Trojan onlinegames

**Posty:** 37 · przez **sklozgos** 06 Sie 2008, 15:16

Mam problem z wirusem który ładuje się podczas uruchamiania każdego programu łaczacego sie z internetem. Nie mogę ustawic aby system pokazywał pliki ukryte i nie mogle usunać tego wirusa ponieważ, podejrzewam że jest on niewidoczny (uryty). Tu są logi pierszy z combofixa ,a drugi z hijackthis. Wirusa wykryłem przez Eset'a znany wam program bo już przeczytalem kilka postow. Proszę o pomoc jesli ktos potrafi. A także chciałem spytać czy będzie mi potrzebny format systemu... Gram często w couter strike'a i starcraft'a ale nie wiem czy to przez te gry. Wyskakuje tez bład generic host process win32 services, czytalem na ten temat posta zrobiłem co pisano i bład dalej sie pojawia.Wirus ładował się także przez gg.exe , explorer.exe, winamp.exe, starcraft.exe, svhost.exe .

Kod: Zaznacz wszystko: ComboFix 08-08-04.09 - Michał 2008-08-06 14:52:34.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.573 [GMT 2:00] Running from: F:\Eset\ComboFix.exe * Created a new restore point * Resident AV is active [color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b][/color] . [i] ADS - svchost.exe: deleted 68 bytes in 1 streams. [/i] [i] ADS - explorer.exe: deleted 132 bytes in 1 streams. [/i] ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) . D:\Program Files\Insider D:\Program Files\myglobalsearch D:\Program Files\myglobalsearch\bar\History\search D:\Program Files\Temporary D:\Program Files\webhancer D:\Program Files\webhancer\Programs\license.txt D:\Program Files\webhancer\Programs\readme.txt D:\Program Files\WinAble D:\WINDOWS\system32\jboetfdypk.dll D:\WINDOWS\system32\mljjk.dll D:\WINDOWS\system32\mysidesearch_sidebar_uninstall.exe D:\WINDOWS\system32\myss_sb_uninstall.exe D:\WINDOWS\system32\superiorads-uninst.exe . ((((((((((((((((((((((((( Files Created from 2008-07-06 to 2008-08-06 ))))))))))))))))))))))))))))))) . 2008-08-02 22:33 . 2007-11-28 18:05 <DIR> d--h----- D:\Documents and Settings\Administrator\Ustawienia lokalne 2008-08-02 22:33 . 2007-11-28 18:05 <DIR> d-------- D:\Documents and Settings\Administrator\Ulubione 2008-08-02 22:33 . 2007-11-28 18:07 <DIR> d--h----- D:\Documents and Settings\Administrator\Szablony 2008-08-02 22:33 . 2007-11-28 18:05 <DIR> d-------- D:\Documents and Settings\Administrator\Pulpit 2008-08-02 22:33 . 2007-11-28 18:05 <DIR> d-------- D:\Documents and Settings\Administrator\Moje dokumenty 2008-08-02 22:33 . 2007-11-28 18:05 <DIR> dr------- D:\Documents and Settings\Administrator\Menu Start 2008-08-02 22:33 . 2007-11-28 18:05 <DIR> dr-h----- D:\Documents and Settings\Administrator\Dane aplikacji 2008-08-02 22:33 . 2008-08-02 22:33 <DIR> d-------- D:\Documents and Settings\Administrator 2008-08-02 11:12 . 2008-08-02 11:12 <DIR> d-------- D:\Program Files\ESET 2008-08-02 11:12 . 2008-08-02 11:12 <DIR> d-------- D:\Documents and Settings\All Users\Dane aplikacji\ESET 2008-07-30 16:29 . 2008-07-31 17:50 88,890 -r-hs---- D:\kn6jhgc.cmd 2008-07-29 11:33 . 2008-07-29 11:33 160,768 --a------ D:\WINDOWS\system32\twmhcmggbmpikenla.dll 2008-07-14 22:50 . 2008-08-02 14:47 <DIR> d-------- D:\Program Files\sXe Injected . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-08-06 12:55 --------- d-----w D:\Program Files\eMule 2008-08-06 10:59 --------- d-----w D:\Program Files\Starcraft 2008-08-06 10:41 --------- d-----w D:\Program Files\Valve 2008-07-29 10:46 64,849 ----a-w D:\WINDOWS\system32\xzsqkmhuegs.exe 2008-07-24 10:19 716,272 ----a-w D:\WINDOWS\system32\drivers\sptd.sys 2008-07-23 10:37 --------- d-----w D:\Program Files\Gadu-Gadu 2008-07-03 16:16 90,922 ----a-w D:\WINDOWS\system32\jboetfdypk.dll-uninst.exe 2008-07-02 09:52 63,915 ----a-w D:\WINDOWS\system32\{c230139f-9e6f-a25a-5483-f691bec0ba27}.dll-uninst.exe 2008-06-10 16:56 34,312 ----a-w D:\WINDOWS\system32\drivers\epfwtdir.sys 2008-06-10 16:48 53,256 ----a-w D:\WINDOWS\system32\drivers\easdrv.sys 2008-06-10 16:47 39,944 ----a-w D:\WINDOWS\system32\drivers\eamon.sys 2008-05-22 23:09 98,304 ----a-w D:\WINDOWS\system32\qttask.exe 2008-05-16 16:53 95,833 ----a-w D:\WINDOWS\system32\{76693d28-c96c-5105-e85d-240a838d12ec}.dll-uninst.exe 2008-01-17 20:43 66,936 --sha-w D:\WINDOWS\dlinfo_0.drv 2008-01-17 20:37 66,936 --sha-w D:\WINDOWS\slinfo_0.drv . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries & legit default entries are not shown REGEDIT4 [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{65bedee7-ca07-6485-bb5e-0f9bdc7f3138}] 2008-07-29 11:33 160768 --a------ D:\WINDOWS\system32\twmhcmggbmpikenla.dll [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Gadu-Gadu"="D:\Program Files\Gadu-Gadu\gg.exe" [2007-05-10 16:36 2111176] "CTFMON.EXE"="D:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:44 15360] "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="D:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe" [2007-06-01 11:21 153136] "AlcoholAutomount"="D:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe" [2008-03-20 18:46 217544] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "QuickTime Task"="D:\WINDOWS\system32\qttask.exe" [2008-05-23 01:09 98304] "NvMediaCenter"="D:\WINDOWS\System32\NvMcTray.dll" [2007-04-20 00:05 81920] "NvCplDaemon"="D:\WINDOWS\System32\NvCpl.dll" [2007-04-20 00:05 8429568] "NeroFilterCheck"="D:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe" [2007-03-01 16:57 153136] "KMCONFIG"="D:\Program Files\Mouse Driver\StartAutorun.exe" [2007-03-06 15:51 212992] "igfxtray"="D:\WINDOWS\system32\igfxtray.exe" [2005-11-28 07:55 98304] "igfxpers"="D:\WINDOWS\system32\igfxpers.exe" [2005-11-28 07:55 118784] "igfxhkcmd"="D:\WINDOWS\system32\hkcmd.exe" [2005-11-28 07:52 77824] "{293b6f52-487e-d1a2-3842-7d73a1f14a26}"="D:\WINDOWS\system32\twmhcmggbmpikenla.dll" [2008-07-29 11:33 160768] "egui"="D:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" [2008-06-10 18:52 1447168] "SkyTel"="SkyTel.EXE" [2006-05-16 12:04 2879488 D:\WINDOWS\SkyTel.exe] "nwiz"="nwiz.exe" [2007-04-20 00:05 1626112 D:\WINDOWS\system32\nwiz.exe] "RTHDCPL"="RTHDCPL.EXE" [2006-11-14 11:21 16270848 D:\WINDOWS\RTHDCPL.EXE] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="D:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 01:44 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "wave9"= PLOADER_SCBW.DLL "msacm.sl_anet"= D:\PROGRA~1\ACEMEG~1\SystemS\sl_anet.acm "vidc.yv12"= D:\PROGRA~1\ACEMEG~1\SystemS\ATI\atiyuv12.DLL "vidc.divx"= D:\PROGRA~1\ACEMEG~1\SystemS\DivX\DivX520.dll "vidc.iyuv"= D:\PROGRA~1\ACEMEG~1\SystemS\Intel\iyuv_32.dll "vidc.yvu9"= D:\PROGRA~1\ACEMEG~1\SystemS\Intel\Iyvu9_32.dll "vidc.uyvy"= D:\PROGRA~1\ACEMEG~1\SystemS\MICROS~1\msyuv.dll "vidc.yuy2"= D:\PROGRA~1\ACEMEG~1\SystemS\MICROS~1\msyuv.dll "vidc.yvyu"= D:\PROGRA~1\ACEMEG~1\SystemS\MICROS~1\msyuv.dll "msacm.msaudio1"= D:\PROGRA~1\ACEMEG~1\SystemS\MICROS~1\msaud32.acm "msacm.iac2"= D:\PROGRA~1\ACEMEG~1\SystemS\Intel\iac25_32.ax [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] WMI Standard Event Consumer - hosting REG_SZ D:\WINDOWS\system32\wbem\scrcs.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 "FirewallOverride"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "D:\\Program Files\\Gadu-Gadu\\gg.exe"= "D:\\Program Files\\BearShare\\BearShare.exe"= "D:\\Program Files\\uTorrent\\uTorrent.exe"= "D:\\Program Files\\Valve\\hl.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "27534:TCP"= 27534:TCP:BitComet 27534 TCP "27534:UDP"= 27534:UDP:BitComet 27534 UDP "4662:TCP"= 4662:TCP:emule tcp "4672:UDP"= 4672:UDP:emule udp R1 epfwtdir;epfwtdir;D:\WINDOWS\system32\DRIVERS\epfwtdir.sys [2008-06-10 18:56] R2 KMWDSERVICE;Keyboard And Mouse Communication Service;D:\Program Files\Mouse Driver\KMWDSrv.exe [2007-04-05 11:29] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4023e3f3-a03f-11dc-ab18-001a4d329ce4}] \Shell\AutoRun\command - L:\SETUP.EXE [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4023e3f4-a03f-11dc-ab18-001a4d329ce4}] \Shell\AutoRun\command - M:\RunGame.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5b2ac544-3935-11dd-ad70-001a4d329ce4}] \Shell\AutoRun\command - G:\d.cmd \Shell\explore\Command - G:\d.cmd \Shell\open\Command - G:\d.cmd [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{78dcd790-b473-11dc-ab4c-001a4d329ce4}] \Shell\AutoRun\command - G:\[u]0[/u]0hoeav.com \Shell\explore\Command - G:\[u]0[/u]0hoeav.com \Shell\open\Command - G:\[u]0[/u]0hoeav.com . Contents of the 'Scheduled Tasks' folder 2008-08-06 D:\WINDOWS\Tasks\AppleSoftwareUpdate.job - D:\Program Files\Apple Software Update\SoftwareUpdate.exe [2007-08-29 15:57] . - - - - ORPHANS REMOVED - - - - HKCU-RunServices-WMI Standard Event Consumer - hosting - D:\WINDOWS\system32\wbem\scrcs.exe HKLM-Run-Windows Service Pack - D:\WINDOWS\System32\winsp32.exe HKU-Default-RunServices-Auto File System Conversion Utility - D:\WINDOWS\System32\wbem\scricon.exe Notify-ddcywuv - ddcywuv.dll Notify-WgaLogon - (no file) . ------- Supplementary Scan ------- . R0 -: HKCU-Main,Start Page = hxxp://www.google.pl/ R1 -: HKCU-SearchURL,(Default) = hxxp://www.google.com/search?q=%s O16 -: DirectAnimation Java Classes - file://D:\WINDOWS\Java\classes\dajava.cab D:\WINDOWS\Downloaded Program Files\DirectAnimation Java Classes.osd O16 -: Microsoft XML Parser for Java - file://D:\WINDOWS\Java\classes\xmldso.cab D:\WINDOWS\Downloaded Program Files\Microsoft XML Parser for Java.osd O16 -: {68282C51-9459-467B-95BF-3C0E89627E55} - hxxp://www.mks.com.pl/skaner/SkanerOnline.cab D:\WINDOWS\Downloaded Program Files\SkanerOnline.inf D:\WINDOWS\system32\SkanerOnlineUninstall.exe D:\WINDOWS\system32\SkanerOnline.dll ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-08-06 14:54:58 Windows 5.1.2600 Dodatek Service Pack 2 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . D:\WINDOWS\system32\rundll32.exe D:\WINDOWS\system32\rundll32.exe D:\Program Files\Mouse Driver\KMCONFIG.exe D:\Program Files\Internet Explorer\iexplore.exe D:\Program Files\Mouse Driver\KMProcess.exe D:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe D:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe D:\WINDOWS\system32\wdfmgr.exe D:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe D:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe D:\WINDOWS\system32\wscntfy.exe . ************************************************************************** . Completion time: 2008-08-06 14:56:55 - machine was rebooted ComboFix-quarantined-files.txt 2008-08-06 12:56:51 Pre-Run: 7,164,137,472 bajtów wolnych Post-Run: 7,210,999,808 bajt˘w wolnych 188 --- E O F --- 2007-12-16 17:17:39

Kod: Zaznacz wszystko: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:01:45, on 2008-08-06 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\system32\spoolsv.exe D:\WINDOWS\system32\RUNDLL32.EXE D:\Program Files\Mouse Driver\StartAutorun.exe D:\WINDOWS\System32\Rundll32.exe D:\WINDOWS\RTHDCPL.EXE D:\Program Files\Mouse Driver\KMConfig.exe D:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe D:\Program Files\Internet Explorer\iexplore.exe D:\WINDOWS\system32\ctfmon.exe D:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe D:\Program Files\Mouse Driver\KMProcess.exe D:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe D:\Program Files\Mouse Driver\KMWDSrv.exe D:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe D:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe D:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe D:\WINDOWS\system32\wscntfy.exe D:\WINDOWS\explorer.exe D:\Program Files\internet explorer\iexplore.exe D:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: superiorads browser optimizer - {65bedee7-ca07-6485-bb5e-0f9bdc7f3138} - D:\WINDOWS\system32\twmhcmggbmpikenla.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\program files\google\googletoolbar2.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\program files\google\googletoolbar2.dll O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [QuickTime Task] "D:\WINDOWS\system32\qttask.exe" -atboottime O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NeroFilterCheck] D:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [KMCONFIG] D:\Program Files\Mouse Driver\StartAutorun.exe KMConfig.exe O4 - HKLM\..\Run: [igfxtray] D:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [igfxpers] D:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [igfxhkcmd] D:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [{293b6f52-487e-d1a2-3842-7d73a1f14a26}] D:\WINDOWS\System32\Rundll32.exe "D:\WINDOWS\system32\twmhcmggbmpikenla.dll" DllStart O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [egui] "D:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice O4 - HKCU\..\Run: [Gadu-Gadu] "D:\Program Files\Gadu-Gadu\gg.exe" /tray O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "D:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [AlcoholAutomount] "D:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe" /automount O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA LOKALNA') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA SIECIOWA') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - D:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe O23 - Service: Eset Service (ekrn) - ESET - D:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe O23 - Service: Google Updater Service (gusvc) - Google - D:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: Keyboard And Mouse Communication Service (KMWDSERVICE) - UASSOFT.COM - D:\Program Files\Mouse Driver\KMWDSrv.exe O23 - Service: NBService - Nero AG - D:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - D:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - Unknown owner - D:\WINDOWS\System32\nvsvc32.exe (file missing) O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - D:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe -- End of file - 5587 bytes

**Posty:** 8001 · przez **Okocza** 06 Sie 2008, 15:18

sklozgos,

przeczytaj-zanim-wstawisz-logi-na-forum-vt93842.html

**Posty:** 37 · przez **sklozgos** 06 Sie 2008, 15:39

proszę o ponowną odpowiedz gdyz ukazało mi się że mam sie zastosować do tematu " przeczytaj zanim wstawisz logi na forum" i edytowałem mijego posta. pana odpowiedz mi zniknęła

**Posty:** 8001 · przez **Okocza** 06 Sie 2008, 15:40

sklozgos napisał(a):proszę o ponowną odpowiedz gdyz ukazało mi się że mam sie zastosować do tematu " przeczytaj zanim wstawisz logi na forum" i edytowałem mijego posta. pana odpowiedz mi zniknęła

popraw logi - wtedy ponownie pojawi się post użytkownika "djarta"

**Posty:** 684 · przez **djarta** 06 Sie 2008, 15:44

Wstaw logi w code.

**Posty:** 37 · przez **sklozgos** 06 Sie 2008, 15:49

pisalo ze ma byc albo quote albo code ale juz zmienilem

**Posty:** 684 · przez **djarta** 06 Sie 2008, 15:49

1)

Wylecz pendriva lub kartę pamięci
Perlovga Removal Tool
Flash Disinfector
lub format

2)

O2 - BHO: superiorads browser optimizer - {65bedee7-ca07-6485-bb5e-0f9bdc7f3138} - D:\WINDOWS\system32\twmhcmggbmpikenla.dll
O4 - HKLM\..\Run: [{293b6f52-487e-d1a2-3842-7d73a1f14a26}] D:\WINDOWS\System32\Rundll32.exe "D:\WINDOWS\system32\twmhcmggbmpikenla.dll" DllStart

Te w/w wpisy sfiksuj w Hijacku:
>>Hijack>>scan(Do a system scan only)>>zaznacz je >>Fix checked

3)

Wklej do Notatnika:

Kod: Zaznacz wszystko: File:: D:\kn6jhgc.cmd D:\WINDOWS\system32\xzsqkmhuegs.exe D:\WINDOWS\system32\twmhcmggbmpikenla.dll D:\WINDOWS\system32\jboetfdypk.dll-uninst.exe D:\WINDOWS\system32\{c230139f-9e6f-a25a-5483-f691bec0ba27}.dll-uninst.exe D:\WINDOWS\system32\{76693d28-c96c-5105-e85d-240a838d12ec}.dll-uninst.exe D:\d.cmd D:\*00hoeav.com Registry:: [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{65bedee7-ca07-6485-bb5e-0f9bdc7f3138}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "{293b6f52-487e-d1a2-3842-7d73a1f14a26}"=- [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4023e3f3-a03f-11dc-ab18-001a4d329ce4}] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4023e3f4-a03f-11dc-ab18-001a4d329ce4}] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5b2ac544-3935-11dd-ad70-001a4d329ce4}] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{78dcd790-b473-11dc-ab4c-001a4d329ce4}]

Uwaga!Po wklejniu do notatnika usuń gwiazdkę z tekstu!

>>Plik>>Zapisz jako... >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
-->

Ma się rozpocząć usuwanie. (i powstanie log). Daj ten log, który powstanie w trakcie usuwania.
Jeśli pójdzie dobrze, to: Po restarcie usuń ręcznie folder C:\Qoobox.

**Posty:** 37 · przez **sklozgos** 06 Sie 2008, 16:03

Kod: Zaznacz wszystko: ComboFix 08-08-04.09 - Michał 2008-08-06 16:00:33.2 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.634 [GMT 2:00] Running from: F:\Eset\ComboFix.exe Command switches used :: F:\Eset\CFScript.txt * Created a new restore point * Resident AV is active [color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b][/color] FILE :: D:\[u]0[/u]0hoeav.com D:\d.cmd D:\kn6jhgc.cmd D:\WINDOWS\system32\{76693d28-c96c-5105-e85d-240a838d12ec}.dll-uninst.exe D:\WINDOWS\system32\{c230139f-9e6f-a25a-5483-f691bec0ba27}.dll-uninst.exe D:\WINDOWS\system32\jboetfdypk.dll-uninst.exe D:\WINDOWS\system32\twmhcmggbmpikenla.dll D:\WINDOWS\system32\xzsqkmhuegs.exe . ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) . D:\kn6jhgc.cmd D:\WINDOWS\system32\{76693d28-c96c-5105-e85d-240a838d12ec}.dll-uninst.exe D:\WINDOWS\system32\{c230139f-9e6f-a25a-5483-f691bec0ba27}.dll-uninst.exe D:\WINDOWS\system32\jboetfdypk.dll-uninst.exe D:\WINDOWS\system32\twmhcmggbmpikenla.dll D:\WINDOWS\system32\xzsqkmhuegs.exe . ((((((((((((((((((((((((( Files Created from 2008-07-06 to 2008-08-06 ))))))))))))))))))))))))))))))) . 2008-08-06 15:33 . 2008-08-06 15:33 16,244 --a------ D:\WINDOWS\system32\rrt_is.wav 2008-08-06 15:33 . 2008-08-06 15:33 7,302 --a------ D:\WINDOWS\system32\rrt_vf.wav 2008-08-06 15:33 . 2008-08-06 15:33 7,148 --a------ D:\WINDOWS\system32\rrt_tv.wav 2008-08-06 15:33 . 2008-08-06 15:33 6,282 --a------ D:\WINDOWS\system32\rrt_tn.wav 2008-08-06 14:59 . 2008-08-06 14:59 <DIR> d-------- D:\Program Files\Trend Micro 2008-08-06 14:56 . <DIR> D:\Documents and Settings\Micha- 2008-08-02 22:33 . 2008-08-06 16:01 <DIR> d--h----- D:\Documents and Settings\Administrator\Ustawienia lokalne 2008-08-02 22:33 . 2007-11-28 18:05 <DIR> d-------- D:\Documents and Settings\Administrator\Ulubione 2008-08-02 22:33 . 2007-11-28 18:07 <DIR> d--h----- D:\Documents and Settings\Administrator\Szablony 2008-08-02 22:33 . 2007-11-28 18:05 <DIR> d-------- D:\Documents and Settings\Administrator\Pulpit 2008-08-02 22:33 . 2007-11-28 18:05 <DIR> d-------- D:\Documents and Settings\Administrator\Moje dokumenty 2008-08-02 22:33 . 2007-11-28 18:05 <DIR> dr------- D:\Documents and Settings\Administrator\Menu Start 2008-08-02 22:33 . 2007-11-28 18:05 <DIR> dr-h----- D:\Documents and Settings\Administrator\Dane aplikacji 2008-08-02 22:33 . 2008-08-02 22:33 <DIR> d-------- D:\Documents and Settings\Administrator 2008-08-02 11:12 . 2008-08-02 11:12 <DIR> d-------- D:\Program Files\ESET 2008-08-02 11:12 . 2008-08-02 11:12 <DIR> d-------- D:\Documents and Settings\All Users\Dane aplikacji\ESET 2008-07-14 22:50 . 2008-08-02 14:47 <DIR> d-------- D:\Program Files\sXe Injected . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-08-06 12:55 --------- d-----w D:\Program Files\eMule 2008-08-06 10:59 --------- d-----w D:\Program Files\Starcraft 2008-08-06 10:41 --------- d-----w D:\Program Files\Valve 2008-07-24 10:19 716,272 ----a-w D:\WINDOWS\system32\drivers\sptd.sys 2008-07-23 10:37 --------- d-----w D:\Program Files\Gadu-Gadu 2008-06-10 16:56 34,312 ----a-w D:\WINDOWS\system32\drivers\epfwtdir.sys 2008-06-10 16:48 53,256 ----a-w D:\WINDOWS\system32\drivers\easdrv.sys 2008-06-10 16:47 39,944 ----a-w D:\WINDOWS\system32\drivers\eamon.sys 2008-05-22 23:09 98,304 ----a-w D:\WINDOWS\system32\qttask.exe 2008-01-17 20:43 66,936 --sha-w D:\WINDOWS\dlinfo_0.drv 2008-01-17 20:37 66,936 --sha-w D:\WINDOWS\slinfo_0.drv . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries & legit default entries are not shown REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Gadu-Gadu"="D:\Program Files\Gadu-Gadu\gg.exe" [2007-05-10 16:36 2111176] "CTFMON.EXE"="D:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:44 15360] "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="D:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe" [2007-06-01 11:21 153136] "AlcoholAutomount"="D:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe" [2008-03-20 18:46 217544] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "QuickTime Task"="D:\WINDOWS\system32\qttask.exe" [2008-05-23 01:09 98304] "NvMediaCenter"="D:\WINDOWS\System32\NvMcTray.dll" [2007-04-20 00:05 81920] "NeroFilterCheck"="D:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe" [2007-03-01 16:57 153136] "KMCONFIG"="D:\Program Files\Mouse Driver\StartAutorun.exe" [2007-03-06 15:51 212992] "igfxtray"="D:\WINDOWS\system32\igfxtray.exe" [2005-11-28 07:55 98304] "igfxpers"="D:\WINDOWS\system32\igfxpers.exe" [2005-11-28 07:55 118784] "igfxhkcmd"="D:\WINDOWS\system32\hkcmd.exe" [2005-11-28 07:52 77824] "egui"="D:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" [2008-06-10 18:52 1447168] "RRT-Auto"="F:\Eset\RRT\RRT.exe" [2008-07-20 04:54 140288] "SkyTel"="SkyTel.EXE" [2006-05-16 12:04 2879488 D:\WINDOWS\SkyTel.exe] "nwiz"="nwiz.exe" [2007-04-20 00:05 1626112 D:\WINDOWS\system32\nwiz.exe] "RTHDCPL"="RTHDCPL.EXE" [2006-11-14 11:21 16270848 D:\WINDOWS\RTHDCPL.EXE] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="D:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 01:44 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "wave9"= PLOADER_SCBW.DLL "msacm.sl_anet"= D:\PROGRA~1\ACEMEG~1\SystemS\sl_anet.acm "vidc.yv12"= D:\PROGRA~1\ACEMEG~1\SystemS\ATI\atiyuv12.DLL "vidc.divx"= D:\PROGRA~1\ACEMEG~1\SystemS\DivX\DivX520.dll "vidc.iyuv"= D:\PROGRA~1\ACEMEG~1\SystemS\Intel\iyuv_32.dll "vidc.yvu9"= D:\PROGRA~1\ACEMEG~1\SystemS\Intel\Iyvu9_32.dll "vidc.uyvy"= D:\PROGRA~1\ACEMEG~1\SystemS\MICROS~1\msyuv.dll "vidc.yuy2"= D:\PROGRA~1\ACEMEG~1\SystemS\MICROS~1\msyuv.dll "vidc.yvyu"= D:\PROGRA~1\ACEMEG~1\SystemS\MICROS~1\msyuv.dll "msacm.msaudio1"= D:\PROGRA~1\ACEMEG~1\SystemS\MICROS~1\msaud32.acm "msacm.iac2"= D:\PROGRA~1\ACEMEG~1\SystemS\Intel\iac25_32.ax [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] WMI Standard Event Consumer - hosting REG_SZ D:\WINDOWS\system32\wbem\scrcs.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 "FirewallOverride"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "D:\\Program Files\\Gadu-Gadu\\gg.exe"= "D:\\Program Files\\BearShare\\BearShare.exe"= "D:\\Program Files\\uTorrent\\uTorrent.exe"= "D:\\Program Files\\Valve\\hl.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "27534:TCP"= 27534:TCP:BitComet 27534 TCP "27534:UDP"= 27534:UDP:BitComet 27534 UDP "4662:TCP"= 4662:TCP:emule tcp "4672:UDP"= 4672:UDP:emule udp R1 epfwtdir;epfwtdir;D:\WINDOWS\system32\DRIVERS\epfwtdir.sys [2008-06-10 18:56] R2 KMWDSERVICE;Keyboard And Mouse Communication Service;D:\Program Files\Mouse Driver\KMWDSrv.exe [2007-04-05 11:29] . Contents of the 'Scheduled Tasks' folder 2008-08-06 D:\WINDOWS\Tasks\AppleSoftwareUpdate.job - D:\Program Files\Apple Software Update\SoftwareUpdate.exe [2007-08-29 15:57] . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-08-06 16:01:36 Windows 5.1.2600 Dodatek Service Pack 2 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** . Completion time: 2008-08-06 16:02:04 ComboFix-quarantined-files.txt 2008-08-06 14:02:02 ComboFix2.txt 2008-08-06 12:56:56 Pre-Run: 7,194,370,048 bajtów wolnych Post-Run: 7,189,479,424 bajtów wolnych 140 --- E O F --- 2007-12-16 17:17:39

**Posty:** 8001 · przez **Okocza** 06 Sie 2008, 16:04

Wykonaj to co jest podane w tym temacie

1. Ściągnij OTMoveIt i go włacz i odpal go z opcji CleanUp

2. wykonaj optymalizację windowsa
3.sciagnij ATF_Cleaner
zaznacz
Windows Temp
All users Temp
Temporary internet files
Recycle Bin
i wcisnij EMPTY SELECTED
4.Wyłącz przywracanie systemu ( właściwości mój komputer-zakładka przywracanie - wyłącz przywracanie na wszystkich dyskach). Po chwili włącz je powrotem
5. Przeskanuj komputer pod względem Trojanów tym programem
6. Wstaw na forum screen z zakładki uruchamianie (start – uruchom – msconfig – uruchamianie) może uda się cos wyrzucic stamtąd.

**Posty:** 684 · przez **djarta** 06 Sie 2008, 16:06

Dodatkowo:

Usuń ręcznie folder C:\Qoobox,

Usuń instalkę ComboFix z dysku.

Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum.

:wink:

**Posty:** 37 · przez **sklozgos** 06 Sie 2008, 16:06

to z bledem win 32 juz robilem i nie zadzialalo mam zrobic jeszcze raz??

**Posty:** 8001 · przez **Okocza** 06 Sie 2008, 16:08

ma być tak jak na screenie w temacie.,

**Posty:** 37 · przez **sklozgos** 06 Sie 2008, 16:32

tak bylo jak na screnie moze teraz po tym wszystkim juz nie bedzie wyskakiwalo . Jak mam wstawic screeny z optymalizacji?????

**Posty:** 8001 · przez **Okocza** 06 Sie 2008, 16:36

zrób screen wstaw na jakiś hosting - najlepiej na www.up.programosy.pl i daj link do miniaturki na forum

**Posty:** 37 · przez **sklozgos** 06 Sie 2008, 16:44

Dodano Dzisiaj, 16:45:
prosze. a z tym problemem z win32 przy net biosie pokazuje mi wykrzyknik na zoltym trojkacie co to znaczy??

**Posty:** 8001 · przez **Okocza** 06 Sie 2008, 16:45

czysto już

sklozgos napisał(a):prosze. a z tym problemem z win32 przy net biosie pokazuje mi wykrzyknik na zoltym trojkacie co to znaczy??

zostaw, tak może być

**Posty:** 37 · przez **sklozgos** 06 Sie 2008, 16:56

czekam az aktualizacje sie sciagna i bede mogl scanowac

Dodano Dzisiaj, 17:01:
a w drugim logu z comboFix'a jest juz wszystko wporządku????

**Posty:** 8001 · przez **Okocza** 06 Sie 2008, 17:09

wszystko jest ok jeśli robiłeś to co kazaliśmy.

**Posty:** 37 · przez **sklozgos** 06 Sie 2008, 17:52

okocza nie wiedzialem ze jest sp3 jak mam zainstalowany 2 to bedize dzialac mi 3 bez zadnych problemow jak bede instalowal zaraz??

**Posty:** 8001 · przez **Okocza** 06 Sie 2008, 19:05

Raczej tak

Sam używam Visty więc nie powiem Ci na 100% ale na 99.9% będzie dobrze