Heyka pisze w takiej sprawie bo moj Kasperski Natyvirus 6.0 wykryl mi trojana.generic problem tkwi jednak w tym iz… nie moge z nim zrobic… tzn do kwarantanny nie moge i usunac tez… dodam jeszcze ze logi mam czyste wie ktos moze jak to usunac?bym byl wdzieczny za pomoc
Podaj lokalizację zainfekowanego pliku
raquo
tzn jest tak ze mi wyskakuja te okienka z paroma sciezkami jedna z nich to np…C:\Widnows\system32.a.exe
albo C:\lo.exe albo C:\Windows.temp\dl787842.exe
ComboFix 08-01-10.2 - EWA 2008-01-10 18:19:29.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.0.1250.1.1045.18.103 [GMT 1:00]
Running from: C:\Downloads\ComboFix.exe
* Created a new restore point
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Documents and Settings\EWA\Dane aplikacji\install.dat
C:\Documents and Settings\EWA\Menu Start\Programy\Brave-Sentry
C:\Documents and Settings\EWA\Menu Start\Programy\Brave-Sentry\BraveSentry.lnk
C:\Documents and Settings\EWA\Menu Start\Programy\Brave-Sentry\Uninstall.lnk
C:\Documents and Settings\LocalService\Dane aplikacji\NetMon
C:\Documents and Settings\LocalService\Dane aplikacji\NetMon\domains.txt
C:\Documents and Settings\LocalService\Dane aplikacji\NetMon\log.txt
C:\Program Files\bravesentry
C:\Program Files\bravesentry\BraveSentry.exe
C:\Program Files\bravesentry\BraveSentry.lic
C:\Program Files\bravesentry\BraveSentry0.bs
C:\Program Files\bravesentry\BraveSentry0.dll
C:\Program Files\bravesentry\BraveSentry1.bs
C:\Program Files\bravesentry\BraveSentry2.dll
C:\Program Files\bravesentry\BraveSentry3.dll
C:\Program Files\bravesentry\Uninstall.exe
C:\Program Files\network monitor
C:\Program Files\network monitor\netmon.exe
C:\Program Files\outlook
C:\WINDOWS\rundll32.exe
C:\WINDOWS\system32\atmtd.dll
C:\WINDOWS\system32\atmtd.dll._
C:\WINDOWS\system32\dlh9jkd1q8.exe
C:\WINDOWS\system32\dllgh8jkd1q8.exe
C:\WINDOWS\system32\drivers\runtime2.sys
C:\WINDOWS\system32\kdzfe.exe
C:\WINDOWS\system32\kernel32.exe
C:\WINDOWS\system32\kernelwind32.exe
C:\WINDOWS\system32\msmsgs.exe
C:\WINDOWS\system32\vx.tll
C:\WINDOWS\system32\wsnpoem
C:\WINDOWS\uninstall_nmon.vbs
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\LEGACY_DRIVER
-------\LEGACY_NDISWON
-------\LEGACY_NETWORK_MONITOR
-------\LEGACY_RUNTIME
-------\LEGACY_RUNTIME2
-------\LEGACY_SMTPDRV
-------\Driver
-------\NdisWon
-------\Network Monitor
-------\runtime
-------\smtpdrv
((((((((((((((((((((((((( Files Created from 2007-12-10 to 2008-01-10 )))))))))))))))))))))))))))))))
.
2008-01-10 16:08 . 2008-01-10 16:08 52,736 --------- C:\WINDOWS\system32\mdm.exe
2008-01-10 16:03 . 2008-01-10 16:03 53,248 —hs---- C:\WINDOWS\system32\Offlce.exe
2008-01-10 16:01 . 2008-01-10 16:01 55,296 —hs---- C:\lo.exe
2008-01-09 17:03 . 2008-01-10 18:26 6,042,656 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-01-09 17:03 . 2008-01-10 18:26 11,732 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-01-09 17:03 . 2008-01-10 18:27 7,456 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2008-01-09 17:03 . 2008-01-10 18:26 1,748 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx
2008-01-09 16:33 . 2008-01-09 16:33
2008-01-08 22:17 . 2008-01-08 22:17 298,104 --a------ C:\WINDOWS\system32\imon.dll
2008-01-08 20:51 . 2008-01-08 20:51
2007-12-27 02:30 . 2007-12-27 02:30 1,568 --a------ C:\Uninstall.lnk
2007-12-27 01:16 . 2007-12-27 01:16 30,583 --a------ C:\WINDOWS\system32\e1.exe
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-10 17:17 22,066 ----a-w C:\Program Files\Default.jcd.bak
2008-01-10 17:17 22,066 ----a-w C:\Program Files\Default.jcd
2008-01-10 17:15 --------- d-----w C:\Program Files\Neostrada TP
2008-01-09 15:27 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab
2008-01-08 20:04 --------- d-----w C:\Program Files\Common Files\Symantec Shared
2008-01-08 19:35 21,857 ----a-w C:\Program Files\Default.bk1
2008-01-08 18:48 --------- d-----w C:\Documents and Settings\EWA\Dane aplikacji\Hamachi
2008-01-06 16:57 --------- d-----w C:\Documents and Settings\EWA\Dane aplikacji\OpenOffice.ux.pl2
2008-01-06 10:57 21,599 ----a-w C:\Program Files\Default.bk2
2008-01-05 20:11 21,582 ----a-w C:\Program Files\Default.bk3
2007-12-27 01:49 --------- d-----w C:\Program Files\Common Files\G DATA
2007-12-27 01:03 16,512 ----a-w C:\WINDOWS\system32\drivers\ASPI32.SYS
2007-12-23 00:15 --------- d-----w C:\Documents and Settings\EWA\Dane aplikacji\Skype
2007-12-22 18:18 25,280 ----a-w C:\WINDOWS\system32\drivers\hamachi.sys
2007-12-08 16:40 --------- d-----w C:\Documents and Settings\EWA\Dane aplikacji\GanymedeNet
2007-12-07 17:23 --------- d-----w C:\Program Files\Ganymede
2007-12-02 17:39 --------- d-----w C:\Program Files\ConsoleClassix.com
2007-12-02 17:23 --------- d-----w C:\Program Files\Volleyball Manager 2007
2007-11-25 14:16 --------- d-----w C:\Program Files\gadunio
2007-05-23 03:00 1,006,944 ----a-w C:\Program Files\HamachiSetup-1.0.2.2-pl.exe
2007-01-25 22:40 21,696,576 ----a-w C:\Program Files\AdbeRdr602_pol_full.exe
2006-11-25 21:52 312,768 ----a-w C:\Program Files\InstallCZATeriaKam1_4.exe
2005-08-15 13:54 1,318,912 ----a-w C:\Program Files\flashget.exe
2007-08-30 19:39 23 --sha-w C:\WINDOWS\system32\defedbbb2_g.dll
2005-07-29 15:24 472 --sha-r C:\WINDOWS\WFhY\qI1s.vbs
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“WooCnxMon”=“C:\PROGRA~1\NEOSTR~1\CnxMon.exe” [2003-10-16 17:07 24576]
“SpeedTouch USB Diagnostics”=“C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe” [2004-01-26 10:38 866816]
“SunJavaUpdateSched”=“C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe” [2007-03-14 02:43 83608]
“WOOTASKBARICON”=“C:\Program Files\Neostrada TP\taskbaricon.exe” [2003-10-16 17:07 53248]
“NvCplDaemon”=“C:\WINDOWS\System32\NvCpl.dll” [2005-04-01 15:16 5562368]
“kav”=“C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe” [2006-03-24 19:09 139367]
[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
“CTFMON.EXE”=“C:\WINDOWS\System32\CTFMON.EXE” [2001-10-26 18:29 13312]
“Microsoft Windows Driver”=“C:\WINDOWS\rundll32.exe” []
S3 WLC811GPCI;802.11b WLAN PCI;C:\WINDOWS\System32\DRIVERS\WLC811G.sys []
.
**************************************************************************
catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-10 18:28:17
Windows 5.1.2600 NTFS
scanning hidden processes …
scanning hidden autostart entries …
scanning hidden files …
scan completed successfully
hidden files: 0
**************************************************************************
.
Completion time: 2008-01-10 18:31:19 - machine was rebooted
ComboFix-quarantined-files.txt 2008-01-10 17:31:13
.
2007-09-01 16:59:01 — E O F —
Zmiana zasad wklejania logów na forum - viewtopic.php?f=16&t=213350
Wklej do Notatnika:
File::
C:\WINDOWS\system32\mdm.exe
C:\WINDOWS\system32\Offlce.exe
C:\lo.exe
C:\WINDOWS\system32\e1.exe
Registry::
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Windows Driver"=-
>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )
– podobnie jak na tym obrazku –>
(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)
Po restarcie usuń ręcznie folder C: ** Qoobox**.
Po tym nowy log z Combo
ComboFix 08-01-10.2 - EWA 2008-01-12 13:35:10.4 - NTFSx86
Running from: C:\Downloads\ComboFix.exe
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\system32\a.exe
C:\WINDOWS\system32\msmsgs.exe
.
((((((((((((((((((((((((( Files Created from 2007-12-12 to 2008-01-12 )))))))))))))))))))))))))))))))
.
2008-01-11 17:54 . 2008-01-11 17:54
2008-01-10 23:32 . 2008-01-10 23:32 128,000 -r-hs---- C:\WINDOWS\system32\spoolcv.exe
2008-01-10 22:25 . 2008-01-11 18:56
2008-01-10 22:25 . 2008-01-10 22:25
2008-01-10 22:25 . 2008-01-12 13:33
2008-01-10 22:25 . 2007-10-18 00:16 79,688 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2008-01-10 22:25 . 2007-10-18 00:15 62,280 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2008-01-10 22:25 . 2007-10-18 00:14 41,288 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2008-01-10 22:25 . 2007-10-18 00:16 29,000 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2008-01-10 22:24 . 2005-09-23 08:29 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll
2008-01-10 16:08 . 2008-01-10 22:52 52,736 —hs---- C:\WINDOWS\system32\mdm.exe
2008-01-10 16:03 . 2008-01-10 22:52 53,248 —hs---- C:\WINDOWS\system32\Offlce.exe
2008-01-10 16:01 . 2008-01-10 16:01 55,296 —hs---- C:\lo.exe
2008-01-09 17:03 . 2008-01-11 19:51 6,042,656 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-01-09 17:03 . 2008-01-12 13:38 18,720 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2008-01-09 17:03 . 2008-01-11 19:51 14,924 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-01-09 17:03 . 2008-01-11 19:51 2,612 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx
2008-01-09 16:33 . 2008-01-09 16:33
2008-01-08 22:17 . 2008-01-08 22:17 298,104 --a------ C:\WINDOWS\system32\imon.dll
2008-01-08 20:51 . 2008-01-08 20:51
2007-12-27 01:16 . 2007-12-27 01:16 30,583 --a------ C:\WINDOWS\system32\e1.exe
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-12 12:36 --------- d-----w C:\Program Files\Neostrada TP
2008-01-10 17:17 22,066 ----a-w C:\Program Files\Default.jcd.bak
2008-01-10 17:17 22,066 ----a-w C:\Program Files\Default.jcd
2008-01-09 15:27 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab
2008-01-08 20:04 --------- d-----w C:\Program Files\Common Files\Symantec Shared
2008-01-08 19:35 21,857 ----a-w C:\Program Files\Default.bk1
2008-01-08 18:48 --------- d-----w C:\Documents and Settings\EWA\Dane aplikacji\Hamachi
2008-01-06 16:57 --------- d-----w C:\Documents and Settings\EWA\Dane aplikacji\OpenOffice.ux.pl2
2008-01-06 10:57 21,599 ----a-w C:\Program Files\Default.bk2
2008-01-05 20:11 21,582 ----a-w C:\Program Files\Default.bk3
2007-12-27 01:49 --------- d-----w C:\Program Files\Common Files\G DATA
2007-12-27 01:07 50,458 ----a-w C:\WINDOWS\system32\interceptor.sys
2007-12-27 01:03 45,056 ----a-w C:\WINDOWS\system32\WNASPI32.DLL
2007-12-27 01:03 16,512 ----a-w C:\WINDOWS\system32\drivers\ASPI32.SYS
2007-12-23 00:15 --------- d-----w C:\Documents and Settings\EWA\Dane aplikacji\Skype
2007-12-22 18:18 25,280 ----a-w C:\WINDOWS\system32\drivers\hamachi.sys
2007-12-08 16:40 --------- d-----w C:\Documents and Settings\EWA\Dane aplikacji\GanymedeNet
2007-12-07 17:23 --------- d-----w C:\Program Files\Ganymede
2007-12-02 17:39 --------- d-----w C:\Program Files\ConsoleClassix.com
2007-12-02 17:23 --------- d-----w C:\Program Files\Volleyball Manager 2007
2007-11-25 14:16 --------- d-----w C:\Program Files\gadunio
2007-11-01 12:02 103,736 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
2007-05-23 03:00 1,006,944 ----a-w C:\Program Files\HamachiSetup-1.0.2.2-pl.exe
2007-01-25 22:40 21,696,576 ----a-w C:\Program Files\AdbeRdr602_pol_full.exe
2006-11-25 21:52 312,768 ----a-w C:\Program Files\InstallCZATeriaKam1_4.exe
2005-08-15 13:54 1,318,912 ----a-w C:\Program Files\flashget.exe
2007-08-30 19:39 23 --sha-w C:\WINDOWS\system32\defedbbb2_g.dll
.
((((((((((((((((((((((((((((( snapshot@2008-01-10_18.30.50.98 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-01-10 17:18:48 630,784 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000001\NTUSER.DAT
- 2008-01-11 17:56:20 630,784 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000001\NTUSER.DAT
- 2008-01-10 17:18:48 389,120 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000002\UsrClass.dat
- 2008-01-11 17:56:20 389,120 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000002\UsrClass.dat
- 2008-01-10 17:18:49 626,688 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000003\NTUSER.DAT
- 2008-01-11 17:56:20 626,688 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000003\NTUSER.DAT
- 2008-01-10 17:18:49 389,120 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000004\UsrClass.dat
- 2008-01-11 17:56:20 389,120 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000004\UsrClass.dat
- 2008-01-10 17:18:49 3,956,736 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000005\NTUSER.DAT
- 2008-01-11 17:56:21 3,956,736 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000005\NTUSER.DAT
- 2008-01-10 17:18:49 163,840 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000006\UsrClass.dat
- 2008-01-11 17:56:21 163,840 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000006\UsrClass.dat
- 2008-01-10 15:08:59 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
- 2008-01-12 11:42:03 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
- 2008-01-10 17:19:15 262,144 ----a-w C:\WINDOWS\system32\config\systemprofile\NtUser.dat
- 2008-01-12 12:35:04 262,144 ----a-w C:\WINDOWS\system32\config\systemprofile\NtUser.dat
- 2008-01-10 15:08:59 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Historia\History.IE5\index.dat
-
2008-01-12 11:42:03 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Historia\History.IE5\index.dat
-
2008-01-10 21:52:12 52,736 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\4YUS11WJ\bin[1].exe
-
2008-01-12 11:51:51 19,470 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\4YUS11WJ\f[1].exe
-
2008-01-12 12:02:56 14,659 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\84T8UGNC\mixit[1].exe
-
2008-01-12 09:04:20 54,272 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\84T8UGNC\mmdmm[1].exe
-
2008-01-12 11:42:03 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat
-
2008-01-10 21:52:08 53,248 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\TRM10EZP\md[1].exe
-
2008-01-12 11:54:18 4,380 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\TRM10EZP\mmdmm[1].exe
-
2008-01-11 17:48:45 31,232 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\V0H28BQ9\staff[1].exe
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“Microsoft Oftice”=“C:\WINDOWS\System32\msmsgs.exe” []
“OfficeWord Monitors”=“C:\WINDOWS\System32\Offlce.exe” [2008-01-10 22:52 53248]
“Windows Networking Monitoring”=“C:\WINDOWS\System32\mdm.exe” [2008-01-10 22:52 52736]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“WooCnxMon”=“C:\PROGRA~1\NEOSTR~1\CnxMon.exe” [2003-10-16 17:07 24576]
“SpeedTouch USB Diagnostics”=“C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe” [2004-01-26 10:38 866816]
“SunJavaUpdateSched”=“C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe” [2007-03-14 02:43 83608]
“WOOTASKBARICON”=“C:\Program Files\Neostrada TP\taskbaricon.exe” [2003-10-16 17:07 53248]
“NvCplDaemon”=“C:\WINDOWS\System32\NvCpl.dll” [2005-04-01 15:16 5562368]
“kav”=“C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe” [2006-03-24 19:09 139367]
“Microsoft Oftice”=“C:\WINDOWS\System32\msmsgs.exe” []
“OfficeWord Monitors”=“C:\WINDOWS\System32\Offlce.exe” [2008-01-10 22:52 53248]
“Windows Networking Monitoring”=“C:\WINDOWS\System32\mdm.exe” [2008-01-10 22:52 52736]
[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
“CTFMON.EXE”=“C:\WINDOWS\System32\CTFMON.EXE” [2001-10-26 18:29 13312]
“Microsoft Oftice”=“C:\WINDOWS\System32\msmsgs.exe” []
“OfficeWord Monitors”=“C:\WINDOWS\System32\Offlce.exe” [2008-01-10 22:52 53248]
“Windows Networking Monitoring”=“C:\WINDOWS\System32\mdm.exe” [2008-01-10 22:52 52736]
S3 WLC811GPCI;802.11b WLAN PCI;C:\WINDOWS\System32\DRIVERS\WLC811G.sys []
.
**************************************************************************
catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-12 13:38:39
Windows 5.1.2600 NTFS
scanning hidden processes …
scanning hidden autostart entries …
scanning hidden files …
scan completed successfully
hidden files: 0
**************************************************************************
.
Completion time: 2008-01-12 13:40:32
ComboFix-quarantined-files.txt 2008-01-12 12:40:23
ComboFix2.txt 2008-01-10 17:31:19
.
2007-09-01 16:59:01 — E O F —
nie wiem czy usunelo tamto komp chodzi tak jak wczesniej
Przeczytaj uważnie co masz zrobić:
Użyj Windows Worms Doors Cleanera zmień znaczki z disable na enable. Po użyciu tego narzędzia wymagany jest reset sysa.
Zmiana zasad wklejania logów na forum - viewtopic.php?f=16&t=213350
Wklej do Notatnika:
File::
C:\WINDOWS\system32\spoolcv.exe
C:\WINDOWS\system32\mdm.exe
C:\WINDOWS\system32\Offlce.exe
C:\lo.exe
C:\WINDOWS\system32\e1.exe
Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Oftice"=-
"OfficeWord Monitors"=-
"Windows Networking Monitoring"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Oftice"=-
"OfficeWord Monitors"=-
"Windows Networking Monitoring"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Oftice"=-
"OfficeWord Monitors"=-
"Windows Networking Monitoring"=-
>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )
– podobnie jak na tym obrazku –>
(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)
Po restarcie usuń ręcznie folder C: ** Qoobox**.
Po tym nowy log z Combo
Ten program Windows Worms Doors Cleaner to nie wiem czy go dobze uzylem… chyba zle jak bys mogl to jakos jasniej wyjasnic to by bylo fajnie co do tych wpisow to zrobilem jak kazales ale nic to nie dalo pewno te wirusy sie uaktualnia przy stracie kompa czy cos takiego to daje loga nastepnego… mam nadzieje ze ostatni
ComboFix 08-01-10.2 - EWA 2008-01-12 19:53:45.5 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.0.1250.1.1045.18.73 [GMT 1:00]
Running from: C:\Downloads\ComboFix.exe
Command switches used :: C:\Downloads\CFScript.txt
* Created a new restore point
FILE
C:\lo.exe
C:\WINDOWS\system32\e1.exe
C:\WINDOWS\system32\mdm.exe
C:\WINDOWS\system32\Offlce.exe
C:\WINDOWS\system32\spoolcv.exe
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\lo.exe
C:\WINDOWS\system32\a.exe
C:\WINDOWS\system32\e1.exe
C:\WINDOWS\system32\mdm.exe
C:\WINDOWS\system32\Offlce.exe
C:\WINDOWS\system32\spoolcv.exe
.
((((((((((((((((((((((((( Files Created from 2007-12-12 to 2008-01-12 )))))))))))))))))))))))))))))))
.
2008-01-11 17:54 . 2008-01-11 17:54
2008-01-10 22:25 . 2008-01-11 18:56
2008-01-10 22:25 . 2008-01-10 22:25
2008-01-10 22:25 . 2008-01-12 13:33
2008-01-10 22:25 . 2007-10-18 00:16 79,688 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2008-01-10 22:25 . 2007-10-18 00:15 62,280 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2008-01-10 22:25 . 2007-10-18 00:14 41,288 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2008-01-10 22:25 . 2007-10-18 00:16 29,000 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2008-01-10 22:24 . 2005-09-23 08:29 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll
2008-01-09 17:03 . 2008-01-11 19:51 6,042,656 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-01-09 17:03 . 2008-01-12 14:18 20,000 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2008-01-09 17:03 . 2008-01-11 19:51 14,924 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-01-09 17:03 . 2008-01-11 19:51 2,612 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx
2008-01-09 16:33 . 2008-01-09 16:33
2008-01-08 22:17 . 2008-01-08 22:17 298,104 --a------ C:\WINDOWS\system32\imon.dll
2008-01-08 20:51 . 2008-01-08 20:51
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-12 18:52 --------- d-----w C:\Program Files\Neostrada TP
2008-01-12 15:14 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy
2008-01-10 17:17 22,066 ----a-w C:\Program Files\Default.jcd.bak
2008-01-10 17:17 22,066 ----a-w C:\Program Files\Default.jcd
2008-01-09 15:27 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab
2008-01-08 20:04 --------- d-----w C:\Program Files\Common Files\Symantec Shared
2008-01-08 19:35 21,857 ----a-w C:\Program Files\Default.bk1
2008-01-08 18:48 --------- d-----w C:\Documents and Settings\EWA\Dane aplikacji\Hamachi
2008-01-06 16:57 --------- d-----w C:\Documents and Settings\EWA\Dane aplikacji\OpenOffice.ux.pl2
2008-01-06 10:57 21,599 ----a-w C:\Program Files\Default.bk2
2008-01-05 20:11 21,582 ----a-w C:\Program Files\Default.bk3
2007-12-27 01:49 --------- d-----w C:\Program Files\Common Files\G DATA
2007-12-27 01:07 50,458 ----a-w C:\WINDOWS\system32\interceptor.sys
2007-12-27 01:03 45,056 ----a-w C:\WINDOWS\system32\WNASPI32.DLL
2007-12-27 01:03 16,512 ----a-w C:\WINDOWS\system32\drivers\ASPI32.SYS
2007-12-23 00:15 --------- d-----w C:\Documents and Settings\EWA\Dane aplikacji\Skype
2007-12-22 18:18 25,280 ----a-w C:\WINDOWS\system32\drivers\hamachi.sys
2007-12-08 16:40 --------- d-----w C:\Documents and Settings\EWA\Dane aplikacji\GanymedeNet
2007-12-07 17:23 --------- d-----w C:\Program Files\Ganymede
2007-12-02 17:39 --------- d-----w C:\Program Files\ConsoleClassix.com
2007-12-02 17:23 --------- d-----w C:\Program Files\Volleyball Manager 2007
2007-11-25 14:16 --------- d-----w C:\Program Files\gadunio
2007-11-01 12:02 103,736 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
2007-05-23 03:00 1,006,944 ----a-w C:\Program Files\HamachiSetup-1.0.2.2-pl.exe
2007-01-25 22:40 21,696,576 ----a-w C:\Program Files\AdbeRdr602_pol_full.exe
2006-11-25 21:52 312,768 ----a-w C:\Program Files\InstallCZATeriaKam1_4.exe
2005-08-15 13:54 1,318,912 ----a-w C:\Program Files\flashget.exe
2007-08-30 19:39 23 --sha-w C:\WINDOWS\system32\defedbbb2_g.dll
.
((((((((((((((((((((((((((((( snapshot@2008-01-10_18.30.50.98 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-01-10 17:18:48 630,784 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000001\NTUSER.DAT
- 2008-01-12 18:53:38 630,784 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000001\NTUSER.DAT
- 2008-01-10 17:18:48 389,120 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000002\UsrClass.dat
- 2008-01-12 18:53:38 389,120 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000002\UsrClass.dat
- 2008-01-10 17:18:49 626,688 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000003\NTUSER.DAT
- 2008-01-12 18:53:38 626,688 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000003\NTUSER.DAT
- 2008-01-10 17:18:49 389,120 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000004\UsrClass.dat
- 2008-01-12 18:53:38 389,120 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000004\UsrClass.dat
- 2008-01-10 17:18:49 3,956,736 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000005\NTUSER.DAT
- 2008-01-12 18:53:38 3,956,736 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000005\NTUSER.DAT
- 2008-01-10 17:18:49 163,840 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000006\UsrClass.dat
- 2008-01-12 18:53:39 163,840 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000006\UsrClass.dat
- 2008-01-10 15:08:59 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
- 2008-01-12 18:41:37 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
- 2008-01-10 17:19:15 262,144 ----a-w C:\WINDOWS\system32\config\systemprofile\NtUser.dat
- 2008-01-12 12:35:04 262,144 ----a-w C:\WINDOWS\system32\config\systemprofile\NtUser.dat
- 2008-01-10 15:08:59 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Historia\History.IE5\index.dat
-
2008-01-12 18:41:37 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Historia\History.IE5\index.dat
-
2008-01-12 18:27:33 3,867 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\C5Q74TQF\md[1].exe
-
2008-01-12 18:41:37 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat
-
2008-01-12 18:29:14 3,936 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\MV0H2F2J\f[1].exe
-
2008-01-12 18:51:00 11,704 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\MV0H2F2J\f[2].exe
-
2008-01-12 17:46:00 7,682 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\MV0H2F2J\md[1].exe
-
2008-01-12 17:48:21 14,127 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\SDE3STEV\f[1].exe
-
2008-01-12 15:26:32 54,272 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\UZILG3IB\mixit[1].exe
-
2008-01-12 16:11:15 4,096 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\UZILG3IB\staff[1].exe
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“SpybotSD TeaTimer”=“C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe” [2007-08-31 16:46 1460560]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“WooCnxMon”=“C:\PROGRA~1\NEOSTR~1\CnxMon.exe” [2003-10-16 17:07 24576]
“SpeedTouch USB Diagnostics”=“C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe” [2004-01-26 10:38 866816]
“SunJavaUpdateSched”=“C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe” [2007-03-14 02:43 83608]
“WOOTASKBARICON”=“C:\Program Files\Neostrada TP\taskbaricon.exe” [2003-10-16 17:07 53248]
“NvCplDaemon”=“C:\WINDOWS\System32\NvCpl.dll” [2005-04-01 15:16 5562368]
“kav”=“C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe” [2006-03-24 19:09 139367]
[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
“CTFMON.EXE”=“C:\WINDOWS\System32\CTFMON.EXE” [2001-10-26 18:29 13312]
S3 WLC811GPCI;802.11b WLAN PCI;C:\WINDOWS\System32\DRIVERS\WLC811G.sys []
.
**************************************************************************
catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-12 19:57:10
Windows 5.1.2600 NTFS
scanning hidden processes …
scanning hidden autostart entries …
scanning hidden files …
scan completed successfully
hidden files: 0
**************************************************************************
.
Completion time: 2008-01-12 19:58:59
ComboFix-quarantined-files.txt 2008-01-12 18:58:50
ComboFix2.txt 2008-01-12 12:40:33
ComboFix3.txt 2008-01-10 17:31:19
.
2007-09-01 16:59:01 — E O F —
PROSIŁEM o coś - Zmiana zasad wklejania logów na forum - viewtopic.php?f=16&t=213350
Wklej do Notatnika:
File::
C:\Program Files\Default.jcd.bak
C:\Program Files\Default.jcd
C:\Program Files\Default.bk1
C:\Program Files\Default.bk2
C:\Program Files\Default.bk3
>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )
– podobnie jak na tym obrazku –>
(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)
Po restarcie usuń ręcznie folder C: ** Qoobox**.
Pobierz program SDFix
No to zrobilem tak jak kazales uzylem jeszcze tego… Windows costam ze byly zielone i zolte trojkaciki i uzylem tego SDFix chyba wszystko jest juz ok… chociaz moj spybot search and destroy… wykryl przy wlaczaniu jakies zmiany rejestru to zablokowalem dobra daje loga
SDFix zrobił też swoje, już powinno być Ok