Aktualizacje na programosy.pl:
Game Maker • Arduino IDE • Python • Extreme Picture Finder • ReSharper • Monkey′s Audio • Farbar Recovery Scan Tool • DAEMON Tools Lite • ESET Internet Security
-
- Ogłoszenie:
Problem z systemem (wirus?)
13 posty(ów) • Strona 1 z 1
Problem z systemem (wirus?)
przez klucha1234 12 Paź 2008, 14:16
Ostatnio edytowany przez klucha1234, 12 Paź 2008, 16:34, edytowano w sumie 1 raz
- klucha1234
- ~user
- Posty: 8
- Dołączenie: 12 Paź 2008, 14:10
Poważny problem
przez Okocza 12 Paź 2008, 14:52
klucha1234, po 1 popraw nazwę tematu, po 2 wklej logi z combofixa i hijack this (w tej kolejności wstawiaj)
eMachines E730G - Core i5-430M, 2GiB RAM, ATI Mobility Radeon HD5470, WD 320GiB; Cort Z-44,DR 0.09-0.42, Peavey Backstage
Mac OS X 10.7.4 Lion // Windows 7 Professional x64 // NIE POMAGAM NA PW/GG/E-MAIL
"Moje Ego i Anima spotykają się i wymieniają przepisami na ciasteczka" - Maynard James Keenan
Mac OS X 10.7.4 Lion // Windows 7 Professional x64 // NIE POMAGAM NA PW/GG/E-MAIL
"Moje Ego i Anima spotykają się i wymieniają przepisami na ciasteczka" - Maynard James Keenan
-
Okocza - ~user
- Posty: 8001
- Dołączenie: 19 Mar 2006, 11:53
- Pochwały: 406
-
Re: problem z systemem (wirus?)
przez klucha1234 12 Paź 2008, 16:36
Chciałbym wkleić te logi, ale nie mogę. Kiedy klikam na ikonę któregokolwiek z tych dwóch programów to nic się nie dzieje. Czasami na ułamek sekundy coś się pojawi, ale loga zrobić nie mogę.
- klucha1234
- ~user
- Posty: 8
- Dołączenie: 12 Paź 2008, 14:10
-
Problem z systemem (wirus?)
przez Okocza 12 Paź 2008, 16:45
klucha1234, wejdź w awaryjny i to wykonaj
eMachines E730G - Core i5-430M, 2GiB RAM, ATI Mobility Radeon HD5470, WD 320GiB; Cort Z-44,DR 0.09-0.42, Peavey Backstage
Mac OS X 10.7.4 Lion // Windows 7 Professional x64 // NIE POMAGAM NA PW/GG/E-MAIL
"Moje Ego i Anima spotykają się i wymieniają przepisami na ciasteczka" - Maynard James Keenan
Mac OS X 10.7.4 Lion // Windows 7 Professional x64 // NIE POMAGAM NA PW/GG/E-MAIL
"Moje Ego i Anima spotykają się i wymieniają przepisami na ciasteczka" - Maynard James Keenan
-
Okocza - ~user
- Posty: 8001
- Dołączenie: 19 Mar 2006, 11:53
- Pochwały: 406
-
Re: problem z systemem (wirus?)
przez klucha1234 12 Paź 2008, 17:05
Niestety, w tryb awaryjny też nie mogę wejść. Kiedy próbuję wejść to przewija mi się lista jakichś plików i komputer się restartuje.
- klucha1234
- ~user
- Posty: 8
- Dołączenie: 12 Paź 2008, 14:10
-
Re: problem z systemem (wirus?)
przez djarta 12 Paź 2008, 17:06
klucha1234 napisał(a):Niestety, w tryb awaryjny też nie mogę wejść. Kiedy próbuję wejść to przewija mi się lista jakichś plików i komputer się restartuje.
Jak się bootuje Windows to F8, jeśli awaryjny nie działa, to możliwe, że masz BAGLE.
======================
K.
Pozdrawiam djarta. 
- djarta
- ~user
- Posty: 684
- Dołączenie: 31 Lip 2008, 10:49
- Pochwały: 55
Problem z systemem (wirus?)
przez Okocza 12 Paź 2008, 17:29
Użyj narzędzia BootSafe zaznacz opcje Safe Mode- Networking i kliknij reboot . bedziesz po restarcie w trybie awaryjnym
jeśli nie zadziała to:
Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum
jeśli nie zadziała to:
Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum
eMachines E730G - Core i5-430M, 2GiB RAM, ATI Mobility Radeon HD5470, WD 320GiB; Cort Z-44,DR 0.09-0.42, Peavey Backstage
Mac OS X 10.7.4 Lion // Windows 7 Professional x64 // NIE POMAGAM NA PW/GG/E-MAIL
"Moje Ego i Anima spotykają się i wymieniają przepisami na ciasteczka" - Maynard James Keenan
Mac OS X 10.7.4 Lion // Windows 7 Professional x64 // NIE POMAGAM NA PW/GG/E-MAIL
"Moje Ego i Anima spotykają się i wymieniają przepisami na ciasteczka" - Maynard James Keenan
-
Okocza - ~user
- Posty: 8001
- Dołączenie: 19 Mar 2006, 11:53
- Pochwały: 406
-
Re: problem z systemem (wirus?)
przez klucha1234 12 Paź 2008, 23:54
Jakoś udało mi się uruchomić HiJack. Oto log:
- Kod: Zaznacz wszystko
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:53:15, on 2008-10-12
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ESET\ESET Smart Security\ekrn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Freedom\Freedom.exe
C:\Program Files\ESET\ESET Smart Security\egui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\totalcmd\TOTALCMD.EXE
D:\HiJackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice
O4 - HKLM\..\RunOnce: [GrpConv] grpconv -o
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-21-854245398-2147138339-839522115-1003\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Wyślij do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: Wyślij &do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.pl/resources/virusscanner/kavwebscan_unicode.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0F2A3968-704D-41E9-824C-3D76BC0215D1}: NameServer = 194.204.159.1 217.98.63.164
O17 - HKLM\System\CS1\Services\Tcpip\..\{0F2A3968-704D-41E9-824C-3D76BC0215D1}: NameServer = 194.204.159.1 217.98.63.164
O23 - Service: Usługa bramy warstwy aplikacji (ALG) - Unknown owner - C:\WINDOWS\System32\alg.exe
O23 - Service: Ares Chatroom server (AresChatServer) - Unknown owner - C:\Program Files\Ares\chatServer.exe (file missing)
O23 - Service: Usługa indeksowania (CiSvc) - Unknown owner - C:\WINDOWS\system32\cisvc.exe
O23 - Service: Aplikacja systemowa modelu COM+ (COMSysApp) - Unknown owner - C:\WINDOWS\system32\dllhost.exe
O23 - Service: Usługa administracyjna Menedżera dysków logicznych (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: Distributed Transaction Coordinator (MSDTC) - Unknown owner - C:\WINDOWS\system32\msdtc.exe
O23 - Service: Instalator Windows (MSIServer) - Unknown owner - C:\WINDOWS\system32\msiexec.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - Unknown owner - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Menedżer sesji pomocy pulpitu zdalnego (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: QoS RSVP (RSVP) - Unknown owner - C:\WINDOWS\system32\rsvp.exe
O23 - Service: Karta inteligentna (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Bufor wydruku (Spooler) - Unknown owner - C:\WINDOWS\system32\spoolsv.exe
O23 - Service: MS Software Shadow Copy Provider (SwPrv) - Unknown owner - C:\WINDOWS\system32\dllhost.exe
O23 - Service: Dzienniki wydajności i alerty (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Windows User Mode Driver Framework (UMWdf) - Unknown owner - C:\WINDOWS\system32\wdfmgr.exe (file missing)
O23 - Service: Zasilacz awaryjny (UPS) (UPS) - Unknown owner - C:\WINDOWS\System32\ups.exe
O23 - Service: Kopiowanie woluminów w tle (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Karta wydajności WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe
--
End of file - 5426 bytes
- klucha1234
- ~user
- Posty: 8
- Dołączenie: 12 Paź 2008, 14:10
-
Problem z systemem (wirus?)
przez Magik 13 Paź 2008, 00:09
to skoro odpaliles Hijacka, sprobuj odpalic Sdfix
Zastosuj SDFix . Po pobraniu uruchom go a rozpakuje się do C:\SDFix. Uruchom komputer w trybie awaryjnym (F8 przy stracie systemu). Będąc w awaryjnym uruchom plik RunThis.bat z folderu SDFixa. Zatwierdź czyszczenie przez Y. Poczekaj aż ukończy i komputer zresetuje
Potem wejdz do folderu C:\SDFix wrzuc zawartość pliku Report.txt
jesli nie zaskoczy to sproboj combofix'a odpalic
a w HJT te wpisy dajesz na fix chcecked w trybie awaryjnym
i zcekamy na sdfix'a i combofix'a......
Zastosuj SDFix . Po pobraniu uruchom go a rozpakuje się do C:\SDFix. Uruchom komputer w trybie awaryjnym (F8 przy stracie systemu). Będąc w awaryjnym uruchom plik RunThis.bat z folderu SDFixa. Zatwierdź czyszczenie przez Y. Poczekaj aż ukończy i komputer zresetuje
Potem wejdz do folderu C:\SDFix wrzuc zawartość pliku Report.txt
jesli nie zaskoczy to sproboj combofix'a odpalic
a w HJT te wpisy dajesz na fix chcecked w trybie awaryjnym
- Kod: Zaznacz wszystko
O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe
O4 - HKLM\..\RunOnce: [GrpConv] grpconv -o
i zcekamy na sdfix'a i combofix'a......
-
Magik - ~user
- Posty: 7956
- Dołączenie: 08 Maj 2004, 09:17
- Miejscowość: Głogów
- Pochwały: 886
-
Re: problem z systemem (wirus?)
przez klucha1234 14 Paź 2008, 14:27
Oto log z ComboFixa:
Log z HJT:
SDfixa nie mogę uruchomić, gdyż tryb awaryjny dalej nie działa, a programu BootSafe nie użyję, bo przez niego musiałem formatować dysk! Skan z Kaspersky Online Scanner był za duży, żeby zmieścić go w poście.
- Kod: Zaznacz wszystko
ComboFix 08-10-12.01 - Klucha i RouRo 2008-10-14 14:19:09.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.767 [GMT 2:00]
Uruchomiony z: C:\Documents and Settings\Klucha i RouRo\Pulpit\fvhfhjgfhjfhgfhg.exe
[COLOR=RED][B]UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !![/B][/COLOR]
.
((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\faceback.exe
C:\WINDOWS\system32\setup.ini
C:\WINDOWS\system32\spoolsi.exe
E:\Autorun.inf
E:\pv6mxu.bat
.
((((((((((((((((((((((((( Pliki utworzone od 2008-09-14 do 2008-10-14 )))))))))))))))))))))))))))))))
.
2008-10-14 14:18 . 2008-10-14 14:18 <DIR> d-------- C:\Program Files\Trend Micro
2008-10-14 14:10 . 2008-01-02 03:45 <DIR> d-------- C:\SDFix
2008-10-14 13:47 . 2008-10-14 13:47 <DIR> d-------- C:\WINDOWS\system32\Lang
2008-10-14 13:47 . 2008-10-14 13:47 940,794 --a------ C:\WINDOWS\system32\LoopyMusic.wav
2008-10-14 13:47 . 2008-10-14 13:47 146,650 --a------ C:\WINDOWS\system32\BuzzingBee.wav
2008-10-14 10:39 . 2006-07-11 18:43 1,060,864 --a------ C:\WINDOWS\system32\mfc71.dll
2008-10-14 10:39 . 2007-01-01 20:03 40,960 -ra------ C:\WINDOWS\system32\psfind.dll
2008-10-14 10:35 . 2008-10-14 10:41 <DIR> d--h----- C:\Program Files\InstallShield Installation Information
2008-10-14 10:28 . 2008-10-14 10:28 <DIR> d-------- C:\Program Files\Microsoft Works
2008-10-14 10:25 . 2008-10-14 10:25 <DIR> d-------- C:\WINDOWS\SHELLNEW
2008-10-14 10:25 . 2008-10-14 10:28 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\Microsoft Help
2008-10-14 10:24 . 2008-10-14 10:24 <DIR> dr-h----- C:\MSOCache
2008-10-14 10:18 . 2008-10-14 10:18 <DIR> d-------- C:\Program Files\Total Commander
2008-10-14 10:18 . 2008-07-29 07:04 545 --a------ C:\WINDOWS\UC.PIF
2008-10-14 10:18 . 2008-07-29 07:04 545 --a------ C:\WINDOWS\RAR.PIF
2008-10-14 10:18 . 2008-07-29 07:04 545 --a------ C:\WINDOWS\PKZIP.PIF
2008-10-14 10:18 . 2008-07-29 07:04 545 --a------ C:\WINDOWS\PKUNZIP.PIF
2008-10-14 10:18 . 2008-07-29 07:04 545 --a------ C:\WINDOWS\NOCLOSE.PIF
2008-10-14 10:18 . 2008-07-29 07:04 545 --a------ C:\WINDOWS\LHA.PIF
2008-10-14 10:18 . 2008-07-29 07:04 545 --a------ C:\WINDOWS\ARJ.PIF
2008-10-14 10:18 . 2008-10-14 10:26 442 --a------ C:\WINDOWS\wincmd.ini
2008-10-14 10:16 . 2008-10-14 10:17 <DIR> d-------- C:\Program Files\Winamp
2008-10-14 10:16 . 2003-10-28 12:02 20,016 --------- C:\WINDOWS\system32\drivers\pxhelp20.sys
2008-10-14 10:16 . 2008-10-14 10:25 155 --a------ C:\WINDOWS\winamp.ini
2008-10-14 10:15 . 2008-10-14 10:34 <DIR> d-------- C:\Program Files\NAPI-PROJEKT
2008-10-14 10:12 . 2008-10-14 10:13 <DIR> d-------- C:\DirectX
2008-10-14 10:11 . 2008-10-14 10:11 <DIR> d-------- C:\Program Files\Common Files\Adobe
2008-10-14 10:11 . 2008-10-14 10:11 <DIR> d-------- C:\Program Files\Adobe Reader 9.0
2008-10-14 10:09 . 2008-10-14 10:09 <DIR> d-------- C:\Program Files\Real Alternative
2008-10-14 10:09 . 2008-10-14 10:09 <DIR> d-------- C:\Program Files\Java
2008-10-14 10:09 . 2006-07-11 18:35 503,808 --a------ C:\WINDOWS\system32\MSVCP71.dll
2008-10-14 10:01 . 2004-08-04 00:44 130,048 --a------ C:\WINDOWS\system32\ksproxy.ax
2008-10-14 10:01 . 2004-08-03 23:08 60,288 --a------ C:\WINDOWS\system32\drivers\drmk.sys
2008-10-14 10:01 . 2004-08-04 00:44 4,096 --a------ C:\WINDOWS\system32\ksuser.dll
2008-10-14 09:57 . 2004-11-18 10:42 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe
2008-10-14 09:55 . 2008-10-14 09:55 <DIR> d----c--- C:\WINDOWS\system32\DRVSTORE
2008-10-14 09:55 . 2008-10-14 09:55 <DIR> d-------- C:\Program Files\DIFX
2008-10-14 09:55 . 2006-06-18 23:51 43,520 --a------ C:\WINDOWS\system32\drivers\AmdK8.sys
2008-10-14 09:52 . 2000-03-29 16:17 5,824 --a------ C:\WINDOWS\system32\drivers\ASUSHWIO.SYS
2008-10-14 09:52 . 2008-10-14 09:56 4,253 --a------ C:\WINDOWS\Ascd_tmp.ini
2008-10-14 09:50 . 2008-10-14 09:50 <DIR> d-------- C:\WINDOWS\nview
2008-10-14 09:50 . 2008-05-16 14:01 655,360 --a------ C:\WINDOWS\system32\nvudisp.exe
2008-10-14 09:50 . 2008-10-14 14:18 186,500 --a------ C:\WINDOWS\system32\nvapps.xml
2008-10-14 09:50 . 2008-05-16 14:01 18,070 --a------ C:\WINDOWS\system32\nvdisp.nvu
2008-10-14 09:47 . 2008-10-14 09:47 <DIR> d-------- C:\Program Files\Common Files\InstallShield
2008-10-14 09:47 . 2008-05-16 11:48 491,520 --a------ C:\WINDOWS\system32\NVUNINST.EXE
2008-10-14 09:46 . 2008-10-14 09:46 <DIR> d-------- C:\NVIDIA
2008-10-14 08:53 . 2008-10-14 08:53 <DIR> d-------- C:\Documents and Settings\Klucha i RouRo\Dane aplikacji\Gadu-Gadu
2008-10-14 08:51 . 2008-10-14 08:51 <DIR> d-------- C:\Program Files\Gadu-Gadu
2008-10-14 08:51 . 2008-10-14 14:00 <DIR> d-------- C:\Documents and Settings\Klucha i RouRo\Gadu-Gadu
2008-10-14 08:30 . 2008-10-14 08:30 <DIR> d-------- C:\Documents and Settings\Klucha i RouRo\Dane aplikacji\Media Player Classic
2008-10-14 08:29 . 2008-10-14 08:29 <DIR> d-------- C:\Program Files\K-Lite Codec Pack
2008-10-13 23:06 . 2008-10-14 14:22 <DIR> d--h----- C:\Documents and Settings\Klucha i RouRo\Ustawienia lokalne
2008-10-13 23:06 . 2008-10-13 23:06 <DIR> dr------- C:\Documents and Settings\Klucha i RouRo\Ulubione
2008-10-13 23:06 . 2008-10-13 22:56 <DIR> d--h----- C:\Documents and Settings\Klucha i RouRo\Szablony
2008-10-13 23:06 . 2008-10-14 14:18 <DIR> d-------- C:\Documents and Settings\Klucha i RouRo\Pulpit
2008-10-13 23:06 . 2008-10-14 10:44 <DIR> dr------- C:\Documents and Settings\Klucha i RouRo\Moje dokumenty
2008-10-13 23:06 . 2008-10-14 09:18 <DIR> dr------- C:\Documents and Settings\Klucha i RouRo\Menu Start
2008-10-13 23:06 . 2008-10-14 10:09 <DIR> dr-h----- C:\Documents and Settings\Klucha i RouRo\Dane aplikacji
2008-10-13 23:03 . 2008-10-14 14:22 <DIR> d--h----- C:\Documents and Settings\LocalService\Ustawienia lokalne
2008-10-13 23:03 . 2008-10-13 23:03 <DIR> d-------- C:\Documents and Settings\LocalService\Dane aplikacji
2008-10-13 23:02 . 2008-10-14 14:22 <DIR> d--h----- C:\Documents and Settings\NetworkService\Ustawienia lokalne
2008-10-13 23:02 . 2008-10-13 23:02 <DIR> d-------- C:\Documents and Settings\NetworkService\Dane aplikacji
2008-10-13 23:01 . 2008-10-14 14:22 <DIR> dr-h----- C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne
2008-10-13 23:01 . 2008-10-14 00:50 <DIR> d-------- C:\WINDOWS\system32\config\systemprofile\Ulubione
2008-10-13 23:01 . 2008-10-13 22:56 <DIR> d--h----- C:\WINDOWS\system32\config\systemprofile\Szablony
2008-10-13 23:01 . 2008-10-14 00:50 <DIR> d-------- C:\WINDOWS\system32\config\systemprofile\Pulpit
2008-10-13 23:01 . 2008-10-14 00:50 <DIR> d-------- C:\WINDOWS\system32\config\systemprofile\Moje dokumenty
2008-10-13 23:01 . 2008-10-14 00:50 <DIR> dr------- C:\WINDOWS\system32\config\systemprofile\Menu Start
2008-10-13 23:01 . 2008-10-14 00:50 <DIR> dr-h----- C:\WINDOWS\system32\config\systemprofile\Dane aplikacji
.
(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-14 07:45 --------- d-----w C:\Program Files\USD
2008-10-13 22:06 --------- d-----w C:\Program Files\Freedom
2008-10-13 22:05 --------- d-----w C:\Program Files\ZTE ZXDSL 852
2008-10-13 20:59 --------- d-----w C:\Program Files\microsoft frontpage
2008-10-13 20:58 --------- d-----w C:\Program Files\Usługi online
2008-07-25 08:34 81,920 ----a-w C:\WINDOWS\system32\dpl100.dll
2008-07-25 08:34 683,520 ----a-w C:\WINDOWS\system32\divx.dll
2008-07-23 16:50 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll
2008-07-16 18:51 2,041,363 ----a-w C:\WINDOWS\system32\x264vfw.dll
.
------- Sigcheck -------
2004-08-04 00:44 1044992 5cfe20aaa29bca3ff03d19c0ac0696ec C:\WINDOWS\explorer.exe
2004-08-04 00:44 1044992 72533c814858c5f28ba7da9325ea2bec C:\WINDOWS\system32\dllcache\explorer.exe
2004-08-04 00:44 59904 e550550f2a0c9a7b2f6aaf4932f26e11 C:\WINDOWS\system32\ctfmon.exe
2004-08-04 00:44 26624 3b2fca54969e24f8dca11cf3ab25243b C:\WINDOWS\system32\dllcache\ctfmon.exe
2004-08-04 00:44 102400 b29953272c4b52b8e30b93ffbe1ee454 C:\WINDOWS\system32\spoolsv.exe
2004-08-04 00:44 57856 bebe8a85954ff460374fd5a0cd21e19b C:\WINDOWS\system32\dllcache\spoolsv.exe
2004-08-04 00:44 254976 e0838e4e51f8238b881fed1ee3526c1a C:\WINDOWS\system32\wuauclt.exe
2004-08-04 00:44 112128 ebf4ac22004504c422fc8b5ee5b6ffd1 C:\WINDOWS\system32\dllcache\wuauclt.exe
2004-08-04 00:44 36352 d7c7cf7343dbc97b65980d700badd322 C:\WINDOWS\system32\userinit.exe
2004-08-04 00:44 25088 bd768099b4c44aa631728cb74eb54396 C:\WINDOWS\system32\dllcache\userinit.exe
.
((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 59904]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2008-05-16 13529088]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2008-05-16 86016]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"AdslTaskBar"="stmctrl.dll" [2006-06-02 C:\WINDOWS\system32\stmctrl.dll]
"nwiz"="nwiz.exe" [2008-05-16 C:\WINDOWS\system32\nwiz.exe]
"RTHDCPL"="RTHDCPL.EXE" [2006-08-01 C:\WINDOWS\RTHDCPL.EXE]
"SkyTel"="SkyTel.EXE" [2006-05-16 C:\WINDOWS\SkyTel.exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 59904]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"Disabletaskmgr"= 1 (0x1)
"Disableregistrytools"= 1 (0x1)
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoFolderOptions"= 1 (0x1)
"NoRun"= 1 (0x1)
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3fhg"= mp3fhg.acm
"msacm.divxa32"= divxa32.acm
"VIDC.X264"= x264vfw.dll
"VIDC.HFYU"= huffyuv.dll
"VIDC.YV12"= yv12vfw.dll
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
R3 Stmatm;ATM/ADSL miniport;C:\WINDOWS\system32\DRIVERS\stmatm.sys [2003-08-12 60255]
R3 TaurusUsb;ADSL Modem USB Service;C:\WINDOWS\system32\DRIVERS\torususb.sys [2006-07-05 683791]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{14f4166d-9973-11dd-a51c-eabec94a4180}]
\Shell\AutoRun\command - L:\n6t1h.cmd
\Shell\explore\Command - L:\n6t1h.cmd
\Shell\open\Command - L:\n6t1h.cmd
*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
- - - - USUNIĘTO PUSTE WPISY - - - -
HKLM-Run-Print Process Spooler - spoolsi.exe
.
------- Skan uzupełniający -------
.
FireFox -: Profile - C:\Documents and Settings\Klucha i RouRo\Dane aplikacji\Mozilla\Firefox\Profiles\7pnb3fy5.default\
FF -: plugin - C:\Program Files\Adobe Reader 9.0\Reader\browser\nppdf32.dll
.
.
------- Skojarzenia plików -------
.
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-14 14:23:01
Windows 5.1.2600 Dodatek Service Pack 2 NTFS
detected NTDLL code modification:
ZwOpenFile
skanowanie ukrytych procesów ...
C:\Qoobox\Quarantine\C\WINDOWS\system32\spoolsi.exe.vir [1928] 0x85DA8DA0
skanowanie ukrytych wpisów autostartu ...
skanowanie ukrytych plików ...
skanowanie pomyślnie ukończone
ukryte pliki: 0
**************************************************************************
.
Czas ukończenia: 2008-10-14 14:23:34
ComboFix-quarantined-files.txt 2008-10-14 12:23:32
Znak zachęty wiersza polecenia został wyłączony przez administratora.
Aby kontynuować, naciśnij dowolny klawisz . . .
Znak zachęty wiersza polecenia został wyłączony przez administratora.
Aby kontynuować, naciśnij dowolny klawisz . . . Aby kontynuować, naciśnij dowolny klawisz . . .
182
Log z HJT:
- Kod: Zaznacz wszystko
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:05:05, on 2008-10-14
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Freedom\Freedom.exe
C:\WINDOWS\TEMP\stf3.tmp
C:\WINDOWS\system32\CROSOF~1\tracert.exe
C:\Documents and Settings\Klucha i RouRo\Dane aplikacji\?icrosoft\??anregw.exe
C:\Program Files\USD\USDownloader.exe
C:\Program Files\Gadu-Gadu\gg.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\jlfkjlhg.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: OIN Analytics - {6B221E01-F517-4959-8C41-81948E7F2F17} - C:\Program Files\OINAnalytics\OINAnalytics1.dll
O2 - BHO: (no name) - {6FD5BA13-25FD-0C20-8E3B-58C00251D099} - C:\WINDOWS\system32\wyl.dll
O2 - BHO: HelloWorldBHO - {D88E1558-7C2D-407A-953A-C044F5607CEA} - C:\Program Files\Mjcore\Mjcore.dll
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Print Process Spooler] spoolsi.exe
O4 - HKLM\..\Run: [runner1] C:\WINDOWS\faceback.exe 61A847B5BBF72813329B39577AFF01F0B3E35B6638993F4661AA4EBD86D67C56389B284534F310
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{2A3E2A07-CE13-4ED9-94C8-06F148A0D4A5}: NameServer = 194.204.159.1 217.98.63.164
O17 - HKLM\System\CS1\Services\Tcpip\..\{2A3E2A07-CE13-4ED9-94C8-06F148A0D4A5}: NameServer = 194.204.159.1 217.98.63.164
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Windows User Mode Driver Framework (UMWdf) - Unknown owner - C:\WINDOWS\system32\wdfmgr.exe (file missing)
--
End of file - 3897 bytes
SDfixa nie mogę uruchomić, gdyż tryb awaryjny dalej nie działa, a programu BootSafe nie użyję, bo przez niego musiałem formatować dysk! Skan z Kaspersky Online Scanner był za duży, żeby zmieścić go w poście.
- klucha1234
- ~user
- Posty: 8
- Dołączenie: 12 Paź 2008, 14:10
-
Problem z systemem (wirus?)
przez wojtas 14 Paź 2008, 19:17
wklej do notatnika
w notatniku u góry>>>plik zapisz jako>>>Zmien rozszerzenie z TXT na Wszystkie pliki *.* >>> Zapisz pod nazwą FIX.REG
Klikasz dwa razy na powstały plik fix i dodajesz go do rejestru....
znasz to:
?
skasuj to w hijacku:
Otworz notatnik i wklej w nim to:
>>Plik>>Zapisz jako... >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
-->
Ma się rozpocząć usuwanie. (i powstanie log).Daj ten log, który powstanie w trakcie usuwania.
Windows Registry Editor Version 5.00
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{14f4166d-9973-11dd-a51c-eabec94a4180}]
w notatniku u góry>>>plik zapisz jako>>>Zmien rozszerzenie z TXT na Wszystkie pliki *.* >>> Zapisz pod nazwą FIX.REG
Klikasz dwa razy na powstały plik fix i dodajesz go do rejestru....
znasz to:
- Kod: Zaznacz wszystko
C:\Program Files\Freedom\Freedom.exe
?
skasuj to w hijacku:
O2 - BHO: OIN Analytics - {6B221E01-F517-4959-8C41-81948E7F2F17} - C:\Program Files\OINAnalytics\OINAnalytics1.dll
O2 - BHO: (no name) - {6FD5BA13-25FD-0C20-8E3B-58C00251D099} - C:\WINDOWS\system32\wyl.dll
O2 - BHO: HelloWorldBHO - {D88E1558-7C2D-407A-953A-C044F5607CEA} - C:\Program Files\Mjcore\Mjcore.dll
O4 - HKLM\..\Run: [Print Process Spooler] spoolsi.exe
O4 - HKLM\..\Run: [runner1] C:\WINDOWS\faceback.exe 61A847B5BBF72813329B39577AFF01F0B3E35B6638993F4661AA4EBD86D67C56389B284534F310
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
Otworz notatnik i wklej w nim to:
File::
C:\WINDOWS\system32\wyl.dll
C:\Program Files\Trend Micro\HijackThis\jlfkjlhg.exe
Folder::
C:\Qoobox
C:\Program Files\Mjcore
C:\Program Files\OINAnalytics
C:\Documents and Settings\Klucha i RouRo\Dane aplikacji\?icrosoft
C:\WINDOWS\TEMP
C:\WINDOWS\system32\CROSOF~1
>>Plik>>Zapisz jako... >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
-->
Ma się rozpocząć usuwanie. (i powstanie log).Daj ten log, który powstanie w trakcie usuwania.
-
wojtas - *mod
- Posty: 18165
- Dołączenie: 13 Sty 2006, 16:00
- Miejscowość: Krzeszyce
- Pochwały: 1656
-
Re: problem z systemem (wirus?)
przez klucha1234 14 Paź 2008, 22:22
Dodałem wpis, usunąłem z HJT. A Freedom to mój programik do łączenia się z Internetem, także tak, znam go ;D Oto log z ComboFixa po czyszczeniu:
- Kod: Zaznacz wszystko
ComboFix 08-10-12.01 - Klucha i RouRo 2008-10-14 22:13:42.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.724 [GMT 2:00]
Uruchomiony z: C:\Documents and Settings\Klucha i RouRo\Pulpit\fvhfhjgfhjfhgfhg.exe
Użyto następujących komend :: C:\Documents and Settings\Klucha i RouRo\Pulpit\CFScript.txt
* Utworzono nowy punkt przywracania
[COLOR=RED][B]UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !![/B][/COLOR]
FILE ::
C:\Program Files\Trend Micro\HijackThis\jlfkjlhg.exe
C:\WINDOWS\system32\wyl.dll
C:\Qoobox -- Whitelisted --
.
((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Documents and Settings\Klucha i RouRo\Dane aplikacji\ICROSO~1
C:\Documents and Settings\Klucha i RouRo\Dane aplikacji\ICROSO~1\??anregw.exe
C:\Program Files\Common Files\Yazzle3090OinAdmin.exe
C:\Program Files\Common Files\Yazzle3090OinUninstaller.exe
C:\Program Files\Mjcore
C:\Program Files\OINAnalytics
C:\Program Files\OINAnalytics\Uninstall.exe
C:\Program Files\outerinfo
C:\Program Files\outerinfo\FF\chrome.manifest
C:\Program Files\outerinfo\FF\components\FF.dll
C:\Program Files\outerinfo\FF\components\OuterinfoAds.xpt
C:\Program Files\outerinfo\FF\install.rdf
C:\Program Files\outerinfo\Terms.rtf
C:\Program Files\Trend Micro\HijackThis\jlfkjlhg.exe
C:\WINDOWS\b128.exe
C:\WINDOWS\faceback.exe
C:\WINDOWS\file.bat
C:\WINDOWS\services.exe
C:\WINDOWS\ssaqaccq.exe
C:\WINDOWS\system32\5.tmp
C:\WINDOWS\system32\CROSOF~1
C:\WINDOWS\system32\CROSOF~1\??crosoft\
C:\WINDOWS\system32\CROSOF~1\tracert.exe
C:\WINDOWS\system32\drivers\RRRRVNNV.sys
c:\windows\system32\Drivers\Winks30.sys
C:\WINDOWS\system32\NCTAudioInformation2.dll
C:\WINDOWS\system32\WinCtrl32.dl_
C:\WINDOWS\system32\WinCtrl32.dll
C:\WINDOWS\TEMP
C:\WINDOWS\TEMP\NDR23.tmp
C:\WINDOWS\TEMP\NDR26.tmp
C:\WINDOWS\TEMP\NDR28.tmp
C:\WINDOWS\TEMP\Ouru\index.dat
C:\WINDOWS\TEMP\Ouru\T24.tmp
C:\WINDOWS\TEMP\Ouru\T27.tmp
C:\WINDOWS\TEMP\Ouru\T2A.tmp
C:\WINDOWS\TEMP\outerinfo.ico
C:\WINDOWS\TEMP\Perflib_Perfdata_250.dat
C:\WINDOWS\TEMP\Perflib_Perfdata_a1c.dat
.
((((((((((((((((((((((((((((((((((((((( Sterowniki/Usługi )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_RRRRVNNV
-------\Legacy_WINKS30
-------\Service_RRRRVNNV
-------\Service_Winks30
((((((((((((((((((((((((( Pliki utworzone od 2008-09-14 do 2008-10-14 )))))))))))))))))))))))))))))))
.
2008-10-14 21:02 . 2008-10-14 21:02 <DIR> d-------- C:\Program Files\WMA MP3 Converter
2008-10-14 21:02 . 2002-12-03 03:02 491,520 --a------ C:\WINDOWS\system32\NCTAudioFile.dll
2008-10-14 21:02 . 2002-01-05 07:37 344,064 --a------ C:\WINDOWS\system32\msvcr70.dll
2008-10-14 21:02 . 2003-03-25 15:08 286,720 --a------ C:\WINDOWS\system32\NCTWMAFile2.dll
2008-10-14 21:02 . 2002-12-03 03:07 168,448 --a------ C:\WINDOWS\system32\NCTAudioPlayer.dll
2008-10-14 21:02 . 2002-12-03 03:11 143,872 --a------ C:\WINDOWS\system32\NCTWMAFile.dll
2008-10-14 21:02 . 2002-03-19 07:18 120,832 --a------ C:\WINDOWS\system32\lame_enc.dll
2008-10-14 20:23 . 2008-10-14 20:23 196,608 --a------ C:\WINDOWS\system32\drivers\mstsvlru.sys
2008-10-14 20:23 . 2008-10-14 20:23 132 --a------ C:\WINDOWS\system32\4.tmp
2008-10-14 20:23 . 2008-10-14 20:23 18 --a------ C:\WINDOWS\system32\9.tmp
2008-10-14 19:59 . 2008-10-14 19:59 29 --a------ C:\WINDOWS\system32\atooqgee.tmp
2008-10-14 19:58 . 2008-10-14 19:58 132 --a------ C:\WINDOWS\system32\2.tmp
2008-10-14 19:58 . 2008-10-14 20:46 100 --a------ C:\WINDOWS\adobe.bat
2008-10-14 19:58 . 2008-10-14 19:58 18 --a------ C:\WINDOWS\system32\6.tmp
2008-10-14 15:14 . 2008-10-14 15:14 <DIR> d-------- C:\ddd
2008-10-14 14:18 . 2008-10-14 14:18 <DIR> d-------- C:\Program Files\Trend Micro
2008-10-14 14:10 . 2008-01-02 03:45 <DIR> d-------- C:\SDFix
2008-10-14 13:47 . 2008-10-14 13:47 <DIR> d-------- C:\WINDOWS\system32\Lang
2008-10-14 13:47 . 2008-10-14 13:47 940,794 --a------ C:\WINDOWS\system32\LoopyMusic.wav
2008-10-14 13:47 . 2008-10-14 13:47 146,650 --a------ C:\WINDOWS\system32\BuzzingBee.wav
2008-10-14 10:39 . 2006-07-11 18:43 1,060,864 --a------ C:\WINDOWS\system32\mfc71.dll
2008-10-14 10:39 . 2007-01-01 20:03 40,960 -ra------ C:\WINDOWS\system32\psfind.dll
2008-10-14 10:35 . 2008-10-14 10:41 <DIR> d--h----- C:\Program Files\InstallShield Installation Information
2008-10-14 10:28 . 2008-10-14 10:28 <DIR> d-------- C:\Program Files\Microsoft Works
2008-10-14 10:25 . 2008-10-14 10:25 <DIR> d-------- C:\WINDOWS\SHELLNEW
2008-10-14 10:25 . 2008-10-14 10:28 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\Microsoft Help
2008-10-14 10:24 . 2008-10-14 10:24 <DIR> dr-h----- C:\MSOCache
2008-10-14 10:18 . 2008-10-14 10:18 <DIR> d-------- C:\Program Files\Total Commander
2008-10-14 10:18 . 2008-07-29 07:04 545 --a------ C:\WINDOWS\UC.PIF
2008-10-14 10:18 . 2008-07-29 07:04 545 --a------ C:\WINDOWS\RAR.PIF
2008-10-14 10:18 . 2008-07-29 07:04 545 --a------ C:\WINDOWS\PKZIP.PIF
2008-10-14 10:18 . 2008-07-29 07:04 545 --a------ C:\WINDOWS\PKUNZIP.PIF
2008-10-14 10:18 . 2008-07-29 07:04 545 --a------ C:\WINDOWS\NOCLOSE.PIF
2008-10-14 10:18 . 2008-07-29 07:04 545 --a------ C:\WINDOWS\LHA.PIF
2008-10-14 10:18 . 2008-07-29 07:04 545 --a------ C:\WINDOWS\ARJ.PIF
2008-10-14 10:18 . 2008-10-14 10:26 442 --a------ C:\WINDOWS\wincmd.ini
2008-10-14 10:16 . 2008-10-14 10:17 <DIR> d-------- C:\Program Files\Winamp
2008-10-14 10:16 . 2003-10-28 12:02 20,016 --------- C:\WINDOWS\system32\drivers\pxhelp20.sys
2008-10-14 10:16 . 2008-10-14 21:44 155 --a------ C:\WINDOWS\winamp.ini
2008-10-14 10:15 . 2008-10-14 10:34 <DIR> d-------- C:\Program Files\NAPI-PROJEKT
2008-10-14 10:12 . 2008-10-14 10:13 <DIR> d-------- C:\DirectX
2008-10-14 10:11 . 2008-10-14 10:11 <DIR> d-------- C:\Program Files\Common Files\Adobe
2008-10-14 10:11 . 2008-10-14 10:11 <DIR> d-------- C:\Program Files\Adobe Reader 9.0
2008-10-14 10:09 . 2008-10-14 10:09 <DIR> d-------- C:\Program Files\Real Alternative
2008-10-14 10:09 . 2008-10-14 10:09 <DIR> d-------- C:\Program Files\Java
2008-10-14 10:09 . 2006-07-11 18:35 503,808 --a------ C:\WINDOWS\system32\MSVCP71.dll
2008-10-14 10:01 . 2004-08-04 00:44 130,048 --a------ C:\WINDOWS\system32\ksproxy.ax
2008-10-14 10:01 . 2004-08-03 23:08 60,288 --a------ C:\WINDOWS\system32\drivers\drmk.sys
2008-10-14 10:01 . 2004-08-04 00:44 4,096 --a------ C:\WINDOWS\system32\ksuser.dll
2008-10-14 09:57 . 2004-11-18 10:42 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe
2008-10-14 09:55 . 2008-10-14 09:55 <DIR> d----c--- C:\WINDOWS\system32\DRVSTORE
2008-10-14 09:55 . 2008-10-14 09:55 <DIR> d-------- C:\Program Files\DIFX
2008-10-14 09:55 . 2006-06-18 23:51 43,520 --a------ C:\WINDOWS\system32\drivers\AmdK8.sys
2008-10-14 09:52 . 2000-03-29 16:17 5,824 --a------ C:\WINDOWS\system32\drivers\ASUSHWIO.SYS
2008-10-14 09:52 . 2008-10-14 09:56 4,253 --a------ C:\WINDOWS\Ascd_tmp.ini
2008-10-14 09:50 . 2008-10-14 09:50 <DIR> d-------- C:\WINDOWS\nview
2008-10-14 09:50 . 2008-05-16 14:01 655,360 --a------ C:\WINDOWS\system32\nvudisp.exe
2008-10-14 09:50 . 2008-10-14 22:18 186,500 --a------ C:\WINDOWS\system32\nvapps.xml
2008-10-14 09:50 . 2008-05-16 14:01 18,070 --a------ C:\WINDOWS\system32\nvdisp.nvu
2008-10-14 09:47 . 2008-10-14 09:47 <DIR> d-------- C:\Program Files\Common Files\InstallShield
2008-10-14 09:47 . 2008-05-16 11:48 491,520 --a------ C:\WINDOWS\system32\NVUNINST.EXE
2008-10-14 09:46 . 2008-10-14 09:46 <DIR> d-------- C:\NVIDIA
2008-10-14 08:53 . 2008-10-14 08:53 <DIR> d-------- C:\Documents and Settings\Klucha i RouRo\Dane aplikacji\Gadu-Gadu
2008-10-14 08:51 . 2008-10-14 08:51 <DIR> d-------- C:\Program Files\Gadu-Gadu
2008-10-14 08:51 . 2008-10-14 14:00 <DIR> d-------- C:\Documents and Settings\Klucha i RouRo\Gadu-Gadu
2008-10-14 08:30 . 2008-10-14 08:30 <DIR> d-------- C:\Documents and Settings\Klucha i RouRo\Dane aplikacji\Media Player Classic
2008-10-14 08:29 . 2008-10-14 08:29 <DIR> d-------- C:\Program Files\K-Lite Codec Pack
2008-10-13 23:06 . 2008-10-14 14:23 <DIR> d--h----- C:\Documents and Settings\Klucha i RouRo\Ustawienia lokalne
2008-10-13 23:06 . 2008-10-13 23:06 <DIR> dr------- C:\Documents and Settings\Klucha i RouRo\Ulubione
2008-10-13 23:06 . 2008-10-13 22:56 <DIR> d--h----- C:\Documents and Settings\Klucha i RouRo\Szablony
2008-10-13 23:06 . 2008-10-14 22:17 <DIR> d-------- C:\Documents and Settings\Klucha i RouRo\Pulpit
2008-10-13 23:06 . 2008-10-14 22:11 <DIR> dr------- C:\Documents and Settings\Klucha i RouRo\Moje dokumenty
2008-10-13 23:06 . 2008-10-14 09:18 <DIR> dr------- C:\Documents and Settings\Klucha i RouRo\Menu Start
2008-10-13 23:06 . 2008-10-14 22:14 <DIR> dr-h----- C:\Documents and Settings\Klucha i RouRo\Dane aplikacji
2008-10-13 23:03 . 2008-10-14 14:23 <DIR> d--h----- C:\Documents and Settings\LocalService\Ustawienia lokalne
2008-10-13 23:03 . 2008-10-13 23:03 <DIR> d-------- C:\Documents and Settings\LocalService\Dane aplikacji
2008-10-13 23:02 . 2008-10-14 14:23 <DIR> d--h----- C:\Documents and Settings\NetworkService\Ustawienia lokalne
2008-10-13 23:02 . 2008-10-13 23:02 <DIR> d-------- C:\Documents and Settings\NetworkService\Dane aplikacji
2008-10-13 23:01 . 2008-10-14 14:23 <DIR> dr-h----- C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne
2008-10-13 23:01 . 2008-10-14 00:50 <DIR> d-------- C:\WINDOWS\system32\config\systemprofile\Ulubione
2008-10-13 23:01 . 2008-10-13 22:56 <DIR> d--h----- C:\WINDOWS\system32\config\systemprofile\Szablony
2008-10-13 23:01 . 2008-10-14 00:50 <DIR> d-------- C:\WINDOWS\system32\config\systemprofile\Pulpit
2008-10-13 23:01 . 2008-10-14 00:50 <DIR> d-------- C:\WINDOWS\system32\config\systemprofile\Moje dokumenty
2008-10-13 23:01 . 2008-10-14 00:50 <DIR> dr------- C:\WINDOWS\system32\config\systemprofile\Menu Start
2008-10-13 23:01 . 2008-10-14 00:50 <DIR> dr-h----- C:\WINDOWS\system32\config\systemprofile\Dane aplikacji
.
(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-14 17:33 --------- d-----w C:\Program Files\USD
2008-10-13 22:06 --------- d-----w C:\Program Files\Freedom
2008-10-13 22:05 --------- d-----w C:\Program Files\ZTE ZXDSL 852
2008-10-13 20:59 --------- d-----w C:\Program Files\microsoft frontpage
2008-10-13 20:58 --------- d-----w C:\Program Files\Usługi online
2008-07-25 08:34 81,920 ----a-w C:\WINDOWS\system32\dpl100.dll
2008-07-25 08:34 683,520 ----a-w C:\WINDOWS\system32\divx.dll
2008-07-23 16:50 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll
2008-07-16 18:51 2,041,363 ----a-w C:\WINDOWS\system32\x264vfw.dll
.
------- Sigcheck -------
2004-08-04 00:44 1044992 5cfe20aaa29bca3ff03d19c0ac0696ec C:\WINDOWS\explorer.exe
2004-08-04 00:44 1044992 72533c814858c5f28ba7da9325ea2bec C:\WINDOWS\system32\dllcache\explorer.exe
2004-08-04 00:44 59904 e550550f2a0c9a7b2f6aaf4932f26e11 C:\WINDOWS\system32\ctfmon.exe
2004-08-04 00:44 26624 3b2fca54969e24f8dca11cf3ab25243b C:\WINDOWS\system32\dllcache\ctfmon.exe
2004-08-04 00:44 102400 b29953272c4b52b8e30b93ffbe1ee454 C:\WINDOWS\system32\spoolsv.exe
2004-08-04 00:44 69120 4bfc2214e7862f5b04103cbb7e4d55b6 C:\WINDOWS\system32\dllcache\spoolsv.exe
2004-08-04 00:44 254976 e0838e4e51f8238b881fed1ee3526c1a C:\WINDOWS\system32\wuauclt.exe
2004-08-04 00:44 123392 46cc88e68d762efe269256954f3b08fb C:\WINDOWS\system32\dllcache\wuauclt.exe
2004-08-04 00:44 36352 d7c7cf7343dbc97b65980d700badd322 C:\WINDOWS\system32\userinit.exe
2004-08-04 00:44 36352 7261941714c9f9c5a8dcaae7815ca94e C:\WINDOWS\system32\dllcache\userinit.exe
.
((((((((((((((((((((((((((((( snapshot@2008-10-14_14.23.13,76 )))))))))))))))))))))))))))))))))))))))))
.
+ 2005-10-20 18:02:28 163,328 ----a-w C:\WINDOWS\ERDNT\subs\ERDNT.EXE
- 2000-08-31 06:00:00 41,984 ----a-w C:\WINDOWS\NIRCMD.exe
+ 2000-08-31 06:00:00 74,752 ----a-w C:\WINDOWS\NIRCMD.exe
- 2001-10-26 19:29:48 115,200 ----a-w C:\WINDOWS\system32\calc.exe
+ 2001-10-26 19:29:48 159,744 ----a-w C:\WINDOWS\system32\calc.exe
- 2004-08-03 22:44:18 5,632 ----a-w C:\WINDOWS\system32\cisvc.exe
+ 2004-08-03 22:44:18 50,176 ----a-w C:\WINDOWS\system32\cisvc.exe
- 2004-08-03 22:44:18 33,280 ----a-w C:\WINDOWS\system32\clipsrv.exe
+ 2004-08-03 22:44:18 44,544 ----a-w C:\WINDOWS\system32\clipsrv.exe
- 2008-10-14 12:18:17 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
+ 2008-10-14 20:18:48 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
- 2008-10-14 12:18:17 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Historia\History.IE5\index.dat
+ 2008-10-14 20:18:48 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Historia\History.IE5\index.dat
- 2008-10-14 12:18:17 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat
+ 2008-10-14 20:18:48 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat
- 2004-08-03 22:44:20 5,120 ----a-w C:\WINDOWS\system32\dllhost.exe
+ 2004-08-03 22:44:20 49,152 ----a-w C:\WINDOWS\system32\dllhost.exe
- 2004-08-03 22:44:20 225,280 ----a-w C:\WINDOWS\system32\dmadmin.exe
+ 2004-08-03 22:44:20 236,544 ----a-w C:\WINDOWS\system32\dmadmin.exe
- 2004-08-03 22:44:20 192,512 ----a-w C:\WINDOWS\system32\dwwin.exe
+ 2004-08-03 22:44:20 225,280 ----a-w C:\WINDOWS\system32\dwwin.exe
- 2004-08-03 22:44:22 75,264 ----a-w C:\WINDOWS\system32\locator.exe
+ 2004-08-03 22:44:22 86,528 ----a-w C:\WINDOWS\system32\locator.exe
- 2001-10-26 19:29:56 16,384 ----a-w C:\WINDOWS\system32\lodctr.exe
+ 2001-10-26 19:29:56 49,152 ----a-w C:\WINDOWS\system32\lodctr.exe
- 2001-10-26 19:29:56 15,872 ----a-w C:\WINDOWS\system32\logoff.exe
+ 2001-10-26 19:29:56 27,136 ----a-w C:\WINDOWS\system32\logoff.exe
- 2004-08-03 22:44:22 32,768 ----a-w C:\WINDOWS\system32\mnmsrvc.exe
+ 2004-08-03 22:44:22 208,896 ----a-w C:\WINDOWS\system32\mnmsrvc.exe
- 2004-08-03 22:44:22 143,872 ----a-w C:\WINDOWS\system32\mobsync.exe
+ 2004-08-03 22:44:22 155,136 ----a-w C:\WINDOWS\system32\mobsync.exe
- 2004-08-03 22:44:24 6,144 ----a-w C:\WINDOWS\system32\msdtc.exe
+ 2004-08-03 22:44:24 50,176 ----a-w C:\WINDOWS\system32\msdtc.exe
- 2004-08-03 22:44:26 114,688 ----a-w C:\WINDOWS\system32\netdde.exe
+ 2004-08-03 22:44:26 158,720 ----a-w C:\WINDOWS\system32\netdde.exe
- 2004-08-03 22:44:26 87,040 ----a-w C:\WINDOWS\system32\netsh.exe
+ 2004-08-03 22:44:26 98,304 ----a-w C:\WINDOWS\system32\netsh.exe
- 2004-08-03 22:44:26 20,992 ----a-w C:\WINDOWS\system32\proxycfg.exe
+ 2004-08-03 22:44:26 53,760 ----a-w C:\WINDOWS\system32\proxycfg.exe
- 2001-10-26 19:30:00 65,024 ----a-w C:\WINDOWS\system32\route.exe
+ 2001-10-26 19:30:00 97,792 ----a-w C:\WINDOWS\system32\route.exe
- 2001-10-26 19:30:02 132,608 ----a-w C:\WINDOWS\system32\rsvp.exe
+ 2001-10-26 19:30:02 143,872 ----a-w C:\WINDOWS\system32\rsvp.exe
- 2004-08-03 22:44:28 98,304 ----a-w C:\WINDOWS\system32\scardsvr.exe
+ 2004-08-03 22:44:28 142,848 ----a-w C:\WINDOWS\system32\scardsvr.exe
- 2004-08-03 22:44:28 141,824 ----a-w C:\WINDOWS\system32\sessmgr.exe
+ 2004-08-03 22:44:28 153,088 ----a-w C:\WINDOWS\system32\sessmgr.exe
- 2004-08-03 22:44:28 20,480 ----a-w C:\WINDOWS\system32\shutdown.exe
+ 2004-08-03 22:44:28 97,792 ----a-w C:\WINDOWS\system32\shutdown.exe
- 2004-08-03 22:44:28 75,264 ----a-w C:\WINDOWS\system32\tlntsvr.exe
+ 2004-08-03 22:44:28 86,528 ----a-w C:\WINDOWS\system32\tlntsvr.exe
- 2004-08-03 22:44:30 18,432 ----a-w C:\WINDOWS\system32\ups.exe
+ 2004-08-03 22:44:30 128,512 ----a-w C:\WINDOWS\system32\ups.exe
- 2004-08-03 22:44:30 291,840 ----a-w C:\WINDOWS\system32\vssvc.exe
+ 2004-08-03 22:44:30 336,384 ----a-w C:\WINDOWS\system32\vssvc.exe
- 2004-08-03 22:44:30 126,464 ----a-w C:\WINDOWS\system32\wbem\wmiapsrv.exe
+ 2004-08-03 22:44:30 203,264 ----a-w C:\WINDOWS\system32\wbem\wmiapsrv.exe
.
-- Migawka wyzerowana --
.
((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 59904]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2008-05-16 13529088]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2008-05-16 86016]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"AdslTaskBar"="stmctrl.dll" [2006-06-02 C:\WINDOWS\system32\stmctrl.dll]
"nwiz"="nwiz.exe" [2008-05-16 C:\WINDOWS\system32\nwiz.exe]
"RTHDCPL"="RTHDCPL.EXE" [2006-08-01 C:\WINDOWS\RTHDCPL.EXE]
"SkyTel"="SkyTel.EXE" [2006-05-16 C:\WINDOWS\SkyTel.exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"Sfku"="C:\Documents and Settings\Klucha i RouRo\Dane aplikacji\?icrosoft\??anregw.exe" [?]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 59904]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3fhg"= mp3fhg.acm
"msacm.divxa32"= divxa32.acm
"VIDC.X264"= x264vfw.dll
"VIDC.HFYU"= huffyuv.dll
"VIDC.YV12"= yv12vfw.dll
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"FirewallOverride"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"D:\\Titan Quest Immortal Throne\\Tqit.exe"=
"C:\\Program Files\\Gadu-Gadu\\gg.exe"=
R3 Stmatm;ATM/ADSL miniport;C:\WINDOWS\system32\DRIVERS\stmatm.sys [2003-08-12 60255]
R3 TaurusUsb;ADSL Modem USB Service;C:\WINDOWS\system32\DRIVERS\torususb.sys [2006-07-05 683791]
.
- - - - USUNIĘTO PUSTE WPISY - - - -
HKU-Default-Run-Wans - C:\WINDOWS\system32\CROSOF~1\tracert.exe
HKU-Default-Run-services - C:\WINDOWS\services.exe
HKLM-Explorer_Run-services - C:\WINDOWS\services.exe
HKU-Default-Explorer_Run-services - C:\WINDOWS\services.exe
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-14 22:19:02
Windows 5.1.2600 Dodatek Service Pack 2 NTFS
detected NTDLL code modification:
ZwOpenFile
skanowanie ukrytych procesów ...
skanowanie ukrytych wpisów autostartu ...
skanowanie ukrytych plików ...
skanowanie pomyślnie ukończone
ukryte pliki: 0
**************************************************************************
.
------------------------ Pozostałe uruchomione procesy ------------------------
.
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
.
**************************************************************************
.
Czas ukończenia: 2008-10-14 22:20:12 - komputer został uruchomiony ponownie
ComboFix-quarantined-files.txt 2008-10-14 20:20:07
ComboFix2.txt 2008-10-14 12:23:37
Przed: 14 070 808 576 bajtów wolnych
Po: 13,979,779,072 bajtów wolnych
298
- klucha1234
- ~user
- Posty: 8
- Dołączenie: 12 Paź 2008, 14:10
-
Problem z systemem (wirus?)
przez wojtas 14 Paź 2008, 22:53
Otworz notatnik i wklej w nim to:
>>Plik>>Zapisz jako... >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
-->
Ma się rozpocząć usuwanie. (i powstanie log).Daj ten log, który powstanie w trakcie usuwania
File::
C:\WINDOWS\system32\drivers\mstsvlru.sys
C:\WINDOWS\system32\4.tmp
C:\WINDOWS\system32\9.tmp
C:\WINDOWS\system32\atooqgee.tmp
C:\WINDOWS\system32\2.tmp
C:\WINDOWS\adobe.bat
Registry::
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"Sfku"=-
>>Plik>>Zapisz jako... >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
-->
Ma się rozpocząć usuwanie. (i powstanie log).Daj ten log, który powstanie w trakcie usuwania
-
wojtas - *mod
- Posty: 18165
- Dołączenie: 13 Sty 2006, 16:00
- Miejscowość: Krzeszyce
- Pochwały: 1656
-
13 posty(ów) • Strona 1 z 1
Kto jest na forum
Użytkownicy przeglądający to forum: Brak zarejestrowanych użytkowników oraz 42 gości