Prosze o sprawdzenie logów z ComboFix i HijackThis

http://www.wklej.eu/index.php?id=c160430103

otwórz notatnik i wklej

Windows Registry Editor Version 5.00

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

Z menu Notatnika Plik Zapisz jako Zmień rozszerzenie z .txt na wszystkie pliki zapisz pod nazwą Fix.reg

Uruchom ten plik, uruchom ponownie komputer

usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.

Przeczyść komputer Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum

lub

Dr.WEB CureIt!

http://www.wklej.eu/index.php?id=205d0b75d0

Pobierz The Avenger

wklej do niego ten tekst:

Kod:

Files to delete:
C:\Documents and Settings\Czarek\Pulpit\Antywirusy\SmitfraudFix\Reboot.exe
C:\Documents and Settings\Czarek\Pulpit\Antywirusy\SmitfraudFix\SmitfraudFix.zip
C:\Documents and Settings\Czarek\Pulpit\Antywirusy\SmitfraudFix.exe
C:\Documents and Settings\Czarek\Pulpit\SpeedX-pl.exe
C:\Program Files\ESET\cache\FND1.NFI 
C:\Program Files\ESET\infected\DDIAGWAA.NQF


kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.
Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

http://www.wklej.eu/index.php?id=987c1f2cd7

Pliki zostały usuniete

Przepraszam przedobrzyłem. Przeskanowałem Kaspersky- m oraz ! Dr.WEB CureIt, i NAMIESZAŁEM nieprzemyślanie usuwając zawirusowany katalog SmithfraudFix.

Dlaczego namięszałeś? To dobrze że usunoleś

Raczej nie wszystko jeszcze jest OK. Ad-Aware wykrył przed chwilą 5 infekcji i miał je usunąć ale jak dotychczas zrobi to nieskutecznie.

Pobierz SDFix, https://www.instalki.pl/download/programy/windows/bezpieczenstwo/antyspyware/sdfix/ .

Instrukcja obsługi :

* Dwuklik na SDFix.exe następnie program wypakuje się na dysk systemowy (standardowo C:\SDFix)
* Zrestartuj komputer i wejdź do trybu awaryjnego (klawisz F8 przed bootem Windowsa)
* Wejdź do folderu z SDFix kliknij dwa razy na plik RunThis.bat
* Wciśnij Y nastąpi proces usuwania.
* Kiedy usuwanie się ukończy wciśnij dowolny klawisz (Any Key). Nastąpi restart komputera.
* Po restarcie SDFix uruchomi się ponownie, żeby dokończyć proces usuwania kiedy pojawi się w oknie programu Finished, wciśnij dowolny klawisz do zakończenia scryptu i załadowania ikon na pulpicie.
* Pokaż Report.txt znajdujący się w folderze SDFix.


Jak podajesz logi zaznaczaj je tagem code lub quote czyli zaznaczasz caly log z sdfix'a i kilkasz w code lub quote .

Po tym log z combofix

Logi dajesz na http://www.wklej.eu

daję raport z SDFix-a [code]http://www.wklej.eu/index.php?id=e6f2e84027

Log z combofix-a

Kod:

http://www.wklej.eu/index.php?id=7b5c5fcc6e

Kod:

[b]SDFix: Version 1.236 [/b]
Run by Czarek on 2008-10-21 at 00:30

Microsoft Windows XP [Wersja 5.1.2600]
Running From: C:\SDFix

[b]Checking Services [/b]:


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


[b]Checking Files [/b]:

Trojan Files Found:

C:\Documents and Settings\Czarek\Pulpit\Malware Defender.url - Deleted
C:\Documents and Settings\Czarek\Ulubione\Malware Defender.url - Deleted
C:\Documents and Settings\Czarek\Pulpit\Protect Your Privacy.url - Deleted
C:\Documents and Settings\Czarek\Ulubione\Protect Your Privacy.url - Deleted
C:\Documents and Settings\Czarek\Pulpit\System Error Fixer.url - Deleted
C:\Documents and Settings\Czarek\Ulubione\System Error Fixer.url - Deleted





Removing Temp Files

[b]ADS Check [/b]:
 


                                 [b]Final Check [/b]:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-21 00:36:17
Windows 5.1.2600 Dodatek Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


[b]Remaining Services [/b]:




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\WINDOWS\\system32\\dpvsetup.exe"="C:\\WINDOWS\\system32\\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test"
"C:\\Program Files\\Gadu-Gadu\\gg.exe"="C:\\Program Files\\Gadu-Gadu\\gg.exe:*:Enabled:Gadu-Gadu - program gˆ˘wny"
"C:\\Program Files\\Microsoft ActiveSync\\rapimgr.exe"="C:\\Program Files\\Microsoft ActiveSync\\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager"
"C:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe"="C:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager"
"C:\\Program Files\\Microsoft ActiveSync\\WCESMgr.exe"="C:\\Program Files\\Microsoft ActiveSync\\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application"
"C:\\Program Files\\Hewlett-Packard\\HP Easy Printer Care\\HPPRun.exe"="C:\\Program Files\\Hewlett-Packard\\HP Easy Printer Care\\HPPRun.exe:*:Enabled:HP Easy Printer Care HPPRun"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Opera\\Opera.exe"="C:\\Program Files\\Opera\\Opera.exe:*:Enabled:Opera Internet Browser"
"C:\\Program Files\\VoipDiscount.com\\VoipDiscount\\VoipDiscount.exe"="C:\\Program Files\\VoipDiscount.com\\VoipDiscount\\VoipDiscount.exe:*:Enabled:VoipDiscount"
"C:\\Program Files\\Skype\\Phone\\Skype.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe:*:Enabled:Skype. Take a deep breath "

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Microsoft ActiveSync\\rapimgr.exe"="C:\\Program Files\\Microsoft ActiveSync\\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager"
"C:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe"="C:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager"
"C:\\Program Files\\Microsoft ActiveSync\\WCESMgr.exe"="C:\\Program Files\\Microsoft ActiveSync\\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application"
"C:\\Program Files\\Hewlett-Packard\\HP Easy Printer Care\\HPPRun.exe"="C:\\Program Files\\Hewlett-Packard\\HP Easy Printer Care\\HPPRun.exe:*:Enabled:HP Easy Printer Care HPPRun"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

[b]Remaining Files [/b]:


File Backups: - C:\SDFix\backups\backups.zip

[b]Files with Hidden Attributes [/b]:

Wed 22 Dec 2004        76,568 A.SHR --- "C:\Program Files\Autodesk\Autodesk DWF Viewer\Setup.exe"
Thu 13 Jan 2005        11,360 A.SHR --- "C:\Program Files\Autodesk\Autodesk DWF Viewer\_Setupx.dll"
Sun  3 Feb 2008             0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"

[b]Finished![/b]


Kod:

ComboFix 08-10-19.04 - Czarek 2008-10-21  1:06:59.2 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.2.1250.1.1045.18.141 [GMT 2:00]
Uruchomiony z: C:\Documents and Settings\Czarek\Pulpit\Antywirusy\ComboFix.exe
 * Utworzono nowy punkt przywracania
 * Resident AV is active

.

(((((((((((((((((((((((((   Pliki utworzone od 2008-09-20 do 2008-10-20  )))))))))))))))))))))))))))))))
.

2008-10-21 00:28 . 2008-10-21 00:28   <DIR>   d--------   C:\WINDOWS\ERUNT
2008-10-21 00:24 . 2008-10-21 00:38   <DIR>   d--------   C:\SDFix
2008-10-18 18:55 . 2008-10-18 18:55   <DIR>   d--------   C:\WINDOWS\system32\Kaspersky Lab
2008-10-18 18:55 . 2008-10-18 18:55   <DIR>   d--------   C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab
2008-10-18 18:52 . 2008-10-18 18:52   <DIR>   d--------   C:\Documents and Settings\All Users\Dane aplikacji\Yahoo! Companion
2008-10-18 15:53 . 2008-10-18 15:53   <DIR>   d--------   C:\Program Files\Yahoo!
2008-10-18 15:53 . 2008-10-18 15:53   <DIR>   d--------   C:\Program Files\CCleaner
2008-10-17 12:09 . 2008-10-17 12:09   <DIR>   d--------   C:\Documents and Settings\Czarek\DoctorWeb
2008-10-17 11:47 . 2008-10-17 11:48   <DIR>   d--------   C:\Program Files\SkanerOnline
2008-10-16 14:14 . 2004-08-03 23:08   31,616   --a------   C:\WINDOWS\system32\drivers\usbccgp.sys
2008-10-16 14:14 . 2004-08-03 23:08   31,616   --a--c---   C:\WINDOWS\system32\dllcache\usbccgp.sys
2008-10-10 22:44 . 2008-10-10 22:44   <DIR>   d--------   C:\Voipinfo
2008-10-10 22:42 . 2008-10-14 15:49   <DIR>   d--------   C:\Documents and Settings\Czarek\Dane aplikacji\VoipDiscount
2008-10-10 22:39 . 2008-10-10 22:39   <DIR>   d--------   C:\Program Files\VoipDiscount.com
2008-10-10 08:44 . 2008-10-10 08:45   <DIR>   d--------   C:\Program Files\RogueRemover FREE
2008-10-09 22:51 . 2008-10-09 22:51   <DIR>   d--------   C:\Documents and Settings\All Users\Dane aplikacji\SUPERAntiSpyware.com
2008-10-09 21:38 . 2008-10-09 22:51   <DIR>   d--------   C:\Program Files\SUPERAntiSpyware
2008-10-09 21:38 . 2008-10-09 21:38   <DIR>   d--------   C:\Documents and Settings\Czarek\Dane aplikacji\SUPERAntiSpyware.com
2008-10-08 22:58 . 2008-10-17 12:18   1,092   --a------   C:\WINDOWS\system32\tmp.reg
2008-10-06 23:54 . 2008-10-07 00:25   <DIR>   d--------   C:\WINDOWS\system32\CatRoot_bak
2008-09-25 00:43 . 2008-09-25 00:42   512,096   --a------   C:\WINDOWS\system32\drivers\amon.sys
2008-09-25 00:43 . 2008-09-25 00:42   298,104   --a------   C:\WINDOWS\system32\imon.dll

.
((((((((((((((((((((((((((((((((((((((((   Sekcja Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-20 23:09   ---------   d-----w   C:\Documents and Settings\Czarek\Dane aplikacji\Skype
2008-10-20 22:39   ---------   d---a-w   C:\Documents and Settings\All Users\Dane aplikacji\TEMP
2008-10-20 22:33   ---------   d-----w   C:\Program Files\Common Files\Akamai
2008-10-20 22:02   ---------   d-----w   C:\Program Files\MF8-2007
2008-10-20 21:49   ---------   d-----w   C:\Documents and Settings\Czarek\Dane aplikacji\Metacafe
2008-10-09 19:37   ---------   d-----w   C:\Program Files\Common Files\Wise Installation Wizard
2008-10-02 19:55   ---------   d-----w   C:\Program Files\ESET
2008-09-27 10:40   ---------   d-----w   C:\Program Files\MyPortal
2008-09-15 15:40   1,846,272   ----a-w   C:\WINDOWS\system32\win32k.sys
2008-09-04 20:05   ---------   d-----w   C:\Program Files\MyConnection Server
2008-08-28 10:04   333,056   ----a-w   C:\WINDOWS\system32\drivers\srv.sys
2008-08-28 08:05   74,752   ----a-w   C:\WINDOWS\system32\msw3prt.dll
2008-08-28 08:05   104,960   ----a-w   C:\WINDOWS\system32\win32spl.dll
2008-08-26 08:27   826,368   ----a-w   C:\WINDOWS\system32\wininet.dll
2008-08-14 13:46   2,181,632   ----a-w   C:\WINDOWS\system32\ntoskrnl.exe
2008-08-14 13:46   2,059,008   ----a-w   C:\WINDOWS\system32\ntkrnlpa.exe
.

(((((((((((((((((((((((((((((((((((((   Wpisy startowe rejestru   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2006-03-02 15360]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-10-13 1694208]
"H/PC Connection Agent"="C:\Program Files\Microsoft ActiveSync\wcescomm.exe" [2005-11-15 1204224]
"SUPERAntiSpyware"="C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2008-09-03 1576176]
"RegistryMechanic"="C:\Program Files\Registry Mechanic\RegMech.exe" [2008-07-08 2828184]
"VoipDiscount"="C:\Program Files\VoipDiscount.com\VoipDiscount\VoipDiscount.exe" [2007-05-31 7419456]
"Skype"="C:\Program Files\Skype\Phone\Skype.exe" [2007-07-02 23237416]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-03-02 15360]

C:\Documents and Settings\Czarek\Menu Start\Programy\Autostart\
Picture Motion Browser Media Check Tool.lnk - C:\Program Files\Sony\Sony Picture Utility\PMBCore\SPUVolumeWatcher.exe [2008-06-02 385024]

C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\
AutoCAD Startup Accelerator.lnk - C:\Program Files\Common Files\Autodesk Shared\acstart16.exe [2005-03-05 10872]
Metacafe.lnk - C:\Program Files\Metacafe\MetacafeAgent.exe [2008-06-29 145736]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "C:\Program Files\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-07-23 16:28 352256 C:\Program Files\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.ac3filter"= ac3filter.acm

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=
"C:\\Program Files\\Gadu-Gadu\\gg.exe"=
"C:\Program Files\Microsoft ActiveSync\rapimgr.exe"= C:\Program Files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"C:\Program Files\Microsoft ActiveSync\wcescomm.exe"= C:\Program Files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"C:\Program Files\Microsoft ActiveSync\WCESMgr.exe"= C:\Program Files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"C:\\Program Files\\Hewlett-Packard\\HP Easy Printer Care\\HPPRun.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\Opera\\Opera.exe"=
"C:\\Program Files\\VoipDiscount.com\\VoipDiscount\\VoipDiscount.exe"=
"C:\\Program Files\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
"9420:TCP"= 9420:TCP:Akamai NetSession Interface
"5000:UDP"= 5000:UDP:Akamai NetSession Interface

R2 Akamai;Akamai;C:\WINDOWS\System32\svchost.exe [2006-03-02 14336]
S3 ss_bus;SAMSUNG Mobile USB Device 1.0 driver (WDM);C:\WINDOWS\system32\DRIVERS\ss_bus.sys [2005-08-30 58320]
S3 ss_mdfl;SAMSUNG Mobile USB Modem 1.0 Filter;C:\WINDOWS\system32\DRIVERS\ss_mdfl.sys [2005-08-30 8304]
S3 ss_mdm;SAMSUNG Mobile USB Modem 1.0 Drivers;C:\WINDOWS\system32\DRIVERS\ss_mdm.sys [2005-08-30 94000]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12   REG_MULTI_SZ      Pml Driver HPZ12 Net Driver HPZ12
Akamai   REG_MULTI_SZ      Akamai
.
Zawartość folderu 'Zaplanowane zadania'

2008-09-23 C:\WINDOWS\Tasks\Uniblue SpeedUpMyPC Nag.job
- C:\Program Files\Uniblue\SpeedUpMyPC 3\SpeedUpMyPC.exe []

2007-08-11 C:\WINDOWS\Tasks\Uniblue SpeedUpMyPC.job
- C:\Program Files\Uniblue\SpeedUpMyPC 3\SpeedUpMyPC.exe []
.
.
------- Skan uzupełniający -------
.
R1 -: HKCU-Internet Connection Wizard,ShellNext = iexplore
O8 -: E&ksport do programu Microsoft Excel - C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 -: Subskrybuj w MoneyRss - file://C:\Program Files\MoneyRss\add_feed.htm
O18 -: Handler: HPDCS - {ba135f49-a12c-4e26-a2c4-6ea945999072} - %~$path:i
O18 -: Handler: hppfile - {C4E2084B-ED27-4893-A43D-488CA3F370E2} - %~$path:i
O18 -: Handler: hppsam - {C4E2084B-ED27-4893-A43D-488CA3F370E2} - %~$path:i
O18 -: Handler: hppzip - {C4E2084B-ED27-4893-A43D-488CA3F370E2} - %~$path:i

O16 -: {1F831FAC-42FC-11D4-95A6-0080AD30DCE1} - file://C:\Program Files\AutoCAD LT 2002 Plk\InstFred.ocx
C:\WINDOWS\Downloaded Program Files\InstFred.ocx

O16 -: {65D72393-E210-4A2A-B8E0-10AC45986770} - hxxp://megapanel.gem.pl/WebInstaller.dll
C:\WINDOWS\Downloaded Program Files\WebInstaller.dll

O16 -: {68282C51-9459-467B-95BF-3C0E89627E55} - hxxp://www.mks.com.pl/skaner/SkanerOnline.cab
C:\WINDOWS\Downloaded Program Files\SkanerOnline.inf
C:\WINDOWS\system32\SkanerOnlineUninstall.exe
C:\WINDOWS\system32\SkanerOnline.dll

O16 -: {AE56372C-B4F5-11D4-A415-00108302FDFD} - file://C:\Program Files\AutoCAD LT 2002 Plk\InstBanr.ocx
C:\WINDOWS\Downloaded Program Files\InstBanr.ocx
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-21 01:09:02
Windows 5.1.2600 Dodatek Service Pack 2 NTFS

skanowanie ukrytych procesów ...

skanowanie ukrytych wpisów autostartu ...

skanowanie ukrytych plików ...


**************************************************************************
.
--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------

PROCES: C:\WINDOWS\system32\lsass.exe
-> C:\Program Files\Eset\pr_imon.dll
.
Czas ukończenia: 2008-10-21  1:11:19
ComboFix-quarantined-files.txt  2008-10-20 23:10:16
ComboFix2.txt  2008-10-18 10:40:50

Przed: 35 784 224 768 bajtów wolnych
Po: 35,771,977,728 bajtów wolnych

145   --- E O F ---   2008-10-16 01:03:55

Sdfix usunął

W logu combofix nic nie widze

Czy już jest ok

?

Pełny scan Ad-Aware wykrył dalej 6 infekcji (3 tracking Cookie), natomiast stale od dłuzszego czasu podaje po przeskanowaniu " Total infections ignored by scaner - 3"