Tasiemk

http://www.wklej.org/id/f387f5ff2b nie zauwazyłam ze nie skopiowałam 8O

Log z całosci : http://www.wklej.org/id/a0662abde6 i log z usług : http://www.wklej.org/index.php 8O

Witam , zrobilam wszystko co pisałes wyzej, antywirus sie zainstalował ale znowu nigdzie nie widnieje, zadnej ikony, folderu gdzie mogłby byc... 8O ( folderze windowsa jest plik o nazwie avgsetup.exe i tyle) log z combofixa: http://wklej.org/id/b52ff3b0a6 log z hijack'a: http://wklej.org/id/65615b5aa1 a moze zrobie formata ?... tylko tym razem odepne kabelek i odrazu zainstaluje antywirusa : )

Hei, wiec...log z antyspyware: http://www.wklej.org/id/5c7d161268 ustawiłam zeby uruchamial sie odrazu z systemem combofix: http://www.wklej.org/id/8c53fa66f8 Antywirusa dalej nie da sie uruchomic, ten sam bład co Ci napisałam wczesniej...

A jesli sie nie zainstaluje?: Setup of avira antivir personaledition classic , the CRC sum of C:\Docume~1\USTAWI~1\Temp\RARSFX0|basic|setup.exe has been changed! This could be due of a virus! do you want to shut down Setup? i tylko jedna mozliwa odp. OK , co Ty na to ? to juz drugi antywir ktory mi sie nie chce zainstalowac ;|

Hej...przepraszam najmocniej ze sie nie odzywałam...ale przez te swieta nie miałam kompletnie czasu zeby moc przy tym posiedziec... Teraz porobiłam to co mi mowiłes wczesniej zebym zrobiła, mam nadzieje ze te pare dni nie wpływie na efekt ogólny... zamknełam robaczywe porty, ten antywirus AVG nie chce mi sie zainstalowac, niby sie instaluje ale nie widnieje jako zainstalowany...ale to mniejsza narazie... Przeskanowałam Malwarebyte i AdAware pousuwalam wszystko, pozniej wkleiłam ten plik do combofixa, cos tm porobił, zamknełam przywracanie systemu, pozniej otwarłam, i uruchomiłam punkt 2 tego ostatnie programu i usunełam plik qoobox Raport http://www.wklej.org/id/3d4349c1bf Combofix: http://wklej.org/id/1329fbda14 Hijack : http://www.wklej.org/id/27793414b7 W czasie działania combofixa cały czas wyswietlal mi sie raport błedu z nazwa : PsExec Service czy to moze byc cos waznego? 8O Życze spokojnych i pogodnych świąt Wielkiej Nocy 8O

malware: http://www.wklej.org/id/e95aca9b24 combofix: http://wklej.org/id/e68a2de86c hijack: http://wklej.org/id/4d51d1713a silent runners: http://www.wklej.org/id/1bdf9f60dd 8O edit: zajmujesz sie tym na codzień? czy takie hobby pomagac ludziom na purepc ? 8O

8O juz sie robi Ale tak swoja droga ...strasznie duzo tego, bede mogła pozniej to usunąć wszystko? jak oczywiscie operacja przebiegnie pomyslnie...moze jest jakis program który juz mnie zabezpieczy w przyszłosci przed takimi problemami? teraz uzywam sygate firewall, no i od dzis ten antywirus Adware... nie potrafie tez sciagnac service pack'a 2 , czy to moze tez stanowic jakis problem ? Logi wrzuce jak sie wykonaja Dzieki wielkie w ogole 8O

combofix: http://www.wklej.org/id/0b8b8c5038 hijackthis: http://www.wklej.org/id/e862cfd9f6 Silent runners: http://www.wklej.org/id/97c2acace7 + sdfix report: http://www.wklej.org/id/4f7c83f0a7 najpierw zrobiłam w trybie awaryjnym sdfixem, pozniej tez w awaryjnym combofixem, i na koniec logi z hijack i silent runners... Z newsow dodam tylko tyle ze przy ładowaniu systemu wyskakuje mi error ze brak dysku A...:/ no i jak juz sie załaduje po powtornym kliknieciu 'kontynuuj' to juz w windowsie wyskakuje błąd : nie poprawna nazwa: windows/pdf.exe Pozdrawiam 8O

"Silent Runners.vbs", revision 56, http://www.silentrunners.org/ Operating System: Windows XP Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "CTFMON.EXE" = "C:\WINDOWS\System32\ctfmon.exe" [MS] "WhenUSave" = ""C:\Program Files\Save\Save.exe"" ["WhenU.com, Inc."] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "Cmaudio" = "RunDll32 cmicnfg.cpl,CMICtrlWnd" [MS] "CM-SmWizard" = "C:\WINDOWS\System\SmWizard.exe" ["C-Media Electronics Inc."] "RegTweak" = "RegTwk.exe" [file not found] "WinampAgent" = ""C:\Program Files\Winamp\winampa.exe"" [null data] "SunJavaUpdateSched" = ""C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"" ["Sun Microsystems, Inc."] "Microsoft Anivirus Monitor Process" = "antiv.exe" [null data] "e4e26875" = "rundll32.exe "C:\WINDOWS\System32\isoyxiws.dll",b" [MS] HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\ {306D6C21-C1B6-4629-986C-E59E1875B8AF}\(Default) = (no title provided) \StubPath = ""C:\WINDOWS\System32\rundll32.exe" "C:\Program Files\Messenger\msgsc.dll",ShowIconsUser" [MS] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided) -> {HKLM...CLSID} = "Adobe PDF Reader Link Helper" \InProcServer32\(Default) = "C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"] {7275A7E5-1E98-4F55-AF9C-78BAB11E306B}\(Default) = (no title provided) -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\WINDOWS\System32\xxywwwxw.dll" [null data] {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided) -> {HKLM...CLSID} = "SSVHelper Class" \InProcServer32\(Default) = "C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll" ["Sun Microsystems, Inc."] {7f49f7c2-18a2-401b-9a03-bd06e2c0bd09}\(Default) = "{90db0c2e-60db-30a9-b104-2a812c7f94f7}" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\WINDOWS\System32\pdxovjpx.dll" [null data] {A84F5146-4BA1-4FE0-8FA2-75B5D40DA396}\(Default) = (no title provided) -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\WINDOWS\System32\rqrpopnl.dll" [null data] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Rozszerzenie CPL kadrowania wyświetlania" -> {HKLM...CLSID} = "Rozszerzenie CPL kadrowania wyświetlania" \InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Rozszerzenie ikony HyperTerminalu" -> {HKLM...CLSID} = "HyperTerminal Icon Ext" \InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."] "{CE594922-286A-11d5-B47B-00606767FEC7}" = "Custom Display Modes" -> {HKLM...CLSID} = "Custom Display Modes" \InProcServer32\(Default) = "C:\WINDOWS\System32\CDMpp.dll" ["Byron Montgomerie"] "{7D5477E0-2629-11d5-B47B-00606767FEC7}" = "Rage3D Overclocker" -> {HKLM...CLSID} = "Rage3D Overclocker" \InProcServer32\(Default) = "C:\WINDOWS\System32\OCpp.dll" ["Byron Montgomerie"] "{BEB5F380-5501-11d3-BFDE-ADC2F2AAE920}" = "Rage3DTweak" -> {HKLM...CLSID} = "Rage3DTweak" \InProcServer32\(Default) = "C:\WINDOWS\System32\RegTwk.dll" ["Byron Montgomerie"] "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data] "{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" = "OpenOffice.org Column Handler" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = ""C:\Program Files\OpenOffice.org 2.1\program\shlxthdl.dll"" ["Sun Microsystems, Inc."] "{087B3AE3-E237-4467-B8DB-5A38AB959AC9}" = "OpenOffice.org Infotip Handler" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = ""C:\Program Files\OpenOffice.org 2.1\program\shlxthdl.dll"" ["Sun Microsystems, Inc."] "{63542C48-9552-494A-84F7-73AA6A7C99C1}" = "OpenOffice.org Property Sheet Handler" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = ""C:\Program Files\OpenOffice.org 2.1\program\shlxthdl.dll"" ["Sun Microsystems, Inc."] "{3B092F0C-7696-40E3-A80F-68D74DA84210}" = "OpenOffice.org Thumbnail Viewer" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = ""C:\Program Files\OpenOffice.org 2.1\program\shlxthdl.dll"" ["Sun Microsystems, Inc."] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\ <<!>> "{7275A7E5-1E98-4F55-AF9C-78BAB11E306B}" = "*d" (unwritable string) -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\WINDOWS\System32\xxywwwxw.dll" [null data] HKLM\SYSTEM\CurrentControlSet\Control\Lsa\ <<!>> "Authentication Packages" = "msv1_0"|"C:\WINDOWS\System32\rqrpopnl.dll" HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\ <<!>> "BootExecute" = "autocheck autochk *"|"lsdelete" [null data] HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ <<!>> xxywwwxw\DLLName = "xxywwwxw.dll" [null data] HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\ {C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}\(Default) = "OpenOffice.org Column Handler" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = ""C:\Program Files\OpenOffice.org 2.1\program\shlxthdl.dll"" ["Sun Microsystems, Inc."] {F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info" -> {HKLM...CLSID} = "PDF Shell Extension" \InProcServer32\(Default) = "C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."] HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\ WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data] HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\ WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data] HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\ WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data] Group Policies {policy setting}: -------------------------------- Note: detected settings may not have any effect. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ "shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001 {Shutdown: Allow system to be shut down without having to log on} "undockwithoutlogon" = (REG_DWORD) dword:0x00000001 {Devices: Allow undock without having to log on} Active Desktop and Wallpaper: ----------------------------- Active Desktop may be disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState Displayed if Active Desktop enabled and wallpaper not set by Group Policy: HKCU\Software\Microsoft\Internet Explorer\Desktop\General\ "Wallpaper" = "C:\WINDOWS\web\wallpaper\Idylla.bmp" Displayed if Active Desktop disabled and wallpaper not set by Group Policy: HKCU\Control Panel\Desktop\ "Wallpaper" = "C:\WINDOWS\web\wallpaper\Idylla.bmp" Enabled Screen Saver: --------------------- HKCU\Control Panel\Desktop\ "SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS] Startup items in "Taśmooka" & "All Users" startup folders: ---------------------------------------------------------- C:\Documents and Settings\All Users\Menu Start\Programy\Autostart "Adobe Reader Speed Launch" -> shortcut to: "C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe" ["Adobe Systems Incorporated"] "Adobe Reader Synchronizer" -> shortcut to: "C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe" [null data] "gameutil.exe" -> shortcut to: "C:\WINDOWS\system32\gameutil.exe" [file not found] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 11 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Extensions (Tools menu items, main toolbar menu buttons) HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\ {08B0E5C0-4FCB-11CF-AAA5-00401C608501}\ "MenuText" = "Sun Java Console" "CLSIDExtension" = "{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBC}" -> {HKCU...CLSID} = "Java Plug-in 1.6.0_05" \InProcServer32\(Default) = "C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll" ["Sun Microsystems, Inc."] -> {HKLM...CLSID} = "Java Plug-in 1.6.0_05" \InProcServer32\(Default) = "C:\Program Files\Java\jre1.6.0_05\bin\npjpi160_05.dll" ["Sun Microsystems, Inc."] Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ Ad-Aware 2007 Service, aawservice, ""C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe"" ["Lavasoft"] Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\System32\Ati2evxx.exe" ["ATI Technologies Inc."] ---------- (launch time: 2008-03-18 11:59:14) <<!>>: Suspicious data at a malware launch point. + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + The search for DESKTOP.INI DLL launch points on all local fixed drives took 235 seconds. ---------- (total run time: 1392 seconds) hijack: Logfile of HijackThis v1.99.1 Scan saved at 11:54:27, on 2008-03-18 Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\System32\RunDll32.exe C:\Program Files\Winamp\winampa.exe C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe C:\WINDOWS\System32\antiv.exe C:\WINDOWS\System32\rundll32.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe C:\Program Files\Opera\Opera.exe C:\Program Files\Save\Save.exe C:\Documents and Settings\Taśmooka\Pulpit\HijackThis.exe c:\program files\opera\opera.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [CM-SmWizard] C:\WINDOWS\System\SmWizard.exe O4 - HKLM\..\Run: [RegTweak] RegTwk.exe O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe" O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" O4 - HKLM\..\Run: [VVSN] C:\Program Files\VVSN\VVSN.exe O4 - HKLM\..\Run: [Microsoft Anivirus Monitor Process] antiv.exe O4 - HKLM\..\Run: [e4e26875] rundll32.exe "C:\WINDOWS\System32\isoyxiws.dll",b O4 - HKLM\..\RunServices: [Microsoft Anivirus Monitor Process] antiv.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [WhenUSave] "C:\Program Files\Save\Save.exe" O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe O4 - Global Startup: gameutil.exe.lnk = ? O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O17 - HKLM\System\CCS\Services\Tcpip\..\{9A95E6D5-2281-469F-AC4A-D71360DF4F73}: NameServer = 10.2.24.1 O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Scanning Analist Management System (SAMS) - Unknown owner - C:\WINDOWS\System32\sams.exe (file missing) O23 - Service: Windows User Mode Driver Framework (UMWdf) - Unknown owner - C:\WINDOWS\System32\wdfmgr.exe (file missing) Pierwszym problemem było zniknięcie puplitu, za pomoca menedzera zadan zeskanowałam komputer i znaleziono 130 zainfekowanych plików, antywir je usunął, w tym momencie pojawił sie pulpit i wszystko wygladało dobrze, zrobiłam drugi scan znaleziono 20 plików, usunełam, z pulpitu znikneło wszystko procz kosza, a w menu start przestały widniec zainstalowane programy, oba moje dyski były w 100 % zapełnione...co było jakims wymysłem komputera bo łacznie powinnam miec jakies 30 gb wolnego miejsca. uruchomiłam komputer ponownie, wszystko wrociło do normy, procz błedu ktory wyskoczył przy łądowaniu systemu ' logon.exe' nie mam pojecia co to za nazwa, czy jakis program... nie wiem... prosiłabym o sugestie , podejrzewam ze to jeszcze nie koniec, nie zabezpieczałam sie zadnym firewallem ani antywirusem, sama formatowałam dysk i miałam wrazenie ze nigdy mi tak dobrze nie chodził, no ale wychodzi na to ze zawalilam sprawe... Pozdrawiam serdecznie i prosze o odpowiedzi Anna Smoleniec edit: zrobiłam na stronie hijack'a analize i naprawiam włąsnie to co mi wykryło, zgodnie z instrukcja, mam nadzieje ze to pomoze, ale jakbym mogła prosic zeby i tak rzucic na to oczkiem, byc moze cos ominełam...było by to całkiem w moim stylu 8O edit2: usługa posłaniec: wykryto 30 krytycznych błędów systemu....<--- ;/