Marrrcin Napisano 1 Czerwca 2008 Zgłoś Napisano 1 Czerwca 2008 Wszystko się zaczęło wczoraj od pobrania pewnego programu z eMule. Pierwszą rzeczą która mi nie pasowała to to, że plik nfo miał 1,5MB, a exe kilkaset kB. W każdym razie skapłem się dopiero po uruchomieniu obu plików. 8O Po uruchomieniu exeka nic nie wyskoczyło, ale sam programik musiał namieszać w systemie. Przypomniało mi się o tym dzisiaj kiedy to nagle stracił się dźwięk. Był, a po chwili już go nie było. Windows nie wykrywa urządzeń audio do odtwarzania/nagrywania dźwięków. Reinstalacja sterów nie pomogła. Zorientowałem się też wtedy że z zasobnika zniknęła ikonka antyvira i Dumetera. Próba ręcznego uruchomienia antyvira kończy się komunikatem "....jest niepoprawną aplikacją systemu Win32". To samo dzieje się przy próbie uruchomienia Hijackthis. Robiłem skana skanerami Online - mksem i NODem. Oba wykryły tylko coś w Temporary Internet Files. MKS rzekomo pousuwał jakieś pliczki z tego folderu, ale NOD też coś tam znalazł i chciałem to usunąć ręcznie, ale.....No właśnie znikła mi z Opcji folderów mżliwość ustawienia "Pokaż ukryte pliki i foldery". No to by było na tyle. Czekam na sugestie. Silent Runners » Naciśnij aby pokazać/ukryć tekst oznaczony jako spoiler « - "Silent Runners log" "Silent Runners.vbs", revision 58, http://www.silentrunners.org/ Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "DAEMON Tools Pro Agent" = ""C:\Program Files\DAEMON Tools Pro\DTProAgent.exe"" ["DT Soft Ltd."] "uTorrent" = ""D:\Program Files\utorrent\utorrent.exe"" [null data] "Steam" = ""d:\program files\steam\steam.exe" -silent" ["Valve Corporation"] "H/PC Connection Agent" = ""D:\Program Files\Microsoft ActiveSync\wcescomm.exe"" [MS] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "avgnt" = ""C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"] "DU Meter" = "D:\Program Files\DU Meter\DUMeter.exe" [null data] "KernelFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -k" "NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS] "nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"] "NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit" [MS] "UnlockerAssistant" = ""D:\Program Files\Unlocker\UnlockerAssistant.exe" -H" [null data] "NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"] "BluetoothAuthenticationAgent" = "rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent" [MS] "RTHDCPL" = "RTHDCPL.EXE" ["Realtek Semiconductor Corp."] "SkyTel" = "SkyTel.EXE" ["Realtek Semiconductor Corp."] "Alcmtr" = "ALCMTR.EXE" ["Realtek Semiconductor Corp."] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided) -> {HKLM...CLSID} = "AcroIEHlprObj Class" \InProcServer32\(Default) = "D:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"] {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided) -> {HKLM...CLSID} = "SSVHelper Class" \InProcServer32\(Default) = "C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll" ["Sun Microsystems, Inc."] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "D:\Program Files\Microsoft Office\OFFICE11\msohev.dll" [MS] "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "d:\Program Files\WinRAR\rarext.dll" [null data] "{49BF5420-FA7F-11cf-8011-00A0C90A8F78}" = "Mobile Device" -> {HKLM...CLSID} = "Mobile Device" \InProcServer32\(Default) = "D:\PROGRA~1\MICROS~3\Wcesview.dll" [MS] "{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class" -> {HKLM...CLSID} = "DesktopContext Class" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"] "{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer" -> {HKLM...CLSID} = "Desktop Explorer" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu" -> {HKLM...CLSID} = "nView Desktop Context Menu" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{DDE4BEEB-DDE6-48fd-8EB5-035C09923F83}" = "UnlockerShellExtension" -> {HKLM...CLSID} = "UnlockerShellExtension" \InProcServer32\(Default) = "d:\Program Files\Unlocker\UnlockerCOM.dll" [null data] "{B327765E-D724-4347-8B16-78AE18552FC3}" = "NeroDigitalIconHandler" -> {HKLM...CLSID} = "NeroDigitalIconHandler Class" \InProcServer32\(Default) = "C:\Program Files\Common Files\Ahead\lib\NeroDigitalExt.dll" ["Nero AG"] "{7F1CF152-04F8-453A-B34C-E609530A9DC8}" = "NeroDigitalPropSheetHandler" -> {HKLM...CLSID} = "NeroDigitalPropSheetHandler Class" \InProcServer32\(Default) = "C:\Program Files\Common Files\Ahead\lib\NeroDigitalExt.dll" ["Nero AG"] "{2B3453E4-49DF-11D3-8229-0080BE509050}" = "GMail Drive" -> {HKLM...CLSID} = "GMail Drive" \InProcServer32\(Default) = "C:\WINDOWS\system32\ShellExt\GMailFS.dll" ["Bjarke Viksoe"] "{2B3453E4-49DF-11D3-8229-0080BE509052}" = "GMailFS Property Sheet" -> {HKLM...CLSID} = "GMailFS Property Sheet" \InProcServer32\(Default) = "C:\WINDOWS\system32\ShellExt\GMailFS.dll" ["Bjarke Viksoe"] "{2B3453E4-49DF-11D3-8229-0080BE509054}" = "GMailFS Drop Handler" -> {HKLM...CLSID} = "GMailFS Drop Handler" \InProcServer32\(Default) = "C:\WINDOWS\system32\ShellExt\GMailFS.dll" ["Bjarke Viksoe"] "{2B3453E4-49DF-11D3-8229-0080BE509056}" = "GMailFS Context Menu" -> {HKLM...CLSID} = "GMailFS Context Menu" \InProcServer32\(Default) = "C:\WINDOWS\system32\ShellExt\GMailFS.dll" ["Bjarke Viksoe"] HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Aedebug\ <<!>> "Debugger" = "D:\Kompilatory\Borland\CBuilder6\Bin\bordbg61.exe -aeargs %ld %ld" [file not found] HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\ <<!>> "BootExecute" = "autocheck autochk *"|"OODBS" ["O&O Software GmbH"] HKLM\SOFTWARE\Classes\PROTOCOLS\Filter\ <<!>> text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Program Files\Common Files\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS] HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\ {7D4D6379-F301-4311-BEBA-E26EB0561882}\(Default) = "NeroDigitalExt.NeroDigitalColumnHandler" -> {HKLM...CLSID} = "NeroDigitalColumnHandler Class" \InProcServer32\(Default) = "C:\Program Files\Common Files\Ahead\lib\NeroDigitalExt.dll" ["Nero AG"] {F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info" -> {HKLM...CLSID} = "PDF Shell Extension" \InProcServer32\(Default) = "D:\Program Files\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."] HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\ WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "d:\Program Files\WinRAR\rarext.dll" [null data] HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\ WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "d:\Program Files\WinRAR\rarext.dll" [null data] HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\ UnlockerShellExtension\(Default) = "{DDE4BEEB-DDE6-48fd-8EB5-035C09923F83}" -> {HKLM...CLSID} = "UnlockerShellExtension" \InProcServer32\(Default) = "d:\Program Files\Unlocker\UnlockerCOM.dll" [null data] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "d:\Program Files\WinRAR\rarext.dll" [null data] HKLM\SOFTWARE\Classes\AllFilesystemObjects\shellex\ContextMenuHandlers\ UnlockerShellExtension\(Default) = "{DDE4BEEB-DDE6-48fd-8EB5-035C09923F83}" -> {HKLM...CLSID} = "UnlockerShellExtension" \InProcServer32\(Default) = "d:\Program Files\Unlocker\UnlockerCOM.dll" [null data] Group Policies {GPedit.msc branch and setting}: ----------------------------------------------- Note: detected settings may not have any effect. HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\ "DisableRegistryTools" = (REG_DWORD) dword:0x00000000 {User Configuration|Administrative Templates|System| Prevent access to registry editing tools} HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ "shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Shutdown: Allow system to be shut down without having to log on} "undockwithoutlogon" = (REG_DWORD) dword:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Devices: Allow undock without having to log on} "DisableRegistryTools" = (REG_DWORD) dword:0x00000000 {unrecognized setting} "EnableLUA" = (REG_DWORD) dword:0x00000000 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| User Account Control: Run All Administrators In Admin Approval Mode} Active Desktop and Wallpaper: ----------------------------- Active Desktop may be disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState Displayed if Active Desktop enabled and wallpaper not set by Group Policy: HKCU\Software\Microsoft\Internet Explorer\Desktop\General\ "Wallpaper" = "%APPDATA%\Mozilla\Firefox\Tapeta pulpitu.bmp" Displayed if Active Desktop disabled and wallpaper not set by Group Policy: HKCU\Control Panel\Desktop\ "Wallpaper" = "C:\Documents and Settings\Marcin\Dane aplikacji\Mozilla\Firefox\Tapeta pulpitu.bmp" Windows Portable Device AutoPlay Handlers ----------------------------------------- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\Handlers\ AlcoholAutoPlayV2.BurnDisc\ "Provider" = "Alcohol 120%" "InvokeProgID" = "AlcoholAutoPlayV2" "InvokeVerb" = "BurnDisc" HKLM\SOFTWARE\Classes\AlcoholAutoPlayV2\shell\BurnDisc\command\(Default) = ""D:\Program Files\Alcohol Soft\Alcohol 120\alcohol__.exe" %1" ["Alcohol Soft Development Team"] AlcoholAutoPlayV2.ReadDisc\ "Provider" = "Alcohol 120%" "InvokeProgID" = "AlcoholAutoPlayV2" "InvokeVerb" = "ReadDisc" HKLM\SOFTWARE\Classes\AlcoholAutoPlayV2\shell\ReadDisc\command\(Default) = ""D:\Program Files\Alcohol Soft\Alcohol 120\alcohol__.exe" %1" ["Alcohol Soft Development Team"] DVDDecrypterPlayDVDMovieOnArrival\ "Provider" = "DVD Decrypter" "InvokeProgID" = "DVDDecrypter" "InvokeVerb" = "PlayDVDMovieOnArrival_Decrypt" HKLM\SOFTWARE\Classes\DVDDecrypter\shell\PlayDVDMovieOnArrival_Decrypt\Command\(Default) = ""d:\Program Files\DVD Decrypter\DVDDecrypter.exe" /MODE READ /SOURCE "%1"" ["LIGHTNING UK!"] LightScribeOnArrivalAP\ "Provider" = "LightScribe Direct Disc Labeling" "InvokeProgID" = "LightScribe.AutoPlayHandler" "InvokeVerb" = "LabelLightScribeDisc" HKLM\SOFTWARE\Classes\LightScribe.AutoPlayHandler\shell\LabelLightScribeDisc\command\(Default) = "C:\Program Files\Common Files\LightScribe\LsLauncher.exe" ["Hewlett-Packard Company"] MPCPlayCDAudioOnArrival\ "Provider" = "Media Player Classic" "InvokeProgID" = "MediaPlayerClassic.Autorun" "InvokeVerb" = "PlayCDAudio" HKLM\SOFTWARE\Classes\MediaPlayerClassic.Autorun\shell\PlayCDAudio\command\(Default) = ""d:\Program Files\K-Lite Codec Pack\Media Player Classic\mplayerc.exe" %1 /cd" ["Gabest"] MPCPlayDVDMovieOnArrival\ "Provider" = "Media Player Classic" "InvokeProgID" = "MediaPlayerClassic.Autorun" "InvokeVerb" = "PlayDVDMovie" HKLM\SOFTWARE\Classes\MediaPlayerClassic.Autorun\shell\PlayDVDMovie\command\(Default) = ""d:\Program Files\K-Lite Codec Pack\Media Player Classic\mplayerc.exe" %1 /dvd" ["Gabest"] MPCPlayMusicFilesOnArrival\ "Provider" = "Media Player Classic" "InvokeProgID" = "MediaPlayerClassic.Autorun" "InvokeVerb" = "PlayMusicFiles" HKLM\SOFTWARE\Classes\MediaPlayerClassic.Autorun\shell\PlayMusicFiles\command\(Default) = ""d:\Program Files\K-Lite Codec Pack\Media Player Classic\mplayerc.exe" %1" ["Gabest"] MPCPlayVideoFilesOnArrival\ "Provider" = "Media Player Classic" "InvokeProgID" = "MediaPlayerClassic.Autorun" "InvokeVerb" = "PlayVideoFiles" HKLM\SOFTWARE\Classes\MediaPlayerClassic.Autorun\shell\PlayVideoFiles\command\(Default) = ""d:\Program Files\K-Lite Codec Pack\Media Player Classic\mplayerc.exe" %1" ["Gabest"] SonyDVConnectvegas7\ "Provider" = "Sony Vegas 7.0" "ProgID" = "Shell.HWEventHandlerShellExecute" "InitCmdLine" = ""d:\Program Files\Sony\Vegas 7.0\vegas70.exe"" HKLM\SOFTWARE\Classes\Shell.HWEventHandlerShellExecute\CLSID\(Default) = "{FFB8655F-81B9-4fce-B89C-9A6BA76D13E7}" -> {HKLM...CLSID} = "ShellExecute HW Event Handler" \LocalServer32\(Default) = "rundll32.exe shell32.dll,SHCreateLocalServerRunDll {FFB8655F-81B9-4fce-B89C-9A6BA76D13E7}" [MS] Startup items in "Marcin" & "All Users" startup folders: -------------------------------------------------------- C:\Documents and Settings\Marcin\Menu Start\Programy\Autostart "GIGABYTE Gamer HUD.exe" -> shortcut to: "C:\Documents and Settings\Marcin\Dane aplikacji\Microsoft\Installer\{B2BE514B-F1B3-43AB-84DD-3377ADBA1A7F}\HUD.exe1_CC5DF1A2468043D58FABB63B71468005.exe" ["Macrovision Corporation"] C:\Documents and Settings\All Users\Menu Start\Programy\Autostart "TSS Instrument API Tray Utility" -> shortcut to: "C:\Program Files\Common Files\Nokia\Tss\Instrument API\bin\tray.exe" [file not found] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000004\LibraryPath = "%SystemRoot%\system32\wshbth.dll" [MS] Transport Service Providers HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 22 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Toolbars HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\ "{0D704FAD-66E9-4F0A-BFED-4F665770DDB3}" -> {HKLM...CLSID} = "&Tłumaczenie" \InProcServer32\(Default) = "C:\Program Files\Techland\Common\InternetTranslator\InternetTranslator.dll" ["Techland"] HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\ "{0D704FAD-66E9-4F0A-BFED-4F665770DDB3}" = (no title provided) -> {HKLM...CLSID} = "&Tłumaczenie" \InProcServer32\(Default) = "C:\Program Files\Techland\Common\InternetTranslator\InternetTranslator.dll" ["Techland"] Explorer Bars HKLM\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\ HKLM\SOFTWARE\Classes\CLSID\{175556B1-4D91-4E9A-9C4B-D6888D5DEE6C}\(Default) = "&Ramka Tłumaczenia" Implemented Categories\{00021494-0000-0000-C000-000000000046}\ [horizontal bar] InProcServer32\(Default) = "C:\Program Files\Techland\Common\InternetTranslator\InternetTranslator.dll" ["Techland"] HKLM\SOFTWARE\Classes\CLSID\{D553F157-2AB0-4B46-98D2-7BA7CA418491}\(Default) = "&Słownik Podręczny" Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar] InProcServer32\(Default) = "C:\Program Files\Techland\Common\InternetTranslator\InternetTranslator.dll" ["Techland"] HKLM\SOFTWARE\Classes\CLSID\{FF059E31-CC5A-4E2E-BF3B-96E929D65503}\(Default) = "&Badanie" Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar] InProcServer32\(Default) = "D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL" [MS] Extensions (Tools menu items, main toolbar menu buttons) HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\ {08B0E5C0-4FCB-11CF-AAA5-00401C608501}\ "MenuText" = "Sun Java Console" "CLSIDExtension" = "{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBC}" -> {HKCU...CLSID} = "Java Plug-in 1.6.0_02" \InProcServer32\(Default) = "C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll" ["Sun Microsystems, Inc."] -> {HKLM...CLSID} = "Java Plug-in 1.6.0_02" \InProcServer32\(Default) = "C:\Program Files\Java\jre1.6.0_02\bin\npjpi160_02.dll" ["Sun Microsystems, Inc."] {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F}\ "ButtonText" = "Create Mobile Favorite" "CLSIDExtension" = "{2EAF5BB0-070F-11D3-9307-00C04FAE2D4F}" -> {HKLM...CLSID} = "Create Mobile Favorite" \InProcServer32\(Default) = "D:\PROGRA~1\MICROS~3\INetRepl.dll" [MS] {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F}\ "MenuText" = "Create Mobile Favorite..." "CLSIDExtension" = "{2EAF5BB0-070F-11D3-9307-00C04FAE2D4F}" -> {HKLM...CLSID} = "Create Mobile Favorite" \InProcServer32\(Default) = "D:\PROGRA~1\MICROS~3\INetRepl.dll" [MS] {92780B25-18CC-41C8-B9BE-3C9C571A8263}\ "ButtonText" = "Badanie" {B46B0919-62BA-4D99-A5C4-916B57A6805C}\ "MenuText" = "@C:\Program Files\Techland\Common\InternetTranslator\InternetTranslator.dll,-103" "CLSIDExtension" = "{B46B0919-62BA-4D99-A5C4-916B57A6805C}" -> {HKLM...CLSID} = "InternetTranslatorProperties Class" \InProcServer32\(Default) = "C:\Program Files\Techland\Common\InternetTranslator\InternetTranslator.dll" ["Techland"] {FB5F1910-F110-11D2-BB9E-00C04F795683}\ "ButtonText" = "Messenger" "MenuText" = "Windows Messenger" "Exec" = "C:\Program Files\Messenger\msmsgs.exe" [MS] Miscellaneous IE Hijack Points ------------------------------ HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs\ <<H>> "Tabs" = "res://ieframe.dll/tabswelcome.htm" [file not found] HOSTS file ---------- C:\WINDOWS\System32\drivers\etc\HOSTS maps: 7 domain names to IP addresses, 1 of the IP addresses is *not* localhost! Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ Bluetooth Support Service, BthServ, "C:\WINDOWS\system32\svchost.exe -k bthsvcs" {"C:\WINDOWS\System32\bthserv.dll" [MS]} LightScribeService Direct Disc Labeling Service, LightScribeService, ""C:\Program Files\Common Files\LightScribe\LSSrvc.exe"" ["Hewlett-Packard Company"] NoIPDUCService, NoIPDUCService, "d:\Program Files\No-IP\DUC20.exe -service" ["Vitalwerks LLC"] NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"] O&O Defrag, O&O Defrag, "C:\WINDOWS\system32\oodag.exe" ["O&O Software GmbH"] PLFlash DeviceIoControl Service, PLFlash DeviceIoControl Service, "C:\WINDOWS\system32\IoctlSvc.exe" ["Prolific Technology Inc."] ProtexisLicensing, ProtexisLicensing, ""C:\Program Files\Common Files\Protexis\License Service\PSIService.exe"" [null data] SQL Server (SQLEXPRESS), MSSQL$SQLEXPRESS, ""C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sSQLEXPRESS" [MS] SQL Server VSS Writer, SQLWriter, ""C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe"" [MS] StarWind AE Service, StarWindServiceAE, "d:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe" ["Rocket Division Software"] TP-LINK Configuration Service, ACS, "C:\WINDOWS\system32\acs.exe" [null data] Webcamera Plus Service, Webcamera Plus Service, "d:\Program Files\Ateksoft\WebCamera Plus\WebCamPlusSrv.exe" ["Ateksoft Company Ltd."] Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS] Print Monitors: --------------- HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors\ FPP3:\Driver = "fppmon3.dll" ["FinePrint Software, LLC"] Microsoft Document Imaging Writer Monitor\Driver = "mdimon.dll" [MS] ---------- (launch time: 2008-06-01 20:31:16) <<!>>: Suspicious data at a malware launch point. <<H>>: Suspicious data at a browser hijack point. + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + The search for DESKTOP.INI DLL launch points on all local fixed drives took 66 seconds. ---------- (total run time: 90 seconds) Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach More sharing options...
Kolobos Napisano 2 Czerwca 2008 Zgłoś Napisano 2 Czerwca 2008 Baglesgui w ogole dziala? Ten program to jakis staroc (Data dodania: 2004-03-24) wiec raczej nie ma szans zeby cos usunal 8O System to XP wiec chyba prosciej, naprawic tryb awaryjny: http://download.bleepingcomputer.com/sUBs/...otKeyRepair.exe Uruchomic system w trybie awaryjnym z obsluga sieci, sciaganc combofix, zapisac pod inna nazwa np. teshfas.exe, uzyc. Nastepnie skan: http://dnl-eu10.kaspersky-labs.com/devbuilds/AVPTool/ i log z combofix + log z kav (Tylko sekcja Detected) do oceny. Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach More sharing options...
Marrrcin Napisano 2 Czerwca 2008 Zgłoś Napisano 2 Czerwca 2008 Zrobiłem wszystko o czym pisaliście. Więc po kolei: 1. Baglegui 2. DAFT wyświetlił tylko: All associations okay! 3. Użyłem Safebootkeyrepair. 4. Log z Combofix w trybie awaryjnym 5. To co znalazł Kaspersky: » Naciśnij aby pokazać/ukryć tekst oznaczony jako spoiler « - "Kaspersky log" deleted: virus Email-Worm.Win32.Bagle.of File: C:\QooBox\Quarantine\C\Documents and Settings\Marcin\Dane aplikacji\m\flec006.exe.vir deleted: virus Worm.Win32.Perlovga.a File: C:\QooBox\Quarantine\C\WINDOWS\autorun.inf.vir deleted: virus Email-Worm.Win32.Bagle.of File: C:\QooBox\Quarantine\C\WINDOWS\system32\mdelk.exe.vir deleted: virus Email-Worm.Win32.Bagle.of File: C:\QooBox\Quarantine\C\WINDOWS\system32\wintems.exe.vir deleted: Trojan program Trojan-Downloader.Win32.Bagle.mm File: C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\srosa.sys.vir deleted: virus Email-Worm.Win32.Bagle.of File: C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\downld\100031.exe.vir deleted: virus Email-Worm.Win32.Bagle.of File: C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\downld\123828.exe.vir deleted: Trojan program Trojan-Downloader.Win32.Bagle.ij File: C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\downld\130375.exe.vir deleted: virus Email-Worm.Win32.Bagle.of File: C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\downld\142765.exe.vir deleted: virus Email-Worm.Win32.Bagle.of File: C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\downld\14661250.exe.vir deleted: virus Email-Worm.Win32.Bagle.of File: C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\downld\91140.exe.vir deleted: Trojan program Trojan-Downloader.Win32.Bagle.ij File: C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\downld\95906.exe.vir deleted: Trojan program Trojan-Downloader.Win32.Bagle.hp File: C:\QooBox\Quarantine\Registry_backups\Legacy_SROSA.reg.dat deleted: Trojan program Trojan-Downloader.Win32.Bagle.hp File: C:\QooBox\Quarantine\Registry_backups\Service_srosa.reg.dat Dźwięk mi się sam naprawił jak dzisiaj włączyłem kompa 8O Nie wiem czy ten syf jeszcze jest w komputerze ale Kaspersky troche tego pousuwał. Nadal istnieje ten problem że nie mam opcji "Pokaż ukryte pliki i foldery". Ze względu na to że mój poprzedni antyvirus został "zneutralizowany" to muszę zainstalować nowy. Co polecacie? Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach More sharing options...
Marrrcin Napisano 2 Czerwca 2008 Zgłoś Napisano 2 Czerwca 2008 Odpaliłem OTMoveIt2 i wyskoczył mi log z jego pracy. Nie wiem czy jest to to samo co ma być na dysku C w folderze moved files gdyż albo nie mam takiego folderu, albo jest on ukryty,a ja do ukrytych dostępu na razie nie mam. » Naciśnij aby pokazać/ukryć tekst oznaczony jako spoiler « - "otemoveit" File/Folder C:\WINDOWS\system32\tmp19B.tmp not found.File/Folder C:\WINDOWS\system32\tmp19A.tmp not found.< HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Load >Registry key HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Load\\ deleted successfully.< EmptyTemp >File delete failed. C:\DOCUME~1\Marcin\USTAWI~1\Temp\WCESLog.log scheduled to be deleted on reboot.Temp folders emptied.IE temp folders emptied. OTMoveIt2 by OldTimer - Version 1.0.4.2 log created on 06022008_183248Files moved on Reboot...C:\DOCUME~1\Marcin\USTAWI~1\Temp\WCESLog.log moved successfully. Jeżeli chodzi o SDfixa, to zrobiłem wszystko tak jak pisałeś, ale po restarcie wyskoczyło mi "catchme.exe nie jest prawidłową aplikacją systemu win32". Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach More sharing options...
Kolobos Napisano 2 Czerwca 2008 Zgłoś Napisano 2 Czerwca 2008 Daj nowy log z combofix + log z sdfix o ile sie utworzyl. Nie zaszkodzi tez ponowny skan kasperskim. Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach More sharing options...
Marrrcin Napisano 2 Czerwca 2008 Zgłoś Napisano 2 Czerwca 2008 Nie wiem czy log się utworzył, bo w folderze SDfixa jest około 70 plików txt i nie wiem czy któryś z nich nie jest logiem. Zrobiłem nowego skana Combofixem. LOG Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach More sharing options...
Marrrcin Napisano 3 Czerwca 2008 Zgłoś Napisano 3 Czerwca 2008 1. Wczorajszy log z SDfixa. » Naciśnij aby pokazać/ukryć tekst oznaczony jako spoiler « - "SFdix log" [b]SDFix: Version 1.187 [/b]Run by Administrator on 2008-06-02 at 19:58Microsoft Windows XP [Wersja 5.1.2600]Running From: C:\SDFix[b]Checking Services [/b]:Restoring Windows Registry ValuesRestoring Windows Default Hosts FileRebooting[b]Checking Files [/b]: No Trojan Files FoundRemoving Temp Files[b]ADS Check [/b]: 2. Log z OTMoveit który wyskoczył zaraz po restarcie. Na dysku C nie mam folderu _OTMoveIt. Szukałem też w ukrytych, bo nareszcie działa mi ta funkcja. 3. Sophos Report 4.1 GMER log Podczas szukania wyskoczyła mi informacja "Przerwano wyszukiwanie" mimo że nic nie nacisnąłem. Nie wiem czy tak miało być czy trzeba zrobić skana jeszcze raz. 4.2 GMER log Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach More sharing options...
Marrrcin Napisano 3 Czerwca 2008 Zgłoś Napisano 3 Czerwca 2008 Log z Combofix Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach More sharing options...
Marrrcin Napisano 3 Czerwca 2008 Zgłoś Napisano 3 Czerwca 2008 Pisze teraz z Linuksa bo wszystko się posypało. Zrobiłem tak jak pisałeś. Po skanowaniu wyskoczyła mi informacja mówiąca, że aby usunąć wszystkie wykryte rzeczy trzeba zrobić reboota. Po reboocie komputer zatrzymał się na etapie ładowania Windowsa. Czekałem 25 min, ale system się nie załadował. Dodam jeszcze, że przed instalacją tego antyspyware'a zainstalowałem Kaspersky Internet Security. W sumie to działał normalnie, pomijając to, że strasznie zamulał komputer co chyba nie powinno się dziać na takim sprzęcie. Komputer miał takiego zamuła, że instalacja SUPERAntiSpyware zajęła około 5 min. Pisze o tym, bo może to mieć jakiś wpływ na tą nagłą awarie. Dodam jeszcze, że Ubuntu nie zamontowało mi automatycznie windowsowej partycji D i aby ro zrobić musiałem mu pomóż parametrem "force". Log z SuperAntiSpyware. Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach More sharing options...
Marrrcin Napisano 3 Czerwca 2008 Zgłoś Napisano 3 Czerwca 2008 Dałem na ostatnią dobrą konfigurację i zadziałało. Powinienem jeszcze coś zrobić czy mój system jest już czysty? Jeszcze jedna sprawa. Ten Kaspersky tak zamula, że literki mi wyskakują z opóźnieniem jak pisze tego posta. Teraz się już poprawiło. Chyba dopiero teraz wszystko się załadowało, ale od uruchomienia kompa minęło z 5 minut. Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach More sharing options...
