logo do sprawdzenia ( zawiesza się komp )

[andig]

Wszystko zrobiłem jak napisałeś, ale nadal svchost wrzera ile się da procka. Więc postanowiłem dać jeszcze raz logo z tego samego programiku, może coś jeszcze znajdziesz . Mam 5 tych procesów svchost, jeden tak się sili na początku, ale czy na pewno powinno być ich pięć ??
Został też plik txt o tej samej nazwie co usunołem reg. Moge go też usunąć ?? Jest pusty, ale wole się spytać xD.

Kod: Zaznacz wszystko

Deckard's System Scanner v20070426.43
Run by ADMIN on 2007-05-16 at 19:51:02
Computer is in Normal Mode.
--------------------------------------------------------------------------------



-- HijackThis (run as ADMIN.exe) -----------------------------------------------

Logfile of HijackThis v1.99.1
Scan saved at 19:51:13, on 2007-05-16
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
E:\Programy\InCD\InCDsrv.exe
C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\VNICMon.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\system32\spoolsv.exe
E:\Programy\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
E:\Programy\MSI\bin\btwdins.exe
E:\Programy\Kerio\Personal Firewall 4\kpf4ss.exe
E:\Programy\MSI\BTTray.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
E:\Programy\A4Tech\Mouse\Amoumain.exe
E:\Programy\A4Tech\Keyboard\Ikeymain.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Cyberlink\Shared Files\RichVideo.exe
C:\WINDOWS\System32\svchost.exe
E:\Programy\Spy Sweeper\SpySweeper.exe
E:\Programy\Kerio\Personal Firewall 4\kpf4gui.exe
E:\Programy\StyleXp\CursorXP.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
E:\Programy\Kerio\Personal Firewall 4\kpf4gui.exe
E:\Programy\Opera\Opera.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
E:\Programy\Winamp\winamp.exe
C:\WINDOWS\notepad.exe
C:\Documents and Settings\ADMIN\Pulpit\Programy\Drużyna odsyfiania\dss.exe
C:\DOCUME~1\ADMIN\Pulpit\Programy\Drużyna odsyfiania\HijackThis\ADMIN.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programy\Adobe Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - E:\Programy\FlashGet\jccatch.dll
O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MegauploadToolbar\megauploadtoolbar.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: CoTGT_BHO Class - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Program Files\TGTSoft\StyleXP\TGT_BHO.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - E:\Programy\FlashGet\getflash.dll
O3 - Toolbar: FlashGet - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - E:\Programy\FlashGet\fgiebar.dll
O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MegauploadToolbar\megauploadtoolbar.dll
O4 - HKLM\..\Run: [NIC Monitor] VNICMon.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [Ad-watch] "E:\Programy\Ad-aware 6\Ad-watch.exe"
O4 - HKLM\..\Run: [WinampAgent] E:\Programy\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "E:\Programy\Quick Time\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Gadu-Gadu] "E:\Programy\Gadu-Gadu\gg.exe" /tray
O4 - Startup: Amoumain.lnk = E:\Programy\A4Tech\Mouse\Amoumain.exe
O4 - Startup: cursor.CurXPTheme
O4 - Startup: Ikeymain.lnk = E:\Programy\A4Tech\Keyboard\Ikeymain.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = E:\Programy\Adobe Reader\Reader\reader_sl.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Kalendarz XP.lnk = E:\Programy\Kalendarz XP\Kalendarz.exe
O8 - Extra context menu item: &Ściągnij przy pomocy FlashGet'a - E:\Programy\FlashGet\jc_link.htm
O8 - Extra context menu item: &Ściągnij wszystko przy pomocy FlashGet'a - E:\Programy\FlashGet\jc_all.htm
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Wyślij do interfejsu &Bluetooth - E:\Programy\MSI\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - E:\Programy\MSI\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - E:\Programy\MSI\btsendto_ie.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\Programy\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\Programy\FlashGet\flashget.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\Skype4COM.dll
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - E:\Programy\MSI\bin\btwdins.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - E:\Programy\InCD\InCDsrv.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - E:\Programy\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: SQL Server (SQLEXPRESS) (MSSQL$SQLEXPRESS) - Unknown owner - c:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sSQLEXPRESS (file missing)
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\Cyberlink\Shared Files\RichVideo.exe
O23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: Creative VF0010 RunApp Service (VF0010Srv) - Unknown owner - h:\drivers\english\V0010bSv.exe (file missing)
O23 - Service: Visual Studio Analyzer RPC bridge - Unknown owner - E:\Nauka\Visual Basic 6.0\Tools\VS-Ent98\Vanalyzr\varpc.exe (file missing)
O23 - Service: Webroot Spy Sweeper Engine (WebrootSpySweeperService) - Webroot Software, Inc. - E:\Programy\Spy Sweeper\SpySweeper.exe


-- Files created between 2007-04-16 and 2007-05-16 -----------------------------

2007-05-02 13:12:52    122880 --a------ C:\WINDOWS\UnGins.exe
2007-04-24 23:30:50         0 d-------- C:\Program Files\Cyberlink
2007-04-24 23:25:00         0 d-------- C:\Program Files\Windows Media Connect 2
2007-04-24 23:22:45         0 d-------- C:\WINDOWS\system32\LogFiles
2007-04-24 23:22:45         0 d-------- C:\WINDOWS\system32\drivers\UMDF
2007-04-17 01:25:53         0 d-------- C:\Program Files\MegauploadToolbar


-- Find3M Report ---------------------------------------------------------------

2007-05-03 11:24:22         0 d-------- C:\Program Files\Java
2007-04-28 10:28:43         0 d-------- C:\Documents and Settings\ADMIN\Dane aplikacji\Skype
2007-04-27 17:37:32         0 d-------- C:\Documents and Settings\ADMIN\Dane aplikacji\MusicIP
2007-04-22 20:52:27         0 d--h----- C:\Program Files\InstallShield Installation Information
2007-04-22 14:52:03         0 d-------- C:\Documents and Settings\ADMIN\Dane aplikacji\Gadu-Gadu
2007-04-21 13:01:07         0 d-------- C:\Documents and Settings\ADMIN\Dane aplikacji\MegauploadToolbar
2007-04-07 14:43:44         0 d-------- C:\Program Files\Apple Software Update
2007-04-06 16:43:44         0 d-------- C:\Program Files\DivX
2007-04-06 16:43:43         0 d-------- C:\Program Files\DivXCodec
2007-04-06 14:56:52     43520 --a------ C:\WINDOWS\system32\CmdLineExt03.dll
2007-03-25 14:14:38         0 d-------- C:\Program Files\Common Files\Skype
2007-03-25 12:16:45    497928 --a------ C:\WINDOWS\system32\perfh015.dat
2007-03-25 12:16:45     93128 --a------ C:\WINDOWS\system32\perfc015.dat
2007-03-19 18:08:44         0 d-------- C:\Program Files\Netia
2007-03-11 19:00:04     77824 --a------ C:\WINDOWS\system32\mmswitch.dll
2007-03-11 17:54:18    237568 --a------ C:\WINDOWS\system32\OggDS.dll <Not Verified; ; Ogg DirectShow(tm) Filter Collection>
2007-03-11 17:52:15    921600 --a------ C:\WINDOWS\system32\vorbisenc.dll
2007-03-11 17:44:12    188416 --a------ C:\WINDOWS\system32\vorbis.dll
2007-03-11 17:42:06     45056 --a------ C:\WINDOWS\system32\ogg.dll
2007-03-11 17:41:37   1415680 --a------ C:\WINDOWS\system32\WMV9VCM.dll <Not Verified; Microsoft Corporation; Windows Media Video 9 VCM>
2007-03-11 17:30:41    245760 --a------ C:\WINDOWS\system32\mplvpx.dll <Not Verified; Ligos Corporation; MPL Video Library>
2007-03-11 17:29:29      9216 --a------ C:\WINDOWS\system32\cpuinf32.dll
2007-03-11 17:28:25    755200 --a------ C:\WINDOWS\system32\ir50_32.dll <Not Verified; Intel Corporation; Intel Indeo® video 5.10>
2007-03-11 17:11:58    765952 --a------ C:\WINDOWS\system32\xvidcore.dll


-- Registry Dump ---------------------------------------------------------------

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}   E:\Programy\Adobe Reader\ActiveX\AcroIEHelper.dll
{2F364306-AA45-47B5-9F9D-39A8B94E7EF7}   E:\Programy\FlashGet\jccatch.dll
{4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C}   C:\PROGRA~1\MegauploadToolbar\megauploadtoolbar.dll
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}   C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
{9030D464-4C02-4ABF-8ECC-5164760863C6}   C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
{C333CF63-767F-4831-94AC-E683D962C63C}   C:\Program Files\TGTSoft\StyleXP\TGT_BHO.dll
{F156768E-81EF-470C-9057-481BA8380DBA}   E:\Programy\FlashGet\getflash.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"NIC Monitor"="VNICMon.exe"
"avast!"="C:\\PROGRA~1\\ALWILS~1\\Avast4\\ashDisp.exe"
"SunJavaUpdateSched"="\"C:\\Program Files\\Java\\jre1.6.0_01\\bin\\jusched.exe\""
"Ad-watch"="\"E:\\Programy\\Ad-aware 6\\Ad-watch.exe\""
"WinampAgent"="E:\\Programy\\Winamp\\winampa.exe"
"QuickTime Task"="\"E:\\Programy\\Quick Time\\qttask.exe\" -atboottime"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"
"Gadu-Gadu"="\"E:\\Programy\\Gadu-Gadu\\gg.exe\" /tray"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa
   Authentication Packages   REG_MULTI_SZ      msv1_0\0\0
   Security Packages   REG_MULTI_SZ      kerberos\0msv1_0\0schannel\0wdigest\0\0
   Notification Packages   REG_MULTI_SZ      scecli\0\0

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\WebrootSpySweeperService

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Ad-watch]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Ad-watch"
"hkey"="HKLM"
"command"="\"E:\\Programy\\Ad-aware 6\\Ad-watch.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="msmsgs"
"hkey"="HKCU"
"command"="\"C:\\Program Files\\Messenger\\msmsgs.exe\" /background"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="qttask"
"hkey"="HKLM"
"command"="\"E:\\Programy\\Quick Time\\qttask.exe\" -atboottime"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
LocalService   REG_MULTI_SZ      Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService   REG_MULTI_SZ      DnsCache\0\0
rpcss   REG_MULTI_SZ      RpcSs\0\0
imgsvc   REG_MULTI_SZ      StiSvc\0\0
termsvcs   REG_MULTI_SZ      TermService\0\0
HTTPFilter   REG_MULTI_SZ      HTTPFilter\0\0
DcomLaunch   REG_MULTI_SZ      DcomLaunch\0TermService\0\0
WudfServiceGroup   REG_MULTI_SZ      WUDFSvc\0\0


[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{74ddef9c-a94a-11db-a019-806d6172696f}]
Shell\AutoRun\command   D:\SETUP.EXE


-- End of Deckard's System Scanner: finished at 2007-05-16 at 19:54:57 ---------



[wojtas]

w logach jest juz ok wiec to nie wina wirusow

Autor postu otrzymał pochwałę

[andig]

A jednak to nie jest takie pewne. Tak mnie wzieło, żeby avastem przeskanować. Już znalazł jednego trojana, zobaczymy co dalej. Tak czy inaczej należy ci się WIELKI PLUS. Pomagałeś mi kawał czasu i pomogłeś pewne rzeczy naprawić i usunąć. Jestem przekonany, że teraz napewno jest mniej tego syfu, reszte spróbuje wyłapać programikami w razie co się zgłosze, bo słyszałem o jeszcze jednej możliwości dlaczego tak. Być może któryś z tych programów to już sprawdził, no ale to już puźniej. Teraz postanowiłem, że wznowie prace nad programem do sprawdzania loga, bo stary nie jest już tak skutenczy jak był kiedyś . Jeszcze raz dzięki i pozdrawiam .

[wojtas]

hmm pokazuj screeny jak cos avast znajdzie

[andig]

Ok, jednego już nie zobaczysz, ale z tego co pamiętam avast wywala pod koniec efekty swojej pracy .

[ Dodano: Dzisiaj o 16:04 ]
Mam pytanie, zanim dam zdjecia ( komp mi się zawiesił ). Mam na dysku c, gdzie mam winda, folder deckard. W nim są te pliki zarażone. Jednak w folderze są nie tylko te pliki, albo przynajmniej były tylko jeszcz mase innych. Sam folder ma ponad 600 mb Oo. Usunąłbym go odrazu, ale musze mieć pewność, że nie jest to folder związny z windem. Bo nie chce się potem nie mile roczarować .

[wojtas]

mogles go skasowac

[andig]

Nie udało mi się uploadować na Image Shack, więc dałem na upoladed.to. Screeny nie są najlepsze (nie da się dobrze ścieżki odczytać), ale bądź wyrozumiały. Robiłem je gdzieś o 3 rano w totalnym zmęczeniu i ledwo widziałem co robiłem xD. Tu masz link http://uploaded.to/?id=xor8u3. Niestety wirek, czy cokolwiek to jest nadal siedzi w kompie. Teraz skanuje czym się da, więc jak masz jakieś linki do ciekawych programików, stron ze skanowaniem dysku, czegokolwiek, to podawaj. Wszelkie propozycje mile widziane.

[wojtas]

Wyłącz przywracanie systemu ( właściwości mój komputer-zakładka przywracanie - wyłącz przywracanie na wszystkich dyskach)

po chwili wlacz je z powrotem:

sciagnij: ATF_Cleaner

http://www.atribune.org/ccount/click.php?id=1
zaznacz
Windows Temp
Temporary internet files
i wcisnij EMPTY SELECTED

[andig]

Zrobiłem jak napisałeś. Jutro, a raczej dzisiaj :p, sprawdzę, czy to coś dało. Avast wykrył jeszcze dwa virki, tu masz link do screenów http://uploaded.to/?id=0cvsz0.

[wojtas]

wykrywa CI w save do gier czyli skasuj ten folder

[andig]

Usunołem folder real war i nadal nic.

[wojtas]

w logach nic zlego niestety nie masz

[andig]

Dziś przypadkiem natknąłem się na to http://pl.wikipedia.org/wiki/Rootkit. Może to jest tego powodem. Na razie skanuje czym wlezie. Może w końcu się uda. W razie co, to jest jeszcze jedna możliwość dlaczego tak jest, ale to po prze skanowaniu xD. Znajomy, do którego dzwoniłem mówił mi coś o pamięci przeznaczonej chyba na operacje. Teraz to bardziej strzelam co mówił, niż pamiętam, bo to tydzień temu było, no ale w razie co to dryngne do niego i się zapytam o szczegóły i wtedy zobaczymy .

[wojtas]

sciagnij gmera:

http://gmer.net/gmer.zip

1. Zakładka Rootkit >>> zaznaczone wszystko oprócz Pokazuj wszystko >>> kliknij Szukaj >>> czekaj cierpliwie aż skończy >>> Kopiuj >>> wklej do posta
2. Zakładka Rootkit >>> zaznaczone tylko Usługi i Pokazuj wszystko >>> kliknij Szukaj >>> czekaj cierpliwie aż skończy >>> Kopiuj >>> wklej do posta

jesli raz daj logi z gmera

[andig]

GMER 1.0.12.12244 - http://www.gmer.net
Rootkit scan 2007-05-22 01:02:53
Windows 5.1.2600 Dodatek Service Pack 2


---- System - GMER 1.0.12 ----

SSDT 82351A80 ZwAllocateVirtualMemory
SSDT \SystemRoot\system32\drivers\fwdrv.sys ZwClose
SSDT \SystemRoot\system32\drivers\fwdrv.sys ZwCreateFile
SSDT \SystemRoot\system32\drivers\fwdrv.sys ZwCreateKey
SSDT \SystemRoot\system32\drivers\fwdrv.sys ZwCreateProcess
SSDT \SystemRoot\system32\drivers\fwdrv.sys ZwCreateProcessEx
SSDT \SystemRoot\system32\drivers\fwdrv.sys ZwCreateThread
SSDT \SystemRoot\system32\drivers\fwdrv.sys ZwDeleteFile
SSDT \SystemRoot\system32\drivers\fwdrv.sys ZwDeleteKey
SSDT \SystemRoot\system32\drivers\fwdrv.sys ZwDeleteValueKey
SSDT sptd.sys ZwEnumerateKey
SSDT sptd.sys ZwEnumerateValueKey
SSDT \SystemRoot\system32\drivers\khips.sys ZwLoadDriver
SSDT \SystemRoot\system32\drivers\khips.sys ZwMapViewOfSection
SSDT \SystemRoot\system32\drivers\fwdrv.sys ZwOpenFile
SSDT \SystemRoot\system32\drivers\fwdrv.sys ZwOpenKey
SSDT sptd.sys ZwQueryKey
SSDT sptd.sys ZwQueryValueKey
SSDT 82351AF8 ZwQueueApcThread
SSDT 82351990 ZwReadVirtualMemory
SSDT 823B90A8 ZwRenameKey
SSDT \SystemRoot\system32\drivers\fwdrv.sys ZwResumeThread
SSDT 82351BE8 ZwSetContextThread
SSDT \SystemRoot\system32\drivers\fwdrv.sys ZwSetInformationFile
SSDT 823B80A8 ZwSetInformationKey
SSDT 82351E40 ZwSetInformationProcess
SSDT 82351C60 ZwSetInformationThread
SSDT \SystemRoot\system32\drivers\fwdrv.sys ZwSetValueKey
SSDT 82351DC8 ZwSuspendProcess
SSDT 82351B70 ZwSuspendThread
SSDT 82351EB8 ZwTerminateProcess
SSDT 82351CD8 ZwTerminateThread
SSDT \SystemRoot\system32\drivers\fwdrv.sys ZwWriteFile
SSDT 82351A08 ZwWriteVirtualMemory

---- Kernel code sections - GMER 1.0.12 ----

? C:\WINDOWS\system32\drivers\sptd.sys Proces nie może uzyskać dostępu do pliku, ponieważ jest on używany przez inny proces.
? C:\WINDOWS\System32\Drivers\SPTD2365.SYS Proces nie może uzyskać dostępu do pliku, ponieważ jest on używany przez inny proces.
PAGENDSM NDIS.SYS!NdisMIndicateStatus F83B1A5F 6 Bytes JMP AAE5535C \SystemRoot\system32\drivers\fwdrv.sys
? C:\WINDOWS\System32\Drivers\dtscsi.sys Proces nie może uzyskać dostępu do pliku, ponieważ jest on używany przez inny proces.
? C:\WINDOWS\System32\DRIVERS\update.sys

---- User code sections - GMER 1.0.12 ----

.text E:\Programy\StyleXp\CursorXP.exe[236] kernel32.dll!VirtualProtectEx 7C801A5D 5 Bytes JMP 001301A8
.text E:\Programy\StyleXp\CursorXP.exe[236] kernel32.dll!VirtualProtect 7C801AD0 5 Bytes JMP 00130090
.text E:\Programy\StyleXp\CursorXP.exe[236] kernel32.dll!WriteProcessMemory 7C80220F 5 Bytes JMP 00130694
.text E:\Programy\StyleXp\CursorXP.exe[236] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 001302C0
.text E:\Programy\StyleXp\CursorXP.exe[236] kernel32.dll!CreateProcessA 7C802367 5 Bytes JMP 00130234
.text E:\Programy\StyleXp\CursorXP.exe[236] kernel32.dll!VirtualAlloc 7C809A81 5 Bytes JMP 00130004
.text E:\Programy\StyleXp\CursorXP.exe[236] kernel32.dll!VirtualAllocEx 7C809AA2 5 Bytes JMP 0013011C
.text E:\Programy\StyleXp\CursorXP.exe[236] kernel32.dll!CreateRemoteThread 7C810626 5 Bytes JMP 001304F0
.text E:\Programy\StyleXp\CursorXP.exe[236] kernel32.dll!CreateThread 7C81082F 5 Bytes JMP 0013057C
.text E:\Programy\StyleXp\CursorXP.exe[236] kernel32.dll!CreateProcessInternalW 7C8191EB 5 Bytes JMP 001303D8
.text E:\Programy\StyleXp\CursorXP.exe[236] kernel32.dll!CreateProcessInternalA 7C81DA9E 5 Bytes JMP 0013034C
.text E:\Programy\StyleXp\CursorXP.exe[236] kernel32.dll!WinExec 7C86114D 5 Bytes JMP 00130464
.text E:\Programy\StyleXp\CursorXP.exe[236] kernel32.dll!SetThreadContext 7C862849 5 Bytes JMP 00130608
.text E:\Programy\StyleXp\CursorXP.exe[236] USER32.dll!SetWindowsHookExW 77D5E621 5 Bytes JMP 001307AC
.text E:\Programy\StyleXp\CursorXP.exe[236] USER32.dll!SetWindowsHookExA 77D602B2 5 Bytes JMP 00130720
.text E:\Programy\Ad-Aware SE Personal\Ad-Aware SE Personal\Ad-Aware.exe[244] kernel32.dll!VirtualProtectEx 7C801A5D 5 Bytes JMP 001901A8
.text E:\Programy\Ad-Aware SE Personal\Ad-Aware SE Personal\Ad-Aware.exe[244] kernel32.dll!VirtualProtect 7C801AD0 5 Bytes JMP 00190090
.text E:\Programy\Ad-Aware SE Personal\Ad-Aware SE Personal\Ad-Aware.exe[244] kernel32.dll!WriteProcessMemory 7C80220F 5 Bytes JMP 00190694
.text E:\Programy\Ad-Aware SE Personal\Ad-Aware SE Personal\Ad-Aware.exe[244] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 001902C0
.text E:\Programy\Ad-Aware SE Personal\Ad-Aware SE Personal\Ad-Aware.exe[244] kernel32.dll!CreateProcessA 7C802367 5 Bytes JMP 00190234
.text E:\Programy\Ad-Aware SE Personal\Ad-Aware SE Personal\Ad-Aware.exe[244] kernel32.dll!VirtualAlloc 7C809A81 5 Bytes JMP 00190004
.text E:\Programy\Ad-Aware SE Personal\Ad-Aware SE Personal\Ad-Aware.exe[244] kernel32.dll!VirtualAllocEx 7C809AA2 5 Bytes JMP 0019011C
.text E:\Programy\Ad-Aware SE Personal\Ad-Aware SE Personal\Ad-Aware.exe[244] kernel32.dll!CreateRemoteThread 7C810626 5 Bytes JMP 001904F0
.text E:\Programy\Ad-Aware SE Personal\Ad-Aware SE Personal\Ad-Aware.exe[244] kernel32.dll!CreateThread 7C81082F 5 Bytes JMP 0019057C
.text E:\Programy\Ad-Aware SE Personal\Ad-Aware SE Personal\Ad-Aware.exe[244] kernel32.dll!CreateProcessInternalW 7C8191EB 5 Bytes JMP 001903D8
.text E:\Programy\Ad-Aware SE Personal\Ad-Aware SE Personal\Ad-Aware.exe[244] kernel32.dll!CreateProcessInternalA 7C81DA9E 5 Bytes JMP 0019034C
.text E:\Programy\Ad-Aware SE Personal\Ad-Aware SE Personal\Ad-Aware.exe[244] kernel32.dll!WinExec 7C86114D 5 Bytes JMP 00190464
.text E:\Programy\Ad-Aware SE Personal\Ad-Aware SE Personal\Ad-Aware.exe[244] kernel32.dll!SetThreadContext 7C862849 5 Bytes JMP 00190608
.text E:\Programy\Ad-Aware SE Personal\Ad-Aware SE Personal\Ad-Aware.exe[244] USER32.dll!GetCursor 77D3CECD 5 Bytes JMP 10001080 E:\Programy\StyleXp\CurXP0.dll
.text E:\Programy\Ad-Aware SE Personal\Ad-Aware SE Personal\Ad-Aware.exe[244] USER32.dll!GetIconInfo 77D3E9A1 5 Bytes JMP 10001030 E:\Programy\StyleXp\CurXP0.dll
.text E:\Programy\Ad-Aware SE Personal\Ad-Aware SE Personal\Ad-Aware.exe[244] USER32.dll!DrawIconEx 77D3F38A 5 Bytes JMP 10001120 E:\Programy\StyleXp\CurXP0.dll
.text E:\Programy\Ad-Aware SE Personal\Ad-Aware SE Personal\Ad-Aware.exe[244] USER32.dll!SetWindowsHookExW 77D5E621 5 Bytes JMP 001907AC
.text E:\Programy\Ad-Aware SE Personal\Ad-Aware SE Personal\Ad-Aware.exe[244] USER32.dll!SetWindowsHookExA 77D602B2 5 Bytes JMP 00190720
.text E:\Programy\Ad-Aware SE Personal\Ad-Aware SE Personal\Ad-Aware.exe[244] wininet.dll!InternetConnectA 771B44DB 5 Bytes JMP 00190F54
.text E:\Programy\Ad-Aware SE Personal\Ad-Aware SE Personal\Ad-Aware.exe[244] wininet.dll!InternetOpenA 771B6D2A 5 Bytes JMP 00190D24
.text E:\Programy\Ad-Aware SE Personal\Ad-Aware SE Personal\Ad-Aware.exe[244] wininet.dll!InternetOpenUrlA 771B6FDD 5 Bytes JMP 00190E3C
.text E:\Programy\Ad-Aware SE Personal\Ad-Aware SE Personal\Ad-Aware.exe[244] wininet.dll!InternetConnectW 771C5D4C 5 Bytes JMP 00190FE0
.text E:\Programy\Ad-Aware SE Personal\Ad-Aware SE Personal\Ad-Aware.exe[244] wininet.dll!InternetOpenW 771C6CF3 5 Bytes JMP 00190DB0
.text E:\Programy\Ad-Aware SE Personal\Ad-Aware SE Personal\Ad-Aware.exe[244] wininet.dll!InternetOpenUrlW 771C7304 5 Bytes JMP 00190EC8
.text E:\Programy\Ad-Aware SE Personal\Ad-Aware SE Personal\Ad-Aware.exe[244] ws2_32.dll!socket 71A53B91 5 Bytes JMP 001908C4
.text E:\Programy\Ad-Aware SE Personal\Ad-Aware SE Personal\Ad-Aware.exe[244] ws2_32.dll!bind 71A53E00 5 Bytes JMP 00190838
.text E:\Programy\Ad-Aware SE Personal\Ad-Aware SE Personal\Ad-Aware.exe[244] ws2_32.dll!connect 71A5406A 5 Bytes JMP 00190950
.text C:\WINDOWS\system32\spoolsv.exe[264] kernel32.dll!VirtualProtectEx 7C801A5D 5 Bytes JMP 000801A8
.text C:\WINDOWS\system32\spoolsv.exe[264] kernel32.dll!VirtualProtect 7C801AD0 5 Bytes JMP 00080090
.text C:\WINDOWS\system32\spoolsv.exe[264] kernel32.dll!WriteProcessMemory 7C80220F 5 Bytes JMP 00080694
.text C:\WINDOWS\system32\spoolsv.exe[264] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 000802C0
.text C:\WINDOWS\system32\spoolsv.exe[264] kernel32.dll!CreateProcessA 7C802367 5 Bytes JMP 00080234
.text C:\WINDOWS\system32\spoolsv.exe[264] kernel32.dll!VirtualAlloc 7C809A81 5 Bytes JMP 00080004
.text C:\WINDOWS\system32\spoolsv.exe[264] kernel32.dll!VirtualAllocEx 7C809AA2 5 Bytes JMP 0008011C
.text C:\WINDOWS\system32\spoolsv.exe[264] kernel32.dll!CreateRemoteThread 7C810626 5 Bytes JMP 000804F0
.text C:\WINDOWS\system32\spoolsv.exe[264] kernel32.dll!CreateThread 7C81082F 5 Bytes JMP 0008057C
.text C:\WINDOWS\system32\spoolsv.exe[264] kernel32.dll!CreateProcessInternalW 7C8191EB 5 Bytes JMP 000803D8
.text C:\WINDOWS\system32\spoolsv.exe[264] kernel32.dll!CreateProcessInternalA 7C81DA9E 5 Bytes JMP 0008034C
.text C:\WINDOWS\system32\spoolsv.exe[264] kernel32.dll!WinExec 7C86114D 5 Bytes JMP 00080464
.text C:\WINDOWS\system32\spoolsv.exe[264] kernel32.dll!SetThreadContext 7C862849 5 Bytes JMP 00080608
.text C:\WINDOWS\system32\spoolsv.exe[264] USER32.dll!SetWindowsHookExW 77D5E621 5 Bytes JMP 000807AC
.text C:\WINDOWS\system32\spoolsv.exe[264] USER32.dll!SetWindowsHookExA 77D602B2 5 Bytes JMP 00080720
.text C:\WINDOWS\system32\spoolsv.exe[264] WS2_32.dll!socket 71A53B91 5 Bytes JMP 000808C4
.text C:\WINDOWS\system32\spoolsv.exe[264] WS2_32.dll!bind 71A53E00 5 Bytes JMP 00080838
.text C:\WINDOWS\system32\spoolsv.exe[264] WS2_32.dll!connect 71A5406A 5 Bytes JMP 00080950
.text E:\Programy\MSI\bin\btwdins.exe[468] kernel32.dll!VirtualProtectEx 7C801A5D 5 Bytes JMP 001301A8
.text E:\Programy\MSI\bin\btwdins.exe[468] kernel32.dll!VirtualProtect 7C801AD0 5 Bytes JMP 00130090
.text E:\Programy\MSI\bin\btwdins.exe[468] kernel32.dll!WriteProcessMemory 7C80220F 5 Bytes JMP 00130694
.text E:\Programy\MSI\bin\btwdins.exe[468] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 001302C0
.text E:\Programy\MSI\bin\btwdins.exe[468] kernel32.dll!CreateProcessA 7C802367 5 Bytes JMP 00130234
.text E:\Programy\MSI\bin\btwdins.exe[468] kernel32.dll!VirtualAlloc 7C809A81 5 Bytes JMP 00130004
.text E:\Programy\MSI\bin\btwdins.exe[468] kernel32.dll!VirtualAllocEx 7C809AA2 5 Bytes JMP 0013011C
.text E:\Programy\MSI\bin\btwdins.exe[468] kernel32.dll!CreateRemoteThread 7C810626 5 Bytes JMP 001304F0
.text E:\Programy\MSI\bin\btwdins.exe[468] kernel32.dll!CreateThread 7C81082F 5 Bytes JMP 0013057C
.text E:\Programy\MSI\bin\btwdins.exe[468] kernel32.dll!CreateProcessInternalW 7C8191EB 5 Bytes JMP 001303D8
.text E:\Programy\MSI\bin\btwdins.exe[468] kernel32.dll!CreateProcessInternalA 7C81DA9E 5 Bytes JMP 0013034C
.text E:\Programy\MSI\bin\btwdins.exe[468] kernel32.dll!WinExec 7C86114D 5 Bytes JMP 00130464
.text E:\Programy\MSI\bin\btwdins.exe[468] kernel32.dll!SetThreadContext 7C862849 5 Bytes JMP 00130608
.text E:\Programy\MSI\bin\btwdins.exe[468] WS2_32.dll!socket 71A53B91 5 Bytes JMP 001308C4
.text E:\Programy\MSI\bin\btwdins.exe[468] WS2_32.dll!bind 71A53E00 5 Bytes JMP 00130838
.text E:\Programy\MSI\bin\btwdins.exe[468] WS2_32.dll!connect 71A5406A 5 Bytes JMP 00130950
.text E:\Programy\MSI\bin\btwdins.exe[468] USER32.dll!SetWindowsHookExW 77D5E621 5 Bytes JMP 001307AC
.text E:\Programy\MSI\bin\btwdins.exe[468] USER32.dll!SetWindowsHookExA 77D602B2 5 Bytes JMP 00130720
.text E:\Programy\Kerio\Personal Firewall 4\kpf4ss.exe[600] kernel32.dll!VirtualProtectEx 7C801A5D 5 Bytes JMP 000301A8
.text E:\Programy\Kerio\Personal Firewall 4\kpf4ss.exe[600] kernel32.dll!VirtualProtect 7C801AD0 5 Bytes JMP 00030090
.text E:\Programy\Kerio\Personal Firewall 4\kpf4ss.exe[600] kernel32.dll!WriteProcessMemory 7C80220F 5 Bytes JMP 00030694
.text E:\Programy\Kerio\Personal Firewall 4\kpf4ss.exe[600] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 000302C0
.text E:\Programy\Kerio\Personal Firewall 4\kpf4ss.exe[600] kernel32.dll!CreateProcessA 7C802367 5 Bytes JMP 00030234
.text E:\Programy\Kerio\Personal Firewall 4\kpf4ss.exe[600] kernel32.dll!VirtualAlloc 7C809A81 5 Bytes JMP 00030004
.text E:\Programy\Kerio\Personal Firewall 4\kpf4ss.exe[600] kernel32.dll!VirtualAllocEx 7C809AA2 5 Bytes JMP 0003011C
.text E:\Programy\Kerio\Personal Firewall 4\kpf4ss.exe[600] kernel32.dll!CreateRemoteThread 7C810626 5 Bytes JMP 000304F0
.text E:\Programy\Kerio\Personal Firewall 4\kpf4ss.exe[600] kernel32.dll!CreateThread 7C81082F 5 Bytes JMP 0003057C
.text E:\Programy\Kerio\Personal Firewall 4\kpf4ss.exe[600] kernel32.dll!CreateProcessInternalW 7C8191EB 5 Bytes JMP 000303D8
.text E:\Programy\Kerio\Personal Firewall 4\kpf4ss.exe[600] kernel32.dll!CreateProcessInternalA 7C81DA9E 5 Bytes JMP 0003034C
.text E:\Programy\Kerio\Personal Firewall 4\kpf4ss.exe[600] kernel32.dll!WinExec 7C86114D 5 Bytes JMP 00030464
.text E:\Programy\Kerio\Personal Firewall 4\kpf4ss.exe[600] kernel32.dll!SetThreadContext 7C862849 5 Bytes JMP 00030608
.text E:\Programy\Kerio\Personal Firewall 4\kpf4ss.exe[600] WS2_32.dll!socket 71A53B91 5 Bytes JMP 000308C4
.text E:\Programy\Kerio\Personal Firewall 4\kpf4ss.exe[600] WS2_32.dll!bind 71A53E00 5 Bytes JMP 00030838
.text E:\Programy\Kerio\Personal Firewall 4\kpf4ss.exe[600] WS2_32.dll!connect 71A5406A 5 Bytes JMP 00030950
.text E:\Programy\Kerio\Personal Firewall 4\kpf4ss.exe[600] USER32.dll!SetWindowsHookExW 77D5E621 5 Bytes JMP 000307AC
.text E:\Programy\Kerio\Personal Firewall 4\kpf4ss.exe[600] USER32.dll!SetWindowsHookExA 77D602B2 5 Bytes JMP 00030720
.text E:\Programy\Kerio\Personal Firewall 4\kpf4ss.exe[600] WININET.dll!InternetConnectA 771B44DB 5 Bytes JMP 00030F54
.text E:\Programy\Kerio\Personal Firewall 4\kpf4ss.exe[600] WININET.dll!InternetOpenA 771B6D2A 5 Bytes JMP 00030D24
.text E:\Programy\Kerio\Personal Firewall 4\kpf4ss.exe[600] WININET.dll!InternetOpenUrlA 771B6FDD 5 Bytes JMP 00030E3C
.text E:\Programy\Kerio\Personal Firewall 4\kpf4ss.exe[600] WININET.dll!InternetConnectW 771C5D4C 5 Bytes JMP 00030FE0
.text E:\Programy\Kerio\Personal Firewall 4\kpf4ss.exe[600] WININET.dll!InternetOpenW 771C6CF3 5 Bytes JMP 00030DB0
.text E:\Programy\Kerio\Personal Firewall 4\kpf4ss.exe[600] WININET.dll!InternetOpenUrlW 771C7304 5 Bytes JMP 00030EC8
.text C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE[788] kernel32.dll!VirtualProtectEx 7C801A5D 5 Bytes JMP 001301A8
.text C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE[788] kernel32.dll!VirtualProtect 7C801AD0 5 Bytes JMP 00130090
.text C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE[788] kernel32.dll!WriteProcessMemory 7C80220F 5 Bytes JMP 00130694
.text C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE[788] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 001302C0
.text C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE[788] kernel32.dll!CreateProcessA 7C802367 5 Bytes JMP 00130234
.text C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE[788] kernel32.dll!VirtualAlloc 7C809A81 5 Bytes JMP 00130004
.text C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE[788] kernel32.dll!VirtualAllocEx 7C809AA2 5 Bytes JMP 0013011C
.text C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE[788] kernel32.dll!CreateRemoteThread 7C810626 5 Bytes JMP 001304F0
.text C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE[788] kernel32.dll!CreateThread 7C81082F 5 Bytes JMP 0013057C
.text C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE[788] kernel32.dll!CreateProcessInternalW 7C8191EB 5 Bytes JMP 001303D8
.text C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE[788] kernel32.dll!CreateProcessInternalA 7C81DA9E 5 Bytes JMP 0013034C
.text C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE[788] kernel32.dll!WinExec 7C86114D 5 Bytes JMP 00130464
.text C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE[788] kernel32.dll!SetThreadContext 7C862849 5 Bytes JMP 00130608
.text C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE[788] USER32.dll!SetWindowsHookExW 77D5E621 5 Bytes JMP 001307AC
.text C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE[788] USER32.dll!SetWindowsHookExA 77D602B2 5 Bytes JMP 00130720
.text C:\WINDOWS\system32\csrss.exe[796] USER32.dll!SetWindowsHookExW 77D5E621 5 Bytes JMP 001607AC
.text C:\WINDOWS\system32\csrss.exe[796] USER32.dll!SetWindowsHookExA 77D602B2 5 Bytes JMP 00160720
.text C:\WINDOWS\system32\csrss.exe[796] KERNEL32.dll!VirtualProtectEx 7C801A5D 5 Bytes JMP 001601A8
.text C:\WINDOWS\system32\csrss.exe[796] KERNEL32.dll!VirtualProtect 7C801AD0 5 Bytes JMP 00160090
.text C:\WINDOWS\system32\csrss.exe[796] KERNEL32.dll!WriteProcessMemory 7C80220F 5 Bytes JMP 00160694
.text C:\WINDOWS\system32\csrss.exe[796] KERNEL32.dll!CreateProcessW 7C802332 5 Bytes JMP 001602C0
.text C:\WINDOWS\system32\csrss.exe[796] KERNEL32.dll!CreateProcessA 7C802367 5 Bytes JMP 00160234
.text C:\WINDOWS\system32\csrss.exe[796] KERNEL32.dll!VirtualAlloc 7C809A81 5 Bytes JMP 00160004
.text C:\WINDOWS\system32\csrss.exe[796] KERNEL32.dll!VirtualAllocEx 7C809AA2 5 Bytes JMP 0016011C
.text C:\WINDOWS\system32\csrss.exe[796] KERNEL32.dl

[wojtas]

zle logi dokladnie zapoznaj sie z instrukcja i wklej na rapida :

1. Zakładka Rootkit >>> zaznaczone wszystko oprócz Pokazuj wszystko >>> kliknij Szukaj >>> czekaj cierpliwie aż skończy >>> Kopiuj >>> wklej do posta
2. Zakładka Rootkit >>> zaznaczone tylko Usługi i Pokazuj wszystko >>> kliknij Szukaj >>> czekaj cierpliwie aż skończy >>> Kopiuj >>> wklej do posta

[andig]

Logi są dobre xD, tylko nie wkleiły się całe. Chciałem je upoladować, ale coś się zcieło i długo to trwało, a potem poszedłem na tv. Tak przy okazji --> nie da się zaznaczyć ,,znznacz wszystko" mając zaznoaczone reszte opcji xD, przynajmniej u mnie tak jest. Tu masz logi.

[wojtas]

w logach nic nie masz