Morda, dzieki za pomoc!. Przyznam, ze nie jest mi do smiechu, chyba znow szykuje sie format :/. pozdrowienia

[quote]2007-08-25 10:1394,208--a------C:\WINDOWS\system32\[b]MailSpectre.exe[/b] 2007-08-25 10:1318,176--a------C:\WINDOWS\system32\drivers\[b]smtpdrv.sys[/b][/quote] Masz dwa nieznane pliki. Pliki te pojawiły się po raz pierwszy na całym świecie 24 sierpnia, a u Ciebie pojawiły się następnego dnia. Niestety, na razie jeszcze nikt nie wie, czy są "dobre" czy "złe", więc żaden Antivirus też o nich nic nie wie. Co do tego "Small-EPJ", to dopóki avast go blokuje, to jest dobrze. Wiem, że to denerwujące, co chwila oglądać takie alarmujące Komunikaty, ale niewiele można na to poradzić. Można spróbować zablokować Firewallem, ale nawet nie wiem, czy to zadziała. Tysiące ludzi na całym świecie ma identyczny problem z tym "EPJ" i na razie najlepszym sposobem okazał się taki: zmienić swojego dostawcę internetowego. W Polsce często jest to niewykonalne z wiadomych przyczyn... Log z ComboFixa jest obcięty, więc nie wiem, czy jest jakiś Rootkit, tym bardziej, że z GMERa trzeba dwa logi na innych ustawieniach. Ale nie sądzę, by logi z GMERa były tu potrzebne. .

dzieki za wskazówki, [u]Morda[/u], zrobiłem dokładnie jak napisałeś, efekt jest pozytywny (usunąłem w końcu O20 - Winlogon Notify: arm32reg - C:\Documents and Settings\All Users\Dokumenty\Settings\arm32.dll). Jednak nie wszystko poszło gładko w trakcie wykonywania Twoich wskazówek najpierw chyba zabrakło mi miejsca na C, dysk ciągle się zapełnia :/ i nie mam już co usunąć z partycji C i w trakcie procesu wyszły jakieś dziwne komunikaty o błędach. Na dokładkę kiedy już combofix skończył swoje działanie komp uruchomił się ponownie a wraz z nim pojawił się scandisk który stwierdził, że łańcuchy "czegoś tam" na drugiej pratycji są uszkodzone i że musi je poskładać. Nie chodzi tu o fizyczne uszkodzenie!. Jednak koniec końców wszystko się udało. [u]Martwi mnie tylko win32:small-EPJ który co jakiś czas jest wykrywany przez avasta.[/u] [u][b]Logi:[/b][/u] gmer - rootkity : http://wklej.org/id/e8a7679df1 combofix: http://www.wklej.org/id/7d2b4b805e pozdrawiam i dziekuje.

[quote]O20 - Winlogon Notify: arm32reg - C:\Documents and Settings\All Users\Dokumenty\Settings\arm32.dll[/quote] To znany "hakier" używa zdalnie Twego komputera. Jeśli nie masz jakiegoś narzędzia usuwającego, to ściągnij [url=http://www.bezpieczenstwosystemow.pl/index.php?topic=18.0][b][color=blue][u]ComboFix[/u][/color][/b][/url] Wklej do [b]Notatnika[/b]: [CODE] File:: C:\Documents and Settings\All Users\Dokumenty\Settings\arm32.dll Folder:: C:\Documents and Settings\All Users\Dokumenty\Settings Registry:: [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\arm32reg][/code] [b]>>Plik>>Zapisz jako... >>> [color=red]CFScript[/color][/b] (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka [b]CFScript.txt[/b] znalazła się obok ikonki [b]ComboFix.exe[/b]) Przeciągnij i upuść plik [color=red][b]CFScript.txt[/b][/color] na plik [b]ComboFix.exe[/b] (czyli ikonkę [b]CFScript.txt[/b] na ikonkę [b]ComboFix.exe[/b]) – podobnie jak na tym obrazku [color=blue]-->[/color][b][url]http://img.wklej.org/images/88953CFScript-createdbyMiekiemoes.gif[/url][/b] (jeśli pojawi się pytanie "[b]1 or 2[/b]" - to wpisz [b]1[/b] i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie jednocześnie log) [b]Po restarcie[/b] usuń ręcznie folder [b]C: \[color=red]Qoobox[/color][/b]. Następnie wyszukaj na dysku wszystkie pliki "DESKTOP.INI". Ponieważ ten szkodliwy plik ma atrybut "Ukryty", więc przed wyszukiwaniem zrób to: [quote]>>Start>>Panel Sterowania>>Opcje Folderów>>Widok>>usuń zaznaczenie przy "Ukryj chronione pliki systemowe"> >zaznacz przy "Pokaż ukryte pliki">>Zastosuj>>OK[/quote] Potem po kolei otwieraj te pliki jako Notatnik. Jeśli w którymś z nich będzie: [quote][arm32_main_bt] hd= id_s= s1= s2= h1= h2= h3= ch=[/quote] to ten plik usuwasz. Potem możesz dać log z ComboFixa. Log wklej na [url=http://wklej.org/][b][color=blue][u]http://wklej.org/[/u][/color][/b][/url], a w poście daj tylko link. .

Masz Rookita. [url=http://forum.dobreprogramy.pl/viewtopic.php?t=101848] tu czytaj i sobie usuń[/url]