TA STRONA UŻYWA COOKIE. Dowiedz się więcej o celu ich używania i zmianie ustawień cookie w przeglądarce. Korzystając ze strony wyrażasz zgodę na używanie cookie, zgodnie z aktualnymi ustawieniami przeglądarki.
Od dnia 25.05.2018 r. na terenie Unii Europejskiej wchodzi w życie Rozporządzenie Parlamentu Europejskiego w sprawie ochrony danych osobowych. Prosimy o zapoznanie się z polityką prywatności oraz regulaminem serwisu  [X]

Komputer zamula i pracuje tylko w trybie awaryjnym

Logi, zabezpieczenie komputera, danych. Programy antywirusowe antyspyware, firewall itp.
Regulamin forum
1. Każdy temat powinien odzwierciedlać treść wątku.
2. W przypadku wklejania logów; należy je wykonać od razu przynajmniej z dwóch narzędzi: FRST oraz z GMER
3. Wszelkie logi proszę publikować na przeznaczonych do tego stronach a w poście wklejać tylko link.
4. Nie wskazane jest skracanie logów, należy wkleić cały - od początku, do końca.
5. Nie wskazane jest podczepianie się do tematów innych użytkowników - proszę założyć nowy temat w dziale Bezpieczeństwo, ułatwi to pomoc sprawdzającemu.
6. Osoby nie posiadające odpowiedniej wiedzy, nie powinny sprawdzać logów, ponieważ grozi to poważnym uszkodzeniem systemu lub aplikacji zainstalowanych na komputerze.
7. Należy dokładnie opisać problem, występujące objawy oraz wszelkie podjęte działania.
8. Każdy skrypt jest unikatowy, napisany dla każdego przypadku z osobna, więc nie może być stosowany przez innych.
9. W przypadku zamieszczenia zrzutu ekranu (screenshot'a) proszę korzystać z zewnętrznego serwisu oferującego hosting zdjęć.

Komputer zamula i pracuje tylko w trybie awaryjnym

Postprzez protective » 15 Lip 2008, 22:12

PostUA:


Prosze o sprawdzenie log'a


ComboFix 08-07-14.2 - JUSTYNA 2008-07-15 15:51:15.2 - NTFSx86 NETWORK
Microsoft Windows XP Professional 5.1.2600.2.1250.48.1033.18.353 [GMT -4:00]
Running from: C:\Documents and Settings\JUSTYNA\Desktop\ComboFix.exe

[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b][/color]
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Previous Run -------
.
C:\WINDOWS\cookies.ini
C:\WINDOWS\Downloaded Program Files\setup.inf
C:\WINDOWS\ebxq.exe
C:\WINDOWS\system32\byXQKeCU.dll
C:\WINDOWS\system32\eijucjly.ini
C:\WINDOWS\system32\fccbYpOF.dll
C:\WINDOWS\system32\FOpYbccf.ini
C:\WINDOWS\system32\FOpYbccf.ini2
C:\WINDOWS\system32\guhquxmj.ini
C:\WINDOWS\system32\hbwuuqcp.ini
C:\WINDOWS\system32\hlyfzc.dll
C:\WINDOWS\system32\hsgmnovl.ini
C:\WINDOWS\system32\hwhtfn.dll
C:\WINDOWS\system32\kejbreid.ini
C:\WINDOWS\system32\kslpvs.dll
C:\WINDOWS\system32\lvbdyhwm.ini
C:\WINDOWS\system32\lwjiimrs.ini
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\nktqddya.ini
C:\WINDOWS\system32\nnckbxel.ini
C:\WINDOWS\system32\oosbdyyt.dll
C:\WINDOWS\system32\pkuixr.dll
C:\WINDOWS\system32\prgffbpp.ini
C:\WINDOWS\system32\svpxluap.dll
C:\WINDOWS\system32\tnhfdble.ini
C:\WINDOWS\system32\tyydbsoo.ini
C:\WINDOWS\system32\uitvlhpe.dll
C:\WINDOWS\system32\ukbsxdab.dll
C:\WINDOWS\system32\uqcjhrcd.ini
C:\WINDOWS\system32\usjtneig.dll
C:\WINDOWS\system32\wxvlhisl.dll
C:\WINDOWS\system32\xqejlz.dll
C:\WINDOWS\system32\yotukrue.ini

.
((((((((((((((((((((((((( Files Created from 2008-06-15 to 2008-07-15 )))))))))))))))))))))))))))))))
.

2008-07-14 18:59 . 2008-07-14 18:59 <DIR> d-------- C:\Program Files\Alwil Software
2008-06-30 09:53 . 2008-06-30 09:53 <DIR> d-------- C:\FR6CEWEB
2008-06-27 22:01 . 2008-06-27 22:01 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Comodo
2008-06-27 22:01 . 2008-06-27 21:28 102,400 --a------ C:\WINDOWS\system32\drivers\cavasm.sys
2008-06-27 22:01 . 2008-06-27 21:28 73,728 --a------ C:\WINDOWS\system32\CavEmLSP.dll
2008-06-27 21:28 . 2008-06-27 21:28 1,060,864 --a------ C:\WINDOWS\system32\MFC71.dll
2008-06-27 21:28 . 2008-06-27 21:28 499,712 --a------ C:\WINDOWS\system32\msvcp71.dll
2008-06-27 21:28 . 2008-06-27 21:28 434,252 --a------ C:\WINDOWS\system32\MSVCRTD.DLL
2008-06-27 21:28 . 2008-06-27 21:28 348,160 --a------ C:\WINDOWS\system32\msvcr71.dll
2008-06-27 21:28 . 2008-06-27 21:28 216,576 --a------ C:\WINDOWS\system32\monln.dll
2008-06-27 21:10 . 2008-06-27 22:01 <DIR> d-------- C:\Program Files\Comodo
2008-06-27 21:10 . 2008-06-27 21:10 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\BOC426
2008-06-27 21:10 . 2008-03-28 09:17 212,728 --a------ C:\WINDOWS\CMDLIC.DLL
2008-06-27 21:10 . 2008-03-28 09:16 205,560 --a------ C:\WINDOWS\UNBOC.EXE
2008-06-27 21:10 . 2004-08-04 03:56 22,528 --a------ C:\WINDOWS\system32\wsock32.dlb
2008-06-27 21:10 . 2008-07-02 15:37 7,943 --a------ C:\WINDOWS\BOC426.INI
2008-06-27 19:24 . 2008-06-30 10:13 <DIR> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-06-27 19:24 . 2008-06-27 19:24 <DIR> d-------- C:\Documents and Settings\JUSTYNA\Application Data\Malwarebytes
2008-06-27 19:24 . 2008-06-27 19:24 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-06-27 19:24 . 2008-06-19 17:48 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-06-27 19:24 . 2008-06-19 17:47 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-06-27 19:04 . 2008-06-27 19:04 <DIR> d--h----- C:\WINDOWS\system32\GroupPolicy
2008-06-27 18:57 . 2008-06-27 19:11 3,002 --a------ C:\WINDOWS\system32\tmp.reg
2008-06-27 18:48 . 2008-06-27 18:48 <DIR> d-------- C:\Program Files\Citrix

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-15 19:37 --------- d-----w C:\Program Files\eMule
2008-06-28 01:23 --------- d-----w C:\Program Files\FlashGet
2008-06-27 18:41 --------- d-----w C:\Program Files\SkanerOnline
2008-06-13 13:10 272,128 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-06-13 13:10 272,128 ------w C:\WINDOWS\system32\dllcache\bthport.sys
2008-06-12 20:11 --------- d-----w C:\Documents and Settings\JUSTYNA\Application Data\Move Networks
2008-05-08 12:28 202,752 ------w C:\WINDOWS\system32\dllcache\rmcast.sys
2008-05-07 05:18 1,287,680 ----a-w C:\WINDOWS\system32\quartz.dll
2008-05-07 05:18 1,287,680 ------w C:\WINDOWS\system32\dllcache\quartz.dll
2008-04-24 02:16 3,591,680 ------w C:\WINDOWS\system32\dllcache\mshtml.dll
2008-04-22 07:40 625,664 ------w C:\WINDOWS\system32\dllcache\iexplore.exe
2008-04-22 07:39 70,656 ------w C:\WINDOWS\system32\dllcache\ie4uinit.exe
2008-04-22 07:39 13,824 ------w C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-04-20 05:07 161,792 ------w C:\WINDOWS\system32\dllcache\ieakui.dll
2005-08-15 00:01 32 -c--a-r C:\Documents and Settings\All Users\hash.dat
.

------- Sigcheck -------

2001-08-18 01:36 12800 0f7d9c87b0ce1fa520473119752c6f79 C:\WINDOWS\$NtServicePackUninstall$\svchost.exe
2004-08-04 03:56 14336 8f078ae4ed187aaabc0a305146de6716 C:\WINDOWS\ServicePackFiles\i386\svchost.exe
2004-08-04 03:56 17408 1210bc18bbce51140c67482c3854bf7e C:\WINDOWS\system32\svchost.exe

2002-08-29 06:41 516608 2246d8d8f4714a2cedb21ab9b1849abb C:\WINDOWS\$NtServicePackUninstall$\winlogon.exe
2004-08-04 03:56 502272 01c3346c241652f43aed8e2149881bfe C:\WINDOWS\ServicePackFiles\i386\winlogon.exe
2004-08-04 03:56 506368 758acccb093fde97bb18fb1126a01db5 C:\WINDOWS\system32\winlogon.exe

2007-06-13 06:23 1035776 f0fc8794dd502f2500b367c7259cce35 C:\WINDOWS\explorer.exe
2007-06-13 07:26 1033216 7712df0cdde3a5ac89843e61cd5b3658 C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe
2002-08-29 06:41 1004032 a82b28bfc2e4455fe43022a498c0ef0a C:\WINDOWS\$NtServicePackUninstall$\explorer.exe
2004-08-04 03:56 1032192 a0732187050030ae399b241436565e64 C:\WINDOWS\$NtUninstallKB938828$\explorer.exe
2004-08-04 03:56 1032192 a0732187050030ae399b241436565e64 C:\WINDOWS\ServicePackFiles\i386\explorer.exe

2001-08-18 01:36 101376 e3df4a0252d287c44606ee55355e1623 C:\WINDOWS\$NtServicePackUninstall$\services.exe
2004-08-04 03:56 108032 c6ce6eec82f187615d1002bb3bb50ed4 C:\WINDOWS\ServicePackFiles\i386\services.exe
2004-08-04 03:56 110592 ea55c86c5bac1e0d0553281590cf0388 C:\WINDOWS\system32\services.exe

2002-08-29 06:41 11776 b2b6ba905d0e3f8a32a0eb3b4051807b C:\WINDOWS\$NtServicePackUninstall$\lsass.exe
2004-08-04 03:56 13312 84885f9b82f4d55c6146ebf6065d75d2 C:\WINDOWS\ServicePackFiles\i386\lsass.exe
2004-08-04 03:56 14848 f675bb085825770748ff0d99c423dae2 C:\WINDOWS\system32\lsass.exe
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Creative Detector"="C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe" [2004-12-02 18:23 102400]
"Zinio DLM"="C:\Program Files\Zinio\ZinioDeliveryManager.exe" [2006-02-15 13:47 1003590]
"NBJ"="C:\Program Files\Ahead\Nero BackItUp\NBJ.exe" [2004-09-24 17:22 1916928]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 03:56 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Ulead AutoDetector"="C:\Program Files\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe" [2003-02-27 21:48 45056]
"RoxioEngineUtility"="C:\Program Files\Common Files\Roxio Shared\System\EngUtil.exe" [2003-05-01 21:44 65536]
"RoxioDragToDisc"="C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe" [2004-01-09 19:01 868352]
"cnfgCav"="C:\Program Files\Comodo\Comodo AntiVirus\CMain.exe" [2008-06-27 21:28 110592]
"cavUPSDBMaker"="C:\Program Files\Comodo\Comodo AntiVirus\UPSDBMaker.exe" [2008-06-27 21:28 307200]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2006-07-16 17:20 98304]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-05-15 19:19 79224]

C:\Documents and Settings\All Users\Start Menu\Programs\Startup\
Microtek Scanner Finder.lnk - C:\Program Files\Microtek\ScanWizard 5\ScannerFinder.exe [2006-10-27 10:56:41 335872]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\monln]
2008-06-27 21:28 216576 C:\WINDOWS\system32\monln.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Gadu-Gadu\\gg.exe"=
"C:\\Program Files\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"C:\\Program Files\\Yahoo!\\Messenger\\YServer.exe"=
"C:\\Program Files\\iTunes\\iTunes.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"29872:TCP"= 29872:TCP:PORT_29872
"64519:TCP"= 64519:TCP:PORT_64519
"37149:TCP"= 37149:TCP:PORT_37149
"5375:TCP"= 5375:TCP:PORT_5375
"10610:TCP"= 10610:TCP:PORT_10610
"12993:TCP"= 12993:TCP:PORT_12993
"40720:TCP"= 40720:TCP:PORT_40720
"36383:TCP"= 36383:TCP:PORT_36383
"36016:TCP"= 36016:TCP:PORT_36016
"50938:TCP"= 50938:TCP:PORT_50938
"44657:TCP"= 44657:TCP:PORT_44657
"52718:TCP"= 52718:TCP:PORT_52718
"19460:TCP"= 19460:TCP:PORT_19460
"10018:TCP"= 10018:TCP:PORT_10018
"55258:TCP"= 55258:TCP:PORT_55258
"11589:TCP"= 11589:TCP:PORT_11589
"52348:TCP"= 52348:TCP:PORT_52348
"25955:TCP"= 25955:TCP:PORT_25955
"34824:TCP"= 34824:TCP:PORT_34824
"38446:TCP"= 38446:TCP:PORT_38446
"39604:TCP"= 39604:TCP:PORT_39604
"20067:TCP"= 20067:TCP:PORT_20067
"29402:TCP"= 29402:TCP:PORT_29402
"63395:TCP"= 63395:TCP:PORT_63395
"29224:TCP"= 29224:TCP:PORT_29224
"15474:TCP"= 15474:TCP:PORT_15474
"64938:TCP"= 64938:TCP:PORT_64938
"17526:TCP"= 17526:TCP:PORT_17526
"55655:TCP"= 55655:TCP:PORT_55655
"26113:TCP"= 26113:TCP:PORT_26113
"13066:TCP"= 13066:TCP:PORT_13066
"27363:TCP"= 27363:TCP:PORT_27363
"20018:TCP"= 20018:TCP:PORT_20018
"21254:TCP"= 21254:TCP:PORT_21254
"30640:TCP"= 30640:TCP:PORT_30640
"60860:TCP"= 60860:TCP:PORT_60860
"63886:TCP"= 63886:TCP:PORT_63886
"65293:TCP"= 65293:TCP:PORT_65293
"12705:TCP"= 12705:TCP:PORT_12705
"38695:TCP"= 38695:TCP:PORT_38695
"44336:TCP"= 44336:TCP:PORT_44336
"7270:TCP"= 7270:TCP:PORT_7270
"13242:TCP"= 13242:TCP:PORT_13242
"35169:TCP"= 35169:TCP:PORT_35169
"52176:TCP"= 52176:TCP:PORT_52176
"21703:TCP"= 21703:TCP:PORT_21703
"17058:TCP"= 17058:TCP:PORT_17058
"6094:TCP"= 6094:TCP:PORT_6094
"20976:TCP"= 20976:TCP:PORT_20976
"13648:TCP"= 13648:TCP:PORT_13648
"21379:TCP"= 21379:TCP:PORT_21379
"53165:TCP"= 53165:TCP:PORT_53165
"63876:TCP"= 63876:TCP:PORT_63876
"32227:TCP"= 32227:TCP:PORT_32227
"58402:TCP"= 58402:TCP:PORT_58402
"26945:TCP"= 26945:TCP:PORT_26945
"23613:TCP"= 23613:TCP:PORT_23613
"42190:TCP"= 42190:TCP:PORT_42190
"46273:TCP"= 46273:TCP:PORT_46273
"5129:TCP"= 5129:TCP:PORT_5129
"17441:TCP"= 17441:TCP:PORT_17441
"11358:TCP"= 11358:TCP:PORT_11358
"47945:TCP"= 47945:TCP:PORT_47945
"62504:TCP"= 62504:TCP:PORT_62504
"29207:TCP"= 29207:TCP:PORT_29207
"63868:TCP"= 63868:TCP:PORT_63868
"19056:TCP"= 19056:TCP:PORT_19056
"19508:TCP"= 19508:TCP:PORT_19508
"20289:TCP"= 20289:TCP:PORT_20289
"41976:TCP"= 41976:TCP:PORT_41976
"42636:TCP"= 42636:TCP:PORT_42636
"56367:TCP"= 56367:TCP:PORT_56367
"6601:TCP"= 6601:TCP:PORT_6601
"5832:TCP"= 5832:TCP:PORT_5832
"64568:TCP"= 64568:TCP:PORT_64568
"47795:TCP"= 47795:TCP:PORT_47795
"15321:TCP"= 15321:TCP:PORT_15321
"52648:TCP"= 52648:TCP:PORT_52648
"34274:TCP"= 34274:TCP:PORT_34274
"42426:TCP"= 42426:TCP:PORT_42426
"25760:TCP"= 25760:TCP:PORT_25760
"6367:TCP"= 6367:TCP:PORT_6367
"21659:TCP"= 21659:TCP:PORT_21659
"50116:TCP"= 50116:TCP:PORT_50116
"31822:TCP"= 31822:TCP:PORT_31822
"35973:TCP"= 35973:TCP:PORT_35973
"27235:TCP"= 27235:TCP:PORT_27235
"10653:TCP"= 10653:TCP:PORT_10653
"65523:TCP"= 65523:TCP:PORT_65523
"61189:TCP"= 61189:TCP:PORT_61189
"15683:TCP"= 15683:TCP:PORT_15683
"15001:TCP"= 15001:TCP:PORT_15001
"56200:TCP"= 56200:TCP:PORT_56200
"54282:TCP"= 54282:TCP:PORT_54282
"31973:TCP"= 31973:TCP:PORT_31973
"63728:TCP"= 63728:TCP:PORT_63728
"53331:TCP"= 53331:TCP:PORT_53331
"57925:TCP"= 57925:TCP:PORT_57925
"21450:TCP"= 21450:TCP:PORT_21450
"37000:TCP"= 37000:TCP:PORT_37000
"7388:TCP"= 7388:TCP:PORT_7388
"46756:TCP"= 46756:TCP:PORT_46756
"61819:TCP"= 61819:TCP:PORT_61819
"48043:TCP"= 48043:TCP:PORT_48043
"33961:TCP"= 33961:TCP:PORT_33961
"30461:TCP"= 30461:TCP:PORT_30461
"60512:TCP"= 60512:TCP:PORT_60512
"38488:TCP"= 38488:TCP:PORT_38488
"11901:TCP"= 11901:TCP:PORT_11901
"13450:TCP"= 13450:TCP:PORT_13450
"64902:TCP"= 64902:TCP:PORT_64902
"53879:TCP"= 53879:TCP:PORT_53879
"30481:TCP"= 30481:TCP:PORT_30481

S1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-05-15 19:20]
S2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-05-15 19:16]
S3 GoToAssist Express Customer;GoToAssist Express Customer;C:\Program Files\Citrix\GoToAssist Express Customer\86\g2ax_service.exe Start=service []

.
Contents of the 'Scheduled Tasks' folder
"2008-07-14 20:14:12 C:\WINDOWS\Tasks\At1.job"
.
- - - - ORPHANS REMOVED - - - -

HKLM-Run-AQ3HelperStartUp - C:\PROGRA~1\AQUATI~1\AQ3HEL~1.EXE
HKLM-Run-84b7c042 - C:\WINDOWS\system32\oosbdyyt.dll
Notify-GoToAssist Express Customer - C:\Program Files\Citrix\GoToAssist Express Customer\86\g2ax_winlogon.dll


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-15 15:52:59
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2008-07-15 15:58:29
ComboFix-quarantined-files.txt 2008-07-15 19:58:18

Pre-Run: 39,302,778,880 bytes free
Post-Run: 39,296,135,168 bytes free

277 --- E O F --- 2008-06-20 15:01:50
protective
Forumowicz
Forumowicz
 
Posty: 23
Dołączenie: 13 Cze 2008, 20:06

Postprzez huber2t » 16 Lip 2008, 03:08

PostUA:


Pobierz ComboFix, ale nie uruchamiaj
Wklej do notatnika:
Kod: Zaznacz wszystko
File::
C:\WINDOWS\system32\monln.dll
C:\WINDOWS\Tasks\At1.job

Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\monln]

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->
Image
Rozpocznie się usuwanie i powstanie log, daj ten log na forum.

Logi dajesz na http://www.wklej.eu/ a w poście dajesz tylko link
Awatar użytkownika
huber2t
Zasłużony działacz forum
Zasłużony działacz forum
 
Posty: 2798
Dołączenie: 21 Mar 2008, 10:07
Pochwały: 42

Postprzez protective » 17 Lip 2008, 00:18

PostUA:


nastepny log. nie wiem czy dobrze wklejony na wklejto.pl ale nigdy nie korzystalam z tego serwisu.

prosze o sprawdze loga

http://wklejto.pl/5956
protective
Forumowicz
Forumowicz
 
Posty: 23
Dołączenie: 13 Cze 2008, 20:06

Postprzez huber2t » 17 Lip 2008, 05:42

PostUA:


otwórz notatnik i wklej
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"84b7c042"=-


Z menu Notatnika -> Plik -> Zapisz jako -> Zmień rozszerzenie z .txt na wszystkie pliki -> zapisz pod nazwą Fix.reg

Uruchom ten plik, uruchom ponownie komputer

usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.

Przeczyść komputer Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum

lub

Dr.WEB CureIt!
Awatar użytkownika
huber2t
Zasłużony działacz forum
Zasłużony działacz forum
 
Posty: 2798
Dołączenie: 21 Mar 2008, 10:07
Pochwały: 42

Postprzez protective » 19 Lip 2008, 10:27

PostUA:


raport z Kaspersky'ego

KASPERSKY ONLINE SCANNER REPORT
19 lipiec 2008 04:21:16
System operacyjny: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky Online Scanner wersja: 5.0.98.0
Ostatnia aktualizacja Kaspersky Anti-Virus19/07/2008
Liczba wpisów w bazie danych Kaspersky Anti-Virus970804


Ustawienia skanowania
Skanowanie przy użyciu następujących baz danych rozszerzone
Skanuj archiwa tak
Skanuj pocztowe bazy danych tak

Obszar skanowania Mój komputer
A:\
C:\
D:\
O:\
X:\

Statystyki skanowania
Liczba skanowanych obiektów 173654
Liczba wykrytych wirusów 11
Liczba zainfekowanych obiektów 34
Liczba podejrzanych obiektów 3
Czas trwania skanowania 02:26:04

Nazwa zainfekowanego obiektu Nazwa wirusa Ostatnie działanie
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat Object is locked pominięty

C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat Object is locked pominięty

C:\Documents and Settings\JUSTYNA\Cookies\index.dat Object is locked pominięty

C:\Documents and Settings\JUSTYNA\Local Settings\Application Data\Microsoft\Outlook\outlook.pst/Foldery osobiste/Skrzynka odbiorcza/09 Jul 2008 19:50 from Chase Online:[*****SPAM*****] urgent secu/09 Jul 2008 19:50 to Redakcja:urgent security notification..html Podejrzanych: Trojan-Spy.HTML.Fraud.gen pominięty

C:\Documents and Settings\JUSTYNA\Local Settings\Application Data\Microsoft\Outlook\outlook.pst/Foldery osobiste/Skrzynka odbiorcza/15 Jul 2008 14:16 from Chase:[*****SPAM*****] Account notificati/15 Jul 2008 14:16 to Redakcja:Account notification! (Tue, 15 Jul.html Podejrzanych: Trojan-Spy.HTML.Fraud.gen pominięty

C:\Documents and Settings\JUSTYNA\Local Settings\Application Data\Microsoft\Outlook\outlook.pst MailMSMaill: podejrzany - 2 pominięty

C:\Documents and Settings\JUSTYNA\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked pominięty

C:\Documents and Settings\JUSTYNA\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty

C:\Documents and Settings\JUSTYNA\Local Settings\History\History.IE5\index.dat Object is locked pominięty

C:\Documents and Settings\JUSTYNA\Local Settings\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Object is locked pominięty

C:\Documents and Settings\JUSTYNA\Local Settings\Temporary Internet Files\Content.IE5\index.dat Object is locked pominięty

C:\Documents and Settings\JUSTYNA\NTUSER.DAT Object is locked pominięty

C:\Documents and Settings\JUSTYNA\ntuser.dat.LOG Object is locked pominięty

C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked pominięty

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked pominięty

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty

C:\Documents and Settings\LocalService\Local Settings\History\History.IE5\index.dat Object is locked pominięty

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat Object is locked pominięty

C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked pominięty

C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked pominięty

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked pominięty

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked pominięty

C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked pominięty

C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked pominięty

C:\System Volume Information\_restore{4E4ECD0F-3EF2-446D-9329-2A24EB5506A6}\RP1197\A0158447.dll Zainfekowanych: Trojan.Win32.Monderb.gen pominięty

C:\System Volume Information\_restore{4E4ECD0F-3EF2-446D-9329-2A24EB5506A6}\RP1197\A0158454.exe Zainfekowanych: Trojan.Win32.Vapsup.hgn pominięty

C:\System Volume Information\_restore{4E4ECD0F-3EF2-446D-9329-2A24EB5506A6}\RP1197\A0158455.dll Zainfekowanych: Trojan.Win32.Vapsup.hfx pominięty

C:\System Volume Information\_restore{4E4ECD0F-3EF2-446D-9329-2A24EB5506A6}\RP1197\A0158456.dll Zainfekowanych: Trojan.Win32.Vapsup.hgn pominięty

C:\System Volume Information\_restore{4E4ECD0F-3EF2-446D-9329-2A24EB5506A6}\RP1200\A0160602.exe Zainfekowanych: not-a-virus:RiskTool.Win32.Reboot.f pominięty

C:\System Volume Information\_restore{4E4ECD0F-3EF2-446D-9329-2A24EB5506A6}\RP1200\A0160752.dll Zainfekowanych: not-a-virus:AdWare.Win32.Virtumonde.zvs pominięty

C:\System Volume Information\_restore{4E4ECD0F-3EF2-446D-9329-2A24EB5506A6}\RP1201\A0161808.dll Zainfekowanych: Trojan.Win32.Monderb.gen pominięty

C:\System Volume Information\_restore{4E4ECD0F-3EF2-446D-9329-2A24EB5506A6}\RP1202\A0165977.dll Zainfekowanych: Trojan.Win32.Monderb.gen pominięty

C:\System Volume Information\_restore{4E4ECD0F-3EF2-446D-9329-2A24EB5506A6}\RP1202\A0165978.dll Zainfekowanych: Trojan.Win32.Monderb.gen pominięty

C:\System Volume Information\_restore{4E4ECD0F-3EF2-446D-9329-2A24EB5506A6}\RP1203\A0166086.dll Zainfekowanych: Trojan.Win32.Monder.alm pominięty

C:\System Volume Information\_restore{4E4ECD0F-3EF2-446D-9329-2A24EB5506A6}\RP1204\A0167086.dll Zainfekowanych: Trojan.Win32.Monder.alh pominięty

C:\System Volume Information\_restore{4E4ECD0F-3EF2-446D-9329-2A24EB5506A6}\RP1204\A0169086.dll Zainfekowanych: Trojan.Win32.Monderb.gen pominięty

C:\System Volume Information\_restore{4E4ECD0F-3EF2-446D-9329-2A24EB5506A6}\RP1205\A0171138.dll Zainfekowanych: Trojan.Win32.Monder.als pominięty

C:\System Volume Information\_restore{4E4ECD0F-3EF2-446D-9329-2A24EB5506A6}\RP1206\A0172138.dll Zainfekowanych: Trojan.Win32.Monderb.gen pominięty

C:\System Volume Information\_restore{4E4ECD0F-3EF2-446D-9329-2A24EB5506A6}\RP1208\A0178223.dll Zainfekowanych: Trojan.Win32.Monder.alx pominięty

C:\System Volume Information\_restore{4E4ECD0F-3EF2-446D-9329-2A24EB5506A6}\RP1209\A0179315.dll Zainfekowanych: Trojan.Win32.Monderb.gen pominięty

C:\System Volume Information\_restore{4E4ECD0F-3EF2-446D-9329-2A24EB5506A6}\RP1209\A0184381.dll Zainfekowanych: Trojan.Win32.Monderb.gen pominięty

C:\System Volume Information\_restore{4E4ECD0F-3EF2-446D-9329-2A24EB5506A6}\RP1209\A0184382.dll Zainfekowanych: Trojan.Win32.Monderb.gen pominięty

C:\System Volume Information\_restore{4E4ECD0F-3EF2-446D-9329-2A24EB5506A6}\RP1209\A0184383.dll Zainfekowanych: Trojan.Win32.Monderb.gen pominięty

C:\System Volume Information\_restore{4E4ECD0F-3EF2-446D-9329-2A24EB5506A6}\RP1209\A0184384.dll Zainfekowanych: Trojan.Win32.Monderb.gen pominięty

C:\System Volume Information\_restore{4E4ECD0F-3EF2-446D-9329-2A24EB5506A6}\RP1209\A0184385.dll Zainfekowanych: Trojan.Win32.Monderb.gen pominięty

C:\System Volume Information\_restore{4E4ECD0F-3EF2-446D-9329-2A24EB5506A6}\RP1209\A0184386.dll Zainfekowanych: Trojan.Win32.Monderb.gen pominięty

C:\System Volume Information\_restore{4E4ECD0F-3EF2-446D-9329-2A24EB5506A6}\RP1209\A0184387.dll Zainfekowanych: Trojan.Win32.Monderb.gen pominięty

C:\System Volume Information\_restore{4E4ECD0F-3EF2-446D-9329-2A24EB5506A6}\RP1209\A0184388.dll Zainfekowanych: Trojan.Win32.Monderb.gen pominięty

C:\System Volume Information\_restore{4E4ECD0F-3EF2-446D-9329-2A24EB5506A6}\RP1209\A0184389.dll Zainfekowanych: Trojan.Win32.Monderb.gen pominięty

C:\System Volume Information\_restore{4E4ECD0F-3EF2-446D-9329-2A24EB5506A6}\RP1209\A0184390.dll Zainfekowanych: Trojan.Win32.Monderb.gen pominięty

C:\System Volume Information\_restore{4E4ECD0F-3EF2-446D-9329-2A24EB5506A6}\RP1209\A0184391.dll Zainfekowanych: Trojan.Win32.Monderb.gen pominięty

C:\System Volume Information\_restore{4E4ECD0F-3EF2-446D-9329-2A24EB5506A6}\RP1209\A0184392.dll Zainfekowanych: Trojan.Win32.Monderb.gen pominięty

C:\System Volume Information\_restore{4E4ECD0F-3EF2-446D-9329-2A24EB5506A6}\RP1209\A0184407.exe Zainfekowanych: Trojan.Win32.Vapsup.hgn pominięty

C:\System Volume Information\_restore{4E4ECD0F-3EF2-446D-9329-2A24EB5506A6}\RP1212\change.log Object is locked pominięty

C:\WINDOWS\Debug\PASSWD.LOG Object is locked pominięty

C:\WINDOWS\explorer.exe Zainfekowanych: Trojan.Win32.Patched.aa pominięty

C:\WINDOWS\SchedLgU.Txt Object is locked pominięty

C:\WINDOWS\SoftwareDistribution\DataStore\DataStore.edb Object is locked pominięty

C:\WINDOWS\SoftwareDistribution\DataStore\Logs\edb.log Object is locked pominięty

C:\WINDOWS\SoftwareDistribution\DataStore\Logs\tmp.edb Object is locked pominięty

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked pominięty

C:\WINDOWS\Sti_Trace.log Object is locked pominięty

C:\WINDOWS\system32\CatRoot2\edb.log Object is locked pominięty

C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked pominięty

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked pominięty

C:\WINDOWS\system32\config\default Object is locked pominięty

C:\WINDOWS\system32\config\default.LOG Object is locked pominięty

C:\WINDOWS\system32\config\Internet.evt Object is locked pominięty

C:\WINDOWS\system32\config\SAM Object is locked pominięty

C:\WINDOWS\system32\config\SAM.LOG Object is locked pominięty

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked pominięty

C:\WINDOWS\system32\config\SECURITY Object is locked pominięty

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked pominięty

C:\WINDOWS\system32\config\software Object is locked pominięty

C:\WINDOWS\system32\config\software.LOG Object is locked pominięty

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked pominięty

C:\WINDOWS\system32\config\system Object is locked pominięty

C:\WINDOWS\system32\config\system.LOG Object is locked pominięty

C:\WINDOWS\system32\h323log.txt Object is locked pominięty

C:\WINDOWS\system32\lsass.exe Zainfekowanych: Trojan.Win32.Patched.aa pominięty

C:\WINDOWS\system32\services.exe Zainfekowanych: Trojan.Win32.Patched.aa pominięty

C:\WINDOWS\system32\svchost.exe Zainfekowanych: Trojan.Win32.Patched.aa pominięty

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked pominięty

C:\WINDOWS\system32\winlogon.exe Zainfekowanych: Trojan.Win32.Patched.aa pominięty

C:\WINDOWS\wiadebug.log Object is locked pominięty

C:\WINDOWS\wiaservc.log Object is locked pominięty

C:\WINDOWS\WindowsUpdate.log Object is locked pominięty

Proces skanowania został zakończony.
protective
Forumowicz
Forumowicz
 
Posty: 23
Dołączenie: 13 Cze 2008, 20:06

Postprzez huber2t » 19 Lip 2008, 10:33

PostUA:


Pobierz The Avenger

wklej do niego ten tekst:
Kod: Zaznacz wszystko
Files to delete:
C:\Documents and Settings\JUSTYNA\Local Settings\Application Data\Microsoft\Outlook\outlook.pst

Folders to delete:
C:\System Volume Information\_restore{4E4ECD0F-3EF2-446D-9329-2A24EB5506A6}\RP1197
C:\System Volume Information\_restore{4E4ECD0F-3EF2-446D-9329-2A24EB5506A6}\RP1200
C:\System Volume Information\_restore{4E4ECD0F-3EF2-446D-9329-2A24EB5506A6}\RP1201
C:\System Volume Information\_restore{4E4ECD0F-3EF2-446D-9329-2A24EB5506A6}\RP1202
C:\System Volume Information\_restore{4E4ECD0F-3EF2-446D-9329-2A24EB5506A6}\RP1203
C:\System Volume Information\_restore{4E4ECD0F-3EF2-446D-9329-2A24EB5506A6}\RP1204
C:\System Volume Information\_restore{4E4ECD0F-3EF2-446D-9329-2A24EB5506A6}\RP1205
C:\System Volume Information\_restore{4E4ECD0F-3EF2-446D-9329-2A24EB5506A6}\RP1206
C:\System Volume Information\_restore{4E4ECD0F-3EF2-446D-9329-2A24EB5506A6}\RP1208
C:\System Volume Information\_restore{4E4ECD0F-3EF2-446D-9329-2A24EB5506A6}\RP1209


kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.
Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

Najpierw wykonaj to, masz zainfekowane pliki systemowe któe będzie trzeba naprawić, ale najpierw to zrób
Awatar użytkownika
huber2t
Zasłużony działacz forum
Zasłużony działacz forum
 
Posty: 2798
Dołączenie: 21 Mar 2008, 10:07
Pochwały: 42

Postprzez protective » 20 Lip 2008, 22:41

PostUA:


raport:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\Documents and Settings\JUSTYNA\Local Settings\Application Data\Microsoft\Outlook\outlook.pst" deleted successfully.
Folder "C:\System Volume Information\_restore{4E4ECD0F-3EF2-446D-9329-2A24EB5506A6}\RP1197" deleted successfully.
Folder "C:\System Volume Information\_restore{4E4ECD0F-3EF2-446D-9329-2A24EB5506A6}\RP1200" deleted successfully.
Folder "C:\System Volume Information\_restore{4E4ECD0F-3EF2-446D-9329-2A24EB5506A6}\RP1201" deleted successfully.
Folder "C:\System Volume Information\_restore{4E4ECD0F-3EF2-446D-9329-2A24EB5506A6}\RP1202" deleted successfully.
Folder "C:\System Volume Information\_restore{4E4ECD0F-3EF2-446D-9329-2A24EB5506A6}\RP1203" deleted successfully.
Folder "C:\System Volume Information\_restore{4E4ECD0F-3EF2-446D-9329-2A24EB5506A6}\RP1204" deleted successfully.
Folder "C:\System Volume Information\_restore{4E4ECD0F-3EF2-446D-9329-2A24EB5506A6}\RP1205" deleted successfully.
Folder "C:\System Volume Information\_restore{4E4ECD0F-3EF2-446D-9329-2A24EB5506A6}\RP1206" deleted successfully.
Folder "C:\System Volume Information\_restore{4E4ECD0F-3EF2-446D-9329-2A24EB5506A6}\RP1208" deleted successfully.
Folder "C:\System Volume Information\_restore{4E4ECD0F-3EF2-446D-9329-2A24EB5506A6}\RP1209" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.
protective
Forumowicz
Forumowicz
 
Posty: 23
Dołączenie: 13 Cze 2008, 20:06

Postprzez huber2t » 21 Lip 2008, 05:39

PostUA:


Wszystko się pousuwało

Powinno być ok

:)
Awatar użytkownika
huber2t
Zasłużony działacz forum
Zasłużony działacz forum
 
Posty: 2798
Dołączenie: 21 Mar 2008, 10:07
Pochwały: 42

Postprzez protective » 22 Lip 2008, 02:44

PostUA:


ok :) dziekuje w takim razie bardzo
protective
Forumowicz
Forumowicz
 
Posty: 23
Dołączenie: 13 Cze 2008, 20:06


Powróć do Bezpieczeństwo

Kto jest na forum

Zarejestrowani użytkownicy: Bing [Bot], Google [Bot]

cron