System error! your system is infected with dangerous virus!

ula666devil · #1 (**permalink**) 06.05.2008, 17:14

Witam
mam podobny problem przy przeglądarce IE i niektórych plików na komputerze wyskakuje błąd:

wpisuje w google cos do wyszukania pojawia sie to:

System error!
your system is infected with dangerous virus!
Note: strongly recommend to instal antispyware program to clean your system and avoid total crash of your computer!

Click OK to download the antispyware. (Recommended)

gdy klikam anuluj pokazuje sie w googlach stronka z wpisana wcześniej frazą która szukałam i pomiedzy wyszukaniami stron jest w ramce taki komunikat:

Error!
Your computer was infected by dangerous virus! Some results was changed by porn advertising, your passwords and other private info no more in safe! You must to clean your system immediately to prevent it. Download the newest anti-virus software!

i tak cały czas
próbuje to usunąć i nic nie działa zrobiłam nawet skan czy jak to sie mówi programem ComboFix i HijackThis

loga z programu HijackThis : http://wklej.org/id/f91e282d56
a z ComboFix http://wklej.org/id/bcaceb8ea9

PROSZE DOKłADNIE POWIEDZIEć CO MAM Z TYM ZROBIć I JAK USUNąć TE SWINSTWO Z KOMPA.
będe wdzięczna za pomoc

mr.n0b0dy · #2 (**permalink**) 06.05.2008, 19:01

@ula666devil
Witam
Na przyszłośc nie wahaj się założyć własnego tematu - w tym dziale każdy kto pokazuje logi powinien robić to we własnym temacie.
Dobra, a teraz do rzeczy. Wyłącz antywirusa na czas dokonywania poniższych poleceń (po wygenerowaniu nowego loga z Combofixa włącz go z powrotem).
Otwórz Notatnik i wklej w nim:

Kod:

Folder::
C:\Program Files\IEAntiVirus

File::
C:\WINDOWS\pnas16.dll

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{681147C4-D615-461A-960F-655871E315C3}]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"antispy"=-

Plik zapisz jako CFScript.txt i przeciągnij go na ikonkę Combofixa. Uruchomi się Combofix, zrobi co ma zrobić i utworzy nowego loga, którego pokaż w tym temacie do oceny. Nie zapomnij napisać czy komputer po tym zabiegu będzie już działał prawidłowo.

ula666devil · #3 (**permalink**) 07.05.2008, 11:22

mr.n0b0dy

Oh bardzo dziękuje za pomoc

nie jestem specem od wszystkich problemów z komputerem i wogule
ale jakoś sama to naprawiłam zajeło mi to sporo czasu szukania na forach i kombinowania tych wszystkich sposobów jakie każdy zaleca
no ale w sumie robiąc to samemu można sie wiele nauczuć i jestem z sie zadowolona :P

użyłam do tego RegistryBooster 2 i zadziałał odrazu

niesamowite zaznaczyłam do naprawy tylko takie cos

O4 - HKCU\..\Run: [antispy] C:\Program Files\IEAntiVirus\ANTIVIRUS.exe

i po restarcie komunikat już sie nie wyświetlał wszystko ok

Jeszcze raz dzięki za Twoją pomoc

mr.n0b0dy · #4 (**permalink**) 07.05.2008, 21:03

Gratuluję, że sama sobie pomogłaś, ja próbuję tak samo wszystko samodzielnie...
ale dla pewności możesz zapuścić Combofixa z tym skryptem który napisałem w poprzednim poście (albo jak kumasz czaczę to pousuwać folder i plik oraz wpisy z rejestru ręcznie).
Komunikat przestał wyskakiwać ale może się okazać, że na kompie siedzą jeszcze resztki syfu... (porównaj sobie co sama usunęłaś a co ja sugeruję do usunięcia...).
Zadałaś syfowi mocny cios, a teraz go dobij

Pozdrawiam.

ula666devil · #5 (**permalink**) 10.05.2008, 12:26

Dziękuje za pochlebstwa i wogule ale aż tak dobra i obeznana zeby pousuwać to na własna odpowiedzialność to raczej nie jestem

wole zwrócić się do specjalisty :P
i tak przy okazji moze sie naucze czegos :P
a więc zrobiłam tak jak szef kazał wcześniej i oto wynik:

Kod:

ComboFix 08-05-01.3 - j 2008-05-10 11:13:51.4 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1250.1.1045.18.937 [GMT 2:00]
Running from: F:\BEZPIECZEŃSTWO\ComboFix.exe
Command switches used :: C:\Documents and Settings\j\Pulpit\CFScript.txt
 * Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

FILE ::
C:\WINDOWS\pnas16.dll
.

(((((((((((((((((((((((((((((((((((((((   Other Deletions   )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\pnas16.dll

.
(((((((((((((((((((((((((   Files Created from 2008-04-10 to 2008-05-10  )))))))))))))))))))))))))))))))
.

2008-05-07 09:54 . 2008-05-07 09:54	<DIR>	d--------	C:\Program Files\HyperSnap 6
2008-05-06 16:38 . 2008-05-06 16:38	<DIR>	d--------	C:\Documents and Settings\j\Dane aplikacji\Uniblue
2008-05-06 15:51 . 2008-05-06 15:51	<DIR>	d--------	C:\Program Files\Trend Micro
2008-05-06 14:44 . 2008-05-06 17:14	<DIR>	d--------	C:\Program Files\Microsoft AntiSpyware
2008-05-06 12:58 . 2008-05-06 13:01	<DIR>	d--------	C:\Program Files\Spybot - Search & Destroy
2008-05-06 12:58 . 2008-05-06 14:35	<DIR>	d--------	C:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy
2008-05-05 17:16 . 2008-05-05 17:16	<DIR>	d--------	C:\Program Files\DAEMON Tools Lite
2008-05-05 17:12 . 2008-05-05 17:12	<DIR>	d--------	C:\Documents and Settings\j\Dane aplikacji\DAEMON Tools
2008-05-05 17:12 . 2008-05-05 17:12	716,272	--a------	C:\WINDOWS\system32\drivers\sptd.sys
2008-05-04 15:40 . 2008-05-04 15:41	<DIR>	d--------	C:\Program Files\Common Files\Adobe
2008-05-04 15:37 . 2008-05-04 15:37	<DIR>	d--------	C:\WINDOWS\Cache
2008-05-03 21:30 . 2008-05-04 00:00	<DIR>	d--------	C:\Documents and Settings\Ewelina\Dane aplikacji\skypePM
2008-05-03 21:23 . 2008-05-09 19:19	<DIR>	d--------	C:\Documents and Settings\Ewelina\Dane aplikacji\Skype
2008-05-03 21:22 . 2008-05-03 21:23	<DIR>	d--------	C:\Program Files\Skype
2008-05-03 21:22 . 2008-05-03 21:22	<DIR>	d--------	C:\Program Files\Common Files\Skype
2008-04-30 18:52 . 2008-05-04 00:08	<DIR>	d--------	C:\Documents and Settings\Tata\Dane aplikacji\skypePM
2008-04-30 18:52 . 2008-04-30 18:52	32	--a------	C:\Documents and Settings\All Users\Dane aplikacji\ezsid.dat
2008-04-30 18:49 . 2008-05-04 06:52	<DIR>	d--------	C:\Documents and Settings\Tata\Dane aplikacji\Skype
2008-04-30 18:49 . 2008-05-03 21:22	<DIR>	d--------	C:\Documents and Settings\All Users\Dane aplikacji\Skype
2008-04-20 21:36 . 2008-04-24 16:29	<DIR>	d--------	C:\Program Files\Cell Phone Manager
2008-04-20 21:33 . 2008-04-20 21:36	<DIR>	d--------	C:\Program Files\EricssonDesktop
2008-04-19 19:16 . 2008-04-19 19:16	<DIR>	d--------	C:\Documents and Settings\j\Dane aplikacji\WNR
2008-04-17 17:57 . 2008-04-17 17:57	754	--a------	C:\WINDOWS\WORDPAD.INI
2008-04-17 15:22 . 2008-04-17 15:22	<DIR>	d--------	C:\Program Files\Veoh Networks
2008-04-15 21:06 . 2008-04-15 21:06	<DIR>	d--------	C:\Program Files\Corel
2008-04-15 21:06 . 2008-04-15 21:06	<DIR>	d--------	C:\Program Files\Common Files\Corel
2008-04-15 21:06 . 2008-04-15 21:06	476,752	--a------	C:\Documents and Settings\All Users\Dane aplikacji\pswi_preloaded.exe

.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-09 17:47	---------	d-----w	C:\Documents and Settings\Ewelina\Dane aplikacji\OpenOffice.ux.pl2
2008-05-09 11:12	---------	d-----w	C:\Program Files\EA GAMES
2008-05-04 08:47	---------	d-----w	C:\Documents and Settings\j\Dane aplikacji\OpenOffice.ux.pl2
2008-05-04 04:06	---------	d-----w	C:\Documents and Settings\Tata\Dane aplikacji\OpenOffice.ux.pl2
2008-04-29 13:07	---------	d-----w	C:\Documents and Settings\j\Dane aplikacji\Corel
2008-04-29 12:37	2,516	--sha-w	C:\WINDOWS\system32\KGyGaAvL.sys
2008-04-20 19:36	---------	d-----w	C:\Program Files\MobTime Cell Phone Manager
2008-04-17 13:22	---------	d--h--w	C:\Program Files\InstallShield Installation Information
2008-04-09 12:15	---------	d-----w	C:\Documents and Settings\Ewelina\Dane aplikacji\Corel
2008-04-06 10:36	---------	d-----w	C:\Documents and Settings\Ewelina\Dane aplikacji\Media Player Classic
2008-04-05 11:12	---------	d-----w	C:\Documents and Settings\Tata\Dane aplikacji\Gadu-Gadu
2008-04-03 13:43	---------	d-----w	C:\Program Files\Ahead
2008-04-03 13:42	---------	d-----w	C:\Program Files\Common Files\Ahead
2008-04-02 13:50	---------	d-----w	C:\Documents and Settings\Tata\Dane aplikacji\Media Player Classic
2008-03-31 19:03	---------	d-----w	C:\Program Files\Gadu-Gadu
2008-03-31 12:50	---------	d-----w	C:\Program Files\EPSON
2008-03-30 20:31	---------	d-----w	C:\Documents and Settings\j\Dane aplikacji\Lavasoft
2008-03-30 18:50	---------	d-----w	C:\Program Files\SubEdit-Player
2008-03-25 08:53	---------	d-----w	C:\Program Files\MSXML 4.0
2008-03-21 08:35	---------	d-----w	C:\Program Files\directx
2008-03-21 08:25	---------	d-----w	C:\Program Files\JoWooD
2008-03-20 20:49	---------	d-----w	C:\Documents and Settings\Tata\Dane aplikacji\Corel
2008-03-20 08:09	1,845,504	----a-w	C:\WINDOWS\system32\win32k.sys
2008-03-19 13:19	---------	d-----w	C:\Documents and Settings\j\Dane aplikacji\Media Player Classic
2008-03-19 13:18	---------	d-----w	C:\Program Files\Real Alternative
2008-03-19 13:18	---------	d-----w	C:\Documents and Settings\j\Dane aplikacji\Apple Computer
2008-03-19 13:12	---------	d-----w	C:\Program Files\DivX
2008-03-19 13:11	---------	d-----w	C:\Program Files\AVIcodec
2008-03-19 13:07	---------	d-----w	C:\Program Files\QuickTime
2008-03-19 13:07	---------	d-----w	C:\Program Files\MarBit
2008-03-19 13:06	---------	d-----w	C:\Program Files\Apple Software Update
2008-03-19 13:06	---------	d-----w	C:\Documents and Settings\All Users\Dane aplikacji\Apple Computer
2008-03-18 16:09	---------	d-----w	C:\Program Files\CDCheck
2008-03-15 11:30	---------	d-----w	C:\Documents and Settings\Ewelina\Dane aplikacji\Gadu-Gadu
2008-03-15 09:37	73,216	----a-w	C:\WINDOWS\ST6UNST.EXE
2008-03-15 09:37	249,856	------w	C:\WINDOWS\Setup1.exe
2008-03-13 15:52	---------	d-----w	C:\Documents and Settings\All Users\Dane aplikacji\Corel
2008-03-12 20:25	---------	d-----w	C:\Program Files\Download Express
2008-03-12 20:25	---------	d-----w	C:\Documents and Settings\Tata\Dane aplikacji\MetaProducts
2008-03-12 20:25	---------	d-----w	C:\Documents and Settings\j\Dane aplikacji\MetaProducts
2008-03-12 20:25	---------	d-----w	C:\Documents and Settings\Ewelina\Dane aplikacji\MetaProducts
2008-03-10 16:48	---------	d-----w	C:\Documents and Settings\j\Dane aplikacji\Gadu-Gadu
2008-03-10 13:20	---------	d-----w	C:\Program Files\OpenOffice.ux.pl 2.1.0
2008-03-10 13:19	---------	d-----w	C:\Program Files\Lavasoft
2008-03-10 13:11	---------	d-----w	C:\Program Files\Alwil Software
2008-03-10 13:10	---------	d-----w	C:\Program Files\Winamp
2008-03-10 13:08	20,747	----a-w	C:\WINDOWS\system32\drivers\AegisP.sys
2008-03-10 13:08	---------	d-----w	C:\Program Files\RALINK
2008-03-10 13:07	---------	d-----w	C:\Program Files\Common Files\InstallShield
2008-03-10 13:01	---------	d-----w	C:\Program Files\AvRack
2008-03-10 13:01	---------	d-----w	C:\Program Files\Avance Sound Manager
2008-03-10 11:01	---------	d-----w	C:\Program Files\microsoft frontpage
2008-03-10 10:59	---------	d-----w	C:\Program Files\Usługi online
2008-02-20 06:51	282,624	----a-w	C:\WINDOWS\system32\gdi32.dll
2008-02-20 05:38	45,568	----a-w	C:\WINDOWS\system32\dnsrslvr.dll
2008-02-16 09:05	662,016	----a-w	C:\WINDOWS\system32\wininet.dll
.

(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:44 15360]
"Gadu-Gadu"="C:\Program Files\Gadu-Gadu\gg.exe" [2007-11-14 12:54 2131392]
"USDownloader"="F:\USDownloader134\USDownloader.exe" [ ]
"DAEMON Tools Lite"="C:\Program Files\DAEMON Tools Lite\daemon.exe" [2008-02-14 01:09 486856]
"Uniblue RegistryBooster 2"="C:\Program Files\Uniblue\RegistryBooster 2\RegistryBooster.exe" [ ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-03-29 19:37 79224]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-04-27 10:41 282624]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 01:44 15360]

C:\Documents and Settings\Ewelina\Menu Start\Programy\Autostart\
OpenOffice.ux.pl 2.1.0.lnk - C:\Program Files\OpenOffice.ux.pl 2.1.0\program\quickstart.exe [2006-12-30 05:32:40 17408]

C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\
Ralink Wireless Utility.lnk - C:\Program Files\RALINK\Common\RaUI.exe [2008-03-10 15:08:50 598016]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveTrack"= 0 (0x0)
"NoFileAssociate"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools-1033]
C:\Program Files\D-Tools\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Gadu-Gadu]
--a------ 2007-11-14 12:54 2131392 C:\Program Files\Gadu-Gadu\gg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
-ra------ 2002-08-02 13:00 46592 C:\WINDOWS\SOUNDMAN.EXE

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Gadu-Gadu\\gg.exe"=
"C:\\Westwood\\RA2\\game.exe"=
"C:\\Documents and Settings\\Tata\\Ustawienia lokalne\\Dane aplikacji\\Skype\\Phone\\Skype.exe"=
"C:\\Program Files\\Skype\\Phone\\Skype.exe"=

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-03-29 19:31]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-03-29 19:35]
S0 Stealth;Stealth;C:\WINDOWS\system32\DRIVERS\stealth.sys [2002-06-21 11:58]
S3 SER120;OTI Serial port driver;C:\WINDOWS\system32\DRIVERS\SER120.sys [2005-03-22 04:03]

.
Contents of the 'Scheduled Tasks' folder
"2008-05-08 10:36:11 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-10 11:15:09
Windows 5.1.2600 Dodatek Service Pack 2 NTFS

scanning hidden processes ... 

scanning hidden autostart entries ...

scanning hidden files ... 

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2008-05-10 11:15:54
ComboFix-quarantined-files.txt  2008-05-10 09:15:51
ComboFix2.txt  2008-05-10 09:10:24
ComboFix3.txt  2008-05-06 14:23:28

Pre-Run: 19,788,644,352 bajtów wolnych
Post-Run: 19,785,998,336 bajtów wolnych

164	--- E O F ---	2008-04-10 05:41:15

troszke tego jest a analiza tego to tylko dla wytrwałych

znasz sie więc bedziesz wiedział czy coś jest ok czy nie tak
więc licze na Ciebie*
PZD.

Wyodrębniłem posty do nowego tematu, aby nie mieszały się z problemem innego użytkownika // n0name

mr.n0b0dy · #6 (**permalink**) 10.05.2008, 18:45

Jaki tam ze mnie specjalista... ja samouk jestem i cały czas się uczę...

Na moje oko log już jest czysty.
Usuń Combofixa przy pomocy komendy:

Kod:

Menu Start --> Uruchom --> wpisać: ComboFix /u i nacisnąć Enter

i tak po kilku dniach przestanie działać i trzeba ewentualnie ściągnąć go od nowa.

ula666devil · #7 (**permalink**) 13.05.2008, 19:20

Eh tam znasz sie na tym lepiej niz ja i sprawa jasna.
czy ja wiem chyba tak dokonca usówac nie bede zawsze zbieram programy które są dobre i przydatne więc gdzieś go zmagazynuje.
A narazie to dziękii dzięki i ogółem jeszcze raz dzięki

wrazie co wiem gdzie szukać specjaliste samouka który
zna sie na rzeczy :P
Lo PZD.

mr.n0b0dy · #8 (**permalink**) 13.05.2008, 20:57

Usuń tego Combofixa tak jak napisałem. Dzięki temu powinien zniknąć też z dysku jego folder z kwarantanną (C:\qoobox) - jesli nie zniknie to usuń ręcznie.
Combofix ma wbudowany mechanizm nie pozwalający uruchomić tegoż programu po jakimś tam określonym czasie ze względu na to żeby zmusić w ten sposób użytkownika do zassania nowej wersji wzbogacanej nieustannie przez autora o wykrywanie kolejnych wersji syfu.
Czyli po każdej akcji z Combofixem należy go usunąć z dysku bo i tak po jakimś czasie stanie się bezużyteczny i nie będzie się nawet dało go odpalić.

Szybka odpowiedź
Po Twoich działaniach wystąpiły następujące błędy

OK
Weryfikacja obrazka Wiadomość: Kliknij jedną z ikon szybkiej odpowiedzi w postach powyżej w celu aktywacji tego okna. Opcje Zacytować wiadomość podczas odpowiedzi? Dodawanie szybkiej odpowiedzi - Proszę czekać!

Narzędzia wątku	Przeszukaj ten temat
Wersja do druku Wyślij na email	Przeszukaj ten temat: Zaawansowane wyszukiwanie
Wygląd
Wygląd liniowy Wygląd mieszany Wygląd wątkowy

Podobne wątki
Temat	Autor wątku	Forum	Odpowiedzi	Ostatni post/autor
Your system is infected with dangerous virus!	rafaldob	Logi do sprawdzenia	3	02.06.2008 21:01
Your system is infected by dangerous virus ...	Gzegar	Logi do sprawdzenia	12	06.05.2008 23:13
Your system is infected with dangerous virus- kolejny log	rafciop007	Logi do sprawdzenia	3	05.05.2008 22:41
System Error	maksiu654	Logi do sprawdzenia	6	15.04.2008 20:52