ctfmon.exe

[Osliczka]

Witam! W sobotę reinstalowałam system ze względu na ctfmon.exe a dziś NOD32 wykrył C:\autorun.inf - INF/Autorun wirus i C:\Recycled\Recycled\ctfmon.exe - Win32/VB.AQT trojan i C:\System Volume Information\_restore{64CDA525-8D42-4ADC-B276-512BEC729559}\RP10\A0003340.exe - Win32/VB.AQT trojan. Nie wiem co mam z tym zrobić, ten komputer mam tylko do netu i ma tylko dysk C ale drugi komputer też skanowałam symantec i mks i tam mam ctfmon.exe na dyku C i D. Proszę o jakieś "łopatologiczne" rady. Pozdrawiam

[Red]

W sobotę reinstalowałam system ze względu na ctfmon.exe

A dlaczego?Przecież to prawidłowy Exe..

Wyłącz i włącz przywracanie systemu kilka razy.....

[Osliczka]

No więc czemu traktowane jest to jako wirus trojan? i się przeniosło np na iPoda. Poza tym nie mogę otworzyć dysków E i F (tzn mogę ale najpierw wyświetla mi się komunikat z ostrzeżeniem:(

[wojtas]

poczytaj ten temat

[Osliczka]

Poczytałam sobie ale niewiele to zmieniło w mojej sytuacji. Nie przeniosłam tego na pendrive bo jest czysty, a zamieszczonych info nie potrafię zastosować - potrzebuje metody małych kroczków.

[wojtas]

daj loga z combofixa oraz z hijacka wg. opisu:

http://forum.programosy.pl/hijackthis-amp-silent-runners-gtobsuga-i-umieszczanie-vt9452.html

[Osliczka]

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:18:41, on 2007-07-30
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Eset\nod32krn.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Program Files\VIAudioi\SBADeck\ADeck.exe
C:\Program Files\Eset\nod32kui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Gadu-Gadu\gg.exe
C:\PROGRA~1\NEOSTR~1\TaskBarIcon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Ośliczka\Pulpit\hijackthis.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = neostrada tp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\NEOSTR~1\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [AudioDeck] C:\Program Files\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O15 - Trusted Zone: http://mks.com.pl
O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B1A664B1-CD02-4A24-837D-55B502D6044A}: NameServer = 194.204.159.1 217.98.63.164
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

--
End of file - 3490 bytes
[quote][/quote]

[konrad7890]

Loga daj w tagach. Poczytaj:

Kod: Zaznacz wszystko

http://forum.programosy.pl/hijackthis-amp-silent-runners-gtobsuga-i-umieszczanie-vt9452.html

[wojtas]

zapomnialas o tagach oraz o logu z combofixa:

tu jest mowa jak umiescic prawidlowo logi na forum:

http://forum.programosy.pl/hijackthis-amp-silent-runners-gtobsuga-i-umieszczanie-vt9452.html

[Osliczka]

Wystąpił u mnie mały problem, po combofixie nie mogę się połączyc z internetem, nie wykrywa mi modemu. Przy próbie zainstalowania wyświetla mi sie komunikat że w pliku instalacyjnym sterownika brakuje wymaganego wpisu.

[wojtas]

Osliczka mozesz dac screena?? nie mozliwe ze combofix to zepsul

[Osliczka]

Nie mam jak. Odintalowałam neostrade, zainstalowałam ponownie,wszystko poszło gładko aż do próby połączenia. Wyświetlił mi sie komunikat: MDM zinc v2 Handler
form name: main form
form type: normal form
{mdm}script v2 Method: mdm.exec_adv
parameters: title 100 100 400 400 undefinedfast800_pl.bat, undefined 3 1
frame number 8
zinc has encountered the following error: system error Code 2
no i czy chcę otworzyć debug Window

nie mam zielonego pojęcia o co chodzi

[ Dodano: Dzisiaj o 10:50 ]
Za 3 razem udało mi się zainstalować modem NOD nic nie wykrywa, ale martwi mnie drugi komp: symantec nic nie wykrył, ewido usunęłam jakieś trojany, a komunikat brak dostępu [ open (0) ] dla dysków D, E, F nadal jest.

[wojtas]

daj loga z combofixa

ale w tagach o ktorych mowa jest tu:

http://forum.programosy.pl/hijackthis-amp-silent-runners-gtobsuga-i-umieszczanie-vt9452.html

[Osliczka]

Znów wywaliło mi modem tyle że na 2 kompie:(

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:17:02, on 2007-07-31
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\NEOSTR~1\TaskBarIcon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Documents and Settings\Ośliczka\Pulpit\hijackthis.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0 CE\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\NEOSTR~1\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O15 - Trusted Zone: http://mks.com.pl
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe

--
End of file - 4524 bytes

[wojtas]

daj loga z:

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

[Osliczka]

ComboFix 07-07-30.2 - "O˜liczka" 2007-07-31 10:58:31.1 [GMT 2:00] - NTFS
Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.Prawda
* Created a new restore point


((((((((((((((((((((((((( Files Created from 2007-06-28 to 2007-07-31 )))))))))))))))))))))))))))))))


2007-07-31 10:57 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-07-31 10:52 0 --a------ C:\WINDOWS\nsreg.dat
2007-07-31 10:52 <DIR> d-------- C:\DOCUME~1\OLICZK~1\DANEAP~1\Talkback
2007-07-30 21:24 <DIR> d-------- C:\DOCUME~1\OLICZK~1\DANEAP~1\Gadu-Gadu
2007-07-30 21:22 <DIR> d-------- C:\DOCUME~1\OLICZK~1\DANEAP~1\Help
2007-07-30 20:35 <DIR> d-------- C:\Program Files\Gadu-Gadu
2007-07-30 20:35 <DIR> d-------- C:\DOCUME~1\OLICZK~1\Gadu-Gadu
2007-07-30 20:23 <DIR> d---s---- C:\DOCUME~1\OLICZK~1\UserData
2007-07-28 23:12 <DIR> d--hs---- C:\RECYCLER
2007-07-28 23:05 82,944 --a------ C:\WINDOWS\system32\drivers\wdmaud.sys
2007-07-28 23:05 7,552 --a------ C:\WINDOWS\system32\drivers\MSKSSRV.sys
2007-07-28 23:05 60,800 --a------ C:\WINDOWS\system32\drivers\sysaudio.sys
2007-07-28 23:05 60,288 --a------ C:\WINDOWS\system32\drivers\drmk.sys
2007-07-28 23:05 6,400 --a------ C:\WINDOWS\system32\drivers\splitter.sys
2007-07-28 23:05 54,272 --a------ C:\WINDOWS\system32\drivers\swmidi.sys
2007-07-28 23:05 52,864 --a------ C:\WINDOWS\system32\drivers\DMusic.sys
2007-07-28 23:05 5,376 --a------ C:\WINDOWS\system32\drivers\MSPCLOCK.sys
2007-07-28 23:05 4,992 --a------ C:\WINDOWS\system32\drivers\MSPQM.sys
2007-07-28 23:05 4,096 --a------ C:\WINDOWS\system32\ksuser.dll
2007-07-28 23:05 2,944 --a------ C:\WINDOWS\system32\drivers\drmkaud.sys
2007-07-28 23:05 171,776 --a------ C:\WINDOWS\system32\drivers\kmixer.sys
2007-07-28 23:05 145,792 --a------ C:\WINDOWS\system32\drivers\portcls.sys
2007-07-28 23:05 142,464 --a------ C:\WINDOWS\system32\drivers\aec.sys
2007-07-28 23:05 <DIR> d-------- C:\Program Files\Realtek Sound Manager
2007-07-28 23:05 <DIR> d-------- C:\Program Files\AvRack
2007-07-28 23:04 9,524,224 --a------ C:\WINDOWS\system32\RTLCPL.EXE
2007-07-28 23:04 77,824 --a------ C:\WINDOWS\SOUNDMAN.EXE
2007-07-28 23:04 70,912 --a------ C:\WINDOWS\system32\drivers\Rtlnicxp.sys
2007-07-28 23:04 40,960 --------- C:\WINDOWS\system32\ChCfg.exe
2007-07-28 23:04 208,896 --------- C:\WINDOWS\alcupd.exe
2007-07-28 23:04 2,304,320 --a------ C:\WINDOWS\system32\drivers\ALCXWDM.SYS
2007-07-28 23:04 156,672 --a------ C:\WINDOWS\system32\RTLCPAPI.dll
2007-07-28 23:04 139,264 --------- C:\WINDOWS\alcrmv.exe
2007-07-28 23:04 <DIR> d-------- C:\WINDOWS\OPTIONS
2007-07-28 23:03 39,424 --a------ C:\WINDOWS\system32\drivers\AmdK8.sys
2007-07-28 23:03 <DIR> d-------- C:\Program Files\AMD
2007-07-28 23:01 306,688 --a------ C:\WINDOWS\IsUninst.exe
2007-07-28 23:01 27,904 -ra------ C:\WINDOWS\system32\drivers\VIAAGP1.SYS
2007-07-28 23:01 <DIR> d-------- C:\WINDOWS\system32\ReinstallBackups
2007-07-28 22:58 <DIR> d-------- C:\Program Files\SubEdit-Player
2007-07-28 22:57 17,920 --a------ C:\WINDOWS\system32\mdimon.dll
2007-07-28 22:57 <DIR> d-------- C:\Program Files\Microsoft.NET
2007-07-28 22:56 <DIR> d-------- C:\WINDOWS\SHELLNEW
2007-07-28 22:55 3,072 --a------ C:\WINDOWS\system32\drivers\audstub.sys
2007-07-28 22:54 77,312 --a------ C:\WINDOWS\system32\usbui.dll
2007-07-28 22:54 6,400 --a------ C:\WINDOWS\system32\drivers\enum1394.sys
2007-07-28 22:54 58,624 --a------ C:\WINDOWS\system32\drivers\redbook.sys
2007-07-28 22:54 46,464 --a------ C:\WINDOWS\system32\drivers\GAGP30KX.SYS
2007-07-28 22:54 4,274,816 --a------ C:\WINDOWS\system32\nv4_disp.dll
2007-07-28 22:54 10,624 --a------ C:\WINDOWS\system32\drivers\gameenum.sys
2007-07-28 22:54 1,897,408 --a------ C:\WINDOWS\system32\drivers\nv4_mini.sys
2007-07-28 22:54 <DIR> dr-h----- C:\MSOCache
2007-07-28 22:52 9,936 --a------ C:\WINDOWS\system\LZEXPAND.DLL
2007-07-28 22:52 9,168 --a------ C:\WINDOWS\system\VER.DLL
2007-07-28 22:52 85,532 --a------ C:\WINDOWS\system32\dgsetup.dll
2007-07-28 22:52 83,456 --a------ C:\WINDOWS\system\OLECLI.DLL
2007-07-28 22:52 8,704 --a------ C:\WINDOWS\system32\batt.dll
2007-07-28 22:52 8,192 -ra------ C:\WINDOWS\system32\kbdhept.dll
2007-07-28 22:52 75,776 --a------ C:\WINDOWS\system32\storprop.dll
2007-07-28 22:52 70,144 --a------ C:\WINDOWS\NOTEPAD.EXE
2007-07-28 22:52 70,096 --a------ C:\WINDOWS\system\AVICAP.DLL
2007-07-28 22:52 7,168 --a------ C:\WINDOWS\system32\kbdcz.dll
2007-07-28 22:52 69,552 --a------ C:\WINDOWS\system\MMSYSTEM.DLL
2007-07-28 22:52 6,656 -ra------ C:\WINDOWS\system32\kbdhela3.dll
2007-07-28 22:52 6,656 --a------ C:\WINDOWS\system32\kbdycl.dll
2007-07-28 22:52 6,656 --a------ C:\WINDOWS\system32\kbdsl1.dll
2007-07-28 22:52 6,656 --a------ C:\WINDOWS\system32\kbdsl.dll
2007-07-28 22:52 6,656 --a------ C:\WINDOWS\system32\kbdhu.dll
2007-07-28 22:52 6,656 --a------ C:\WINDOWS\system32\kbdcz2.dll
2007-07-28 22:52 6,656 --a------ C:\WINDOWS\system32\kbdcz1.dll
2007-07-28 22:52 6,656 --a------ C:\WINDOWS\system32\kbdcr.dll
2007-07-28 22:52 6,656 --a------ C:\WINDOWS\system32\KBDAL.DLL
2007-07-28 22:52 6,144 -ra------ C:\WINDOWS\system32\kbdtuq.dll
2007-07-28 22:52 6,144 -ra------ C:\WINDOWS\system32\kbdtuf.dll
2007-07-28 22:52 6,144 -ra------ C:\WINDOWS\system32\kbdlv1.dll
2007-07-28 22:52 6,144 -ra------ C:\WINDOWS\system32\kbdlv.dll
2007-07-28 22:52 6,144 -ra------ C:\WINDOWS\system32\kbdhela2.dll
2007-07-28 22:52 6,144 -ra------ C:\WINDOWS\system32\kbdgkl.dll
2007-07-28 22:52 6,144 -ra------ C:\WINDOWS\system32\kbdest.dll
2007-07-28 22:52 5,632 -ra------ C:\WINDOWS\system32\kbdmon.dll
2007-07-28 22:52 5,632 -ra------ C:\WINDOWS\system32\kbdlt1.dll
2007-07-28 22:52 5,632 -ra------ C:\WINDOWS\system32\kbdlt.dll
2007-07-28 22:52 5,632 -ra------ C:\WINDOWS\system32\kbdkyr.dll
2007-07-28 22:52 5,632 -ra------ C:\WINDOWS\system32\kbdhe319.dll
2007-07-28 22:52 5,632 -ra------ C:\WINDOWS\system32\kbdhe220.dll
2007-07-28 22:52 5,632 -ra------ C:\WINDOWS\system32\kbdhe.dll
2007-07-28 22:52 5,632 -ra------ C:\WINDOWS\system32\kbdazel.dll
2007-07-28 22:52 5,632 --a------ C:\WINDOWS\system32\kbdro.dll
2007-07-28 22:52 5,632 --a------ C:\WINDOWS\system32\kbdhu1.dll
2007-07-28 22:52 5,120 --a------ C:\WINDOWS\system\SHELL.DLL
2007-07-28 22:52 33,376 --a------ C:\WINDOWS\system\COMMDLG.DLL
2007-07-28 22:52 24,661 --a------ C:\WINDOWS\system32\spxcoins.dll
2007-07-28 22:52 24,064 --a------ C:\WINDOWS\system\OLESVR.DLL
2007-07-28 22:52 223,128 --a------ C:\WINDOWS\system32\drivers\vaxscsi.sys
2007-07-28 22:52 19,200 --a------ C:\WINDOWS\system\TAPI.DLL
2007-07-28 22:52 176,157 --a------ C:\WINDOWS\system32\dgrpsetu.dll
2007-07-28 22:52 15,360 --a------ C:\WINDOWS\TASKMAN.EXE
2007-07-28 22:52 13,312 --a------ C:\WINDOWS\system32\irclass.dll
2007-07-28 22:52 127,008 --a------ C:\WINDOWS\system\MSVIDEO.DLL
2007-07-28 22:52 11,264 --a------ C:\WINDOWS\system32\drivers\irenum.sys


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-07-28 21:42 33 --a------ C:\WINDOWS\system32\drivers\adidsl.cfg
2007-07-28 21:36 49492 --a------ C:\WINDOWS\system32\perfc015.dat
2007-07-28 21:36 355486 --a------ C:\WINDOWS\system32\perfh015.dat
--------- C:\Program Files\Usługi online


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WOOWATCH"="C:\PROGRA~1\NEOSTR~1\Watch.exe" [2004-08-23 14:49]
"WOOTASKBARICON"="C:\PROGRA~1\NEOSTR~1\GestMaj.exe" [2004-10-14 16:55]
"ccApp"="C:\Program Files\Common Files\Symantec Shared\ccApp.exe" [2005-06-02 09:21]
"vptray"="C:\PROGRA~1\SYMANT~1\VPTray.exe" [2005-06-23 19:27]
"SoundMan"="SOUNDMAN.EXE" [2004-12-22 11:09 C:\WINDOWS\SOUNDMAN.EXE]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 02:44]
"Gadu-Gadu"="C:\Program Files\Gadu-Gadu\gg.exe" [2007-07-09 09:39]

R0 gagp30kx;Filtr rodzajowy AGPv3.0 firmy Microsoft dla platform procesora K8;C:\WINDOWS\system32\DRIVERS\gagp30kx.sys
R1 AmdK8;Sterownik procesora AMD;C:\WINDOWS\system32\DRIVERS\AmdK8.sys
R3 e4usbaw;USB ADSL2 WAN Adapter;C:\WINDOWS\system32\DRIVERS\e4usbaw.sys
R3 RTL8023xp;Realtek RTL8139/810x/8169/8110 all in one NDIS XP Driver;C:\WINDOWS\system32\DRIVERS\Rtlnicxp.sys
R3 vaxscsi;vaxscsi;C:\WINDOWS\system32\Drivers\vaxscsi.sys
S2 IKANLOADER2;General Purpose USB Driver (e4ldr.sys);C:\WINDOWS\system32\Drivers\e4ldr.sys
S3 PCAMPR5;PCAMPR5 NDIS Protocol Driver;\??\C:\WINDOWS\system32\PCAMPR5.SYS


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e53bc44a-3daa-11dc-bac6-0014850ca944}]
AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycled\ctfmon.exe
Open(&0)\command- Recycled\ctfmon.exe


**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-07-31 10:59:19
Windows 5.1.2600 Dodatek Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden registry entries ...

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Favorites\A\1\5\1c]
"Order"=hex:08,00,00,00,02,00,00,00,b8,01,00,00,01,00,00,00,04,00,00,00,8c,..

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-07-31 10:59:51

--- E O F ---

[wojtas]

wklej do notatnika:

Windows Registry Editor Version 5.00

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e53bc44a-3daa-11dc-bac6-0014850ca944}]

w notatniku u góry>>>plik zapisz jako>>>Zmien rozszerzenie z TXT na Wszystkie pliki *.* >>> Zapisz pod nazwą FIX.REG

Klikasz dwa razy na powstały plik fix i dodajesz go do rejestru....

[Osliczka]

wyskakuje mi komunikat że ten plik nie jest skryptem rejestru. Po minucie wywala mnie z netu, bo nie może znaleźć modemu, brakuje jakiegoś pliku pomocniczego w instalacji modemu. a ja muszę jeszcze raz odinstalować i instalować modem!po to by znów wywaliło mnie i tak wkółko

[wojtas]

Start>uruchom>regedit>przejdz do klucza:

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

i skasuj :

{e53bc44a-3daa-11dc-bac6-0014850ca944}

no nie wiem system masz czysty