Prośba o pomoc lista wirusów do usunięcia

Witam.
Po przeskanowaniu skanerem online kaspersky:

Kod:

C:\explore.exe   Infected: Backdoor.Win32.Iroffer.fj   1
C:\WINDOWS\system\svchost.exe   Infected: Backdoor.Win32.Iroffer.fj   1
C:\WINDOWS\system\wupdmgr.exe   Infected: Trojan.Win32.Agent.vkw   1
C:\WINDOWS\system32\explorxp.exe   Infected: Trojan.Win32.Agent.afvz   1
C:\WINDOWS\system32\Panel sterowania.{21EC2020-3AEA-1069-A2DD-08002B30309D}\winlogon.dll   Infected: Backdoor.Win32.Iroffer.fj   1
D:\explore.exe   Infected: Backdoor.Win32.Iroffer.fj   1
D:\Tata\C\Doc & Set AK\Ustawienia lokalne\Dane aplikacji\Identities\{2CE3F238-6253-4167-9956-19DD4DA0BE5A}\Microsoft\Outlook Express\Skrzynka odbiorcza.dbx   Infected: Email-Worm.Win32.Zhelatin.a   1
D:\Tata\C\Doc & Set AK\Ustawienia lokalne\Dane aplikacji\Identities\{2CE3F238-6253-4167-9956-19DD4DA0BE5A}\Microsoft\Outlook Express\Skrzynka odbiorcza.dbx   Infected: Trojan-Proxy.Win32.Lager.dp   1
D:\Tata\C\Doc & Set AK\Ustawienia lokalne\Dane aplikacji\Identities\{2CE3F238-6253-4167-9956-19DD4DA0BE5A}\Microsoft\Outlook Express\Skrzynka odbiorcza.dbx   Infected: Trojan-Downloader.Win32.Tibs.kj   1
D:\Tata\DYSK D (MAGAZYN)\ELEKTRYKA\poczta\Elementy usunięte.dbx   Infected: Email-Worm.Win32.Bagle.eb   1
E:\explore.exe   Infected: Backdoor.Win32.Iroffer.fj   1
F:\explore.exe   Infected: Backdoor.Win32.Iroffer.fj   1


A oto log z HJ

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system\svchost.exe
C:\Program Files\Common Files\Logitech\LComMgr\Communications_Helper.exe
C:\Program Files\Common Files\Logitech\LComMgr\LVComSX.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Norton Ghost\Agent\VProTray.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\WINDOWS\system\wupdmgr.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Norton Ghost\Agent\VProSvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\dllhost.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\dllhost.exe
C:\Program Files\Norton Ghost\Shared\Drivers\SymSnapService.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Gadu-Gadu\gg.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [LVCOMSX] "C:\Program Files\Common Files\Logitech\LComMgr\LVComSX.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime Alternative\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\NPSWF32_FlashUtil.exe -p
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.pl/resources/virusscanner/kavwebscan_unicode.cab
O23 - Service: Urządzenie mobilne Apple (Apple Mobile Device) - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Usługa iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Common Files\Logitech\SrvLnch\SrvLnch.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: Norton Ghost - Symantec Corporation - C:\Program Files\Norton Ghost\Agent\VProSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SymSnapService - Symantec - C:\Program Files\Norton Ghost\Shared\Drivers\SymSnapService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 5415 bytes

Często procesro pracuje na 100%....Pier może zajme się wirusami ale jak je usuwać ,przecież są plikami systemowymi albo np pocztą.
Proszę o pomoc.
pozdrawiam

Te pliki można usunąć w ten sposób (mylisz się, że to pliki systemowe ):

1. Pobierz Combofix ale nie uruchamiaj
Wklej do notatnika:

Kod:

File::
C:\explore.exe
D:\explore.exe
E:\explore.exe
F:\explore.exe
C:\WINDOWS\system\svchost.exe
C:\WINDOWS\system\wupdmgr.exe
C:\WINDOWS\system32\Panel sterowania.{21EC2020-3AEA-1069-A2DD-08002B30309D}\winlogon.dll

Folder::
C:\WINDOWS\system32\Panel sterowania.{21EC2020-3AEA-1069-A2DD-08002B30309D}


Plik Zapisz jako CFScript.txt
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe - operację najlepiej przeprowadzić w TRYBIE AWARYJNYM
Rozpocznie się usuwanie i powstanie log, daj ten log na forum (log wrzuć na http://www.wklej.eu/ )

2. Przeskanuj komputer programami >CureIT< oraz Ad-Aware 2007

Witam ponownie.Zrobiłem co napisałeś.
A oto log z ComboFixa po zakończeniu poprzedniej operacji:

Kod:

ComboFix 09-03-18.01 - tomtom 2009-03-20 16:57:44.1 - NTFSx86 MINIMAL
Microsoft Windows XP Professional  5.1.2600.3.1250.1.1045.18.1023.842 [GMT 1:00]
Uruchomiony z: c:\documents and settings\tomtom\Pulpit\ComboFix.exe
Użyto następujących komend :: c:\documents and settings\tomtom\Pulpit\CFScript.txt
FW: ZoneAlarm Firewall *enabled*

UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !!

FILE ::
C:\explore.exe
c:\windows\system\svchost.exe
c:\windows\system\wupdmgr.exe
c:\windows\system32\Panel sterowania.{21EC2020-3AEA-1069-A2DD-08002B30309D}\winlogon.dll
D:\explore.exe
E:\explore.exe
F:\explore.exe
.

(((((((((((((((((((((((((((((((((((((((   Usunięto   )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Autorun.inf
C:\explore.exe
c:\windows\system\mmtaskclean.log
c:\windows\system\svchost.exe
c:\windows\system\win32in.dll
c:\windows\system\win32out.dll
c:\windows\system\wupdmgr.exe
c:\windows\system32\explorxp.exe
c:\windows\system32\Panel sterowania.{21EC2020-3AEA-1069-A2DD-08002B30309D}
c:\windows\system32\Panel sterowania.{21EC2020-3AEA-1069-A2DD-08002B30309D}\winlogon.dll
c:\windows\system32\settings.dll
D:\Autorun.inf
D:\explore.exe
E:\Autorun.inf
E:\explore.exe
F:\Autorun.inf
F:\explore.exe

.
(((((((((((((((((((((((((((((((((((((((   Sterowniki/Usługi   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_CREATEPROCESS
-------\Legacy_ISODRIVE
-------\Service_CreateProcess
-------\Service_ISODrive


(((((((((((((((((((((((((   Pliki utworzone od 2009-02-20 do 2009-03-20  )))))))))))))))))))))))))))))))
.

2009-03-19 23:07 . 2009-03-19 23:07   <DIR>   d--------   c:\program files\Trend Micro
2009-03-19 20:34 . 2009-03-19 20:34   664   --a------   c:\windows\system32\d3d9caps.dat
2009-03-19 20:18 . 2009-03-19 20:18   <DIR>   d--------   c:\windows\Sun
2009-03-19 20:16 . 2009-03-19 20:16   <DIR>   d--------   c:\program files\Java
2009-03-19 20:16 . 2009-03-19 20:16   410,984   --a------   c:\windows\system32\deploytk.dll
2009-03-19 20:16 . 2009-03-19 20:16   73,728   --a------   c:\windows\system32\javacpl.cpl
2009-03-19 20:12 . 2009-03-19 20:12   <DIR>   d--------   c:\windows\system32\Kaspersky Lab
2009-03-19 20:12 . 2009-03-19 20:12   <DIR>   d--------   c:\documents and settings\All Users\Dane aplikacji\Kaspersky Lab

.
((((((((((((((((((((((((((((((((((((((((   Sekcja Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-20 11:16   259,072   ----a-w   c:\windows\Internet Logs\xDB1.tmp
.

(((((((((((((((((((((((((((((((((((((   Wpisy startowe rejestru   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LVCOMSX"="c:\program files\Common Files\Logitech\LComMgr\LVComSX.exe" [2006-08-03 244520]
"QuickTime Task"="c:\program files\QuickTime Alternative\QTTask.exe" [2008-03-28 413696]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-08-11 7630848]
"Zone Labs Client"="c:\program files\Zone Labs\ZoneAlarm\zlclient.exe" [2006-07-09 968696]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2006-07-19 c:\windows\KHALMNPR.Exe]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2006-07-19 c:\windows\KHALMNPR.Exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Adobe Reader Speed Launch.lnk]
path=c:\documents and settings\All Users\Menu Start\Programy\Autostart\Adobe Reader Speed Launch.lnk
backup=c:\windows\pss\Adobe Reader Speed Launch.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Adobe Reader Synchronizer.lnk]
path=c:\documents and settings\All Users\Menu Start\Programy\Autostart\Adobe Reader Synchronizer.lnk
backup=c:\windows\pss\Adobe Reader Synchronizer.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Logitech SetPoint.lnk]
path=c:\documents and settings\All Users\Menu Start\Programy\Autostart\Logitech SetPoint.lnk
backup=c:\windows\pss\Logitech SetPoint.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
--a------ 2008-07-24 16:02 490952 c:\program files\DAEMON Tools Lite\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2008-03-30 09:36 267048 c:\program files\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechCommunicationsManager]
--a------ 2006-08-03 08:44 529968 c:\program files\Common Files\Logitech\LComMgr\Communications_Helper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2007-03-01 14:57 153136 c:\program files\Common Files\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Norton Ghost 14.0]
--a------ 2008-01-19 19:01 2245984 c:\program files\Norton Ghost\Agent\VProTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
--a------ 2006-08-11 20:43 7630848 c:\windows\system32\nvcpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
--a------ 2006-08-11 20:43 86016 c:\windows\system32\nvmctray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2009-03-19 20:16 148888 c:\program files\Java\jre6\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2006-08-11 20:43 1519616 c:\windows\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\Gadu-Gadu\\gg.exe"=

R0 Jahci;Jahci;c:\windows\system32\drivers\Jahci.sys [2007-11-30 33280]
R0 uliagpkx;ULi AGP Bus Filter Driver;c:\windows\system32\drivers\AGPKX.SYS [2008-10-15 45056]
R2 LBeepKE;LBeepKE;c:\windows\system32\drivers\LBeepKE.sys [2008-10-15 3712]
R2 Symantec SymSnap VSS Provider;Symantec SymSnap VSS Provider;c:\windows\system32\dllhost.exe [2004-08-03 5120]
R3 SymSnapService;SymSnapService;c:\program files\Norton Ghost\Shared\Drivers\SymSnapService.exe [2007-12-20 1553896]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL explore.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL explore.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL explore.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL explore.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2d5c6f5a-9c9e-11dd-be00-000244211e8d}]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL explore.exe
.
.
------- Skan uzupełniający -------
.
uStart Page = hxxp://www.google.pl/
IE: E&ksport do programu Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\tomtom\Dane aplikacji\Mozilla\Firefox\Profiles\qe5pc1qt.default\
FF - prefs.js: browser.startup.homepage - http://www.google.pl
FF - plugin: c:\program files\QuickTime Alternative\Plugins\npqtplugin.dll
FF - plugin: c:\program files\QuickTime Alternative\Plugins\npqtplugin2.dll
FF - plugin: c:\program files\QuickTime Alternative\Plugins\npqtplugin3.dll
FF - plugin: c:\program files\QuickTime Alternative\Plugins\npqtplugin4.dll
FF - plugin: c:\program files\QuickTime Alternative\Plugins\npqtplugin5.dll
FF - plugin: c:\program files\QuickTime Alternative\Plugins\npqtplugin6.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-20 16:59:39
Windows 5.1.2600 Dodatek Service Pack 3 NTFS

skanowanie ukrytych procesów ... 

skanowanie ukrytych wpisów autostartu ...

skanowanie ukrytych plików ... 

skanowanie pomyślnie ukończone
ukryte pliki: 0

**************************************************************************
.
------------------------ Pozostałe uruchomione procesy ------------------------
.
c:\windows\system32\ZoneLabs\vsmon.exe
c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Norton Ghost\Agent\VProSvc.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\msdtc.exe
.
**************************************************************************
.
Czas ukończenia: 2009-03-20 17:01:03 - komputer został uruchomiony ponownie
ComboFix-quarantined-files.txt  2009-03-20 16:01:00

Przed: 28 005 130 240 bajtów wolnych
Po: 28,007,038,976 bajtów wolnych

167


pozdrawiam

Było to robione w trybie awaryjnym

1. Użyj Flash Disinfector do usunięcia wirusów z Pendrive / eMPe3 - lub format

2. Pobierz Combofix ale nie uruchamiaj
Wklej do notatnika:

Kod:

File::
c:\windows\Internet Logs\xDB1.tmp

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]


Plik Zapisz jako CFScript.txt
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe - operację najlepiej przeprowadzić w TRYBIE AWARYJNYM
Rozpocznie się usuwanie i powstanie log, daj ten log na forum (log wrzuć na

Kod:

http://www.wklej.eu/

)

3. Usuń e-maile z Outlooka - masz tam kilka wirusów

4. Wyłącz i włącz Przywracanie Systemu -

Kod:

http://support.microsoft.com/kb/310405/pl

Witam.Dziękuje za pomoc.
Oto kolejny log, już po drugim skrypcie.

Kod:

ComboFix 09-03-18.01 - tomtom 2009-03-21 14:57:52.2 - NTFSx86 MINIMAL
Microsoft Windows XP Professional  5.1.2600.3.1250.1.1045.18.1023.843 [GMT 1:00]
Uruchomiony z: c:\documents and settings\tomtom\Pulpit\ComboFix.exe
Użyto następujących komend :: c:\documents and settings\tomtom\Pulpit\CFScript.txt
FW: ZoneAlarm Firewall *enabled*

UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !!

FILE ::
c:\windows\Internet Logs\xDB1.tmp
.

(((((((((((((((((((((((((((((((((((((((   Usunięto   )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\Internet Logs\xDB1.tmp

.
(((((((((((((((((((((((((   Pliki utworzone od 2009-02-21 do 2009-03-21  )))))))))))))))))))))))))))))))
.

2009-03-20 17:11 . 2009-03-20 17:11   <DIR>   d--------   c:\documents and settings\tomtom\DoctorWeb
2009-03-19 23:07 . 2009-03-19 23:07   <DIR>   d--------   c:\program files\Trend Micro
2009-03-19 20:34 . 2009-03-19 20:34   664   --a------   c:\windows\system32\d3d9caps.dat
2009-03-19 20:18 . 2009-03-19 20:18   <DIR>   d--------   c:\windows\Sun
2009-03-19 20:16 . 2009-03-19 20:16   <DIR>   d--------   c:\program files\Java
2009-03-19 20:16 . 2009-03-19 20:16   410,984   --a------   c:\windows\system32\deploytk.dll
2009-03-19 20:16 . 2009-03-19 20:16   73,728   --a------   c:\windows\system32\javacpl.cpl
2009-03-19 20:12 . 2009-03-19 20:12   <DIR>   d--------   c:\windows\system32\Kaspersky Lab
2009-03-19 20:12 . 2009-03-19 20:12   <DIR>   d--------   c:\documents and settings\All Users\Dane aplikacji\Kaspersky Lab

.
((((((((((((((((((((((((((((((((((((((((   Sekcja Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.

(((((((((((((((((((((((((((((   SnapShot@2009-03-20_17.00.28.73   )))))))))))))))))))))))))))))))))))))))))
.
- 2009-03-20 15:50:25   58,596   ----a-w   c:\windows\system32\perfc009.dat
+ 2009-03-21 13:58:27   58,596   ----a-w   c:\windows\system32\perfc009.dat
- 2009-03-20 15:50:25   74,230   ----a-w   c:\windows\system32\perfc015.dat
+ 2009-03-21 13:58:27   74,230   ----a-w   c:\windows\system32\perfc015.dat
- 2009-03-20 15:50:25   392,296   ----a-w   c:\windows\system32\perfh009.dat
+ 2009-03-21 13:58:27   392,296   ----a-w   c:\windows\system32\perfh009.dat
- 2009-03-20 15:50:25   448,004   ----a-w   c:\windows\system32\perfh015.dat
+ 2009-03-21 13:58:27   448,004   ----a-w   c:\windows\system32\perfh015.dat
.
(((((((((((((((((((((((((((((((((((((   Wpisy startowe rejestru   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LVCOMSX"="c:\program files\Common Files\Logitech\LComMgr\LVComSX.exe" [2006-08-03 244520]
"QuickTime Task"="c:\program files\QuickTime Alternative\QTTask.exe" [2008-03-28 413696]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-08-11 7630848]
"Zone Labs Client"="c:\program files\Zone Labs\ZoneAlarm\zlclient.exe" [2006-07-09 968696]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2006-07-19 c:\windows\KHALMNPR.Exe]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2006-07-19 c:\windows\KHALMNPR.Exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Adobe Reader Speed Launch.lnk]
path=c:\documents and settings\All Users\Menu Start\Programy\Autostart\Adobe Reader Speed Launch.lnk
backup=c:\windows\pss\Adobe Reader Speed Launch.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Adobe Reader Synchronizer.lnk]
path=c:\documents and settings\All Users\Menu Start\Programy\Autostart\Adobe Reader Synchronizer.lnk
backup=c:\windows\pss\Adobe Reader Synchronizer.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Logitech SetPoint.lnk]
path=c:\documents and settings\All Users\Menu Start\Programy\Autostart\Logitech SetPoint.lnk
backup=c:\windows\pss\Logitech SetPoint.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
--a------ 2008-07-24 16:02 490952 c:\program files\DAEMON Tools Lite\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2008-03-30 09:36 267048 c:\program files\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechCommunicationsManager]
--a------ 2006-08-03 08:44 529968 c:\program files\Common Files\Logitech\LComMgr\Communications_Helper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2007-03-01 14:57 153136 c:\program files\Common Files\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Norton Ghost 14.0]
--a------ 2008-01-19 19:01 2245984 c:\program files\Norton Ghost\Agent\VProTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
--a------ 2006-08-11 20:43 7630848 c:\windows\system32\nvcpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
--a------ 2006-08-11 20:43 86016 c:\windows\system32\nvmctray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2009-03-19 20:16 148888 c:\program files\Java\jre6\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2006-08-11 20:43 1519616 c:\windows\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\Gadu-Gadu\\gg.exe"=

R0 Jahci;Jahci;c:\windows\system32\drivers\Jahci.sys [2007-11-30 33280]
R0 uliagpkx;ULi AGP Bus Filter Driver;c:\windows\system32\drivers\AGPKX.SYS [2008-10-15 45056]
S2 LBeepKE;LBeepKE;c:\windows\system32\drivers\LBeepKE.sys [2008-10-15 3712]
S2 Symantec SymSnap VSS Provider;Symantec SymSnap VSS Provider;c:\windows\system32\dllhost.exe [2004-08-03 5120]
S3 SymSnapService;SymSnapService;c:\program files\Norton Ghost\Shared\Drivers\SymSnapService.exe [2007-12-20 1553896]

--- Inne Usługi/Sterowniki w Pamięci ---

*NewlyCreated* - LBEEPKE
.
.
------- Skan uzupełniający -------
.
uStart Page = hxxp://www.google.pl/
IE: E&ksport do programu Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\tomtom\Dane aplikacji\Mozilla\Firefox\Profiles\qe5pc1qt.default\
FF - prefs.js: browser.startup.homepage - http://www.google.pl
FF - plugin: c:\program files\QuickTime Alternative\Plugins\npqtplugin.dll
FF - plugin: c:\program files\QuickTime Alternative\Plugins\npqtplugin2.dll
FF - plugin: c:\program files\QuickTime Alternative\Plugins\npqtplugin3.dll
FF - plugin: c:\program files\QuickTime Alternative\Plugins\npqtplugin4.dll
FF - plugin: c:\program files\QuickTime Alternative\Plugins\npqtplugin5.dll
FF - plugin: c:\program files\QuickTime Alternative\Plugins\npqtplugin6.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-21 14:58:37
Windows 5.1.2600 Dodatek Service Pack 3 NTFS

skanowanie ukrytych procesów ... 

skanowanie ukrytych wpisów autostartu ...

skanowanie ukrytych plików ... 

skanowanie pomyślnie ukończone
ukryte pliki: 0

**************************************************************************
.
Czas ukończenia: 2009-03-21 14:59:08
ComboFix-quarantined-files.txt  2009-03-21 13:59:03
ComboFix2.txt  2009-03-20 16:01:05

Przed: 27 902 599 168 bajtów wolnych
Po: 27,957,153,792 bajtów wolnych

131

Log wygląda na czysty

Możesz wyłączyć niepotrzebne programy podczas uruchamiania systemu - Start Uruchom msconfig (ENTER) Zakładka: Uruchamianie

Usuń folder z dysku C:\Qoobox

Ponownie przeskanowałem kasperskym i oto wyniki

Scan statistics:
Files scanned: 108675
Threat name: 4
Infected objects: 16
Suspicious objects: 0
Duration of the scan: 02:33:24


File name / Threat name / Threats count
C:\WINDOWS\system\svchost.exe//PE_Patch.UPX//UPX/C:\WINDOWS\system\svchost.exe//PE_Patch.UPX//UPX Infected: Backdoor.Win32.Iroffer.fj 1
C:\WINDOWS\system\wupdmgr.exe//PE_Patch.UPX//UPX/C:\WINDOWS\system\wupdmgr.exe//PE_Patch.UPX//UPX Infected: Trojan.Win32.Agent.vkw 1
C:\explore.exe Infected: Backdoor.Win32.Iroffer.fj 1
C:\Qoobox\Quarantine\C\explore.exe.vir Infected: Backdoor.Win32.Iroffer.fj 1
C:\Qoobox\Quarantine\C\WINDOWS\system\svchost.exe.vir Infected: Backdoor.Win32.Iroffer.fj 1
C:\Qoobox\Quarantine\C\WINDOWS\system\wupdmgr.exe.vir Infected: Trojan.Win32.Agent.vkw 1
C:\Qoobox\Quarantine\C\WINDOWS\system32\explorxp.exe.vir Infected: Trojan.Win32.Agent.afvz 1
C:\Qoobox\Quarantine\C\WINDOWS\system32\Panel sterowania.{21EC2020-3AEA-1069-A2DD-08002B30309D}\winlogon.dll.vir Infected: Backdoor.Win32.Iroffer.fj 1
C:\WINDOWS\system\svchost.exe Infected: Backdoor.Win32.Iroffer.fj 1
C:\WINDOWS\system\wupdmgr.exe Infected: Trojan.Win32.Agent.vkw 1
C:\WINDOWS\system32\explorxp.exe Infected: Trojan.Win32.Agent.afvz 1
C:\WINDOWS\system32\Panel sterowania.{21EC2020-3AEA-1069-A2DD-08002B30309D}\winlogon.dll Infected: Backdoor.Win32.Iroffer.fj 1
D:\explore.exe Infected: Backdoor.Win32.Iroffer.fj 1
D:\Tata\DYSK D (MAGAZYN)\ELEKTRYKA\poczta\Elementy usunięte.dbx Infected: Email-Worm.Win32.Bagle.eb 1
E:\explore.exe Infected: Backdoor.Win32.Iroffer.fj 1
F:\explore.exe Infected: Backdoor.Win32.Iroffer.fj 1


Wciąż to samo ? !
Co teraz ?

usunąłeś po skanie??
Jeśli nie to przeskanuj Dr.Web - znajdziesz go na portalu