OTL.txt
http://wklej.org/id/152741/
Extras.txt
http://wklej.org/id/152745/
Prosze o pomoc.
Pozdrawiam
Aktualizacje na programosy.pl:
Tablacus Explorer • Viber • Black Menu for Google • OutlookStatView • Google Chrome • Total Commander • Kopia zapasowa i synchronizacja (Google Drive) • StrongRecovery • Mozilla Firefox
-
- Ogłoszenie:
Komp muli - syf z pena - autorun.inf g8k.exe itp - log z otl
17 posty(ów) • Strona 1 z 1
Komp muli - syf z pena - autorun.inf g8k.exe itp - log z otl
przez endru89 20 Wrz 2009, 15:35
OTL.txt
http://wklej.org/id/152741/
Extras.txt
http://wklej.org/id/152745/
Prosze o pomoc.
Pozdrawiam
Komp muli - syf z pena - autorun.inf g8k.exe itp - log z otl
przez NieWiem 20 Wrz 2009, 15:40
Tu jest coś więcej niż zwykły syf z pendrive.
Zastosuj ComboFix, instrukcja obsługi Combofixa tutaj i wklej loga z niego.
Zastosuj ComboFix, instrukcja obsługi Combofixa tutaj i wklej loga z niego.
1. Pomocy udzielam wyłącznie na licencji beerware!
2. Jeśli nie odpowiadam od razu w temacie, to znaczy że mam życie poza internetem. Uszanuj mój dobrowolnie poświęcony czas i nie oczekuj wszystkiego natychmiast. Jeśli nie odpowiadam przez 48 godzin, przyślij PW.
STOP ++> trollom, dzieciom neostrady, emo, Forestom, kotożercom i nienawiści [ nie dotyczy wymienionych wcześniej ]
2. Jeśli nie odpowiadam od razu w temacie, to znaczy że mam życie poza internetem. Uszanuj mój dobrowolnie poświęcony czas i nie oczekuj wszystkiego natychmiast. Jeśli nie odpowiadam przez 48 godzin, przyślij PW.
STOP ++> trollom, dzieciom neostrady, emo, Forestom, kotożercom i nienawiści [ nie dotyczy wymienionych wcześniej ]
-
NieWiem - ~user
- Posty: 2183
- Dołączenie: 19 Cze 2009, 17:01
- Miejscowość: Okolice Okolic
- Pochwały: 171
Komp muli - syf z pena - autorun.inf g8k.exe itp - log z otl
przez endru89 20 Wrz 2009, 19:03
log z combofixa:
- Kod: Zaznacz wszystko
ComboFix 09-09-18.02 - Andrzej 2009-09-20 19:51.1.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1250.48.1045.18.511.262 [GMT 2:00]
Uruchomiony z: c:\documents and settings\Andrzej\Pulpit\ComboFix.exe
* Utworzono nowy punkt przywracania
.
((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\10nb.exe
C:\2o1ajagt.exe
C:\3c.exe
C:\autorun.inf
c:\docume~1\Andrzej\USTAWI~1\Temp\cvasds0.dll
c:\docume~1\Andrzej\USTAWI~1\Temp\cvasds1.dll
C:\DOGYX90.EXE
C:\ewqij.bat
C:\g8k.exe
C:\lcw.exe
C:\lhh3v.exe
C:\ljnhwt.bat
C:\mjafm.exe
C:\o8tf6l.exe
C:\o9bxu.exe
C:\ph.exe
C:\pkkwng.exe
c:\windows\Installer\10bae37.msi
c:\windows\Installer\176306.msi
c:\windows\Installer\188728.msi
c:\windows\Installer\1ae38ab.msi
c:\windows\Installer\2136564.msi
c:\windows\Installer\258fee3.msp
c:\windows\Installer\29de09c.msi
c:\windows\Installer\42a290.msi
c:\windows\Installer\4470182.msi
c:\windows\Installer\447018a.msi
c:\windows\Installer\706bb.msi
c:\windows\Installer\968951.msi
c:\windows\Installer\96895a.msp
c:\windows\Installer\9ecee1.msi
c:\windows\Installer\b2586.msi
c:\windows\Installer\b3c895.msi
c:\windows\Installer\eb2c4.msi
c:\windows\Installer\RadLinker.msi
c:\windows\system32\Dvbpws.dll
c:\windows\system32\e8main1.dll
c:\windows\system32\logs
C:\wrsf.exe
D:\10nb.exe
D:\2o1ajagt.exe
D:\3c.exe
D:\86.exe
D:\Autorun.inf
D:\b.bat
D:\cj3k.exe
D:\dogyx90.exe
D:\ewqij.bat
D:\g8k.exe
D:\hx.exe
D:\i0yva6.exe
D:\kgji.exe
D:\lcw.exe
D:\lhh3v.exe
D:\ljnhwt.bat
D:\m.exe
D:\mjafm.exe
D:\mt2.exe
D:\o8tf6l.exe
D:\o9bxu.exe
D:\ph.exe
D:\pkkwng.exe
D:\q8e6.bat
D:\t8s2x.exe
D:\uvsqfgwd.cmd
D:\wrsf.exe
D:\y.bat
E:\2o1ajagt.exe
E:\autorun.inf
F:\10nb.exe
F:\2o1ajagt.exe
F:\3c.exe
F:\86.exe
F:\Autorun.inf
F:\b.bat
F:\cj3k.exe
F:\dogyx90.exe
F:\ewqij.bat
F:\g8k.exe
F:\hx.exe
F:\i0yva6.exe
F:\kgji.exe
F:\lcw.exe
F:\lhh3v.exe
F:\ljnhwt.bat
F:\m.exe
F:\mjafm.exe
F:\mt2.exe
F:\o8tf6l.exe
F:\o9bxu.exe
F:\ph.exe
F:\pkkwng.exe
F:\q8e6.bat
F:\t8s2x.exe
F:\uvsqfgwd.cmd
F:\wrsf.exe
F:\y.bat
.
((((((((((((((((((((((((((((((((((((((( Sterowniki/Usługi )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_NPF
((((((((((((((((((((((((( Pliki utworzone od 2009-08-20 do 2009-09-20 )))))))))))))))))))))))))))))))
.
2009-09-20 12:45 . 2009-09-20 12:45 -------- d-----w- c:\documents and settings\Andrzej\Dane aplikacji\Malwarebytes
2009-09-20 12:45 . 2009-09-10 12:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-09-20 12:45 . 2009-09-20 12:45 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Malwarebytes
2009-09-20 12:45 . 2009-09-10 12:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-09-16 19:36 . 2009-09-16 19:36 116163 --sh--r- C:\qcod.exe
2009-09-13 15:33 . 2009-09-13 15:33 117106 --sh--r- C:\qcoageh.exe
2009-09-06 13:21 . 2009-09-06 13:21 -------- d-sh--w- c:\documents and settings\NetworkService\IETldCache
2009-09-04 17:01 . 2009-09-04 17:01 -------- d-----w- c:\documents and settings\Dagusia\Ustawienia lokalne\Dane aplikacji\Google
2009-09-04 16:52 . 2009-09-04 16:52 -------- d-----w- c:\documents and settings\Dagusia\Ustawienia lokalne\Dane aplikacji\Opera
2009-09-04 16:52 . 2009-09-04 16:52 -------- d-sh--w- c:\documents and settings\Dagusia\IETldCache
2009-08-29 08:56 . 2009-08-29 08:56 -------- d-sh--w- c:\documents and settings\Wojtek\PrivacIE
2009-08-29 08:56 . 2009-08-29 08:56 -------- d-----w- c:\documents and settings\Wojtek\Ustawienia lokalne\Dane aplikacji\Conduit
2009-08-29 08:56 . 2009-08-29 08:56 -------- d-----w- c:\documents and settings\Wojtek\Ustawienia lokalne\Dane aplikacji\Free_Lunch_Design
2009-08-21 23:05 . 2009-08-21 23:05 -------- d-----w- c:\documents and settings\Andrzej\Dane aplikacji\ipla
2009-08-21 23:05 . 2009-08-21 23:05 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\ipla
2009-08-21 23:04 . 2009-08-21 23:04 1700352 ----a-w- c:\windows\system32\gdiplus.dll
.
(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-20 18:00 . 2007-03-22 16:56 -------- d-----w- c:\documents and settings\Andrzej\Dane aplikacji\uTorrent
2009-09-20 15:37 . 2001-10-26 16:15 67078 ----a-w- c:\windows\system32\perfc015.dat
2009-09-20 15:37 . 2001-10-26 16:15 435978 ----a-w- c:\windows\system32\perfh015.dat
2009-09-20 13:53 . 2006-07-26 17:54 -------- d-----w- c:\documents and settings\Andrzej\Dane aplikacji\Skype
2009-09-20 12:04 . 2009-01-31 21:11 -------- d-----w- c:\documents and settings\Andrzej\Dane aplikacji\skypePM
2009-09-20 12:03 . 2009-03-28 09:10 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Google Updater
2009-09-19 16:18 . 2008-11-16 18:21 -------- d-----w- c:\documents and settings\Lilka\Dane aplikacji\Skype
2009-09-19 16:18 . 2009-02-12 20:29 -------- d-----w- c:\documents and settings\Lilka\Dane aplikacji\skypePM
2009-09-16 20:03 . 2008-04-20 19:00 -------- d-----w- c:\documents and settings\Wojtek\Dane aplikacji\OpenOffice.org2
2009-09-12 13:39 . 2006-12-05 16:35 -------- d-----w- c:\program files\SkanerOnline
2009-09-12 13:17 . 2007-01-21 19:11 -------- d-----w- c:\documents and settings\Andrzej\Dane aplikacji\MegauploadToolbar
2009-09-06 13:57 . 2008-03-27 22:23 12500 ----a-w- c:\documents and settings\Andrzej\FMCodec.dat
2009-09-06 07:14 . 2008-04-27 10:57 12500 ----a-w- c:\documents and settings\Wojtek\FMCodec.dat
2009-08-31 11:46 . 2006-01-11 13:36 -------- d-----w- c:\program files\PDF Editor 2
2009-08-30 12:53 . 2006-01-06 23:35 -------- d-----w- c:\documents and settings\Andrzej\Dane aplikacji\The Bat!
2009-08-29 08:56 . 2007-02-12 09:46 -------- d-----w- c:\documents and settings\Wojtek\Dane aplikacji\MEGAUPLOADTOOLBAR
2009-08-25 22:51 . 2009-06-23 15:42 -------- d-----w- c:\documents and settings\Wojtek\Dane aplikacji\The Bat!
2009-08-17 14:27 . 2009-08-17 14:27 -------- d-----w- c:\documents and settings\Lilka\Dane aplikacji\Media Player Classic
2009-07-24 19:28 . 2007-02-13 19:20 -------- d-----w- c:\documents and settings\Andrzej\Dane aplikacji\Vso
2009-07-03 16:59 . 2004-08-23 17:18 915456 ----a-w- c:\windows\system32\wininet.dll
2004-10-01 08:14 . 2006-01-06 22:34 57344 ----a-w- c:\program files\mozilla firefox\components\inspector.dll
2007-04-16 15:54 . 2001-10-26 16:49 165749 --sha-r- c:\windows\system32\gqzjvr.dll
.
((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"WheelMouse"="c:\program files\A4Tech\Mouse\Amoumain.exe" [2005-09-29 176128]
"Firebird"="c:\program files\Firebird\Firebird_1_5\bin\fbguard.exe" [2004-12-13 65536]
"Sony Ericsson PC Suite"="c:\program files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2005-10-26 159744]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2007-06-29 286720]
"AtiPTA"="atiptaxx.exe" - c:\windows\system32\atiptaxx.exe [2004-12-01 344064]
"SoundMan"="soundman.exe" - c:\windows\soundman.exe [2003-06-10 55296]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-04 15360]
c:\documents and settings\Andrzej\Menu Start\Programy\Autostart\
ERUNT AutoBackup.lnk - c:\program files\ERUNT\AUTOBACK.EXE [2005-10-20 38912]
Skr˘t do utorrent.exe.lnk - c:\net\uTorrent\utorrent.exe [2007-2-15 177152]
c:\documents and settings\All Users\Menu Start\Programy\Autostart\
Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoWelcomeScreen"= 0 (0x0)
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 0 (0x0)
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{35B2861B-2B26-4691-9FF0-09083722C736}"= "c:\windows\System32\RadExe.dll" [2004-12-22 212992]
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C:
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C:\net
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\c:\net\NET Traffic Meter
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Gadu-Gadu\\gg.exe"=
"c:\\net\\FileZilla\\FileZilla.exe"=
"e:\\gry\\aot\\System\\TacticalOps.exe"=
"c:\\Program Files\\DAP\\DAP.exe"=
"c:\\Program Files\\mIRC\\mirc.exe"=
"c:\\net\\eMule\\emule.exe"=
"c:\\Program Files\\Firebird\\Firebird_1_5\\bin\\fbserver.exe"=
"c:\\Program Files\\Konnekt\\konnekt.exe"=
"c:\\Program Files\\Ahead\\ODD Toolkit\\ODDUpdate.exe"=
"c:\\net\\BitComet\\BitComet.exe"=
"d:\\andrzej\\Gadu-Gadu\\gg.exe"=
"c:\\net\\µTorrent\\utorrent.exe"=
"c:\\net\\Ares\\Ares.exe"=
"c:\\Program Files\\NAPI-PROJEKT\\napisy.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
"17393:TCP"= 17393:TCP:BitComet 17393 TCP
"17393:UDP"= 17393:UDP:BitComet 17393 UDP
R1 vcdrom;Virtual CD-ROM Device Driver;c:\windows\system32\drivers\VCdRom.sys [2001-12-19 8576]
S1 nltdi;nltdi;\??\c:\windows\system32\drivers\nltdi.sys --> c:\windows\system32\drivers\nltdi.sys [?]
S3 RivaTunerEx;RivaTunerEx;e:\stuff\rivatuner\RivaTunerEx.sys [2003-12-28 2208]
.
Zawartość folderu 'Zaplanowane zadania'
2009-09-20 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-12-25 09:10]
2009-09-20 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-03-28 09:11]
2009-09-20 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-03-28 09:11]
.
.
------- Skan uzupełniający -------
.
uStart Page = hxxp://www.mks.com.pl/skaner/
IE: &Download with &DAP - c:\program files\DAP\dapextie.htm
IE: Download &all with DAP - c:\program files\DAP\dapextie2.htm
IE: Download all links using BitComet - c:\net\BitComet\BitComet.exe/AddAllLink.htm
IE: Download all videos using BitComet - c:\net\BitComet\BitComet.exe/AddVideo.htm
IE: Download link using &BitComet - c:\net\BitComet\BitComet.exe/AddLink.htm
IE: E&ksport do programu Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
Trusted Zone: com.pl\*.mks
DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} - hxxp://www.mks.com.pl/skaner/SkanerOnline.cab
FF - ProfilePath - c:\documents and settings\Andrzej\Dane aplikacji\Mozilla\Firefox\Profiles\rp6pk6pm.default\
FF - prefs.js: browser.startup.homepage - hxxp://t3nnis.tv/browse.php
FF - plugin: c:\program files\Java\jre1.5.0_06\bin\NPJava11.dll
FF - plugin: c:\program files\Java\jre1.5.0_06\bin\NPJava12.dll
FF - plugin: c:\program files\Java\jre1.5.0_06\bin\NPJava13.dll
FF - plugin: c:\program files\Java\jre1.5.0_06\bin\NPJava14.dll
FF - plugin: c:\program files\Java\jre1.5.0_06\bin\NPJava32.dll
FF - plugin: c:\program files\Java\jre1.5.0_06\bin\NPJPI150_06.dll
FF - plugin: c:\program files\Java\jre1.5.0_06\bin\NPOJI610.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\NPAdbESD.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npganymedenet.dll
FF - plugin: c:\program files\Opera\program\plugins\npdevalvr.dll
FF - plugin: c:\program files\Opera\program\plugins\npdivx32.dll
FF - plugin: c:\program files\Opera\program\plugins\npganymedenet.dll
FF - plugin: e:\stuff\Google\Picasa3\npPicasa2.dll
.
- - - - USUNIĘTO PUSTE WPISY - - - -
HKU-Default-Run-Picasa Media Detector - c:\grafika\Picasa2\PicasaMediaDetector.exe
AddRemove-Bink and Smacker - e:\stuff\RADVideo\UNWISE.EXE
AddRemove-DIKO Free_is1 - e:\stuff\DIKO\unins000.exe
AddRemove-Dżony Łoker 5.0 - c:\irc\Uninstal.exe
AddRemove-GoldWave v5.09 - c:\program files\GoldWave\unstall.exe
AddRemove-GoogleVideoPlayer - c:\program files\Google\Google Video Player\Uninstall.exe
AddRemove-mIRC - c:\irc\mirc.exe
AddRemove-NetLimiter 2 Pro - c:\net\NetLimiter 2 Pro\nl2uninst.exe
AddRemove-Opera - c:\progra~1\Opera\uninst\unwise.exe
AddRemove-Picasa2 - c:\grafika\Picasa2\Uninstall.exe
AddRemove-PoivY_is1 - c:\program files\PoivY.com\PoivY\unins000.exe
AddRemove-Quake III Arena Point Release 1.32 - c:\windows\unvise32.exe
AddRemove-save2pc Pro Demo_is1 - c:\net\save2pc\unins000.exe
AddRemove-Skype_is1 - c:\program files\Skype\Phone\unins000.exe
AddRemove-VoipDiscount_is1 - c:\program files\VoipDiscount.com\VoipDiscount\unins000.exe
AddRemove-Winamp - c:\muzyka\Winamp 5.1\UninstWA.exe
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-09-20 20:00
Windows 5.1.2600 Dodatek Service Pack 2 NTFS
skanowanie ukrytych procesów ...
skanowanie ukrytych wpisów autostartu ...
skanowanie ukrytych plików ...
skanowanie pomyślnie ukończone
ukryte pliki: 0
**************************************************************************
.
--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------
- - - - - - - > 'winlogon.exe'(732)
c:\windows\system32\Ati2evxx.dll
- - - - - - - > 'explorer.exe'(2828)
c:\windows\system32\WININET.dll
c:\windows\System32\webcheck.dll
.
------------------------ Pozostałe uruchomione procesy ------------------------
.
c:\windows\system32\savedump.exe
c:\windows\system32\ati2evxx.exe
c:\program files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\ati2evxx.exe
c:\program files\Firebird\Firebird_1_5\bin\fbserver.exe
c:\program files\Common Files\Teleca Shared\CapabilityManager.exe
c:\program files\Common Files\Teleca Shared\Generic.exe
c:\program files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
.
**************************************************************************
.
Czas ukończenia: 2009-09-20 20:03 - komputer został uruchomiony ponownie
ComboFix-quarantined-files.txt 2009-09-20 18:03
Przed: 1 083 461 632 bajtów wolnych
Po: 1 136 848 896 bajtów wolnych
WindowsXP-KB310994-SP2-Pro-BootDisk-PLK.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn
306 --- E O F --- 2008-01-09 09:42
Komp muli - syf z pena - autorun.inf g8k.exe itp - log z otl
przez Okocza 20 Wrz 2009, 19:15
pobierz The Avenger i wklej w główne okno programu w białę pole:
kliknij execute
- Kod: Zaznacz wszystko
Files To Delete:
C:\qcod.exe
C:\qcoageh.exe
c:\windows\system32\gqzjvr.dll
kliknij execute
eMachines E730G - Core i5-430M, 2GiB RAM, ATI Mobility Radeon HD5470, WD 320GiB; Cort Z-44,DR 0.09-0.42, Peavey Backstage
Mac OS X 10.7.4 Lion // Windows 7 Professional x64 // NIE POMAGAM NA PW/GG/E-MAIL
"Moje Ego i Anima spotykają się i wymieniają przepisami na ciasteczka" - Maynard James Keenan
Mac OS X 10.7.4 Lion // Windows 7 Professional x64 // NIE POMAGAM NA PW/GG/E-MAIL
"Moje Ego i Anima spotykają się i wymieniają przepisami na ciasteczka" - Maynard James Keenan
-
Okocza - ~user
- Posty: 8001
- Dołączenie: 19 Mar 2006, 11:53
- Pochwały: 406
-
Komp muli - syf z pena - autorun.inf g8k.exe itp - log z otl
przez endru89 20 Wrz 2009, 20:49
log z avengera:
w total commanderze widze jeszcze te pliki - qcoageh.exe ; qcod.exe na innych partycjach dysku. co z tym zrobic? tak samo usunac za pomoca avengera? pozdrawiam.
- Kod: Zaznacz wszystko
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
File "C:\qcod.exe" deleted successfully.
File "C:\qcoageh.exe" deleted successfully.
File "c:\windows\system32\gqzjvr.dll" deleted successfully.
Completed script processing.
*******************
Finished! Terminate.
w total commanderze widze jeszcze te pliki - qcoageh.exe ; qcod.exe na innych partycjach dysku. co z tym zrobic? tak samo usunac za pomoca avengera? pozdrawiam.
Komp muli - syf z pena - autorun.inf g8k.exe itp - log z otl
przez wojtas 20 Wrz 2009, 21:57
tak usun tak samo.. potem daj loga z cf
-
wojtas - *mod
- Posty: 18165
- Dołączenie: 13 Sty 2006, 16:00
- Miejscowość: Krzeszyce
- Pochwały: 1656
-
Komp muli - syf z pena - autorun.inf g8k.exe itp - log z otl
przez endru89 21 Wrz 2009, 17:15
- Kod: Zaznacz wszystko
omboFix 09-09-20.03 - Andrzej 2009-09-21 17:45.2.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1250.48.1045.18.511.289 [GMT
2:00]
Uruchomiony z: c:\documents and settings\Andrzej\Pulpit\ComboFix.exe
.
((((((((((((((((((((((((( Pliki utworzone od 2009-08-21 do 2009-09-21
)))))))))))))))))))))))))))))))
.
2009-09-20 12:45 . 2009-09-20 12:45 -------- d-----w- c:\documents and
settings\Andrzej\Dane aplikacji\Malwarebytes
2009-09-20 12:45 . 2009-09-10
12:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-09-20 12:45 . 2009-09-20 12:45 -------- d-----w- c:\documents and
settings\All Users\Dane aplikacji\Malwarebytes
2009-09-20 12:45 . 2009-09-10
12:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-09-06 13:21 . 2009-09-06 13:21 -------- d-sh--w- c:\documents and
settings\NetworkService\IETldCache
2009-09-04 17:01 . 2009-09-04 17:01 -------- d-----w- c:\documents and
settings\Dagusia\Ustawienia lokalne\Dane aplikacji\Google
2009-09-04 16:52 . 2009-09-04 16:52 -------- d-----w- c:\documents and
settings\Dagusia\Ustawienia lokalne\Dane aplikacji\Opera
2009-09-04 16:52 . 2009-09-04 16:52 -------- d-sh--w- c:\documents and
settings\Dagusia\IETldCache
2009-08-29 08:56 . 2009-08-29 08:56 -------- d-sh--w- c:\documents and
settings\Wojtek\PrivacIE
2009-08-29 08:56 . 2009-08-29 08:56 -------- d-----w- c:\documents and
settings\Wojtek\Ustawienia lokalne\Dane aplikacji\Conduit
2009-08-29 08:56 . 2009-08-29 08:56 -------- d-----w- c:\documents and
settings\Wojtek\Ustawienia lokalne\Dane aplikacji\Free_Lunch_Design
.
(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M
))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-21 15:42 . 2007-03-22 16:56 -------- d-----w- c:\documents and
settings\Andrzej\Dane aplikacji\uTorrent
2009-09-20 15:37 . 2001-10-26
16:15 67078 ----a-w- c:\windows\system32\perfc015.dat
2009-09-20 15:37 . 2001-10-26
16:15 435978 ----a-w- c:\windows\system32\perfh015.dat
2009-09-20 13:53 . 2006-07-26 17:54 -------- d-----w- c:\documents and
settings\Andrzej\Dane aplikacji\Skype
2009-09-20 12:04 . 2009-01-31 21:11 -------- d-----w- c:\documents and
settings\Andrzej\Dane aplikacji\skypePM
2009-09-20 12:03 . 2009-03-28 09:10 -------- d-----w- c:\documents and
settings\All Users\Dane aplikacji\Google Updater
2009-09-19 16:18 . 2008-11-16 18:21 -------- d-----w- c:\documents and
settings\Lilka\Dane aplikacji\Skype
2009-09-19 16:18 . 2009-02-12 20:29 -------- d-----w- c:\documents and
settings\Lilka\Dane aplikacji\skypePM
2009-09-16 20:03 . 2008-04-20 19:00 -------- d-----w- c:\documents and
settings\Wojtek\Dane aplikacji\OpenOffice.org2
2009-09-12 13:39 . 2006-12-05 16:35 -------- d-----w- c:\program
files\SkanerOnline
2009-09-12 13:17 . 2007-01-21 19:11 -------- d-----w- c:\documents and
settings\Andrzej\Dane aplikacji\MegauploadToolbar
2009-09-06 13:57 . 2008-03-27 22:23 12500 ----a-w- c:\documents and
settings\Andrzej\FMCodec.dat
2009-09-06 07:14 . 2008-04-27 10:57 12500 ----a-w- c:\documents and
settings\Wojtek\FMCodec.dat
2009-08-31 11:46 . 2006-01-11 13:36 -------- d-----w- c:\program files\PDF
Editor 2
2009-08-30 12:53 . 2006-01-06 23:35 -------- d-----w- c:\documents and
settings\Andrzej\Dane aplikacji\The Bat!
2009-08-29 08:56 . 2007-02-12 09:46 -------- d-----w- c:\documents and
settings\Wojtek\Dane aplikacji\MEGAUPLOADTOOLBAR
2009-08-25 22:51 . 2009-06-23 15:42 -------- d-----w- c:\documents and
settings\Wojtek\Dane aplikacji\The Bat!
2009-08-21 23:05 . 2009-08-21 23:05 -------- d-----w- c:\documents and
settings\Andrzej\Dane aplikacji\ipla
2009-08-21 23:05 . 2009-08-21 23:05 -------- d-----w- c:\documents and
settings\All Users\Dane aplikacji\ipla
2009-08-21 23:04 . 2009-08-21
23:04 1700352 ----a-w- c:\windows\system32\gdiplus.dll
2009-08-17 14:27 . 2009-08-17 14:27 -------- d-----w- c:\documents and
settings\Lilka\Dane aplikacji\Media Player Classic
2009-07-24 19:28 . 2007-02-13 19:20 -------- d-----w- c:\documents and
settings\Andrzej\Dane aplikacji\Vso
2009-07-03 16:59 . 2004-08-23
17:18 915456 ------w- c:\windows\system32\wininet.dll
2004-10-01 08:14 . 2006-01-06 22:34 57344 ----a-w- c:\program files\mozilla
firefox\components\inspector.dll
.
((((((((((((((((((((((((((((( SnapShot@2009-09-20_18.00.59
)))))))))))))))))))))))))))))))))))))))))
.
+ 2009-09-21 15:07 . 2009-09-21 15:07 118784
c:\windows\ERDNT\AutoBackup\2009-09-21\Users\00000002\UsrClass.dat
+ 2009-09-21 15:07 . 2005-10-20 11:02 163328
c:\windows\ERDNT\AutoBackup\2009-09-21\ERDNT.EXE
+ 2009-09-21 15:07 . 2009-09-21 15:07 8056832
c:\windows\ERDNT\AutoBackup\2009-09-21\Users\00000001\NTUSER.DAT
.
((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru
))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"WheelMouse"="c:\program files\A4Tech\Mouse\Amoumain.exe" [2005-09-29
176128]
"Firebird"="c:\program files\Firebird\Firebird_1_5\bin\fbguard.exe"
[2004-12-13 65536]
"Sony Ericsson PC Suite"="c:\program files\Sony
Ericsson\Mobile2\Application
Launcher\Application Launcher.exe" [2005-10-26 159744]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader
8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2007-06-29
286720]
"AtiPTA"="atiptaxx.exe" - c:\windows\system32\atiptaxx.exe [2004-12-01
344064]
"SoundMan"="soundman.exe" - c:\windows\soundman.exe [2003-06-10 55296]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-04 15360]
c:\documents and settings\Andrzej\Menu Start\Programy\Autostart\
ERUNT AutoBackup.lnk - c:\program files\ERUNT\AUTOBACK.EXE [2005-10-20
38912]
Skr˘t do utorrent.exe.lnk - c:\net\uTorrent\utorrent.exe [2007-2-15
177152]
c:\documents and settings\All Users\Menu Start\Programy\Autostart\
Microsoft Office.lnk - c:\program files\Microsoft
Office\Office10\OSA.EXE
[2001-2-13
83360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoWelcomeScreen"=
0
(0x0)
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"=
0
(0x0)
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{35B2861B-2B26-4691-9FF0-09083722C736}"= "c:\windows\System32\RadExe.dll"
[2004-12-22
212992]
[HKEY_LOCAL_MACHINE\software\microsoft\security
center]
"AntiVirusOverride"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Gadu-Gadu\\gg.exe"=
"c:\\net\\FileZilla\\FileZilla.exe"=
"e:\\gry\\aot\\System\\TacticalOps.exe"=
"c:\\Program Files\\DAP\\DAP.exe"=
"c:\\Program Files\\mIRC\\mirc.exe"=
"c:\\net\\eMule\\emule.exe"=
"c:\\Program Files\\Firebird\\Firebird_1_5\\bin\\fbserver.exe"=
"c:\\Program Files\\Konnekt\\konnekt.exe"=
"c:\\Program Files\\Ahead\\ODD Toolkit\\ODDUpdate.exe"=
"c:\\net\\BitComet\\BitComet.exe"=
"d:\\andrzej\\Gadu-Gadu\\gg.exe"=
"c:\\net\\µTorrent\\utorrent.exe"=
"c:\\net\\Ares\\Ares.exe"=
"c:\\Program
Files\\NAPI-PROJEKT\\napisy.exe"=
"c:\\Program
Files\\Skype\\Phone\\Skype.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
"17393:TCP"= 17393:TCP:BitComet 17393 TCP
"17393:UDP"= 17393:UDP:BitComet 17393 UDP
R1 vcdrom;Virtual CD-ROM Device
Driver;c:\windows\system32\drivers\VCdRom.sys [2001-12-19 8576]
S1 nltdi;nltdi;\??\c:\windows\system32\drivers\nltdi.sys -->
c:\windows\system32\drivers\nltdi.sys [?]
S3 RivaTunerEx;RivaTunerEx;e:\stuff\rivatuner\RivaTunerEx.sys [2003-12-28
2208]
.
Zawartość folderu 'Zaplanowane zadania'
2009-09-21 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe
[2008-12-25 09:10]
2009-09-21 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-03-28 09:11]
2009-09-20 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-03-28 09:11]
.
.
------- Skan uzupełniający -------
.
uStart Page = hxxp://www.mks.com.pl/skaner/
IE: &Download with &DAP - c:\program files\DAP\dapextie.htm
IE: Download &all with DAP - c:\program files\DAP\dapextie2.htm
IE: Download all links using BitComet -
c:\net\BitComet\BitComet.exe/AddAllLink.htm
IE: Download all videos using BitComet -
c:\net\BitComet\BitComet.exe/AddVideo.htm
IE: Download link using &BitComet -
c:\net\BitComet\BitComet.exe/AddLink.htm
IE: E&ksport do programu Microsoft Excel -
c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
Trusted Zone: com.pl\*.mks
DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} -
hxxp://www.mks.com.pl/skaner/SkanerOnline.cab
FF - ProfilePath - c:\documents and settings\Andrzej\Dane
aplikacji\Mozilla\Firefox\Profiles\rp6pk6pm.default\
FF - prefs.js: browser.startup.homepage - hxxp://t3nnis.tv/browse.php
FF - plugin: c:\program files\Java\jre1.5.0_06\bin\NPJava11.dll
FF - plugin: c:\program files\Java\jre1.5.0_06\bin\NPJava12.dll
FF - plugin: c:\program files\Java\jre1.5.0_06\bin\NPJava13.dll
FF - plugin: c:\program files\Java\jre1.5.0_06\bin\NPJava14.dll
FF - plugin: c:\program files\Java\jre1.5.0_06\bin\NPJava32.dll
FF - plugin: c:\program files\Java\jre1.5.0_06\bin\NPJPI150_06.dll
FF - plugin: c:\program files\Java\jre1.5.0_06\bin\NPOJI610.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\NPAdbESD.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npganymedenet.dll
FF - plugin: c:\program files\Opera\program\plugins\npdevalvr.dll
FF - plugin: c:\program files\Opera\program\plugins\npdivx32.dll
FF - plugin: c:\program files\Opera\program\plugins\npganymedenet.dll
FF - plugin: e:\stuff\Google\Picasa3\npPicasa2.dll
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer,
http://www.gmer.net
Rootkit scan 2009-09-21 17:49
Windows 5.1.2600 Dodatek Service Pack 2 NTFS
skanowanie ukrytych procesów ...
skanowanie ukrytych wpisów autostartu ...
skanowanie ukrytych plików ...
skanowanie pomyślnie ukończone
ukryte pliki: 0
**************************************************************************
.
--------------------- Pliki DLL ładowane pod uruchomionymi procesami
---------------------
- - - - - - - > 'winlogon.exe'(732)
c:\windows\system32\Ati2evxx.dll
- - - - - - - > 'explorer.exe'(3420)
c:\windows\system32\WININET.dll
c:\windows\System32\webcheck.dll
.
Czas ukończenia: 2009-09-21 17:51
ComboFix-quarantined-files.txt 2009-09-21 15:50
ComboFix2.txt 2009-09-20 18:03
Przed: 1 113 247 744 bajtów wolnych
Po: 1 096 126 464 bajtów wolnych
165 --- E O F --- 2008-01-09 09:42
Komp muli - syf z pena - autorun.inf g8k.exe itp - log z otl
przez wojtas 21 Wrz 2009, 17:59
wklej do notatnika
w notatniku u góry>>>plik zapisz jako>>>Zmien rozszerzenie z TXT na Wszystkie pliki *.* >>> Zapisz pod nazwą FIX.REG
Klikasz dwa razy na powstały plik fix i dodajesz go do rejestru....
1.Uruchom OTL z opcji CleanUp
2. wykonaj optymalizację windowsa
3.Wyłącz przywracanie systemu ( właściwości mój komputer-zakładka przywracanie - wyłącz przywracanie na wszystkich dyskach). Po chwili włącz je powrotem]
4. zrób skan Malwarebytes Anti-Malware (usuń co znajdzie )
Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum.
Windows Registry Editor Version 5.00
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{db1b3e60-05ac-11de-a5d3-00001cd72a97}]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"SuperHidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""
w notatniku u góry>>>plik zapisz jako>>>Zmien rozszerzenie z TXT na Wszystkie pliki *.* >>> Zapisz pod nazwą FIX.REG
Klikasz dwa razy na powstały plik fix i dodajesz go do rejestru....
1.Uruchom OTL z opcji CleanUp
2. wykonaj optymalizację windowsa
3.Wyłącz przywracanie systemu ( właściwości mój komputer-zakładka przywracanie - wyłącz przywracanie na wszystkich dyskach). Po chwili włącz je powrotem]
4. zrób skan Malwarebytes Anti-Malware (usuń co znajdzie )
Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum.
-
wojtas - *mod
- Posty: 18165
- Dołączenie: 13 Sty 2006, 16:00
- Miejscowość: Krzeszyce
- Pochwały: 1656
-
Komp muli - syf z pena - autorun.inf g8k.exe itp - log z otl
przez endru89 27 Wrz 2009, 01:24
komputer chodzi znacznie leepiej. Nie wiem czy to moze byc skutek uboczny dzialania combofixa, ale pare programow przestalo dzialac i stery od dzwieku tez jakby sie odinstalowaly, ale to nie problem. Teraz skanuje kompa kasperskim i niedlugo dam loga.
Mam jeszcze tylko pytanie co do pamieci flash. Mam dysk zewnetrzny z ktorego nie moge usunac jednego wirusa, siedzi on w folderze RECYCLER - plik nazywa sie jwgkvsq.vmx. NOD32 go wykrywa i niby usuwa, probowalem usuwac tez Avengerem i zawsze pokazywal ze nie moze znalezc takiego folderu lub pliku. Te czynnosci wykonywalem na innym (czystym) komputerze z uaktualnionym NODem, wczesniej przeskanowalem ten dysk zewn. Flash Disinfectorem. Plik nadal siedzi w tym folderze, co dziwne teraz NOD juz nie alarmuje o nim. Ponadto czasem jeszcze komp sie wiesza przy probie wylaczania (klikam Start-> Wylacz komputer i pojawia sie klepsydra zamiast kursora..). A jak sie wylacza normalnie to tez czesto zdarza sie ze przy oknie trwa zamykanie systemu windows zejdzie mu dobre 5-6 minut. Ogolnie jest dobrze, czuc poprawe i widze juz pliki ukryte i moge wylaczac/wlaczac ta opcje w opcjach folderow (na zawirusowanym tego nie moglem).
Dzieki za dotychczasowa pomoc, pozdrawiam
Dodano Dzisiaj, 01:39:
acp.exe to zewnetrzny program przeciw cheatom do gry tactical ops assault on terror. Podejrzewam ze mam usunac avengerem tego qcod.exe, tak?
Mam jeszcze tylko pytanie co do pamieci flash. Mam dysk zewnetrzny z ktorego nie moge usunac jednego wirusa, siedzi on w folderze RECYCLER - plik nazywa sie jwgkvsq.vmx. NOD32 go wykrywa i niby usuwa, probowalem usuwac tez Avengerem i zawsze pokazywal ze nie moze znalezc takiego folderu lub pliku. Te czynnosci wykonywalem na innym (czystym) komputerze z uaktualnionym NODem, wczesniej przeskanowalem ten dysk zewn. Flash Disinfectorem. Plik nadal siedzi w tym folderze, co dziwne teraz NOD juz nie alarmuje o nim. Ponadto czasem jeszcze komp sie wiesza przy probie wylaczania (klikam Start-> Wylacz komputer i pojawia sie klepsydra zamiast kursora..). A jak sie wylacza normalnie to tez czesto zdarza sie ze przy oknie trwa zamykanie systemu windows zejdzie mu dobre 5-6 minut. Ogolnie jest dobrze, czuc poprawe i widze juz pliki ukryte i moge wylaczac/wlaczac ta opcje w opcjach folderow (na zawirusowanym tego nie moglem).
Dzieki za dotychczasowa pomoc, pozdrawiam
Dodano Dzisiaj, 01:39:
- Kod: Zaznacz wszystko
Statystyki skanowania:
Przeskanowanych obiektów: 85786
Wykrytych zagrożeń: 5
Wyykrytych zainfekowanych obiektów: 5
Wykrytych podejrzanych obiektów: 2
Czas skanowania: 01:38:00
Nazwa pliku / Zagrożenie / Liczba zagrożeń
C:\Documents and Settings\Lilka\Ustawienia lokalne\Dane aplikacji\Opera\Opera\profile\cache4\opr000D5 Zainfekowanych: Trojan-Downloader.JS.Iframe.vo 1
C:\Downloads\acp.exe Podejrzanych: Packed.Win32.Black.d 1
C:\Program Files\mIRC\mirc.exe Zainfekowanych: not-a-virus:Client-IRC.Win32.mIRC.616 1
C:\Program Files\themexp\Themexp.org File\Ezthemes_WhenUSaveNowCrunch_InstallerInst.exe Zainfekowanych: not-a-virus:WebToolbar.Win32.WhenU.a 1
C:\Program Files\themexp\Themexp.org File\Ezthemes_WhenUSaveNow_InstallerInst.exe Zainfekowanych: not-a-virus:WebToolbar.Win32.WhenU.a 1
D:\qcod.exe Zainfekowanych: Trojan-GameThief.Win32.Magania.cbow 1
E:\gry\aot\System\acp.exe Podejrzanych: Packed.Win32.Black.d 1
Wybrany obszar został przeskanowany.
acp.exe to zewnetrzny program przeciw cheatom do gry tactical ops assault on terror. Podejrzewam ze mam usunac avengerem tego qcod.exe, tak?
Komp muli - syf z pena - autorun.inf g8k.exe itp - log z otl
przez wojtas 27 Wrz 2009, 10:24
C:\Program Files\themexp\Themexp.org File\Ezthemes_WhenUSaveNowCrunch_InstallerInst.exe Zainfekowanych: not-a-virus:WebToolbar.Win32.WhenU.a 1
C:\Program Files\themexp\Themexp.org File\Ezthemes_WhenUSaveNow_InstallerInst.exe Zainfekowanych: not-a-virus:WebToolbar.Win32.WhenU.a 1
D:\qcod.exe Zainfekowanych: Trojan-GameThief.Win32.Magania.cbow 1
te usun
p wylaczeniu i wlaczeniu przywracania systemu juz nie powinno być tam wirusa-
wojtas - *mod
- Posty: 18165
- Dołączenie: 13 Sty 2006, 16:00
- Miejscowość: Krzeszyce
- Pochwały: 1656
-
Komp muli - syf z pena - autorun.inf g8k.exe itp - log z otl
przez endru89 27 Wrz 2009, 16:14
ok. a co z tymi sterownikami? to moze byc skutek combofixa? bo mam problem jeszcze z paroma programami i karta tv, nawet po reinstalacji nie chce dzialac. chyba wiekszosc sterow by wypadalo przeinstalowac.
Komp muli - syf z pena - autorun.inf g8k.exe itp - log z otl
przez wojtas 28 Wrz 2009, 14:41
nie chce dzialac ? jakis blad czy co ? odinstaluj wyczysc rejestr i zainstaluj..
-
wojtas - *mod
- Posty: 18165
- Dołączenie: 13 Sty 2006, 16:00
- Miejscowość: Krzeszyce
- Pochwały: 1656
-
Komp muli - syf z pena - autorun.inf g8k.exe itp - log z otl
przez endru89 02 Paź 2009, 09:10
Wszystko juz wraca do normy w moim kompie dzieki Wam, mam tylko wciaz jeden problem z tym dyskiem zewnetrznym..
taki syf siedzi na dysku zewnetrznym i po ponownym uruchomieniu kompa wcale sie nie usuwa, avenger wyswietla ze nie moze znalezc pliku jak chce go usunac:/
- Kod: Zaznacz wszystko
Dziennik skanowania
Wersja bazy sygnatur wirusów: 4474 (20091001)
Data: 2009-10-02 Godzina: 09:06:41
Skanowane dyski, foldery i pliki: H:\RECYCLER\
H:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx - Win32/Conficker.AE robak - wyleczony przez usunięcie (po następnym uruchomieniu) - poddany kwarantannie [1,2]
Liczba przeskanowanych obiektów: 2
Liczba znalezionych zagrożeń: 1
Liczba wyleczonych obiektów:1
Godzina zakończenia: 09:06:46 Całkowity czas skanowania: 5 s (00:00:05)
Uwagi:
[1] Obiekt został usunięty, ponieważ zawierał wyłącznie kod wirusa.
[2] Obiekt jest używany (otwarty lub uruchomiony). Aby dokończyć leczenie, należy ponownie uruchomić system.
taki syf siedzi na dysku zewnetrznym i po ponownym uruchomieniu kompa wcale sie nie usuwa, avenger wyswietla ze nie moze znalezc pliku jak chce go usunac:/
Komp muli - syf z pena - autorun.inf g8k.exe itp - log z otl
przez wojtas 02 Paź 2009, 12:07
podlacz dysk
Otworz notatnik i wklej w nim to:
>>Plik>>Zapisz jako... >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
-->
Rozpocznie się usuwanie i powstanie log daj go.
Otworz notatnik i wklej w nim to:
Folder::
H:\RECYCLER
>>Plik>>Zapisz jako... >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
-->
Rozpocznie się usuwanie i powstanie log daj go.
-
wojtas - *mod
- Posty: 18165
- Dołączenie: 13 Sty 2006, 16:00
- Miejscowość: Krzeszyce
- Pochwały: 1656
-
Komp muli - syf z pena - autorun.inf g8k.exe itp - log z otl
przez endru89 03 Paź 2009, 22:35
- Kod: Zaznacz wszystko
ComboFix 09-10-01.05 - Andrzej 2009-10-03 22:25.3.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1250.48.1045.18.511.261 [GMT 2:00]
Uruchomiony z: c:\documents and settings\Andrzej\Pulpit\ComboFix.exe
Użyto następujących komend :: c:\documents and settings\Andrzej\Pulpit\CFScript.txt
.
((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\documents and settings\Dagusia\Dane aplikacji\Microsoft\Clip Organizer\mstore10.mgc
c:\documents and settings\Dagusia\Dane aplikacji\Microsoft\Clip Organizer\Offic10.MGC
c:\documents and settings\Lilka\Dane aplikacji\Microsoft\Clip Organizer\mstore10.mgc
c:\documents and settings\Lilka\Dane aplikacji\Microsoft\Clip Organizer\Offic10.MGC
c:\windows\system32\Dvbpws.dll
M:\RECYCLER
m:\recycler\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx
.
((((((((((((((((((((((((( Pliki utworzone od 2009-09-03 do 2009-10-03 )))))))))))))))))))))))))))))))
.
2009-09-27 13:31 . 2006-10-18 03:37 162944 ----a-r- c:\windows\system32\drivers\cx88vid.sys
2009-09-27 13:29 . 2009-09-27 13:29 -------- d-----w- C:\WFDB
2009-09-27 13:28 . 2009-09-27 13:42 -------- d-----w- c:\program files\WinFast
2009-09-26 22:11 . 2009-09-26 22:12 -------- d-----w- c:\program files\USB Disk Security
2009-09-26 06:55 . 2003-06-10 11:12 55296 ----a-w- c:\windows\soundman.exe
2009-09-25 18:41 . 2009-09-10 12:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-09-25 18:41 . 2009-09-10 12:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-09-25 16:09 . 2009-09-25 16:09 -------- d-----w- c:\program files\Common Files\Diskeeper Corporation
2009-09-25 16:09 . 2009-09-25 16:09 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Diskeeper Corporation
2009-09-20 12:45 . 2009-09-20 12:45 -------- d-----w- c:\documents and settings\Andrzej\Dane aplikacji\Malwarebytes
2009-09-20 12:45 . 2009-09-20 12:45 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Malwarebytes
2009-09-06 13:21 . 2009-09-06 13:21 -------- d-sh--w- c:\documents and settings\NetworkService\IETldCache
2009-09-04 17:01 . 2009-09-04 17:01 -------- d-----w- c:\documents and settings\Dagusia\Ustawienia lokalne\Dane aplikacji\Google
2009-09-04 16:52 . 2009-09-04 16:52 -------- d-----w- c:\documents and settings\Dagusia\Ustawienia lokalne\Dane aplikacji\Opera
2009-09-04 16:52 . 2009-09-04 16:52 -------- d-sh--w- c:\documents and settings\Dagusia\IETldCache
.
(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-10-03 19:14 . 2007-03-22 16:56 -------- d-----w- c:\documents and settings\Andrzej\Dane aplikacji\uTorrent
2009-09-27 13:25 . 2006-01-06 22:04 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-09-26 17:32 . 2007-01-21 19:11 -------- d-----w- c:\documents and settings\Andrzej\Dane aplikacji\MegauploadToolbar
2009-09-25 18:37 . 2006-01-09 20:02 -------- d-----w- c:\program files\AIDA32 - Personal System Information
2009-09-25 18:37 . 2007-08-12 22:29 -------- d-----w- c:\program files\QuickTime
2009-09-25 18:36 . 2007-01-21 19:11 -------- d-----w- c:\program files\MegauploadToolbar
2009-09-25 18:36 . 2006-01-06 23:35 -------- d-----w- c:\documents and settings\Andrzej\Dane aplikacji\The Bat!
2009-09-25 18:36 . 2006-01-06 22:23 -------- d-----w- c:\program files\Ad-aware 6
2009-09-25 18:35 . 2009-02-12 20:29 -------- d-----w- c:\documents and settings\Lilka\Dane aplikacji\skypePM
2009-09-25 18:35 . 2009-01-31 21:11 -------- d-----w- c:\documents and settings\Andrzej\Dane aplikacji\skypePM
2009-09-25 18:26 . 2006-03-01 14:41 -------- d-----w- c:\program files\The Bat!
2009-09-23 06:58 . 2009-06-23 15:42 -------- d-----w- c:\documents and settings\Wojtek\Dane aplikacji\The Bat!
2009-09-20 15:37 . 2001-10-26 16:15 67078 ----a-w- c:\windows\system32\perfc015.dat
2009-09-20 15:37 . 2001-10-26 16:15 435978 ----a-w- c:\windows\system32\perfh015.dat
2009-09-20 13:53 . 2006-07-26 17:54 -------- d-----w- c:\documents and settings\Andrzej\Dane aplikacji\Skype
2009-09-20 12:03 . 2009-03-28 09:10 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Google Updater
2009-09-19 16:18 . 2008-11-16 18:21 -------- d-----w- c:\documents and settings\Lilka\Dane aplikacji\Skype
2009-09-16 20:03 . 2008-04-20 19:00 -------- d-----w- c:\documents and settings\Wojtek\Dane aplikacji\OpenOffice.org2
2009-09-12 13:39 . 2006-12-05 16:35 -------- d-----w- c:\program files\SkanerOnline
2009-09-06 13:57 . 2008-03-27 22:23 12500 ----a-w- c:\documents and settings\Andrzej\FMCodec.dat
2009-09-06 07:14 . 2008-04-27 10:57 12500 ----a-w- c:\documents and settings\Wojtek\FMCodec.dat
2009-08-31 11:46 . 2006-01-11 13:36 -------- d-----w- c:\program files\PDF Editor 2
2009-08-29 08:56 . 2007-02-12 09:46 -------- d-----w- c:\documents and settings\Wojtek\Dane aplikacji\MEGAUPLOADTOOLBAR
2009-08-21 23:05 . 2009-08-21 23:05 -------- d-----w- c:\documents and settings\Andrzej\Dane aplikacji\ipla
2009-08-21 23:05 . 2009-08-21 23:05 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\ipla
2009-08-21 23:04 . 2009-08-21 23:04 1700352 ----a-w- c:\windows\system32\gdiplus.dll
2009-08-17 14:27 . 2009-08-17 14:27 -------- d-----w- c:\documents and settings\Lilka\Dane aplikacji\Media Player Classic
2004-10-01 08:14 . 2006-01-06 22:34 57344 ----a-w- c:\program files\mozilla firefox\components\inspector.dll
.
((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2007-06-29 286720]
"Soltek"="c:\windows\system32\autorun.exe" [2001-10-29 61440]
"USB Antivirus"="c:\program files\USB Disk Security\USBGuard.exe" [2008-09-23 798720]
"AtiPTA"="atiptaxx.exe" - c:\windows\system32\atiptaxx.exe [2004-12-01 344064]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-04 15360]
c:\documents and settings\Andrzej\Menu Start\Programy\Autostart\
ERUNT AutoBackup.lnk - c:\program files\ERUNT\AUTOBACK.EXE [2005-10-20 38912]
Skr˘t do utorrent.exe.lnk - c:\net\uTorrent\utorrent.exe [2007-2-15 177152]
c:\documents and settings\All Users\Menu Start\Programy\Autostart\
Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoWelcomeScreen"= 0 (0x0)
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{35B2861B-2B26-4691-9FF0-09083722C736}"= "c:\windows\System32\RadExe.dll" [2004-12-22 212992]
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Gadu-Gadu\\gg.exe"=
"c:\\net\\FileZilla\\FileZilla.exe"=
"e:\\gry\\aot\\System\\TacticalOps.exe"=
"c:\\Program Files\\DAP\\DAP.exe"=
"c:\\Program Files\\mIRC\\mirc.exe"=
"c:\\net\\eMule\\emule.exe"=
"c:\\Program Files\\Firebird\\Firebird_1_5\\bin\\fbserver.exe"=
"c:\\Program Files\\Konnekt\\konnekt.exe"=
"c:\\Program Files\\Ahead\\ODD Toolkit\\ODDUpdate.exe"=
"d:\\andrzej\\Gadu-Gadu\\gg.exe"=
"c:\\net\\µTorrent\\utorrent.exe"=
"c:\\net\\Ares\\Ares.exe"=
"c:\\Program Files\\NAPI-PROJEKT\\napisy.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
"17393:TCP"= 17393:TCP:BitComet 17393 TCP
"17393:UDP"= 17393:UDP:BitComet 17393 UDP
R1 vcdrom;Virtual CD-ROM Device Driver;c:\windows\system32\drivers\VCdRom.sys [2001-12-19 8576]
S1 nltdi;nltdi;\??\c:\windows\system32\drivers\nltdi.sys --> c:\windows\system32\drivers\nltdi.sys [?]
S3 RivaTunerEx;RivaTunerEx;e:\stuff\rivatuner\RivaTunerEx.sys [2003-12-28 2208]
S3 WFIOCTL;WFIOCTL;\??\c:\program files\WinFast\WFDTV\WFIOCTL.SYS --> c:\program files\WinFast\WFDTV\WFIOCTL.SYS [?]
.
Zawartość folderu 'Zaplanowane zadania'
2009-10-03 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-12-25 09:10]
2009-10-03 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-03-28 09:11]
2009-10-03 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-03-28 09:11]
.
.
------- Skan uzupełniający -------
.
uStart Page = hxxp://www.mks.com.pl/skaner/
IE: &Download with &DAP - c:\program files\DAP\dapextie.htm
IE: Download &all with DAP - c:\program files\DAP\dapextie2.htm
IE: E&ksport do programu Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
Trusted Zone: com.pl\*.mks
DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} - hxxp://www.mks.com.pl/skaner/SkanerOnline.cab
FF - ProfilePath - c:\documents and settings\Andrzej\Dane aplikacji\Mozilla\Firefox\Profiles\rp6pk6pm.default\
FF - prefs.js: browser.startup.homepage - hxxp://t3nnis.tv/browse.php
FF - plugin: c:\program files\Java\jre1.5.0_06\bin\NPJava11.dll
FF - plugin: c:\program files\Java\jre1.5.0_06\bin\NPJava12.dll
FF - plugin: c:\program files\Java\jre1.5.0_06\bin\NPJava13.dll
FF - plugin: c:\program files\Java\jre1.5.0_06\bin\NPJava14.dll
FF - plugin: c:\program files\Java\jre1.5.0_06\bin\NPJava32.dll
FF - plugin: c:\program files\Java\jre1.5.0_06\bin\NPJPI150_06.dll
FF - plugin: c:\program files\Java\jre1.5.0_06\bin\NPOJI610.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\NPAdbESD.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npganymedenet.dll
FF - plugin: c:\program files\Opera\program\plugins\npdevalvr.dll
FF - plugin: c:\program files\Opera\program\plugins\npdivx32.dll
FF - plugin: c:\program files\Opera\program\plugins\npganymedenet.dll
FF - plugin: e:\stuff\Google\Picasa3\npPicasa2.dll
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-10-03 22:30
Windows 5.1.2600 Dodatek Service Pack 2 NTFS
skanowanie ukrytych procesów ...
skanowanie ukrytych wpisów autostartu ...
skanowanie ukrytych plików ...
skanowanie pomyślnie ukończone
ukryte pliki: 0
**************************************************************************
.
--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------
- - - - - - - > 'winlogon.exe'(732)
c:\windows\system32\Ati2evxx.dll
.
Czas ukończenia: 2009-10-03 22:32
ComboFix-quarantined-files.txt 2009-10-03 20:32
Przed: 1 135 448 064 bajtów wolnych
Po: 1 340 149 760 bajtów wolnych
166 --- E O F --- 2008-01-09 09:42
Komp muli - syf z pena - autorun.inf g8k.exe itp - log z otl
przez wojtas 04 Paź 2009, 08:52
powinno byc ok
-
wojtas - *mod
- Posty: 18165
- Dołączenie: 13 Sty 2006, 16:00
- Miejscowość: Krzeszyce
- Pochwały: 1656
-
Komp muli - syf z pena - autorun.inf g8k.exe itp - log z otl
przez endru89 04 Paź 2009, 11:13
Dzieki bardzo za pomoc:) Usunalem tego wirusa, przeinstalowalem wszystkie stery na kompie i chodzi prawie jak po reinstalce:). Mysle ze mozna zamknac temat.
17 posty(ów) • Strona 1 z 1
Kto jest na forum
Użytkownicy przeglądający to forum: Brak zarejestrowanych użytkowników oraz 8 gości