JaX_CCC Opublikowano 30 Grudnia 2008 Zgłoś Opublikowano 30 Grudnia 2008 Witam Przy próbie wejścia na dysk D wywala mi taki komunikat: http://img150.imageshack.us/my.php?image=68384788qc9.jpg Przeskanowałem system nod32 i znalazł 3 pliki zainfekowane (wyleczył) ale problem nie ustapił. Oto logi: HJT: » Naciśnij aby pokazać/ukryć tekst oznaczony jako spoiler « - LOG Logfile of HijackThis v1.99.1 Scan saved at 17:24:57, on 2008-12-30 Platform: Windows XP Dodatek SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe C:\Program Files\Java\jre6\bin\jqs.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\system32\kxmixer.exe C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\OVISLINK\Common\AirliveUI.exe D:\Michał_pliki\Download\RealTemp_2.70\RealTemp_2.70\RealTemp.exe C:\Program Files\uTorrent\uTorrent.exe C:\WINDOWS\system32\wuauclt.exe D:\Michał_pliki\System_rec\Inne\Combocsan\comboscan.exe D:\MICHA_~1\SYSTEM~1\HIJACK~1\Michal-Magda.exe R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://linktarget.ashampoo.com/linktarget/...mp;target=trial R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [kX Mixer] C:\WINDOWS\system32\kxmixer.exe --startup O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: AirLive 802.11G Wireless Utility.lnk = C:\Program Files\OVISLINK\Common\AirliveUI.exe O4 - Global Startup: Skrót do RealTemp.lnk = ? O4 - Global Startup: µTorrent.lnk = C:\Program Files\uTorrent\uTorrent.exe O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing) O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Program Files\Java\jre6\bin\jqs.exe" -service -config "C:\Program Files\Java\jre6\lib\deploy\jqs\jqs.conf (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe SR: » Naciśnij aby pokazać/ukryć tekst oznaczony jako spoiler « - LOG "Silent Runners.vbs", revision 49, http://www.silentrunners.org/ Operating System: Windows XP Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS] HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS] "nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"] "NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit" [MS] "kX Mixer" = "C:\WINDOWS\system32\kxmixer.exe --startup" ["Eugene Gavrilov"] "egui" = ""C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice" ["ESET"] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {18DF081C-E8AD-4283-A596-FA578C2EBDC3}\(Default) = "AcroIEHelperStub" -> {HKLM...CLSID} = "Adobe PDF Link Helper" \InProcServer32\(Default) = "C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll" ["Adobe Systems Incorporated"] {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided) -> {HKLM...CLSID} = "Java Plug-In SSV Helper" \InProcServer32\(Default) = "C:\Program Files\Java\jre6\bin\ssv.dll" ["Sun Microsystems, Inc."] {DBC80044-A445-435b-BC74-9C25C1C588A9}\(Default) = (no title provided) -> {HKLM...CLSID} = "Java Plug-In 2 SSV Helper" \InProcServer32\(Default) = "C:\Program Files\Java\jre6\bin\jp2ssv.dll" ["Sun Microsystems, Inc."] {E7E6F031-17CE-4C07-BC86-EABFE594F69C}\(Default) = "JQSIEStartDetectorImpl" -> {HKLM...CLSID} = "JQSIEStartDetectorImpl Class" \InProcServer32\(Default) = "C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll" ["Sun Microsystems, Inc."] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Rozszerzenie CPL kadrowania wyświetlania" -> {HKLM...CLSID} = "Rozszerzenie CPL kadrowania wyświetlania" \InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Rozszerzenie ikony HyperTerminalu" -> {HKLM...CLSID} = "HyperTerminal Icon Ext" \InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."] "{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class" -> {HKLM...CLSID} = "DesktopContext Class" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"] "{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer" -> {HKLM...CLSID} = "Desktop Explorer" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu" -> {HKLM...CLSID} = "nView Desktop Context Menu" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper" -> {HKLM...CLSID} = "NVIDIA CPL Extension" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"] "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data] "{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Program Files\Microsoft Office\OFFICE11\msohev.dll" [MS] "{B089FE88-FB52-11D3-BDF1-0050DA34150D}" = "Eset Smart Security - Context Menu Shell Extension" -> {HKLM...CLSID} = "Eset Smart Security - Context Menu Shell Extension" \InProcServer32\(Default) = "C:\Program Files\ESET\ESET NOD32 Antivirus\shellExt.dll" ["ESET"] HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ <<!>> dimsntfy\DLLName = "C:\WINDOWS\System32\dimsntfy.dll" [MS] HKLM\Software\Classes\PROTOCOLS\Filter\ <<!>> text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Program Files\Common Files\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS] HKLM\Software\Classes\Folder\shellex\ColumnHandlers\ {F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info" -> {HKLM...CLSID} = "PDF Shell Extension" \InProcServer32\(Default) = "C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."] HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ Eset Smart Security - Context Menu Shell Extension\(Default) = "{B089FE88-FB52-11D3-BDF1-0050DA34150D}" -> {HKLM...CLSID} = "Eset Smart Security - Context Menu Shell Extension" \InProcServer32\(Default) = "C:\Program Files\ESET\ESET NOD32 Antivirus\shellExt.dll" ["ESET"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ Eset Smart Security - Context Menu Shell Extension\(Default) = "{B089FE88-FB52-11D3-BDF1-0050DA34150D}" -> {HKLM...CLSID} = "Eset Smart Security - Context Menu Shell Extension" \InProcServer32\(Default) = "C:\Program Files\ESET\ESET NOD32 Antivirus\shellExt.dll" ["ESET"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data] Group Policies {GPedit.msc branch and setting}: ----------------------------------------------- Note: detected settings may not have any effect. HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ "NoResolveTrack" = (REG_DWORD) hex:0x00000001 {unrecognized setting} HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\ "shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Shutdown: Allow system to be shut down without having to log on} "undockwithoutlogon" = (REG_DWORD) hex:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Devices: Allow undock without having to log on} Active Desktop and Wallpaper: ----------------------------- Active Desktop may be disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState Displayed if Active Desktop enabled and wallpaper not set by Group Policy: HKCU\Software\Microsoft\Internet Explorer\Desktop\General\ "Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Dane aplikacji\Microsoft\Wallpaper1.bmp" Displayed if Active Desktop disabled and wallpaper not set by Group Policy: HKCU\Control Panel\Desktop\ "Wallpaper" = "C:\Documents and Settings\Michal-Magda\Ustawienia lokalne\Dane aplikacji\Microsoft\Wallpaper1.bmp" Enabled Screen Saver: --------------------- HKCU\Control Panel\Desktop\ "SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS] Autostart via AUTORUN.INF on local fixed drives: ------------------------------------------------ D:\ <<!>> D:\AUTORUN.INF -> "shellexecute="resycled\boot.com d:"" [file not found] Startup items in "Michal-Magda" & "All Users" startup folders: -------------------------------------------------------------- C:\Documents and Settings\All Users\Menu Start\Programy\Autostart "AirLive 802.11G Wireless Utility" -> shortcut to: "C:\Program Files\OVISLINK\Common\AirliveUI.exe -s" ["Ovislink Corp."] "Skrót do RealTemp" -> shortcut to: "D:\Michał_pliki\Download\RealTemp_2.70\RealTemp_2.70\RealTemp.exe" [empty string] "µTorrent" -> shortcut to: "C:\Program Files\uTorrent\uTorrent.exe" ["BitTorrent, Inc."] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 13 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Explorer Bars HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\ HKLM\Software\Classes\CLSID\{FF059E31-CC5A-4E2E-BF3B-96E929D65503}\(Default) = "&Badanie" Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar] InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL" [MS] Extensions (Tools menu items, main toolbar menu buttons) HKLM\Software\Microsoft\Internet Explorer\Extensions\ {92780B25-18CC-41C8-B9BE-3C9C571A8263}\ "ButtonText" = "Badanie" {E2E2DD38-D088-4134-82B7-F2BA38496583}\ "MenuText" = "@xpsp3res.dll,-20001" "Exec" = "%windir%\Network Diagnostic\xpnetdiag.exe" [MS] {FB5F1910-F110-11D2-BB9E-00C04F795683}\ "ButtonText" = "Messenger" "MenuText" = "Windows Messenger" "Exec" = "C:\Program Files\Messenger\msmsgs.exe" [MS] Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ Eset Service, ekrn, ""C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe"" ["ESET"] Java Quick Starter, JavaQuickStarterService, ""C:\Program Files\Java\jre6\bin\jqs.exe" -service -config "C:\Program Files\Java\jre6\lib\deploy\jqs\jqs.conf"" ["Sun Microsystems, Inc."] NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"] Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS] Print Monitors: --------------- HKLM\System\CurrentControlSet\Control\Print\Monitors\ Microsoft Document Imaging Writer Monitor\Driver = "mdimon.dll" [MS] ---------- <<!>>: Suspicious data at a malware launch point. + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + The search for DESKTOP.INI DLL launch points on all local fixed drives took 11 seconds. ---------- (total run time: 37 seconds) Combo » Naciśnij aby pokazać/ukryć tekst oznaczony jako spoiler « - Suplementary ComboScan v20070226.18 run by Michal-Magda on 2008-12-30 at 17:24:50 Supplementary logfile - please post this as an attachment with your post. -------------------------------------------------------------------------------- -- System Information ----------------------------------------------------------- Microsoft Windows XP Professional (build 2600) SP 3.0 Architecture: X86; Language: Polish CPU 0: Genuine Intel® CPU 2160 @ 1.80GHz Percentage of Memory in Use: 18% Physical Memory (total/avail): 2046.42 MiB / 1672.15 MiB Pagefile Memory (total/avail): 3939.41 MiB / 3722.81 MiB Virtual Memory (total/avail): 2047.88 MiB / 1997.56 MiB C: is Fixed (NTFS) - 90 GiB total, 83.5 GiB free. D: is Fixed (NTFS) - 208.08 GiB total, 51.46 GiB free. E: is CDROM (No Media) -- Security Center -------------------------------------------------------------- Windows Internal Firewall is enabled. -- Environment Variables -------------------------------------------------------- ALLUSERSPROFILE=C:\Documents and Settings\All Users APPDATA=C:\Documents and Settings\Michal-Magda\Dane aplikacji CLIENTNAME=Console CommonProgramFiles=C:\Program Files\Common Files COMPUTERNAME=MMM ComSpec=C:\WINDOWS\system32\cmd.exe FP_NO_HOST_CHECK=NO HOMEDRIVE=C: HOMEPATH=\Documents and Settings\Michal-Magda LOGONSERVER=\\MMM NUMBER_OF_PROCESSORS=2 OS=Windows_NT Path=C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\System32\Wbem; PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH PROCESSOR_ARCHITECTURE=x86 PROCESSOR_IDENTIFIER=x86 Family 6 Model 15 Stepping 2, GenuineIntel PROCESSOR_LEVEL=6 PROCESSOR_REVISION=0f02 ProgramFiles=C:\Program Files PROMPT=$P$G SESSIONNAME=Console SystemDrive=C: SystemRoot=C:\WINDOWS TEMP=C:\DOCUME~1\MICHAL~1\USTAWI~1\Temp TMP=C:\DOCUME~1\MICHAL~1\USTAWI~1\Temp USERDOMAIN=MMM USERNAME=Michal-Magda USERPROFILE=C:\Documents and Settings\Michal-Magda windir=C:\WINDOWS -- User Profiles ---------------------------------------------------------------- XXX (admin) -- Add/Remove Programs ---------------------------------------------------------- --> rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf Acrobat.com --> C:\Program Files\Common Files\Adobe AIR\Versions\1.0\Adobe AIR Application Installer.exe -uninstall com.adobe.mauby 4875E02D9FB21EE389F73B8D1702B320485DF8CE.1 Acrobat.com --> MsiExec.exe /I{77DCDCE3-2DED-62F3-8154-05E745472D07} Adobe AIR --> C:\Program Files\Common Files\Adobe AIR\Versions\1.0\Adobe AIR Updater.exe -arp:uninstall Adobe AIR --> MsiExec.exe /I{00203668-8170-44A0-BE44-B632FA4D780F} Adobe Reader 9 --> MsiExec.exe /I{AC76BA86-7AD7-1033-7B44-A90000000001} AirLive WT-2000PCI --> C:\Program Files\InstallShield Installation Information\{FAB1F336-1B7C-4057-A7BC-2922CD82A781}\setup.exe -runfromtemp -l0x0009 -removeonly Archiwizator WinRAR --> C:\Program Files\WinRAR\uninstall.exe Ashampoo WinOptimizer 5.00 --> "C:\Program Files\Ashampoo\Ashampoo WinOptimizer 5\unins000.exe" µTorrent --> "C:\Program Files\uTorrent\uTorrent.exe" /UNINSTALL ESET NOD32 Antivirus --> MsiExec.exe /I{20E26A4C-07BA-4BED-9FB3-145CF0304383} Gadu-Gadu 7.7 --> C:\Program Files\Gadu-Gadu\Setup.exe HijackThis 1.99.1 --> D:\Michał_pliki\System_rec\hijackthis\HijackThis.exe /uninstall IrfanView (remove only) --> C:\Program Files\IrfanView\iv_uninstall.exe Java 6 Update 11 --> MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216011FF} K-Lite Codec Pack 4.4.2 (Full) --> "C:\Program Files\K-Lite Codec Pack\unins000.exe" Marvell Miniport Driver --> C:\Program Files\Marvell\Miniport Driver\Uninst.exe Microsoft Office Professional Edition 2003 --> MsiExec.exe /I{90110415-6000-11D3-8CFE-0150048383C9} Mozilla Firefox (3.0.5) --> C:\Program Files\Mozilla Firefox\uninstall\helper.exe NOD32 v3.0.642 FiX1.2 by TemDono (31 days remaining forever up --> "C:\Program Files\ESET\ESET NOD32 Antivirus\unins000.exe" NVIDIA Drivers --> C:\WINDOWS\system32\nvuninst.exe UninstallGUI Panda ActiveScan 2.0 --> C:\Program Files\Panda Security\ActiveScan 2.0\as2uninst.exe Real Alternative 1.9.0 --> "C:\Program Files\Real Alternative\unins000.exe" SubEdit-Player --> "C:\Program Files\SubEdit-Player\unins000.exe" Winamp --> "C:\Program Files\Winamp\UninstWA.exe" Windows XP Service Pack 3 --> "C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe" -- End of ComboScan: finished at 2008-12-30 at 17:25:11 ------------------------- Jakieś sugestie? Pzdr Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
Kolobos Opublikowano 30 Grudnia 2008 Zgłoś Opublikowano 30 Grudnia 2008 Daj log z Combofix. Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
JaX_CCC Opublikowano 31 Grudnia 2008 Zgłoś Opublikowano 31 Grudnia 2008 » Naciśnij aby pokazać/ukryć tekst oznaczony jako spoiler « - ComboFix ComboFix 08-12-30.02 - Michal-Magda 2008-12-31 9:10:22.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.3.1250.1.1045.18.2046.1692 [GMT 1:00] Uruchomiony z: d:\pobieralnia\ComboFix.exe * Utworzono nowy punkt przywracania * Resident AV is active . ((((((((((((((((((((((((((((((((((((((( Usunięto ))))))))))))))))))))))))))))))))))))))))))))))))) . C:\resycled c:\resycled\boot.com D:\Autorun.inf D:\resycled d:\resycled\boot.com . ((((((((((((((((((((((((( Pliki utworzone od 2008-11-28 do 2008-12-31 ))))))))))))))))))))))))))))))) . 2008-12-30 17:58 . 2008-12-30 17:58 <DIR> d-------- c:\program files\Lavasoft 2008-12-30 17:58 . 2008-12-30 17:59 <DIR> d-------- c:\documents and settings\All Users\Dane aplikacji\Lavasoft 2008-12-30 17:57 . 2008-12-30 17:57 <DIR> d-------- c:\program files\Common Files\Wise Installation Wizard 2008-12-30 17:24 . 2008-12-30 17:25 <DIR> d-------- C:\ComboScan 2008-12-30 09:29 . 2008-12-30 09:29 <DIR> d-------- c:\program files\Nero 2008-12-30 09:11 . 2008-03-03 14:25 5,702 --ah----- c:\windows\nod32restoretemdono.reg 2008-12-30 09:11 . 2008-03-03 18:21 568 --ah----- c:\windows\nod32fixtemdono.reg 2008-12-30 09:09 . 2008-12-30 09:09 <DIR> d-------- c:\documents and settings\All Users\Dane aplikacji\ESET 2008-12-30 08:53 . 2008-06-19 17:24 28,544 --a------ c:\windows\system32\drivers\pavboot.sys 2008-12-30 08:50 . 2008-12-30 08:50 <DIR> d-------- c:\program files\Panda Security 2008-12-30 08:20 . 2008-12-30 08:23 <DIR> d-------- c:\program files\uTorrent 2008-12-30 08:20 . 2008-12-31 09:08 <DIR> d-------- c:\documents and settings\Michal-Magda\Dane aplikacji\uTorrent 2008-12-30 07:54 . 2008-12-30 07:54 <DIR> d-------- c:\program files\K-Lite Codec Pack 2008-12-30 07:48 . 2008-12-30 07:48 21,419 --a------ c:\windows\system32\drivers\AegisP.sys 2008-12-30 07:47 . 2008-12-30 07:47 <DIR> d-------- c:\program files\OVISLINK 2008-12-30 07:47 . 2008-12-30 07:47 <DIR> d--h----- c:\program files\InstallShield Installation Information 2008-12-30 07:47 . 2008-12-30 07:47 <DIR> d-------- c:\documents and settings\Michal-Magda\Dane aplikacji\InstallShield 2008-12-30 07:47 . 2007-07-27 08:10 483,968 --a------ c:\windows\system32\drivers\rt61.sys 2008-12-30 07:47 . 2006-11-29 11:30 8,192 --a------ c:\windows\system32\rt2661.bin 2008-12-30 07:47 . 2006-11-29 11:30 8,192 --a------ c:\windows\system32\rt2561s.bin 2008-12-30 07:47 . 2006-11-29 11:30 8,192 --a------ c:\windows\system32\rt2561.bin 2008-12-30 07:31 . 2008-12-30 07:31 <DIR> d-------- c:\documents and settings\Michal-Magda\Dane aplikacji\Media Player Classic 2008-12-29 19:46 . 2003-06-19 01:31 17,920 --a------ c:\windows\system32\mdimon.dll 2008-12-29 19:46 . 2008-12-29 19:46 421 --a------ c:\windows\ODBC.INI 2008-12-29 19:45 . 2008-12-29 19:45 <DIR> d-------- c:\windows\SHELLNEW 2008-12-29 19:43 . 2008-12-29 19:43 <DIR> dr-h----- C:\MSOCache 2008-12-29 19:41 . 2008-12-30 09:31 8,192 --ahs---- c:\windows\Thumbs.db 2008-12-29 19:39 . 2008-12-29 19:39 <DIR> d-------- c:\program files\Ashampoo 2008-12-29 19:28 . 2008-12-29 19:28 <DIR> d-------- c:\documents and settings\Michal-Magda\Dane aplikacji\Gadu-Gadu 2008-12-29 19:25 . 2008-12-29 19:25 <DIR> d-------- c:\program files\Gadu-Gadu 2008-12-29 19:25 . 2008-12-29 20:05 <DIR> d-------- c:\documents and settings\Michal-Magda\Gadu-Gadu 2008-12-29 19:09 . 2008-12-29 19:09 4,212 ---h----- c:\windows\system32\zllictbl.dat 2008-12-29 19:06 . 2008-12-29 19:40 <DIR> d-------- c:\windows\Internet Logs 2008-12-29 19:06 . 2008-12-29 19:06 <DIR> d-------- c:\program files\Zone Labs 2008-12-29 19:03 . 2008-04-14 21:35 58,880 --a------ c:\windows\system32\drivers\redbook.sys 2008-12-29 19:03 . 2008-04-14 21:25 23,296 --a------ c:\windows\system32\drivers\mouclass.sys 2008-12-29 19:03 . 2001-10-26 17:57 12,160 --a------ c:\windows\system32\drivers\mouhid.sys 2008-12-29 19:03 . 2008-04-14 00:15 10,624 --a------ c:\windows\system32\drivers\gameenum.sys 2008-12-29 19:03 . 2008-04-14 00:15 10,368 --a------ c:\windows\system32\drivers\hidusb.sys 2008-12-29 19:03 . 2001-08-17 21:19 3,712 --a------ c:\windows\system32\drivers\ctljystk.sys 2008-12-29 19:03 . 2001-08-17 22:59 3,072 --a------ c:\windows\system32\drivers\audstub.sys 2008-12-29 19:02 . 2008-12-30 17:59 <DIR> d--hs---- c:\windows\Installer 2008-12-29 19:02 . 2008-12-30 17:22 763,990 --a------ c:\windows\system32\PerfStringBackup.INI 2008-12-29 19:02 . 2008-04-14 22:50 77,312 --a------ c:\windows\system32\usbui.dll 2008-12-29 19:01 . 2008-12-29 19:01 <DIR> dr-h----- c:\documents and settings\Default User\Ustawienia lokalne 2008-12-29 19:01 . 2008-12-29 19:01 <DIR> d-------- c:\documents and settings\Default User\Ulubione 2008-12-29 19:01 . 2008-12-29 18:06 <DIR> d--h----- c:\documents and settings\Default User\Szablony 2008-12-29 19:01 . 2008-12-29 19:01 <DIR> d-------- c:\documents and settings\Default User\Pulpit 2008-12-29 19:01 . 2008-12-29 19:01 <DIR> d-------- c:\documents and settings\Default User\Moje dokumenty 2008-12-29 19:01 . 2008-12-29 19:01 <DIR> dr------- c:\documents and settings\Default User\Menu Start 2008-12-29 19:01 . 2008-12-29 19:01 <DIR> dr-h----- c:\documents and settings\Default User\Dane aplikacji 2008-12-29 19:01 . 2008-12-29 19:01 <DIR> d-------- c:\documents and settings\All Users\Ulubione 2008-12-29 19:01 . 2008-12-29 19:01 <DIR> d--h----- c:\documents and settings\All Users\Szablony 2008-12-29 19:01 . 2008-12-30 18:07 <DIR> d-------- c:\documents and settings\All Users\Pulpit 2008-12-29 19:01 . 2008-12-29 19:00 <DIR> dr------- c:\documents and settings\All Users\Menu Start 2008-12-29 19:01 . 2008-12-29 18:07 <DIR> dr------- c:\documents and settings\All Users\Dokumenty 2008-12-29 19:01 . 2008-12-30 17:58 <DIR> dr-h----- c:\documents and settings\All Users\Dane aplikacji 2008-12-29 19:00 . 2008-12-30 09:09 <DIR> d-------- c:\program files\Eset 2008-12-29 19:00 . 2008-12-29 18:11 261 --a------ c:\windows\system32\$winnt$.inf . (((((((((((((((((((((((((((((((((((((((( Sekcja Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-12-30 06:43 --------- d-----w c:\program files\Common Files\InstallShield 2008-12-30 06:34 --------- d-----w c:\program files\SubEdit-Player 2008-12-29 18:41 --------- d-----w c:\program files\Real Alternative 2008-12-29 17:57 --------- d-----w c:\program files\IrfanView 2008-12-29 17:52 --------- d-----w c:\documents and settings\Michal-Magda\Dane aplikacji\Winamp 2008-12-29 17:45 410,984 ----a-w c:\windows\system32\deploytk.dll 2008-12-29 17:45 --------- d-----w c:\program files\Java 2008-12-29 17:42 --------- d-----w c:\program files\Common Files\Adobe AIR 2008-12-29 17:42 --------- d-----w c:\program files\Common Files\Adobe 2008-12-29 17:41 --------- d-----w c:\program files\Winamp 2008-12-29 17:36 --------- d-----w c:\program files\Marvell 2008-12-29 17:33 --------- d-----w c:\program files\kX Audio Driver 2008-12-29 17:25 --------- d-----w c:\program files\Intel 2008-12-29 17:09 --------- d-----w c:\program files\microsoft frontpage 2008-12-29 17:08 --------- d-----w c:\program files\Usługi online 2008-12-08 11:53 57,344 ----a-w c:\windows\system32\ff_vfw.dll 2008-12-07 18:08 795,648 ----a-w c:\windows\system32\xvidcore.dll 2008-12-07 18:08 130,048 ----a-w c:\windows\system32\xvidvfw.dll 2008-11-29 11:41 2,294,291 ----a-w c:\windows\system32\x264vfw.dll 2008-10-28 22:35 684,032 ----a-w c:\windows\system32\divx.dll 2008-09-25 08:03 81,920 ----a-w c:\windows\system32\dpl100.dll 2008-09-19 21:57 3,596,288 ----a-w c:\windows\system32\qt-dx331.dll . ((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-06-18 13541376] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-06-18 86016] "kX Mixer"="c:\windows\system32\kxmixer.exe" [2008-04-05 500224] "egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2008-08-18 1447168] "nwiz"="nwiz.exe" [2008-06-18 c:\windows\system32\nwiz.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] c:\documents and settings\All Users\Menu Start\Programy\Autostart\ Ad-Watch.lnk - c:\program files\Lavasoft\Ad-Aware\Ad-Watch.exe [2008-05-14 2468200] AirLive 802.11G Wireless Utility.lnk - c:\program files\OVISLINK\Common\AirliveUI.exe [2008-12-30 1290240] Skr˘t do RealTemp.lnk - d:\micha_pliki\Download\RealTemp_2.70\RealTemp_2.70\RealTemp.exe [2008-08-18 110592] uTorrent.lnk - c:\program files\uTorrent\uTorrent.exe [2008-12-30 270128] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer] "NoResolveTrack"= 1 (0x1) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "VIDC.X264"= x264vfw.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher] --a------ 2008-06-12 02:38 34672 c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] --a------ 2008-12-29 18:45 136600 c:\program files\Java\jre6\bin\jusched.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 "UpdatesDisableNotify"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Program Files\\uTorrent\\uTorrent.exe"= R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [2008-12-30 28544] R1 epfwtdir;epfwtdir;c:\windows\system32\DRIVERS\epfwtdir.sys [2008-08-18 34312] R2 ekrn;Eset Service;"c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe" [2008-08-18 468224] R3 kxwdmdrv;kX WDM Driver Service;c:\windows\system32\drivers\kx.sys [2008-04-05 568320] S2 NOD32FiXTemDono;Eset Nod32 Boot;c:\windows\system32\regedt32.exe /s c:\windows\nod32fixtemdono.reg [2004-08-04 3584] *Newly Created Service* - AD-WATCH_REAL-TIME_SCANNER *Newly Created Service* - AD-WATCH_REGISTRY_FILTER *Newly Created Service* - CATCHME *Newly Created Service* - PROCEXP90 . - - - - USUNIĘTO PUSTE WPISY - - - - MSConfigStartUp-WinampAgent - c:\program files\Winamp\winampa.exe . ------- Skan uzupełniający ------- . uInternet Connection Wizard,ShellNext = hxxp://linktarget.ashampoo.com/linktarget/?product=1906&version=5.00&edition=eid=3691&syslang=pl-pl&lang=en-us&target=trial IE: E&ksport do programu Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 FF - ProfilePath - c:\documents and settings\Michal-Magda\Dane aplikacji\Mozilla\Firefox\Profiles\lkiw1cez.default\ FF - prefs.js: browser.startup.homepage - hxxp://www.wp.pl/ . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-12-31 09:11:09 Windows 5.1.2600 Dodatek Service Pack 3 NTFS skanowanie ukrytych procesów ... skanowanie ukrytych wpisów autostartu ... skanowanie ukrytych plików ... skanowanie pomyślnie ukończone ukryte pliki: 0 ************************************************************************** . Czas ukończenia: 2008-12-31 9:11:31 ComboFix-quarantined-files.txt 2008-12-31 08:11:29 Przed: 89 408 987 136 bajtów wolnych Po: 89,401,458,688 bajtów wolnych WindowsXP-KB310994-SP2-Pro-BootDisk-PLK.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect 178 Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
ULLISSES Opublikowano 31 Grudnia 2008 Zgłoś Opublikowano 31 Grudnia 2008 Z logu wynika, że ComboFix usunął trochę robactwa. Czy to rozwiązało problem? Czy masz przypadkiem 2 antywirusy? Jeśli tak, to mam nadzieję, że nie działają jednocześnie. Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
JaX_CCC Opublikowano 31 Grudnia 2008 Zgłoś Opublikowano 31 Grudnia 2008 ComboFix usunął w/w problem. Mam Nod 32 wersja 3.0.672.0 (antywirus i antyspyware) Ad-aware 2008 7.1.0.11 Pro Ad-Watch z w/w pakietu cały czas działa Nod32 i ad-watch, czyżby one nie mogły razem ? Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
ULLISSES Opublikowano 31 Grudnia 2008 Zgłoś Opublikowano 31 Grudnia 2008 One mogą, ale w logi widziałem Pandę. Zapewne jest to pusty katalog, który został po jej odinstalowaniu. Katalog możesz spokojnie usunąć. Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
JaX_CCC Opublikowano 31 Grudnia 2008 Zgłoś Opublikowano 31 Grudnia 2008 wiem o co chodzi. to duperelki ktore się zainstalowały jak chciałem skanować pandą on-line. wykasowałem je już. dzięki za pomoc. Pzdr Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
ULLISSES Opublikowano 31 Grudnia 2008 Zgłoś Opublikowano 31 Grudnia 2008 Skoro to było z Pandy Online to mogło zostać. Teraz trzeba będzie od nowa instalować, gdy będziesz chciał użyć Pandy Online. Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
JaX_CCC Opublikowano 17 Stycznia 2009 Zgłoś Opublikowano 17 Stycznia 2009 Przeskanowałem kompa Dr.WEB CureIt! i oto co znalazł 8O » Naciśnij aby pokazać/ukryć tekst oznaczony jako spoiler « - Dr.WEB A0033962.com D:\System Volume Information\_restore{089D4BF9-058F-455B-9CB8-406FC19DBBB4}\RP77 Prawdopodobnie Trojan.Packed.365 Niewyleczalny.Usunięty. A0034023.com D:\System Volume Information\_restore{089D4BF9-058F-455B-9CB8-406FC19DBBB4}\RP77 Prawdopodobnie Trojan.Packed.365 Niewyleczalny.Usunięty. A0034041.com D:\System Volume Information\_restore{089D4BF9-058F-455B-9CB8-406FC19DBBB4}\RP77 Prawdopodobnie Trojan.Packed.365 Niewyleczalny.Usunięty. A0034118.com D:\System Volume Information\_restore{089D4BF9-058F-455B-9CB8-406FC19DBBB4}\RP78 Prawdopodobnie Trojan.Packed.365 Niewyleczalny.Usunięty. A0000073.exe\SDFix\apps\Process.exe D:\System Volume Information\_restore{411C7EA5-87EC-4C35-8BE1-B921E1603E3B}\RP1\A0000073.exe Tool.Prockill A0000073.exe\SDFix\apps\HPFix.reg D:\System Volume Information\_restore{411C7EA5-87EC-4C35-8BE1-B921E1603E3B}\RP1\A0000073.exe Trojan.StartPage.1505 A0000073.exe\SDFix\apps\HPFix2.reg D:\System Volume Information\_restore{411C7EA5-87EC-4C35-8BE1-B921E1603E3B}\RP1\A0000073.exe Trojan.StartPage.1505 A0000073.exe D:\System Volume Information\_restore{411C7EA5-87EC-4C35-8BE1-B921E1603E3B}\RP1 Archiwum zawierające zainfekowane obiekty Przeniesiony. dorzucam ComboFix » Naciśnij aby pokazać/ukryć tekst oznaczony jako spoiler « - "ComboFix" ComboFix 09-01-16.03 - Michal-Magda 2009-01-17 12:28:38.3 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.3.1250.1.1045.18.2046.1531 [GMT 1:00] Uruchomiony z: d:\michał_pliki\System_rec\ComboFix.exe AV: ESET NOD32 Antivirus 3.0 *On-access scanning disabled* (Outdated) * Utworzono nowy punkt przywracania * Resident AV is active . ((((((((((((((((((((((((((((((((((((((( Usunięto ))))))))))))))))))))))))))))))))))))))))))))))))) . C:\resycled D:\resycled . ((((((((((((((((((((((((( Pliki utworzone od 2008-12-17 do 2009-01-17 ))))))))))))))))))))))))))))))) . 2009-01-17 11:23 . 2009-01-17 12:09 <DIR> d-------- c:\documents and settings\Michal-Magda\DoctorWeb 2009-01-17 10:54 . 2009-01-17 10:54 <DIR> d-------- c:\windows\Sun 2009-01-14 19:35 . 2009-01-17 10:56 8,192 --ahs---- c:\windows\Thumbs.db 2009-01-14 18:42 . 2009-01-14 18:42 <DIR> d-------- c:\program files\Common Files\Nero 2009-01-14 18:42 . 2009-01-14 18:42 <DIR> d-------- c:\documents and settings\Michal-Magda\Dane aplikacji\Nero 2009-01-14 18:42 . 2009-01-14 18:42 <DIR> d-------- c:\documents and settings\All Users\Dane aplikacji\Nero 2009-01-05 20:08 . 2008-04-14 00:15 26,368 --a--c--- c:\windows\system32\dllcache\usbstor.sys 2008-12-30 17:58 . 2008-12-30 17:58 <DIR> d-------- c:\program files\Lavasoft 2008-12-30 17:58 . 2008-12-30 17:59 <DIR> d-------- c:\documents and settings\All Users\Dane aplikacji\Lavasoft 2008-12-30 17:57 . 2008-12-30 17:57 <DIR> d-------- c:\program files\Common Files\Wise Installation Wizard 2008-12-30 09:29 . 2008-12-30 09:29 <DIR> d-------- c:\program files\Nero 2008-12-30 09:11 . 2008-03-03 14:25 5,702 --ah----- c:\windows\nod32restoretemdono.reg 2008-12-30 09:11 . 2008-03-03 18:21 568 --ah----- c:\windows\nod32fixtemdono.reg 2008-12-30 09:09 . 2008-12-30 09:09 <DIR> d-------- c:\documents and settings\All Users\Dane aplikacji\ESET 2008-12-30 08:50 . 2008-12-31 10:41 <DIR> d-------- c:\program files\Panda Security 2008-12-30 08:20 . 2009-01-14 19:12 <DIR> d-------- c:\program files\uTorrent 2008-12-30 08:20 . 2009-01-17 12:27 <DIR> d-------- c:\documents and settings\Michal-Magda\Dane aplikacji\uTorrent 2008-12-30 07:54 . 2008-12-30 07:54 <DIR> d-------- c:\program files\K-Lite Codec Pack 2008-12-30 07:48 . 2008-12-30 07:48 21,419 --a------ c:\windows\system32\drivers\AegisP.sys 2008-12-30 07:47 . 2008-12-30 07:47 <DIR> d-------- c:\program files\OVISLINK 2008-12-30 07:47 . 2008-12-30 07:47 <DIR> d--h----- c:\program files\InstallShield Installation Information 2008-12-30 07:47 . 2008-12-30 07:47 <DIR> d-------- c:\documents and settings\Michal-Magda\Dane aplikacji\InstallShield 2008-12-30 07:47 . 2007-07-27 08:10 483,968 --a------ c:\windows\system32\drivers\rt61.sys 2008-12-30 07:47 . 2006-11-29 11:30 8,192 --a------ c:\windows\system32\rt2661.bin 2008-12-30 07:47 . 2006-11-29 11:30 8,192 --a------ c:\windows\system32\rt2561s.bin 2008-12-30 07:47 . 2006-11-29 11:30 8,192 --a------ c:\windows\system32\rt2561.bin 2008-12-30 07:31 . 2008-12-30 07:31 <DIR> d-------- c:\documents and settings\Michal-Magda\Dane aplikacji\Media Player Classic 2008-12-29 19:46 . 2003-06-19 01:31 17,920 --a------ c:\windows\system32\mdimon.dll 2008-12-29 19:46 . 2008-12-29 19:46 421 --a------ c:\windows\ODBC.INI 2008-12-29 19:45 . 2008-12-29 19:45 <DIR> d-------- c:\windows\SHELLNEW 2008-12-29 19:43 . 2008-12-29 19:43 <DIR> dr-h----- C:\MSOCache 2008-12-29 19:39 . 2008-12-29 19:39 <DIR> d-------- c:\program files\Ashampoo 2008-12-29 19:28 . 2008-12-29 19:28 <DIR> d-------- c:\documents and settings\Michal-Magda\Dane aplikacji\Gadu-Gadu 2008-12-29 19:25 . 2008-12-29 19:25 <DIR> d-------- c:\program files\Gadu-Gadu 2008-12-29 19:25 . 2008-12-29 20:05 <DIR> d-------- c:\documents and settings\Michal-Magda\Gadu-Gadu 2008-12-29 19:09 . 2008-12-29 19:09 4,212 ---h----- c:\windows\system32\zllictbl.dat 2008-12-29 19:06 . 2008-12-29 19:40 <DIR> d-------- c:\windows\Internet Logs 2008-12-29 19:06 . 2008-12-29 19:06 <DIR> d-------- c:\program files\Zone Labs 2008-12-29 19:03 . 2008-04-14 21:35 58,880 --a------ c:\windows\system32\drivers\redbook.sys 2008-12-29 19:03 . 2008-04-14 21:25 23,296 --a------ c:\windows\system32\drivers\mouclass.sys 2008-12-29 19:03 . 2001-10-26 17:57 12,160 --a------ c:\windows\system32\drivers\mouhid.sys 2008-12-29 19:03 . 2008-04-14 00:15 10,624 --a------ c:\windows\system32\drivers\gameenum.sys 2008-12-29 19:03 . 2008-04-14 00:15 10,368 --a------ c:\windows\system32\drivers\hidusb.sys 2008-12-29 19:03 . 2001-08-17 21:19 3,712 --a------ c:\windows\system32\drivers\ctljystk.sys 2008-12-29 19:03 . 2001-08-17 22:59 3,072 --a------ c:\windows\system32\drivers\audstub.sys 2008-12-29 19:02 . 2008-12-30 17:59 <DIR> d--hs---- c:\windows\Installer 2008-12-29 19:02 . 2008-12-30 17:22 763,990 --a------ c:\windows\system32\PerfStringBackup.INI 2008-12-29 19:02 . 2008-04-14 22:50 77,312 --a------ c:\windows\system32\usbui.dll 2008-12-29 19:01 . 2008-12-29 19:01 <DIR> dr-h----- c:\documents and settings\Default User\Ustawienia lokalne 2008-12-29 19:01 . 2008-12-29 19:01 <DIR> d-------- c:\documents and settings\Default User\Ulubione 2008-12-29 19:01 . 2008-12-29 18:06 <DIR> d--h----- c:\documents and settings\Default User\Szablony 2008-12-29 19:01 . 2008-12-29 19:01 <DIR> d-------- c:\documents and settings\Default User\Pulpit 2008-12-29 19:01 . 2008-12-29 19:01 <DIR> d-------- c:\documents and settings\Default User\Moje dokumenty 2008-12-29 19:01 . 2008-12-29 19:01 <DIR> dr------- c:\documents and settings\Default User\Menu Start 2008-12-29 19:01 . 2008-12-29 19:01 <DIR> dr-h----- c:\documents and settings\Default User\Dane aplikacji 2008-12-29 19:01 . 2008-12-29 19:01 <DIR> d-------- c:\documents and settings\All Users\Ulubione 2008-12-29 19:01 . 2008-12-29 19:01 <DIR> d--h----- c:\documents and settings\All Users\Szablony 2008-12-29 19:01 . 2008-12-30 18:07 <DIR> d-------- c:\documents and settings\All Users\Pulpit 2008-12-29 19:01 . 2008-12-29 19:00 <DIR> dr------- c:\documents and settings\All Users\Menu Start 2008-12-29 19:01 . 2008-12-29 18:07 <DIR> dr------- c:\documents and settings\All Users\Dokumenty 2008-12-29 19:01 . 2009-01-14 19:12 <DIR> dr-h----- c:\documents and settings\All Users\Dane aplikacji 2008-12-29 19:00 . 2008-12-30 09:09 <DIR> d-------- c:\program files\Eset 2008-12-29 19:00 . 2008-12-29 18:11 261 --a------ c:\windows\system32\$winnt$.inf . (((((((((((((((((((((((((((((((((((((((( Sekcja Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-01-02 08:28 --------- d-----w c:\program files\Real Alternative 2008-12-30 06:43 --------- d-----w c:\program files\Common Files\InstallShield 2008-12-30 06:34 --------- d-----w c:\program files\SubEdit-Player 2008-12-29 17:57 --------- d-----w c:\program files\IrfanView 2008-12-29 17:52 --------- d-----w c:\documents and settings\Michal-Magda\Dane aplikacji\Winamp 2008-12-29 17:45 410,984 ----a-w c:\windows\system32\deploytk.dll 2008-12-29 17:45 --------- d-----w c:\program files\Java 2008-12-29 17:42 --------- d-----w c:\program files\Common Files\Adobe AIR 2008-12-29 17:42 --------- d-----w c:\program files\Common Files\Adobe 2008-12-29 17:41 --------- d-----w c:\program files\Winamp 2008-12-29 17:36 --------- d-----w c:\program files\Marvell 2008-12-29 17:33 --------- d-----w c:\program files\kX Audio Driver 2008-12-29 17:25 --------- d-----w c:\program files\Intel 2008-12-29 17:09 --------- d-----w c:\program files\microsoft frontpage 2008-12-29 17:08 --------- d-----w c:\program files\Usługi online 2008-12-08 11:53 57,344 ----a-w c:\windows\system32\ff_vfw.dll 2008-12-07 18:08 795,648 ----a-w c:\windows\system32\xvidcore.dll 2008-12-07 18:08 130,048 ----a-w c:\windows\system32\xvidvfw.dll 2008-11-29 11:41 2,294,291 ----a-w c:\windows\system32\x264vfw.dll 2008-10-28 22:35 684,032 ----a-w c:\windows\system32\divx.dll . ((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-06-18 13541376] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-06-18 86016] "kX Mixer"="c:\windows\system32\kxmixer.exe" [2008-04-05 500224] "egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2008-08-18 1447168] "nwiz"="nwiz.exe" [2008-06-18 c:\windows\system32\nwiz.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] c:\documents and settings\All Users\Menu Start\Programy\Autostart\ Ad-Watch.lnk - c:\program files\Lavasoft\Ad-Aware\Ad-Watch.exe [2008-05-14 2468200] AirLive 802.11G Wireless Utility.lnk - c:\program files\OVISLINK\Common\AirliveUI.exe [2008-12-30 1290240] Skr˘t do RealTemp.lnk - d:\micha_pliki\Download\RealTemp_2.70\RealTemp_2.70\RealTemp.exe [2008-08-18 110592] uTorrent.lnk - c:\program files\uTorrent\uTorrent.exe [2008-12-30 270128] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer] "NoResolveTrack"= 1 (0x1) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "VIDC.X264"= x264vfw.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher] --a------ 2008-06-12 02:38 34672 c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] --a------ 2008-12-29 18:45 136600 c:\program files\Java\jre6\bin\jusched.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 "UpdatesDisableNotify"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Program Files\\uTorrent\\uTorrent.exe"= R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [2008-08-18 34312] R3 kxwdmdrv;kX WDM Driver Service;c:\windows\system32\drivers\kx.sys [2008-04-05 568320] R4 ekrn;Eset Service;c:\program files\Eset\ESET NOD32 Antivirus\ekrn.exe [2008-08-18 468224] S4 NOD32FiXTemDono;Eset Nod32 Boot;c:\windows\system32\regedt32.exe [2004-08-04 3584] --- Inne Usługi/Sterowniki w Pamięci --- *NewlyCreated* - AD-WATCH_REAL-TIME_SCANNER *NewlyCreated* - AD-WATCH_REGISTRY_FILTER *Deregistered* - DwShield00003269 . . ------- Skan uzupełniający ------- . uInternet Connection Wizard,ShellNext = hxxp://linktarget.ashampoo.com/linktarget/?product=1906&version=5.00&edition=eid=3691&syslang=pl-pl&lang=en-us&target=trial IE: E&ksport do programu Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 FF - ProfilePath - c:\documents and settings\Michal-Magda\Dane aplikacji\Mozilla\Firefox\Profiles\lkiw1cez.default\ FF - prefs.js: browser.startup.homepage - hxxp://www.wp.pl/ . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-01-17 12:29:21 Windows 5.1.2600 Dodatek Service Pack 3 NTFS skanowanie ukrytych procesów ... skanowanie ukrytych wpisów autostartu ... skanowanie ukrytych plików ... skanowanie pomyślnie ukończone ukryte pliki: 0 ************************************************************************** . Czas ukończenia: 2009-01-17 12:30:04 ComboFix-quarantined-files.txt 2009-01-17 11:30:02 Przed: 90 652 241 920 bajtów wolnych Po: 90,700,713,984 bajtów wolnych 166 Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
Kolobos Opublikowano 17 Stycznia 2009 Zgłoś Opublikowano 17 Stycznia 2009 Wylacz na chwile przywracanie systemu. Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
JaX_CCC Opublikowano 19 Stycznia 2009 Zgłoś Opublikowano 19 Stycznia 2009 wyłączyłem 8O i ?? Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
Kolobos Opublikowano 20 Stycznia 2009 Zgłoś Opublikowano 20 Stycznia 2009 To wszystko. Pamietaj zeby sie zabezpieczyc: http://www.searchengines.pl/Infekcje-z-pen...ych-t94761.html wykonaj punkt 1 oraz 3, pomysl tez nad 4 z czesci dotyczacej zapobiegania, na dole strony. Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
