Prosiłbym więc o sprawdzenie logów z HiJacka:
- Kod: Zaznacz wszystko
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:53:12, on 2008-12-29
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Programy\Bezpieczenstwo\Sygate Personal Firewall 5.6\smc.exe
C:\WINDOWS\Explorer.EXE
D:\Programy\Bezpieczenstwo\Avast4\aswUpdSv.exe
D:\Programy\Bezpieczenstwo\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
D:\Programy\Bezpieczenstwo\Avast4\ashMaiSv.exe
D:\Programy\Bezpieczenstwo\Avast4\ashWebSv.exe
D:\Programy\BEZPIE~2\Avast4\ashDisp.exe
C:\WINDOWS\system32\RunDLL32.exe
D:\Casual_games\Programs\Winamp\winampa.exe
D:\Programy\Gadu-Gadu\gg.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Programy\Search engines\Firefox 3\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Programy\Bezpieczenstwo\HiJackThis\HiJackThis.exe
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [avast!] D:\Programy\BEZPIE~2\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SmcService] D:\Programy\BEZPIE~2\SYGATE~1.6\smc.exe -startgui
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WinampAgent] D:\Casual_games\Programs\Winamp\winampa.exe
O4 - HKCU\..\Run: [Gadu-Gadu] "D:\Programy\Gadu-Gadu\gg.exe" /tray
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA SIECIOWA')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{C85FC2A7-E707-40C0-A0C5-A48A8E947B0F}: NameServer = 192.204.159.1,217.98.63.164
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Programy\Bezpieczenstwo\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - D:\Programy\Bezpieczenstwo\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - D:\Programy\Bezpieczenstwo\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - D:\Programy\Bezpieczenstwo\Avast4\ashWebSv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - D:\Programy\Bezpieczenstwo\Sygate Personal Firewall 5.6\smc.exe
--
End of file - 3728 bytes
a także z ComboFix:
- Kod: Zaznacz wszystko
ComboFix 08-12-28.01 - User 2008-12-29 10:15:43.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.511.304 [GMT 1:00]
Uruchomiony z: d:\programy\Bezpieczenstwo\ComboFix\ComboFix.exe
AV: avast! antivirus 4.8.1296 [VPS 081228-0] *On-access scanning disabled* (Outdated)
FW: Sygate Personal Firewall *disabled*
* Utworzono nowy punkt przywracania
.
((((((((((((((((((((((((( Pliki utworzone od 2008-11-28 do 2008-12-29 )))))))))))))))))))))))))))))))
.
2008-12-28 13:03 . 2008-12-28 13:05 <DIR> d-------- c:\documents and settings\User\Dane aplikacji\PacificPoker
2008-12-27 12:36 . 2008-12-29 10:16 <DIR> d--h----- c:\documents and settings\Administrator\Ustawienia lokalne
2008-12-27 12:36 . 2008-09-18 21:04 <DIR> d-------- c:\documents and settings\Administrator\Ulubione
2008-12-27 12:36 . 2008-09-18 18:17 <DIR> d--h----- c:\documents and settings\Administrator\Szablony
2008-12-27 12:36 . 2008-09-18 21:04 <DIR> d-------- c:\documents and settings\Administrator\Pulpit
2008-12-27 12:36 . 2008-09-18 21:04 <DIR> d-------- c:\documents and settings\Administrator\Moje dokumenty
2008-12-27 12:36 . 2008-09-18 21:04 <DIR> dr------- c:\documents and settings\Administrator\Menu Start
2008-12-27 12:36 . 2008-09-18 21:04 <DIR> dr-h----- c:\documents and settings\Administrator\Dane aplikacji
2008-12-27 12:36 . 2008-12-27 12:45 <DIR> d-------- c:\documents and settings\Administrator
2008-12-23 23:51 . 2008-12-23 23:51 <DIR> d-------- c:\documents and settings\User\Dane aplikacji\Gadu-Gadu
2008-12-19 13:51 . 2008-12-19 13:51 <DIR> d-------- c:\program files\Media Player Classic
2008-12-18 07:50 . 2008-12-18 07:50 2,912,116 --a------ C:\bookmarks.html
2008-12-17 15:22 . 2008-10-03 11:17 247,326 -----c--- c:\windows\system32\dllcache\strmdll.dll
2008-12-14 22:49 . 2008-12-14 22:49 <DIR> d-------- c:\documents and settings\User\Dane aplikacji\Media Player Classic
2008-12-11 21:18 . 2008-12-11 21:30 <DIR> d-------- c:\documents and settings\User\Dane aplikacji\Winamp
2008-12-11 15:42 . 2008-12-12 17:21 <DIR> d-------- C:\tmp
2008-12-10 22:29 . 2004-08-03 23:08 31,616 --a------ c:\windows\system32\drivers\usbccgp.sys
2008-12-10 21:37 . 2004-08-03 23:08 25,600 --a------ c:\windows\system32\drivers\usbser.sys
2008-12-10 21:23 . 2006-05-01 07:47 36,480 --a------ c:\windows\system32\drivers\P2k.sys
2008-12-10 21:22 . 2008-12-10 21:24 <DIR> d----c--- c:\windows\system32\DRVSTORE
2008-12-10 21:22 . 2008-12-10 21:22 <DIR> d-------- c:\program files\Motorola
2008-12-10 21:22 . 2008-12-10 21:22 <DIR> d-------- c:\program files\Common Files\Motorola Shared
2008-12-10 21:22 . 2006-04-19 10:56 6,144 --a-s---- c:\windows\system32\mot_ci.dll
2008-12-06 17:55 . 2008-05-01 15:33 331,776 -----c--- c:\windows\system32\dllcache\msadce.dll
2008-12-06 16:24 . 2008-12-29 08:58 <DIR> d-------- c:\windows\system32\CatRoot_bak
2008-12-02 21:51 . 2008-12-02 21:51 <DIR> d-------- c:\program files\MSXML 4.0
2008-12-02 10:27 . 2008-10-24 12:10 453,632 -----c--- c:\windows\system32\dllcache\mrxsmb.sys
2008-12-02 10:26 . 2008-04-11 19:51 683,520 -----c--- c:\windows\system32\dllcache\inetcomm.dll
2008-12-02 10:26 . 2008-10-15 18:00 332,800 -----c--- c:\windows\system32\dllcache\netapi32.dll
2008-12-02 10:23 . 2008-08-28 11:04 333,056 -----c--- c:\windows\system32\dllcache\srv.sys
2008-12-02 10:23 . 2008-06-14 19:01 273,024 -----c--- c:\windows\system32\dllcache\bthport.sys
2008-12-02 10:22 . 2008-08-14 10:51 138,368 -----c--- c:\windows\system32\dllcache\afd.sys
2008-12-02 10:21 . 2008-09-15 16:40 1,846,272 -----c--- c:\windows\system32\dllcache\win32k.sys
2008-12-02 10:18 . 2008-08-14 14:46 2,181,632 -----c--- c:\windows\system32\dllcache\ntoskrnl.exe
2008-12-02 10:18 . 2008-08-14 14:46 2,137,600 -----c--- c:\windows\system32\dllcache\ntkrnlmp.exe
2008-12-02 10:18 . 2008-08-14 14:46 2,059,008 -----c--- c:\windows\system32\dllcache\ntkrnlpa.exe
2008-12-02 10:18 . 2008-08-14 14:46 2,017,280 -----c--- c:\windows\system32\dllcache\ntkrpamp.exe
2008-12-01 16:35 . 2008-09-04 17:46 1,106,944 -----c--- c:\windows\system32\dllcache\msxml3.dll
.
(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-10 20:19 --------- d-----w c:\program files\Common Files\InstallShield
2008-11-29 11:01 --------- d-----w c:\documents and settings\All Users\Dane aplikacji\Microsoft Help
2008-11-25 15:27 --------- d--h--w c:\program files\InstallShield Installation Information
2008-10-23 13:01 283,648 ----a-w c:\windows\system32\gdi32.dll
2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
2008-10-16 10:39 662,016 ----a-w c:\windows\system32\wininet.dll
2008-10-03 10:17 247,326 ----a-w c:\windows\system32\strmdll.dll
2008-09-30 15:43 1,286,152 ----a-w c:\windows\system32\msxml4.dll
.
((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Gadu-Gadu"="d:\programy\Gadu-Gadu\gg.exe" [2007-05-10 2111176]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast!"="d:\programy\BEZPIE~2\Avast4\ashDisp.exe" [2008-11-26 81000]
"SmcService"="d:\programy\BEZPIE~2\SYGATE~1.6\smc.exe" [2004-10-15 2577632]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-10-22 7700480]
"WinampAgent"="d:\casual_games\Programs\Winamp\winampa.exe" [2008-08-04 36352]
"nwiz"="nwiz.exe" [2006-10-22 c:\windows\system32\nwiz.exe]
"NvMediaCenter"="NvMCTray.dll" [2006-10-22 c:\windows\system32\nvmctray.dll]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-03 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-06-12 02:38 34672 d:\programy\Adobe\Reader 9.0\Reader\reader_sl.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Komunikator]
--a------ 2006-04-13 13:51 957440 \\192.168.0.1\d\Programy\Tlen\tlen.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2008-06-10 03:27 144784 c:\program files\Java\jre1.6.0_07\bin\jusched.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 2008-08-04 00:02 36352 d:\casual_games\Programs\Winamp\winampa.exe
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"d:\\Programy\\Gadu-Gadu\\gg.exe"=
"d:\\Programy\\Search engines\\Firefox 3\\firefox.exe"=
"\\\\192.168.0.1\\d\\programy\\B2BPOKER\\Pokerium\\jre\\bin\\javaw.exe"=
"\\\\192.168.0.1\\d\\programy\\B2BPOKER\\Club4Aces.com\\jre\\bin\\javaw.exe"=
"d:\\Programy\\eMule\\emule.exe"=
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-09-19 111184]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\DRIVERS\aswFsBlk.sys [2008-09-19 20560]
*Newly Created Service* - PROCEXP90
.
.
------- Skan uzupełniający -------
.
uInternet Settings,ProxyOverride = *.local
TCP: {C85FC2A7-E707-40C0-A0C5-A48A8E947B0F} = 192.204.159.1,217.98.63.164
O16 -: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
c:\windows\Downloaded Program Files\DirectAnimation Java Classes.osd
O16 -: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
c:\windows\Downloaded Program Files\Microsoft XML Parser for Java.osd
FF - ProfilePath - c:\documents and settings\User\Dane aplikacji\Mozilla\Firefox\Profiles\5l3067kc.default\
FF - plugin: d:\programy\Adobe\Reader 9.0\Reader\browser\nppdf32.dll
FF - plugin: d:\programy\Real Alternative\browser\plugins\nppl3260.dll
FF - plugin: d:\programy\Real Alternative\browser\plugins\nprpjplug.dll
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-29 10:16:57
Windows 5.1.2600 Dodatek Service Pack 2 NTFS
skanowanie ukrytych procesów ...
skanowanie ukrytych wpisów autostartu ...
skanowanie ukrytych plików ...
skanowanie pomyślnie ukończone
ukryte pliki: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\vsdatant]
"ImagePath"=""
.
Czas ukończenia: 2008-12-29 10:19:23
ComboFix-quarantined-files.txt 2008-12-29 09:18:08
Przed: 192 839 680 bajtów wolnych
Po: 259,616,768 bajtów wolnych
WindowsXP-KB310994-SP2-Pro-BootDisk-PLK.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn
139 --- E O F --- 2008-12-26 14:25:52
Czy wynika z tych logów, że mam coś podejrzanego w systemie?
Po uruchomieniu ComboFix wyświetlił on komunikat w stylu - "Czy zainstalować Konsole Odzyskiwania Systemu Windows i jest to w moim NAJWIĘKSZYM INTERESIE". Zgodziłem się, Comobfix łączył się kilka razy ze stroną Microsoftu (firewall go próbował zablokować ale przepuściłem). Nie wiem czy to dobra decyzja? Dodam, że NIE mam oryginalnego Windowsa.
Dodam tylko, że po tym jak ComboFix zakończył działanie, system strasznie spowolnił na kilka minut (zaraz po ponownym uruchomieniu). Na to spowolnienie złożyło to, że dysk przez te kilka minut bardzo intensywnie chodził (cały czas lampka migała) oraz pojawiły się dwa nowe procesy :
update.exe - mocno obciążał CPU
wmiprvse
Chociaż może te procesy były już wcześniej - głowy nie dam.