log do sprawdzenia - problem z windowsem xp

**Posty:** 934 · przez **AragornXT** 03 Lis 2006, 17:36

To zniknęło z folderu Windows, poza tym nie moge otworzyć killbloxa. Wyskakuje błąd:

System Error [tu jakieś liczby]. Serwer RPC nie jest dostępny.

**Posty:** 935 · przez **Aqui** 03 Lis 2006, 17:48

Daj jeszcze raz combofix,zobaczymy czy to jeszcze jest,ale nie sądze zeby samo zniknelo..
Start==>wyszukaj==>pliki i foldery==>zaznacz zeby ukryte tez szukal
i daj mu na szukanie _MSRSTRT.EXE
Wklej ostatni raz 3 logi do sprawdzenie hijackthis silentrunners i combofix
Sciagnij http://www.billsway.com/vbspage/ i daj mu na wyszukiwanie
_MSRSTRT.EXE

**Posty:** 934 · przez **AragornXT** 03 Lis 2006, 17:53

Combofix:

ComboFix 06.10.19 - Running from: "C:\Documents and Settings\Michaˆ\Pulpit"

((((((((((((((((((((((((((((((( Files Created from 2006-10-03 to 2006-11-03 ))))))))))))))))))))))))))))))))))

2006-11-02 20:45 6,144 -ra------ C:\WINDOWS\system32\drivers\viaidexp.sys
2006-11-02 20:45 36,224 --a------ C:\WINDOWS\system32\drivers\isapnp.sys
2006-10-28 12:38 99,840 --a------ C:\WINDOWS\system32\irftp.exe
2006-10-28 12:38 78,848 --a------ C:\WINDOWS\system32\irmon.dll
2006-10-28 12:38 7,680 --a------ C:\WINDOWS\system32\wshirda.dll
2006-10-28 12:38 55,296 --a------ C:\WINDOWS\system32\drivers\irda.sys
2006-10-28 12:38 19,584 --a------ C:\WINDOWS\system32\drivers\rasirda.sys
2006-10-28 12:38 19,018 -ra------ C:\WINDOWS\system32\drivers\KS-959.sys
2006-10-06 13:04 10,345 --a------ C:\WINDOWS\system32\drivers\hamachi.sys
2006-10-05 18:15 129,784 --------- C:\WINDOWS\system32\pxafs.dll
2006-10-05 18:15 115,880 --------- C:\WINDOWS\system32\pxinsi64.exe

(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))

2006-11-03 15:56 -------- d-------- C:\Program Files\Mozilla Firefox
2006-11-02 17:01 -------- d-------- C:\Program Files\Tibia
2006-11-01 17:34 -------- d-------- C:\Program Files\ewido anti-spyware 4.0
2006-11-01 15:48 -------- d-------- C:\Program Files\FlashGet
2006-11-01 10:06 -------- d-------- C:\Documents and Settings\Michal\Dane aplikacji\Ahead
2006-11-01 09:31 -------- d-------- C:\Program Files\Common Files\Ahead
2006-11-01 09:24 -------- d-------- C:\Program Files\Nero
2006-11-01 09:24 -------- d-------- C:\Program Files\Common Files
2006-11-01 09:16 -------- d-------- C:\Program Files\Ahead
2006-10-31 18:26 -------- d-------- C:\Documents and Settings\Michal\Dane aplikacji\Adobe
2006-10-31 18:07 -------- d-------- C:\Program Files\Adobe
2006-10-31 18:04 -------- d-------- C:\Program Files\Common Files\Adobe
2006-10-31 18:03 -------- d-------- C:\Program Files\Common Files\Adobe Systems Shared
2006-10-31 16:10 -------- d-------- C:\Program Files\Konnekt
2006-10-30 18:35 -------- d-------- C:\Program Files\WinRAR
2006-10-28 17:31 -------- d-------- C:\Documents and Settings\Michal\Dane aplikacji\Help
2006-10-27 15:48 -------- d-------- C:\Program Files\TransAng3
2006-10-27 15:46 163644 --a------ C:\WINDOWS\system32\drivers\secdrv.sys
2006-10-15 13:00 -------- d-------- C:\Program Files\MSXML 4.0
2006-10-12 19:37 61072 --a------ C:\WINDOWS\system32\drivers\klick.sys
2006-10-12 19:37 59536 --a------ C:\WINDOWS\system32\drivers\klin.sys
2006-10-06 13:27 -------- d-------- C:\Program Files\Exact Audio Copy
2006-10-05 18:16 -------- d-------- C:\Program Files\Winamp
2006-10-05 18:11 -------- d-------- C:\Program Files\Gadu-Gadu
2006-10-05 15:23 -------- d-------- C:\Program Files\DkZ Studio
2006-09-22 19:57 -------- d-------- C:\Documents and Settings\Michal\Dane aplikacji\Desktop Sidebar
2006-09-20 18:57 -------- d-------- C:\Documents and Settings\Michal\Dane aplikacji\SmartFTP
2006-09-19 17:49 -------- d-------- C:\Program Files\Enigma Software Productions
2006-09-19 17:01 -------- d-------- C:\Program Files\Common Files\MAGIX Shared
2006-09-16 15:00 -------- d-------- C:\Program Files\Common Files\Microsoft Shared
2006-09-16 14:52 43520 --a------ C:\WINDOWS\system32\CmdLineExt03.dll
2006-09-16 14:52 -------- d--h----- C:\Program Files\InstallShield Installation Information
2006-09-16 14:44 -------- d-------- C:\Program Files\KONAMI
2006-09-16 06:56 -------- d-------- C:\Documents and Settings\Michal\Dane aplikacji\Real
2006-09-13 17:26 -------- d-------- C:\Program Files\Edukacja XXI wieku
2006-09-12 16:51 1245184 --a------ C:\WINDOWS\system32\msxml4.dll
2006-09-03 16:08 -------- d-------- C:\Program Files\Zylom Games
2006-09-03 16:08 -------- d-------- C:\Program Files\Gamenext

(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"Konnekt"="\"C:\\Program Files\\Konnekt\\konnekt.exe\" /autostart"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"SoundMan"="SOUNDMAN.EXE"
"CacheBoost"="C:\\Program Files\\CacheBoost\\trayicon.exe"
"kis"="\"C:\\Program Files\\Kaspersky Lab\\Kaspersky Internet Security 6.0\\avp.exe\""

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000005

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Moja bieżąca strona główna"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,e4,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,e2,03,\
00,00,04,00,00,40
"RestoredStateInfo"=hex:18,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,e2,03,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Moduł wstępnego ładowania interfejsu Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Demon buforu kategorii składników"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="ewido anti-spyware 4.0"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"NoSaveSettings"=dword:00000000

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=hex:91,00,00,00

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=hex:91,00,00,00

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ctfmon"
"hkey"="HKCU"
"command"="C:\\WINDOWS\\System32\\ctfmon.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="msmsgs"
"hkey"="HKCU"
"command"="\"C:\\Program Files\\Messenger\\msmsgs.exe\" /background"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NeroCheck"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="nwiz"
"hkey"="HKLM"
"command"="nwiz.exe /install"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"NVSvc"=dword:00000002
"arcaserv"=dword:00000003
"ArcaScan"=dword:00000003
"ArcaMonSvc"=dword:00000002
"ABNetMon"=dword:00000002

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

Completion time: 06-11-03 16:29:07.95
C:\ComboFix.txt ... 06-11-03 16:29
C:\ComboFix2.txt ... 06-11-03 16:12
C:\ComboFix3.txt ... 06-11-02 20:56

Hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 16:30:13, on 2006-11-03
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Program Files\CacheBoost\cbsrv.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\CacheBoost\trayicon.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Program Files\Konnekt\konnekt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
D:\instalki\przydatne\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [CacheBoost] C:\Program Files\CacheBoost\trayicon.exe
O4 - HKLM\..\Run: [kis] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKCU\..\Run: [Konnekt] "C:\Program Files\Konnekt\konnekt.exe" /autostart
O8 - Extra context menu item: Dodaj do Kaspersky Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm
O8 - Extra context menu item: Download All by FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - C:\Program Files\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: Ochrona WWW - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1158928010749
O17 - HKLM\System\CCS\Services\Tcpip\..\{99D61BC1-8DEE-4024-9CF0-6A045E0FED2C}: NameServer = 10.1.10.1,194.204.159.1
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\System32\klogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)
O23 - Service: CacheBoost Performance Optimizer and Tuner Service (CacheBoost Service) - Systweak India - C:\Program Files\CacheBoost\cbsrv.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe

Nie moge uruchomić Silent Runnera.
Nie mogę otworzyć opcji ''Wyszukaj''
Co mam dokładniej ściągnąć ?

**Posty:** 935 · przez **Aqui** 03 Lis 2006, 18:01

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

Pokaz jeszcze wynik wyszukiwarki
Logi są czyste.......
Jeszcze bedziemy szukali rootkitów....
Sciagasz http://www.gmer.net/?lang=pl
W gmerze:

- Rootkit >>> zaznaczone Pokaż wszystko >>> wskazane tylko Usługi >>> Szukaj >>> Kopiuj >>> CTRL+V do posta
- Rootkit >>> odznaczone Pokaż wszystko >>> wskazane wszystkie obiekty do skanu >>> Szukaj >>> Kopiuj >>> CTRL+V do posta

Wrzuc te pliki na rapida idaj nam namiary na nie

**Posty:** 934 · przez **AragornXT** 03 Lis 2006, 18:02

mika150 napisał(a):Co mam dokładniej ściągnąć ?

**Posty:** 935 · przez **Aqui** 03 Lis 2006, 18:07

Registry Search Tool
Czytaj co napisalem w poprzednim poscie...

**Posty:** 934 · przez **AragornXT** 03 Lis 2006, 18:11

Nie chce się otworzyć :!:

.Poza tym mówie, że schowek nie działa

**Posty:** 935 · przez **Aqui** 03 Lis 2006, 18:13

A co sie pokazuje??Sprobuj sciagnac jeszcze raz...

Nie krzycz

**Posty:** 934 · przez **AragornXT** 03 Lis 2006, 18:17

Nic nie pokazuje. Po prostu brak odzewu.

**Posty:** 935 · przez **Aqui** 03 Lis 2006, 18:28

Sprobuj sciagnac jeszcze raz.......
Combofix juz go nie pokazuje..
Poczytaj to co napisalem wczesniej
Start==>panel sterowania==>zaplanowane zadani i zobacz czy tam nie ma wyszukiwarki,dodatkowo zobacz czy nie ma tam jakiegos z narzedzie o ktorych mowilismy wczesniej

**Posty:** 934 · przez **AragornXT** 03 Lis 2006, 18:46

Aqui napisał(a):Start==>panel sterowania==>zaplanowane zadani i zobacz czy tam nie ma wyszukiwarki,dodatkowo zobacz czy nie ma tam jakiegos z narzedzie o ktorych mowilismy wczesniej

mogę otworzyć zakładke wyszukaj, ale gdy klikam na Pliki i foldery nie ma żandnej akcji

**Posty:** 935 · przez **Aqui** 03 Lis 2006, 18:48

No to wykonaj to co Ci napisalem co zacytowales..........

**Posty:** 934 · przez **AragornXT** 03 Lis 2006, 18:54

http://file4u.pl/plik-1083025340-dokument.rtf.html

**Posty:** 935 · przez **Aqui** 03 Lis 2006, 18:57

Start==>panel sterowania==>zaplanowane zadani i zobacz czy tam nie ma wyszukiwarki,dodatkowo zobacz czy nie ma tam jakiegos z narzedzie o ktorych mowilismy wczesniej

http://file4u.pl/plik-1083025340-dokument.rtf.html

File not found

**Posty:** 934 · przez **AragornXT** 03 Lis 2006, 19:03

To zobacz:
www.uploader.pl/file/1973/Dokument.rtf.html

Co do narzędzia - nie ma owego

**Posty:** 935 · przez **Aqui** 03 Lis 2006, 19:06

A co jest z tego co nie znasz??Chodzi mi o zaplanowane zadania
Jesli chodzi o ten plik to sie sciaga jest juz w porzadku,ale ja gmera se dopiero ucze takze musisz poczekac na Reda
On Ci to sprawdzi...

**Posty:** 934 · przez **AragornXT** 11 Lis 2006, 16:29

Dobra - jestem po formacie. Dzieki za chęci. Możecie zakmnąć.

**Posty:** 935 · przez **Aqui** 11 Lis 2006, 16:37

Syfu naprawde w logach(prócz gmera,bo nie sprawdzalem) nie było widać.....

log do sprawdzenia - problem z windowsem xp

Kto jest na forum