Zamulenie kompa - gaobot

**Posty:** 250 · przez **tenzin** 26 Lut 2009, 17:41

witam,
Dzisiaj na drugim komputerze pojawił się problem. Komputer jest totalnie zamulony.
Przy próbie uruchomienia czegokolwiek trzeba kilka minut a i tak nie ma gwarancji.
W trakcie uruchomienia wwdc przed przejściem do panelu pojawiła się nast. informacja (nie mam pewności czy nie jest to komunikat antywirusa):

Your system seems to be infected by the GAOBOT worm, 'WINUPDATES.EXE' running.

Po uruchomniu wwdc - wszystkie przyciski mają właściwy kolor (bole biosu- żółte).
Nacisnąłem ctrl+alt+delete i okazało się, że winUpdates.exe zajmował 99% zasobów procesora.
Co robić w tej sytuacji?. Na dobrą sprawę nie można na nim nawet uruchomić internetu, więc na razie nie dodałem logów.
Czy jeśli podłącze pen-driva to infekcja może przenieść się przez niego na inny komputer?
pozdrawiam,

edit:
udało się mi się wyłączyć opcję winupdates.exe i uruchomić internet na zainfekowanym kompie. Komp w miarę działa - wstawiam logi.

log combofix:

Kod: Zaznacz wszystko: ComboFix 09-02-25.02 - Admin 2009-02-26 17:15:47.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.511.342 [GMT 1:00] Uruchomiony z: c:\documents and settings\Admin\Pulpit\ComboFix.exe AV: PC Tools AntiVirus 5.0.1.1 *On-access scanning enabled* (Updated) * Utworzono nowy punkt przywracania UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !! . ((((((((((((((((((((((((((((((((((((((( Usunięto ))))))))))))))))))))))))))))))))))))))))))))))))) . c:\windows\lsass.exe . ((((((((((((((((((((((((( Pliki utworzone od 2009-01-26 do 2009-02-26 ))))))))))))))))))))))))))))))) . 2009-02-25 19:01 . 2009-02-25 19:01 <DIR> d-------- c:\documents and settings\Admin\Dane aplikacji\Tibia 2009-02-24 18:34 . 2009-02-24 19:48 <DIR> d-------- c:\documents and settings\Admin\Dane aplikacji\vlc 2009-02-24 08:50 . 2009-02-26 17:01 45 --a------ C:\TEST.XML 2009-02-24 08:33 . 2009-02-24 08:33 <DIR> d-------- c:\program files\TGTSoft 2009-02-24 08:31 . 2009-02-25 19:37 <DIR> d-------- c:\documents and settings\All Users\Dane aplikacji\Spybot - Search & Destroy 2009-02-24 08:21 . 2009-02-24 08:21 <DIR> d-------- c:\windows\SxsCaPendDel 2009-02-24 08:03 . 2009-02-24 08:03 0 --a------ c:\windows\nsreg.dat 2009-02-24 07:57 . 2009-02-24 07:58 <DIR> d-------- c:\program files\Google 2009-02-24 07:55 . 2009-02-24 07:58 <DIR> d-------- c:\windows\system32\Adobe 2009-02-24 07:50 . 2009-02-24 07:49 410,976 --a------ c:\windows\system32\deploytk.dll 2009-02-24 07:50 . 2009-02-24 07:49 73,728 --a------ c:\windows\system32\javacpl.cpl 2009-02-24 07:49 . 2009-02-24 07:49 <DIR> d-------- c:\program files\Java 2009-02-24 07:48 . 2009-02-24 07:48 1,700,352 --a------ c:\windows\system32\gdiplus.dll 2009-02-24 07:46 . 2009-02-24 07:46 <DIR> d-------- C:\Programy 2009-02-24 07:44 . 2009-02-24 07:44 <DIR> d-------- c:\documents and settings\Admin\Dane aplikacji\Gadu-Gadu 2009-02-24 07:41 . 2009-02-24 08:57 <DIR> d-------- c:\documents and settings\Admin\Gadu-Gadu 2009-02-24 07:38 . 2009-02-24 07:38 <DIR> d-------- c:\windows\Downloaded Installations 2009-02-24 07:37 . 2005-09-04 00:48 1,970,176 --a------ c:\windows\system32\d3dx9.dll 2009-02-24 07:37 . 2005-09-04 00:48 679,936 --a------ c:\windows\system32\D3DX81ab.dll 2009-02-24 07:34 . 2009-02-24 07:34 <DIR> d-------- c:\program files\Common Files\Stardock 2009-02-24 07:34 . 2004-04-26 13:47 163,456 --a------ c:\windows\system32\drivers\vidstub.sys 2009-02-24 07:20 . 2009-02-24 07:20 <DIR> d-------- c:\documents and settings\Admin\Dane aplikacji\PC Tools 2009-02-24 07:19 . 2007-12-06 16:51 28,568 --a------ c:\windows\system32\drivers\AVHook.sys 2009-02-24 07:19 . 2007-12-06 16:51 21,912 --a------ c:\windows\system32\drivers\AVRec.sys 2009-02-24 07:19 . 2008-02-12 11:44 21,904 --a------ c:\windows\system32\drivers\AVFilter.sys 2009-02-24 07:18 . 2009-02-24 07:19 <DIR> d-------- c:\documents and settings\All Users\Dane aplikacji\PC Tools 2009-02-23 20:25 . 2009-02-23 20:25 <DIR> d-------- c:\program files\Common Files\PC Tools 2009-02-23 20:25 . 2009-02-26 17:06 <DIR> d-a------ c:\documents and settings\All Users\Dane aplikacji\TEMP 2009-02-23 20:25 . 2006-11-24 11:19 499,712 --a------ c:\windows\system32\msvcp71.dll 2009-02-23 20:25 . 2006-11-24 11:19 348,160 --a------ c:\windows\system32\msvcr71.dll 2009-02-23 20:07 . 2009-02-23 20:07 21,419 --a------ c:\windows\system32\drivers\AegisP.sys 2009-02-23 20:06 . 2009-02-23 20:06 <DIR> d----c--- c:\windows\system32\DRVSTORE 2009-02-23 20:06 . 2009-02-23 20:06 <DIR> d-------- c:\program files\RALINK 2009-02-23 20:06 . 2009-02-23 20:06 <DIR> d--h----- c:\program files\InstallShield Installation Information 2009-02-23 20:06 . 2007-07-28 16:10 483,968 --a------ c:\windows\system32\drivers\rt61.sys 2009-02-23 20:05 . 2009-02-23 20:05 <DIR> d-------- c:\program files\Common Files\SWF Studio 2009-02-23 20:05 . 2009-02-23 20:05 <DIR> d-------- c:\documents and settings\Admin\Dane aplikacji\InstallShield 2009-02-23 20:02 . 2009-02-23 20:02 427 --a------ c:\windows\ODBC.INI 2009-02-23 20:02 . 2009-02-23 19:22 261 --a------ c:\windows\system32\$winnt$.inf 2009-02-23 20:01 . 2009-02-23 20:01 <DIR> d-------- c:\windows\ShellNew 2009-02-23 20:00 . 2009-02-23 20:00 <DIR> d-------- c:\program files\Przeglądarka migawek 2009-02-23 20:00 . 2009-02-23 20:00 <DIR> d-------- c:\documents and settings\All Users\Dane aplikacji\SBT 2009-02-23 20:00 . 2009-02-23 20:00 <DIR> d-------- c:\documents and settings\Admin\Dane aplikacji\Microsoft Web Folders . (((((((((((((((((((((((((((((((((((((((( Sekcja Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-02-23 19:05 1,386,496 ----a-w c:\windows\system32\msvbvm60.dll 2009-02-23 19:00 --------- d-----w c:\program files\microsoft frontpage 2009-02-23 18:18 558,142 ----a-w c:\windows\java\Packages\WPJDR5VB.ZIP 2009-02-23 18:18 155,995 ----a-w c:\windows\java\Packages\LR7XV1BH.ZIP 2009-02-23 18:16 --------- d-----w c:\program files\Usługi online . ((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "STYLEXP"="c:\program files\TGTSoft\StyleXP\StyleXP.exe" [2006-05-24 1372160] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "PCTAVApp"="d:\programy\PC Tools AntiVirus\PCTAV.exe" [2008-12-04 1370000] "SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-02-24 136600] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] "wextract_cleanup0"="c:\windows\system32\advpack.dll" [2004-08-04 100864] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-04 15360] c:\documents and settings\All Users\Menu Start\Programy\Autostart\ Ralink Wireless Utility.lnk - c:\program files\RALINK\Common\RaUI.exe [2009-02-23 1114112] WinUpdates.exe [2009-02-09 757342] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "d:\\Gry\\Metin 2\\metin2.bin"= R0 BootScreen;BootScreen;\SystemRoot\\SystemRoot\System32\drivers\vidstub.sys --> \SystemRoot\\SystemRoot\System32\drivers\vidstub.sys [?] --- Inne Usługi/Sterowniki w Pamięci --- *Deregistered* - mchInjDrv . - - - - USUNIĘTO PUSTE WPISY - - - - HKCU-Run-Orb - c:\program files\Winamp Remote\bin\OrbTray.exe . ------- Skan uzupełniający ------- . LSP: c:\program files\Common Files\PC Tools\Lsp\PCTLsp.dll DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab FF - ProfilePath - c:\documents and settings\Admin\Dane aplikacji\Mozilla\Firefox\Profiles\6oz96pm0.default\ . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-02-26 17:17:10 Windows 5.1.2600 Dodatek Service Pack 2 NTFS skanowanie ukrytych procesów ... skanowanie ukrytych wpisów autostartu ... skanowanie ukrytych plików ... skanowanie pomyślnie ukończone ukryte pliki: 0 ************************************************************************** . --------------------- Pliki DLL ładowane pod uruchomionymi procesami --------------------- - - - - - - - > 'lsass.exe'(748) c:\program files\Common Files\PC Tools\Lsp\PCTLsp.dll . Czas ukończenia: 2009-02-26 17:19:32 ComboFix-quarantined-files.txt 2009-02-26 16:18:49 Przed: 4 954 763 264 bajtów wolnych Po: 4,950,339,584 bajtów wolnych 118

Log Hijackthis

Kod: Zaznacz wszystko: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:20:51, on 2009-02-26 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Java\jre6\bin\jqs.exe D:\Programy\PC Tools AntiVirus\PCTAVSvc.exe C:\Program Files\Java\jre6\bin\jusched.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\System32\wbem\wmiapsrv.exe C:\WINDOWS\explorer.exe C:\Programy\Hijack This\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll O4 - HKLM\..\Run: [PCTAVApp] "D:\Programy\PC Tools AntiVirus\PCTAV.exe" /MONITORSCAN O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe" O4 - HKCU\..\Run: [STYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Program Files\RALINK\Common\RaUI.exe O4 - Global Startup: WinUpdates.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing) O23 - Service: .NET Runtime Optimization Service v2.0.50727_X86 (clr_optimization_v2.0.50727_32) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe (file missing) O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe O23 - Service: PC Tools AntiVirus Engine (PCTAVSvc) - PC Tools Research Pty Ltd - D:\Programy\PC Tools AntiVirus\PCTAVSvc.exe O23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe -- End of file - 3471 bytes

Log z Kaspersky on-line (mój komputer)

Kod: Zaznacz wszystko: czwartek, 26 luty 2009 System operacyjny: Microsoft Windows XP Professional Dodatek Service Pack 2 (build 2600) Wersja Kaspersky Online Scanner: 7.0.26.12 Data ostatniej aktualizacji bazy danych: Thursday, February 26, 2009 16:23:45 Liczba wpisów: 1848664 Ustawienia skanowania Typ bazy danych użytej do skanowania rozszerzona Skanuj archiwa tak Skanuj pocztowe bazy danych tak Obszar skanowania Mój komputer A:\ C:\ D:\ E:\ Statystyki skanowania Przeskanowanych plików 20282 Nazwa zagrożenia 1 Zainfekowanych obiektów 1 Podejrzanych obiektów 0 Czas skanowania 00:50:14 Nazwa pliku Nazwa zagrożenia Liczba zagrożeń C:\Qoobox\Quarantine\C\WINDOWS\lsass.exe.vir Zainfekowany: Trojan-GameThief.Win32.Tibia.aaw 1 Wybrany obszar został przeskanowany.

pozdrawiam,

**Posty:** 684 · przez **djarta** 26 Lut 2009, 20:37

Usuń ręcznie folder C:\Qoobox.

To wszystko.

==============
K.

**Posty:** 250 · przez **tenzin** 26 Lut 2009, 20:53

Dzięki za odpowiedź, jednak...
Po ponownym uruchomieniu komputera ponownie nastąpiło zamulenie.
CTRL+ALT+DELETE - i znów menedżer zadań wykazuje, że winupdates.exe pobiera 99% zasobów procesora.
Ponownie uruchamiam wwdc i znów w.w. fraza:
"Your system seems to be infected by the GAOBOT worm, 'WINUPDATES.EXE' running."
Uruchomiłem msconfig i winupdates.exe znajduje się w zakładce uruchamianie - czy wystarczy to wyłączyć czy stanowi to szerszy problem?
pozdrawiam,

**Posty:** 18165 · przez **wojtas** 27 Lut 2009, 14:53

skasuj":

O4 - Global Startup: WinUpdates.exe

Otworz notatnik i wklej w nim to:

File::
C:\WINDOWS\system32\WinUpdates.exe
C:\WINDOWS\WinUpdates.exe

Folder::
C:\Program Files\winupdates

>>Plik>>Zapisz jako... >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
-->

Ma się rozpocząć usuwanie. (i powstanie log).Daj ten log, który powstanie w trakcie usuwania.

**Posty:** 250 · przez **tenzin** 28 Lut 2009, 14:29

Dzięki za odpowiedź.
Wstawiam, log z combofixa...

Kod: Zaznacz wszystko: ComboFix 09-02-27.01 - Admin 2009-02-28 13:24:28.2 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.511.214 [GMT 1:00] Uruchomiony z: c:\documents and settings\Admin\Pulpit\forum_do usunięcia\ComboFix.exe Użyto następujących komend :: c:\documents and settings\Admin\Pulpit\forum_do usunięcia\CFScript.txt AV: PC Tools AntiVirus 5.0.1.1 *On-access scanning disabled* (Updated) * Utworzono nowy punkt przywracania UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !! FILE :: c:\windows\system32\WinUpdates.exe c:\windows\WinUpdates.exe . ((((((((((((((((((((((((( Pliki utworzone od 2009-01-28 do 2009-02-28 ))))))))))))))))))))))))))))))) . 2009-02-26 17:27 . 2009-02-26 17:27 <DIR> d-------- c:\windows\Sun 2009-02-24 18:34 . 2009-02-24 19:48 <DIR> d-------- c:\documents and settings\Admin\Dane aplikacji\vlc 2009-02-24 08:50 . 2009-02-28 08:39 45 --a------ C:\TEST.XML 2009-02-24 08:33 . 2009-02-24 08:33 <DIR> d-------- c:\program files\TGTSoft 2009-02-24 08:31 . 2009-02-25 19:37 <DIR> d-------- c:\documents and settings\All Users\Dane aplikacji\Spybot - Search & Destroy 2009-02-24 08:21 . 2009-02-24 08:21 <DIR> d-------- c:\windows\SxsCaPendDel 2009-02-24 08:03 . 2009-02-24 08:03 0 --a------ c:\windows\nsreg.dat 2009-02-24 07:57 . 2009-02-26 19:43 <DIR> d-------- c:\program files\Google 2009-02-24 07:55 . 2009-02-24 07:58 <DIR> d-------- c:\windows\system32\Adobe 2009-02-24 07:50 . 2009-02-24 07:49 410,976 --a------ c:\windows\system32\deploytk.dll 2009-02-24 07:50 . 2009-02-24 07:49 73,728 --a------ c:\windows\system32\javacpl.cpl 2009-02-24 07:49 . 2009-02-24 07:49 <DIR> d-------- c:\program files\Java 2009-02-24 07:48 . 2009-02-24 07:48 1,700,352 --a------ c:\windows\system32\gdiplus.dll 2009-02-24 07:46 . 2009-02-24 07:46 <DIR> d-------- C:\Programy 2009-02-24 07:44 . 2009-02-24 07:44 <DIR> d-------- c:\documents and settings\Admin\Dane aplikacji\Gadu-Gadu 2009-02-24 07:41 . 2009-02-24 08:57 <DIR> d-------- c:\documents and settings\Admin\Gadu-Gadu 2009-02-24 07:38 . 2009-02-24 07:38 <DIR> d-------- c:\windows\Downloaded Installations 2009-02-24 07:34 . 2009-02-24 07:34 <DIR> d-------- c:\program files\Common Files\Stardock 2009-02-24 07:34 . 2004-04-26 13:47 163,456 --a------ c:\windows\system32\drivers\vidstub.sys 2009-02-24 07:20 . 2009-02-24 07:20 <DIR> d-------- c:\documents and settings\Admin\Dane aplikacji\PC Tools 2009-02-24 07:19 . 2007-12-06 16:51 28,568 --a------ c:\windows\system32\drivers\AVHook.sys 2009-02-24 07:19 . 2007-12-06 16:51 21,912 --a------ c:\windows\system32\drivers\AVRec.sys 2009-02-24 07:19 . 2008-02-12 11:44 21,904 --a------ c:\windows\system32\drivers\AVFilter.sys 2009-02-24 07:18 . 2009-02-24 07:19 <DIR> d-------- c:\documents and settings\All Users\Dane aplikacji\PC Tools 2009-02-23 20:25 . 2009-02-23 20:25 <DIR> d-------- c:\program files\Common Files\PC Tools 2009-02-23 20:25 . 2009-02-28 13:22 <DIR> d-a------ c:\documents and settings\All Users\Dane aplikacji\TEMP 2009-02-23 20:25 . 2006-11-24 11:19 499,712 --a------ c:\windows\system32\msvcp71.dll 2009-02-23 20:25 . 2006-11-24 11:19 348,160 --a------ c:\windows\system32\msvcr71.dll 2009-02-23 20:07 . 2009-02-23 20:07 21,419 --a------ c:\windows\system32\drivers\AegisP.sys 2009-02-23 20:06 . 2009-02-23 20:06 <DIR> d----c--- c:\windows\system32\DRVSTORE 2009-02-23 20:06 . 2009-02-23 20:06 <DIR> d-------- c:\program files\RALINK 2009-02-23 20:06 . 2009-02-23 20:06 <DIR> d--h----- c:\program files\InstallShield Installation Information 2009-02-23 20:06 . 2007-07-28 16:10 483,968 --a------ c:\windows\system32\drivers\rt61.sys 2009-02-23 20:05 . 2009-02-23 20:05 <DIR> d-------- c:\program files\Common Files\SWF Studio 2009-02-23 20:05 . 2009-02-23 20:05 <DIR> d-------- c:\documents and settings\Admin\Dane aplikacji\InstallShield 2009-02-23 20:02 . 2009-02-23 20:02 427 --a------ c:\windows\ODBC.INI 2009-02-23 20:02 . 2009-02-23 19:22 261 --a------ c:\windows\system32\$winnt$.inf 2009-02-23 20:01 . 2009-02-23 20:01 <DIR> d-------- c:\windows\ShellNew 2009-02-23 20:00 . 2009-02-23 20:00 <DIR> d-------- c:\program files\Przeglądarka migawek 2009-02-23 20:00 . 2009-02-23 20:00 <DIR> d-------- c:\documents and settings\All Users\Dane aplikacji\SBT 2009-02-23 20:00 . 2009-02-23 20:00 <DIR> d-------- c:\documents and settings\Admin\Dane aplikacji\Microsoft Web Folders . (((((((((((((((((((((((((((((((((((((((( Sekcja Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-02-23 19:05 1,386,496 ----a-w c:\windows\system32\msvbvm60.dll 2009-02-23 19:00 --------- d-----w c:\program files\microsoft frontpage 2009-02-23 18:18 558,142 ----a-w c:\windows\java\Packages\WPJDR5VB.ZIP 2009-02-23 18:18 155,995 ----a-w c:\windows\java\Packages\LR7XV1BH.ZIP 2009-02-23 18:16 --------- d-----w c:\program files\Usługi online . ((((((((((((((((((((((((((((( SnapShot@2009-02-26_17.17.36,79 ))))))))))))))))))))))))))))))))))))))))) . + 2009-02-28 07:38:04 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_5e4.dat . ((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "STYLEXP"="c:\program files\TGTSoft\StyleXP\StyleXP.exe" [2006-05-24 1372160] "swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-02-26 39408] "Orb"="c:\program files\Winamp Remote\bin\OrbTray.exe" [BU] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "PCTAVApp"="d:\programy\PC Tools AntiVirus\PCTAV.exe" [2008-12-04 1370000] "SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-02-24 136600] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-04 15360] c:\documents and settings\All Users\Menu Start\Programy\Autostart\ Ralink Wireless Utility.lnk - c:\program files\RALINK\Common\RaUI.exe [2009-02-23 1114112] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "d:\\Gry\\Metin 2\\metin2.bin"= R0 BootScreen;BootScreen;\SystemRoot\\SystemRoot\System32\drivers\vidstub.sys --> \SystemRoot\\SystemRoot\System32\drivers\vidstub.sys [?] . . ------- Skan uzupełniający ------- . uSearch Page = hxxp://www.google.com uSearch Bar = hxxp://www.google.com/ie LSP: c:\program files\Common Files\PC Tools\Lsp\PCTLsp.dll DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab FF - ProfilePath - c:\documents and settings\Admin\Dane aplikacji\Mozilla\Firefox\Profiles\6oz96pm0.default\ . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-02-28 13:25:47 Windows 5.1.2600 Dodatek Service Pack 2 NTFS skanowanie ukrytych procesów ... skanowanie ukrytych wpisów autostartu ... skanowanie ukrytych plików ... skanowanie pomyślnie ukończone ukryte pliki: 0 ************************************************************************** . --------------------- Pliki DLL ładowane pod uruchomionymi procesami --------------------- - - - - - - - > 'lsass.exe'(744) c:\program files\Common Files\PC Tools\Lsp\PCTLsp.dll . Czas ukończenia: 2009-02-28 13:27:07 ComboFix-quarantined-files.txt 2009-02-28 12:27:05 ComboFix2.txt 2009-02-26 16:19:33 Przed: 4 907 397 120 bajtów wolnych Po: 4,903,309,312 bajtów wolnych 118

pozdrawiam,

**Posty:** 18165 · przez **wojtas** 28 Lut 2009, 15:13

1. Ściągnij OTMoveIt i go włacz i odpal go z opcji CleanUp

oraz skasuj folder C:\Qoobox
2. wykonaj optymalizację windowsa
3.sciagnij ATF_Cleaner
zaznacz
Windows Temp
All users Temp
Temporary internet files
Recycle Bin
i wcisnij EMPTY SELECTED
4.Wyłącz przywracanie systemu ( właściwości mój komputer-zakładka przywracanie - wyłącz przywracanie na wszystkich dyskach). Po chwili włącz je powrotem
5. Wykonaj skan Dr. Web CureIt
6. Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum.

i tym:

FixIEDef.