[wirus]problem z spyware

Witam mam pewien problem , a mianowicie: zamiast pulpitu mam niebieskie tło a nanim czerwone WARNIG I dalej napisane ze mam zainfekowany komp programami spyware itp.
dalej wyswietla sie chmurka od widowsa o nastepujacej treści:

warning : your computer is infected
windows has detected spyware infection!
clic this message to install the last upade of windows security software.

kliknałem i zainstalowałem program SPYBURNER znalazł 9 złosliwych programów ale nie moge ich usunąć bo nie jest to pełna wersja programu :|
no to zaczołem szukac innych programow tego typu i znalazłem ,zainstalowałem tyle ze zaden nie znalazł niczego.
to programy to:
ADS GONE
AD AWARE
EASY SPYWARE SCANER
AVG ANTI SPYWARE
AD DEFENDER

jesli moglibyscie pomóc byłbym wdzieczny.

Zainstalowałeś prawdopodobnie program-fałszywkę Daj loga z HJT, Combofix oraz Silent Runners i przeskanuj kompa Kasperskym.

no wlasnie tak mi sie zdaje ,bo na jakiejs stronie zostalem poproszony o zainstalowanie jawy bo cos tam sie nie moglo wzswietlic,
a co to znaczy abym dal loga z HJT combofix i silent runners bo jetem w tym troche zielony a anty wirusa mam avasta moge nim przeskanowac czy musi byc kaspersky

Ściągnij program combofix, i włącz go. Jak skończy prace to wyświetli ci dokument w notatniku, skopiuj go tutaj.

A co do avasta - nim nie skanuj, przeskanuj lepiej kompa skanerem online Kaspersky.

oks zrobiłem to tym programem.Oto ten plik
 log.txt   11,13 KB   413 Ilość pobrań

To jest tylko Combofix, daj też resztę

sorki juz daje.  Startup_Programs__PIOTR_38D0BF247__2008_03_15_17.37.43.txt   11,21 KB   360 Ilość pobrań  Startup_Programs__PIOTR_38D0BF247__2008_03_15_17.37.43.txt   11,21 KB   360 Ilość pobrań

jeszcze hjt tylko nie moge go dac do załaczników .To skopiuje tutaj






Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:41:37, on 2008-03-15
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20733)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\ASUS\GamerOSD\GamerOSD.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Creative\Creative Live! Cam\VideoFX\StartFX.exe
C:\WINDOWS\V0220Mon.exe
C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\sysrswva.exe
C:\WINDOWS\sysfbdgv.exe
C:\WINDOWS\sysjcyrq.exe
C:\WINDOWS\sysfdyev.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Creative\Creative Live! Cam\Live! Cam Manager\CTLCMgr.exe
C:\Program Files\Picasa2\PicasaMediaDetector.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\WINDOWS\ATKKBService.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Opera\Opera.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
F:\gry\Gadu-Gadu\gg.exe
C:\WINDOWS\System32\WScript.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet\tools\BitCometBHO_1.1.11.30.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.1121.2472\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [GamerOSD] C:\Program Files\ASUS\GamerOSD\GamerOSD.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [AVFX Engine] C:\Program Files\Creative\Creative Live! Cam\VideoFX\StartFX.exe
O4 - HKLM\..\Run: [V0220Mon.exe] C:\WINDOWS\V0220Mon.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb03.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [{42562052-EE17-4197-82C7-91CB2E4B0666}] "C:\WINDOWS\sysrswva.exe"
O4 - HKLM\..\Run: [{C2220120-1C24-4a79-BA7A-DDCBFC209DB3}] "C:\WINDOWS\sysfbdgv.exe"
O4 - HKLM\..\Run: [{B3B48B54-C0EC-4705-8EE8-1981AEF656A7}] "C:\WINDOWS\sysjcyrq.exe"
O4 - HKLM\..\Run: [{C599792D-C6D9-461d-93CA-B48BFF8E37B1}] "C:\WINDOWS\sysfdyev.exe"
O4 - HKLM\..\Run: [SpyBurner] "C:\Program Files\SpyBurner\SpyBurner.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Creative Live! Cam Manager] "C:\Program Files\Creative\Creative Live! Cam\Live! Cam Manager\CTLCMgr.exe"
O4 - HKCU\..\Run: [BitComet] "C:\Program Files\BitComet\BitComet.exe" /tray
O4 - HKCU\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'USŁUGA SIECIOWA')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - Startup: AdsGone.lnk = C:\Program Files\AdsGone\AdsGone.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Program Files\BitComet\tools\BitCometBHO_1.1.11.30.dll/206 (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.pl/resources/virussca...can_unicode.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Program Files\Ares\chatServer.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Indexing Service (CiSvc) - Unknown owner - C:\WINDOWS\system32\cisvc.exe (file missing)
O23 - Service: GoogleDesktopManager - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 9970 bytes

Notatnika:

File::
C:\WINDOWS\mywallpaper.bmp
C:\WINDOWS\sysfbdgv.exe
C:\WINDOWS\sysrswva.exe
C:\WINDOWS\sysfdyev.exe
C:\WINDOWS\sysjcyrq.exe
C:\WINDOWS\sysxrdpw.exe
C:\WINDOWS\gntkqu.exe
C:\WINDOWS\config.ini
C:\WINDOWS\gmucjk.exe
C:\WINDOWS\gvwjxr.dll

Folder::
C:\Program Files\SpyBurner

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"{42562052-EE17-4197-82C7-91CB2E4B0666}"=-
"{C2220120-1C24-4a79-BA7A-DDCBFC209DB3}"=-
"{B3B48B54-C0EC-4705-8EE8-1981AEF656A7}"=-
"{C599792D-C6D9-461d-93CA-B48BFF8E37B1}"=-
"SpyBurner"=-

>>Plik>>Zapisz jako... >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
-->
Ma się rozpocząć usuwanie. (i powstanie log). Daj ten log, który powstanie w trakcie usuwania.
Jeśli pójdzie dobrze, to: Po restarcie usuń ręcznie folder C:\Qoobox.

Notatnika:

File::
C:\WINDOWS\mywallpaper.bmp
C:\WINDOWS\sysfbdgv.exe
C:\WINDOWS\sysrswva.exe
C:\WINDOWS\sysfdyev.exe
C:\WINDOWS\sysjcyrq.exe
C:\WINDOWS\sysxrdpw.exe
C:\WINDOWS\gntkqu.exe
C:\WINDOWS\config.ini
C:\WINDOWS\gmucjk.exe
C:\WINDOWS\gvwjxr.dll

Folder::
C:\Program Files\SpyBurner

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"{42562052-EE17-4197-82C7-91CB2E4B0666}"=-
"{C2220120-1C24-4a79-BA7A-DDCBFC209DB3}"=-
"{B3B48B54-C0EC-4705-8EE8-1981AEF656A7}"=-
"{C599792D-C6D9-461d-93CA-B48BFF8E37B1}"=-
"SpyBurner"=-

>>Plik>>Zapisz jako... >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
-->
Ma się rozpocząć usuwanie. (i powstanie log). Daj ten log, który powstanie w trakcie usuwania.
Jeśli pójdzie dobrze, to: Po restarcie usuń ręcznie folder C:\Qoobox.

Jestem innym użytkownikeim ale miałem podobny problem. Oto mój log:

ComboFix 08-05-07.2 - Jasiek 2008-05-08 19:26:30.1 - NTFSx86 NETWORK
Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.744 [GMT 2:00]
Running from: C:\Documents and Settings\Jasiek\Pulpit\ComboFix.exe
Command switches used :: C:\Documents and Settings\Jasiek\Pulpit\CFScript.txt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED

FILE ::
C:\WINDOWS\config.ini
C:\WINDOWS\gmucjk.exe
C:\WINDOWS\gntkqu.exe
C:\WINDOWS\gvwjxr.dll
C:\WINDOWS\mywallpaper.bmp
C:\WINDOWS\sysfbdgv.exe
C:\WINDOWS\sysfdyev.exe
C:\WINDOWS\sysjcyrq.exe
C:\WINDOWS\sysrswva.exe
C:\WINDOWS\sysxrdpw.exe
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Program Files\NetProject
C:\WINDOWS\config.ini
C:\WINDOWS\gvwjxr.dll
C:\WINDOWS\gwgzcy.exe
C:\WINDOWS\system32\0F82E4CC50.dll
C:\WINDOWS\system32\kdkbq.exe
C:\WINDOWS\system32\pskill.exe

.
((((((((((((((((((((((((( Files Created from 2008-04-08 to 2008-05-08 )))))))))))))))))))))))))))))))
.

2008-05-08 19:14 . 2008-05-08 19:19 <DIR> d-------- C:\Program Files\sys
2008-05-08 16:59 . 2008-05-08 16:59 427 --a------ C:\WINDOWS\ODBC.INI
2008-05-08 16:59 . 2008-05-08 16:59 0 --a------ C:\WINDOWS\NSREX.INI
2008-05-08 16:58 . 2008-05-08 16:58 <DIR> d-------- C:\WINDOWS\ShellNew
2008-05-08 15:55 . 2002-12-05 06:01 820,864 -ra------ C:\WINDOWS\system32\drivers\nvmcp.sys
2008-05-08 15:55 . 2002-12-05 06:01 241,664 -ra------ C:\WINDOWS\system32\drivers\nvapu.sys
2008-05-08 15:55 . 2002-12-05 06:01 62,336 -ra------ C:\WINDOWS\system32\drivers\nvarm.sys
2008-05-08 15:55 . 2002-12-05 06:01 44,032 -ra------ C:\WINDOWS\system32\nvopenal.dll
2008-05-08 15:55 . 2002-12-05 06:01 30,720 -ra------ C:\WINDOWS\system32\nvasio.dll
2008-05-08 15:55 . 2002-12-05 06:01 13,056 -ra------ C:\WINDOWS\system32\drivers\nvax.sys
2008-05-08 15:55 . 2002-12-05 06:01 5,120 -ra------ C:\WINDOWS\system32\ALut.dll
2008-05-08 15:55 . 2002-12-05 06:01 4,096 -ra------ C:\WINDOWS\system32\nvack.dll
2008-05-08 15:54 . 2008-05-08 15:55 <DIR> d-------- C:\WINDOWS\LastGood.Tmp
2008-05-08 15:41 . 2008-05-08 16:05 <DIR> d-------- C:\My Downloads
2008-05-08 07:03 . 2008-05-08 07:04 <DIR> d-------- C:\Program Files\VIA
2008-05-08 07:03 . 2007-04-11 15:35 331,184 --------- C:\WINDOWS\system32\difxapi.dll
2008-05-07 07:11 . 2007-06-27 14:42 207,488 -ra------ C:\WINDOWS\system32\drivers\vinyl97.sys
2008-04-30 23:49 . 2008-05-01 00:02 676 --a------ C:\WINDOWS\ChaseHQ2EvoConfig.ini
2008-04-30 18:04 . 2000-12-08 22:29 122,880 --a------ C:\WINDOWS\UnGins.exe
2008-04-30 01:57 . 2008-04-30 01:57 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\Protexis
2008-04-29 20:34 . 2008-04-29 20:34 <DIR> d-------- C:\Program Files\OpenAL
2008-04-29 20:34 . 2008-04-29 20:34 409,600 --a------ C:\WINDOWS\system32\wrap_oal.dll
2008-04-29 20:34 . 2002-12-05 06:01 44,032 -ra------ C:\WINDOWS\system32\OpenAL32.dll
2008-04-29 01:22 . 2008-04-29 01:22 <DIR> d--h----- C:\WINDOWS\PIF
2008-04-29 00:29 . 2008-04-29 00:29 <DIR> d-------- C:\Documents and Settings\Jasiek\.lincity
2008-04-28 22:55 . 2008-04-28 22:55 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\Sandlot Games
2008-04-28 21:54 . 2008-04-28 21:54 <DIR> d-------- C:\Program Files\HDD Health
2008-04-28 21:53 . 2008-04-28 21:53 <DIR> d-------- C:\Documents and Settings\Jasiek\Dane aplikacji\BinarySense
2008-04-28 21:53 . 2008-05-08 19:34 <DIR> d-a------ C:\Documents and Settings\All Users\Dane aplikacji\TEMP
2008-04-28 21:52 . 2008-04-28 21:52 <DIR> d-------- C:\Program Files\Common Files\BinarySense
2008-04-28 21:52 . 2008-04-28 21:52 <DIR> d-------- C:\Program Files\BinarySense
2008-04-28 20:23 . 2008-05-06 08:06 <DIR> d-------- C:\Documents and Settings\Jasiek\Dane aplikacji\gtk-2.0
2008-04-28 20:23 . 2008-04-28 20:23 <DIR> d-------- C:\Documents and Settings\Jasiek\.thumbnails
2008-04-28 20:22 . 2008-05-06 08:06 <DIR> d-------- C:\Documents and Settings\Jasiek\.gimp-2.4
2008-04-28 17:00 . 2008-04-28 17:19 <DIR> d-------- C:\Documents and Settings\Gosia\Dane aplikacji\gtk-2.0
2008-04-28 17:00 . 2008-04-28 17:00 <DIR> d-------- C:\Documents and Settings\Gosia\.thumbnails
2008-04-28 16:59 . 2008-04-30 13:30 <DIR> d-------- C:\Documents and Settings\Gosia\.gimp-2.4
2008-04-28 16:58 . 2008-04-28 16:58 <DIR> d-------- C:\Program Files\GIMP-2.0
2008-04-28 15:12 . 2008-04-28 15:12 <DIR> d-------- C:\Documents and Settings\Jasiek\WINDOWS
2008-04-27 21:57 . 2008-04-27 22:27 304,182 --a------ C:\StiImg.dat
2008-04-27 21:16 . 2008-04-27 21:16 <DIR> d-------- C:\Documents and Settings\Jasiek\Dane aplikacji\skypePM
2008-04-27 18:39 . 2008-04-27 18:39 <DIR> d-------- C:\Program Files\zabkat
2008-04-27 17:24 . 2008-04-27 17:24 <DIR> d-------- C:\Documents and Settings\Gosia\Dane aplikacji\skypePM
2008-04-27 17:24 . 2008-04-27 17:24 32 --a------ C:\Documents and Settings\All Users\Dane aplikacji\ezsid.dat
2008-04-27 17:17 . 2008-04-27 17:17 <DIR> d-------- C:\Program Files\Common Files\Skype
2008-04-27 17:17 . 2008-04-27 20:34 <DIR> d-------- C:\Documents and Settings\Gosia\Dane aplikacji\Skype
2008-04-27 16:02 . 2001-08-17 20:19 96,256 --a------ C:\WINDOWS\system32\drivers\ctlsb16.sys
2008-04-27 15:18 . 2001-08-17 22:00 2,944 --a------ C:\WINDOWS\system32\drivers\msmpu401.sys

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-08 17:34 5,376 ----a-w C:\WINDOWS\system32\drivers\MgaFG.sys
2008-05-08 13:45 --------- d-----w C:\Documents and Settings\Jasiek\Dane aplikacji\BearShare
2008-05-08 05:03 --------- d-----w C:\Program Files\Common Files\InstallShield
2008-05-01 18:44 --------- d-----w C:\Documents and Settings\Jasiek\Dane aplikacji\uTorrent
2008-04-28 20:49 0 ----a-w C:\Program Files\temp01
2008-04-27 20:02 --------- d-----w C:\Documents and Settings\Jasiek\Dane aplikacji\Skype
2008-04-27 13:25 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-04-27 13:25 --------- d-----w C:\Program Files\Creative
2008-03-21 08:49 --------- d-----w C:\Program Files\VID_0E8F&PID_0003
2008-03-20 08:17 --------- d-----w C:\Program Files\MoorHunt
2008-03-20 07:57 --------- d-----w C:\Program Files\Morrowind
2008-03-20 06:54 --------- d-----w C:\Documents and Settings\Jasiek\Dane aplikacji\Styler
2008-03-15 06:44 --------- d-----w C:\Program Files\FlashGet
2008-03-14 12:29 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy
2008-03-14 12:28 --------- d-----w C:\Program Files\Spybot - Search & Destroy
.

------- Sigcheck -------

2004-08-04 00:14 359040 9f4b36614a0fc234525ba224957de55c C:\WINDOWS\system32\dllcache\tcpip.sys
2004-08-04 00:14 359040 6a603809f598332dbedd535bdbce313e C:\WINDOWS\system32\drivers\tcpip.sys
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Gadu-Gadu"="C:\Program Files\Gadu-Gadu\gg.exe" [2007-11-14 12:54 2131392]
"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 12:43 2097488]
"HDDHealth"="C:\Program Files\HDD Health\HDDHealth.exe" [2008-04-12 18:48 1687552]
"H/PC Connection Agent"="C:\Program Files\Microsoft ActiveSync\wcescomm.exe" [2006-11-13 16:57 1289000]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Matrox PowerDesk 8"="C:\WINDOWS\system32\PowerDesk8\Matrox.PowerDesk.exe" [2004-02-11 12:22 77824]
"avast!"="C:\PROGRA~1\Avast4\ashDisp.exe" [2007-12-04 15:00 79224]
"DAEMON Tools-1033"="C:\Program Files\DaemonTools\daemon.exe" [2004-08-22 18:05 81920]
"AudioDeck"="C:\Program Files\VIA\VIAudioi\SBADeck\ADeck.exe" [2007-08-09 15:48 528384]
"{C2220120-1C24-4a79-BA7A-DDCBFC209DB3}XXX"="" []

C:\Documents and Settings\Jasiek\Menu Start\Programy\Autostart\
HDDlife.lnk - C:\Program Files\BinarySense\HDDlife 3\HDDlifePro.exe [2008-02-15 14:16:18 2278648]

C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\
Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office\OSA9.EXE [2000-01-21 08:15:54 65588]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Flashget]
--a------ 2007-09-25 10:10 2007088 C:\Program Files\FlashGet\FlashGet.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
C:\Program Files\Winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\{B3B48B54-C0EC-4705-8EE8-1981AEF656A7}]
C:\WINDOWS\sysjcyrq.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\{C599792D-C6D9-461d-93CA-B48BFF8E37B1}]
C:\WINDOWS\sysfdyev.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"wuauserv"=2 (0x2)
"wscsvc"=2 (0x2)
"WMDM PMSP Service"=2 (0x2)
"UPS"=3 (0x3)
"TapiSrv"=3 (0x3)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"D:\\soldat\\Soldat\\Soldat\\Soldat.exe"=
"C:\\Program Files\\uTorrent\\utorrent.exe"=
"C:\\Program Files\\Gadu-Gadu\\gg.exe"=
"C:\\Program Files\\BearShare Applications\\BearShare\\BearShare.exe"=
"D:\\Program Files\\Halo Trial\\halo.exe"=
"C:\Program Files\Microsoft ActiveSync\rapimgr.exe"= C:\Program Files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"C:\Program Files\Microsoft ActiveSync\wcescomm.exe"= C:\Program Files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"C:\Program Files\Microsoft ActiveSync\WCESMgr.exe"= C:\Program Files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"C:\\Program Files\\FlashGet\\flashget.exe"=
"C:\\Program Files\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R2 HDDlife HDD Access service;HDDlife HDD Access service;"C:\Program Files\Common Files\BinarySense\hldasvc.exe" [2008-02-15 14:17]
R3 MgaFG;MgaFG;C:\WINDOWS\system32\drivers\MgaFG.sys [2008-05-08 19:34]
R3 MTXPARH;MTXPARH;C:\WINDOWS\system32\DRIVERS\MTXPARHM.sys [2004-02-11 13:09]
S2 MGAFGEXE;MGAFGEXE;C:\WINDOWS\system32\mgafg.exe [2004-02-11 11:06]
S3 ctlsb16;Sterownik Creative SB16/AWE32/AWE64 (WDM);C:\WINDOWS\system32\drivers\ctlsb16.sys [2001-08-17 20:19]

.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-08 19:34:23
Windows 5.1.2600 Dodatek Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\Avast4\aswUpdSv.exe
C:\Program Files\Avast4\ashServ.exe
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\system32\PowerDesk8\Matrox.PowerDesk.PDeskNet.exe
C:\PROGRA~1\MICROS~2\rapimgr.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Completion time: 2008-05-08 19:39:01 - machine was rebooted [Jasiek]
ComboFix-quarantined-files.txt 2008-05-08 17:38:57

Pre-Run: 2,205,900,800 bajtów wolnych
Post-Run: 2,285,330,432 bajt˘w wolnych

180

Do tego co sam combofix usuną wykonaj

wklej do notatnika

Windows Registry Editor Version 5.00


[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\{B3B48B54-C0EC-4705-8EE8-1981AEF656A7}]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\{C599792D-C6D9-461d-93CA-B48BFF8E37B1}]

Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na: "Wszystkie pliki" >>> Zapisz jako FIX.REG >>>
plik uruchom (dwuklik i OK).
Zrestartuj komputer.

Do tego możesz zrobić

SmitfraudFix.
Użyj go z opcji "Clean", czyli wpisz 2 i naciśnij ENTER.
Po jego użyciu może zajść potrzeba ustawiania od nowa tapety (czyli prawoklik na ekranie>>właściwości, itd. )
Daj z niego raport z C:\Repport.txt
[quote]Instrukcja obsługi:
1. Zastartuj komputer do trybu awaryjnego co jest opisane TUTAJ.
(można spróbować najpierw usuwać w Trybie Normalnym -często to się udaje)
2.Uruchom SmitfraudFix.exe ( podwójnie go kliknij)
3. Zainicjuje się linia komend i dostaniesz pierwszy z ekranów z prośbą o "wciśniecie jakiegokolwiek klawisza by kontynuować" więc z klawiatury ENTER:
4. Dostaniesz menu wyboru opcji na niebieskim ekranie: wpisz 2 i naciśnij ENTER
5. Zostanie uruchomione czyszczenie właściwe rozpoczęte od zabicia procesu explorer.exe (zniknie Pulpit i pasek zadań).
Następnie padnie pytanie Do you want to clean the registry? - wpisz z klawiatury Y i ENTER,
co zainicjuje usuwania kluczyków i restrykcji tapetek.
6.W dalszej kolejności narzędzie sprawdzi czy plik wininet.dll jest zainfekowany a jeśli tak, to może paść pytanie o podmianę pliku,
o ile czystą kopię znaleziono: Replace infected file? = Y i ENTER. Jeśli „wininet” nie jest zarażony, to to zostanie pominięte.
7.Finalnie może być wymagany reset komputera by ukończyć sprzątanie.




Po wykoaniu tego daj nowego loga.