Wariactwo kompa - krzyżyk w tray'u, wyskakujące ostrzeżenia

Agntx · 13 Kwiecień 2008 02:24

Tak to jest, gdy się puści kuzyna do komputera. Po kilku minutach wracam, a tu restart, poznikały ikonki, tapeta to zachęcenie do pobrania antyvirusa, nie działa menedżer zadań, użycie proca dochodzi do 100%, w prawym dolnym rogu mruga czerwony krzyżyk, wyskakują ostrzeżenia o wirusach, pojawia się Internet Explorer i “wykrywa” wirusy + jakieś pornole ( :o ) ze zdjęciami - cały komp wariuje. Dodatkowo fokusuje mi na losowe okna i ledwo mogę pisać. Wszystkie łatki zainstalowane, aktualny soft, Kaspersky coś tam wykrył, Spybot również. Pousuwałem, a tu jakieś skróty do stron internetowych się porobiły. RATUNKU!

Grzebałem w Autoruns i Hijack This. Poniżej log z Hijack:

Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 04:23:39, on 2008-04-13 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.17184) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE E:\Programy\Kav 7\avp.exe C:\WINDOWS\RTHDCPL.EXE C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\system32\ctfmon.exe E:\Programy\DAEMON Tools\DAEMON Tools Lite\daemon.exe E:\Programy\Kav 7\avp.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\oodag.exe C:\WINDOWS\system32\PnkBstrA.exe C:\Program Files\Logitech\SetPoint\SetPoint.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Common Files\Logitech\KhalShared\KHALMNPR.EXE E:\Programy\Kav 7\avp.exe E:\Programy\Mozilla Firefox 3\firefox.exe E:\Programy\Spybot - Search Destroy\SpybotSD.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\Program Files\Internet Explorer\IEXPLORE.EXE E:\Programy\HiJackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wm … Ojg5lid=2 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM…\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM…\Run: [AVP] “E:\Programy\Kav 7\avp.exe” O4 - HKLM…\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM…\Run: [amd_dc_opt] C:\Program Files\AMD\Dual-Core Optimizer\amd_dc_opt.exe O4 - HKLM…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKCU…\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU…\Run: [DAEMON Tools Lite] “E:\Programy\DAEMON Tools\DAEMON Tools Lite\daemon.exe” -autorun O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA LOKALNA’) O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA SIECIOWA’) O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’) O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’) O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe O9 - Extra button: Statystyki dla ochrony WWW - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - E:\Programy\Kav 7\SCIEPlgn.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\Programy\OFFICE~2\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\Programy\SPYBOT~2\SDHelper.dll O9 - Extra ‘Tools’ menuitem: Spybot - Search Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\Programy\SPYBOT~2\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra ‘Tools’ menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O16 - DPF: {238F6F83-B8B4-11CF-8771-00A024541EE3} - http://a516.g.akamai.net/f/516/25175/7d … o-eula.cab O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://www.nvidia.com/content/DriverDow … rtScan.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/f … wflash.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O21 - SSODL: ogxtsepr - {27BE31D5-7D91-4A52-8F96-18101BD6D8A0} - C:\WINDOWS\ogxtsepr.dll O21 - SSODL: dsktbwfe - {C80D3232-D113-4203-B3EC-E3BAAADE7EA6} - C:\WINDOWS\dsktbwfe.dll O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - E:\Programy\Kav 7\avp.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: OO Defrag - OO Software GmbH - C:\WINDOWS\system32\oodag.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe O24 - Desktop Component 0: (no name) - (no file) – End of file - 5224 bytes

Kurde, ponad dwa lata bez syfu, a tu kuzyn w kilka minut coś ściągnął z neta…

huber2t · 13 Kwiecień 2008 02:43

fix w hijackthis

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\WINDOWS\ogxtsepr.dll

C:\WINDOWS\dsktbwfe.dll

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

Powinno się rozpocząć usuwanie i powstanie log, daj ten log na forum.

Jeśli wszystko pójdzie dobrze, to po restarcie usuń ręcznie folder C: \Qoobox

Agntx · 13 Kwiecień 2008 03:55

Zrobiłem, jak radziłeś. Po restarcie ComboFix “wisiał” dobre kilkanaście minut bez odpowiedzi, więc go zamknąłem i wylogowałem się, by potem wejść z powrotem na swoje konto i dorwać tego loga. Oto on:

ComboFix 08-04-12.5 - Kornel 2008-04-13 5:40:26.3 - NTFSx86 NETWORK Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.1714 [GMT 2:00] Running from: E:\Downloads\ComboFix.exe Command switches used :: E:\Downloads\CFScript.txt WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED FILE :: C:\WINDOWS\dsktbwfe.dll C:\WINDOWS\ogxtsepr.dll . ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) . C:\Documents and Settings\Kornel\Pulpitblackbird.jpg C:\Documents and Settings\Kornel\PulpitEditorFKWP1.5.exe C:\Documents and Settings\Kornel\PulpitEditorFKWP2.0.exe C:\Documents and Settings\Kornel\Pulpitfilemanagerclient.exe C:\Documents and Settings\Kornel\Pulpitfkwp1.5.exe C:\Documents and Settings\Kornel\Pulpitfkwp2.0.exe C:\Documents and Settings\Kornel\Pulpitfwebd.exe C:\Documents and Settings\Kornel\PulpitFWebdEditor.exe C:\Documents and Settings\Kornel\PulpitTrojan.Win32.BlackBird.exe C:\Documents and Settings\Kornel\Pulpitvirii C:\WINDOWS\system32\awtuuRLE.dll C:\WINDOWS\system32\nmUFPqss.ini C:\WINDOWS\system32\nmUFPqss.ini2 C:\WINDOWS\system32bdn.com C:\WINDOWS\system32hxiwlgpm.dat C:\WINDOWS\system32ssvchost.com C:\WINDOWS\system32taack.dat C:\WINDOWS\system32VBIEWER.OCX . ((((((((((((((((((((((((( Files Created from 2008-03-13 to 2008-04-13 ))))))))))))))))))))))))))))))) . 2008-04-13 04:50 . 2008-04-13 04:50 2008-04-13 04:48 . 2008-04-13 05:41 2008-04-13 04:48 . 2006-12-23 16:43 2008-04-13 04:48 . 2006-12-23 15:47 2008-04-13 04:48 . 2008-04-13 05:42 2008-04-13 04:48 . 2006-12-23 16:43 2008-04-13 04:48 . 2006-12-23 16:43 2008-04-13 04:48 . 2006-12-23 16:43 2008-04-13 04:43 . 2008-04-13 05:38 148 --a------ C:\WINDOWS\wininit.ini 2008-04-13 04:27 . 2008-04-13 04:56 2008-04-13 03:35 . 2008-04-13 03:35 2008-04-13 02:28 . 2008-04-13 02:28 294 —hs---- C:\WINDOWS\system32\kfqdcohd.ini 2008-04-13 02:21 . 2008-04-13 02:21 2008-04-13 02:21 . 2008-04-13 02:21 90,112 --a------ C:\WINDOWS\system32\sbsnkzsb.exe 2008-04-13 00:31 . 2008-04-13 00:31 2008-04-13 00:29 . 2008-04-13 00:29 2008-04-13 00:29 . 2001-07-06 14:41 569,344 -ra------ C:\WINDOWS\system32\imagr5.dll 2008-04-13 00:29 . 2001-07-06 12:44 544,768 -ra------ C:\WINDOWS\system32\imagx5.dll 2008-04-13 00:29 . 2001-07-06 18:24 283,920 -ra------ C:\WINDOWS\system32\ImagXpr5.dll 2008-04-13 00:29 . 2001-07-09 11:50 155,648 -ra------ C:\WINDOWS\system32\NeroCheck.exe 2008-04-13 00:29 . 2001-06-26 08:15 38,912 -ra------ C:\WINDOWS\system32\picn20.dll 2008-04-12 20:17 . 2008-04-12 20:17 2008-04-12 20:17 . 2008-04-12 20:17 2008-04-12 16:32 . 2008-04-12 16:32 38 --a------ C:\WINDOWS\avisplitter.INI 2008-04-11 23:32 . 2008-04-11 23:32 2008-04-11 04:31 . 2008-04-11 16:45 2008-04-11 00:43 . 2008-04-11 00:43 2008-04-09 18:12 . 2008-04-09 18:12 2008-04-09 18:12 . 2008-04-09 18:12 2008-04-09 18:12 . 2007-09-17 15:53 21,632 --a------ C:\WINDOWS\system32\drivers\pccsmcfd.sys 2008-04-09 16:10 . 2007-11-29 10:33 1,419,232 --a------ C:\WINDOWS\system32\wdfcoinstaller01005.dll 2008-04-09 16:10 . 2008-02-01 15:17 138,112 --a------ C:\WINDOWS\system32\drivers\nmwcdnsu.sys 2008-04-09 16:10 . 2007-11-29 10:39 19,328 --a------ C:\WINDOWS\system32\drivers\ccdcmbo.sys 2008-04-09 16:10 . 2007-11-29 10:39 16,896 --a------ C:\WINDOWS\system32\drivers\ccdcmb.sys 2008-04-09 16:10 . 2008-02-01 15:17 8,320 --a------ C:\WINDOWS\system32\drivers\nmwcdnsuc.sys 2008-04-09 16:10 . 2007-11-29 10:39 8,064 --a------ C:\WINDOWS\system32\drivers\usbser_lowerfltj.sys 2008-04-09 16:10 . 2007-11-29 10:39 8,064 --a------ C:\WINDOWS\system32\drivers\usbser_lowerflt.sys 2008-04-09 16:08 . 2008-04-09 16:10 2008-04-09 03:36 . 2008-04-09 18:12 2008-04-07 21:53 . 2008-04-09 16:37 1,355 --a------ C:\WINDOWS\imsins.BAK 2008-04-07 21:53 . 2008-04-07 21:53 0 --ah----- C:\WINDOWS\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf 2008-04-07 21:53 . 2008-04-07 21:53 0 --ah----- C:\WINDOWS\system32\drivers\Msft_Kernel_ccdcmb_01005.Wdf 2008-04-06 06:38 . 2008-04-06 06:38 2008-04-06 06:38 . 2007-06-29 14:47 34,304 --a------ C:\WINDOWS\system32\drivers\AmdLLD.sys 2008-04-05 16:26 . 2008-04-05 16:31 2008-04-05 03:55 . 2008-04-05 03:55 2008-04-04 23:31 . 2008-04-04 23:31 41,296 --a------ C:\WINDOWS\system32\xfcodec.dll 2008-04-04 16:43 . 2008-04-04 16:43 2008-03-27 23:34 . 2008-03-27 23:34 2,560 --a------ C:\WINDOWS\system32\bitcometres.dll 2008-03-26 23:19 . 2008-03-26 23:19 2008-03-26 21:18 . 2008-03-26 21:18 0 --a------ C:\WINDOWS\graphedit.INI 2008-03-26 17:46 . 2008-03-26 17:46 2008-03-26 01:45 . 2008-03-26 01:45 41 --a------ C:\WINDOWS\winampa.ini 2008-03-16 18:20 . 2008-03-16 18:20 59,427 --a------ C:\WINDOWS\BricoPackUninst.cmd 2008-03-16 18:18 . 2008-03-16 18:20 5,396 --a------ C:\WINDOWS\BricoPackFoldersDelete.cmd 2008-03-16 18:17 . 2008-03-16 18:17 2008-03-15 16:35 . 2003-11-10 21:21 266,240 --a------ C:\WINDOWS\system32\hpdj3600 2008-03-15 03:19 . 2008-03-15 03:19 2008-03-13 02:54 . 2008-03-13 02:54 91,700 --a------ C:\WINDOWS\system32\drivers\klin.dat 2008-03-13 02:54 . 2008-03-13 02:54 85,860 --a------ C:\WINDOWS\system32\drivers\klick.dat 2008-03-13 02:53 . 2008-04-13 05:42 12,036,896 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat 2008-03-13 02:53 . 2008-04-13 05:18 440,352 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat 2008-03-13 02:53 . 2008-04-13 05:18 165,368 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx 2008-03-13 02:53 . 2008-04-13 05:18 44,396 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx 2008-03-13 02:51 . 2008-03-13 02:51 . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-04-13 00:56 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab 2008-04-11 20:04 --------- d-----w C:\Documents and Settings\Kornel\Dane aplikacji\FileZilla 2008-04-10 21:47 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys 2008-04-10 21:47 103,736 ----a-w C:\WINDOWS\system32\PnkBstrB.exe 2008-04-10 21:37 --------- d-----w C:\Program Files\Common Files\Adobe 2008-04-10 00:52 --------- d-----w C:\Documents and Settings\Kornel\Dane aplikacji\Xfire 2008-04-09 16:07 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Installations 2008-04-09 14:38 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Microsoft Help 2008-04-06 21:05 --------- d-----w C:\Documents and Settings\Kornel\Dane aplikacji\Skype 2008-04-06 18:57 --------- d-----w C:\Documents and Settings\Kornel\Dane aplikacji\skypePM 2008-04-04 22:12 --------- d–h--w C:\Program Files\InstallShield Installation Information 2008-04-03 21:46 717,296 ----a-w C:\WINDOWS\system32\drivers\sptd.sys 2008-03-24 09:27 442,368 ----a-w C:\WINDOWS\system32\NVUNINST.EXE 2008-03-22 01:19 --------- d-----w C:\Program Files\Java 2008-03-20 21:59 --------- d—a-w C:\Documents and Settings\All Users\Dane aplikacji\TEMP 2008-03-20 08:09 1,845,504 ----a-w C:\WINDOWS\system32\win32k.sys 2008-03-17 20:54 --------- d-----w C:\Documents and Settings\Kornel\Dane aplikacji\Winamp 2008-03-13 00:35 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab Setup Files 2008-03-12 01:09 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Nero 2008-03-11 17:54 4,687,872 ----a-w C:\WINDOWS\system32\drivers\RtkHDAud.sys 2008-03-06 16:14 16,858,112 ----a-w C:\WINDOWS\RTHDCPL.exe 2008-03-06 09:14 831,048 ----a-w C:\WINDOWS\system32\WudfUpdate_01005.dll 2008-03-05 17:07 520,192 ----a-w C:\WINDOWS\RtlExUpd.dll 2008-03-05 15:03 479,752 ----a-w C:\WINDOWS\system32\XAudio2_0.dll 2008-03-05 15:03 238,088 ----a-w C:\WINDOWS\system32\xactengine3_0.dll 2008-03-05 15:00 25,608 ----a-w C:\WINDOWS\system32\X3DAudio1_3.dll 2008-03-05 14:56 3,786,760 ----a-w C:\WINDOWS\system32\D3DX9_37.dll 2008-03-05 14:56 1,420,824 ----a-w C:\WINDOWS\system32\D3DCompiler_37.dll 2008-03-04 11:33 7,680 ----a-w C:\WINDOWS\system32\ff_vfw.dll 2008-03-03 19:01 821,248 ----a-w C:\WINDOWS\system32\wininet.dll 2008-03-03 19:01 434,176 ----a-w C:\WINDOWS\system32\vbscript.dll 2008-03-03 19:01 156,160 ----a-w C:\WINDOWS\system32\msls31.dll 2008-03-03 19:01 142,848 ------w C:\WINDOWS\system32\IESetting.dll 2008-03-03 18:53 78,336 ----a-w C:\WINDOWS\system32\ieencode.dll 2008-03-03 18:52 41,984 ----a-w C:\WINDOWS\system32\licmgr10.dll 2008-03-03 18:52 17,920 ----a-w C:\WINDOWS\system32\corpol.dll 2008-03-03 18:51 69,120 ----a-w C:\WINDOWS\system32\iesetup.dll 2008-03-03 18:51 69,120 ----a-w C:\WINDOWS\system32\admparse.dll 2008-03-03 18:50 48,128 ----a-w C:\WINDOWS\system32\mshtmler.dll 2008-03-03 18:50 45,568 ----a-w C:\WINDOWS\system32\mshta.exe 2008-03-03 18:50 36,352 ----a-w C:\WINDOWS\system32\imgutil.dll 2008-02-27 21:03 --------- d-----w C:\Program Files\PopCap Games 2008-02-20 06:51 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll 2008-02-20 05:38 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll 2008-02-19 02:17 --------- d-----w C:\Program Files\MSBuild 2008-02-18 02:10 43,520 ----a-w C:\WINDOWS\system32\CmdLineExt03.dll 2008-02-16 03:07 --------- d-----w C:\Program Files\Common Files\InstallShield 2008-02-13 15:27 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\FLEXnet 2008-02-11 13:27 25,992 ----a-w C:\WINDOWS\system32\pgdfgsvc.exe 2008-02-08 17:37 219,664 ----a-w C:\WINDOWS\system32\klogon.dll 2008-02-05 22:07 462,864 ----a-w C:\WINDOWS\system32\d3dx10_37.dll 2008-02-01 13:17 90,624 ----a-w C:\WINDOWS\system32\nmwcdcls.dll 2008-01-16 10:52 107,888 ----a-w C:\WINDOWS\system32\CmdLineExt.dll 2008-01-15 22:41 66,872 ----a-w C:\WINDOWS\system32\PnkBstrA.exe 2007-12-27 21:48 81,920 ----a-w C:\Documents and Settings\Kornel\Dane aplikacji\ezpinst.exe 2007-12-27 21:48 47,360 ----a-w C:\Documents and Settings\Kornel\Dane aplikacji\pcouffin.sys 2007-11-28 19:44 22,328 ----a-w C:\Documents and Settings\Kornel\Dane aplikacji\PnkBstrK.sys 2007-11-18 21:21 32 ----a-w C:\Documents and Settings\All Users\Dane aplikacji\ezsid.dat 2004-09-28 02:00 26,240 ----a-w C:\WINDOWS\inf\RAMDSK.SYS . ------- Sigcheck ------- 2006-10-23 17:35 667136 94c7bc5c38ccbfe9f23edfbd680ac3d5 C:\WINDOWS$hf_mig$\KB925454\SP2QFE\wininet.dll 2007-04-25 10:35 823808 a190e374fbd24ca43c62b341c39fb355 C:\WINDOWS$hf_mig$\KB933566-IE7\SP2QFE\wininet.dll 2007-06-27 16:14 824320 1a995365f0d222e436207f2ff0b844ba C:\WINDOWS$hf_mig$\KB937143-IE7\SP2QFE\wininet.dll 2007-08-20 11:51 825344 9d6da6a9c682c5156b1e6bbaad6592f9 C:\WINDOWS$hf_mig$\KB939653-IE7\SP2QFE\wininet.dll 2007-10-11 01:41 825344 8789f8f08dea02d93e1fdc9d93e73b54 C:\WINDOWS$hf_mig$\KB942615-IE7\SP2QFE\wininet.dll 2007-12-07 03:58 825344 fc62b038aba1fdb8ba3d7c44cb487beb C:\WINDOWS$hf_mig$\KB944533-IE7\SP2QFE\wininet.dll 2006-10-23 17:19 661504 7ff4d6cabe1bf98e4d06fb1161e7a39d C:\WINDOWS$NtUninstallKB925454$\wininet.dll 2004-08-04 01:44 658944 d37dafb534ac8343d59a1b501abe852c C:\WINDOWS$NtUninstallKB925454_0$\wininet.dll 2006-10-23 17:35 667136 94c7bc5c38ccbfe9f23edfbd680ac3d5 C:\WINDOWS\ie7\wininet.dll 2007-12-07 04:14 824832 01412a2abd1154b25d4f5b5450585bb3 C:\WINDOWS\ie8\wininet.dll 2008-03-03 21:01 821248 ded5c5e1901f3daf78f5f0ad036e8ea9 C:\WINDOWS\system32\wininet.dll 2008-03-03 21:01 821248 ded5c5e1901f3daf78f5f0ad036e8ea9 C:\WINDOWS\system32\dllcache\wininet.dll 2007-06-13 15:23 976896 e74ef52c79f3347a0b105b0b92bfed38 C:\WINDOWS\explorer.exe 2007-06-13 15:12 1034752 8db0650b211425b9cdb7d1c4a8f6b482 C:\WINDOWS$hf_mig$\KB938828\SP2QFE\explorer.exe 2004-08-04 01:44 1033728 379098a96e6c165b659de7e4328010ea C:\WINDOWS$NtUninstallKB938828$\explorer.exe 2007-06-13 15:23 976896 e74ef52c79f3347a0b105b0b92bfed38 C:\WINDOWS\system32\dllcache\explorer.exe . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries legit default entries are not shown REGEDIT4 [HKEY_LOCAL_MACHINE~\Browser Helper Objects{C6D3E845-8C0B-4196-8297-F190773AEDDA}] C:\WINDOWS\system32\ssqPFUmn.dll [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “ctfmon.exe”=“C:\WINDOWS\system32\ctfmon.exe” [2004-08-04 01:44 15360] “DAEMON Tools Lite”=“E:\Programy\DAEMON Tools\DAEMON Tools Lite\daemon.exe” [2008-04-01 11:39 486856] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “NvCplDaemon”=“C:\WINDOWS\system32\NvCpl.dll” [2008-03-24 19:52 13524992] “Logitech Hardware Abstraction Layer”=“KHALMNPR.EXE” [2007-04-11 15:32 56080 C:\WINDOWS\KHALMNPR.Exe] “AVP”=“E:\Programy\Kav 7\avp.exe” [2008-02-08 19:36 227856] “RTHDCPL”=“RTHDCPL.EXE” [2008-03-06 18:14 16858112 C:\WINDOWS\RTHDCPL.exe] “amd_dc_opt”=“C:\Program Files\AMD\Dual-Core Optimizer\amd_dc_opt.exe” [2007-07-23 11:06 77824] “NvMediaCenter”=“C:\WINDOWS\system32\NvMcTray.dll” [2008-03-24 19:52 86016] [HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] “CTFMON.EXE”=“C:\WINDOWS\system32\CTFMON.EXE” [2004-08-04 01:44 15360] C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\ Logitech SetPoint.lnk - C:\Program Files\Logitech\SetPoint\SetPoint.exe [2007-10-16 22:23:50 692224] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awtuuRLE] awtuuRLE.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WBSrv] E:\Programy\WindowBlinds\wbsrv.dll 2007-09-23 10:10 229376 E:\Programy\WindowBlinds\WbSrv.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] “AppInit_DLLs”=wbsys.dll [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup] @="" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RocketDock] E:\Programy\RocketDock\RocketDock.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel] --a------ 2007-11-20 19:15 1826816 C:\WINDOWS\SkyTel.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus] “DisableMonitoring”=dword:00000001 [HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] “E:\Programy\BitComet\BitComet.exe”= “E:\Programy\Gadu-Gadu\Gg.exe”= “E:\Programy\Flash Get\flashget.exe”= “D:\Quake III\quake3.exe”= “D:\Crysis\Bin32\Crysis.exe”= “E:\Programy\Xfire\xfire.exe”= “E:\Programy\Office 2003\Office12\OUTLOOK.EXE”= “E:\Programy\FileZilla\filezilla.exe”= “C:\Program Files\Nokia\Nokia Software Updater\nsu_ui_client.exe”= “C:\Program Files\Common Files\Nokia\Service Layer\A\nsl_host_process.exe”= “D:\Steam\steamapps\agntx\team fortress 2\hl2.exe”= “C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab Setup Files\Kaspersky Anti-Virus 7.0.1.325\Polish\setup.exe”= “C:\WINDOWS\system32\dpvsetup.exe”= “C:\WINDOWS\system32\rundll32.exe”= “D:\Call of Duty 4\iw3mp.exe”= “D:\Steam\steamapps\agntx\half-life 2 deathmatch\hl2.exe”= “D:\Unreal Tournament 3\Binaries\UT3Demo.exe”= “E:\Programy\Skype\Phone\Skype.exe”= “D:\Kane Lynch\kaneandlynch.exe”= “E:\Programy\AQQ\AQQ.exe”= [HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] “62534:TCP”= 62534:TCP:BitComet 62534 TCP “62534:UDP”= 62534:UDP:BitComet 62534 UDP R0 sfdrv01a;StarForce Protection Environment Driver (version 1.x.a);C:\WINDOWS\system32\drivers\sfdrv01a.sys [2006-07-05 14:46] R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-12-13 14:28] S3 nmwcdnsu;Nokia USB Flashing Phone Parent;C:\WINDOWS\system32\drivers\nmwcdnsu.sys [2008-02-01 15:17] S3 nmwcdnsuc;Nokia USB Flashing Generic;C:\WINDOWS\system32\drivers\nmwcdnsuc.sys [2008-02-01 15:17] S3 pccsmcfd;PCCS Mode Change Filter Driver;C:\WINDOWS\system32\DRIVERS\pccsmcfd.sys [2007-09-17 15:53] S3 upperdev;upperdev;C:\WINDOWS\system32\DRIVERS\usbser_lowerflt.sys [2007-11-29 10:39] S3 UsbserFilt;UsbserFilt;C:\WINDOWS\system32\DRIVERS\usbser_lowerfltj.sys [2007-11-29 10:39] S3 USBSTOR;Sterownik magazynu masowego USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-04 00:08] . Contents of the ‘Scheduled Tasks’ folder “2008-04-13 01:53:19 C:\WINDOWS\Tasks\User_Feed_Synchronization-{C42B96CA-51FA-459A-8879-B5B15F0630D7}.job” - C:\WINDOWS\system32\msfeedssync.exe . ************************************************************************** catchme 0.3.1351 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-04-13 05:43:12 Windows 5.1.2600 Dodatek Service Pack 2 NTFS scanning hidden processes …

huber2t · 13 Kwiecień 2008 04:03

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\WINDOWS\system32\kfqdcohd.ini

C:\WINDOWS\system32\sbsnkzsb.exe

C:\WINDOWS\system32\drivers\nmwcdnsu.sys

C:\WINDOWS\system32\drivers\ccdcmbo.sys

C:\WINDOWS\system32\drivers\ccdcmb.sys

C:\WINDOWS\system32\drivers\nmwcdnsuc.sys

C:\WINDOWS\system32\drivers\usbser_lowerfltj.sys

C:\WINDOWS\system32\drivers\usbser_lowerflt.sys

C:\WINDOWS\system32\drivers\Msft_Kernel_ccdcmb_01005.Wdf


Folder::

C:\Documents and Settings\All Users\Dane aplikacji\qbmlszat

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

Powinno się rozpocząć usuwanie i powstanie log, daj ten log na forum.

Jeśli wszystko pójdzie dobrze, to po restarcie usuń ręcznie folder C: \Qoobox

Agntx · 13 Kwiecień 2008 13:06

OK, kolego. Zrobiłem, co mi poradziłeś. Tym razem proces doszedł bez przerw do końca. Aha, jako ciekawostkę dodam, że SPybot znalazł takie oto głupoty:

Komp był czysty tuż przed infekcją, bo skanowałem akurat Spybotem. A oto log:

ComboFix 08-04-12.5 - Kornel 2008-04-13 14:56:18.4 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.1553 [GMT 2:00] Running from: E:\Downloads\ComboFix.exe Command switches used :: E:\Downloads\CFScript.txt * Created a new restore point WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED FILE :: C:\WINDOWS\system32\drivers\ccdcmb.sys C:\WINDOWS\system32\drivers\ccdcmbo.sys C:\WINDOWS\system32\drivers\Msft_Kernel_ccdcmb_01005.Wdf C:\WINDOWS\system32\drivers\nmwcdnsu.sys C:\WINDOWS\system32\drivers\nmwcdnsuc.sys C:\WINDOWS\system32\drivers\usbser_lowerflt.sys C:\WINDOWS\system32\drivers\usbser_lowerfltj.sys C:\WINDOWS\system32\kfqdcohd.ini C:\WINDOWS\system32\sbsnkzsb.exe . ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) . C:\Documents and Settings\All Users\Dane aplikacji\qbmlszat C:\Documents and Settings\All Users\Dane aplikacji\qbmlszat\gbobqjax.exe C:\WINDOWS\system32\drivers\ccdcmb.sys C:\WINDOWS\system32\drivers\ccdcmbo.sys C:\WINDOWS\system32\drivers\Msft_Kernel_ccdcmb_01005.Wdf C:\WINDOWS\system32\drivers\nmwcdnsu.sys C:\WINDOWS\system32\drivers\nmwcdnsuc.sys C:\WINDOWS\system32\drivers\usbser_lowerflt.sys C:\WINDOWS\system32\drivers\usbser_lowerfltj.sys C:\WINDOWS\system32\kfqdcohd.ini C:\WINDOWS\system32\sbsnkzsb.exe . ---- Previous Run ------- . C:\Documents and Settings\Kornel\Pulpitblackbird.jpg C:\Documents and Settings\Kornel\PulpitEditorFKWP1.5.exe C:\Documents and Settings\Kornel\PulpitEditorFKWP2.0.exe C:\Documents and Settings\Kornel\Pulpitfilemanagerclient.exe C:\Documents and Settings\Kornel\Pulpitfkwp1.5.exe C:\Documents and Settings\Kornel\Pulpitfkwp2.0.exe C:\Documents and Settings\Kornel\Pulpitfwebd.exe C:\Documents and Settings\Kornel\PulpitFWebdEditor.exe C:\Documents and Settings\Kornel\PulpitTrojan.Win32.BlackBird.exe C:\Documents and Settings\Kornel\Pulpitvirii C:\WINDOWS\system32\awtuuRLE.dll C:\WINDOWS\system32\nmUFPqss.ini C:\WINDOWS\system32\nmUFPqss.ini2 C:\WINDOWS\system32bdn.com C:\WINDOWS\system32hxiwlgpm.dat C:\WINDOWS\system32ssvchost.com C:\WINDOWS\system32taack.dat C:\WINDOWS\system32VBIEWER.OCX . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\nmwcd -------\nmwcdc -------\nmwcdnsu -------\nmwcdnsuc -------\upperdev -------\UsbserFilt ((((((((((((((((((((((((( Files Created from 2008-03-13 to 2008-04-13 ))))))))))))))))))))))))))))))) . 2008-04-13 04:50 . 2008-04-13 04:50 2008-04-13 04:48 . 2008-04-13 05:41 2008-04-13 04:48 . 2006-12-23 16:43 2008-04-13 04:48 . 2006-12-23 15:47 2008-04-13 04:48 . 2008-04-13 05:42 2008-04-13 04:48 . 2006-12-23 16:43 2008-04-13 04:48 . 2006-12-23 16:43 2008-04-13 04:48 . 2006-12-23 16:43 2008-04-13 04:43 . 2008-04-13 05:38 148 --a------ C:\WINDOWS\wininit.ini 2008-04-13 03:35 . 2008-04-13 03:35 2008-04-13 00:31 . 2008-04-13 00:31 2008-04-13 00:29 . 2008-04-13 00:29 2008-04-13 00:29 . 2001-07-06 14:41 569,344 -ra------ C:\WINDOWS\system32\imagr5.dll 2008-04-13 00:29 . 2001-07-06 12:44 544,768 -ra------ C:\WINDOWS\system32\imagx5.dll 2008-04-13 00:29 . 2001-07-06 18:24 283,920 -ra------ C:\WINDOWS\system32\ImagXpr5.dll 2008-04-13 00:29 . 2001-07-09 11:50 155,648 -ra------ C:\WINDOWS\system32\NeroCheck.exe 2008-04-13 00:29 . 2001-06-26 08:15 38,912 -ra------ C:\WINDOWS\system32\picn20.dll 2008-04-12 20:17 . 2008-04-12 20:17 2008-04-12 20:17 . 2008-04-12 20:17 2008-04-12 16:32 . 2008-04-12 16:32 38 --a------ C:\WINDOWS\avisplitter.INI 2008-04-11 23:32 . 2008-04-11 23:32 2008-04-11 04:31 . 2008-04-11 16:45 2008-04-11 00:43 . 2008-04-11 00:43 2008-04-09 18:12 . 2008-04-09 18:12 2008-04-09 18:12 . 2008-04-09 18:12 2008-04-09 18:12 . 2007-09-17 15:53 21,632 --a------ C:\WINDOWS\system32\drivers\pccsmcfd.sys 2008-04-09 16:10 . 2007-11-29 10:33 1,419,232 --a------ C:\WINDOWS\system32\wdfcoinstaller01005.dll 2008-04-09 16:08 . 2008-04-09 16:10 2008-04-09 03:36 . 2008-04-09 18:12 2008-04-07 21:53 . 2008-04-09 16:37 1,355 --a------ C:\WINDOWS\imsins.BAK 2008-04-07 21:53 . 2008-04-07 21:53 0 --ah----- C:\WINDOWS\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf 2008-04-06 06:38 . 2008-04-06 06:38 2008-04-06 06:38 . 2007-06-29 14:47 34,304 --a------ C:\WINDOWS\system32\drivers\AmdLLD.sys 2008-04-05 16:26 . 2008-04-05 16:31 2008-04-05 03:55 . 2008-04-05 03:55 2008-04-04 23:31 . 2008-04-04 23:31 41,296 --a------ C:\WINDOWS\system32\xfcodec.dll 2008-04-04 16:43 . 2008-04-04 16:43 2008-03-27 23:34 . 2008-03-27 23:34 2,560 --a------ C:\WINDOWS\system32\bitcometres.dll 2008-03-26 23:19 . 2008-03-26 23:19 2008-03-26 21:18 . 2008-03-26 21:18 0 --a------ C:\WINDOWS\graphedit.INI 2008-03-26 17:46 . 2008-03-26 17:46 2008-03-26 01:45 . 2008-03-26 01:45 41 --a------ C:\WINDOWS\winampa.ini 2008-03-16 18:20 . 2008-03-16 18:20 59,427 --a------ C:\WINDOWS\BricoPackUninst.cmd 2008-03-16 18:18 . 2008-03-16 18:20 5,396 --a------ C:\WINDOWS\BricoPackFoldersDelete.cmd 2008-03-16 18:17 . 2008-03-16 18:17 2008-03-15 16:35 . 2003-11-10 21:21 266,240 --a------ C:\WINDOWS\system32\hpdj3600 2008-03-15 03:19 . 2008-03-15 03:19 2008-03-13 02:54 . 2008-03-13 02:54 91,700 --a------ C:\WINDOWS\system32\drivers\klin.dat 2008-03-13 02:54 . 2008-03-13 02:54 85,860 --a------ C:\WINDOWS\system32\drivers\klick.dat 2008-03-13 02:53 . 2008-04-13 14:59 12,085,280 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat 2008-03-13 02:53 . 2008-04-13 14:59 444,704 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat 2008-03-13 02:53 . 2008-04-13 14:58 166,040 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx 2008-03-13 02:53 . 2008-04-13 14:58 44,804 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx 2008-03-13 02:51 . 2008-03-13 02:51 . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-04-13 03:51 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab 2008-04-11 20:04 --------- d-----w C:\Documents and Settings\Kornel\Dane aplikacji\FileZilla 2008-04-10 21:47 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys 2008-04-10 21:37 --------- d-----w C:\Program Files\Common Files\Adobe 2008-04-10 00:52 --------- d-----w C:\Documents and Settings\Kornel\Dane aplikacji\Xfire 2008-04-09 16:07 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Installations 2008-04-09 14:38 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Microsoft Help 2008-04-06 21:05 --------- d-----w C:\Documents and Settings\Kornel\Dane aplikacji\Skype 2008-04-06 18:57 --------- d-----w C:\Documents and Settings\Kornel\Dane aplikacji\skypePM 2008-04-04 22:12 --------- d–h--w C:\Program Files\InstallShield Installation Information 2008-04-03 21:46 717,296 ----a-w C:\WINDOWS\system32\drivers\sptd.sys 2008-03-24 17:52 6,547,872 ----a-w C:\WINDOWS\system32\drivers\nv4_mini.sys 2008-03-22 01:19 --------- d-----w C:\Program Files\Java 2008-03-20 21:59 --------- d—a-w C:\Documents and Settings\All Users\Dane aplikacji\TEMP 2008-03-17 20:54 --------- d-----w C:\Documents and Settings\Kornel\Dane aplikacji\Winamp 2008-03-13 00:35 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab Setup Files 2008-03-12 01:09 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Nero 2008-03-11 17:54 4,687,872 ----a-w C:\WINDOWS\system32\drivers\RtkHDAud.sys 2008-03-06 16:14 16,858,112 ----a-w C:\WINDOWS\RTHDCPL.exe 2008-03-05 17:07 520,192 ----a-w C:\WINDOWS\RtlExUpd.dll 2008-02-27 21:03 --------- d-----w C:\Program Files\PopCap Games 2008-02-19 02:17 --------- d-----w C:\Program Files\MSBuild 2008-02-16 03:07 --------- d-----w C:\Program Files\Common Files\InstallShield 2008-02-13 15:27 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\FLEXnet 2007-12-27 21:48 81,920 ----a-w C:\Documents and Settings\Kornel\Dane aplikacji\ezpinst.exe 2007-12-27 21:48 47,360 ----a-w C:\Documents and Settings\Kornel\Dane aplikacji\pcouffin.sys 2007-11-28 19:44 22,328 ----a-w C:\Documents and Settings\Kornel\Dane aplikacji\PnkBstrK.sys 2007-11-18 21:21 32 ----a-w C:\Documents and Settings\All Users\Dane aplikacji\ezsid.dat . ------- Sigcheck ------- 2006-10-23 17:35 667136 94c7bc5c38ccbfe9f23edfbd680ac3d5 C:\WINDOWS$hf_mig$\KB925454\SP2QFE\wininet.dll 2007-04-25 10:35 823808 a190e374fbd24ca43c62b341c39fb355 C:\WINDOWS$hf_mig$\KB933566-IE7\SP2QFE\wininet.dll 2007-06-27 16:14 824320 1a995365f0d222e436207f2ff0b844ba C:\WINDOWS$hf_mig$\KB937143-IE7\SP2QFE\wininet.dll 2007-08-20 11:51 825344 9d6da6a9c682c5156b1e6bbaad6592f9 C:\WINDOWS$hf_mig$\KB939653-IE7\SP2QFE\wininet.dll 2007-10-11 01:41 825344 8789f8f08dea02d93e1fdc9d93e73b54 C:\WINDOWS$hf_mig$\KB942615-IE7\SP2QFE\wininet.dll 2007-12-07 03:58 825344 fc62b038aba1fdb8ba3d7c44cb487beb C:\WINDOWS$hf_mig$\KB944533-IE7\SP2QFE\wininet.dll 2006-10-23 17:19 661504 7ff4d6cabe1bf98e4d06fb1161e7a39d C:\WINDOWS$NtUninstallKB925454$\wininet.dll 2004-08-04 01:44 658944 d37dafb534ac8343d59a1b501abe852c C:\WINDOWS$NtUninstallKB925454_0$\wininet.dll 2006-10-23 17:35 667136 94c7bc5c38ccbfe9f23edfbd680ac3d5 C:\WINDOWS\ie7\wininet.dll 2007-12-07 04:14 824832 01412a2abd1154b25d4f5b5450585bb3 C:\WINDOWS\ie8\wininet.dll 2008-03-03 21:01 821248 ded5c5e1901f3daf78f5f0ad036e8ea9 C:\WINDOWS\system32\wininet.dll 2008-03-03 21:01 821248 ded5c5e1901f3daf78f5f0ad036e8ea9 C:\WINDOWS\system32\dllcache\wininet.dll 2007-06-13 15:23 976896 e74ef52c79f3347a0b105b0b92bfed38 C:\WINDOWS\explorer.exe 2007-06-13 15:12 1034752 8db0650b211425b9cdb7d1c4a8f6b482 C:\WINDOWS$hf_mig$\KB938828\SP2QFE\explorer.exe 2004-08-04 01:44 1033728 379098a96e6c165b659de7e4328010ea C:\WINDOWS$NtUninstallKB938828$\explorer.exe 2007-06-13 15:23 976896 e74ef52c79f3347a0b105b0b92bfed38 C:\WINDOWS\system32\dllcache\explorer.exe . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries legit default entries are not shown REGEDIT4 [HKEY_LOCAL_MACHINE~\Browser Helper Objects{C6D3E845-8C0B-4196-8297-F190773AEDDA}] C:\WINDOWS\system32\ssqPFUmn.dll [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “ctfmon.exe”=“C:\WINDOWS\system32\ctfmon.exe” [2004-08-04 01:44 15360] “DAEMON Tools Lite”=“E:\Programy\DAEMON Tools\DAEMON Tools Lite\daemon.exe” [2008-04-01 11:39 486856] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “NvCplDaemon”=“C:\WINDOWS\system32\NvCpl.dll” [2008-03-24 19:52 13524992] “Logitech Hardware Abstraction Layer”=“KHALMNPR.EXE” [2007-04-11 15:32 56080 C:\WINDOWS\KHALMNPR.Exe] “AVP”=“E:\Programy\Kav 7\avp.exe” [2008-02-08 19:36 227856] “RTHDCPL”=“RTHDCPL.EXE” [2008-03-06 18:14 16858112 C:\WINDOWS\RTHDCPL.exe] “amd_dc_opt”=“C:\Program Files\AMD\Dual-Core Optimizer\amd_dc_opt.exe” [2007-07-23 11:06 77824] “NvMediaCenter”=“C:\WINDOWS\system32\NvMcTray.dll” [2008-03-24 19:52 86016] [HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] “CTFMON.EXE”=“C:\WINDOWS\system32\CTFMON.EXE” [2004-08-04 01:44 15360] C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\ Logitech SetPoint.lnk - C:\Program Files\Logitech\SetPoint\SetPoint.exe [2007-10-16 22:23:50 692224] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awtuuRLE] awtuuRLE.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WBSrv] E:\Programy\WindowBlinds\wbsrv.dll 2007-09-23 10:10 229376 E:\Programy\WindowBlinds\WbSrv.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] “AppInit_DLLs”=wbsys.dll [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup] @="" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RocketDock] E:\Programy\RocketDock\RocketDock.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel] --a------ 2007-11-20 19:15 1826816 C:\WINDOWS\SkyTel.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus] “DisableMonitoring”=dword:00000001 [HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] “E:\Programy\BitComet\BitComet.exe”= “E:\Programy\Gadu-Gadu\Gg.exe”= “E:\Programy\Flash Get\flashget.exe”= “D:\Quake III\quake3.exe”= “D:\Crysis\Bin32\Crysis.exe”= “E:\Programy\Xfire\xfire.exe”= “E:\Programy\Office 2003\Office12\OUTLOOK.EXE”= “E:\Programy\FileZilla\filezilla.exe”= “C:\Program Files\Nokia\Nokia Software Updater\nsu_ui_client.exe”= “C:\Program Files\Common Files\Nokia\Service Layer\A\nsl_host_process.exe”= “D:\Steam\steamapps\agntx\team fortress 2\hl2.exe”= “C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab Setup Files\Kaspersky Anti-Virus 7.0.1.325\Polish\setup.exe”= “C:\WINDOWS\system32\dpvsetup.exe”= “C:\WINDOWS\system32\rundll32.exe”= “D:\Call of Duty 4\iw3mp.exe”= “D:\Steam\steamapps\agntx\half-life 2 deathmatch\hl2.exe”= “D:\Unreal Tournament 3\Binaries\UT3Demo.exe”= “E:\Programy\Skype\Phone\Skype.exe”= “D:\Kane Lynch\kaneandlynch.exe”= “E:\Programy\AQQ\AQQ.exe”= [HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] “62534:TCP”= 62534:TCP:BitComet 62534 TCP “62534:UDP”= 62534:UDP:BitComet 62534 UDP R0 sfdrv01a;StarForce Protection Environment Driver (version 1.x.a);C:\WINDOWS\system32\drivers\sfdrv01a.sys [2006-07-05 14:46] R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-12-13 14:28] S3 pccsmcfd;PCCS Mode Change Filter Driver;C:\WINDOWS\system32\DRIVERS\pccsmcfd.sys [2007-09-17 15:53] S3 USBSTOR;Sterownik magazynu masowego USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-04 00:08] . Contents of the ‘Scheduled Tasks’ folder “2008-04-13 06:30:18 C:\WINDOWS\Tasks\User_Feed_Synchronization-{C42B96CA-51FA-459A-8879-B5B15F0630D7}.job” - C:\WINDOWS\system32\msfeedssync.exe . ************************************************************************** catchme 0.3.1351 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-04-13 14:59:36 Windows 5.1.2600 Dodatek Service Pack 2 NTFS scanning hidden processes … scanning hidden autostart entries … scanning hidden files … scan completed successfully hidden files: 0 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\oodag.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\PnkBstrA.exe C:\Program Files\Common Files\Logitech\KhalShared\KHALMNPR.exe C:\WINDOWS\system32\imapi.exe . ************************************************************************** . Completion time: 2008-04-13 15:01:16 - machine was rebooted [Kornel] ComboFix-quarantined-files.txt 2008-04-13 13:01:06 Pre-Run: 1,881,120,768 bajtów wolnych Post-Run: 1,875,152,896 bajt˘w wolnych . 2008-04-09 14:38:38 — E O F —

huber2t · 13 Kwiecień 2008 13:08

otwórz notatnik i wklej

zapisz jako typ wszystkie pliki i pod nazwą plik.reg

Uruchom ten plik, uruchom ponownie komputer

Agntx · 13 Kwiecień 2008 13:53

OK, dodałem do rejestru. Jak do tej pory nie wyskoczył żaden komunikat o rzekomych wirusach czy jakiś pornolach

Stary, jesteś na prawdę wielki! Sam bym sobie nie dał rady, a format tylko w ostateczności. DZIĘKÓWA!

Leon1 · 13 Kwiecień 2008 14:04

Popełniłeś błąd w kluczu brak minusika

Do Agntx

Otwórz notatnik i wklej

zapisz jako plik.reg >> wszystkie pliki >> scal z rejestrem >> restart

powstanie plik o takiej ikonie

w który dwa razy klikniesz potwierdzisz chęć dodania do rejestru potem restart

Wyłącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

usuń ręcznie folder C: \Qoobox usuń instalkę Combofix z dysku.

przeskanuj tym http://www.kaspersky.pl/virusscanner.html pokaż raport

włącz przywracanie systemu

Agntx · 13 Kwiecień 2008 16:21

Oto raport ze skanera:

KASPERSKY ONLINE SCANNER REPORT 13 kwiecień 2008 18:19:51 System operacyjny: Microsoft Windows XP Professional, Dodatek Service Pack 2 (Build 2600) Kaspersky Online Scanner wersja: 5.0.98.0 Ostatnia aktualizacja Kaspersky Anti-Virus13/04/2008 Liczba wpisów w bazie danych Kaspersky Anti-Virus701850 Ustawienia skanowania Skanowanie przy użyciu następujących baz danych rozszerzone Skanuj archiwa tak Skanuj pocztowe bazy danych tak Obszar skanowania Mój komputer C:\ D:\ E:\ F:\ G:\ Statystyki skanowania Liczba skanowanych obiektów 70819 Liczba wykrytych wirusów 1 Liczba zainfekowanych obiektów 5 Liczba podejrzanych obiektów 0 Czas trwania skanowania 00:56:41 Nazwa zainfekowanego obiektu Nazwa wirusa Ostatnie działanie C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab\AVP7\Report\detected.idx Object is locked pominięty C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab\AVP7\Report\detected.rpt Object is locked pominięty C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab\AVP7\Report\eventlog.rpt Object is locked pominięty C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab\AVP7\Report\report.rpt Object is locked pominięty C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Network\Downloader\qmgr0.dat Object is locked pominięty C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Network\Downloader\qmgr1.dat Object is locked pominięty C:\Documents and Settings\Kornel\Cookies\index.dat Object is locked pominięty C:\Documents and Settings\Kornel\NTUSER.DAT Object is locked pominięty C:\Documents and Settings\Kornel\ntuser.dat.LOG Object is locked pominięty C:\Documents and Settings\Kornel\Ustawienia lokalne\Dane aplikacji\Microsoft\CardSpace\CardSpace.db Object is locked pominięty C:\Documents and Settings\Kornel\Ustawienia lokalne\Dane aplikacji\Microsoft\CardSpace\CardSpace.db.shadow Object is locked pominięty C:\Documents and Settings\Kornel\Ustawienia lokalne\Dane aplikacji\Microsoft\Feeds\FeedsStore.feedsdb-ms Object is locked pominięty C:\Documents and Settings\Kornel\Ustawienia lokalne\Dane aplikacji\Microsoft\Feeds\GRY-OnLine Wiadomości~.feed-ms Object is locked pominięty C:\Documents and Settings\Kornel\Ustawienia lokalne\Dane aplikacji\Microsoft\Feeds Cache\index.dat Object is locked pominięty C:\Documents and Settings\Kornel\Ustawienia lokalne\Dane aplikacji\Microsoft\Internet Explorer\Recovery\Active\RecoveryStore.{CDDC4177-0965-11DD-B17E-001617B92475}.dat Object is locked pominięty C:\Documents and Settings\Kornel\Ustawienia lokalne\Dane aplikacji\Microsoft\Internet Explorer\Recovery\Active{134CBEB6-0966-11DD-B17E-001617B92475}.dat Object is locked pominięty C:\Documents and Settings\Kornel\Ustawienia lokalne\Dane aplikacji\Microsoft\Internet Explorer\Recovery\Active{CDDC4178-0965-11DD-B17E-001617B92475}.dat Object is locked pominięty C:\Documents and Settings\Kornel\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty C:\Documents and Settings\Kornel\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty C:\Documents and Settings\Kornel\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\9jydtcus.default\Cache\633285D9d01/SmitfraudFix/Reboot.exe Zainfekowanych: not-a-virus:RiskTool.Win32.Reboot.f pominięty C:\Documents and Settings\Kornel\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\9jydtcus.default\Cache\633285D9d01 ZIP: zainfekowany - 1 pominięty C:\Documents and Settings\Kornel\Ustawienia lokalne\Historia\History.IE5\index.dat Object is locked pominięty C:\Documents and Settings\Kornel\Ustawienia lokalne\Temp~DF16D6.tmp Object is locked pominięty C:\Documents and Settings\Kornel\Ustawienia lokalne\Temp~DF16DF.tmp Object is locked pominięty C:\Documents and Settings\Kornel\Ustawienia lokalne\Temp~DF17FD.tmp Object is locked pominięty C:\Documents and Settings\Kornel\Ustawienia lokalne\Temp~DF1806.tmp Object is locked pominięty C:\Documents and Settings\Kornel\Ustawienia lokalne\Temp~DF1FFB.tmp Object is locked pominięty C:\Documents and Settings\Kornel\Ustawienia lokalne\Temp~DF2004.tmp Object is locked pominięty C:\Documents and Settings\Kornel\Ustawienia lokalne\Temp~DF2E41.tmp Object is locked pominięty C:\Documents and Settings\Kornel\Ustawienia lokalne\Temp~DF531C.tmp Object is locked pominięty C:\Documents and Settings\Kornel\Ustawienia lokalne\Temp~DF76CC.tmp Object is locked pominięty C:\Documents and Settings\Kornel\Ustawienia lokalne\Temporary Internet Files\AntiPhishing\5AFAD6B8-456C-4DA1-88AD-AF7DFF52072B.dat Object is locked pominięty C:\Documents and Settings\Kornel\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat Object is locked pominięty C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked pominięty C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked pominięty C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked pominięty C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked pominięty C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty C:\WINDOWS\Debug\PASSWD.LOG Object is locked pominięty C:\WINDOWS\SchedLgU.Txt Object is locked pominięty C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked pominięty C:\WINDOWS\Sti_Trace.log Object is locked pominięty C:\WINDOWS\system32\CatRoot2\edb.log Object is locked pominięty C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked pominięty C:\WINDOWS\system32\config\AppEvent.Evt Object is locked pominięty C:\WINDOWS\system32\config\default Object is locked pominięty C:\WINDOWS\system32\config\default.LOG Object is locked pominięty C:\WINDOWS\system32\config\Internet.evt Object is locked pominięty C:\WINDOWS\system32\config\ODiag.evt Object is locked pominięty C:\WINDOWS\system32\config\OSession.evt Object is locked pominięty C:\WINDOWS\system32\config\SAM Object is locked pominięty C:\WINDOWS\system32\config\SAM.LOG Object is locked pominięty C:\WINDOWS\system32\config\SecEvent.Evt Object is locked pominięty C:\WINDOWS\system32\config\SECURITY Object is locked pominięty C:\WINDOWS\system32\config\SECURITY.LOG Object is locked pominięty C:\WINDOWS\system32\config\software Object is locked pominięty C:\WINDOWS\system32\config\software.LOG Object is locked pominięty C:\WINDOWS\system32\config\SysEvent.Evt Object is locked pominięty C:\WINDOWS\system32\config\system Object is locked pominięty C:\WINDOWS\system32\config\system.LOG Object is locked pominięty C:\WINDOWS\system32\drivers\fidbox.dat Object is locked pominięty C:\WINDOWS\system32\drivers\fidbox.idx Object is locked pominięty C:\WINDOWS\system32\drivers\fidbox2.dat Object is locked pominięty C:\WINDOWS\system32\drivers\fidbox2.idx Object is locked pominięty C:\WINDOWS\system32\drivers\sptd.sys Object is locked pominięty C:\WINDOWS\system32\h323log.txt Object is locked pominięty C:\WINDOWS\system32\LogFiles\WUDF\WUDFTrace.etl Object is locked pominięty C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked pominięty C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked pominięty C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked pominięty C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked pominięty C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked pominięty C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked pominięty C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked pominięty C:\WINDOWS\wiadebug.log Object is locked pominięty C:\WINDOWS\wiaservc.log Object is locked pominięty C:\WINDOWS\WindowsUpdate.log Object is locked pominięty D:\System Volume Information\MountPointManagerRemoteDatabase Object is locked pominięty E:\Downloads\SmitfraudFix\Reboot.exe Zainfekowanych: not-a-virus:RiskTool.Win32.Reboot.f pominięty E:\Downloads\SmitfraudFix.zip/SmitfraudFix/Reboot.exe Zainfekowanych: not-a-virus:RiskTool.Win32.Reboot.f pominięty E:\Downloads\SmitfraudFix.zip ZIP: zainfekowany - 1 pominięty E:\System Volume Information\MountPointManagerRemoteDatabase Object is locked pominięty Proces skanowania został zakończony.

Leon1 · 13 Kwiecień 2008 17:27

usuń to jest ci już nie potrzebne

Powinno być OK

Agntx · 13 Kwiecień 2008 18:20

Zrobiłem skan Kasperskim i usunąłem to, co trzeba. System wydaje się działać normalnie.

Jeszcze raz dzięki za pomoc!

Gutek · 14 Kwiecień 2008 16:28

Zmiana zasad wklejania logów na forum - viewtopic.php?f=16&t=213350