Proszę o pomoc--problem z koniami trojańskimi

[Unigenitus]

Witam wszystkich!

Ostatnio mój entelygentny inaczej braciszek gościł u mnie jakiś czas, oczywiście postanowił sobie posurfować. Efekt był natychmiastowy- komp zawalony kupą łajna pt. konie trojańskie wszelkiej maści.

Proszę wszystkich bardziej obeznanych z tematem (bo ja jestem laikiem) o pomoc i z góry dziękuje.

mianowicie postaram się opisać sytuację:

Nagle komp zaczął wyrabiać dziwne rzeczy, po czym zmienił się kolor pulpitu na ciemnoniebieski. W ogóle nie mogłem zmienić ustawień tapety itd. Program antywirusowy AVG z którego korzystam zaczął odkrywać i usuwać non stop konia o nazwie: Trojan horse Agent.ZAK

po tym wszytskim natychmiast odłączyłem komputer od sieci!

postanowiłem skanować kompa za pomocą AVG, aż tu nagle załącza mi się jakiś program o nazwie Antivirus XP 2008 czy jakoś tak, oczywiście wyczułem ze to jakiś syf bo nigdy nie instalowałem czegoś takiego. Program ten informował mnie poprzez dymki systemowe że mój komputer zjadł 1245 wirusów i ona zaleca ich usunięcie. Wściekłem się bo wiedziałem ze nie powinienem używać nieznanych programów. Uninstalowałem go z poziomu panelu sterowania a on nadal się załanczał. Co wiecej cały czas włączała się neostrada z żądaniem połączenia do internetu- oczywiście wyłączałem ją non stop.

AVG w skanie znalazł jedynie jakies tropiące gówna z sex-stron, usunąłem je oczywiście, po czym zobaczyłem że ten program Antyvirus XP 2008 znów się pojawił a co więcej AVG cały zcas wykrywa i usuwa na nowo tego Agent.ZAK co mnie zdziwiło, ponieważ cały czas pojawiał się w tej samej lokalizacji. Postanowiłem tam się dostać i ręcznie go usunąc- tak też zrobiłem (usunołem zainfekowany plik) co nic nie pomogło AVG nadal wykrywał konia w tym samym miejscu i usuwał go zapychając mi klatke z wirusami. Postanowiłem zrobić jeszcze klika skanów ale już nie całego kompa tylko miejsca w którym znajdował się ten syf okazało się że tych trojanów jest więcej i wszystkie takie same-wywaliłem je.

Następny skan pokazał mi kolejne konie tym razem:
Trojan horse VB.EEJ, Clicker.OOK

je też wywaliłem, usunąłem też cały folder z tym programem antyirusowym po czym przestał się pojawiać.

Co następuje jak klikam prawym przciskiem na pulpicie to nie mogę we właściwościach zmieniać tapety itd w ogóle znikła mi ta zakładka. Nie moge otwierać zdjęć przez zwykły systemowy program (zanotowałęm ze konie były plikami gif)

Wydawało się że wszystko jest ok, zrestartowałem kompa włączam a tu pulpit niebieski i pojawia sie komunikat AVG ze zlokalizował i wywalił konia o nazwie: Trojan horse Generic_c.OYJ
a
na pulpicie po załączeniu systemu pojawia się ostrzeżenie:
Nie można znaleźć pliku skryptu "C:\Documents and Settings\David\Ustawienia lokalne\Temp\.tt3.tmp.vbs".

skanuje cały dysk C i nic nie znajduje, pokazując że niema syfów...

aha wszytskie trojany jakie były do tej pory prócz tego pierwszego Agent.ZAK były plikami lbo gif albo bmp.

Nie wiem co mam robić nie znam się na tym:((
Serdecznie proszę o pomoc za którą będę bardzo wdzięczny.

P.S. Teraz operuje z laptopa bo na tamtym strach uruchamiać neta:)

[murarz777]

Przeskanuj kompa czymś dobrym takim jak
http://www.kaspersky.pl/virusscanner.html
Uruchom ten skaner w przeglądarce Internet explorer
Powodzenia
P.S
Daj logi
z HijackThis
i ComboFix
Specjalisci od logów sprawdzą je napewno

[Unigenitus]

Hijackthis

Kod: Zaznacz wszystko

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:42, on 2008-08-06
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\WINDOWS\system32\lphc5cwj0et6g.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\NEOSTR~1\TaskBarIcon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\neostrada tp\neostradatp.exe
C:\Program Files\neostrada tp\ComComp.exe
C:\PROGRA~1\NEOSTR~1\Toaster.exe
C:\PROGRA~1\NEOSTR~1\Inactivity.exe
C:\PROGRA~1\NEOSTR~1\PollingModule.exe
C:\Program Files\neostrada tp\Watch.exe
C:\PROGRA~1\AVG\AVG8\aAvgApi.exe
C:\PROGRA~1\Mozilla Firefox\firefox.exe
E:\PROGRAMY\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = neostrada tp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\NEOSTR~1\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [lphc5cwj0et6g] C:\WINDOWS\system32\lphc5cwj0et6g.exe
O4 - HKLM\..\Run: [SMrhc1cwj0et6g] C:\Program Files\rhc1cwj0et6g\rhc1cwj0et6g.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA SIECIOWA')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.pl/resources/virusscanner/kavwebscan_unicode.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C8795403-D793-4367-9EFA-A80FBA52D502}: NameServer = 194.204.159.1 217.98.63.164
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 4499 bytes

-------------------------------------------------------------------------------------
Combofix

Kod: Zaznacz wszystko

ComboFix 08-08-05.05 - David 2008-08-06 18:44:48.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1250.1.1045.18.63 [GMT 2:00]
Running from: C:\Documents and Settings\David\Pulpit\ComboFix.exe
 * Resident AV is active


[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b][/color]
.

(((((((((((((((((((((((((((((((((((((((   Other Deletions   )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\David\Dane aplikacji\rhc1cwj0et6g
C:\Program Files\Microsoft Security Adviser
C:\Program Files\Microsoft Security Adviser\msctrl.log
C:\Program Files\Microsoft Security Adviser\mssadv.log
C:\Program Files\Microsoft Security Adviser\mssadv_sp.log
C:\WINDOWS\system32\1.tmp
C:\WINDOWS\system32\blphc5cwj0et6g.scr
C:\WINDOWS\system32\lphc5cwj0et6g.exe

.
(((((((((((((((((((((((((   Files Created from 2008-07-06 to 2008-08-06  )))))))))))))))))))))))))))))))
.

2008-08-06 18:15 . 2008-08-06 18:15   <DIR>   d--------   C:\WINDOWS\system32\Kaspersky Lab
2008-08-06 18:15 . 2008-08-06 18:15   <DIR>   d--------   C:\WINDOWS\LastGood
2008-08-06 18:15 . 2008-08-06 18:15   <DIR>   d--------   C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab
2008-08-06 15:00 . 2008-08-06 15:00   <DIR>   d--------   C:\Documents and Settings\David\Dane aplikacji\IrfanView
2008-08-06 13:08 . 2008-08-06 13:08   0   --a------   C:\WINDOWS\system32\4F.tmp
2008-07-12 21:11 . 2008-07-12 21:11   <DIR>   d--------   C:\Documents and Settings\Gość\Dane aplikacji\AVGTOOLBAR
2008-07-12 21:10 . 2008-08-06 18:47   <DIR>   d--h-----   C:\Documents and Settings\Gość\Ustawienia lokalne
2008-07-12 21:10 . 2008-08-06 18:47   <DIR>   d--h-----   C:\Documents and Settings\Gość\Ustawienia lokalne
2008-07-12 21:10 . 2008-07-12 21:10   <DIR>   dr-------   C:\Documents and Settings\Gość\Ulubione
2008-07-12 21:10 . 2008-07-12 21:10   <DIR>   dr-------   C:\Documents and Settings\Gość\Ulubione
2008-07-12 21:10 . 2008-05-23 12:16   <DIR>   d--h-----   C:\Documents and Settings\Gość\Szablony
2008-07-12 21:10 . 2008-05-23 12:16   <DIR>   d--h-----   C:\Documents and Settings\Gość\Szablony
2008-07-12 21:10 . 2008-05-23 13:07   <DIR>   d--------   C:\Documents and Settings\Gość\Pulpit
2008-07-12 21:10 . 2008-05-23 13:07   <DIR>   d--------   C:\Documents and Settings\Gość\Pulpit
2008-07-12 21:10 . 2008-07-12 21:10   <DIR>   dr-------   C:\Documents and Settings\Gość\Moje dokumenty
2008-07-12 21:10 . 2008-07-12 21:10   <DIR>   dr-------   C:\Documents and Settings\Gość\Moje dokumenty
2008-07-12 21:10 . 2008-05-23 13:07   <DIR>   dr-------   C:\Documents and Settings\Gość\Menu Start
2008-07-12 21:10 . 2008-05-23 13:07   <DIR>   dr-------   C:\Documents and Settings\Gość\Menu Start
2008-07-12 21:10 . 2008-07-12 21:11   <DIR>   dr-h-----   C:\Documents and Settings\Gość\Dane aplikacji
2008-07-12 21:10 . 2008-07-12 21:11   <DIR>   dr-h-----   C:\Documents and Settings\Gość\Dane aplikacji
2008-07-12 21:10 . 2008-07-12 21:10   <DIR>   d--------   C:\Documents and Settings\Gość

.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-06 16:40   ---------   d-----w   C:\Program Files\neostrada tp
2008-08-06 16:13   ---------   d-----w   C:\Documents and Settings\David\Dane aplikacji\AVGTOOLBAR
2008-08-02 21:51   ---------   d-----w   C:\Documents and Settings\David\Dane aplikacji\Skype
2008-08-02 16:13   ---------   d-----w   C:\Documents and Settings\David\Dane aplikacji\skypePM
2008-07-17 20:29   ---------   d-----w   C:\Documents and Settings\David\Dane aplikacji\OpenOffice.org2
2008-07-03 22:13   ---------   d-----w   C:\Program Files\Skype
2008-07-03 22:13   ---------   d-----w   C:\Program Files\Common Files\Skype
2008-07-03 22:13   ---------   d-----w   C:\Documents and Settings\All Users\Dane aplikacji\Skype
2008-07-02 15:30   76,040   ----a-w   C:\WINDOWS\system32\drivers\avgtdix.sys
2008-07-02 15:29   96,520   ----a-w   C:\WINDOWS\system32\drivers\avgldx86.sys
2008-07-02 15:29   10,520   ----a-w   C:\WINDOWS\system32\avgrsstx.dll
2008-07-01 14:00   ---------   d-----w   C:\Documents and Settings\David\Dane aplikacji\HP
.

(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:44 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WOOWATCH"="C:\PROGRA~1\NEOSTR~1\Watch.exe" [2004-08-23 14:49 20480]
"WOOTASKBARICON"="C:\PROGRA~1\NEOSTR~1\GestMaj.exe" [2004-10-14 16:55 32768]
"AVG8_TRAY"="C:\PROGRA~1\AVG\AVG8\avgtray.exe" [2008-07-02 17:30 1232152]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:44 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=avgrsstx.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.I420"= i420vfw.dll
"VIDC.X264"= x264vfw.dll
"VIDC.HFYU"= huffyuv.dll
"vidc.i263"= i263_32.drv
"vidc.yv12"= yv12vfw.dll
"msacm.l3fhg"= mp3fhg.acm
"msacm.divxa32"= divxa32.acm
"msacm.imc"= imc32.acm

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2007-05-11 13:06 40048 E:\PROGRAMY\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
--a------ 2006-02-19 02:41 49152 C:\Program Files\HP\HP Software Update\hpwuSchd2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]
--a------ 2001-07-09 12:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2008-03-25 04:28 144784 C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"=
"C:\\Program Files\\AVG\\AVG8\\avgupd.exe"=
"C:\\Program Files\\AVG\\AVG8\\avgemc.exe"=
"C:\\Program Files\\Konnekt\\konnekt.exe"=
"E:\\PROGRAMY\\mIRC\\mirc.exe"=
"C:\\Program Files\\Skype\\Phone\\Skype.exe"=

R1 AvgLdx86;AVG AVI Loader Driver x86;C:\WINDOWS\system32\Drivers\avgldx86.sys [2008-07-02 17:29]
R2 avg8emc;AVG8 E-mail Scanner;C:\PROGRA~1\AVG\AVG8\avgemc.exe [2008-07-02 17:30]
R2 avg8wd;AVG8 WatchDog;C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe [2008-07-02 17:30]
R2 AvgTdiX;AVG8 Network Redirector;C:\WINDOWS\system32\Drivers\avgtdix.sys [2008-07-02 17:30]
R3 e4usbaw;USB ADSL2 WAN Adapter;C:\WINDOWS\system32\DRIVERS\e4usbaw.sys [2006-09-19 11:03]
S2 IKANLOADER2;General Purpose USB Driver (e4ldr.sys);C:\WINDOWS\system32\Drivers\e4ldr.sys [2006-09-15 11:07]

*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
- - - - ORPHANS REMOVED - - - -

HKLM-Run-lphc5cwj0et6g - C:\WINDOWS\system32\lphc5cwj0et6g.exe
HKLM-Run-SMrhc1cwj0et6g - C:\Program Files\rhc1cwj0et6g\rhc1cwj0et6g.exe


.
------- Supplementary Scan -------
.
FireFox -: Profile - C:\Documents and Settings\David\Dane aplikacji\Mozilla\Firefox\Profiles\ifshq8o4.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://spaceinvasion.gry-online.pl/indexExternal.es?sid=0402c10231b63fb679381f343450607b


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-06 18:50:08
Windows 5.1.2600 Dodatek Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2008-08-06 18:52:44
ComboFix-quarantined-files.txt  2008-08-06 16:52:38

Pre-Run: 6,500,548,608 bajtów wolnych
Post-Run: 6,655,008,768 bajtów wolnych

141


-----------------------------------------------------------------------
A oto arport ze skanu Kaspersky Online

Kod: Zaznacz wszystko

KASPERSKY ONLINE SCANNER REPORT
6 sierpień 2008 20:57:54
System operacyjny: Microsoft Windows XP Professional, Dodatek Service Pack 2 (Build 2600)
Kaspersky Online Scanner wersja: 5.0.98.0
Ostatnia aktualizacja Kaspersky Anti-Virus 6/08/2008
Liczba wpisów w bazie danych Kaspersky Anti-Virus1062115
Ustawienia skanowania
Skanowanie przy użyciu następujących baz danych    rozszerzone
Skanuj archiwa    tak
Skanuj pocztowe bazy danych    tak
Obszar skanowania    Mój komputer
A:\
C:\
D:\
E:\
F:\
G:\
Statystyki skanowania
Liczba skanowanych obiektów    37465
Liczba wykrytych wirusów    3
Liczba zainfekowanych obiektów    9
Liczba podejrzanych obiektów    0
Czas trwania skanowania    01:46:55

Nazwa zainfekowanego obiektu    Nazwa wirusa    Ostatnie działanie
C:\Documents and Settings\All Users\Dane aplikacji\avg8\emc\Log\emc.log    Object is locked    pominięty
C:\Documents and Settings\All Users\Dane aplikacji\avg8\Log\avgcore.log    Object is locked    pominięty
C:\Documents and Settings\All Users\Dane aplikacji\avg8\Log\avgrs.log    Object is locked    pominięty
C:\Documents and Settings\All Users\Dane aplikacji\avg8\Log\avgsched.log    Object is locked    pominięty
C:\Documents and Settings\All Users\Dane aplikacji\avg8\Log\avgui.log    Object is locked    pominięty
C:\Documents and Settings\All Users\Dane aplikacji\avg8\Log\avgwd.log    Object is locked    pominięty
C:\Documents and Settings\All Users\Dane aplikacji\avg8\Log\commonpriv.log    Object is locked    pominięty
C:\Documents and Settings\David\Cookies\david@tradedoubler[2].txt    Object is locked    pominięty
C:\Documents and Settings\David\Cookies\index.dat    Object is locked    pominięty
C:\Documents and Settings\David\NTUSER.DAT    Object is locked    pominięty
C:\Documents and Settings\David\ntuser.dat.LOG    Object is locked    pominięty
C:\Documents and Settings\David\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat    Object is locked    pominięty
C:\Documents and Settings\David\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG    Object is locked    pominięty
C:\Documents and Settings\David\Ustawienia lokalne\Historia\History.IE5\index.dat    Object is locked    pominięty
C:\Documents and Settings\David\Ustawienia lokalne\Historia\History.IE5\MSHist012008080620080807\index.dat    Object is locked    pominięty
C:\Documents and Settings\David\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat    Object is locked    pominięty
C:\Documents and Settings\LocalService\Cookies\index.dat    Object is locked    pominięty
C:\Documents and Settings\LocalService\NTUSER.DAT    Object is locked    pominięty
C:\Documents and Settings\LocalService\ntuser.dat.LOG    Object is locked    pominięty
C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat    Object is locked    pominięty
C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG    Object is locked    pominięty
C:\Documents and Settings\LocalService\Ustawienia lokalne\Historia\History.IE5\index.dat    Object is locked    pominięty
C:\Documents and Settings\LocalService\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat    Object is locked    pominięty
C:\Documents and Settings\NetworkService\NTUSER.DAT    Object is locked    pominięty
C:\Documents and Settings\NetworkService\ntuser.dat.LOG    Object is locked    pominięty
C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat    Object is locked    pominięty
C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG    Object is locked    pominięty
C:\QooBox\Quarantine\C\WINDOWS\system32\lphc5cwj0et6g.exe.vir    Zainfekowanych: Trojan-Downloader.Win32.Small.aafg    pominięty
C:\System Volume Information\MountPointManagerRemoteDatabase    Object is locked    pominięty
C:\System Volume Information\_restore{426C0131-D5E3-4A90-B575-FDE74FA45647}\RP56\A0023884.exe    Object is locked    pominięty
C:\System Volume Information\_restore{426C0131-D5E3-4A90-B575-FDE74FA45647}\RP56\A0023887.exe    Object is locked    pominięty
C:\System Volume Information\_restore{426C0131-D5E3-4A90-B575-FDE74FA45647}\RP56\A0023904.exe    Zainfekowanych: not-a-virus:FraudTool.Win32.XPAntivirus.np    pominięty
C:\System Volume Information\_restore{426C0131-D5E3-4A90-B575-FDE74FA45647}\RP57\A0025956.exe    Zainfekowanych: Trojan-Downloader.Win32.Small.aafg    pominięty
C:\System Volume Information\_restore{426C0131-D5E3-4A90-B575-FDE74FA45647}\RP57\change.log    Object is locked    pominięty
C:\WINDOWS\Debug\PASSWD.LOG    Object is locked    pominięty
C:\WINDOWS\SchedLgU.Txt    Object is locked    pominięty
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log    Object is locked    pominięty
C:\WINDOWS\Sti_Trace.log    Object is locked    pominięty
C:\WINDOWS\system32\config\AppEvent.Evt    Object is locked    pominięty
C:\WINDOWS\system32\config\default    Object is locked    pominięty
C:\WINDOWS\system32\config\default.LOG    Object is locked    pominięty
C:\WINDOWS\system32\config\SAM    Object is locked    pominięty
C:\WINDOWS\system32\config\SAM.LOG    Object is locked    pominięty
C:\WINDOWS\system32\config\SecEvent.Evt    Object is locked    pominięty
C:\WINDOWS\system32\config\SECURITY    Object is locked    pominięty
C:\WINDOWS\system32\config\SECURITY.LOG    Object is locked    pominięty
C:\WINDOWS\system32\config\software    Object is locked    pominięty
C:\WINDOWS\system32\config\software.LOG    Object is locked    pominięty
C:\WINDOWS\system32\config\SysEvent.Evt    Object is locked    pominięty
C:\WINDOWS\system32\config\system    Object is locked    pominięty
C:\WINDOWS\system32\config\system.LOG    Object is locked    pominięty
C:\WINDOWS\system32\h323log.txt    Object is locked    pominięty
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR    Object is locked    pominięty
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP    Object is locked    pominięty
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER    Object is locked    pominięty
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP    Object is locked    pominięty
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP    Object is locked    pominięty
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA    Object is locked    pominięty
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP    Object is locked    pominięty
C:\WINDOWS\wiadebug.log    Object is locked    pominięty
C:\WINDOWS\wiaservc.log    Object is locked    pominięty
C:\WINDOWS\WindowsUpdate.log    Object is locked    pominięty
D:\System Volume Information\MountPointManagerRemoteDatabase    Object is locked    pominięty
E:\INSTALE\mirc632.exe/stream/data0001/stream/data0013    Zainfekowanych: not-a-virus:Client-IRC.Win32.mIRC.632    pominięty
E:\INSTALE\mirc632.exe/stream/data0001/stream    Zainfekowanych: not-a-virus:Client-IRC.Win32.mIRC.632    pominięty
E:\INSTALE\mirc632.exe/stream/data0001    Zainfekowanych: not-a-virus:Client-IRC.Win32.mIRC.632    pominięty
E:\INSTALE\mirc632.exe/stream    Zainfekowanych: not-a-virus:Client-IRC.Win32.mIRC.632    pominięty
E:\INSTALE\mirc632.exe    NSIS: zainfekowany - 4    pominięty
E:\PROGRAMY\mIRC\mirc.exe    Zainfekowanych: not-a-virus:Client-IRC.Win32.mIRC.632    pominięty
E:\System Volume Information\MountPointManagerRemoteDatabase    Object is locked    pominięty
Proces skanowania został zakończony.

----------------------------
Z góry serdecznie dziękuje:)

[Unigenitus]

Combofix powywalał kilka rzeczy....pulpit już jest zdrowy. Zostają jedynie konie, które wykrył Kaspersky raport powyżej.

[huber2t]

fix w hijackthis

O4 - HKLM\..\Run: [lphc5cwj0et6g] C:\WINDOWS\system32\lphc5cwj0et6g.exe
O4 - HKLM\..\Run: [SMrhc1cwj0et6g] C:\Program Files\rhc1cwj0et6g\rhc1cwj0et6g.exe

Pobierz ComboFix, ale nie uruchamiaj
Wklej do notatnika:

Kod: Zaznacz wszystko

File::
C:\WINDOWS\system32\4F.tmp


Plik zapisz jako CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu

Rozpocznie się usuwanie i powstanie log, daj ten log na forum.

Logi dajesz na http://www.wklej.eu/ a w poście dajesz tylko link

[Unigenitus]

Log z Combofix

http://www.wklejto.pl/7482

[huber2t]

Log wyglada na czysty

usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.

Przeczyść komputer Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum

lub

Dr.WEB CureIt!

[Unigenitus]

Nie mogę przeskanować Kasperskym komunikat pokazuje mi że wygasła mi licencja....dziwne bo jest to przecież skaner online. Nie wiem może wystarczy że odinstaluje tą bazę wirusów kaspersky, która jest na dysku??Resztę czynności wykonałem zgodnie z instrukcją

[huber2t]

Odinstalowanie powinno pomóc

Przeskanuj Dr Webem

[Unigenitus]

Dr. Web nic nie wykrył na pełnym skanie, spróbuje jeszcze wywalić pliki kasperskyego i raz jeszcze pobrać licencje i przeskanować bo ostatnio on właśnie wykrył konie, jak będę miał raport to edytuje tą wiadomość, będę wdzięczny za wizytę

pozdrowienia

[Unigenitus]

Scan z Kaspersky online:)

http://www.wklejto.pl/7526

[huber2t]

Wyłącz i Włącz przywracanie systemu na wszystkich dyskach. Instrukcja

E:\INSTALE\mirc632.exe

są to pliki od oprogramowania, które nie jest złośliwe, lecz ze względu na swoje możliwości przy nieumiejętnym stosowaniu może być niebezpieczne dla użytkownika.
http://www.viruslist.pl/riskware.html?c ... cles&id=41

[Unigenitus]

Serdecznie dziękuje za pomoc

Mam jeszcze ostatnie pytanie w związku z ryzykiem posiadania oprogramowania mIRC na komputerze- czy nie lepiej by było gdybym usunął je w całości?

[huber2t]

To zależy od ciebie, jak chcesz to usuń

[Unigenitus]

Usunąłem

Komputer uzdrowiony!

Jeszcze raz serdecznie dziękuje i pozdrowienia