Znowu ten oczyszczacz komputerza

Papadan · 29 Maj 2008 09:22

Witam, mam problem z oczyszczaczem komputerza, temamt ten byl wiele razy poruszany na forum jednak ja przegladajac wszystko nie znalazlem nic podobnego u siebie i w zwiazku z tym mam prosbe o rzucenie okiem na loga z hijacka na moim kompie i wyjasnienie co tu jest nie tak. z gory dziekuje. A to moj log:

Running processes:

C:\Windows\system32\Dwm.exe

C:\Windows\system32\taskeng.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe

C:\Windows\System32\rundll32.exe

C:\Windows\explorer.exe

C:\Program Files\Internet Explorer\ieuser.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\Windows\system32\taskeng.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

C:\Windows\system32\SearchFilterHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O1 - Hosts: ::1 localhost

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Program Files\Google\Google_BAE\BAE.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O4 - HKLM…\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM…\Run: [AVP] “C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe”

O4 - HKCU…\Run: [MSServer] rundll32.exe C:\Users\Anetka\AppData\Local\Temp\byXNeCsr.dll,#1

O4 - HKCU…\Run: [cmds] rundll32.exe C:\Users\Anetka\AppData\Local\Temp\awttqRkJ.dll,c

O4 - HKCU…\Run: [14df77d3] rundll32.exe “C:\Users\Anetka\AppData\Local\Temp\vmyvrrqy.dll”,b

O4 - HKCU…\Run: [bM17ec444f] Rundll32.exe “C:\Users\Anetka\AppData\Local\Temp\ruwialth.dll”,s

O4 - HKUS\S-1-5-19…\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User ‘USŁUGA LOKALNA’)

O4 - HKUS\S-1-5-19…\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User ‘USŁUGA LOKALNA’)

O4 - HKUS\S-1-5-20…\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User ‘USŁUGA SIECIOWA’)

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Statystyki dla ochrony WWW - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll

O9 - Extra button: Wyślij do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra ‘Tools’ menuitem: Wyślij &do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O13 - Gopher Prefix:

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s … wflash.cab

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL

O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL,C:\PROGRA~1\KASPER~1\KASPER~1.0\r3hook.dll

O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe

O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)

O23 - Service: GoogleDesktopManager - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktopManager.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)

O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\PIF{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe

niezDarek · 29 Maj 2008 09:23

to nie włączaj oczyszczenia tylko używaj np. CCleaner

JNJN · 29 Maj 2008 09:38

Przeczytaj tematy przyklejone w tym dziale i popraw posta, używaj polskich znaków, opcja edytuj i popraw.JNJN

huber2t · 29 Maj 2008 09:44

fix w hijackthis

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\Users\Anetka\AppData\Local\Temp\byXNeCsr.dll

C:\Users\Anetka\AppData\Local\Temp\awttqRkJ.dll

C:\Users\Anetka\AppData\Local\Temp\vmyvrrqy.dll

C:\Users\Anetka\AppData\Local\Temp\ruwialth.dll

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

Rozpocznie się usuwanie i powstanie log, daj ten log na forum.

Logi dajesz na http://www.wklej.org

Papadan · 29 Maj 2008 17:57

Witam ponownie,

mam nadzieję, że log z Combofixa dotarł?

Będę wdzięczny za komentarz.

huber2t · 29 Maj 2008 18:25

Daj w tym wątku log z combofix

Papadan · 29 Maj 2008 18:41

Wysłałem na wklej.org,

cytuję:

ComboFix 08-05-29.1 - Anetka 2008-05-29 18:47:39.2 - NTFSx86

Microsoft® Windows Vista™ Home Premium 6.0.6000.0.1250.1.1045.18.406 [GMT 2:00]

Running from: C:\Users\Anetka\Desktop\ComboFix.exe

Command switches used :: C:\Users\Anetka\Desktop\CFScript.txt

FILE ::

C:\Users\Anetka\AppData\Local\Temp\awttqRkJ.dll

C:\Users\Anetka\AppData\Local\Temp\byXNeCsr.dll

C:\Users\Anetka\AppData\Local\Temp\ruwialth.dll

C:\Users\Anetka\AppData\Local\Temp\vmyvrrqy.dll

.

((((((((((((((((((((((((( Files Created from 2008-04-28 to 2008-05-29 )))))))))))))))))))))))))))))))

.

No new files created in this timespan

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-05-29 16:46 --------- d-----w C:\Program Files\Crawler

2008-05-29 16:42 --------- d-----w C:\ProgramData\Spyware Terminator

2008-05-29 16:41 --------- d-----w C:\Users\Anetka\AppData\Roaming\Spyware Terminator

2008-05-29 16:41 --------- d-----w C:\Program Files\Spyware Terminator

2008-05-26 21:07 --------- d-----w C:\Users\Anetka\AppData\Roaming\uTorrent

2008-05-25 03:04 141,312 ----a-w C:\Windows\system32\drivers\sp_rsdrv2.sys

2008-05-25 00:47 --------- d—a-w C:\ProgramData\TEMP

2008-05-23 16:49 --------- d-----w C:\Program Files\DAEMON Tools Lite

2008-05-23 16:48 253,992 ----a-w C:\Users\Anetka\AppData\Roaming\installer_pl[1].exe

2008-05-23 15:46 --------- d-----w C:\Program Files\Trend Micro

2008-05-20 16:59 --------- d-----w C:\ProgramData\Symantec

2008-05-20 16:59 --------- d-----w C:\Program Files\Common Files\Symantec Shared

2008-05-20 16:47 --------- d-----w C:\Program Files\Symantec

2008-05-20 16:33 --------- d-----w C:\ProgramData\Kaspersky Lab Setup Files

2008-05-19 17:30 --------- d-----w C:\ProgramData\Lavasoft

2008-05-18 09:10 --------- d-----w C:\Users\Anetka\AppData\Roaming\Media Player Classic

2008-05-17 22:53 58,368 ----a-w C:\Windows\System32\efcCttuV.dll

2008-05-17 22:50 58,368 ----a-w C:\Windows\System32\geBtRjGY.dll

2008-05-17 22:45 58,368 ----a-w C:\Windows\System32\ljJCSigF.dll

2008-05-17 22:44 58,368 ----a-w C:\Windows\System32\tuvSkIaW.dll

2008-05-16 22:44 45,768 ----a-w C:\Windows\system32\drivers\MiniIcpt.sys

2008-05-16 22:41 --------- d–h--w C:\Program Files\InstallShield Installation Information

2008-05-11 19:14 --------- d-----w C:\Program Files\Mozilla Thunderbird

2008-05-09 17:47 --------- d-----w C:\Program Files\Common Files\Adobe

2008-05-08 21:42 --------- d-----w C:\Program Files\Eusing Free Registry Cleaner

2008-04-26 13:26 --------- d-----w C:\Program Files\SpywareDestructor

2008-04-19 08:38 --------- d-----w C:\Program Files\Ashampoo

2008-04-19 06:47 --------- d-----w C:\Users\Anetka\AppData\Roaming\Skype

2008-04-07 19:33 --------- d-----w C:\Program Files\Activision

2008-04-06 18:16 --------- d-----w C:\Program Files\7-Zip

2008-03-20 10:08 87,040 ----a-w C:\Windows\System32\msoert2.dll

2008-03-20 10:08 49,664 ----a-w C:\Windows\System32\csrsrv.dll

2008-03-20 10:08 39,424 ----a-w C:\Windows\System32\ACCTRES.dll

2008-03-20 10:08 376,320 ----a-w C:\Windows\System32\winsrv.dll

2008-03-20 10:08 205,824 ----a-w C:\Windows\System32\msoeacct.dll

2008-03-20 10:08 194,560 ----a-w C:\Windows\System32\WebClnt.dll

2008-03-20 10:03 414,208 ----a-w C:\Windows\System32\msscp.dll

2008-03-19 18:21 374,456 ----a-w C:\Windows\System32\mcupdate_GenuineIntel.dll

2008-03-19 18:21 2,048 ----a-w C:\Windows\System32\msxml3r.dll

2008-03-19 18:21 1,191,936 ----a-w C:\Windows\System32\msxml3.dll

2008-03-19 18:00 86,016 ----a-w C:\Windows\System32\icfupgd.dll

2008-03-19 18:00 61,952 ----a-w C:\Windows\System32\cmifw.dll

2008-03-19 18:00 396,800 ----a-w C:\Windows\System32\MPSSVC.dll

2008-03-19 18:00 392,192 ----a-w C:\Windows\System32\FirewallAPI.dll

2008-03-19 18:00 16,896 ----a-w C:\Windows\System32\wfapigp.dll

2008-03-19 17:59 8,147,968 ----a-w C:\Windows\System32\wmploc.DLL

2008-03-19 17:59 7,680 ----a-w C:\Windows\System32\spwmp.dll

2008-03-19 17:59 4,096 ----a-w C:\Windows\System32\dxmasf.dll

2008-03-19 17:59 178,688 ----a-w C:\Windows\System32\iphlpsvc.dll

2008-03-19 17:58 24,064 ----a-w C:\Windows\System32\netcfg.exe

2008-03-19 17:58 22,016 ----a-w C:\Windows\System32\netiougc.exe

2008-03-19 17:58 167,424 ----a-w C:\Windows\System32\tcpipcfg.dll

2008-03-19 17:58 104,448 ----a-w C:\Windows\System32\DWWIN.EXE

2008-03-19 17:57 9,728 ----a-w C:\Windows\System32\LAPRXY.DLL

2008-03-19 17:57 223,232 ----a-w C:\Windows\System32\WMASF.DLL

2008-03-19 17:57 2,048 ----a-w C:\Windows\System32\msxml6r.dll

2008-03-19 17:57 2,048 ----a-w C:\Windows\System32\asferror.dll

2008-03-19 17:57 1,335,296 ----a-w C:\Windows\System32\msxml6.dll

2008-03-19 17:57 1,327,104 ----a-w C:\Windows\System32\quartz.dll

2008-03-19 17:56 84,480 ----a-w C:\Windows\System32\INETRES.dll

2008-03-19 17:56 737,792 ----a-w C:\Windows\System32\inetcomm.dll

2008-03-19 17:56 11,776 ----a-w C:\Windows\System32\sbunattend.exe

2008-03-19 17:55 788,992 ----a-w C:\Windows\System32\rpcrt4.dll

2008-03-19 17:54 5,120 ----a-w C:\Windows\System32\wmi.dll

2008-03-19 17:54 3,504,824 ----a-w C:\Windows\System32\ntkrnlpa.exe

2008-03-19 17:54 3,470,520 ----a-w C:\Windows\System32\ntoskrnl.exe

2008-03-19 17:54 152,576 ----a-w C:\Windows\System32\imagehlp.dll

2008-03-19 17:53 633,856 ----a-w C:\Windows\System32\user32.dll

2008-03-19 17:53 2,048 ----a-w C:\Windows\System32\tzres.dll

2008-03-19 17:50 750,080 ----a-w C:\Windows\System32\qmgr.dll

2008-03-18 22:53 53,080 ----a-w C:\Windows\System32\wuauclt.exe

2008-03-18 22:53 43,352 ----a-w C:\Windows\System32\wups2.dll

2008-03-18 22:53 1,712,984 ----a-w C:\Windows\System32\wuaueng.dll

2008-03-18 22:53 1,524,224 ----a-w C:\Windows\System32\wucltux.dll

2008-03-18 22:52 80,896 ----a-w C:\Windows\System32\wudriver.dll

2008-03-18 22:52 549,720 ----a-w C:\Windows\System32\wuapi.dll

2008-03-18 22:52 33,624 ----a-w C:\Windows\System32\wups.dll

2008-03-18 22:52 31,232 ----a-w C:\Windows\System32\wuapp.exe

2008-03-18 22:52 163,000 ----a-w C:\Windows\System32\wuwebv.dll

2008-02-29 06:51 19,000 ----a-w C:\Windows\System32\kd1394.dll

2008-02-29 06:39 40,960 ----a-w C:\Windows\System32\srclient.dll

2008-02-29 06:39 371,712 ----a-w C:\Windows\System32\srcore.dll

2008-02-29 06:38 313,856 ----a-w C:\Windows\System32\rstrui.exe

2008-02-29 06:38 16,384 ----a-w C:\Windows\System32\srdelayed.exe

2008-02-29 06:35 6,656 ----a-w C:\Windows\System32\kbd106n.dll

2008-02-29 06:34 7,168 ----a-w C:\Windows\System32\f3ahvoas.dll

2008-02-29 04:16 2,027,008 ----a-w C:\Windows\System32\win32k.sys

2006-11-02 12:50 174 --sha-w C:\Program Files\desktop.ini

.

------- Sigcheck -------

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

*Note* empty entries & legit default entries are not shown

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“SynTPEnh”=“C:\Program Files\Synaptics\SynTP\SynTPEnh.exe” [2006-11-16 08:45 815104]

“SpywareTerminator”=“C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe” [2008-05-25 05:04 1817600]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]

“{81AA6A16-B8CA-43C4-A347-A487764FF528}”= C:\Windows\system32\tuvSkIaW.dll [2008-05-18 00:44 58368]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

“UacDisableNotify”=dword:00000001

“InternetSettingsDisableNotify”=dword:00000001

“AutoUpdateDisableNotify”=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]

“DisableMonitoring”=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]

“DisableMonitoring”=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]

“DisableMonitoring”=dword:00000001

[HKLM~\services\sharedaccess\parameters\firewallpolicy\DomainProfile]

“EnableFirewall”= 0 (0x0)

[HKLM~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]

“{ED1A7EFF-75F9-47F6-A31C-50706746ED24}”= UDP:C:\Program Files\Skype\Phone\Skype.exe:Skype

“{E5C0B3F4-F9AE-449D-8F03-93E57D4ED000}”= TCP:C:\Program Files\Skype\Phone\Skype.exe:Skype

“{56C4E663-988B-4D0A-898B-DEACE67924BE}”= TCP:6004|C:\Program Files\Microsoft Office\Office12\outlook.exe:Microsoft Office Outlook

“{80F61495-A527-4031-8859-17BB06F0EFFD}”= UDP:C:\Program Files\Microsoft Office\Office12\GROOVE.EXE:Microsoft Office Groove

“{47F30283-7E25-42C1-BF59-EDC09489C77A}”= TCP:C:\Program Files\Microsoft Office\Office12\GROOVE.EXE:Microsoft Office Groove

“{E7F28E7F-3851-4A1E-BEE6-D2C2BE5C4599}”= UDP:C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote

“{B49CA6D7-5193-4BCA-BA0F-6BEABE781E60}”= TCP:C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote

[HKLM~\services\sharedaccess\parameters\firewallpolicy\PublicProfile]

“EnableFirewall”= 0 (0x0)

[HKLM~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System]

“DFSR-1”= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic|

[HKLM~\services\sharedaccess\parameters\firewallpolicy\StandardProfile]

“EnableFirewall”= 0 (0x0)

R1 IDSvix86;Symantec Intrusion Prevention Driver;C:\PROGRA~2\Symantec\DEFINI~1\SymcData\idsdefs\20080513.001\IDSvix86.sys [2008-03-12 09:30]

R1 sp_rsdrv2;Spyware Terminator Driver 2;C:\Windows\system32\drivers\sp_rsdrv2.sys [2008-05-25 05:04]

R3 R300;R300;C:\Windows\system32\DRIVERS\atikmdag.sys [2006-11-24 15:46]

R3 rt61x86;Ralink RT61 Wireless Driver for Windows Vista;C:\Windows\system32\DRIVERS\netr61.sys [2006-12-12 08:38]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{b6d90a74-f81d-11dc-baf9-001b240a4b25}]

\shell\AutoRun\command - E:\Setup.now.exe

.

Contents of the ‘Scheduled Tasks’ folder

“2008-05-29 16:30:10 C:\Windows\Tasks\Recovery DVD Creator.job”

C:\Program Files\Packard Bell\SetupMyPc\MCDCheck.exe

.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-05-29 18:49:34

Windows 6.0.6000 NTFS

scanning hidden processes …

scanning hidden autostart entries …

scanning hidden files …

scan completed successfully

hidden files: 0

**************************************************************************

.

Completion time: 2008-05-29 18:50:17

ComboFix-quarantined-files.txt 2008-05-29 16:50:12

ComboFix2.txt 2008-05-29 16:39:54

System nie może znaleźć komunikatu dla numeru komunikatu 0x2379 w pliku komunikatów dla Application.

170 — E O F — 2008-05-29 16:41:59

huber2t · 29 Maj 2008 18:57

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\Windows\System32\efcCttuV.dll

C:\Windows\System32\geBtRjGY.dll

C:\Windows\System32\ljJCSigF.dll

C:\Windows\System32\tuvSkIaW.dll


Registry::

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]

"{81AA6A16-B8CA-43C4-A347-A487764FF528}"=-

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

Rozpocznie się usuwanie i powstanie log, daj ten log na forum.

Logi dajesz na http://www.wklej.org

Papadan · 29 Maj 2008 19:54

Dzięki za cierpliwość,

właśnie wkleiłem rzeczony log

na www.wklej.org

huber2t · 29 Maj 2008 19:55

Podaj link do tego loga

Papadan · 29 Maj 2008 20:13

http://www.wklej.org/id/e1ce2e8e45

huber2t · 29 Maj 2008 20:17

Log wyglada na czysty

Usuń ręcznie folder C:\Qoobox ,usuń instalkę Combofix z dysku

Przeczyść komputer Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum

Włącz przywracanie systemu.

Papadan · 29 Maj 2008 20:34

Wielkie dzięki

huber2t · 29 Maj 2008 20:35

Przeskanuj Kasperskim i daj log na forum

Papadan · 29 Maj 2008 22:25

Witam,

racja, wg Kaspersky coś jednak nie halo,

http://www.wklej.org/id/7bcc3a32af

co dalej?

huber2t · 30 Maj 2008 02:45

Pobierz The Avenger

wklej do niego ten tekst:

Files to delete:

C:\Users\Anetka\AppData\Roaming\installer_pl[1].exe

kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

Papadan · 30 Maj 2008 16:55

Właśnie wysłałem:

http://www.wklej.org/id/ece067ee9d

Leon1 · 30 Maj 2008 21:47

plik usunięty powinno być OK