Banwarum-fn [wrm]

[masterjs20]

Witam, mam problem z moim kompem, po 10 minut od uruchomienia program antywirusowy w tym przypadku Avast wykrywa jakiegoś robaka, którego nie może usunąć, dzieje się to zawsze po włączeniu komputera:

Kod: Zaznacz wszystko

ComboFix 09-01-21.04 - jakub 2009-01-26 17:13:21.1 - NTFSx86
Uruchomiony z: c:\documents and settings\jakub\Pulpit\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((((((   Usunięto   )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\wl.exe

.
(((((((((((((((((((((((((   Pliki utworzone od 2008-12-26 do 2009-01-26  )))))))))))))))))))))))))))))))
.

2009-01-26 13:49 . 2009-01-26 13:49   <DIR>   d--------   c:\program files\Windows X
2009-01-26 13:44 . 2009-01-26 13:44   <DIR>   d--------   c:\program files\K-Lite Codec Pack
2009-01-22 15:04 . 2009-01-22 15:04   <DIR>   d--------   c:\program files\DiskTrix
2009-01-22 14:36 . 2002-04-01 14:42   19,072   --a------   c:\windows\system32\drivers\usbehci.sys
2009-01-22 13:36 . 2009-01-22 13:37   <DIR>   d--------   c:\program files\ATI Technologies
2009-01-22 13:35 . 2009-01-22 13:35   <DIR>   d--------   C:\ATI
2009-01-19 19:20 . 2009-01-26 13:47   116   --a------   c:\windows\NeroDigital.ini
2009-01-19 19:15 . 2009-01-22 11:54   <DIR>   d--------   c:\program files\ALLPlayer
2009-01-17 13:46 . 2005-04-20 12:32   2,916,352   ---------   c:\windows\UNNMP.exe
2009-01-17 13:46 . 2005-10-07 15:22   49,883   ---------   c:\windows\UNNMP.cfg
2009-01-17 13:45 . 2009-01-17 13:45   <DIR>   d--------   c:\program files\Common Files\LightScribe
2009-01-17 13:41 . 2001-07-09 11:50   155,648   --a------   c:\windows\system32\NeroCheck.exe
2009-01-17 13:40 . 2009-01-17 13:40   <DIR>   d--------   c:\program files\Common Files\Nero
2009-01-17 13:39 . 2005-07-01 14:56   2,969,600   ---------   c:\windows\UNNeroVision.exe
2009-01-17 13:39 . 2005-10-07 15:22   123,452   ---------   c:\windows\UNNeroVision.cfg
2009-01-17 13:39 . 2001-03-08 19:30   24,064   ---------   c:\windows\system32\msxml3a.dll
2009-01-17 13:38 . 2009-01-17 13:38   <DIR>   d--------   c:\program files\Common Files\Ahead
2009-01-17 13:38 . 2009-01-17 13:46   <DIR>   d--------   c:\program files\Ahead
2009-01-17 13:38 . 2009-01-17 13:38   <DIR>   d--------   c:\documents and settings\All Users\Dane aplikacji\Ahead
2009-01-17 13:38 . 2004-07-26 17:16   1,568,768   ---------   c:\windows\system32\ImagX7.dll
2009-01-17 13:38 . 2004-07-26 17:16   476,320   ---------   c:\windows\system32\ImagXpr7.dll
2009-01-17 13:38 . 2004-07-26 17:16   471,040   ---------   c:\windows\system32\ImagXRA7.dll
2009-01-17 13:38 . 2004-07-09 09:43   364,544   ---------   c:\windows\system32\TwnLib4.dll
2009-01-17 13:38 . 2004-07-26 17:16   262,144   ---------   c:\windows\system32\ImagXR7.dll
2009-01-17 13:38 . 2000-06-26 11:45   106,496   --a------   c:\windows\system32\TwnLib20.dll
2009-01-17 13:38 . 2001-06-26 08:15   38,912   ---------   c:\windows\system32\picn20.dll
2009-01-15 21:22 . 2009-01-15 21:22   <DIR>   d--------   c:\program files\MoorHunt
2009-01-12 12:41 . 2009-01-22 14:16   <DIR>   d--------   c:\program files\SkanerOnline
2009-01-09 18:34 . 2001-10-26 16:57   12,160   --a------   c:\windows\system32\drivers\mouhid.sys
2009-01-09 18:34 . 2001-10-26 16:57   12,160   --a--c---   c:\windows\system32\dllcache\mouhid.sys
2009-01-09 18:34 . 2001-08-17 22:02   9,600   --a------   c:\windows\system32\drivers\hidusb.sys
2009-01-09 18:34 . 2001-08-17 22:02   9,600   --a--c---   c:\windows\system32\dllcache\hidusb.sys
2008-12-26 15:40 . 2009-01-19 19:15   <DIR>   d--------   c:\program files\NAPI-PROJEKT

.
((((((((((((((((((((((((((((((((((((((((   Sekcja Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-26 16:16   ---------   d-----w   c:\program files\DNA
2009-01-26 16:16   ---------   d-----w   c:\documents and settings\jakub\Dane aplikacji\DNA
2009-01-24 19:54   ---------   d-----w   c:\documents and settings\jakub\Dane aplikacji\OpenOffice.ux.pl2
2009-01-22 13:15   ---------   d-----w   c:\program files\Common Files\InstallShield
2009-01-22 12:37   ---------   d--h--w   c:\program files\InstallShield Installation Information
2009-01-17 18:15   ---------   d-----w   c:\program files\Tlen.pl
2009-01-15 13:47   ---------   d-----w   c:\documents and settings\jakub\Dane aplikacji\Tlen.pl
2009-01-09 11:03   ---------   d-----w   c:\program files\Call of Duty
2008-12-25 12:36   ---------   d-----w   c:\documents and settings\jakub\Dane aplikacji\Leadertech
2008-12-24 21:03   12,528   ----a-w   c:\windows\system32\drivers\secdrv.sys
2008-12-24 17:32   ---------   d-----w   c:\program files\Alcohol Soft
2008-12-24 15:40   ---------   d-----w   c:\program files\AskSearch
2008-12-20 14:21   ---------   d-----w   c:\program files\OSA
2008-12-16 11:09   ---------   d-----w   c:\program files\IrfanView
2008-12-15 11:44   ---------   d-----w   c:\program files\Alwil Software
2008-12-12 11:01   ---------   d-----w   c:\documents and settings\All Users\Dane aplikacji\Lavasoft
2008-12-12 10:58   ---------   d-----w   c:\program files\Lavasoft
2008-12-12 10:58   ---------   d-----w   c:\program files\Common Files\Wise Installation Wizard
2008-12-07 13:48   ---------   d-----w   c:\documents and settings\jakub\Dane aplikacji\Media Player Classic
2008-12-06 13:46   ---------   d-----w   c:\program files\OpenOffice.ux.pl 2.4.1
2008-12-06 13:46   ---------   d-----w   c:\program files\Java
2008-12-06 13:45   ---------   d-----w   c:\program files\Common Files\Java
2008-12-06 13:34   ---------   d-----w   c:\program files\OpenOffice.org 2.0
2008-12-06 13:32   ---------   d-----w   c:\documents and settings\jakub\Dane aplikacji\OpenOffice.org2
2008-12-03 19:26   ---------   d-----w   c:\program files\Common Files\Adobe
2008-12-03 10:28   ---------   d-----w   c:\program files\Gadu-Gadu
2008-11-23 10:44   451,072   ----a-w   c:\windows\Radeon Omega Drivers v3.8.252 Uninstall.exe
2004-07-22 09:51   3,432,656   ----a-w   c:\program files\ManagedDX.CAB
2004-07-19 21:58   1,156,363   ----a-w   c:\program files\BDANT.cab
2004-07-19 21:53   976,020   ----a-w   c:\program files\BDAXP.cab
2004-07-09 13:17   13,265,040   ----a-w   c:\program files\dxnt.cab
2004-07-09 08:13   703,080   ----a-w   c:\program files\BDA.cab
2004-07-09 08:13   15,493,481   ----a-w   c:\program files\DirectX.cab
2004-07-09 03:08   472,576   ----a-w   c:\program files\dxsetup.exe
2004-07-09 03:08   2,242,560   ----a-w   c:\program files\dsetup32.dll
2004-07-09 02:03   62,976   ----a-w   c:\program files\DSETUP.dll
.

(((((((((((((((((((((((((((((((((((((   Wpisy startowe rejestru   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\ctfmon.exe" [2001-10-26 13312]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2001-08-02 1077277]
"Komunikator"="c:\program files\Tlen.pl\tlen.exe" [2008-11-28 5837800]
"BitTorrent DNA"="c:\program files\DNA\btdna.exe" [2008-12-24 342848]
"ALLUpdate"="c:\program files\ALLPlayer\ALLUpdate.exe" [2008-11-24 869888]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AtiPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-11-30 344064]
"WinampAgent"="c:\program files\Winamp\winampa.exe" [2008-08-04 36352]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 144784]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-11-26 81000]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2001-10-26 13312]

c:\documents and settings\All Users\Menu Start\Programy\Autostart\
WlanUtility.lnk - c:\program files\MicroStar\WLANUtility\WlanUtility.exe [2004-05-11 143360]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages   REG_MULTI_SZ      msv1_0 nwprovau

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-12-15 111184]
R4 NwSapAgent;Agent SAP;c:\windows\System32\svchost.exe -k netsvcs [2001-10-26 12800]

--- Inne Usługi/Sterowniki w Pamięci ---

*NewlyCreated* - ALG
*NewlyCreated* - IPNAT
.
.
------- Skan uzupełniający -------
.
uStart Page = hxxp://www.mapaogame.net/
IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm
DPF: {68282C51-9459-467B-95BF-3C0E89627E55} - hxxp://www.mks.com.pl/skaner/SkanerOnline.cab
FF - ProfilePath - c:\documents and settings\jakub\Dane aplikacji\Mozilla\Firefox\Profiles\5dbex591.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.pl/
FF - prefs.js: keyword.URL - hxxp://toolbar.ask.com/toolbarv/askRedirect?o=101761&gct=&gc=1&q=
FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll
FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-26 17:17:18
Windows 5.1.2600  NTFS

skanowanie ukrytych procesów ... 

skanowanie ukrytych wpisów autostartu ...

skanowanie ukrytych plików ... 

skanowanie pomyślnie ukończone
ukryte pliki: 0

**************************************************************************
.
--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------

- - - - - - - > 'winlogon.exe'(728)
c:\windows\system32\ODBC32.dll
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'lsass.exe'(784)
c:\windows\system32\mswsock.dll
c:\windows\System32\wshtcpip.dll
c:\windows\System32\dssenh.dll
.
------------------------ Pozostałe uruchomione procesy ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\program files\Lavasoft\Ad-Aware\aawservice.exe
c:\program files\Alwil Software\Avast4\aswUpdSv.exe
c:\program files\Alwil Software\Avast4\ashServ.exe
c:\program files\Common Files\LightScribe\LSSrvc.exe
c:\windows\system32\ati2evxx.exe
c:\windows\system32\wdfmgr.exe
c:\program files\Alwil Software\Avast4\ashWebSv.exe
c:\program files\Alwil Software\Avast4\ashMaiSv.exe
c:\program files\MicroStar\WLANUtility\WLAN_Service.exe
.
**************************************************************************
.
Czas ukończenia: 2009-01-26 17:18:54 - komputer został uruchomiony ponownie
ComboFix-quarantined-files.txt  2009-01-26 16:18:51

Przed: 13 207 113 728 bajtów wolnych
Po: 13,172,019,200 bajtów wolnych

WinXP_PL_PRO_BF.EXE
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect

171


[wojtas]

1. Ściągnij OTMoveIt i go włacz i odpal go z opcji CleanUp oraz skasuj folder C:\Qoobox
2. wykonaj optymalizację windowsa
3.sciagnij ATF_Cleaner
zaznacz
Windows Temp
All users Temp
Temporary internet files
Recycle Bin
i wcisnij EMPTY SELECTED
4.Wyłącz przywracanie systemu ( właściwości mój komputer-zakładka przywracanie - wyłącz przywracanie na wszystkich dyskach). Po chwili włącz je powrotem
5. Wykonaj skan Dr. Web CureIt
6. Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum.

i tym:

FixIEDef.

[masterjs20]

Wszystko zostało zrobione tak jak opisał kolega powyżej. Przedstawiam raport który wygenerował Kaspersky.

Kod: Zaznacz wszystko

--------------------------------------------------------------------------------
RAPORT KASPERSKY ONLINE SCANNER 7.0
wtorek, 27 styczeń 2009
System operacyjny: Microsoft Windows XP Professional (build 2600)
Wersja Kaspersky Online Scanner: 7.0.26.12
Data ostatniej aktualizacji bazy danych: Tuesday, January 27, 2009 09:08:32
Liczba wpisów: 1704175
--------------------------------------------------------------------------------

Ustawienia skanowania:
   Typ bazy danych użytej do skanowania: rozszerzona
   Skanuj archiwa: tak
   Skanuj pocztowe bazy danych: tak

Obszar skanowania - Mój komputer:
   C:\
   D:\
   E:\
   F:\

Statystyki skanowania:
   Przeskanowanych plików: 41803
   Nazwa zagrożenia: 2
   Zainfekowanych obiektów: 4
   Podejrzanych obiektów: 0
   Czas skanowania: 01:55:31


Nazwa pliku / Nazwa zagrożenia / Liczba zagrożeń
C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\8TE78HMN\10.0.6[1]   Zainfekowany: Email-Worm.Win32.Banwarum.o   1
C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\CPABW5QJ\10.0.6[1]   Zainfekowany: Email-Worm.Win32.Banwarum.o   1
C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\KLQV8P67\10.0.6[1]   Zainfekowany: Email-Worm.Win32.Banwarum.o   1
D:\instalki\z netu\BSINSTALLPL.exe   Zainfekowany: not-a-virus:AdWare.Win32.SaveNow.z   1

Wybrany obszar został przeskanowany.


[Okocza]

wyczyść katalog:

C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files

i będzie ok

[masterjs20]

Czy potrzebny jest do tego jakis specjalny program?Bo z poziomu Windowsa nie moge tego zrobic!!

[Okocza]

3.sciagnij ATF Cleaner
zaznacz
Windows Temp
All users Temp
Temporary internet files
Recycle Bin
i wcisnij EMPTY SELECTED

wykonaleś to? szczególnie czy zaznaczyłeś TEMPORARY INTERNET FILES

[masterjs20]

OK zrobiłem tak jak napisałeś i wszystko zostało usunięte, zobaczymy czy problem nie będzie się powtarzał.

Niestety, ale avast ciągle wykrywa jakiś "shit" chwile po uruchomieniu ywglada to mniej wiecej tak

Wykryto wirusa!
Nazwa pliku: mszsrn32.dll
FileID: 14
Opis wirusa: Win32:Banwarum-FN [Wrm]

[wojtas]

Otworz notatnik i wklej w nim to:

File::
C:\WINDOWS\system32\mszsrn32.dll

>>Plik>>Zapisz jako... >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
-->
Ma się rozpocząć usuwanie. (i powstanie log).Daj ten log, który powstanie w trakcie usuwania.

[masterjs20]

Kod: Zaznacz wszystko

ComboFix 09-01-21.04 - jakub 2009-01-28  9:53:27.2 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.0.1250.1.1045.18.255.17 [GMT 1:00]
Uruchomiony z: c:\documents and settings\jakub\Pulpit\ComboFix.exe
Użyto następujących komend :: c:\documents and settings\jakub\Pulpit\CFScript.txt
* Utworzono nowy punkt przywracania

FILE ::
c:\windows\system32\mszsrn32.dll
.

(((((((((((((((((((((((((   Pliki utworzone od 2008-12-28 do 2009-01-28  )))))))))))))))))))))))))))))))
.

2009-01-27 10:34 . 2009-01-27 10:34   <DIR>   d--------   c:\windows\Sun
2009-01-27 10:25 . 2009-01-27 10:25   <DIR>   d--------   c:\documents and settings\jakub\DoctorWeb
2009-01-27 10:09 . 2009-01-27 14:26   <DIR>   d--------   c:\program files\Odkurzacz
2009-01-26 13:49 . 2009-01-26 13:49   <DIR>   d--------   c:\program files\Windows X
2009-01-26 13:44 . 2009-01-26 13:44   <DIR>   d--------   c:\program files\K-Lite Codec Pack
2009-01-22 15:04 . 2009-01-22 15:04   <DIR>   d--------   c:\program files\DiskTrix
2009-01-22 14:36 . 2002-04-01 14:42   19,072   --a------   c:\windows\system32\drivers\usbehci.sys
2009-01-22 13:36 . 2009-01-22 13:37   <DIR>   d--------   c:\program files\ATI Technologies
2009-01-22 13:35 . 2009-01-22 13:35   <DIR>   d--------   C:\ATI
2009-01-19 19:20 . 2009-01-26 20:41   116   --a------   c:\windows\NeroDigital.ini
2009-01-19 19:15 . 2009-01-22 11:54   <DIR>   d--------   c:\program files\ALLPlayer
2009-01-17 13:46 . 2005-04-20 12:32   2,916,352   ---------   c:\windows\UNNMP.exe
2009-01-17 13:46 . 2005-10-07 15:22   49,883   ---------   c:\windows\UNNMP.cfg
2009-01-17 13:45 . 2009-01-17 13:45   <DIR>   d--------   c:\program files\Common Files\LightScribe
2009-01-17 13:41 . 2001-07-09 11:50   155,648   --a------   c:\windows\system32\NeroCheck.exe
2009-01-17 13:40 . 2009-01-17 13:40   <DIR>   d--------   c:\program files\Common Files\Nero
2009-01-17 13:39 . 2005-07-01 14:56   2,969,600   ---------   c:\windows\UNNeroVision.exe
2009-01-17 13:39 . 2005-10-07 15:22   123,452   ---------   c:\windows\UNNeroVision.cfg
2009-01-17 13:39 . 2001-03-08 19:30   24,064   ---------   c:\windows\system32\msxml3a.dll
2009-01-17 13:38 . 2009-01-17 13:38   <DIR>   d--------   c:\program files\Common Files\Ahead
2009-01-17 13:38 . 2009-01-17 13:46   <DIR>   d--------   c:\program files\Ahead
2009-01-17 13:38 . 2009-01-17 13:38   <DIR>   d--------   c:\documents and settings\All Users\Dane aplikacji\Ahead
2009-01-17 13:38 . 2004-07-26 17:16   1,568,768   ---------   c:\windows\system32\ImagX7.dll
2009-01-17 13:38 . 2004-07-26 17:16   476,320   ---------   c:\windows\system32\ImagXpr7.dll
2009-01-17 13:38 . 2004-07-26 17:16   471,040   ---------   c:\windows\system32\ImagXRA7.dll
2009-01-17 13:38 . 2004-07-09 09:43   364,544   ---------   c:\windows\system32\TwnLib4.dll
2009-01-17 13:38 . 2004-07-26 17:16   262,144   ---------   c:\windows\system32\ImagXR7.dll
2009-01-17 13:38 . 2000-06-26 11:45   106,496   --a------   c:\windows\system32\TwnLib20.dll
2009-01-17 13:38 . 2001-06-26 08:15   38,912   ---------   c:\windows\system32\picn20.dll
2009-01-15 21:22 . 2009-01-15 21:22   <DIR>   d--------   c:\program files\MoorHunt
2009-01-12 12:41 . 2009-01-22 14:16   <DIR>   d--------   c:\program files\SkanerOnline
2009-01-09 18:34 . 2001-10-26 16:57   12,160   --a------   c:\windows\system32\drivers\mouhid.sys
2009-01-09 18:34 . 2001-10-26 16:57   12,160   --a--c---   c:\windows\system32\dllcache\mouhid.sys
2009-01-09 18:34 . 2001-08-17 22:02   9,600   --a------   c:\windows\system32\drivers\hidusb.sys
2009-01-09 18:34 . 2001-08-17 22:02   9,600   --a--c---   c:\windows\system32\dllcache\hidusb.sys

.
((((((((((((((((((((((((((((((((((((((((   Sekcja Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-27 17:14   ---------   d-----w   c:\documents and settings\jakub\Dane aplikacji\Tlen.pl
2009-01-27 09:15   ---------   d-----w   c:\program files\SpeedSim
2009-01-27 09:15   ---------   d-----w   c:\program files\NAPI-PROJEKT
2009-01-27 09:15   ---------   d-----w   c:\program files\IrfanView
2009-01-27 09:15   ---------   d-----w   c:\documents and settings\jakub\Dane aplikacji\DNA
2009-01-27 08:14   ---------   d-----w   c:\program files\DNA
2009-01-24 19:54   ---------   d-----w   c:\documents and settings\jakub\Dane aplikacji\OpenOffice.ux.pl2
2009-01-22 13:15   ---------   d-----w   c:\program files\Common Files\InstallShield
2009-01-22 12:37   ---------   d--h--w   c:\program files\InstallShield Installation Information
2009-01-17 18:15   ---------   d-----w   c:\program files\Tlen.pl
2009-01-09 11:03   ---------   d-----w   c:\program files\Call of Duty
2008-12-25 12:36   ---------   d-----w   c:\documents and settings\jakub\Dane aplikacji\Leadertech
2008-12-24 21:03   12,528   ----a-w   c:\windows\system32\drivers\secdrv.sys
2008-12-24 17:32   ---------   d-----w   c:\program files\Alcohol Soft
2008-12-24 15:40   ---------   d-----w   c:\program files\AskSearch
2008-12-20 14:21   ---------   d-----w   c:\program files\OSA
2008-12-15 11:44   ---------   d-----w   c:\program files\Alwil Software
2008-12-12 11:01   ---------   d-----w   c:\documents and settings\All Users\Dane aplikacji\Lavasoft
2008-12-12 10:58   ---------   d-----w   c:\program files\Lavasoft
2008-12-12 10:58   ---------   d-----w   c:\program files\Common Files\Wise Installation Wizard
2008-12-07 13:48   ---------   d-----w   c:\documents and settings\jakub\Dane aplikacji\Media Player Classic
2008-12-06 13:46   ---------   d-----w   c:\program files\OpenOffice.ux.pl 2.4.1
2008-12-06 13:46   ---------   d-----w   c:\program files\Java
2008-12-06 13:45   ---------   d-----w   c:\program files\Common Files\Java
2008-12-06 13:34   ---------   d-----w   c:\program files\OpenOffice.org 2.0
2008-12-06 13:32   ---------   d-----w   c:\documents and settings\jakub\Dane aplikacji\OpenOffice.org2
2008-12-03 19:26   ---------   d-----w   c:\program files\Common Files\Adobe
2008-12-03 10:28   ---------   d-----w   c:\program files\Gadu-Gadu
2008-11-23 10:44   451,072   ----a-w   c:\windows\Radeon Omega Drivers v3.8.252 Uninstall.exe
2004-07-22 09:51   3,432,656   ----a-w   c:\program files\ManagedDX.CAB
2004-07-19 21:58   1,156,363   ----a-w   c:\program files\BDANT.cab
2004-07-19 21:53   976,020   ----a-w   c:\program files\BDAXP.cab
2004-07-09 13:17   13,265,040   ----a-w   c:\program files\dxnt.cab
2004-07-09 08:13   703,080   ----a-w   c:\program files\BDA.cab
2004-07-09 08:13   15,493,481   ----a-w   c:\program files\DirectX.cab
2004-07-09 03:08   472,576   ----a-w   c:\program files\dxsetup.exe
2004-07-09 03:08   2,242,560   ----a-w   c:\program files\dsetup32.dll
2004-07-09 02:03   62,976   ----a-w   c:\program files\DSETUP.dll
.

(((((((((((((((((((((((((((((((((((((   Wpisy startowe rejestru   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\ctfmon.exe" [2001-10-26 13312]
"Komunikator"="c:\program files\Tlen.pl\tlen.exe" [2008-11-28 5837800]
"Odkurzacz-MCD"="c:\program files\Odkurzacz\odk_mcd.exe" [2008-08-16 264704]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AtiPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-11-30 344064]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-11-26 81000]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 144784]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2001-10-26 13312]

c:\documents and settings\All Users\Menu Start\Programy\Autostart\
WlanUtility.lnk - c:\program files\MicroStar\WLANUtility\WlanUtility.exe [2004-05-11 143360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-06-12 02:38 34672 c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ALLUpdate]
--a------ 2008-11-24 20:44 869888 c:\program files\ALLPlayer\ALLUpdate.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BitTorrent DNA]
--a------ 2008-12-24 16:40 342848 c:\program files\DNA\btdna.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Komunikator]
--a------ 2008-11-28 11:48 5837800 c:\program files\Tlen.pl\tlen.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--a------ 2001-08-02 07:14 1077277 c:\program files\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 11:50 155648 c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 2008-08-04 00:02 36352 c:\program files\Winamp\winampa.exe

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-12-15 111184]
R4 NwSapAgent;Agent SAP;c:\windows\System32\svchost.exe -k netsvcs [2001-10-26 12800]
.
.
------- Skan uzupełniający -------
.
uStart Page = hxxp://www.mapaogame.net/
IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm
DPF: {68282C51-9459-467B-95BF-3C0E89627E55} - hxxp://www.mks.com.pl/skaner/SkanerOnline.cab
FF - ProfilePath - c:\documents and settings\jakub\Dane aplikacji\Mozilla\Firefox\Profiles\5dbex591.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.pl/
FF - prefs.js: keyword.URL - hxxp://toolbar.ask.com/toolbarv/askRedirect?o=101761&gct=&gc=1&q=
FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll
FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-28 09:54:57
Windows 5.1.2600  NTFS

skanowanie ukrytych procesów ... 

skanowanie ukrytych wpisów autostartu ...

skanowanie ukrytych plików ... 

skanowanie pomyślnie ukończone
ukryte pliki: 0

**************************************************************************
.
--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------

- - - - - - - > 'winlogon.exe'(724)
c:\windows\system32\ODBC32.dll
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'lsass.exe'(780)
c:\windows\system32\mswsock.dll
c:\windows\System32\wshtcpip.dll
c:\windows\System32\dssenh.dll
.
Czas ukończenia: 2009-01-28  9:56:11
ComboFix-quarantined-files.txt  2009-01-28 08:56:09

Przed: 13 656 014 848 bajtów wolnych
Po: 13,646,585,856 bajtów wolnych

158


Nic to nie dało. Avast znowu wykrył ten plik. Może ja coś źle robie!?

[wojtas]

skasuj:

c:\program files\AskSearch

gdzie wykrywa ten plik?? moze fałszywy alarm?

[masterjs20]

wyglada to mniej wiecej tak

[img=http://img149.imageshack.us/img149/680/31657621js3.th.jpg]

[wojtas]

zobacz czy ten plik rzeczywiście jest na dysku... jesli nie to jest to falszywy alarm raczej

Autor postu otrzymał pochwałę

[masterjs20]

Nie ma tego pliku na dysku, z kwarantanny tez go usunąłem, a mimo wszystko i tak wyskakuje komunikat dzieki wojtas za poswiecony czas !!!