• Ogłoszenie:

Brak możliwości pobrania pliku, infekcja, proszę o pomoc.

Bezpieczeństwo systemów, usuwanie wirusów, dobieranie programów antywirusowych. Obowiązkowe logi w tym dziale: dwa z OTL + Gmer.

Brak możliwości pobrania pliku, infekcja, proszę o pomoc.

Postprzez ms741 06 Lis 2011, 19:04

reklama
Witam, mam problem z pobieraniem jakiegokolwiek pliku. Jestem świeżo po instalacji Windowsa XP, poprzednią wersję musiałem przeinstalować, gdyż prawdopodobnie usunąłem jakieś pliki systemowe poprzez antywirusa. Nie mogłem uruchomić kompa, gdyż się cały czas restartował. Po zainstalowaniu na nowo XP'ka próbowałem pobrać program antywirsowy (Nowy Avast Free), i nie mogę nic pobrać. Podejrzewam, że komputer jest już zainfekowany. Proszę o pomoc.
Log z OTL'a (1)
Kod: Zaznacz wszystko
OTL logfile created on: 2011-11-06 17:27:49 - Run 1
OTL by OldTimer - Version 3.2.31.0     Folder = C:\Documents and Settings\Marcin S\Pulpit
Windows XP Professional Edition Dodatek Service Pack. 1 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2800.1106)
Locale: 00000415 | Country: Polska | Language: PLK | Date Format: yyyy-MM-dd

1022,80 Mb Total Physical Memory | 680,63 Mb Available Physical Memory | 66,55% Memory free
2,40 Gb Paging File | 2,16 Gb Available in Paging File | 89,80% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Program Files
Drive C: | 35,47 Gb Total Space | 32,43 Gb Free Space | 91,44% Space Free | Partition Type: NTFS
Drive D: | 39,06 Gb Total Space | 28,99 Gb Free Space | 74,22% Space Free | Partition Type: NTFS

Computer Name: MARCIN | User Name: Marcin S | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days

[color=#E56717]========== Processes (SafeList) ==========[/color]

PRC - [2011-11-06 17:27:15 | 000,584,192 | ---- | M] (OldTimer Tools) -- C:\Documents and Settings\Marcin S\Pulpit\OTL.exe
PRC - [2011-11-06 16:09:24 | 000,061,440 | RHS- | M] () -- C:\WINDOWS\system32\csrsc.exe
PRC - [2011-11-05 08:31:55 | 000,924,632 | ---- | M] (Mozilla Corporation) -- C:\Program Files\Mozilla Firefox\firefox.exe
PRC - [2002-09-20 17:05:24 | 001,005,568 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe


[color=#E56717]========== Modules (No Company Name) ==========[/color]

MOD - [2011-11-06 16:59:08 | 008,522,400 | ---- | M] () -- C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll
MOD - [2011-11-06 16:09:24 | 000,061,440 | RHS- | M] () -- C:\WINDOWS\system32\csrsc.exe
MOD - [2011-11-05 08:31:56 | 001,989,592 | ---- | M] () -- C:\Program Files\Mozilla Firefox\mozjs.dll


[color=#E56717]========== Win32 Services (SafeList) ==========[/color]

SRV - File not found [Disabled | Stopped] --  -- (HidServ)
SRV - [2011-11-06 16:09:24 | 000,061,440 | RHS- | M] () [Auto | Running] -- C:\WINDOWS\System32\csrsc.exe -- (WinSpoolSvc)
SRV - [2001-10-26 18:29:36 | 000,047,104 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\WINDOWS\system32\mspmspsv.dll -- (WmdmPmSp)


[color=#E56717]========== Driver Services (SafeList) ==========[/color]

DRV - [2001-08-17 20:12:42 | 000,023,070 | ---- | M] (Realtek Semiconductor Corporation                                                ) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\RTL8139.sys -- (rtl8139) Sterownik NT karty Realtek RTL8139(A/B/C)


[color=#E56717]========== Standard Registry (SafeList) ==========[/color]


[color=#E56717]========== Internet Explorer ==========[/color]

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm

IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

[color=#E56717]========== FireFox ==========[/color]

FF - prefs.js..browser.startup.homepage: "http://www.wp.pl"

FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\System32\Macromed\Flash\NPSWF32.dll ()

FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 8.0\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2011-11-06 16:39:03 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 8.0\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins

[2011-11-06 16:41:51 | 000,000,000 | ---D | M] (No name found) -- C:\Documents and Settings\Marcin S\Dane aplikacji\Mozilla\Extensions
[2011-11-06 16:39:03 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files\Mozilla Firefox\extensions
[2011-11-05 08:31:56 | 000,134,104 | ---- | M] (Mozilla Foundation) -- C:\Program Files\mozilla firefox\components\browsercomps.dll
[2011-11-05 04:41:38 | 000,002,767 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\allegro-pl.xml
[2011-11-05 04:41:38 | 000,001,406 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\fbc-pl.xml
[2011-11-05 04:41:38 | 000,000,917 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\merlin-pl.xml
[2011-11-05 04:41:38 | 000,000,858 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\pwn-pl.xml
[2011-11-05 04:41:38 | 000,001,183 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\wikipedia-pl.xml
[2011-11-05 04:41:39 | 000,001,683 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\wp-pl.xml

O1 HOSTS File: ([2001-10-26 16:45:16 | 000,000,742 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O3 - HKLM\..\Toolbar: (&Radio) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx (Microsoft Corporation)
O4 - HKLM..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd File not found
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe (NVIDIA Corporation)
O4 - HKCU..\Run: [NvMediaCenter] C:\WINDOWS\System32\NVMCTRAY.DLL (NVIDIA Corporation)
O4 - Startup: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE (Microsoft Corporation)
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O9 - Extra Button: @shdoclc.dll,-866 - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\Web\related.htm ()
O9 - Extra 'Tools' menuitem : @shdoclc.dll,-864 - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\Web\related.htm ()
O16 - DPF: DirectAnimation Java Classes file://C:\WINDOWS\Java\classes\dajava.cab (Reg Error: Key error.)
O16 - DPF: Microsoft XML Parser for Java file://C:\WINDOWS\Java\classes\xmldso.cab (Reg Error: Key error.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 94.251.160.14 94.251.182.11
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{B2FC0727-D166-43C3-ACCF-FD23FB57730F}: DhcpNameServer = 94.251.160.14 94.251.182.11
O18 - Protocol\Handler\vnd.ms.radio {3DA2AA3B-3D96-11D2-9BD2-204C4F4F5020} - C:\WINDOWS\system32\msdxm.ocx (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) -C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) -C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Moja bieżąca strona główna) - About:Home
O24 - Desktop WallPaper: C:\WINDOWS\Web\Wallpaper\Idylla.bmp
O24 - Desktop BackupWallPaper: C:\WINDOWS\Web\Wallpaper\Idylla.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2011-11-06 15:36:25 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*

[color=#E56717]========== Files/Folders - Created Within 30 Days ==========[/color]

[2011-11-06 17:27:13 | 000,584,192 | ---- | C] (OldTimer Tools) -- C:\Documents and Settings\Marcin S\Pulpit\OTL.exe
[2011-11-06 17:07:44 | 000,000,000 | ---D | C] -- C:\Przyspiesz
[2011-11-06 16:59:18 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Marcin S\Dane aplikacji\Macromedia
[2011-11-06 16:59:18 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Marcin S\Dane aplikacji\Adobe
[2011-11-06 16:58:52 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\McAfee
[2011-11-06 16:56:04 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Menu Start\Programy\Narzędzia Microsoft Office
[2011-11-06 16:55:39 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\Designer
[2011-11-06 16:55:08 | 000,000,000 | ---D | C] -- C:\WINDOWS\ShellNew
[2011-11-06 16:53:22 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Marcin S\Dane aplikacji\Microsoft Web Folders
[2011-11-06 16:53:22 | 000,000,000 | ---D | C] -- C:\Program Files\Microsoft Office
[2011-11-06 16:45:50 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Marcin S\Moje dokumenty\Pobieranie
[2011-11-06 16:41:46 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Marcin S\Ustawienia lokalne\Dane aplikacji\Mozilla
[2011-11-06 16:41:46 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Marcin S\Dane aplikacji\Mozilla
[2011-11-06 16:39:52 | 002,596,864 | R--- | C] (C-Media Corporation) -- C:\WINDOWS\System\cmicnfg.cpl
[2011-11-06 16:39:52 | 001,458,176 | R--- | C] (C-Media Electronics Inc.) -- C:\WINDOWS\System\SmWizard.exe
[2011-11-06 16:39:52 | 000,917,504 | R--- | C] (C-Media Electronics Inc.) -- C:\WINDOWS\System\cmids3d.dll
[2011-11-06 16:39:52 | 000,167,936 | R--- | C] (C-Media) -- C:\WINDOWS\System32\cmuda.dll
[2011-11-06 16:39:52 | 000,032,768 | R--- | C] (C-Media Corporation) -- C:\WINDOWS\System32\udaprop.dll
[2011-11-06 16:39:36 | 000,000,000 | ---D | C] -- C:\Program Files\C-Media 3D Audio
[2011-11-06 16:39:35 | 000,000,000 | -H-D | C] -- C:\Program Files\InstallShield Installation Information
[2011-11-06 16:39:02 | 000,000,000 | ---D | C] -- C:\Program Files\Mozilla Firefox
[2011-11-06 16:33:39 | 000,000,000 | --SD | C] -- C:\Documents and Settings\Marcin S\UserData
[2011-11-06 16:26:07 | 000,000,000 | ---D | C] -- C:\WINDOWS\RegisteredPackages
[2011-11-06 16:18:28 | 000,098,304 | ---- | C] (NVIDIA) -- C:\WINDOWS\System32\nvudisp.exe
[2011-11-06 16:18:27 | 000,000,000 | ---D | C] -- C:\WINDOWS\nview
[2011-11-06 16:18:05 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\InstallShield
[2011-11-06 16:18:00 | 000,000,000 | ---D | C] -- C:\NVIDIA
[2011-11-06 16:15:36 | 000,000,000 | --SD | C] -- C:\WINDOWS\System32\Microsoft
[2011-11-06 16:06:58 | 000,000,000 | -HSD | C] -- C:\RECYCLER
[2011-11-06 16:06:21 | 000,000,000 | -HSD | C] -- C:\WINDOWS\Installer
[2011-11-06 16:06:18 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Marcin S\Dane aplikacji\Identities
[2011-11-06 16:06:13 | 000,000,000 | R--D | C] -- C:\Documents and Settings\Marcin S\Moje dokumenty\Moja muzyka
[2011-11-06 16:06:13 | 000,000,000 | -H-D | C] -- C:\Program Files\Uninstall Information
[2011-11-06 16:06:12 | 000,000,000 | R--D | C] -- C:\Documents and Settings\Marcin S\Moje dokumenty\Moje obrazy
[2011-11-06 16:06:09 | 000,000,000 | --SD | C] -- C:\Documents and Settings\Marcin S\Cookies
[2011-11-06 16:06:09 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Marcin S\Ustawienia lokalne\Dane aplikacji\Microsoft
[2011-11-06 16:06:08 | 000,000,000 | --SD | C] -- C:\Documents and Settings\Marcin S\Dane aplikacji\Microsoft
[2011-11-06 16:06:08 | 000,000,000 | RH-D | C] -- C:\Documents and Settings\Marcin S\SendTo
[2011-11-06 16:06:08 | 000,000,000 | RH-D | C] -- C:\Documents and Settings\Marcin S\Recent
[2011-11-06 16:06:08 | 000,000,000 | RH-D | C] -- C:\Documents and Settings\Marcin S\Dane aplikacji
[2011-11-06 16:06:08 | 000,000,000 | R--D | C] -- C:\Documents and Settings\Marcin S\Ulubione
[2011-11-06 16:06:08 | 000,000,000 | R--D | C] -- C:\Documents and Settings\Marcin S\Moje dokumenty
[2011-11-06 16:06:08 | 000,000,000 | R--D | C] -- C:\Documents and Settings\Marcin S\Menu Start
[2011-11-06 16:06:08 | 000,000,000 | R--D | C] -- C:\Documents and Settings\Marcin S\Menu Start\Programy\Autostart
[2011-11-06 16:06:08 | 000,000,000 | R--D | C] -- C:\Documents and Settings\Marcin S\Menu Start\Programy\Akcesoria
[2011-11-06 16:06:08 | 000,000,000 | -H-D | C] -- C:\Documents and Settings\Marcin S\Ustawienia lokalne
[2011-11-06 16:06:08 | 000,000,000 | -H-D | C] -- C:\Documents and Settings\Marcin S\Szablony
[2011-11-06 16:06:08 | 000,000,000 | -H-D | C] -- C:\Documents and Settings\Marcin S\PrintHood
[2011-11-06 16:06:08 | 000,000,000 | -H-D | C] -- C:\Documents and Settings\Marcin S\NetHood
[2011-11-06 16:06:08 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Marcin S\Pulpit
[2011-11-06 16:04:53 | 000,000,000 | -HSD | C] -- C:\System Volume Information
[2011-11-06 16:04:45 | 000,000,000 | ---D | C] -- C:\WINDOWS\Prefetch
[2011-11-06 16:04:44 | 000,000,000 | --SD | C] -- C:\Documents and Settings\LocalService\Dane aplikacji\Microsoft
[2011-11-06 16:04:44 | 000,000,000 | ---D | C] -- C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft
[2011-11-06 16:04:44 | 000,000,000 | ---D | C] -- C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft
[2011-11-06 16:04:43 | 000,000,000 | --SD | C] -- C:\Documents and Settings\NetworkService\Dane aplikacji\Microsoft
[2011-11-06 15:38:01 | 000,080,384 | ---- | C] (Ricoh Co., Ltd.) -- C:\WINDOWS\System32\dllcache\rwia330.dll
[2011-11-06 15:38:01 | 000,080,384 | ---- | C] (Ricoh Co., Ltd.) -- C:\WINDOWS\System32\dllcache\rwia001.dll
[2011-11-06 15:38:01 | 000,026,624 | ---- | C] (RICOH Co., Ltd.) -- C:\WINDOWS\System32\dllcache\rw330ext.dll
[2011-11-06 15:37:02 | 000,054,528 | ---- | C] (Philips Semiconductors GmbH) -- C:\WINDOWS\System32\dllcache\cap7146.sys
[2011-11-06 15:36:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\xircom
[2011-11-06 15:36:41 | 000,000,000 | ---D | C] -- C:\Program Files\xerox
[2011-11-06 15:36:41 | 000,000,000 | ---D | C] -- C:\Program Files\microsoft frontpage
[2011-11-06 15:35:32 | 000,000,000 | -HSD | C] -- C:\Documents and Settings\All Users\DRM
[2011-11-06 15:35:22 | 000,000,000 | --SD | C] -- C:\WINDOWS\Downloaded Program Files
[2011-11-06 15:35:22 | 000,000,000 | R--D | C] -- C:\WINDOWS\Offline Web Pages
[2011-11-06 15:34:56 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\DirectX
[2011-11-06 15:34:27 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\Services
[2011-11-06 15:34:23 | 000,000,000 | --SD | C] -- C:\WINDOWS\Tasks
[2011-11-06 15:34:21 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\MSSoap
[2011-11-06 15:34:18 | 000,000,000 | ---D | C] -- C:\WINDOWS\srchasst
[2011-11-06 15:34:17 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\Macromed
[2011-11-06 15:34:16 | 000,000,000 | ---D | C] -- C:\Program Files\Movie Maker
[2011-11-06 15:34:13 | 000,000,000 | ---D | C] -- C:\WINDOWS\PCHealth
[2011-11-06 15:34:12 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\Restore
[2011-11-06 15:34:10 | 000,000,000 | ---D | C] -- C:\Program Files\NetMeeting
[2011-11-06 15:34:08 | 000,000,000 | ---D | C] -- C:\Program Files\Outlook Express
[2011-11-06 15:34:04 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\System
[2011-11-06 15:34:03 | 000,000,000 | ---D | C] -- C:\Program Files\Internet Explorer
[2011-11-06 15:34:02 | 000,000,000 | R--D | C] -- C:\Documents and Settings\All Users\Dokumenty\Moje obrazy
[2011-11-06 15:34:02 | 000,000,000 | R--D | C] -- C:\Documents and Settings\All Users\Dokumenty\Moja muzyka
[2011-11-06 15:33:40 | 000,000,000 | R--D | C] -- C:\Documents and Settings\All Users\Menu Start\Programy\Gry
[2011-11-06 15:33:28 | 000,000,000 | ---D | C] -- C:\Program Files\ComPlus Applications
[2011-11-06 15:33:23 | 000,000,000 | ---D | C] -- C:\WINDOWS\Registration
[2011-11-06 15:33:22 | 000,000,000 | R--D | C] -- C:\Documents and Settings\All Users\Menu Start\Programy\Narzędzia administracyjne
[2011-11-06 15:33:17 | 000,000,000 | -H-D | C] -- C:\Program Files\WindowsUpdate
[2011-11-06 15:33:17 | 000,000,000 | ---D | C] -- C:\Program Files\Windows Media Player
[2011-11-06 15:33:17 | 000,000,000 | ---D | C] -- C:\Program Files\Usługi online
[2011-11-06 15:33:12 | 000,000,000 | ---D | C] -- C:\Program Files\Messenger
[2011-11-06 15:33:08 | 000,000,000 | ---D | C] -- C:\Program Files\MSN Gaming Zone
[2011-11-06 15:33:05 | 000,274,944 | ---- | C] (Cinematronics) -- C:\WINDOWS\System32\dllcache\pinball.exe
[2011-11-06 15:32:39 | 000,000,000 | ---D | C] -- C:\Program Files\Windows NT
[2011-11-06 15:32:39 | 000,000,000 | ---D | C] -- C:\Program Files\MSN
[2011-11-06 15:32:36 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\MsDtc
[2011-11-06 15:32:36 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\Com
[2011-11-06 15:31:59 | 000,000,000 | R--D | C] -- C:\Documents and Settings\All Users\Menu Start\Programy\Akcesoria
[2011-11-06 15:16:57 | 000,000,000 | R-SD | C] -- C:\WINDOWS\Fonts
[2011-11-06 15:16:57 | 000,000,000 | RHSD | C] -- C:\WINDOWS\System32\dllcache
[2011-11-06 15:16:57 | 000,000,000 | R--D | C] -- C:\WINDOWS\Web
[2011-11-06 15:16:57 | 000,000,000 | -H-D | C] -- C:\WINDOWS\inf
[2011-11-06 15:16:57 | 000,000,000 | ---D | C] -- C:\WINDOWS\WinSxS
[2011-11-06 15:16:57 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\wins
[2011-11-06 15:16:57 | 000,000,000 | ---D | C] -- C:\WINDOWS
[2011-11-06 15:16:57 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\wbem
[2011-11-06 15:16:57 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\usmt
[2011-11-06 15:16:57 | 000,000,000 | ---D | C] -- C:\WINDOWS\twain_32
[2011-11-06 15:16:57 | 000,000,000 | ---D | C] -- C:\WINDOWS\Temp
[2011-11-06 15:16:57 | 000,000,000 | ---D | C] -- C:\WINDOWS\system32
[2011-11-06 15:16:57 | 000,000,000 | ---D | C] -- C:\WINDOWS\system
[2011-11-06 15:16:57 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\spool
[2011-11-06 15:16:57 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\ShellExt
[2011-11-06 15:16:57 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\Setup
[2011-11-06 15:16:57 | 000,000,000 | ---D | C] -- C:\WINDOWS\security
[2011-11-06 15:16:57 | 000,000,000 | ---D | C] -- C:\WINDOWS\Resources
[2011-11-06 15:16:57 | 000,000,000 | ---D | C] -- C:\WINDOWS\repair
[2011-11-06 15:16:57 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\ras
[2011-11-06 15:16:57 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\oobe
[2011-11-06 15:16:57 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\npp
[2011-11-06 15:16:57 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\mui
[2011-11-06 15:16:57 | 000,000,000 | ---D | C] -- C:\WINDOWS\mui
[2011-11-06 15:16:57 | 000,000,000 | ---D | C] -- C:\WINDOWS\msapps
[2011-11-06 15:16:57 | 000,000,000 | ---D | C] -- C:\WINDOWS\msagent
[2011-11-06 15:16:57 | 000,000,000 | ---D | C] -- C:\WINDOWS\Media
[2011-11-06 15:16:57 | 000,000,000 | ---D | C] -- C:\WINDOWS\java
[2011-11-06 15:16:57 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\inetsrv
[2011-11-06 15:16:57 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\IME
[2011-11-06 15:16:57 | 000,000,000 | ---D | C] -- C:\WINDOWS\ime
[2011-11-06 15:16:57 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\icsxml
[2011-11-06 15:16:57 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\ias
[2011-11-06 15:16:57 | 000,000,000 | ---D | C] -- C:\WINDOWS\Help
[2011-11-06 15:16:57 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\export
[2011-11-06 15:16:57 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\drivers\etc
[2011-11-06 15:16:57 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\drivers
[2011-11-06 15:16:57 | 000,000,000 | ---D | C] -- C:\WINDOWS\Driver Cache
[2011-11-06 15:16:57 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\drivers\disdn
[2011-11-06 15:16:57 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\dhcp
[2011-11-06 15:16:57 | 000,000,000 | ---D | C] -- C:\WINDOWS\Debug
[2011-11-06 15:16:57 | 000,000,000 | ---D | C] -- C:\WINDOWS\Cursors
[2011-11-06 15:16:57 | 000,000,000 | ---D | C] -- C:\WINDOWS\Connection Wizard
[2011-11-06 15:16:57 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\config
[2011-11-06 15:16:57 | 000,000,000 | ---D | C] -- C:\WINDOWS\Config
[2011-11-06 15:16:57 | 000,000,000 | ---D | C] -- C:\WINDOWS\AppPatch
[2011-11-06 15:16:57 | 000,000,000 | ---D | C] -- C:\WINDOWS\addins
[2011-11-06 15:16:57 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\3com_dmi
[2011-11-06 15:16:57 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\3076
[2011-11-06 15:16:57 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\2052
[2011-11-06 15:16:57 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\1054
[2011-11-06 15:16:57 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\1045
[2011-11-06 15:16:57 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\1042
[2011-11-06 15:16:57 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\1041
[2011-11-06 15:16:57 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\1037
[2011-11-06 15:16:57 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\1033
[2011-11-06 15:16:57 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\1031
[2011-11-06 15:16:57 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\1028
[2011-11-06 15:16:57 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\1025
[2011-11-06 14:23:25 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\ODBC
[2011-11-06 14:23:22 | 000,000,000 | R--D | C] -- C:\Program Files
[2011-11-06 14:23:22 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\SpeechEngines
[2011-11-06 14:23:22 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\Microsoft Shared
[2011-11-06 14:23:22 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files
[2011-11-06 14:23:02 | 000,000,000 | R--D | C] -- C:\Documents and Settings\All Users\Menu Start
[2011-11-06 14:23:02 | 000,000,000 | R--D | C] -- C:\Documents and Settings\All Users\Dokumenty
[2011-11-06 14:23:02 | 000,000,000 | R--D | C] -- C:\Documents and Settings\All Users\Menu Start\Programy\Autostart
[2011-11-06 14:23:02 | 000,000,000 | -H-D | C] -- C:\Documents and Settings\All Users\Szablony
[2011-11-06 14:23:02 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Ulubione
[2011-11-06 14:23:02 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Pulpit
[2011-11-06 14:22:50 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\CatRoot2
[2011-11-06 14:22:50 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\CatRoot
[2011-11-06 14:22:44 | 000,000,000 | --SD | C] -- C:\Documents and Settings\All Users\Dane aplikacji\Microsoft
[2011-11-06 14:22:44 | 000,000,000 | RH-D | C] -- C:\Documents and Settings\All Users\Dane aplikacji
[2011-11-06 14:22:28 | 000,000,000 | ---D | C] -- C:\Documents and Settings
[2 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

[color=#E56717]========== Files - Modified Within 30 Days ==========[/color]

[2011-11-06 17:27:15 | 000,584,192 | ---- | M] (OldTimer Tools) -- C:\Documents and Settings\Marcin S\Pulpit\OTL.exe
[2011-11-06 17:25:05 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2011-11-06 17:24:59 | 000,114,968 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2011-11-06 17:07:59 | 000,000,348 | ---- | M] () -- C:\Documents and Settings\Marcin S\Pulpit\Moje dokumenty.lnk
[2011-11-06 16:58:51 | 000,001,619 | ---- | M] () -- C:\Documents and Settings\Marcin S\Moje dokumenty\McAfee Security Scan Plus.lnk
[2011-11-06 16:56:38 | 000,000,427 | ---- | M] () -- C:\WINDOWS\ODBC.INI
[2011-11-06 16:56:04 | 000,001,745 | ---- | M] () -- C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Microsoft Office.lnk
[2011-11-06 16:39:45 | 000,000,092 | ---- | M] () -- C:\WINDOWS\CMISETUP.INI
[2011-11-06 16:39:44 | 000,000,026 | ---- | M] () -- C:\WINDOWS\CMCDPLAY.INI
[2011-11-06 16:39:42 | 000,000,171 | ---- | M] () -- C:\WINDOWS\System\CmiCnfg.ini
[2011-11-06 16:39:42 | 000,000,000 | ---- | M] () -- C:\WINDOWS\Wininit.ini
[2011-11-06 16:39:04 | 000,000,724 | ---- | M] () -- C:\Documents and Settings\All Users\Pulpit\Mozilla Firefox.lnk
[2011-11-06 16:38:59 | 000,003,541 | ---- | M] () -- C:\WINDOWS\Ascd_tmp.ini
[2011-11-06 16:11:54 | 000,355,830 | ---- | M] () -- C:\WINDOWS\System32\perfh015.dat
[2011-11-06 16:11:54 | 000,311,740 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2011-11-06 16:11:54 | 000,049,712 | ---- | M] () -- C:\WINDOWS\System32\perfc015.dat
[2011-11-06 16:11:54 | 000,040,128 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2011-11-06 16:09:24 | 000,061,440 | RHS- | M] () -- C:\WINDOWS\System32\csrsc.exe
[2011-11-06 16:06:19 | 000,025,065 | ---- | M] () -- C:\WINDOWS\System32\wmpscheme.xml
[2011-11-06 16:06:07 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2011-11-06 15:39:19 | 000,008,192 | ---- | M] () -- C:\WINDOWS\REGLOCS.OLD
[2011-11-06 15:38:29 | 000,000,261 | ---- | M] () -- C:\WINDOWS\System32\$winnt$.inf
[2011-11-06 15:36:25 | 000,002,596 | ---- | M] () -- C:\WINDOWS\System32\CONFIG.NT
[2011-11-06 15:36:25 | 000,000,000 | RHS- | M] () -- C:\MSDOS.SYS
[2011-11-06 15:36:25 | 000,000,000 | RHS- | M] () -- C:\IO.SYS
[2011-11-06 15:36:25 | 000,000,000 | ---- | M] () -- C:\CONFIG.SYS
[2011-11-06 15:36:25 | 000,000,000 | ---- | M] () -- C:\AUTOEXEC.BAT
[2011-11-06 15:36:22 | 000,023,392 | ---- | M] () -- C:\WINDOWS\System32\nscompat.tlb
[2011-11-06 15:36:22 | 000,016,832 | ---- | M] () -- C:\WINDOWS\System32\amcompat.tlb
[2011-11-06 15:36:21 | 000,299,552 | ---- | M] () -- C:\WINDOWS\WMSysPrx.prx
[2011-11-06 15:36:12 | 000,004,293 | ---- | M] () -- C:\WINDOWS\ODBCINST.INI
[2011-11-06 15:33:36 | 000,021,856 | ---- | M] () -- C:\WINDOWS\System32\emptyregdb.dat
[2011-11-06 15:31:29 | 000,000,194 | -HS- | M] () -- C:\boot.ini
[2 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

[color=#E56717]========== Files Created - No Company Name ==========[/color]

[2011-11-06 17:07:59 | 000,000,348 | ---- | C] () -- C:\Documents and Settings\Marcin S\Pulpit\Moje dokumenty.lnk
[2011-11-06 16:58:51 | 000,001,619 | ---- | C] () -- C:\Documents and Settings\Marcin S\Moje dokumenty\McAfee Security Scan Plus.lnk
[2011-11-06 16:56:38 | 000,000,427 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2011-11-06 16:56:04 | 000,002,092 | ---- | C] () -- C:\Documents and Settings\All Users\Menu Start\Programy\Microsoft Excel.lnk
[2011-11-06 16:56:04 | 000,002,086 | ---- | C] () -- C:\Documents and Settings\All Users\Menu Start\Programy\Microsoft Outlook.lnk
[2011-11-06 16:56:04 | 000,002,064 | ---- | C] () -- C:\Documents and Settings\All Users\Menu Start\Programy\Microsoft Word.lnk
[2011-11-06 16:56:04 | 000,002,032 | ---- | C] () -- C:\Documents and Settings\All Users\Menu Start\Programy\Microsoft PowerPoint.lnk
[2011-11-06 16:56:04 | 000,002,010 | ---- | C] () -- C:\Documents and Settings\All Users\Menu Start\Programy\Microsoft Access.lnk
[2011-11-06 16:56:04 | 000,001,745 | ---- | C] () -- C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Microsoft Office.lnk
[2011-11-06 16:39:52 | 000,233,472 | R--- | C] () -- C:\WINDOWS\System32\cmirmdrv.exe
[2011-11-06 16:39:52 | 000,028,672 | R--- | C] () -- C:\WINDOWS\System32\cmirmdrv.dll
[2011-11-06 16:39:45 | 000,000,092 | ---- | C] () -- C:\WINDOWS\CMISETUP.INI
[2011-11-06 16:39:44 | 000,000,026 | ---- | C] () -- C:\WINDOWS\CMCDPLAY.INI
[2011-11-06 16:39:42 | 000,000,171 | ---- | C] () -- C:\WINDOWS\System\CmiCnfg.ini
[2011-11-06 16:39:42 | 000,000,000 | ---- | C] () -- C:\WINDOWS\Wininit.ini
[2011-11-06 16:39:36 | 000,266,240 | ---- | C] () -- C:\WINDOWS\CMIUninstall.exe
[2011-11-06 16:39:36 | 000,225,280 | ---- | C] () -- C:\WINDOWS\CmiRmRedundDir.exe
[2011-11-06 16:39:36 | 000,028,672 | ---- | C] () -- C:\WINDOWS\CMIRmDriver.dll
[2011-11-06 16:39:04 | 000,000,730 | ---- | C] () -- C:\Documents and Settings\All Users\Menu Start\Programy\Mozilla Firefox.lnk
[2011-11-06 16:39:04 | 000,000,724 | ---- | C] () -- C:\Documents and Settings\All Users\Pulpit\Mozilla Firefox.lnk
[2011-11-06 16:28:53 | 000,003,541 | ---- | C] () -- C:\WINDOWS\Ascd_tmp.ini
[2011-11-06 16:28:52 | 000,005,824 | ---- | C] () -- C:\WINDOWS\System32\drivers\ASUSHWIO.SYS
[2011-11-06 16:25:40 | 000,354,816 | ---- | C] () -- C:\WINDOWS\System32\psisdecd.dll
[2011-11-06 16:25:40 | 000,354,816 | ---- | C] () -- C:\WINDOWS\System32\dllcache\psisdecd.dll
[2011-11-06 16:25:40 | 000,030,208 | ---- | C] () -- C:\WINDOWS\System32\psisrndr.ax
[2011-11-06 16:25:40 | 000,030,208 | ---- | C] () -- C:\WINDOWS\System32\dllcache\psisrndr.ax
[2011-11-06 16:25:39 | 000,057,856 | ---- | C] () -- C:\WINDOWS\System32\mpeg2data.ax
[2011-11-06 16:25:39 | 000,052,224 | ---- | C] () -- C:\WINDOWS\System32\msdvbnp.ax
[2011-11-06 16:25:39 | 000,052,224 | ---- | C] () -- C:\WINDOWS\System32\dllcache\msdvbnp.ax
[2011-11-06 16:25:38 | 000,733,184 | ---- | C] () -- C:\WINDOWS\System32\dllcache\qedwipes.dll
[2011-11-06 16:25:38 | 000,136,192 | ---- | C] () -- C:\WINDOWS\System32\mpg2splt.ax
[2011-11-06 16:25:38 | 000,136,192 | ---- | C] () -- C:\WINDOWS\System32\dllcache\mpg2splt.ax
[2011-11-06 16:25:38 | 000,064,512 | ---- | C] () -- C:\WINDOWS\System32\dllcache\amstream.dll
[2011-11-06 16:25:38 | 000,034,304 | ---- | C] () -- C:\WINDOWS\System32\dllcache\mciqtz32.dll
[2011-11-06 16:25:38 | 000,013,312 | ---- | C] () -- C:\WINDOWS\System32\dllcache\msdmo.dll
[2011-11-06 16:18:28 | 000,009,801 | ---- | C] () -- C:\WINDOWS\System32\nvdisp.nvu
[2011-11-06 16:09:24 | 000,061,440 | RHS- | C] () -- C:\WINDOWS\System32\csrsc.exe
[2011-11-06 16:06:18 | 000,000,738 | ---- | C] () -- C:\Documents and Settings\Marcin S\Menu Start\Programy\Outlook Express.lnk
[2011-11-06 16:06:14 | 000,000,767 | ---- | C] () -- C:\Documents and Settings\Marcin S\Menu Start\Programy\Internet Explorer.lnk
[2011-11-06 16:06:09 | 000,001,599 | ---- | C] () -- C:\Documents and Settings\Marcin S\Menu Start\Programy\Pomoc zdalna.lnk
[2011-11-06 16:06:09 | 000,000,792 | ---- | C] () -- C:\Documents and Settings\Marcin S\Menu Start\Programy\Windows Media Player.lnk
[2011-11-06 15:39:18 | 000,008,192 | ---- | C] () -- C:\WINDOWS\REGLOCS.OLD
[2011-11-06 15:38:29 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2011-11-06 15:37:56 | 000,175,104 | ---- | C] () -- C:\WINDOWS\System32\dllcache\pintlcsa.dll
[2011-11-06 15:37:40 | 001,158,818 | ---- | C] () -- C:\WINDOWS\System32\dllcache\korwbrkr.lex
[2011-11-06 15:37:33 | 000,196,666 | ---- | C] () -- C:\WINDOWS\System32\dllcache\imjpinst.exe
[2011-11-06 15:37:33 | 000,059,392 | ---- | C] () -- C:\WINDOWS\System32\dllcache\imscinst.exe
[2011-11-06 15:37:31 | 000,134,339 | ---- | C] () -- C:\WINDOWS\System32\dllcache\imekr.lex
[2011-11-06 15:37:22 | 013,463,552 | ---- | C] () -- C:\WINDOWS\System32\dllcache\hwxjpn.dll
[2011-11-06 15:37:17 | 000,108,827 | ---- | C] () -- C:\WINDOWS\System32\dllcache\hanja.lex
[2011-11-06 15:37:14 | 000,094,208 | ---- | C] () -- C:\WINDOWS\System32\dllcache\fpencode.dll
[2011-11-06 15:37:05 | 000,173,568 | ---- | C] () -- C:\WINDOWS\System32\dllcache\chtskf.dll
[2011-11-06 15:36:25 | 000,002,596 | ---- | C] () -- C:\WINDOWS\System32\CONFIG.NT
[2011-11-06 15:36:25 | 000,000,000 | RHS- | C] () -- C:\MSDOS.SYS
[2011-11-06 15:36:25 | 000,000,000 | RHS- | C] () -- C:\IO.SYS
[2011-11-06 15:36:25 | 000,000,000 | ---- | C] () -- C:\CONFIG.SYS
[2011-11-06 15:36:25 | 000,000,000 | ---- | C] () -- C:\AUTOEXEC.BAT
[2011-11-06 15:36:23 | 000,025,065 | ---- | C] () -- C:\WINDOWS\System32\wmpscheme.xml
[2011-11-06 15:36:22 | 000,023,392 | ---- | C] () -- C:\WINDOWS\System32\nscompat.tlb
[2011-11-06 15:36:22 | 000,016,832 | ---- | C] () -- C:\WINDOWS\System32\amcompat.tlb
[2011-11-06 15:36:21 | 000,299,552 | ---- | C] () -- C:\WINDOWS\WMSysPrx.prx
[2011-11-06 15:35:03 | 004,399,505 | ---- | C] () -- C:\WINDOWS\System32\dllcache\nls302en.lex
[2011-11-06 15:34:35 | 000,351,744 | ---- | C] () -- C:\WINDOWS\System32\dllcache\msinfo.dll
[2011-11-06 15:34:34 | 000,048,680 | -HS- | C] () -- C:\WINDOWS\winnt256.bmp
[2011-11-06 15:34:34 | 000,048,680 | -HS- | C] () -- C:\WINDOWS\winnt.bmp
[2011-11-06 15:34:29 | 000,000,984 | ---- | C] () -- C:\WINDOWS\System32\dllcache\srframe.mmf
[2011-11-06 15:33:41 | 000,000,863 | ---- | C] () -- C:\Documents and Settings\All Users\Menu Start\Programy\Windows Messenger.lnk
[2011-11-06 15:33:36 | 000,021,856 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2011-11-06 15:33:17 | 000,001,890 | ---- | C] () -- C:\Documents and Settings\All Users\Menu Start\Programy\MSN Explorer.lnk
[2011-11-06 15:32:56 | 000,065,954 | ---- | C] () -- C:\WINDOWS\Pod mikroskopem.bmp
[2011-11-06 15:32:56 | 000,065,832 | ---- | C] () -- C:\WINDOWS\Stiuk z Santa Fe.bmp
[2011-11-06 15:32:56 | 000,026,680 | ---- | C] () -- C:\WINDOWS\Wachlarze.bmp
[2011-11-06 15:32:56 | 000,026,582 | ---- | C] () -- C:\WINDOWS\Nefryt.bmp
[2011-11-06 15:32:56 | 000,017,362 | ---- | C] () -- C:\WINDOWS\Rododendron.bmp
[2011-11-06 15:32:56 | 000,017,336 | ---- | C] () -- C:\WINDOWS\Na rybkach.bmp
[2011-11-06 15:32:56 | 000,009,522 | ---- | C] () -- C:\WINDOWS\Indiański pled.bmp
[2011-11-06 15:32:55 | 000,065,978 | ---- | C] () -- C:\WINDOWS\Bąbelki.bmp
[2011-11-06 15:32:55 | 000,017,062 | ---- | C] () -- C:\WINDOWS\Kawa.bmp
[2011-11-06 15:32:55 | 000,016,730 | ---- | C] () -- C:\WINDOWS\Puch.bmp
[2011-11-06 15:32:55 | 000,001,272 | ---- | C] () -- C:\WINDOWS\Niebieska koronka 16.bmp
[2011-11-06 15:32:53 | 000,003,286 | ---- | C] () -- C:\WINDOWS\System32\tslabels.h
[2011-11-06 15:32:53 | 000,001,225 | ---- | C] () -- C:\WINDOWS\System32\usrlogon.cmd
[2011-11-06 15:32:51 | 000,000,768 | ---- | C] () -- C:\WINDOWS\System32\msdtcprf.h
[2011-11-06 15:32:43 | 000,063,488 | ---- | C] () -- C:\WINDOWS\System32\wmimgmt.msc
[2011-11-06 15:21:36 | 000,000,194 | -HS- | C] () -- C:\boot.ini
[2011-11-06 15:21:33 | 000,000,261 | ---- | C] () -- C:\WINDOWS\System32\$winnt$.inf
[2011-11-06 14:23:25 | 000,004,293 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2011-11-06 14:23:23 | 001,685,606 | ---- | C] () -- C:\WINDOWS\System32\dllcache\sam.spd
[2011-11-06 14:23:23 | 000,605,050 | ---- | C] () -- C:\WINDOWS\System32\dllcache\r1033tts.lxa
[2011-11-06 14:23:23 | 000,000,888 | ---- | C] () -- C:\WINDOWS\System32\dllcache\sam.sdf
[2011-11-06 14:23:22 | 000,643,717 | ---- | C] () -- C:\WINDOWS\System32\dllcache\ltts1033.lxa
[2011-11-06 14:23:09 | 000,001,734 | ---- | C] () -- C:\WINDOWS\System32\AUTOEXEC.NT
[2011-11-06 14:23:01 | 000,390,168 | ---- | C] () -- C:\WINDOWS\System32\dllcache\WFC.CAT
[2011-11-06 14:23:01 | 000,085,754 | ---- | C] () -- C:\WINDOWS\System32\dllcache\tabletpc.cat
[2011-11-06 14:23:01 | 000,052,311 | ---- | C] () -- C:\WINDOWS\System32\dllcache\DX3.CAT
[2011-11-06 14:23:01 | 000,037,509 | ---- | C] () -- C:\WINDOWS\System32\dllcache\MW770.CAT
[2011-11-06 14:23:01 | 000,031,405 | ---- | C] () -- C:\WINDOWS\System32\dllcache\FP4.CAT
[2011-11-06 14:23:01 | 000,022,151 | ---- | C] () -- C:\WINDOWS\System32\dllcache\TCLASSES.CAT
[2011-11-06 14:23:01 | 000,021,281 | ---- | C] () -- C:\WINDOWS\System32\dllcache\XMLDSOC.CAT
[2011-11-06 14:23:01 | 000,014,031 | ---- | C] () -- C:\WINDOWS\System32\dllcache\MSJDBC.CAT
[2011-11-06 14:23:01 | 000,013,923 | ---- | C] () -- C:\WINDOWS\System32\dllcache\IMS.CAT
[2011-11-06 14:23:01 | 000,013,497 | ---- | C] () -- C:\WINDOWS\System32\dllcache\HPCRDP.CAT
[2011-11-06 14:23:01 | 000,010,881 | ---- | C] () -- C:\WINDOWS\System32\dllcache\MSMSGS.CAT
[2011-11-06 14:23:01 | 000,008,599 | ---- | C] () -- C:\WINDOWS\System32\dllcache\IASNT4.CAT
[2011-11-06 14:23:01 | 000,007,382 | ---- | C] () -- C:\WINDOWS\System32\dllcache\OEMBIOS.CAT
[2011-11-06 14:23:01 | 000,007,369 | ---- | C] () -- C:\WINDOWS\System32\dllcache\MSTSWEB.CAT
[2011-11-06 14:23:00 | 001,901,593 | ---- | C] () -- C:\WINDOWS\System32\dllcache\NT5.CAT
[2011-11-06 14:23:00 | 000,808,524 | ---- | C] () -- C:\WINDOWS\System32\dllcache\NT5IIS.CAT
[2011-11-06 14:23:00 | 000,657,548 | ---- | C] () -- C:\WINDOWS\System32\dllcache\CLASSES.CAT
[2011-11-06 14:23:00 | 000,584,202 | ---- | C] () -- C:\WINDOWS\System32\dllcache\NT5INF.CAT
[2011-11-06 14:23:00 | 000,399,670 | ---- | C] () -- C:\WINDOWS\System32\dllcache\MAPIMIG.CAT
[2011-11-06 14:23:00 | 000,056,081 | ---- | C] () -- C:\WINDOWS\System32\dllcache\DAJAVAC.CAT
[2011-11-06 14:22:27 | 000,114,968 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2003-10-06 14:16:00 | 000,027,136 | ---- | C] () -- C:\WINDOWS\System32\nvcod.dll
[2002-09-20 17:19:46 | 000,001,740 | ---- | C] () -- C:\WINDOWS\System32\Dcache.bin
[2002-09-20 17:04:04 | 000,162,155 | RHS- | C] () -- C:\WINDOWS\System32\trmnki.dll
[2002-04-10 17:18:00 | 000,004,573 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2002-03-25 19:02:14 | 000,027,440 | ---- | C] () -- C:\WINDOWS\System32\drivers\secdrv.sys
[2001-10-26 17:15:16 | 000,355,830 | ---- | C] () -- C:\WINDOWS\System32\perfh015.dat
[2001-10-26 17:15:16 | 000,313,828 | ---- | C] () -- C:\WINDOWS\System32\perfi015.dat
[2001-10-26 17:15:16 | 000,049,712 | ---- | C] () -- C:\WINDOWS\System32\perfc015.dat
[2001-10-26 17:15:16 | 000,034,990 | ---- | C] () -- C:\WINDOWS\System32\perfd015.dat
[2001-08-23 14:00:00 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2001-08-23 14:00:00 | 000,004,463 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
[2001-08-17 22:30:24 | 000,311,740 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2001-08-17 22:30:24 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2001-08-17 22:30:24 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2001-08-17 22:30:22 | 000,040,128 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2001-08-17 22:15:38 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2001-07-21 23:36:48 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2001-07-21 23:36:04 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2001-07-21 23:24:16 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
[1999-01-22 18:46:58 | 000,065,536 | ---- | C] () -- C:\WINDOWS\System32\MSRTEDIT.DLL

[color=#E56717]========== LOP Check ==========[/color]


[color=#E56717]========== Purity Check ==========[/color]



< End of report >


Log z OTL'a (2)
Kod: Zaznacz wszystko
OTL Extras logfile created on: 2011-11-06 17:27:49 - Run 1
OTL by OldTimer - Version 3.2.31.0     Folder = C:\Documents and Settings\Marcin S\Pulpit
Windows XP Professional Edition Dodatek Service Pack. 1 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2800.1106)
Locale: 00000415 | Country: Polska | Language: PLK | Date Format: yyyy-MM-dd

1022,80 Mb Total Physical Memory | 680,63 Mb Available Physical Memory | 66,55% Memory free
2,40 Gb Paging File | 2,16 Gb Available in Paging File | 89,80% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Program Files
Drive C: | 35,47 Gb Total Space | 32,43 Gb Free Space | 91,44% Space Free | Partition Type: NTFS
Drive D: | 39,06 Gb Total Space | 28,99 Gb Free Space | 74,22% Space Free | Partition Type: NTFS

Computer Name: MARCIN | User Name: Marcin S | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days

[color=#E56717]========== Extra Registry (SafeList) ==========[/color]


[color=#E56717]========== File Associations ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL %1,%*
.url [@ = InternetShortcut] -- rundll32.exe shdocvw.dll,OpenURL %l

[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation)

[color=#E56717]========== Shell Spawning ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL %1,%*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
InternetShortcut [open] -- rundll32.exe shdocvw.dll,OpenURL %l
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

[color=#E56717]========== Security Center Settings ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]

[color=#E56717]========== System Restore Settings ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2

[color=#E56717]========== Firewall Settings ==========[/color]

[color=#E56717]========== Authorized Applications List ==========[/color]


[color=#E56717]========== HKEY_LOCAL_MACHINE Uninstall List ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{00010415-78E1-11D2-B60F-006097C998E7}" = Microsoft Office 2000 Professional
"{350C9415-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"C-Media Audio" = C-Media 3D Audio
"Mozilla Firefox 8.0 (x86 pl)" = Mozilla Firefox 8.0 (x86 pl)
"NVIDIA Display Driver" = NVIDIA Display Driver

[color=#E56717]========== Last 10 Event Log Errors ==========[/color]

[ System Events ]
Error - 2011-11-06 11:21:19 | Computer Name = MARCIN | Source = Service Control Manager | ID = 7023
Description = Usługa Universal Shell zakończyła działanie; wystąpił następujący
błąd:   %%1114

Error - 2011-11-06 11:29:06 | Computer Name = MARCIN | Source = Service Control Manager | ID = 7023
Description = Usługa Universal Shell zakończyła działanie; wystąpił następujący
błąd:   %%1114

Error - 2011-11-06 11:40:52 | Computer Name = MARCIN | Source = atapi | ID = 262153
Description = Urządzenie \Device\Ide\IdePort0 nie odpowiedziało w ramach ustalonego
limitu czasu.

Error - 2011-11-06 11:46:09 | Computer Name = MARCIN | Source = Service Control Manager | ID = 7023
Description = Usługa Universal Shell zakończyła działanie; wystąpił następujący
błąd:   %%1114

Error - 2011-11-06 12:26:48 | Computer Name = MARCIN | Source = Service Control Manager | ID = 7023
Description = Usługa Universal Shell zakończyła działanie; wystąpił następujący
błąd:   %%1114


< End of report >


Log z GMER'a
Kod: Zaznacz wszystko
GMER 1.0.15.15641 - http://www.gmer.net
Rootkit scan 2011-11-06 17:53:08
Windows 5.1.2600 Dodatek Service Pack. 1 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-4 WDC_WD800BB-00JHA0 rev.05.01C05
Running: xqoj0mst.exe; Driver: C:\DOCUME~1\MARCIN~1\USTAWI~1\Temp\pxtdypog.sys


---- Kernel code sections - GMER 1.0.15 ----

.text  ntoskrnl.exe!KeInitializeInterrupt + B67                                      804DA23C 1 Byte  [06]
.text  C:\WINDOWS\System32\DRIVERS\nv4_mini.sys                                      section is writeable [0xF7505340, 0x121A5F, 0xF8000020]
.text  C:\WINDOWS\System32\nv4_disp.dll                                              section is writeable [0xBF9BB380, 0x25BA81, 0xF8000020]

---- User code sections - GMER 1.0.15 ----

.text  C:\WINDOWS\System32\svchost.exe[832] ntdll.dll!NtQueryInformationProcess      77F76035 5 Bytes  JMP 01659DC2
.text  C:\WINDOWS\System32\svchost.exe[832] NETAPI32.dll!NetpwPathCanonicalize       71BD2B51 5 Bytes  JMP 01659D62
.text  C:\WINDOWS\System32\svchost.exe[992] ntdll.dll!NtQueryInformationProcess      77F76035 5 Bytes  JMP 00759DC2
.text  C:\Program Files\Mozilla Firefox\firefox.exe[3932] ntdll.dll!LdrLoadDll       77F55669 5 Bytes  JMP 01262EC0 C:\Program Files\Mozilla Firefox\xul.dll (Mozilla Foundation)

---- Registry - GMER 1.0.15 ----

Reg    HKLM\SYSTEM\ControlSet002\Services\zuegak@DisplayName                         Universal Shell
Reg    HKLM\SYSTEM\ControlSet002\Services\zuegak@Type                                32
Reg    HKLM\SYSTEM\ControlSet002\Services\zuegak@Start                               2
Reg    HKLM\SYSTEM\ControlSet002\Services\zuegak@ErrorControl                        0
Reg    HKLM\SYSTEM\ControlSet002\Services\zuegak@ImagePath                           %SystemRoot%\system32\svchost.exe -k netsvcs
Reg    HKLM\SYSTEM\ControlSet002\Services\zuegak@ObjectName                          LocalSystem
Reg    HKLM\SYSTEM\ControlSet002\Services\zuegak@Description                         W??cza obs?ug? systemu NetBIOS w us?udze TCP/IP (NetBT) i rozpoznawanie nazw systemu NetBIOS.
Reg    HKLM\SYSTEM\ControlSet002\Services\zuegak\Parameters (not active ControlSet) 
Reg    HKLM\SYSTEM\ControlSet002\Services\zuegak\Parameters@ServiceDll               C:\WINDOWS\System32\trmnki.dll

---- Disk sectors - GMER 1.0.15 ----

Disk   \Device\Harddisk0\DR0                                                         PE file @ sector 156296385

---- EOF - GMER 1.0.15 ----
ms741
~user
 
Posty: 9
Dołączenie: 06 Lis 2011, 18:56



Brak możliwości pobrania pliku, infekcja, proszę o pomoc.

Postprzez Gimli 06 Lis 2011, 22:06

Przeskanuj kompa za pomocą Dr.WEB CureIt! 6.00.11., powinien sobie poradzić.
Oczywiście jeżeli nie masz możliwości pobrania skanera u siebie, zrób to u kogoś ze znajomych, wrzuć na pendrivea i odpal u siebie (program w momencie pobierania będzie miał najprawdopodobniej aktualną bazę antywirusową która jest często aktualizowana), program jest dokładny i skuteczny, z tym iż może długo skanować. Mało fałszywych alarmów.
Opcjonalnie możesz użyć Malwarebytes Anti Malware.
Natomiast gdybyś jeszcze miał restarty kompa spowodowane błędem 1114 to Spróbuj: Poprawka automatyczna firmy Microsoft 50179.

Dodano Dzisiaj, 21:12:
Poza tym widzę iż masz Win XP Pro SP1.- zaktualizuj go do SP3
Gimli
~user
 
Posty: 37
Dołączenie: 28 Gru 2010, 14:52
Pochwały: 2



Brak możliwości pobrania pliku, infekcja, proszę o pomoc.

Postprzez wojtas 06 Lis 2011, 22:21

Uruchom OTL i w sekcji własne opcje skanowania / skrypt wklej:

:OTL
PRC - [2011-11-06 16:09:24 | 000,061,440 | RHS- | M] () -- C:\WINDOWS\system32\csrsc.exe
SRV - [2011-11-06 16:09:24 | 000,061,440 | RHS- | M] () [Auto | Running] -- C:\WINDOWS\System32\csrsc.exe -- (WinSpoolSvc)
O4 - HKLM..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd File not found
O9 - Extra Button: @shdoclc.dll,-866 - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\Web\related.htm ()
O9 - Extra 'Tools' menuitem : @shdoclc.dll,-864 - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\Web\related.htm ()

:Files
C:\WINDOWS\System32\trmnki.dll

:Commands
[emptytemp]
[emptyflash]



Kliknij wykonaj skrypt. I potwierdź reset komputera .

zrób pełny skan Malwarebytes Anti-Malware (zaktualizuj, usuń co znajdzie )

Następnie uruchamiasz OTL z opcją skanuj. Pokazujesz nowy log OTL.txt oraz raport z czyszczenia (zawartość notatnika, która otworzy się po restarcie). + Gmer + raport z Mbama
Image
Awatar użytkownika
wojtas
*mod
 
Posty: 18099
Dołączenie: 13 Sty 2006, 16:00
Miejscowość: Krzeszyce
Pochwały: 1651



Brak możliwości pobrania pliku, infekcja, proszę o pomoc.

Postprzez ms741 06 Lis 2011, 23:14

Witam, wszystko zrobiłem według instrukcji Wojtasa. Czekam na dalsze instrukcje. Poniżej logi:

Raport z czyszczenia
Kod: Zaznacz wszystko
All processes killed
========== OTL ==========
Process csrsc.exe killed successfully!
Error: Unable to stop service WinSpoolSvc!
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSpoolSvc deleted successfully.
File move failed. C:\WINDOWS\system32\csrsc.exe scheduled to be moved on reboot.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\Cmaudio deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{c95fe080-8f5d-11d2-a20b-00aa003c157a}\ not found.
C:\WINDOWS\Web\related.htm moved successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{c95fe080-8f5d-11d2-a20b-00aa003c157a}\ not found.
File C:\WINDOWS\Web\related.htm not found.
========== FILES ==========
File move failed. C:\WINDOWS\System32\trmnki.dll scheduled to be moved on reboot.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33728 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Marcin S
->Temp folder emptied: 2740497 bytes
->Temporary Internet Files folder emptied: 8484863 bytes
->FireFox cache emptied: 42862126 bytes
->Flash cache emptied: 1559 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 402 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 1100105 bytes
%systemroot%\System32 .tmp files removed: 2596 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 32768 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 53,00 mb


[EMPTYFLASH]

User: All Users

User: Default User

User: LocalService

User: Marcin S
->Flash cache emptied: 0 bytes

User: NetworkService

Total Flash Files Cleaned = 0,00 mb


OTL by OldTimer - Version 3.2.31.0 log created on 11062011_213129

Files\Folders moved on Reboot...
C:\WINDOWS\system32\csrsc.exe moved successfully.
C:\WINDOWS\System32\trmnki.dll moved successfully.

Registry entries deleted on Reboot...


Dodano Dzisiaj, 22:16:
Nowy log z OTL'a
http://www.wklej.org/id/622227/

Raport z Mbam'a
Kod: Zaznacz wszystko
Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Wersja bazy: 8098

Windows 5.1.2600 Dodatek Service Pack. 1
Internet Explorer 6.0.2800.1106

2011-11-06 21:46:01
mbam-log-2011-11-06 (21-45-52).txt

Typ skanowania: Pełne skanowanie (C:\|D:\|)
Przeskanowano obiektów: 154222
Upłynęło: 6 minut(y), 47 sekund(y)

Zainfekowanych procesów w pamięci: 0
Zainfekowanych modułów w pamięci: 0
Zainfekowanych kluczy rejestru: 2
Zainfekowanych wartości rejestru: 3
Zainfekowane informacje rejestru systemowego: 2
Zainfekowanych folderów: 0
Zainfekowanych plików: 5

Zainfekowanych procesów w pamięci:
(Nie znaleziono zagrożeń)

Zainfekowanych modułów w pamięci:
(Nie znaleziono zagrożeń)

Zainfekowanych kluczy rejestru:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Hosts Controller (Worm.Kolab) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_HOSTS_CONTROLLER (Worm.Kolab) -> No action taken.

Zainfekowanych wartości rejestru:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\intime (Malware.Trace) -> Value: intime -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\reup (Malware.Trace) -> Value: reup -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\WaitToKillServiceT (Malware.Trace) -> Value: WaitToKillServiceT -> No action taken.

Zainfekowane informacje rejestru systemowego:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Zainfekowanych folderów:
(Nie znaleziono zagrożeń)

Zainfekowanych plików:
c:\WINDOWS\Fonts\unwise_.exe (Worm.Kolab) -> No action taken.
c:\WINDOWS\system32\config\systemprofile\ustawienia lokalne\temporary internet files\Content.IE5\CPKZSR41\x[1] (Malware.Packer.u64) -> No action taken.
c:\WINDOWS\system32\config\systemprofile\ustawienia lokalne\temporary internet files\Content.IE5\MCJ3OU6X\lsvwjo[1].gif (Extension.Mismatch) -> No action taken.
c:\_OTL\movedfiles\11062011_213129\c_windows\system32\csrsc.exe (Malware.Packer.u64) -> No action taken.
c:\_OTL\movedfiles\11062011_213129\c_windows\system32\trmnki.dll (Worm.Conficker) -> No action taken.

Log z GMER'a
Kod: Zaznacz wszystko
GMER 1.0.15.15641 - http://www.gmer.net
Rootkit scan 2011-11-06 22:02:41
Windows 5.1.2600 Dodatek Service Pack. 1 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-4 WDC_WD800BB-00JHA0 rev.05.01C05
Running: xqoj0mst.exe; Driver: C:\DOCUME~1\MARCIN~1\USTAWI~1\Temp\pxtdypog.sys


---- System - GMER 1.0.15 ----

SSDT   \??\C:\WINDOWS\System32\drivers\mbam.sys (Malwarebytes' Anti-Malware/Malwarebytes Corporation)  ZwCreateSection [0xF4CBF010]

---- Kernel code sections - GMER 1.0.15 ----

.text  ntoskrnl.exe!KeInitializeInterrupt + B67                                                        804DA23C 1 Byte  [06]
.text  ntoskrnl.exe!KeI386Call16BitCStyleFunction + 1D4                                                80502650 4 Bytes  [10, F0, CB, F4] {ADC AL, DH; RETF ; HLT }
?      ihjc.sys                                                                                        Nie można odnaleźć określonego pliku. !
.text  C:\WINDOWS\System32\DRIVERS\nv4_mini.sys                                                        section is writeable [0xF751C340, 0x121A5F, 0xF8000020]
.text  C:\WINDOWS\System32\nv4_disp.dll                                                                section is writeable [0xBF9BB380, 0x25BA81, 0xF8000020]

---- User code sections - GMER 1.0.15 ----

.text  C:\Program Files\Mozilla Firefox\firefox.exe[820] ntdll.dll!LdrLoadDll                          77F55669 5 Bytes  JMP 01262EC0 C:\Program Files\Mozilla Firefox\xul.dll (Mozilla Foundation)
.text  C:\WINDOWS\System32\svchost.exe[836] ntdll.dll!NtQueryInformationProcess                        77F76035 5 Bytes  JMP 01759DC4
.text  C:\WINDOWS\System32\svchost.exe[836] NETAPI32.dll!NetpwPathCanonicalize                         71BD2B51 5 Bytes  JMP 01759D64
.text  C:\WINDOWS\System32\svchost.exe[932] ntdll.dll!NtQueryInformationProcess                        77F76035 5 Bytes  JMP 00719DC4

---- Registry - GMER 1.0.15 ----

Reg    HKLM\SYSTEM\ControlSet002\Services\eesdzel@DisplayName                                          Task Network
Reg    HKLM\SYSTEM\ControlSet002\Services\eesdzel@Type                                                 32
Reg    HKLM\SYSTEM\ControlSet002\Services\eesdzel@Start                                                2
Reg    HKLM\SYSTEM\ControlSet002\Services\eesdzel@ErrorControl                                         0
Reg    HKLM\SYSTEM\ControlSet002\Services\eesdzel@ImagePath                                            %SystemRoot%\system32\svchost.exe -k netsvcs
Reg    HKLM\SYSTEM\ControlSet002\Services\eesdzel@ObjectName                                           LocalSystem
Reg    HKLM\SYSTEM\ControlSet002\Services\eesdzel@Description                                          Zapewnia zarz?dzanie kompozycjami obs?ugiwanymi przez u?ytkownika.
Reg    HKLM\SYSTEM\ControlSet002\Services\eesdzel\Parameters (not active ControlSet)                   
Reg    HKLM\SYSTEM\ControlSet002\Services\eesdzel\Parameters@ServiceDll                                C:\WINDOWS\System32\trmnki.dll

---- Disk sectors - GMER 1.0.15 ----

Disk   \Device\Harddisk0\DR0                                                                           PE file @ sector 156296385

---- EOF - GMER 1.0.15 ----
ms741
~user
 
Posty: 9
Dołączenie: 06 Lis 2011, 18:56



Brak możliwości pobrania pliku, infekcja, proszę o pomoc.

Postprzez wojtas 07 Lis 2011, 21:45

Pobierz i uruchom narzędzie
The Avenger
Wklej do okienka programu

Files to delete:
C:\WINDOWS\system32\trmnki.dll

Drivers to unload:
zuegak


Klikasz Execute,

wklej do notatnika:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\eesdzel\Parameters]
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
64,00,6e,00,73,00,72,00,73,00,6c,00,76,00,72,00,2e,00,64,00,6c,00,6c,00,00,\
00


w notatniku u góry>>>plik zapisz jako>>>Zmien rozszerzenie z TXT na Wszystkie pliki *.* >>> Zapisz pod nazwą FIX.REG

Klikasz dwa razy na powstały plik fix i dodajesz go do rejestru....

wklejasz na forum raport: C:\avenger.txt + log z OTL + Gmer
Image
Awatar użytkownika
wojtas
*mod
 
Posty: 18099
Dołączenie: 13 Sty 2006, 16:00
Miejscowość: Krzeszyce
Pochwały: 1651



Brak możliwości pobrania pliku, infekcja, proszę o pomoc.

Postprzez ms741 08 Lis 2011, 15:08

Witam

Kod: Zaznacz wszystko
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\system32\trmnki.dll" deleted successfully.
Driver "zuegak" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.


Kod: Zaznacz wszystko
GMER 1.0.15.15641 - http://www.gmer.net
Rootkit scan 2011-11-08 00:42:48
Windows 5.1.2600 Dodatek Service Pack. 1 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-4 WDC_WD800BB-00JHA0 rev.05.01C05
Running: xqoj0mst.exe; Driver: C:\DOCUME~1\MARCIN~1\USTAWI~1\Temp\pxtdypog.sys


---- System - GMER 1.0.15 ----

SSDT   \??\C:\WINDOWS\System32\drivers\mbam.sys (Malwarebytes' Anti-Malware/Malwarebytes Corporation)  ZwCreateSection [0xED32A010]

---- Kernel code sections - GMER 1.0.15 ----

.text  ntoskrnl.exe!KeInitializeInterrupt + B67                                                        804DA23C 1 Byte  [06]
.text  ntoskrnl.exe!KeI386Call16BitCStyleFunction + 1D4                                                80502650 4 Bytes  [10, A0, 32, ED]
.text  C:\WINDOWS\System32\DRIVERS\nv4_mini.sys                                                        section is writeable [0xF737C340, 0x121A5F, 0xF8000020]
.text  C:\WINDOWS\System32\nv4_disp.dll                                                                section is writeable [0xBF9BB380, 0x25BA81, 0xF8000020]

---- User code sections - GMER 1.0.15 ----

.text  C:\Program Files\Mozilla Firefox\firefox.exe[280] ntdll.dll!LdrLoadDll                          77F55669 5 Bytes  JMP 01262EC0 C:\Program Files\Mozilla Firefox\xul.dll (Mozilla Foundation)
.text  C:\WINDOWS\System32\svchost.exe[864] ntdll.dll!NtQueryInformationProcess                        77F76035 5 Bytes  JMP 0162ADBD
.text  C:\WINDOWS\System32\svchost.exe[864] NETAPI32.dll!NetpwPathCanonicalize                         71BD2B51 5 Bytes  JMP 0162AD54
.text  C:\WINDOWS\System32\svchost.exe[1000] ntdll.dll!NtQueryInformationProcess                       77F76035 5 Bytes  JMP 008DADBD

---- Registry - GMER 1.0.15 ----

Reg    HKLM\SYSTEM\CurrentControlSet\Services\nxdrqnir@DisplayName                                     Support Center
Reg    HKLM\SYSTEM\CurrentControlSet\Services\nxdrqnir@Type                                            32
Reg    HKLM\SYSTEM\CurrentControlSet\Services\nxdrqnir@Start                                           2
Reg    HKLM\SYSTEM\CurrentControlSet\Services\nxdrqnir@ErrorControl                                    0
Reg    HKLM\SYSTEM\CurrentControlSet\Services\nxdrqnir@ImagePath                                       %SystemRoot%\system32\svchost.exe -k netsvcs
Reg    HKLM\SYSTEM\CurrentControlSet\Services\nxdrqnir@ObjectName                                      LocalSystem
Reg    HKLM\SYSTEM\CurrentControlSet\Services\nxdrqnir@Description                                     Zarz?dza konfiguracj? sieci poprzez rejestracj? i aktualizacj? adres?w IP i nazw DNS.
Reg    HKLM\SYSTEM\CurrentControlSet\Services\nxdrqnir\Parameters                                     
Reg    HKLM\SYSTEM\CurrentControlSet\Services\nxdrqnir\Parameters@ServiceDll                           C:\WINDOWS\System32\trmnki.dll

---- Disk sectors - GMER 1.0.15 ----

Disk   \Device\Harddisk0\DR0                                                                           PE file @ sector 156296385

---- EOF - GMER 1.0.15 ----

Log z OTL'a
http://www.wklej.org/id/623256/
ms741
~user
 
Posty: 9
Dołączenie: 06 Lis 2011, 18:56



Brak możliwości pobrania pliku, infekcja, proszę o pomoc.

Postprzez wojtas 08 Lis 2011, 16:15

Uruchom OTL i w sekcji własne opcje skanowania / skrypt wklej:

:Processes
killallprocesses

:Services
eesdzel

:Commands
[emptytemp]
[emptyflash]



Kliknij wykonaj skrypt. I potwierdź reset komputera .


zrób pełny skan Kaspersky Virus Removal Tool jeśli coś znajdzie daj raport na forum
Następnie uruchamiasz OTL z opcją skanuj. Pokazujesz nowy log OTL.txt oraz raport z czyszczenia (zawartość notatnika, która otworzy się po restarcie).
Image
Awatar użytkownika
wojtas
*mod
 
Posty: 18099
Dołączenie: 13 Sty 2006, 16:00
Miejscowość: Krzeszyce
Pochwały: 1651



Brak możliwości pobrania pliku, infekcja, proszę o pomoc.

Postprzez ms741 08 Lis 2011, 21:44

Witam, nie mogę ściągnąć kasperskego... poniżej logi:

Log z OTL'a
http://wklej.org/id/623608/

Raport z usuwania
Kod: Zaznacz wszystko
All processes killed
========== PROCESSES ==========
========== SERVICES/DRIVERS ==========
Service eesdzel stopped successfully!
Service eesdzel deleted successfully!
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Marcin S
->Temp folder emptied: 3944513 bytes
->Temporary Internet Files folder emptied: 2659522 bytes
->Java cache emptied: 7799 bytes
->FireFox cache emptied: 116892740 bytes
->Flash cache emptied: 1564 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 16384 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 118,00 mb


[EMPTYFLASH]

User: All Users

User: Default User

User: LocalService

User: Marcin S
->Flash cache emptied: 0 bytes

User: NetworkService

Total Flash Files Cleaned = 0,00 mb


OTL by OldTimer - Version 3.2.31.0 log created on 11082011_202018

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...
ms741
~user
 
Posty: 9
Dołączenie: 06 Lis 2011, 18:56



Brak możliwości pobrania pliku, infekcja, proszę o pomoc.

Postprzez wojtas 08 Lis 2011, 22:54

czy usunąłeś co znalazł MBAM ??

jeśli nie to jeszcze raz pełny skan, raport z MBama i zestaw logów :) + log z otl-dds-combofix-vt117885.html (Combofixa)
Image
Awatar użytkownika
wojtas
*mod
 
Posty: 18099
Dołączenie: 13 Sty 2006, 16:00
Miejscowość: Krzeszyce
Pochwały: 1651



Brak możliwości pobrania pliku, infekcja, proszę o pomoc.

Postprzez ms741 11 Lis 2011, 22:26

Witam. Tak usunąłem wszystkie pliki. Przepraszam za tak długą odpowiedź, ale ostatnimi dniami komputer całkiem zaczął wariować. Co rusz wyłącza i włącza się monitor, po chwili gdy zrobi tak parę razy to gaśnie nieodwracalnie, i trzeba zresetować kompa. Komp strasznie zamula, a zużycie procesora nie spada poniżej 70% a nie rzadko wynosi 100%. Poniżej zamieszczam logi.

Combofix
Kod: Zaznacz wszystko
ComboFix 11-11-08.02 - Marcin S 2011-11-11  21:00:03.1.1 - x86
Microsoft Windows XP Professional  5.1.2600.1.1250.48.1045.18.1023.594 [GMT 1:00]
Uruchomiony z: c:\documents and settings\Marcin S\Pulpit\ComboFix.exe
* Utworzono nowy punkt przywracania
.
.
(((((((((((((((((((((((((((((((((((((((   Usunięto   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\msmqinst.log
c:\windows\regopt.log
c:\windows\System32\trmnki.dll
.
c:\windows\system32\qmgr.dll . . . jest zainfekowany!!
.
.
(((((((((((((((((((((((((((((((((((((((   Sterowniki/Usługi   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_NXDRQNIR
-------\Service_nxdrqnir
.
.
(((((((((((((((((((((((((   Pliki utworzone od 2011-10-11 do 2011-11-11  )))))))))))))))))))))))))))))))
.
.
2011-11-06 20:31 . 2011-11-06 20:31   --------   d-----w-   C:\_OTL
2011-11-06 15:18 . 2011-11-06 15:18   --------   d-----w-   C:\NVIDIA
.
.
.
((((((((((((((((((((((((((((((((((((((((   Sekcja Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-11-05 07:31 . 2011-11-06 15:39   134104   ----a-w-   c:\program files\mozilla firefox\components\browsercomps.dll
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
.
.
[-] 2003-05-30 08:00 . 7BA80564F369A96AF84E3AA27E75E90B . 1634304 . . [5.3.0000001.902 built by: DIRECTX] . . c:\windows\system32\d3d9.dll
.
c:\windows\System32\wscntfy.exe ...  - brak elementu !!
c:\windows\System32\xmlprov.dll ...  - brak elementu !!
.
(((((((((((((((((((((((((((((((((((((   Wpisy startowe rejestru   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvMediaCenter"="c:\windows\System32\NVMCTRAY.DLL" [2003-10-06 49152]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2003-10-06 5058560]
"nwiz"="nwiz.exe" [2003-10-06 741376]
"Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2011-08-31 449608]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-05-14 248552]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2011-06-06 937920]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2002-09-20 13312]
.
c:\documents and settings\All Users\Menu Start\Programy\Autostart\
Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableNotifications"= 1 (0x1)
.
R2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [2011-11-06 366152]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [2011-11-06 20552]
.
--- Inne Usługi/Sterowniki w Pamięci ---
.
*NewlyCreated* - ALG
*NewlyCreated* - IPNAT
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
zuegak
eesdzel
.
.
------- Skan uzupełniający -------
.
TCP: DhcpNameServer = 94.251.160.14 94.251.182.11
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\Marcin S\Dane aplikacji\Mozilla\Firefox\Profiles\zd1in4py.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.wp.pl
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-11-11 21:06
Windows 5.1.2600 Dodatek Service Pack. 1 NTFS
.
skanowanie ukrytych procesów ... 
.
skanowanie ukrytych wpisów autostartu ...
.
skanowanie ukrytych plików ... 
.
skanowanie pomyślnie ukończone
ukryte pliki: 0
.
**************************************************************************
.
--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------
.
- - - - - - - > 'winlogon.exe'(596)
c:\windows\System32\ODBC32.dll
.
- - - - - - - > 'lsass.exe'(652)
c:\windows\System32\dssenh.dll
.
- - - - - - - > 'explorer.exe'(340)
c:\windows\System32\msi.dll
.
------------------------ Pozostałe uruchomione procesy ------------------------
.
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\System32\RUNDLL32.EXE
c:\windows\System32\nvsvc32.exe
c:\windows\System32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Czas ukończenia: 2011-11-11  21:10:22 - komputer został uruchomiony ponownie
ComboFix-quarantined-files.txt  2011-11-11 20:10
.
Przed: 33 615 400 960 bajtów wolnych
Po: 33 563 365 376 bajtów wolnych
.
winxpsp1_pl_pro_bf.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect
.
- - End Of File - - 85D5C1F374F8DAC25EAE399244F7C386


Gmer
Kod: Zaznacz wszystko
GMER 1.0.15.15641 - http://www.gmer.net
Rootkit scan 2011-11-11 20:38:34
Windows 5.1.2600 Dodatek Service Pack. 1 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-4 WDC_WD800BB-00JHA0 rev.05.01C05
Running: xqoj0mst.exe; Driver: C:\DOCUME~1\MARCIN~1\USTAWI~1\Temp\pxtdypog.sys


---- System - GMER 1.0.15 ----

SSDT   \??\C:\WINDOWS\System32\drivers\mbam.sys (Malwarebytes' Anti-Malware/Malwarebytes Corporation)  ZwCreateSection [0xF04C8010]

---- Kernel code sections - GMER 1.0.15 ----

.text  ntoskrnl.exe!KeInitializeInterrupt + B67                                                        804DA23C 1 Byte  [06]
.text  ntoskrnl.exe!KeI386Call16BitCStyleFunction + 1D4                                                80502650 4 Bytes  [10, 80, 4C, F0]
.text  C:\WINDOWS\System32\DRIVERS\nv4_mini.sys                                                        section is writeable [0xF751C340, 0x121A5F, 0xF8000020]
.text  C:\WINDOWS\System32\nv4_disp.dll                                                                section is writeable [0xBF9BB380, 0x25BA81, 0xF8000020]

---- User code sections - GMER 1.0.15 ----

.text  C:\WINDOWS\System32\svchost.exe[864] ntdll.dll!NtQueryInformationProcess                        77F76035 5 Bytes  JMP 0175ADBD
.text  C:\WINDOWS\System32\svchost.exe[864] NETAPI32.dll!NetpwPathCanonicalize                         71BD2B51 5 Bytes  JMP 0175AD54
.text  C:\WINDOWS\System32\svchost.exe[1024] ntdll.dll!NtQueryInformationProcess                       77F76035 5 Bytes  JMP 008AADBD
.text  C:\Program Files\Mozilla Firefox\firefox.exe[3000] ntdll.dll!LdrLoadDll                         77F55669 5 Bytes  JMP 01262EC0 C:\Program Files\Mozilla Firefox\xul.dll (Mozilla Foundation)

---- Disk sectors - GMER 1.0.15 ----

Disk   \Device\Harddisk0\DR0                                                                           PE file @ sector 156296385

---- EOF - GMER 1.0.15 ----

MBAM
Kod: Zaznacz wszystko
Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Wersja bazy: 8140

Windows 5.1.2600 Dodatek Service Pack. 1
Internet Explorer 6.0.2800.1106

2011-11-11 20:52:04
mbam-log-2011-11-11 (20-52-04).txt

Typ skanowania: Szybkie skanowanie
Przeskanowano obiektów: 142763
Upłynęło: 4 minut(y), 34 sekund(y)

Zainfekowanych procesów w pamięci: 0
Zainfekowanych modułów w pamięci: 0
Zainfekowanych kluczy rejestru: 0
Zainfekowanych wartości rejestru: 0
Zainfekowane informacje rejestru systemowego: 0
Zainfekowanych folderów: 0
Zainfekowanych plików: 0

Zainfekowanych procesów w pamięci:
(Nie znaleziono zagrożeń)

Zainfekowanych modułów w pamięci:
(Nie znaleziono zagrożeń)

Zainfekowanych kluczy rejestru:
(Nie znaleziono zagrożeń)

Zainfekowanych wartości rejestru:
(Nie znaleziono zagrożeń)

Zainfekowane informacje rejestru systemowego:
(Nie znaleziono zagrożeń)

Zainfekowanych folderów:
(Nie znaleziono zagrożeń)

Zainfekowanych plików:
(Nie znaleziono zagrożeń)

OTL
http://www.wklej.org/id/625599/

Dodano Dzisiaj, 21:29:
MBAM co rusz pokazuję "dymek", że zablokował dostęp do podejrzanej strony, typ wychodzący. Są to różne adresy IP.
ms741
~user
 
Posty: 9
Dołączenie: 06 Lis 2011, 18:56



Brak możliwości pobrania pliku, infekcja, proszę o pomoc.

Postprzez wojtas 12 Lis 2011, 16:40

Mbama puść na pełne skanowanie...

pobierz i zapisz na C
http://www.sendspace.com/file/ux97sn

Otworz notatnik i wklej w nim to:

File::
C:\WINDOWS\system32\trmnki.dll

FCopy::
c:\qmgr.dll | c:\windows\system32\dllcache\qmgr.dll
c:\qmgr.dll | c:\windows\system32\qmgr.dll

Driver::
nxdrqnir

NetSvc::
zuegak
eesdzel



>>Plik>>Zapisz jako... >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
-->Image
Rozpocznie się usuwanie i powstanie log zapisz sobie go :)

zabezpieczasz kompa:
http://www.programosy.pl/program,windows-xp-service-pack-3.html
http://www.programosy.pl/program,internet-explorer-8.html

i dopiero wtedy dajesz zapisanego loga z Combo i nowego z OTL
Image
Awatar użytkownika
wojtas
*mod
 
Posty: 18099
Dołączenie: 13 Sty 2006, 16:00
Miejscowość: Krzeszyce
Pochwały: 1651



Brak możliwości pobrania pliku, infekcja, proszę o pomoc.

Postprzez ms741 13 Lis 2011, 01:18

Witam, zapisałem podany plik na dysku C. Niestety nie mogę pobrać SP3 i tego nowego Explorera.. :( pokazuje się błąd wczytywania strony.. generalnie żadnych plików nie mogę ściągnąć.

poniżej log:
Kod: Zaznacz wszystko
ComboFix 11-11-08.02 - Marcin S 2011-11-12  23:57:55.2.1 - x86
Microsoft Windows XP Professional  5.1.2600.1.1250.48.1045.18.1023.685 [GMT 1:00]
Uruchomiony z: c:\documents and settings\Marcin S\Moje dokumenty\Antywirusowe itd\ComboFix.exe
Użyto następujących komend :: c:\documents and settings\Marcin S\Pulpit\CFScript.txt
.
FILE ::
"c:\windows\system32\trmnki.dll"
.
.
(((((((((((((((((((((((((((((((((((((((   Usunięto   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
C:\qmgr.dll
c:\windows\system32\trmnki.dll
.
.
--------------- FCopy ---------------
.
c:\qmgr.dll --> c:\windows\system32\dllcache\qmgr.dll
c:\qmgr.dll --> c:\windows\system32\qmgr.dll
.
(((((((((((((((((((((((((((((((((((((((   Sterowniki/Usługi   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_mfunqiwbt
-------\Service_mfunqiwbt
.
.
(((((((((((((((((((((((((   Pliki utworzone od 2011-10-12 do 2011-11-12  )))))))))))))))))))))))))))))))
.
.
2011-11-06 20:31 . 2011-11-06 20:31   --------   d-----w-   C:\_OTL
2011-11-06 15:18 . 2011-11-06 15:18   --------   d-----w-   C:\NVIDIA
.
.
.
((((((((((((((((((((((((((((((((((((((((   Sekcja Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-11-05 07:31 . 2011-11-06 15:39   134104   ----a-w-   c:\program files\mozilla firefox\components\browsercomps.dll
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[-] 2011-11-12 . A6BFD910074B02C8794FC65F39CC6B28 . 382464 . . [6.6.2600.2180] . . c:\windows\system32\qmgr.dll
[-] 2011-11-12 . A6BFD910074B02C8794FC65F39CC6B28 . 382464 . . [6.6.2600.2180] . . c:\windows\system32\dllcache\qmgr.dll
[7] 2002-09-20 . 7778B79E6DE07A92A2E545CA04660196 . 221696 . . [6.2.2600.1106] . . c:\windows\ERDNT\cache\qmgr.dll
.
[-] 2003-05-30 08:00 . 7BA80564F369A96AF84E3AA27E75E90B . 1634304 . . [5.3.0000001.902 built by: DIRECTX] . . c:\windows\system32\d3d9.dll
.
(((((((((((((((((((((((((((((   SnapShot@2011-11-11_20.06.25   )))))))))))))))))))))))))))))))))))))))))
.
+ 2011-11-12 23:04 . 2011-11-12 23:04   16384              c:\windows\Temp\Perflib_Perfdata_7d0.dat
+ 2001-10-26 16:15 . 2011-11-12 23:02   49492              c:\windows\system32\perfc015.dat
+ 2001-08-17 21:30 . 2011-11-12 23:02   39992              c:\windows\system32\perfc009.dat
+ 2011-11-06 14:38 . 2011-11-12 23:04   32768              c:\windows\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat
- 2011-11-06 14:38 . 2011-11-11 20:05   32768              c:\windows\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat
- 2011-11-06 14:38 . 2011-11-11 20:05   32768              c:\windows\system32\config\systemprofile\Ustawienia lokalne\Historia\History.IE5\index.dat
+ 2011-11-06 14:38 . 2011-11-12 23:04   32768              c:\windows\system32\config\systemprofile\Ustawienia lokalne\Historia\History.IE5\index.dat
- 2011-11-06 14:38 . 2011-11-11 20:05   16384              c:\windows\system32\config\systemprofile\Cookies\index.dat
+ 2011-11-06 14:38 . 2011-11-12 23:04   16384              c:\windows\system32\config\systemprofile\Cookies\index.dat
+ 2001-10-26 16:15 . 2011-11-12 23:02   355486              c:\windows\system32\perfh015.dat
+ 2001-08-17 21:30 . 2011-11-12 23:02   311604              c:\windows\system32\perfh009.dat
.
(((((((((((((((((((((((((((((((((((((   Wpisy startowe rejestru   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvMediaCenter"="c:\windows\System32\NVMCTRAY.DLL" [2003-10-06 49152]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2003-10-06 5058560]
"nwiz"="nwiz.exe" [2003-10-06 741376]
"Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2011-08-31 449608]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-05-14 248552]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2011-06-06 937920]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2002-09-20 13312]
.
c:\documents and settings\All Users\Menu Start\Programy\Autostart\
Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableNotifications"= 1 (0x1)
.
R2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [2011-11-06 366152]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [2011-11-06 20552]
S2 mfunqiwbt;Manager Shell;c:\windows\system32\svchost.exe -k netsvcs [2001-10-26 12800]
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
mfunqiwbt
wjkayd
.
.
------- Skan uzupełniający -------
.
TCP: DhcpNameServer = 94.251.160.14 94.251.182.11
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\Marcin S\Dane aplikacji\Mozilla\Firefox\Profiles\zd1in4py.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.wp.pl
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-11-13 00:04
Windows 5.1.2600 Dodatek Service Pack. 1 NTFS
.
skanowanie ukrytych procesów ... 
.
skanowanie ukrytych wpisów autostartu ...
.
skanowanie ukrytych plików ... 
.
.
c:\windows\system32\trmnki.dll 158687 bytes executable
.
skanowanie pomyślnie ukończone
ukryte pliki: 1
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mfunqiwbt]
"ServiceDll"="c:\windows\System32\trmnki.dll"
--
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wjkayd]
"ServiceDll"="c:\windows\System32\trmnki.dll"
.
--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------
.
- - - - - - - > 'winlogon.exe'(580)
c:\windows\System32\ODBC32.dll
.
- - - - - - - > 'lsass.exe'(636)
c:\windows\System32\dssenh.dll
.
- - - - - - - > 'explorer.exe'(640)
c:\windows\System32\msi.dll
.
------------------------ Pozostałe uruchomione procesy ------------------------
.
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\System32\RUNDLL32.EXE
c:\windows\System32\nvsvc32.exe
c:\windows\System32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Czas ukończenia: 2011-11-13  00:08:45 - komputer został uruchomiony ponownie
ComboFix-quarantined-files.txt  2011-11-12 23:08
ComboFix2.txt  2011-11-11 20:10
.
Przed: 33 481 314 304 bajtów wolnych
Po: 33 546 043 392 bajtów wolnych
.
- - End Of File - - 6AC3ABBA2CC593499C0B0FA1E2D923C9


Dodano Dzisiaj, 01:45:
Log z OTL'a
http://www.wklej.org/id/626274/

Kod: Zaznacz wszystko
Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Wersja bazy: 8145

Windows 5.1.2600 Dodatek Service Pack. 1
Internet Explorer 6.0.2800.1106

2011-11-13 00:52:45
mbam-log-2011-11-13 (00-52-45).txt

Typ skanowania: Pełne skanowanie (C:\|D:\|)
Przeskanowano obiektów: 161001
Upłynęło: 33 minut(y), 30 sekund(y)

Zainfekowanych procesów w pamięci: 0
Zainfekowanych modułów w pamięci: 0
Zainfekowanych kluczy rejestru: 0
Zainfekowanych wartości rejestru: 0
Zainfekowane informacje rejestru systemowego: 0
Zainfekowanych folderów: 0
Zainfekowanych plików: 0

Zainfekowanych procesów w pamięci:
(Nie znaleziono zagrożeń)

Zainfekowanych modułów w pamięci:
(Nie znaleziono zagrożeń)

Zainfekowanych kluczy rejestru:
(Nie znaleziono zagrożeń)

Zainfekowanych wartości rejestru:
(Nie znaleziono zagrożeń)

Zainfekowane informacje rejestru systemowego:
(Nie znaleziono zagrożeń)

Zainfekowanych folderów:
(Nie znaleziono zagrożeń)

Zainfekowanych plików:
(Nie znaleziono zagrożeń)
ms741
~user
 
Posty: 9
Dołączenie: 06 Lis 2011, 18:56



Brak możliwości pobrania pliku, infekcja, proszę o pomoc.

Postprzez wojtas 13 Lis 2011, 12:52

zabezpiecz porty:
bad-generic-host-process-for-win32-services-vt79489.html

Otworz notatnik i wklej w nim to:

File::
c:\windows\system32\trmnki.dll

Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mfunqiwbt]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wjkayd]

NetSvc::
mfunqiwbt
wjkayd

Driver::
mfunqiwbt



>>Plik>>Zapisz jako... >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
-->Image
Rozpocznie się usuwanie i powstanie log daj go.

czy coś podpinasz bo infekcja ciągle wraca ?
Image
Awatar użytkownika
wojtas
*mod
 
Posty: 18099
Dołączenie: 13 Sty 2006, 16:00
Miejscowość: Krzeszyce
Pochwały: 1651



Brak możliwości pobrania pliku, infekcja, proszę o pomoc.

Postprzez ms741 13 Lis 2011, 15:52

Witam, ściągnąłem Seconfig XP, i zrobiłem wszystko wg. instrukcji. Jeśli chodzi o pytanie, czy coś podpinam, bo rozumiem, że chodzi o jakiś dysk przenośny, to odpowiedź brzmi: nie, nie podłączałem żadnych pendrive'ów.
Log z usuwania
Kod: Zaznacz wszystko
ComboFix 11-11-13.01 - Marcin S 2011-11-13  14:37:57.4.1 - x86
Microsoft Windows XP Professional  5.1.2600.1.1250.48.1045.18.1023.700 [GMT 1:00]
Uruchomiony z: c:\documents and settings\Marcin S\Moje dokumenty\Antywirusowe itd\ComboFix.exe
Użyto następujących komend :: c:\documents and settings\Marcin S\Pulpit\CFScript.txt
.
FILE ::
"c:\windows\system32\trmnki.dll"
.
.
(((((((((((((((((((((((((((((((((((((((   Usunięto   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\system32\trmnki.dll
.
.
(((((((((((((((((((((((((((((((((((((((   Sterowniki/Usługi   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_MFUNQIWBT
-------\Legacy_wjkayd
-------\Service_wjkayd
.
.
(((((((((((((((((((((((((   Pliki utworzone od 2011-10-13 do 2011-11-13  )))))))))))))))))))))))))))))))
.
.
2011-11-06 20:31 . 2011-11-06 20:31   --------   d-----w-   C:\_OTL
2011-11-06 15:18 . 2011-11-06 15:18   --------   d-----w-   C:\NVIDIA
.
.
.
((((((((((((((((((((((((((((((((((((((((   Sekcja Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-11-13 13:17 . 2011-11-13 13:17   38899   ----a-w-   C:\SeconfigXP.zip
2011-11-05 07:31 . 2011-11-06 15:39   134104   ----a-w-   c:\program files\mozilla firefox\components\browsercomps.dll
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[-] 2011-11-12 . A6BFD910074B02C8794FC65F39CC6B28 . 382464 . . [6.6.2600.2180] . . c:\windows\system32\qmgr.dll
[-] 2011-11-12 . A6BFD910074B02C8794FC65F39CC6B28 . 382464 . . [6.6.2600.2180] . . c:\windows\system32\dllcache\qmgr.dll
[7] 2002-09-20 . 7778B79E6DE07A92A2E545CA04660196 . 221696 . . [6.2.2600.1106] . . c:\windows\ERDNT\cache\qmgr.dll
.
[-] 2003-05-30 08:00 . 7BA80564F369A96AF84E3AA27E75E90B . 1634304 . . [5.3.0000001.902 built by: DIRECTX] . . c:\windows\system32\d3d9.dll
.
(((((((((((((((((((((((((((((   SnapShot@2011-11-11_20.06.25   )))))))))))))))))))))))))))))))))))))))))
.
+ 2011-11-13 13:44 . 2011-11-13 13:44   16384              c:\windows\Temp\Perflib_Perfdata_5a4.dat
- 2001-10-26 16:15 . 2011-11-06 15:11   49712              c:\windows\system32\perfc015.dat
+ 2001-10-26 16:15 . 2011-11-13 13:20   49712              c:\windows\system32\perfc015.dat
+ 2001-08-17 21:30 . 2011-11-13 13:20   40128              c:\windows\system32\perfc009.dat
- 2001-08-17 21:30 . 2011-11-06 15:11   40128              c:\windows\system32\perfc009.dat
+ 2011-11-06 14:38 . 2011-11-13 13:19   32768              c:\windows\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat
- 2011-11-06 14:38 . 2011-11-11 20:05   32768              c:\windows\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat
- 2011-11-06 14:38 . 2011-11-11 20:05   32768              c:\windows\system32\config\systemprofile\Ustawienia lokalne\Historia\History.IE5\index.dat
+ 2011-11-06 14:38 . 2011-11-13 13:19   32768              c:\windows\system32\config\systemprofile\Ustawienia lokalne\Historia\History.IE5\index.dat
+ 2011-11-06 14:38 . 2011-11-13 13:19   16384              c:\windows\system32\config\systemprofile\Cookies\index.dat
- 2011-11-06 14:38 . 2011-11-11 20:05   16384              c:\windows\system32\config\systemprofile\Cookies\index.dat
+ 2001-10-26 16:15 . 2011-11-13 13:20   355830              c:\windows\system32\perfh015.dat
- 2001-10-26 16:15 . 2011-11-06 15:11   355830              c:\windows\system32\perfh015.dat
- 2001-08-17 21:30 . 2011-11-06 15:11   311740              c:\windows\system32\perfh009.dat
+ 2001-08-17 21:30 . 2011-11-13 13:20   311740              c:\windows\system32\perfh009.dat
.
(((((((((((((((((((((((((((((((((((((   Wpisy startowe rejestru   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvMediaCenter"="c:\windows\System32\NVMCTRAY.DLL" [2003-10-06 49152]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2003-10-06 5058560]
"nwiz"="nwiz.exe" [2003-10-06 741376]
"Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2011-08-31 449608]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-05-14 248552]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2011-06-06 937920]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2002-09-20 13312]
.
c:\documents and settings\All Users\Menu Start\Programy\Autostart\
Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableNotifications"= 1 (0x1)
.
R2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [2011-11-06 366152]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [2011-11-06 20552]
S2 wjkayd;Manager Network;c:\windows\system32\svchost.exe -k netsvcs [2001-10-26 12800]
.
.
------- Skan uzupełniający -------
.
TCP: DhcpNameServer = 94.251.160.14 94.251.182.11
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\Marcin S\Dane aplikacji\Mozilla\Firefox\Profiles\zd1in4py.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.wp.pl
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-11-13 14:44
Windows 5.1.2600 Dodatek Service Pack. 1 NTFS
.
skanowanie ukrytych procesów ... 
.
skanowanie ukrytych wpisów autostartu ...
.
skanowanie ukrytych plików ... 
.
skanowanie pomyślnie ukończone
ukryte pliki: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wjkayd]
"ServiceDll"="c:\windows\System32\trmnki.dll"
.
--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------
.
- - - - - - - > 'winlogon.exe'(588)
c:\windows\System32\ODBC32.dll
.
- - - - - - - > 'lsass.exe'(644)
c:\windows\System32\dssenh.dll
.
- - - - - - - > 'explorer.exe'(1132)
c:\windows\System32\msi.dll
.
------------------------ Pozostałe uruchomione procesy ------------------------
.
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\System32\nvsvc32.exe
c:\windows\System32\wbem\wmiapsrv.exe
c:\windows\System32\RUNDLL32.EXE
.
**************************************************************************
.
Czas ukończenia: 2011-11-13  14:48:04 - komputer został uruchomiony ponownie
ComboFix-quarantined-files.txt  2011-11-13 13:48
ComboFix2.txt  2011-11-13 13:30
ComboFix3.txt  2011-11-12 23:08
ComboFix4.txt  2011-11-11 20:10
.
Przed: 33 521 475 584 bajtów wolnych
Po: 33 512 931 328 bajtów wolnych
.
- - End Of File - - 7E7810CFB55F78B3F0510A45E9BE6DD1
ms741
~user
 
Posty: 9
Dołączenie: 06 Lis 2011, 18:56



Brak możliwości pobrania pliku, infekcja, proszę o pomoc.

Postprzez wojtas 13 Lis 2011, 17:30

czy użyłeś wwdc ??

czy możesz pobrać i zainstalować ?

http://www.programosy.pl/program,avast-home.html
Otworz notatnik i wklej w nim to:

File::
c:\windows\system32\trmnki.dll

Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wjkayd]

Driver::
wjkayd

NetSvc::
wjkayd



>>Plik>>Zapisz jako... >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
-->Image
Rozpocznie się usuwanie i powstanie log daj go.
Image
Awatar użytkownika
wojtas
*mod
 
Posty: 18099
Dołączenie: 13 Sty 2006, 16:00
Miejscowość: Krzeszyce
Pochwały: 1651



Brak możliwości pobrania pliku, infekcja, proszę o pomoc.

Postprzez ms741 14 Lis 2011, 00:57

Cześć. Tak, użyłem WWDC. Jakimś cudem udało mi się także ściągnąć Avasta i go zainstalować, jednak po ponownym uruchomieniu, nie mogłem odpalić kompa. Wystąpił ten sam problem, który opisywałem w pierwszym moim poście w tym temacie. System się uruchamiał, i nagle "pyk" i restart, i tak w kółko. Poprzez tryb awaryjny, wszedłem i odinstalowałem Avasta, udało mi się zalogować do systemu.

Kod: Zaznacz wszystko
ComboFix 11-11-13.03 - Marcin S 2011-11-13  23:23:40.5.1 - x86
Microsoft Windows XP Professional  5.1.2600.1.1250.48.1045.18.1023.722 [GMT 1:00]
Uruchomiony z: c:\documents and settings\Marcin S\Moje dokumenty\Antywirusowe itd\ComboFix.exe
Użyto następujących komend :: c:\documents and settings\Marcin S\Pulpit\CFScript.txt
.
FILE ::
"c:\windows\system32\trmnki.dll"
.
.
(((((((((((((((((((((((((((((((((((((((   Usunięto   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
(((((((((((((((((((((((((((((((((((((((   Sterowniki/Usługi   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_WJKAYD
-------\Service_wjkayd
.
.
(((((((((((((((((((((((((   Pliki utworzone od 2011-10-13 do 2011-11-13  )))))))))))))))))))))))))))))))
.
.
2011-11-06 20:31 . 2011-11-06 20:31   --------   d-----w-   C:\_OTL
2011-11-06 15:18 . 2011-11-06 15:18   --------   d-----w-   C:\NVIDIA
.
.
.
((((((((((((((((((((((((((((((((((((((((   Sekcja Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-11-13 13:17 . 2011-11-13 13:17   38899   ----a-w-   C:\SeconfigXP.zip
2011-11-05 07:31 . 2011-11-06 15:39   134104   ----a-w-   c:\program files\mozilla firefox\components\browsercomps.dll
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[-] 2011-11-12 . A6BFD910074B02C8794FC65F39CC6B28 . 382464 . . [6.6.2600.2180] . . c:\windows\system32\qmgr.dll
[-] 2011-11-12 . A6BFD910074B02C8794FC65F39CC6B28 . 382464 . . [6.6.2600.2180] . . c:\windows\system32\dllcache\qmgr.dll
[7] 2002-09-20 . 7778B79E6DE07A92A2E545CA04660196 . 221696 . . [6.2.2600.1106] . . c:\windows\ERDNT\cache\qmgr.dll
.
[-] 2003-05-30 08:00 . 7BA80564F369A96AF84E3AA27E75E90B . 1634304 . . [5.3.0000001.902 built by: DIRECTX] . . c:\windows\system32\d3d9.dll
.
(((((((((((((((((((((((((((((   SnapShot@2011-11-11_20.06.25   )))))))))))))))))))))))))))))))))))))))))
.
+ 2011-11-13 22:30 . 2011-11-13 22:30   16384              c:\windows\Temp\Perflib_Perfdata_604.dat
- 2001-10-26 16:15 . 2011-11-06 15:11   49712              c:\windows\system32\perfc015.dat
+ 2001-10-26 16:15 . 2011-11-13 13:20   49712              c:\windows\system32\perfc015.dat
- 2001-08-17 21:30 . 2011-11-06 15:11   40128              c:\windows\system32\perfc009.dat
+ 2001-08-17 21:30 . 2011-11-13 13:20   40128              c:\windows\system32\perfc009.dat
- 2011-11-06 14:38 . 2011-11-11 20:05   32768              c:\windows\system32\config\systemprofile\Ustawienia lokalne\Historia\History.IE5\index.dat
+ 2011-11-06 14:38 . 2011-11-13 20:10   32768              c:\windows\system32\config\systemprofile\Ustawienia lokalne\Historia\History.IE5\index.dat
+ 2011-11-13 20:10 . 2011-11-13 20:10   16384              c:\windows\system32\config\systemprofile\Cookies\index.dat
- 2011-11-06 14:38 . 2011-11-11 20:05   16384              c:\windows\system32\config\systemprofile\Cookies\index.dat
+ 2011-11-06 14:35 . 2011-11-13 20:10   2410              c:\windows\PCHealth\HelpCtr\PackageStore\SkuStore.bin
+ 2001-10-26 16:15 . 2011-11-13 13:20   355830              c:\windows\system32\perfh015.dat
- 2001-10-26 16:15 . 2011-11-06 15:11   355830              c:\windows\system32\perfh015.dat
+ 2001-08-17 21:30 . 2011-11-13 13:20   311740              c:\windows\system32\perfh009.dat
- 2001-08-17 21:30 . 2011-11-06 15:11   311740              c:\windows\system32\perfh009.dat
+ 2011-11-13 22:13 . 2011-11-13 22:13   262144              c:\windows\system32\config\systemprofile\NtUser.dat
.
(((((((((((((((((((((((((((((((((((((   Wpisy startowe rejestru   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvMediaCenter"="c:\windows\System32\NVMCTRAY.DLL" [2003-10-06 49152]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2003-10-06 5058560]
"nwiz"="nwiz.exe" [2003-10-06 741376]
"Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2011-08-31 449608]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-05-14 248552]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2011-06-06 937920]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2002-09-20 13312]
.
c:\documents and settings\All Users\Menu Start\Programy\Autostart\
Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableNotifications"= 1 (0x1)
.
R2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [2011-11-06 366152]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [2011-11-06 20552]
.
.
------- Skan uzupełniający -------
.
TCP: DhcpNameServer = 94.251.160.14 94.251.182.11
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\Marcin S\Dane aplikacji\Mozilla\Firefox\Profiles\zd1in4py.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.onet.pl/
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-11-13 23:30
Windows 5.1.2600 Dodatek Service Pack. 1 NTFS
.
skanowanie ukrytych procesów ... 
.
skanowanie ukrytych wpisów autostartu ...
.
skanowanie ukrytych plików ... 
.
skanowanie pomyślnie ukończone
ukryte pliki: 0
.
**************************************************************************
.
--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------
.
- - - - - - - > 'winlogon.exe'(588)
c:\windows\System32\ODBC32.dll
.
- - - - - - - > 'lsass.exe'(644)
c:\windows\System32\dssenh.dll
.
- - - - - - - > 'explorer.exe'(1376)
c:\windows\System32\msi.dll
.
------------------------ Pozostałe uruchomione procesy ------------------------
.
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\System32\nvsvc32.exe
c:\windows\System32\wbem\wmiapsrv.exe
c:\windows\System32\RUNDLL32.EXE
.
**************************************************************************
.
Czas ukończenia: 2011-11-13  23:34:30 - komputer został uruchomiony ponownie
ComboFix-quarantined-files.txt  2011-11-13 22:34
ComboFix2.txt  2011-11-13 13:48
ComboFix3.txt  2011-11-13 13:30
ComboFix4.txt  2011-11-12 23:08
ComboFix5.txt  2011-11-13 22:21
.
Przed: 33 174 798 336 bajtów wolnych
Po: 33 167 818 752 bajtów wolnych
.
- - End Of File - - 2FC6C04907D0476662F7EB51200B3506
ms741
~user
 
Posty: 9
Dołączenie: 06 Lis 2011, 18:56



Brak możliwości pobrania pliku, infekcja, proszę o pomoc.

Postprzez wojtas 14 Lis 2011, 10:53

daj jeszcze nowego loga z OTL i Gmera
Image
Awatar użytkownika
wojtas
*mod
 
Posty: 18099
Dołączenie: 13 Sty 2006, 16:00
Miejscowość: Krzeszyce
Pochwały: 1651



Brak możliwości pobrania pliku, infekcja, proszę o pomoc.

Postprzez ms741 14 Lis 2011, 12:01

OTL
http://wklej.org/id/627019/

Gmer
Kod: Zaznacz wszystko
GMER 1.0.15.15641 - http://www.gmer.net
Rootkit scan 2011-11-14 10:53:17
Windows 5.1.2600 Dodatek Service Pack. 1 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-4 WDC_WD800BB-00JHA0 rev.05.01C05
Running: xqoj0mst.exe; Driver: C:\DOCUME~1\MARCIN~1\USTAWI~1\Temp\pxtdypog.sys


---- System - GMER 1.0.15 ----

SSDT   \??\C:\WINDOWS\System32\drivers\mbam.sys (Malwarebytes' Anti-Malware/Malwarebytes Corporation)  ZwCreateSection [0xF0561010]

---- Kernel code sections - GMER 1.0.15 ----

.text  ntoskrnl.exe!KeInitializeInterrupt + B67                                                        804DA23C 1 Byte  [06]
.text  ntoskrnl.exe!KeI386Call16BitCStyleFunction + 1D4                                                80502650 4 Bytes  [10, 10, 56, F0]
.text  C:\WINDOWS\System32\DRIVERS\nv4_mini.sys                                                        section is writeable [0xF751C340, 0x121A5F, 0xF8000020]
.text  C:\WINDOWS\System32\nv4_disp.dll                                                                section is writeable [0xBF9BB380, 0x25BA81, 0xF8000020]

---- User code sections - GMER 1.0.15 ----

.text  C:\Program Files\Mozilla Firefox\firefox.exe[1036] ntdll.dll!LdrLoadDll                         77F55669 5 Bytes  JMP 01262EC0 C:\Program Files\Mozilla Firefox\xul.dll (Mozilla Foundation)

---- Disk sectors - GMER 1.0.15 ----

Disk   \Device\Harddisk0\DR0                                                                           PE file @ sector 156296385

---- EOF - GMER 1.0.15 ----
ms741
~user
 
Posty: 9
Dołączenie: 06 Lis 2011, 18:56



Brak możliwości pobrania pliku, infekcja, proszę o pomoc.

Postprzez wojtas 15 Lis 2011, 23:00

brak śladów wirusa...


Uruchom OTL i w sekcji własne opcje skanowania / skrypt wklej:

:OTL
SRV - File not found [On_Demand | Stopped] -- -- (xmlprov)
SRV - File not found [Auto | Stopped] -- -- (wscsvc)
O16 - DPF: DirectAnimation Java Classes file://C:\WINDOWS\Java\classes\dajava.cab (Reg Error: Key error.)
O16 - DPF: Microsoft XML Parser for Java file://C:\WINDOWS\Java\classes\xmldso.cab (Reg Error: Key error.)

:Commands
[emptytemp]
[emptyflash]


Kliknij wykonaj skrypt. I potwierdź reset komputera .

zrób aktualizację Mbama i zapuść pełne skanowanie
Image
Awatar użytkownika
wojtas
*mod
 
Posty: 18099
Dołączenie: 13 Sty 2006, 16:00
Miejscowość: Krzeszyce
Pochwały: 1651




Powróć do Bezpieczeństwo

Kto jest na forum

Użytkownicy przeglądający to forum: Brak zarejestrowanych użytkowników oraz 6 gości