Scinanie komputera

[zwoli]

bry. Siedzę sobie na kompie nic nie robię dosłownie nic odpalam np jedną rzecz i mi ścina np. pasek zadań , że nic nie mogę robić na nim na pulpicie mogę , menadżer urządzeń się nie chcę włączać , nic nie mogę zrobić czasem się odwiesza rzadko..
Sformatowałem blaszaka , to samo

Kod: Zaznacz wszystko

GMER
[code]GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-08-18 23:54:46
Windows 5.1.2600 Dodatek Service Pack 2
Running: sfuvnz7w.exe; Driver: C:\DOCUME~1\jaRo1920\USTAWI~1\Temp\kfxirfoc.sys


---- System - GMER 1.0.15 ----

SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                         ZwClose [0xB5244D98]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                         ZwCreateKey [0xB5244CB8]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                         ZwDeleteValueKey [0xB524512A]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                         ZwDuplicateObject [0xB52448AA]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                         ZwOpenKey [0xB5244D2E]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                         ZwOpenProcess [0xB52447C8]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                         ZwOpenThread [0xB524483C]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                         ZwQueryValueKey [0xB5244E42]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                         ZwRestoreKey [0xB5244E02]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                         ZwSetValueKey [0xB5244F84]

---- Kernel code sections - GMER 1.0.15 ----

.text           C:\WINDOWS\system32\DRIVERS\nv4_mini.sys                                                                      section is writeable [0xB7D403A0, 0x59FFE5, 0xE8000020]

---- User code sections - GMER 1.0.15 ----

.text           C:\WINDOWS\System32\svchost.exe[1232] ntdll.dll!NtQueryInformationProcess                                     7C90E01B 5 Bytes  JMP 00F5ADCD
.text           C:\WINDOWS\System32\svchost.exe[1232] NETAPI32.dll!NetpwPathCanonicalize                                      6FF4A259 5 Bytes  JMP 00F5AD64
.text           C:\WINDOWS\system32\svchost.exe[1316] ntdll.dll!NtQueryInformationProcess                                     7C90E01B 5 Bytes  JMP 0095ADCD

---- User IAT/EAT - GMER 1.0.15 ----

IAT             C:\WINDOWS\system32\services.exe[848] @ C:\WINDOWS\system32\services.exe [ADVAPI32.dll!CreateProcessAsUserW]  003C0002
IAT             C:\WINDOWS\system32\services.exe[848] @ C:\WINDOWS\system32\services.exe [KERNEL32.dll!CreateProcessW]        003C0000

---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Ntfs \Ntfs                                                                                        aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)
AttachedDevice  \Driver\Tcpip \Device\Ip                                                                                      aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                                     aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice  \Driver\Tcpip \Device\Udp                                                                                     aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice  \Driver\Tcpip \Device\RawIp                                                                                   aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice  \FileSystem\Fastfat \Fat                                                                                      fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice  \FileSystem\Fastfat \Fat                                                                                      aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)

---- Services - GMER 1.0.15 ----

Service         C:\WINDOWS\system32\svchost.exe (*** hidden *** )                                                             [AUTO] lbcvrjsj                                                                <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SYSTEM\CurrentControlSet\Services\lbcvrjsj@DisplayName                                                   Microsoft Config
Reg             HKLM\SYSTEM\CurrentControlSet\Services\lbcvrjsj@Type                                                          32
Reg             HKLM\SYSTEM\CurrentControlSet\Services\lbcvrjsj@Start                                                         2
Reg             HKLM\SYSTEM\CurrentControlSet\Services\lbcvrjsj@ErrorControl                                                  0
Reg             HKLM\SYSTEM\CurrentControlSet\Services\lbcvrjsj@ImagePath                                                     %SystemRoot%\system32\svchost.exe -k netsvcs
Reg             HKLM\SYSTEM\CurrentControlSet\Services\lbcvrjsj@ObjectName                                                    LocalSystem
Reg             HKLM\SYSTEM\CurrentControlSet\Services\lbcvrjsj@Description                                                   ?aduje pliki do pami?ci w celu p??niejszego wydrukowania.
Reg             HKLM\SYSTEM\CurrentControlSet\Services\lbcvrjsj\Parameters                                                   
Reg             HKLM\SYSTEM\CurrentControlSet\Services\lbcvrjsj\Parameters@ServiceDll                                         C:\WINDOWS\system32\qbtvnql.dll
Reg             HKLM\SYSTEM\ControlSet002\Services\lbcvrjsj@DisplayName                                                       Microsoft Config
Reg             HKLM\SYSTEM\ControlSet002\Services\lbcvrjsj@Type                                                              32
Reg             HKLM\SYSTEM\ControlSet002\Services\lbcvrjsj@Start                                                             2
Reg             HKLM\SYSTEM\ControlSet002\Services\lbcvrjsj@ErrorControl                                                      0
Reg             HKLM\SYSTEM\ControlSet002\Services\lbcvrjsj@ImagePath                                                         %SystemRoot%\system32\svchost.exe -k netsvcs
Reg             HKLM\SYSTEM\ControlSet002\Services\lbcvrjsj@ObjectName                                                        LocalSystem
Reg             HKLM\SYSTEM\ControlSet002\Services\lbcvrjsj@Description                                                       ?aduje pliki do pami?ci w celu p??niejszego wydrukowania.
Reg             HKLM\SYSTEM\ControlSet002\Services\lbcvrjsj\Parameters (not active ControlSet)                               
Reg             HKLM\SYSTEM\ControlSet002\Services\lbcvrjsj\Parameters@ServiceDll                                             C:\WINDOWS\system32\qbtvnql.dll

---- EOF - GMER 1.0.15 ----

otl
http://wklej.org/id/378778/
http://wklej.org/id/378779/
dwa razy robiłem logi bo za pierwszym się oczywiście ściął -.-

[Andziorka]

menadżer urządzeń się nie chcę włączać

rozumiem, że ten stan powoduje zawieszanie komputera? czy coś innego?

1.Zaktualizuj IE do wersji 8, nawet jeśli nie używasz tej przeglądarki: http://www.microsoft.com/poland/windows/internet-explorer/

2.Masz Service Packa 2 zaktualizuj go do SP3: http://www.microsoft.com/downloads/details.aspx?FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4&displayLang=pl

3. W okienko OTL wklej poniższy skrypt i klik na Run Fix:

:Processes
explorer.exe

:OTL
IE - HKLM\..\URLSearchHook: {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Program Files\Winamp Toolbar\winamptb.dll (AOL LLC.)
IE - HKCU\..\URLSearchHook: {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Program Files\Winamp Toolbar\winamptb.dll (AOL LLC.)
FF - prefs.js..browser.search.defaultenginename: "Winamp Search"
FF - prefs.js..browser.search.defaulturl: "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampie7&query="
FF - prefs.js..browser.search.selectedEngine: "Winamp Search"
FF - prefs.js..keyword.URL: "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampab&query="
O2 - BHO: (Winamp Toolbar Loader) - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files\Winamp Toolbar\winamptb.dll (AOL LLC.)
O3 - HKLM\..\Toolbar: (Winamp Toolbar) - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll (AOL LLC.)
O4 - HKLM..\Run: [WinDefender] C:\WINDOWS\Wincft.exe ()
O32 - AutoRun File - [2009-03-21 16:21:24 | 000,059,308 | RHS- | M] () - H:\autorun.inf -- [ FAT32 ]

:Files
C:\WINDOWS\Wincft.exe
C:\Documents and Settings\jaRo1920\Dane aplikacji\Mozilla\Firefox\Profiles\2hwzybdy.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f}
C:\Documents and Settings\jaRo1920\Dane aplikacji\Mozilla\Firefox\Profiles\2hwzybdy.default\searchplugins\winamp-search.xml
C:\Program Files\Winamp Toolbar
C:\WINDOWS\tasks\SA.DAT

:Commands
[emptytemp]
[start explorer]
[Reboot]

4. Otwórz notatnik tekstowy i wklej do niego poniższy tekst:

Kod: Zaznacz wszystko

Windows Registry Editor Version 5.00

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]


Zapisz jako->Wybierz Wszystkie pliki->wpisz Fix.reg->Następnie kliknij na zapisany plik i uruchom komputer ponownie.

5. Wykonaj tym skan: http://www.programosy.pl/program,malwarebytes-anti-malware.html usuń co znajdzie i daj raport.

6. Wykonaj optymalizację: http://forum.programosy.pl/optymalizacja-windowsa-xp-vt89133.html

[zwoli]

rozumiem, że ten stan powoduje zawieszanie komputera? czy coś innego?

nie wiem jak to nazwać nawet raz się zwiesi tak , że nie jestem nic w stanie zrobić a widzę , np jak mi na gg wiadomości przychodzą , a raz tak , że po iluś tam kliknięciach ctl alt delete wejdzie do tego menadżera pozamykam jakieś procesy i hula dalej ale to bardzooo ciężko tak zrobić .. Najlepsze jest to , że tak się dzieje przy małym użyciu procka , bo jak gram w jakąś grę to nie zdarzyło mi się tak

strona microsoftu nie działa i znikąd indziej nie mogę zdobyć sp3
edit:
Tylko mi nie działają strny micro , kumplowi działają normalnie ..

[NieWiem]

zwoli, prawdopodobnie Conficker.

Zamknij wszystko nad czym aktualnie pracujesz, także wyłącz swój program antywirusowy, zaporę, programy antyspyware. To ważne. Jak to zrobić, opisane tutaj.

Pamiętaj także o wyinstalowaniu wirtualnych napędów i usunięciu ich sterownika: klik

Pobierz ComboFixa od sUBs'a:
stąd lub stąd

ZANIM UŻYJESZ - Przeczytaj dokładnie jego instrukcję:
http://www.bleepingcomputer.com/combofix/pl/instrukcja-uzycia-combofix

Zalecam instalowanie Konsoli Odzyskiwania (XP, 2000), lub zaopatrzenie się w płytę WinRE (Vista, Se7en). Mimo wszystko ComboFix nie jest doskonały.

Skopiuj zawartość ramki do notatnika:

Kod: Zaznacz wszystko

KillAll::

Rootkit::

File::
C:\WINDOWS\System32\qbtvnql.dll

Folder::
C:\Program Files\Winamp Toolbar
C:\Documents and Settings\All Users\Dane aplikacji\Winamp Toolbar

Netsvc::
lbcvrjsj

Registry::
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"2673:TCP"=-
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{25CEE8EC-5730-41bc-8B58-22DDC8AB8C20}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{25CEE8EC-5730-41bc-8B58-22DDC8AB8C20}]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar]
"EBF2BA02-9094-4c5a-858B-BB198F3D8DE2"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EBF2BA02-9094-4c5a-858B-BB198F3D8DE2}]

DDS::
FF - prefs.js..browser.search.defaultenginename: "Winamp Search"
FF - prefs.js..browser.search.defaulturl: "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampie7&query="
FF - prefs.js..browser.search.selectedEngine: "Winamp Search"
FF - prefs.js..extensions.enabledItems: {0b38152b-1b20-484d-a11f-5e04a9b0661f}:5.6.12.1
FF - prefs.js..keyword.URL: "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampab&query="





Plik -> zapisz jako -> CFScript.txt
Po czym plik ten zapisujesz na pulpicie i przeciągasz na ikonę ComboFixa jak na obrazku poniżej:



Gdy program ukończy, wygeneruje loga. Proszę go wkleić.

Autor postu otrzymał pochwałę

[zwoli]

Kod: Zaznacz wszystko

ComboFix 10-08-18.02 - jaRo1920 2010-08-19  12:55:52.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.2.1250.48.1045.18.2047.1290 [GMT 2:00]
Uruchomiony z: c:\documents and settings\jaRo1920\Pulpit\ComboFix.exe
Użyto następujących komend :: c:\documents and settings\jaRo1920\Pulpit\CFScript.txt
AV: avast! antivirus 4.8.1169 [VPS 080329-0] *On-access scanning disabled* (Outdated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
.

(((((((((((((((((((((((((((((((((((((((   Usunięto   )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\qbtvnql.dll

.
(((((((((((((((((((((((((((((((((((((((   Sterowniki/Usługi   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_LBCVRJSJ
-------\Service_lbcvrjsj


(((((((((((((((((((((((((   Pliki utworzone od 2010-07-19 do 2010-08-19  )))))))))))))))))))))))))))))))
.

2010-08-19 10:18 . 2010-08-19 10:18   --------   d-----w-   c:\documents and settings\jaRo1920\Dane aplikacji\Malwarebytes
2010-08-19 10:18 . 2010-08-19 10:18   --------   d-----w-   c:\program files\Malwarebytes' Anti-Malware
2010-08-19 10:18 . 2010-08-19 10:18   --------   d-----w-   c:\documents and settings\All Users\Dane aplikacji\Malwarebytes
2010-08-19 10:18 . 2010-04-29 13:39   38224   ----a-w-   c:\windows\system32\drivers\mbamswissarmy.sys
2010-08-19 10:18 . 2010-04-29 13:39   20952   ----a-w-   c:\windows\system32\drivers\mbam.sys
2010-08-19 09:41 . 2010-08-19 09:41   --------   d-----w-   c:\documents and settings\jaRo1920\Ustawienia lokalne\Dane aplikacji\Winamp Toolbar
2010-08-18 20:48 . 2010-08-18 20:48   --------   d-----w-   c:\documents and settings\jaRo1920\Dane aplikacji\Ventrilo
2010-08-18 20:48 . 2010-08-18 20:48   --------   d-----w-   c:\program files\VentriloMIX
2010-08-18 20:48 . 2010-08-18 20:48   602112   ----a-w-   c:\windows\Wincft.exe
2010-08-18 20:48 . 2010-08-18 20:48   --------   d-----w-   c:\program files\Windows Defender

.
((((((((((((((((((((((((((((((((((((((((   Sekcja Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-18 21:22 . 2010-08-18 18:07   --------   d-----w-   c:\documents and settings\jaRo1920\Dane aplikacji\Winamp
2010-08-18 21:22 . 2010-08-18 21:22   --------   d-----w-   c:\documents and settings\jaRo1920\Dane aplikacji\OpenFM
2010-08-18 21:22 . 2010-08-18 21:22   --------   d-----w-   c:\documents and settings\All Users\Dane aplikacji\OpenFM
2010-08-18 21:22 . 2010-08-18 21:22   --------   d-----w-   c:\program files\Alwil Software
2010-08-18 21:21 . 2010-08-18 20:33   232984   ----a-w-   c:\windows\system32\nvdrsdb0.bin
2010-08-18 21:21 . 2010-08-18 20:33   1   ----a-w-   c:\windows\system32\nvdrssel.bin
2010-08-18 21:21 . 2010-08-18 20:33   232984   ----a-w-   c:\windows\system32\nvdrsdb1.bin
2010-08-18 20:33 . 2010-08-18 20:33   --------   d-----w-   c:\program files\NVIDIA Corporation
2010-08-18 20:33 . 2010-08-18 20:33   --------   d-----w-   c:\documents and settings\All Users\Dane aplikacji\NVIDIA Corporation
2010-08-18 20:31 . 2010-08-18 18:22   664   ----a-w-   c:\windows\system32\d3d9caps.dat
2010-08-18 18:22 . 2010-08-18 18:22   348160   ----a-w-   c:\windows\system32\Msvcr71.dll
2010-08-18 18:22 . 2010-08-18 18:22   1700352   ----a-w-   c:\windows\system32\gdiplus.dll
2010-08-18 18:22 . 2010-08-18 18:22   1060864   ----a-w-   c:\windows\system32\mfc71.dll
2010-08-18 18:22 . 2010-08-18 18:22   --------   d-----w-   c:\documents and settings\jaRo1920\Dane aplikacji\Gadu-Gadu 10
2010-08-18 18:21 . 2010-08-18 18:21   --------   d-----w-   c:\documents and settings\All Users\Dane aplikacji\Gadu-Gadu 10
2010-08-18 18:21 . 2010-08-18 18:21   --------   d-----w-   c:\program files\Gadu-Gadu 10
2010-08-18 18:17 . 2010-08-18 18:17   --------   d-----w-   c:\documents and settings\jaRo1920\Dane aplikacji\Media Player Classic
2010-08-18 18:15 . 2010-08-18 18:15   --------   d-----w-   c:\program files\K-Lite Codec Pack
2010-08-18 18:09 . 2010-08-18 18:07   --------   d-----w-   c:\program files\Winamp
2010-08-18 18:08 . 2010-08-18 18:08   --------   d-----w-   c:\program files\Winamp Detect
2010-08-18 18:08 . 2010-08-18 18:08   --------   d-----w-   c:\program files\Winamp Toolbar
2010-08-18 18:08 . 2010-08-18 18:08   --------   d-----w-   c:\documents and settings\All Users\Dane aplikacji\Winamp Toolbar
2010-08-18 18:02 . 2010-08-18 17:58   --------   d-----w-   c:\documents and settings\jaRo1920\Dane aplikacji\Ahead
2010-08-18 18:00 . 2010-08-18 18:00   0   ----a-w-   c:\windows\nsreg.dat
2010-08-18 17:59 . 2010-08-18 17:58   --------   d-----w-   c:\program files\Common Files\Ahead
2010-08-18 17:58 . 2010-08-18 17:58   --------   d-----w-   c:\program files\Nero
2010-08-18 17:55 . 2010-08-18 17:55   2826192   ----a-w-   c:\documents and settings\jaRo1920\Dane aplikacji\Macromedia\Flash Player\www.macromedia.com\bin\fpupdateax\fpupdateax.exe
2010-08-18 17:55 . 2010-08-18 17:55   --------   d-----w-   c:\program files\MarBit
2010-08-18 17:33 . 2001-10-26 18:15   49712   ----a-w-   c:\windows\system32\perfc015.dat
2010-08-18 17:33 . 2001-10-26 18:15   355830   ----a-w-   c:\windows\system32\perfh015.dat
2010-08-18 17:31 . 2010-08-18 17:31   --------   d-----w-   c:\program files\Realtek
2010-08-18 17:31 . 2010-08-18 17:31   --------   d--h--w-   c:\program files\InstallShield Installation Information
2010-08-18 17:31 . 2010-08-18 17:31   315392   ----a-w-   c:\windows\HideWin.exe
2010-08-18 17:31 . 2010-08-18 17:31   --------   d-----w-   c:\program files\Common Files\InstallShield
2010-08-18 17:30 . 2010-08-18 17:30   12328   ----a-w-   c:\documents and settings\jaRo1920\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT
2010-08-18 17:28 . 2010-08-18 17:28   --------   d-----w-   c:\program files\Intel
2010-08-18 17:21 . 2010-08-18 17:21   --------   d-----w-   c:\program files\microsoft frontpage
2010-08-18 17:20 . 2010-08-18 17:20   86327   ----a-w-   c:\windows\pchealth\helpctr\OfflineCache\index.dat
2010-08-18 17:20 . 2010-08-18 17:20   --------   d-----w-   c:\program files\Usługi online
2010-08-18 17:18 . 2010-08-18 17:18   21856   ----a-w-   c:\windows\system32\emptyregdb.dat
2010-08-12 08:00 . 2010-08-18 18:15   108032   ----a-w-   c:\windows\system32\ff_vfw.dll
2010-07-28 15:36 . 2010-07-28 15:36   180224   ----a-w-   c:\documents and settings\All Users\Dane aplikacji\Winamp Toolbar\ieToolbar\resources\en-US\winamptbres.dll
2010-07-21 23:23 . 2010-07-21 23:23   364544   ----a-w-   c:\documents and settings\All Users\Dane aplikacji\Gadu-Gadu 10\_userdata\npgg.3.dll
2010-07-21 23:23 . 2010-07-21 23:23   397312   ----a-w-   c:\documents and settings\All Users\Dane aplikacji\Gadu-Gadu 10\_userdata\ggbho.3.dll
2010-07-09 22:38 . 2010-08-18 20:33   61440   ----a-w-   c:\windows\system32\OpenCL.dll
2010-07-09 22:38 . 2010-08-18 20:33   2914408   ----a-w-   c:\windows\system32\nvcuvid.dll
2010-07-09 22:38 . 2010-08-18 20:33   2506344   ----a-w-   c:\windows\system32\nvcuvenc.dll
2010-07-09 22:38 . 2010-08-18 20:33   13549568   ----a-w-   c:\windows\system32\nvoglnt.dll
2010-07-09 22:38 . 2010-08-18 20:33   10604128   ----a-w-   c:\windows\system32\drivers\nv4_mini.sys
2010-07-09 22:38 . 2010-08-18 20:33   6343040   ----a-w-   c:\windows\system32\nv4_disp.dll
2010-07-09 22:38 . 2010-08-18 20:33   4595712   ----a-w-   c:\windows\system32\nvcuda.dll
2010-07-09 22:38 . 2010-08-18 20:33   236136   ----a-w-   c:\windows\system32\nvcodins.dll
2010-07-09 22:38 . 2010-08-18 20:33   236136   ----a-w-   c:\windows\system32\nvcod.dll
2010-07-09 22:38 . 2010-08-18 20:33   2195030   ----a-w-   c:\windows\system32\nvdata.bin
2010-07-09 22:38 . 2010-08-18 20:33   1388544   ----a-w-   c:\windows\system32\nvapi.dll
2010-07-09 22:38 . 2010-08-18 20:33   10260480   ----a-w-   c:\windows\system32\nvcompiler.dll
2010-06-08 16:10 . 2010-08-18 18:15   790528   ----a-w-   c:\windows\system32\xvidcore.dll
2010-06-08 16:10 . 2010-08-18 18:15   134144   ----a-w-   c:\windows\system32\xvidvfw.dll
.

(((((((((((((((((((((((((((((((((((((   Wpisy startowe rejestru   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane 
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{57BCA5FA-5DBB-45a2-B558-1755C3F6253B}"= "c:\program files\Winamp Toolbar\winamptb.dll" [2010-07-28 1267024]

[HKEY_CLASSES_ROOT\clsid\{57bca5fa-5dbb-45a2-b558-1755c3f6253b}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLTBSearch.1]
[HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLTBSearch]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Gadu-Gadu 10"="c:\program files\Gadu-Gadu 10\gg.exe" [2010-07-21 12477024]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Common Files\Ahead\lib\NMBgMonitor.exe" [2005-10-28 94208]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2008-01-29 16859648]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"WinampAgent"="c:\program files\Winamp\winampa.exe" [2010-07-12 74752]
"nwiz"="c:\program files\NVIDIA Corporation\nView\nwiz.exe" [2010-07-07 1753192]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2010-07-09 110696]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2010-07-09 13923432]
"WinDefender"="c:\windows\Wincft.exe" [2010-08-18 602112]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Gadu-Gadu 10\\gg.exe"=
"d:\\Gry\\steam\\steamapps\\zecior8\\counter-strike\\hl.exe"=

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2010-08-18 75856]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2010-08-18 20560]
R3 ip100xp;ASUS NX1001 Network Adapter NT Driver;c:\windows\system32\drivers\ipfnd51.sys [2010-02-19 26752]
S3 SetupNTGLM7X;SetupNTGLM7X;\??\g:\ntglm7x.sys --> g:\NTGLM7X.sys [?]
.
.
------- Skan uzupełniający -------
.
IE: &Winamp Search - c:\documents and settings\All Users\Dane aplikacji\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
FF - ProfilePath - c:\documents and settings\jaRo1920\Dane aplikacji\Mozilla\Firefox\Profiles\2hwzybdy.default\
FF - prefs.js: browser.search.defaulturl - hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampie7&query=
FF - prefs.js: browser.search.selectedEngine - Winamp Search
FF - prefs.js: keyword.URL - hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampab&query=
FF - component: c:\documents and settings\jaRo1920\Dane aplikacji\Mozilla\Firefox\Profiles\2hwzybdy.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f}\components\WinampTBPlayer.dll
FF - plugin: c:\documents and settings\All Users\Dane aplikacji\Gadu-Gadu 10\_userdata\npgg.3.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npwachk.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-08-19 12:58
Windows 5.1.2600 Dodatek Service Pack 2 NTFS

skanowanie ukrytych procesów ... 

skanowanie ukrytych wpisów autostartu ...

skanowanie ukrytych plików ... 

skanowanie pomyślnie ukończone
ukryte pliki: 0

**************************************************************************
.
--------------------- ZABLOKOWANE KLUCZE REJESTRU ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------

- - - - - - - > 'explorer.exe'(3396)
c:\windows\system32\msi.dll
.
------------------------ Pozostałe uruchomione procesy ------------------------
.
c:\windows\system32\nvsvc32.exe
c:\program files\Alwil Software\Avast4\aswUpdSv.exe
c:\windows\RTHDCPL.EXE
c:\windows\system32\RUNDLL32.EXE
c:\windows\system32\wdfmgr.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\imapi.exe
.
**************************************************************************
.
Czas ukończenia: 2010-08-19  12:59:04 - komputer został uruchomiony ponownie
ComboFix-quarantined-files.txt  2010-08-19 10:59

Przed: 25 728 548 864 bajtów wolnych
Po: 26 116 718 592 bajtów wolnych

WindowsXP-KB310994-SP2-Pro-BootDisk-PLK.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

- - End Of File - - 5111C5A5E392A29EB8A46CC79C1AE0FD


[NieWiem]

Prawie jak po robocie

1. Zamknij wszystko nad czym aktualnie pracujesz.
Upewnij się, że żadne programy AV, FW, AS nie działają - mogą przeszkadzać ComboFixowi.

Skopiuj zawartość ramki do notatnika:

Kod: Zaznacz wszystko

KillAll::

Folder::
c:\documents and settings\jaRo1920\Ustawienia lokalne\Dane aplikacji\Winamp Toolbar
c:\program files\Windows Defender
c:\program files\Winamp Toolbar

File::
c:\windows\Wincft.exe

Registry::
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{57BCA5FA-5DBB-45a2-B558-1755C3F6253B}"=-
[-HKEY_CLASSES_ROOT\clsid\{57bca5fa-5dbb-45a2-b558-1755c3f6253b}]
[-HKEY_CLASSES_ROOT\WINAMPTB.AOLTBSearch.1]
[-HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}]
[-HKEY_CLASSES_ROOT\WINAMPTB.AOLTBSearch]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinDefender"=-



Plik -> zapisz jako -> CFScript.txt
Po czym plik ten zapisujesz na pulpicie i przeciągasz na ikonę ComboFixa jak na obrazku poniżej:



Gdy program ukończy, wygeneruje loga. Proszę go wkleić.

2. Pobierz KidoKiller i uruchom.
http://support.kaspersky.com/downloads/utils/kk.zip
Sprawdź co powie

3. Nowe logi z OTL, ale zanim wciśniesz run scan, do okna na dole wklej:

Kod: Zaznacz wszystko

netsvcs
C:\*.*
D:\*.*     
E:\*.*   
F:\*.*
G:\*.*
H:\*.*
%ALLUSERSPROFILE%\Application Data\*.
%APPDATA%\*.
%SYSTEMDRIVE%\*. /mp /s
/md5start
atapi.sys
iaStor.sys
jraid.sys
nvata.sys
ndis.sys
beep.sys
ntfs.sys
explorer.exe
svchost.exe
userinit.exe
winlogon.exe
/md5stop
%systemroot%\system32\ws2_32.dll /md5
%systemroot%\system32\kernel32.dll /md5
%systemroot%\system32\user32.dll /md5
%systemroot%\Tasks\*.job /lockedfiles
CREATERESTOREPOINT
restorepoints

[zwoli]

Kod: Zaznacz wszystko

ComboFix 10-08-18.02 - jaRo1920 2010-08-19  13:12:28.2.2 - x86
Microsoft Windows XP Professional  5.1.2600.2.1250.48.1045.18.2047.1699 [GMT 2:00]
Uruchomiony z: c:\documents and settings\jaRo1920\Pulpit\ComboFix.exe
Użyto następujących komend :: c:\documents and settings\jaRo1920\Pulpit\CFScript.txt
AV: avast! antivirus 4.8.1169 [VPS 080329-0] *On-access scanning disabled* (Outdated) {7591DB91-41F0-48A3-B128-1A293FD8233D}

FILE ::
"c:\windows\Wincft.exe"
.

(((((((((((((((((((((((((((((((((((((((   Usunięto   )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\jaRo1920\Ustawienia lokalne\Dane aplikacji\Winamp Toolbar
c:\documents and settings\jaRo1920\Ustawienia lokalne\Dane aplikacji\Winamp Toolbar\ieToolbar\en-US\buttons.xml
c:\documents and settings\jaRo1920\Ustawienia lokalne\Dane aplikacji\Winamp Toolbar\ieToolbar\en-US\default_aol.xml
c:\documents and settings\jaRo1920\Ustawienia lokalne\Dane aplikacji\Winamp Toolbar\ieToolbar\en-US\domains.xml
c:\documents and settings\jaRo1920\Ustawienia lokalne\Dane aplikacji\Winamp Toolbar\ieToolbar\en-US\ietbconfig.xml
c:\program files\Winamp Toolbar
c:\program files\Winamp Toolbar\apopup.dll
c:\program files\Winamp Toolbar\install.log
c:\program files\Winamp Toolbar\msvcr71.dll
c:\program files\Winamp Toolbar\uninstall.exe
c:\program files\Winamp Toolbar\winamptb.dll
c:\program files\Winamp Toolbar\winampTbServer.exe
c:\program files\Winamp Toolbar\winamptbServerPS.dll
c:\program files\Winamp Toolbar\xprt5.dll
c:\program files\Windows Defender
c:\program files\Windows Defender\setup\alkare.fok
c:\program files\Windows Defender\setup\Windows Serfince.exe
c:\windows\Wincft.exe

.
(((((((((((((((((((((((((   Pliki utworzone od 2010-07-19 do 2010-08-19  )))))))))))))))))))))))))))))))
.

2010-08-19 10:18 . 2010-08-19 10:18   --------   d-----w-   c:\documents and settings\jaRo1920\Dane aplikacji\Malwarebytes
2010-08-19 10:18 . 2010-08-19 10:18   --------   d-----w-   c:\program files\Malwarebytes' Anti-Malware
2010-08-19 10:18 . 2010-08-19 10:18   --------   d-----w-   c:\documents and settings\All Users\Dane aplikacji\Malwarebytes
2010-08-19 10:18 . 2010-04-29 13:39   38224   ----a-w-   c:\windows\system32\drivers\mbamswissarmy.sys
2010-08-19 10:18 . 2010-04-29 13:39   20952   ----a-w-   c:\windows\system32\drivers\mbam.sys
2010-08-18 20:48 . 2010-08-18 20:48   --------   d-----w-   c:\documents and settings\jaRo1920\Dane aplikacji\Ventrilo
2010-08-18 20:48 . 2010-08-18 20:48   --------   d-----w-   c:\program files\VentriloMIX

.
((((((((((((((((((((((((((((((((((((((((   Sekcja Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-18 21:22 . 2010-08-18 18:07   --------   d-----w-   c:\documents and settings\jaRo1920\Dane aplikacji\Winamp
2010-08-18 21:22 . 2010-08-18 21:22   --------   d-----w-   c:\documents and settings\jaRo1920\Dane aplikacji\OpenFM
2010-08-18 21:22 . 2010-08-18 21:22   --------   d-----w-   c:\documents and settings\All Users\Dane aplikacji\OpenFM
2010-08-18 21:22 . 2010-08-18 21:22   --------   d-----w-   c:\program files\Alwil Software
2010-08-18 21:21 . 2010-08-18 20:33   232984   ----a-w-   c:\windows\system32\nvdrsdb0.bin
2010-08-18 21:21 . 2010-08-18 20:33   1   ----a-w-   c:\windows\system32\nvdrssel.bin
2010-08-18 21:21 . 2010-08-18 20:33   232984   ----a-w-   c:\windows\system32\nvdrsdb1.bin
2010-08-18 20:33 . 2010-08-18 20:33   --------   d-----w-   c:\program files\NVIDIA Corporation
2010-08-18 20:33 . 2010-08-18 20:33   --------   d-----w-   c:\documents and settings\All Users\Dane aplikacji\NVIDIA Corporation
2010-08-18 20:31 . 2010-08-18 18:22   664   ----a-w-   c:\windows\system32\d3d9caps.dat
2010-08-18 18:22 . 2010-08-18 18:22   348160   ----a-w-   c:\windows\system32\Msvcr71.dll
2010-08-18 18:22 . 2010-08-18 18:22   1700352   ----a-w-   c:\windows\system32\gdiplus.dll
2010-08-18 18:22 . 2010-08-18 18:22   1060864   ----a-w-   c:\windows\system32\mfc71.dll
2010-08-18 18:22 . 2010-08-18 18:22   --------   d-----w-   c:\documents and settings\jaRo1920\Dane aplikacji\Gadu-Gadu 10
2010-08-18 18:21 . 2010-08-18 18:21   --------   d-----w-   c:\documents and settings\All Users\Dane aplikacji\Gadu-Gadu 10
2010-08-18 18:21 . 2010-08-18 18:21   --------   d-----w-   c:\program files\Gadu-Gadu 10
2010-08-18 18:17 . 2010-08-18 18:17   --------   d-----w-   c:\documents and settings\jaRo1920\Dane aplikacji\Media Player Classic
2010-08-18 18:15 . 2010-08-18 18:15   --------   d-----w-   c:\program files\K-Lite Codec Pack
2010-08-18 18:09 . 2010-08-18 18:07   --------   d-----w-   c:\program files\Winamp
2010-08-18 18:08 . 2010-08-18 18:08   --------   d-----w-   c:\program files\Winamp Detect
2010-08-18 18:08 . 2010-08-18 18:08   --------   d-----w-   c:\documents and settings\All Users\Dane aplikacji\Winamp Toolbar
2010-08-18 18:02 . 2010-08-18 17:58   --------   d-----w-   c:\documents and settings\jaRo1920\Dane aplikacji\Ahead
2010-08-18 18:00 . 2010-08-18 18:00   0   ----a-w-   c:\windows\nsreg.dat
2010-08-18 17:59 . 2010-08-18 17:58   --------   d-----w-   c:\program files\Common Files\Ahead
2010-08-18 17:58 . 2010-08-18 17:58   --------   d-----w-   c:\program files\Nero
2010-08-18 17:55 . 2010-08-18 17:55   2826192   ----a-w-   c:\documents and settings\jaRo1920\Dane aplikacji\Macromedia\Flash Player\www.macromedia.com\bin\fpupdateax\fpupdateax.exe
2010-08-18 17:55 . 2010-08-18 17:55   --------   d-----w-   c:\program files\MarBit
2010-08-18 17:33 . 2001-10-26 18:15   49712   ----a-w-   c:\windows\system32\perfc015.dat
2010-08-18 17:33 . 2001-10-26 18:15   355830   ----a-w-   c:\windows\system32\perfh015.dat
2010-08-18 17:31 . 2010-08-18 17:31   --------   d-----w-   c:\program files\Realtek
2010-08-18 17:31 . 2010-08-18 17:31   --------   d--h--w-   c:\program files\InstallShield Installation Information
2010-08-18 17:31 . 2010-08-18 17:31   315392   ----a-w-   c:\windows\HideWin.exe
2010-08-18 17:31 . 2010-08-18 17:31   --------   d-----w-   c:\program files\Common Files\InstallShield
2010-08-18 17:30 . 2010-08-18 17:30   12328   ----a-w-   c:\documents and settings\jaRo1920\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT
2010-08-18 17:28 . 2010-08-18 17:28   --------   d-----w-   c:\program files\Intel
2010-08-18 17:21 . 2010-08-18 17:21   --------   d-----w-   c:\program files\microsoft frontpage
2010-08-18 17:20 . 2010-08-18 17:20   86327   ----a-w-   c:\windows\pchealth\helpctr\OfflineCache\index.dat
2010-08-18 17:20 . 2010-08-18 17:20   --------   d-----w-   c:\program files\Usługi online
2010-08-18 17:18 . 2010-08-18 17:18   21856   ----a-w-   c:\windows\system32\emptyregdb.dat
2010-08-12 08:00 . 2010-08-18 18:15   108032   ----a-w-   c:\windows\system32\ff_vfw.dll
2010-07-28 15:36 . 2010-07-28 15:36   180224   ----a-w-   c:\documents and settings\All Users\Dane aplikacji\Winamp Toolbar\ieToolbar\resources\en-US\winamptbres.dll
2010-07-21 23:23 . 2010-07-21 23:23   364544   ----a-w-   c:\documents and settings\All Users\Dane aplikacji\Gadu-Gadu 10\_userdata\npgg.3.dll
2010-07-21 23:23 . 2010-07-21 23:23   397312   ----a-w-   c:\documents and settings\All Users\Dane aplikacji\Gadu-Gadu 10\_userdata\ggbho.3.dll
2010-07-09 22:38 . 2010-08-18 20:33   61440   ----a-w-   c:\windows\system32\OpenCL.dll
2010-07-09 22:38 . 2010-08-18 20:33   2914408   ----a-w-   c:\windows\system32\nvcuvid.dll
2010-07-09 22:38 . 2010-08-18 20:33   2506344   ----a-w-   c:\windows\system32\nvcuvenc.dll
2010-07-09 22:38 . 2010-08-18 20:33   13549568   ----a-w-   c:\windows\system32\nvoglnt.dll
2010-07-09 22:38 . 2010-08-18 20:33   10604128   ----a-w-   c:\windows\system32\drivers\nv4_mini.sys
2010-07-09 22:38 . 2010-08-18 20:33   6343040   ----a-w-   c:\windows\system32\nv4_disp.dll
2010-07-09 22:38 . 2010-08-18 20:33   4595712   ----a-w-   c:\windows\system32\nvcuda.dll
2010-07-09 22:38 . 2010-08-18 20:33   236136   ----a-w-   c:\windows\system32\nvcodins.dll
2010-07-09 22:38 . 2010-08-18 20:33   236136   ----a-w-   c:\windows\system32\nvcod.dll
2010-07-09 22:38 . 2010-08-18 20:33   2195030   ----a-w-   c:\windows\system32\nvdata.bin
2010-07-09 22:38 . 2010-08-18 20:33   1388544   ----a-w-   c:\windows\system32\nvapi.dll
2010-07-09 22:38 . 2010-08-18 20:33   10260480   ----a-w-   c:\windows\system32\nvcompiler.dll
2010-06-08 16:10 . 2010-08-18 18:15   790528   ----a-w-   c:\windows\system32\xvidcore.dll
2010-06-08 16:10 . 2010-08-18 18:15   134144   ----a-w-   c:\windows\system32\xvidvfw.dll
.

(((((((((((((((((((((((((((((((((((((   Wpisy startowe rejestru   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Gadu-Gadu 10"="c:\program files\Gadu-Gadu 10\gg.exe" [2010-07-21 12477024]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Common Files\Ahead\lib\NMBgMonitor.exe" [2005-10-28 94208]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2008-01-29 16859648]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"WinampAgent"="c:\program files\Winamp\winampa.exe" [2010-07-12 74752]
"nwiz"="c:\program files\NVIDIA Corporation\nView\nwiz.exe" [2010-07-07 1753192]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2010-07-09 110696]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2010-07-09 13923432]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Gadu-Gadu 10\\gg.exe"=
"d:\\Gry\\steam\\steamapps\\zecior8\\counter-strike\\hl.exe"=

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2010-08-18 75856]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2010-08-18 20560]
R3 ip100xp;ASUS NX1001 Network Adapter NT Driver;c:\windows\system32\drivers\ipfnd51.sys [2010-02-19 26752]
S3 SetupNTGLM7X;SetupNTGLM7X;\??\g:\ntglm7x.sys --> g:\NTGLM7X.sys [?]
.
.
------- Skan uzupełniający -------
.
IE: &Winamp Search - c:\documents and settings\All Users\Dane aplikacji\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
FF - ProfilePath - c:\documents and settings\jaRo1920\Dane aplikacji\Mozilla\Firefox\Profiles\2hwzybdy.default\
FF - prefs.js: browser.search.defaulturl - hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampie7&query=
FF - prefs.js: browser.search.selectedEngine - Winamp Search
FF - prefs.js: keyword.URL - hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampab&query=
FF - component: c:\documents and settings\jaRo1920\Dane aplikacji\Mozilla\Firefox\Profiles\2hwzybdy.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f}\components\WinampTBPlayer.dll
FF - plugin: c:\documents and settings\All Users\Dane aplikacji\Gadu-Gadu 10\_userdata\npgg.3.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npwachk.dll
.
- - - - USUNIĘTO PUSTE WPISY - - - -

AddRemove-Winamp Toolbar - c:\program files\Winamp Toolbar\uninstall.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-08-19 13:15
Windows 5.1.2600 Dodatek Service Pack 2 NTFS

skanowanie ukrytych procesów ... 

skanowanie ukrytych wpisów autostartu ...

skanowanie ukrytych plików ... 

skanowanie pomyślnie ukończone
ukryte pliki: 0

**************************************************************************
.
--------------------- ZABLOKOWANE KLUCZE REJESTRU ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------

- - - - - - - > 'explorer.exe'(1144)
c:\windows\system32\msi.dll
.
------------------------ Pozostałe uruchomione procesy ------------------------
.
c:\windows\system32\nvsvc32.exe
c:\program files\Alwil Software\Avast4\aswUpdSv.exe
c:\windows\RTHDCPL.EXE
c:\windows\system32\RUNDLL32.EXE
c:\windows\system32\wdfmgr.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\imapi.exe
.
**************************************************************************
.
Czas ukończenia: 2010-08-19  13:15:32 - komputer został uruchomiony ponownie
ComboFix-quarantined-files.txt  2010-08-19 11:15
ComboFix2.txt  2010-08-19 10:59

Przed: 26 122 964 992 bajtów wolnych
Po: 26 111 455 232 bajtów wolnych

- - End Of File - - 8270D1555A94BE423601A2EA79637904

2. nic nie powiedział po prostu się zamknął
3. http://wklej.org/id/378924/

[NieWiem]

Dobra, to ja poszukam w logu jeszcze resztek śmieci do usunięcia, a Ty puknij szybki skan Malwarebytes i zaprezentuj loga. I powiedz, czy Microsoft już się otwiera

[zwoli]

Kod: Zaznacz wszystko

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Wersja bazy: 4447

Windows 5.1.2600 Dodatek Service Pack 2
Internet Explorer 6.0.2900.2180

2010-08-19 13:28:04
mbam-log-2010-08-19 (13-28-04).txt

Typ skanowania: Szybkie skanowanie
Przeskanowano obiektów: 119384
Upłynęło: 1 minut(y), 40 sekund(y)

Zainfekowanych procesów w pamięci: 0
Zainfekowanych modułów w pamięci: 0
Zainfekowanych kluczy rejestru: 0
Zainfekowanych wartości rejestru: 0
Zainfekowane informacje rejestru systemowego: 0
Zainfekowanych folderów: 0
Zainfekowanych plików: 0

Zainfekowanych procesów w pamięci:
(Nie znaleziono zagrożeń)

Zainfekowanych modułów w pamięci:
(Nie znaleziono zagrożeń)

Zainfekowanych kluczy rejestru:
(Nie znaleziono zagrożeń)

Zainfekowanych wartości rejestru:
(Nie znaleziono zagrożeń)

Zainfekowane informacje rejestru systemowego:
(Nie znaleziono zagrożeń)

Zainfekowanych folderów:
(Nie znaleziono zagrożeń)

Zainfekowanych plików:
(Nie znaleziono zagrożeń)


otwiera się

[NieWiem]

No to szczątki do pozamiatania.

Uruchom OTL

W oknie na dole wklej:

Kod: Zaznacz wszystko

:PROCESSES
:SERVICES
:OTL
IE - HKLM\..\URLSearchHook: {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - Reg Error: Key error. File not found
FF - prefs.js..browser.search.defaultenginename: "Winamp Search"
FF - prefs.js..browser.search.defaulturl: "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampie7&query="
FF - prefs.js..browser.search.selectedEngine: "Winamp Search"
FF - prefs.js..extensions.enabledItems: {0b38152b-1b20-484d-a11f-5e04a9b0661f}:5.6.12.1
FF - prefs.js..keyword.URL: "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampab&query="
FF - HKLM\software\mozilla\Mozilla Firefox 3.0\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2010-08-18 20:00:22 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.0\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2010-08-18 20:08:48 | 000,000,000 | ---D | M]
[2010-08-18 20:00:23 | 000,000,000 | ---D | M] -- C:\Documents and Settings\jaRo1920\Dane aplikacji\Mozilla\Extensions
[2010-08-18 20:09:39 | 000,000,000 | ---D | M] -- C:\Documents and Settings\jaRo1920\Dane aplikacji\Mozilla\Firefox\Profiles\2hwzybdy.default\extensions
[2010-08-18 20:08:45 | 000,000,000 | ---D | M] (Winamp Toolbar) -- C:\Documents and Settings\jaRo1920\Dane aplikacji\Mozilla\Firefox\Profiles\2hwzybdy.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f}
[2010-08-18 20:09:41 | 000,001,196 | ---- | M] () -- C:\Documents and Settings\jaRo1920\Dane aplikacji\Mozilla\Firefox\Profiles\2hwzybdy.default\searchplugins\winamp-search.xml
O3 - HKLM\..\Toolbar: (no name) - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - No CLSID value found.
O3 - HKU\S-1-5-21-842925246-2052111302-725345543-1003\..\Toolbar\WebBrowser: (no name) - {EBF2BA02-9094-4C5A-858B-BB198F3D8DE2} - No CLSID value found.
O8 - Extra context menu item: &Winamp Search - C:\Documents and Settings\All Users\Dane aplikacji\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html ()
[2010-08-19 13:18:50 | 000,000,000 | -HSD | C] -- C:\RECYCLER
[2010-08-19 13:16:50 | 000,171,344 | ---- | C] (Kaspersky Lab) -- C:\Documents and Settings\jaRo1920\Pulpit\KK.exe
[2010-08-19 12:54:14 | 000,212,480 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWXCACLS.exe
[2010-08-19 12:54:14 | 000,161,792 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWREG.exe
[2010-08-19 12:54:14 | 000,136,704 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWSC.exe
[2010-08-19 12:54:14 | 000,031,232 | ---- | C] (NirSoft) -- C:\WINDOWS\NIRCMD.exe
[2010-08-19 12:54:11 | 000,000,000 | ---D | C] -- C:\WINDOWS\ERDNT
[2010-08-19 12:53:35 | 000,000,000 | ---D | C] -- C:\Qoobox
[2010-08-19 13:16:46 | 000,164,352 | ---- | M] () -- C:\Documents and Settings\jaRo1920\Pulpit\kk.zip
[2010-08-19 12:23:00 | 003,819,493 | R--- | M] () -- C:\Documents and Settings\jaRo1920\Pulpit\ComboFix.exe
[2010-08-19 12:54:14 | 000,256,512 | ---- | C] () -- C:\WINDOWS\PEV.exe
[2010-08-19 12:54:14 | 000,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe
[2010-08-19 12:54:14 | 000,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe
[2010-08-19 12:54:14 | 000,077,312 | ---- | C] () -- C:\WINDOWS\MBR.exe
[2010-08-19 12:54:14 | 000,068,096 | ---- | C] () -- C:\WINDOWS\zip.exe
:FILES
:REG
:COMMANDS
[purity]
[emptytemp]
[emptyflash]
[clearallrestorepoints]



Wciśnij Run Fix (Wykonaj skrypt) i zatwierdź restart

Do wglądu raport z czyszczenia i nowy log z OTL

[zwoli]

Kod: Zaznacz wszystko

All processes killed
========== PROCESSES ==========
========== SERVICES/DRIVERS ==========
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\\{57BCA5FA-5DBB-45a2-B558-1755C3F6253B} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{57BCA5FA-5DBB-45a2-B558-1755C3F6253B}\ not found.
Prefs.js: "Winamp Search" removed from browser.search.defaultenginename
Prefs.js: "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampie7&query=" removed from browser.search.defaulturl
Prefs.js: "Winamp Search" removed from browser.search.selectedEngine
Prefs.js: {0b38152b-1b20-484d-a11f-5e04a9b0661f}:5.6.12.1 removed from extensions.enabledItems
Prefs.js: "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampab&query=" removed from keyword.URL
Registry value HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 3.0\extensions\\Components deleted successfully.
C:\Program Files\Mozilla Firefox\components folder moved successfully.
Registry value HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 3.0\extensions\\Plugins deleted successfully.
C:\Program Files\Mozilla Firefox\plugins folder moved successfully.
C:\Documents and Settings\jaRo1920\Dane aplikacji\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384} folder moved successfully.
C:\Documents and Settings\jaRo1920\Dane aplikacji\Mozilla\Extensions folder moved successfully.
C:\Documents and Settings\jaRo1920\Dane aplikacji\Mozilla\Firefox\Profiles\2hwzybdy.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f}\META-INF folder moved successfully.
C:\Documents and Settings\jaRo1920\Dane aplikacji\Mozilla\Firefox\Profiles\2hwzybdy.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f}\components folder moved successfully.
C:\Documents and Settings\jaRo1920\Dane aplikacji\Mozilla\Firefox\Profiles\2hwzybdy.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f}\chrome folder moved successfully.
C:\Documents and Settings\jaRo1920\Dane aplikacji\Mozilla\Firefox\Profiles\2hwzybdy.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f} folder moved successfully.
C:\Documents and Settings\jaRo1920\Dane aplikacji\Mozilla\Firefox\Profiles\2hwzybdy.default\extensions folder moved successfully.
Folder C:\Documents and Settings\jaRo1920\Dane aplikacji\Mozilla\Firefox\Profiles\2hwzybdy.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f}\ not found.
C:\Documents and Settings\jaRo1920\Dane aplikacji\Mozilla\Firefox\Profiles\2hwzybdy.default\searchplugins\winamp-search.xml moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EBF2BA02-9094-4c5a-858B-BB198F3D8DE2}\ not found.
Registry value HKEY_USERS\S-1-5-21-842925246-2052111302-725345543-1003\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}\ not found.
Registry key HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\&Winamp Search\ deleted successfully.
C:\Documents and Settings\All Users\Dane aplikacji\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html moved successfully.
C:\RECYCLER\S-1-5-21-842925246-2052111302-725345543-1003 folder moved successfully.
C:\RECYCLER folder moved successfully.
C:\Documents and Settings\jaRo1920\Pulpit\KK.exe moved successfully.
C:\WINDOWS\SWXCACLS.exe moved successfully.
C:\WINDOWS\SWREG.exe moved successfully.
C:\WINDOWS\SWSC.exe moved successfully.
C:\WINDOWS\NIRCMD.exe moved successfully.
C:\WINDOWS\ERDNT\subs\Users\00000006 folder moved successfully.
C:\WINDOWS\ERDNT\subs\Users\00000005 folder moved successfully.
C:\WINDOWS\ERDNT\subs\Users\00000004 folder moved successfully.
C:\WINDOWS\ERDNT\subs\Users\00000003 folder moved successfully.
C:\WINDOWS\ERDNT\subs\Users\00000002 folder moved successfully.
C:\WINDOWS\ERDNT\subs\Users\00000001 folder moved successfully.
C:\WINDOWS\ERDNT\subs\Users folder moved successfully.
C:\WINDOWS\ERDNT\subs folder moved successfully.
C:\WINDOWS\ERDNT\Hiv-backup\Users\00000006 folder moved successfully.
C:\WINDOWS\ERDNT\Hiv-backup\Users\00000005 folder moved successfully.
C:\WINDOWS\ERDNT\Hiv-backup\Users\00000004 folder moved successfully.
C:\WINDOWS\ERDNT\Hiv-backup\Users\00000003 folder moved successfully.
C:\WINDOWS\ERDNT\Hiv-backup\Users\00000002 folder moved successfully.
C:\WINDOWS\ERDNT\Hiv-backup\Users\00000001 folder moved successfully.
C:\WINDOWS\ERDNT\Hiv-backup\Users folder moved successfully.
C:\WINDOWS\ERDNT\Hiv-backup folder moved successfully.
C:\WINDOWS\ERDNT\cache folder moved successfully.
C:\WINDOWS\ERDNT folder moved successfully.
C:\Qoobox\Quarantine\Registry_backups folder moved successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32 folder moved successfully.
C:\Qoobox\Quarantine\C\WINDOWS folder moved successfully.
C:\Qoobox\Quarantine\C\Program Files\Windows Defender\setup folder moved successfully.
C:\Qoobox\Quarantine\C\Program Files\Windows Defender folder moved successfully.
C:\Qoobox\Quarantine\C\Program Files\Winamp Toolbar folder moved successfully.
C:\Qoobox\Quarantine\C\Program Files folder moved successfully.
C:\Qoobox\Quarantine\C\Documents and Settings\jaRo1920\Ustawienia lokalne\Dane aplikacji\Winamp Toolbar\ieToolbar\en-US folder moved successfully.
C:\Qoobox\Quarantine\C\Documents and Settings\jaRo1920\Ustawienia lokalne\Dane aplikacji\Winamp Toolbar\ieToolbar folder moved successfully.
C:\Qoobox\Quarantine\C\Documents and Settings\jaRo1920\Ustawienia lokalne\Dane aplikacji\Winamp Toolbar folder moved successfully.
C:\Qoobox\Quarantine\C\Documents and Settings\jaRo1920\Ustawienia lokalne\Dane aplikacji folder moved successfully.
C:\Qoobox\Quarantine\C\Documents and Settings\jaRo1920\Ustawienia lokalne folder moved successfully.
C:\Qoobox\Quarantine\C\Documents and Settings\jaRo1920 folder moved successfully.
C:\Qoobox\Quarantine\C\Documents and Settings folder moved successfully.
C:\Qoobox\Quarantine\C folder moved successfully.
C:\Qoobox\Quarantine folder moved successfully.
C:\Qoobox\BackEnv folder moved successfully.
C:\Qoobox folder moved successfully.
File C:\Documents and Settings\jaRo1920\Pulpit\kk.zip not found.
C:\Documents and Settings\jaRo1920\Pulpit\ComboFix.exe moved successfully.
C:\WINDOWS\PEV.exe moved successfully.
C:\WINDOWS\sed.exe moved successfully.
C:\WINDOWS\grep.exe moved successfully.
C:\WINDOWS\MBR.exe moved successfully.
C:\WINDOWS\zip.exe moved successfully.
========== FILES ==========
========== REGISTRY ==========
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: jaRo1920
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 1385649 bytes
->FireFox cache emptied: 75893263 bytes
->Flash cache emptied: 2827652 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32835 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2114584 bytes
%systemroot%\System32 .tmp files removed: 2596 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 78,00 mb


[EMPTYFLASH]

User: All Users

User: Default User

User: jaRo1920
->Flash cache emptied: 0 bytes

User: LocalService

User: NetworkService

Total Flash Files Cleaned = 0,00 mb

Restore points cleared and new OTL Restore Point set!

OTL by OldTimer - Version 3.2.10.0 log created on 08192010_134902

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...


http://wklej.org/id/378941/

Do wglądu raport z czyszczenia

tego nie panimaje

[NieWiem]

To jest to coś co Ci się po resecie pojawiło. To, co dałeś w [code]

Zostało wielkie sprzątanie (uruchamiasz OTL i wciskasz przycisk Sprzątanie) i wisisz mi .