wirusy m.in. Win32:Virut Win32:Trojan-gen {Other}

[misiek88]

niedawno zmienilem internet z radiowej 256 na 1mb kabel (po znianie robilem gruntowny format calego pc) moj antyvirus to avast...po zmianie niewiadomo czemu i skad mam pelno wirusów typu Win32:Virut itp ktorych nie moge usunac bo chyba system uwaza je jako systemowe..... co mam zrobic???

Win32:Trojan-gen {Other} ......i jeszcze takie...

[huber2t]

Virut zaraża wszystkie pliki exe chyba będziesz musiał reinstalowac system z formatem całego dysku ale zobaczymy co da się zrobić

Pokaż log z ComboFix

[misiek88]

ComboFix 08-06-20.4 - Michał 2008-06-26 11:29:41.1 - NTFSx86

Running from: C:\Documents and Settings\Michał\Pulpit\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Program Files\myglobalsearch
C:\Program Files\myglobalsearch\bar\1.bin\M9FFXTBR.JAR
C:\Program Files\myglobalsearch\bar\1.bin\M9FFXTBR.MANIFEST
C:\Program Files\myglobalsearch\bar\1.bin\M9NTSTBR.JAR
C:\Program Files\myglobalsearch\bar\1.bin\M9NTSTBR.MANIFEST
C:\Program Files\myglobalsearch\bar\1.bin\M9PLUGIN.DLL
C:\Program Files\myglobalsearch\bar\1.bin\MGSBAR.DLL
C:\Program Files\myglobalsearch\bar\1.bin\NPMYGLSH.DLL
C:\Program Files\myglobalsearch\bar\Cache\000E1558
C:\Program Files\myglobalsearch\bar\Cache\000E178B
C:\Program Files\myglobalsearch\bar\Cache\000E1AD7.bin
C:\Program Files\myglobalsearch\bar\Cache\0016B664.bin
C:\Program Files\myglobalsearch\bar\Cache\0016BC8E.bin
C:\Program Files\myglobalsearch\bar\Cache\files.ini
C:\Program Files\myglobalsearch\bar\History\search
C:\Program Files\myglobalsearch\bar\Settings\prevcfg.htm

.
((((((((((((((((((((((((( Files Created from 2008-05-26 to 2008-06-26 )))))))))))))))))))))))))))))))
.

2008-06-26 10:37 . 2008-06-26 10:37 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-06-26 10:37 . 2008-06-26 10:37 <DIR> d-------- C:\WINDOWS\LastGood
2008-06-26 10:37 . 2008-06-26 10:37 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab
2008-06-26 09:47 . 2008-06-26 09:47 <DIR> d-------- C:\My Downloads
2008-06-26 09:36 . 2008-06-26 09:36 9,216 --a------ C:\WINDOWS\system32\dbrtpbtg.exe
2008-06-25 19:33 . 2008-06-25 19:33 9,216 --a------ C:\WINDOWS\system32\rykprusx.exe
2008-06-25 16:49 . 2008-06-25 16:49 <DIR> d-------- C:\Program Files\SAGEM
2008-06-25 16:49 . 2008-06-25 16:49 <DIR> d-------- C:\Documents and Settings\Michał\Dane aplikacji\InstallShield
2008-06-25 10:50 . 2008-06-26 09:48 <DIR> d-------- C:\Programy
2008-06-25 01:37 . 2002-09-20 18:18 57,856 --a------ C:\WINDOWS\system32\drivers\redbook.sys
2008-06-25 01:37 . 2001-08-17 22:46 6,400 --a------ C:\WINDOWS\system32\drivers\enum1394.sys
2008-06-25 01:37 . 2001-08-17 22:59 3,072 --a------ C:\WINDOWS\system32\drivers\audstub.sys
2008-06-25 01:35 . 2008-06-26 11:28 <DIR> d-------- C:\WINDOWS\system32\CatRoot2
2008-06-25 01:35 . 2008-06-25 01:35 <DIR> dr-h----- C:\Documents and Settings\Default User\Ustawienia lokalne
2008-06-25 01:35 . 2008-06-25 01:35 <DIR> d-------- C:\Documents and Settings\Default User\Ulubione
2008-06-25 01:35 . 2008-06-25 00:39 <DIR> d--h----- C:\Documents and Settings\Default User\Szablony
2008-06-25 01:35 . 2008-06-25 01:35 <DIR> d-------- C:\Documents and Settings\Default User\Pulpit
2008-06-25 01:35 . 2008-06-25 01:35 <DIR> d-------- C:\Documents and Settings\Default User\Moje dokumenty
2008-06-25 01:35 . 2008-06-25 01:35 <DIR> dr------- C:\Documents and Settings\Default User\Menu Start
2008-06-25 01:35 . 2008-06-25 01:35 <DIR> dr-h----- C:\Documents and Settings\Default User\Dane aplikacji
2008-06-25 01:35 . 2008-06-25 01:35 <DIR> d-------- C:\Documents and Settings\All Users\Ulubione
2008-06-25 01:35 . 2008-06-25 01:35 <DIR> d--h----- C:\Documents and Settings\All Users\Szablony
2008-06-25 01:35 . 2008-06-25 16:50 <DIR> d-------- C:\Documents and Settings\All Users\Pulpit
2008-06-25 01:35 . 2008-06-25 00:44 <DIR> dr------- C:\Documents and Settings\All Users\Menu Start
2008-06-25 01:35 . 2008-06-25 00:40 <DIR> dr------- C:\Documents and Settings\All Users\Dokumenty
2008-06-25 01:35 . 2008-06-26 10:37 <DIR> dr-h----- C:\Documents and Settings\All Users\Dane aplikacji
2008-06-25 01:02 . 2008-06-25 01:03 <DIR> d-------- C:\WINDOWS\nview
2008-06-25 01:02 . 2006-06-01 11:22 208,896 --a------ C:\WINDOWS\system32\nvudisp.exe
2008-06-25 01:02 . 2008-06-26 09:33 63,804 --a------ C:\WINDOWS\system32\nvapps.xml
2008-06-25 01:02 . 2006-06-01 11:22 16,960 --a------ C:\WINDOWS\system32\nvdisp.nvu
2008-06-25 01:01 . 2006-06-01 19:09 208,896 --a------ C:\WINDOWS\system32\NVUNINST.EXE
2008-06-25 01:00 . 2004-05-02 10:47 23,040 -ra------ C:\WINDOWS\system32\drivers\GVCplDrv.sys

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-25 14:50 33 ----a-w C:\WINDOWS\system32\drivers\adidsl.cfg
2008-06-25 14:50 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-06-24 22:56 --------- d-----w C:\Program Files\Common Files\Adobe
2008-06-24 22:56 --------- d-----w C:\Documents and Settings\Michał\Dane aplikacji\InterTrust
2008-06-24 22:55 --------- d-----w C:\Program Files\Intel
2008-06-24 22:54 --------- d-----w C:\Program Files\Intel Audio Studio
2008-06-24 22:53 --------- d-----w C:\Program Files\SigmaTel
2008-06-24 22:53 --------- d-----w C:\Program Files\Common Files\InstallShield
2008-06-24 22:49 --------- d-----w C:\Program Files\MSXML 4.0
2008-06-24 22:42 558,142 ----a-w C:\WINDOWS\java\Packages\TV31V1B3.ZIP
2008-06-24 22:42 155,995 ----a-w C:\WINDOWS\java\Packages\XNZF9F9V.ZIP
2008-06-24 22:42 --------- d-----w C:\Program Files\microsoft frontpage
2008-06-24 22:40 --------- d-----w C:\Program Files\Usługi online
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2002-09-20 18:05 13312]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SigmatelSysTrayApp"="sttray.exe" []
"IntelAudioStudio"="C:\Program Files\Intel Audio Studio\IntelAudioStudio.exe" [2006-08-02 17:17 9134080]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2006-06-01 11:22 7618560]
"nwiz"="nwiz.exe" [2006-06-01 11:22 1519616 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="NvMCTray.dll" [2006-06-01 11:22 86016 C:\WINDOWS\system32\nvmctray.dll]
"avast!"="C:\Programy\avast\ashDisp.exe" [2008-05-16 01:19 79224]
"BearShare"="C:\Programy\BearShare.exe" [2006-08-01 17:04 3313664]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2002-09-20 18:05 13312]

C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\
DSLMON.lnk - C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe [2008-06-25 16:50:11 1205840]


*Newly Created Service* - CATCHME
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-26 11:32:47
Windows 5.1.2600 Dodatek Service Pack. 1 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2008-06-26 11:33:16
ComboFix-quarantined-files.txt 2008-06-26 09:33:00

Pre-Run: 35,731,587,072 bajtów wolnych
Post-Run: 35,805,036,544 bajtów wolnych

110

[huber2t]

Pobierz ComboFix, ale nie uruchamiaj
Wklej do notatnika:

Kod: Zaznacz wszystko

File::
C:\WINDOWS\system32\dbrtpbtg.exe
C:\WINDOWS\system32\rykprusx.exe

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SigmatelSysTrayApp"=-


Plik zapisz jako CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu

Rozpocznie się usuwanie i powstanie log, daj ten log na forum.

Logi dajesz na http://www.wklej.eu/ a w poście dajesz tylko link

Podaj po tym log z HijackThis i log z usuwania z combofix

[misiek88]

ComboFix 08-06-20.4 - Michał 2008-06-26 12:32:54.2 - NTFSx86

Running from: C:\Documents and Settings\Michał\Pulpit\ComboFix.exe
Command switches used :: C:\Documents and Settings\Michał\Pulpit\CFScript.txt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

FILE ::
C:\WINDOWS\system32\dbrtpbtg.exe
C:\WINDOWS\system32\rykprusx.exe
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\dbrtpbtg.exe
C:\WINDOWS\system32\rykprusx.exe

.
((((((((((((((((((((((((( Files Created from 2008-05-26 to 2008-06-26 )))))))))))))))))))))))))))))))
.

2008-06-26 12:27 . 2008-06-26 12:27 389,120 ---hs---- C:\WINDOWS\system32\winsro.exe
2008-06-26 12:27 . 2008-06-26 12:27 0 --a------ C:\adware.exe
2008-06-26 11:32 . 2008-06-26 11:32 9,216 --a------ C:\WINDOWS\system32\gqxl.exe
2008-06-26 10:37 . 2008-06-26 10:37 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-06-26 10:37 . 2008-06-26 10:37 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab
2008-06-26 09:47 . 2008-06-26 09:47 <DIR> d-------- C:\My Downloads
2008-06-25 16:49 . 2008-06-25 16:49 <DIR> d-------- C:\Program Files\SAGEM
2008-06-25 16:49 . 2008-06-25 16:49 <DIR> d-------- C:\Documents and Settings\Michał\Dane aplikacji\InstallShield
2008-06-25 10:50 . 2008-06-26 09:48 <DIR> d-------- C:\Programy
2008-06-25 01:37 . 2002-09-20 18:18 57,856 --a------ C:\WINDOWS\system32\drivers\redbook.sys
2008-06-25 01:37 . 2001-08-17 22:46 6,400 --a------ C:\WINDOWS\system32\drivers\enum1394.sys
2008-06-25 01:37 . 2001-08-17 22:59 3,072 --a------ C:\WINDOWS\system32\drivers\audstub.sys
2008-06-25 01:35 . 2008-06-26 12:32 <DIR> d-------- C:\WINDOWS\system32\CatRoot2
2008-06-25 01:35 . 2008-06-25 01:35 <DIR> dr-h----- C:\Documents and Settings\Default User\Ustawienia lokalne
2008-06-25 01:35 . 2008-06-25 01:35 <DIR> d-------- C:\Documents and Settings\Default User\Ulubione
2008-06-25 01:35 . 2008-06-25 00:39 <DIR> d--h----- C:\Documents and Settings\Default User\Szablony
2008-06-25 01:35 . 2008-06-25 01:35 <DIR> d-------- C:\Documents and Settings\Default User\Pulpit
2008-06-25 01:35 . 2008-06-25 01:35 <DIR> d-------- C:\Documents and Settings\Default User\Moje dokumenty
2008-06-25 01:35 . 2008-06-25 01:35 <DIR> dr------- C:\Documents and Settings\Default User\Menu Start
2008-06-25 01:35 . 2008-06-25 01:35 <DIR> dr-h----- C:\Documents and Settings\Default User\Dane aplikacji
2008-06-25 01:35 . 2008-06-25 01:35 <DIR> d-------- C:\Documents and Settings\All Users\Ulubione
2008-06-25 01:35 . 2008-06-25 01:35 <DIR> d--h----- C:\Documents and Settings\All Users\Szablony
2008-06-25 01:35 . 2008-06-25 16:50 <DIR> d-------- C:\Documents and Settings\All Users\Pulpit
2008-06-25 01:35 . 2008-06-25 00:44 <DIR> dr------- C:\Documents and Settings\All Users\Menu Start
2008-06-25 01:35 . 2008-06-25 00:40 <DIR> dr------- C:\Documents and Settings\All Users\Dokumenty
2008-06-25 01:35 . 2008-06-26 10:37 <DIR> dr-h----- C:\Documents and Settings\All Users\Dane aplikacji
2008-06-25 01:02 . 2008-06-25 01:03 <DIR> d-------- C:\WINDOWS\nview
2008-06-25 01:02 . 2006-06-01 11:22 208,896 --a------ C:\WINDOWS\system32\nvudisp.exe
2008-06-25 01:02 . 2008-06-26 12:25 63,804 --a------ C:\WINDOWS\system32\nvapps.xml
2008-06-25 01:02 . 2006-06-01 11:22 16,960 --a------ C:\WINDOWS\system32\nvdisp.nvu
2008-06-25 01:01 . 2006-06-01 19:09 208,896 --a------ C:\WINDOWS\system32\NVUNINST.EXE
2008-06-25 01:00 . 2004-05-02 10:47 23,040 -ra------ C:\WINDOWS\system32\drivers\GVCplDrv.sys

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-25 14:50 33 ----a-w C:\WINDOWS\system32\drivers\adidsl.cfg
2008-06-25 14:50 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-06-24 22:56 --------- d-----w C:\Program Files\Common Files\Adobe
2008-06-24 22:56 --------- d-----w C:\Documents and Settings\Michał\Dane aplikacji\InterTrust
2008-06-24 22:55 --------- d-----w C:\Program Files\Intel
2008-06-24 22:54 --------- d-----w C:\Program Files\Intel Audio Studio
2008-06-24 22:53 --------- d-----w C:\Program Files\SigmaTel
2008-06-24 22:53 --------- d-----w C:\Program Files\Common Files\InstallShield
2008-06-24 22:49 --------- d-----w C:\Program Files\MSXML 4.0
2008-06-24 22:42 558,142 ----a-w C:\WINDOWS\java\Packages\TV31V1B3.ZIP
2008-06-24 22:42 155,995 ----a-w C:\WINDOWS\java\Packages\XNZF9F9V.ZIP
2008-06-24 22:42 --------- d-----w C:\Program Files\microsoft frontpage
2008-06-24 22:40 --------- d-----w C:\Program Files\Usługi online
.

((((((((((((((((((((((((((((( snapshot@2008-06-26_11.32.56,67 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-06-26 07:33:16 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-06-26 10:25:37 2,048 --s-a-w C:\WINDOWS\bootstat.dat
- 2008-06-25 14:39:02 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
+ 2008-06-26 10:27:39 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
- 2008-06-25 14:39:02 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Historia\History.IE5\index.dat
+ 2008-06-26 10:27:39 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Historia\History.IE5\index.dat
- 2008-06-25 14:39:02 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat
+ 2008-06-26 10:27:39 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat
- 2008-06-24 23:09:04 40,128 ----a-w C:\WINDOWS\system32\perfc009.dat
+ 2008-06-26 10:26:58 40,128 ----a-w C:\WINDOWS\system32\perfc009.dat
- 2008-06-24 23:09:04 49,712 ----a-w C:\WINDOWS\system32\perfc015.dat
+ 2008-06-26 10:26:58 49,712 ----a-w C:\WINDOWS\system32\perfc015.dat
- 2008-06-24 23:09:04 311,740 ----a-w C:\WINDOWS\system32\perfh009.dat
+ 2008-06-26 10:26:58 311,740 ----a-w C:\WINDOWS\system32\perfh009.dat
- 2008-06-24 23:09:04 355,830 ----a-w C:\WINDOWS\system32\perfh015.dat
+ 2008-06-26 10:26:58 355,830 ----a-w C:\WINDOWS\system32\perfh015.dat
+ 2008-06-26 10:25:40 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_4cc.dat
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2002-09-20 18:05 13312]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IntelAudioStudio"="C:\Program Files\Intel Audio Studio\IntelAudioStudio.exe" [2006-08-02 17:17 9134080]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2006-06-01 11:22 7618560]
"nwiz"="nwiz.exe" [2006-06-01 11:22 1519616 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="NvMCTray.dll" [2006-06-01 11:22 86016 C:\WINDOWS\system32\nvmctray.dll]
"avast!"="C:\Programy\avast\ashDisp.exe" [2008-05-16 01:19 79224]
"BearShare"="C:\Programy\BearShare.exe" [2006-08-01 17:04 3313664]
"WinDLL (winsro.exe)"="C:\WINDOWS\System32\winsro.exe,start" [ ]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2002-09-20 18:05 13312]

C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\
DSLMON.lnk - C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe [2008-06-25 16:50:11 1205840]


*Newly Created Service* - ALG
*Newly Created Service* - IPNAT
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-26 12:33:33
Windows 5.1.2600 Dodatek Service Pack. 1 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2008-06-26 12:33:48
ComboFix-quarantined-files.txt 2008-06-26 10:33:46
ComboFix2.txt 2008-06-26 09:33:16

Pre-Run: 36,011,016,192 bajtów wolnych
Post-Run: 36,006,772,736 bajtów wolnych

122

[misiek88]

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:36:44, on 2008-06-26
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programy\avast\aswUpdSv.exe
C:\Programy\avast\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Intel Audio Studio\IntelAudioStudio.exe
C:\Programy\avast\ashDisp.exe
C:\Programy\BearShare.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programy\avast\ashWebSv.exe
C:\Programy\avast\ashMaiSv.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Michał\Pulpit\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: My Global Search Bar - {37B85A29-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL (file missing)
O4 - HKLM\..\Run: [IntelAudioStudio] "C:\Program Files\Intel Audio Studio\IntelAudioStudio.exe" TRAY
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] C:\Programy\avast\ashDisp.exe
O4 - HKLM\..\Run: [BearShare] "C:\Programy\BearShare.exe" /pause
O4 - HKLM\..\Run: [WinDLL (winsro.exe)] rundll32.exe C:\WINDOWS\System32\winsro.exe,start
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-21-1645522239-1979792683-839522115-1003\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.pl/resources/virus ... nicode.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C8A30C02-6D26-4BEE-8A1D-3BEC445A8EF8}: NameServer = 83.238.255.76 213.241.79.37
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programy\avast\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programy\avast\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programy\avast\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programy\avast\ashWebSv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

--
End of file - 4115 bytes

[huber2t]

fix w hijackthis

O3 - Toolbar: My Global Search Bar - {37B85A29-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL (file missing)
O4 - HKLM\..\Run: [WinDLL (winsro.exe)] rundll32.exe C:\WINDOWS\System32\winsro.exe,start

Pobierz ComboFix, ale nie uruchamiaj
Wklej do notatnika:

Kod: Zaznacz wszystko

File::
C:\WINDOWS\system32\winsro.exe
C:\adware.exe
C:\WINDOWS\system32\gqxl.exe

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinDLL (winsro.exe)"=-


Plik zapisz jako CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu

Rozpocznie się usuwanie i powstanie log, daj ten log na forum.

Logi dajesz na http://www.wklej.eu/ a w poście dajesz tylko link

[misiek88]

http://www.wklej.org/id/af3f178793

[huber2t]

Pobierz ComboFix, ale nie uruchamiaj
Wklej do notatnika:

Kod: Zaznacz wszystko

File::
C:\WINDOWS\system32\hqghumea.dll


Plik zapisz jako CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu

Rozpocznie się usuwanie i powstanie log, daj ten log na forum.

Logi dajesz na http://www.wklej.eu/ a w poście dajesz tylko link

Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum

[misiek88]

http://www.wklej.org/id/7d4de50ebc

[huber2t]

Log wyglada na czysty

usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.

Przeczyść komputer Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum

lub

Dr.WEB CureIt!

[misiek88]

http://www.wklej.org/id/c61dab900b

[huber2t]

Usuń to:
C:\QooBox

Wyłącz i Włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Nie masz Viruta jest ok

[misiek88]

niby kaspersky niczego nie wykrył ale avast tak....nadal wyskakuja mi komunikaty o wirusie....

[huber2t]

Daj logi z niego

Dr.WEB CureIt!

Przeskanuj komputer programem ArcaMicroscan, usuń wirusy