WINDOWS/system32/drivers/ncahssthtlfesca.sys hidden file
i taki sam tylko, że hidden driver file
Czy usunięcie ich za pomocą tego programu jest bezpieczne??
Aktualizacje na programosy.pl:
YT Downloader • Cent Browser • R-Drive Image • Chromium • Kaspersky Rescue Disk • Vim • SmartFTP • SIW (System Info) • DBeaver
-
- Ogłoszenie:
Avg anti rootkit -prośba o pomoc
14 posty(ów) • Strona 1 z 1
Avg anti rootkit -prośba o pomoc
przez Woland 23 Mar 2009, 15:54
WINDOWS/system32/drivers/ncahssthtlfesca.sys hidden file
i taki sam tylko, że hidden driver file
Czy usunięcie ich za pomocą tego programu jest bezpieczne??
Avg anti rootkit -prośba o pomoc
przez wojtas 23 Mar 2009, 19:55
przesaknuj ten plik tu i daj raporty...
http://virusscan.jotti.org/
http://www.virustotal.com/
oraz log z combofixa
http://virusscan.jotti.org/
http://www.virustotal.com/
oraz log z combofixa
-
wojtas - *mod
- Posty: 18165
- Dołączenie: 13 Sty 2006, 16:00
- Miejscowość: Krzeszyce
- Pochwały: 1656
Avg anti rootkit -prośba o pomoc
przez Woland 25 Mar 2009, 18:47
Do drugim skanowaniu AVG nie widział już tych plików niestety 
Log z combofix:
Log z combofix:
- Kod: Zaznacz wszystko
ComboFix 09-03-23.01 - KOMP 2009-03-25 17:38:40.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.1.1250.1.1045.18.255.115 [GMT 1:00]
Uruchomiony z: c:\program files\ComboFix.exe
.
((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\system32\digeste.dll
.
((((((((((((((((((((((((( Pliki utworzone od 2009-02-25 do 2009-03-25 )))))))))))))))))))))))))))))))
.
2009-03-24 13:24 . 2009-03-24 13:25 2,934,667 -ra------ c:\program files\ComboFix.exe
2009-03-13 12:58 . 2009-03-13 12:59 1,878,888 --a------ c:\program files\install_flash_player.exe
.
(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-23 08:23 --------- d-----w c:\program files\Lx_cats
2009-03-11 11:44 --------- d-----w c:\documents and settings\KOMP\Dane aplikacji\AdobeUM
2009-02-14 17:35 --------- d-----w c:\program files\PITy
2009-01-20 16:40 30,474,656 ----a-w c:\program files\setuppol.exe
2008-12-26 15:38 563,441 ----a-w C:\ZRCFont_Setup.exe
2008-06-25 16:25 49,607,536 ----a-w c:\program files\avg_free_stf_all_8_101a1327.exe
2007-11-02 20:20 3,763,031 ----a-w c:\program files\ffdshow_rev1376_20070728_xxl.exe
2007-09-20 19:21 2,155,208 ----a-w c:\program files\tcmd702a.exe
2007-09-13 17:06 16,706,160 ----a-w c:\program files\AdbeRdr60_enu_full.exe
2007-08-23 10:10 1,013,627 ----a-w c:\program files\wrar350.exe
2007-08-18 17:19 6,662,664 ----a-w c:\program files\Firefox Setup 2.0.0.6.exe
.
((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Gadu-Gadu"="c:\program files\Gadu-Gadu\gg.exe" [2005-03-31 790528]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"lxcemon.exe"="c:\program files\Lexmark 4300 Series\lxcemon.exe" [2005-08-02 192512]
"EzPrint"="c:\program files\Lexmark 4300 Series\ezprint.exe" [2005-07-26 94208]
"FaxCenterServer"="c:\program files\Lexmark Fax Solutions\fm3032.exe" [2005-07-12 299008]
"SmcService"="c:\progra~1\Sygate\SPF\smc.exe" [2004-10-15 2577632]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0\bin\jusched.exe" [2007-08-22 77824]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"!AVG Anti-Spyware"="c:\program files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 6731312]
"ISUSPM Startup"="c:\progra~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-06-16 221184]
"ISUSScheduler"="c:\program files\Common Files\InstallShield\UpdateService\issch.exe" [2004-06-16 81920]
"CorelDRAW Graphics Suite 11b"="c:\program files\Corel\Corel Graphics 12\Languages\PL\Programs\Registration.exe" [2004-06-22 733184]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-11-26 81000]
"LXCECATS"="c:\windows\system32\spool\DRIVERS\W32X86\3\LXCEtime.dll" [2005-07-20 73728]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2002-09-20 13312]
c:\documents and settings\All Users\Menu Start\Programy\Autostart\
Device Detector 3.lnk - c:\program files\Olympus\DeviceDetector\DevDtct2.exe [2008-02-29 114688]
Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-02-17 65588]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"HASPSrv"=2 (0x2)
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2009-01-20 111184]
S2 dugkfdoujy;dugkfdoujy;\??\c:\windows\System32\drivers\ncahssthtlfesca.sys --> c:\windows\System32\drivers\ncahssthtlfesca.sys [?]
S4 HASPSrv;HASPSrv;c:\windows\system32\HASPSrv.exe [2008-05-04 671744]
.
- - - - USUNIĘTO PUSTE WPISY - - - -
HKLM-Run-WinampAgent - c:\program files\Winamp\winampa.exe
.
------- Skan uzupełniający -------
.
uStart Page = hxxp://centra.elearning.pl/szkolenia/servlet/MainServlet?wbts:page=eis.start&
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\KOMP\Dane aplikacji\Mozilla\Firefox\Profiles\vudodb13.default\
FF - prefs.js: browser.search.selectedEngine - Allegro
FF - prefs.js: browser.startup.homepage - hxxp://www.google.pl/
FF - component: c:\program files\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll
FF - plugin: c:\program files\Java\jre1.6.0\bin\npjava11.dll
FF - plugin: c:\program files\Java\jre1.6.0\bin\npjava12.dll
FF - plugin: c:\program files\Java\jre1.6.0\bin\npjava13.dll
FF - plugin: c:\program files\Java\jre1.6.0\bin\npjava14.dll
FF - plugin: c:\program files\Java\jre1.6.0\bin\npjava32.dll
FF - plugin: c:\program files\Java\jre1.6.0\bin\npjpi160.dll
FF - plugin: c:\program files\Java\jre1.6.0\bin\npoji610.dll
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-25 17:40:34
Windows 5.1.2600 Dodatek Service Pack. 1 NTFS
skanowanie ukrytych procesów ...
skanowanie ukrytych wpisów autostartu ...
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
LXCECATS = rundll32 c:\windows\system32\spool\DRIVERS\W32X86\3\LXCEtime.dll,_RunDLLEntry@16???????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????
skanowanie ukrytych plików ...
skanowanie pomyślnie ukończone
ukryte pliki: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\vsdatant]
"ImagePath"=""
.
--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------
- - - - - - - > 'winlogon.exe'(388)
c:\windows\System32\ODBC32.dll
- - - - - - - > 'lsass.exe'(452)
c:\windows\System32\dssenh.dll
.
Czas ukończenia: 2009-03-25 17:44:04
ComboFix-quarantined-files.txt 2009-03-25 16:43:29
Przed: 30,588,399,616 bajtów wolnych
Po: 31,263,404,032 bajtów wolnych
winxpsp1_pl_pro_bf.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect
110
Ostatnio edytowany przez Woland, 25 Mar 2009, 20:23, edytowano w sumie 1 raz
Avg anti rootkit -prośba o pomoc
przez Okocza 25 Mar 2009, 19:00
Woland, popraw tagi code
eMachines E730G - Core i5-430M, 2GiB RAM, ATI Mobility Radeon HD5470, WD 320GiB; Cort Z-44,DR 0.09-0.42, Peavey Backstage
Mac OS X 10.7.4 Lion // Windows 7 Professional x64 // NIE POMAGAM NA PW/GG/E-MAIL
"Moje Ego i Anima spotykają się i wymieniają przepisami na ciasteczka" - Maynard James Keenan
Mac OS X 10.7.4 Lion // Windows 7 Professional x64 // NIE POMAGAM NA PW/GG/E-MAIL
"Moje Ego i Anima spotykają się i wymieniają przepisami na ciasteczka" - Maynard James Keenan
-
Okocza - ~user
- Posty: 8001
- Dołączenie: 19 Mar 2006, 11:53
- Pochwały: 406
-
Avg anti rootkit -prośba o pomoc
przez Okocza 25 Mar 2009, 21:20
Woland, log jest czysty...
eMachines E730G - Core i5-430M, 2GiB RAM, ATI Mobility Radeon HD5470, WD 320GiB; Cort Z-44,DR 0.09-0.42, Peavey Backstage
Mac OS X 10.7.4 Lion // Windows 7 Professional x64 // NIE POMAGAM NA PW/GG/E-MAIL
"Moje Ego i Anima spotykają się i wymieniają przepisami na ciasteczka" - Maynard James Keenan
Mac OS X 10.7.4 Lion // Windows 7 Professional x64 // NIE POMAGAM NA PW/GG/E-MAIL
"Moje Ego i Anima spotykają się i wymieniają przepisami na ciasteczka" - Maynard James Keenan
-
Okocza - ~user
- Posty: 8001
- Dołączenie: 19 Mar 2006, 11:53
- Pochwały: 406
-
Avg anti rootkit -prośba o pomoc
przez Woland 25 Mar 2009, 21:33
To niedobrze
W folderze Windows wyraźnie widzę takie podejrzane pliki jak SWSC.exe SWREG.exe i inne, które wg tego co jest napisane na różnych forach w Internecie są plikami jakiegoś mikrowirusa. Już rano kilka wywaliłem ręcznie ale są znowu
Może zeskanować jeszcze raz albo użyć HijackThis ??
W folderze Windows wyraźnie widzę takie podejrzane pliki jak SWSC.exe SWREG.exe i inne, które wg tego co jest napisane na różnych forach w Internecie są plikami jakiegoś mikrowirusa. Już rano kilka wywaliłem ręcznie ale są znowu
Może zeskanować jeszcze raz albo użyć HijackThis ??
Avg anti rootkit -prośba o pomoc
przez wojtas 25 Mar 2009, 21:38
pliki mogą pochodzić od sdfixa, lub combofixa wiec są ok
-
wojtas - *mod
- Posty: 18165
- Dołączenie: 13 Sty 2006, 16:00
- Miejscowość: Krzeszyce
- Pochwały: 1656
-
Avg anti rootkit -prośba o pomoc
przez Woland 25 Mar 2009, 21:51
jesteś pewien ?
bo te usunięte dziś rano miały datę powstania 23.III czyli wtedy kiedy komp się zaraził, a combofix był zainstalowany dopiero wczoraj i na dodatek przy wszystkich tych plikach jako firma podane jest SteelWerX, aja nie mam pojęcia co to jest .
bo te usunięte dziś rano miały datę powstania 23.III czyli wtedy kiedy komp się zaraził, a combofix był zainstalowany dopiero wczoraj i na dodatek przy wszystkich tych plikach jako firma podane jest SteelWerX, aja nie mam pojęcia co to jest .
Avg anti rootkit -prośba o pomoc
przez wojtas 25 Mar 2009, 22:06
Otworz notatnik i wklej w nim to:
>>Plik>>Zapisz jako... >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
-->
Ma się rozpocząć usuwanie. (i powstanie log).Daj ten log, który powstanie w trakcie usuwania.
File::
c:\windows\System32\drivers\ncahssthtlfesca.sys
Driver::
dugkfdoujy
>>Plik>>Zapisz jako... >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
-->
Ma się rozpocząć usuwanie. (i powstanie log).Daj ten log, który powstanie w trakcie usuwania.
-
wojtas - *mod
- Posty: 18165
- Dołączenie: 13 Sty 2006, 16:00
- Miejscowość: Krzeszyce
- Pochwały: 1656
-
Avg anti rootkit -prośba o pomoc
przez Woland 25 Mar 2009, 22:32
po pierwsze po uruchomieniu się combofix wyskoczyła mi informacja Error - win 32 only, szczegóły tu:
ale skanował dalej, zrestartował kompa, niestety mój komputer ma tendencję do restartowania się 2 razy zanim się uruchomi i log z usuwania nie powstał, bo w trakcie generowania komp się zrestartował drugi raz : (((
Zrobić normalny log z combofix jeszcze raz?
- Kod: Zaznacz wszystko
Killing 'n.com'
PUSHD "C:\32788R22FWJFW"
Liczba skopiowanych plików: 1.
IF NOT EXIST C:\WINDOWS\system32\cmd.exe GOTO Not_NT
VER 1>OsVer
GREP.cfexe -F "5.2." OsVer
IF 1 == 0 GOTO Not_NT
GREP.cfexe -F "5.1.2" OsVer
Microsoft Windows XP [Wersja 5.1.2600]
IF 0 == 0 GOTO NT
IF NOT DEFINED RKEY_ GOTO :EOF
CLS
CHCP 1252
Aktywna strona kodowa: 1252
START n.com infobox "Incompatible OS. ComboFix only works for workstations with Windows 2000 and XP~n~nOS incompatible. ComboFix ne fonctionne que pour Windows 2000 et XP~n~nOS niet compatibel. ComboFix kan enkel gebruikt worden voor Windows 2000 en XP~n~nInkompatibles Betriebssystem. ComboFix läuft nur unter Windows 2000 und XP~n~nKäyttöjärjestelmä ei ole yhteensopiva. ComboFix toimii vain Windows 2000- ja XP-käyttöjärjestelmissä.~n~nSistema Operativo Incompatˇvel. ComboFix apenas funciona em Windows 2000 e XP~n~nSO. Incompatible. ComboFix funciona únicamente en Windows 2000 y XP~n~nOS Incompatibile. Combofix funziona solo su windows 2000 e XP" "Error - Win32 only"
EXIT
ale skanował dalej, zrestartował kompa, niestety mój komputer ma tendencję do restartowania się 2 razy zanim się uruchomi i log z usuwania nie powstał, bo w trakcie generowania komp się zrestartował drugi raz : (((
Zrobić normalny log z combofix jeszcze raz?
Avg anti rootkit -prośba o pomoc
przez wojtas 25 Mar 2009, 22:44
tak zrób oraz . Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum
-
wojtas - *mod
- Posty: 18165
- Dołączenie: 13 Sty 2006, 16:00
- Miejscowość: Krzeszyce
- Pochwały: 1656
-
Avg anti rootkit -prośba o pomoc
przez Woland 26 Mar 2009, 12:18
combofix:
a Kaspersky jedyny zainfekowany plik widzi w folderze Qoobox
rozumiem, że mam wyrzucić ten folder do kosza ?
- Kod: Zaznacz wszystko
ComboFix 09-03-23.01 - KOMP 2009-03-26 11:08:47.4 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.1.1250.1.1045.18.255.113 [GMT 1:00]
Uruchomiony z: c:\program files\ComboFix.exe
.
((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
((((((((((((((((((((((((((((((((((((((( Sterowniki/Usługi )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_DUGKFDOUJY
-------\Service_dugkfdoujy
((((((((((((((((((((((((( Pliki utworzone od 2009-02-26 do 2009-03-26 )))))))))))))))))))))))))))))))
.
2009-03-24 13:24 . 2009-03-24 13:25 2,934,667 -ra------ c:\program files\ComboFix.exe
2009-03-13 12:58 . 2009-03-13 12:59 1,878,888 --a------ c:\program files\install_flash_player.exe
.
(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-25 17:07 --------- d-----w c:\program files\Lx_cats
2009-03-11 11:44 --------- d-----w c:\documents and settings\KOMP\Dane aplikacji\AdobeUM
2009-02-14 17:35 --------- d-----w c:\program files\PITy
2009-01-20 16:40 30,474,656 ----a-w c:\program files\setuppol.exe
2008-12-26 15:38 563,441 ----a-w C:\ZRCFont_Setup.exe
2008-06-25 16:25 49,607,536 ----a-w c:\program files\avg_free_stf_all_8_101a1327.exe
2007-11-02 20:20 3,763,031 ----a-w c:\program files\ffdshow_rev1376_20070728_xxl.exe
2007-09-20 19:21 2,155,208 ----a-w c:\program files\tcmd702a.exe
2007-09-13 17:06 16,706,160 ----a-w c:\program files\AdbeRdr60_enu_full.exe
2007-08-23 10:10 1,013,627 ----a-w c:\program files\wrar350.exe
2007-08-18 17:19 6,662,664 ----a-w c:\program files\Firefox Setup 2.0.0.6.exe
.
((((((((((((((((((((((((((((( SnapShot@2009-03-25_17.42.16.61 )))))))))))))))))))))))))))))))))))))))))
.
+ 2005-10-20 19:02:28 163,328 ----a-w c:\windows\ERDNT\subs\ERDNT.EXE
- 2009-03-25 14:31:37 16,384 ----a-w c:\windows\system32\config\systemprofile\Cookies\index.dat
+ 2009-03-26 08:44:59 16,384 ----a-w c:\windows\system32\config\systemprofile\Cookies\index.dat
- 2009-03-25 14:31:37 32,768 ----a-w c:\windows\system32\config\systemprofile\Ustawienia lokalne\Historia\History.IE5\index.dat
+ 2009-03-26 08:44:59 32,768 ----a-w c:\windows\system32\config\systemprofile\Ustawienia lokalne\Historia\History.IE5\index.dat
- 2009-03-25 14:31:37 49,152 ----a-w c:\windows\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat
+ 2009-03-26 08:44:59 49,152 ----a-w c:\windows\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat
- 2008-10-26 08:18:43 63,946 ----a-w c:\windows\system32\perfc009.dat
+ 2009-03-25 18:07:00 63,946 ----a-w c:\windows\system32\perfc009.dat
- 2008-10-26 08:18:43 79,076 ----a-w c:\windows\system32\perfc015.dat
+ 2009-03-25 18:07:00 79,076 ----a-w c:\windows\system32\perfc015.dat
- 2008-10-26 08:18:43 403,840 ----a-w c:\windows\system32\perfh009.dat
+ 2009-03-25 18:07:00 403,840 ----a-w c:\windows\system32\perfh009.dat
- 2008-10-26 08:18:43 459,802 ----a-w c:\windows\system32\perfh015.dat
+ 2009-03-25 18:07:01 459,802 ----a-w c:\windows\system32\perfh015.dat
+ 2009-03-26 08:45:18 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_474.dat
.
((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Gadu-Gadu"="c:\program files\Gadu-Gadu\gg.exe" [2005-03-31 790528]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"lxcemon.exe"="c:\program files\Lexmark 4300 Series\lxcemon.exe" [2005-08-02 192512]
"EzPrint"="c:\program files\Lexmark 4300 Series\ezprint.exe" [2005-07-26 94208]
"FaxCenterServer"="c:\program files\Lexmark Fax Solutions\fm3032.exe" [2005-07-12 299008]
"SmcService"="c:\progra~1\Sygate\SPF\smc.exe" [2004-10-15 2577632]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0\bin\jusched.exe" [2007-08-22 77824]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"!AVG Anti-Spyware"="c:\program files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 6731312]
"ISUSPM Startup"="c:\progra~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-06-16 221184]
"ISUSScheduler"="c:\program files\Common Files\InstallShield\UpdateService\issch.exe" [2004-06-16 81920]
"CorelDRAW Graphics Suite 11b"="c:\program files\Corel\Corel Graphics 12\Languages\PL\Programs\Registration.exe" [2004-06-22 733184]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-11-26 81000]
"LXCECATS"="c:\windows\system32\spool\DRIVERS\W32X86\3\LXCEtime.dll" [2005-07-20 73728]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2002-09-20 13312]
c:\documents and settings\All Users\Menu Start\Programy\Autostart\
Device Detector 3.lnk - c:\program files\Olympus\DeviceDetector\DevDtct2.exe [2008-02-29 114688]
Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-02-17 65588]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"HASPSrv"=2 (0x2)
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2009-01-20 111184]
S4 HASPSrv;HASPSrv;c:\windows\system32\HASPSrv.exe [2008-05-04 671744]
.
.
------- Skan uzupełniający -------
.
uStart Page = hxxp://centra.elearning.pl/szkolenia/servlet/MainServlet?wbts:page=eis.start&
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\KOMP\Dane aplikacji\Mozilla\Firefox\Profiles\vudodb13.default\
FF - prefs.js: browser.search.selectedEngine - Allegro
FF - prefs.js: browser.startup.homepage - hxxp://www.google.pl/
FF - component: c:\program files\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll
FF - plugin: c:\program files\Java\jre1.6.0\bin\npjava11.dll
FF - plugin: c:\program files\Java\jre1.6.0\bin\npjava12.dll
FF - plugin: c:\program files\Java\jre1.6.0\bin\npjava13.dll
FF - plugin: c:\program files\Java\jre1.6.0\bin\npjava14.dll
FF - plugin: c:\program files\Java\jre1.6.0\bin\npjava32.dll
FF - plugin: c:\program files\Java\jre1.6.0\bin\npjpi160.dll
FF - plugin: c:\program files\Java\jre1.6.0\bin\npoji610.dll
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-26 11:11:17
Windows 5.1.2600 Dodatek Service Pack. 1 NTFS
skanowanie ukrytych procesów ...
skanowanie ukrytych wpisów autostartu ...
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
LXCECATS = rundll32 c:\windows\system32\spool\DRIVERS\W32X86\3\LXCEtime.dll,_RunDLLEntry@16???????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????
skanowanie ukrytych plików ...
skanowanie pomyślnie ukończone
ukryte pliki: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\vsdatant]
"ImagePath"=""
.
--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------
- - - - - - - > 'winlogon.exe'(388)
c:\windows\System32\ODBC32.dll
c:\windows\System32\SSSensor.dll
- - - - - - - > 'lsass.exe'(452)
c:\windows\System32\dssenh.dll
.
Czas ukończenia: 2009-03-26 11:14:30
ComboFix-quarantined-files.txt 2009-03-26 10:14:01
ComboFix2.txt 2009-03-25 16:44:06
Przed: 31,190,847,488 bajtów wolnych
Po: 31,187,345,408 bajtów wolnych
124
a Kaspersky jedyny zainfekowany plik widzi w folderze Qoobox
rozumiem, że mam wyrzucić ten folder do kosza ?
Avg anti rootkit -prośba o pomoc
przez wojtas 26 Mar 2009, 19:33
Czysto, wykonaj:
1. Ściągnij OTMoveIt i go włacz i odpal go z opcji CleanUp
oraz skasuj folder C:\Qoobox
2. wykonaj optymalizację windowsa
3.sciagnij ATF_Cleaner
zaznacz
Windows Temp
All users Temp
Temporary internet files
Recycle Bin
i wcisnij EMPTY SELECTED
4.Wyłącz przywracanie systemu ( właściwości mój komputer-zakładka przywracanie - wyłącz przywracanie na wszystkich dyskach). Po chwili włącz je powrotem
5. Wykonaj skan Dr. Web CureIt
i tym:
FixIEDef.
1. Ściągnij OTMoveIt i go włacz i odpal go z opcji CleanUp
oraz skasuj folder C:\Qoobox2. wykonaj optymalizację windowsa
3.sciagnij ATF_Cleaner
zaznacz
Windows Temp
All users Temp
Temporary internet files
Recycle Bin
i wcisnij EMPTY SELECTED
4.Wyłącz przywracanie systemu ( właściwości mój komputer-zakładka przywracanie - wyłącz przywracanie na wszystkich dyskach). Po chwili włącz je powrotem
5. Wykonaj skan Dr. Web CureIt
i tym:
FixIEDef.
-
wojtas - *mod
- Posty: 18165
- Dołączenie: 13 Sty 2006, 16:00
- Miejscowość: Krzeszyce
- Pochwały: 1656
-
14 posty(ów) • Strona 1 z 1
Kto jest na forum
Użytkownicy przeglądający to forum: Brak zarejestrowanych użytkowników oraz 16 gości