Proszę o sprawdzenie loga - mam chyba jakiegoś wirusa
ComboFix 08-02.05.3 - ja 2008-02-06 18:32:21.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.449 [GMT 1:00]
Running from: C:\Documents and Settings\ja\Pulpit\ComboFix.exe
* Created a new restore point
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Autorun.inf
C:\Program Files\WhenUSearch
C:\u.bat
C:\WINDOWS\system32\amvo.exe
E:\Autorun.inf
E:\u.bat
F:\Autorun.inf
F:\u.bat
.
((((((((((((((((((((((((( Files Created from 2008-01-06 to 2008-02-06 )))))))))))))))))))))))))))))))
.
2008-02-05 21:23 . 2008-02-05 21:23 103,673 -r-hs---- C:\188qsm.bat
2008-02-03 09:07 . 2008-02-05 08:24 103,367 -r-hs---- C:\2ifetri.cmd
2008-02-02 15:45 . 2008-02-02 15:44 104,644 -r-hs---- C:\i.cmd
2008-01-30 07:56 . 2008-02-01 15:25 103,574 -r-hs---- C:\h.cmd
2008-01-29 10:19 . 2008-01-29 19:59 103,683 -r-hs---- C:\ylr.exe
2008-01-25 14:34 . 2008-01-28 09:03 105,293 -r-hs---- C:\xo8wr9.exe
2008-01-24 19:41 . 2008-01-24 19:40 104,822 -r-hs---- C:\qd.cmd
2008-01-23 17:14 . 2008-01-24 15:01 106,936 -r-hs---- C:\awda2.exe
2008-01-19 06:49 . 2008-01-23 08:43 104,197 -r-hs---- C:\xn1i9x.com
2008-01-18 20:19 . 2008-01-18 20:26 <DIR> d-------- C:\Program Files\Counter-Strike 1.6
2008-01-18 12:33 . 2008-01-18 12:33 149,109 --a------ C:\UNTITLED.SIM
2008-01-13 00:31 . 2008-01-14 10:42 <DIR> d-------- C:\Program Files\City Interactive
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-06 16:48 --------- d-----w C:\Program Files\DC++
2008-02-06 07:37 --------- d-----w C:\Documents and Settings\ja\Dane aplikacji\OpenOffice.org2
2008-01-29 21:34 --------- d-----w C:\Documents and Settings\ja\Dane aplikacji\Skype
2008-01-22 15:46 --------- d-----w C:\Program Files\DOSBox-0.72
2007-12-10 07:38 --------- d-----w C:\Program Files\Google
2007-12-04 13:04 837,496 ----a-w C:\WINDOWS\system32\aswBoot.exe
2007-12-04 12:54 95,608 ----a-w C:\WINDOWS\system32\AVASTSS.scr
2007-11-07 09:29 723,968 ----a-w C:\WINDOWS\system32\lsasrv.dll
2007-09-08 16:31 20 ---h--w C:\Documents and Settings\All Users\Dane aplikacji\PKP_DLec.DAT
2004-10-01 13:00 40,960 ----a-w C:\Program Files\Uninstall_CDS.exe
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:44 15360]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-10-13 17:24 1694208]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-25 18:32 68856]
"mxClock"="C:\Documents and Settings\ja\Pulpit\mxClock.exe" [2007-06-19 22:49 720482]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-06-15 17:20 6803456]
"nwiz"="nwiz.exe" [2005-06-15 17:20 1519616 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2005-06-15 17:20 86016]
"Smapp"="C:\Program Files\Analog Devices\SoundMAX\SMTray.exe" [2003-05-05 08:57 143360]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-02-16 10:54 282624]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 00:11 132496]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 09:50 155648]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2007-03-02 15:24 257088]
"WireLessKeyboard"="C:\Program Files\Multimedia Keyboard Driver\StartAutorun.exe" [2005-11-30 12:48 44032]
"WinampAgent"="C:\Program Files\Winamp\winampa.exe" [2007-05-14 23:22 35328]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-03 23:44 15360]
"Picasa Media Detector"="C:\Program Files\Picasa2\PicasaMediaDetector.exe" [2007-09-28 02:17 443968]
C:\Documents and Settings\ja\Menu Start\Programy\Autostart\
OpenOffice.org 2.0.3.lnk - C:\Program Files\OpenOffice.org 2.0.3\program\quickstart.exe [2006-07-02 16:46:50 393216]
C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\
Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office\OSA9.EXE [1999-02-17 19:05:56 65588]
NkbMonitor.exe.lnk - C:\Program Files\Nikon\PictureProject\NkbMonitor.exe [2007-07-17 14:04:36 118784]
QuickTV.lnk - C:\Program Files\AVerTV\QuickTV.exe [2005-08-30 20:04:30 405504]
R2 CX23880;AVerMedia, AVerTV Video Capture;C:\WINDOWS\system32\drivers\cx88vid.sys [2005-12-09 10:46]
R2 CX88XBAR;AVerMedia, AVerTV Crossbar (88x);C:\WINDOWS\system32\drivers\CX88XBAR.sys [2005-12-09 10:46]
R2 CXTUNE;AVerMedia AVerTV Tuner Service (88x);C:\WINDOWS\system32\drivers\CX88TUNE.sys [2005-12-09 10:45]
R2 SG_Service;SoftGuard Service;C:\Program Files\Common Files\RbtProt\sgsrv.exe [2005-04-25 10:58]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{122626c0-cde4-11dc-b021-000acd08391f}]
\Shell\AutoRun\command - D:\xo8wr9.exe
\Shell\explore\Command - D:\xo8wr9.exe
\Shell\open\Command - D:\xo8wr9.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{375d8db0-a50a-11dc-afcb-000acd08391f}]
\Shell\Auto\command - D:\activexdebugger32.exe f
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL activexdebugger32.exe f
\Shell\explore\Command - D:\activexdebugger32.exe f
\Shell\open\Command - D:\activexdebugger32.exe f
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{61cb3c54-bf5e-11dc-affa-000acd08391f}]
\Shell\AutoRun\command - D:\d.com
\Shell\explore\Command - D:\d.com
\Shell\open\Command - D:\d.com
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a0604f60-c4f6-11dc-b00a-000acd08391f}]
\Shell\AutoRun\command - D:\m1t8ta.com
\Shell\explore\Command - D:\m1t8ta.com
\Shell\open\Command - D:\m1t8ta.com
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b6bca1d6-c674-11dc-b00e-000acd08391f}]
\Shell\AutoRun\command - D:\xn1i9x.com
\Shell\explore\Command - D:\xn1i9x.com
\Shell\open\Command - D:\xn1i9x.com
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c5a04357-6abd-11dc-af28-000acd08391f}]
\Shell\AutoRun\command - D:\LaunchU3.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c9fb8797-06bd-11dc-ae4a-000acd08391f}]
\Shell\AutoRun\command - I:\2ifetri.cmd
\Shell\explore\Command - I:\2ifetri.cmd
\Shell\open\Command - I:\2ifetri.cmd
*Newly Created Service* - ZXSDERFBUKJFYSHLHDFRSTDZHDFA
.
Contents of the 'Scheduled Tasks' folder
"2008-02-01 15:41:04 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
"2008-02-06 15:38:32 C:\WINDOWS\Tasks\Symantec NetDetect.job"
- C:\Program Files\Symantec\LiveUpdate\NDETECT.EXE
.
**************************************************************************
catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-06 18:35:35
Windows 5.1.2600 Dodatek Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
AppInit_DLLs = ??????????
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
Completion time: 2008-02-06 18:36:46
ComboFix-quarantined-files.txt 2008-02-06 17:36:29
.
2008-01-10 09:07:12 --- E O F ---
Proszę o sprawdzenie loga
Regulamin forum
1. Każdy temat powinien odzwierciedlać treść wątku.
2. W przypadku wklejania logów; należy je wykonać od razu przynajmniej z dwóch narzędzi: FRST oraz z GMER
3. Wszelkie logi proszę publikować na przeznaczonych do tego stronach a w poście wklejać tylko link.
4. Nie wskazane jest skracanie logów, należy wkleić cały - od początku, do końca.
5. Nie wskazane jest podczepianie się do tematów innych użytkowników - proszę założyć nowy temat w dziale Bezpieczeństwo, ułatwi to pomoc sprawdzającemu.
6. Osoby nie posiadające odpowiedniej wiedzy, nie powinny sprawdzać logów, ponieważ grozi to poważnym uszkodzeniem systemu lub aplikacji zainstalowanych na komputerze.
7. Należy dokładnie opisać problem, występujące objawy oraz wszelkie podjęte działania.
8. Każdy skrypt jest unikatowy, napisany dla każdego przypadku z osobna, więc nie może być stosowany przez innych.
9. W przypadku zamieszczenia zrzutu ekranu (screenshot'a) proszę korzystać z zewnętrznego serwisu oferującego hosting zdjęć.
1. Każdy temat powinien odzwierciedlać treść wątku.
2. W przypadku wklejania logów; należy je wykonać od razu przynajmniej z dwóch narzędzi: FRST oraz z GMER
3. Wszelkie logi proszę publikować na przeznaczonych do tego stronach a w poście wklejać tylko link.
4. Nie wskazane jest skracanie logów, należy wkleić cały - od początku, do końca.
5. Nie wskazane jest podczepianie się do tematów innych użytkowników - proszę założyć nowy temat w dziale Bezpieczeństwo, ułatwi to pomoc sprawdzającemu.
6. Osoby nie posiadające odpowiedniej wiedzy, nie powinny sprawdzać logów, ponieważ grozi to poważnym uszkodzeniem systemu lub aplikacji zainstalowanych na komputerze.
7. Należy dokładnie opisać problem, występujące objawy oraz wszelkie podjęte działania.
8. Każdy skrypt jest unikatowy, napisany dla każdego przypadku z osobna, więc nie może być stosowany przez innych.
9. W przypadku zamieszczenia zrzutu ekranu (screenshot'a) proszę korzystać z zewnętrznego serwisu oferującego hosting zdjęć.
4 posty(ów)
• Strona 1 z 1
przez pp3088 » 12 Lut 2008, 19:13
UA:
Otwórz notatnik i wklej
zapisz jako CFScript (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe
http://img.wklej.org/images/88953CFScri ... iemoes.gif
na pytanie "1 or 2" - to wpisz 1 i naciśnij ENTER
Powinno rozpocząć się usuwanie
Potem log Combofixa zaraz po usuwaniu
Pobierz HijackThisa i daj log
Na koniec usuń ręcznie folder C: \Qoobox
File::
C:\188qsm.bat
C:\2ifetri.cmd
C:\i.cmd
C:\h.cmd
C:\ylr.exe
C:\xo8wr9.exe
C:\awda2.exe
C:\qd.cmd
C:\UNTITLED.SIM
C:\xn1i9x.com
D:\activexdebugger32.exe f
D:\d.com
D:\xn1i9x.com
D:\m1t8ta.com
D:\LaunchU3.exe
I:\2ifetri.cmd
Registry::
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
zapisz jako CFScript (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe
http://img.wklej.org/images/88953CFScri ... iemoes.gif
na pytanie "1 or 2" - to wpisz 1 i naciśnij ENTER
Powinno rozpocząć się usuwanie
Potem log Combofixa zaraz po usuwaniu
Pobierz HijackThisa i daj log
Na koniec usuń ręcznie folder C: \Qoobox
-
pp3088 - Aktywny w piśmie
- Posty: 999
- Dołączenie: 11 Sie 2006, 23:59
- Miejscowość: Szczecin
4 posty(ów)
• Strona 1 z 1
Kto jest na forum
Zarejestrowani użytkownicy: Bing [Bot]