Kłopot z AMVO

przez **aroo** » 18 Maj 2008, 21:37

Witam

Mam kłopot z AMVO i nie wiem jak go usunąć. Prosze o sprawdzenie logu z Combofix, z góry dziękuje za pomoc

Oto Log:

Kod: Zaznacz wszystko: ComboFix 08-05-15.3 - User 2008-05-18 20:43:29.2 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.194 [GMT 2:00] Running from: C:\Documents and Settings\User\Pulpit\ComboFix.exe * Resident AV is active [color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b][/color] . ((((((((((((((((((((((((( Files Created from 2008-04-18 to 2008-05-18 ))))))))))))))))))))))))))))))) . 2008-05-17 14:56 . 2008-05-17 14:56 <DIR> dr------- C:\Documents and Settings\LocalService\Ulubione 2008-05-17 14:01 . 2008-05-17 14:01 <DIR> d-------- C:\Program Files\CCleaner 2008-04-30 11:19 . 2008-04-30 11:19 <DIR> d-------- C:\Documents and Settings\Administrator\Gadu-Gadu 2008-04-30 11:12 . 2008-04-30 11:12 <DIR> d--h----- C:\WINDOWS\system32\GroupPolicy 2008-04-30 11:12 . 2008-04-30 11:12 <DIR> d-------- C:\Documents and Settings\Administrator\Dane aplikacji\ATI 2008-04-30 11:11 . 2008-05-18 20:44 <DIR> d--h----- C:\Documents and Settings\Administrator\Ustawienia lokalne 2008-04-30 11:11 . 2008-04-30 11:11 <DIR> dr------- C:\Documents and Settings\Administrator\Ulubione 2008-04-30 11:11 . 2006-12-05 21:44 <DIR> d--h----- C:\Documents and Settings\Administrator\Szablony 2008-04-30 11:11 . 2006-12-05 21:39 <DIR> d-------- C:\Documents and Settings\Administrator\Pulpit 2008-04-30 11:11 . 2008-04-30 11:11 <DIR> dr------- C:\Documents and Settings\Administrator\Moje dokumenty 2008-04-30 11:11 . 2006-12-05 21:39 <DIR> dr------- C:\Documents and Settings\Administrator\Menu Start 2008-04-30 11:11 . 2008-04-30 11:11 <DIR> d-------- C:\Documents and Settings\Administrator\Dane aplikacji\BitDefender 2008-04-30 11:11 . 2008-04-30 11:20 <DIR> dr-h----- C:\Documents and Settings\Administrator\Dane aplikacji 2008-04-30 11:11 . 2008-04-30 11:23 <DIR> d-------- C:\Documents and Settings\Administrator 2008-04-30 11:11 . 2004-08-04 01:44 221,184 --a------ C:\WINDOWS\system32\wmpns.dll 2008-04-30 11:11 . 2008-05-18 20:33 1,024 --ah----- C:\Documents and Settings\Administrator\ntuser.dat.LOG 2008-04-30 10:47 . 2008-04-30 10:47 <DIR> d-------- C:\Documents and Settings\Gość\Dane aplikacji\BitDefender 2008-04-30 10:47 . 2008-04-30 10:47 <DIR> d-------- C:\Documents and Settings\Gość\Dane aplikacji\ATI 2008-04-30 10:45 . 2008-05-18 20:44 <DIR> d--h----- C:\Documents and Settings\Gość\Ustawienia lokalne 2008-04-30 10:45 . 2008-05-18 20:44 <DIR> d--h----- C:\Documents and Settings\Gość\Ustawienia lokalne 2008-04-30 10:45 . 2008-04-30 10:46 <DIR> dr------- C:\Documents and Settings\Gość\Ulubione 2008-04-30 10:45 . 2008-04-30 10:46 <DIR> dr------- C:\Documents and Settings\Gość\Ulubione 2008-04-30 10:45 . 2006-12-05 21:44 <DIR> d--h----- C:\Documents and Settings\Gość\Szablony 2008-04-30 10:45 . 2006-12-05 21:44 <DIR> d--h----- C:\Documents and Settings\Gość\Szablony 2008-04-30 10:45 . 2008-04-30 11:03 <DIR> d-------- C:\Documents and Settings\Gość\Pulpit 2008-04-30 10:45 . 2008-04-30 11:03 <DIR> d-------- C:\Documents and Settings\Gość\Pulpit 2008-04-30 10:45 . 2008-04-30 10:46 <DIR> dr------- C:\Documents and Settings\Gość\Moje dokumenty 2008-04-30 10:45 . 2008-04-30 10:46 <DIR> dr------- C:\Documents and Settings\Gość\Moje dokumenty 2008-04-30 10:45 . 2006-12-05 21:39 <DIR> dr------- C:\Documents and Settings\Gość\Menu Start 2008-04-30 10:45 . 2006-12-05 21:39 <DIR> dr------- C:\Documents and Settings\Gość\Menu Start 2008-04-30 10:45 . 2008-04-30 11:10 <DIR> dr-h----- C:\Documents and Settings\Gość\Dane aplikacji 2008-04-30 10:45 . 2008-04-30 11:10 <DIR> dr-h----- C:\Documents and Settings\Gość\Dane aplikacji 2008-04-30 10:45 . 2008-04-30 10:45 <DIR> d-------- C:\Documents and Settings\Gość 2008-04-30 10:45 . 2008-05-18 20:33 1,024 --ah----- C:\Documents and Settings\Gość\ntuser.dat.LOG 2008-04-30 10:45 . 2008-05-18 20:33 1,024 --ah----- C:\Documents and Settings\Gość\ntuser.dat.LOG 2008-04-21 19:57 . 2008-04-21 19:57 <DIR> d----c--- C:\WINDOWS\system32\DRVSTORE 2008-04-21 19:57 . 2008-04-21 19:57 <DIR> d-------- C:\Program Files\Common Files\Apple 2008-04-21 19:53 . 2008-04-21 19:53 <DIR> d-------- C:\Program Files\Apple Software Update 2008-04-21 19:53 . 2008-04-21 19:53 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\Apple 2008-04-18 16:03 . 2008-04-18 16:05 <DIR> d-------- C:\1408.DC.DVDRip.XviD-NeDiVx . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-05-18 15:06 --------- d-----w C:\Program Files\SkanerOnline 2008-05-17 09:32 10,856 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys 2008-05-16 08:37 --------- d-----w C:\Documents and Settings\User\Dane aplikacji\Vso 2008-05-09 18:16 --------- d-----w C:\Documents and Settings\User\Dane aplikacji\XnView 2008-05-05 11:14 --------- d-----w C:\Program Files\FinePixViewer 2008-04-21 11:58 --------- d-----w C:\Program Files\NAPI-PROJEKT 2008-04-21 11:54 --------- d-----w C:\Documents and Settings\User\Dane aplikacji\Azureus 2008-04-02 12:17 --------- d-----w C:\Documents and Settings\User\Dane aplikacji\Apple Computer 2008-04-02 12:13 --------- d-----w C:\Program Files\Media Player Classic 2008-04-02 10:46 --------- d-----w C:\Program Files\Microsoft.NET 2008-03-03 16:48 81,984 ----a-w C:\WINDOWS\system32\bdod.bin 2007-02-23 21:22 0 ----a-w C:\Documents and Settings\User\Dane aplikacji\milihk32.dll 2007-06-02 13:37 56 --sh--r C:\WINDOWS\system32\377587E5C6.sys 2007-10-29 19:44 284,076 --sha-r C:\WINDOWS\system32\drivers\patch32.dll . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries & legit default entries are not shown REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Gadu-Gadu"="C:\Program Files\Gadu-Gadu\gg.exe" [2007-05-10 16:36 2111176] "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe" [ ] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SoundMan"="SOUNDMAN.EXE" [2005-05-17 12:48 77824 C:\WINDOWS\SOUNDMAN.EXE] "ATICCC"="C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 17:41 45056] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 02:11 132496] "LXSUPMON"="C:\WINDOWS\system32\LXSUPMON.exe" [2002-08-15 12:26 886272] "REGSHAVE"="C:\Program Files\REGSHAVE\REGSHAVE.exe" [2002-02-04 23:32 53248] "asfbgb"="c:\program files\uninstall information\fbgbf.exe" [ ] "BitDefender Antiphishing Helper"="C:\Program Files\BitDefender\BitDefender 2008\IEShow.exe" [2007-10-09 16:46 61440] "BDAgent"="C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe" [2008-02-16 18:45 360448] [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Adobe Reader Speed Launch.lnk] path=C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Adobe Reader Speed Launch.lnk backup=C:\WINDOWS\pss\Adobe Reader Speed Launch.lnkCommon Startup [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^BlueSoleil.lnk] path=C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\BlueSoleil.lnk backup=C:\WINDOWS\pss\BlueSoleil.lnkCommon Startup [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^ExifLauncher2.lnk] path=C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\ExifLauncher2.lnk backup=C:\WINDOWS\pss\ExifLauncher2.lnkCommon Startup [HKLM\~\startupfolder\C:^Documents and Settings^User^Menu Start^Programy^Autostart^Adobe Gamma.lnk] path=C:\Documents and Settings\User\Menu Start\Programy\Autostart\Adobe Gamma.lnk backup=C:\WINDOWS\pss\Adobe Gamma.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ares] --a------ 2006-12-09 23:50 934912 C:\Program Files\Ares\Ares.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C:] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C:\WINDOWS] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C:\WINDOWS\system32] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C:\WINDOWS\system32\PENIS.exe] C:\WINDOWS\system32\PENIS.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools] --a------ 2007-04-04 00:29 165784 C:\Program Files\DAEMON Tools\daemon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Generic Host Process] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Load] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Run] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent] --a------ 2008-01-16 00:54 37376 C:\Program Files\Winamp\winampa.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center] "UpdatesDisableNotify"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "E:\\Gry\\Counter-Strike 1.6\\hl.exe"= "C:\\Program Files\\Ares\\Ares.exe"= "C:\\Program Files\\Java\\jre1.5.0_11\\bin\\javaw.exe"= "C:\\Program Files\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"= "C:\\Program Files\\Azureus\\Azureus.exe"= "C:\\Program Files\\Gadu-Gadu\\gg.exe"= R2 acedrv10;acedrv10;C:\WINDOWS\system32\drivers\acedrv10.sys [2007-07-24 09:45] R2 acehlp10;acehlp10;C:\WINDOWS\system32\drivers\acehlp10.sys [2007-07-11 10:20] R3 Bdfndisf;BitDefender Firewall NDIS Filter Service;C:\WINDOWS\system32\DRIVERS\bdfndisf.sys [2008-01-25 16:40] S3 usbscan;Sterownik skanera USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 22:58] S3 USBSTOR;Sterownik magazynu masowego USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 23:08] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] bdx REG_MULTI_SZ scan [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c6b17c94-9aad-11dc-8437-001485396be7}] \Shell\AutoRun\command - G:\x6.bat \Shell\explore\Command - G:\x6.bat \Shell\open\Command - G:\x6.bat *Newly Created Service* - CATCHME [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{21DB17A7-9EB9-0768-D9C5-22A71AD280F1}] C:\WINDOWS\system32:svchost.exe . Contents of the 'Scheduled Tasks' folder "2008-05-15 20:27:06 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job" - C:\Program Files\Apple Software Update\SoftwareUpdate.exe . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-05-18 20:45:01 Windows 5.1.2600 Dodatek Service Pack 2 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... ************************************************************************** . Completion time: 2008-05-18 20:47:53 ComboFix-quarantined-files.txt 2008-05-18 18:46:18 Pre-Run: 7,717,138,432 bajtów wolnych Post-Run: 7,706,599,424 bajtów wolnych 152

przez **huber2t** » 19 Maj 2008, 04:43

Do wyleczenia pendrive z wirusów użyj
Perlovga Removal Tool
Flash Disinfector
lub format

otwórz notatnik i wklej

Windows Registry Editor Version 5.00

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

Z menu Notatnika

Plik

Zapisz jako

Zmień rozszerzenie z .txt na wszystkie pliki

zapisz pod nazwą Fix.reg

Uruchom ten plik, uruchom ponownie komputer

przez **aroo** » 19 Maj 2008, 13:14

Pendrive sformatowałem, a to co napisałes wklepałem do notatnika i zapisałem tylko jak uruchomiłem to wyskoczył taki błąd:
Nie można zaimportować C:\Documents and Settings\User\Pulpit\Fix.reg: Określony plik nie jest skryptem rejestru. Można importować tylko binarne pliki rejestru z wewnątrz edytora rejestru.

przez **huber2t** » 19 Maj 2008, 15:42

Pobierz ComboFix, ale nie uruchamiaj
Wklej do notatnika:

Kod: Zaznacz wszystko: Registry:: [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

Plik

zapisz jako

CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu

[obrazek nie jest już dostępny]
Rozpocznie się usuwanie i powstanie log, daj ten log na forum.

przez **aroo** » 19 Maj 2008, 20:38

Zrobiłem tak jak mówiłes i po przeciągnięciu tego pliku na combofix wyskoczył taki komunikat:

zaakceptowałem i oto log:

Kod: Zaznacz wszystko: ComboFix 08-05-15.3 - User 2008-05-19 20:09:12.3 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.214 [GMT 2:00] Running from: C:\Documents and Settings\User\Pulpit\ComboFix.exe Command switches used :: C:\Documents and Settings\User\Pulpit\CFScript.txt * Created a new restore point * Resident AV is active [color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b][/color] . ((((((((((((((((((((((((( Files Created from 2008-04-19 to 2008-05-19 ))))))))))))))))))))))))))))))) . 2008-05-17 14:56 . 2008-05-17 14:56 <DIR> dr------- C:\Documents and Settings\LocalService\Ulubione 2008-05-17 14:01 . 2008-05-17 14:01 <DIR> d-------- C:\Program Files\CCleaner 2008-04-30 11:19 . 2008-04-30 11:19 <DIR> d-------- C:\Documents and Settings\Administrator\Gadu-Gadu 2008-04-30 11:12 . 2008-04-30 11:12 <DIR> d--h----- C:\WINDOWS\system32\GroupPolicy 2008-04-30 11:12 . 2008-04-30 11:12 <DIR> d-------- C:\Documents and Settings\Administrator\Dane aplikacji\ATI 2008-04-30 11:11 . 2008-05-19 20:11 <DIR> d--h----- C:\Documents and Settings\Administrator\Ustawienia lokalne 2008-04-30 11:11 . 2008-04-30 11:11 <DIR> dr------- C:\Documents and Settings\Administrator\Ulubione 2008-04-30 11:11 . 2006-12-05 21:44 <DIR> d--h----- C:\Documents and Settings\Administrator\Szablony 2008-04-30 11:11 . 2006-12-05 21:39 <DIR> d-------- C:\Documents and Settings\Administrator\Pulpit 2008-04-30 11:11 . 2008-04-30 11:11 <DIR> dr------- C:\Documents and Settings\Administrator\Moje dokumenty 2008-04-30 11:11 . 2006-12-05 21:39 <DIR> dr------- C:\Documents and Settings\Administrator\Menu Start 2008-04-30 11:11 . 2008-04-30 11:11 <DIR> d-------- C:\Documents and Settings\Administrator\Dane aplikacji\BitDefender 2008-04-30 11:11 . 2008-04-30 11:20 <DIR> dr-h----- C:\Documents and Settings\Administrator\Dane aplikacji 2008-04-30 11:11 . 2008-04-30 11:23 <DIR> d-------- C:\Documents and Settings\Administrator 2008-04-30 11:11 . 2004-08-04 01:44 221,184 --a------ C:\WINDOWS\system32\wmpns.dll 2008-04-30 11:11 . 2008-05-18 20:33 1,024 --ah----- C:\Documents and Settings\Administrator\ntuser.dat.LOG 2008-04-30 10:47 . 2008-04-30 10:47 <DIR> d-------- C:\Documents and Settings\Gość\Dane aplikacji\BitDefender 2008-04-30 10:47 . 2008-04-30 10:47 <DIR> d-------- C:\Documents and Settings\Gość\Dane aplikacji\ATI 2008-04-30 10:45 . 2008-05-19 20:11 <DIR> d--h----- C:\Documents and Settings\Gość\Ustawienia lokalne 2008-04-30 10:45 . 2008-05-19 20:11 <DIR> d--h----- C:\Documents and Settings\Gość\Ustawienia lokalne 2008-04-30 10:45 . 2008-04-30 10:46 <DIR> dr------- C:\Documents and Settings\Gość\Ulubione 2008-04-30 10:45 . 2008-04-30 10:46 <DIR> dr------- C:\Documents and Settings\Gość\Ulubione 2008-04-30 10:45 . 2006-12-05 21:44 <DIR> d--h----- C:\Documents and Settings\Gość\Szablony 2008-04-30 10:45 . 2006-12-05 21:44 <DIR> d--h----- C:\Documents and Settings\Gość\Szablony 2008-04-30 10:45 . 2008-04-30 11:03 <DIR> d-------- C:\Documents and Settings\Gość\Pulpit 2008-04-30 10:45 . 2008-04-30 11:03 <DIR> d-------- C:\Documents and Settings\Gość\Pulpit 2008-04-30 10:45 . 2008-04-30 10:46 <DIR> dr------- C:\Documents and Settings\Gość\Moje dokumenty 2008-04-30 10:45 . 2008-04-30 10:46 <DIR> dr------- C:\Documents and Settings\Gość\Moje dokumenty 2008-04-30 10:45 . 2006-12-05 21:39 <DIR> dr------- C:\Documents and Settings\Gość\Menu Start 2008-04-30 10:45 . 2006-12-05 21:39 <DIR> dr------- C:\Documents and Settings\Gość\Menu Start 2008-04-30 10:45 . 2008-04-30 11:10 <DIR> dr-h----- C:\Documents and Settings\Gość\Dane aplikacji 2008-04-30 10:45 . 2008-04-30 11:10 <DIR> dr-h----- C:\Documents and Settings\Gość\Dane aplikacji 2008-04-30 10:45 . 2008-04-30 10:45 <DIR> d-------- C:\Documents and Settings\Gość 2008-04-30 10:45 . 2008-05-18 20:33 1,024 --ah----- C:\Documents and Settings\Gość\ntuser.dat.LOG 2008-04-30 10:45 . 2008-05-18 20:33 1,024 --ah----- C:\Documents and Settings\Gość\ntuser.dat.LOG 2008-04-21 19:57 . 2008-04-21 19:57 <DIR> d----c--- C:\WINDOWS\system32\DRVSTORE 2008-04-21 19:57 . 2008-04-21 19:57 <DIR> d-------- C:\Program Files\Common Files\Apple 2008-04-21 19:53 . 2008-04-21 19:53 <DIR> d-------- C:\Program Files\Apple Software Update 2008-04-21 19:53 . 2008-04-21 19:53 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\Apple . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-05-18 15:06 --------- d-----w C:\Program Files\SkanerOnline 2008-05-17 09:32 10,856 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys 2008-05-16 08:37 --------- d-----w C:\Documents and Settings\User\Dane aplikacji\Vso 2008-05-09 18:16 --------- d-----w C:\Documents and Settings\User\Dane aplikacji\XnView 2008-05-05 11:14 --------- d-----w C:\Program Files\FinePixViewer 2008-04-21 11:58 --------- d-----w C:\Program Files\NAPI-PROJEKT 2008-04-21 11:54 --------- d-----w C:\Documents and Settings\User\Dane aplikacji\Azureus 2008-04-02 12:17 --------- d-----w C:\Documents and Settings\User\Dane aplikacji\Apple Computer 2008-04-02 12:13 --------- d-----w C:\Program Files\Media Player Classic 2008-04-02 10:46 --------- d-----w C:\Program Files\Microsoft.NET 2008-03-03 16:48 81,984 ----a-w C:\WINDOWS\system32\bdod.bin 2007-02-23 21:22 0 ----a-w C:\Documents and Settings\User\Dane aplikacji\milihk32.dll 2007-06-02 13:37 56 --sh--r C:\WINDOWS\system32\377587E5C6.sys 2007-10-29 19:44 284,076 --sha-r C:\WINDOWS\system32\drivers\patch32.dll . ((((((((((((((((((((((((((((( snapshot@2008-05-18_20.38.11,75 ))))))))))))))))))))))))))))))))))))))))) . - 2008-05-18 12:45:39 2,048 --s-a-w C:\WINDOWS\bootstat.dat + 2008-05-19 17:46:34 2,048 --s-a-w C:\WINDOWS\bootstat.dat . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries & legit default entries are not shown REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Gadu-Gadu"="C:\Program Files\Gadu-Gadu\gg.exe" [2007-05-10 16:36 2111176] "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe" [ ] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SoundMan"="SOUNDMAN.EXE" [2005-05-17 12:48 77824 C:\WINDOWS\SOUNDMAN.EXE] "ATICCC"="C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 17:41 45056] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 02:11 132496] "LXSUPMON"="C:\WINDOWS\system32\LXSUPMON.exe" [2002-08-15 12:26 886272] "REGSHAVE"="C:\Program Files\REGSHAVE\REGSHAVE.exe" [2002-02-04 23:32 53248] "asfbgb"="c:\program files\uninstall information\fbgbf.exe" [ ] "BitDefender Antiphishing Helper"="C:\Program Files\BitDefender\BitDefender 2008\IEShow.exe" [2007-10-09 16:46 61440] "BDAgent"="C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe" [2008-02-16 18:45 360448] [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Adobe Reader Speed Launch.lnk] path=C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Adobe Reader Speed Launch.lnk backup=C:\WINDOWS\pss\Adobe Reader Speed Launch.lnkCommon Startup [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^BlueSoleil.lnk] path=C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\BlueSoleil.lnk backup=C:\WINDOWS\pss\BlueSoleil.lnkCommon Startup [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^ExifLauncher2.lnk] path=C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\ExifLauncher2.lnk backup=C:\WINDOWS\pss\ExifLauncher2.lnkCommon Startup [HKLM\~\startupfolder\C:^Documents and Settings^User^Menu Start^Programy^Autostart^Adobe Gamma.lnk] path=C:\Documents and Settings\User\Menu Start\Programy\Autostart\Adobe Gamma.lnk backup=C:\WINDOWS\pss\Adobe Gamma.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ares] --a------ 2006-12-09 23:50 934912 C:\Program Files\Ares\Ares.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C:] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C:\WINDOWS] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C:\WINDOWS\system32] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C:\WINDOWS\system32\PENIS.exe] C:\WINDOWS\system32\PENIS.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools] --a------ 2007-04-04 00:29 165784 C:\Program Files\DAEMON Tools\daemon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Generic Host Process] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Load] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Run] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent] --a------ 2008-01-16 00:54 37376 C:\Program Files\Winamp\winampa.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center] "UpdatesDisableNotify"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "E:\\Gry\\Counter-Strike 1.6\\hl.exe"= "C:\\Program Files\\Ares\\Ares.exe"= "C:\\Program Files\\Java\\jre1.5.0_11\\bin\\javaw.exe"= "C:\\Program Files\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"= "C:\\Program Files\\Azureus\\Azureus.exe"= "C:\\Program Files\\Gadu-Gadu\\gg.exe"= R2 acedrv10;acedrv10;C:\WINDOWS\system32\drivers\acedrv10.sys [2007-07-24 09:45] R2 acehlp10;acehlp10;C:\WINDOWS\system32\drivers\acehlp10.sys [2007-07-11 10:20] R3 Bdfndisf;BitDefender Firewall NDIS Filter Service;C:\WINDOWS\system32\DRIVERS\bdfndisf.sys [2008-01-25 16:40] S3 usbscan;Sterownik skanera USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 22:58] S3 USBSTOR;Sterownik magazynu masowego USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 23:08] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] bdx REG_MULTI_SZ scan [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{21DB17A7-9EB9-0768-D9C5-22A71AD280F1}] C:\WINDOWS\system32:svchost.exe . Contents of the 'Scheduled Tasks' folder "2008-05-15 20:27:06 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job" - C:\Program Files\Apple Software Update\SoftwareUpdate.exe . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-05-19 20:11:39 Windows 5.1.2600 Dodatek Service Pack 2 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... ************************************************************************** . Completion time: 2008-05-19 20:14:21 ComboFix-quarantined-files.txt 2008-05-19 18:13:16 ComboFix2.txt 2008-05-18 18:47:54 Pre-Run: 7,671,750,656 bajtów wolnych Post-Run: 7,660,072,960 bajtów wolnych 154

przez **huber2t** » 20 Maj 2008, 05:23

Przepraszam że od razu nie kazałem ci tego usunąć ale tego nie zauważyłem

Pobierz ComboFix, ale nie uruchamiaj
Wklej do notatnika:

Kod: Zaznacz wszystko: Registry:: [-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{21DB17A7-9EB9-0768-D9C5-22A71AD280F1}]

Plik

zapisz jako

CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu

[obrazek nie jest już dostępny]
Rozpocznie się usuwanie.

Logu nie dawaj na forum

Usuń ręcznie folder C:\Qoobox,usuń instalkę Combofix z dysku

Wyłącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj komputer tym (uruchom przez IE) http://www.kaspersky.pl/virusscanner.html Daj raport z niego na forum

Włącz przywracanie systemu.

przez **aroo** » 20 Maj 2008, 14:26

Jak przeciągam ikonkę na Combofix to ponownie wyskakuje ten komunikat co wyżej... Mam go znowu akceptować ??

przez **aroo** » 20 Maj 2008, 14:29

A i po tym nawet jak przeciągne tą ikonke i wyskakoczy ten komunikat to combofix znika.

przez **huber2t** » 20 Maj 2008, 15:56

Pobierz Avenger

wklej do niego ten tekst:

Kod: Zaznacz wszystko: Registry keys to delete: HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{21DB17A7-9EB9-0768-D9C5-22A71AD280F1}

kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.
Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

przez **aroo** » 20 Maj 2008, 18:15

Za pierwszym razem wyskoczył mi błąd ale to moja wina bo nie skopiowałem tego drugi raz do avenger, ale za drugim razem poszlo wszystko ok

i oto log:

Kod: Zaznacz wszystko: ////////////////////////////////////////// Avenger Pre-Processor log ////////////////////////////////////////// Platform: Windows XP (build 2600, Dodatek Service Pack 2) Tue May 20 18:05:04 2008 18:04:56: Error: Invalid registry syntax in command: "components\{21DB17A7-9EB9-0768-D9C5-22A71AD280F1}" Only registry keys under the HKEY_LOCAL_MACHINE hive are accessible to this program. Skipping line. (Registry key deletion mode) 18:05:04: Error: Execution aborted by user! ////////////////////////////////////////// Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Registry key "HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{21DB17A7-9EB9-0768-D9C5-22A71AD280F1}" deleted successfully. Completed script processing. ******************* Finished! Terminate.

przez **huber2t** » 20 Maj 2008, 18:29

Usunoł się wpis więc wszsytko powinno być ok

Przeskanuj komputer tym (uruchom przez IE) http://www.kaspersky.pl/virusscanner.html Daj raport z niego na forum

przez **aroo** » 21 Maj 2008, 06:19

Oto log:

KASPERSKY ONLINE SCANNER REPORT
21 maj 2008 06:12:48
System operacyjny: Microsoft Windows XP Professional, Dodatek Service Pack 2 (Build 2600)
Kaspersky Online Scanner wersja: 5.0.98.0
Ostatnia aktualizacja Kaspersky Anti-Virus20/05/2008
Liczba wpisów w bazie danych Kaspersky Anti-Virus788626
Ustawienia skanowania
Skanowanie przy użyciu następujących baz danych rozszerzone
Skanuj archiwa tak
Skanuj pocztowe bazy danych tak
Obszar skanowania Mój komputer
A:\
C:\
D:\
E:\
F:\
G:\
Statystyki skanowania
Liczba skanowanych obiektów 95072
Liczba wykrytych wirusów 1
Liczba zainfekowanych obiektów 7
Liczba podejrzanych obiektów 0
Czas trwania skanowania 02:18:31

Nazwa zainfekowanego obiektu Nazwa wirusa Ostatnie działanie
C:\autorun.inf\lpt3.This folder was created by Flash_Disinfector Object is locked pominięty
C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked pominięty
C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked pominięty
C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked pominięty
C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty
C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty
C:\Documents and Settings\LocalService\Ustawienia lokalne\Historia\History.IE5\index.dat Object is locked pominięty
C:\Documents and Settings\LocalService\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat Object is locked pominięty
C:\Documents and Settings\NetworkService\Cookies\index.dat Object is locked pominięty
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked pominięty
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked pominięty
C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty
C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty
C:\Documents and Settings\NetworkService\Ustawienia lokalne\Historia\History.IE5\index.dat Object is locked pominięty
C:\Documents and Settings\NetworkService\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat Object is locked pominięty
C:\Documents and Settings\User\Cookies\index.dat Object is locked pominięty
C:\Documents and Settings\User\Dane aplikacji\BitDefender\Desktop\Profiles\asdict.dat Object is locked pominięty
C:\Documents and Settings\User\NTUSER.DAT Object is locked pominięty
C:\Documents and Settings\User\ntuser.dat.LOG Object is locked pominięty
C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\ApplicationHistory\CLI.exe.c88dbd71.ini.inuse Object is locked pominięty
C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty
C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty
C:\Documents and Settings\User\Ustawienia lokalne\Historia\History.IE5\index.dat Object is locked pominięty
C:\Documents and Settings\User\Ustawienia lokalne\Temp\Perflib_Perfdata_108.dat Object is locked pominięty
C:\Documents and Settings\User\Ustawienia lokalne\Temp\Perflib_Perfdata_9e0.dat Object is locked pominięty
C:\Documents and Settings\User\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat Object is locked pominięty
C:\Program Files\BitDefender\BitDefender 2008\as2core\antispam_sig_11253\aspdict.dat Object is locked pominięty
C:\Program Files\BitDefender\BitDefender 2008\dbokf.db Object is locked pominięty
C:\Program Files\BitDefender\BitDefender 2008\dbokf.db-journal Object is locked pominięty
C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked pominięty
C:\WINDOWS\Debug\PASSWD.LOG Object is locked pominięty
C:\WINDOWS\SchedLgU.Txt Object is locked pominięty
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked pominięty
C:\WINDOWS\Sti_Trace.log Object is locked pominięty
C:\WINDOWS\system32\CatRoot2\edb.log Object is locked pominięty
C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked pominięty
C:\WINDOWS\system32\config\ACEEvent.evt Object is locked pominięty
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked pominięty
C:\WINDOWS\system32\config\default Object is locked pominięty
C:\WINDOWS\system32\config\default.LOG Object is locked pominięty
C:\WINDOWS\system32\config\SAM Object is locked pominięty
C:\WINDOWS\system32\config\SAM.LOG Object is locked pominięty
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked pominięty
C:\WINDOWS\system32\config\SECURITY Object is locked pominięty
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked pominięty
C:\WINDOWS\system32\config\software Object is locked pominięty
C:\WINDOWS\system32\config\software.LOG Object is locked pominięty
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked pominięty
C:\WINDOWS\system32\config\system Object is locked pominięty
C:\WINDOWS\system32\config\system.LOG Object is locked pominięty
C:\WINDOWS\system32\drivers\patch32.dll/data0000 Zainfekowanych: Backdoor.Win32.Hupigon.uzg pominięty
C:\WINDOWS\system32\drivers\patch32.dll EmbeddedEXE: zainfekowany - 1 pominięty
C:\WINDOWS\system32\drivers\sptd.sys Object is locked pominięty
C:\WINDOWS\system32\h323log.txt Object is locked pominięty
C:\WINDOWS\system32\LogFiles\WUDF\WUDFTrace.etl Object is locked pominięty
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked pominięty
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked pominięty
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked pominięty
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked pominięty
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked pominięty
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked pominięty
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked pominięty
C:\WINDOWS\Temp\tmp000067c2\tmp00000000 Object is locked pominięty
C:\WINDOWS\wiadebug.log Object is locked pominięty
C:\WINDOWS\wiaservc.log Object is locked pominięty
C:\WINDOWS\WindowsUpdate.log Object is locked pominięty
D:\Ares-download\My Torrents\FIFA_08_No_DVD_Crack-FLTSUX\fltsux-fif8\FIFA08.exe/data0001 Zainfekowanych: Backdoor.Win32.Hupigon.uzg pominięty
D:\Ares-download\My Torrents\FIFA_08_No_DVD_Crack-FLTSUX\fltsux-fif8\FIFA08.exe EmbeddedEXE: zainfekowany - 1 pominięty
D:\Ares-download\My Torrents\FIFA_08_No_DVD_Crack-FLTSUX\fltsux-fif8.rar/FIFA08.exe/data0001 Zainfekowanych: Backdoor.Win32.Hupigon.uzg pominięty
D:\Ares-download\My Torrents\FIFA_08_No_DVD_Crack-FLTSUX\fltsux-fif8.rar/FIFA08.exe Zainfekowanych: Backdoor.Win32.Hupigon.uzg pominięty
D:\Ares-download\My Torrents\FIFA_08_No_DVD_Crack-FLTSUX\fltsux-fif8.rar RAR: zainfekowany - 2 pominięty
D:\autorun.inf\lpt3.This folder was created by Flash_Disinfector Object is locked pominięty
D:\System Volume Information\MountPointManagerRemoteDatabase Object is locked pominięty
D:\System Volume Information\_restore{06C99AE4-3F4B-46C1-AFBC-2A77ABD6A095}\RP3\change.log Object is locked pominięty
E:\autorun.inf\lpt3.This folder was created by Flash_Disinfector Object is locked pominięty
E:\System Volume Information\MountPointManagerRemoteDatabase Object is locked pominięty
E:\System Volume Information\_restore{06C99AE4-3F4B-46C1-AFBC-2A77ABD6A095}\RP3\change.log Object is locked pominięty
Proces skanowania został zakończony.

przez **huber2t** » 21 Maj 2008, 13:46

Pobierz Avenger

wklej do niego ten tekst:

Kod: Zaznacz wszystko: Files to delete: C:\WINDOWS\system32\drivers\patch32.dll D:\Ares-download\My Torrents\FIFA_08_No_DVD_Crack-FLTSUX\fltsux-fif8\FIFA08.exe D:\Ares-download\My Torrents\FIFA_08_No_DVD_Crack-FLTSUX\fltsux-fif8.rar

kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.
Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

przez **aroo** » 22 Maj 2008, 11:05

Ok zrobie jak napisales a raport dam dopiero w poniedziałek bo wyjechałem

przez **aroo** » 26 Maj 2008, 19:43

O to raport z Avenger:

Kod: Zaznacz wszystko: Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! File "C:\WINDOWS\system32\drivers\patch32.dll" deleted successfully. File "D:\Ares-download\My Torrents\FIFA_08_No_DVD_Crack-FLTSUX\fltsux-fif8\FIFA08.exe" deleted successfully. File "D:\Ares-download\My Torrents\FIFA_08_No_DVD_Crack-FLTSUX\fltsux-fif8.rar" deleted successfully. Completed script processing. ******************* Finished! Terminate.

Kłopot z AMVO

Kłopot z AMVO

Kto jest na forum