Windows wariuje

[stubby]

Mam taki problem, ze po przyjściu z uczelni coś przyniosłem na pendrivie objawy sa takie że przy uruchomieniu kompa wyskakuja dwa okienka "moje dokumenty", i niemoge sie dostać na zaden dysk ani przez eksploruj ani przez normalne dwukrotne kliknięcie. Sprawdziłem dyski BitDefenderem i nawet coś wykrywa (jest tego psoro wiec niewypisuję) ale nieumie tego usunąć (niby usówa a problem pozostaje ten sam. Po przeczytaniu kilku postów juz wiem że mam wkleić log z Combo-Fixa. Z góry dziękuję za pomoc.


ComboFix 08-06-10.3 - Stubby 2008-06-11 14:46:08.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.582 [GMT 2:00]
Running from: C:\Documents and Settings\Stubby\Pulpit\Combo-Fix.exe
* Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\autorun.inf
C:\WINDOWS\autorun.inf
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\amvo0.dll
C:\WINDOWS\system32\AutoRun.inf
C:\windows\system32\explorer.exe

.
((((((((((((((((((((((((( Files Created from 2008-05-11 to 2008-06-11 )))))))))))))))))))))))))))))))
.

2008-06-11 14:36 . 2008-06-11 14:36 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-06-11 14:36 . 2008-06-11 14:36 <DIR> d-------- C:\WINDOWS\LastGood
2008-06-11 14:36 . 2008-06-11 14:36 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab
2008-06-10 23:45 . 2008-06-10 23:45 76 --a------ C:\WINDOWS\system32\ikhcore.cfg
2008-06-10 22:05 . 2008-06-10 23:49 <DIR> d-a------ C:\Documents and Settings\All Users\Dane aplikacji\TEMP
2008-06-10 09:10 . 2008-05-23 07:23 107,828 -r-hs---- C:\tfk8.exe
2008-06-08 23:52 . 2008-06-08 23:52 8,272 ---hs---- C:\WINDOWS\system32\`.vbe
2008-06-08 23:52 . 2008-06-08 23:52 8,272 ---hs---- C:\WINDOWS\`.vbe
2008-06-08 23:52 . 2008-06-08 23:52 8,272 ---hs---- C:\`.vbs
2008-06-01 19:56 . 2008-06-01 19:56 <DIR> d-------- C:\Program Files\Common Files\Macrovision Shared
2008-06-01 19:56 . 2008-06-01 19:56 <DIR> d-------- C:\Program Files\Autodesk
2008-06-01 19:56 . 2008-06-01 19:56 54,784 --a------ C:\WINDOWS\system32\drivers\CDAC11BA.EXE
2008-06-01 19:56 . 2008-06-01 19:56 12,464 --a------ C:\WINDOWS\system32\drivers\CDAC15BA.SYS
2008-06-01 19:55 . 2008-06-01 19:55 <DIR> d-------- C:\Program Files\AnswerWorks 4.0
2008-06-01 19:54 . 2008-06-01 19:55 <DIR> d-------- C:\Program Files\Common Files\Autodesk Shared
2008-06-01 19:54 . 2008-06-01 19:58 <DIR> d-------- C:\Documents and Settings\Stubby\Dane aplikacji\Autodesk
2008-06-01 19:54 . 2008-06-01 19:54 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\Autodesk

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-11 12:40 14 ----a-w C:\Documents and Settings\Stubby\getfile.dat
2008-05-14 20:33 --------- d-----w C:\Documents and Settings\Stubby\Dane aplikacji\AdobeUM
2008-05-12 20:08 --------- d-----w C:\Documents and Settings\Stubby\Dane aplikacji\SopCast
2008-04-22 10:34 --------- d-----w C:\Documents and Settings\Stubby\Dane aplikacji\U3
2008-03-30 21:15 22,328 ----a-w C:\Documents and Settings\Stubby\Dane aplikacji\PnkBstrK.sys
2008-03-30 21:14 66,872 ----a-w C:\WINDOWS\system32\PnkBstrA.exe
2008-03-30 21:14 103,736 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
2008-03-13 21:54 108,144 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:44 15360]
"Gadu-Gadu"="D:\Programy\Gadu-Gadu\gg.exe" [2008-03-15 00:18 2404740]
"Komunikator"="C:\Program Files\Tlen.pl\tlen.exe" [ ]
"updateMgr"="C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 17:45 313472]
"DAEMON Tools Pro Agent"="D:\Programy\DAEMON Tools Pro\DTProAgent.exe" [2007-09-06 15:08 136136]
"wsctf.exe"="wsctf.exe" []
"EXPLORER.EXE"="EXPLORER.EXE" [2007-06-13 15:23 1034752 C:\WINDOWS\explorer.exe]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2007-02-26 15:03 16125440 C:\WINDOWS\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2006-05-16 18:04 2879488 C:\WINDOWS\SkyTel.exe]
"BDMCon"="C:\Program Files\Softwin\BitDefender8\bdmcon.exe" [2005-06-20 12:10 421888]
"BDNewsAgent"="C:\Program Files\Softwin\BitDefender8\bdnagent.exe" [2005-05-09 12:19 8192]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 02:41 8523776]
"nwiz"="nwiz.exe" [2007-12-05 02:41 1626112 C:\WINDOWS\system32\nwiz.exe]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-03-29 19:56 147916]
"NeroCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 12:50 155648]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2008-03-15 00:37 295300]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 02:41 81920]
"WinampAgent"="D:\Programy\Winamp\winampa.exe" [2008-01-16 00:54 37376]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 01:44 15360]

C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\
Adobe Reader Speed Launch.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 23:05:26 38519]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"explorer"= `.vbe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.YV12"= yv12vfw.dll
"msacm.divxa32"= divxa32.acm

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"D:\\Programy\\Gadu-Gadu\\gg.exe"=
"D:\\Programy\\RivChat2\\RivChat.exe"=
"D:\\Programy\\strong dc\\StrongDC.exe"=
"D:\\Programy\\wincmd\\WINCMD32.EXE"=
"D:\\Programy\\SopCast\\SopCast.exe"=
"C:\\WINDOWS\\system32\\dplaysvr.exe"=
"E:\\Supreme Commander\\Supreme Commander\\bin\\SupremeCommander.exe"=
"E:\\Supreme Commander\\GPGNet\\GPG.Multiplayer.Client.exe"=
"D:\\CAVEDOG\\TADemo\\SERVER.EXE"=
"C:\\Program Files\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"C:\\WINDOWS\\system32\\PnkBstrA.exe"=
"C:\\WINDOWS\\system32\\PnkBstrB.exe"=
"D:\\Programy\\SopCast\\adv\\SopAdver.exe"=


*Newly Created Service* - CATCHME
.
Contents of the 'Scheduled Tasks' folder
"2008-06-10 06:45:01 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-11 14:47:25
Windows 5.1.2600 Dodatek Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2008-06-11 14:47:51
ComboFix-quarantined-files.txt 2008-06-11 12:47:42

Pre-Run: 37,432,479,744 bajtów wolnych
Post-Run: 37,817,806,848 bajtów wolnych

116 --- E O F --- 2007-12-16 11:06:43

[huber2t]

Pobierz ComboFix, ale nie uruchamiaj
Wklej do notatnika:

Kod: Zaznacz wszystko

File::
C:\tfk8.exe
C:\WINDOWS\system32\`.vbe
C:\WINDOWS\`.vbe
C:\`.vbs

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"wsctf.exe"=-
"EXPLORER.EXE"=-


Plik zapisz jako CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu

Rozpocznie się usuwanie i powstanie log, daj ten log na forum.

[stubby]

Robie tak jak piszesz ale uruchamia sie tylko pasek ładowania combofixa i nic wiecej sie niedzieje, stoi w miejscu (nic sie nieładuje), (wstawiłbym zdjęcie ale niewem jak )

[stubby]

Ok juz poradziłem se z tym problemem i zrobiłem tak jak pisałeś i wklejam nowy log

ComboFix 08-06-10.5 - Stubby 2008-06-11 17:34:34.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.619 [GMT 2:00]
Running from: C:\Documents and Settings\Stubby\Pulpit\ComboFix.exe
Command switches used :: C:\Documents and Settings\Stubby\Pulpit\CFScript.txt
* Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

FILE ::
C:\`.vbs
C:\tfk8.exe
C:\WINDOWS\`.vbe
C:\WINDOWS\system32\`.vbe
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\`.vbs
C:\tfk8.exe
C:\WINDOWS\`.vbe
C:\WINDOWS\system32\`.vbe
C:\WINDOWS\system32\AutoRun.inf

.
((((((((((((((((((((((((( Files Created from 2008-05-11 to 2008-06-11 )))))))))))))))))))))))))))))))
.

2008-06-11 14:36 . 2008-06-11 14:36 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-06-11 14:36 . 2008-06-11 14:36 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab
2008-06-10 23:45 . 2008-06-10 23:45 76 --a------ C:\WINDOWS\system32\ikhcore.cfg
2008-06-10 22:05 . 2008-06-10 23:49 <DIR> d-a------ C:\Documents and Settings\All Users\Dane aplikacji\TEMP
2008-06-01 19:56 . 2008-06-01 19:56 <DIR> d-------- C:\Program Files\Common Files\Macrovision Shared
2008-06-01 19:56 . 2008-06-01 19:56 <DIR> d-------- C:\Program Files\Autodesk
2008-06-01 19:56 . 2008-06-01 19:56 54,784 --a------ C:\WINDOWS\system32\drivers\CDAC11BA.EXE
2008-06-01 19:56 . 2008-06-01 19:56 12,464 --a------ C:\WINDOWS\system32\drivers\CDAC15BA.SYS
2008-06-01 19:55 . 2008-06-01 19:55 <DIR> d-------- C:\Program Files\AnswerWorks 4.0
2008-06-01 19:54 . 2008-06-01 19:55 <DIR> d-------- C:\Program Files\Common Files\Autodesk Shared
2008-06-01 19:54 . 2008-06-01 19:58 <DIR> d-------- C:\Documents and Settings\Stubby\Dane aplikacji\Autodesk
2008-06-01 19:54 . 2008-06-01 19:54 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\Autodesk

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-11 12:40 14 ----a-w C:\Documents and Settings\Stubby\getfile.dat
2008-05-14 20:33 --------- d-----w C:\Documents and Settings\Stubby\Dane aplikacji\AdobeUM
2008-05-12 20:08 --------- d-----w C:\Documents and Settings\Stubby\Dane aplikacji\SopCast
2008-04-22 10:34 --------- d-----w C:\Documents and Settings\Stubby\Dane aplikacji\U3
2008-03-30 21:15 22,328 ----a-w C:\Documents and Settings\Stubby\Dane aplikacji\PnkBstrK.sys
2008-03-30 21:14 66,872 ----a-w C:\WINDOWS\system32\PnkBstrA.exe
2008-03-30 21:14 103,736 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
2008-03-13 21:54 108,144 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
.

((((((((((((((((((((((((((((( snapshot@2008-06-11_14.47.37,70 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-06-11 09:29:18 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-06-11 13:37:36 2,048 --s-a-w C:\WINDOWS\bootstat.dat
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:44 15360]
"Gadu-Gadu"="D:\Programy\Gadu-Gadu\gg.exe" [2008-03-15 00:18 2404740]
"Komunikator"="C:\Program Files\Tlen.pl\tlen.exe" [ ]
"updateMgr"="C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 17:45 313472]
"DAEMON Tools Pro Agent"="D:\Programy\DAEMON Tools Pro\DTProAgent.exe" [2007-09-06 15:08 136136]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2007-02-26 15:03 16125440 C:\WINDOWS\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2006-05-16 18:04 2879488 C:\WINDOWS\SkyTel.exe]
"BDMCon"="C:\Program Files\Softwin\BitDefender8\bdmcon.exe" [2008-06-11 14:56 430450]
"BDNewsAgent"="C:\Program Files\Softwin\BitDefender8\bdnagent.exe" [2005-05-09 12:19 8192]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 02:41 8523776]
"nwiz"="nwiz.exe" [2007-12-05 02:41 1626112 C:\WINDOWS\system32\nwiz.exe]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-03-29 19:56 147916]
"NeroCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 12:50 155648]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2008-03-15 00:37 295300]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 02:41 81920]
"WinampAgent"="D:\Programy\Winamp\winampa.exe" [2008-01-16 00:54 37376]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 01:44 15360]

C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\
Adobe Reader Speed Launch.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 23:05:26 38519]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"explorer"= `.vbe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.YV12"= yv12vfw.dll
"msacm.divxa32"= divxa32.acm

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"D:\\Programy\\Gadu-Gadu\\gg.exe"=
"D:\\Programy\\RivChat2\\RivChat.exe"=
"D:\\Programy\\strong dc\\StrongDC.exe"=
"D:\\Programy\\wincmd\\WINCMD32.EXE"=
"D:\\Programy\\SopCast\\SopCast.exe"=
"C:\\WINDOWS\\system32\\dplaysvr.exe"=
"E:\\Supreme Commander\\Supreme Commander\\bin\\SupremeCommander.exe"=
"E:\\Supreme Commander\\GPGNet\\GPG.Multiplayer.Client.exe"=
"D:\\CAVEDOG\\TADemo\\SERVER.EXE"=
"C:\\Program Files\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"C:\\WINDOWS\\system32\\PnkBstrA.exe"=
"C:\\WINDOWS\\system32\\PnkBstrB.exe"=
"D:\\Programy\\SopCast\\adv\\SopAdver.exe"=


.
Contents of the 'Scheduled Tasks' folder
"2008-06-10 06:45:01 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-11 17:35:31
Windows 5.1.2600 Dodatek Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2008-06-11 17:35:57
ComboFix-quarantined-files.txt 2008-06-11 15:35:53
ComboFix2.txt 2008-06-11 12:47:52

Pre-Run: 37,795,758,080 bajtów wolnych
Post-Run: 37,797,986,304 bajtów wolnych

119 --- E O F --- 2007-12-16 11:06:43

[huber2t]

Log wyglada na czysty

usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.

Wyłącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum

Włącz przywracanie systemu.

[stubby]

Tak z ciekawosci spytam, po co włączać przywracanie systemu na dyskach jesli wszystko działa wporządku ??

[stubby]

Antywirus niechce się włączyć pisze, że klucz jest zablokowany.

[huber2t]

Możesz wyłączyć i włączyć, bo możliwe że masz wirusy w punktach przywracania


Przeskanuj komputer programem ArcaMicroscan, usuń wirusy

[stubby]

Ok przeskanowałem i usunołem wszystko co znalazło