Gisbern1
(Gisbern1)
19 Październik 2007 10:04
#1
Jestem tu nowy. Na ekranie kompa pojawia mi się napis na czerwonym tle “your privacy is danger” Wszystkie ikony na pulpicie są podświetlone. Poza tym mam zaintalowanego AVASTA i co chwile wykrywa mi on zainfekowane pliki, które rzekomo usuwa. I tak cały czas. Skanowałem też system innymi programami antywirusowymi i nic. Proszę o pomoc.
grzegorzch
(grzegorzch)
19 Październik 2007 10:12
#2
Kaka2
(Kaka_117827603)
19 Październik 2007 12:41
#4
Narv , Twój post usuwam, ponieważ nie sprawdziłeś loga z combo, w którym widać syf a już zabrałeś się za kosmetykę, poza tym nie sprawdzamy na zasadzie “najlepiej jakby jakaś druga osoba sprawdziła ci jeszcze tego loga.”
jessica
(jessica)
20 Październik 2007 17:34
#5
Widzę, że nikt nie ma ochoty zająć się Twoim tematem.
I wcale się nie dziwię, bo ja też nie lubię takich logów, w których są “rogue” programy, czyli programy ochronne, które udają np. dobre Antivirusy, a w rzeczywistości zajmują się ściąganiem innych infekcji. Problem w tym, że nie wiadomo, które programy są “fe”, bo tylko część z nich jest od dawna znana.
Tak więc nie wiem, czy wszystko wykryłam w logach…
Wklej do Notatnika :
File::
C:\WINDOWS\system32\drivers\FMTR.sys
C:\WINDOWS\hostctrl.dll
C:\WINDOWS\nmcuninstall.exe
Folder::
C:\Program Files\Common Files\PCSecureSystem
C:\Program Files\Video Add-on
Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{826276b3-0d12-11db-ac43-0040cadbc773}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c622115e-35f3-11dc-adbf-0014a5494347}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fbe4e2e8-5d22-11dc-adf3-0014a5494347}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fd9febb2-a49c-11db-ace3-0014a5494347}]
>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )
– podobnie jak na tym obrazku –>
(jeśli pojawi się pytanie " 1 or 2 " - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)
Po restarcie usuń ręcznie folder C: * * Qoobox**.
Daj ten log.
jessi
Gisbern1
(Gisbern1)
21 Październik 2007 10:07
#6
Dzięki, że zechciałaś zerknąć na mój problem. Zrobiłem tak jak napisałaś. Oto log po tych czynnościach.
ComboFix 07-10-17.8@ - Paolo 2007-10-21 11:57:49.2 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1250.1.1045.18.135 [GMT 2:00] Running from: D:\Instalki\ComboFix.exe Command switches used :: D:\Instalki\CFScript.txt * Created a new restore point FILE:: C:\WINDOWS\hostctrl.dll C:\WINDOWS\nmcuninstall.exe C:\WINDOWS\system32\drivers\FMTR.sys . ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) . C:\Documents and Settings\Paolo\Pulpit\internet.lnk C:\Program Files\Video Add-on C:\Program Files\Video Add-on\uninst.exe C:\WINDOWS\hostctrl.dll C:\WINDOWS\nmcuninstall.exe C:\WINDOWS\system32\drivers\FMTR.sys . ((((((((((((((((((((((((( Files Created from 2007-09-21 to 2007-10-21 ))))))))))))))))))))))))))))))) . 2007-10-19 11:33 51,200 --a------ C:\WINDOWS\NirCmd.exe 2007-10-19 09:43 2007-10-18 17:28 2007-10-18 15:47 2007-10-18 13:28 2007-10-17 17:16 2007-10-17 17:16 2007-10-17 17:16 2007-10-17 17:16 2007-10-17 17:16 2007-10-17 17:16 2007-10-17 16:20 2007-10-17 16:20 2007-10-17 16:20 2007-10-17 14:17 2007-10-17 14:17 12,608 --a------ C:\WINDOWS\system32\drivers\TfKbMon.sys 2007-10-16 15:38 2007-10-16 11:18 2007-10-15 10:28 2007-10-12 16:40 2007-10-12 13:44 273,569 --a------ C:\WINDOWS\3D Judo Fighting Demo Uninstaller.exe 2007-10-09 16:24 2007-09-28 15:34 2007-09-28 15:32 . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2007-10-21 09:43 --------- d-----w C:\Program Files\DAP 2007-10-19 17:14 --------- d—a-w C:\Documents and Settings\All Users\Dane aplikacji\TEMP 2007-10-19 12:46 --------- d-----w C:\Program Files\Google 2007-10-19 12:24 --------- d-----w C:\Program Files\Yahoo! 2007-10-18 12:38 --------- d-----w C:\Documents and Settings\Paolo\Dane aplikacji\OpenOffice.org2 2007-10-12 14:59 --------- d-----w C:\Documents and Settings\Paolo\Dane aplikacji\Image Zone Express 2007-10-10 07:24 --------- d-----w C:\Documents and Settings\Paolo\Dane aplikacji\Skype 2007-10-10 07:00 --------- d-----w C:\Program Files\Warblade 2007-10-09 07:12 --------- d-----w C:\Program Files\Java 2007-09-26 06:52 --------- d-----w C:\Program Files\InterVideo 2007-09-26 06:52 --------- d-----w C:\Program Files\Common Files\InterVideo 2007-09-11 07:07 --------- d-----w C:\Documents and Settings\Martucha\Dane aplikacji\HP 2007-09-06 10:09 801,144 ----a-w C:\WINDOWS\system32\aswBoot.exe 2007-09-06 10:05 94,416 ----a-w C:\WINDOWS\system32\drivers\aswmon2.sys 2007-09-06 10:05 92,848 ----a-w C:\WINDOWS\system32\drivers\aswmon.sys 2007-09-06 10:03 23,152 ----a-w C:\WINDOWS\system32\drivers\aswRdr.sys 2007-09-06 10:02 42,912 ----a-w C:\WINDOWS\system32\drivers\aswTdi.sys 2007-09-06 10:00 95,608 ----a-w C:\WINDOWS\system32\AVASTSS.scr 2007-09-06 10:00 26,624 ----a-w C:\WINDOWS\system32\drivers\aavmker4.sys 2007-08-21 06:18 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll 2007-07-30 17:19 92,504 ----a-w C:\WINDOWS\system32\cdm.dll 2007-07-30 17:19 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll 2007-07-30 17:19 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe 2007-07-30 17:19 43,352 ----a-w C:\WINDOWS\system32\wups2.dll 2007-07-30 17:19 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll 2007-07-30 17:19 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll 2007-07-30 17:19 1,712,984 ----a-w C:\WINDOWS\system32\wuaueng.dll 2007-07-30 17:18 33,624 ----a-w C:\WINDOWS\system32\wups.dll 2006-10-17 18:48 22,537,784 ----a-w C:\Program Files\AdbeRdr705_pol_full.exe 2006-07-06 17:12 266 —h–w C:\Program Files\desktop.ini 2006-07-06 17:12 11,079 —h–w C:\Program Files\folder.htt 2007-05-09 17:50:56 324,384 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat 2007-05-09 17:50:56 16,672 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat . ((((((((((((((((((((((((((((( snapshot@2007-10-19_11.39.05.74 ))))))))))))))))))))))))))))))))))))))))) . - 2007-10-19 09:02:20 53,098 ----a-w C:\WINDOWS\system32\perfc009.dat + 2007-10-21 09:47:57 53,098 ----a-w C:\WINDOWS\system32\perfc009.dat - 2007-10-19 09:02:20 67,496 ----a-w C:\WINDOWS\system32\perfc015.dat + 2007-10-21 09:47:57 67,496 ----a-w C:\WINDOWS\system32\perfc015.dat - 2007-10-19 09:02:20 380,684 ----a-w C:\WINDOWS\system32\perfh009.dat + 2007-10-21 09:47:57 380,684 ----a-w C:\WINDOWS\system32\perfh009.dat - 2007-10-19 09:02:20 436,560 ----a-w C:\WINDOWS\system32\perfh015.dat + 2007-10-21 09:47:57 436,560 ----a-w C:\WINDOWS\system32\perfh015.dat + 2007-10-21 10:00:39 16,384 ----atw C:\WINDOWS\TEMP\Perflib_Perfdata_7a8.dat . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “NeroFilterCheck”=“C:\WINDOWS\system32\NeroCheck.exe” [2001-07-09 10:50] “InCD”=“C:\Program Files\Ahead\InCD\InCD.exe” [2005-01-27 19:17] “VTTimer”=“VTTimer.exe” [2005-03-08 03:33 C:\WINDOWS\system32\VTTimer.exe] “VTTrayp”=“VTtrayp.exe” [2005-11-01 04:15 C:\WINDOWS\system32\VTTrayp.exe] “SMSERIAL”=“sm56hlpr.exe” [2005-07-06 04:47 C:\WINDOWS\sm56hlpr.exe] “Broadcom Wireless Manager UI”=“C:\WINDOWS\system32\WLTRAY” [] “SoundMan”=“SOUNDMAN.EXE” [2005-10-04 14:12 C:\WINDOWS\soundman.exe] “avast!”=“C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe” [2007-09-06 12:06] “SunJavaUpdateSched”=“C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe” [2007-09-25 01:11] “HP Software Update”=“C:\Program Files\HP\HP Software Update\HPWuSchd2.exe” [2006-02-19 03:41] “WinampAgent”=“C:\Program Files\Winamp\winampa.exe” [2007-05-15 00:22] “Windows Defender”=“C:\Program Files\Windows Defender\MSASCui.exe” [2006-11-03 19:20] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “CTFMON.EXE”=“C:\WINDOWS\system32\ctfmon.exe” [2004-08-04 14:00] [HKEY_USERS.default\software\microsoft\windows\currentversion\runonce] “FlashPlayerUpdate”=C:\WINDOWS\system32\Macromed\Flash\GetFlash.exe [HKEY_USERS.default\software\microsoft\windows\currentversion\run] “swg”=C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\ Adobe Reader Speed Launch.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-24 07:05:26] HP Digital Imaging Monitor.lnk - C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe [2006-02-19 05:21:22] S0 TfFsMon;TfFsMon;C:\WINDOWS\system32\drivers\TfFsMon.sys S0 TfSysMon;TfSysMon;C:\WINDOWS\system32\drivers\TfSysMon.sys S3 hSONYPVh;hSONYPVh;??\C:\DOCUME~1\Paolo\USTAWI~1\Temp\hSONYPVh.sys S3 scsiprnt;Klasa drukarki rodzajowej Microsoft SCSI/1394;C:\WINDOWS\system32\DRIVERS\scsiprnt.sys S3 TfNetMon;TfNetMon;??\C:\WINDOWS\system32\drivers\TfNetMon.sys . Contents of the ‘Scheduled Tasks’ folder “2006-11-23 15:08:32 C:\WINDOWS\Tasks\Critical Battery Alarm Program.job” “2007-10-21 09:46:51 C:\WINDOWS\Tasks\MP Scheduled Scan.job” - C:\Program Files\Windows Defender\MpCmdRun.exe . ************************************************************************** catchme 0.3.1169 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-10-21 12:00:45 Windows 5.1.2600 Dodatek Service Pack 2 NTFS scanning hidden processes … scanning hidden autostart entries … scanning hidden files … scan completed successfully hidden files: 0 ************************************************************************** . Completion time: 2007-10-21 12:01:58 - machine was rebooted C:\ComboFix2.txt … 2007-10-19 11:39 . — E O F —
// Poprawiłem Twój post - dodałem tagi quote.
Kaka’
jessica
(jessica)
21 Październik 2007 11:00
#7
Usuwanie się udało.
Wg mnie - jest OK.
Ale powtarzam: przy takich logach, jak Twoje, mogłam coś przeoczyć.
Czy sytuacja się poprawiła?
jessi
Gisbern1
(Gisbern1)
21 Październik 2007 11:30
#8
No narazie jest ok. Nie mam już tego przeklętego ekranu z komunikatem. Avast też nie wykrywa mi co chwilę wirusów. Oby nic się nie zmieniło. Jeszcze raz bardzo dziękuje. Gorąco pozdrawiam.
Kaka2
(Kaka_117827603)
21 Październik 2007 20:11
#9
taivanek proszę nie podczepiać się pod tematy innych userów.
Złączono Posta : 26.10.2007 (Pią) 14:10
dlaczego proszę nie podczepiać się pod tematy innych userów. Jak masz problem, załóż własny temat.