Warning! Spyware detected on your computer! Sprawdzenie loga

[stamar]

To mój debiut na forum, (tego i wogóle).
Otworzyłem coś (Angelina Joolie privatte free video) w poczcie i stało się na pulpicie:

Warning! Spyware detected on your computer! Instal on antivirus or spyware Remover to clean your computer!
(i jak się nie dotyka myszki to po chwili - jakieś komunikaty jakby dos-owskie i NIBY-Restart. i tak w kółko. NIBY restart - bo jak ESC to wraca pulpit z tyn komunikatem jw.

Próbowałem różnych antyvirów - i nic. No to czytałem fora.
Sciągnełem ComboFix - odpaliłem, przeskanował - zrestartował i NAPIS ZNIKNĄŁ!
Ale coś nie wierzę w cuda, więc pierwszy raz w życiu - jak już mam tego - LOGA to proszę Kogoś Mądrzejszego o sprawdzenie, w ramach luzu... STAMAT z miasta O

LOG:
ComboFix 08-07-25.4 - @Staszek 2008-07-26 12:05:34.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1250.1.1045.18.180 [GMT 2:00]
Running from: C:\Documents and Settings\@Staszek\Pulpit\ComboFix\ComboFix.exe
* Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\blphct09j0epap.scr
C:\WINDOWS\system32\phct09j0epap.bmp

.
((((((((((((((((((((((((( Files Created from 2008-06-26 to 2008-07-26 )))))))))))))))))))))))))))))))
.

2008-07-25 20:33 . 2008-07-25 20:33 <DIR> d----c--- C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab Setup Files
2008-07-25 20:33 . 2008-07-25 20:33 <DIR> d-a--c--- C:\Documents and Settings\Administrator\Ulubione
2008-07-25 20:33 . 2008-07-25 20:33 <DIR> d-a--c--- C:\Documents and Settings\Administrator\Pulpit
2008-07-25 20:33 . 2008-07-25 20:33 <DIR> dra--c--- C:\Documents and Settings\Administrator\Menu Start
2008-07-25 20:33 . 2008-07-25 20:33 <DIR> d----c--- C:\Documents and Settings\@Staszek\Dane aplikacji\Lavasoft
2008-07-25 18:13 . 2008-07-26 12:09 <DIR> d--h-c--- C:\Documents and Settings\Administrator\Ustawienia lokalne
2008-07-25 18:13 . 2008-07-25 20:32 <DIR> d-ah-c--- C:\Documents and Settings\Administrator\Szablony
2008-07-25 18:13 . 2008-07-25 20:30 <DIR> d-a--c--- C:\Documents and Settings\Administrator\Moje dokumenty
2008-07-25 18:13 . 2008-07-25 20:32 <DIR> drah-c--- C:\Documents and Settings\Administrator\Dane aplikacji
2008-07-25 18:13 . 2008-07-25 20:32 <DIR> d----c--- C:\Documents and Settings\Administrator
2008-07-25 13:17 . 2008-07-25 13:33 96,559 --a--c--- C:\WINDOWS\system32\drivers\klin.dat
2008-07-25 13:17 . 2008-07-25 13:33 87,855 --a--c--- C:\WINDOWS\system32\drivers\klick.dat
2008-07-25 13:15 . 2008-07-25 13:15 <DIR> d----c--- C:\Program Files\Kaspersky Lab
2008-07-25 13:15 . 2008-07-26 12:16 <DIR> d----c--- C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab
2008-07-25 13:15 . 2008-07-26 12:12 1,942,560 --ahsc--- C:\WINDOWS\system32\drivers\fidbox.dat
2008-07-25 13:15 . 2008-07-26 12:15 122,912 --ahsc--- C:\WINDOWS\system32\drivers\fidbox2.dat
2008-07-25 13:15 . 2008-07-26 12:12 17,304 --ahsc--- C:\WINDOWS\system32\drivers\fidbox.idx
2008-07-25 13:15 . 2008-07-26 12:15 2,548 --ahsc--- C:\WINDOWS\system32\drivers\fidbox2.idx
2008-07-25 12:28 . 2008-07-25 12:28 521 --a--c--- C:\ZAF6.tmp
2008-07-25 12:12 . 2008-07-25 12:12 481 --a--c--- C:\ZAU5.tmp
2008-07-25 12:12 . 2008-07-25 12:12 233 --a--c--- C:\ADS3.tmp
2008-07-24 19:28 . 2008-07-24 19:28 <DIR> d----c--- C:\Program Files\Enigma Software Group
2008-07-21 15:29 . 2008-07-21 15:29 <DIR> d----c--- C:\Documents and Settings\@Staszek\DoctorWeb
2008-07-17 18:49 . 2008-07-17 18:49 <DIR> d----c--- C:\WINDOWS\Sun
2008-07-17 18:49 . 2008-07-17 18:49 <DIR> d----c--- C:\Documents and Settings\@Staszek\Dane aplikacji\Sun
2008-07-17 18:48 . 2008-06-10 02:32 73,728 --a--c--- C:\WINDOWS\system32\javacpl.cpl
2008-07-17 18:44 . 2008-07-25 20:33 <DIR> d----c--- C:\Program Files\Java
2008-07-17 18:40 . 2008-07-17 18:40 <DIR> d----c--- C:\Program Files\Common Files\Java
2008-07-10 17:56 . 2008-07-10 17:56 <DIR> d----c--- C:\Program Files\Ahead
2008-07-10 17:56 . 2005-01-27 17:02 2,658,304 -----c--- C:\WINDOWS\UNMRW.exe
2008-07-10 17:56 . 2005-05-27 20:26 55,640 -----c--- C:\WINDOWS\UNMRW.cfg
2008-07-10 17:54 . 2008-07-10 17:54 <DIR> d----c--- C:\WINDOWS\InCD
2008-07-10 17:54 . 2005-01-27 17:02 2,658,304 -----c--- C:\WINDOWS\NuNinst.exe
2008-07-10 17:54 . 2005-01-27 19:08 99,200 -----c--- C:\WINDOWS\system32\drivers\InCDfs.sys
2008-07-10 17:54 . 2005-05-27 20:26 58,358 -----c--- C:\WINDOWS\NuNinst.cfg
2008-07-10 17:54 . 2005-01-27 19:07 28,928 -----c--- C:\WINDOWS\system32\drivers\InCDpass.sys
2008-07-10 17:54 . 2005-01-27 18:07 27,776 -----c--- C:\WINDOWS\system32\drivers\InCDrm.sys
2008-07-10 17:54 . 2005-01-27 19:08 8,704 -----c--- C:\WINDOWS\system32\drivers\InCDrec.sys
2008-07-10 17:49 . 2005-02-08 13:12 2,670,592 -----c--- C:\WINDOWS\UNNMP.exe
2008-07-10 17:49 . 2005-05-27 20:26 47,678 -----c--- C:\WINDOWS\UNNMP.cfg
2008-07-10 17:46 . 2001-07-09 11:50 155,648 --a--c--- C:\WINDOWS\system32\NeroCheck.exe
2008-07-10 17:43 . 2005-02-17 12:21 2,682,880 -----c--- C:\WINDOWS\UNNeroVision.exe
2008-07-10 17:43 . 2005-05-27 20:26 182,251 -----c--- C:\WINDOWS\UNNeroVision.cfg
2008-07-10 17:41 . 2004-07-26 17:16 1,568,768 -----c--- C:\WINDOWS\system32\ImagX7.dll
2008-07-10 17:41 . 2004-07-26 17:16 476,320 -----c--- C:\WINDOWS\system32\ImagXpr7.dll
2008-07-10 17:41 . 2004-07-26 17:16 471,040 -----c--- C:\WINDOWS\system32\ImagXRA7.dll
2008-07-10 17:41 . 2004-07-09 09:43 364,544 -----c--- C:\WINDOWS\system32\TwnLib4.dll
2008-07-10 17:41 . 2004-07-26 17:16 262,144 -----c--- C:\WINDOWS\system32\ImagXR7.dll
2008-07-10 17:41 . 2000-06-26 11:45 106,496 --a--c--- C:\WINDOWS\system32\TwnLib20.dll
2008-07-10 17:41 . 2001-06-26 08:15 38,912 -----c--- C:\WINDOWS\system32\picn20.dll
2008-07-06 01:08 . 2008-07-25 20:33 <DIR> dr-h-c--- C:\Documents and Settings\@Staszek\Recent
2008-07-05 23:14 . 2007-09-04 18:56 164,352 --a--c--- C:\WINDOWS\system32\unrar.dll
2008-06-29 19:58 . 2008-06-29 20:14 <DIR> d----c--- C:\Program Files\Internet Translator 2
2008-06-26 18:21 . 2008-06-26 18:33 <DIR> d----c--- C:\Program Files\Abbyy FineReader 6.0 Sprint
2008-06-26 18:20 . 2005-05-03 20:17 32,768 --a--c--- C:\WINDOWS\system32\LXPRMON.DLL
2008-06-26 18:20 . 2005-05-03 20:17 20,480 --a--c--- C:\WINDOWS\system32\LXPMONUI.DLL
2008-06-26 18:19 . 2008-06-26 18:20 <DIR> d----c--- C:\Program Files\Lexmark Fax Solutions
2008-06-26 18:19 . 2005-05-03 20:21 12,288 --a--c--- C:\WINDOWS\system32\LXPMONRC.DLL
2008-06-26 18:14 . 2005-04-26 19:57 65,536 -ra--c--- C:\WINDOWS\system32\lxcgcfg.dll
2008-06-26 18:14 . 2005-06-16 12:15 1,214 -ra--c--- C:\WINDOWS\system32\lxcg.loc
2008-06-26 18:13 . 2008-06-26 18:18 <DIR> d----c--- C:\Program Files\Lexmark 2300 Series
2008-06-26 18:12 . 2008-06-27 10:58 <DIR> d----c--- C:\Temp\{9F5FBC24-EFE2-4f90-B498-EC0FB7D47D15}
2008-06-26 18:12 . 2008-06-26 18:12 <DIR> d----c--- C:\Temp
2008-06-26 18:12 . 2008-06-26 18:14 416 --a--c--- C:\LXCGINST.csv
2008-06-26 18:12 . 2008-06-26 18:12 0 --a--c--- C:\lxcgfire.csv
2008-06-26 17:57 . 2008-06-26 17:57 <DIR> d----c--- C:\Lexmark

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-25 10:29 --------- dc--a-w C:\Documents and Settings\All Users\Dane aplikacji\TEMP
2008-07-23 13:39 --------- dc----w C:\Program Files\ABBYY PDF Transformer 2.0
2008-07-21 09:45 --------- dc----w C:\Program Files\Lx_cats
2008-07-19 13:33 --------- dc--a-w C:\Documents and Settings\@Staszek\Dane aplikacji\U3
2008-07-11 10:29 --------- dc----w C:\Program Files\Foxit Software
2008-07-10 15:46 --------- dc----w C:\Program Files\Common Files\Ahead
2008-07-10 12:32 --------- dc--a-w C:\Documents and Settings\All Users\Dane aplikacji\Downloaded Installations
2008-07-10 12:32 --------- dc----w C:\Program Files\Nokia
2008-07-10 08:33 --------- dc----w C:\Program Files\DivX
2008-07-07 00:34 --------- dc----w C:\Program Files\Xvid
2008-07-07 00:26 --------- dc----w C:\Documents and Settings\@Staszek\Dane aplikacji\DivX
2008-06-28 20:00 --------- dc----w C:\Program Files\SubEdit-Player
2008-06-28 19:55 --------- dc----w C:\Program Files\Gabest
2008-06-28 19:09 --------- dc----w C:\Program Files\AviSynth 2.5
2008-06-28 18:55 --------- dc-h--w C:\Program Files\InstallShield Installation Information
2008-06-28 15:45 --------- dc--a-w C:\Documents and Settings\@Staszek\Dane aplikacji\FaxCtr
2008-06-20 10:45 360,320 -c--a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 10:44 138,368 -c--a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 09:52 225,920 -c--a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-14 18:01 273,024 -c--a-w C:\WINDOWS\system32\drivers\bthport.sys
2008-05-05 12:20 20,256 -c--a-w C:\Documents and Settings\@Staszek\Dane aplikacji\GDIPFONTCACHEV1.DAT
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{F4F10C1D-87C7-404A-B4B3-000000000000}"= "E:\PROGRA~1\DAP\SBSearch.dll" [2008-03-15 18:33 32768]

[HKEY_CLASSES_ROOT\clsid\{f4f10c1d-87c7-404a-b4b3-000000000000}]
[HKEY_CLASSES_ROOT\SearchHook.SrchHook.1]
[HKEY_CLASSES_ROOT\TypeLib\{95EFB171-F3DF-4BEC-9EF7-829A800203E6}]
[HKEY_CLASSES_ROOT\SearchHook.SrchHook]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2006-03-02 14:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LXCGCATS"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCGtime.dll" [2005-04-27 16:21 69632]
"InCD"="E:\Program Files\Ahead\InCD\InCD.exe" [2005-01-27 18:17 1381376]
"AVP"="C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe" [2008-04-25 18:21 201992]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-03-02 14:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.I420"= i263_32.drv
"msacm.divxa32"= msaud32_divx.acm

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"FirewallOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\Ares\\Ares.exe"=
"E:\\Program Files\\DAP\\DAP.exe"=
"C:\\WINDOWS\\system32\\lxcgcoms.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"135:TCP"= 135:TCP:TCP Port 135
"5000:TCP"= 5000:TCP:TCP Port 5000
"5001:TCP"= 5001:TCP:TCP Port 5001
"5002:TCP"= 5002:TCP:TCP Port 5002
"5003:TCP"= 5003:TCP:TCP Port 5003
"5004:TCP"= 5004:TCP:TCP Port 5004
"5005:TCP"= 5005:TCP:TCP Port 5005
"5006:TCP"= 5006:TCP:TCP Port 5006
"5007:TCP"= 5007:TCP:TCP Port 5007
"5008:TCP"= 5008:TCP:TCP Port 5008
"5009:TCP"= 5009:TCP:TCP Port 5009
"5010:TCP"= 5010:TCP:TCP Port 5010
"5011:TCP"= 5011:TCP:TCP Port 5011
"5012:TCP"= 5012:TCP:TCP Port 5012
"5013:TCP"= 5013:TCP:TCP Port 5013
"5014:TCP"= 5014:TCP:TCP Port 5014
"5015:TCP"= 5015:TCP:TCP Port 5015
"5016:TCP"= 5016:TCP:TCP Port 5016
"5017:TCP"= 5017:TCP:TCP Port 5017
"5018:TCP"= 5018:TCP:TCP Port 5018
"5019:TCP"= 5019:TCP:TCP Port 5019
"5020:TCP"= 5020:TCP:TCP Port 5020

R0 klbg;Kaspersky Lab Boot Guard Driver;C:\WINDOWS\system32\drivers\klbg.sys [2008-01-29 18:29]
R2 NwSapAgent;Agent SAP;C:\WINDOWS\system32\svchost.exe [2006-03-02 14:00]
R3 cwbmidi_device;Sterownik Crystal WDM MPU-401 UART;C:\WINDOWS\system32\drivers\cwbmidi.sys [2001-08-17 22:19]
R3 cwbwdm_device;Sterownik kodera-dekodera audio Crystal WDM;C:\WINDOWS\system32\drivers\cwbwdm.sys [2001-08-17 22:19]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2008-03-25 20:07]
S3 ASNDIS5;ASNDIS5 Protocol Driver;C:\WINDOWS\system32\ASNDIS5.SYS [2002-09-09 20:54]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
"C:\Program Files\Common Files\LightScribe\LSRunOnce.exe"
.
.
------- Supplementary Scan -------
.
R0 -: HKCU-Main,Start Page = about:blank
O8 -: &Clean Traces - E:\Program Files\DAP\Privacy Package\dapcleanerie.htm
O8 -: &Download with &DAP - E:\Program Files\DAP\dapextie.htm
O8 -: Download &all with DAP - E:\Program Files\DAP\dapextie2.htm
O8 -: E&ksport do programu Microsoft Excel - C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 -: Save To MHT - C:\Program Files\EZ Save MHT\EZSaveMHT.dll/CtxMenu
O18 -: Name-Space Handler: ftp\ZDA - {5BFA1DAF-5EDC-11D2-959E-00C00C02DA5E} - E:\PROGRA~1\DAP\dapie.dll
O18 -: Name-Space Handler: http\ZDA - {5BFA1DAF-5EDC-11D2-959E-00C00C02DA5E} - E:\PROGRA~1\DAP\dapie.dll


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-26 12:17:23
Windows 5.1.2600 Dodatek Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
E:\Program Files\Ahead\InCD\InCDsrv.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\imapi.exe
.
**************************************************************************
.
Completion time: 2008-07-26 12:20:58 - machine was rebooted
ComboFix-quarantined-files.txt 2008-07-26 10:20:40

Pre-Run: 1,969,106,944 bajtów wolnych
Post-Run: 2,023,424,000 bajt˘w wolnych

204 --- E O F --- 2008-07-09 11:04:31

[huber2t]

Pobierz ComboFix, ale nie uruchamiaj
Wklej do notatnika:

Kod: Zaznacz wszystko

File::
C:\ZAF6.tmp
C:\ZAU5.tmp
C:\ADS3.tmp

Folder::
C:\Temp\{9F5FBC24-EFE2-4f90-B498-EC0FB7D47D15}

Registry::
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{F4F10C1D-87C7-404A-B4B3-000000000000}"=-
[-HKEY_CLASSES_ROOT\clsid\{f4f10c1d-87c7-404a-b4b3-000000000000}]
[-HKEY_CLASSES_ROOT\SearchHook.SrchHook.1]
[-HKEY_CLASSES_ROOT\TypeLib\{95EFB171-F3DF-4BEC-9EF7-829A800203E6}]
[-HKEY_CLASSES_ROOT\SearchHook.SrchHook]


Plik zapisz jako CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu

Rozpocznie się usuwanie i powstanie log, daj ten log na forum.

Logi dajesz na http://www.wklej.eu/ a w poście dajesz tylko link

[stamar]

Dzięki Ci hubert2t

Zrobiłem wszystko co kazałeś. Wkleiłem drugi LOG. Teraz jeszcze muszę wyczaić jak się wkleja link

STAMAR z miasta O

http://www.wklejto.pl/6699

chyba tak... proste

[huber2t]

Log wyglada na czysty

usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.

Przeczyść komputer Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum

lub

Dr.WEB CureIt!

[stamar]

Witam Cię hubercie2t!

Bardzo dziękuję za pomoc. Skrupulatnie wykonałem wszystkie zalecenia.
- usunęłem C:\Qoobox i Combofix.exe
- optymalizacja autostartu
- wł/wył przywracanie systemu
- restart
- kaspersky ScanerOnline / mój komputer (ponad 2 godz)

Również zgodnie z poleceniem raport z w/w scanowania umieszczem na forum:

http://www.wklejto.pl/6791

Pozdrawiam i jeszcze raz dziękuję

STAMAT z miasta O
[/url]

[huber2t]

W raporcie czysto

Powinno być ok

[stamar]

Dzięki Ci hubercie2t, jesteś profi- chciałbym dołączyć do "pochwał".

Pozdrawiam STAMAR

[moontwa]

W raporcie czysto

Powinno być ok

Witaj Hubercie. Mój problem jest bardziej skomplikowany, bo stamar przynajmniej ma jakiekolwiek pojęcie, o czym tu piszecie... Jestem kompletnym laikiem!! Nie wiem, co mam zrobić z tym debilnym niebieskim pulpitem. Jeśli nie będzie to dla Ciebie problem, poinstruuj biedną duszę, niestety niemotę...
Nie mam kompletnie pojęcia o tym, co tu jest napisane. Przeczytałem wszytko, ale taki język jest mi obcy... Liczę na zrozumienie

Pozdrawiam

[moontwa]

zrobiłem podobnie jak stamar, naps zniknął. czy ten kod, który podałeś, aby skopiować do pliku notatnika to jakiś standardowy?? tez mam tak uczynić?
proszę, odpowiedz hubert

jak się poczyta na spokojnie, to nawet coś rozumiem