straszliwy wirus

[masonizyd]

To jest jakiś atak sieciowy, którego nie potrafię uniknąć


Oto log z noda:

Kod: Zaznacz wszystko


Czas   Moduł   Obiekt   Nazwa   Wirus   Czynność   Użytkownik   Informacje
2007-08-24 17:51:45   AMON   plik   C:\Documents and Settings\bbb\Ustawienia lokalne\Temporary Internet Files\Content.IE5\5NIHWQ3Y\dolphi[1].exe   Win32/TrojanDownloader.Small.BUY trojan   Kwarantanna - usunięty   PPP-2E9E56C8823\bbb   Zdarzenie miało miejsce podczas próby tworzenia nowego pliku przez program: C:\WINDOWS\system32\f03WtR\f03WtR1066.exe. Plik został przeniesiony do kwarantanny.
2007-08-24 17:51:06   AMON   plik   C:\Documents and Settings\bbb\Ustawienia lokalne\Temporary Internet Files\Content.IE5\QBY1CLTB\ldr[1].exe   prawdopodobnie odmiana  Win32/TrojanDownloader.Small.AWA  trojan   Kwarantanna - usunięty   PPP-2E9E56C8823\bbb   Zdarzenie miało miejsce podczas próby tworzenia nowego pliku przez program: C:\WINDOWS\TEMP\VRR35E.tmp. Plik został przeniesiony do kwarantanny.
2007-08-24 17:51:04   AMON   plik   C:\DOCUME~1\bbb\USTAWI~1\Temp\EXE364.tmp   prawdopodobnie odmiana  Win32/TrojanDownloader.Small.AWA  trojan   Kwarantanna - usunięty   PPP-2E9E56C8823\bbb   Zdarzenie miało miejsce w trakcie modyfikowania pliku przez aplikację: C:\WINDOWS\TEMP\VRR35E.tmp. Plik został przeniesiony do kwarantanny.
2007-08-24 17:50:42   IMON   plik   http://85.114.140.107/~grander/ldr.exe   prawdopodobnie odmiana  Win32/TrojanDownloader.Small.AWA  trojan      PPP-2E9E56C8823\bbb   
2007-08-24 17:50:38   IMON   samorozpakujące się archiwum   http://64.225.159.175/mlMGeN/dolphi.exe   Win32/TrojanDownloader.Small.BUY trojan   Kwarantanna - Połączenie zostało przerwane   PPP-2E9E56C8823\bbb   


Po każdej instalacji następuje niezależnie od zastosowanych zabezpieczeń taki atak i nie da się nic z tym zrobić.

A oto log

Kod: Zaznacz wszystko

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
D:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe
D:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\system32\svchost.exe
D:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
D:\Program Files\Eset\nod32kui.exe
C:\WINDOWS\retadpu21.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
D:\Program Files\KWORLD\MpegTV Station PCITV\RemoteCtl.exe
D:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\system32\CNAB4RPK.EXE
D:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\bbb\Pulpit\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [nod32kui] "D:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [runner1] C:\WINDOWS\retadpu21.exe 61A847B5BBF72810338B2B27128065E9C084320161C4661227A755E9C2933154389A
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: MpegTV Station PCITV Remote Control.lnk = D:\Program Files\KWORLD\MpegTV Station PCITV\RemoteCtl.exe
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{4B7ABF64-471B-430E-BD65-99B531721AAD}: NameServer = 194.204.159.1 217.98.63.164
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - D:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - D:\Program Files\Eset\nod32krn.exe
O23 - Service: Windows User Mode Driver Framework (UMWdf) - Unknown owner - C:\WINDOWS\system32\wdfmgr.exe (file missing)

--
End of file - 3843 bytes
P.S. Nie udało się nic zrobić innymi metodami


Zwykle jest tak, że po jakimś czasie wirus atakuje desktop i zima.

[wojtas]

sciagnij killbox’a

sciagnij: ATF_Cleaner

http://www.atribune.org/ccount/click.php?id=1

usuwanie wykonujesz z odlaczonym Internetem od kompa!

odpal ATF

zaznacz
All user Temp
Windows Temp
Temporary internet files
i wcisnij EMPTY SELECTED




Odpalasz Killboxa zaznacz opcję Delete on Reboot następnie w polu Full Path of File to Delete wklej ścieżkę

C:\WINDOWS\retadpu21.exe

i nacisnij x
Program będzie pytał o restart (oczywiście zgadzasz się)

skasuj:

O4 - HKLM\..\Run: [runner1] C:\WINDOWS\retadpu21.exe 61A847B5BBF72810338B2B27128065E9C084320161C4661227A755E9C2933154389A

potem nowe logi oraz z gmera

Zakładka Rootkit >>> zaznaczone tylko Usługi i Pokazuj wszystko >>> kliknij Szukaj >>> czekaj cierpliwie aż skończy >>> Kopiuj >>> wklej do posta

[masonizyd]

Nic nie dalo.
Komputer padl w miedzy czasie 2 razy.
Ale przed padnieciem ciekawy fragment znalazlem.
O czym to swiadczy?

Kod: Zaznacz wszystko

O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System322\syssetup.dll" (User 'Default user')


[ Dodano: Dzisiaj o 0:02 ]
Nowe logi udalo sie z dss postep http://rapidshare.com/files/51094239/New_WinRAR_archive.rar.html

[wojtas]

O czym to swiadczy?

te wpisy sa poprawne


Pobierz i uruchom narzędzie
The Avenger
Zaznacz opcję Input script manually i kliknij na Lupkę z prawej strony. W okienku, które się otworzy wklejasz:

Drivers to unload:

xpdx

Files to delete:

C:\d.exe
C:\79624695
C:\wsusupd.exe
C:\sgbdk.exe
C:\WINDOWS\system32\xpdx.sys
C:\enytjmah.exe
C:\qphnkw.exe
C:\WINDOWS\retadpu21.exe

Folders to delete:

C:\WINDOWS\system32\f03WtR

Klikasz Done, a następnie zielone światełko i zgadzasz się na restart klikając OK.
Po restarcie w HijackThis usuwasz wpis/y

O4 - HKLM\..\Run: [runner1] C:\WINDOWS\retadpu21.exe 61A847B5BBF72810338B2B27128065E9C084320161C4661227A755E9C2933154389A
O4 - HKLM\..\Run: [ShareSearcher] c:\wsusupd.exe

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt + log z dss + z combofixa

[masonizyd]

avenger nie dzialal jak byl wirus, po prostu nie dal sie uruchomic (file corrupted).
Wyczyscilem natomiast wszystkie foldery system volume information i na razie przez 20 min nie ma wirusa Zobaczymy jak dalej, log jest czysty.
W internecie dowiedzialem sie, ze ten wirus to jakas zlosliwa wersja trojana o nazwie Smitfraud. To chyba tak dzialalo: Jakis plik na komputerze powodowal zmiane rejestrow i otwieral komputer na trojany. Jak tylko laczylem sie z internetem, w managerze pojawil sie nagle retadpu21. To chyba trojan downloader, bo za pare sekund pojawialy sie inne rzeczy. W efekcie powstawaly
rozne szopki. M. in. nie moglem otworzyc notatnika, niektore programy mialy zmienione .exe na .exe~, ladowanie desktopu trwalo 3 minuty, az w koncu blokowal sie na amen i trzeba bylo ponownie instalowac.
Najgorsze jest to, ze to cholerstwo dziala mimo nowej instalacji windows.
Co do avengera, mysle , ze ten wirus zlosliwie zmienial strukture tego pliku.
Bo raz zainstalowalem na nowo system i kliknalem na "stara" wypakowana .exe
i cala szopka zaczynala sie od nowa.
Nie wiem co teraz zrobic, czy skasowac wszystkie dane na komputerze aby przez przypadek nie natrafic na zainfekowany plik, czy moze cos innego.
Chcialbym prosic o rade w tej sprawie. W zalaczeniu log z combo fixa:

Kod: Zaznacz wszystko

ComboFix 07-08-17.2 - "USER" 2007-08-25 20:58:01.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.1.1033.18.916 [GMT -7:00]


(((((((((((((((((((((((((   Files Created from 2007-07-26 to 2007-08-26  )))))))))))))))))))))))))))))))


2007-08-25 20:57   51,200   --a------   C:\WINDOWS\nircmd.exe
2007-08-22 22:06   14   --a------   C:\DOCUME~1\USER\getfile.dat
2007-08-22 21:58   0   --a------   C:\WINDOWS\nsreg.dat
2007-08-22 21:55   90,112   -r-------   C:\WINDOWS\soundman.exe
2007-08-22 21:55   40,960   -r-------   C:\WINDOWS\system32\ChCfg.exe
2007-08-22 21:55   3,786,944   -r-------   C:\WINDOWS\system32\drivers\alcxwdm.sys
2007-08-22 21:55   157,184   -r-------   C:\WINDOWS\system32\RtlCPAPI.dll
2007-08-22 21:55   10,459,648   -r-------   C:\WINDOWS\system32\RTLCPL.exe
2007-08-22 21:54   307,200   -r-------   C:\WINDOWS\alcupd.exe
2007-08-22 21:54   217,088   -r-------   C:\WINDOWS\alcrmv.exe
2007-08-22 21:54   <DIR>   d--------   C:\Program Files\Realtek AC97
2007-08-22 21:53   46,892   --a------   C:\WINDOWS\system32\adadix16.dll
2007-08-22 21:53   46,167   --a------   C:\WINDOWS\system32\drivers\adildr.sys
2007-08-22 21:53   4,981   --a------   C:\WINDOWS\system32\adadix2k.dll
2007-08-22 21:53   22,395   --a------   C:\WINDOWS\system32\drivers\fpga.bin
2007-08-22 21:53   155,648   --a------   C:\WINDOWS\system32\adadix32.dll
2007-08-22 21:53   143,360   --a------   C:\WINDOWS\autoclk.exe
2007-08-22 21:53   135,168   --a------   C:\WINDOWS\system32\unaddrv.exe
2007-08-22 21:53   127,497   --a------   C:\WINDOWS\system32\drivers\adiusbaw.sys
2007-08-22 21:53   127,456   --a------   C:\WINDOWS\system32\ipdetect.exe
2007-08-22 21:53   126,976   --a------   C:\WINDOWS\system32\coclassfast.dll
2007-08-22 21:53   1,531,904   --a------   C:\WINDOWS\adiras.exe
2007-08-22 21:53   <DIR>   d--------   C:\Program Files\SAGEM
2007-08-22 21:50   516,096   ---------   C:\WINDOWS\system32\ati2sgag.exe
2007-08-22 21:48   451,072   --a------   C:\WINDOWS\Radeon Omega Drivers v3.8.291 Uninstall.exe
2007-08-22 21:47   5,600   --a------   C:\WINDOWS\system\WINASPI.DLL
2007-08-22 21:47   45,056   --a------   C:\WINDOWS\system32\WNASPI32.DLL
2007-08-22 21:47   4,672   --a------   C:\WINDOWS\system\WOWPOST.EXE
2007-08-22 21:47   16,877   --a------   C:\WINDOWS\system32\drivers\ASPI32.SYS
2007-08-22 21:45   9,216   -ra------   C:\WINDOWS\system32\drivers\videX32.sys
2007-08-22 21:45   331,184   ---------   C:\WINDOWS\system32\difxapi.dll
2007-08-22 21:45   <DIR>   d--h-----   C:\Program Files\InstallShield Installation Information
2007-08-22 21:45   <DIR>   d--------   C:\WINDOWS\system32\ReinstallBackups
2007-08-22 21:45   <DIR>   d--------   C:\Program Files\VIA
2007-08-22 21:45   <DIR>   d--------   C:\Program Files\Common Files\InstallShield
2007-08-22 21:39   24,816   --a------   C:\WINDOWS\system32\mdimon.dll
2007-08-22 21:38   <DIR>   d--------   C:\Program Files\Microsoft.NET
2007-08-22 21:38   <DIR>   d--------   C:\Program Files\Microsoft ActiveSync
2007-08-22 21:37   <DIR>   d--------   C:\WINDOWS\SHELLNEW
2007-08-22 21:35   786,432   --ah-----   C:\DOCUME~1\USER\NTUSER.DAT
2007-08-22 21:35   32,336   --a------   C:\DOCUME~1\USER\XviD.reg
2007-08-22 21:35   <DIR>   d--------   C:\Program Files\TGTSoft
2007-08-22 21:35   <DIR>   d--------   C:\DOCUME~1\USER\ff_temp
2007-08-22 21:35   <DIR>   d--------   C:\DOCUME~1\USER\APPLIC~1\VMware
2007-08-22 21:35   <DIR>   d--------   C:\DOCUME~1\LOCALS~1\APPLIC~1\VMware
2007-08-22 21:34   557,056   --ah-----   C:\DOCUME~1\NETWOR~1\NTUSER.DAT
2007-08-22 21:34   557,056   --ah-----   C:\DOCUME~1\LOCALS~1\NTUSER.DAT
2007-08-22 21:34   <DIR>   d--------   C:\WINDOWS\Prefetch
2007-08-22 21:30   557,056   ---h-----   C:\DOCUME~1\DEFAUL~1\NTUSER.DAT
2007-08-22 21:30   <DIR>   d--------   C:\WINDOWS\system32\xircom
2007-08-22 21:30   <DIR>   d--------   C:\WINDOWS\system32\restore
2007-08-22 21:30   <DIR>   d--------   C:\Program Files\microsoft frontpage
2007-08-22 21:29   673,546   --a------   C:\WINDOWS\unins000.exe
2007-08-22 21:29   2,643   --a------   C:\WINDOWS\unins000.dat
2007-08-22 21:29   <DIR>   d--------   C:\Program Files\OpenOffice2
2007-08-22 21:29   <DIR>   d--------   C:\DOCUME~1\DEFAUL~1\APPLIC~1\VMware
2007-08-22 21:28   9,600   -ra------   C:\WINDOWS\system32\drivers\vmnetadapter.sys
2007-08-22 21:28   5,120   -ra------   C:\WINDOWS\system32\vnetinst.dll
2007-08-22 21:28   385,024   --a------   C:\WINDOWS\system32\vnetlib.dll
2007-08-22 21:28   15,616   --a------   C:\WINDOWS\system32\drivers\vmnetuserif.sys
2007-08-22 21:28   135,168   --a------   C:\WINDOWS\system32\vmnat.exe
2007-08-22 21:28   106,496   --a------   C:\WINDOWS\system32\vmnetdhcp.exe
2007-08-22 21:28   10,240   -ra------   C:\WINDOWS\system32\drivers\vmnet.sys
2007-08-22 21:28   <DIR>   d--------   C:\Program Files\VMware
2007-08-22 21:28   <DIR>   d--------   C:\Program Files\Common Files\VMware
2007-08-22 21:28   <DIR>   d--------   C:\DOCUME~1\ALLUSE~1\APPLIC~1\VMware
2007-08-22 21:27   737,280   --a------   C:\WINDOWS\iun6002.exe
2007-08-22 21:27   2,925   --a------   C:\WINDOWS\mozver.dat
2007-08-22 21:27   107,132   --a------   C:\WINDOWS\UninstallFirefox.exe
2007-08-22 21:27   <DIR>   d--------   C:\WINDOWS\tmp0000490a
2007-08-22 21:27   <DIR>   d--------   C:\Program Files\Webteh
2007-08-22 21:27   <DIR>   d--------   C:\Program Files\QuickTime Alternative
2007-08-22 21:27   <DIR>   d--------   C:\Program Files\Opera
2007-08-22 21:27   <DIR>   d--------   C:\Program Files\FireTune
2007-08-22 21:27   <DIR>   d--------   C:\DOCUME~1\DEFAUL~1\ff_temp
2007-08-22 21:27   <DIR>   d--------   C:\DOCUME~1\ALLUSE~1\APPLIC~1\Apple Computer
2007-08-22 21:26   112,128   --a------   C:\WINDOWS\system32\mapi32.dll
2007-08-22 21:26   0   -rahs----   C:\MSDOS.SYS
2007-08-22 21:26   0   -rahs----   C:\IO.SYS
2007-08-22 21:26   0   --a------   C:\CONFIG.SYS
2007-08-22 21:26   0   --a------   C:\AUTOEXEC.BAT
2007-08-22 21:25   <DIR>   dr-------   C:\WINDOWS\Offline Web Pages
2007-08-22 21:25   <DIR>   d--hs----   C:\DOCUME~1\ALLUSE~1\DRM
2007-08-22 21:25   <DIR>   d--h-----   C:\Program Files\WindowsUpdate
2007-08-22 21:25   <DIR>   d---s----   C:\WINDOWS\Downloaded Program Files
2007-08-22 21:24   64,512   --a------   C:\WINDOWS\system32\acctres.dll
2007-08-22 21:24   16,384   --a------   C:\WINDOWS\system32\icfgnt5.dll
2007-08-22 21:24   12,288   --a------   C:\WINDOWS\system32\nmevtmsg.dll
2007-08-22 21:24   11,264   --a------   C:\WINDOWS\system32\atrace.dll
2007-08-22 21:24   <DIR>   d---s----   C:\WINDOWS\Tasks
2007-08-22 21:24   <DIR>   d--------   C:\WINDOWS\system32\DirectX
2007-08-22 21:24   <DIR>   d--------   C:\Program Files\Online Services
2007-08-22 21:24   <DIR>   d--------   C:\Program Files\Common Files\MSSoap
2007-08-22 21:23   81,920   --a------   C:\WINDOWS\system32\isign32.dll
2007-08-22 21:23   81,920   --a------   C:\WINDOWS\system32\ils.dll
2007-08-22 21:23   8,192   --a------   C:\WINDOWS\system32\bitsprx2.dll
2007-08-22 21:23   73,728   --a------   C:\WINDOWS\system32\icwdial.dll
2007-08-22 21:23   7,168   --a------   C:\WINDOWS\system32\bitsprx3.dll
2007-08-22 21:23   69,632   --a------   C:\WINDOWS\system32\msconf.dll
2007-08-22 21:23   679,424   --a------   C:\WINDOWS\system32\inetcomm.dll


((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-08-22 21:53   23   --a------   C:\WINDOWS\system32\drivers\adidsl.cfg
2007-08-22 21:25   8738   --a------   C:\WINDOWS\pchealth\helpctr\Config\Cntstore.bin
2007-08-22 21:25   2112   --a------   C:\WINDOWS\pchealth\helpctr\PackageStore\SkuStore.bin


(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BDMCon"="C:\Program Files\Softwin\BitDefender8\bdmcon.exe" [2005-06-20 12:10]
"BDNewsAgent"="C:\Program Files\Softwin\BitDefender8\bdnagent.exe" [2005-05-09 12:19]
"AtiPTA"="atiptaxx.exe" [2006-02-21 17:05 C:\WINDOWS\system32\atiptaxx.exe]
"SoundMan"="SOUNDMAN.EXE" [2005-10-24 05:45 C:\WINDOWS\soundman.exe]
"TrueImageMonitor.exe"="D:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe" []
"AcronisTimounterMonitor"="D:\Program Files\Acronis\TrueImageHome\TimounterMonitor.exe" []
"Acronis Scheduler2 Service"="C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe" [2007-02-09 20:39]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\runonce]
"nlsf"=cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll"
"tscuninstall"=%systemroot%\system32\tscupgrd.exe

C:\Documents and Settings\All Users\Start Menu\Programs\Startup\
DSLMON.lnk - C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe [2007-08-22 21:53:11]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoDesktopCleanupWizard"=1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoInstrumentation"=1 (0x1)
"NoSMHelp"=1 (0x1)
"StartMenuLogoff"=1 (0x1)
"ForceStartMenuLogoff"=0 (0x0)
"NoSMMyDocs"=1 (0x1)
"NoSMConfigurePrograms"=1 (0x1)
"NoUserNameInStartMenu"=1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoInstrumentation"=1 (0x1)
"NoSMHelp"=1 (0x1)
"StartMenuLogoff"=1 (0x1)
"ForceStartMenuLogoff"=0 (0x0)
"NoSMMyDocs"=1 (0x1)
"NoSMConfigurePrograms"=1 (0x1)
"NoUserNameInStartMenu"=1 (0x1)

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"= msv1_0 relog_ap

R0 snapman;Acronis Snapshots Manager;C:\WINDOWS\system32\DRIVERS\snapman.sys
R0 timounter;Acronis True Image Backup Archive Explorer;C:\WINDOWS\system32\DRIVERS\timntr.sys
R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys
R2 tifsfilter;Acronis True Image FS Filter;C:\WINDOWS\system32\DRIVERS\tifsfilt.sys
S3 FETNDIS;VIA PCI 10/100Mb Fast Ethernet Adapter NT Driver;C:\WINDOWS\system32\DRIVERS\fetnd5.sys


**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-08-25 20:58:46
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-08-25 20:59:16

[/list]
Raczej wszystko ok.

[wojtas]

nio w logu nie widze zadnych smieci juz

[masonizyd]

W miedzyczasie przez ostatnie kilka dni reinstalowalem windows z 10 razy, ale w koncu oplacilo sie.
Dziekuje Wojtas za dobre rady, przydaly sie w wiekszosci.