Nick126 Opublikowano 22 Grudnia 2008 Zgłoś Opublikowano 22 Grudnia 2008 Komputer raz się włącza normalnie, a raz muli strasznie, tak, że się nic nie da zrobic. Nie miałem anty wirusa, po zainstalowaniu ~370 infekcji 8O Problem nadal istnieje, dlatego proszę o sprawdzenie loga - teraz komputer działa i zajęło to parę minutek. Przy tej drugiej opcji pewnie zajęłoby to lekko pół godziny. » Naciśnij aby pokazać/ukryć tekst oznaczony jako spoiler « - "LOG" Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:26:45, on 2008-12-22 Platform: Windows XP Dodatek SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16762) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Analog Devices\Core\smax4pnp.exe C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe C:\Program Files\Common Files\Real\Update_OB\realsched.exe C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe C:\Program Files\Windows Media Player\WMPNSCFG.exe C:\Program Files\Microsoft ActiveSync\wcescomm.exe C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe C:\PROGRA~1\MI3AA1~1\rapimgr.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\agrsmsvc.exe C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe C:\Program Files\Common Files\InterVideo\RegMgr\iviRegMgr.exe C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Program Files\Kerio\Personal Firewall\persfw.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe C:\Program Files\PC Connectivity Solution\ServiceLayer.exe C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe C:\Program Files\PC Connectivity Solution\NclBTHandler.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE C:\WINDOWS\system32\taskmgr.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by Godzilla R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll O4 - HKLM\..\Run: [startCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe O4 - HKLM\..\Run: [soundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe O4 - HKLM\..\Run: [soundMAX] C:\Program Files\Analog Devices\SoundMAX\Smax4.exe /tray O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [Cpqset] C:\Program Files\Hewlett-Packard\Default Settings\cpqset.exe O4 - HKLM\..\Run: [iAAnotif] "C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe" O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [MS32DLL] C:\WINDOWS\MS32DLL.dll.vbs O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe O4 - HKCU\..\Run: [kamsoft] C:\WINDOWS\system32\kamsoft.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe" O4 - HKCU\..\Run: [vamsoft] C:\WINDOWS\system32\vamsoft.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: BTTray.lnk = ? O4 - Global Startup: Przyspieszenie uruchomienia programu AutoCAD LT.lnk = C:\Program Files\Common Files\Autodesk Shared\acstart17.exe O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Wyślij do urządzenia &Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra 'Tools' menuitem: Utwórz Ulubione dla urządzenia przenośnego... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\WINDOWS\system32\agrsmsvc.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe O23 - Service: Intel® Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe O23 - Service: IviRegMgr - InterVideo - C:\Program Files\Common Files\InterVideo\RegMgr\iviRegMgr.exe O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall\persfw.exe O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe -- End of file - 9144 bytes Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
Ciuci Opublikowano 23 Grudnia 2008 Zgłoś Opublikowano 23 Grudnia 2008 Wpisy skasuj w HJT: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by Godzilla O4 - HKLM\..\Run: [MS32DLL] C:\WINDOWS\MS32DLL.dll.vbs O4 - HKCU\..\Run: [kamsoft] C:\WINDOWS\system32\kamsoft.exe O4 - HKCU\..\Run: [vamsoft] C:\WINDOWS\system32\vamsoft.exe O4 - Global Startup: BTTray.lnk = ? Pobierz Combofix ale nie uruhamiaj Wklej do notatnika: File:: C:\WINDOWS\MS32DLL.dll.vbs C:\WINDOWS\system32\kamsoft.exe C:\WINDOWS\system32\vamsoft.exe >>Plik>>Zapisz jako... >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe) Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe) (jeśli pojawi się pytanie "1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log) Po restarcie usuń ręcznie folder C: \Qoobox. wklej go do analizy. Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
Nick126 Opublikowano 23 Grudnia 2008 Zgłoś Opublikowano 23 Grudnia 2008 Najpierw mi coś pobrał, pisał, że nie mam KONSOLI ODZYSKIWANIA SYSTEMU WINDOWS (i chyba to ściągnął), potem, po chwili, zrobił skan i następująco to wygląda: » Naciśnij aby pokazać/ukryć tekst oznaczony jako spoiler « - "log" ComboFix 08-12-21.04 - Andrzej 2008-12-23 11:53:58.1 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.3.1250.1.1045.18.2047.1437 [GMT 1:00] Uruchomiony z: d:\programy\ComboFix.exe Użyto następujących komend :: d:\programy\CFScript.txt * Utworzono nowy punkt przywracania FILE :: c:\windows\MS32DLL.dll.vbs c:\windows\system32\kamsoft.exe c:\windows\system32\vamsoft.exe . ((((((((((((((((((((((((((((((((((((((( Usunięto ))))))))))))))))))))))))))))))))))))))))))))))))) . C:\08dgu.com C:\0u.cmd C:\0w.com C:\1t6yxlxx.cmd C:\1u0o8bnq.cmd C:\2u.com C:\3rl3lqbq.bat C:\68.exe C:\9.cmd C:\a1.bat C:\abk.bat C:\Autorun.inf C:\b0j6j16.bat C:\bo1dhu.bat C:\e.cmd C:\ev60a2.cmd C:\fe.bat C:\h3.bat C:\i.bat C:\ij.bat C:\iqe68o.bat C:\itsduel.exe C:\lky.exe C:\m2nl.bat C:\MS32DLL.dll.vbs C:\n6t1h.cmd C:\nfdmg.com C:\nq0cq.cmd C:\otyh.cmd C:\p1y2.cmd C:\pnt.com C:\r1y1.bat C:\vva0hc0p.cmd C:\vxl.exe c:\windows\MS32DLL.dll.vbs c:\windows\system32\ckvo.exe c:\windows\system32\ckvo0.dll c:\windows\system32\ckvo1.dll c:\windows\system32\gasretyw0.dll c:\windows\system32\gasretyw1.dll c:\windows\system32\kamsoft.exe c:\windows\system32\vamsoft.exe C:\wjlfhtfm.cmd C:\xih9.cmd C:\xk2n.bat C:\yannh.cmd C:\yew.bat D:\08dgu.com D:\0u.cmd D:\0w.com D:\1t6yxlxx.cmd D:\1u0o8bnq.cmd D:\2u.com D:\3rl3lqbq.bat D:\68.exe D:\9.cmd D:\a1.bat D:\abk.bat D:\Autorun.inf D:\b0j6j16.bat D:\bo1dhu.bat D:\e.cmd D:\ev60a2.cmd D:\fe.bat D:\h3.bat D:\i.bat D:\ij.bat D:\iqe68o.bat D:\itsduel.exe D:\lky.exe D:\m2nl.bat D:\MS32DLL.dll.vbs D:\n6t1h.cmd D:\nfdmg.com D:\nq0cq.cmd D:\otyh.cmd D:\p1y2.cmd D:\pnt.com D:\r1y1.bat D:\vva0hc0p.cmd D:\vxl.exe D:\wjlfhtfm.cmd D:\xih9.cmd D:\xk2n.bat D:\yannh.cmd D:\yew.bat F:\iqe68o.bat . ((((((((((((((((((((((((( Pliki utworzone od 2008-11-23 do 2008-12-23 ))))))))))))))))))))))))))))))) . 2008-12-22 20:22 . 2008-12-22 20:22 <DIR> d-------- c:\program files\Trend Micro 2008-12-22 20:18 . 2008-12-08 19:12 107,045 -r-hs---- C:\m9ma.exe 2008-12-22 18:46 . 2008-12-22 18:46 <DIR> d-------- c:\program files\Lavasoft 2008-12-22 18:46 . 2008-12-22 18:49 <DIR> d-------- c:\documents and settings\All Users\Dane aplikacji\Lavasoft 2008-12-22 18:45 . 2008-12-22 18:45 <DIR> d-------- c:\program files\Common Files\Wise Installation Wizard 2008-12-22 18:01 . 2008-12-22 18:01 <DIR> d-------- c:\program files\ESET 2008-12-22 18:01 . 2008-12-22 18:01 <DIR> d-------- c:\documents and settings\All Users\Dane aplikacji\ESET 2008-12-10 18:56 . 2008-12-08 19:12 107,045 -r-hs---- C:\6fnlpetp.exe 2008-12-10 18:55 . 2008-12-23 08:45 85,504 -r-hs---- c:\windows\system32\vbsdfe1.dll 2008-12-09 15:49 . 2008-12-23 11:38 85,504 -r-hs---- c:\windows\system32\vbsdfe0.dll 2008-11-29 19:52 . 2008-11-29 19:52 <DIR> d-------- c:\program files\Microsoft ActiveSync 2008-11-29 17:05 . 2008-11-30 18:50 <DIR> d-------- c:\documents and settings\Andrzej\Phone Browser 2008-11-29 17:02 . 2008-11-29 17:05 <DIR> d-------- c:\documents and settings\All Users\Dane aplikacji\PC Suite 2008-11-29 17:01 . 2008-11-29 17:01 <DIR> d-------- c:\program files\DIFX 2008-11-29 17:01 . 2008-11-29 17:01 <DIR> d-------- c:\program files\Common Files\PCSuite 2008-11-29 17:01 . 2008-11-29 17:01 <DIR> d-------- c:\program files\Common Files\Nokia 2008-11-29 17:01 . 2008-11-29 17:01 <DIR> d-------- c:\documents and settings\Andrzej\Dane aplikacji\PC Suite 2008-11-29 17:01 . 2008-11-29 17:02 <DIR> d-------- c:\documents and settings\Andrzej\Dane aplikacji\Nokia 2008-11-29 17:01 . 2007-03-20 11:37 831,048 --a------ c:\windows\system32\WudfUpdate_01005.dll 2008-11-29 17:00 . 2008-11-29 17:00 <DIR> d-------- c:\program files\PC Connectivity Solution 2008-11-29 17:00 . 2008-11-29 17:01 <DIR> d-------- c:\program files\Nokia 2008-11-29 17:00 . 2007-02-22 10:15 137,216 --a------ c:\windows\system32\drivers\nmwcd.sys 2008-11-29 17:00 . 2007-02-22 10:15 90,624 --a------ c:\windows\system32\nmwcdcls.dll 2008-11-29 17:00 . 2007-02-22 10:15 65,536 --a------ c:\windows\system32\nmwcdcocls.dll 2008-11-29 17:00 . 2007-02-22 10:15 12,288 --a------ c:\windows\system32\drivers\nmwcdcm.sys 2008-11-29 17:00 . 2007-02-22 10:15 12,288 --a------ c:\windows\system32\drivers\nmwcdcj.sys 2008-11-29 17:00 . 2007-02-22 10:15 8,320 --a------ c:\windows\system32\drivers\nmwcdc.sys 2008-11-29 16:59 . 2008-11-29 16:59 <DIR> d-------- c:\documents and settings\All Users\Dane aplikacji\Installations 2008-11-28 13:02 . 2008-11-28 13:02 105,411 -r-hs---- C:\o1.com . (((((((((((((((((((((((((((((((((((((((( Sekcja Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-11-11 13:02 --------- d-----w c:\program files\SystemRequirementsLab 2008-11-10 17:47 108,271 --sh--r C:\whi.com 2008-11-07 19:19 109,879 --sh--r C:\sq.com 2008-11-02 18:48 --------- d-----w c:\program files\Gadu-Gadu 2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys 2008-10-23 12:42 286,720 ----a-w c:\windows\system32\gdi32.dll 2008-10-22 15:47 104,123 --sh--r C:\xlk9.com 2008-10-20 11:45 106,249 --sh--r C:\2fiji.com 2008-10-16 20:33 826,368 ----a-w c:\windows\system32\wininet.dll 2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll 2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll 2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll 2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll 2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll 2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe 2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll 2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll 2008-10-03 10:04 247,326 ----a-w c:\windows\system32\strmdll.dll 2008-09-30 15:43 1,286,152 ----a-w c:\windows\system32\msxml4.dll . ((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360] "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Common Files\Ahead\Lib\NMBgMonitor.exe" [2007-06-27 152872] "WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2006-12-01 204288] "H/PC Connection Agent"="c:\program files\Microsoft ActiveSync\wcescomm.exe" [2006-11-13 1289000] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 90112] "SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2007-01-05 872448] "SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-01-18 1028096] "Cpqset"="c:\program files\Hewlett-Packard\Default Settings\cpqset.exe" [2007-09-20 61440] "IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2007-10-03 178712] "QlbCtrl"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2007-11-06 177456] "SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784] "NeroFilterCheck"="c:\program files\Common Files\Ahead\Lib\NeroCheck.exe" [2007-03-01 153136] "TkBellExe"="c:\program files\Common Files\Real\Update_OB\realsched.exe" [2008-06-21 185896] "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792] "PCSuiteTrayApplication"="c:\program files\Nokia\Nokia PC Suite 6\LaunchApplication.exe" [2007-03-23 227328] "egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2008-08-18 1447168] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] "Nokia.PCSync"="c:\program files\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-03-27 1744896] c:\documents and settings\All Users\Menu Start\Programy\Autostart\ Przyspieszenie uruchomienia programu AutoCAD LT.lnk - c:\program files\Common Files\Autodesk Shared\acstart17.exe [2006-03-05 11000] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys] @="Driver" [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 "UpdatesDisableNotify"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Program Files\\Gadu-Gadu\\gg.exe"= "c:\program files\Microsoft ActiveSync\rapimgr.exe"= c:\program files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager "c:\program files\Microsoft ActiveSync\wcescomm.exe"= c:\program files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager "c:\program files\Microsoft ActiveSync\WCESMgr.exe"= c:\program files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service R1 epfwtdir;epfwtdir;c:\windows\system32\DRIVERS\epfwtdir.sys [2008-08-18 34312] R1 fwdrv;Kerio Personal Firewall Driver;c:\windows\system32\Drivers\fwdrv.sys [2008-03-12 102912] R2 ekrn;Eset Service;"c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe" [2008-08-18 468224] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b1062c14-9ea3-11dd-9053-001e37a656aa}] \Shell\AutoRun\command - F:\2fiji.com \Shell\explore\Command - F:\2fiji.com \Shell\open\Command - F:\2fiji.com *Newly Created Service* - PROCEXP90 . - - - - USUNIĘTO PUSTE WPISY - - - - HKLM-Run-WinampAgent - c:\program files\Winamp\winampa.exe . ------- Skan uzupełniający ------- . IE: E&ksport do programu Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 IE: Wyślij do urządzenia &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm FF - ProfilePath - c:\documents and settings\Andrzej\Dane aplikacji\Mozilla\Firefox\Profiles\xtuocn6c.default\ FF - prefs.js: browser.startup.homepage - hxxp://www.google.pl/ . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-12-23 11:55:43 Windows 5.1.2600 Dodatek Service Pack 3 NTFS skanowanie ukrytych procesów ... skanowanie ukrytych wpisów autostartu ... HKLM\Software\Microsoft\Windows\CurrentVersion\Run Cpqset = c:\program files\Hewlett-Packard\Default Settings\cpqset.exe????????H??????????????|?M?|?????M?|??@ skanowanie ukrytych plików ... skanowanie pomyślnie ukończone ukryte pliki: 0 ************************************************************************** . --------------------- Pliki DLL ładowane pod uruchomionymi procesami --------------------- - - - - - - - > 'winlogon.exe'(920) c:\windows\system32\Ati2evxx.dll . Czas ukończenia: 2008-12-23 11:56:31 ComboFix-quarantined-files.txt 2008-12-23 10:56:28 Przed: 26 903 937 024 bajtów wolnych Po: 28,278,743,040 bajtów wolnych WindowsXP-KB310994-SP2-Home-BootDisk-PLK.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect 243 --- E O F --- 2008-12-22 19:09:32 Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
Ciuci Opublikowano 23 Grudnia 2008 Zgłoś Opublikowano 23 Grudnia 2008 Sformatuj Pendriva Wklej do notatnika: File:: C:\m9ma.exe C:\6fnlpetp.exe c:\windows\system32\vbsdfe1.d c:\windows\system32\vbsdfe0.dll C:\o1.com C:\whi.com C:\sq.com C:\xlk9.com C:\2fiji.com Registry:: [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] >>Plik>>Zapisz jako... >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe) Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe) (jeśli pojawi się pytanie "1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log) Po restarcie usuń ręcznie folder C: \Qoobox. wklej go do analizy. Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
Nick126 Opublikowano 23 Grudnia 2008 Zgłoś Opublikowano 23 Grudnia 2008 (edytowane) Ok, zaraz zrobię, ale co ma pendrive do tego? » Naciśnij aby pokazać/ukryć tekst oznaczony jako spoiler « - "." ComboFix 08-12-21.04 - Andrzej 2008-12-23 12:50:22.2 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.3.1250.1.1045.18.2047.1504 [GMT 1:00] Uruchomiony z: d:\programy\ComboFix.exe Użyto następujących komend :: d:\programy\CFScript.txt * Utworzono nowy punkt przywracania FILE :: C:\2fiji.com C:\6fnlpetp.exe C:\m9ma.exe C:\o1.com C:\sq.com C:\whi.com c:\windows\system32\vbsdfe0.dll c:\windows\system32\vbsdfe1.d C:\xlk9.com . ((((((((((((((((((((((((((((((((((((((( Usunięto ))))))))))))))))))))))))))))))))))))))))))))))))) . C:\2fiji.com C:\6fnlpetp.exe C:\m9ma.exe C:\o1.com C:\sq.com C:\whi.com c:\windows\system32\vbsdfe0.dll C:\xlk9.com . ((((((((((((((((((((((((( Pliki utworzone od 2008-11-23 do 2008-12-23 ))))))))))))))))))))))))))))))) . 2008-12-22 20:22 . 2008-12-22 20:22 <DIR> d-------- c:\program files\Trend Micro 2008-12-22 18:46 . 2008-12-22 18:46 <DIR> d-------- c:\program files\Lavasoft 2008-12-22 18:46 . 2008-12-22 18:49 <DIR> d-------- c:\documents and settings\All Users\Dane aplikacji\Lavasoft 2008-12-22 18:45 . 2008-12-22 18:45 <DIR> d-------- c:\program files\Common Files\Wise Installation Wizard 2008-12-22 18:01 . 2008-12-22 18:01 <DIR> d-------- c:\program files\ESET 2008-12-22 18:01 . 2008-12-22 18:01 <DIR> d-------- c:\documents and settings\All Users\Dane aplikacji\ESET 2008-12-10 18:55 . 2008-12-23 08:45 85,504 -r-hs---- c:\windows\system32\vbsdfe1.dll 2008-11-29 19:52 . 2008-11-29 19:52 <DIR> d-------- c:\program files\Microsoft ActiveSync 2008-11-29 17:05 . 2008-11-30 18:50 <DIR> d-------- c:\documents and settings\Andrzej\Phone Browser 2008-11-29 17:02 . 2008-11-29 17:05 <DIR> d-------- c:\documents and settings\All Users\Dane aplikacji\PC Suite 2008-11-29 17:01 . 2008-11-29 17:01 <DIR> d-------- c:\program files\DIFX 2008-11-29 17:01 . 2008-11-29 17:01 <DIR> d-------- c:\program files\Common Files\PCSuite 2008-11-29 17:01 . 2008-11-29 17:01 <DIR> d-------- c:\program files\Common Files\Nokia 2008-11-29 17:01 . 2008-11-29 17:01 <DIR> d-------- c:\documents and settings\Andrzej\Dane aplikacji\PC Suite 2008-11-29 17:01 . 2008-11-29 17:02 <DIR> d-------- c:\documents and settings\Andrzej\Dane aplikacji\Nokia 2008-11-29 17:01 . 2007-03-20 11:37 831,048 --a------ c:\windows\system32\WudfUpdate_01005.dll 2008-11-29 17:00 . 2008-11-29 17:00 <DIR> d-------- c:\program files\PC Connectivity Solution 2008-11-29 17:00 . 2008-11-29 17:01 <DIR> d-------- c:\program files\Nokia 2008-11-29 17:00 . 2007-02-22 10:15 137,216 --a------ c:\windows\system32\drivers\nmwcd.sys 2008-11-29 17:00 . 2007-02-22 10:15 90,624 --a------ c:\windows\system32\nmwcdcls.dll 2008-11-29 17:00 . 2007-02-22 10:15 65,536 --a------ c:\windows\system32\nmwcdcocls.dll 2008-11-29 17:00 . 2007-02-22 10:15 12,288 --a------ c:\windows\system32\drivers\nmwcdcm.sys 2008-11-29 17:00 . 2007-02-22 10:15 12,288 --a------ c:\windows\system32\drivers\nmwcdcj.sys 2008-11-29 17:00 . 2007-02-22 10:15 8,320 --a------ c:\windows\system32\drivers\nmwcdc.sys 2008-11-29 16:59 . 2008-11-29 16:59 <DIR> d-------- c:\documents and settings\All Users\Dane aplikacji\Installations . (((((((((((((((((((((((((((((((((((((((( Sekcja Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-11-11 13:02 --------- d-----w c:\program files\SystemRequirementsLab 2008-11-02 18:48 --------- d-----w c:\program files\Gadu-Gadu 2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys 2008-10-23 12:42 286,720 ----a-w c:\windows\system32\gdi32.dll 2008-10-16 20:33 826,368 ----a-w c:\windows\system32\wininet.dll 2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll 2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll 2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll 2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll 2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll 2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe 2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll 2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll 2008-10-03 10:04 247,326 ----a-w c:\windows\system32\strmdll.dll 2008-09-30 15:43 1,286,152 ----a-w c:\windows\system32\msxml4.dll . ((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360] "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Common Files\Ahead\Lib\NMBgMonitor.exe" [2007-06-27 152872] "WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2006-12-01 204288] "H/PC Connection Agent"="c:\program files\Microsoft ActiveSync\wcescomm.exe" [2006-11-13 1289000] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 90112] "SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2007-01-05 872448] "SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-01-18 1028096] "Cpqset"="c:\program files\Hewlett-Packard\Default Settings\cpqset.exe" [2007-09-20 61440] "IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2007-10-03 178712] "QlbCtrl"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2007-11-06 177456] "SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784] "NeroFilterCheck"="c:\program files\Common Files\Ahead\Lib\NeroCheck.exe" [2007-03-01 153136] "TkBellExe"="c:\program files\Common Files\Real\Update_OB\realsched.exe" [2008-06-21 185896] "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792] "PCSuiteTrayApplication"="c:\program files\Nokia\Nokia PC Suite 6\LaunchApplication.exe" [2007-03-23 227328] "egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2008-08-18 1447168] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] "Nokia.PCSync"="c:\program files\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-03-27 1744896] c:\documents and settings\All Users\Menu Start\Programy\Autostart\ Przyspieszenie uruchomienia programu AutoCAD LT.lnk - c:\program files\Common Files\Autodesk Shared\acstart17.exe [2006-03-05 11000] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys] @="Driver" [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 "UpdatesDisableNotify"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Program Files\\Gadu-Gadu\\gg.exe"= "c:\program files\Microsoft ActiveSync\rapimgr.exe"= c:\program files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager "c:\program files\Microsoft ActiveSync\wcescomm.exe"= c:\program files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager "c:\program files\Microsoft ActiveSync\WCESMgr.exe"= c:\program files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service R1 epfwtdir;epfwtdir;c:\windows\system32\DRIVERS\epfwtdir.sys [2008-08-18 34312] R1 fwdrv;Kerio Personal Firewall Driver;c:\windows\system32\Drivers\fwdrv.sys [2008-03-12 102912] R2 ekrn;Eset Service;"c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe" [2008-08-18 468224] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b1062c14-9ea3-11dd-9053-001e37a656aa}] \Shell\AutoRun\command - F:\2fiji.com \Shell\explore\Command - F:\2fiji.com \Shell\open\Command - F:\2fiji.com . . ------- Skan uzupełniający ------- . IE: E&ksport do programu Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 IE: Wyślij do urządzenia &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm FF - ProfilePath - c:\documents and settings\Andrzej\Dane aplikacji\Mozilla\Firefox\Profiles\xtuocn6c.default\ FF - prefs.js: browser.startup.homepage - hxxp://www.google.pl/ . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-12-23 12:51:55 Windows 5.1.2600 Dodatek Service Pack 3 NTFS skanowanie ukrytych procesów ... skanowanie ukrytych wpisów autostartu ... HKLM\Software\Microsoft\Windows\CurrentVersion\Run Cpqset = c:\program files\Hewlett-Packard\Default Settings\cpqset.exe????????H??????????????|?M?|?????M?|??@ skanowanie ukrytych plików ... skanowanie pomyślnie ukończone ukryte pliki: 0 ************************************************************************** . --------------------- Pliki DLL ładowane pod uruchomionymi procesami --------------------- - - - - - - - > 'winlogon.exe'(992) c:\windows\system32\Ati2evxx.dll . Czas ukończenia: 2008-12-23 12:52:46 ComboFix-quarantined-files.txt 2008-12-23 11:52:43 ComboFix2.txt 2008-12-23 10:56:32 Przed: 28 334 374 912 bajtów wolnych Po: 28,320,989,184 bajtów wolnych 153 --- E O F --- 2008-12-22 19:09:32 Edytowane 23 Grudnia 2008 przez Nick126 Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
Kolobos Opublikowano 23 Grudnia 2008 Zgłoś Opublikowano 23 Grudnia 2008 Podlacz zainfekowane nosniki i uzyj Flash Disinfector. Nowy CFScript.txt: File:: c:\windows\system32\vbsdfe1.dll Registry:: [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b1062c14-9ea3-11dd-9053-001e37a656aa}] Po wszystkim zablokuj dostep do klucza mountpoints2, opis masz na dole tej strony: http://www.searchengines.pl/Infekcje-z-pen...ych-t94761.html 8O Ciuci Na przyszlosc postaraj sie bardziej, nie obcinaj rozszerzen plikow, do tego wpisy z rejestru usuwa sie dodajac -. Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
Nick126 Opublikowano 23 Grudnia 2008 Zgłoś Opublikowano 23 Grudnia 2008 (edytowane) » Naciśnij aby pokazać/ukryć tekst oznaczony jako spoiler « - "log" ComboFix 08-12-21.04 - Andrzej 2008-12-23 19:04:22.3 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.3.1250.1.1045.18.2047.1498 [GMT 1:00] Uruchomiony z: d:\programy\ComboFix.exe Użyto następujących komend :: d:\programy\CFScript.txt * Utworzono nowy punkt przywracania FILE :: c:\windows\system32\vbsdfe1.dll . ((((((((((((((((((((((((((((((((((((((( Usunięto ))))))))))))))))))))))))))))))))))))))))))))))))) . c:\windows\system32\vbsdfe1.dll . ((((((((((((((((((((((((( Pliki utworzone od 2008-11-23 do 2008-12-23 ))))))))))))))))))))))))))))))) . 2008-12-22 20:22 . 2008-12-22 20:22 <DIR> d-------- c:\program files\Trend Micro 2008-12-22 18:46 . 2008-12-22 18:46 <DIR> d-------- c:\program files\Lavasoft 2008-12-22 18:46 . 2008-12-22 18:49 <DIR> d-------- c:\documents and settings\All Users\Dane aplikacji\Lavasoft 2008-12-22 18:45 . 2008-12-22 18:45 <DIR> d-------- c:\program files\Common Files\Wise Installation Wizard 2008-12-22 18:01 . 2008-12-22 18:01 <DIR> d-------- c:\program files\ESET 2008-12-22 18:01 . 2008-12-22 18:01 <DIR> d-------- c:\documents and settings\All Users\Dane aplikacji\ESET 2008-11-29 19:52 . 2008-11-29 19:52 <DIR> d-------- c:\program files\Microsoft ActiveSync 2008-11-29 17:05 . 2008-11-30 18:50 <DIR> d-------- c:\documents and settings\Andrzej\Phone Browser 2008-11-29 17:02 . 2008-11-29 17:05 <DIR> d-------- c:\documents and settings\All Users\Dane aplikacji\PC Suite 2008-11-29 17:01 . 2008-11-29 17:01 <DIR> d-------- c:\program files\DIFX 2008-11-29 17:01 . 2008-11-29 17:01 <DIR> d-------- c:\program files\Common Files\PCSuite 2008-11-29 17:01 . 2008-11-29 17:01 <DIR> d-------- c:\program files\Common Files\Nokia 2008-11-29 17:01 . 2008-11-29 17:01 <DIR> d-------- c:\documents and settings\Andrzej\Dane aplikacji\PC Suite 2008-11-29 17:01 . 2008-11-29 17:02 <DIR> d-------- c:\documents and settings\Andrzej\Dane aplikacji\Nokia 2008-11-29 17:01 . 2007-03-20 11:37 831,048 --a------ c:\windows\system32\WudfUpdate_01005.dll 2008-11-29 17:00 . 2008-11-29 17:00 <DIR> d-------- c:\program files\PC Connectivity Solution 2008-11-29 17:00 . 2008-11-29 17:01 <DIR> d-------- c:\program files\Nokia 2008-11-29 17:00 . 2007-02-22 10:15 137,216 --a------ c:\windows\system32\drivers\nmwcd.sys 2008-11-29 17:00 . 2007-02-22 10:15 90,624 --a------ c:\windows\system32\nmwcdcls.dll 2008-11-29 17:00 . 2007-02-22 10:15 65,536 --a------ c:\windows\system32\nmwcdcocls.dll 2008-11-29 17:00 . 2007-02-22 10:15 12,288 --a------ c:\windows\system32\drivers\nmwcdcm.sys 2008-11-29 17:00 . 2007-02-22 10:15 12,288 --a------ c:\windows\system32\drivers\nmwcdcj.sys 2008-11-29 17:00 . 2007-02-22 10:15 8,320 --a------ c:\windows\system32\drivers\nmwcdc.sys 2008-11-29 16:59 . 2008-11-29 16:59 <DIR> d-------- c:\documents and settings\All Users\Dane aplikacji\Installations . (((((((((((((((((((((((((((((((((((((((( Sekcja Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-11-11 13:02 --------- d-----w c:\program files\SystemRequirementsLab 2008-11-02 18:48 --------- d-----w c:\program files\Gadu-Gadu 2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys 2008-10-23 12:42 286,720 ----a-w c:\windows\system32\gdi32.dll 2008-10-16 20:33 826,368 ----a-w c:\windows\system32\wininet.dll 2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll 2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll 2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll 2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll 2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll 2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe 2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll 2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll 2008-10-03 10:04 247,326 ----a-w c:\windows\system32\strmdll.dll 2008-09-30 15:43 1,286,152 ----a-w c:\windows\system32\msxml4.dll . ((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360] "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Common Files\Ahead\Lib\NMBgMonitor.exe" [2007-06-27 152872] "WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2006-12-01 204288] "H/PC Connection Agent"="c:\program files\Microsoft ActiveSync\wcescomm.exe" [2006-11-13 1289000] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 90112] "SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2007-01-05 872448] "SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-01-18 1028096] "Cpqset"="c:\program files\Hewlett-Packard\Default Settings\cpqset.exe" [2007-09-20 61440] "IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2007-10-03 178712] "QlbCtrl"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2007-11-06 177456] "SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784] "NeroFilterCheck"="c:\program files\Common Files\Ahead\Lib\NeroCheck.exe" [2007-03-01 153136] "TkBellExe"="c:\program files\Common Files\Real\Update_OB\realsched.exe" [2008-06-21 185896] "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792] "PCSuiteTrayApplication"="c:\program files\Nokia\Nokia PC Suite 6\LaunchApplication.exe" [2007-03-23 227328] "egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2008-08-18 1447168] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] "Nokia.PCSync"="c:\program files\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-03-27 1744896] c:\documents and settings\All Users\Menu Start\Programy\Autostart\ Przyspieszenie uruchomienia programu AutoCAD LT.lnk - c:\program files\Common Files\Autodesk Shared\acstart17.exe [2006-03-05 11000] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys] @="Driver" [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 "UpdatesDisableNotify"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Program Files\\Gadu-Gadu\\gg.exe"= "c:\program files\Microsoft ActiveSync\rapimgr.exe"= c:\program files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager "c:\program files\Microsoft ActiveSync\wcescomm.exe"= c:\program files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager "c:\program files\Microsoft ActiveSync\WCESMgr.exe"= c:\program files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service R1 epfwtdir;epfwtdir;c:\windows\system32\DRIVERS\epfwtdir.sys [2008-08-18 34312] R1 fwdrv;Kerio Personal Firewall Driver;c:\windows\system32\Drivers\fwdrv.sys [2008-03-12 102912] R2 ekrn;Eset Service;"c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe" [2008-08-18 468224] . . ------- Skan uzupełniający ------- . IE: E&ksport do programu Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 IE: Wyślij do urządzenia &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm FF - ProfilePath - c:\documents and settings\Andrzej\Dane aplikacji\Mozilla\Firefox\Profiles\xtuocn6c.default\ FF - prefs.js: browser.startup.homepage - hxxp://www.google.pl/ . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-12-23 19:05:35 Windows 5.1.2600 Dodatek Service Pack 3 NTFS skanowanie ukrytych procesów ... skanowanie ukrytych wpisów autostartu ... HKLM\Software\Microsoft\Windows\CurrentVersion\Run Cpqset = c:\program files\Hewlett-Packard\Default Settings\cpqset.exe????????H??????????????|?M?|?????M?|??@ skanowanie ukrytych plików ... skanowanie pomyślnie ukończone ukryte pliki: 0 ************************************************************************** . --------------------- Pliki DLL ładowane pod uruchomionymi procesami --------------------- - - - - - - - > 'winlogon.exe'(988) c:\windows\system32\Ati2evxx.dll c:\windows\system32\WLDAP32.dll . Czas ukończenia: 2008-12-23 19:06:11 ComboFix-quarantined-files.txt 2008-12-23 18:05:59 ComboFix2.txt 2008-12-23 11:52:47 Przed: 28 303 958 016 bajtów wolnych Po: 28,291,342,336 bajtów wolnych 134 --- E O F --- 2008-12-22 19:09:32 Po zrobieniu CFScript.txt tak to wygląda. Z tym pendrivem to jeszcze czytam, bo trochę to dla mnie zagmatwane. Myślałem, że antywirus załatwia wszystko, a tu jeszcze takie rzeczy się dowiaduję 8O Czy już wszystko wygląda jak należy? Zrobiłem co piszą tutaj - http://www.searchengines.pl/index.php?show...t=0#entry369724 Lecz nic to nie zrobiło... Pen stoi tak jak stał, wszystko na nim jest, inne dyski tak samo. Nie ma nigdzie ukrytego folderu tak jak piszą. Edytowane 23 Grudnia 2008 przez Nick126 Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
Kolobos Opublikowano 24 Grudnia 2008 Zgłoś Opublikowano 24 Grudnia 2008 Jak wlaczysz pokazywanie plikow ukrytych oraz wylaczysz ukrywanie chronionych to zobaczysz folder. Nowy log nie jest potrzebny. Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
Nick126 Opublikowano 24 Grudnia 2008 Zgłoś Opublikowano 24 Grudnia 2008 No tak jest 8O Ale czy ten log jest wporządku? Już wszystko mam jak należy? Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
Kolobos Opublikowano 25 Grudnia 2008 Zgłoś Opublikowano 25 Grudnia 2008 Tak. Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
Nick126 Opublikowano 28 Grudnia 2008 Zgłoś Opublikowano 28 Grudnia 2008 Czym może być spowodowany brak odpowiedzi na podwójne kliknięcie na ikonkę? Dopiero jak poklikam trochę to wchodzi (albo prawym Otwórz). Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
Kolobos Opublikowano 29 Grudnia 2008 Zgłoś Opublikowano 29 Grudnia 2008 Po kliknieciu prawym przyciskiem na ikonie domyslna akcje masz ustawiona na otworz? Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
Nick126 Opublikowano 29 Grudnia 2008 Zgłoś Opublikowano 29 Grudnia 2008 tak. Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
Kolobos Opublikowano 29 Grudnia 2008 Zgłoś Opublikowano 29 Grudnia 2008 Mysz jest sprawna i tylko klikniecie na ikone nie dziala? Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
Nick126 Opublikowano 30 Grudnia 2008 Zgłoś Opublikowano 30 Grudnia 2008 Tak, bo na innym komputerze chodzi tak jak trzeba. Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
