Jak usunac avasta?

[slavinio]

Czesc, wirusy uszkodzily mi avasta i nie moge go odinstalowac. Komputer przeskanowalem "DrWeb cureit" ktory usunal wirusy. Avast probowalem usunac poprzez START i WYSZUKAJ ale niestety wyskakuje BLAD USUWANIA PLIKU LUB FOLDERU - Odmowa dostepu, spr czy dysk nie jest zapelniony lub chroniony zapisem...Czy ktos wie jak mam go usunac?

Dodano Dzisiaj, 11:53:
Log z combofixa wyglada tak:

Kod: Zaznacz wszystko

[code]ComboFix 08-10-30.12 - slav 2008-10-31 11:44:33.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1250.1.1045.18.180 [GMT 1:00]
Uruchomiony z: C:\Documents and Settings\slav\Pulpit\ComboFix.exe
* Utworzono nowy punkt przywracania
.

(((((((((((((((((((((((((((((((((((((((   Usunięto   )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\xih9.cmd
D:\Autorun.inf
D:\xih9.cmd

.
(((((((((((((((((((((((((   Pliki utworzone od 2008-09-28 do 2008-10-31  )))))))))))))))))))))))))))))))
.

2008-10-30 22:26 . 2008-10-30 22:26   <DIR>   d--h-----   C:\BJPrinter
2008-10-30 22:25 . 2004-06-15 07:00   116,736   --a------   C:\WINDOWS\system32\CNMLM61.DLL
2008-10-30 22:25 . 2004-06-15 07:00   7,680   --a------   C:\WINDOWS\system32\CNMVS61.DLL
2008-10-30 22:15 . 2004-08-03 23:01   25,856   --a------   C:\WINDOWS\system32\drivers\usbprint.sys
2008-10-30 22:15 . 2004-08-03 23:01   25,856   --a--c---   C:\WINDOWS\system32\dllcache\usbprint.sys
2008-10-29 00:12 . 2008-10-29 00:27   <DIR>   d--------   C:\Documents and Settings\slav\DoctorWeb
2008-10-28 22:45 . 2008-10-31 08:21   <DIR>   d--------   C:\!FixIEDef
2008-10-02 14:50 . 2008-10-02 14:50   330   --a------   C:\WINDOWS\GEOCALC.INI
2008-10-02 14:48 . 2008-10-02 14:59   1,006   --a------   C:\WINDOWS\netdet.ini
2008-10-02 14:47 . 2008-10-02 14:47   <DIR>   d--------   C:\WINDOWS\system32\Adobe
2008-10-02 14:47 . 2001-10-26 22:16   16,384   --a------   C:\WINDOWS\system32\FileOps.exe
2008-09-30 16:06 . 2008-09-30 16:06   <DIR>   d--------   C:\Program Files\ffdshow
2008-09-30 16:06 . 2008-06-08 22:58   60,273   --a------   C:\WINDOWS\system32\pthreadGC2.dll
2008-09-30 16:06 . 2008-06-12 19:36   7,680   --a------   C:\WINDOWS\system32\ff_vfw.dll
2008-09-30 16:06 . 2008-06-12 19:37   6,144   --a------   C:\WINDOWS\system32\ff_acm.acm
2008-09-30 16:06 . 2007-07-10 17:10   547   --a------   C:\WINDOWS\system32\ff_vfw.dll.manifest
2008-09-28 15:07 . 2008-09-28 15:07   <DIR>   d--------   C:\Documents and Settings\slav\Dane aplikacji\Media Player Classic
2008-09-28 15:05 . 2008-09-28 15:05   <DIR>   d--------   C:\Program Files\Media Player Classic
2008-09-28 15:05 . 2004-09-23 17:57   6,676,480   --a------   C:\WINDOWS\system32\QuickTime.qts
2008-09-28 15:05 . 2004-09-23 17:57   747,008   --a------   C:\WINDOWS\system32\Indeo4.qtx
2008-09-28 15:05 . 2002-12-20 11:40   675,328   --a------   C:\WINDOWS\system32\ir50_32.qtx
2008-09-28 15:05 . 2004-09-23 17:57   430,592   --a------   C:\WINDOWS\system32\QuickTimeVR.qtx
2008-09-28 15:05 . 2004-10-27 12:01   360,504   --a------   C:\WINDOWS\system32\QTPlugin.ocx
2008-09-28 15:05 . 2004-09-23 17:57   323,072   --a------   C:\WINDOWS\system32\QuickTime.cpl
2008-09-28 15:05 . 2004-01-12 16:57   86,016   --a------   C:\WINDOWS\system32\QuickTime.ax
2008-09-28 15:05 . 2004-09-23 17:57   70,144   --a------   C:\WINDOWS\system32\QuickTimeCheck.ocx
2008-09-22 06:27 . 2008-09-22 06:57   <DIR>   d--------   C:\Documents and Settings\slav\Dane aplikacji\uTorrent
2008-09-22 05:00 . 2007-11-22 15:00   483,328   --a------   C:\WINDOWS\system32\actskn45.ocx
2008-09-10 10:11 . 2008-09-10 10:11   <DIR>   d--------   C:\Documents and Settings\slav\Dane aplikacji\Canon
2008-09-10 10:08 . 2008-09-10 10:08   <DIR>   d--------   C:\Program Files\Canon
2008-09-10 10:05 . 2008-09-10 10:05   <DIR>   d--------   C:\Program Files\ArcSoft
2008-09-10 10:05 . 2008-09-10 10:05   <DIR>   d--h-----   C:\CanoScan
2008-09-10 10:05 . 2005-06-23 21:17   352,256   --a------   C:\WINDOWS\system32\CNQL1213.DLL
2008-09-10 10:05 . 1995-08-01 03:44   212,480   --a------   C:\WINDOWS\PCDLIB32.DLL
2008-09-10 10:05 . 2005-02-28 12:20   57,344   --a------   C:\WINDOWS\system32\CNQU110.DLL
2008-09-10 02:02 . 2008-09-10 02:02   <DIR>   d--------   C:\WINDOWS\system32\LogFiles

.
((((((((((((((((((((((((((((((((((((((((   Sekcja Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-28 21:56   ---------   d-----w   C:\Program Files\Spybot - Search & Destroy
2008-10-13 12:15   ---------   d-----w   C:\Documents and Settings\slav\Dane aplikacji\Skype
2008-10-13 12:07   ---------   d-----w   C:\Documents and Settings\slav\Dane aplikacji\skypePM
2008-10-02 13:47   ---------   d--h--w   C:\Program Files\InstallShield Installation Information
2008-10-02 13:47   ---------   d-----w   C:\Program Files\Common Files\Adobe
2008-10-02 13:45   ---------   d-----w   C:\Program Files\Common Files\InstallShield
2008-10-02 13:08   249,856   ----a-w   C:\WINDOWS\system32\pdfmona.dll
2008-09-30 02:53   ---------   d-----w   C:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy
2008-09-28 14:04   ---------   d-----w   C:\Program Files\QuickTime
2008-09-27 13:28   ---------   d-----w   C:\Program Files\Google
2008-09-15 15:40   1,846,272   ----a-w   C:\WINDOWS\system32\win32k.sys
2008-08-28 10:04   333,056   ----a-w   C:\WINDOWS\system32\drivers\srv.sys
2008-08-26 08:27   826,368   ----a-w   C:\WINDOWS\system32\wininet.dll
2008-08-14 13:46   2,137,600   ----a-w   C:\WINDOWS\system32\ntoskrnl.exe
2008-08-14 13:46   2,017,280   ----a-w   C:\WINDOWS\system32\ntkrnlpa.exe
2008-07-18 20:10   94,920   ----a-w   C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10   53,448   ----a-w   C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10   45,768   ----a-w   C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10   36,552   ----a-w   C:\WINDOWS\system32\wups.dll
2008-07-18 20:09   563,912   ----a-w   C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09   325,832   ----a-w   C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09   205,000   ----a-w   C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09   1,811,656   ----a-w   C:\WINDOWS\system32\wuaueng.dll
2008-07-07 20:33   253,952   ----a-w   C:\WINDOWS\system32\es.dll
2007-11-29 23:41   32   ----a-w   C:\Documents and Settings\All Users\Dane aplikacji\ezsid.dat
.

(((((((((((((((((((((((((((((((((((((   Wpisy startowe rejestru   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"hpWirelessAssistant"="C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2007-01-10 472776]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-07-20 7581696]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-07-20 86016]
"QlbCtrl"="C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2006-11-06 159744]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-03 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.MJPG"= Pvmjpg21.dll
"VIDC.PIM1"= pclepim1.dll
"VIDC.I420"= vdrcodec.dll
"msacm.divxa32"= DivXa32.acm
"msacm.avis"= ff_acm.acm

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"D:\\Zainstalowane\\Emule\\emule.exe"=
"C:\\Program Files\\Skype\\Phone\\Skype.exe"=

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 78416]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 20560]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{19fa9dec-9f6a-11dd-8bb4-001636f74712}]
\Shell\AutoRun\command - F:\2fiji.com
\Shell\explore\Command - F:\2fiji.com
\Shell\open\Command - F:\2fiji.com

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{19fa9ded-9f6a-11dd-8bb4-001636f74712}]
\Shell\AutoRun\command - G:\2fiji.com
\Shell\explore\Command - G:\2fiji.com
\Shell\open\Command - G:\2fiji.com

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{44fd92a6-510e-11dd-8b0c-001636f74712}]
\Shell\AutoRun\command - F:\nncu6kk.com
\Shell\explore\Command - F:\nncu6kk.com
\Shell\open\Command - F:\nncu6kk.com

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{55acd432-3cc7-11dd-8ae8-001636f74712}]
\Shell\auto\command - F:\Knight.exe open
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Knight.exe open
\Shell\explore\command - F:\Knight.exe open
\Shell\find\command - F:\Knight.exe open
\Shell\install\command - F:\Knight.exe open
\Shell\open\command - F:\Knight.exe open

*Newly Created Service* - PROCEXP90
.
- - - - USUNIĘTO PUSTE WPISY - - - -

HKCU-Run-LightScribe Control Panel - C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe


.
------- Skan uzupełniający -------
.
FireFox -: Profile - C:\Documents and Settings\slav\Dane aplikacji\Mozilla\Firefox\Profiles\e771qg0o.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://google.pl/
FF -: plugin - C:\Program Files\Java\jre1.5.0_02\bin\NPJava11.dll
FF -: plugin - C:\Program Files\Java\jre1.5.0_02\bin\NPJava12.dll
FF -: plugin - C:\Program Files\Java\jre1.5.0_02\bin\NPJava13.dll
FF -: plugin - C:\Program Files\Java\jre1.5.0_02\bin\NPJava14.dll
FF -: plugin - C:\Program Files\Java\jre1.5.0_02\bin\NPJava32.dll
FF -: plugin - C:\Program Files\Java\jre1.5.0_02\bin\NPJPI150_02.dll
FF -: plugin - C:\Program Files\Java\jre1.5.0_02\bin\NPOJI610.dll
FF -: plugin - D:\Zainstalowane\Adobe7.0.5\Reader\browser\nppdf32.dll
FF -: plugin - D:\Zainstalowane\Real Alternative\browser\plugins\nppl3260.dll
FF -: plugin - D:\Zainstalowane\Real Alternative\browser\plugins\nprpjplug.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-31 11:45:33
Windows 5.1.2600 Dodatek Service Pack 2 NTFS

skanowanie ukrytych procesów ...

skanowanie ukrytych wpisów autostartu ...

skanowanie ukrytych plików ...

skanowanie pomyślnie ukończone
ukryte pliki: 0

**************************************************************************
.
Czas ukończenia: 2008-10-31 11:46:26
ComboFix-quarantined-files.txt  2008-10-31 10:46:23

Przed: 3 731 312 640 bajtów wolnych
Po: 3,781,087,232 bajtów wolnych

WindowsXP-KB310994-SP2-Pro-BootDisk-PLK.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptOut

167   --- E O F ---   2008-10-26 20:05:18[/code]

Prosze o expertyze , ja jestem zielony

[apg2312]

(...) Avast probowalem usunac poprzez START i WYSZUKAJ (...)

A nie lepiej byłoby skorzystać z "Dodaj/Usuń programy" w Panelu Sterowania ?

Zawsze możesz zresztą użyć narzędzia do odinstalowania Avasta
Avast Uninstall Utility
Instrukcja na stronie jest po polsku, więc chyba dasz radę

[Magik]

slavinio edytuj swoj post i wstaw log w tagi 'code' Nie rob burdelu

przeskanuj tym pendrive i pozostale partycje
http://www.programosy.pl/program,flash-desinfector.html


wklej do notatnika

Kod: Zaznacz wszystko

Windows Registry Editor Version 5.00

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{19fa9dec-9f6a-11dd-8bb4-001636f74712}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{19fa9ded-9f6a-11dd-8bb4-001636f74712}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{44fd92a6-510e-11dd-8b0c-001636f74712}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{55acd432-3cc7-11dd-8ae8-001636f74712}]


zapisz jako fix.reg i odpal

wirusy uszkodzily mi avasta

nie wymagaj za duzo, to tylko Avast buhahahahha


przeskanuj kompa
http://www.kaspersky.com/virusscanner
i wklej raport

[slavinio]

Avast usuniety z safety mode windows. Dzieki za rade.

Sorry za burdel, jestem tu nowy i calkiem zielony.

Kod: Zaznacz wszystko

Windows Registry Editor Version 5.00

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{19fa9dec-9f6a-11dd-8bb4-001636f74712}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{19fa9ded-9f6a-11dd-8bb4-001636f74712}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{44fd92a6-510e-11dd-8b0c-001636f74712}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{55acd432-3cc7-11dd-8ae8-001636f74712}]

Wkleilem i zapisalem jako fix.reg ale jak to odpalic? Skad?

[Magik]

fix.reg ale jak to odpalic? Skad?

kliknij 2x na tym pliku i go uruchomisz//dodaj informacje do rejestru i tyle

[slavinio]

No nie, oczywiscie ze tak probowalem ale wyskakuje komunikat:

Kod: Zaznacz wszystko

Nie mozna zaimportowac C:\Document and settings\slav\Pulpit\fix.reg .Okreslony plik nie jest skryptem rejestru. Mozna importowac tylko binarne pliki rejestru z wewnatrz Edytora rejestru.

[Magik]

to inaczej

wklej do notatnika

Kod: Zaznacz wszystko

REGISTRY::
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{19fa9dec-9f6a-11dd-8bb4-001636f74712}]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{19fa9ded-9f6a-11dd-8bb4-001636f74712}]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{44fd92a6-510e-11dd-8b0c-001636f74712}]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{55acd432-3cc7-11dd-8ae8-001636f74712}]

Plik-> Zapisz jako...-> CFScript.txt
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

[slavinio]

Log z ComboFixa wyglada tak:

Kod: Zaznacz wszystko

ComboFix 08-10-30.12 - slav 2008-10-31 14:06:38.2 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1250.1.1045.18.57 [GMT 1:00]
Uruchomiony z: C:\Documents and Settings\slav\Pulpit\ComboFix.exe
Użyto następujących komend :: C:\Documents and Settings\slav\Pulpit\CFScript.txt
* Utworzono nowy punkt przywracania
.

(((((((((((((((((((((((((   Pliki utworzone od 2008-09-28 do 2008-10-31  )))))))))))))))))))))))))))))))
.

2008-10-31 12:42 . 2008-10-31 12:43   <DIR>   d--------   C:\Documents and Settings\Administrator
2008-10-30 22:26 . 2008-10-30 22:26   <DIR>   d--h-----   C:\BJPrinter
2008-10-30 22:25 . 2004-06-15 07:00   116,736   --a------   C:\WINDOWS\system32\CNMLM61.DLL
2008-10-30 22:25 . 2004-06-15 07:00   7,680   --a------   C:\WINDOWS\system32\CNMVS61.DLL
2008-10-30 22:15 . 2004-08-03 23:01   25,856   --a------   C:\WINDOWS\system32\drivers\usbprint.sys
2008-10-30 22:15 . 2004-08-03 23:01   25,856   --a--c---   C:\WINDOWS\system32\dllcache\usbprint.sys
2008-10-29 00:12 . 2008-10-29 00:27   <DIR>   d--------   C:\Documents and Settings\slav\DoctorWeb
2008-10-28 22:45 . 2008-10-31 08:21   <DIR>   d--------   C:\!FixIEDef
2008-10-02 14:50 . 2008-10-02 14:50   330   --a------   C:\WINDOWS\GEOCALC.INI
2008-10-02 14:48 . 2008-10-02 14:59   1,006   --a------   C:\WINDOWS\netdet.ini
2008-10-02 14:47 . 2008-10-02 14:47   <DIR>   d--------   C:\WINDOWS\system32\Adobe
2008-10-02 14:47 . 2001-10-26 22:16   16,384   --a------   C:\WINDOWS\system32\FileOps.exe
2008-09-30 16:06 . 2008-09-30 16:06   <DIR>   d--------   C:\Program Files\ffdshow
2008-09-30 16:06 . 2008-06-08 22:58   60,273   --a------   C:\WINDOWS\system32\pthreadGC2.dll
2008-09-30 16:06 . 2008-06-12 19:36   7,680   --a------   C:\WINDOWS\system32\ff_vfw.dll
2008-09-30 16:06 . 2008-06-12 19:37   6,144   --a------   C:\WINDOWS\system32\ff_acm.acm
2008-09-30 16:06 . 2007-07-10 17:10   547   --a------   C:\WINDOWS\system32\ff_vfw.dll.manifest
2008-09-28 15:07 . 2008-09-28 15:07   <DIR>   d--------   C:\Documents and Settings\slav\Dane aplikacji\Media Player Classic
2008-09-28 15:05 . 2008-09-28 15:05   <DIR>   d--------   C:\Program Files\Media Player Classic
2008-09-28 15:05 . 2004-09-23 17:57   6,676,480   --a------   C:\WINDOWS\system32\QuickTime.qts
2008-09-28 15:05 . 2004-09-23 17:57   747,008   --a------   C:\WINDOWS\system32\Indeo4.qtx
2008-09-28 15:05 . 2002-12-20 11:40   675,328   --a------   C:\WINDOWS\system32\ir50_32.qtx
2008-09-28 15:05 . 2004-09-23 17:57   430,592   --a------   C:\WINDOWS\system32\QuickTimeVR.qtx
2008-09-28 15:05 . 2004-10-27 12:01   360,504   --a------   C:\WINDOWS\system32\QTPlugin.ocx
2008-09-28 15:05 . 2004-09-23 17:57   323,072   --a------   C:\WINDOWS\system32\QuickTime.cpl
2008-09-28 15:05 . 2004-01-12 16:57   86,016   --a------   C:\WINDOWS\system32\QuickTime.ax
2008-09-28 15:05 . 2004-09-23 17:57   70,144   --a------   C:\WINDOWS\system32\QuickTimeCheck.ocx
2008-09-22 06:27 . 2008-09-22 06:57   <DIR>   d--------   C:\Documents and Settings\slav\Dane aplikacji\uTorrent
2008-09-22 05:00 . 2007-11-22 15:00   483,328   --a------   C:\WINDOWS\system32\actskn45.ocx
2008-09-10 10:11 . 2008-09-10 10:11   <DIR>   d--------   C:\Documents and Settings\slav\Dane aplikacji\Canon
2008-09-10 10:08 . 2008-09-10 10:08   <DIR>   d--------   C:\Program Files\Canon
2008-09-10 10:05 . 2008-09-10 10:05   <DIR>   d--------   C:\Program Files\ArcSoft
2008-09-10 10:05 . 2008-09-10 10:05   <DIR>   d--h-----   C:\CanoScan
2008-09-10 10:05 . 2005-06-23 21:17   352,256   --a------   C:\WINDOWS\system32\CNQL1213.DLL
2008-09-10 10:05 . 1995-08-01 03:44   212,480   --a------   C:\WINDOWS\PCDLIB32.DLL
2008-09-10 10:05 . 2005-02-28 12:20   57,344   --a------   C:\WINDOWS\system32\CNQU110.DLL
2008-09-10 02:02 . 2008-09-10 02:02   <DIR>   d--------   C:\WINDOWS\system32\LogFiles

.
((((((((((((((((((((((((((((((((((((((((   Sekcja Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-31 11:45   ---------   d-----w   C:\Program Files\Alwil Software
2008-10-28 21:56   ---------   d-----w   C:\Program Files\Spybot - Search & Destroy
2008-10-13 12:15   ---------   d-----w   C:\Documents and Settings\slav\Dane aplikacji\Skype
2008-10-13 12:07   ---------   d-----w   C:\Documents and Settings\slav\Dane aplikacji\skypePM
2008-10-02 13:47   ---------   d--h--w   C:\Program Files\InstallShield Installation Information
2008-10-02 13:47   ---------   d-----w   C:\Program Files\Common Files\Adobe
2008-10-02 13:45   ---------   d-----w   C:\Program Files\Common Files\InstallShield
2008-10-02 13:08   249,856   ----a-w   C:\WINDOWS\system32\pdfmona.dll
2008-09-30 02:53   ---------   d-----w   C:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy
2008-09-28 14:04   ---------   d-----w   C:\Program Files\QuickTime
2008-09-27 13:28   ---------   d-----w   C:\Program Files\Google
2008-09-15 15:40   1,846,272   ----a-w   C:\WINDOWS\system32\win32k.sys
2008-08-28 10:04   333,056   ----a-w   C:\WINDOWS\system32\drivers\srv.sys
2008-08-26 08:27   826,368   ----a-w   C:\WINDOWS\system32\wininet.dll
2008-08-14 13:46   2,137,600   ----a-w   C:\WINDOWS\system32\ntoskrnl.exe
2008-08-14 13:46   2,017,280   ----a-w   C:\WINDOWS\system32\ntkrnlpa.exe
2008-07-18 20:10   94,920   ----a-w   C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10   53,448   ----a-w   C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10   45,768   ----a-w   C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10   36,552   ----a-w   C:\WINDOWS\system32\wups.dll
2008-07-18 20:09   563,912   ----a-w   C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09   325,832   ----a-w   C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09   205,000   ----a-w   C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09   1,811,656   ----a-w   C:\WINDOWS\system32\wuaueng.dll
2008-07-07 20:33   253,952   ----a-w   C:\WINDOWS\system32\es.dll
2007-11-29 23:41   32   ----a-w   C:\Documents and Settings\All Users\Dane aplikacji\ezsid.dat
.

(((((((((((((((((((((((((((((   snapshot@2008-10-31_11.46.07,71   )))))))))))))))))))))))))))))))))))))))))
.
- 2008-07-19 14:43:08   1,163,960   ----a-w   C:\WINDOWS\system32\aswBoot.exe
+ 2008-07-19 15:43:08   1,163,960   ----a-w   C:\WINDOWS\system32\aswBoot.exe
- 2008-07-19 14:30:53   94,392   ----a-w   C:\WINDOWS\system32\AvastSS.scr
+ 2008-07-19 15:30:53   94,392   ----a-w   C:\WINDOWS\system32\AvastSS.scr
+ 2008-10-31 11:48:43   262,144   ----a-w   C:\WINDOWS\system32\config\systemprofile\NtUser.dat
- 2008-07-19 14:32:15   26,944   ----a-w   C:\WINDOWS\system32\drivers\aavmker4.sys
+ 2008-07-19 15:32:15   26,944   ----a-w   C:\WINDOWS\system32\drivers\aavmker4.sys
- 2008-07-19 14:37:42   20,560   ----a-w   C:\WINDOWS\system32\drivers\aswFsBlk.sys
+ 2008-07-19 15:37:42   20,560   ----a-w   C:\WINDOWS\system32\drivers\aswFsBlk.sys
- 2008-01-17 15:34:01   93,264   ----a-w   C:\WINDOWS\system32\drivers\aswmon.sys
+ 2008-01-17 17:34:01   93,264   ----a-w   C:\WINDOWS\system32\drivers\aswmon.sys
- 2008-07-19 14:37:21   94,416   ----a-w   C:\WINDOWS\system32\drivers\aswmon2.sys
+ 2008-07-19 15:37:21   94,416   ----a-w   C:\WINDOWS\system32\drivers\aswmon2.sys
- 2008-07-19 14:33:42   23,152   ----a-w   C:\WINDOWS\system32\drivers\aswRdr.sys
+ 2008-07-19 15:33:42   23,152   ----a-w   C:\WINDOWS\system32\drivers\aswRdr.sys
- 2008-07-19 14:35:18   78,416   ----a-w   C:\WINDOWS\system32\drivers\aswSP.sys
+ 2008-07-19 15:35:18   78,416   ----a-w   C:\WINDOWS\system32\drivers\aswSP.sys
- 2008-07-19 14:32:36   42,912   ----a-w   C:\WINDOWS\system32\drivers\aswTdi.sys
+ 2008-07-19 15:32:36   42,912   ----a-w   C:\WINDOWS\system32\drivers\aswTdi.sys
- 2008-10-31 07:31:49   147,264   ----a-w   C:\WINDOWS\system32\perfc009.dat
+ 2008-10-31 11:59:19   148,008   ----a-w   C:\WINDOWS\system32\perfc009.dat
- 2008-10-31 07:31:49   156,764   ----a-w   C:\WINDOWS\system32\perfc015.dat
+ 2008-10-31 11:59:19   157,508   ----a-w   C:\WINDOWS\system32\perfc015.dat
- 2008-10-31 07:31:49   484,348   ----a-w   C:\WINDOWS\system32\perfh009.dat
+ 2008-10-31 11:59:19   485,668   ----a-w   C:\WINDOWS\system32\perfh009.dat
- 2008-10-31 07:31:49   550,776   ----a-w   C:\WINDOWS\system32\perfh015.dat
+ 2008-10-31 11:59:19   552,254   ----a-w   C:\WINDOWS\system32\perfh015.dat
+ 2008-10-31 11:55:00   16,384   ----atw   C:\WINDOWS\Temp\Perflib_Perfdata_6bc.dat
.
(((((((((((((((((((((((((((((((((((((   Wpisy startowe rejestru   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"hpWirelessAssistant"="C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2007-01-10 472776]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-07-20 7581696]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-07-20 86016]
"QlbCtrl"="C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2006-11-06 159744]
"avast!"="D:\ZAINST~1\Avast\ashDisp.exe" [2008-07-19 78008]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-03 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.MJPG"= Pvmjpg21.dll
"VIDC.PIM1"= pclepim1.dll
"VIDC.I420"= vdrcodec.dll
"msacm.divxa32"= DivXa32.acm
"msacm.avis"= ff_acm.acm

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"D:\\Zainstalowane\\Emule\\emule.exe"=
"C:\\Program Files\\Skype\\Phone\\Skype.exe"=

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 78416]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 20560]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{19fa9dec-9f6a-11dd-8bb4-001636f74712}]
\Shell\AutoRun\command - F:\2fiji.com
\Shell\explore\Command - F:\2fiji.com
\Shell\open\Command - F:\2fiji.com

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{19fa9ded-9f6a-11dd-8bb4-001636f74712}]
\Shell\AutoRun\command - G:\2fiji.com
\Shell\explore\Command - G:\2fiji.com
\Shell\open\Command - G:\2fiji.com

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{44fd92a6-510e-11dd-8b0c-001636f74712}]
\Shell\AutoRun\command - F:\nncu6kk.com
\Shell\explore\Command - F:\nncu6kk.com
\Shell\open\Command - F:\nncu6kk.com

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{55acd432-3cc7-11dd-8ae8-001636f74712}]
\Shell\auto\command - F:\Knight.exe open
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Knight.exe open
\Shell\explore\command - F:\Knight.exe open
\Shell\find\command - F:\Knight.exe open
\Shell\install\command - F:\Knight.exe open
\Shell\open\command - F:\Knight.exe open

*Newly Created Service* - AAVMKER4
*Newly Created Service* - ASWMON2
*Newly Created Service* - ASWRDR
*Newly Created Service* - ASWUPDSV
*Newly Created Service* - AVAST!_ANTIVIRUS
*Newly Created Service* - AVAST!_MAIL_SCANNER
*Newly Created Service* - AVAST!_WEB_SCANNER
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-31 14:07:44
Windows 5.1.2600 Dodatek Service Pack 2 NTFS

skanowanie ukrytych procesów ...

skanowanie ukrytych wpisów autostartu ...

skanowanie ukrytych plików ...

skanowanie pomyślnie ukończone
ukryte pliki: 0

**************************************************************************
.
Czas ukończenia: 2008-10-31 14:08:38
ComboFix-quarantined-files.txt  2008-10-31 13:08:34
ComboFix2.txt  2008-10-31 10:46:27

Przed: 3 782 021 120 bajtów wolnych
Po: 3,771,547,648 bajtów wolnych

178   --- E O F ---   2008-10-26 20:05:18


Co o tym sadzisz?

[Magik]

to jest wrecz niemozliwe

czy ten log wkleiles nowy po tych zmianach, ktore wprowadzilem do skryptu i dostales na PW??

ostatnie podejscie, bo to jakies cuda, niewidy

Kod: Zaznacz wszystko

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{19fa9dec-9f6a-11dd-8bb4-001636f74712}]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{19fa9ded-9f6a-11dd-8bb4-001636f74712}]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{44fd92a6-510e-11dd-8b0c-001636f74712}]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{55acd432-3cc7-11dd-8ae8-001636f74712}]

zapis zjako fix.reg i odpal go

[slavinio]

Log ostatni byl zgodny ze wskazowkami jakie podales.
Teraz wkleilem

Kod: Zaznacz wszystko

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{19fa9dec-9f6a-11dd-8bb4-001636f74712}]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{19fa9ded-9f6a-11dd-8bb4-001636f74712}]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{44fd92a6-510e-11dd-8b0c-001636f74712}]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{55acd432-3cc7-11dd-8ae8-001636f74712}]

i odpalilem. Poszlo bez problemu. Czy to znaczy ze wszystko juz jest OK?

[Magik]

Czy to znaczy ze wszystko juz jest OK?

tak

1. Ściągnij OTMoveIt i go włacz i odpal go z opcji CleanUp
2.sciagnij ATF_Cleaner
zaznacz
Windows Temp
All users Temp
Temporary internet files
Recycle Bin
i wcisnij EMPTY SELECTED
3.Wyłącz przywracanie systemu ( właściwości mój komputer-zakładka przywracanie - wyłącz przywracanie na wszystkich dyskach). Po chwili włącz je powrotem

[slavinio]

Dobra, zrobie jak mi piszesz. Tymczasem wielkie dzieki bo musze sie rozlaczyc. Dam znac jaki efekt. Super ze sa jeszcze tacy jak Ty ktorzy bezinteresownie pomagaja! Pozdrawiam serdecznie.