Win32:trojan-gen jak sie tego pozbyć?

[sagakama]

Witam wszystkich....złapałem coś takiego i nie da się tego pozbyć. Jak sam się pobawiłem w kluczach rejestru to musiałem windowsa od nowa instalować.... Prosze o przejrzenie logów i wskazówki co zrobić.
Logi z combofix:

Kod: Zaznacz wszystko

ComboFix 09-04-04.01 - Kamila 2009-04-05 20:21:36.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.0.1250.1.1045.18.767.564 [GMT 2:00]
Uruchomiony z: d:\tymczasowe pobrania z sieci\ComboFix.exe
* Utworzono nowy punkt przywracania
.

(((((((((((((((((((((((((((((((((((((((   Usunięto   )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\drivers\sysdrv32.sys

.
(((((((((((((((((((((((((((((((((((((((   Sterowniki/Usługi   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SYSDRV32
-------\Service_sysdrv32


(((((((((((((((((((((((((   Pliki utworzone od 2009-03-05 do 2009-04-05  )))))))))))))))))))))))))))))))
.

2009-04-05 19:29 . 2003-03-18 21:20   1,060,864   --a------   c:\windows\system32\MFC71.dll
2009-04-05 19:29 . 2003-03-18 20:14   499,712   --a------   c:\windows\system32\MSVCP71.dll
2009-04-05 19:29 . 2003-02-21 04:42   348,160   --a------   c:\windows\system32\MSVCR71.dll
2009-04-05 19:24 . 2009-04-05 19:27   90,112   --a------   c:\windows\system32\27.scr
2009-04-05 19:15 . 2009-04-05 19:27   90,112   --a------   c:\windows\system32\60.scr
2009-04-05 19:13 . 2009-04-05 19:23   90,112   --a------   c:\windows\system32\23.scr
2009-04-05 19:11 . 2009-04-05 19:11   <DIR>   d--------   c:\program files\ATI Technologies
2009-04-05 19:11 . 2006-05-03 11:57   520,192   ---------   c:\windows\system32\ati2sgag.exe
2009-04-05 19:10 . 2009-04-05 19:11   <DIR>   d--h-----   c:\program files\InstallShield Installation Information
2009-04-05 19:10 . 2009-04-05 19:11   <DIR>   d--------   c:\program files\Common Files\InstallShield
2009-04-05 19:10 . 2009-04-05 19:10   <DIR>   d--------   C:\ATI
2009-04-05 19:10 . 2009-04-05 19:10   90,112   --a------   c:\windows\system32\62.scr
2009-04-05 19:08 . 2009-04-05 19:08   90,112   --a------   c:\windows\system32\51.scr
2009-04-05 19:08 . 2009-04-05 19:28   90,112   --a------   c:\windows\system32\41.scr
2009-04-05 19:08 . 2009-04-05 19:08   90,112   --a------   c:\windows\system32\[u]0[/u]6.scr
2009-04-05 19:07 . 2009-04-05 19:27   90,112   --a------   c:\windows\system32\78.scr
2009-04-05 19:07 . 2009-04-05 19:15   90,112   --a------   c:\windows\system32\66.scr
2009-04-05 19:06 . 2009-04-05 19:07   90,112   --a------   c:\windows\system32\30.scr
2009-04-05 19:06 . 2009-04-05 19:26   90,112   --a------   c:\windows\system32\17.scr
2009-04-05 19:05 . 2009-04-05 20:08   100,864   --a------   c:\windows\system32\87.scr
2009-04-05 19:05 . 2009-04-05 19:23   90,112   --a------   c:\windows\system32\55.scr
2009-04-05 19:05 . 2009-04-05 19:16   90,112   --a------   c:\windows\system32\25.scr
2009-04-05 19:05 . 2009-04-05 19:25   90,112   --a------   c:\windows\system32\16.scr
2009-04-05 19:04 . 2009-04-05 19:24   90,112   --a------   c:\windows\system32\11.scr
2009-04-05 19:02 . 2009-04-05 19:28   90,112   --a------   c:\windows\system32\81.scr
2009-04-05 19:02 . 2009-04-05 19:26   90,112   --a------   c:\windows\system32\[u]0[/u]1.scr
2009-04-05 19:01 . 2009-04-05 19:15   90,112   --a------   c:\windows\system32\72.scr
2009-04-05 19:01 . 2009-04-05 19:24   90,112   --a------   c:\windows\system32\67.scr
2009-04-05 19:00 . 2009-04-05 19:29   90,112   --a------   c:\windows\system32\82.scr
2009-04-05 19:00 . 2009-04-05 19:02   90,112   --a------   c:\windows\system32\46.scr
2009-04-05 18:59 . 2009-04-05 19:26   90,112   --a------   c:\windows\system32\12.scr
2009-04-05 18:58 . 2003-08-25 18:06   182,880   --a------   c:\windows\system32\iuengine.dll
2009-04-05 18:58 . 2003-08-25 18:06   182,880   --a--c---   c:\windows\system32\dllcache\iuengine.dll
2009-04-05 18:58 . 2009-04-05 19:22   90,112   --a------   c:\windows\system32\68.scr
2009-04-05 18:58 . 2009-04-05 18:58   90,112   --a------   c:\windows\system32\54.scr
2009-04-05 18:58 . 2009-04-05 19:23   90,112   --a------   c:\windows\system32\20.scr
2009-04-05 18:57 . 2009-04-05 19:21   90,112   --a------   c:\windows\system32\36.scr
2009-04-05 18:57 . 2009-04-05 19:04   90,112   --a------   c:\windows\system32\32.scr
2009-04-05 18:57 . 2009-04-05 19:29   90,112   --a------   c:\windows\system32\31.scr
2009-04-05 18:57 . 2009-04-05 19:28   90,112   --a------   c:\windows\system32\21.scr
2009-04-05 18:57 . 2009-04-05 19:20   90,112   --a------   c:\windows\system32\14.scr
2009-04-05 18:56 . 2009-04-05 19:20   90,112   --a------   c:\windows\system32\71.scr
2009-04-05 18:56 . 2009-04-05 18:56   90,112   --a------   c:\windows\system32\61.scr
2009-04-05 18:56 . 2009-04-05 19:25   90,112   --a------   c:\windows\system32\48.scr
2009-04-05 18:56 . 2009-04-05 19:26   90,112   --a------   c:\windows\system32\33.scr
2009-04-05 18:56 . 2009-04-05 19:25   90,112   --a------   c:\windows\system32\15.scr
2009-04-05 18:56 . 2009-04-05 19:28   90,112   --a------   c:\windows\system32\[u]0[/u]7.scr
2009-04-05 18:55 . 2009-04-05 19:13   90,112   --a------   c:\windows\system32\88.scr
2009-04-05 18:55 . 2009-04-05 19:27   90,112   --a------   c:\windows\system32\84.scr
2009-04-05 18:55 . 2009-04-05 19:21   90,112   --a------   c:\windows\system32\70.scr
2009-04-05 18:55 . 2009-04-05 19:01   90,112   --a------   c:\windows\system32\58.scr
2009-04-05 18:55 . 2009-04-05 19:26   90,112   --a------   c:\windows\system32\44.scr
2009-04-05 18:54 . 2009-04-05 19:28   90,112   --a------   c:\windows\system32\83.scr
2009-04-05 18:54 . 2009-04-05 19:28   90,112   --a------   c:\windows\system32\50.scr
2009-04-05 18:54 . 2009-04-05 19:04   90,112   --a------   c:\windows\system32\37.scr
2009-04-05 18:54 . 2009-04-05 19:02   90,112   --a------   c:\windows\system32\28.scr
2009-04-05 18:53 . 2009-04-05 19:14   90,112   --a------   c:\windows\system32\65.scr
2009-04-05 18:53 . 2009-04-05 19:01   90,112   --a------   c:\windows\system32\56.scr
2009-04-05 18:53 . 2009-04-05 19:27   90,112   --a------   c:\windows\system32\18.scr
2009-04-05 18:53 . 2009-04-05 19:21   90,112   --a------   c:\windows\system32\[u]0[/u]8.scr
2009-04-05 18:53 . 2009-04-05 19:13   90,112   --a------   c:\windows\system32\[u]0[/u]2.scr
2009-04-05 18:52 . 2009-04-05 19:00   90,112   --a------   c:\windows\system32\76.scr
2009-04-05 18:52 . 2009-04-05 19:23   90,112   --a------   c:\windows\system32\73.scr
2009-04-05 18:52 . 2009-04-05 19:27   90,112   --a------   c:\windows\system32\64.scr
2009-04-05 18:52 . 2009-04-05 19:27   90,112   --a------   c:\windows\system32\35.scr
2009-04-05 18:52 . 2009-04-05 19:11   90,112   --a------   c:\windows\system32\[u]0[/u]3.scr
2009-04-05 18:51 . 2009-04-05 19:27   90,112   --a------   c:\windows\system32\86.scr
2009-04-05 18:51 . 2009-04-05 19:29   90,112   --a------   c:\windows\system32\74.scr
2009-04-05 18:51 . 2009-04-05 19:27   90,112   --a------   c:\windows\system32\63.scr
2009-04-05 18:51 . 2009-04-05 19:22   90,112   --a------   c:\windows\system32\57.scr
2009-04-05 18:51 . 2009-04-05 19:25   90,112   --a------   c:\windows\system32\34.scr
2009-04-05 18:51 . 2009-04-05 19:10   90,112   --a------   c:\windows\system32\24.scr
2009-04-05 18:51 . 2009-04-05 19:08   90,112   --a------   c:\windows\system32\22.scr
2009-04-05 18:50 . 2009-04-05 19:29   90,112   --a------   c:\windows\system32\53.scr
2009-04-05 18:50 . 2009-04-05 19:24   90,112   --a------   c:\windows\system32\52.scr
2009-04-05 18:50 . 2009-04-05 19:23   90,112   --a------   c:\windows\system32\43.scr
2009-04-05 18:50 . 2009-04-05 19:01   90,112   --a------   c:\windows\system32\38.scr
2009-04-05 18:50 . 2009-04-05 19:13   90,112   --a------   c:\windows\system32\10.scr
2009-04-05 18:50 . 2009-04-05 19:22   90,112   --a------   c:\windows\system32\[u]0[/u]5.scr
2009-04-05 18:50 . 2009-04-05 19:25   90,112   --a------   c:\windows\system32\[u]0[/u]4.scr
2009-04-05 18:50 . 2001-08-17 22:03   21,760   --a--c---   c:\windows\system32\dllcache\usbstor.sys
2009-04-05 18:49 . 2009-04-05 19:14   90,112   --a------   c:\windows\system32\77.scr
2009-04-05 18:49 . 2009-04-05 19:28   90,112   --a------   c:\windows\system32\42.scr
2009-04-05 18:49 . 2009-04-05 19:25   90,112   --a------   c:\windows\system32\26.scr
2009-04-05 18:49 . 2001-08-17 22:03   24,960   --a------   c:\windows\system32\drivers\usbccgp.sys
2009-04-05 18:49 . 2001-08-17 22:03   24,960   --a--c---   c:\windows\system32\dllcache\usbccgp.sys
2009-04-05 18:49 . 2001-08-17 22:00   24,832   --a------   c:\windows\system32\drivers\usbprint.sys
2009-04-05 18:49 . 2001-08-17 22:00   24,832   --a--c---   c:\windows\system32\dllcache\usbprint.sys
2009-04-05 10:45 . 2009-04-05 10:45   <DIR>   dr-h-----   c:\documents and settings\Default User\Ustawienia lokalne
2009-04-05 10:45 . 2009-04-05 10:45   <DIR>   d--------   c:\documents and settings\Default User\Ulubione
2009-04-05 10:45 . 2009-04-05 09:56   <DIR>   d--h-----   c:\documents and settings\Default User\Szablony
2009-04-05 10:45 . 2009-04-05 10:45   <DIR>   d--------   c:\documents and settings\Default User\Pulpit
2009-04-05 10:45 . 2009-04-05 10:45   <DIR>   d--------   c:\documents and settings\Default User\Moje dokumenty
2009-04-05 10:45 . 2009-04-05 10:45   <DIR>   dr-------   c:\documents and settings\Default User\Menu Start
2009-04-05 10:45 . 2009-04-05 10:45   <DIR>   dr-h-----   c:\documents and settings\Default User\Dane aplikacji
2009-04-05 10:45 . 2009-04-05 09:58   <DIR>   d--h-----   c:\documents and settings\Default User
2009-04-05 10:45 . 2009-04-05 10:45   <DIR>   d--------   c:\documents and settings\All Users\Ulubione
2009-04-05 10:45 . 2009-04-05 10:45   <DIR>   d--h-----   c:\documents and settings\All Users\Szablony
2009-04-05 10:45 . 2009-04-05 19:29   <DIR>   d--------   c:\documents and settings\All Users\Pulpit
2009-04-05 10:45 . 2009-04-05 10:00   <DIR>   dr-------   c:\documents and settings\All Users\Menu Start
2009-04-05 10:45 . 2009-04-05 09:56   <DIR>   dr-------   c:\documents and settings\All Users\Dokumenty
2009-04-05 10:45 . 2009-04-05 10:45   <DIR>   dr-h-----   c:\documents and settings\All Users\Dane aplikacji
2009-04-05 10:45 . 2009-04-05 09:58   <DIR>   d--------   c:\documents and settings\All Users
2009-04-05 10:04 . 2009-04-05 10:45   <DIR>   d--h-----   c:\documents and settings\Kamila\Ustawienia lokalne
2009-04-05 10:04 . 2009-04-05 10:04   <DIR>   dr-------   c:\documents and settings\Kamila\Ulubione
2009-04-05 10:04 . 2009-04-05 09:56   <DIR>   d--h-----   c:\documents and settings\Kamila\Szablony
2009-04-05 10:04 . 2009-04-05 20:15   <DIR>   d--------   c:\documents and settings\Kamila\Pulpit
2009-04-05 10:04 . 2009-04-05 10:04   <DIR>   dr-------   c:\documents and settings\Kamila\Moje dokumenty
2009-04-05 10:04 . 2009-04-05 10:45   <DIR>   dr-------   c:\documents and settings\Kamila\Menu Start
2009-04-05 10:04 . 2009-04-05 10:04   <DIR>   dr-h-----   c:\documents and settings\Kamila\Dane aplikacji
2009-04-05 10:04 . 2009-04-05 10:04   <DIR>   d--------   c:\documents and settings\Kamila
2009-04-05 10:01 . 2009-04-05 10:01   <DIR>   d--h-----   c:\documents and settings\NetworkService\Ustawienia lokalne
2009-04-05 10:01 . 2009-04-05 10:01   <DIR>   d--------   c:\documents and settings\NetworkService\Dane aplikacji
2009-04-05 10:01 . 2009-04-05 10:01   <DIR>   d--hs----   c:\documents and settings\NetworkService
2009-04-05 10:01 . 2009-04-05 10:01   <DIR>   d--h-----   c:\documents and settings\LocalService\Ustawienia lokalne
2009-04-05 10:01 . 2009-04-05 10:01   <DIR>   d--------   c:\documents and settings\LocalService\Dane aplikacji
2009-04-05 10:01 . 2009-04-05 10:01   <DIR>   d--hs----   c:\documents and settings\LocalService
2009-04-05 10:00 . 2009-04-05 10:45   <DIR>   dr-h-----   c:\windows\system32\config\systemprofile\Ustawienia lokalne
2009-04-05 10:00 . 2009-04-05 10:45   <DIR>   d--------   c:\windows\system32\config\systemprofile\Ulubione
2009-04-05 10:00 . 2009-04-05 09:56   <DIR>   d--h-----   c:\windows\system32\config\systemprofile\Szablony
2009-04-05 10:00 . 2009-04-05 10:45   <DIR>   d--------   c:\windows\system32\config\systemprofile\Pulpit
2009-04-05 10:00 . 2009-04-05 10:45   <DIR>   d--------   c:\windows\system32\config\systemprofile\Moje dokumenty
2009-04-05 10:00 . 2009-04-05 10:45   <DIR>   dr-------   c:\windows\system32\config\systemprofile\Menu Start
2009-04-05 10:00 . 2009-04-05 10:45   <DIR>   dr-h-----   c:\windows\system32\config\systemprofile\Dane aplikacji

.
((((((((((((((((((((((((((((((((((((((((   Sekcja Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-05 07:59   ---------   d-----w   c:\program files\microsoft frontpage
2009-04-05 07:56   ---------   d-----w   c:\program files\Usługi online
.

(((((((((((((((((((((((((((((((((((((   Wpisy startowe rejestru   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\ctfmon.exe" [2001-10-26 13312]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2001-08-02 1077277]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast!"="d:\progra~1\PROGRAMY\AVAST\ashDisp.exe" [2009-02-05 81000]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2001-10-26 13312]

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2009-04-05 114768]

--- Inne Usługi/Sterowniki w Pamięci ---

*NewlyCreated* - ALG
*NewlyCreated* - IPNAT
.
- - - - USUNIĘTO PUSTE WPISY - - - -

SafeBoot-lsass


.
------- Skan uzupełniający -------
.
uInternet Connection Wizard,ShellNext = hxxp://www.onet.pl/
IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm
.

**************************************************************************

catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-05 20:23:41
Windows 5.1.2600  NTFS

skanowanie ukrytych procesów ... 

skanowanie ukrytych wpisów autostartu ...

skanowanie ukrytych plików ... 

skanowanie pomyślnie ukończone
ukryte pliki: 0

**************************************************************************
.
--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------

- - - - - - - > 'winlogon.exe'(680)
c:\windows\system32\ODBC32.dll
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'lsass.exe'(736)
c:\windows\system32\mswsock.dll
c:\windows\System32\wshtcpip.dll
c:\windows\System32\dssenh.dll
.
------------------------ Pozostałe uruchomione procesy ------------------------
.
c:\windows\system32\ati2evxx.exe
d:\program files\PROGRAMY\AVAST\aswUpdSv.exe
c:\windows\system32\ati2evxx.exe
d:\program files\PROGRAMY\AVAST\ashServ.exe
d:\program files\PROGRAMY\AVAST\ashWebSv.exe
d:\program files\PROGRAMY\AVAST\ashMaiSv.exe
d:\program files\PROGRAMY\AVAST\Setup\avast.setup
.
**************************************************************************
.
Czas ukończenia: 2009-04-05 20:24:23 - komputer został uruchomiony ponownie
ComboFix-quarantined-files.txt  2009-04-05 18:24:20

Przed: 8 958 353 408 bajtów wolnych
Po: 8,952,459,264 bajtów wolnych

WinXP_PL_PRO_BF.EXE
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect

213


Logi z hijack:

Kod: Zaznacz wszystko

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:15:37, on 2009-04-05
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
D:\PROGRAM FILES\PROGRAMY\AVAST\aswUpdSv.exe
C:\WINDOWS\Explorer.EXE
D:\PROGRAM FILES\PROGRAMY\AVAST\ashServ.exe
D:\PROGRA~1\PROGRAMY\AVAST\ashDisp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\spoolsv.exe
D:\PROGRAM FILES\PROGRAMY\AVAST\ashWebSv.exe
D:\PROGRAM FILES\PROGRAMY\AVAST\ashMaiSv.exe
D:\PROGRAM FILES\PROGRAMY\OPERA\opera.exe
D:\PROGRAM FILES\PROGRAMY\Hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.onet.pl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\PROGRAMY\AVAST\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA SIECIOWA')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\PROGRAM FILES\PROGRAMY\AVAST\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - D:\PROGRAM FILES\PROGRAMY\AVAST\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - D:\PROGRAM FILES\PROGRAMY\AVAST\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - D:\PROGRAM FILES\PROGRAMY\AVAST\ashWebSv.exe

--
End of file - 2603 bytes


Przy instalowaniu systemu zrobiłem nawet format partycji C: ale po przeskanowaniu antywirusem znów sie pojawił ten robaczek....help

[Okocza]

Wykonaj to co jest podane w tym temacie

Zastosuj SDFix . Po pobraniu uruchom go a rozpakuje się do C:\SDFix. Uruchom komputer w trybie awaryjnym (F8 przy stracie systemu). Będąc w awaryjnym uruchom plik RunThis.bat z folderu SDFixa. Zatwierdź czyszczenie przez Y. Poczekaj aż ukończy i komputer zresetuje

Potem wejdz do folderu C:\SDFix wrzuc zawartość pliku Report.txt + log z combofixa oraz daj loga z hijacka

Autor postu otrzymał pochwałę

[sagakama]

To co podałęś w tym linku (blokowanie tych portów) zrobiłem chwile wcześniej przed wcześniejszymi logami.
Report z sdfixa:

Kod: Zaznacz wszystko

[b]SDFix: Version 1.240 [/b]
Run by Administrator on 2009-04-05 at 21:09

Microsoft Windows XP [Wersja 5.1.2600]
Running From: C:\SDFix

[b]Checking Services [/b]:


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


[b]Checking Files [/b]:

No Trojan Files Found






Removing Temp Files

[b]ADS Check [/b]:



                                 [b]Final Check [/b]:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-05 21:11:45
Windows 5.1.2600  NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


[b]Remaining Services [/b]:




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

[b]Remaining Files [/b]:



[b]Files with Hidden Attributes [/b]:


[b]Finished![/b]



Log z combofix:

Kod: Zaznacz wszystko

ComboFix 09-04-04.01 - Kamila 2009-04-05 21:16:18.2 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.0.1250.1.1045.18.767.582 [GMT 2:00]
Uruchomiony z: d:\tymczasowe pobrania z sieci\ComboFix.exe
.

(((((((((((((((((((((((((   Pliki utworzone od 2009-03-05 do 2009-04-05  )))))))))))))))))))))))))))))))
.

2009-04-05 21:09 . 2009-04-05 21:09   <DIR>   d--------   c:\windows\ERUNT
2009-04-05 21:08 . 2009-04-05 21:08   <DIR>   d--------   c:\documents and settings\Administrator
2009-04-05 21:05 . 2009-04-05 21:12   <DIR>   d--------   C:\SDFix
2009-04-05 20:56 . 2009-04-05 20:55   410,984   --a------   c:\windows\system32\deploytk.dll
2009-04-05 20:56 . 2009-04-05 20:55   73,728   --a------   c:\windows\system32\javacpl.cpl
2009-04-05 20:55 . 2009-04-05 20:55   <DIR>   d--------   c:\program files\Java
2009-04-05 19:29 . 2003-03-18 21:20   1,060,864   --a------   c:\windows\system32\MFC71.dll
2009-04-05 19:29 . 2003-03-18 20:14   499,712   --a------   c:\windows\system32\MSVCP71.dll
2009-04-05 19:29 . 2003-02-21 04:42   348,160   --a------   c:\windows\system32\MSVCR71.dll
2009-04-05 19:24 . 2009-04-05 19:27   90,112   --a------   c:\windows\system32\27.scr
2009-04-05 19:15 . 2009-04-05 19:27   90,112   --a------   c:\windows\system32\60.scr
2009-04-05 19:13 . 2009-04-05 19:23   90,112   --a------   c:\windows\system32\23.scr
2009-04-05 19:11 . 2009-04-05 19:11   <DIR>   d--------   c:\program files\ATI Technologies
2009-04-05 19:11 . 2006-05-03 11:57   520,192   ---------   c:\windows\system32\ati2sgag.exe
2009-04-05 19:10 . 2009-04-05 19:11   <DIR>   d--h-----   c:\program files\InstallShield Installation Information
2009-04-05 19:10 . 2009-04-05 19:11   <DIR>   d--------   c:\program files\Common Files\InstallShield
2009-04-05 19:10 . 2009-04-05 19:10   <DIR>   d--------   C:\ATI
2009-04-05 19:10 . 2009-04-05 19:10   90,112   --a------   c:\windows\system32\62.scr
2009-04-05 19:08 . 2009-04-05 19:08   90,112   --a------   c:\windows\system32\51.scr
2009-04-05 19:08 . 2009-04-05 19:28   90,112   --a------   c:\windows\system32\41.scr
2009-04-05 19:08 . 2009-04-05 19:08   90,112   --a------   c:\windows\system32\[u]0[/u]6.scr
2009-04-05 19:07 . 2009-04-05 19:27   90,112   --a------   c:\windows\system32\78.scr
2009-04-05 19:07 . 2009-04-05 19:15   90,112   --a------   c:\windows\system32\66.scr
2009-04-05 19:06 . 2009-04-05 19:07   90,112   --a------   c:\windows\system32\30.scr
2009-04-05 19:06 . 2009-04-05 19:26   90,112   --a------   c:\windows\system32\17.scr
2009-04-05 19:05 . 2009-04-05 20:08   100,864   --a------   c:\windows\system32\87.scr
2009-04-05 19:05 . 2009-04-05 19:23   90,112   --a------   c:\windows\system32\55.scr
2009-04-05 19:05 . 2009-04-05 19:16   90,112   --a------   c:\windows\system32\25.scr
2009-04-05 19:05 . 2009-04-05 19:25   90,112   --a------   c:\windows\system32\16.scr
2009-04-05 19:04 . 2009-04-05 19:24   90,112   --a------   c:\windows\system32\11.scr
2009-04-05 19:02 . 2009-04-05 19:28   90,112   --a------   c:\windows\system32\81.scr
2009-04-05 19:02 . 2009-04-05 19:26   90,112   --a------   c:\windows\system32\[u]0[/u]1.scr
2009-04-05 19:01 . 2009-04-05 19:15   90,112   --a------   c:\windows\system32\72.scr
2009-04-05 19:01 . 2009-04-05 19:24   90,112   --a------   c:\windows\system32\67.scr
2009-04-05 19:00 . 2009-04-05 19:29   90,112   --a------   c:\windows\system32\82.scr
2009-04-05 19:00 . 2009-04-05 19:02   90,112   --a------   c:\windows\system32\46.scr
2009-04-05 18:59 . 2009-04-05 19:26   90,112   --a------   c:\windows\system32\12.scr
2009-04-05 18:58 . 2003-08-25 18:06   182,880   --a------   c:\windows\system32\iuengine.dll
2009-04-05 18:58 . 2003-08-25 18:06   182,880   --a--c---   c:\windows\system32\dllcache\iuengine.dll
2009-04-05 18:58 . 2009-04-05 19:22   90,112   --a------   c:\windows\system32\68.scr
2009-04-05 18:58 . 2009-04-05 18:58   90,112   --a------   c:\windows\system32\54.scr
2009-04-05 18:58 . 2009-04-05 19:23   90,112   --a------   c:\windows\system32\20.scr
2009-04-05 18:57 . 2009-04-05 19:21   90,112   --a------   c:\windows\system32\36.scr
2009-04-05 18:57 . 2009-04-05 19:04   90,112   --a------   c:\windows\system32\32.scr
2009-04-05 18:57 . 2009-04-05 19:29   90,112   --a------   c:\windows\system32\31.scr
2009-04-05 18:57 . 2009-04-05 19:28   90,112   --a------   c:\windows\system32\21.scr
2009-04-05 18:57 . 2009-04-05 19:20   90,112   --a------   c:\windows\system32\14.scr
2009-04-05 18:56 . 2009-04-05 19:20   90,112   --a------   c:\windows\system32\71.scr
2009-04-05 18:56 . 2009-04-05 18:56   90,112   --a------   c:\windows\system32\61.scr
2009-04-05 18:56 . 2009-04-05 19:25   90,112   --a------   c:\windows\system32\48.scr
2009-04-05 18:56 . 2009-04-05 19:26   90,112   --a------   c:\windows\system32\33.scr
2009-04-05 18:56 . 2009-04-05 19:25   90,112   --a------   c:\windows\system32\15.scr
2009-04-05 18:56 . 2009-04-05 19:28   90,112   --a------   c:\windows\system32\[u]0[/u]7.scr
2009-04-05 18:55 . 2009-04-05 19:13   90,112   --a------   c:\windows\system32\88.scr
2009-04-05 18:55 . 2009-04-05 19:27   90,112   --a------   c:\windows\system32\84.scr
2009-04-05 18:55 . 2009-04-05 19:21   90,112   --a------   c:\windows\system32\70.scr
2009-04-05 18:55 . 2009-04-05 19:01   90,112   --a------   c:\windows\system32\58.scr
2009-04-05 18:55 . 2009-04-05 19:26   90,112   --a------   c:\windows\system32\44.scr
2009-04-05 18:54 . 2009-04-05 19:28   90,112   --a------   c:\windows\system32\83.scr
2009-04-05 18:54 . 2009-04-05 19:28   90,112   --a------   c:\windows\system32\50.scr
2009-04-05 18:54 . 2009-04-05 19:04   90,112   --a------   c:\windows\system32\37.scr
2009-04-05 18:54 . 2009-04-05 19:02   90,112   --a------   c:\windows\system32\28.scr
2009-04-05 18:53 . 2009-04-05 19:14   90,112   --a------   c:\windows\system32\65.scr
2009-04-05 18:53 . 2009-04-05 19:01   90,112   --a------   c:\windows\system32\56.scr
2009-04-05 18:53 . 2009-04-05 19:27   90,112   --a------   c:\windows\system32\18.scr
2009-04-05 18:53 . 2009-04-05 19:21   90,112   --a------   c:\windows\system32\[u]0[/u]8.scr
2009-04-05 18:53 . 2009-04-05 19:13   90,112   --a------   c:\windows\system32\[u]0[/u]2.scr
2009-04-05 18:52 . 2009-04-05 19:00   90,112   --a------   c:\windows\system32\76.scr
2009-04-05 18:52 . 2009-04-05 19:23   90,112   --a------   c:\windows\system32\73.scr
2009-04-05 18:52 . 2009-04-05 19:27   90,112   --a------   c:\windows\system32\64.scr
2009-04-05 18:52 . 2009-04-05 19:27   90,112   --a------   c:\windows\system32\35.scr
2009-04-05 18:52 . 2009-04-05 19:11   90,112   --a------   c:\windows\system32\[u]0[/u]3.scr
2009-04-05 18:51 . 2009-04-05 19:27   90,112   --a------   c:\windows\system32\86.scr
2009-04-05 18:51 . 2009-04-05 19:29   90,112   --a------   c:\windows\system32\74.scr
2009-04-05 18:51 . 2009-04-05 19:27   90,112   --a------   c:\windows\system32\63.scr
2009-04-05 18:51 . 2009-04-05 19:22   90,112   --a------   c:\windows\system32\57.scr
2009-04-05 18:51 . 2009-04-05 19:25   90,112   --a------   c:\windows\system32\34.scr
2009-04-05 18:51 . 2009-04-05 19:10   90,112   --a------   c:\windows\system32\24.scr
2009-04-05 18:51 . 2009-04-05 19:08   90,112   --a------   c:\windows\system32\22.scr
2009-04-05 18:50 . 2009-04-05 19:29   90,112   --a------   c:\windows\system32\53.scr
2009-04-05 18:50 . 2009-04-05 19:24   90,112   --a------   c:\windows\system32\52.scr
2009-04-05 18:50 . 2009-04-05 19:23   90,112   --a------   c:\windows\system32\43.scr
2009-04-05 18:50 . 2009-04-05 19:01   90,112   --a------   c:\windows\system32\38.scr
2009-04-05 18:50 . 2009-04-05 19:13   90,112   --a------   c:\windows\system32\10.scr
2009-04-05 18:50 . 2009-04-05 19:22   90,112   --a------   c:\windows\system32\[u]0[/u]5.scr
2009-04-05 18:50 . 2009-04-05 19:25   90,112   --a------   c:\windows\system32\[u]0[/u]4.scr
2009-04-05 18:50 . 2001-08-17 22:03   21,760   --a--c---   c:\windows\system32\dllcache\usbstor.sys
2009-04-05 18:49 . 2009-04-05 19:14   90,112   --a------   c:\windows\system32\77.scr
2009-04-05 18:49 . 2009-04-05 19:28   90,112   --a------   c:\windows\system32\42.scr
2009-04-05 18:49 . 2009-04-05 19:25   90,112   --a------   c:\windows\system32\26.scr
2009-04-05 18:49 . 2001-08-17 22:03   24,960   --a------   c:\windows\system32\drivers\usbccgp.sys
2009-04-05 18:49 . 2001-08-17 22:03   24,960   --a--c---   c:\windows\system32\dllcache\usbccgp.sys
2009-04-05 18:49 . 2001-08-17 22:00   24,832   --a------   c:\windows\system32\drivers\usbprint.sys
2009-04-05 18:49 . 2001-08-17 22:00   24,832   --a--c---   c:\windows\system32\dllcache\usbprint.sys
2009-04-05 10:45 . 2009-04-05 10:45   <DIR>   dr-h-----   c:\documents and settings\Default User\Ustawienia lokalne
2009-04-05 10:45 . 2009-04-05 10:45   <DIR>   d--------   c:\documents and settings\Default User\Ulubione
2009-04-05 10:45 . 2009-04-05 09:56   <DIR>   d--h-----   c:\documents and settings\Default User\Szablony
2009-04-05 10:45 . 2009-04-05 10:45   <DIR>   d--------   c:\documents and settings\Default User\Pulpit
2009-04-05 10:45 . 2009-04-05 10:45   <DIR>   d--------   c:\documents and settings\Default User\Moje dokumenty
2009-04-05 10:45 . 2009-04-05 10:45   <DIR>   dr-------   c:\documents and settings\Default User\Menu Start
2009-04-05 10:45 . 2009-04-05 10:45   <DIR>   dr-h-----   c:\documents and settings\Default User\Dane aplikacji
2009-04-05 10:45 . 2009-04-05 09:58   <DIR>   d--h-----   c:\documents and settings\Default User
2009-04-05 10:45 . 2009-04-05 10:45   <DIR>   d--------   c:\documents and settings\All Users\Ulubione
2009-04-05 10:45 . 2009-04-05 10:45   <DIR>   d--h-----   c:\documents and settings\All Users\Szablony
2009-04-05 10:45 . 2009-04-05 19:29   <DIR>   d--------   c:\documents and settings\All Users\Pulpit
2009-04-05 10:45 . 2009-04-05 10:00   <DIR>   dr-------   c:\documents and settings\All Users\Menu Start
2009-04-05 10:45 . 2009-04-05 09:56   <DIR>   dr-------   c:\documents and settings\All Users\Dokumenty
2009-04-05 10:45 . 2009-04-05 10:45   <DIR>   dr-h-----   c:\documents and settings\All Users\Dane aplikacji
2009-04-05 10:45 . 2009-04-05 09:58   <DIR>   d--------   c:\documents and settings\All Users
2009-04-05 10:04 . 2009-04-05 21:16   <DIR>   d--h-----   c:\documents and settings\Kamila\Ustawienia lokalne
2009-04-05 10:04 . 2009-04-05 10:04   <DIR>   dr-------   c:\documents and settings\Kamila\Ulubione
2009-04-05 10:04 . 2009-04-05 09:56   <DIR>   d--h-----   c:\documents and settings\Kamila\Szablony
2009-04-05 10:04 . 2009-04-05 21:12   <DIR>   d--------   c:\documents and settings\Kamila\Pulpit
2009-04-05 10:04 . 2009-04-05 10:04   <DIR>   dr-------   c:\documents and settings\Kamila\Moje dokumenty
2009-04-05 10:04 . 2009-04-05 10:45   <DIR>   dr-------   c:\documents and settings\Kamila\Menu Start
2009-04-05 10:04 . 2009-04-05 20:54   <DIR>   dr-h-----   c:\documents and settings\Kamila\Dane aplikacji
2009-04-05 10:04 . 2009-04-05 10:04   <DIR>   d--------   c:\documents and settings\Kamila
2009-04-05 10:01 . 2009-04-05 21:16   <DIR>   d--h-----   c:\documents and settings\NetworkService\Ustawienia lokalne
2009-04-05 10:01 . 2009-04-05 10:01   <DIR>   d--------   c:\documents and settings\NetworkService\Dane aplikacji
2009-04-05 10:01 . 2009-04-05 10:01   <DIR>   d--hs----   c:\documents and settings\NetworkService
2009-04-05 10:01 . 2009-04-05 21:16   <DIR>   d--h-----   c:\documents and settings\LocalService\Ustawienia lokalne
2009-04-05 10:01 . 2009-04-05 10:01   <DIR>   d--------   c:\documents and settings\LocalService\Dane aplikacji
2009-04-05 10:01 . 2009-04-05 10:01   <DIR>   d--hs----   c:\documents and settings\LocalService
2009-04-05 10:00 . 2009-04-05 21:16   <DIR>   dr-h-----   c:\windows\system32\config\systemprofile\Ustawienia lokalne
2009-04-05 10:00 . 2009-04-05 10:45   <DIR>   d--------   c:\windows\system32\config\systemprofile\Ulubione

.
((((((((((((((((((((((((((((((((((((((((   Sekcja Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-05 07:59   ---------   d-----w   c:\program files\microsoft frontpage
2009-04-05 07:56   ---------   d-----w   c:\program files\Usługi online
.

(((((((((((((((((((((((((((((   SnapShot@2009-04-05_20.23.59.42   )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-08-07 13:27:04   163,328   ----a-w   c:\windows\ERUNT\SDFIX\ERDNT.EXE
+ 2009-04-05 19:09:16   376,832   ----a-w   c:\windows\ERUNT\SDFIX\Users\[u]0[/u]0000001\NTUSER.DAT
+ 2009-04-05 19:09:16   8,192   ----a-w   c:\windows\ERUNT\SDFIX\Users\[u]0[/u]0000002\UsrClass.dat
+ 2008-08-07 13:27:04   163,328   ----a-w   c:\windows\ERUNT\SDFIX_First_Run\ERDNT.EXE
+ 2009-04-05 19:09:12   376,832   ----a-w   c:\windows\ERUNT\SDFIX_First_Run\Users\[u]0[/u]0000001\NTUSER.DAT
+ 2009-04-05 19:09:12   8,192   ----a-w   c:\windows\ERUNT\SDFIX_First_Run\Users\[u]0[/u]0000002\UsrClass.dat
- 2009-04-05 18:23:29   16,384   ----a-w   c:\windows\system32\config\systemprofile\Cookies\index.dat
+ 2009-04-05 19:11:40   16,384   ----a-w   c:\windows\system32\config\systemprofile\Cookies\index.dat
- 2009-04-05 18:23:29   32,768   ----a-w   c:\windows\system32\config\systemprofile\Ustawienia lokalne\Historia\History.IE5\index.dat
+ 2009-04-05 19:11:40   32,768   ----a-w   c:\windows\system32\config\systemprofile\Ustawienia lokalne\Historia\History.IE5\index.dat
- 2009-04-05 18:23:29   32,768   ----a-w   c:\windows\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat
+ 2009-04-05 19:11:40   32,768   ----a-w   c:\windows\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat
+ 2009-04-05 18:55:59   144,792   ----a-w   c:\windows\system32\java.exe
+ 2009-04-05 18:55:59   144,792   ----a-w   c:\windows\system32\javaw.exe
+ 2009-04-05 18:55:59   148,888   ----a-w   c:\windows\system32\javaws.exe
- 2009-04-05 16:52:01   39,992   ----a-w   c:\windows\system32\perfc009.dat
+ 2009-04-05 18:27:40   39,992   ----a-w   c:\windows\system32\perfc009.dat
- 2009-04-05 16:52:01   49,492   ----a-w   c:\windows\system32\perfc015.dat
+ 2009-04-05 18:27:40   49,492   ----a-w   c:\windows\system32\perfc015.dat
- 2009-04-05 16:52:01   311,604   ----a-w   c:\windows\system32\perfh009.dat
+ 2009-04-05 18:27:40   311,604   ----a-w   c:\windows\system32\perfh009.dat
- 2009-04-05 16:52:01   355,486   ----a-w   c:\windows\system32\perfh015.dat
+ 2009-04-05 18:27:40   355,486   ----a-w   c:\windows\system32\perfh015.dat
+ 2009-04-05 19:11:41   16,384   ----atw   c:\windows\Temp\Perflib_Perfdata_1c8.dat
+ 2009-04-05 19:11:31   16,384   ----atw   c:\windows\Temp\Perflib_Perfdata_618.dat
.
(((((((((((((((((((((((((((((((((((((   Wpisy startowe rejestru   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\ctfmon.exe" [2001-10-26 13312]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2001-08-02 1077277]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast!"="d:\progra~1\PROGRAMY\AVAST\ashDisp.exe" [2009-02-05 81000]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-04-05 148888]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2001-10-26 13312]

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2009-04-05 114768]
.
.
------- Skan uzupełniający -------
.
uInternet Connection Wizard,ShellNext = hxxp://www.onet.pl/
IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm
.

**************************************************************************

catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-05 21:16:54
Windows 5.1.2600  NTFS

skanowanie ukrytych procesów ... 

skanowanie ukrytych wpisów autostartu ...

skanowanie ukrytych plików ... 

skanowanie pomyślnie ukończone
ukryte pliki: 0

**************************************************************************
.
--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------

- - - - - - - > 'winlogon.exe'(672)
c:\windows\system32\ODBC32.dll
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'lsass.exe'(728)
c:\windows\system32\mswsock.dll
c:\windows\System32\wshtcpip.dll
c:\windows\System32\dssenh.dll
.
Czas ukończenia: 2009-04-05 21:17:26
ComboFix-quarantined-files.txt  2009-04-05 19:17:24

Przed: 8 795 627 520 bajtów wolnych
Po: 8,788,078,592 bajtów wolnych

210


Log z hijack:

Kod: Zaznacz wszystko

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:21:00, on 2009-04-05
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\logonui.exe
D:\PROGRAM FILES\PROGRAMY\AVAST\aswUpdSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
D:\PROGRAM FILES\PROGRAMY\AVAST\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\jre6\bin\jqs.exe
D:\PROGRAM FILES\PROGRAMY\AVAST\ashWebSv.exe
D:\PROGRAM FILES\PROGRAMY\AVAST\ashMaiSv.exe
D:\PROGRA~1\PROGRAMY\AVAST\ashDisp.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
D:\PROGRAM FILES\PROGRAMY\OPERA\opera.exe
C:\WINDOWS\system32\imapi.exe
C:\WINDOWS\explorer.exe
D:\PROGRAM FILES\PROGRAMY\Hijack\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.onet.pl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\PROGRAMY\AVAST\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\PROGRAM FILES\PROGRAMY\AVAST\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - D:\PROGRAM FILES\PROGRAMY\AVAST\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - D:\PROGRAM FILES\PROGRAMY\AVAST\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - D:\PROGRAM FILES\PROGRAMY\AVAST\ashWebSv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

--
End of file - 3342 bytes


[wojtas]

te plik/i :

c:\windows\system32\62.scr

przesaknuj tu

http://virusscan.jotti.org/
http://www.virustotal.com/

i daj raporty ze skanow

Autor postu otrzymał pochwałę

[sagakama]

Tego pliku nie idzie przesłać bo na pierwszym linku wysyła go w nieskończoność a na drugim pisze że "C:........62.scr" określa jeden lub więcej plików, których nie można odnaleźć.

Tych plików z rozszerzeniem .scr mam chyba ze 100 przeskanowałem pierwszy z brzegu:

C:\WINDOWS\system32\02.scr

Wynik scanu z http://virusscan.jotti.org/:

Kod: Zaznacz wszystko

Service load:       0%              100%

File:    02.scr
Status:    INFECTED/MALWARE
MD5:    540acfa138b32e706d5bb8b3f2db1f8b
Packers detected:    -

Scanner results
Scan taken on 06 Apr 2009 17:43:13 (GMT)
A-Squared    Found Riskware.Win32.DelfInject!IK
AntiVir    Found TR/Buzus.atnb
ArcaVir    Found nothing
Avast    Found Win32:Trojan-gen {Other}
AVG Antivirus    Found nothing
BitDefender    Found nothing
ClamAV    Found nothing
CPsecure    Found nothing
Dr.Web    Found BackDoor.IRC.Sdbot.3762
F-Prot Antivirus    Found nothing
F-Secure Anti-Virus    Found Trojan.Win32.Buzus.atnb
Ikarus    Found VirTool.Win32.DelfInject
Kaspersky Anti-Virus    Found Trojan.Win32.Buzus.atnb
NOD32    Found Win32/IRCBot.ANC
Norman Virus Control    Found nothing
Panda Antivirus    Found nothing
Quick Heal    Found nothing
Sophos Antivirus    Found Mal/Generic-A
VirusBuster    Found Trojan.Delfinject.KIM
VBA32    Found nothing

Scan z http://www.virustotal.com/pl/:

Kod: Zaznacz wszystko

Plik 1sass.exe otrzymany 2009.04.06 17:17:17 (CET)
Obecny status: zakończono
Wynik: 21/40 (52.50%)
Zwięzły
Drukuj wyniki  Antywirus   Wersja   Ostatnia aktualizacja   Wynik
a-squared   4.0.0.101   2009.04.06   Riskware.Win32.DelfInject!IK
AhnLab-V3   5.0.0.2   2009.04.06   Win32/Neeris.worm.92672
AntiVir   7.9.0.138   2009.04.06   TR/Buzus.atnb
Antiy-AVL   2.0.3.1   2009.04.06   -
Authentium   5.1.2.4   2009.04.05   -
Avast   4.8.1335.0   2009.04.06   Win32:Trojan-gen {Other}
AVG   8.5.0.285   2009.04.06   SHeur2.ZBD
BitDefender   7.2   2009.04.06   -
CAT-QuickHeal   10.00   2009.04.06   -
ClamAV   0.94.1   2009.04.06   -
Comodo   1101   2009.04.06   -
DrWeb   4.44.0.09170   2009.04.06   BackDoor.IRC.Sdbot.3762
eSafe   7.0.17.0   2009.04.06   -
eTrust-Vet   31.6.6435   2009.04.03   -
F-Prot   4.4.4.56   2009.04.05   -
F-Secure   8.0.14470.0   2009.04.06   Trojan.Win32.Buzus.atnb
Fortinet   3.117.0.0   2009.04.06   PossibleThreat
GData   19   2009.04.06   Win32:Trojan-gen {Other}
Ikarus   T3.1.1.49.0   2009.04.06   VirTool.Win32.DelfInject
K7AntiVirus   7.10.694   2009.04.06   Trojan.Win32.Buzus.atnb
Kaspersky   7.0.0.125   2009.04.06   Trojan.Win32.Buzus.atnb
McAfee   5575   2009.04.05   -
McAfee+Artemis   5575   2009.04.05   Generic!Artemis
McAfee-GW-Edition   6.7.6   2009.04.06   Trojan.Buzus.atnb
Microsoft   1.4502   2009.04.06   VirTool:Win32/DelfInject.gen!AC
NOD32   3989   2009.04.06   -
Norman   6.00.06   2009.04.06   -
nProtect   2009.1.8.0   2009.04.06   -
Panda   10.0.0.14   2009.04.05   Suspicious file
PCTools   4.4.2.0   2009.04.06   -
Prevx1   V2   2009.04.06   High Risk Worm
Rising   21.23.41.00   2009.04.03   -
Sophos   4.40.0   2009.04.06   Mal/Generic-A
Sunbelt   3.2.1858.2   2009.04.04   -
Symantec   1.4.4.12   2009.04.06   W32.IRCBot
TheHacker   6.3.4.0.302   2009.04.06   -
TrendMicro   8.700.0.1004   2009.04.06   WORM_SDBOT.CD
VBA32   3.12.10.2   2009.04.06   -
ViRobot   2009.4.6.1680   2009.04.06   Trojan.Win32.Buzus.105984.B
VirusBuster   4.6.5.0   2009.04.05   -
Dodatkowe informacje
File size: 90112 bytes
MD5...: 540acfa138b32e706d5bb8b3f2db1f8b
SHA1..: abfc84fd91bd5de9380d2587505997488135231a
SHA256: 79e2dedc119dd4b411e4f6f5b7502e4ba9f27266f447ca9e66c9c1304ad44932
SHA512: 4074412ca598accf62f032698d4425757ac83f3841d4f037184d84c7d2d657a3
fdb89d969154496bd4906f74927e623198f0792daa4ed742b6fdb83f7b021940
ssdeep: 1536:E2T8DV4AJxJm8D9N2ImgqU8fgD3UjL59hd51ZhotOAR3Jaj2qkSZZZ3gd:E
qAXoImgqUugD3UjL53dZhoDkjYU
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (38.4%)
Win32 Dynamic Link Library (generic) (34.1%)
Win16/32 Executable Delphi generic (9.3%)
Generic Win/DOS Executable (9.0%)
DOS Executable Generic (9.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x67d0
timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)
machinetype.......: 0x14c (I386)

( 8 sections )
name viradd virsiz rawdsiz ntrpy md5
CODE 0x1000 0x6000 0x5800 6.35 c6d61db3542b9afc4f22cf7728832e0b
DATA 0x7000 0x1000 0x1000 2.42 6840c3466ba8fb5706ce94ebf99c566d
BSS 0x8000 0x2000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.idata 0xa000 0x1000 0x600 4.40 6ed2c8ed05126bfc6acfa630f549d96f
.tls 0xb000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rdata 0xc000 0x1000 0x200 0.20 f896c146b41b4da115a8484fe00e7378
.reloc 0xd000 0x1000 0x800 5.83 c771eacd7088d8f4e05fcefe4e2630e6
.rsrc 0xe000 0xe28c 0xe400 7.25 6c5351cfcbe54ff7ea055055c821da21

( 10 imports )
> kernel32.dll: DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, InitializeCriticalSection, VirtualFree, VirtualAlloc, LocalFree, LocalAlloc, GetVersion, GetCurrentThreadId, MultiByteToWideChar, GetThreadLocale, GetStartupInfoA, GetModuleFileNameA, GetLocaleInfoA, GetLastError, GetCommandLineA, FreeLibrary, ExitProcess, WriteFile, UnhandledExceptionFilter, SetFilePointer, SetEndOfFile, RtlUnwind, ReadFile, RaiseException, GetStdHandle, GetFileSize, GetFileType, CreateFileA, CloseHandle
> user32.dll: GetKeyboardType, MessageBoxA, CharNextA
> advapi32.dll: RegQueryValueExA, RegOpenKeyExA, RegCloseKey
> oleaut32.dll: SysFreeString, SysAllocStringLen
> kernel32.dll: TlsSetValue, TlsGetValue, LocalAlloc, GetModuleHandleA
> advapi32.dll: RegOpenKeyA
> kernel32.dll: OpenProcess, GetTickCount, GetFileAttributesA, ExitProcess
> user32.dll: MessageBoxA
> ntdll.dll: RtlDecompressBuffer
> ntdll.dll: RtlInitUnicodeString, RtlInitString, LdrLoadDll, LdrGetProcedureAddress

( 0 exports )
RDS...: NSRL Reference Data Set

[wojtas]

skasuj te wszystkie pliki co tam masz i wroć z nowym logiem z combofixa pozdro

[sagakama]

Log z combofix:

Kod: Zaznacz wszystko

ComboFix 09-04-04.01 - Kamila 2009-04-07  9:16:54.3 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.0.1250.48.1045.18.767.507 [GMT 2:00]
Uruchomiony z: d:\tymczasowe pobrania z sieci\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((((((   Usunięto   )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\drivers\sysdrv32.sys

.
(((((((((((((((((((((((((((((((((((((((   Sterowniki/Usługi   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SYSDRV32
-------\Service_sysdrv32


(((((((((((((((((((((((((   Pliki utworzone od 2009-03-07 do 2009-04-07  )))))))))))))))))))))))))))))))
.

2009-04-06 21:14 . 2009-04-07 09:10   <DIR>   d--------   C:\!KillBox
2009-04-06 20:15 . 2009-04-06 20:15   <DIR>   d--------   c:\program files\Gigabyte
2009-04-06 20:09 . 2001-10-26 16:47   36,224   --a------   c:\windows\system32\drivers\isapnp.sys
2009-04-06 20:09 . 2001-10-26 16:47   36,224   --a--c---   c:\windows\system32\dllcache\isapnp.sys
2009-04-06 20:08 . 2004-10-05 16:54   306,688   --a------   c:\windows\IsUninst.exe
2009-04-06 20:07 . 2003-07-02 04:42   27,904   --a------   c:\windows\system32\drivers\VIAAGP1.SYS
2009-04-06 20:07 . 2001-10-18 12:00   6,144   --a------   c:\windows\system32\drivers\viaidexp.sys
2009-04-06 20:06 . 2009-04-06 20:06   <DIR>   d--------   c:\program files\Realtek Sound Manager
2009-04-06 20:06 . 2009-04-06 20:06   <DIR>   d--------   c:\program files\AvRack
2009-04-06 20:05 . 2009-04-06 20:05   <DIR>   d--------   c:\program files\Realtek AC97
2009-04-06 20:05 . 2006-08-17 08:11   18,804,736   --a------   c:\windows\system32\alsndmgr.cpl
2009-04-06 20:05 . 2006-08-10 07:27   10,528,768   --a------   c:\windows\system32\RTLCPL.exe
2009-04-06 20:05 . 2006-08-03 05:12   577,536   --a------   c:\windows\soundman.exe
2009-04-06 20:05 . 2006-07-31 11:19   315,392   --a------   c:\windows\alcupd.exe
2009-04-06 20:05 . 2006-07-31 11:27   217,088   --a------   c:\windows\Alcrmv.exe
2009-04-06 20:05 . 2006-08-01 14:58   143,360   --a------   c:\windows\system32\RtlCPAPI.dll
2009-04-06 20:05 . 2002-02-05 13:54   141,016   --a------   c:\windows\system32\alsndmgr.wav
2009-04-06 19:21 . 2008-10-16 14:12   561,688   --a------   c:\windows\system32\wuapi.dll
2009-04-06 19:21 . 2008-10-16 14:12   323,608   --a------   c:\windows\system32\wucltui.dll
2009-04-06 19:21 . 2008-10-16 14:12   213,528   --a------   c:\windows\system32\wuaucpl.cpl
2009-04-06 19:21 . 2008-10-16 14:13   202,776   --a------   c:\windows\system32\wuweb.dll
2009-04-06 19:21 . 2004-08-03 14:04   187,160   --a------   c:\windows\system32\wuaueng1.dll
2009-04-06 19:21 . 2004-08-03 14:03   170,264   --a------   c:\windows\system32\wuauclt1.exe
2009-04-06 19:21 . 2008-10-16 14:08   34,328   --a------   c:\windows\system32\wups.dll
2009-04-06 19:14 . 2002-05-23 09:34   310,272   --a------   c:\windows\system32\winhttp.dll
2009-04-05 21:09 . 2009-04-05 21:09   <DIR>   d--------   c:\windows\ERUNT
2009-04-05 21:08 . 2009-04-05 21:08   <DIR>   d--------   c:\documents and settings\Administrator
2009-04-05 21:05 . 2009-04-05 21:12   <DIR>   d--------   C:\SDFix
2009-04-05 20:56 . 2009-04-05 20:55   410,984   --a------   c:\windows\system32\deploytk.dll
2009-04-05 20:56 . 2009-04-05 20:55   73,728   --a------   c:\windows\system32\javacpl.cpl
2009-04-05 20:55 . 2009-04-05 20:55   <DIR>   d--------   c:\program files\Java
2009-04-05 19:29 . 2003-03-18 21:20   1,060,864   --a------   c:\windows\system32\MFC71.dll
2009-04-05 19:29 . 2003-03-18 20:14   499,712   --a------   c:\windows\system32\MSVCP71.dll
2009-04-05 19:29 . 2003-02-21 04:42   348,160   --a------   c:\windows\system32\MSVCR71.dll
2009-04-05 19:11 . 2009-04-05 19:11   <DIR>   d--------   c:\program files\ATI Technologies
2009-04-05 19:11 . 2006-05-03 11:57   520,192   ---------   c:\windows\system32\ati2sgag.exe
2009-04-05 19:10 . 2009-04-06 20:05   <DIR>   d--h-----   c:\program files\InstallShield Installation Information
2009-04-05 19:10 . 2009-04-06 20:05   <DIR>   d--------   c:\program files\Common Files\InstallShield
2009-04-05 19:10 . 2009-04-05 19:10   <DIR>   d--------   C:\ATI
2009-04-05 18:58 . 2004-08-03 13:59   185,624   --a------   c:\windows\system32\iuengine.dll
2009-04-05 18:58 . 2004-08-03 13:59   185,624   --a--c---   c:\windows\system32\dllcache\iuengine.dll
2009-04-05 18:50 . 2001-08-17 22:03   21,760   --a--c---   c:\windows\system32\dllcache\usbstor.sys
2009-04-05 18:49 . 2001-08-17 22:03   24,960   --a------   c:\windows\system32\drivers\usbccgp.sys
2009-04-05 18:49 . 2001-08-17 22:03   24,960   --a--c---   c:\windows\system32\dllcache\usbccgp.sys
2009-04-05 18:49 . 2001-08-17 22:00   24,832   --a------   c:\windows\system32\drivers\usbprint.sys
2009-04-05 18:49 . 2001-08-17 22:00   24,832   --a--c---   c:\windows\system32\dllcache\usbprint.sys
2009-04-05 10:45 . 2009-04-05 10:45   <DIR>   dr-h-----   c:\documents and settings\Default User\Ustawienia lokalne
2009-04-05 10:45 . 2009-04-05 10:45   <DIR>   d--------   c:\documents and settings\Default User\Ulubione
2009-04-05 10:45 . 2009-04-05 09:56   <DIR>   d--h-----   c:\documents and settings\Default User\Szablony
2009-04-05 10:45 . 2009-04-05 10:45   <DIR>   d--------   c:\documents and settings\Default User\Pulpit
2009-04-05 10:45 . 2009-04-05 10:45   <DIR>   d--------   c:\documents and settings\Default User\Moje dokumenty
2009-04-05 10:45 . 2009-04-05 10:45   <DIR>   dr-------   c:\documents and settings\Default User\Menu Start
2009-04-05 10:45 . 2009-04-05 10:45   <DIR>   dr-h-----   c:\documents and settings\Default User\Dane aplikacji
2009-04-05 10:45 . 2009-04-05 09:58   <DIR>   d--h-----   c:\documents and settings\Default User
2009-04-05 10:45 . 2009-04-05 10:45   <DIR>   d--------   c:\documents and settings\All Users\Ulubione
2009-04-05 10:45 . 2009-04-05 10:45   <DIR>   d--h-----   c:\documents and settings\All Users\Szablony
2009-04-05 10:45 . 2009-04-06 20:06   <DIR>   d--------   c:\documents and settings\All Users\Pulpit
2009-04-05 10:45 . 2009-04-05 10:00   <DIR>   dr-------   c:\documents and settings\All Users\Menu Start
2009-04-05 10:45 . 2009-04-05 09:56   <DIR>   dr-------   c:\documents and settings\All Users\Dokumenty
2009-04-05 10:45 . 2009-04-05 10:45   <DIR>   dr-h-----   c:\documents and settings\All Users\Dane aplikacji
2009-04-05 10:45 . 2009-04-05 09:58   <DIR>   d--------   c:\documents and settings\All Users
2009-04-05 10:04 . 2009-04-05 21:17   <DIR>   d--h-----   c:\documents and settings\Kamila\Ustawienia lokalne
2009-04-05 10:04 . 2009-04-05 10:04   <DIR>   dr-------   c:\documents and settings\Kamila\Ulubione
2009-04-05 10:04 . 2009-04-05 09:56   <DIR>   d--h-----   c:\documents and settings\Kamila\Szablony
2009-04-05 10:04 . 2009-04-06 19:56   <DIR>   d--------   c:\documents and settings\Kamila\Pulpit
2009-04-05 10:04 . 2009-04-05 10:04   <DIR>   dr-------   c:\documents and settings\Kamila\Moje dokumenty
2009-04-05 10:04 . 2009-04-05 10:45   <DIR>   dr-------   c:\documents and settings\Kamila\Menu Start
2009-04-05 10:04 . 2009-04-05 20:54   <DIR>   dr-h-----   c:\documents and settings\Kamila\Dane aplikacji
2009-04-05 10:04 . 2009-04-05 10:04   <DIR>   d--------   c:\documents and settings\Kamila
2009-04-05 10:01 . 2009-04-05 21:17   <DIR>   d--h-----   c:\documents and settings\NetworkService\Ustawienia lokalne
2009-04-05 10:01 . 2009-04-05 10:01   <DIR>   d--------   c:\documents and settings\NetworkService\Dane aplikacji
2009-04-05 10:01 . 2009-04-05 10:01   <DIR>   d--hs----   c:\documents and settings\NetworkService
2009-04-05 10:01 . 2009-04-05 21:17   <DIR>   d--h-----   c:\documents and settings\LocalService\Ustawienia lokalne
2009-04-05 10:01 . 2009-04-05 10:01   <DIR>   d--------   c:\documents and settings\LocalService\Dane aplikacji
2009-04-05 10:01 . 2009-04-05 10:01   <DIR>   d--hs----   c:\documents and settings\LocalService
2009-04-05 10:00 . 2009-04-05 21:17   <DIR>   dr-h-----   c:\windows\system32\config\systemprofile\Ustawienia lokalne
2009-04-05 10:00 . 2009-04-05 10:45   <DIR>   d--------   c:\windows\system32\config\systemprofile\Ulubione
2009-04-05 10:00 . 2009-04-05 09:56   <DIR>   d--h-----   c:\windows\system32\config\systemprofile\Szablony
2009-04-05 10:00 . 2009-04-05 10:45   <DIR>   d--------   c:\windows\system32\config\systemprofile\Pulpit
2009-04-05 10:00 . 2009-04-05 10:45   <DIR>   d--------   c:\windows\system32\config\systemprofile\Moje dokumenty
2009-04-05 10:00 . 2009-04-05 10:45   <DIR>   dr-------   c:\windows\system32\config\systemprofile\Menu Start
2009-04-05 10:00 . 2009-04-05 10:45   <DIR>   dr-h-----   c:\windows\system32\config\systemprofile\Dane aplikacji

.
((((((((((((((((((((((((((((((((((((((((   Sekcja Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-05 07:59   ---------   d-----w   c:\program files\microsoft frontpage
2009-04-05 07:56   ---------   d-----w   c:\program files\Usługi online
.

(((((((((((((((((((((((((((((   SnapShot@2009-04-05_20.23.59.42   )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-08-07 13:27:04   163,328   ----a-w   c:\windows\ERUNT\SDFIX\ERDNT.EXE
+ 2009-04-05 19:09:16   376,832   ----a-w   c:\windows\ERUNT\SDFIX\Users\[u]0[/u]0000001\NTUSER.DAT
+ 2009-04-05 19:09:16   8,192   ----a-w   c:\windows\ERUNT\SDFIX\Users\[u]0[/u]0000002\UsrClass.dat
+ 2008-08-07 13:27:04   163,328   ----a-w   c:\windows\ERUNT\SDFIX_First_Run\ERDNT.EXE
+ 2009-04-05 19:09:12   376,832   ----a-w   c:\windows\ERUNT\SDFIX_First_Run\Users\[u]0[/u]0000001\NTUSER.DAT
+ 2009-04-05 19:09:12   8,192   ----a-w   c:\windows\ERUNT\SDFIX_First_Run\Users\[u]0[/u]0000002\UsrClass.dat
- 2001-10-26 17:29:26   9,728   ----a-w   c:\windows\system32\cdm.dll
+ 2008-10-16 12:09:44   92,696   ----a-w   c:\windows\system32\cdm.dll
+ 2006-08-01 13:02:32   49,152   ----a-w   c:\windows\system32\ChCfg.exe
- 2009-04-05 18:23:29   16,384   ----a-w   c:\windows\system32\config\systemprofile\Cookies\index.dat
+ 2009-04-07 07:19:17   16,384   ----a-w   c:\windows\system32\config\systemprofile\Cookies\index.dat
- 2009-04-05 18:23:29   32,768   ----a-w   c:\windows\system32\config\systemprofile\Ustawienia lokalne\Historia\History.IE5\index.dat
+ 2009-04-07 07:19:17   32,768   ----a-w   c:\windows\system32\config\systemprofile\Ustawienia lokalne\Historia\History.IE5\index.dat
- 2009-04-05 18:23:29   32,768   ----a-w   c:\windows\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat
+ 2009-04-07 07:19:17   49,152   ----a-w   c:\windows\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat
+ 2001-07-23 23:25:14   122,472   -c--a-w   c:\windows\system32\dllcache\aec.sys
- 2001-10-26 17:29:26   9,728   -c--a-w   c:\windows\system32\dllcache\cdm.dll
+ 2008-10-16 12:09:44   92,696   -c--a-w   c:\windows\system32\dllcache\cdm.dll
+ 2001-08-17 19:59:58   50,048   -c--a-w   c:\windows\system32\dllcache\dmusic.sys
+ 2001-08-17 20:01:20   57,344   -c--a-w   c:\windows\system32\dllcache\drmk.sys
+ 2001-08-17 20:01:16   2,816   -c--a-w   c:\windows\system32\dllcache\drmkaud.sys
- 2001-10-26 17:29:32   60,928   -c--a-w   c:\windows\system32\dllcache\iuctl.dll
+ 2002-05-23 08:54:20   100,712   -c--a-w   c:\windows\system32\dllcache\iuctl.dll
+ 2001-08-17 20:00:54   159,232   -c--a-w   c:\windows\system32\dllcache\kmixer.sys
+ 2001-08-18 04:24:30   134,144   -c--a-w   c:\windows\system32\dllcache\ks.sys
+ 2001-10-26 15:27:02   4,096   -c--a-w   c:\windows\system32\dllcache\ksuser.dll
+ 2001-08-17 19:48:48   6,400   -c--a-w   c:\windows\system32\dllcache\mskssrv.sys
+ 2001-08-17 19:48:42   5,120   -c--a-w   c:\windows\system32\dllcache\mspclock.sys
+ 2001-08-17 19:48:46   4,608   -c--a-w   c:\windows\system32\dllcache\mspqm.sys
+ 2001-08-18 04:24:38   135,040   -c--a-w   c:\windows\system32\dllcache\portcls.sys
+ 2001-08-17 20:00:46   5,632   -c--a-w   c:\windows\system32\dllcache\splitter.sys
+ 2001-08-17 20:01:22   42,752   -c--a-w   c:\windows\system32\dllcache\stream.sys
+ 2001-08-17 20:00:52   54,272   -c--a-w   c:\windows\system32\dllcache\swmidi.sys
+ 2001-08-18 04:24:44   57,472   -c--a-w   c:\windows\system32\dllcache\sysaudio.sys
+ 2001-08-18 04:24:46   79,616   -c--a-w   c:\windows\system32\dllcache\wdmaud.sys
- 2001-10-26 17:30:06   113,664   -c--a-w   c:\windows\system32\dllcache\wuauclt.exe
+ 2008-10-16 12:09:44   51,224   -c--a-w   c:\windows\system32\dllcache\wuauclt.exe
- 2001-10-26 17:29:46   95,744   -c--a-w   c:\windows\system32\dllcache\wuaueng.dll
+ 2008-10-16 12:13:40   1,809,944   -c--a-w   c:\windows\system32\dllcache\wuaueng.dll
+ 2001-07-23 23:25:14   122,472   ----a-w   c:\windows\system32\drivers\aec.sys
+ 2006-08-18 11:52:00   4,017,536   ----a-r   c:\windows\system32\drivers\alcxwdm.sys
+ 2001-08-17 19:59:58   50,048   ----a-w   c:\windows\system32\drivers\DMusic.sys
+ 2001-08-17 20:01:20   57,344   ----a-w   c:\windows\system32\drivers\drmk.sys
+ 2001-08-17 20:01:16   2,816   ----a-w   c:\windows\system32\drivers\drmkaud.sys
+ 2001-08-17 20:00:54   159,232   ----a-w   c:\windows\system32\drivers\kmixer.sys
- 2001-10-26 18:03:24   134,144   ----a-w   c:\windows\system32\drivers\ks.sys
+ 2001-08-18 04:24:30   134,144   ----a-w   c:\windows\system32\drivers\ks.sys
+ 2001-08-17 19:48:48   6,400   ----a-w   c:\windows\system32\drivers\MSKSSRV.sys
+ 2001-08-17 19:48:42   5,120   ----a-w   c:\windows\system32\drivers\MSPCLOCK.sys
+ 2001-08-17 19:48:46   4,608   ----a-w   c:\windows\system32\drivers\MSPQM.sys
+ 2001-08-18 04:24:38   135,040   ----a-w   c:\windows\system32\drivers\portcls.sys
+ 2001-08-17 20:00:46   5,632   ----a-w   c:\windows\system32\drivers\splitter.sys
- 2001-10-26 18:03:24   42,752   ----a-w   c:\windows\system32\drivers\stream.sys
+ 2001-08-17 20:01:22   42,752   ----a-w   c:\windows\system32\drivers\stream.sys
+ 2001-08-17 20:00:52   54,272   ----a-w   c:\windows\system32\drivers\swmidi.sys
+ 2001-08-18 04:24:44   57,472   ----a-w   c:\windows\system32\drivers\sysaudio.sys
+ 2001-08-18 04:24:46   79,616   ----a-w   c:\windows\system32\drivers\wdmaud.sys
- 2001-10-26 17:29:32   60,928   ----a-w   c:\windows\system32\iuctl.dll
+ 2002-05-23 08:54:20   100,712   ----a-w   c:\windows\system32\iuctl.dll
+ 2009-04-05 18:55:59   144,792   ----a-w   c:\windows\system32\java.exe
+ 2009-04-05 18:55:59   144,792   ----a-w   c:\windows\system32\javaw.exe
+ 2009-04-05 18:55:59   148,888   ----a-w   c:\windows\system32\javaws.exe
+ 2001-10-26 15:27:02   4,096   ----a-w   c:\windows\system32\ksuser.dll
- 2009-04-05 16:52:01   39,992   ----a-w   c:\windows\system32\perfc009.dat
+ 2009-04-05 18:27:40   39,992   ----a-w   c:\windows\system32\perfc009.dat
- 2009-04-05 16:52:01   49,492   ----a-w   c:\windows\system32\perfc015.dat
+ 2009-04-05 18:27:40   49,492   ----a-w   c:\windows\system32\perfc015.dat
- 2009-04-05 16:52:01   311,604   ----a-w   c:\windows\system32\perfh009.dat
+ 2009-04-05 18:27:40   311,604   ----a-w   c:\windows\system32\perfh009.dat
- 2009-04-05 16:52:01   355,486   ----a-w   c:\windows\system32\perfh015.dat
+ 2009-04-05 18:27:40   355,486   ----a-w   c:\windows\system32\perfh015.dat
+ 2001-10-26 16:47:26   36,224   ----a-w   c:\windows\system32\ReinstallBackups\[u]0[/u]001\DriverFiles\i386\isapnp.sys
+ 2001-10-26 16:56:42   62,848   ----a-w   c:\windows\system32\ReinstallBackups\[u]0[/u]002\DriverFiles\i386\pci.sys
+ 2001-08-17 21:51:54   86,656   ----a-w   c:\windows\system32\ReinstallBackups\[u]0[/u]003\DriverFiles\i386\atapi.sys
+ 2001-08-17 21:51:48   23,680   ----a-w   c:\windows\system32\ReinstallBackups\[u]0[/u]003\DriverFiles\i386\pciidex.sys
+ 2001-08-17 21:51:56   4,352   ----a-w   c:\windows\system32\ReinstallBackups\[u]0[/u]003\DriverFiles\i386\viaide.sys
+ 2008-10-16 12:08:58   34,328   ----a-w   c:\windows\system32\SoftwareDistribution\Setup\ServiceStartup\wups.dll\7.2.6001.788\wups.dll
- 2001-10-26 18:03:24   22,016   ----a-w   c:\windows\system32\wdmaud.drv
+ 2001-10-26 15:30:10   22,016   ----a-w   c:\windows\system32\wdmaud.drv
- 2001-10-26 17:30:06   113,664   ----a-w   c:\windows\system32\wuauclt.exe
+ 2008-10-16 12:09:44   51,224   ----a-w   c:\windows\system32\wuauclt.exe
- 2001-10-26 17:29:46   95,744   ----a-w   c:\windows\system32\wuaueng.dll
+ 2008-10-16 12:13:40   1,809,944   ----a-w   c:\windows\system32\wuaueng.dll
+ 2008-10-16 12:09:44   43,544   ----a-w   c:\windows\system32\wups2.dll
+ 2009-04-07 07:19:19   16,384   ----atw   c:\windows\Temp\Perflib_Perfdata_424.dat
+ 2009-04-07 07:19:11   16,384   ----atw   c:\windows\Temp\Perflib_Perfdata_61c.dat
.
-- Migawka wyzerowana --
.
(((((((((((((((((((((((((((((((((((((   Wpisy startowe rejestru   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\ctfmon.exe" [2001-10-26 13312]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2001-08-02 1077277]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast!"="d:\progra~1\PROGRAMY\AVAST\ashDisp.exe" [2009-02-05 81000]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-04-05 148888]
"SoundMan"="SOUNDMAN.EXE" [2006-08-03 c:\windows\soundman.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2001-10-26 13312]

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2009-04-05 114768]
.
.
------- Skan uzupełniający -------
.
uInternet Connection Wizard,ShellNext = hxxp://www.onet.pl/
IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm
.

**************************************************************************

catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-07 09:19:31
Windows 5.1.2600  NTFS

skanowanie ukrytych procesów ... 

skanowanie ukrytych wpisów autostartu ...

skanowanie ukrytych plików ... 

skanowanie pomyślnie ukończone
ukryte pliki: 0

**************************************************************************
.
--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------

- - - - - - - > 'winlogon.exe'(688)
c:\windows\system32\ODBC32.dll
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'lsass.exe'(744)
c:\windows\system32\mswsock.dll
c:\windows\System32\wshtcpip.dll
c:\windows\System32\dssenh.dll
.
------------------------ Pozostałe uruchomione procesy ------------------------
.
c:\windows\system32\ati2evxx.exe
d:\program files\PROGRAMY\AVAST\aswUpdSv.exe
c:\windows\system32\ati2evxx.exe
d:\program files\PROGRAMY\AVAST\ashServ.exe
c:\program files\Java\jre6\bin\jqs.exe
d:\program files\PROGRAMY\AVAST\ashWebSv.exe
d:\program files\PROGRAMY\AVAST\ashMaiSv.exe
.
**************************************************************************
.
Czas ukończenia: 2009-04-07  9:20:18 - komputer został uruchomiony ponownie
ComboFix-quarantined-files.txt  2009-04-07 07:20:16
ComboFix2.txt  2009-04-05 19:17:27

Przed: 8 600 178 688 bajtów wolnych
Po: 8,629,116,928 bajtów wolnych

252


a tu z hijack:

Kod: Zaznacz wszystko

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:22:15, on 2009-04-07
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\PROGRAM FILES\PROGRAMY\AVAST\aswUpdSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
D:\PROGRAM FILES\PROGRAMY\AVAST\ashServ.exe
D:\PROGRA~1\PROGRAMY\AVAST\ashDisp.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\jre6\bin\jqs.exe
D:\PROGRAM FILES\PROGRAMY\AVAST\ashWebSv.exe
D:\PROGRAM FILES\PROGRAMY\AVAST\ashMaiSv.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\System32\wuauclt.exe
D:\PROGRAM FILES\PROGRAMY\OPERA\opera.exe
D:\PROGRAM FILES\PROGRAMY\Hijack\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.onet.pl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\PROGRAMY\AVAST\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\PROGRAM FILES\PROGRAMY\AVAST\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - D:\PROGRAM FILES\PROGRAMY\AVAST\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - D:\PROGRAM FILES\PROGRAMY\AVAST\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - D:\PROGRAM FILES\PROGRAMY\AVAST\ashWebSv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

--
End of file - 3451 bytes


[Okocza]

wykonaj optymalizację windowsa

Czysto, wykonaj:

Wykonaj to co jest podane w tym temacie

1. tym programem przejdź komputer)
2. wykonaj optymalizację windowsa
3.sciagnij ATF_Cleaner
zaznacz
Windows Temp
All users Temp
Temporary internet files
Recycle Bin
i wcisnij EMPTY SELECTED
4.Wyłącz przywracanie systemu ( właściwości mój komputer-zakładka przywracanie - wyłącz przywracanie na wszystkich dyskach). Po chwili włącz je powrotem
5. Przeskanuj komputer pod względem Trojanów tym programem
6. Wstaw na forum screen z zakładki uruchamianie (start – uruchom – msconfig – uruchamianie) może uda się cos wyrzucic stamtąd.

[sagakama]

Zrobiłem to co podałeś odpócz tego hdcleaner-wszystko po niemiecku to mnie troche przerosło. Jak pisałem na początku mam nowy system i żadnych zbędnych programów. Dołączam screen z uruchamiania systemu.....nic sie nie da wyrzucić:). Mam nadzieje że to już wszystko związane z tym trojanem......Wielkie dzięki za pomoc

[wojtas]

2,3 ,4 pozycje mozesz odchaczyc.