Chyba musisz sformatować dysk, miałeś za dużo zarażonych plików systemowych i programów.
==========
K.
Aktualizacje na programosy.pl:
YT Downloader • PhpStorm • ReSharper • XYplorer • RarmaRadio • OSForensics • pdfMachine White • Valentina Studio • Tablacus Explorer
-
- Ogłoszenie:
Wirus (ljjbqoll.dll)
49 posty(ów) • Strona 2 z 3 • 1, 2, 3
Re: wirus (ljjbqoll.dll)
przez djarta 29 Paź 2008, 15:26
Chyba musisz sformatować dysk, miałeś za dużo zarażonych plików systemowych i programów.
==========
K.
Pozdrawiam djarta. 
- djarta
- ~user
- Posty: 684
- Dołączenie: 31 Lip 2008, 10:49
- Pochwały: 55
Wirus (ljjbqoll.dll)
przez svieru 29 Paź 2008, 19:20
Może zainstalowanie xp na nowo (bez formatu) by poskutkowało? mysle ze ten KVRT usunął jakieś zainfekowane pliki systemowe, potrzebne do uruchamiania. za dużo mam ważnych danych, żeby format zrobić 
Macie jeszcze jakieś sugestie? konsola odzyskiwania ?
Macie jeszcze jakieś sugestie? konsola odzyskiwania ?
Wirus (ljjbqoll.dll)
przez wojtas 29 Paź 2008, 19:30
włóż płytkę windowsa - zbootuj ją. wejdź do konsoli odzyskiwania i w niej wpisz
chkdsk x: /p /r
gdzie x to litera partycji systemowej
chkdsk x: /p /r
gdzie x to litera partycji systemowej
-
wojtas - *mod
- Posty: 18165
- Dołączenie: 13 Sty 2006, 16:00
- Miejscowość: Krzeszyce
- Pochwały: 1656
Wirus (ljjbqoll.dll)
przez svieru 29 Paź 2008, 19:39
tak się składa, że mam konsolę zainstalowaną a nie mam aktualnie płyty. czy to robi różnice czy z płyty czy nie?
Wirus (ljjbqoll.dll)
przez svieru 29 Paź 2008, 21:33
wojtas napisał(a):wpisz
chkdsk x: /p /r
gdzie x to litera partycji systemowej
zrobiłem to. przeskanował, niby naprawił coś, ale nic nie pomogło, dalej ta sama sytuacja. Może jeszcze jakąś inną komende? Albo zainstalowanie na nowo windowsa z płyty?
Wirus (ljjbqoll.dll)
przez Magik 29 Paź 2008, 21:36
svieru napisał(a):Albo zainstalowanie na nowo windowsa z płyty?
to tylko kolego na czysto...jaki sens powiedz mi widzisz w instaalcji nakladkowej?? bo ja zadnego albo za slabe okulary mam
przy Vundo itp w skrajnych przypadkach only format C:\
-
Magik - ~user
- Posty: 7956
- Dołączenie: 08 Maj 2004, 09:17
- Miejscowość: Głogów
- Pochwały: 886
-
Wirus (ljjbqoll.dll)
przez svieru 30 Paź 2008, 00:39
Magik napisał(a):jaki sens powiedz mi widzisz w instaalcji nakladkowej?
taki sens, że odzyskam wszystkie cenne dane.
Ponadto, przed skanowaniem tym kvrt wszystko w sumie elegancko bez zarzutu działało, z wyjątkiem tego acd see i nero&cd burner.
Wirus (ljjbqoll.dll)
przez Magik 30 Paź 2008, 00:51
svieru napisał(a):taki sens, że odzyskam wszystkie cenne dane.
ale to jest nadpisanie plikow windowsa i tylko tyle.........infekcja pozostanie
Wiesz co to jest Vundo??
dane to przezuc na inna partycje, co tez nie zalatwia sprawy bo to infekcja z gat. globalnych...........nagraj te dane na plyte i zrob format
Mysle, ze wojtas, djarta czy Okocza nie podpisza sie za ta instalka nakladkowa......Think about it
-
Magik - ~user
- Posty: 7956
- Dołączenie: 08 Maj 2004, 09:17
- Miejscowość: Głogów
- Pochwały: 886
-
Re: wirus (ljjbqoll.dll)
przez svieru 30 Paź 2008, 20:26
Magik napisał(a):Mysle, ze wojtas, djarta czy Okocza nie podpisza sie za ta instalka nakladkowa..
Nie chodzi o to, że podważam wasze kompetencje, tylko mi na zgraniu danych zależało. Zainstalowałem windowsa nie nakładkowo tylko w nowym folderze, teraz zgram dane na dysk zewnętrzny a jutro zrobię format wszystkich partycji i powinno być dobrze, myśle. dzięki, pozdrawiam
Wirus (ljjbqoll.dll)
przez Okocza 30 Paź 2008, 21:37
Magik napisał(a):Mysle, ze wojtas, djarta czy Okocza nie podpisza sie za ta instalka nakladkowa......Think about it
Ja się nie podpisze, zrobił bym inaczej, wziąłbym odpalił linuxa czy jakiś inny system bootowalny z płytki i zgrał dane z partycji windowsowych, później je sformatował.
eMachines E730G - Core i5-430M, 2GiB RAM, ATI Mobility Radeon HD5470, WD 320GiB; Cort Z-44,DR 0.09-0.42, Peavey Backstage
Mac OS X 10.7.4 Lion // Windows 7 Professional x64 // NIE POMAGAM NA PW/GG/E-MAIL
"Moje Ego i Anima spotykają się i wymieniają przepisami na ciasteczka" - Maynard James Keenan
Mac OS X 10.7.4 Lion // Windows 7 Professional x64 // NIE POMAGAM NA PW/GG/E-MAIL
"Moje Ego i Anima spotykają się i wymieniają przepisami na ciasteczka" - Maynard James Keenan
-
Okocza - ~user
- Posty: 8001
- Dołączenie: 19 Mar 2006, 11:53
- Pochwały: 406
-
Wirus (ljjbqoll.dll)
przez svieru 31 Paź 2008, 00:02
A czy jest coś złego, złudnego w tym, że zgrywam dane na dysk zewnętrzny a potem zrobię format całego dysku wraz z partycjami i od nowa zainstaluję windowsa? czy windows xp można uznać za 'inny system bootowalny'?
Wirus (ljjbqoll.dll)
przez Magik 31 Paź 2008, 00:04
svieru napisał(a):czy windows xp można uznać za 'inny system bootowalny'?
nie , inny oznacza inny od tego ktory posiadasz i pzrede wszystkim odporny na infekcje//w tym przypadku Linux
svieru napisał(a):A czy jest coś złego, złudnego w tym, że zgrywam dane na dysk zewnętrzny
jesli to sa pliki .exe to zapewne sa zarazone wiec zgrywasz, nastepnie spowrotem wgrywasz na czysty system i masz to samo
-
Magik - ~user
- Posty: 7956
- Dołączenie: 08 Maj 2004, 09:17
- Miejscowość: Głogów
- Pochwały: 886
-
Wirus (ljjbqoll.dll)
przez svieru 31 Paź 2008, 19:49
Magik napisał(a):jesli to sa pliki .exe to zapewne sa zarazone wiec zgrywasz, nastepnie spowrotem wgrywasz na czysty system i masz to samo
zgadza się, ale nie wszystkie pliki są zarażone, a ja właściwie nie zgrywałem plików exe, tylko mp3, rary, filmy, jakies dane z gg, ulubione itp. tak a propos, nie wiecie gdzie na dysku znajdę bazę ze skrzynką odbiorczą z Outlocka? nie mogę tego znaleźć.
Re: wirus (ljjbqoll.dll)
przez svieru 03 Lis 2008, 19:59
Witam, nie myślałem, że tak prędko znów tu napiszę. Format zrobiłem wczoraj, wszystkie partycje. Zainstalowałem win xp sp2. Na początku śmigało w miarę sprawnie, po stopniowym instalowaniu programów i sterowników zaczęły się problemy. Jedyne pliki exe które zgrałem z dysku zewnętrznego to sterowniki audio i graficzne ATI (w sumie niepotrzebne, ale pierw myślałem, że to audio). Oprócz tego ściągałem instalacje FF, odkurzacz, total cmd, gg itp. Błedy mi zaczęły wyskakiwać jak chciałem zainstalować cd burner xp, potrzebny był net framework, a żeby to zainstalować to jeszcze microsoft installer, czy coś takiego, tam wystąpiły błędy ale udało się zaisntalować cd burnera, i tu znów ten komunikat co przed formatem:
Następnie zaczęły wyskakiwać różne komunikaty przy próbie uruchomienia róznych programów, coś takiego:
(powiększ)
Poza tym zauważyłem, że większość procesów w menedżerze zadań jest podwójnie, a svchost jest ok. 16, czyli zdaje się 2 razy tyle co powinno być maksymalnie. Wczoraj przeskanowałem malawarebytes oto log:
Nie mam pojęcia skąd taki folder Facegame. Potem to co się dało usunąlem ręcznie z niego.
Następnie przeskanowałem spybot search&destroy, znalazł bodajże 6 rzeczy w tym win.32., dokładnie nie pamiętam a nie mam jak sprawdzić, bo się nie otwiera. Wtedy niby wszystko usunął. Jak wyłączę kilka procesów to Firefox sie uruchamia, ale po jakimś czasie pokazuje się wyłacza i się pokazuje Awaria Firefox, czy coś takiego. Nawet jest problem, żeby włączyć painta i print screen wrzucić.
Oto log z combofixa:
a to z HJ:
Żeby zgrać logi na pendrive'a i przejść na inny komputer też się namęczyłem. Nie bardzo już wiem co zrobić, szlag mnie trafia, jak znowu zrobię format i przeinstaluję to znów nie mam pewności, że jakieś cenzura się dostanie. Gwoli ścisłości, wcześniej nie było takich komunikatów o pamięci wirtualnej.
Nawet w trybie awaryjnym są te komunikaty. Nie wiem co jeszcze mogę dodać. Z góry dzięki za pomoc, pozdrawiam
Następnie zaczęły wyskakiwać różne komunikaty przy próbie uruchomienia róznych programów, coś takiego:
(powiększ)Poza tym zauważyłem, że większość procesów w menedżerze zadań jest podwójnie, a svchost jest ok. 16, czyli zdaje się 2 razy tyle co powinno być maksymalnie. Wczoraj przeskanowałem malawarebytes oto log:
- Kod: Zaznacz wszystko
Malwarebytes' Anti-Malware 1.30
Wersja bazy definicji: 1357
Windows 5.1.2600 Dodatek Service Pack 2
2008-11-02 22:31:18
mbam-log-2008-11-02 (22-31-09).txt
Typ skanowania: Szybkie skanowanie
Przeskanowane obiekty: 40296
Upłynęło: 24 minute(s), 12 second(s)
Zainfekowane procesy w pamięci: 0
Zainfekowane moduły pamięci: 0
Zainfekowane klucze rejestru: 0
Zainfekowane wartości rejestru: 1
Zainfekowane pliki rejestru: 0
Zainfekowane foldery: 1
Zainfekowane pliki: 4
Zainfekowane procesy w pamięci:
(Nie wykryto groźnych plików)
Zainfekowane moduły pamięci:
(Nie wykryto groźnych plików)
Zainfekowane klucze rejestru:
(Nie wykryto groźnych plików)
Zainfekowane wartości rejestru:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\facegame (Trojan.Agent) -> No action taken.
Zainfekowane pliki rejestru:
(Nie wykryto groźnych plików)
Zainfekowane foldery:
C:\Documents and Settings\adam\Dane aplikacji\Facegame (Trojan.Agent) -> No action taken.
Zainfekowane pliki:
C:\Documents and Settings\adam\Dane aplikacji\Facegame\Facegame.exe (Trojan.Agent) -> No action taken.
C:\Documents and Settings\adam\Dane aplikacji\Facegame\Facegame.exe1ov (Trojan.Agent) -> No action taken.
C:\Documents and Settings\adam\Dane aplikacji\Facegame\Facegame.exe69o (Trojan.Agent) -> No action taken.
C:\Documents and Settings\adam\Dane aplikacji\Facegame\Facegame.exere (Trojan.Agent) -> No action taken.
Nie mam pojęcia skąd taki folder Facegame. Potem to co się dało usunąlem ręcznie z niego.
Następnie przeskanowałem spybot search&destroy, znalazł bodajże 6 rzeczy w tym win.32., dokładnie nie pamiętam a nie mam jak sprawdzić, bo się nie otwiera. Wtedy niby wszystko usunął. Jak wyłączę kilka procesów to Firefox sie uruchamia, ale po jakimś czasie pokazuje się wyłacza i się pokazuje Awaria Firefox, czy coś takiego. Nawet jest problem, żeby włączyć painta i print screen wrzucić.
Oto log z combofixa:
- Kod: Zaznacz wszystko
ComboFix 08-11-01.06 - adam 2008-11-03 17:33:05.1 - NTFSx86 NETWORK
Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.145 [GMT 1:00]
Uruchomiony z: C:\Documents and Settings\adam\Pulpit\ComboFix.exe
.
[i] ADS - svchost.exe: deleted 35840 bytes in 1 streams. [/i]
((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Documents and Settings\adam\Ustawienia lokalne\Temporary Internet Files\fbk.sts
C:\WINDOWS\system32\3.tmp
C:\WINDOWS\system32\drivers\tcpsr.sys
C:\WINDOWS\system32\rs32net.exe
C:\WINDOWS\system32\versxvgg.dll
C:\WINDOWS\system32\versxvgg32.dll
.
((((((((((((((((((((((((((((((((((((((( Sterowniki/Usługi )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_ICF
-------\Legacy_TCPSR
-------\Service_FCI
-------\Service_ICF
-------\Service_tcpsr
((((((((((((((((((((((((( Pliki utworzone od 2008-10-03 do 2008-11-03 )))))))))))))))))))))))))))))))
.
2008-11-03 17:00 . 2008-11-03 17:38 32,768 --a------ C:\WINDOWS\system32\drivers\ati7vbxx.sys
2008-11-03 16:59 . 2008-11-03 16:59 88 --a------ C:\WINDOWS\system32\2.tmp
2008-11-03 16:59 . 2008-11-03 16:59 18 --a------ C:\WINDOWS\system32\5.tmp
2008-11-02 22:00 . 2008-11-02 22:00 <DIR> d-------- C:\Documents and Settings\adam\Dane aplikacji\Malwarebytes
2008-11-02 22:00 . 2008-10-22 16:10 15,504 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-11-02 21:59 . 2008-11-02 22:00 <DIR> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-11-02 21:59 . 2008-11-02 21:59 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\Malwarebytes
2008-11-02 21:59 . 2008-10-22 16:10 38,496 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-11-02 21:08 . 2008-11-02 21:08 <DIR> d-------- C:\Documents and Settings\adam\Dane aplikacji\Gadu-Gadu
2008-11-02 20:31 . 2008-11-02 20:55 <DIR> d-------- C:\Program Files\Spybot - Search & Destroy
2008-11-02 20:31 . 2008-11-02 20:55 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy
2008-11-02 20:05 . 2008-11-02 20:05 <DIR> d-------- C:\Program Files\CDBurnerXP
2008-11-02 18:59 . 2008-11-03 17:22 <DIR> d-------- C:\TEMP
2008-11-02 18:28 . 2008-11-03 17:19 <DIR> d-------- C:\Program Files\eMule
2008-11-02 18:18 . 2008-11-02 18:18 <DIR> d-------- C:\Program Files\MSXML 6.0
2008-11-02 16:53 . 2008-11-02 16:58 <DIR> d-------- C:\Program Files\Winamp
2008-11-02 16:53 . 2008-11-02 16:58 <DIR> d-------- C:\Documents and Settings\adam\Dane aplikacji\Winamp
2008-11-02 16:50 . 2008-11-02 16:50 25 --a------ C:\WINDOWS\mixerdef.ini
2008-11-02 16:48 . 2004-08-03 23:07 171,776 --a------ C:\WINDOWS\system32\drivers\kmixer.sys
2008-11-02 16:48 . 2004-08-03 22:39 142,464 --a------ C:\WINDOWS\system32\drivers\aec.sys
2008-11-02 16:48 . 2004-08-03 23:15 82,944 --a------ C:\WINDOWS\system32\drivers\wdmaud.sys
2008-11-02 16:48 . 2004-08-03 23:15 60,800 --a------ C:\WINDOWS\system32\drivers\sysaudio.sys
2008-11-02 16:48 . 2001-08-17 22:00 54,272 --a------ C:\WINDOWS\system32\drivers\swmidi.sys
2008-11-02 16:48 . 2004-08-03 23:07 52,864 --a------ C:\WINDOWS\system32\drivers\DMusic.sys
2008-11-02 16:48 . 2004-08-03 23:07 6,400 --a------ C:\WINDOWS\system32\drivers\splitter.sys
2008-11-02 16:48 . 2004-08-03 23:07 2,944 --a------ C:\WINDOWS\system32\drivers\drmkaud.sys
2008-11-02 16:46 . 2008-11-02 16:46 <DIR> d-------- C:\Program Files\C-Media
2008-11-02 16:46 . 2001-12-07 14:24 1,216,512 -ra------ C:\WINDOWS\Mixer.dat
2008-11-02 16:46 . 2001-12-07 19:32 192,512 -ra------ C:\WINDOWS\W2KSetup.exe
2008-11-02 16:46 . 2008-11-02 16:46 26 --a------ C:\WINDOWS\CMCDPLAY.INI
2008-11-02 16:45 . 2008-11-02 16:46 <DIR> d-------- C:\Program Files\sterowniki audio a
2008-11-02 16:44 . 2008-11-02 16:44 <DIR> d-------- C:\Program Files\sterowniki 275a wxp z forum
2008-11-02 16:13 . 2008-11-02 16:27 <DIR> d-------- C:\WINDOWS\system32\NtmsData
2008-11-02 16:11 . 2005-06-28 21:05 524,288 --------- C:\WINDOWS\system32\ati2sgag.exe
2008-11-02 16:10 . 2008-11-02 16:11 <DIR> d--h----- C:\Program Files\InstallShield Installation Information
2008-11-02 16:10 . 2008-11-02 16:11 <DIR> d-------- C:\Program Files\ATI Technologies
2008-11-02 16:09 . 2008-11-02 16:09 <DIR> d-------- C:\Program Files\Common Files\InstallShield
2008-11-02 16:08 . 2008-11-02 16:08 <DIR> d-------- C:\Program Files\Sterowniki audio
2008-11-02 15:52 . 2008-11-02 15:53 <DIR> d-------- C:\Program Files\Gadu-Gadu
2008-11-02 15:50 . 2008-11-02 15:51 <DIR> d-------- C:\Documents and Settings\adam\Gadu-Gadu
2008-11-02 15:49 . 2008-11-02 15:49 <DIR> d-------- C:\Program Files\totalcmd
2008-11-02 15:49 . 2008-11-03 17:12 1,277 --a------ C:\WINDOWS\wincmd.ini
2008-11-02 15:49 . 2008-08-08 07:04 545 --a------ C:\WINDOWS\UC.PIF
2008-11-02 15:49 . 2008-08-08 07:04 545 --a------ C:\WINDOWS\RAR.PIF
2008-11-02 15:49 . 2008-08-08 07:04 545 --a------ C:\WINDOWS\PKZIP.PIF
2008-11-02 15:49 . 2008-08-08 07:04 545 --a------ C:\WINDOWS\PKUNZIP.PIF
2008-11-02 15:49 . 2008-08-08 07:04 545 --a------ C:\WINDOWS\NOCLOSE.PIF
2008-11-02 15:49 . 2008-08-08 07:04 545 --a------ C:\WINDOWS\LHA.PIF
2008-11-02 15:49 . 2008-08-08 07:04 545 --a------ C:\WINDOWS\ARJ.PIF
2008-11-02 15:22 . 2008-11-02 16:50 <DIR> d-------- C:\Program Files\Odkurzacz
2008-11-02 15:13 . 2008-11-02 15:48 <DIR> d-------- C:\WINDOWS\system32\CatRoot_bak
2008-11-02 15:05 . 2008-06-14 19:01 273,024 --------- C:\WINDOWS\system32\drivers\bthport.sys
2008-11-02 15:05 . 2008-06-14 19:01 273,024 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
2008-11-02 15:04 . 2004-08-03 23:08 26,496 --a--c--- C:\WINDOWS\system32\dllcache\usbstor.sys
2008-11-02 15:03 . 2008-08-14 14:46 2,181,632 -----c--- C:\WINDOWS\system32\dllcache\ntoskrnl.exe
2008-11-02 15:03 . 2008-08-14 14:46 2,137,600 -----c--- C:\WINDOWS\system32\dllcache\ntkrnlmp.exe
2008-11-02 15:03 . 2008-08-14 14:46 2,059,008 -----c--- C:\WINDOWS\system32\dllcache\ntkrnlpa.exe
2008-11-02 15:03 . 2008-08-14 14:46 2,017,280 -----c--- C:\WINDOWS\system32\dllcache\ntkrpamp.exe
2008-11-02 15:03 . 2001-08-17 22:59 3,072 --a------ C:\WINDOWS\system32\drivers\audstub.sys
2008-11-02 15:02 . 2005-06-29 03:47 2,360,736 --a------ C:\WINDOWS\system32\ati3duag.dll
2008-11-02 15:02 . 2005-06-29 04:01 1,241,088 --a------ C:\WINDOWS\system32\drivers\ati2mtag.sys
2008-11-02 15:02 . 2005-06-29 04:01 1,241,088 --a--c--- C:\WINDOWS\system32\dllcache\ati2mtag.sys
2008-11-02 15:02 . 2004-08-04 01:43 870,784 --a------ C:\WINDOWS\system32\ati3d1ag.dll
2008-11-02 15:02 . 2005-06-29 03:41 648,000 --a------ C:\WINDOWS\system32\ativvaxx.dll
2008-11-02 15:02 . 2005-06-29 04:02 232,960 --a------ C:\WINDOWS\system32\ati2dvag.dll
2008-11-02 15:02 . 2005-06-29 02:57 208,896 --a------ C:\WINDOWS\system32\ati2cqag.dll
2008-11-02 15:02 . 2004-08-04 01:44 77,312 --a------ C:\WINDOWS\system32\usbui.dll
2008-11-02 15:02 . 2004-08-04 01:35 58,624 --a------ C:\WINDOWS\system32\drivers\redbook.sys
2008-11-02 15:02 . 2004-08-04 00:07 42,240 --a------ C:\WINDOWS\system32\drivers\VIAAGP.SYS
2008-11-02 15:02 . 2004-08-04 00:01 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys
2008-11-02 15:01 . 2001-08-17 21:12 19,017 --a------ C:\WINDOWS\system32\drivers\RTL8029.sys
2008-11-02 15:00 . 2008-11-02 15:00 0 --a------ C:\WINDOWS\nsreg.dat
.
(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-02 13:22 --------- d-----w C:\Program Files\microsoft frontpage
2008-11-02 13:18 --------- d-----w C:\Program Files\Usługi online
2008-10-28 18:12 131,072 ----a-r C:\WINDOWS\cmuninst.exe
.
------- Sigcheck -------
2004-08-04 00:44 1040896 ea0ecdeb851ff2e20fb9936966001c74 C:\WINDOWS\explorer.exe
2008-04-14 18:21 1042432 0b104124053f23fd04adfaf0032fc710 C:\WINDOWS\SoftwareDistribution\Download\26b8c19476314ac25f93aad52bbaf865\explorer.exe
2004-08-04 00:44 1040896 4b556bf0a9bcb65a80d267761b60b928 C:\WINDOWS\system32\dllcache\explorer.exe
2008-04-14 18:21 22528 b970a306fdbeb9918e6cf6ee4f4673a0 C:\WINDOWS\SoftwareDistribution\Download\26b8c19476314ac25f93aad52bbaf865\ctfmon.exe
2004-08-04 00:44 22528 1e5733a037c06a31c03ae28ddd3930ad C:\WINDOWS\system32\ctfmon.exe
2004-08-04 00:44 22528 a5ddb45aa1b7c1fe64bd62bab0250156 C:\WINDOWS\system32\dllcache\ctfmon.exe
2008-04-14 18:21 65024 6abf8e8061eb245ec408aae94c9a32d5 C:\WINDOWS\SoftwareDistribution\Download\26b8c19476314ac25f93aad52bbaf865\spoolsv.exe
2004-08-04 00:44 65024 c037fa46dc95dba7f2cd876255d739aa C:\WINDOWS\system32\spoolsv.exe
2004-08-04 00:44 65024 0aa40a94c03acf0d862b5783f86fc48f C:\WINDOWS\system32\dllcache\spoolsv.exe
2008-04-14 18:21 33792 5626c20badc6f0d4c6e2cbcd3094f41a C:\WINDOWS\SoftwareDistribution\Download\26b8c19476314ac25f93aad52bbaf865\userinit.exe
2004-08-04 00:44 32256 d43d74cb5bb82dbae7bb6f526ea85bba C:\WINDOWS\system32\userinit.exe
2004-08-04 00:44 32256 5827104eeba72468060bc64877e7d5b8 C:\WINDOWS\system32\dllcache\userinit.exe
.
((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Odkurzacz-MCD"="C:\Program Files\Odkurzacz\odk_mcd.exe" [2008-08-16 272384]
"Gadu-Gadu"="C:\Program Files\Gadu-Gadu\gg.exe" [2008-03-20 2127296]
"eMuleAutoStart"="C:\Program Files\eMule\emule.exe" [2008-08-01 5488640]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSConfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe" [2004-08-04 166912]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 22528]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati7vbxx.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIPTA]
--a------ 2005-06-28 21:05 352256 C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 2008-09-12 17:45 43520 C:\Program Files\Winamp\winampa.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C-Media Mixer]
-ra------ 2001-12-07 14:24 1224704 C:\WINDOWS\Mixer.exe
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\eMule\\emule.exe"=
R0 ati7vbxx;ati7vbxx;C:\WINDOWS\system32\Drivers\ati7vbxx.sys [2008-11-03 32768]
S2 ICF;ICF;C:\WINDOWS\system32\svchost.exe:ext.exe [2008-11-03 25088]
S2 NMSAccessU;NMSAccessU;C:\Program Files\CDBurnerXP\NMSAccessU.exe [2008-06-15 71096]
*Newly Created Service* - TCPSR
.
- - - - USUNIĘTO PUSTE WPISY - - - -
Notify-versxvgg - versxvgg.dll
MSConfigStartUp-rs32net - C:\WINDOWS\System32\rs32net.exe
.
------- Skan uzupełniający -------
.
FireFox -: Profile - C:\Documents and Settings\adam\Dane aplikacji\Mozilla\Firefox\Profiles\[u]0[/u]tytb7mz.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://google.com/
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-03 17:38:33
Windows 5.1.2600 Dodatek Service Pack 2 NTFS
detected NTDLL code modification:
ZwOpenFile
skanowanie ukrytych procesów ...
skanowanie ukrytych wpisów autostartu ...
skanowanie ukrytych plików ...
C:\WINDOWS\system32\svchost.exe:ext.exe 25088 bytes executable
skanowanie pomyślnie ukończone
ukryte pliki: 1
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ICF]
"ImagePath"="C:\WINDOWS\system32\svchost.exe:ext.exe"
.
------------------------ Pozostałe uruchomione procesy ------------------------
.
C:\Program Files\Internet Explorer\IEXPLORE.EXE
.
**************************************************************************
.
Czas ukończenia: 2008-11-03 17:40:56 - komputer został uruchomiony ponownie
ComboFix-quarantined-files.txt 2008-11-03 16:40:50
Przed: 6 317 543 424 bajtów wolnych
Po: 5,904,228,352 bajtów wolnych
WindowsXP-KB310994-SP2-Pro-BootDisk-PLK.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect /safeboot:network
187 --- E O F --- 2008-11-02 18:11:08
a to z HJ:
- Kod: Zaznacz wszystko
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:13:19, on 2008-11-03
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\pchealth\helpctr\Binaries\MSCONFIG.EXE
C:\Program Files\eMule\emule.exe
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\pchealth\helpctr\Binaries\MSCONFIG.EXE /auto
O4 - HKCU\..\Run: [Odkurzacz-MCD] C:\Program Files\Odkurzacz\odk_mcd.exe
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O20 - Winlogon Notify: versxvgg - C:\WINDOWS\SYSTEM32\versxvgg32.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ICF - Unknown owner - C:\WINDOWS\system32\svchost.exe:ext.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: Windows User Mode Driver Framework (UMWdf) - Unknown owner - C:\WINDOWS\system32\wdfmgr.exe (file missing)
--
End of file - 3254 bytes
Żeby zgrać logi na pendrive'a i przejść na inny komputer też się namęczyłem. Nie bardzo już wiem co zrobić, szlag mnie trafia, jak znowu zrobię format i przeinstaluję to znów nie mam pewności, że jakieś cenzura się dostanie. Gwoli ścisłości, wcześniej nie było takich komunikatów o pamięci wirtualnej.
Nawet w trybie awaryjnym są te komunikaty. Nie wiem co jeszcze mogę dodać. Z góry dzięki za pomoc, pozdrawiam
Wirus (ljjbqoll.dll)
przez djarta 03 Lis 2008, 20:08
No to czeka Cię kolejny format.
Znowu masz SALITY!
============
K.
Znowu masz SALITY!
============
K.
Pozdrawiam djarta.
- djarta
- ~user
- Posty: 684
- Dołączenie: 31 Lip 2008, 10:49
- Pochwały: 55
-
Wirus (ljjbqoll.dll)
przez Magik 03 Lis 2008, 20:11
svieru zrob format dysku twardego--->wszystkich partycji...zrob to jak facet raz a dobrze, i nie kombinuj z zadnym przenoszeniem itd......
EOT
EOT
-
Magik - ~user
- Posty: 7956
- Dołączenie: 08 Maj 2004, 09:17
- Miejscowość: Głogów
- Pochwały: 886
-
Re: wirus (ljjbqoll.dll)
przez svieru 17 Lis 2008, 23:41
No to tak: zrobiłem format wszystkich dysków, zainstalowałem windowsa, zanim cokolwiek uruchomiłem, ściągnąłem na drugim komputerze Zone Alarm i Firefoxa, żeby IE nie używać. Z pozoru spoko. Poinstalowałem najważniejsze rzeczy, zablokowałem porty w wwdc, aktualizowałem windowsa. Komunikaty o za małej pamięci itp. się pojawiały, ale w miarę to wszystko funkcjonowało. Po dwóch dniach, bodajże przy wgrywaniu listy kontaktów do microsoft outlook ZoneAlarm spytał czy dopuścić do internetu proces services.exe, wtedy większość procesów w menadżerze zadań się podwoiła (15 x svchost), w logu z HJ tego nie było widać, oczywiście wszystko zaczęło mulić. Potem się w ogóle nie chciał uruchamiać komputer w normalnym trybie (tylko awaryjny). Przeskanowałem różnymi smitfraudami, sdfixami, combofixami. Zaraz wrzucę logi. Usunąłem jakiś plik rs32net.exe który był w procesach. Te programy też coś znalazły. Dzięki combofixowi zaczął się normalnie uruchamiać w końcu. Potem (jeszcze nieświadomy) zaakceptowałem to services.exe i znów się namnożyły te procesy. Po restarcie już nie zaakceptowałem tego services.exe. Chciałem kasperskym przeskanować to dopiero za nastym razem udało mu się całość obszaru krytycznego bez zacinania. Jak chce przeskanować malwarebytes antispyware to się po jakichś 2-3 minutach wiesza ten program... . Ogólnie niby wszystko już chodzi, ale czuć, że dużo wolniej i pewnie na dniach znowu coś padnie. Ponadto mam problem, pewnie przez zonealarm, outlook nie chce mi wysyłać poczty wychodzącej
Wklejam logi, proszę o sprawdzenie i doradzenie, co to może być itp. Jeśli to wskazane to może założę nowy temat?
HJ
Kaspersky online scanner (za długi żeby wkleić)
http://wyslijto.pl/plik/b6ff3tg5w9
Combofix
smitfraudfix
sdfix
Spybot znajduje zawsze WIN.32.Delf.uc w 2 plikach, usuwa, ale potem nadal znajduje.
FixIEdef
Jeszcze skanowałem RemoveIT Pro v4 - SE, coś znalazł ale nie wszystko zdołał usunąć a nie ma tam opcji raportu. W ogóle jak go zainstalowałem i od razu chciałem uruchomić to wyskoczył komunikat File corrupted, please run virus-check... . Od razu zainstalowałem jeszcze raz i się uruchomił, teraz po paru dniach znów ten sam komunikat, więc coś go zaraża.
- Kod: Zaznacz wszystko
Twoja wiadomość nie dotarła do niektórych lub do wszystkich adresatów. Nie wiem jak sobie z tym poradzić.
Temat: a
Wysłano: 2008-11-16 22:12
Następujący adresaci nie są osiągalni:
'svieru87@poczta.fm' w dniu 2008-11-16 22:12
554 <r9.ists.pl[87.239.216.19]>: Client host rejected: Access denied
Wklejam logi, proszę o sprawdzenie i doradzenie, co to może być itp. Jeśli to wskazane to może założę nowy temat?
HJ
- Kod: Zaznacz wszystko
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:29:26, on 2008-11-17
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Winamp\winamp.exe
C:\Program Files\Gadu-Gadu\gg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\internet explorer\iexplore.exe
C:\Program Files\Java\jre6\bin\java.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.kaspersky.pl/virusscanner.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: ZoneAlarm Spy Blocker BHO - {F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program Files\ZoneAlarmSB\bar\1.bin\SPYBLOCK.DLL
O3 - Toolbar: ZoneAlarm Spy Blocker - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program Files\ZoneAlarmSB\bar\1.bin\SPYBLOCK.DLL
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\pchealth\helpctr\Binaries\MSCONFIG.EXE /auto
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl.sun.com/webapps/download/AutoDL?BundleId=24931
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: ICF - Unknown owner - C:\WINDOWS\system32\svchost.exe:ext.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Windows User Mode Driver Framework (UMWdf) - Unknown owner - C:\WINDOWS\system32\wdfmgr.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
--
End of file - 4253 bytes
Kaspersky online scanner (za długi żeby wkleić)
http://wyslijto.pl/plik/b6ff3tg5w9
Combofix
- Kod: Zaznacz wszystko
ComboFix 08-11-11.01 - svieru 2008-11-16 15:29:59.2 - NTFSx86 NETWORK
Uruchomiony z: c:\documents and settings\svieru\Pulpit\ComboFix.exe
[COLOR=RED][B]UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !![/B][/COLOR]
.
((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\system32\drivers\ntndis.exe
c:\windows\system32\drivers\ntndis.sys
.
((((((((((((((((((((((((( Pliki utworzone od 2008-10-16 do 2008-11-16 )))))))))))))))))))))))))))))))
.
2008-11-16 14:58 . 2008-11-16 14:58 1,402 --a------ c:\windows\system32\tmp.reg
2008-11-16 14:55 . 2007-09-05 23:22 289,144 --a------ c:\windows\system32\VCCLSID.exe
2008-11-16 14:55 . 2006-04-27 16:49 288,417 --a------ c:\windows\system32\SrchSTS.exe
2008-11-16 14:55 . 2008-10-01 14:51 97,280 --a------ c:\windows\system32\VACFix.exe
2008-11-16 14:55 . 2008-10-10 07:58 92,672 --a------ c:\windows\system32\o4Patch.exe
2008-11-16 14:55 . 2008-05-18 20:40 92,672 --a------ c:\windows\system32\IEDFix.exe
2008-11-16 14:55 . 2008-10-10 07:58 92,672 --a------ c:\windows\system32\IEDFix.C.exe
2008-11-16 14:55 . 2008-08-18 11:19 92,160 --a------ c:\windows\system32\404Fix.exe
2008-11-16 14:55 . 2003-06-05 20:13 61,440 --a------ c:\windows\system32\Process.exe
2008-11-16 14:55 . 2004-07-31 17:50 58,368 --a------ c:\windows\system32\dumphive.exe
2008-11-16 14:55 . 2007-10-03 23:36 36,352 --a------ c:\windows\system32\WS2Fix.exe
2008-11-16 14:42 . 2008-11-16 15:12 <DIR> d-------- c:\windows\ERUNT
2008-11-16 14:42 . 2008-11-16 14:42 <DIR> d-------- C:\ERDNT
2008-11-16 14:42 . 2008-11-16 14:43 <DIR> d-------- C:\!FixIEDef
2008-11-16 14:39 . 2008-11-16 15:25 <DIR> d-------- C:\SDFix
2008-11-16 14:30 . 2008-11-16 14:30 <DIR> d-------- c:\program files\InCode Solutions
2008-11-14 15:40 . 2008-11-16 15:21 32,768 --a------ c:\windows\system32\drivers\ati7mqxx.sys
2008-11-14 14:39 . 2008-11-14 15:27 <DIR> d-------- c:\windows\system32\CatRoot_bak
2008-11-13 18:32 . 2005-02-25 04:36 22,752 --a------ c:\windows\system32\spupdsvc.exe
2008-11-13 17:08 . 2008-11-14 14:33 <DIR> d--h----- c:\windows\$hf_mig$
2008-11-13 16:46 . 2008-11-13 16:48 <DIR> d-------- c:\documents and settings\svieru\Dane aplikacji\Skype
2008-11-12 21:45 . 2004-03-22 15:17 24,816 --a------ c:\windows\system32\mdimon.dll
2008-11-12 21:45 . 2008-11-12 21:45 421 --a------ c:\windows\ODBC.INI
2008-11-12 20:32 . 2008-11-12 20:35 <DIR> d-------- c:\windows\SHELLNEW
2008-11-12 19:55 . 2008-11-12 19:55 <DIR> d-------- c:\program files\Skype
2008-11-12 19:55 . 2008-11-12 19:55 <DIR> d-------- c:\program files\Common Files\Skype
2008-11-12 19:54 . 2008-11-12 19:55 <DIR> d-------- c:\documents and settings\All Users\Dane aplikacji\Skype
2008-11-12 19:52 . 2008-11-12 19:52 <DIR> d-------- c:\program files\SubEdit-Player
2008-11-12 16:05 . 2008-11-12 20:45 <DIR> d-------- c:\program files\Common Files\Adobe
2008-11-12 15:50 . 2008-11-12 15:50 <DIR> d-------- c:\windows\Cache
2008-11-12 15:32 . 2008-11-13 17:05 <DIR> d-------- c:\documents and settings\svieru\Dane aplikacji\DeepBurner
2008-11-12 15:29 . 2008-11-12 15:29 <DIR> d-------- c:\program files\DeepBurner
2008-11-12 14:59 . 2008-11-14 14:23 <DIR> d-------- c:\program files\Odkurzacz
2008-11-12 14:40 . 2008-11-12 14:46 <DIR> d-------- c:\program files\Winamp
2008-11-12 14:40 . 2008-11-12 14:46 <DIR> d-------- c:\documents and settings\svieru\Dane aplikacji\Winamp
2008-11-12 14:30 . 2008-11-12 20:06 <DIR> d-------- c:\program files\Spybot - Search & Destroy
2008-11-12 14:30 . 2008-11-12 20:22 <DIR> d-------- c:\documents and settings\All Users\Dane aplikacji\Spybot - Search & Destroy
2008-11-12 14:15 . 2008-11-12 20:31 <DIR> d-------- c:\program files\totalcmd
2008-11-12 14:15 . 2008-11-13 18:31 1,103 --a------ c:\windows\wincmd.ini
2008-11-12 14:15 . 2008-08-08 07:04 545 --a------ c:\windows\UC.PIF
2008-11-12 14:15 . 2008-08-08 07:04 545 --a------ c:\windows\RAR.PIF
2008-11-12 14:15 . 2008-08-08 07:04 545 --a------ c:\windows\PKZIP.PIF
2008-11-12 14:15 . 2008-08-08 07:04 545 --a------ c:\windows\PKUNZIP.PIF
2008-11-12 14:15 . 2008-08-08 07:04 545 --a------ c:\windows\NOCLOSE.PIF
2008-11-12 14:15 . 2008-08-08 07:04 545 --a------ c:\windows\LHA.PIF
2008-11-12 14:15 . 2008-08-08 07:04 545 --a------ c:\windows\ARJ.PIF
2008-11-12 14:08 . 2008-11-12 14:08 <DIR> d-------- c:\program files\Gadu-Gadu
2008-11-12 14:08 . 2008-11-12 14:15 <DIR> d-------- c:\documents and settings\svieru\Gadu-Gadu
2008-11-12 14:02 . 2008-11-12 14:02 25 --a------ c:\windows\mixerdef.ini
2008-11-12 13:59 . 2004-08-03 23:07 171,776 --a------ c:\windows\system32\drivers\kmixer.sys
2008-11-12 13:59 . 2004-08-03 22:39 142,464 --a------ c:\windows\system32\drivers\aec.sys
2008-11-12 13:59 . 2004-08-03 23:15 82,944 --a------ c:\windows\system32\drivers\wdmaud.sys
2008-11-12 13:59 . 2004-08-03 23:15 60,800 --a------ c:\windows\system32\drivers\sysaudio.sys
2008-11-12 13:59 . 2001-08-17 22:00 54,272 --a------ c:\windows\system32\drivers\swmidi.sys
2008-11-12 13:59 . 2004-08-03 23:07 52,864 --a------ c:\windows\system32\drivers\DMusic.sys
2008-11-12 13:59 . 2004-08-03 23:07 6,400 --a------ c:\windows\system32\drivers\splitter.sys
2008-11-12 13:59 . 2004-08-03 23:07 2,944 --a------ c:\windows\system32\drivers\drmkaud.sys
2008-11-12 13:58 . 2001-12-07 15:24 1,224,704 -ra------ c:\windows\Mixer.exe
2008-11-12 13:58 . 2001-10-22 17:01 131,072 -ra------ c:\windows\cmuninst.exe
2008-11-12 13:58 . 2001-10-22 17:02 122,880 -ra------ c:\windows\cmuninst.dat
2008-11-12 13:58 . 2004-08-03 23:08 10,624 --a------ c:\windows\system32\drivers\gameenum.sys
2008-11-12 13:58 . 2004-08-03 22:58 7,552 --a------ c:\windows\system32\drivers\MSKSSRV.sys
2008-11-12 13:58 . 2004-08-03 22:58 5,376 --a------ c:\windows\system32\drivers\MSPCLOCK.sys
2008-11-12 13:58 . 2004-08-03 22:58 4,992 --a------ c:\windows\system32\drivers\MSPQM.sys
2008-11-12 13:35 . 2008-11-12 13:35 <DIR> d-------- c:\program files\C-Media
2008-11-12 13:35 . 2001-12-07 15:24 1,216,512 -ra------ c:\windows\Mixer.dat
2008-11-12 13:35 . 2001-01-11 14:02 794,624 -ra------ c:\windows\system32\Audio3D.dll
2008-11-12 13:35 . 2001-01-11 14:02 794,624 -ra------ c:\windows\system32\a3d.dll
2008-11-12 13:35 . 2000-10-20 17:28 765,952 -ra------ c:\windows\system\crlds3d.dll
2008-11-12 13:35 . 2001-10-30 19:01 280,782 -ra------ c:\windows\system32\drivers\cmaudio.sys
2008-11-12 13:35 . 2001-12-07 20:32 192,512 --------- c:\windows\W2KSetup.exe
2008-11-12 13:35 . 2004-08-03 23:15 145,792 --a------ c:\windows\system32\drivers\portcls.sys
2008-11-12 13:35 . 2004-08-04 00:44 130,048 --a------ c:\windows\system32\ksproxy.ax
2008-11-12 13:35 . 2004-08-03 23:08 60,288 --a------ c:\windows\system32\drivers\drmk.sys
2008-11-12 13:35 . 2001-10-16 16:00 28,672 -ra------ c:\windows\system32\cmnprop.dll
2008-11-12 13:35 . 2004-08-04 00:44 4,096 --a------ c:\windows\system32\ksuser.dll
2008-11-12 13:34 . 2008-11-12 13:57 26 --a------ c:\windows\CMCDPLAY.INI
2008-11-12 13:32 . 2008-11-12 13:32 <DIR> d-------- c:\windows\system32\LogFiles
2008-11-12 13:29 . 2008-11-12 13:29 0 --a------ c:\windows\nsreg.dat
2008-11-12 13:26 . 2008-11-16 15:41 923,680 --ahs---- c:\windows\system32\drivers\fidbox.dat
2008-11-12 13:26 . 2008-11-14 16:08 18,044 --ahs---- c:\windows\system32\drivers\fidbox.idx
2008-11-12 13:24 . 2008-11-12 13:24 <DIR> d-------- c:\program files\ZoneAlarmSB
2008-11-12 13:22 . 2008-11-12 13:22 <DIR> d-------- c:\documents and settings\All Users\Dane aplikacji\MailFrontier
2008-11-12 13:22 . 2008-07-09 09:05 75,248 --a------ c:\windows\zllsputility.exe
2008-11-12 13:22 . 2004-04-27 04:40 11,264 --a------ c:\windows\system32\SpOrder.dll
2008-11-12 13:22 . 2008-11-12 13:24 4,212 ---h----- c:\windows\system32\zllictbl.dat
2008-11-12 13:21 . 2008-11-12 13:21 <DIR> d-------- c:\program files\Zone Labs
2008-11-12 13:20 . 2008-11-16 15:38 <DIR> d-------- c:\windows\Internet Logs
2008-11-12 13:18 . 2004-08-03 23:08 26,496 --a--c--- c:\windows\system32\dllcache\usbstor.sys
.
(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-16 14:21 650,620 ----a-w c:\windows\Internet Logs\tvDebug.zip
2008-11-16 14:21 1,426,944 ----a-w c:\windows\Internet Logs\xDB1.tmp
2008-11-16 14:18 2,191,872 ----a-w c:\windows\Internet Logs\xDB4.tmp
2008-11-16 14:18 1,427,456 ----a-w c:\windows\Internet Logs\xDB5.tmp
2008-11-14 16:50 207,872 ----a-w c:\windows\system32\drivers\ndis.sys
2008-11-07 13:02 --------- d-----w c:\program files\microsoft frontpage
2008-11-07 12:58 --------- d-----w c:\program files\Usługi online
.
((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Gadu-Gadu"="c:\program files\Gadu-Gadu\gg.exe" [2005-03-31 798720]
"Odkurzacz-MCD"="c:\program files\Odkurzacz\odk_mcd.exe" [2008-08-16 272384]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ZoneAlarm Client"="c:\program files\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 22528]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2004-08-04 00:55 1674752 c:\program files\Messenger\msmsgs.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
-ra------ 2008-09-29 17:57 21755688 c:\program files\Skype\Phone\Skype.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C-Media Mixer]
-ra------ 2001-12-07 15:24 1224704 c:\windows\Mixer.exe
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\ZoneLabs\\vsmon.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
*Newly Created Service* - TCPSR
.
- - - - USUNIĘTO PUSTE WPISY - - - -
SafeBoot-ati7mqxx.sys
MSConfigStartUp-reader - c:\windows\System32\reader.exe
.
------- Skan uzupełniający -------
.
FireFox -: Profile - c:\documents and settings\svieru\Dane aplikacji\Mozilla\Firefox\Profiles\ro14au3h.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - google.pl
FF -: plugin - c:\program files\Adobe\Acrobat 6.0 CE\Reader\browser\nppdf32.dll
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-16 15:39:47
Windows 5.1.2600 Dodatek Service Pack 2 NTFS
detected NTDLL code modification:
ZwOpenFile
skanowanie ukrytych procesów ...
skanowanie ukrytych wpisów autostartu ...
skanowanie ukrytych plików ...
skanowanie pomyślnie ukończone
ukryte pliki: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ICF]
"ImagePath"="c:\windows\system32\svchost.exe:ext.exe"
.
------------------------ Pozostałe uruchomione procesy ------------------------
.
c:\windows\system32\wscntfy.exe
c:\windows\system32\taskmgr.exe
c:\windows\system32\ZoneLabs\vsmon.exe
c:\program files\Internet Explorer\IEXPLORE.EXE
.
**************************************************************************
.
Czas ukończenia: 2008-11-16 15:45:05 - komputer został uruchomiony ponownie
ComboFix-quarantined-files.txt 2008-11-16 14:44:39
ComboFix2.txt 2008-11-14 16:38:48
Przed: 7 290 998 784 bajtów wolnych
Po: 6,963,212,288 bajtów wolnych
178 --- E O F --- 2008-11-13 17:32:44
smitfraudfix
- Kod: Zaznacz wszystko
SmitFraudFix v2.375
Scan done at 14:55:54,41, 2008-11-16
Run from C:\Documents and Settings\svieru\Pulpit\SmitfraudFix
OS: Microsoft Windows XP [Wersja 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Killing process
»»»»»»»»»»»»»»»»»»»»»»»» hosts
127.0.0.1 ZieF.pl
»»»»»»»»»»»»»»»»»»»»»»»» VACFix
VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix
S!Ri's WS2Fix: LSP not Found.
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix
GenericRenosFix by S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files
»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» RK
»»»»»»»»»»»»»»»»»»»»»»»» DNS
Description: Karta Realtek RTL8029(AS) PCI Ethernet Adapter - Sterownik miniport Harmonogramu pakietów
DNS Server Search Order: 192.0.2.2
DNS Server Search Order: 87.239.216.6
HKLM\SYSTEM\CCS\Services\Tcpip\..\{9FDDB202-BAD6-47E2-B831-7404B23F4ED6}: DhcpNameServer=192.0.2.2 87.239.216.6
HKLM\SYSTEM\CS1\Services\Tcpip\..\{9FDDB202-BAD6-47E2-B831-7404B23F4ED6}: DhcpNameServer=192.0.2.2 87.239.216.6
HKLM\SYSTEM\CS2\Services\Tcpip\..\{9FDDB202-BAD6-47E2-B831-7404B23F4ED6}: DhcpNameServer=192.0.2.2 87.239.216.6
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.0.2.2 87.239.216.6
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.0.2.2 87.239.216.6
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.0.2.2 87.239.216.6
»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning
Registry Cleaning done.
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» End
sdfix
- Kod: Zaznacz wszystko
[b]SDFix: Version 1.240 [/b]
Run by svieru on 2008-11-16 at 15:15
Microsoft Windows XP [Wersja 5.1.2600]
Running From: C:\SDFix
[b]Checking Services [/b]:
Restoring Default Security Values
Restoring Default Hosts File
Rebooting
[b]Checking Files [/b]:
Trojan Files Found:
C:\WINDOWS\system32\drivers\tcpsr.sys - Deleted
Removing Temp Files
[b]ADS Check [/b]:
[b]Final Check [/b]:
catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-16 15:23:38
Windows 5.1.2600 Dodatek Service Pack 2 NTFS
detected NTDLL code modification:
ZwOpenFile
scanning hidden processes ...
scanning hidden services & system hive ...
scanning hidden registry entries ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0
[b]Remaining Services [/b]:
Authorized Application Key Export:
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\WINDOWS\\system32\\ZoneLabs\\vsmon.exe"="C:\\WINDOWS\\system32\\ZoneLabs\\vsmon.exe:*:Enabled:TrueVector Service"
"C:\\Program Files\\Skype\\Phone\\Skype.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"
"\\??\\C:\\WINDOWS\\system32\\winlogon.exe"="\\??\\C:\\WINDOWS\\system32\\winlogon.exe:*:enabled:@shell32.dll,-1"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
[b]Remaining Files [/b]:
File Backups: - C:\SDFix\backups\backups.zip
[b]Files with Hidden Attributes [/b]:
Wed 22 Oct 2008 949,072 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\advcheck.dll"
Mon 15 Sep 2008 1,562,960 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SDHelper.dll"
Mon 7 Jul 2008 1,429,840 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SDUpdate.exe"
Mon 7 Jul 2008 4,891,472 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe"
Tue 16 Sep 2008 1,833,296 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe"
Wed 22 Oct 2008 962,896 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\Tools.dll"
[b]Finished![/b]
Spybot znajduje zawsze WIN.32.Delf.uc w 2 plikach, usuwa, ale potem nadal znajduje.
FixIEdef
- Kod: Zaznacz wszystko
********************************************************************************
* *
* FixIEDef Log *
* Version 1.7.20.6773 *
* *
********************************************************************************
Created at 14:45:01 on Sunday, November 16, 2008
Time Zone :
Logged On User : svieru
Operating System : Microsoft Windows XP Professional Dodatek Service Pack 2
OS Version : 5.1.2600
System Langauge : Polish
Keyboard Layout : Polish
Processor : X86 Procesor Intel Pentium III
System Drive : C:\
Windows Directory : C:\WINDOWS
System Directory : C:\WINDOWS\system32
System Drive Type : Fixed
System Drive Status : READY
System Drive Label :
System Drive Size : 10.84 GB
System Drive Free : 6.99 GB
Total Physical Memory: 255 MB
Free Physical Memory : 122 MB
Total Page File : 255 MB
Free Page File : 462 MB
Total Virtual Memory : 2048 MB
Free Virtual Memory : 1973 MB
Boot State : Fail-safe with network boot
--------------------------------------------------------------------------------
!!! userinit.exe is Clean !!!
--------------------------------------------------------------------------------
!!! Files that have been deleted !!!
C:\WINDOWS\system32\2.tmp
C:\WINDOWS\system32\4.tmp
C:\WINDOWS\system32\2E.tmp
C:\WINDOWS\system32\30.tmp
--------------------------------------------------------------------------------
!!! Directories that have been removed !!!
No malicious directories to be removed
--------------------------------------------------------------------------------
!!! Registry entries that have been removed !!!
No malicious Registry entries found
================================================================================
All Done :)
ShadowPuterDude
Safe Surfing!!!
Jeszcze skanowałem RemoveIT Pro v4 - SE, coś znalazł ale nie wszystko zdołał usunąć a nie ma tam opcji raportu. W ogóle jak go zainstalowałem i od razu chciałem uruchomić to wyskoczył komunikat File corrupted, please run virus-check... . Od razu zainstalowałem jeszcze raz i się uruchomił, teraz po paru dniach znów ten sam komunikat, więc coś go zaraża.
Wirus (ljjbqoll.dll)
przez djarta 18 Lis 2008, 10:06
Ja Cię nie rozumiem... Znowu to jest:
SALITY Ciebie 'kocha'.
HJT -
>>Hijack>>scan(Do a system scan only)>>zaznacz>>Fix checked.
ComboFix -
Wklej do Notatnika:
>>Plik>>Zapisz jako... >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
-->
Ma się rozpocząć usuwanie. (i powstanie log).Daj ten log, który powstanie w trakcie usuwania.
Jeśli pójdzie dobrze, to: Po restarcie usuń ręcznie folder C:\Qoobox.
"Smitek" okazał się 'najsłabszym ogniwem', niczego nie usunął.
SDFix - usunął jednego 'syfka'.
No i FixIEDef - usunął tylko 'tempy', nic więcej...
Wg mnie - będzie trzeba użyć 'silniejszego' narzędzia niż format.
Np. ---> Active@ Kill Disk 5.0 Build 5.599, ale nie wiem czy sobie z nim poradzisz, jest bardzooo trudny w obsłudze.
EDIT:
Teraz dopiero zauważyłem --> C:\WINDOWS\zip.exe Podejrzany: Type_Win32 1
Oznacza jedno, ComboFix też jest zarażony!
=========================
K.
detected NTDLL code modification:
ZwOpenFile
SALITY Ciebie 'kocha'.
HJT -
O23 - Service: ICF - Unknown owner - C:\WINDOWS\system32\svchost.exe:ext.exe
>>Hijack>>scan(Do a system scan only)>>zaznacz>>Fix checked.
ComboFix -
Wklej do Notatnika:
- Kod: Zaznacz wszystko
File::
c:\windows\Internet Logs\tvDebug.zip
c:\windows\Internet Logs\xDB1.tmp
c:\windows\Internet Logs\xDB4.tmp
c:\windows\Internet Logs\xDB5.tmp
c:\windows\system32\drivers\ati7mqxx.sys
C:\WINDOWS\system32\drivers\tcpsr.sys
Driver::
tcpsr
>>Plik>>Zapisz jako... >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
-->
Ma się rozpocząć usuwanie. (i powstanie log).Daj ten log, który powstanie w trakcie usuwania.
Jeśli pójdzie dobrze, to: Po restarcie usuń ręcznie folder C:\Qoobox.
"Smitek" okazał się 'najsłabszym ogniwem', niczego nie usunął.
SDFix - usunął jednego 'syfka'.
No i FixIEDef - usunął tylko 'tempy', nic więcej...
Wg mnie - będzie trzeba użyć 'silniejszego' narzędzia niż format.
Np. ---> Active@ Kill Disk 5.0 Build 5.599, ale nie wiem czy sobie z nim poradzisz, jest bardzooo trudny w obsłudze.
EDIT:
Teraz dopiero zauważyłem --> C:\WINDOWS\zip.exe Podejrzany: Type_Win32 1
Oznacza jedno, ComboFix też jest zarażony!
=========================
K.
Pozdrawiam djarta.
- djarta
- ~user
- Posty: 684
- Dołączenie: 31 Lip 2008, 10:49
- Pochwały: 55
-
49 posty(ów) • Strona 2 z 3 • 1, 2, 3
Kto jest na forum
Użytkownicy przeglądający to forum: Brak zarejestrowanych użytkowników oraz 5 gości