Kakuś_ Napisano 14 Listopada 2007 Zgłoś Napisano 14 Listopada 2007 (edytowane) Proszę o pomoc. Od czasu jak podłączyłem pendriva z prezentacją wykładów komputer zaczął się totalnie chrzanić. Na początku był problem z plikami „copy.exe”; „zcopy.exe” itd. Słyszałem, że jest to wirus roznoszący się przez pendriva właśnie. Udało mi się ściągnąć program do kasowania tego i pozbyć się dziadostwa. Mimo tego dalej z kompem działo się coś nie tak. Zainstalowałem sobie: Avasta, Windows Defender, Ad-Aware 2007, Spybot’a i niby coś wyłapało i wykasowało. Mimo to jak skanuje on line Kasperskim albo nawet którymś z wymienionych wcześniej programów ciągle są jakieś szkodniki. Poza tym ciągle pojawia mi się komunikat, czy nie chciałbym sobie ściągnąć jakiegoś tam programu do kasowania wirusów(przejrzałem net i jest to również wirus coś chyba brzmi „BestsellerAntiVir” czy jakoś tak). Nie wiem co dalej robić, czy jest szans ratunku pomijając format dysku? Poniżej są logi. Pierwszy log jest „na świeżo” » Naciśnij, żeby pokazać/ukryć tekst oznaczony jako spoiler... « Logfile of HijackThis v1.99.1 Scan saved at 20:29:06, on 2007-11-14 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Windows Defender\MsMpEng.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\yvoyjcjw.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb06.exe C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE C:\Program Files\Winamp\winampa.exe C:\Program Files\iTunes\iTunesHelper.exe C:\Program Files\Windows Defender\MSASCui.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe C:\WINDOWS\system32\devldr32.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\Program Files\Common Files\PCSuite\Services\ServiceLayer.exe C:\Program Files\iPod\bin\iPodService.exe C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\Program Files\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = Download Directory R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O3 - Toolbar: Security Toolbar - {11A69AE4-FBED-4832-A2BF-45AF82825583} - C:\WINDOWS\system32\ahqjaenf.dll O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb06.exe O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe" O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O15 - Trusted Zone: http://mks.com.pl O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.pl/resources/virussca...can_unicode.cab O16 - DPF: {18506D80-9B80-11D4-82C2-0080C8D7ED4A} (GameDesire Roulette) - http://67.15.101.33/g_bin/pl/roulette_2_0_0_27.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab O16 - DPF: {3D8700FB-86A4-4CB4-B738-6F0FC016AC7D} (MainControl Class) - http://arcaonline.arcabit.com/ArcaOnline.cab O16 - DPF: {5A09E43F-A0A7-4ABF-AF80-11367CF1DC8F} (MainControl Class) - http://mks.com.pl/skaner/SkanerOnline.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1123606390534 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MainControl Class) - http://www.mks.com.pl/skaner2k7/SkanerOnline.cab O16 - DPF: {83AFB5CA-ED35-11D4-A452-0080C8D85045} (GameDesire Poker Games) - http://67.15.101.33/g_bin/pl/poker_2_0_0_49.cab O16 - DPF: {92ECE6FA-AC2E-4042-BFAE-0C8608E52A43} (SignActivX Control) - https://www.bph.pl/pi/components/SignActivX.cab O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: DomainService - - C:\WINDOWS\system32\yvoyjcjw.exe O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: ServiceLayer - Nokia. - C:\Program Files\Common Files\PCSuite\Services\ServiceLayer.exe Drugi po skanie Ad-Aware 2007 » Naciśnij, żeby pokazać/ukryć tekst oznaczony jako spoiler... « Logfile of HijackThis v1.99.1 Scan saved at 20:40:07, on 2007-11-14 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Windows Defender\MsMpEng.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb06.exe C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE C:\Program Files\Winamp\winampa.exe C:\Program Files\iTunes\iTunesHelper.exe C:\Program Files\Windows Defender\MSASCui.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe C:\WINDOWS\system32\devldr32.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\Program Files\Common Files\PCSuite\Services\ServiceLayer.exe C:\Program Files\iPod\bin\iPodService.exe C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\Program Files\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = Download Directory R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O3 - Toolbar: Security Toolbar - {11A69AE4-FBED-4832-A2BF-45AF82825583} - C:\WINDOWS\system32\ahqjaenf.dll O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb06.exe O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe" O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O15 - Trusted Zone: http://mks.com.pl O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.pl/resources/virussca...can_unicode.cab O16 - DPF: {18506D80-9B80-11D4-82C2-0080C8D7ED4A} (GameDesire Roulette) - http://67.15.101.33/g_bin/pl/roulette_2_0_0_27.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab O16 - DPF: {3D8700FB-86A4-4CB4-B738-6F0FC016AC7D} (MainControl Class) - http://arcaonline.arcabit.com/ArcaOnline.cab O16 - DPF: {5A09E43F-A0A7-4ABF-AF80-11367CF1DC8F} (MainControl Class) - http://mks.com.pl/skaner/SkanerOnline.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1123606390534 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MainControl Class) - http://www.mks.com.pl/skaner2k7/SkanerOnline.cab O16 - DPF: {83AFB5CA-ED35-11D4-A452-0080C8D85045} (GameDesire Poker Games) - http://67.15.101.33/g_bin/pl/poker_2_0_0_49.cab O16 - DPF: {92ECE6FA-AC2E-4042-BFAE-0C8608E52A43} (SignActivX Control) - https://www.bph.pl/pi/components/SignActivX.cab O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: ServiceLayer - Nokia. - C:\Program Files\Common Files\PCSuite\Services\ServiceLayer.exe Natomiast potem jeszcze przeskanowałem Spybotem(wykrył Virtumonde.generic (10wpisów) i Virtumonde(1 wpis)) i oto log: » Naciśnij, żeby pokazać/ukryć tekst oznaczony jako spoiler... « Logfile of HijackThis v1.99.1 Scan saved at 23:04:29, on 2007-11-14 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Windows Defender\MsMpEng.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb06.exe C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE C:\Program Files\Winamp\winampa.exe C:\Program Files\iTunes\iTunesHelper.exe C:\Program Files\Windows Defender\MSASCui.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe C:\Program Files\iPod\bin\iPodService.exe C:\Program Files\Common Files\PCSuite\Services\ServiceLayer.exe C:\WINDOWS\system32\devldr32.exe C:\Program Files\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = Download Directory R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O3 - Toolbar: (no name) - {11A69AE4-FBED-4832-A2BF-45AF82825583} - (no file) O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb06.exe O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe" O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O15 - Trusted Zone: http://mks.com.pl O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.pl/resources/virussca...can_unicode.cab O16 - DPF: {18506D80-9B80-11D4-82C2-0080C8D7ED4A} (GameDesire Roulette) - http://67.15.101.33/g_bin/pl/roulette_2_0_0_27.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab O16 - DPF: {3D8700FB-86A4-4CB4-B738-6F0FC016AC7D} (MainControl Class) - http://arcaonline.arcabit.com/ArcaOnline.cab O16 - DPF: {5A09E43F-A0A7-4ABF-AF80-11367CF1DC8F} (MainControl Class) - http://mks.com.pl/skaner/SkanerOnline.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1123606390534 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MainControl Class) - http://www.mks.com.pl/skaner2k7/SkanerOnline.cab O16 - DPF: {83AFB5CA-ED35-11D4-A452-0080C8D85045} (GameDesire Poker Games) - http://67.15.101.33/g_bin/pl/poker_2_0_0_49.cab O16 - DPF: {92ECE6FA-AC2E-4042-BFAE-0C8608E52A43} (SignActivX Control) - https://www.bph.pl/pi/components/SignActivX.cab O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: ServiceLayer - Nokia. - C:\Program Files\Common Files\PCSuite\Services\ServiceLayer.exe Dodam, że po ostatnim podwójnym skanowaniu Spybotem na razie nie widać żadnych "wyskoków", ale wcześniej też tak było, że przez chwile spokój, a potem nagle na drugi dzień tragedia... Używam Firefox'a i nie otwieram żadnych podejrzanych stron, a IE używam tylko do grania na grach on-line wp.pl Edytowane 14 Listopada 2007 przez Kakuś_ Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach More sharing options...
Kolobos Napisano 15 Listopada 2007 Zgłoś Napisano 15 Listopada 2007 Daj log z combofix, nastepnie nowy log z hijackthis (z wersji 2.0.2). Oba logi wklej na http://wklej.org i daj link. Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach More sharing options...
Kakuś_ Napisano 15 Listopada 2007 Zgłoś Napisano 15 Listopada 2007 ComboFix hijackthis Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach More sharing options...
Kolobos Napisano 15 Listopada 2007 Zgłoś Napisano 15 Listopada 2007 Eh ciagle ta sama infekcja u wszystkich, to juz sie robi nudne. Odinstaluj: Windows Defender, avast. Zamiast tego zainstaluj AntiVir PE oraz SuperAntiSpyware. Wklej do notatnika to: File:: C:\WINDOWS\system32\hfrtvnrc.dll C:\WINDOWS\system32\lnkhfojc.dll C:\WINDOWS\system32\stviiwhh.dll C:\WINDOWS\system32\eguibibv.dll C:\WINDOWS\system32\vrxhbhvv.dll C:\WINDOWS\system32\hfruusnt.dll C:\WINDOWS\system32\qabrkqwf.dll C:\WINDOWS\system32\tuvusro.dll C:\DOCUME~1\Karol\USTAWI~1\Temp\qrjatydi.exe C:\WINDOWS\svchost.exe C:\WINDOWS\system32\mljgh.dll Registry:: [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1B19ECC2-1190-4EC0-9D39-2911DBE737FE}] [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2B3B9658-39D9-4DCE-B171-533C9A3461A2}] [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{89032A20-4370-487E-AB80-2251EC374249}] [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{a3154045-11a1-45c0-a2d5-c361b9fdabda}] [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{a49eadf4-7f5a-4c18-9ff0-abd820f473a6}] [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{BB7A8640-FC57-4767-A630-B7BEA3883AC6}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] "{89032A20-4370-487E-AB80-2251EC374249}"=- [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tejumzmb] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tuvusro] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\308150a0] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Load] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Microsoft] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NI.UGA6P_0001_N122M2210] Plik zapisz w katalogu z combofix pod nazwa CFScript.txt, nastepnie przeciagnij plik CFScript.txt na ikone combofix.exe (tak jak to masz pokazane tutaj i12.tinypic.com/4l761r5.gif ). Po wszystkim daj log na wklej i podaj link. Wklej tez do notatnika to: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa] "Authentication Packages"=- "Authentication Packages"=hex(7):6d,00,73,00,76,00,31,00,5f,00,30,00,00,00,00,\ 00 Zapisz jako fix.reg i uruchom. Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach More sharing options...
Kakuś_ Napisano 15 Listopada 2007 Zgłoś Napisano 15 Listopada 2007 (edytowane) znowu ta sama infekcja? tzn. co jest to jest i skąd się wzieło ? zaraz zabieram się do tego co napisałeś, wielkie dzięki mam nadzieje, że poskutkuje... Edytowane 15 Listopada 2007 przez Kakuś_ Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach More sharing options...
Kakuś_ Napisano 16 Listopada 2007 Zgłoś Napisano 16 Listopada 2007 (edytowane) No więc zrobiłem wszystko tak jak mówiłeś w następującej kolejności: 1 ) Usunołem WidnowsDefender i Avast'a; 2 ) Zainstalowałem AntiVir PersonalEdition Classic Profile i pobrałem aktualizacje; 3 ) Zainstalowałem SUPERAntiSpyware Free Edition i też pobrałem aktualizacje; 4 ) Przeskanowałem kompa AntiSpyware'em (coś tam znalazł i wykasował); 5 ) Przeskanowałem kompa AntiVirem na maksymalnych ustawieniach (poniżej jest log z raportu skanowania) 6 ) Uruchomiłem ponownie komputer; 7 ) Stworzyłem "fix.reg" i uruchomiłem w sumie to dwa razy podrząd; 8 ) Znowu zrobiłem restart; 9 ) Po załadowaniu Windows'a wyłączyłem Spybota'a 10 ) Stworzyłem na pulpicie "CFScript.txt" i przeniosłem go tak jak pisałeś do ComboFix'a Podczas działania ComboFix'a pare razy wyskoczyły mi komunikaty z Avira AntiVir o jakimś trojanie (C:\Documents and Settings\Karol\Ustawienia lokalne\Temp\cvftvjwp.dll o nazwie TR/Inject.JT). Zawsze dawałem na opcje kasowania go. Po restarci który wykonwał ComboFix nic nie ruszałem i nie wyłączałem Spybota(choć nie wiem czy się włączył) ani nic innego. I jeszcze właśnie po tym restarcie wyskoczył mi następujący błąd z plikiem "sed.cfexe" (C:\DOCUMEN`1\KAROL\USTAW`1\TEMP\bb92_appcompat.txt). AviraScan hijackthis.log ComboFix I jak wygląda teraz sytuacja? W ogóle to dzięki za okazaną już pomoc Edytowane 16 Listopada 2007 przez Kakuś_ Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach More sharing options...
Kolobos Napisano 16 Listopada 2007 Zgłoś Napisano 16 Listopada 2007 > tzn. co jest to jest i skąd się wzieło ? Nie wiem, ja sie zajmuje usuwaniem, a nie instalowaniem 8O Ale jak mam zgadywac to: wszedles na zainfekowana strone i cos zainstalowales, sciagnales jakis crack i zainstalowales robaki, dostales link na gg lub poczta i kliknales. Uzyj ATF Cleaner i usun wszystko z temp. W hijackthis usun: R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = Download Directory O2 - BHO: (no name) - {A80DF476-7FF4-4E6A-A6E4-66466068ADE6} - (no file) O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [308150a0] rundll32.exe "C:\WINDOWS\system32\dgnfjeud.dll",b Wklej do CFSCript.txt to: File:: C:\WINDOWS\system32\wybeg.ini2 C:\WINDOWS\system32\dgnfjeud.dll C:\WINDOWS\system32\cgshtevv.dll C:\WINDOWS\system32\tjrxlyol.dll C:\WINDOWS\system32\wybeg.bak2 C:\WINDOWS\system32\wybeg.bak1 Przeciagnij na combofix tak jak wczesniej i po wszystkim daj nowy log z hjt + combofix. Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach More sharing options...
Kakuś_ Napisano 16 Listopada 2007 Zgłoś Napisano 16 Listopada 2007 W hijackthis usun: R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = Download Directory O2 - BHO: (no name) - {A80DF476-7FF4-4E6A-A6E4-66466068ADE6} - (no file) O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [308150a0] rundll32.exe "C:\WINDOWS\system32\dgnfjeud.dll",b w jaki sposób to usunąć? Wklej do CFSCript.txt to: File:: C:\WINDOWS\system32\wybeg.ini2 C:\WINDOWS\system32\dgnfjeud.dll C:\WINDOWS\system32\cgshtevv.dll C:\WINDOWS\system32\tjrxlyol.dll C:\WINDOWS\system32\wybeg.bak2 C:\WINDOWS\system32\wybeg.bak1 stworzyć nowy plik "CFSCript.txt" i go przenieść tak jak ten poprzedni, czy do tamtego jakoś to wkleić ? Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach More sharing options...
Kolobos Napisano 16 Listopada 2007 Zgłoś Napisano 16 Listopada 2007 Zaznaczasz wpisy w hijackthis i naciskasz Fix Checked. Otworz sobie ten stary plik, usun z niego wszystko i wklej to co podalem, nastepnie zapisz i przeciagnij tak jak poprzednio. Albo jak chcesz to mozesz usunac ten stary i utworzyc nowy, to bez roznicy. Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach More sharing options...
Kakuś_ Napisano 16 Listopada 2007 Zgłoś Napisano 16 Listopada 2007 ComboFix hijackthis.log Dodam, że znowu po restracie kompa przez ComboFix'a wyskoczył problem z plikiem "sed.cfexe" oraz podczas pracy ComboFix'a wyskakiwały komunikaty Avira AntiVir o jakiś trojanach (zawsze dawałem opcje "delete") Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach More sharing options...
Kolobos Napisano 17 Listopada 2007 Zgłoś Napisano 17 Listopada 2007 Usun w hijackthis: O2 - BHO: (no name) - {1B19ECC2-1190-4EC0-9D39-2911DBE737FE} - (no file) O2 - BHO: (no name) - {7343BC88-0448-4B48-8266-83BD8C1769E3} - (no file) O2 - BHO: (no name) - {89032A20-4370-487E-AB80-2251EC374249} - (no file) O2 - BHO: (no name) - {a49eadf4-7f5a-4c18-9ff0-abd820f473a6} - (no file) O2 - BHO: (no name) - {A80DF476-7FF4-4E6A-A6E4-66466068ADE6} - (no file) O2 - BHO: (no name) - {BB7A8640-FC57-4767-A630-B7BEA3883AC6} - (no file) O20 - Winlogon Notify: tejumzmb - C:\WINDOWS\ O20 - Winlogon Notify: tuvusro - C:\WINDOWS\ Reszta ok. Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach More sharing options...
Kakuś_ Napisano 17 Listopada 2007 Zgłoś Napisano 17 Listopada 2007 (edytowane) Zrobiłem. Niestety podczas skanowania nadal mi coś wykrywa. Poniżej są nowe logi i screen'y tego co pokazuje Avira. ComboFix hijackthis screen1 Screen2 Screen3 Screen4 Screen5 Screen6 Screen7 Screen8 Screen9 Screen10 Już od dłuższego czasu się to pojawia i zawsze daje delete a mimo to nic sie nie zmiania... Dodam, że potem wyskoczył też taki alert z tym samym foldere(Systen volume...) co wyżej screen'y tylko że na dysku D. Pozdrawiam Edytowane 17 Listopada 2007 przez Kakuś_ Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach More sharing options...
Kolobos Napisano 18 Listopada 2007 Zgłoś Napisano 18 Listopada 2007 (edytowane) Wylacz na chwile przywracanie systemu wtedy wszystkie smieci sie z niego usuna. Qoobox to pliki, ktore usunal combofix, folder mozesz juz skasowac. Edytowane 18 Listopada 2007 przez Kolobos Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach More sharing options...
Kakuś_ Napisano 19 Listopada 2007 Zgłoś Napisano 19 Listopada 2007 Wielkie dzięki!!!!! wychodzi na to, że faktycznie już jest w porzadku i "czysto". mam jeszcze jedno pytanie... z tych programów co mam zainstalowane (SUPERAntiSpyware; Spybot - Search & Destroy; AntiVir PersonalEdition Classic) wszystko zostawić zainstalowane dla bezpieczeństwa? moge czuć się bezpiecznie z takim zabezpieczeniem? zastanawiam się jeszcze nad jakimś firewall'em. Jeszcze raz dzięki i pozdrawiam Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach More sharing options...
Kolobos Napisano 19 Listopada 2007 Zgłoś Napisano 19 Listopada 2007 Zostaw, a co do firewall'a to np. Kerio albo Comodo. Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach More sharing options...
