nieznany komuniikat

[kalcyt13]

witam. podczas uruchamiania kompa [pojawia mi sie taki komunikat



możecie mi powiedzieć, co oznacza? bo nie wiem, czy klinknąć akceptację?

[kepa416]

To jest chyba proces z Automatycznej aktualizacji .. Więc.. jak dla mnie to nie jest nic złego ale poczekaj na inną wypowiedz

[wojtas]

nie znam tego komunikatu.. na wszelki wypadek:

Zastosuj SDFix . Po pobraniu uruchom go a rozpakuje się do C:\SDFix. Uruchom komputer w trybie awaryjnym (F8 przy stracie systemu). Będąc w awaryjnym uruchom plik RunThis.bat z folderu SDFixa. Zatwierdź czyszczenie przez Y. Poczekaj aż ukończy i komputer zresetuje

Potem wejdz do folderu SDFix wrzuc zawartość pliku Report.txt + log z combofixa oraz z hijacka

[kalcyt13]

wojtas19162, dzięki za rzeczowość.Niestety combofix'em nie robiłem jeszcze logów, więc wezmę się za to jutro, OK?Dopiero wróciłem z roboty i moja percepcja jest mocno upośledzona. Mam nadzieję, że ten combofix to żadne czary-mary.Do jutra.

[wojtas]

ok czekam na logi

[kalcyt13]

Acha, logi mam zrobić e trybie awaryjnym, prawda?

[wojtas]

log z sdfixa tak ale z combo i hijacka nie

[kalcyt13]

OK, dzięki. Wezmę się za to jutro rano. Dobranoc.

[ Dodano: Dzisiaj o 11:03 ]
wojtas19162, ranek już jest, więc lecimy z logami

catchme 0.3.1253 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-11-07 10:52:04
Windows 5.1.2600 Dodatek Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:1e,39,e0,1b,27,df,52,18,3d,cb,21,3f,23,a2,95,a6,c9,29,0a,71,74,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,94,49,f0,bb,55,77,66,01,f4,c6,74,c3,68,35,8f,ea,7a,..
"khjeh"=hex:bf,ce,62,9b,c1,76,aa,4a,5b,df,40,3a,c4,5a,e3,79,8d,ae,9c,d2,68,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:e1,b5,a9,f0,b9,60,19,18,e0,ae,1f,12,49,1a,79,cf,e0,cc,e6,6b,2d,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:1e,ea,21,c6,f3,48,86,c0,e5,f3,53,2f,93,db,84,83,67,83,8e,29,d2,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42]
"khjeh"=hex:0b,d2,ad,5c,c0,54,02,68,62,1c,68,6c,88,1b,cc,36,da,4d,f4,4e,23,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:4c,f2,8a,69,4d,8d,2c,83,4e,7e,b8,6c,f8,af,5e,b5,c2,4f,d7,da,1d,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,94,49,f0,bb,55,77,66,01,f4,c6,74,c3,68,35,8f,ea,7a,..
"khjeh"=hex:ae,68,f1,26,8a,6d,9f,a3,14,54,36,c3,68,df,4b,a5,72,2c,e8,82,04,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:e1,b5,a9,f0,b9,60,19,18,e0,ae,1f,12,49,1a,79,cf,e0,cc,e6,6b,2d,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:1e,ea,21,c6,f3,48,86,c0,e5,f3,53,2f,93,db,84,83,67,83,8e,29,d2,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42]
"khjeh"=hex:0b,d2,ad,5c,c0,54,02,68,62,1c,68,6c,88,1b,cc,36,da,4d,f4,4e,23,..

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\System]
"OODEFRAG10.00.00.01WORKSTATION"=""
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Favorites\A\1\5\1c]
"Order"=hex:08,00,00,00,02,00,00,00,b8,01,00,00,01,00,00,00,04,00,00,00,8c,..

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

ComboFix 07-11-07.3 - Darekk 2007-11-07 11:01:09.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.615 [GMT 1:00]
Running from: E:\ścią\Skazany\tematy nokia\ComboFix.exe
* Created a new restore point
.

((((((((((((((((((((((((( Files Created from 2007-10-07 to 2007-11-07 )))))))))))))))))))))))))))))))
.

2007-11-07 11:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-11-07 10:49 <DIR> d-------- C:\WINDOWS\ERUNT
2007-11-03 22:38 309,616 --a------ C:\WINDOWS\system32\wmv8dmod.dll
2007-11-02 18:05 <DIR> d-------- C:\WINDOWS\pss
2007-11-01 12:02 <DIR> d-------- C:\Program Files\Nokia
2007-10-26 18:02 <DIR> d-------- C:\Program Files\DivX

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-11-07 10:02 46,090,272 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2007-11-07 10:02 1,319,200 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat
2007-11-07 09:53 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab
2007-11-07 09:47 625,328 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2007-11-07 09:47 127,712 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx
2007-11-05 22:23 --------- d-----w C:\Documents and Settings\Darekk\Dane aplikacji\Skype
2007-11-02 11:54 --------- d-----w C:\Program Files\WinFast
2007-11-01 17:10 --------- d-----w C:\Documents and Settings\Darekk\Dane aplikacji\Nokia Multimedia Player
2007-11-01 10:53 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Downloaded Installations
2007-10-29 09:18 --------- d-----w C:\Program Files\Gadu-Gadu
2007-10-26 22:02 --------- d-----w C:\Documents and Settings\Darekk\Dane aplikacji\uTorrent
2007-09-16 14:22 --------- d-----w C:\Documents and Settings\Darekk\Dane aplikacji\XCPCSync.OEM
2007-09-16 14:17 --------- d--h--w C:\Program Files\InstallShield Installation Information
2007-09-16 14:15 --------- d-----w C:\Program Files\Common Files\XCPCSync.OEM
2007-09-13 19:07 --------- d-----w C:\Program Files\Mobile Phone Manager
2007-09-12 19:07 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Avira
2007-09-11 17:44 --------- d-----w C:\Program Files\DAEMON Tools
2007-05-20 20:14:38 5 --sha-w C:\WINDOWS\system32\efcdaceb_s.dll
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NVMixerTray"="C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe" [2004-06-03 19:51]
"AVP"="D:\Porządkowanie dysku\Programy\Antywirus\KasperskyInternetSecurity\avp.exe" [2007-01-29 22:02]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:44]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"Nokia.PCSync"=E:\nokia\Nokia PC Suite 6\Nokia PC Suite 6\PcSync2.exe /NoDialog

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="LogonUI.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=D:\PORZDK~1\Programy\ANTYWI~1\KASPER~1\adialhk.dll

R1 VD_FileDisk;VD_FileDisk;C:\WINDOWS\system32\drivers\VD_FileDisk.sys
R2 CX23880;WinFast CX2388x WDM Video Capture.;C:\WINDOWS\system32\drivers\cx88vid.sys
R2 CXAVXBAR;WinFast CX2388x WDM Crossbar.;C:\WINDOWS\system32\drivers\cxavxbar.sys
R2 CXTUNE;WinFast CX2388x WDM TVTuner.;C:\WINDOWS\system32\drivers\CX88TUNE.sys
S3 RivaTunerEx;RivaTunerEx;\??\C:\Program Files\RivaTuner\RivaTunerEx.sys
S3 WFIOCTL;WFIOCTL;\??\C:\Program Files\WinFast\WFDTV\WFIOCTL.SYS
S3 WRSWanDD;WinPoET PPPoE Adapter;C:\WINDOWS\system32\DRIVERS\WrKPoETNic2000.sys

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a704b5d1-3300-11dc-a3d5-806d6172696f}]
\Shell\AutoRun\command - F:\atisetup.exe
\Shell\launch\command - F:\atisetup.exe

*Newly Created Service* - CATCHME
.
**************************************************************************

catchme 0.3.1250 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-11-07 11:02:25
Windows 5.1.2600 Dodatek Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-11-07 11:03:07
.
--- E O F ---

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:06:56, on 2007-11-07
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
D:\Porządkowanie dysku\Programy\Antywirus\KasperskyInternetSecurity\avp.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe
D:\Porządkowanie dysku\Programy\Antywirus\KasperskyInternetSecurity\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\explorer.exe
E:\ścią\Skazany\tematy nokia\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://twarzawtwarz.tvn.pl/stream.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\pchealth\helpctr\System\panels\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [NVMixerTray] "C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [AVP] "D:\Porządkowanie dysku\Programy\Antywirus\KasperskyInternetSecurity\avp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Dodaj do blokowanych banerów - D:\Porządkowanie dysku\Programy\Antywirus\KasperskyInternetSecurity\ie_banner_deny.htm
O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Add To Print List - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint High Speed Print - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Preview - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Print - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Statystyki ochrony WWW - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - D:\Porządkowanie dysku\Programy\Antywirus\KasperskyInternetSecurity\scieplugin.dll
O9 - Extra button: Wyślij do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: Wyślij &do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{036C13F6-D529-4575-A326-F4CA600D4C1D}: NameServer = 217.30.129.149 217.30.137.200
O17 - HKLM\System\CS1\Services\Tcpip\..\{036C13F6-D529-4575-A326-F4CA600D4C1D}: NameServer = 217.30.129.149 217.30.137.200
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: D:\PORZDK~1\Programy\ANTYWI~1\KASPER~1\adialhk.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Kaspersky Lab - D:\Porządkowanie dysku\Programy\Antywirus\KasperskyInternetSecurity\avp.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: NMIndexingService - Unknown owner - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe (file missing)
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe

--
End of file - 6305 bytes

[wojtas]

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\pchealth\helpctr\System\panels\blank.htm

skasuj po za tym jest ok

[kalcyt13]

wojtas19162,poszło, ale ten komunikat nadal się pojawia.

[Red]

Banalnie,wystarczy zaakceptować

[kalcyt13]

Red, kurde, od wczoraj się z tym bujamy. to żaden wredny "gość"?

[Red]

żaden
Kaczyński buja się od drugiego dnia po wyborach.Każdy ma prawo się bujać

[kahoona]

Tym bardzie, że po prostu włączony został proces Microsoftu - "Usługi kryptograficzne" i się wpisuje do autorun...

Zapewnia trzy usługi zarządzania: Usługę bazy danych wykazu, która potwierdza podpisy plików systemu Windows, Usługę chronionego magazynu głównego, która dodaje i usuwa certyfikaty zaufanego głównego urzędu certyfikacji z tego komputera i Usługę kluczy, która pomaga zarejestrować ten komputer dla certyfikatów. Jeśli ta usługa zostanie zatrzymana, te usługi zarządzania nie będą działać właściwie. Jeśli ta usługa zostanie wyłączona, wszelkie usługi jawnie od niej zależne przestaną się uruchamiać.

[kalcyt13]

Każdy ma prawo się bujać

to fajnie. dzięki

po prostu włączony został proces Microsoftu - "Usługi kryptograficzne"

uff, dzięki za wyjaśnienie