Pozostalosc po cafeini oraz inne

[toksycznosc]

witam wszystkich
oczywiscie przectawiam loga po "usunieciu"(?) tego wirusa przez antywirusa Kaspersky 2009
jenak znalazlo sie przy okazji pare innych smieci np game.keyloger i tym podobne
maszyna strasznie teraz zamula tzn nawet sama przegladarka sie zacina przy przegladaniu stron, no i jeszcze deser czyli brak mozliwosc otwarcia dysku przez dwuklik (jedny opcja to exploruj) znalazlem rozwiazanie na to,jednak po zaznaczniu opcji "pokaz ukryte foldery i pliki" oraz wcisnieciu zastosuj system jak by sie odswiezal i sam przestawia na "ukryj..."

Kod: Zaznacz wszystko

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:07:45, on 2009-02-23
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\system32\RUNDLL32.EXE
D:\WINDOWS\SOUNDMAN.EXE
D:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Program Files\OpenOffice.org 3\program\soffice.exe
D:\Program Files\OpenOffice.org 3\program\soffice.bin
D:\Program Files\Bonjour\mDNSResponder.exe
D:\Program Files\BurnAware Free\nmsaccessu.exe
D:\WINDOWS\system32\nvsvc32.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\wscntfy.exe
D:\Program Files\Opera\opera.exe
D:\Documents and Settings\Wasali\Pulpit\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\ievkbd.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [AVP] "D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Statystyki ochrony WWW - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - D:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: D:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,D:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - D:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - D:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: NMSAccessU - Unknown owner - D:\Program Files\BurnAware Free\nmsaccessu.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe

--
End of file - 3821 bytes

ops ale gafa zapomnialem o ComboFix oto i on

Kod: Zaznacz wszystko

ComboFix 09-02-21.01 - Wasali 2009-02-23 18:38:36.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1250.1.1045.18.511.237 [GMT 1:00]
Uruchomiony z: d:\documents and settings\Wasali\Ustawienia lokalne\Dane aplikacji\Opera\Opera\profile\cache4\temporary_download\ComboFix.exe
AV: Kaspersky Anti-Virus *On-access scanning disabled* (Updated)
* Utworzono nowy punkt przywracania
.

(((((((((((((((((((((((((((((((((((((((   Usunięto   )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Autorun.inf
d:\windows\system32\_000110_.tmp.dll
d:\windows\system32\nmdfgds0.dll
d:\windows\system32\nmdfgds1.dll

.
(((((((((((((((((((((((((   Pliki utworzone od 2009-01-23 do 2009-02-23  )))))))))))))))))))))))))))))))
.

2009-02-23 18:31 . 2009-02-23 18:31   <DIR>   d--------   d:\windows\ERUNT
2009-02-23 18:31 . 2009-02-23 18:31   <DIR>   d--------   D:\ERDNT
2009-02-23 18:31 . 2009-02-23 18:31   <DIR>   d--------   D:\!FixIEDef
2009-02-22 22:07 . 2009-02-22 22:07   <DIR>   d--------   D:\Nexon
2009-02-22 22:07 . 2009-02-22 22:07   <DIR>   d--------   d:\documents and settings\All Users\Dane aplikacji\NexonEU
2009-02-22 12:45 . 2009-02-22 12:45   <DIR>   d--------   d:\documents and settings\Wasali\Dane aplikacji\Malwarebytes
2009-02-22 12:45 . 2009-02-22 12:45   <DIR>   d--------   d:\documents and settings\All Users\Dane aplikacji\Malwarebytes
2009-02-22 02:59 . 2009-02-22 02:59   <DIR>   d--------   d:\program files\HyCam2
2009-02-21 21:07 . 2009-02-21 21:23   101,287   --a------   d:\windows\system32\drivers\klin.dat
2009-02-21 21:07 . 2009-02-21 21:23   89,601   --a------   d:\windows\system32\drivers\klick.dat
2009-02-21 21:06 . 2009-02-21 21:06   <DIR>   d--------   d:\program files\Kaspersky Lab
2009-02-21 21:06 . 2009-02-23 18:41   <DIR>   d--------   d:\documents and settings\All Users\Dane aplikacji\Kaspersky Lab
2009-02-21 21:06 . 2009-02-23 18:40   1,387,040   --ahs----   d:\windows\system32\drivers\fidbox.dat
2009-02-21 21:06 . 2009-02-23 18:41   344,096   --ahs----   d:\windows\system32\drivers\fidbox2.dat
2009-02-21 21:06 . 2009-02-23 18:40   12,964   --ahs----   d:\windows\system32\drivers\fidbox.idx
2009-02-21 21:06 . 2009-02-23 18:41   3,304   --ahs----   d:\windows\system32\drivers\fidbox2.idx
2009-02-21 21:05 . 2009-02-21 21:05   <DIR>   d--------   d:\documents and settings\All Users\Dane aplikacji\Kaspersky Lab Setup Files
2009-02-20 23:31 . 2009-02-20 23:31   <DIR>   d--------   d:\documents and settings\Wasali\temp
2009-02-20 23:31 . 2009-02-20 23:43   <DIR>   d--------   d:\documents and settings\Wasali\Dane aplikacji\TeamViewer
2009-02-20 18:08 . 2009-02-20 18:08   <DIR>   d--------   d:\program files\BurnAware Free
2009-02-20 18:08 . 2004-05-04 11:53   1,645,320   --a------   d:\windows\system32\gdiplus.dll
2009-02-18 15:47 . 2009-02-18 15:47   0   --a------   d:\windows\nsreg.dat
2009-02-17 20:53 . 2004-08-03 23:07   59,264   --a------   d:\windows\system32\drivers\USBAUDIO.sys
2009-02-17 20:53 . 2004-08-03 23:07   59,264   --a--c---   d:\windows\system32\dllcache\usbaudio.sys
2009-02-17 20:53 . 2004-08-04 00:44   21,504   --a------   d:\windows\system32\hidserv.dll
2009-02-17 20:53 . 2004-08-04 00:44   21,504   --a--c---   d:\windows\system32\dllcache\hidserv.dll
2009-02-17 00:33 . 2009-02-17 00:33   <DIR>   d--------   d:\program files\Bonjour
2009-02-17 00:25 . 2009-02-17 00:25   <DIR>   d--------   d:\program files\Common Files\Macrovision Shared
2009-02-17 00:22 . 2009-02-17 00:34   <DIR>   d--------   d:\program files\Common Files\Adobe
2009-02-15 16:04 . 2009-02-15 16:04   <DIR>   d--h-----   D:\BJPrinter
2009-02-15 16:04 . 2004-04-23 16:00   116,736   --a------   d:\windows\system32\CNMLM5y.DLL
2009-02-15 16:04 . 2004-03-12 03:06   86,016   ---------   d:\windows\system32\CNMCP5y.exe
2009-02-15 16:04 . 2004-03-12 03:06   86,016   -ra------   d:\windows\system32\cnm2DC.tmp
2009-02-15 16:04 . 2004-04-23 16:00   7,680   --a------   d:\windows\system32\CNMVS5y.DLL
2009-02-15 15:24 . 2004-08-03 23:01   25,856   --a------   d:\windows\system32\drivers\usbprint.sys
2009-02-15 15:24 . 2004-08-03 23:01   25,856   --a--c---   d:\windows\system32\dllcache\usbprint.sys
2009-02-15 14:22 . 2009-02-15 14:22   <DIR>   d--------   d:\documents and settings\Wasali\Dane aplikacji\OpenOffice.org
2009-02-15 14:15 . 2009-02-15 14:15   <DIR>   d--------   d:\program files\OpenOffice.org 3
2009-02-11 19:39 . 2009-02-11 19:39   <DIR>   d--------   d:\program files\CCleaner
2009-02-11 13:12 . 2009-02-11 13:13   <DIR>   d--------   d:\program files\4Musics Multiformat Converter
2009-02-11 13:12 . 2003-03-19 09:19   1,060,864   --a------   d:\windows\system32\MFC71.dll
2009-02-11 13:12 . 2003-03-19 06:14   499,712   --a------   d:\windows\system32\msvcp71.dll
2009-02-11 13:12 . 2003-02-21 04:42   348,160   --a------   d:\windows\system32\msvcr71.dll
2009-02-11 13:12 . 2007-11-01 17:53   42,880   --a------   d:\windows\system32\drivers\vacs2xkd.sys
2009-02-11 13:12 . 2001-03-17 21:34   22,528   --a------   d:\windows\system32\WNASPI32.DLL
2009-02-11 13:12 . 2002-07-17 08:05   16,512   --a------   d:\windows\system32\drivers\ASPI32.SYS
2009-02-11 12:46 . 2009-02-11 12:46   <DIR>   d--------   d:\program files\Audacity 1.3 Beta (Unicode)
2009-02-11 12:46 . 2009-02-23 01:26   <DIR>   d--------   d:\documents and settings\Wasali\Dane aplikacji\Audacity
2009-02-09 20:30 . 2009-02-09 20:39   <DIR>   d--------   d:\program files\Dziobas Rar Player
2009-02-05 07:17 . 2004-08-03 23:08   31,616   --a------   d:\windows\system32\drivers\usbccgp.sys
2009-02-05 07:17 . 2004-08-03 23:08   31,616   --a--c---   d:\windows\system32\dllcache\usbccgp.sys
2009-02-03 15:14 . 2009-02-20 00:47   <DIR>   d--------   d:\program files\Tasker
2009-02-03 00:46 . 2002-02-08 23:00   <DIR>   d--------   d:\program files\AV Vcs 6.0 DIAMOND
2009-01-30 14:47 . 2009-01-30 14:47   <DIR>   d--------   d:\documents and settings\All Users\Dane aplikacji\nView_Profiles
2009-01-26 16:22 . 2009-02-21 04:55   <DIR>   d--------   d:\program files\SplitCam
2009-01-26 16:10 . 2004-08-04 00:44   159,232   --a------   d:\windows\system32\ptpusd.dll
2009-01-26 16:10 . 2004-08-03 22:58   15,104   --a------   d:\windows\system32\drivers\usbscan.sys
2009-01-26 16:10 . 2004-08-03 22:58   15,104   --a--c---   d:\windows\system32\dllcache\usbscan.sys
2009-01-26 16:10 . 2001-10-26 17:29   5,632   --a------   d:\windows\system32\ptpusb.dll
2009-01-26 05:52 . 2009-01-26 05:52   <DIR>   d--------   d:\windows\Sun
2009-01-26 05:51 . 2007-07-12 02:22   69,632   --a------   d:\windows\system32\javacpl.cpl
2009-01-26 05:50 . 2009-01-26 05:51   <DIR>   d--------   d:\program files\Java
2009-01-26 05:49 . 2009-01-26 05:49   <DIR>   d--------   d:\program files\Common Files\Java
2009-01-25 15:14 . 2009-01-26 00:54   <DIR>   d--------   d:\program files\Winamp
2009-01-25 15:14 . 2009-02-07 19:00   <DIR>   d--------   d:\documents and settings\Wasali\Dane aplikacji\Winamp
2009-01-25 03:09 . 2009-01-25 03:09   <DIR>   d--------   d:\documents and settings\Wasali\Dane aplikacji\Gadu-Gadu
2009-01-25 01:47 . 2009-01-25 01:47   <DIR>   d--------   d:\windows\system32\Lang
2009-01-25 01:47 . 2009-01-25 01:47   940,794   --a------   d:\windows\system32\LoopyMusic.wav
2009-01-25 01:47 . 2009-01-25 01:47   146,650   --a------   d:\windows\system32\BuzzingBee.wav
2009-01-25 01:26 . 2009-01-25 18:37   <DIR>   d--------   d:\program files\Valve

.
((((((((((((((((((((((((((((((((((((((((   Sekcja Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-23 17:05   ---------   d-----w   d:\documents and settings\Wasali\Dane aplikacji\Skype
2009-02-23 15:09   ---------   d-----w   d:\documents and settings\Wasali\Dane aplikacji\skypePM
2009-02-21 20:23   33,808   ----a-w   d:\windows\system32\drivers\klbg.sys
2009-02-21 11:27   107,796   --sha-r   d:\windows\system32\ditop.exe
2009-02-07 11:17   ---------   d-----w   d:\program files\Gadu-Gadu
2009-01-26 15:23   13,824   ----a-w   d:\windows\system32\drivers\splitcam.sys
2009-01-26 15:22   ---------   d--h--w   d:\program files\InstallShield Installation Information
2009-01-24 23:06   ---------   d-----w   d:\program files\Skype
2009-01-24 23:06   ---------   d-----w   d:\program files\Common Files\Skype
2009-01-24 23:06   ---------   d-----w   d:\documents and settings\All Users\Dane aplikacji\Skype
2009-01-24 22:53   ---------   d-----w   d:\program files\Opera
2009-01-24 22:49   ---------   d-----w   d:\program files\Realtek Sound Manager
2009-01-24 22:49   ---------   d-----w   d:\program files\AvRack
2009-01-24 22:48   ---------   d-----w   d:\program files\Common Files\InstallShield
2009-01-24 22:48   ---------   d-----w   d:\program files\AMD
2009-01-24 22:28   ---------   d-----w   d:\program files\microsoft frontpage
2009-01-24 22:27   ---------   d-----w   d:\program files\Usługi online
.

(((((((((((((((((((((((((((((((((((((   Wpisy startowe rejestru   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="d:\windows\system32\ctfmon.exe" [2004-08-03 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="d:\windows\system32\NvCpl.dll" [2005-07-08 7110656]
"NvMediaCenter"="d:\windows\system32\NvMcTray.dll" [2005-07-08 86016]
"SunJavaUpdateSched"="d:\program files\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 132496]
"AVP"="d:\program files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe" [2009-02-21 206088]
"SoundMan"="SOUNDMAN.EXE" [2004-12-22 d:\windows\SOUNDMAN.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="d:\windows\system32\CTFMON.EXE" [2004-08-03 15360]

[HKLM\~\startupfolder\D:^Documents and Settings^Wasali^Menu Start^Programy^Autostart^OpenOffice.org 3.0.lnk]
path=d:\documents and settings\Wasali\Menu Start\Programy\Autostart\OpenOffice.org 3.0.lnk
backup=d:\windows\pss\OpenOffice.org 3.0.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Gadu-Gadu]
--a------ 2008-03-20 11:04 2127296 d:\program files\Gadu-Gadu\gg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"d:\\Program Files\\Valve\\hl.exe"=
"d:\\Program Files\\Gadu-Gadu\\gg.exe"=
"d:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"d:\\Documents and Settings\\Wasali\\temp\\TeamViewer\\Version4\\TeamViewer.exe"=
"d:\\Documents and Settings\\All Users\\Dane aplikacji\\NexonEU\\NGM\\NGM.exe"=
"d:\nexon\Combat Arms EU\CombatArms.exe"= d:\nexon\Combat Arms EU\CombatArms.exe:*Enabled:CombatArms.exe
"d:\nexon\Combat Arms EU\Engine.exe"= d:\nexon\Combat Arms EU\Engine.exe:*Enabled:Engine.exe
"d:\\Program Files\\Skype\\Phone\\Skype.exe"=

R0 klbg;Kaspersky Lab Boot Guard Driver;d:\windows\system32\drivers\klbg.sys [2008-01-29 33808]
R3 EuMusDesignVirtualAudioCableWdm_s2x;Sound2x Audio Cable (WDM);d:\windows\system32\drivers\vacs2xkd.sys [2009-02-11 42880]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;d:\windows\system32\drivers\klim5.sys [2008-04-30 24592]
S3 ASPI;Advanced SCSI Programming Interface Driver;d:\windows\system32\drivers\ASPI32.SYS [2009-02-11 16512]
S3 AVPsys;AVPsys;d:\windows\system32\drivers\cdaudio.sys [2001-08-17 18688]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{11105ac0-f94f-11dd-829f-806d6172696f}]
\Shell\AutoRun\command - 1utbfd.bat
\Shell\open\Command - 1utbfd.bat

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ae5cf698-f34c-11dd-abfa-00148535a2d6}]
\Shell\AutoRun\command - J:\ur0.com
\Shell\open\Command - J:\ur0.com

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ae5cf699-f34c-11dd-abfa-00148535a2d6}]
\Shell\AutoRun\command - K:\ur0.com
\Shell\open\Command - K:\ur0.com
.
.
------- Skan uzupełniający -------
.
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyOverride = *.local
FF - ProfilePath - d:\documents and settings\Wasali\Dane aplikacji\Mozilla\Firefox\Profiles\c5bcz7b1.default\
FF - prefs.js: network.proxy.type - 2
FF - plugin: d:\documents and settings\All Users\Dane aplikacji\NexonEU\NGM\npNxGameeu.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-23 18:41:48
Windows 5.1.2600 Dodatek Service Pack 2 NTFS

skanowanie ukrytych procesów ... 

skanowanie ukrytych wpisów autostartu ...

skanowanie ukrytych plików ... 

skanowanie pomyślnie ukończone
ukryte pliki: 0

**************************************************************************
.
--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------

- - - - - - - > 'explorer.exe'(360)
d:\windows\system32\msi.dll
d:\windows\system32\browselc.dll
d:\windows\system32\shdoclc.dll
d:\windows\system32\DRMClien.DLL
d:\program files\WinRAR\rarext.dll
.
------------------------ Pozostałe uruchomione procesy ------------------------
.
d:\windows\system32\rundll32.exe
d:\program files\Bonjour\mDNSResponder.exe
d:\program files\BurnAware Free\nmsaccessu.exe
d:\windows\system32\nvsvc32.exe
d:\windows\system32\wdfmgr.exe
d:\windows\system32\wscntfy.exe
d:\program files\Opera\opera.exe
.
**************************************************************************
.
Czas ukończenia: 2009-02-23 18:45:32 - komputer został uruchomiony ponownie
ComboFix-quarantined-files.txt  2009-02-23 17:43:40

Przed: 71 781 335 040 bajtów wolnych
Po: 76,180,606,976 bajtów wolnych

197


[wojtas]

Otworz notatnik i wklej w nim to:

File::
d:\windows\system32\ditop.exe

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{11105ac0-f94f-11dd-829f-806d6172696f}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ae5cf698-f34c-11dd-abfa-00148535a2d6}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ae5cf699-f34c-11dd-abfa-00148535a2d6}]

>>Plik>>Zapisz jako... >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
-->
Ma się rozpocząć usuwanie. (i powstanie log).Daj ten log, który powstanie w trakcie usuwania.

[toksycznosc]

oki wykonane oto nowo powstaly log

ComboFix 09-02-24.02 - Wasali 2009-02-25 13:45:12.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.1023.580 [GMT 1:00]
Uruchomiony z: d:\documents and settings\Wasali\Pulpit\ComboFix.exe
Użyto następujących komend :: d:\documents and settings\Wasali\Pulpit\CFScript.txt
AV: Kaspersky Anti-Virus *On-access scanning disabled* (Updated)
* Utworzono nowy punkt przywracania

FILE ::
d:\windows\system32\ditop.exe
.

((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))
.

d:\windows\system32\ditop.exe

.
((((((((((((((((((((((((( Pliki utworzone od 2009-01-25 do 2009-02-25 )))))))))))))))))))))))))))))))
.

2009-02-23 18:31 . 2009-02-23 18:31 <DIR> d-------- d:\windows\ERUNT
2009-02-23 18:31 . 2009-02-23 18:31 <DIR> d-------- D:\ERDNT
2009-02-22 22:07 . 2009-02-22 22:07 <DIR> d-------- D:\Nexon
2009-02-22 22:07 . 2009-02-22 22:07 <DIR> d-------- d:\documents and settings\All Users\Dane aplikacji\NexonEU
2009-02-22 12:45 . 2009-02-22 12:45 <DIR> d-------- d:\documents and settings\Wasali\Dane aplikacji\Malwarebytes
2009-02-22 12:45 . 2009-02-22 12:45 <DIR> d-------- d:\documents and settings\All Users\Dane aplikacji\Malwarebytes
2009-02-22 02:59 . 2009-02-22 02:59 <DIR> d-------- d:\program files\HyCam2
2009-02-21 21:07 . 2009-02-21 21:23 101,287 --a------ d:\windows\system32\drivers\klin.dat
2009-02-21 21:07 . 2009-02-21 21:23 89,601 --a------ d:\windows\system32\drivers\klick.dat
2009-02-21 21:06 . 2009-02-21 21:06 <DIR> d-------- d:\program files\Kaspersky Lab
2009-02-21 21:06 . 2009-02-25 10:58 <DIR> d-------- d:\documents and settings\All Users\Dane aplikacji\Kaspersky Lab
2009-02-21 21:06 . 2009-02-25 13:43 1,426,464 --ahs---- d:\windows\system32\drivers\fidbox.dat
2009-02-21 21:06 . 2009-02-25 13:43 352,288 --ahs---- d:\windows\system32\drivers\fidbox2.dat
2009-02-21 21:06 . 2009-02-25 13:43 13,272 --ahs---- d:\windows\system32\drivers\fidbox.idx
2009-02-21 21:06 . 2009-02-25 13:43 3,332 --ahs---- d:\windows\system32\drivers\fidbox2.idx
2009-02-21 21:05 . 2009-02-21 21:05 <DIR> d-------- d:\documents and settings\All Users\Dane aplikacji\Kaspersky Lab Setup Files
2009-02-20 23:31 . 2009-02-20 23:31 <DIR> d-------- d:\documents and settings\Wasali\temp
2009-02-20 23:31 . 2009-02-20 23:43 <DIR> d-------- d:\documents and settings\Wasali\Dane aplikacji\TeamViewer
2009-02-20 18:08 . 2009-02-20 18:08 <DIR> d-------- d:\program files\BurnAware Free
2009-02-20 18:08 . 2004-05-04 11:53 1,645,320 --a------ d:\windows\system32\gdiplus.dll
2009-02-18 15:47 . 2009-02-18 15:47 0 --a------ d:\windows\nsreg.dat
2009-02-17 20:53 . 2004-08-03 23:07 59,264 --a------ d:\windows\system32\drivers\USBAUDIO.sys
2009-02-17 20:53 . 2004-08-03 23:07 59,264 --a--c--- d:\windows\system32\dllcache\usbaudio.sys
2009-02-17 20:53 . 2004-08-04 00:44 21,504 --a------ d:\windows\system32\hidserv.dll
2009-02-17 20:53 . 2004-08-04 00:44 21,504 --a--c--- d:\windows\system32\dllcache\hidserv.dll
2009-02-17 00:33 . 2009-02-17 00:33 <DIR> d-------- d:\program files\Bonjour
2009-02-17 00:25 . 2009-02-17 00:25 <DIR> d-------- d:\program files\Common Files\Macrovision Shared
2009-02-17 00:22 . 2009-02-17 00:34 <DIR> d-------- d:\program files\Common Files\Adobe
2009-02-15 16:04 . 2009-02-15 16:04 <DIR> d--h----- D:\BJPrinter
2009-02-15 16:04 . 2004-04-23 16:00 116,736 --a------ d:\windows\system32\CNMLM5y.DLL
2009-02-15 16:04 . 2004-03-12 03:06 86,016 --------- d:\windows\system32\CNMCP5y.exe
2009-02-15 16:04 . 2004-03-12 03:06 86,016 -ra------ d:\windows\system32\cnm2DC.tmp
2009-02-15 16:04 . 2004-04-23 16:00 7,680 --a------ d:\windows\system32\CNMVS5y.DLL
2009-02-15 15:24 . 2004-08-03 23:01 25,856 --a------ d:\windows\system32\drivers\usbprint.sys
2009-02-15 15:24 . 2004-08-03 23:01 25,856 --a--c--- d:\windows\system32\dllcache\usbprint.sys
2009-02-15 14:22 . 2009-02-15 14:22 <DIR> d-------- d:\documents and settings\Wasali\Dane aplikacji\OpenOffice.org
2009-02-15 14:15 . 2009-02-15 14:15 <DIR> d-------- d:\program files\OpenOffice.org 3
2009-02-11 19:39 . 2009-02-11 19:39 <DIR> d-------- d:\program files\CCleaner
2009-02-11 13:12 . 2009-02-11 13:13 <DIR> d-------- d:\program files\4Musics Multiformat Converter
2009-02-11 13:12 . 2003-03-19 09:19 1,060,864 --a------ d:\windows\system32\MFC71.dll
2009-02-11 13:12 . 2003-03-19 06:14 499,712 --a------ d:\windows\system32\msvcp71.dll
2009-02-11 13:12 . 2003-02-21 04:42 348,160 --a------ d:\windows\system32\msvcr71.dll
2009-02-11 13:12 . 2007-11-01 17:53 42,880 --a------ d:\windows\system32\drivers\vacs2xkd.sys
2009-02-11 13:12 . 2001-03-17 21:34 22,528 --a------ d:\windows\system32\WNASPI32.DLL
2009-02-11 13:12 . 2002-07-17 08:05 16,512 --a------ d:\windows\system32\drivers\ASPI32.SYS
2009-02-11 12:46 . 2009-02-11 12:46 <DIR> d-------- d:\program files\Audacity 1.3 Beta (Unicode)
2009-02-11 12:46 . 2009-02-25 02:31 <DIR> d-------- d:\documents and settings\Wasali\Dane aplikacji\Audacity
2009-02-09 20:30 . 2009-02-09 20:39 <DIR> d-------- d:\program files\Dziobas Rar Player
2009-02-05 07:17 . 2004-08-03 23:08 31,616 --a------ d:\windows\system32\drivers\usbccgp.sys
2009-02-05 07:17 . 2004-08-03 23:08 31,616 --a--c--- d:\windows\system32\dllcache\usbccgp.sys
2009-02-03 15:14 . 2009-02-20 00:47 <DIR> d-------- d:\program files\Tasker
2009-02-03 00:46 . 2002-02-08 23:00 <DIR> d-------- d:\program files\AV Vcs 6.0 DIAMOND
2009-01-30 14:47 . 2009-01-30 14:47 <DIR> d-------- d:\documents and settings\All Users\Dane aplikacji\nView_Profiles
2009-01-26 16:22 . 2009-02-21 04:55 <DIR> d-------- d:\program files\SplitCam
2009-01-26 16:10 . 2004-08-04 00:44 159,232 --a------ d:\windows\system32\ptpusd.dll
2009-01-26 16:10 . 2004-08-03 22:58 15,104 --a------ d:\windows\system32\drivers\usbscan.sys
2009-01-26 16:10 . 2004-08-03 22:58 15,104 --a--c--- d:\windows\system32\dllcache\usbscan.sys
2009-01-26 16:10 . 2001-10-26 17:29 5,632 --a------ d:\windows\system32\ptpusb.dll
2009-01-26 05:52 . 2009-01-26 05:52 <DIR> d-------- d:\windows\Sun
2009-01-26 05:51 . 2007-07-12 02:22 69,632 --a------ d:\windows\system32\javacpl.cpl
2009-01-26 05:50 . 2009-01-26 05:51 <DIR> d-------- d:\program files\Java
2009-01-26 05:49 . 2009-01-26 05:49 <DIR> d-------- d:\program files\Common Files\Java
2009-01-25 15:14 . 2009-01-26 00:54 <DIR> d-------- d:\program files\Winamp
2009-01-25 15:14 . 2009-02-24 15:22 <DIR> d-------- d:\documents and settings\Wasali\Dane aplikacji\Winamp
2009-01-25 03:09 . 2009-01-25 03:09 <DIR> d-------- d:\documents and settings\Wasali\Dane aplikacji\Gadu-Gadu
2009-01-25 01:47 . 2009-01-25 01:47 <DIR> d-------- d:\windows\system32\Lang
2009-01-25 01:47 . 2009-01-25 01:47 940,794 --a------ d:\windows\system32\LoopyMusic.wav
2009-01-25 01:47 . 2009-01-25 01:47 146,650 --a------ d:\windows\system32\BuzzingBee.wav
2009-01-25 01:26 . 2009-01-25 18:37 <DIR> d-------- d:\program files\Valve

.
(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-25 11:33 --------- d-----w d:\documents and settings\Wasali\Dane aplikacji\Skype
2009-02-25 10:29 --------- d-----w d:\documents and settings\Wasali\Dane aplikacji\skypePM
2009-02-21 20:23 33,808 ----a-w d:\windows\system32\drivers\klbg.sys
2009-02-07 11:17 --------- d-----w d:\program files\Gadu-Gadu
2009-01-26 15:23 13,824 ----a-w d:\windows\system32\drivers\splitcam.sys
2009-01-26 15:22 --------- d--h--w d:\program files\InstallShield Installation Information
2009-01-24 23:06 --------- d-----w d:\program files\Skype
2009-01-24 23:06 --------- d-----w d:\program files\Common Files\Skype
2009-01-24 23:06 --------- d-----w d:\documents and settings\All Users\Dane aplikacji\Skype
2009-01-24 22:53 --------- d-----w d:\program files\Opera
2009-01-24 22:49 --------- d-----w d:\program files\Realtek Sound Manager
2009-01-24 22:49 --------- d-----w d:\program files\AvRack
2009-01-24 22:48 --------- d-----w d:\program files\Common Files\InstallShield
2009-01-24 22:48 --------- d-----w d:\program files\AMD
2009-01-24 22:28 --------- d-----w d:\program files\microsoft frontpage
2009-01-24 22:27 --------- d-----w d:\program files\Usługi online
.

((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="d:\windows\system32\ctfmon.exe" [2004-08-03 15360]
"Gadu-Gadu"="d:\program files\Gadu-Gadu\gg.exe" [2008-03-20 2127296]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="d:\windows\system32\NvCpl.dll" [2005-07-08 7110656]
"NvMediaCenter"="d:\windows\system32\NvMcTray.dll" [2005-07-08 86016]
"SunJavaUpdateSched"="d:\program files\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 132496]
"AVP"="d:\program files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe" [2009-02-21 206088]
"SoundMan"="SOUNDMAN.EXE" [2004-12-22 d:\windows\SOUNDMAN.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="d:\windows\system32\CTFMON.EXE" [2004-08-03 15360]

[HKLM\~\startupfolder\D:^Documents and Settings^Wasali^Menu Start^Programy^Autostart^OpenOffice.org 3.0.lnk]
path=d:\documents and settings\Wasali\Menu Start\Programy\Autostart\OpenOffice.org 3.0.lnk
backup=d:\windows\pss\OpenOffice.org 3.0.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Gadu-Gadu]
--a------ 2008-03-20 11:04 2127296 d:\program files\Gadu-Gadu\gg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"d:\\Program Files\\Valve\\hl.exe"=
"d:\\Program Files\\Gadu-Gadu\\gg.exe"=
"d:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"d:\\Documents and Settings\\Wasali\\temp\\TeamViewer\\Version4\\TeamViewer.exe"=
"d:\\Documents and Settings\\All Users\\Dane aplikacji\\NexonEU\\NGM\\NGM.exe"=
"d:\nexon\Combat Arms EU\CombatArms.exe"= d:\nexon\Combat Arms EU\CombatArms.exe:*Enabled:CombatArms.exe
"d:\nexon\Combat Arms EU\Engine.exe"= d:\nexon\Combat Arms EU\Engine.exe:*Enabled:Engine.exe
"d:\\Program Files\\Skype\\Phone\\Skype.exe"=

R0 klbg;Kaspersky Lab Boot Guard Driver;d:\windows\system32\drivers\klbg.sys [2008-01-29 33808]
R3 EuMusDesignVirtualAudioCableWdm_s2x;Sound2x Audio Cable (WDM);d:\windows\system32\drivers\vacs2xkd.sys [2009-02-11 42880]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;d:\windows\system32\drivers\klim5.sys [2008-04-30 24592]
S3 ASPI;Advanced SCSI Programming Interface Driver;d:\windows\system32\drivers\ASPI32.SYS [2009-02-11 16512]
S3 AVPsys;AVPsys;d:\windows\system32\drivers\cdaudio.sys [2001-08-17 18688]
.
.
------- Skan uzupełniający -------
.
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyOverride = *.local
FF - ProfilePath - d:\documents and settings\Wasali\Dane aplikacji\Mozilla\Firefox\Profiles\c5bcz7b1.default\
FF - prefs.js: network.proxy.type - 2
FF - plugin: d:\documents and settings\All Users\Dane aplikacji\NexonEU\NGM\npNxGameeu.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-25 13:46:21
Windows 5.1.2600 Dodatek Service Pack 2 NTFS

skanowanie ukrytych procesów ...

skanowanie ukrytych wpisów autostartu ...

skanowanie ukrytych plików ...

skanowanie pomyślnie ukończone
ukryte pliki: 0

**************************************************************************
.
Czas ukończenia: 2009-02-25 13:47:17
ComboFix-quarantined-files.txt 2009-02-25 12:47:13
ComboFix2.txt 2009-02-23 17:45:34

Przed: 76 123 066 368 bajtów wolnych
Po: 76,122,386,432 bajtów wolnych

168

[wojtas]

1. Ściągnij OTMoveIt i go włacz i odpal go z opcji CleanUp oraz skasuj folder C:\Qoobox
2. wykonaj optymalizację windowsa
3.sciagnij ATF_Cleaner
zaznacz
Windows Temp
All users Temp
Temporary internet files
Recycle Bin
i wcisnij EMPTY SELECTED
4.Wyłącz przywracanie systemu ( właściwości mój komputer-zakładka przywracanie - wyłącz przywracanie na wszystkich dyskach). Po chwili włącz je powrotem
5. Wykonaj skan Dr. Web CureIt
6. Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum.

i tym:

FixIEDef.