Usuniecie wirusa.

[Hunter_Meteora]

Witam wszystkich!

Mam pewnien problem, od paru dni wirus siedzi na moim komputerze i nie moge sie zalogowac na konto administratora tylko jestem na koncie zwyklego uzytkownika.

Czy ktos pomoglby mi usunac tego wirusa czy trojana?

Prosze o bardzo szybka odpowiedz.

[djarta]

Ściągnij -----> ComboFixa,przeskanuj daj log.

=========================================
K.

[Hunter_Meteora]

Nie moge uruchomic tej aplikacji niestety.

[djarta]

Jaki błąd wyskakuję?



=======================
K.

[Hunter_Meteora]

Sciagnalem plik instalacyjny klikam na niego dwa razy i nic nie chce sie uruchomic.

[djarta]

1) Usuń tego ComboFixa i pobierz ponownie.
2) Po pobraniu zapisz go tak: Combo-Fix.exe, z kreseczką pomiędzy.
3) Wyłącz wszystkie programy.
4) Zmień wstecz datę o parę miesięcy/lat.
5) Rób wszystko w trybie awaryjnym.


==================
K.

[Hunter_Meteora]

Kod: Zaznacz wszystko

ComboFix 08-09-12.06 - Hunter_Meteora 2008-09-13 12:22:14.1 - NTFSx86 MINIMAL
Microsoft Windows XP Professional  5.1.2600.2.1250.1.1045.18.122 [GMT 2:00]
Uruchomiony z: C:\Documents and Settings\HOST\Pulpit\Combo-Fix.exe

[color=red][b]UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !![/b][/color]
.

(((((((((((((((((((((((((((((((((((((((   Usunięto   )))))))))))))))))))))))))))))))))))))))))))))))))
.

[color=red]C:\WINDOWS\system32\dllcache\beep.sys[/color]
[color=red]C:\WINDOWS\system32\drivers\beep.sys[/color]
C:\WINDOWS\buritos.exe
C:\WINDOWS\hosts
C:\WINDOWS\iexplorer.exe
C:\WINDOWS\karina.dat
C:\WINDOWS\system32\~.exe
C:\WINDOWS\system32\braviax.exe
C:\WINDOWS\system32\buritos.exe
C:\WINDOWS\system32\dllcache\figaro.sys
c:\windows\system32\Drivers\Windg02.sys
C:\WINDOWS\system32\drivers\Winfi82.sys
C:\WINDOWS\system32\karina.dat
C:\WINDOWS\system32\cenzura-spam.ico
C:\WINDOWS\system32\cenzura-spam.ico
C:\WINDOWS\system32\cenzura-spam.ico
C:\WINDOWS\system32\tdssadw.dll
C:\WINDOWS\system32\tdssinit.dll
C:\WINDOWS\system32\tdssl.dll
C:\WINDOWS\system32\tdsslog.dll
C:\WINDOWS\system32\tdssmain.dll
C:\WINDOWS\system32\tdsspopup.dll
C:\WINDOWS\system32\tdsspopup1.url
C:\WINDOWS\system32\tdsspopup2.url
C:\WINDOWS\system32\tdsspopup3.url
C:\WINDOWS\system32\tdssservers.dat
C:\WINDOWS\system32\WinCtrl32.dll
C:\WINDOWS\system32\winupdate.exe
C:\WINDOWS\system32\wpx81.cpx
C:\WINDOWS\system32\wscmp.dll
C:\WINDOWS\wiaservb.log

.
(((((((((((((((((((((((((((((((((((((((   Sterowniki/Usługi   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_WINDG02
-------\Service_Windg02
-------\Service_Winfi82


(((((((((((((((((((((((((   Pliki utworzone od 2008-08-13 do 2008-09-13  )))))))))))))))))))))))))))))))
.

2008-09-12 14:24 . 2008-09-12 14:24   44,032   --a------   C:\WINDOWS\system32\drivers\93.exe
2008-09-12 13:09 . 2008-09-12 13:09   44,032   --a------   C:\WINDOWS\system32\drivers\531.exe
2008-09-12 09:16 . 2008-09-12 09:16   44,032   --a------   C:\WINDOWS\system32\drivers\31.exe
2008-09-12 09:12 . 2008-09-12 09:12   88,878   --a------   C:\WINDOWS\system32\casino3.ico
2008-09-12 09:12 . 2008-09-12 09:12   88,878   --a------   C:\WINDOWS\system32\casino2.ico
2008-09-12 09:12 . 2008-09-12 09:12   88,878   --a------   C:\WINDOWS\system32\casino1.ico
2008-09-11 08:13 . 2008-09-11 08:13   44,544   --a------   C:\WINDOWS\system32\drivers\562.exe
2008-09-10 09:10 . 2008-09-10 09:10   44,544   --a------   C:\WINDOWS\system32\drivers\[u]0[/u].exe
2008-09-10 08:53 . 2008-09-13 11:50   <DIR>   d--------   C:\WINDOWS\system32\config\systemprofile\Dane aplikacji\MEGAUPLOADTOOLBAR
2008-09-10 08:53 . 2008-09-10 08:53   44,544   --a------   C:\WINDOWS\system32\drivers\343.exe
2008-09-10 08:49 . 2008-09-10 08:49   <DIR>   d--------   C:\Documents and Settings\All Users\Dane aplikacji\hkjmdgxg
2008-09-10 08:49 . 2008-09-10 08:49   44,544   --a------   C:\WINDOWS\system32\drivers\843.exe
2008-09-01 02:42 . 2008-09-01 02:42   <DIR>   d--hs----   C:\found.004

.
((((((((((((((((((((((((((((((((((((((((   Sekcja Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-13 07:22   ---------   d-----w   C:\Documents and Settings\HOST\Dane aplikacji\Skype
2008-09-12 07:16   ---------   d-----w   C:\Documents and Settings\Hunter_Meteora\Dane aplikacji\Skype
2008-09-10 14:22   ---------   d-----w   C:\Documents and Settings\HOST\Dane aplikacji\MEGAUPLOADTOOLBAR
2008-08-20 13:41   ---------   d-----w   C:\Program Files\WapSter
2008-08-04 22:20   ---------   d-----w   C:\Program Files\C-Media
2008-08-04 22:17   ---------   d-----w   C:\Program Files\Lavalys
2008-08-02 16:16   ---------   d-----w   C:\Program Files\Free Music Zilla
2008-08-02 15:45   ---------   d-----w   C:\Program Files\Adobe Media Player
2008-08-02 15:44   ---------   d-----w   C:\Program Files\Common Files\Adobe AIR
2008-08-02 15:32   3,012   ----a-w   C:\drmHeader.bin
2008-08-02 15:19   ---------   d-----w   C:\Program Files\Java
2008-08-02 15:08   ---------   d-----w   C:\Documents and Settings\Hunter_Meteora\Dane aplikacji\FMZilla
2008-05-16 12:33   25,272   ----a-w   C:\Documents and Settings\Hunter_Meteora\Dane aplikacji\GDIPFONTCACHEV1.DAT
2007-05-06 22:34   36   ----a-w   C:\Documents and Settings\Hunter_Meteora\klextlock.dat
.

------- Sigcheck -------

2004-08-04 02:44  14336  ba98327e90022dbd6ee76490e0622e2e   C:\WINDOWS\system32\svchost.exe

2006-08-10 15:50  578560  6a93565be9b8422eb7538c66ac732d76   C:\WINDOWS\system32\user32.dll

2004-08-04 02:44  82944  ab82237486b727dd7dab36a76f38a3a2   C:\WINDOWS\system32\ws2_32.dll

2006-06-23 13:27  667136  9df7509e4ca980a1c68cf737febb6017   C:\WINDOWS\ie7\wininet.dll
2007-08-13 19:54  818688  a4a0fc92358f39538a6494c42ef99fe9   C:\WINDOWS\system32\wininet.dll
2007-08-13 19:54  818688  a4a0fc92358f39538a6494c42ef99fe9   C:\WINDOWS\system32\DllCache\wininet.dll

2006-08-10 15:48  360576  b2220c618b42a2212a59d91ebd6fc4b4   C:\WINDOWS\system32\drivers\tcpip.sys

2004-08-04 02:44  504832  0344407089b08548d4feba62bb0f32d0   C:\WINDOWS\system32\winlogon.exe

2004-08-04 01:14  182912  558635d3af1c7546d26067d5d9b6959e   C:\WINDOWS\system32\drivers\ndis.sys

2004-08-04 01:00  29056  4448006b6bc60e6c027932cfc38d6855   C:\WINDOWS\system32\drivers\ip6fw.sys

2006-08-10 16:51  2058240  35d11fdc381536ab95e3005489131f44   C:\WINDOWS\system32\ntkrnlpa.exe

2006-08-10 15:50  2180864  dba3e4215279c8012b37d2135b531258   C:\WINDOWS\system32\ntoskrnl.exe

2004-08-04 02:44  1033728  379098a96e6c165b659de7e4328010ea   C:\WINDOWS\explorer.exe

2004-08-04 02:44  108544  3da8d964d2cc12ef8e8c342471a37917   C:\WINDOWS\system32\services.exe

2004-08-04 02:44  13312  f485fefc8cc4fd29243d800be5d275d1   C:\WINDOWS\system32\lsass.exe

2004-08-04 02:44  15360  cbfa30492d70ce3938d8a7783d0c0436   C:\WINDOWS\system32\ctfmon.exe

2006-08-10 15:49  57856  ad3d9d191aea7b5445fe1d82ffbb4788   C:\WINDOWS\system32\spoolsv.exe

2004-08-04 02:44  112128  ebf4ac22004504c422fc8b5ee5b6ffd1   C:\WINDOWS\system32\wuauclt.exe

2004-08-04 02:44  25088  bd768099b4c44aa631728cb74eb54396   C:\WINDOWS\system32\userinit.exe
.
(((((((((((((((((((((((((((((((((((((   Wpisy startowe rejestru   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" [2004-08-04 208952]
"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]
"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-07-19 78008]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-22 7700480]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-10-22 86016]
"NeroFilterCheck"="C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe" [2007-03-09 153136]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"nwiz"="nwiz.exe" [2006-10-22 C:\WINDOWS\system32\nwiz.exe]
"C-Media Mixer"="Mixer.exe" [2001-12-07 C:\WINDOWS\Mixer.exe]

C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\
Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.YV12"= yv12vfw.dll
"msacm.ac3filter"= ac3filter.acm

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\WINDOWS\\~temp.exe"=
"D:\\p2p\\StrongDC++\\StrongDC.exe"=
"C:\\Program Files\\eMule\\emule.exe"=
"D:\\p2p\\BearShare\\BearShare.exe"=
"C:\\Program Files\\WapSter\\AQQ\\AQQ.exe"=
"C:\\Program Files\\VoipDiscount.com\\VoipDiscount\\VoipDiscount.exe"=
"C:\\Program Files\\Gadu-Gadu\\gg.exe"=
"D:\\p2p\\BitComet\\BitComet.exe"=
"C:\\Program Files\\FreeCall.com\\FreeCall\\FreeCall.exe"=
"D:\\p2p\\Kazaa Lite Rewolucja\\kazaalite.kpp"=
"C:\\Program Files\\Shareaza\\Shareaza.exe"=
"D:\\Gry\\Psycho\\client.exe"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=
"C:\\Program Files\\Java\\jre1.6.0_01\\bin\\javaw.exe"=
"C:\\Program Files\\Soulseek\\slsk.exe"=
"C:\\Program Files\\Free Music Zilla\\FMZilla.exe"=
"C:\\Program Files\\WapSter\\WapSter AQQ\\AQQ.exe"=
"C:\\Program Files\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"22928:TCP"= 22928:TCP:BitComet 22928 TCP
"22928:UDP"= 22928:UDP:BitComet 22928 UDP

R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys [2006-10-17 9216]
S1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 78416]
S2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 20560]
S3 k600bus;Sony Ericsson 600i driver (WDM);C:\WINDOWS\system32\DRIVERS\k600bus.sys [2005-03-04 52384]
S3 k600mdfl;Sony Ericsson 600i USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\k600mdfl.sys [2005-03-04 6096]
S3 k600mdm;Sony Ericsson 600i USB WMC Modem Drivers;C:\WINDOWS\system32\DRIVERS\k600mdm.sys [2005-03-04 87456]
S3 k600mgmt;Sony Ericsson 600i USB WMC Device Management Drivers;C:\WINDOWS\system32\DRIVERS\k600mgmt.sys [2005-03-04 79248]
S3 k600obex;Sony Ericsson 600i USB WMC OBEX Interface Drivers;C:\WINDOWS\system32\DRIVERS\k600obex.sys [2005-03-04 77072]
S3 KS-959;Kingsun KS-959 USB Infrared Adapter;C:\WINDOWS\system32\DRIVERS\KS-959.sys [2005-10-09 19034]
S3 usbscan;Sterownik skanera USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 15104]
S3 USBSTOR;Sterownik magazynu masowego USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 26496]
.
- - - - USUNIĘTO PUSTE WPISY - - - -

HKLM-Run-buritos - buritos.exe


.
------- Skan uzupełniający -------
.
R0 -: HKCU-Main,Start Page = hxxp://google.bearshare.com/pl/
O8 -: Download all links using BitComet - D:\p2p\BitComet\BitComet.exe/AddAllLink.htm
O8 -: Download all videos using BitComet - D:\p2p\BitComet\BitComet.exe/AddVideo.htm
O8 -: Download link using &BitComet - D:\p2p\BitComet\BitComet.exe/AddLink.htm
O8 -: E&ksport do programu Microsoft Excel - C:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-13 12:31:46
Windows 5.1.2600 Dodatek Service Pack 2 NTFS

skanowanie ukrytych procesów ...

skanowanie ukrytych wpisów autostartu ...

skanowanie ukrytych plików ...

skanowanie pomyślnie ukończone
ukryte pliki: 0

**************************************************************************

.
Czas ukończenia: 2008-09-13 12:48:02 - komputer został uruchomiony ponownie
ComboFix-quarantined-files.txt  2008-09-13 10:47:56

Przed: 637,796,352 bajt˘w wolnych
Po: 828,080,128 bajt˘w wolnych

184


Log juz mam. Ale inny problem rowniez jest, bardzo bardzo dlugo uruchamia mi sie system gdy zaladuje sie logo Windows XP, pozniej jest ten czarny ekran i bardzo dlugo on jest zamin pojawi sie ekran do zalogowania systemu.

[djarta]

Wklej do Notatnika:

Kod: Zaznacz wszystko

File::
C:\WINDOWS\system32\drivers\93.exe
C:\WINDOWS\system32\drivers\531.exe
C:\WINDOWS\system32\drivers\31.exe
C:\WINDOWS\system32\casino3.ico
C:\WINDOWS\system32\casino2.ico
C:\WINDOWS\system32\casino1.ico
C:\WINDOWS\system32\drivers\562.exe
C:\WINDOWS\system32\drivers\0.exe
C:\WINDOWS\system32\drivers\343.exe
C:\WINDOWS\system32\drivers\843.exe
C:\WINDOWS\system32\DRIVERS\videX32.sys

Folder::
C:\Documents and Settings\All Users\Dane aplikacji\hkjmdgxg
C:\found.004

Driver::
videX32

DirLook::
C:\Documents and Settings\HOST\Dane aplikacji\MEGAUPLOADTOOLBAR


>>Plik>>Zapisz jako... >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
-->
Ma się rozpocząć usuwanie. (i powstanie log).Daj ten log, który powstanie w trakcie usuwania.
Jeśli pójdzie dobrze, to: Po restarcie usuń ręcznie folder C:\Qoobox.


============================
K.

[Hunter_Meteora]

Wklej do Notatnika:

Kod: Zaznacz wszystko

File::
C:\WINDOWS\system32\drivers\93.exe
C:\WINDOWS\system32\drivers\531.exe
C:\WINDOWS\system32\drivers\31.exe
C:\WINDOWS\system32\casino3.ico
C:\WINDOWS\system32\casino2.ico
C:\WINDOWS\system32\casino1.ico
C:\WINDOWS\system32\drivers\562.exe
C:\WINDOWS\system32\drivers\0.exe
C:\WINDOWS\system32\drivers\343.exe
C:\WINDOWS\system32\drivers\843.exe
C:\WINDOWS\system32\DRIVERS\videX32.sys

Folder::
C:\Documents and Settings\All Users\Dane aplikacji\hkjmdgxg
C:\found.004

Driver::
videX32

DirLook::
C:\Documents and Settings\HOST\Dane aplikacji\MEGAUPLOADTOOLBAR


>>Plik>>Zapisz jako... >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
-->
Ma się rozpocząć usuwanie. (i powstanie log).Daj ten log, który powstanie w trakcie usuwania.
Jeśli pójdzie dobrze, to: Po restarcie usuń ręcznie folder C:\Qoobox.


============================
K.

Po wykonaniu tego system nie chce sie wlaczyc. Tylko pokazuje ekran gdzie wybiera sie tryby, czyli normalny, awaryjny itp i gdy wybiore ktorys z nich komputer sie restartuje. Poza tym wybralem ta opcje ostatnia konfiguracja systemu, tez sie komputer zrestartowal

[Okocza]

włóż płytkę windowsa - zbootuj ją. wejdź do konsoli i w niej wpisz

chkdsk x: /p

gdzie x to litera partycji systemowej.

[Hunter_Meteora]

A jak uruchomic konsole z plyty bootujacej?
Bo gdy uruchamiam ta plyte bootujaca to wyswietla mi sie instalator systemu.

[Okocza]

no właśnie, tam masz opcję uruchomienia konsoli - klawisz "R"

[Hunter_Meteora]

Niestety nie moge uruchomic wiersza polecen.

Robie nastepujaco:

1. bootuje CD
2. pokazuje sie ekran, ze mam nacisnac dowolny klawisz, klikam wiec "R"
3. pokazuje sie niebieski ekran instalacyjny windowsa XP

To wszystko i niestety nie moge znalesc wiersza polecen.

[Okocza]

pokazuje sie ekran, ze mam nacisnac dowolny klawisz, klikam wiec "R"

wciskasz co kolwiek żeby ZBOOTOWAĆ płytę...

pokazuje sie niebieski ekran instalacyjny windowsa XP

i tak ma być, potem, kiedy będziesz miał wybór opcji będzie też konsola odzyskiwania

[Hunter_Meteora]

i tak ma być, potem, kiedy będziesz miał wybór opcji będzie też konsola odzyskiwania

no dobra wszystko niby fajnie pieknie, ale pokazuje sie ekran gdzie mam wybrac na jakiej partycyji mam zainstalowac windows... a chyba o to jednak nie chodzi?

[Okocza]

wcześniej masz opcję, zanim potwierdzisz warunki umowy licencyjnej

[Hunter_Meteora]

rozumiem, zanim wybiore partycje tak?

[Okocza]

tak, masz opcję instalacji i konsoli

[Hunter_Meteora]

Tylko niestety nie ma opcji wybrania konsoli. Ok, zostawmy ten sposob z CD. Moze jest jakis inny sposob wejscia na konsole? Na przyklad cos w stylu dyskietek startowych, albo bootowalnej CD z ktorej mozna uruchomic konsole.

[Okocza]

bootowalnej CD z ktorej mozna uruchomic konsole.

płyta windowsa xp


http://www.centrumxp.pl/Img/Art/WindowsXP/Artykuly/InstalacjaSystemu/01/01.jpg

2 opcja