Spowolniona praca systemu, a zwłaszcza internetu

[eljot86]

Witam. Od kilku dni komputer działa znacznie wolniej aniżeli zwykle i podejrzewam, że jest to wina jakiegoś wirusa. System ładuje się zdecydowanie wolniej (czarny ekran z migającą białą kreseczką). Ale przede wszystkim opornie chodzi intrenet. Strony www pod IE w ogólnie się nie uruchomiają, a na Mozilli ładują się wolniej. Sama przeglądarka co jakiś czas się zawiesza, a po kilku minutach pojawia się raport o błędach (z możliwością wysłania go do Microsoftu) i automatycznie zamyka się. Ponadto dobre kilka minut uruuchomiają się inne programy związane z netem (choćby Outlock). Dodam, że nie znam się na rzeczy, a już w ogóle nie potrafię kombinować z rejestrami, specjalnymi programami itp. Z góry dzięki za wszelką pomoc.

Kod: Zaznacz wszystko

ComboFix 08-08-01.04 - Jot 2008-08-02 17:49:24.1 - [color=red][b]FAT32[/b][/color]x86
Running from: D:\ComboFix.exe
* Created a new restore point
* Resident AV is active


[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b][/color]
.

(((((((((((((((((((((((((((((((((((((((   Other Deletions   )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\ffbefaefaa5_s.dll

.
(((((((((((((((((((((((((((((((((((((((   Drivers/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_{DEF85C80-216A-43AB-AF70-1665EDBE2780}
-------\Service_{DEF85C80-216A-43ab-AF70-1665EDBE2780}


(((((((((((((((((((((((((   Files Created from 2008-07-02 to 2008-08-02  )))))))))))))))))))))))))))))))
.

2008-08-02 17:21 . 2008-08-02 17:21   <DIR>   d--------   C:\Program Files\Trend Micro
2008-07-15 22:49 . 2008-07-15 22:49   <DIR>   d--------   C:\WINDOWS\system32\Adobe
2008-07-14 17:36 . 2008-07-14 17:36   <DIR>   d--------   C:\Games
2008-07-04 16:03 . 2008-07-04 16:03   <DIR>   d--hs----   C:\FOUND.000

.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-02 16:51   73,496   --sha-w   C:\WINDOWS\system32\drivers\fidbox.idx
2008-08-02 16:51   46,368   --sha-w   C:\WINDOWS\system32\drivers\fidbox2.dat
2008-08-02 16:51   2,523,168   --sha-w   C:\WINDOWS\system32\drivers\fidbox.dat
2008-08-02 16:51   179,552   --sha-w   C:\WINDOWS\system32\drivers\fidbox2.idx
2008-06-30 20:42   ---------   d-----w   C:\Program Files\VirtualDubMod
2008-06-30 20:20   ---------   d-----w   C:\Program Files\MKVTOAVI
2008-06-22 15:44   73,520   ----a-w   C:\Documents and Settings\Jot\Dane aplikacji\GDIPFONTCACHEV1.DAT
2008-05-24 20:03   25,856   ----a-w   C:\WINDOWS\system32\dllcache\usbprint.sys
2008-05-24 10:53   31,616   ----a-w   C:\WINDOWS\system32\dllcache\usbccgp.sys
.

(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Komunikator"="D:\Programy\Zainstalowane programy\Tlen.pl\tlen.exe" [2007-01-18 10:09 1149952]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-08-04 00:55 1667584]
"AutoConnect"="D:\Programy\Zainstalowane programy\AutoConnect\AutoConnect.exe" [2004-08-28 19:27 295424]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"kav"="D:\Programy\Zainstalowane programy\Kaspersky\avp.exe" [2006-03-24 19:09 139367]
"BrMfcWnd"="C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe" [2007-03-12 14:51 663552]
"ControlCenter3"="C:\Program Files\Brother\ControlCenter3\brctrcen.exe" [2007-01-26 15:58 65536]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-03 22:44 15360]

C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\
DSLMON.lnk - C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe [2008-02-12 18:31:19 839680]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"= ctwdm32.dll
"msacm.dvacm"= C:\PROGRA~1\COMMON~1\ULEADS~1\Vio\Dvacm.acm
"msacm.MPEGacm"= C:\PROGRA~1\COMMON~1\ULEADS~1\MPEG\MPEGacm.acm
"msacm.ulmp3acm"= C:\PROGRA~1\COMMON~1\ULEADS~1\MPEG\ulmp3acm.acm

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Adobe Gamma Loader.lnk]
path=C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Adobe Gamma Loader.lnk
backup=C:\WINDOWS\pss\Adobe Gamma Loader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Microsoft Office.lnk]
path=C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2004-08-04 00:55 1667584 C:\Program Files\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"D:\\Programy\\Zainstalowane programy\\Tlen.pl\\tlen.exe"=
"D:\\Programy\\Zainstalowane programy\\Kodak\\Kodak EasyShare software\\bin\\EasyShare.exe"=

R1 SandBox;Outpost Firewall Sandbox Driver;D:\Programy\Zainstalowane programy\Outpost Firewall\kernel\Sandbox.SYS [2006-12-13 14:23]
R1 VFILT;Outpost Firewall Kernel Driver;D:\Programy\Zainstalowane programy\Outpost Firewall\kernel\FILTNT.SYS [2006-12-18 12:39]
R3 ADBLOCK.DLL;Outpost Firewall PlugIn (ADBLOCK.DLL);D:\Programy\Zainstalowane programy\Outpost Firewall\kernel\ADBLOCK.DLL [2006-12-18 12:40]
R3 ARP.DLL;Outpost Firewall PlugIn (ARP.DLL);D:\Programy\Zainstalowane programy\Outpost Firewall\kernel\ARP.DLL [2006-12-18 12:40]
R3 CONTENT.DLL;Outpost Firewall PlugIn (CONTENT.DLL);D:\Programy\Zainstalowane programy\Outpost Firewall\kernel\CONTENT.DLL [2006-12-18 12:40]
R3 DNSCACHE.DLL;Outpost Firewall PlugIn (DNSCACHE.DLL);D:\Programy\Zainstalowane programy\Outpost Firewall\kernel\DNSCACHE.DLL [2006-12-18 12:39]
R3 FTPFILT.DLL;Outpost Firewall PlugIn (FTPFILT.DLL);D:\Programy\Zainstalowane programy\Outpost Firewall\kernel\FTPFILT.DLL [2006-12-18 12:40]
R3 HTMLFILT.DLL;Outpost Firewall PlugIn (HTMLFILT.DLL);D:\Programy\Zainstalowane programy\Outpost Firewall\kernel\HTMLFILT.DLL [2006-12-18 12:39]
R3 HTTPFILT.DLL;Outpost Firewall PlugIn (HTTPFILT.DLL);D:\Programy\Zainstalowane programy\Outpost Firewall\kernel\HTTPFILT.DLL [2006-12-18 12:39]
R3 IMAPFILT.DLL;Outpost Firewall PlugIn (IMAPFILT.DLL);D:\Programy\Zainstalowane programy\Outpost Firewall\kernel\IMAPFILT.DLL [2006-12-18 12:40]
R3 MAILFILT.DLL;Outpost Firewall PlugIn (MAILFILT.DLL);D:\Programy\Zainstalowane programy\Outpost Firewall\kernel\MAILFILT.DLL [2006-12-18 12:40]
R3 NNTPFILT.DLL;Outpost Firewall PlugIn (NNTPFILT.DLL);D:\Programy\Zainstalowane programy\Outpost Firewall\kernel\NNTPFILT.DLL [2006-12-18 12:40]
R3 POP3FILT.DLL;Outpost Firewall PlugIn (POP3FILT.DLL);D:\Programy\Zainstalowane programy\Outpost Firewall\kernel\POP3FILT.DLL [2006-12-18 12:40]
R3 PROTECT.DLL;Outpost Firewall PlugIn (PROTECT.DLL);D:\Programy\Zainstalowane programy\Outpost Firewall\kernel\PROTECT.DLL [2006-12-18 12:40]
R3 SECRET.DLL;Outpost Firewall PlugIn (SECRET.DLL);D:\Programy\Zainstalowane programy\Outpost Firewall\kernel\SECRET.DLL [2006-12-18 12:40]
.
.
------- Supplementary Scan -------
.
FireFox -: Profile - C:\Documents and Settings\Jot\Dane aplikacji\Mozilla\Firefox\Profiles\y32cucwm.default\


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-02 18:53:56
Windows 5.1.2600 Dodatek Service Pack 2 FAT NTAPI

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\explorer.exe
-> D:\Programy\Zainstalowane programy\Tlen.pl\hook.dll
.
------------------------ Other Running Processes ------------------------
.
D:\Programy\Zainstalowane programy\Outpost Firewall\outpost.exe
C:\PROGRAM FILES\COMMON FILES\ULEAD SYSTEMS\DVD\ULCDRSVR.EXE
C:\WINDOWS\system32\devldr32.exe
C:\Program Files\Brother\Brmfcmon\BrMfcmon.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Completion time: 2008-08-02 18:59:45 - machine was rebooted
ComboFix-quarantined-files.txt  2008-08-02 16:59:10

Pre-Run: 5,857,198,080 bajtów wolnych
Post-Run: 6,199,083,008 bajt˘w wolnych

120

Kod: Zaznacz wszystko

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:03:10, on 2008-08-02
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Programy\Zainstalowane programy\Kaspersky\avp.exe
D:\Programy\Zainstalowane programy\Outpost Firewall\outpost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
D:\Programy\Zainstalowane programy\Kaspersky\avp.exe
C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe
D:\Programy\Zainstalowane programy\Tlen.pl\tlen.exe
C:\Program Files\Messenger\msmsgs.exe
D:\Programy\Zainstalowane programy\AutoConnect\AutoConnect.exe
C:\WINDOWS\system32\devldr32.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Brother\Brmfcmon\BrMfcmon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\dwwin.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [kav] "D:\Programy\Zainstalowane programy\Kaspersky\avp.exe"
O4 - HKLM\..\Run: [BrMfcWnd] C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN
O4 - HKLM\..\Run: [ControlCenter3] C:\Program Files\Brother\ControlCenter3\brctrcen.exe /autorun
O4 - HKCU\..\Run: [Komunikator] D:\Programy\Zainstalowane programy\Tlen.pl\tlen.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [AutoConnect] D:\Programy\Zainstalowane programy\AutoConnect\AutoConnect.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: DSLMON.lnk = ?
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Ochrona WWW - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - D:\Programy\Zainstalowane programy\Kaspersky\scieplugin.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EAEE0C4B-94E4-494B-872D-616B12375AC9}: NameServer = 194.204.159.1 217.98.63.164
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - D:\Programy\Zainstalowane programy\Kaspersky\avp.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - D:\Programy\Zainstalowane programy\Outpost Firewall\outpost.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe

--
End of file - 4294 bytes

Pozdrawiam.

[Okocza]

Wykonaj to co jest podane w tym temacie

Zastosuj SDFix . Po pobraniu uruchom go a rozpakuje się do C:\SDFix. Uruchom komputer w trybie awaryjnym (F8 przy stracie systemu). Będąc w awaryjnym uruchom plik RunThis.bat z folderu SDFixa. Zatwierdź czyszczenie przez Y. Poczekaj aż ukończy i komputer zresetuje

Potem wejdz do folderu C:\SDFix wrzuc zawartość pliku Report.txt + log z combofixa oraz daj loga z hijacka


Jeśli combo nie zadziala daj loga z dss'a

[djarta]

Jest prawie czysto.

C:\FOUND.000

Usuń ten folder ręcznie.

Usuń ręcznie folder C:\Qoobox,

Usuń instalkę ComboFix z dysku.

Wykonaj optymalizację autostartu

Przeczyść komputer Ccleanerem

Wyłącz i włącz przywracanie systemu na wszystkich dyskach.Instrukcja

Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum

lub

Dr.WEB CureIt!.


EDIT:
Hmmm,teraz zobaczyłem dopiero

-------\Legacy_{DEF85C80-216A-43AB-AF70-1665EDBE2780}
-------\Service_{DEF85C80-216A-43ab-AF70-1665EDBE2780}

Nie podoba mi się to,czyżby rootkit na MBR dysku?

Na wszelki wypadek:
daj log z >mbr.exe >http://www.searchengines.pl/index.php?showtopic=31936&st=0&p=470953&#entry470953

[eljot86]

Witam. Zrobilem wszystko to, co poleciliscie. Prawie wszystko, bo za wyjatkiem czyszczenia Autostartu i skanera on-line (IE nie dziala). Jest troche lepiej, ale jednak w dalszym ciagu wystepuje klopot z przegladarka IE - otwiera sie, ale nie mozna wczytac zadnej ze stron. Wo wpisaniu adresu www i zatwierdzeniu go kliknieciem nic sie nie dzieje, dalej jest pusta strona. Po chwili zabawy w obojetnie jakich opcjach programu zawiesza sie. Rzadziej, ale jednak zawiesic potrafi sie tez Tlen. Z Mozilla wydaje sie byc lepiej, ale tez raz na jakis czas drobne przestoje. Aha, nie ma u mnie takiego folderu na dysku C, jak FOUND.000. Daje Wam wszystkie logi:

Kod: Zaznacz wszystko

[b]SDFix: Version 1.211 [/b]
Run by Jot on 2008-08-02 at 20:08

Microsoft Windows XP [Wersja 5.1.2600]
Running From: C:\SDFix

[b]Checking Services [/b]:


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


[b]Checking Files [/b]:

Trojan Files Found:

C:\WINDOWS\Temp\ed47fa.$  - Deleted
C:\WINDOWS\system32\nvrsul32.dll - Deleted

[color=red]Note - Files associated with the MBR Rootkit have been found on this system, to check the PC use the [url=http://www2.gmer.net/mbr/mbr.exe]MBR Rootkit Detector[/url] by Gmer or [url=http://www.freedrweb.com/cureit]CureIt[/url] by Dr.Web[/color]

Could Not Remove C:\WINDOWS\Temp\bca4e2da.$$$
Could Not Remove C:\WINDOWS\Temp\fa56d7ec.$$$



Removing Temp Files

[b]ADS Check [/b]:



                                 [b]Final Check [/b]:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-02 20:14:36
Windows 5.1.2600 Dodatek Service Pack 2 FAT NTAPI

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


[b]Remaining Services [/b]:




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"D:\\Programy\\Zainstalowane programy\\Tlen.pl\\tlen.exe"="D:\\Programy\\Zainstalowane programy\\Tlen.pl\\tlen.exe:*:Enabled:Komunikator Tlen.pl"
"D:\\Programy\\Zainstalowane programy\\Kodak\\Kodak EasyShare software\\bin\\EasyShare.exe"="D:\\Programy\\Zainstalowane programy\\Kodak\\Kodak EasyShare software\\bin\\EasyShare.exe:*:Enabled:EasyShare"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

[b]Remaining Files [/b]:

C:\WINDOWS\Temp\bca4e2da.$$$  Found
C:\WINDOWS\Temp\fa56d7ec.$$$  Found

File Backups: - C:\SDFix\backups\backups.zip

[b]Files with Hidden Attributes [/b]:

Fri 17 Aug 2001        24,448 A.SHR --- "C:\NTBOOTDD.SYS"

[b]Finished![/b]

Kod: Zaznacz wszystko

ComboFix 08-08-01.05 - Jot 2008-08-02 22:39:45.2 - [color=red][b]FAT32[/b][/color]x86
Microsoft Windows XP Professional  5.1.2600.2.1250.1.1045.18.10 [GMT 2:00]
Running from: D:\ComboFix.exe
* Created a new restore point
* Resident AV is active


[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b][/color]
.

(((((((((((((((((((((((((((((((((((((((   Other Deletions   )))))))))))))))))))))))))))))))))))))))))))))))))
.

.
(((((((((((((((((((((((((((((((((((((((   Drivers/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_{DEF85C80-216A-43AB-AF70-1665EDBE2780}


(((((((((((((((((((((((((   Files Created from 2008-07-02 to 2008-08-02  )))))))))))))))))))))))))))))))
.

2008-08-02 20:25 . 2008-08-02 20:25   <DIR>   d--------   C:\Program Files\CCleaner
2008-08-02 20:07 . 2008-08-02 20:07   578,560   --a------   C:\WINDOWS\system32\dllcache\user32.dll
2008-08-02 20:06 . 2008-08-02 20:06   <DIR>   d--------   C:\WINDOWS\ERUNT
2008-08-02 19:59 . 2008-08-02 15:43   <DIR>   d--------   C:\SDFix
2008-08-02 17:21 . 2008-08-02 17:21   <DIR>   d--------   C:\Program Files\Trend Micro
2008-07-15 22:49 . 2008-07-15 22:49   <DIR>   d--------   C:\WINDOWS\system32\Adobe
2008-07-14 17:36 . 2008-07-14 17:36   <DIR>   d--------   C:\Games
2008-07-04 16:03 . 2008-07-04 16:03   <DIR>   d--hs----   C:\FOUND.000

.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-02 20:53   73,496   --sha-w   C:\WINDOWS\system32\drivers\fidbox.idx
2008-08-02 20:53   46,368   --sha-w   C:\WINDOWS\system32\drivers\fidbox2.dat
2008-08-02 20:53   2,523,168   --sha-w   C:\WINDOWS\system32\drivers\fidbox.dat
2008-08-02 20:53   179,552   --sha-w   C:\WINDOWS\system32\drivers\fidbox2.idx
2008-06-22 15:44   73,520   ----a-w   C:\Documents and Settings\Jot\Dane aplikacji\GDIPFONTCACHEV1.DAT
2008-05-24 20:03   25,856   ----a-w   C:\WINDOWS\system32\dllcache\usbprint.sys
2008-05-24 10:53   31,616   ----a-w   C:\WINDOWS\system32\dllcache\usbccgp.sys
.

(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Komunikator"="D:\Programy\Zainstalowane programy\Tlen.pl\tlen.exe" [2007-01-18 10:09 1149952]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-08-04 00:55 1667584]
"AutoConnect"="D:\Programy\Zainstalowane programy\AutoConnect\AutoConnect.exe" [2004-08-28 19:27 295424]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"kav"="D:\Programy\Zainstalowane programy\Kaspersky\avp.exe" [2006-03-24 19:09 139367]
"BrMfcWnd"="C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe" [2007-03-12 14:51 663552]
"ControlCenter3"="C:\Program Files\Brother\ControlCenter3\brctrcen.exe" [2007-01-26 15:58 65536]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-03 22:44 15360]

C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\
DSLMON.lnk - C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe [2008-02-12 18:31:19 839680]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"= ctwdm32.dll
"msacm.dvacm"= C:\PROGRA~1\COMMON~1\ULEADS~1\Vio\Dvacm.acm
"msacm.MPEGacm"= C:\PROGRA~1\COMMON~1\ULEADS~1\MPEG\MPEGacm.acm
"msacm.ulmp3acm"= C:\PROGRA~1\COMMON~1\ULEADS~1\MPEG\ulmp3acm.acm

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Adobe Gamma Loader.lnk]
path=C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Adobe Gamma Loader.lnk
backup=C:\WINDOWS\pss\Adobe Gamma Loader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Microsoft Office.lnk]
path=C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2004-08-04 00:55 1667584 C:\Program Files\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"D:\\Programy\\Zainstalowane programy\\Tlen.pl\\tlen.exe"=
"D:\\Programy\\Zainstalowane programy\\Kodak\\Kodak EasyShare software\\bin\\EasyShare.exe"=

.
.
------- Supplementary Scan -------
.
FireFox -: Profile - C:\Documents and Settings\Jot\Dane aplikacji\Mozilla\Firefox\Profiles\y32cucwm.default\


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-02 22:55:58
Windows 5.1.2600 Dodatek Service Pack 2 FAT NTAPI

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
D:\Programy\Zainstalowane programy\Outpost Firewall\outpost.exe
C:\PROGRAM FILES\COMMON FILES\ULEAD SYSTEMS\DVD\ULCDRSVR.EXE
C:\Program Files\Brother\Brmfcmon\BrMfcmon.exe
C:\WINDOWS\system32\devldr32.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Completion time: 2008-08-02 23:01:26 - machine was rebooted
ComboFix2.txt  2008-08-02 16:59:52
ComboFix-quarantined-files.txt  2008-08-02 21:01:02

Pre-Run: 6,329,311,232 bajtów wolnych
Post-Run: 6,316,122,112 bajt˘w wolnych

103

Kod: Zaznacz wszystko

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:30:37, on 2008-08-02
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Programy\Zainstalowane programy\Kaspersky\avp.exe
D:\Programy\Zainstalowane programy\Outpost Firewall\outpost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
D:\Programy\Zainstalowane programy\Kaspersky\avp.exe
C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe
D:\Programy\Zainstalowane programy\Tlen.pl\tlen.exe
C:\Program Files\Messenger\msmsgs.exe
D:\Programy\Zainstalowane programy\AutoConnect\AutoConnect.exe
C:\Program Files\Brother\Brmfcmon\BrMfcmon.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\WINDOWS\system32\devldr32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [kav] "D:\Programy\Zainstalowane programy\Kaspersky\avp.exe"
O4 - HKLM\..\Run: [BrMfcWnd] C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN
O4 - HKLM\..\Run: [ControlCenter3] C:\Program Files\Brother\ControlCenter3\brctrcen.exe /autorun
O4 - HKCU\..\Run: [Komunikator] D:\Programy\Zainstalowane programy\Tlen.pl\tlen.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [AutoConnect] D:\Programy\Zainstalowane programy\AutoConnect\AutoConnect.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: DSLMON.lnk = ?
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Ochrona WWW - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - D:\Programy\Zainstalowane programy\Kaspersky\scieplugin.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EAEE0C4B-94E4-494B-872D-616B12375AC9}: NameServer = 194.204.159.1 217.98.63.164
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - D:\Programy\Zainstalowane programy\Kaspersky\avp.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - D:\Programy\Zainstalowane programy\Outpost Firewall\outpost.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe

--
End of file - 4313 bytes

Kod: Zaznacz wszystko

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
MBR rootkit code detected !
malicious code @ sector 0x4a85300 size 0x1a9 !
copy of MBR has been found in sector 62 !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.

Pozdrawiam.

[wojtas]

1. Wykonaj skan Dr. Web CureIt

Przenieś program mbr.exe bezpośrednio na C:\
nastepnie przejdz do trybu awaryjnego z z obsługą linii komend
w linii komend wpisz polecenie C:\mbr.exe -f (tam jest spacja między mbr.exe a -f) i ENTER
Reset komputera do trybu normalnego i robisz nowy log z mbr.exe i combofixa

[djarta]

Rootkit jest.Zrób tak jak napisał wojtas.

[eljot86]

Witam. Nie chce zapeszac, ale wszystko jest juz chyba OK. Stronny na Mozilli chodza dosyc plynnie, dzialaja takze pod IE, nic sie nie wiesza... Jednak z ostateczna opinia wole jeszcze troche poczekac, pouzywac. Dzieki bardzo za dotychczasowa pomoc. Skaner wykryl mi pare smieci, ale komunikat pojawil sie tylko o pliku tlen.exe w katalogu z zainstalowanym programem. Prosze jeszcze o sprawdzenie tych logow, ktore wykonalem po zastosowaniu sie do w/w polecen:

Kod: Zaznacz wszystko

ComboFix 08-08-01.05 - Jot 2008-08-06 22:47:27.3 - [color=red][b]FAT32[/b][/color]x86
Running from: D:\ComboFix.exe
* Resident AV is active


[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b][/color]
.

(((((((((((((((((((((((((   Files Created from 2008-07-06 to 2008-08-06  )))))))))))))))))))))))))))))))
.

2008-08-06 17:53 . 2008-08-06 17:53   <DIR>   d--------   C:\Documents and Settings\Jot\DoctorWeb
2008-08-02 23:22 . 2008-08-02 23:21   66,048   --a------   C:\mbr.exe
2008-08-02 20:25 . 2008-08-02 20:25   <DIR>   d--------   C:\Program Files\CCleaner
2008-08-02 20:07 . 2008-08-02 20:07   578,560   --a------   C:\WINDOWS\system32\dllcache\user32.dll
2008-08-02 20:06 . 2008-08-02 20:06   <DIR>   d--------   C:\WINDOWS\ERUNT
2008-08-02 19:59 . 2008-08-02 15:43   <DIR>   d--------   C:\SDFix
2008-08-02 17:21 . 2008-08-02 17:21   <DIR>   d--------   C:\Program Files\Trend Micro
2008-07-15 22:49 . 2008-07-15 22:49   <DIR>   d--------   C:\WINDOWS\system32\Adobe
2008-07-14 17:36 . 2008-07-14 17:36   <DIR>   d--------   C:\Games

.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-06 18:11   73,496   --sha-w   C:\WINDOWS\system32\drivers\fidbox.idx
2008-08-06 18:11   46,368   --sha-w   C:\WINDOWS\system32\drivers\fidbox2.dat
2008-08-06 18:11   2,523,168   --sha-w   C:\WINDOWS\system32\drivers\fidbox.dat
2008-08-06 18:11   179,552   --sha-w   C:\WINDOWS\system32\drivers\fidbox2.idx
2008-06-22 15:44   73,520   ----a-w   C:\Documents and Settings\Jot\Dane aplikacji\GDIPFONTCACHEV1.DAT
2008-05-24 20:03   25,856   ----a-w   C:\WINDOWS\system32\dllcache\usbprint.sys
2008-05-24 10:53   31,616   ----a-w   C:\WINDOWS\system32\dllcache\usbccgp.sys
.

(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Komunikator"="D:\Programy\Zainstalowane programy\Tlen.pl\tlen.exe" [2007-01-18 10:09 1149952]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-08-04 00:55 1667584]
"AutoConnect"="D:\Programy\Zainstalowane programy\AutoConnect\AutoConnect.exe" [2004-08-28 19:27 295424]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"kav"="D:\Programy\Zainstalowane programy\Kaspersky\avp.exe" [2006-03-24 19:09 139367]
"BrMfcWnd"="C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe" [2007-03-12 14:51 663552]
"ControlCenter3"="C:\Program Files\Brother\ControlCenter3\brctrcen.exe" [2007-01-26 15:58 65536]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-03 22:44 15360]

C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\
DSLMON.lnk - C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe [2008-02-12 18:31:19 839680]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"= ctwdm32.dll
"msacm.dvacm"= C:\PROGRA~1\COMMON~1\ULEADS~1\Vio\Dvacm.acm
"msacm.MPEGacm"= C:\PROGRA~1\COMMON~1\ULEADS~1\MPEG\MPEGacm.acm
"msacm.ulmp3acm"= C:\PROGRA~1\COMMON~1\ULEADS~1\MPEG\ulmp3acm.acm

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Adobe Gamma Loader.lnk]
path=C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Adobe Gamma Loader.lnk
backup=C:\WINDOWS\pss\Adobe Gamma Loader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Microsoft Office.lnk]
path=C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2004-08-04 00:55 1667584 C:\Program Files\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"D:\\Programy\\Zainstalowane programy\\Tlen.pl\\tlen.exe"=
"D:\\Programy\\Zainstalowane programy\\Kodak\\Kodak EasyShare software\\bin\\EasyShare.exe"=

R1 SandBox;Outpost Firewall Sandbox Driver;D:\Programy\Zainstalowane programy\Outpost Firewall\kernel\Sandbox.SYS [2006-12-13 14:23]
R1 VFILT;Outpost Firewall Kernel Driver;D:\Programy\Zainstalowane programy\Outpost Firewall\kernel\FILTNT.SYS [2006-12-18 12:39]
R3 ADBLOCK.DLL;Outpost Firewall PlugIn (ADBLOCK.DLL);D:\Programy\Zainstalowane programy\Outpost Firewall\kernel\ADBLOCK.DLL [2006-12-18 12:40]
R3 ARP.DLL;Outpost Firewall PlugIn (ARP.DLL);D:\Programy\Zainstalowane programy\Outpost Firewall\kernel\ARP.DLL [2006-12-18 12:40]
R3 CONTENT.DLL;Outpost Firewall PlugIn (CONTENT.DLL);D:\Programy\Zainstalowane programy\Outpost Firewall\kernel\CONTENT.DLL [2006-12-18 12:40]
R3 DNSCACHE.DLL;Outpost Firewall PlugIn (DNSCACHE.DLL);D:\Programy\Zainstalowane programy\Outpost Firewall\kernel\DNSCACHE.DLL [2006-12-18 12:39]
R3 FTPFILT.DLL;Outpost Firewall PlugIn (FTPFILT.DLL);D:\Programy\Zainstalowane programy\Outpost Firewall\kernel\FTPFILT.DLL [2006-12-18 12:40]
R3 HTMLFILT.DLL;Outpost Firewall PlugIn (HTMLFILT.DLL);D:\Programy\Zainstalowane programy\Outpost Firewall\kernel\HTMLFILT.DLL [2006-12-18 12:39]
R3 HTTPFILT.DLL;Outpost Firewall PlugIn (HTTPFILT.DLL);D:\Programy\Zainstalowane programy\Outpost Firewall\kernel\HTTPFILT.DLL [2006-12-18 12:39]
R3 IMAPFILT.DLL;Outpost Firewall PlugIn (IMAPFILT.DLL);D:\Programy\Zainstalowane programy\Outpost Firewall\kernel\IMAPFILT.DLL [2006-12-18 12:40]
R3 MAILFILT.DLL;Outpost Firewall PlugIn (MAILFILT.DLL);D:\Programy\Zainstalowane programy\Outpost Firewall\kernel\MAILFILT.DLL [2006-12-18 12:40]
R3 NNTPFILT.DLL;Outpost Firewall PlugIn (NNTPFILT.DLL);D:\Programy\Zainstalowane programy\Outpost Firewall\kernel\NNTPFILT.DLL [2006-12-18 12:40]
R3 POP3FILT.DLL;Outpost Firewall PlugIn (POP3FILT.DLL);D:\Programy\Zainstalowane programy\Outpost Firewall\kernel\POP3FILT.DLL [2006-12-18 12:40]
R3 PROTECT.DLL;Outpost Firewall PlugIn (PROTECT.DLL);D:\Programy\Zainstalowane programy\Outpost Firewall\kernel\PROTECT.DLL [2006-12-18 12:40]
R3 SECRET.DLL;Outpost Firewall PlugIn (SECRET.DLL);D:\Programy\Zainstalowane programy\Outpost Firewall\kernel\SECRET.DLL [2006-12-18 12:40]

*Newly Created Service* - CATCHME
.
.
------- Supplementary Scan -------
.
FireFox -: Profile - C:\Documents and Settings\Jot\Dane aplikacji\Mozilla\Firefox\Profiles\y32cucwm.default\


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-06 22:56:30
Windows 5.1.2600 Dodatek Service Pack 2 FAT NTAPI

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\explorer.exe
-> D:\Programy\Zainstalowane programy\Tlen.pl\hook.dll
.
Completion time: 2008-08-06 23:00:40
ComboFix3.txt  2008-08-02 16:59:52
ComboFix-quarantined-files.txt  2008-08-06 21:00:06
ComboFix2.txt  2008-08-02 21:01:36

Pre-Run: 6,058,254,336 bajtów wolnych
Post-Run: 6,068,559,872 bajtów wolnych

107

Kod: Zaznacz wszystko

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x4a85300 size 0x1a9 !
copy of MBR has been found in sector 62 !

[djarta]

Z logu "mbr.exe" wynika, że Rootkita już nie ma.Czysto.

Usuń ręcznie folder C:\Qoobox,

Usuń instalkę ComboFix z dysku.

Wykonaj optymalizację autostartu

Przeczyść komputer Ccleanerem

Wyłącz i włącz przywracanie systemu na wszystkich dyskach.Instrukcja

Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum

lub

Dr.WEB CureIt!.