Dyski otwierajace sie w nowych oknach(log)

[zielonynd]

po przeskanowaniu combofixem dyski otwiraja sie juz normalnie nie mniej jednak duzo syfu bylo i prosze o przegladneicie loga i jakies wskazowki co jeszcze mam zrobic...

Kod: Zaznacz wszystko

ComboFix 09-01-19.05 - zielony 2009-01-20 17:50:14.2 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.3.1250.1.1045.18.511.299 [GMT 1:00]
Uruchomiony z: c:\documents and settings\zielony\Pulpit\ComboFix.exe
.

(((((((((((((((((((((((((   Pliki utworzone od 2008-12-20 do 2009-01-20  )))))))))))))))))))))))))))))))
.

2009-01-15 18:42 . 2009-01-15 19:21   <DIR>   d--------   C:\winda
2009-01-09 17:55 . 2007-03-08 00:51   129,784   ---------   c:\windows\system32\pxafs.dll
2009-01-09 17:54 . 2009-01-09 17:56   <DIR>   d--------   c:\program files\Winamp
2009-01-09 17:54 . 2009-01-09 18:13   <DIR>   d--------   c:\documents and settings\zielony\Dane aplikacji\Winamp

.
((((((((((((((((((((((((((((((((((((((((   Sekcja Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-20 16:32   ---------   d-----w   c:\program files\ESET
2009-01-19 22:30   ---------   d-----w   c:\documents and settings\zielony\Dane aplikacji\foobar2000
2009-01-09 16:12   ---------   d-----w   c:\documents and settings\zielony\Dane aplikacji\Tlen.pl
2008-12-16 12:53   ---------   d-----w   c:\program files\TI Education
2008-12-11 10:57   333,952   ----a-w   c:\windows\system32\drivers\srv.sys
2008-12-10 15:49   ---------   d-----w   c:\program files\Creative
2008-12-10 15:49   ---------   d-----w   c:\program files\Common Files\InstallShield
2008-11-30 12:03   161   ---ha-w   c:\documents and settings\zielony\hpothb07.dat
2008-10-23 12:42   286,720   ----a-w   c:\windows\system32\gdi32.dll
2001-11-23 05:08   712,704   ----a-r   c:\windows\inf\OTHER\AUDIO3D.DLL
.

(((((((((((((((((((((((((((((((((((((   Wpisy startowe rejestru   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UserFaultCheck"="c:\windows\system32\dumprep 0 -u" [X]
"NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2005-07-20 7110656]
"NvMediaCenter"="c:\windows\System32\NvMcTray.dll" [2005-07-20 86016]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"nwiz"="nwiz.exe" [2005-07-20 c:\windows\system32\nwiz.exe]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 c:\windows\system32\bthprops.cpl]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3fhg"= mp3fhg.acm
"msacm.divxa32"= divxa32.acm
"VIDC.X264"= x264vfw.dll
"VIDC.HFYU"= huffyuv.dll
"vidc.i263"= i263_32.drv

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^hp psc 1000 series.lnk]
path=c:\documents and settings\All Users\Menu Start\Programy\Autostart\hp psc 1000 series.lnk
backup=c:\windows\pss\hp psc 1000 series.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^hpoddt01.exe.lnk]
path=c:\documents and settings\All Users\Menu Start\Programy\Autostart\hpoddt01.exe.lnk
backup=c:\windows\pss\hpoddt01.exe.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 21:16 39792 c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2008-02-22 04:25 144784 c:\program files\Java\jre1.6.0_05\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C-Media Mixer]
-ra------ 2003-03-20 08:21 1855488 c:\windows\mixer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programy\\Tlen.pl\\tlen.exe"=
"c:\\Programy\\Ares\\Ares.exe"=
"c:\\Programy\\SopCast\\adv\\SopAdver.exe"=
"c:\\Programy\\SopCast\\SopCast.exe"=
"j:\\Program Files\\Kolekcja Klasyki\\Serious Sam2\\Bin\\SeriousSam.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"k:\\Diablo II\\Diablo II.exe"=
"c:\\Program Files\\Hamachi\\hamachi.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"c:\\Program Files\\TVAnts\\Tvants.exe"=

R0 xfilt;VIA SATA IDE Hot-plug Driver;c:\windows\system32\drivers\xfilt.sys [2008-02-29 11264]
.
Zawartość folderu 'Zaplanowane zadania'

2008-06-07 c:\windows\Tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1204811367.job
- c:\program files\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe [2003-04-09 17:56]
.
.
------- Skan uzupełniający -------
.
uStart Page = hxxp://www.daemon-search.com/startpage
IE: E&ksport do programu Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
DPF: {92ECE6FA-AC2E-4042-BFAE-0C8608E52A43} - hxxps://www.bph.pl/pi/components/SignActivX.cab
DPF: {AE56372C-B4F5-11D4-A415-00108302FDFD} - file://c:\programy\autoCAD\InstBanr.ocx
FF - ProfilePath - c:\documents and settings\zielony\Dane aplikacji\Mozilla\Firefox\Profiles\va4l6ush.default\
FF - prefs.js: browser.startup.homepage - www.onet.pl
FF - prefs.js: keyword.URL - hxxp://search.yahoo.com/search?ei=utf-8&fr=megaup&p=
FF - plugin: c:\documents and settings\zielony\Dane aplikacji\Mozilla\Firefox\Profiles\va4l6ush.default\extensions\SignPlugin@bph.pl\plugins\NPSignPlugin.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\NPSignPlugin.dll
FF - plugin: c:\programy\Real Alternative\browser\plugins\nppl3260.dll
FF - plugin: c:\programy\Real Alternative\browser\plugins\nprpjplug.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-20 17:50:57
Windows 5.1.2600 Dodatek Service Pack 3 NTFS

skanowanie ukrytych procesów ... 

skanowanie ukrytych wpisów autostartu ...

skanowanie ukrytych plików ... 

skanowanie pomyślnie ukończone
ukryte pliki: 0

**************************************************************************
.
Czas ukończenia: 2009-01-20 17:51:55
ComboFix-quarantined-files.txt  2009-01-20 16:51:53
ComboFix2.txt  2009-01-20 16:49:08

Przed: 3 249 090 560 bajtów wolnych
Po: 3,236,352,000 bajtów wolnych

Current=3 Default=3 Failed=1 LastKnownGood=4 Sets=1,2,3,4
111   --- E O F ---   2009-01-14 22:49:42


z gory dziekuje za fatyge

pozdrawiam zielonynd

[Okocza]

zielonynd, wstaw loga po skanowaniu Combofixa po którym stało się lepiej.

[zielonynd]

niestety chyba bedzie to niemozliwe bo wykonalem 2 skanowania a ten plik jest chyba podmieniany po kazdym skanowaniu bo jest tylko ten

[Okocza]

jest chyba podmieniany po kazdym skanowaniu bo jest tylko ten

nie może być podmieniany. jest zapisywany z inną nazwą.

[zielonynd]

w takim razie nie mam pojecie co jest nie tak bo w katalogu w ktorym powinno zapisac ten plik, jest tylko jeden *.txt i to jest ten wlasnie zamieszczony wyzej...

z tego co pamietam to combofix z kazdego z dyskow usuna jakis plik autorun wiec pewnei dzieki temu jest ta poprawa wiecej nei jestem w stanie zrobic jesli na podstawie tego loga nic nie da sie stwierdzic to powiedz to zamkniemy temat

[Okocza]

zielonynd, nic się nie zrobi - bo nic nie ma..

Wykonaj to co jest podane w tym temacie

1. tym programem przejdź komputer)
2. wykonaj optymalizację windowsa
3.sciagnij ATF_Cleaner
zaznacz
Windows Temp
All users Temp
Temporary internet files
Recycle Bin
i wcisnij EMPTY SELECTED
4.Wyłącz przywracanie systemu ( właściwości mój komputer-zakładka przywracanie - wyłącz przywracanie na wszystkich dyskach). Po chwili włącz je powrotem
5. Przeskanuj komputer pod względem Trojanów tym programem
6. Wstaw na forum screen z zakładki uruchamianie (start – uruchom – msconfig – uruchamianie) może uda się cos wyrzucic stamtąd.

[sgsman]

nie może być podmieniany. jest zapisywany z inną nazwą.

W takim razie może nie u wszystkich. U mnie też ComboFix podmienia plik po nowym skanowaniu. Może da się odnaleźć plik starego loga za pomocą programu jakiegoś do odszukiwania usuniętych plików, ale chyba szkoda zachodu.

[zielonynd]

chyba jednak cos znalazlem w sumie w innym katalogu ale by sie zgadzalo wszystko wstawiam ponizej

Kod: Zaznacz wszystko

ComboFix 09-01-19.05 - zielony 2009-01-20 17:47:01.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.3.1250.1.1045.18.511.328 [GMT 1:00]
Uruchomiony z: c:\documents and settings\zielony\Pulpit\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((((((   Usunięto   )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Autorun.inf
c:\documents and settings\zielony\Menu Start\Programy\Autostart\ctfmon.exe
c:\recycled\Recycled
c:\recycled\Recycled\ctfmon.exe
c:\windows\system32\f4.exe
c:\windows\system32\i
D:\Autorun.inf
E:\Autorun.inf
F:\Autorun.inf
G:\Autorun.inf
H:\Autorun.inf
J:\Autorun.inf
K:\Autorun.inf
L:\Autorun.inf
M:\Autorun.inf

.
(((((((((((((((((((((((((   Pliki utworzone od 2008-12-20 do 2009-01-20  )))))))))))))))))))))))))))))))
.

2009-01-15 18:42 . 2009-01-15 19:21   <DIR>   d--------   C:\winda
2009-01-09 17:55 . 2007-03-08 00:51   129,784   ---------   c:\windows\system32\pxafs.dll
2009-01-09 17:54 . 2009-01-09 17:56   <DIR>   d--------   c:\program files\Winamp
2009-01-09 17:54 . 2009-01-09 18:13   <DIR>   d--------   c:\documents and settings\zielony\Dane aplikacji\Winamp

.
((((((((((((((((((((((((((((((((((((((((   Sekcja Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-20 16:32   ---------   d-----w   c:\program files\ESET
2009-01-19 22:30   ---------   d-----w   c:\documents and settings\zielony\Dane aplikacji\foobar2000
2009-01-09 16:12   ---------   d-----w   c:\documents and settings\zielony\Dane aplikacji\Tlen.pl
2008-12-16 12:53   ---------   d-----w   c:\program files\TI Education
2008-12-11 10:57   333,952   ----a-w   c:\windows\system32\drivers\srv.sys
2008-12-10 15:49   ---------   d-----w   c:\program files\Creative
2008-12-10 15:49   ---------   d-----w   c:\program files\Common Files\InstallShield
2008-11-30 12:03   161   ---ha-w   c:\documents and settings\zielony\hpothb07.dat
2008-10-23 12:42   286,720   ----a-w   c:\windows\system32\gdi32.dll
2001-11-23 05:08   712,704   ----a-r   c:\windows\inf\OTHER\AUDIO3D.DLL
.

(((((((((((((((((((((((((((((((((((((   Wpisy startowe rejestru   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UserFaultCheck"="c:\windows\system32\dumprep 0 -u" [X]
"NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2005-07-20 7110656]
"NvMediaCenter"="c:\windows\System32\NvMcTray.dll" [2005-07-20 86016]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"nwiz"="nwiz.exe" [2005-07-20 c:\windows\system32\nwiz.exe]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 c:\windows\system32\bthprops.cpl]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3fhg"= mp3fhg.acm
"msacm.divxa32"= divxa32.acm
"VIDC.X264"= x264vfw.dll
"VIDC.HFYU"= huffyuv.dll
"vidc.i263"= i263_32.drv

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^hp psc 1000 series.lnk]
path=c:\documents and settings\All Users\Menu Start\Programy\Autostart\hp psc 1000 series.lnk
backup=c:\windows\pss\hp psc 1000 series.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^hpoddt01.exe.lnk]
path=c:\documents and settings\All Users\Menu Start\Programy\Autostart\hpoddt01.exe.lnk
backup=c:\windows\pss\hpoddt01.exe.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 21:16 39792 c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2008-02-22 04:25 144784 c:\program files\Java\jre1.6.0_05\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C-Media Mixer]
-ra------ 2003-03-20 08:21 1855488 c:\windows\mixer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programy\\Tlen.pl\\tlen.exe"=
"c:\\Programy\\Ares\\Ares.exe"=
"c:\\Programy\\SopCast\\adv\\SopAdver.exe"=
"c:\\Programy\\SopCast\\SopCast.exe"=
"j:\\Program Files\\Kolekcja Klasyki\\Serious Sam2\\Bin\\SeriousSam.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"k:\\Diablo II\\Diablo II.exe"=
"c:\\Program Files\\Hamachi\\hamachi.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"c:\\Program Files\\TVAnts\\Tvants.exe"=

R0 xfilt;VIA SATA IDE Hot-plug Driver;c:\windows\system32\drivers\xfilt.sys [2008-02-29 11264]
.
Zawartość folderu 'Zaplanowane zadania'

2008-06-07 c:\windows\Tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1204811367.job
- c:\program files\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe [2003-04-09 17:56]
.
- - - - USUNIĘTO PUSTE WPISY - - - -

HKLM-Run-WinampAgent - c:\program files\Winamp\winampa.exe
MSConfigStartUp-Uruchamianie DeCe - c:\documents and settings\zielony\Moje dokumenty\dc.exe


.
------- Skan uzupełniający -------
.
uStart Page = hxxp://www.daemon-search.com/startpage
IE: E&ksport do programu Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
DPF: {92ECE6FA-AC2E-4042-BFAE-0C8608E52A43} - hxxps://www.bph.pl/pi/components/SignActivX.cab
DPF: {AE56372C-B4F5-11D4-A415-00108302FDFD} - file://c:\programy\autoCAD\InstBanr.ocx
FF - ProfilePath - c:\documents and settings\zielony\Dane aplikacji\Mozilla\Firefox\Profiles\va4l6ush.default\
FF - prefs.js: browser.startup.homepage - www.onet.pl
FF - prefs.js: keyword.URL - hxxp://search.yahoo.com/search?ei=utf-8&fr=megaup&p=
FF - plugin: c:\documents and settings\zielony\Dane aplikacji\Mozilla\Firefox\Profiles\va4l6ush.default\extensions\SignPlugin@bph.pl\plugins\NPSignPlugin.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\NPSignPlugin.dll
FF - plugin: c:\programy\Real Alternative\browser\plugins\nppl3260.dll
FF - plugin: c:\programy\Real Alternative\browser\plugins\nprpjplug.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-20 17:48:03
Windows 5.1.2600 Dodatek Service Pack 3 NTFS

skanowanie ukrytych procesów ... 

skanowanie ukrytych wpisów autostartu ...

skanowanie ukrytych plików ... 

skanowanie pomyślnie ukończone
ukryte pliki: 0

**************************************************************************
.
Czas ukończenia: 2009-01-20 17:49:07
ComboFix-quarantined-files.txt  2009-01-20 16:49:05

Przed: 1 592 942 592 bajtów wolnych
Po: 3,226,456,064 bajtów wolnych

WindowsXP-KB310994-SP2-Pro-BootDisk-PLK.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn

Current=3 Default=3 Failed=1 LastKnownGood=4 Sets=1,2,3,4
138   --- E O F ---   2009-01-14 22:49:42


[Okocza]

zielonynd, zrób to co prosiłem w poprzednim poście.

[zielonynd]

niestety HDCleaner 3.180 Beta nie jest mozliwy do pobrania... czym moge go zastapic?

[wojtas]

wykonaj to co mozesz... poszukaj tego programu w googlach oraz
Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum.