Log z Combofix--> pomocy ,prosze o sprawdzenie loga

[White]

Prosze o sprawdzenie loga z combofix i ewentualna "poprawka" lub "naprawa" :
Z gory dzieki



Log z Combofix :

ComboFix 08-09-20.05 - Admin 2008-09-21 11:44:06.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.1.1250.1.1045.18.599 [GMT 2:00]
Uruchomiony z: C:\Documents and Settings\Admin\Pulpit\ComboFix.exe
* Utworzono nowy punkt przywracania

UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !!
.

((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\.exe
C:\WINDOWS\system32\irdvxc.exe
C:\WINDOWS\system32\ssms.exe
C:\WINDOWS\system32\urdvxc.exe

.
((((((((((((((((((((((((((((((((((((((( Sterowniki/Usługi )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_MSWINDOWS
-------\Service_MSWindows


((((((((((((((((((((((((( Pliki utworzone od 2008-08-21 do 2008-09-21 )))))))))))))))))))))))))))))))
.

2008-09-21 11:16 . 2008-09-21 11:22 <DIR> d-------- C:\Program Files\SubEdit-Player
2008-09-21 10:50 . 2008-09-21 10:50 1,890 --ahs---- C:\WINDOWS\system32\KGyGaAvL.sys
2008-09-21 10:50 . 2008-09-21 10:50 56 -r-hs---- C:\WINDOWS\system32\5A7F20C1C8.sys
2008-09-21 10:49 . 2008-09-21 10:49 <DIR> d-------- C:\Program Files\AC3Filter
2008-09-21 10:49 . 2004-05-25 17:06 417,792 --a------ C:\WINDOWS\system32\ac3filter.cpl
2008-09-21 06:48 . 2008-09-21 06:48 <DIR> d-------- C:\Program Files\Ghanimx
2008-09-21 05:55 . 2008-09-21 06:48 571,757 --a------ C:\WINDOWS\system32\nah.exe
2008-09-20 23:32 . 2002-08-29 01:32 21,760 --a--c--- C:\WINDOWS\system32\dllcache\usbstor.sys
2008-09-20 21:18 . 2008-09-20 21:18 <DIR> d-------- C:\Documents and Settings\Biaˆy
2008-09-20 21:18 . <DIR> C:\Documents and Settings\Biały\Ustawienia lokalne
2008-09-20 21:18 . <DIR> C:\Documents and Settings\Biały\Ulubione
2008-09-20 21:18 . <DIR> C:\Documents and Settings\Biały\Szablony
2008-09-20 21:18 . <DIR> C:\Documents and Settings\Biały\Pulpit
2008-09-20 21:18 . <DIR> C:\Documents and Settings\Biały\Moje dokumenty
2008-09-20 21:18 . <DIR> C:\Documents and Settings\Biały\Menu Start
2008-09-20 21:18 . <DIR> C:\Documents and Settings\Biały\Dane aplikacji\Microsoft
2008-09-20 21:18 . <DIR> C:\Documents and Settings\Biały\Dane aplikacji\Identities
2008-09-20 21:18 . <DIR> C:\Documents and Settings\Biały\Dane aplikacji
2008-09-20 19:24 . 2008-09-21 10:35 <DIR> d-------- C:\Documents and Settings\Admin\Dane aplikacji\BitTorrent
2008-09-20 18:25 . 2008-09-20 18:25 552,960 --a------ C:\WINDOWS\system32\igxdfdfds.com
2008-09-20 13:59 . 2008-09-20 13:59 67,584 --a------ C:\WINDOWS\system32\nrhjrnbk.exe
2008-09-20 13:58 . 2008-09-20 13:58 67,584 --a------ C:\WINDOWS\system32\tshzkjrv.exe
2008-09-20 13:58 . 2008-09-20 13:58 67,584 --a------ C:\WINDOWS\system32\rkkenjsb.exe
2008-09-20 13:58 . 2008-09-20 13:58 67,584 --a------ C:\WINDOWS\system32\ltkjvnlk.exe
2008-09-20 13:58 . 2008-09-20 13:58 67,584 --a------ C:\WINDOWS\system32\hhlsqcrx.exe
2008-09-20 13:58 . 2008-09-20 13:58 67,584 --a------ C:\WINDOWS\system32\cwjlxthh.exe
2008-09-20 02:09 . 2008-09-20 02:09 24 --a------ C:\WINDOWS\AM_D8.PRF
2008-09-19 20:10 . 2008-09-19 20:10 22 --a------ C:\WINDOWS\system32\ati64hlp.stb
2008-09-19 17:34 . 2008-09-19 17:34 <DIR> d-------- C:\Documents and Settings\Admin\Dane aplikacji\GanymedeNet
2008-09-19 17:34 . 2008-09-19 17:34 969 --a------ C:\WINDOWS\mozver.dat
2008-09-19 17:34 . 2008-09-19 17:34 4 --a------ C:\WINDOWS\system32\proc70894952.bin
2008-09-19 13:30 . 2008-09-19 13:30 <DIR> d-------- C:\Documents and Settings\Admin\Dane aplikacji\Media Player Classic
2008-09-19 13:29 . 2002-09-20 18:18 57,856 --a------ C:\WINDOWS\system32\drivers\redbook.sys
2008-09-19 13:29 . 2001-08-17 22:59 3,072 --a------ C:\WINDOWS\system32\drivers\audstub.sys
2008-09-19 13:28 . 2001-08-17 22:58 27,392 --a------ C:\WINDOWS\system32\drivers\VIAAGP.SYS
2008-09-19 13:28 . 2001-08-17 21:13 27,165 --a------ C:\WINDOWS\system32\drivers\fetnd5.sys
2008-09-19 13:27 . 2008-09-21 10:50 <DIR> d-------- C:\Program Files\DivX
2008-09-19 13:26 . 2008-09-21 11:16 <DIR> dr------- C:\Program Files
2008-09-19 13:25 . 2008-09-20 23:34 <DIR> d-------- C:\WINDOWS\system32\CatRoot2
2008-09-19 13:25 . 2008-09-20 23:58 <DIR> d-------- C:\Program Files\Metin2_PL
2008-09-19 13:25 . 2008-09-19 13:25 <DIR> dr-h----- C:\Documents and Settings\Default User\Ustawienia lokalne
2008-09-19 13:25 . 2008-09-19 13:25 <DIR> d-------- C:\Documents and Settings\Default User\Ulubione
2008-09-19 13:25 . 2008-09-19 12:42 <DIR> d--h----- C:\Documents and Settings\Default User\Szablony
2008-09-19 13:25 . 2008-09-19 13:25 <DIR> d-------- C:\Documents and Settings\Default User\Pulpit
2008-09-19 13:25 . 2008-09-19 13:25 <DIR> d-------- C:\Documents and Settings\Default User\Moje dokumenty
2008-09-19 13:25 . 2008-09-19 13:25 <DIR> dr------- C:\Documents and Settings\Default User\Menu Start
2008-09-19 13:25 . 2008-09-19 13:25 <DIR> dr-h----- C:\Documents and Settings\Default User\Dane aplikacji
2008-09-19 13:25 . 2008-09-19 13:25 <DIR> d-------- C:\Documents and Settings\All Users\Ulubione
2008-09-19 13:25 . 2008-09-19 13:25 <DIR> d--h----- C:\Documents and Settings\All Users\Szablony
2008-09-19 13:25 . 2008-09-21 10:50 <DIR> d-------- C:\Documents and Settings\All Users\Pulpit
2008-09-19 13:25 . 2008-09-19 12:52 <DIR> dr------- C:\Documents and Settings\All Users\Menu Start
2008-09-19 13:25 . 2008-09-19 12:44 <DIR> dr------- C:\Documents and Settings\All Users\Dokumenty
2008-09-19 13:25 . 2008-09-19 13:24 <DIR> dr-h----- C:\Documents and Settings\All Users\Dane aplikacji
2008-09-19 13:24 . 2008-09-19 13:24 <DIR> d-------- C:\Program Files\Real Alternative
2008-09-19 13:24 . 2008-09-19 12:48 <DIR> d--h----- C:\Documents and Settings\Default User
2008-09-19 13:24 . 2008-09-19 12:46 <DIR> d-------- C:\Documents and Settings\All Users
2008-09-19 13:24 . 2008-09-20 21:18 <DIR> d-------- C:\Documents and Settings
2008-09-19 13:24 . 2003-03-19 05:14 499,712 --a------ C:\WINDOWS\system32\msvcp71.dll
2008-09-19 13:24 . 2004-01-12 00:00 348,160 --a------ C:\WINDOWS\system32\msvcr71.dll
2008-09-19 13:23 . 2008-09-20 13:54 <DIR> d-------- C:\Program Files\Gadu-Gadu
2008-09-19 13:22 . 2008-09-19 14:17 <DIR> d-------- C:\Documents and Settings\Admin\Gadu-Gadu
2008-09-19 13:20 . 2008-09-21 10:30 <DIR> d-------- C:\Program Files\DNA
2008-09-19 13:20 . 2008-09-21 11:45 <DIR> d-------- C:\Documents and Settings\Admin\Dane aplikacji\DNA
2008-09-19 13:14 . 2008-09-21 11:43 132 --a------ C:\WINDOWS\winamp.ini
2008-09-19 13:07 . 2003-04-02 09:54 20,648 -ra------ C:\WINDOWS\system32\drivers\netrcacm.sys
2008-09-19 13:04 . 2008-09-19 13:04 <DIR> d-------- C:\Program Files\VIA Technologies, Inc
2008-09-19 13:03 . 1998-10-29 16:45 306,688 --a------ C:\WINDOWS\IsUninst.exe
2008-09-19 13:02 . 2000-03-29 16:17 5,824 --a------ C:\WINDOWS\system32\drivers\ASUSHWIO.SYS
2008-09-19 13:02 . 2008-09-19 13:02 2,817 --a------ C:\WINDOWS\Ascd_tmp.ini
2008-09-19 13:01 . 2002-02-12 20:23 99,872 --a------ C:\WINDOWS\system32\atmenuxx.hlp
2008-09-19 13:01 . 2002-02-12 20:23 40,856 --a------ C:\WINDOWS\system32\attenuxx.hlp
2008-09-19 13:01 . 2008-09-19 20:10 23,148 --ah----- C:\WINDOWS\system32\Atmenuxx.GID
2008-09-19 13:01 . 2008-09-19 13:01 22 --a------ C:\WINDOWS\system32\ati64hl2.stb

.
(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-20 12:00 67,584 ----a-w C:\WINDOWS\Web\wcxnjhhj.exe
2008-09-20 11:56 67,584 ----a-w C:\WINDOWS\PCHealth\HelpCtr\System\Remote Assistance\Interaction\Server\wqqnvzet.exe
2008-09-20 11:55 67,584 ----a-w C:\WINDOWS\Help\tsbjbtvn.exe
2008-09-20 11:55 67,584 ----a-w C:\WINDOWS\Help\Tours\WindowsMediaPlayer\Cnt\tjnbzhbh.exe
2008-09-20 11:55 67,584 ----a-w C:\WINDOWS\Help\Tours\WindowsMediaPlayer\Audio\lllknblj.exe
2008-09-20 11:55 67,584 ----a-w C:\WINDOWS\Help\jjlenkbt.exe
2008-09-20 11:55 67,584 ----a-w C:\WINDOWS\Help\jbnshhqj.exe
2008-09-20 11:55 67,584 ----a-w C:\WINDOWS\Help\hwexrtne.exe
2008-09-20 11:55 67,584 ----a-w C:\WINDOWS\Help\bzehxvnz.exe
2008-09-19 10:59 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-09-19 10:58 --------- d-----w C:\Program Files\Common Files\InstallShield
2008-09-19 10:58 --------- d-----w C:\Program Files\ATI Multimedia
2008-09-19 10:48 --------- d-----w C:\Program Files\microsoft frontpage
2008-09-19 10:47 558,142 ----a-w C:\WINDOWS\java\Packages\QAQLRJ5V.ZIP
2008-09-19 10:47 155,995 ----a-w C:\WINDOWS\java\Packages\5FZJ7F7Z.ZIP
2008-09-19 10:43 --------- d-----w C:\Program Files\Usługi online
.

((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MicroSoft Visual SP"="igxdfdfds.com" [2008-09-20 C:\WINDOWS\system32\igxdfdfds.com]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"MicroSoft Visual SP"="igxdfdfds.com" [2008-09-20 C:\WINDOWS\system32\igxdfdfds.com]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSConfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe" [2002-09-20 146944]
"MicroSoft Visual SP"="igxdfdfds.com" [2008-09-20 C:\WINDOWS\system32\igxdfdfds.com]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"MicroSoft Visual SP"="igxdfdfds.com" [2008-09-20 C:\WINDOWS\system32\igxdfdfds.com]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"MicroSoft Visual SP"="igxdfdfds.com" [2008-09-20 C:\WINDOWS\system32\igxdfdfds.com]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2002-09-20 13312]
"MicroSoft Visual SP"="igxdfdfds.com" [2008-09-20 C:\WINDOWS\system32\igxdfdfds.com]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"MicroSoft Visual SP"="igxdfdfds.com" [2008-09-20 C:\WINDOWS\system32\igxdfdfds.com]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BitTorrent DNA]
--a------ 2008-09-19 13:20 342336 C:\Program Files\DNA\btdna.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AtiPTA]
--a------ 2002-02-15 11:42 315392 C:\WINDOWS\system32\atiptaxx.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MicroSoft Visual SP]
--a------ 2008-09-20 18:25 552960 C:\WINDOWS\system32\igxdfdfds.com

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"D:\\Program Files\\BitTorrent\\bittorrent.exe"=

R4 dasdamicrosoft.com;MicroSoft Visual SP;C:\WINDOWS\System32\igxdfdfds.com [2008-09-20 552960]
S2 MSDisk;Network helper Service;C:\WINDOWS\System32\irdvxc.exe [ ]
.
- - - - USUNIĘTO PUSTE WPISY - - - -

MSConfigStartUp-WinampAgent - D:\Program Files\Winamp\Winampa.exe
MSConfigStartUp-Windows Update - ssms.exe


.
------- Skan uzupełniający -------
.
FireFox -: Profile - C:\Documents and Settings\Admin\Dane aplikacji\Mozilla\Firefox\Profiles\jauladrz.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - http://www.google.pl
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-21 11:46:56
Windows 5.1.2600 Dodatek Service Pack. 1 NTFS

skanowanie ukrytych procesów ...

skanowanie ukrytych wpisów autostartu ...

skanowanie ukrytych plików ...

skanowanie pomyślnie ukończone
ukryte pliki: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\dasdamicrosoft.com]
"ImagePath"="\"C:\WINDOWS\System32\igxdfdfds.com\" -netsvcs"
.
Czas ukończenia: 2008-09-21 11:48:36 - komputer został uruchomiony ponownie
ComboFix-quarantined-files.txt 2008-09-21 09:48:32

Przed: 4˙059˙529˙216 bajt˘w wolnych
Po: 4,032,724,992 bajt˘w wolnych

170

[huber2t]

Pobierz ComboFix, ale nie uruchamiaj
Wklej do notatnika:

Kod: Zaznacz wszystko

File::
C:\WINDOWS\system32\nrhjrnbk.exe
C:\WINDOWS\system32\tshzkjrv.exe
C:\WINDOWS\system32\rkkenjsb.exe
C:\WINDOWS\system32\igxdfdfds.com
C:\WINDOWS\system32\ltkjvnlk.exe
C:\WINDOWS\system32\hhlsqcrx.exe
C:\WINDOWS\system32\cwjlxthh.exe
C:\WINDOWS\Web\wcxnjhhj.exe
C:\WINDOWS\Help\tsbjbtvn.exe
C:\WINDOWS\Help\Tours\WindowsMediaPlayer\Cnt\tjnbzhbh.exe
C:\WINDOWS\Help\Tours\WindowsMediaPlayer\Audio\lllknblj.exe
C:\WINDOWS\Help\jjlenkbt.exe
C:\WINDOWS\Help\jbnshhqj.exe
C:\WINDOWS\Help\hwexrtne.exe
C:\WINDOWS\Help\bzehxvnz.exe

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MicroSoft Visual SP"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"MicroSoft Visual SP"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSConfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe" [2002-09-20 146944]
"MicroSoft Visual SP"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"MicroSoft Visual SP"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"MicroSoft Visual SP"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"MicroSoft Visual SP"=-

Driver::
MSDisk


Plik zapisz jako CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu

Rozpocznie się usuwanie i powstanie log, daj ten log na forum.

Logi dajesz na http://www.wklej.eu a w poście dajesz tylko link

[White]

Robie tak jak napisales , przerzucam txt na ikone i wyskakuje

"blad nazwy CFSscript"
"czy probowales uruchomic CFSscript?"
"wydaje sie , ze jest blad w nazwie CFSscript"

[huber2t]

Popraw nazwę tego scriptu, ściągnij najnowsza wersję combofix

[White]

http://www.wklej.eu/index.php?id=c1beccbd09

co teraz?:>

[huber2t]

Log wyglada na czysty

usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.

Przeczyść komputer Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum

lub

Dr.WEB CureIt!

[White]

Dzieki bardzo za pomoc i poswiecony czas =) pOzDro

[White]

Skanuje kompa "avast 4.8 home edition " od jakiejs godziny i znalazlo mi juz okolo tysiaca robakow(Dziwne ,he bo robilem formata jakies 2 dni temu) ,ktore od razu usuwam .pytanie teraz tylko czy te robaki do ktorych avast jeszcze nie doszedl moga sie klonowac w foldery ktore zostaly juz przeskanowane?aha..a te wszystkie robaki mozna usuwac czy moze one potrafia wiazac sie z plikami z kompa??:>

[huber2t]

Zrób to:

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

zależy jakie są to robaki, oczywiście uważaj co usuwasz i skad abyś systemowych nie naruszył

Zalecam przeskanowanie tym obszaru całego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum