))))))))))))

.

-------\Legacy_MYWEBSEARCHSERVICE

((((((((((((((((((((((((( Pliki utworzone od 2008-11-05 do 2008-12-05 )))))))))))))))))))))))))))))))

.

2008-12-05 21:15 . 2008-12-05 21:22

2008-12-05 21:14 . 2008-12-05 22:18

2008-12-05 21:14 . 2008-12-05 21:14 77,824 --a----t- c:\windows\system32\DRWEBSP.DLL

2008-12-05 20:50 . 2008-12-05 20:50

2008-11-26 22:41 . 2008-11-26 22:41

2008-11-26 21:52 . 2008-11-26 21:52

2008-11-26 21:10 . 2008-12-05 18:00

2008-11-26 21:10 . 2008-11-26 21:10

2008-11-25 23:09 . 2008-11-25 23:09 7,680 --a------ c:\windows\Jackeer.pcb

2008-11-25 20:29 . 2008-11-25 20:29

2008-11-24 22:20 . 2008-11-24 22:20

2008-11-24 22:13 . 2008-11-24 22:14

2008-11-24 21:14 . 2008-11-24 21:14 38 --a------ c:\windows\AviSplitter.INI

2008-11-23 23:55 . 2008-11-23 23:55

2008-11-23 23:45 . 2008-11-23 23:45

2008-11-23 23:40 . 2008-11-23 23:40

2008-11-14 22:01 . 2008-11-14 22:01

2008-11-14 22:01 . 2008-07-09 09:05 421,888 --a------ c:\windows\system32\ac3filter.acm

2008-11-14 21:32 . 2008-11-14 21:32

2008-11-08 22:39 . 2008-11-08 22:39

.

(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-12-05 21:19 --------- d-----w c:\documents and settings\Jackeer\Dane aplikacji\Hamachi

2008-12-05 21:07 --------- d–h--w c:\program files\InstallShield Installation Information

2008-12-05 21:07 --------- d-----w c:\program files\Kalendarz XP

2008-12-05 21:07 --------- d-----w c:\documents and settings\Jackeer\Dane aplikacji\DNA

2008-12-05 20:08 --------- d-----w c:\documents and settings\All Users\Dane aplikacji\Kaspersky Lab

2008-12-05 18:49 --------- d-----w c:\documents and settings\All Users\Dane aplikacji\Kaspersky Lab Setup Files

2008-12-01 19:40 --------- d-----w c:\documents and settings\Jackeer\Dane aplikacji\BitTorrent

2008-11-26 17:51 --------- d-----w c:\program files\Common Files\Adobe

2008-11-24 21:13 --------- d-----w c:\program files\Common Files\Apple

2008-11-23 22:40 --------- d-----w c:\program files\Mozilla Thunderbird

2008-11-14 20:34 --------- d-----w c:\program files\Ganymede

2008-11-10 07:41 --------- d-----w c:\program files\Gadu-Gadu

2008-11-04 21:11 --------- d-----w c:\program files\HD Tune

2008-10-25 11:17 --------- d-----w c:\documents and settings\Jackeer\Dane aplikacji\Media Player Classic

2008-10-17 21:25 --------- d-----w c:\program files\Hamachi

2008-10-17 21:24 25,280 ----a-w c:\windows\system32\drivers\hamachi.sys

2008-10-09 18:12 --------- d-----w c:\program files\Windows Messaging

2008-05-02 23:29 32,768 --sha-w c:\windows\system32\config\systemprofile\Ustawienia lokalne\Historia\History.IE5\MSHist012008050320080504\index.dat

.

((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))

.

*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“CTFMON.EXE”=“c:\windows\system32\ctfmon.exe” [2008-04-14 15360]

“MSMSGS”=“c:\program files\Messenger\msmsgs.exe” [2008-04-14 1695232]

“Gadu-Gadu”=“c:\program files\Gadu-Gadu\gg.exe” [2007-11-14 2131392]

“DAEMON Tools Lite”=“c:\program files\DAEMON Tools Lite\daemon.exe” [2008-04-01 486856]

“BitTorrent DNA”=“c:\program files\DNA\btdna.exe” [2008-05-11 289088]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“SunJavaUpdateSched”=“c:\program files\Java\jre1.6.0_07\bin\jusched.exe” [2008-06-10 144784]

“iPlusManager”=“c:\program files\iPlus\iPlusChecker.exe” [2008-05-30 409600]

“NvCplDaemon”=“c:\windows\system32\NvCpl.dll” [2003-11-17 3022848]

“iTunesHelper”=“c:\program files\iTunes\iTunesHelper.exe” [2008-03-30 267048]

“Adobe Reader Speed Launcher”=“c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe” [2008-06-12 34672]

“QuickTime Task”=“c:\program files\QuickTime\QTTask.exe” [2008-09-06 413696]

“nwiz”=“nwiz.exe” [2003-11-17 c:\windows\system32\nwiz.exe]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

“CTFMON.EXE”=“c:\windows\System32\CTFMON.EXE” [2008-04-14 15360]

c:\documents and settings\Jackeer\Menu Start\Programy\Autostart\

hamachi.lnk - c:\program files\Hamachi\hamachi.exe [2008-10-17 624416]

c:\documents and settings\All Users\Menu Start\Programy\Autostart\

Kalendarz XP.lnk - c:\program files\Kalendarz XP\Kalendarz.exe [2008-05-02 882176]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

“vidc.ffds”= ffdshow.ax

“msacm.ac3filter”= ac3filter.acm

[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

“EnableFirewall”= 0 (0x0)

[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

“%windir%\system32\sessmgr.exe”=

“c:\Program Files\DNA\btdna.exe”=

“d:\BitTorrent\bittorrent.exe”=

“d:\BearShare\BearShare.exe”=

“d:\BearShare Film\bearflix.exe”=

“c:\Program Files\Gadu-Gadu\gg.exe”=

“%windir%\Network Diagnostic\xpnetdiag.exe”=

“c:\Program Files\Bonjour\mDNSResponder.exe”=

“c:\Program Files\iTunes\iTunes.exe”=

[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

“61198:TCP”= 61198:TCP:bittorrent

R0 SiWinAcc;SiWinAcc;c:\windows\system32\drivers\SiWinAcc.sys [2008-04-28 10240]

R2 GtDetectSc;GtDetectSc Service;c:\program files\iPlus\Drivers\driver2k\GTMax\GtDetectSc.exe [2008-05-02 204800]

R2 GtFlashSwitch;GtFlashSwitch Service;c:\program files\iPlus\Drivers\driver2k\GTMax\GtFlashSwitch.exe [2008-05-02 204800]

S3 FileObjInfo;STFileDriver;??\c:\documents and settings\All Users\Dane aplikacji\Spyware Terminator\FileObjInfo.sys []

S3 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [2005-08-02 32512]

.

Zawartość folderu ‘Zaplanowane zadania’

2008-11-23 c:\windows\Tasks\AppleSoftwareUpdate.job

c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]

2008-12-05 c:\windows\Tasks\Norton Security Scan for Jackeer.job

c:\program files\Norton Security Scan\Nss.exe [2008-11-26 21:22]

.

------- Skan uzupełniający -------

.

TCP: {7CD5E3F3-74BA-4F15-8E39-517CD9AD8079} = 212.2.96.51 212.2.96.52

FireFox -: Profile - c:\documents and settings\Jackeer\Dane aplikacji\Mozilla\Firefox\Profiles\ji04et31.default\

FF -: plugin - c:\program files\DNA\plugins\npbtdna.dll

FF -: plugin - c:\program files\iTunes\Mozilla Plugins\npitunes.dll

FF -: plugin - c:\program files\Mozilla Firefox\plugins\NPBILLARD8.dll

FF -: plugin - c:\program files\Mozilla Firefox\plugins\NPMyWebS.dll

FF -: plugin - c:\program files\Opera\program\plugins\npganymedenet.dll

.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-12-05 22:19:12

Windows 5.1.2600 Dodatek Service Pack 3 NTFS

skanowanie ukrytych procesów …

skanowanie ukrytych wpisów autostartu …

skanowanie ukrytych plików …

skanowanie pomyślnie ukończone

ukryte pliki: 0

**************************************************************************

.

------------------------ Pozostałe uruchomione procesy ------------------------

.

c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

c:\program files\Bonjour\mDNSResponder.exe

c:\windows\system32\nvsvc32.exe

c:\windows\system32\wdfmgr.exe

c:\windows\system32\wscntfy.exe

c:\program files\iPod\bin\iPodService.exe

c:\program files\iPlus\iPlusManager.exe

.

**************************************************************************

.

Czas ukończenia: 2008-12-05 22:21:27 - komputer został uruchomiony ponownie

ComboFix-quarantined-files.txt 2008-12-05 21:21:20

Przed: 21 183 995 904 bajtów wolnych

Po: 21,674,647,552 bajtów wolnych

WindowsXP-KB310994-SP2-Pro-BootDisk-PLK.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT=“Microsoft Windows Recovery Console” /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS=“Microsoft Windows XP Professional” /fastdetect /NoExecute=OptIn

258

Jackeer · 5 Grudzień 2008 21:26

Ale “Norton Security Scan” nadal jest…

huber2t · 5 Grudzień 2008 22:25

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

Driver::

FileObjInfo


Folder::

C:\found.002

Plik -> zapisz jako -> CFScript.txt.

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->

Rozpocznie się usuwanie i powstanie log, który dasz na forum.

Logi dajesz na http://wklej.eu lub na http://wklej.org a w poście dajesz tylko link

Jackeer · 6 Grudzień 2008 10:36

http://wklej.org/id/25168/

huber2t · 6 Grudzień 2008 11:28

W logu nic nie widzę

usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.

Przeczyść komputer Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar całego komputera http://www.kaspersky.pl/virusscanner.html Daj raport z niego na forum

lub

Dr.WEB CureIt!

Jackeer · 7 Grudzień 2008 20:20

Skanuje już 7 godzin dysk programem Dr.WEB CureIt! i tam troche wirusów znalazł…

Ale czy da sie jakoś podłączyć dysk w komputerze do laptopa?

Pytam sie ponieważ na laptopie jest lepszy procek i szybciej by mi skanowało, bo na swoim komputerze mam proc Pentium III 733…

Trzeba by było to zrobić przez jakąś przejściówkę?

Jackeer.