Komunikat systemowy w trakcie pracy

**Posty:** 112 · przez **dziubek12** 12 Cze 2009, 19:31

Witam. Pojawia mi się okienko z komunikatem w trakcie pracy. Miałem kilka trojanów w międzyczasie, ale udało usunąć się wszystkie z wyj. jednego...Może to pozostałość...

Kod: Zaznacz wszystko: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:11:05, on 09-06-12 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Avira\AntiVir Desktop\sched.exe C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe C:\WINDOWS\RTHDCPL.EXE C:\Program Files\GIGABYTE\GBTUpd\RunUpd.exe C:\Program Files\Avira\AntiVir Desktop\avgnt.exe C:\WINDOWS\VMSnap26.exe C:\Program Files\Gadu-Gadu\gg.exe C:\Program Files\Avira\AntiVir Desktop\avguard.exe C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\explorer.exe C:\Program Files\Mozilla Firefox\firefox.exe D:\programy\The Bat!\thebat.exe D:\programy\HiJackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = www.google.com.pl R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.onet.pl R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [GBTUpd] C:\Program Files\GIGABYTE\GBTUpd\PreRun.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [BigDogPath326VMSnap] C:\WINDOWS\VMSnap26.exe O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll O14 - IERESET.INF: START_PAGE_URL=www.onet.pl O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe -- End of file - 3659 bytes

**Posty:** 4459 · przez **jarski185** 12 Cze 2009, 19:56

jakim komunikat moze byc napisal i przeczytal zasady dzialu

**Posty:** 112 · przez **dziubek12** 12 Cze 2009, 20:26

Nie chce mi się dodać załącznik (skan komunikatu)....

Dodano 12.06.2009 20:05:09:
komunikat:

C:\windows\system32\c.exe
NTVDM CPU: napotkano niedozwoloną instrukcję
CS:06f1 IP 01c0 OP:63 65 6e 74 65 Wybierz przycisk "zamknij" aby zakończyć działanie aplikacji.

Jeśli dam zamknij - zamyka i niby nic sie nie dzieje (do następnego razu). Jeśli dam Ignoruj - pojawia się okno z wiersza polecenia i "chodzi" tam tylko kursor po przekątnej ekranu.

**Posty:** 18165 · przez **wojtas** 13 Cze 2009, 00:38

Pobierz OTL i daj z niego loga

**Posty:** 112 · przez **dziubek12** 13 Cze 2009, 10:13

log jest tutaj
http://wklej.org/id/105199/

**Posty:** 8001 · przez **Okocza** 13 Cze 2009, 10:26

Wykonaj to co jest podane w tym temacie

Zastosuj SDFix . Po pobraniu uruchom go a rozpakuje się do C:\SDFix. Uruchom komputer w trybie awaryjnym (F8 przy stracie systemu). Będąc w awaryjnym uruchom plik RunThis.bat z folderu SDFixa. Zatwierdź czyszczenie przez Y. Poczekaj aż ukończy i komputer zresetuje

Potem wejdz do folderu C:\SDFix wrzuc zawartość pliku Report.txt + log z dss'a oraz daj loga z hijacka

**Posty:** 18165 · przez **wojtas** 13 Cze 2009, 11:12

OTL wystarczy... nie trzeba sdfixa ani dss

Uruchom OTL i w oknie Custom Scans/Fixes wklej :

:OTL
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O4 - HKCU..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe ()
O32 - AutoRun File - [2009-06-12 18:30:44 | 00,000,063 | RHS- | M] () - C:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2009-06-12 18:30:44 | 00,000,063 | RHS- | M] () - D:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2009-06-12 18:30:44 | 00,000,063 | RHS- | M] () - E:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2009-06-12 18:30:46 | 00,000,063 | RHS- | M] () - F:\autorun.inf -- [ FAT ]
O33 - MountPoints2\{6aa6139f-551d-11de-ac65-806d6172696f}\Shell\AutoRun\command - "" = C:\28b6ry9r.exe -- [2009-06-12 18:11:12 | 00,106,334 | RHS- | M] ()
O33 - MountPoints2\{6aa6139f-551d-11de-ac65-806d6172696f}\Shell\open\Command - "" = C:\28b6ry9r.exe -- [2009-06-12 18:11:12 | 00,106,334 | RHS- | M] ()
O33 - MountPoints2\{6aa613a0-551d-11de-ac65-806d6172696f}\Shell\AutoRun\command - "" = D:\28b6ry9r.exe -- [2009-06-12 18:11:12 | 00,106,334 | RHS- | M] ()
O33 - MountPoints2\{6aa613a0-551d-11de-ac65-806d6172696f}\Shell\open\Command - "" = D:\28b6ry9r.exe -- [2009-06-12 18:11:12 | 00,106,334 | RHS- | M] ()
O33 - MountPoints2\{6aa613a1-551d-11de-ac65-806d6172696f}\Shell\AutoRun\command - "" = E:\28b6ry9r.exe -- [2009-06-12 18:11:12 | 00,106,334 | RHS- | M] ()
O33 - MountPoints2\{6aa613a1-551d-11de-ac65-806d6172696f}\Shell\open\Command - "" = E:\28b6ry9r.exe -- [2009-06-12 18:11:12 | 00,106,334 | RHS- | M] ()
O33 - MountPoints2\{8804dc48-5762-11de-87f9-001d7dc83c2d}\Shell\AutoRun\command - "" = F:\1f.bat -- [2009-06-12 17:25:10 | 00,106,407 | RHS- | M] ()
O33 - MountPoints2\{8804dc48-5762-11de-87f9-001d7dc83c2d}\Shell\open\Command - "" = F:\1f.bat -- [2009-06-12 17:25:10 | 00,106,407 | RHS- | M] ()
O33 - MountPoints2\{b9b31a12-558b-11de-87da-c70c265ccdae}\Shell\AutoRun\command - "" = F:\6phx.com -- File not found
O33 - MountPoints2\{b9b31a12-558b-11de-87da-c70c265ccdae}\Shell\open\Command - "" = F:\6phx.com -- File not found
O33 - MountPoints2\{bf9e1d3a-55fb-11de-87e0-d8c771353d8a}\Shell\AutoRun\command - "" = F:\6phx.com -- File not found
O33 - MountPoints2\{bf9e1d3a-55fb-11de-87e0-d8c771353d8a}\Shell\open\Command - "" = F:\6phx.com -- File not found

:Files
C:\28b6ry9r.exe
D:\28b6ry9r.exe
E:\28b6ry9r.exe
F:\28b6ry9r.exe
C:\6phx.com
D:\6phx.com
E:\6phx.com
F:\6phx.com
C:\autorun.inf
D:\autorun.inf
E:\autorun.inf
F:\autorun.inf
C:\WINDOWS\AhnRpta.exe
C:\WINDOWS\System32\c.exe
C:\1f.bat
D:\1f.bat
E:\1f.bat
F:\1f.bat
C:\WINDOWS\System32\nmdfgds1.dll
C:\6phx.com
C:\WINDOWS\System32\olhrwef.exe
C:\WINDOWS\System32\nmdfgds0.dll

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"SuperHidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""

:Commands
[emptytemp]
[start explorer]
[Reboot]

Kliknij w Run Fix. I potwierdz reset kompa .

Następnie uruchamiasz OTL z opcją Run Scan. Pokazujesz nowy log OTL.txt oraz raport z czyszczenia kompa

**Posty:** 112 · przez **dziubek12** 13 Cze 2009, 11:26

powinno być:

http://wklej.org/id/105235/

**Posty:** 18165 · przez **wojtas** 13 Cze 2009, 11:30

Uruchom OTL i w oknie Custom Scans/Fixes wklej :

:OTL
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O33 - MountPoints2\{639f92de-5792-11de-87ff-001d7dc83c2d}\Shell\AutoRun\command - "" = F:\28b6ry9r.exe -- File not found
O33 - MountPoints2\{639f92de-5792-11de-87ff-001d7dc83c2d}\Shell\open\Command - "" = F:\28b6ry9r.exe -- File not found

:Files
C:\WINDOWS\System32\nmdfgds0.dll

:Commands
[emptytemp]
[start explorer]
[Reboot]

Kliknij w Run Fix. I potwierdz reset kompa .

potem:

1.Uruchom OTL z opcji CleanUp
2. wykonaj optymalizację windowsa
3.Wyłącz przywracanie systemu ( właściwości mój komputer-zakładka przywracanie - wyłącz przywracanie na wszystkich dyskach). Po chwili włącz je powrotem
4. Wykonaj skan Dr. Web CureIt
5. Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum.

i tym (skasuj co znajdzie)

Malwarebytes Anti-Malware

Jeśli masz Adobe Reader to zaaktualizuj go do najnowszej wersji

**Posty:** 112 · przez **dziubek12** 13 Cze 2009, 14:25

działam w międzyczasie....
a co z dyskami przenośnymi? Mam podejrzenie, że też coś na nich mogę mieć.

**Posty:** 18165 · przez **wojtas** 13 Cze 2009, 14:35

w takim razie podepnij wszystkie co masz i Daj loga z combofixa ale zainstaluj wraz z nim konsolę odzyskiwania ( instrukcja programu )

**Posty:** 112 · przez **dziubek12** 13 Cze 2009, 14:49

ok, tylko skończę skanowanie kaspersky`im

Dodano 13.06.2009 14:09:59:
w kaspersky`im wystarczy skan obszaru krytycznego?

Dodano 13.06.2009 14:11:04:
RAPORT KASPERSKY ONLINE SCANNER 7.0
sobota, 13 czerwiec 2009
System operacyjny: Microsoft Windows XP Professional Dodatek Service Pack 2 (build 2600)
Wersja Kaspersky Online Scanner: 7.0.26.12
Data ostatniej aktualizacji bazy danych: Saturday, June 13, 2009 14:38:14
Liczba wpisów: 2339066
Ustawienia skanowania
Typ bazy danych użytej do skanowania rozszerzona
Skanuj archiwa tak
Skanuj pocztowe bazy danych tak
Obszar skanowania Obszary krytyczne
C:\Documents and Settings\Administrator.KOMP.000\Menu Start\Programy\Autostart
C:\Documents and Settings\All Users.WINDOWS\Menu Start\Programy\Autostart
C:\Program Files
C:\WINDOWS
Statystyki skanowania
Przeskanowanych plików 50027
Nazwa zagrożenia 0
Zainfekowanych obiektów 0
Podejrzanych obiektów 0
Czas skanowania 00:38:09

Nie wykryto zagrożeń. Obszar skanowania jest czysty.
Wybrany obszar został przeskanowany.

**Posty:** 18165 · przez **wojtas** 13 Cze 2009, 15:31

ok teraz czekam na combo z podpiętymi urzadzeniami

**Posty:** 112 · przez **dziubek12** 13 Cze 2009, 16:08

jeszcze dokładam jeden....
RAPORT KASPERSKY ONLINE SCANNER 7.0
sobota, 13 czerwiec 2009
System operacyjny: Microsoft Windows XP Professional Dodatek Service Pack 2 (build 2600)
Wersja Kaspersky Online Scanner: 7.0.26.12
Data ostatniej aktualizacji bazy danych: Saturday, June 13, 2009 14:38:14
Liczba wpisów: 2339066
Ustawienia skanowania
Typ bazy danych użytej do skanowania rozszerzona
Skanuj archiwa tak
Skanuj pocztowe bazy danych tak
Obszar skanowania Mój komputer
A:\
C:\
D:\
E:\
G:\
H:\
I:\
J:\
K:\
Statystyki skanowania
Przeskanowanych plików 67436
Nazwa zagrożenia 16
Zainfekowanych obiektów 66
Podejrzanych obiektów 4
Czas skanowania 00:53:43

Nazwa pliku Nazwa zagrożenia Liczba zagrożeń
C:\Documents and Settings\All Users\Dane aplikacji\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\01180000\497A803B.VBN Zainfekowany: Worm.Win32.AutoRun.eff 1
C:\Documents and Settings\All Users\Dane aplikacji\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\01D00000\49F30690.VBN Zainfekowany: Trojan-Dropper.Win32.Small.apl 1
C:\Documents and Settings\All Users\Dane aplikacji\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\01D80000\49FC63D9.VBN Zainfekowany: Trojan-Dropper.Win32.Small.apl 1
C:\Documents and Settings\All Users\Dane aplikacji\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\02540000\4BF6C2A6.VBN Zainfekowany: Trojan-Dropper.Win32.Small.apl 1
C:\Documents and Settings\All Users\Dane aplikacji\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\02540001\4BF6C2C0.VBN Zainfekowany: Worm.Win32.Perlovga.a 1
C:\Documents and Settings\All Users\Dane aplikacji\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\02600000\4BFC88C5.VBN Zainfekowany: Trojan-Dropper.Win32.Small.apl 1
C:\Documents and Settings\All Users\Dane aplikacji\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\02800000\4BC5670E.VBN Zainfekowany: Virus.VBS.Redlof.a 1
C:\Documents and Settings\All Users\Dane aplikacji\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\02800001\4AA03827.VBN Zainfekowany: Trojan-Dropper.Win32.Small.apl 1
C:\Documents and Settings\All Users\Dane aplikacji\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\028C0000\4B9F1E01.VBN Zainfekowany: Trojan-Dropper.Win32.Small.apl 1
C:\Documents and Settings\All Users\Dane aplikacji\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\028C0001\4B9F1E1B.VBN Zainfekowany: Worm.Win32.Perlovga.a 1
C:\Documents and Settings\All Users\Dane aplikacji\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\02A80000\4BB98A4E.VBN Zainfekowany: Trojan-Dropper.Win32.Small.apl 1
C:\Documents and Settings\All Users\Dane aplikacji\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\02B40000\4BFF6765.VBN Zainfekowany: Trojan-Dropper.Win32.Small.apl 1
C:\Documents and Settings\All Users\Dane aplikacji\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\02FC0000\4BFC1F0C.VBN Zainfekowany: Trojan-Dropper.Win32.Small.apl 1
C:\Documents and Settings\All Users\Dane aplikacji\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\03700000\4BFAAE4A.VBN Zainfekowany: Trojan-Dropper.Win32.Small.apl 1
C:\Documents and Settings\All Users\Dane aplikacji\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\039C0000\4BBD579F.VBN Zainfekowany: Trojan-Dropper.Win32.Small.apl 1
C:\Documents and Settings\All Users\Dane aplikacji\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\05D00000\4DF9744D.VBN Zainfekowany: Trojan-Dropper.Win32.Small.apl 1
C:\Documents and Settings\All Users\Dane aplikacji\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\06A00000\4FFFC1B8.VBN Zainfekowany: Virus.VBS.Redlof.a 1
C:\Documents and Settings\All Users\Dane aplikacji\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\06C80000\4ECB3F33.VBN Zainfekowany: Trojan-Dropper.Win32.Small.apl 1
C:\Documents and Settings\All Users\Dane aplikacji\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\06D00000\4FD87558.VBN Zainfekowany: Trojan-Dropper.Win32.Small.apl 1
C:\Documents and Settings\All Users\Dane aplikacji\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\08EC0000\48EFCF56.VBN Zainfekowany: Trojan-Dropper.Win32.Small.apl 1
C:\Documents and Settings\All Users\Dane aplikacji\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\08F40000\49F780C6.VBN Zainfekowany: Trojan-Dropper.Win32.Small.apl 1
C:\Documents and Settings\All Users\Dane aplikacji\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\0C080000\4D78E608.VBN Zainfekowany: Worm.Win32.Perlovga.a 1
C:\Documents and Settings\All Users\Dane aplikacji\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\0C080001\4D78E612.VBN Zainfekowany: Trojan-Dropper.Win32.Small.apl 1
C:\Documents and Settings\All Users\Dane aplikacji\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\0C6C0000\4D6D531C.VBN Zainfekowany: Trojan-GameThief.Win32.Magania.aigw 1
C:\Documents and Settings\All Users\Dane aplikacji\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\0C6C0001\4D7F53B1.VBN Zainfekowany: Virus.VBS.Redlof.a 1
C:\Documents and Settings\All Users\Dane aplikacji\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\0C900000\4DDA9F83.VBN Zainfekowany: Virus.VBS.Redlof.a 1
C:\Documents and Settings\All Users\Dane aplikacji\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\0C9C0000\4CBC58C8.VBN Zainfekowany: Trojan-Dropper.Win32.Small.apl 1
C:\Documents and Settings\All Users\Dane aplikacji\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\0EC00000\4FD873AC.VBN Zainfekowany: Worm.Win32.Perlovga.a 1
C:\Documents and Settings\All Users\Dane aplikacji\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\0F640000\4FFEC0BB.VBN Zainfekowany: Trojan-Dropper.Win32.Small.apl 1
D:\programy\The Bat!\MAIL\Grzesiek_nowy\Inbox\MESSAGES.TBB Zainfekowany: Email-Worm.Win32.Zhelatin.a 2
D:\programy\The Bat!\MAIL\Grzesiek_nowy\Inbox\MESSAGES.TBB Zainfekowany: Email-Worm.Win32.Zhelatin.r 1
D:\programy\The Bat!\MAIL\Grzesiek_nowy\Inbox\MESSAGES.TBB Zainfekowany: Email-Worm.Win32.NetSky.x 1
D:\programy\The Bat!\MAIL\Grzesiek_nowy\Trash\MESSAGES.TBB Zainfekowany: Email-Worm.Win32.Zhelatin.a 2
D:\programy\The Bat!\MAIL\Grzesiek_nowy\Trash\MESSAGES.TBB Zainfekowany: Email-Worm.Win32.Zhelatin.r 1
D:\programy\The Bat!\MAIL\Grzesiek_nowy\Trash\MESSAGES.TBB Zainfekowany: Email-Worm.Win32.NetSky.x 1
D:\programy\The Bat!\MAIL\Sabina\Trash\MESSAGES.TBB Zainfekowany: not-a-virus:AdWare.Win32.Gator.3102 1
D:\tymczasowe\Mail\Grzesiek\Inbox\MESSAGES.TBB Zainfekowany: Email-Worm.Win32.Tanatos.b 1
D:\tymczasowe\Mail\Grzesiek\Inbox\MESSAGES.TBB Podejrzany: Email-Worm.Win32.Bagle.mail 2
D:\tymczasowe\Mail\Grzesiek\Inbox\MESSAGES.TBB Zainfekowany: Email-Worm.Win32.Bagle.gen 7
D:\tymczasowe\Mail\Grzesiek\Inbox\MESSAGES.TBB Zainfekowany: Exploit.HTML.CodeBaseExec 1
D:\tymczasowe\Mail\Grzesiek\Inbox\MESSAGES.TBB Zainfekowany: Trojan.Win32.Glieder.gen 1
D:\tymczasowe\Mail\Grzesiek\Inbox\MESSAGES.TBB Zainfekowany: Trojan-Spy.HTML.Citifraud.bc 1
D:\tymczasowe\Mail\Grzesiek\Inbox\MESSAGES.TBB Zainfekowany: Email-Worm.Win32.Bagle.fj 2
D:\tymczasowe\Mail\Grzesiek\Trash\MESSAGES.TBB Zainfekowany: Email-Worm.Win32.Tanatos.b 1
D:\tymczasowe\Mail\Grzesiek\Trash\MESSAGES.TBB Podejrzany: Email-Worm.Win32.Bagle.mail 2
D:\tymczasowe\Mail\Grzesiek\Trash\MESSAGES.TBB Zainfekowany: Email-Worm.Win32.Bagle.gen 7
D:\tymczasowe\Mail\Grzesiek\Trash\MESSAGES.TBB Zainfekowany: Exploit.HTML.CodeBaseExec 1
D:\tymczasowe\Mail\Grzesiek\Trash\MESSAGES.TBB Zainfekowany: Trojan.Win32.Glieder.gen 1
D:\tymczasowe\Mail\Grzesiek\Trash\MESSAGES.TBB Zainfekowany: Trojan-Spy.HTML.Citifraud.bc 1
D:\tymczasowe\Mail\Grzesiek\Trash\MESSAGES.TBB Zainfekowany: Email-Worm.Win32.Bagle.fj 2
D:\tymczasowe\Mail\Sabina\Inbox\MESSAGES.TBB Zainfekowany: not-a-virus:AdWare.Win32.Gator.3102 1
D:\tymczasowe\Mail\Sabina\Trash\MESSAGES.TBB Zainfekowany: not-a-virus:AdWare.Win32.Gator.3102 1
Wybrany obszar został przeskanowany.

**Posty:** 18165 · przez **wojtas** 13 Cze 2009, 16:36

skasuj kwarantanne antywirusa... i nie wiem czy znasz te emaile w kotrych zostały wykryte wirusy . jesli tak zostaw

i daj loga z combo!

**Posty:** 112 · przez **dziubek12** 13 Cze 2009, 21:20

zgroza
kilka godzin mi robił, więc przerwałem
Uruchomił sie ok, potem zaczął robić przywracanie systemu, ale pojawił się komunikat, że w stacji brak jest dysku...
nie wiem, o co chodzi - bo chyba za długo to trwa
- identycznie zachowuje się przy drugiej metodzie - ściągnięcie pliku z micro..... i próba instalacji przez combo

**Posty:** 18165 · przez **wojtas** 14 Cze 2009, 12:01

Wylecz pendriva lub kartę pamięci
Perlovga Removal Tool
Flash Disinfector
lub format

i daj log nowy z otl

**Posty:** 112 · przez **dziubek12** 14 Cze 2009, 18:28

log po czyszczeniu penów
http://wklej.org/id/106077/

**Posty:** 18165 · przez **wojtas** 15 Cze 2009, 00:25

Uruchom OTL i w oknie Custom Scans/Fixes wklej :

:OTL
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O32 - AutoRun File - [2009-06-13 23:02:04 | 00,000,063 | RHS- | M] () - C:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2009-06-13 23:02:04 | 00,000,063 | RHS- | M] () - D:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2009-06-13 23:02:04 | 00,000,063 | RHS- | M] () - E:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2009-06-13 00:49:42 | 00,000,063 | RHS- | M] () - F:\autorun.inf -- [ FAT ]
O32 - AutoRun File - [2009-06-13 23:02:06 | 00,000,063 | RHS- | M] () - L:\autorun.inf -- [ FAT ]
O32 - AutoRun File - [2009-06-14 18:21:44 | 00,000,000 | RHSD | M] - M:\autorun.inf -- [ FAT ]

:Files
C:\sv8c2bjw.bat
C:\upx.bat
C:\28b6ry9r.exe
D:\sv8c2bjw.bat
D:\upx.bat
d:\28b6ry9r.exe
E:\sv8c2bjw.bat
e:\upx.bat
e:\28b6ry9r.exe
f:\sv8c2bjw.bat
f:\upx.bat
f:\28b6ry9r.exe

:Commands
[emptytemp]
[start explorer]
[Reboot]

Kliknij w Run Fix. I potwierdz reset kompa .

Następnie uruchamiasz OTL z opcją Run Scan. Pokazujesz nowy log OTL.txt oraz raport z czyszczenia kompa

**Posty:** 112 · przez **dziubek12** 15 Cze 2009, 16:06

Kod: Zaznacz wszystko: ========== OTL ========== Process explorer.exe killed successfully! C:\autorun.inf moved successfully. D:\autorun.inf moved successfully. E:\autorun.inf moved successfully. File F:\autorun.inf not found. File L:\autorun.inf not found. File not found. ========== FILES ========== C:\sv8c2bjw.bat moved successfully. C:\upx.bat moved successfully. C:\28b6ry9r.exe moved successfully. D:\sv8c2bjw.bat moved successfully. D:\upx.bat moved successfully. d:\28b6ry9r.exe moved successfully. E:\sv8c2bjw.bat moved successfully. e:\upx.bat moved successfully. e:\28b6ry9r.exe moved successfully. File\Folder f:\sv8c2bjw.bat not found. File\Folder f:\upx.bat not found. File\Folder f:\28b6ry9r.exe not found. ========== COMMANDS ========== File delete failed. C:\Documents and Settings\Administrator.KOMP.000\Ustawienia lokalne\Temp\hsperfdata_Administrator\2672 scheduled to be deleted on reboot. File delete failed. C:\Documents and Settings\Administrator.KOMP.000\Ustawienia lokalne\Temp\etilqs_pgbSNi3ZWW82cF8PNLTU scheduled to be deleted on reboot. User's Temp folder emptied. User's Internet Explorer cache folder emptied. File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_75c.dat scheduled to be deleted on reboot. Windows Temp folder emptied. Java cache emptied. Temp folders emptied. Explorer started successfully OTL by OldTimer - Version 2.1.1.0 log created on 06152009_154600 Files moved on Reboot... File C:\Documents and Settings\Administrator.KOMP.000\Ustawienia lokalne\Temp\hsperfdata_Administrator\2672 not found! File C:\Documents and Settings\Administrator.KOMP.000\Ustawienia lokalne\Temp\etilqs_pgbSNi3ZWW82cF8PNLTU not found! File C:\WINDOWS\temp\Perflib_Perfdata_75c.dat not found! Registry entries deleted on Reboot...

Przy okazji - po próbach z combo na dysku C w folderze mój komputer utworzył się katalog ComboFix, a nim jakby druga kopia obrazu całego "Mojego komputera". Tak ma zostać? Tak nawiasem ciągle mi pokazuje trojana na dysku c (windows\system32 bodajże)
i drugi log
http://wklej.org/id/106565/