problem z crsss.exe

[Xuho]

Witam, mam prawdopodobnie problem z procesem csrss.exe, czytałem że to niebezpieczny wirus więc prosze o pomoc was.
Prawdopodobnie będe miał więcej wirusów więc peosze o wyrozumiałość.

Zgóry dziękuje.

Kod: Zaznacz wszystko

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:02:07, on 2007-10-29
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\a-squared Free\a2service.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\UAService7.exe
C:\WINDOWS\System32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Program Files\Opera\Opera.exe
C:\Documents and Settings\Marcin\Pulpit\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.bearshare.com/pl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: SmartShopper - {2BA1C226-EC1B-4471-A65F-D0688AC6EE3A} - C:\Program Files\SmartShopper\Bin\2.0.20\SmrtShpr.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Program Files\FlashGet\jccatch.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Program Files\FlashGet\getflash.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll (file missing)
O3 - Toolbar: (no name) - {37B85A29-692B-4205-9CAD-2626E4993404} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [BearShare] "C:\Program Files\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA SIECIOWA')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Stáhnout &vše FlashGetem - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: &Stáhnout FlashGetem - C:\Program Files\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {3CC3D8FE-F0E0-4dd1-A69A-8C56BCC7BEBF} - (no file)
O9 - Extra button: (no name) - {3CC3D8FE-F0E0-4dd1-A69A-8C56BCC7BEC0} - (no file)
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1188809183406
O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1188809159140
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - file://C:\TempEI4\EI40_\msxml4.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://a532.g.akamai.net/7/532/6712/6c5b0a1ae398e3/player.virtools.com/downloads/player/Install2.5/Installer.exe
O20 - Winlogon Notify: msn_messenger - msn_messenger.dll (file missing)
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: Harmonogram automatycznej usługi LiveUpdate - Unknown owner - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Usługa Auto-Protect programu Norton AntiVirus (navapsvc) - Unknown owner - C:\Program Files\Norton AntiVirus\navapsvc.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\System32\UAService7.exe

--
End of file - 8443 bytes


Pozdrawiam,
Xuho

[wojtas]

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.bearshare.com/pl
O2 - BHO: SmartShopper - {2BA1C226-EC1B-4471-A65F-D0688AC6EE3A} - C:\Program Files\SmartShopper\Bin\2.0.20\SmrtShpr.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: (no name) - {37B85A29-692B-4205-9CAD-2626E4993404} - (no file)
O9 - Extra button: (no name) - {3CC3D8FE-F0E0-4dd1-A69A-8C56BCC7BEBF} - (no file)
O9 - Extra button: (no name) - {3CC3D8FE-F0E0-4dd1-A69A-8C56BCC7BEC0} - (no file)
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - file://C:\TempEI4\EI40_\msxml4.cab
O20 - Winlogon Notify: msn_messenger - msn_messenger.dll (file missing)

Uruchamiasz HijackThis => klikasz Do a system scan only => pokaże się lista wpisów => stawiasz ptaszek przy wpisach, które wymieniłem => klikasz Fix checked i potwierdzasz usunięcie. pogrubiony folder wywalasz dam do kosza;

potem daj log z combofixa oraz nowy z hijacka

[Xuho]

Kod: Zaznacz wszystko

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:22:10, on 2007-10-30
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\a-squared Free\a2service.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\UAService7.exe
C:\WINDOWS\System32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\system32\taskmgr.exe
C:\Program Files\BearShare\BearShare.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Opera\Opera.exe
C:\Documents and Settings\Marcin\Pulpit\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Program Files\FlashGet\jccatch.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Program Files\FlashGet\getflash.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [BearShare] "C:\Program Files\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA SIECIOWA')
O4 - HKUS\S-1-5-21-448539723-1659004503-682003330-1004\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background (User 'Stanisław')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Stáhnout &vše FlashGetem - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: &Stáhnout FlashGetem - C:\Program Files\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {3CC3D8FE-F0E0-4dd1-A69A-8C56BCC7BEBF} - (no file)
O9 - Extra button: (no name) - {3CC3D8FE-F0E0-4dd1-A69A-8C56BCC7BEC0} - (no file)
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1188809183406
O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1188809159140
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - file://C:\TempEI4\EI40_\msxml4.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: Harmonogram automatycznej usługi LiveUpdate - Unknown owner - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Usługa Auto-Protect programu Norton AntiVirus (navapsvc) - Unknown owner - C:\Program Files\Norton AntiVirus\navapsvc.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\System32\UAService7.exe

--
End of file - 7795 bytes


COMBOFIX:

Kod: Zaznacz wszystko

ComboFix 07-10-29.1 - Marcin 2007-10-29 16:10:09.2 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.1.1250.1.1045.18.66 [GMT 1:00]
Running from: C:\Documents and Settings\Marcin\Pulpit\ComboFix.exe
* Created a new restore point
.

(((((((((((((((((((((((((   Files Created from 2007-09-28 to 2007-10-29  )))))))))))))))))))))))))))))))
.

2007-10-24 16:09   <DIR>   d--------   C:\Program Files\Tibia 7.9
2007-10-10 17:31   <DIR>   d--------   C:\Program Files\Tibia 8.0
2007-10-09 23:14   <DIR>   d--------   C:\Program Files\Avira
2007-10-09 23:14   <DIR>   d--------   C:\Documents and Settings\All Users\Dane aplikacji\Avira
2007-10-08 15:06   <DIR>   d--------   C:\Documents and Settings\Marcin\Dane aplikacji\Dev-Cpp
2007-10-08 15:04   <DIR>   d--------   C:\Dev-Cpp
2007-10-06 16:16   <DIR>   d--------   C:\Program Files\No-IP
2007-10-04 16:26   <DIR>   d--------   C:\Program Files\Game_Maker
2007-10-02 16:26   <DIR>   d--------   C:\Program Files\Tibia tets

.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-10-29 15:08   ---------   d-----w   C:\Program Files\Virtools Web Player 2.5
2007-10-26 18:28   ---------   d-----w   C:\Documents and Settings\Marcin\Dane aplikacji\Tibia
2007-10-26 14:55   ---------   d-----w   C:\Program Files\Silkroad
2007-10-24 20:15   ---------   d-----w   C:\Program Files\NAPI-PROJEKT
2007-10-23 18:08   ---------   d-----w   C:\Program Files\Opera
2007-10-09 20:58   ---------   d-----w   C:\Program Files\FlashGet
2007-10-09 20:13   ---------   d-----w   C:\Documents and Settings\Marcin\Dane aplikacji\TibiaTestserver
2007-10-06 14:16   ---------   d-----w   C:\Program Files\Tibia76
2007-10-01 12:14   ---------   d-----w   C:\Program Files\Tibia
2007-09-27 15:19   ---------   d-----w   C:\Program Files\SpeedFan
2007-09-26 20:13   ---------   d-----w   C:\Program Files\a-squared Free
2007-09-25 12:31   ---------   d-----w   C:\Program Files\Common Files\Wise Installation Wizard
2007-09-24 17:07   ---------   d-----w   C:\Program Files\Lavasoft
2007-09-24 17:07   ---------   d-----w   C:\Documents and Settings\All Users\Dane aplikacji\Lavasoft
2007-09-24 12:58   ---------   d-----w   C:\Program Files\SkanerOnline
2007-09-22 07:50   ---------   d-----w   C:\Program Files\Asprate
2007-09-17 14:53   34,308   ----a-w   C:\BASSMOD.DLL
2007-09-17 12:27   ---------   d-----w   C:\Program Files\TGTSoft
2007-09-06 11:33   163,644   ----a-w   C:\WINDOWS\system32\drivers\secdrv.sys
2007-09-06 11:14   ---------   d-----w   C:\Program Files\Electronic Arts
2007-09-06 10:50   ---------   d-----w   C:\Program Files\EA GAMES
2007-09-03 09:27   ---------   d-----w   C:\Program Files\Microsoft CAPICOM 2.1.0.2
2007-08-28 09:27   ---------   d-----w   C:\Program Files\Avast
2007-07-30 17:19   92,504   ----a-w   C:\WINDOWS\system32\cdm.dll
2007-07-30 17:19   549,720   ----a-w   C:\WINDOWS\system32\wuapi.dll
2007-07-30 17:19   53,080   ----a-w   C:\WINDOWS\system32\wuauclt.exe
2007-07-30 17:19   43,352   ----a-w   C:\WINDOWS\system32\wups2.dll
2007-07-30 17:19   325,976   ----a-w   C:\WINDOWS\system32\wucltui.dll
2007-07-30 17:19   271,224   ----a-w   C:\WINDOWS\system32\mucltui.dll
2007-07-30 17:19   203,096   ----a-w   C:\WINDOWS\system32\wuweb.dll
2007-07-30 17:19   1,712,984   ----a-w   C:\WINDOWS\system32\wuaueng.dll
2007-07-30 17:18   33,624   ----a-w   C:\WINDOWS\system32\wups.dll
2007-07-30 17:18   207,736   ----a-w   C:\WINDOWS\system32\muweb.dll
2004-01-20 17:59   3,412   ----a-w   C:\Program Files\INSTALL.LOG
1998-04-30 13:56   129,024   ----a-w   C:\Program Files\UNWISE.EXE
.

(((((((((((((((((((((((((((((   snapshot_2007-09-04_160319.92   )))))))))))))))))))))))))))))))))))))))))
.
- 2007-07-19 22:47:22   109,056   ----a-w   C:\WINDOWS\catchme.exe
+ 2007-10-26 08:51:17   136,192   ----a-w   C:\WINDOWS\catchme.exe
+ 2007-09-24 17:07:26   1,038,336   ----a-r   C:\WINDOWS\Installer\{0E6AB9FC-76C2-431B-9C06-6C1CFFFEA8EB}\Icon0E6AB9FC.exe
+ 2007-09-24 17:07:26   178,688   ----a-r   C:\WINDOWS\Installer\{0E6AB9FC-76C2-431B-9C06-6C1CFFFEA8EB}\Icon0E6AB9FC1.exe
- 2007-06-16 22:11:58   51,200   ----a-w   C:\WINDOWS\nircmd.exe
+ 2007-06-16 23:11:58   51,200   ----a-w   C:\WINDOWS\nircmd.exe
- 2003-04-16 12:00:00   362,496   ----a-w   C:\WINDOWS\Resources\Themes\Luna\Shell\Homestead\shellstyle.dll
+ 2001-10-26 17:28:00   362,496   ----a-w   C:\WINDOWS\Resources\Themes\Luna\Shell\Homestead\shellstyle.dll
- 2003-04-16 12:00:00   362,496   ----a-w   C:\WINDOWS\Resources\Themes\Luna\Shell\Metallic\shellstyle.dll
+ 2001-10-26 17:28:30   362,496   ----a-w   C:\WINDOWS\Resources\Themes\Luna\Shell\Metallic\shellstyle.dll
- 2003-04-16 12:00:00   361,472   ----a-w   C:\WINDOWS\Resources\Themes\Luna\Shell\NormalColor\shellstyle.dll
+ 2001-10-26 17:27:24   361,472   ----a-w   C:\WINDOWS\Resources\Themes\Luna\Shell\NormalColor\shellstyle.dll
- 2007-09-04 14:01:10   16,384   ----a-w   C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
+ 2007-09-27 12:33:38   16,384   ----a-w   C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
- 2007-09-04 14:01:10   32,768   ----a-w   C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Historia\History.IE5\index.dat
+ 2007-09-27 12:33:38   32,768   ----a-w   C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Historia\History.IE5\index.dat
- 2007-09-04 14:01:10   32,768   ----a-w   C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat
+ 2007-09-27 12:33:38   32,768   ----a-w   C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat
- 2003-04-16 12:00:00   361,472   -c--a-w   C:\WINDOWS\system32\dllcache\blue_ss.dll
+ 2001-10-26 17:27:24   361,472   -c--a-w   C:\WINDOWS\system32\dllcache\blue_ss.dll
- 2003-04-16 12:00:00   362,496   -c--a-w   C:\WINDOWS\system32\dllcache\home_ss.dll
+ 2001-10-26 17:28:00   362,496   -c--a-w   C:\WINDOWS\system32\dllcache\home_ss.dll
- 2003-04-16 12:00:00   362,496   -c--a-w   C:\WINDOWS\system32\dllcache\metal_ss.dll
+ 2001-10-26 17:28:30   362,496   -c--a-w   C:\WINDOWS\system32\dllcache\metal_ss.dll
+ 2007-08-09 11:04:11   40,768   ----a-w   C:\WINDOWS\system32\drivers\avgntdd.sys
+ 2007-07-18 12:22:19   21,312   ----a-w   C:\WINDOWS\system32\drivers\avgntmgr.sys
+ 2007-10-10 15:19:37   61,632   ----a-w   C:\WINDOWS\system32\drivers\avipbb.sys
+ 2007-06-04 13:14:56   6,272   ----a-w   C:\WINDOWS\system32\drivers\AWRTPD.sys
+ 2007-06-04 13:17:02   8,320   ----a-w   C:\WINDOWS\system32\drivers\AWRTRD.sys
+ 2007-06-04 13:18:48   9,344   ----a-w   C:\WINDOWS\system32\drivers\NSDriver.sys
+ 2007-03-01 08:34:36   28,352   ----a-w   C:\WINDOWS\system32\drivers\ssmdrv.sys
+ 2007-04-13 13:19:52   7,680   ----a-w   C:\WINDOWS\system32\lsdelete.exe
- 2007-09-04 14:02:37   58,596   ----a-w   C:\WINDOWS\system32\perfc009.dat
+ 2007-10-28 16:48:20   58,596   ----a-w   C:\WINDOWS\system32\perfc009.dat
- 2007-09-04 14:02:37   74,230   ----a-w   C:\WINDOWS\system32\perfc015.dat
+ 2007-10-28 16:48:20   74,230   ----a-w   C:\WINDOWS\system32\perfc015.dat
- 2007-09-04 14:02:37   392,296   ----a-w   C:\WINDOWS\system32\perfh009.dat
+ 2007-10-28 16:48:20   392,296   ----a-w   C:\WINDOWS\system32\perfh009.dat
- 2007-09-04 14:02:37   448,004   ----a-w   C:\WINDOWS\system32\perfh015.dat
+ 2007-10-28 16:48:20   448,004   ----a-w   C:\WINDOWS\system32\perfh015.dat
+ 2007-03-15 10:00:36   466,432   ----a-w   C:\WINDOWS\system32\SkanerOnline.dll
+ 2007-01-19 07:40:42   89,088   ----a-w   C:\WINDOWS\system32\SkanerOnlineUninstall.exe
- 2007-07-22 16:39:27   279,552   ----a-w   C:\WINDOWS\system32\swreg.exe
+ 2007-07-22 17:39:27   279,552   ----a-w   C:\WINDOWS\system32\swreg.exe
.
-- Snapshot reset to current date --
.
(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe" [2003-05-29 16:28]
"SoundMAX"="C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" [2003-05-30 09:42]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2004-03-05 08:48]
"NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2004-03-05 08:48]
"BearShare"="C:\Program Files\BearShare\BearShare.exe" [2006-08-01 17:04]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe" [2003-04-16 13:00]
"IMEKRMIG6.1"="C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE" [2003-04-16 13:00]
"MSPY2002"="C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe" [2003-04-16 13:00]
"PHIME2002ASync"="C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.exe" [2003-04-16 13:00]
"PHIME2002A"="C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.exe" [2003-04-16 13:00]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-10 16:19]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Gadu-Gadu"="C:\Program Files\Gadu-Gadu\gg.exe" [2007-01-16 09:41]
"msnmsgr"="C:\Program Files\MSN Messenger\msnmsgr.exe" [2007-01-19 11:54]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Notification Packages"= scecli scecli scecli scecli scecli

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Microsoft Office.lnk]
path=C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
C:\WINDOWS\System32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EdHTML]
C:\Program Files\Binboy\EdHTMLv5.0\EdHTML.exe /none

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
"C:\Program Files\Messenger\msmsgs.exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]
C:\WINDOWS\System32\\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
nwiz.exe /install

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"C:\Program Files\QuickTime\qttask.exe" -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
"C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\DRIVERS\avgntmgr.sys
R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys
R1 oreans32;oreans32;\??\C:\WINDOWS\system32\drivers\oreans32.sys
R3 tj2knd5;Terayon Cable Modem (NDIS);C:\WINDOWS\System32\DRIVERS\tj2knd5.sys
R3 tj2kunic;Terayon Cable Modem (WDM);C:\WINDOWS\System32\DRIVERS\tj2kunic.sys
S2 Harmonogram automatycznej usługi LiveUpdate;Harmonogram automatycznej usługi LiveUpdate;"C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe"
S3 dump_wmimmc;dump_wmimmc;\??\C:\WINDOWS\System32\drivers\dump_wmimmc.sys
S3 KS-959;Kingsun KS-959 USB Infrared Adapter;C:\WINDOWS\System32\DRIVERS\KS-959.sys
S3 NTProcDrv;Process creation detector for NT.;\??\C:\Documents and Settings\Marcin\Moje dokumenty\Isrobot\NtProcDrv.sys
S3 sony_ssm.sys;sony_ssm.sys;\??\C:\DOCUME~1\Marcin\USTAWI~1\Temp\sony_ssm.sys

.
Contents of the 'Scheduled Tasks' folder
"2007-10-26 18:00:00 C:\WINDOWS\Tasks\Norton AntiVirus - Uruchom pełne skanowanie systemu - Marcin.job"
- C:\PROGRA~1\NORTON~1\Navw32.exe
.
**************************************************************************

catchme 0.3.1239 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-29 16:13:53
Windows 5.1.2600 Dodatek Service Pack. 1 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

**************************************************************************
.
Completion time: 2007-10-29 16:15:09
C:\ComboFix-quarantined-files.txt ... 2007-09-04 15:04
C:\ComboFix2.txt ... 2007-09-04 15:04
.
   --- E O F ---


Pomyłka w temacie: Jest to proces: csrss.exe
Wyczytałem w google że aktywuje się przez używanie MSN Messenger,
Kliknełem wyszukaj i znalazłem 2 pliki csrss.exe.
Co mam zrobić? Prosze o pomoc.
Wirus jest dla mnie uciążliwy wyłącza mi komputer i tym podobne
Jeszcze raz prosze o pomoc.

[Wojtaz]

Ja też mam to w procesach Mam dać Loga na wszelki wypadek??

[wojtas]

C:\WINDOWS\system32\csrss.exe jest to poprawny plik systemowy

Kliknełem wyszukaj i znalazłem 2 pliki csrss.exe.

w jakich lokalizacjach?

Ja też mam to w procesach

ja tez wiec sie nie martw

[Xuho]

w jakich lokalizacjach?

I) C:/Windows/System32/
II) C:/Windows/SoftwareDistribution/Download/6365088f85b501588ee599470d0e71a8

Zeskanowałem oba pliki na "virustotal" i nic nie wykryło, ale jestem pewien na 100% że przez ten proces mi się wyłącza komputer.
Czytałem o tym w google i ten opis tzn. http://wirusy.antivirenkit.pl/pl/opis/Backdoor.Win32.Landis.b.html pasuje do moich problemów

[Kuba1]

Jesteś przewrażliowiony, ten plik jest normalnym plikiem systemowym.

ale jestem pewien na 100% że przez ten proces mi się wyłącza komputer.

Nie żartujmy, masz jakieś podstawy?

[Wojtaz]

Hmmm... Zwykły plik systemowy na pewno Zeskanowałem Avastem i nic nie ma. Przecież z procesach jest napisane, że to jest System, a nie proces od usera.

[AfgaN]

Hmm napewno jest on normalny?
"10. Rozprzestrzenia się wysyłając wiadomości pod wszystkie kontakty w MSN Messenger o treści:

hey, is this you?
[LINK]

gdzie LINK wskazuje na skrypt msn.php?email=[RÓŻNE ADRSY E-MAIL] w domenie http://www.vbulettin.com.

Użytkownik musi kliknąć na link, zapisać plik na dysku a następnie uruchomić by zainstalować robaka."

Otóż kiedyś na gg krążyło coś co samo wysyłało wiadomość do losowej osoby z listy z jakąś wiadomością i linkiem, po wejściu w linka spieprzył mi się zdeka system, a mianowicie padał internet, ale po jakimś czasie sytuacja sama wróciła do normy. Nadmienie że też mam to cenzura w procesach i nie czuje się zbyt pewnie.

[Xuho]

Mam podstawy tak twierdzić ponieważ ile kroć się zaloguje na MSN po włączeniu komputera to przeważnie wyłącza się komputer i świeci zielone światełko. Natomiast gdy się nie zaloguje i zamkne proces to wszystko jest OK.

Myśle że najlepszym rozwiązaniem będzie zamknięcie portów, no ale niewiem.

Co proponujesz?

[Kuba1]

Możesz zamknąć porty Instrukcja

W komputerze masz jedynie plik systemowy, nie masz żadnego wirusa..

My tu nie jesteśmy po to aby udowadniać lub negowac Twoje teorie, zarówno Wojtek jak i Ja mowimy Ci to samo, nie chcesz sie zgodzić - Twoja sprawa, ale Ja czasu na Ciebie tracił nie będe , Inni mają poważniejsze problemy niż "Twoje teorie" .