prosze o pomoc z logiem ComboFix

[cyman1]

ComboFix 09-07-07.A8 - tomek 2009-07-08 16:02.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1250.48.1045.18.511.269 [GMT 2:00]
Uruchomiony z: c:\documents and settings\tomek\Pulpit\ComboFix.exe
.

((((((((((((((((((((((((((((((((((((((( Usuniêto )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\program files\AskSearch\bin\DefaultSearch.dll
c:\program files\myglobalsearch
c:\program files\myglobalsearch\bar\1.bin\M9FFXTBR.JAR
c:\program files\myglobalsearch\bar\1.bin\M9NTSTBR.JAR
c:\program files\myglobalsearch\bar\Cache\0024349D
c:\program files\myglobalsearch\bar\Cache\002437BA
c:\program files\myglobalsearch\bar\Cache\002438E3.bin
c:\program files\myglobalsearch\bar\Cache\002446CD.bin
c:\program files\myglobalsearch\bar\Cache\00245341.bin
c:\program files\myglobalsearch\bar\Cache\files.ini
c:\program files\myglobalsearch\bar\History\search
c:\program files\myglobalsearch\bar\Settings\prevcfg.htm
c:\windows\system32\Data
c:\windows\system32\kr_done1
c:\windows\system32\nsprs.dll
c:\windows\system32\serauth1.dll
c:\windows\system32\serauth2.dll
c:\windows\system32\ssprs.dll

c:\windows\system32\lsass.exe . . . jest zainfekowany!!

c:\windows\system32\services.exe . . . jest zainfekowany!!

c:\windows\system32\svchost.exe . . . jest zainfekowany!!

c:\windows\explorer.exe . . . jest zainfekowany!!

.
((((((((((((((((((((((((((((((((((((((( Sterowniki/Us³ugi )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_OREANS32
-------\Service_oreans32


((((((((((((((((((((((((( Pliki utworzone od 2009-06-08 do 2009-07-08 )))))))))))))))))))))))))))))))
.

2009-07-07 15:30 . 2009-07-07 15:30 15872 ----a-r- c:\documents and settings\tomek\Dane aplikacji\Microsoft\Installer\{048298C9-A4D3-490B-9FF9-AB023A9238F3}\Icon048298C9.exe
2009-07-06 14:58 . 2009-07-06 14:58 43520 ---h--w- c:\windows\system32\secupdat.dat
2009-07-06 14:58 . 2009-07-06 14:58 13312 ---ha-w- c:\documents and settings\tomek\nulelt.exe
2009-06-27 11:33 . 2009-06-27 11:37 -------- d-----w- c:\documents and settings\tomek\Ustawienia lokalne\Dane aplikacji\Roblox
2009-06-27 11:31 . 2009-06-27 11:32 -------- d-----w- c:\documents and settings\tomek\Ustawienia lokalne\Dane aplikacji\RobloxDownloads
2009-06-27 11:31 . 2009-06-27 11:31 -------- d-----w- c:\documents and settings\tomek\Ustawienia lokalne\Dane aplikacji\RobloxVersions
2009-06-26 11:18 . 2009-06-26 11:18 -------- d-----w- c:\program files\Conduit
2009-06-26 11:18 . 2009-06-26 11:18 -------- d-----w- c:\documents and settings\tomek\Ustawienia lokalne\Dane aplikacji\Conduit
2009-06-26 11:18 . 2009-06-26 11:18 -------- d-----w- c:\program files\free-downloads.net
2009-06-26 11:18 . 2009-06-26 11:18 -------- d-----w- c:\documents and settings\tomek\Ustawienia lokalne\Dane aplikacji\free-downloads.net
2009-06-26 11:18 . 2009-06-26 11:18 -------- d-----w- c:\program files\Alcohol Soft
2009-06-26 11:05 . 2009-06-26 11:05 -------- d-----w- c:\program files\DAEMON Tools Toolbar
2009-06-26 11:05 . 2009-06-26 11:05 -------- d-----w- c:\program files\DAEMON Tools Lite
2009-06-21 20:20 . 2009-06-21 20:20 -------- d-----w- c:\documents and settings\tomek\Ustawienia lokalne\Dane aplikacji\vdownloader
2009-06-21 20:20 . 2009-06-21 20:20 -------- d-----w- c:\documents and settings\tomek\Dane aplikacji\Desktopicon
2009-06-21 20:20 . 2009-06-21 20:20 -------- d-----w- c:\program files\VDOWNLOADER
2009-06-21 20:17 . 2009-06-21 20:18 -------- d-----w- c:\program files\YouTube Video Downloader

.
(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-07-08 14:07 . 2008-09-04 07:34 -------- d-----w- c:\program files\DialNet
2009-07-08 10:53 . 2009-04-23 17:59 -------- d-----w- c:\program files\PokerStars
2009-07-06 10:19 . 2008-05-11 21:46 1 ----a-w- c:\documents and settings\tomek\Dane aplikacji\OpenOffice.org2\user\uno_packages\cache\stamp.sys
2009-07-06 10:19 . 2008-05-11 21:46 -------- d-----w- c:\documents and settings\tomek\Dane aplikacji\OpenOffice.org2
2009-06-29 10:09 . 2009-01-07 18:04 -------- d-----w- c:\program files\ALLPlayer
2009-06-18 14:27 . 2001-10-26 16:15 74450 ----a-w- c:\windows\system32\perfc015.dat
2009-06-18 14:27 . 2001-10-26 16:15 448348 ----a-w- c:\windows\system32\perfh015.dat
2009-06-17 09:29 . 2009-06-17 09:29 4096 ----a-w- c:\windows\system32\02.tmp
2009-05-26 18:54 . 2009-05-26 18:54 -------- d-----w- c:\program files\Real
2009-05-24 11:29 . 2009-05-24 11:29 -------- d-----w- c:\program files\eMule
2009-05-04 18:52 . 2009-05-04 18:52 4096 ----a-w- c:\windows\system32\01.tmp
2009-05-04 13:53 . 2007-06-11 06:33 23360 ----a-w- c:\documents and settings\tomek\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT
2009-05-03 19:58 . 2009-05-03 19:58 10134 ----a-r- c:\documents and settings\tomek\Dane aplikacji\Microsoft\Installer\{38F48AED-66D8-464C-993E-C7296C7A199B}\ARPPRODUCTICON.exe
2009-05-03 11:47 . 2009-05-03 11:48 32256 ---h--w- c:\documents and settings\tomek\xxw.exe
2009-05-03 11:47 . 2009-05-03 11:48 32256 ----a-w- c:\windows\system32\kqwyn.exe
2009-05-03 07:43 . 2009-05-03 07:43 33952 ----a-w- c:\windows\system32\drivers\oreans32.sys
2009-04-30 22:32 . 2008-03-05 17:50 721904 ----a-w- c:\windows\system32\drivers\sptd.sys
2009-04-29 20:33 . 2009-04-29 20:29 23510720 ----a-w- c:\documents and settings\tomek\Dane aplikacji\Sony Setup\09063B41-0916-4360-A80D-0C2A2B89D300\dotnetfx.exe
2009-04-23 13:15 . 2009-04-23 13:15 1134024 ----a-w- c:\documents and settings\tomek\Dane aplikacji\Mozilla\Firefox\Profiles\xj8cpcm5.default\extensions\[email protected]\components\DTToolbarFF.dll
2009-04-20 17:45 . 2009-04-20 17:44 47104 ----a-w- c:\windows\system32\KMVIDC32.DLL
2009-04-19 19:58 . 2004-07-17 09:36 28400 ----a-w- c:\windows\system32\drivers\secdrv.sys
2008-06-03 00:12 . 2008-06-03 00:12 14290 ----a-w- c:\program files\settings.dat
2007-04-16 15:54 . 2004-08-03 22:44 168509 --sha-r- c:\windows\system32\lzemd.dll
.

------- Sigcheck -------

[-] 2004-08-03 22:44 17408 283AC74B68E642CFAABA2E0B78F57AC0 c:\windows\system32\svchost.exe

[-] 2004-08-03 22:44 506368 20D8ADCE3A69737583521D469CEA0F19 c:\windows\system32\winlogon.exe

[-] 2004-08-03 22:44 1036288 904E86682599F0F96927B6A9F6293750 c:\windows\explorer.exe

[-] 2004-08-03 22:44 110592 BEAE0CBCFBCA9DB1935AEB2EAF487120 c:\windows\system32\services.exe

[-] 2004-08-03 22:44 14848 C23EA4436F5442F8BBEC6EB354E1413D c:\windows\system32\lsass.exe

[7] 2005-06-11 00:17 57856 AD3D9D191AEA7B5445FE1D82FFBB4788 c:\windows\$hf_mig$\KB896423\SP2QFE\spoolsv.exe
[7] 2004-08-03 22:44 57856 BEBE8A85954FF460374FD5A0CD21E19B c:\windows\$NtUninstallKB896423$\spoolsv.exe
.
((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyœlne, prawid³owe wpisy nie s¹ pokazane
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}]
2008-07-14 13:18 279944 ----a-w- c:\program files\AskBarDis\bar\bin\askBar.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{ecdee021-0d17-467f-a1ff-c7a115230949}]
2009-03-10 09:47 2079256 ----a-w- c:\program files\free-downloads.net\tbfree.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-16 68856]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" [2009-04-23 691656]
"AlcoholAutomount"="c:\program files\Alcohol Soft\Alcohol 120\axcmd.exe" [2009-04-24 203928]
"Steam"="d:\css\steam.exe" [2009-07-07 1217784]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinampAgent"="c:\program files\Winamp\winampa.exe" [2007-05-14 35328]
"CTSysVol"="c:\program files\Creative\SBAudigy\Surround Mixer\CTSysVol.exe" [2005-10-31 57344]
"UpdReg"="c:\windows\UpdReg.EXE" [2000-05-10 90112]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"a-winpoet-service"="c:\program files\DialNet\winpppoverethernet.exe" [2007-07-06 405504]
"z-WrDialer"="c:\program files\DialNet\WrDialer.exe" [2007-07-11 561152]
"DigidesignMMERefresh"="c:\program files\Digidesign\Drivers\MMERefresh.exe" [2005-10-25 61440]
"kqwyn"="c:\windows\system32\kqwyn.exe" [2009-05-03 32256]
"P17Helper"="P17.dll" - c:\windows\system32\P17.dll [2005-05-03 64512]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"Midi1"=ma_cmidn.dll
"MIDI3"=diomidi.dll
"wave2"=Digi32.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Program Files\\Gadu-Gadu\\gg.exe"=
"d:\\c\\Quake III Arena\\quake3.exe"=
"c:\\Program Files\\Opera\\Opera.exe"=
"c:\\Program Files\\Windows Media Player\\wmplayer.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
"d:\\Worms\\frontend.exe"=
"d:\\programy sciagniete\\Games - Age of Empires 2 - full\\games\\AOE2AOK\\empires2.EXE"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"c:\\Documents and Settings\\tomek\\xxw.exe"=
"d:\\css\\SteamApps\\cyman1\\dedicated server\\hlds.exe"=
"c:\\WINDOWS\\system32\\kqwyn.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"7131:TCP"= 7131:TCP:cxokni

R2 TopWinPoETDriver;WinPoET PPPoE Optimized Driver;c:\windows\system32\drivers\WrKPoET2000.sys [2008-09-04 52214]
R3 FPD;Fine Point Packet Service;c:\windows\system32\drivers\fpd.sys [2008-09-04 30336]
R3 WrKPoET2000;WrKPoET2000;c:\program files\DialNet\WrKPoET2000.sys [2008-09-04 52214]
R3 WRSWanDD;WinPoET PPPoE Adapter;c:\windows\system32\drivers\WrKPoETNic2000.sys [2008-09-04 65604]
S1 Asapi;Asapi;c:\windows\system32\drivers\asapi.sys [2009-04-29 11264]
S2 agcqcx;Support Center;c:\windows\system32\svchost.exe -k netsvcs [2004-08-04 17408]
S3 jfdcd;jfdcd;\??\c:\docume~1\tomek\USTAWI~1\Temp\jfdcd.sys --> c:\docume~1\tomek\USTAWI~1\Temp\jfdcd.sys [?]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
agcqcx
.
- - - - USUNIÊTO PUSTE WPISY - - - -

HKCU-Run-WhenUSave - c:\program files\Save\Save.exe
HKCU-Run-ADS - c:\windows\ADS.exe
HKCU-Run-pwnage_deluxe - c:\windows\system32\ICQ_Lite.exe
HKLM-Run-pwnage_deluxe - c:\windows\system32\ICQ_Lite.exe


.
------- Skan uzupe³niaj¹cy -------
.
uStart Page = hxxp://www.google.pl/
uSearch Page = hxxp://www.google.com
uSearch Bar = hxxp://www.google.com/ie
mDefault_Search_URL = hxxp://www.google.com/ie
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
mSearchAssistant = hxxp://www.google.com/ie
FF - ProfilePath - c:\documents and settings\tomek\Dane aplikacji\Mozilla\Firefox\Profiles\xj8cpcm5.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - DAEMON Search
FF - prefs.js: keyword.URL - hxxp://toolbar.ask.com/toolbarv/askRedi ... t=&gc=1&q=
FF - component: c:\documents and settings\tomek\Dane aplikacji\Mozilla\Firefox\Profiles\xj8cpcm5.default\extensions\[email protected]\components\DTToolbarFF.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npganymedenet.dll
FF - plugin: c:\program files\Opera\program\plugins\npganymedenet.dll
FF - plugin: c:\program files\Opera\program\plugins\nppl3260.dll
FF - plugin: c:\program files\Opera\program\plugins\nprpjplug.dll
FF - HiddenExtension: Java Console: No Registry Reference - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA}
FF - HiddenExtension: Java Console: No Registry Reference - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA}
FF - HiddenExtension: Java Console: No Registry Reference - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0004-ABCDEFFEDCBA}

---- FIREFOX - SPOSÓB POSTÊPOWANIA ----
c:\program files\Mozilla Firefox\defaults\pref\activex.js - pref("capability.policy.default.ClassID.CIDFE0BD779-44EE-4A4B-AA2E-743C63F2E5E6", "AllAccess");
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-07-08 16:07
Windows 5.1.2600 Dodatek Service Pack 2 NTFS

skanowanie ukrytych procesów ...

skanowanie ukrytych wpisów autostartu ...

skanowanie ukrytych plików ...

skanowanie pomyœlnie ukoñczone
ukryte pliki: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\agcqcx]
"ServiceDll"="c:\windows\system32\lzemd.dll"
.
------------------------ Pozosta³e uruchomione procesy ------------------------
.
c:\program files\Common Files\LightScribe\LSSrvc.exe
c:\program files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
c:\windows\system32\wdfmgr.exe
c:\program files\DialNet\WrOS.exe
c:\windows\system32\rundll32.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Czas ukoñczenia: 2009-07-08 16:10 - komputer zosta³ uruchomiony ponownie
ComboFix-quarantined-files.txt 2009-07-08 14:10

Przed: 2 261 929 984 bajtów wolnych
Po: 2 858 926 080 bajtów wolnych

WindowsXP-KB310994-SP2-Pro-BootDisk-PLK.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

208 --- E O F --- 2007-06-19 06:17

[cyman1]

Chciałem tylko dodać że system nie wykrywa żadnego cd sprawdzałem już kilka. W menadżerze urządzeń widać sterowniki cd z błędęm 37 ( niemożna zainicjować sterownika) oprócz tego jeszcze kilka nazw sterowników CD które po odinstalowaniu i odświerzeniu ładują sie na nowo. W trybie awaryjnym to samo.

[Michael Parker]

Pobierz ComboFix, ale nie uruchamiaj
Wklej do notatnika:

Kod: Zaznacz wszystko

File::
c:\documents and settings\tomek\nulelt.exe
c:\program files\free-downloads.net
c:\documents and settings\tomek\Ustawienia lokalne\Dane aplikacji\free-downloads.net
c:\program files\PokerStars
c:\windows\system32\02.tmp
c:\windows\system32\01.tmp
c:\documents and settings\tomek\xxw.exe
c:\windows\system32\kqwyn.exe

Folder::
c:\program files\AskBarDis

Driver::
jfdcd

NetSvcs::
agcqcx

Registry::
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}]
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{ecdee021-0d17-467f-a1ff-c7a115230949}]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"7131:TCP"=-


Z menu notatnika wybierz Plik Zapisz jako CFScript.txt.
Przeciągnij i upuść zapisany plik (CFScript.txt) na ikonę ComboFix.exe.
Rozpocznie się usuwanie, program wygeneruje log, dasz go na forum.
Na czas skanowania Combofixem wyłącz wszystkie antywirusy i firewalle.

Logi dajesz na wklejorg lub wklejeu a w poście podajesz tylko link.

c:\windows\system32\lsass.exe . . . jest zainfekowany!!

c:\windows\system32\services.exe . . . jest zainfekowany!!

c:\windows\system32\svchost.exe . . . jest zainfekowany!!

c:\windows\explorer.exe . . . jest zainfekowany!!

Zostały zainfekowane pliki systemowe. Jest bardzo mała szansa, że system wyjdzie z tego cało.

Na początek:
Pobierz Malwarebytes' Anti-Malware Uruchom pełne skanowanie. Jeżeli coś znajdzie, to usuń. Następnie daj log na forum.

Przeskanuj system programem SDFix i daj raport z niego. Instrukcja http://forum.instalki.pl/viewtopic.php?f=22&t=13967

Przeskanuj obszar całego systemu Dr.WEB CureIt!

Wykonaj [strona nie jest już dostępna] oraz [strona nie jest już dostępna]
Jednak najlepszym rozwiązaniem będzie format wszystkich partycji bez wyjątku i niekorzystanie z zarażonych płyt, pamięci, etc.

[cyman1]

W sumie przychylałbym się do najlepszego rozwiązania czyli formatu wszystkich partycji tyle, że może to i śmieszne ale nie wiem jak to zrobić.. Jak uruchamiam wiersz poleceń i wpisuje format C: to mi wyskakuje informacja że wolumin jest wykorzystywany przez inny proces.. Czy mógłbyś mi powiedzieć jak mam to zrobić ?

[Michael Parker]

Musisz ustawić bootowanie z płyty. Instrukcja viewtopic.php?f=41&t=18874
Następnie włóż płytę do napędu. Rozpocznie się uruchamianie komputera z płyty. Postępuj zgodnie z wyświetlanymi instrukcjami. Pamiętaj, aby podczas instalacji sformatować wszystkie partycje.

[cyman1]

nie da rady bo nie ma cd... tzn nie działa mi nawet bootowanie. Jak się ustawi nawet bootowaniew biosie disabled wszystko to i tak mi sie system ładuje normalnie a co dopiero cd...;// ale zrzuzcam pierwsze logi z malwarebytes na głównym forum...

[cyman1]

http://wklej.eu/index.php?id=1456d2d0c4
http://wklej.eu/index.php?id=eeb3ed7e9e

[cyman1]

dalsze logi SDFix:
http://www.wklej.eu/index.php?id=15128dfa4f

[AJAN]

przeskanuj komputer Dr.Web Cure It! z opcją leczenia. Po każdym użyciu ściągaj na nowo ściągaj Dr.Web oraz usuwaj punkty przywracania Wyłącz I włącz przywracanie systemu na wszystkich dyskach.INSTRUKCJA

gdy będą wirusy pokaż raport (po zakończeniu skanowania Plik Zapisz listę raportu)