log z combofixa | mulenie + komunikat avasta

przez **crmo** » 08 Sie 2008, 15:01

Witam

Przy odpalaniu systemy wyskakuje okno ,ze znaleziono C:\by.bat i zalecane jest zignorowanie. Komp ogolnie muli czasami itd.

Hojackiem wszsytko usunalemco pokazalo.

ComboFix 08-08-07.05 - Beata 2008-08-08 14:35:00.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.207 [GMT 2:00]
Running from: C:\Documents and Settings\Beata\Pulpit\ComboFix.exe
* Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Autorun.inf
C:\by.bat
C:\tyktjfww.exe
C:\WINDOWS\system32\ckvo.exe
C:\WINDOWS\system32\ckvo0.dll
C:\WINDOWS\system32\ckvo1.dll
C:\WINDOWS\system32\fool0.dll
C:\WINDOWS\system32\fool1.dll
C:\WINDOWS\system32\ieso0.dll
C:\WINDOWS\system32\kxvo.exe
D:\Autorun.inf
D:\by.bat
D:\tyktjfww.exe
E:\Autorun.inf
E:\by.bat
E:\tyktjfww.exe

.
((((((((((((((((((((((((( Files Created from 2008-07-08 to 2008-08-08 )))))))))))))))))))))))))))))))
.

2008-08-07 15:44 . 2008-08-07 15:44 <DIR> d-------- C:\Program Files\Trend Micro
2008-08-06 21:12 . 2008-08-07 09:47 148,444 -r-hs---- C:\wpfdd.exe
2008-07-25 20:58 . 2008-07-25 20:58 <DIR> d-------- C:\Program Files\Common Files\xing shared
2008-07-25 20:57 . 2008-07-25 20:58 <DIR> d-------- C:\Program Files\Real
2008-07-25 20:57 . 2008-07-25 20:57 <DIR> d-------- C:\Program Files\Common Files\Real
2008-07-23 11:05 . 2008-07-23 11:05 <DIR> d-------- C:\Program Files\Winamp Toolbar
2008-07-23 11:05 . 2008-07-23 11:05 <DIR> d-------- C:\Program Files\Winamp Remote
2008-07-23 11:05 . 2008-07-23 11:05 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\Winamp Toolbar
2008-07-23 11:05 . 2008-07-23 11:10 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\OrbNetworks
2008-07-10 19:27 . 2008-07-10 19:27 <DIR> d-------- C:\Documents and Settings\Beata\Dane aplikacji\BESTplayer

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-08 12:21 --------- d-----w C:\Documents and Settings\Beata\Dane aplikacji\Skype
2008-08-08 11:21 --------- d-----w C:\Documents and Settings\Beata\Dane aplikacji\skypePM
2008-08-07 15:18 --------- d-----w C:\Program Files\eMule
2008-07-23 09:09 --------- d-----w C:\Program Files\Winamp
2008-07-10 18:19 --------- d-----w C:\Program Files\Gadu-Gadu
2008-07-04 16:22 --------- d-----w C:\Documents and Settings\Beata\Dane aplikacji\Apple Computer
2008-07-04 16:18 --------- d-----w C:\Program Files\QuickTime
2008-07-04 16:17 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Apple Computer
2008-07-04 16:16 --------- d-----w C:\Program Files\Apple Software Update
2008-07-04 16:16 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Apple
2008-07-04 15:26 --------- d-----w C:\Program Files\Common Files\Adobe
2008-06-23 20:06 --------- d-----w C:\Program Files\Google
2008-06-23 20:05 --------- d-----w C:\Program Files\Skype
2008-06-23 20:05 --------- d-----w C:\Program Files\Common Files\Skype
2008-06-23 20:05 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Skype
2008-06-20 21:10 5,632 ----a-w C:\WINDOWS\system32\drivers\StarOpen.sys
2008-06-20 17:42 246,784 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-14 18:01 273,024 ------w C:\WINDOWS\system32\drivers\bthport.sys
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{57BCA5FA-5DBB-45a2-B558-1755C3F6253B}"= "C:\Program Files\Winamp Toolbar\winamptb.dll" [2008-07-16 22:51 1266992]

[HKEY_CLASSES_ROOT\clsid\{57bca5fa-5dbb-45a2-b558-1755c3f6253b}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLTBSearch.1]
[HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLTBSearch]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="C:\Program Files\Skype\Phone\Skype.exe" [2008-05-30 15:54 21718312]
"Creative WebCam Tray"="C:\Program Files\Creative\Shared Files\CamTray.exe" [2005-10-27 12:00 299008]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-07-03 20:36 68856]
"Orb"="C:\Program Files\Winamp Remote\bin\OrbTray.exe" [2008-04-01 03:54 507904]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"acerWireless"="C:\Program Files\acer\Wireless\Utility\WlanUtil.exe" [2004-06-09 12:15 417792]
"EPM-DM"="C:\Acer\ePM\EPM-DM.exe" [2004-11-03 19:11 163840]
"ePowerManagement"="C:\Acer\ePM\ePM.exe" [2004-11-03 18:45 2883584]
"SynTPLpr"="C:\Program Files\Synaptics\SynTP\SynTPLpr.exe" [2004-05-20 13:57 98304]
"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2004-05-20 13:57 532480]
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-08-25 13:52 339968]
"LManager"="C:\Program Files\Launch Manager\QtZgAcer.EXE" [2004-07-30 05:30 319488]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 02:11 132496]
"Symantec PIF AlertEng"="C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2008-01-29 18:38 583048]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-07-19 16:38 78008]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2008-05-27 10:50 413696]
"WinampAgent"="C:\Program Files\Winamp\winampa.exe" [2008-07-09 23:33 36352]
"TkBellExe"="C:\Program Files\Common Files\Real\Update_OB\realsched.exe" [2008-07-25 20:57 185896]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 02:44 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Gadu-Gadu\\gg.exe"=
"C:\\Program Files\\Tlen.pl\\tlen.exe"=
"C:\\Program Files\\eMule\\emule.exe"=
"C:\\Program Files\\Winamp Remote\\bin\\Orb.exe"=
"C:\\Program Files\\Winamp Remote\\bin\\OrbTray.exe"=
"C:\\Program Files\\Winamp Remote\\bin\\OrbStreamerClient.exe"=
"C:\\Program Files\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"4677:TCP"= 4677:TCP:emule1
"4678:UDP"= 4678:UDP:emule2

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 16:35]
R1 SMBHC;Sterownik kontrolera hosta magistrali zarządzania systemem firmy Microsoft;C:\WINDOWS\system32\DRIVERS\SMBHC.sys [2001-08-17 23:57]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 16:37]
R2 EpmPsd;Acer EPM Power Scheme Driver;C:\WINDOWS\system32\drivers\epm-psd.sys [2004-07-19 14:10]
R2 EpmShd;Acer EPM System Hardware Driver;C:\WINDOWS\system32\drivers\epm-shd.sys [2004-09-02 18:27]
R2 osaio;osaio;C:\WINDOWS\system32\drivers\osaio.sys [2004-06-01 12:50]
R2 osanbm;osanbm;C:\WINDOWS\system32\drivers\osanbm.sys [2004-06-01 12:50]
R3 SMBBATT;Sterownik baterii inteligentnej Microsoft;C:\WINDOWS\system32\DRIVERS\SMBBATT.sys [2004-08-04 01:07]
S2 Harmonogram automatycznej usługi LiveUpdate;Harmonogram automatycznej usługi LiveUpdate;C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe []
S3 V0260VID;Live! Cam Vista IM;C:\WINDOWS\system32\DRIVERS\V0260Vid.sys [2006-11-04 00:45]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5756fc20-63eb-11dd-824f-000e35489431}]
\Shell\AutoRun\command - G:\LaunchU3.exe -a

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5756fc21-63eb-11dd-824f-000e35489431}]
\Shell\AutoRun\command - H:\wpfdd.exe
\Shell\explore\Command - H:\wpfdd.exe
\Shell\open\Command - H:\wpfdd.exe
.
Contents of the 'Scheduled Tasks' folder

2008-07-26 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe [2008-04-11 17:57]
.
- - - - ORPHANS REMOVED - - - -

HKCU-Run-kamsoft - C:\WINDOWS\system32\ckvo.exe

.
------- Supplementary Scan -------
.
R0 -: HKCU-Main,Search Page = hxxp://www.google.com
R0 -: HKCU-Main,Search Bar = hxxp://www.google.com/ie
R0 -: HKLM-Main,Default_Search_URL = hxxp://www.google.com/ie
R0 -: HKCU-Search,SearchAssistant = hxxp://www.google.com/ie
R1 -: HKCU-SearchURL,(Default) = hxxp://www.google.com/search?q=%s
R0 -: HKLM-Search,SearchAssistant = hxxp://www.google.com/ie
O8 -: E&ksport do programu Microsoft Excel - C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-08 14:40:47
Windows 5.1.2600 Dodatek Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Acer\eManager\anbmServ.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\Program Files\Java\jre1.6.0_03\bin\jucheck.exe
.
**************************************************************************
.
Completion time: 2008-08-08 14:46:20 - machine was rebooted
ComboFix-quarantined-files.txt 2008-08-08 12:45:51
ComboFix2.txt 2008-05-18 17:58:08

Pre-Run: 2,358,353,920 bajtów wolnych
Post-Run: 2,545,537,024 bajt˘w wolnych

176 --- E O F --- 2008-07-24 09:40:16

przez **huber2t** » 08 Sie 2008, 16:42

Do wyleczenia pendrive z wirusów użyj
Perlovga Removal Tool
Flash Disinfector
lub format

Pobierz ComboFix, ale nie uruchamiaj
Wklej do notatnika:

Kod: Zaznacz wszystko: File:: C:\wpfdd.exe Registry:: [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5756fc20-63eb-11dd-824f-000e35489431}] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5756fc21-63eb-11dd-824f-000e35489431}]

Plik

zapisz jako

CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu

Rozpocznie się usuwanie i powstanie log, daj ten log na forum.

Logi dajesz na http://www.wklej.eu/ a w poście dajesz tylko link

przez **crmo** » 08 Sie 2008, 23:04

komputer dalej masakrycznie zamula

http://www.wklejto.pl/7595

pendrive swoje zabezpiecyzlem ale wczoraj zostal wsadzony nie moj....

przez **huber2t** » 09 Sie 2008, 05:55

otwórz notatnik i wklej

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{57BCA5FA-5DBB-45a2-B558-1755C3F6253B}"=-
[-HKEY_CLASSES_ROOT\clsid\{57bca5fa-5dbb-45a2-b558-1755c3f6253b}]
[-HKEY_CLASSES_ROOT\WINAMPTB.AOLTBSearch.1]
[-HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}]
[-HKEY_CLASSES_ROOT\WINAMPTB.AOLTBSearch]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"=-
"Adobe Reader Speed Launcher"=-
"QuickTime Task"=-
"WinampAgent"=-
"TkBellExe"=-

Z menu Notatnika

Plik

Zapisz jako

Zmień rozszerzenie z .txt na wszystkie pliki

zapisz pod nazwą Fix.reg

Uruchom ten plik, uruchom ponownie komputer

usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.

Przeczyść komputer Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum

lub

Dr.WEB CureIt!

przez **crmo** » 09 Sie 2008, 12:52

http://www.wklejto.pl/7622

przez **huber2t** » 09 Sie 2008, 14:40

Pobierz The Avenger

wklej do niego ten tekst:

Kod: Zaznacz wszystko: Files to delete: C:\SDFix\backups_old\backups.zip D:\wpfdd.exe E:\wpfdd.exe

kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.
Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

przez **crmo** » 09 Sie 2008, 18:34

mysle,ze chyba formatem sie zakonczy...

system nawet jak sie uruchamia przycina dzwiek windowsowego logowania.

http://www.wklejto.pl/7637

moze to kwestia temperatury hmmm bo to w laptopie mam problem.

przez **huber2t** » 09 Sie 2008, 20:58

Pliki sie nie pousuwali więc wykonajponowne skanowanie combofixem

przez **crmo** » 09 Sie 2008, 21:29

bo to jest tak ,ze..

przy wejsciu na dysk avast usunal mi te pliki.
potem sie one odtworzyly
zrobilem znow skan kasperky`im
wklilem nowa scieczke plikow i wykonalem.
potej operacji juz nic kasperky nie znalazl.

Za to z ciekawosci zrobilem skanowanie na swoim komputerze ,ktory nie miał jakichkolwiek oznak zawirusowania i znalazlo do tej pory 7 wirusow hmm pewnie jakies nie zlosliwe.

przez **huber2t** » 10 Sie 2008, 06:29

Daj raport ze skanowania tego to zobaczę co to jest i czego jest warte

przez **crmo** » 10 Sie 2008, 11:49

http://www.wklejto.pl/7674

kilka bylo w ZIPie z dzwonkami to juz wywalilem i strescilem raport.

przez **huber2t** » 10 Sie 2008, 12:22

Pobierz The Avenger

wklej do niego ten tekst:

Kod: Zaznacz wszystko: Files to delete: C:\Documents and Settings\Adam\Ustawienia lokalne\Temp\ProduKey.exe C:\Documents and Settings\Adam\Ustawienia lokalne\Temp\Wireless.exe C:\Documents and Settings\Barbara\Moje dokumenty\tleninst52363.exe C:\RECYCLER\S-1-5-21-1004336348-813497703-725345543-500\Dc1.exe C:\WINDOWS\system32\Indt2.sys C:\WINDOWS\system32\ndt2.sys

kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.
Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

przez **crmo** » 10 Sie 2008, 13:01

http://www.wklejto.pl/7678

update:

http://www.wklejto.pl/7691

dalej sie trzyma

przez **huber2t** » 10 Sie 2008, 15:56

Pobierz The Avenger

wklej do niego ten tekst:

Kod: Zaznacz wszystko: Folders to delete: C:\System Volume Information\_restore{EB981596-BB7E-4A5E-B5E6-A8C639A25206}\RP240

kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.
Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

przez **crmo** » 10 Sie 2008, 16:23

http://www.wklejto.pl/7697

log z combofixa | mulenie + komunikat avasta

log z combofixa | mulenie + komunikat avasta

Kto jest na forum