Aktualizacje na programosy.pl:
vMix Basic • Argus Monitor • Homedale • DAEMON Tools Lite • FlightGear • Screencastify • XYplorer • MathMagic Personal Edition • FontCreator
-
- Ogłoszenie:
Dziwny wirus
42 posty(ów) • Strona 1 z 3 • 1, 2, 3
Dziwny wirus
przez Gacek89 18 Lut 2009, 23:16
- Gacek89
- ~user
- Posty: 391
- Dołączenie: 22 Sie 2005, 11:11
- Miejscowość: Katowice
- Pochwały: 2
Dziwny wirus
przez wojtas 19 Lut 2009, 00:08
Wykonaj to co jest podane w tym temacie
Zastosuj SDFix . Po pobraniu uruchom go a rozpakuje się do C:\SDFix. Uruchom komputer w trybie awaryjnym (F8 przy stracie systemu). Będąc w awaryjnym uruchom plik RunThis.bat z folderu SDFixa. Zatwierdź czyszczenie przez Y. Poczekaj aż ukończy i komputer zresetuje
Potem wejdz do folderu C:\SDFix wrzuc zawartość pliku Report.txt + log z combofixa oraz daj loga z hijacka
Zastosuj SDFix . Po pobraniu uruchom go a rozpakuje się do C:\SDFix. Uruchom komputer w trybie awaryjnym (F8 przy stracie systemu). Będąc w awaryjnym uruchom plik RunThis.bat z folderu SDFixa. Zatwierdź czyszczenie przez Y. Poczekaj aż ukończy i komputer zresetuje
Potem wejdz do folderu C:\SDFix wrzuc zawartość pliku Report.txt + log z combofixa oraz daj loga z hijacka
-
wojtas - *mod
- Posty: 18165
- Dołączenie: 13 Sty 2006, 16:00
- Miejscowość: Krzeszyce
- Pochwały: 1656
Re: dziwny wirus
przez Gacek89 19 Lut 2009, 22:14
- Kod: Zaznacz wszystko
[b]SDFix: Version 1.240 [/b]
Run by Krzysiek on 2009-02-19 at 19:27
Microsoft Windows XP [Wersja 5.1.2600]
Running From: C:\SDFix
[b]Checking Services [/b]:
Restoring Default Security Values
Restoring Default Hosts File
Rebooting
[b]Checking Files [/b]:
No Trojan Files Found
Removing Temp Files
[b]ADS Check [/b]:
[b]Final Check [/b]:
catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-19 19:39:35
Windows 5.1.2600 Dodatek Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden services & system hive ...
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s0"=dword:5ab271a2
"s1"=dword:868217bc
"s2"=dword:9f980ce3
"h0"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"p0"="C:\Program Files\Alcohol Soft\Alcohol 120\"
"h0"=dword:00000000
"ujdew"=hex:0c,cf,e6,c5,a9,ad,d8,83,6b,d5,33,f5,12,23,56,85,82,d1,36,3a,02,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"p0"="C:\Program Files\Alcohol Soft\Alcohol 120\"
"h0"=dword:00000000
"ujdew"=hex:0c,cf,e6,c5,a9,ad,d8,83,6b,d5,33,f5,12,23,56,85,82,d1,36,3a,02,..
scanning hidden registry entries ...
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher]
"TracesProcessed"=dword:00000158
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0
[b]Remaining Services [/b]:
Authorized Application Key Export:
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\\Program Files\\Bonjour\\mDNSResponder.exe"="C:\\Program Files\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour"
"D:\\Program Files\\iTunes\\iTunes.exe"="D:\\Program Files\\iTunes\\iTunes.exe:*:Enabled:iTunes"
"C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"="C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook"
"C:\\Program Files\\Microsoft Office\\Office12\\GROOVE.EXE"="C:\\Program Files\\Microsoft Office\\Office12\\GROOVE.EXE:*:Enabled:Microsoft Office Groove"
"C:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"="C:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE:*:Enabled:Microsoft Office OneNote"
"C:\\WINDOWS\\system32\\LMabcoms.exe"="C:\\WINDOWS\\system32\\LMabcoms.exe:*:Enabled:Lexmark Enhanced TCP/IP"
"D:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"="D:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe:*:Enabled:Logitech Desktop Messenger"
"C:\\Program Files\\Skype\\Phone\\Skype.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"D:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"="D:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe:*:Enabled:Logitech Desktop Messenger"
[b]Remaining Files [/b]:
[b]Files with Hidden Attributes [/b]:
Tue 3 Aug 2004 60,928 A.SH. --- "C:\Program Files\Outlook Express\msimn.exe"
Wed 3 May 2006 163,328 ..SHR --- "C:\WINDOWS\system32\flvDX.dll"
Wed 21 Feb 2007 31,232 ..SHR --- "C:\WINDOWS\system32\msfDX.dll"
Wed 19 Nov 2008 444 ...HR --- "C:\Documents and Settings\Krzysiek\Dane aplikacji\SecuROM\UserData\securom_v7_01.bak"
[b]Finished![/b]
- Kod: Zaznacz wszystko
ComboFix 09-02-18.01 - Krzysiek 2009-02-19 20:17:07.8 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.1023.100 [GMT 1:00]
Uruchomiony z: c:\documents and settings\Krzysiek\Ustawienia lokalne\Dane aplikacji\Opera\Opera\profile\cache4\temporary_download\ComboFix.exe
AV: System Antywirusowy NOD32 2.51 *On-access scanning enabled* (Updated)
FW: Outpost Firewall Pro *enabled*
* Resident AV is active
.
((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\documents and settings\All Users\Dane aplikacji\Microsoft\Network\Downloader\qmgr0.dat
c:\documents and settings\All Users\Dane aplikacji\Microsoft\Network\Downloader\qmgr1.dat
c:\windows\system32\mcenspc.dll
c:\windows\system32\Process.exe
c:\windows\system32\SrchSTS.exe
c:\windows\system32\twain32
c:\windows\system32\twain32\local.ds
c:\windows\system32\twain32\user.ds
c:\windows\system32\twain32\user.ds.lll
c:\windows\system32\twex.exe
----- BITS: Możliwe zainfekowane strony -----
hxxp://banksguard.com
.
((((((((((((((((((((((((( Pliki utworzone od 2009-01-19 do 2009-02-19 )))))))))))))))))))))))))))))))
.
2009-02-19 19:27 . 2009-02-19 19:27 578,560 --a--c--- c:\windows\system32\dllcache\user32.dll
2009-02-18 23:24 . 2009-02-19 19:42 <DIR> d-------- C:\SDFix
2009-02-18 23:19 . 2009-02-18 23:19 <DIR> d-------- c:\program files\SkanerOnline
2009-02-18 23:13 . 2009-02-18 23:13 <DIR> d-------- c:\windows\system32\Kaspersky Lab
2009-02-18 23:13 . 2009-02-18 23:13 <DIR> d-------- c:\documents and settings\All Users\Dane aplikacji\Kaspersky Lab
2009-02-18 16:28 . 2009-02-19 18:15 <DIR> d--hs---- c:\documents and settings\Iza.GACEK\Dane aplikacji\twain32
2009-02-16 22:20 . 2004-08-03 23:44 25,088 --a------ c:\windows\system32\userinit.exe
2009-02-06 00:34 . 2009-02-19 19:37 <DIR> d-------- c:\windows\system32\NtmsData
2009-01-21 17:11 . 2009-01-21 17:11 473,600 --a------ c:\windows\system32\SkanerOnline.dll
.
(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-19 18:47 --------- d-----w c:\documents and settings\Krzysiek\Dane aplikacji\Dropbox
2009-02-19 16:29 --------- d-----w c:\documents and settings\Iza.GACEK\Dane aplikacji\MEGAUPLOADTOOLBAR
2009-02-18 22:19 --------- d-----w c:\documents and settings\Krzysiek\Dane aplikacji\MegauploadToolbar
2009-02-15 11:46 --------- d-----w c:\documents and settings\Krzysiek\Dane aplikacji\Skype
2009-02-15 11:19 --------- d-----w c:\documents and settings\Krzysiek\Dane aplikacji\skypePM
2009-02-10 15:05 --------- d-----w c:\program files\Common Files\Logitech
2009-01-11 20:50 --------- d--h--w c:\program files\InstallShield Installation Information
2009-01-11 20:50 --------- d-----w c:\program files\Leadtek Research Inc
2009-01-10 18:12 --------- d-----w c:\documents and settings\Iza.GACEK\Dane aplikacji\Teleca
2009-01-07 18:49 --------- d-----w c:\program files\ESET
2009-01-07 12:19 --------- d-----w c:\documents and settings\All Users\Dane aplikacji\LogiShrd
2009-01-07 08:43 --------- d-----w c:\program files\Common Files\Logishrd
2009-01-07 08:40 --------- d-----w c:\documents and settings\Krzysiek\Dane aplikacji\InstallShield
2008-12-30 17:25 --------- d-----w c:\program files\Opera
2008-12-06 15:48 127,034 ------r c:\windows\bwUnin-8.1.1.50-8876480SL.exe
2008-11-19 20:16 107,888 ----a-w c:\windows\system32\CmdLineExt.dll
2007-04-05 11:38 76,880 -c--a-w c:\documents and settings\Krzysiek\Autorun.exe
2004-08-03 22:43 439,808 ----a-r c:\documents and settings\Iza.GACEK\Dane aplikacji\twex.exe
2006-05-03 09:06 163,328 --sh--r c:\windows\system32\flvDX.dll
2007-02-21 10:47 31,232 --sh--r c:\windows\system32\msfDX.dll
.
((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\1TortoiseSVN]
@="{30351346-7B7D-4FCC-81B4-1E394CA267EB}"
[HKEY_CLASSES_ROOT\CLSID\{30351346-7B7D-4FCC-81B4-1E394CA267EB}]
2007-08-26 10:40 536576 --a------ c:\program files\TortoiseSVN\bin\tortoisesvn.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\2TortoiseSVN]
@="{30351347-7B7D-4FCC-81B4-1E394CA267EB}"
[HKEY_CLASSES_ROOT\CLSID\{30351347-7B7D-4FCC-81B4-1E394CA267EB}]
2007-08-26 10:40 536576 --a------ c:\program files\TortoiseSVN\bin\tortoisesvn.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\3TortoiseSVN]
@="{30351348-7B7D-4FCC-81B4-1E394CA267EB}"
[HKEY_CLASSES_ROOT\CLSID\{30351348-7B7D-4FCC-81B4-1E394CA267EB}]
2007-08-26 10:40 536576 --a------ c:\program files\TortoiseSVN\bin\tortoisesvn.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\4TortoiseSVN]
@="{3035134B-7B7D-4FCC-81B4-1E394CA267EB}"
[HKEY_CLASSES_ROOT\CLSID\{3035134B-7B7D-4FCC-81B4-1E394CA267EB}]
2007-08-26 10:40 536576 --a------ c:\program files\TortoiseSVN\bin\tortoisesvn.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\5TortoiseSVN]
@="{3035134C-7B7D-4FCC-81B4-1E394CA267EB}"
[HKEY_CLASSES_ROOT\CLSID\{3035134C-7B7D-4FCC-81B4-1E394CA267EB}]
2007-08-26 10:40 536576 --a------ c:\program files\TortoiseSVN\bin\tortoisesvn.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\6TortoiseSVN]
@="{3035134D-7B7D-4FCC-81B4-1E394CA267EB}"
[HKEY_CLASSES_ROOT\CLSID\{3035134D-7B7D-4FCC-81B4-1E394CA267EB}]
2007-08-26 10:40 536576 --a------ c:\program files\TortoiseSVN\bin\tortoisesvn.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\7TortoiseSVN]
@="{3035134E-7B7D-4FCC-81B4-1E394CA267EB}"
[HKEY_CLASSES_ROOT\CLSID\{3035134E-7B7D-4FCC-81B4-1E394CA267EB}]
2007-08-26 10:40 536576 --a------ c:\program files\TortoiseSVN\bin\tortoisesvn.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2008-09-07 08:20 143360 --a------ d:\program files\Dropbox\DropboxExt.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2008-09-07 08:20 143360 --a------ d:\program files\Dropbox\DropboxExt.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2008-09-07 08:20 143360 --a------ d:\program files\Dropbox\DropboxExt.dll
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Konnekt"="d:\konnekt\konnekt.exe" [2005-05-24 503808]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-03 15360]
"NVIDIA nTune"="c:\program files\NVIDIA Corporation\nTune\nTuneCmd.exe" [2007-04-04 81920]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2004-08-04 1667584]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-10-07 13574144]
"nod32kui"="c:\program files\Eset\nod32kui.exe" [2007-09-06 921600]
"OutpostFeedBack"="c:\program files\Agnitum\Outpost Firewall\feedback.exe" [2006-05-11 356420]
"Copy Handler"="c:\program files\Copy Handler\ch.exe" [2005-01-31 146432]
"Sony Ericsson PC Suite"="c:\program files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2005-10-26 159744]
"amd_dc_opt"="c:\program files\AMD\Dual-Core Optimizer\amd_dc_opt.exe" [2007-07-23 77824]
"Outpost Firewall"="c:\program files\Agnitum\Outpost Firewall\outpost.exe" [2006-03-30 91648]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-10-07 86016]
"!AVG Anti-Spyware"="d:\program files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 6731312]
"RTHDCPL"="RTHDCPL.EXE" [2006-05-18 c:\windows\RTHDCPL.exe]
"nwiz"="nwiz.exe" [2008-10-07 c:\windows\system32\nwiz.exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360]
c:\documents and settings\Krzysiek\Menu Start\Programy\Autostart\
Dropbox.lnk - d:\program files\Dropbox\Dropbox.exe [2008-09-26 24096981]
c:\documents and settings\All Users\Menu Start\Programy\Autostart\
BOINC Manager.lnk - d:\program files\BOINC\boincmgr.exe [2008-03-04 4150016]
Logitech Desktop Messenger.lnk - d:\program files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe [2008-12-06 67128]
Logitech SetPoint.lnk - d:\program files\Logitech\SetPoint\SetPoint.exe [2008-12-06 805392]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2008-05-02 02:42 72208 c:\program files\Common Files\Logitech\Bluetooth\LBTWLgn.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.I420"= i420vfw.dll
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Adobe Reader Speed Launch.lnk]
path=c:\documents and settings\All Users\Menu Start\Programy\Autostart\Adobe Reader Speed Launch.lnk
backup=c:\windows\pss\Adobe Reader Speed Launch.lnkCommon Startup
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Adobe Reader Synchronizer.lnk]
path=c:\documents and settings\All Users\Menu Start\Programy\Autostart\Adobe Reader Synchronizer.lnk
backup=c:\windows\pss\Adobe Reader Synchronizer.lnkCommon Startup
[HKLM\~\startupfolder\C:^Documents and Settings^Krzysiek^Menu Start^Programy^Autostart^Adobe Gamma.lnk]
path=c:\documents and settings\Krzysiek\Menu Start\Programy\Autostart\Adobe Gamma.lnk
backup=c:\windows\pss\Adobe Gamma.lnkStartup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\!AVG Anti-Spyware]
--a------ 2007-06-11 10:25 6731312 d:\program files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 21:16 39792 c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
--a------ 2007-01-15 15:14 147456 c:\program files\Common Files\Ahead\Lib\NMBgMonitor.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
--a------ 2004-08-03 23:44 15360 c:\windows\system32\ctfmon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Gadu-Gadu]
--a------ 2008-03-20 11:04 2127296 d:\gadu-gadu\gg.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
--a--c--- 2006-10-26 23:47 31016 c:\program files\Microsoft Office\Office12\GrooveMonitor.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2008-02-19 13:10 267048 d:\program files\iTunes\iTunesHelper.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2004-08-04 00:55 1667584 c:\program files\Messenger\msmsgs.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a--c--- 2006-01-12 14:40 155648 c:\program files\Common Files\Ahead\Lib\NeroCheck.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NVIDIA nTune]
--a------ 2007-04-04 13:20 81920 c:\program files\NVIDIA Corporation\nTune\nTuneCmd.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
--a------ 2008-10-07 13:33 86016 c:\windows\system32\nvmctray.dll
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Odkurzacz-MCD]
--a------ 2008-08-16 15:01 264704 d:\program files\Odkurzacz\odk_mcd.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PWRISOVM.EXE]
--a------ 2007-08-07 01:05 200704 d:\poweriso\PWRISOVM.EXE
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-01-31 23:13 385024 c:\program files\QuickTime\QTTask.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RoboForm]
--a------ 2007-11-29 12:11 144448 d:\ai roboform\robotaskbaricon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a--c--- 2007-07-12 03:00 132496 c:\program files\Java\jre1.6.0_02\bin\jusched.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
--a------ 2008-05-18 16:24 171448 c:\program files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 2007-10-10 06:28 36352 d:\program files\Winamp\winampa.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Kernel and Hardware Abstraction Layer]
--a------ 2008-02-29 03:12 76304 c:\windows\KHALMNPR.Exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Logitech Hardware Abstraction Layer]
--a------ 2008-02-29 03:12 76304 c:\windows\KHALMNPR.Exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2008-10-07 13:33 1630208 c:\windows\system32\nwiz.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
-r---c--- 2006-05-16 11:04 2879488 c:\windows\SkyTel.exe
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"d:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\WINDOWS\\system32\\LMabcoms.exe"=
"d:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
R1 VFILT;Outpost Firewall Kernel Driver;c:\program files\Agnitum\Outpost Firewall\Kernel\filtnt.sys [2007-09-10 125216]
R2 pgsql-8.2;PostgreSQL Database Server 8.2;c:\program files\PostgreSQL\8.2\bin\pg_ctl.exe [2007-09-17 79948]
R3 ADBLOCK.DLL;Outpost Firewall PlugIn (ADBLOCK.DLL);c:\program files\Agnitum\Outpost Firewall\Kernel\adblock.dll [2007-09-10 33600]
R3 ARP.DLL;Outpost Firewall PlugIn (ARP.DLL);c:\program files\Agnitum\Outpost Firewall\Kernel\arp.dll [2007-09-10 17440]
R3 CONTENT.DLL;Outpost Firewall PlugIn (CONTENT.DLL);c:\program files\Agnitum\Outpost Firewall\Kernel\content.dll [2007-09-10 4896]
R3 DNSCACHE.DLL;Outpost Firewall PlugIn (DNSCACHE.DLL);c:\program files\Agnitum\Outpost Firewall\Kernel\dnscache.dll [2007-09-10 14304]
R3 FTPFILT.DLL;Outpost Firewall PlugIn (FTPFILT.DLL);c:\program files\Agnitum\Outpost Firewall\Kernel\ftpfilt.dll [2007-09-10 9024]
R3 HTMLFILT.DLL;Outpost Firewall PlugIn (HTMLFILT.DLL);c:\program files\Agnitum\Outpost Firewall\Kernel\htmlfilt.dll [2007-09-10 11552]
R3 HTTPFILT.DLL;Outpost Firewall PlugIn (HTTPFILT.DLL);c:\program files\Agnitum\Outpost Firewall\Kernel\httpfilt.dll [2007-09-10 13248]
R3 IMAPFILT.DLL;Outpost Firewall PlugIn (IMAPFILT.DLL);c:\program files\Agnitum\Outpost Firewall\Kernel\imapfilt.dll [2007-09-10 7200]
R3 MAILFILT.DLL;Outpost Firewall PlugIn (MAILFILT.DLL);c:\program files\Agnitum\Outpost Firewall\Kernel\mailfilt.dll [2007-09-10 14912]
R3 NNTPFILT.DLL;Outpost Firewall PlugIn (NNTPFILT.DLL);c:\program files\Agnitum\Outpost Firewall\Kernel\nntpfilt.dll [2007-09-10 6752]
R3 POP3FILT.DLL;Outpost Firewall PlugIn (POP3FILT.DLL);c:\program files\Agnitum\Outpost Firewall\Kernel\pop3filt.dll [2007-09-10 9984]
R3 PROTECT.DLL;Outpost Firewall PlugIn (PROTECT.DLL);c:\program files\Agnitum\Outpost Firewall\Kernel\protect.dll [2007-09-10 16960]
R3 SECRET.DLL;Outpost Firewall PlugIn (SECRET.DLL);c:\program files\Agnitum\Outpost Firewall\Kernel\secret.dll [2007-09-10 9696]
S3 FoxAwdWINFLASH;FoxAwdWINFLASH;c:\program files\LiveUpdate\FoxAwdWINFLASH.sys [2006-01-01 4380]
S3 KEYBOARDWDFilter;KEYBOARDWDFilter;c:\windows\system32\drivers\KEYBOARDWD.SYS [2007-11-17 6528]
S3 NPF;WinPcap Packet Driver (NPF);c:\windows\system32\drivers\npf.sys [2007-11-06 34064]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\J]
\Shell\AutoRun\command - J:\Setup.exe -auto
.
Zawartość folderu 'Zaplanowane zadania'
2009-02-16 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2007-08-29 14:57]
2009-02-19 c:\windows\Tasks\backup.job
- c:\windows\system32\ntbackup.exe [2004-08-03 23:44]
2009-02-15 c:\windows\Tasks\Schedule Task Weekly.job
- d:\program files\Registry Easy\RE.exe [2008-09-23 16:30]
.
.
------- Skan uzupełniający -------
.
uInternet Settings,ProxyOverride = *.local
uInternet Settings,ProxyServer = 165.91.83.23:3128
IE: &D&ownload &with BitComet - d:\bitcomet\BitComet.exe/AddLink.htm
IE: &D&ownload all video with BitComet - d:\bitcomet\BitComet.exe/AddVideo.htm
IE: &D&ownload all with BitComet - d:\bitcomet\BitComet.exe/AddAllLink.htm
IE: E&ksportuj do programu Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Pasek Narzędzi RoboForm - file://d:\ai roboform\RoboFormComShowToolbar.html
IE: Personalizuj Menu - file://d:\ai roboform\RoboFormComCustomizeIEMenu.html
IE: Wypełnij Pola - file://d:\ai roboform\RoboFormComFillForms.html
IE: Zapisz Pola - file://d:\ai roboform\RoboFormComSavePass.html
LSP: c:\windows\system32\imon.dll
Handler: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - d:\program files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} - hxxp://downloads.ewido.net/ewidoOnlineScan.cab
DPF: {1E53EA77-34F2-474E-9046-B2B0C86F1821} - hxxp://www.eska.pl/streamplayers/OggX.ocx
DPF: {68282C51-9459-467B-95BF-3C0E89627E55} - hxxp://www.mks.com.pl/skaner/SkanerOnline.cab
FF - ProfilePath - c:\documents and settings\Krzysiek\Dane aplikacji\Mozilla\Firefox\Profiles\zsrau2p3.default\
FF - prefs.js: browser.search.selectedEngine - Yahoo
FF - prefs.js: keyword.URL - hxxp://search.yahoo.com/search?ei=utf-8&fr=megaup&p=
FF - plugin: c:\program files\Mozilla Firefox\plugins\npOggX.dll
FF - plugin: d:\program files\iTunes\Mozilla Plugins\npitunes.dll
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-19 20:19:18
Windows 5.1.2600 Dodatek Service Pack 2 NTFS
skanowanie ukrytych procesów ...
skanowanie ukrytych wpisów autostartu ...
skanowanie ukrytych plików ...
skanowanie pomyślnie ukończone
ukryte pliki: 0
**************************************************************************
.
--------------------- ZABLOKOWANE KLUCZE REJESTRU ---------------------
[HKEY_USERS\S-1-5-21-1957994488-1450960922-839522115-1003\Software\SecuROM\License information*]
"datasecu"=hex:e6,fb,3d,3b,79,9b,a6,ff,be,9b,77,d9,b1,07,f1,98,72,34,dc,f5,0e,
a3,fa,f0,e4,e4,a7,9b,11,00,f6,5e,f0,65,10,d0,02,c6,42,84,a2,66,ec,41,8a,a5,\
"rkeysecu"=hex:cd,b6,20,60,58,b7,73,a4,11,39,29,11,5e,d8,fc,c8
.
--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------
- - - - - - - > 'winlogon.exe'(1304)
c:\program files\common files\logitech\bluetooth\LBTWlgn.dll
c:\program files\common files\logitech\bluetooth\LBTServ.dll
.
Czas ukończenia: 2009-02-19 20:20:55
ComboFix-quarantined-files.txt 2009-02-19 19:20:24
ComboFix2.txt 2008-10-15 18:12:44
Przed: 1 024 671 744 bajtów wolnych
Po: 1,493,995,520 bajtów wolnych
277
- Kod: Zaznacz wszystko
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:11:03, on 2009-02-19
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
D:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Eset\nod32krn.exe
C:\Program Files\NVIDIA Corporation\nTune\nTuneService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Agnitum\Outpost Firewall\outpost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\dllhost.exe
C:\Program Files\TortoiseSVN\bin\TSVNCache.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\Copy Handler\ch.exe
C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
D:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
D:\Konnekt\konnekt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Common Files\Teleca Shared\CapabilityManager.exe
D:\Program Files\BOINC\boincmgr.exe
D:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
D:\Program Files\Logitech\SetPoint\SetPoint.exe
D:\Program Files\Dropbox\Dropbox.exe
C:\Program Files\Common Files\Logishrd\KHAL2\KHALMNPR.EXE
C:\Program Files\Common Files\Teleca Shared\Generic.exe
C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
D:\Program Files\BOINC\boinc.exe
D:\Program Files\BOINC\projects\www.primegrid.com\primegrid_psp_sr2sieve_wrapper_1.11_windows_intelx86.exe
D:\Program Files\BOINC\projects\www.primegrid.com\primegrid_psp_sr2sieve_wrapper_1.11_windows_intelx86.exe
D:\Program Files\BOINC\slots\1\primegrid_sr2sieve_1.11_windows_intelx86.exe
D:\Program Files\BOINC\slots\3\primegrid_sr2sieve_1.11_windows_intelx86.exe
C:\WINDOWS\explorer.exe
D:\Valve\hlds.exe
C:\Program Files\Opera\opera.exe
C:\HiJackThis\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 165.91.83.23:3128
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: (no name) - AutorunsDisabled - (no file)
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - D:\BitComet\tools\BitCometBHO_1.1.8.30.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [OutpostFeedBack] C:\Program Files\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup
O4 - HKLM\..\Run: [Copy Handler] C:\Program Files\Copy Handler\ch.exe
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [amd_dc_opt] C:\Program Files\AMD\Dual-Core Optimizer\amd_dc_opt.exe
O4 - HKLM\..\Run: [Outpost Firewall] C:\Program Files\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "D:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [Konnekt] "D:\Konnekt\konnekt.exe" /autostart
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NVIDIA nTune] "C:\Program Files\NVIDIA Corporation\nTune\nTuneCmd.exe" clear
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-21-1957994488-1450960922-839522115-1008\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Krzysiek2')
O4 - HKUS\S-1-5-21-1957994488-1450960922-839522115-1008\..\RunOnce: [NeroHomeFirstStart] C:\Program Files\Common Files\Ahead\Lib\NMFirstStart.exe (User 'Krzysiek2')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Dropbox.lnk = D:\Program Files\Dropbox\Dropbox.exe
O4 - Global Startup: BOINC Manager.lnk = D:\Program Files\BOINC\boincmgr.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = D:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Global Startup: Logitech SetPoint.lnk = D:\Program Files\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: &D&ownload &with BitComet - res://D:\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://D:\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://D:\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Pasek Narzędzi RoboForm - file://D:\AI RoboForm\RoboFormComShowToolbar.html
O8 - Extra context menu item: Personalizuj Menu - file://D:\AI RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: Wypełnij Pola - file://D:\AI RoboForm\RoboFormComFillForms.html
O8 - Extra context menu item: Zapisz Pola - file://D:\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Wyślij do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: Wyślij &do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: BitComet Search - {461CC20B-FB6E-4f16-8FE8-C29359DB100E} - D:\BitComet\tools\BitCometBHO_1.1.8.30.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.pl/resources/virusscanner/kavwebscan_unicode.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {1E53EA77-34F2-474E-9046-B2B0C86F1821} (OggX Control) - http://www.eska.pl/streamplayers/OggX.ocx
O16 - DPF: {4EFA317A-8569-4788-B175-5BAF9731A549} (Microsoft Virtual Server VMRC Advanced Control) - https://www.microsoft.com/resources/virtuallabs/ActiveX/VMRCActiveXClient1.cab
O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - D:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - D:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Usługa iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\Logitech\Bluetooth\LBTServ.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: lmab_device - Unknown owner - C:\WINDOWS\system32\LMabcoms.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Program Files\NVIDIA Corporation\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Program Files\Agnitum\Outpost Firewall\outpost.exe
O23 - Service: PostgreSQL Database Server 8.2 (pgsql-8.2) - PostgreSQL Global Development Group - C:\Program Files\PostgreSQL\8.2\bin\pg_ctl.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe
--
End of file - 10231 bytes
- Gacek89
- ~user
- Posty: 391
- Dołączenie: 22 Sie 2005, 11:11
- Miejscowość: Katowice
- Pochwały: 2
-
Dziwny wirus
przez wojtas 20 Lut 2009, 00:48
Otworz notatnik i wklej w nim to:
>>Plik>>Zapisz jako... >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
-->
Ma się rozpocząć usuwanie. (i powstanie log).Daj ten log, który powstanie w trakcie usuwania.
File::
c:\documents and settings\Krzysiek\Autorun.exe
c:\documents and settings\Iza.GACEK\Dane aplikacji\twex.exe
>>Plik>>Zapisz jako... >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
-->
Ma się rozpocząć usuwanie. (i powstanie log).Daj ten log, który powstanie w trakcie usuwania.
-
wojtas - *mod
- Posty: 18165
- Dołączenie: 13 Sty 2006, 16:00
- Miejscowość: Krzeszyce
- Pochwały: 1656
-
Re: dziwny wirus
przez Gacek89 20 Lut 2009, 11:59
- Kod: Zaznacz wszystko
ComboFix 09-02-18.01 - Krzysiek 2009-02-20 10:50:36.9 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.1023.184 [GMT 1:00]
Uruchomiony z: c:\documents and settings\Krzysiek\Ustawienia lokalne\Dane aplikacji\Opera\Opera\profile\cache4\temporary_download\ComboFix.exe
Użyto następujących komend :: c:\documents and settings\Krzysiek\Ustawienia lokalne\Dane aplikacji\Opera\Opera\profile\cache4\temporary_download\CFScript.txt
AV: System Antywirusowy NOD32 2.51 *On-access scanning enabled* (Updated)
FW: Outpost Firewall Pro *enabled*
* Utworzono nowy punkt przywracania
* Resident AV is active
FILE ::
c:\documents and settings\Iza.GACEK\Dane aplikacji\twex.exe
c:\documents and settings\Krzysiek\Autorun.exe
.
((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\documents and settings\Iza.GACEK\Dane aplikacji\twex.exe
c:\documents and settings\Krzysiek\Autorun.exe
.
((((((((((((((((((((((((( Pliki utworzone od 2009-01-20 do 2009-02-20 )))))))))))))))))))))))))))))))
.
2009-02-19 21:10 . 2009-02-19 21:11 <DIR> d-------- C:\HiJackThis
2009-02-19 19:27 . 2009-02-19 19:27 578,560 --a--c--- c:\windows\system32\dllcache\user32.dll
2009-02-18 23:24 . 2009-02-19 19:42 <DIR> d-------- C:\SDFix
2009-02-18 23:19 . 2009-02-18 23:19 <DIR> d-------- c:\program files\SkanerOnline
2009-02-18 23:13 . 2009-02-18 23:13 <DIR> d-------- c:\windows\system32\Kaspersky Lab
2009-02-18 23:13 . 2009-02-18 23:13 <DIR> d-------- c:\documents and settings\All Users\Dane aplikacji\Kaspersky Lab
2009-02-18 16:28 . 2009-02-19 18:15 <DIR> d--hs---- c:\documents and settings\Iza.GACEK\Dane aplikacji\twain32
2009-02-16 22:20 . 2004-08-03 23:44 25,088 --a------ c:\windows\system32\userinit.exe
2009-02-06 00:34 . 2009-02-20 10:26 <DIR> d-------- c:\windows\system32\NtmsData
2009-01-21 17:11 . 2009-01-21 17:11 473,600 --a------ c:\windows\system32\SkanerOnline.dll
.
(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-20 09:27 --------- d-----w c:\documents and settings\Krzysiek\Dane aplikacji\Dropbox
2009-02-19 16:29 --------- d-----w c:\documents and settings\Iza.GACEK\Dane aplikacji\MEGAUPLOADTOOLBAR
2009-02-18 22:19 --------- d-----w c:\documents and settings\Krzysiek\Dane aplikacji\MegauploadToolbar
2009-02-15 11:46 --------- d-----w c:\documents and settings\Krzysiek\Dane aplikacji\Skype
2009-02-15 11:19 --------- d-----w c:\documents and settings\Krzysiek\Dane aplikacji\skypePM
2009-02-10 15:05 --------- d-----w c:\program files\Common Files\Logitech
2009-01-11 20:50 --------- d--h--w c:\program files\InstallShield Installation Information
2009-01-11 20:50 --------- d-----w c:\program files\Leadtek Research Inc
2009-01-10 18:12 --------- d-----w c:\documents and settings\Iza.GACEK\Dane aplikacji\Teleca
2009-01-07 18:49 --------- d-----w c:\program files\ESET
2009-01-07 12:19 --------- d-----w c:\documents and settings\All Users\Dane aplikacji\LogiShrd
2009-01-07 08:43 --------- d-----w c:\program files\Common Files\Logishrd
2009-01-07 08:40 --------- d-----w c:\documents and settings\Krzysiek\Dane aplikacji\InstallShield
2008-12-30 17:25 --------- d-----w c:\program files\Opera
2008-12-06 15:48 127,034 ------r c:\windows\bwUnin-8.1.1.50-8876480SL.exe
2006-05-03 09:06 163,328 --sh--r c:\windows\system32\flvDX.dll
2007-02-21 10:47 31,232 --sh--r c:\windows\system32\msfDX.dll
.
((((((((((((((((((((((((((((( SnapShot@2009-02-19_20.19.46,06 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-02-20 09:24:57 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_324.dat
.
((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\1TortoiseSVN]
@="{30351346-7B7D-4FCC-81B4-1E394CA267EB}"
[HKEY_CLASSES_ROOT\CLSID\{30351346-7B7D-4FCC-81B4-1E394CA267EB}]
2007-08-26 10:40 536576 --a------ c:\program files\TortoiseSVN\bin\tortoisesvn.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\2TortoiseSVN]
@="{30351347-7B7D-4FCC-81B4-1E394CA267EB}"
[HKEY_CLASSES_ROOT\CLSID\{30351347-7B7D-4FCC-81B4-1E394CA267EB}]
2007-08-26 10:40 536576 --a------ c:\program files\TortoiseSVN\bin\tortoisesvn.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\3TortoiseSVN]
@="{30351348-7B7D-4FCC-81B4-1E394CA267EB}"
[HKEY_CLASSES_ROOT\CLSID\{30351348-7B7D-4FCC-81B4-1E394CA267EB}]
2007-08-26 10:40 536576 --a------ c:\program files\TortoiseSVN\bin\tortoisesvn.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\4TortoiseSVN]
@="{3035134B-7B7D-4FCC-81B4-1E394CA267EB}"
[HKEY_CLASSES_ROOT\CLSID\{3035134B-7B7D-4FCC-81B4-1E394CA267EB}]
2007-08-26 10:40 536576 --a------ c:\program files\TortoiseSVN\bin\tortoisesvn.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\5TortoiseSVN]
@="{3035134C-7B7D-4FCC-81B4-1E394CA267EB}"
[HKEY_CLASSES_ROOT\CLSID\{3035134C-7B7D-4FCC-81B4-1E394CA267EB}]
2007-08-26 10:40 536576 --a------ c:\program files\TortoiseSVN\bin\tortoisesvn.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\6TortoiseSVN]
@="{3035134D-7B7D-4FCC-81B4-1E394CA267EB}"
[HKEY_CLASSES_ROOT\CLSID\{3035134D-7B7D-4FCC-81B4-1E394CA267EB}]
2007-08-26 10:40 536576 --a------ c:\program files\TortoiseSVN\bin\tortoisesvn.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\7TortoiseSVN]
@="{3035134E-7B7D-4FCC-81B4-1E394CA267EB}"
[HKEY_CLASSES_ROOT\CLSID\{3035134E-7B7D-4FCC-81B4-1E394CA267EB}]
2007-08-26 10:40 536576 --a------ c:\program files\TortoiseSVN\bin\tortoisesvn.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2008-09-07 08:20 143360 --a------ d:\program files\Dropbox\DropboxExt.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2008-09-07 08:20 143360 --a------ d:\program files\Dropbox\DropboxExt.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2008-09-07 08:20 143360 --a------ d:\program files\Dropbox\DropboxExt.dll
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Konnekt"="d:\konnekt\konnekt.exe" [2005-05-24 503808]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-03 15360]
"NVIDIA nTune"="c:\program files\NVIDIA Corporation\nTune\nTuneCmd.exe" [2007-04-04 81920]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2004-08-04 1667584]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-10-07 13574144]
"nod32kui"="c:\program files\Eset\nod32kui.exe" [2007-09-06 921600]
"OutpostFeedBack"="c:\program files\Agnitum\Outpost Firewall\feedback.exe" [2006-05-11 356420]
"Copy Handler"="c:\program files\Copy Handler\ch.exe" [2005-01-31 146432]
"Sony Ericsson PC Suite"="c:\program files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2005-10-26 159744]
"amd_dc_opt"="c:\program files\AMD\Dual-Core Optimizer\amd_dc_opt.exe" [2007-07-23 77824]
"Outpost Firewall"="c:\program files\Agnitum\Outpost Firewall\outpost.exe" [2006-03-30 91648]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-10-07 86016]
"!AVG Anti-Spyware"="d:\program files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 6731312]
"RTHDCPL"="RTHDCPL.EXE" [2006-05-18 c:\windows\RTHDCPL.exe]
"nwiz"="nwiz.exe" [2008-10-07 c:\windows\system32\nwiz.exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360]
c:\documents and settings\Krzysiek\Menu Start\Programy\Autostart\
Dropbox.lnk - d:\program files\Dropbox\Dropbox.exe [2008-09-26 24096981]
c:\documents and settings\All Users\Menu Start\Programy\Autostart\
BOINC Manager.lnk - d:\program files\BOINC\boincmgr.exe [2008-03-04 4150016]
Logitech Desktop Messenger.lnk - d:\program files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe [2008-12-06 67128]
Logitech SetPoint.lnk - d:\program files\Logitech\SetPoint\SetPoint.exe [2008-12-06 805392]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2008-05-02 02:42 72208 c:\program files\Common Files\Logitech\Bluetooth\LBTWLgn.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.I420"= i420vfw.dll
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Adobe Reader Speed Launch.lnk]
path=c:\documents and settings\All Users\Menu Start\Programy\Autostart\Adobe Reader Speed Launch.lnk
backup=c:\windows\pss\Adobe Reader Speed Launch.lnkCommon Startup
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Adobe Reader Synchronizer.lnk]
path=c:\documents and settings\All Users\Menu Start\Programy\Autostart\Adobe Reader Synchronizer.lnk
backup=c:\windows\pss\Adobe Reader Synchronizer.lnkCommon Startup
[HKLM\~\startupfolder\C:^Documents and Settings^Krzysiek^Menu Start^Programy^Autostart^Adobe Gamma.lnk]
path=c:\documents and settings\Krzysiek\Menu Start\Programy\Autostart\Adobe Gamma.lnk
backup=c:\windows\pss\Adobe Gamma.lnkStartup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\!AVG Anti-Spyware]
--a------ 2007-06-11 10:25 6731312 d:\program files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 21:16 39792 c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
--a------ 2007-01-15 15:14 147456 c:\program files\Common Files\Ahead\Lib\NMBgMonitor.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
--a------ 2004-08-03 23:44 15360 c:\windows\system32\ctfmon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Gadu-Gadu]
--a------ 2008-03-20 11:04 2127296 d:\gadu-gadu\gg.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
--a--c--- 2006-10-26 23:47 31016 c:\program files\Microsoft Office\Office12\GrooveMonitor.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2008-02-19 13:10 267048 d:\program files\iTunes\iTunesHelper.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2004-08-04 00:55 1667584 c:\program files\Messenger\msmsgs.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a--c--- 2006-01-12 14:40 155648 c:\program files\Common Files\Ahead\Lib\NeroCheck.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NVIDIA nTune]
--a------ 2007-04-04 13:20 81920 c:\program files\NVIDIA Corporation\nTune\nTuneCmd.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
--a------ 2008-10-07 13:33 86016 c:\windows\system32\nvmctray.dll
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Odkurzacz-MCD]
--a------ 2008-08-16 15:01 264704 d:\program files\Odkurzacz\odk_mcd.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PWRISOVM.EXE]
--a------ 2007-08-07 01:05 200704 d:\poweriso\PWRISOVM.EXE
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-01-31 23:13 385024 c:\program files\QuickTime\QTTask.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RoboForm]
--a------ 2007-11-29 12:11 144448 d:\ai roboform\robotaskbaricon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a--c--- 2007-07-12 03:00 132496 c:\program files\Java\jre1.6.0_02\bin\jusched.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
--a------ 2008-05-18 16:24 171448 c:\program files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 2007-10-10 06:28 36352 d:\program files\Winamp\winampa.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Kernel and Hardware Abstraction Layer]
--a------ 2008-02-29 03:12 76304 c:\windows\KHALMNPR.Exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Logitech Hardware Abstraction Layer]
--a------ 2008-02-29 03:12 76304 c:\windows\KHALMNPR.Exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2008-10-07 13:33 1630208 c:\windows\system32\nwiz.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
-r---c--- 2006-05-16 11:04 2879488 c:\windows\SkyTel.exe
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"d:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\WINDOWS\\system32\\LMabcoms.exe"=
"d:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
R1 VFILT;Outpost Firewall Kernel Driver;c:\program files\Agnitum\Outpost Firewall\Kernel\filtnt.sys [2007-09-10 125216]
R2 pgsql-8.2;PostgreSQL Database Server 8.2;c:\program files\PostgreSQL\8.2\bin\pg_ctl.exe [2007-09-17 79948]
R3 ADBLOCK.DLL;Outpost Firewall PlugIn (ADBLOCK.DLL);c:\program files\Agnitum\Outpost Firewall\Kernel\adblock.dll [2007-09-10 33600]
R3 ARP.DLL;Outpost Firewall PlugIn (ARP.DLL);c:\program files\Agnitum\Outpost Firewall\Kernel\arp.dll [2007-09-10 17440]
R3 CONTENT.DLL;Outpost Firewall PlugIn (CONTENT.DLL);c:\program files\Agnitum\Outpost Firewall\Kernel\content.dll [2007-09-10 4896]
R3 DNSCACHE.DLL;Outpost Firewall PlugIn (DNSCACHE.DLL);c:\program files\Agnitum\Outpost Firewall\Kernel\dnscache.dll [2007-09-10 14304]
R3 FTPFILT.DLL;Outpost Firewall PlugIn (FTPFILT.DLL);c:\program files\Agnitum\Outpost Firewall\Kernel\ftpfilt.dll [2007-09-10 9024]
R3 HTMLFILT.DLL;Outpost Firewall PlugIn (HTMLFILT.DLL);c:\program files\Agnitum\Outpost Firewall\Kernel\htmlfilt.dll [2007-09-10 11552]
R3 HTTPFILT.DLL;Outpost Firewall PlugIn (HTTPFILT.DLL);c:\program files\Agnitum\Outpost Firewall\Kernel\httpfilt.dll [2007-09-10 13248]
R3 IMAPFILT.DLL;Outpost Firewall PlugIn (IMAPFILT.DLL);c:\program files\Agnitum\Outpost Firewall\Kernel\imapfilt.dll [2007-09-10 7200]
R3 MAILFILT.DLL;Outpost Firewall PlugIn (MAILFILT.DLL);c:\program files\Agnitum\Outpost Firewall\Kernel\mailfilt.dll [2007-09-10 14912]
R3 NNTPFILT.DLL;Outpost Firewall PlugIn (NNTPFILT.DLL);c:\program files\Agnitum\Outpost Firewall\Kernel\nntpfilt.dll [2007-09-10 6752]
R3 POP3FILT.DLL;Outpost Firewall PlugIn (POP3FILT.DLL);c:\program files\Agnitum\Outpost Firewall\Kernel\pop3filt.dll [2007-09-10 9984]
R3 PROTECT.DLL;Outpost Firewall PlugIn (PROTECT.DLL);c:\program files\Agnitum\Outpost Firewall\Kernel\protect.dll [2007-09-10 16960]
R3 SECRET.DLL;Outpost Firewall PlugIn (SECRET.DLL);c:\program files\Agnitum\Outpost Firewall\Kernel\secret.dll [2007-09-10 9696]
S3 FoxAwdWINFLASH;FoxAwdWINFLASH;c:\program files\LiveUpdate\FoxAwdWINFLASH.sys [2006-01-01 4380]
S3 KEYBOARDWDFilter;KEYBOARDWDFilter;c:\windows\system32\drivers\KEYBOARDWD.SYS [2007-11-17 6528]
S3 NPF;WinPcap Packet Driver (NPF);c:\windows\system32\drivers\npf.sys [2007-11-06 34064]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\J]
\Shell\AutoRun\command - J:\Setup.exe -auto
.
Zawartość folderu 'Zaplanowane zadania'
2009-02-16 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2007-08-29 14:57]
2009-02-20 c:\windows\Tasks\backup.job
- c:\windows\system32\ntbackup.exe [2004-08-03 23:44]
2009-02-15 c:\windows\Tasks\Schedule Task Weekly.job
- d:\program files\Registry Easy\RE.exe [2008-09-23 16:30]
.
.
------- Skan uzupełniający -------
.
uInternet Settings,ProxyOverride = *.local
uInternet Settings,ProxyServer = 165.91.83.23:3128
IE: &D&ownload &with BitComet - d:\bitcomet\BitComet.exe/AddLink.htm
IE: &D&ownload all video with BitComet - d:\bitcomet\BitComet.exe/AddVideo.htm
IE: &D&ownload all with BitComet - d:\bitcomet\BitComet.exe/AddAllLink.htm
IE: E&ksportuj do programu Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Pasek Narzędzi RoboForm - file://d:\ai roboform\RoboFormComShowToolbar.html
IE: Personalizuj Menu - file://d:\ai roboform\RoboFormComCustomizeIEMenu.html
IE: Wypełnij Pola - file://d:\ai roboform\RoboFormComFillForms.html
IE: Zapisz Pola - file://d:\ai roboform\RoboFormComSavePass.html
LSP: c:\windows\system32\imon.dll
Handler: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - d:\program files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} - hxxp://downloads.ewido.net/ewidoOnlineScan.cab
DPF: {1E53EA77-34F2-474E-9046-B2B0C86F1821} - hxxp://www.eska.pl/streamplayers/OggX.ocx
DPF: {68282C51-9459-467B-95BF-3C0E89627E55} - hxxp://www.mks.com.pl/skaner/SkanerOnline.cab
FF - ProfilePath - c:\documents and settings\Krzysiek\Dane aplikacji\Mozilla\Firefox\Profiles\zsrau2p3.default\
FF - prefs.js: browser.search.selectedEngine - Yahoo
FF - prefs.js: keyword.URL - hxxp://search.yahoo.com/search?ei=utf-8&fr=megaup&p=
FF - plugin: c:\program files\Mozilla Firefox\plugins\npOggX.dll
FF - plugin: d:\program files\iTunes\Mozilla Plugins\npitunes.dll
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-20 10:53:29
Windows 5.1.2600 Dodatek Service Pack 2 NTFS
skanowanie ukrytych procesów ...
skanowanie ukrytych wpisów autostartu ...
skanowanie ukrytych plików ...
skanowanie pomyślnie ukończone
ukryte pliki: 0
**************************************************************************
.
--------------------- ZABLOKOWANE KLUCZE REJESTRU ---------------------
[HKEY_USERS\S-1-5-21-1957994488-1450960922-839522115-1003\Software\SecuROM\License information*]
"datasecu"=hex:e6,fb,3d,3b,79,9b,a6,ff,be,9b,77,d9,b1,07,f1,98,72,34,dc,f5,0e,
a3,fa,f0,e4,e4,a7,9b,11,00,f6,5e,f0,65,10,d0,02,c6,42,84,a2,66,ec,41,8a,a5,\
"rkeysecu"=hex:cd,b6,20,60,58,b7,73,a4,11,39,29,11,5e,d8,fc,c8
.
--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------
- - - - - - - > 'winlogon.exe'(1304)
c:\program files\common files\logitech\bluetooth\LBTWlgn.dll
c:\program files\common files\logitech\bluetooth\LBTServ.dll
.
Czas ukończenia: 2009-02-20 10:55:22
ComboFix-quarantined-files.txt 2009-02-20 09:54:56
ComboFix2.txt 2009-02-19 19:20:56
ComboFix3.txt 2008-10-15 18:12:44
Przed: 1 473 085 440 bajtów wolnych
Po: 1,459,752,960 bajtów wolnych
275
ale chciał bym zaznaczy ze przed wykonaniem pierszego skanowania wirus umilkł, mianowice po kolejnym uruchomieniu juz firewall i antywirus niekrzyczały tak o niebespieczeństwie
- Gacek89
- ~user
- Posty: 391
- Dołączenie: 22 Sie 2005, 11:11
- Miejscowość: Katowice
- Pochwały: 2
-
Dziwny wirus
przez wojtas 20 Lut 2009, 16:14
1. Ściągnij OTMoveIt i go włacz i odpal go z opcji CleanUp 
oraz skasuj folder C:\Qoobox
2. wykonaj optymalizację windowsa
3.sciagnij ATF_Cleaner
zaznacz
Windows Temp
All users Temp
Temporary internet files
Recycle Bin
i wcisnij EMPTY SELECTED
4.Wyłącz przywracanie systemu ( właściwości mój komputer-zakładka przywracanie - wyłącz przywracanie na wszystkich dyskach). Po chwili włącz je powrotem
5. Wykonaj skan Dr. Web CureIt
6. Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum.
i tym:
FixIEDef.
oraz skasuj folder C:\Qoobox2. wykonaj optymalizację windowsa
3.sciagnij ATF_Cleaner
zaznacz
Windows Temp
All users Temp
Temporary internet files
Recycle Bin
i wcisnij EMPTY SELECTED
4.Wyłącz przywracanie systemu ( właściwości mój komputer-zakładka przywracanie - wyłącz przywracanie na wszystkich dyskach). Po chwili włącz je powrotem
5. Wykonaj skan Dr. Web CureIt
6. Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum.
i tym:
FixIEDef.
-
wojtas - *mod
- Posty: 18165
- Dołączenie: 13 Sty 2006, 16:00
- Miejscowość: Krzeszyce
- Pochwały: 1656
-
Re: dziwny wirus
przez Gacek89 23 Lut 2009, 02:32
kaspersky nic nieznalazł
moze dziennik antyvira(NOD32) w czyms pomoze
- Kod: Zaznacz wszystko
********************************************************************************
* *
* FixIEDef Log *
* Version 1.7.22.7472 *
* *
********************************************************************************
Created at 01:27:36 on Monday, February 23, 2009
Time Zone :
Logged On User : Krzysiek
Operating System : Microsoft Windows XP Professional Dodatek Service Pack 2
OS Architecture : X86
System Langauge : Polish
Keyboard Layout : Polish
Processor : X64 AMD Athlon(tm) 64 X2 Dual Core Processor 4000+
System Drive : C:\
Windows Directory : C:\WINDOWS
System Directory : C:\WINDOWS\system32
System Drive Type : Fixed
System Drive Status : READY
System Drive Label :
System Drive Size : 10 GB
System Drive Free : 1.24 GB
Total Physical Memory: 1023 MB
Free Physical Memory : 446 MB
Total Page File : 1023 MB
Free Page File : 2113 MB
Total Virtual Memory : 2048 MB
Free Virtual Memory : 1941 MB
Boot State : Normal boot
--------------------------------------------------------------------------------
!!! userinit.exe is Clean !!!
--------------------------------------------------------------------------------
!!! Files that have been deleted !!!
--------------------------------------------------------------------------------
!!! Directories that have been removed !!!
No malicious directories to be removed
--------------------------------------------------------------------------------
!!! Registry entries that have been removed !!!
No malicious Registry entries found
================================================================================
All Done :)
ShadowPuterDude
Safe Surfing!!!
moze dziennik antyvira(NOD32) w czyms pomoze
- Kod: Zaznacz wszystko
Czas Moduł Obiekt Nazwa Wirus Czynność Użytkownik Informacje
2009-02-21 22:16:17 IMON zbiór http://85.17.189.183/clicksagent/?h=9ad06e0100f07002da639a9a060000000002c15031930001040900000000170 Win32/Agent.OXB trojan GACEK\Krzysiek
2009-02-20 10:51:14 AMON zbiór C:\Qoobox\Quarantine\c\Documents and Settings\Iza.GACEK\Dane aplikacji\twex.exe.vir Win32/Spy.Zbot.JF trojan Kwarantanna - usunięty Zdarzenie miało miejsce w trakcie tworzenia nowego zbioru. Zbiór został przeniesiony do kwarantanny.
2009-02-20 10:50:54 AMON zbiór C:\DOCUME~1\Krzysiek\USTAWI~1\Temp\Av-test.txt Eicar zbiór testowy Kwarantanna - usunięty GACEK\Krzysiek Zdarzenie miało miejsce podczas próby tworzenia nowego zbioru przez program: C:\WINDOWS\system32\CF12876.exe. Zbiór został przeniesiony do kwarantanny.
2009-02-19 20:17:27 AMON zbiór C:\DOCUME~1\Krzysiek\USTAWI~1\Temp\Av-test.txt Eicar zbiór testowy Kwarantanna - usunięty GACEK\Krzysiek Zdarzenie miało miejsce podczas próby tworzenia nowego zbioru przez program: C:\WINDOWS\system32\CF5596.exe. Zbiór został przeniesiony do kwarantanny.
2009-02-18 21:34:23 IMON zbiór http://banksguard.com/picxxx/file.php?del prawdopodobnie odmiana Win32/Statik Program
2009-02-18 21:10:55 IMON zbiór http://banksguard.com/picxxx/file.php?del prawdopodobnie odmiana Win32/Statik Program GACEK\Krzysiek
2009-02-18 21:10:51 IMON zbiór http://banksguard.com/picxxx/file.php?del prawdopodobnie odmiana Win32/Statik Program GACEK\Krzysiek
2009-02-18 20:55:47 IMON zbiór http://banksguard.com/picxxx/file.php?del prawdopodobnie odmiana Win32/Statik Program GACEK\Krzysiek
2009-02-18 20:55:46 IMON zbiór http://banksguard.com/picxxx/file.php?del prawdopodobnie odmiana Win32/Statik Program GACEK\Krzysiek
2009-02-18 20:40:43 IMON zbiór http://banksguard.com/picxxx/file.php?del prawdopodobnie odmiana Win32/Statik Program GACEK\Krzysiek
2009-02-18 20:40:41 IMON zbiór http://banksguard.com/picxxx/file.php?del prawdopodobnie odmiana Win32/Statik Program GACEK\Krzysiek
2009-02-18 20:24:48 IMON zbiór http://banksguard.com/picxxx/file.php?del prawdopodobnie odmiana Win32/Statik Program GACEK\Krzysiek
2009-02-18 20:24:45 IMON zbiór http://banksguard.com/picxxx/file.php?del prawdopodobnie odmiana Win32/Statik Program GACEK\Krzysiek
2009-02-18 19:52:39 IMON zbiór http://banksguard.com/picxxx/file.php?del prawdopodobnie odmiana Win32/Statik Program GACEK\Krzysiek
2009-02-18 19:36:53 IMON zbiór http://banksguard.com/picxxx/file.php?del prawdopodobnie odmiana Win32/Statik Program GACEK\Krzysiek
2009-02-18 19:36:51 IMON zbiór http://banksguard.com/picxxx/file.php?del prawdopodobnie odmiana Win32/Statik Program GACEK\Krzysiek
2009-02-18 19:20:43 IMON zbiór http://banksguard.com/picxxx/file.php?del prawdopodobnie odmiana Win32/Statik Program GACEK\Krzysiek
2009-02-18 19:20:31 IMON zbiór http://banksguard.com/picxxx/file.php?del prawdopodobnie odmiana Win32/Statik Program GACEK\Krzysiek
2009-02-18 19:05:32 IMON zbiór http://banksguard.com/picxxx/file.php?del prawdopodobnie odmiana Win32/Statik Program GACEK\Krzysiek
2009-02-18 19:05:21 IMON zbiór http://banksguard.com/picxxx/file.php?del prawdopodobnie odmiana Win32/Statik Program GACEK\Krzysiek
2009-02-18 18:49:50 IMON zbiór http://banksguard.com/picxxx/file.php?del prawdopodobnie odmiana Win32/Statik Program GACEK\Krzysiek
2009-02-18 18:49:50 IMON zbiór http://banksguard.com/picxxx/file.php?del prawdopodobnie odmiana Win32/Statik Program GACEK\Krzysiek
2009-02-18 18:34:43 IMON zbiór http://banksguard.com/picxxx/file.php?del prawdopodobnie odmiana Win32/Statik Program GACEK\Krzysiek
2009-02-18 18:34:42 IMON zbiór http://banksguard.com/picxxx/file.php?del prawdopodobnie odmiana Win32/Statik Program GACEK\Krzysiek
2009-02-18 18:19:32 IMON zbiór http://banksguard.com/picxxx/file.php?del prawdopodobnie odmiana Win32/Statik Program GACEK\Krzysiek
2009-02-18 18:19:16 IMON zbiór http://banksguard.com/picxxx/file.php?del prawdopodobnie odmiana Win32/Statik Program GACEK\Krzysiek
2009-02-18 18:04:27 IMON zbiór http://banksguard.com/picxxx/file.php?del prawdopodobnie odmiana Win32/Statik Program GACEK\Krzysiek
2009-02-18 18:04:13 IMON zbiór http://banksguard.com/picxxx/file.php?del prawdopodobnie odmiana Win32/Statik Program GACEK\Krzysiek
2009-02-18 17:49:23 IMON zbiór http://banksguard.com/picxxx/file.php?del prawdopodobnie odmiana Win32/Statik Program GACEK\Krzysiek
2009-02-18 17:49:10 IMON zbiór http://banksguard.com/picxxx/file.php?del prawdopodobnie odmiana Win32/Statik Program GACEK\Krzysiek
2009-02-18 17:34:19 IMON zbiór http://banksguard.com/picxxx/file.php?del prawdopodobnie odmiana Win32/Statik Program GACEK\Krzysiek
2009-02-18 17:34:04 IMON zbiór http://banksguard.com/picxxx/file.php?del prawdopodobnie odmiana Win32/Statik Program GACEK\Krzysiek
2009-02-18 17:19:12 IMON zbiór http://banksguard.com/picxxx/file.php?del prawdopodobnie odmiana Win32/Statik Program GACEK\Krzysiek
2009-02-18 17:19:00 IMON zbiór http://banksguard.com/picxxx/file.php?del prawdopodobnie odmiana Win32/Statik Program GACEK\Krzysiek
2009-02-18 16:55:08 IMON zbiór http://banksguard.com/picxxx/file.php?del prawdopodobnie odmiana Win32/Statik Program GACEK\Krzysiek
2009-02-18 16:44:39 IMON zbiór http://banksguard.com/picxxx/file.php?del prawdopodobnie odmiana Win32/Statik Program GACEK\Iza
2009-02-18 16:29:30 IMON zbiór http://banksguard.com/picxxx/file.php?del prawdopodobnie odmiana Win32/Statik Program GACEK\Iza
2009-02-18 13:55:41 IMON zbiór http://banksguard.com/picxxx/file.php?del prawdopodobnie odmiana Win32/Statik Program GACEK\Iza
2009-02-18 13:24:27 IMON zbiór http://banksguard.com/picxxx/file.php?del prawdopodobnie odmiana Win32/Statik Program GACEK\Iza
2009-02-18 00:19:41 IMON zbiór http://banksguard.com/picxxx/file.php?del prawdopodobnie odmiana Win32/Statik Program GACEK\Krzysiek
2009-02-18 00:04:38 IMON zbiór http://banksguard.com/picxxx/file.php?del prawdopodobnie odmiana Win32/Statik Program GACEK\Krzysiek
2009-02-17 23:49:35 IMON zbiór http://banksguard.com/picxxx/file.php?del prawdopodobnie odmiana Win32/Statik Program GACEK\Krzysiek
2009-02-17 19:28:56 IMON zbiór http://banksguard.com/picxxx/file.php?del prawdopodobnie odmiana Win32/Statik Program GACEK\Krzysiek
2009-02-17 19:13:52 IMON zbiór http://banksguard.com/picxxx/file.php?del prawdopodobnie odmiana Win32/Statik Program GACEK\Krzysiek
2009-02-17 18:58:41 IMON zbiór http://banksguard.com/picxxx/file.php?del prawdopodobnie odmiana Win32/Statik Program GACEK\Krzysiek
2009-02-17 18:42:19 IMON zbiór http://banksguard.com/picxxx/file.php?del prawdopodobnie odmiana Win32/Statik Program GACEK\Krzysiek
2009-02-17 18:27:14 IMON zbiór http://banksguard.com/picxxx/file.php?del prawdopodobnie odmiana Win32/Statik Program GACEK\Krzysiek
2009-02-17 18:12:06 IMON zbiór http://banksguard.com/picxxx/file.php?del prawdopodobnie odmiana Win32/Statik Program GACEK\Krzysiek
2009-02-17 17:56:57 IMON zbiór http://banksguard.com/picxxx/file.php?del prawdopodobnie odmiana Win32/Statik Program GACEK\Krzysiek
2009-02-17 15:49:51 IMON zbiór http://banksguard.com/picxxx/file.php?del prawdopodobnie odmiana Win32/Statik Program
2009-02-16 22:21:02 IMON zbiór http://banksguard.com/picxxx/file.php?del prawdopodobnie odmiana Win32/Statik Program GACEK\Krzysiek
- Gacek89
- ~user
- Posty: 391
- Dołączenie: 22 Sie 2005, 11:11
- Miejscowość: Katowice
- Pochwały: 2
-
Re: dziwny wirus
przez Gacek89 24 Lut 2009, 16:29
dzieki. mam jeszcze mały problem
to się pojawia w dzienniku firewalla jak próbuje przełączyć się na inny profil i zniego skorzystać z internetu. może ktoś wie jak skonfigurować firewalla
- Kod: Zaznacz wszystko
2009-02-22 12:23:39 gg.exe WYCHODZĄCEODRZUCONE TCP 91.197.13.67 HTTPS Zablokowane przez kontrolę procesów w pamięci
2009-02-22 12:23:19 gg.exe WYCHODZĄCEODRZUCONE TCP 91.197.13.67 8074 Zablokowane przez kontrolę procesów w pamięci
2009-02-22 12:21:44 gg.exe WYCHODZĄCEODRZUCONE TCP 91.197.13.67 HTTPS Zablokowane przez kontrolę procesów w pamięci
2009-02-22 12:21:03 opera.exe WYCHODZĄCEODRZUCONE TCP sitecheck2.opera.com HTTP Zablokowane przez kontrolę procesów w pamięci
2009-02-22 12:20:59 iexplore.exe WYCHODZĄCEODRZUCONE TCP xml.alexa.com HTTP Zablokowane przez kontrolę procesów w pamięci
to się pojawia w dzienniku firewalla jak próbuje przełączyć się na inny profil i zniego skorzystać z internetu. może ktoś wie jak skonfigurować firewalla
- Gacek89
- ~user
- Posty: 391
- Dołączenie: 22 Sie 2005, 11:11
- Miejscowość: Katowice
- Pochwały: 2
-
-
wojtas - *mod
- Posty: 18165
- Dołączenie: 13 Sty 2006, 16:00
- Miejscowość: Krzeszyce
- Pochwały: 1656
-
Dziwny wirus
przez Gacek89 24 Lut 2009, 19:28
to juz czytałem ale nieznalazłem swojego firewalla
mój firewall to Outpost Firewall
mój firewall to Outpost Firewall
- Gacek89
- ~user
- Posty: 391
- Dołączenie: 22 Sie 2005, 11:11
- Miejscowość: Katowice
- Pochwały: 2
-
Dziwny wirus
przez Gacek89 26 Lut 2009, 21:10
a co do wirusa, to nadal cos chyba jest ;/
niektóre dzieja sie bez właczonej przegldarki ...;/
- Kod: Zaznacz wszystko
Czas Moduł Obiekt Nazwa Wirus Czynność Użytkownik Informacje
2009-02-26 18:40:47 IMON zbiór http://truittbros.net/ JS/TrojanClicker.Agent.NAF trojan Połączenie zostało przerwane GACEK\Krzysiek
2009-02-26 18:40:39 IMON zbiór http://truittbros.net/ JS/TrojanClicker.Agent.NAF trojan Połączenie zostało przerwane GACEK\Krzysiek
2009-02-26 15:49:12 IMON zbiór http://85.17.189.183/clicksagent/?h=9ad06e0100f07002da639a9a060000000002c15031930001040900000000170 Win32/TrojanDownloader.Small.OJX trojan Połączenie zostało przerwane GACEK\Krzysiek
2009-02-26 15:47:53 IMON zbiór http://truittbros.net/ JS/TrojanClicker.Agent.NAF trojan Połączenie zostało przerwane GACEK\Krzysiek
2009-02-26 15:47:46 IMON zbiór http://truittbros.net/ JS/TrojanClicker.Agent.NAF trojan Połączenie zostało przerwane GACEK\Krzysiek
2009-02-25 21:56:11 AMON zbiór C:\WINDOWS\system32\mcenspc.dll Win32/TrojanDownloader.Small.OJX trojan usunięty GACEK\Krzysiek Zdarzenie miało miejsce podczas próby dostępu do zbioru przez program: C:\Program Files\Internet Explorer\IEXPLORE.EXE.
niektóre dzieja sie bez właczonej przegldarki ...;/
- Gacek89
- ~user
- Posty: 391
- Dołączenie: 22 Sie 2005, 11:11
- Miejscowość: Katowice
- Pochwały: 2
-
Dziwny wirus
przez wojtas 27 Lut 2009, 14:50
sciagnij killbox’a
Odpalasz Killboxa zaznacz opcję Delete on Reboot następnie w polu Full Path of File to Delete wklej ścieżkę
i nacisnij x
Program będzie pytał o restart (oczywiście zgadzasz się)
Odpalasz Killboxa zaznacz opcję Delete on Reboot następnie w polu Full Path of File to Delete wklej ścieżkę
C:\WINDOWS\system32\mcenspc.dll
i nacisnij x
Program będzie pytał o restart (oczywiście zgadzasz się)
-
wojtas - *mod
- Posty: 18165
- Dołączenie: 13 Sty 2006, 16:00
- Miejscowość: Krzeszyce
- Pochwały: 1656
-
Dziwny wirus
przez Gacek89 27 Lut 2009, 22:30
plik juz został usuniety przez noda
co do tego wirusa to poszukałem po necie i okazło sie ze to jest ten co kradnie hasła ftp i wstawia na stronach złosliwy kod ftp. mi juz hasła ukradł i wstawił ten kod, hasła oczywiście zmienie tylko czy po usuneciu tego pliku jest pewnosc ze nieznajuje sie juz ten wirus na moim kompie?
co do tego wirusa to poszukałem po necie i okazło sie ze to jest ten co kradnie hasła ftp i wstawia na stronach złosliwy kod ftp. mi juz hasła ukradł i wstawił ten kod, hasła oczywiście zmienie tylko czy po usuneciu tego pliku jest pewnosc ze nieznajuje sie juz ten wirus na moim kompie?
- Gacek89
- ~user
- Posty: 391
- Dołączenie: 22 Sie 2005, 11:11
- Miejscowość: Katowice
- Pochwały: 2
-
Dziwny wirus
przez Gacek89 01 Mar 2009, 13:33
- Kod: Zaznacz wszystko
--------------------------------------------------------------------------------
RAPORT KASPERSKY ONLINE SCANNER 7.0
niedziela, 1 marzec 2009
System operacyjny: Microsoft Windows XP Professional Dodatek Service Pack 2 (build 2600)
Wersja Kaspersky Online Scanner: 7.0.26.12
Data ostatniej aktualizacji bazy danych: Saturday, February 28, 2009 17:45:39
Liczba wpisów: 1856215
--------------------------------------------------------------------------------
Ustawienia skanowania:
Typ bazy danych użytej do skanowania: rozszerzona
Skanuj archiwa: tak
Skanuj pocztowe bazy danych: tak
Obszar skanowania - Mój komputer:
A:\
C:\
D:\
E:\
F:\
G:\
H:\
J:\
K:\
L:\
Statystyki skanowania:
Przeskanowanych plików: 309944
Nazwa zagrożenia: 5
Zainfekowanych obiektów: 9
Podejrzanych obiektów: 0
Czas skanowania: 16:39:43
Nazwa pliku / Nazwa zagrożenia / Liczba zagrożeń
C:\Documents and Settings\Krzysiek\Ustawienia lokalne\Dane aplikacji\Opera\Opera\profile\cache4\opr16C61 Zainfekowany: Trojan-Downloader.JS.Iframe.ajt 1
C:\Documents and Settings\Krzysiek\Ustawienia lokalne\temp\wJQs.exe Zainfekowany: Trojan-Spy.Win32.Zbot.olt 1
C:\Documents and Settings\Krzysiek\Ustawienia lokalne\Temporary Internet Files\Content.IE5\RH7U3AKS\clicksagent[1].htm Zainfekowany: Trojan-Spy.Win32.Zbot.olt 1
H:\gadcd\Documents and Settings\Krzysiek\Dane aplikacji\Opera\Opera\mail\store\account1\2007\08\09\25960.mbs Zainfekowany: Trojan-Clicker.HTML.IFrame.cw 1
H:\Moje dokumenty Krzysiek\opera\libeay32.dll Zainfekowany: not-a-virus:PSWTool.Win32.NetPass.fy 1
H:\Moje dokumenty Krzysiek\opera\unwand.exe Zainfekowany: not-a-virus:PSWTool.Win32.NetPass.fy 1
H:\Opera\mail\store\account1\2007\08\09\25960.mbs Zainfekowany: Trojan-Clicker.HTML.IFrame.cw 1
H:\Opera\mail\store\account11\2008\07\03\106539.mbs Zainfekowany: Trojan-Downloader.WMA.GetCodec.b 1
H:\Opera\mail\store\account11\2008\07\03\114261.mbs Zainfekowany: Trojan-Downloader.WMA.GetCodec.b 1
Wybrany obszar został przeskanowany.
- Gacek89
- ~user
- Posty: 391
- Dołączenie: 22 Sie 2005, 11:11
- Miejscowość: Katowice
- Pochwały: 2
-
Dziwny wirus
przez Okocza 01 Mar 2009, 13:57
- Kod: Zaznacz wszystko
File::
H:\Opera\mail\store\account1\2007\08\09\25960.mbs
H:\Opera\mail\store\account11\2008\07\03\106539.mbs
H:\Opera\mail\store\account11\2008\07\03\114261.mbs
H:\gadcd\Documents and Settings\Krzysiek\Dane aplikacji\Opera\Opera\mail\store\account1\2007\08\09\25960.mbs
C:\Documents and Settings\Krzysiek\Ustawienia lokalne\Temporary Internet Files\Content.IE5\RH7U3AKS\clicksagent[1].htm
C:\Documents and Settings\Krzysiek\Ustawienia lokalne\temp\wJQs.exe
C:\Documents and Settings\Krzysiek\Ustawienia lokalne\Dane aplikacji\Opera\Opera\profile\cache4\opr16C61
wklej to do notanika, zapisz jako CFScript.txt i przeciagnij na combofix.exe
potym będzie czysto
eMachines E730G - Core i5-430M, 2GiB RAM, ATI Mobility Radeon HD5470, WD 320GiB; Cort Z-44,DR 0.09-0.42, Peavey Backstage
Mac OS X 10.7.4 Lion // Windows 7 Professional x64 // NIE POMAGAM NA PW/GG/E-MAIL
"Moje Ego i Anima spotykają się i wymieniają przepisami na ciasteczka" - Maynard James Keenan
Mac OS X 10.7.4 Lion // Windows 7 Professional x64 // NIE POMAGAM NA PW/GG/E-MAIL
"Moje Ego i Anima spotykają się i wymieniają przepisami na ciasteczka" - Maynard James Keenan
-
Okocza - ~user
- Posty: 8001
- Dołączenie: 19 Mar 2006, 11:53
- Pochwały: 406
-
Dziwny wirus
przez Gacek89 02 Mar 2009, 18:11
- Kod: Zaznacz wszystko
ComboFix 09-03-01.01 - Krzysiek 2009-03-02 16:59:52.10 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.1023.590 [GMT 1:00]
Uruchomiony z: c:\documents and settings\Krzysiek\Pulpit\ComboFix.exe
Użyto następujących komend :: c:\documents and settings\Krzysiek\Pulpit\CFScript.txt
AV: System Antywirusowy NOD32 2.51 *On-access scanning enabled* (Updated)
FW: Outpost Firewall Pro *enabled*
* Utworzono nowy punkt przywracania
* Resident AV is active
FILE ::
c:\documents and settings\Krzysiek\Ustawienia lokalne\Dane aplikacji\Opera\Opera\profile\cache4\opr16C61
c:\documents and settings\Krzysiek\Ustawienia lokalne\temp\wJQs.exe
c:\documents and settings\Krzysiek\Ustawienia lokalne\Temporary Internet Files\Content.IE5\RH7U3AKS\clicksagent[1].htm
h:\gadcd\Documents and Settings\Krzysiek\Dane aplikacji\Opera\Opera\mail\store\account1\2007\[u]0[/u]8\[u]0[/u]9\25960.mbs
h:\opera\mail\store\account1\2007\[u]0[/u]8\[u]0[/u]9\25960.mbs
h:\opera\mail\store\account11\2008\[u]0[/u]7\[u]0[/u]3\106539.mbs
h:\opera\mail\store\account11\2008\[u]0[/u]7\[u]0[/u]3\114261.mbs
.
((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\documents and settings\Krzysiek\Ustawienia lokalne\Dane aplikacji\Opera\Opera\profile\cache4\opr16C61
c:\documents and settings\Krzysiek\Ustawienia lokalne\temp\wJQs.exe
c:\documents and settings\Krzysiek\Ustawienia lokalne\Temporary Internet Files\Content.IE5\RH7U3AKS\clicksagent[1].htm
c:\windows\system32\twain32
c:\windows\system32\twain32\local.ds
c:\windows\system32\twain32\user.ds
c:\windows\system32\twex.exe
h:\gadcd\Documents and Settings\Krzysiek\Dane aplikacji\Opera\Opera\mail\store\account1\2007\[u]0[/u]8\[u]0[/u]9\25960.mbs
h:\opera\mail\store\account1\2007\[u]0[/u]8\[u]0[/u]9\25960.mbs
h:\opera\mail\store\account11\2008\[u]0[/u]7\[u]0[/u]3\106539.mbs
h:\opera\mail\store\account11\2008\[u]0[/u]7\[u]0[/u]3\114261.mbs
.
((((((((((((((((((((((((( Pliki utworzone od 2009-02-02 do 2009-03-02 )))))))))))))))))))))))))))))))
.
2009-02-27 21:23 . 2009-02-27 21:23 <DIR> d-------- C:\!KillBox
2009-02-23 01:24 . 2009-02-23 01:24 <DIR> d-------- C:\ERDNT
2009-02-23 01:24 . 2009-02-23 01:24 <DIR> d-------- C:\!FixIEDef
2009-02-22 11:18 . 2009-02-22 16:26 <DIR> d-------- c:\documents and settings\Krzysiek\DoctorWeb
2009-02-19 21:10 . 2009-02-19 21:11 <DIR> d-------- C:\HiJackThis
2009-02-19 19:27 . 2009-02-19 19:27 578,560 --a--c--- c:\windows\system32\dllcache\user32.dll
2009-02-18 23:19 . 2009-02-18 23:19 <DIR> d-------- c:\program files\SkanerOnline
2009-02-18 23:13 . 2009-02-18 23:13 <DIR> d-------- c:\windows\system32\Kaspersky Lab
2009-02-18 23:13 . 2009-02-18 23:13 <DIR> d-------- c:\documents and settings\All Users\Dane aplikacji\Kaspersky Lab
2009-02-18 16:28 . 2009-03-01 17:00 <DIR> d--hs---- c:\documents and settings\Iza.GACEK\Dane aplikacji\twain32
2009-02-16 22:20 . 2004-08-03 23:44 25,088 --a------ c:\windows\system32\userinit.exe
2009-02-06 00:34 . 2009-03-02 16:59 <DIR> d-------- c:\windows\system32\NtmsData
.
(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-01 17:36 --------- d-----w c:\documents and settings\Krzysiek\Dane aplikacji\Dropbox
2009-02-28 18:10 --------- d-----w c:\documents and settings\Krzysiek\Dane aplikacji\MegauploadToolbar
2009-02-28 16:27 --------- d-----w c:\program files\Opera
2009-02-22 11:21 --------- d-----w c:\documents and settings\Iza.GACEK\Dane aplikacji\MEGAUPLOADTOOLBAR
2009-02-15 11:46 --------- d-----w c:\documents and settings\Krzysiek\Dane aplikacji\Skype
2009-02-15 11:19 --------- d-----w c:\documents and settings\Krzysiek\Dane aplikacji\skypePM
2009-02-10 15:05 --------- d-----w c:\program files\Common Files\Logitech
2009-01-21 16:11 473,600 ----a-w c:\windows\system32\SkanerOnline.dll
2009-01-11 20:50 --------- d--h--w c:\program files\InstallShield Installation Information
2009-01-11 20:50 --------- d-----w c:\program files\Leadtek Research Inc
2009-01-10 18:12 --------- d-----w c:\documents and settings\Iza.GACEK\Dane aplikacji\Teleca
2009-01-07 18:49 --------- d-----w c:\program files\ESET
2009-01-07 12:19 --------- d-----w c:\documents and settings\All Users\Dane aplikacji\LogiShrd
2009-01-07 08:43 --------- d-----w c:\program files\Common Files\Logishrd
2009-01-07 08:40 --------- d-----w c:\documents and settings\Krzysiek\Dane aplikacji\InstallShield
2008-12-06 15:48 127,034 ------r c:\windows\bwUnin-8.1.1.50-8876480SL.exe
2004-08-03 22:43 1,094,656 ----a-r c:\documents and settings\Iza.GACEK\Dane aplikacji\twex.exe
2006-05-03 09:06 163,328 --sh--r c:\windows\system32\flvDX.dll
2007-02-21 10:47 31,232 --sh--r c:\windows\system32\msfDX.dll
.
((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\1TortoiseSVN]
@="{30351346-7B7D-4FCC-81B4-1E394CA267EB}"
[HKEY_CLASSES_ROOT\CLSID\{30351346-7B7D-4FCC-81B4-1E394CA267EB}]
2007-08-26 10:40 536576 --a------ c:\program files\TortoiseSVN\bin\tortoisesvn.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\2TortoiseSVN]
@="{30351347-7B7D-4FCC-81B4-1E394CA267EB}"
[HKEY_CLASSES_ROOT\CLSID\{30351347-7B7D-4FCC-81B4-1E394CA267EB}]
2007-08-26 10:40 536576 --a------ c:\program files\TortoiseSVN\bin\tortoisesvn.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\3TortoiseSVN]
@="{30351348-7B7D-4FCC-81B4-1E394CA267EB}"
[HKEY_CLASSES_ROOT\CLSID\{30351348-7B7D-4FCC-81B4-1E394CA267EB}]
2007-08-26 10:40 536576 --a------ c:\program files\TortoiseSVN\bin\tortoisesvn.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\4TortoiseSVN]
@="{3035134B-7B7D-4FCC-81B4-1E394CA267EB}"
[HKEY_CLASSES_ROOT\CLSID\{3035134B-7B7D-4FCC-81B4-1E394CA267EB}]
2007-08-26 10:40 536576 --a------ c:\program files\TortoiseSVN\bin\tortoisesvn.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\5TortoiseSVN]
@="{3035134C-7B7D-4FCC-81B4-1E394CA267EB}"
[HKEY_CLASSES_ROOT\CLSID\{3035134C-7B7D-4FCC-81B4-1E394CA267EB}]
2007-08-26 10:40 536576 --a------ c:\program files\TortoiseSVN\bin\tortoisesvn.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\6TortoiseSVN]
@="{3035134D-7B7D-4FCC-81B4-1E394CA267EB}"
[HKEY_CLASSES_ROOT\CLSID\{3035134D-7B7D-4FCC-81B4-1E394CA267EB}]
2007-08-26 10:40 536576 --a------ c:\program files\TortoiseSVN\bin\tortoisesvn.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\7TortoiseSVN]
@="{3035134E-7B7D-4FCC-81B4-1E394CA267EB}"
[HKEY_CLASSES_ROOT\CLSID\{3035134E-7B7D-4FCC-81B4-1E394CA267EB}]
2007-08-26 10:40 536576 --a------ c:\program files\TortoiseSVN\bin\tortoisesvn.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2008-09-07 08:20 143360 --a------ d:\program files\Dropbox\DropboxExt.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2008-09-07 08:20 143360 --a------ d:\program files\Dropbox\DropboxExt.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2008-09-07 08:20 143360 --a------ d:\program files\Dropbox\DropboxExt.dll
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Konnekt"="d:\konnekt\konnekt.exe" [2005-05-24 503808]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-03 15360]
"NVIDIA nTune"="c:\program files\NVIDIA Corporation\nTune\nTuneCmd.exe" [2007-04-04 81920]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2004-08-04 1667584]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-10-07 13574144]
"nod32kui"="c:\program files\Eset\nod32kui.exe" [2007-09-06 921600]
"OutpostFeedBack"="c:\program files\Agnitum\Outpost Firewall\feedback.exe" [2006-05-11 356420]
"Copy Handler"="c:\program files\Copy Handler\ch.exe" [2005-01-31 146432]
"Sony Ericsson PC Suite"="c:\program files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2005-10-26 159744]
"amd_dc_opt"="c:\program files\AMD\Dual-Core Optimizer\amd_dc_opt.exe" [2007-07-23 77824]
"Outpost Firewall"="c:\program files\Agnitum\Outpost Firewall\outpost.exe" [2006-03-30 91648]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-10-07 86016]
"!AVG Anti-Spyware"="d:\program files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 6731312]
"RTHDCPL"="RTHDCPL.EXE" [2006-05-18 c:\windows\RTHDCPL.exe]
"nwiz"="nwiz.exe" [2008-10-07 c:\windows\system32\nwiz.exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360]
c:\documents and settings\Krzysiek\Menu Start\Programy\Autostart\
Dropbox.lnk - d:\program files\Dropbox\Dropbox.exe [2008-09-26 24096981]
c:\documents and settings\All Users\Menu Start\Programy\Autostart\
BOINC Manager.lnk - d:\program files\BOINC\boincmgr.exe [2008-03-04 4150016]
Logitech Desktop Messenger.lnk - d:\program files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe [2008-12-06 67128]
Logitech SetPoint.lnk - d:\program files\Logitech\SetPoint\SetPoint.exe [2008-12-06 805392]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2008-05-02 02:42 72208 c:\program files\Common Files\Logitech\Bluetooth\LBTWLgn.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.I420"= i420vfw.dll
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Adobe Reader Speed Launch.lnk]
path=c:\documents and settings\All Users\Menu Start\Programy\Autostart\Adobe Reader Speed Launch.lnk
backup=c:\windows\pss\Adobe Reader Speed Launch.lnkCommon Startup
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Adobe Reader Synchronizer.lnk]
path=c:\documents and settings\All Users\Menu Start\Programy\Autostart\Adobe Reader Synchronizer.lnk
backup=c:\windows\pss\Adobe Reader Synchronizer.lnkCommon Startup
[HKLM\~\startupfolder\C:^Documents and Settings^Krzysiek^Menu Start^Programy^Autostart^Adobe Gamma.lnk]
path=c:\documents and settings\Krzysiek\Menu Start\Programy\Autostart\Adobe Gamma.lnk
backup=c:\windows\pss\Adobe Gamma.lnkStartup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\!AVG Anti-Spyware]
--a------ 2007-06-11 10:25 6731312 d:\program files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 21:16 39792 c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
--a------ 2007-01-15 15:14 147456 c:\program files\Common Files\Ahead\Lib\NMBgMonitor.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
--a------ 2004-08-03 23:44 15360 c:\windows\system32\ctfmon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Gadu-Gadu]
--a------ 2008-03-20 11:04 2127296 d:\gadu-gadu\gg.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
--a--c--- 2006-10-26 23:47 31016 c:\program files\Microsoft Office\Office12\GrooveMonitor.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2008-02-19 13:10 267048 d:\program files\iTunes\iTunesHelper.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2004-08-04 00:55 1667584 c:\program files\Messenger\msmsgs.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a--c--- 2006-01-12 14:40 155648 c:\program files\Common Files\Ahead\Lib\NeroCheck.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NVIDIA nTune]
--a------ 2007-04-04 13:20 81920 c:\program files\NVIDIA Corporation\nTune\nTuneCmd.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
--a------ 2008-10-07 13:33 86016 c:\windows\system32\nvmctray.dll
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Odkurzacz-MCD]
--a------ 2008-08-16 15:01 264704 d:\program files\Odkurzacz\odk_mcd.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PWRISOVM.EXE]
--a------ 2007-08-07 01:05 200704 d:\poweriso\PWRISOVM.EXE
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-01-31 23:13 385024 c:\program files\QuickTime\QTTask.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RoboForm]
--a------ 2007-11-29 12:11 144448 d:\ai roboform\robotaskbaricon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a--c--- 2007-07-12 03:00 132496 c:\program files\Java\jre1.6.0_02\bin\jusched.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
--a------ 2008-05-18 16:24 171448 c:\program files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 2007-10-10 06:28 36352 d:\program files\Winamp\winampa.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Kernel and Hardware Abstraction Layer]
--a------ 2008-02-29 03:12 76304 c:\windows\KHALMNPR.Exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Logitech Hardware Abstraction Layer]
--a------ 2008-02-29 03:12 76304 c:\windows\KHALMNPR.Exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2008-10-07 13:33 1630208 c:\windows\system32\nwiz.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
-r---c--- 2006-05-16 11:04 2879488 c:\windows\SkyTel.exe
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"d:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\WINDOWS\\system32\\LMabcoms.exe"=
"d:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
R1 VFILT;Outpost Firewall Kernel Driver;c:\program files\Agnitum\Outpost Firewall\Kernel\filtnt.sys [2007-09-10 125216]
R2 pgsql-8.2;PostgreSQL Database Server 8.2;c:\program files\PostgreSQL\8.2\bin\pg_ctl.exe [2007-09-17 79948]
R3 ADBLOCK.DLL;Outpost Firewall PlugIn (ADBLOCK.DLL);c:\program files\Agnitum\Outpost Firewall\Kernel\adblock.dll [2007-09-10 33600]
R3 ARP.DLL;Outpost Firewall PlugIn (ARP.DLL);c:\program files\Agnitum\Outpost Firewall\Kernel\arp.dll [2007-09-10 17440]
R3 CONTENT.DLL;Outpost Firewall PlugIn (CONTENT.DLL);c:\program files\Agnitum\Outpost Firewall\Kernel\content.dll [2007-09-10 4896]
R3 DNSCACHE.DLL;Outpost Firewall PlugIn (DNSCACHE.DLL);c:\program files\Agnitum\Outpost Firewall\Kernel\dnscache.dll [2007-09-10 14304]
R3 FTPFILT.DLL;Outpost Firewall PlugIn (FTPFILT.DLL);c:\program files\Agnitum\Outpost Firewall\Kernel\ftpfilt.dll [2007-09-10 9024]
R3 HTMLFILT.DLL;Outpost Firewall PlugIn (HTMLFILT.DLL);c:\program files\Agnitum\Outpost Firewall\Kernel\htmlfilt.dll [2007-09-10 11552]
R3 HTTPFILT.DLL;Outpost Firewall PlugIn (HTTPFILT.DLL);c:\program files\Agnitum\Outpost Firewall\Kernel\httpfilt.dll [2007-09-10 13248]
R3 IMAPFILT.DLL;Outpost Firewall PlugIn (IMAPFILT.DLL);c:\program files\Agnitum\Outpost Firewall\Kernel\imapfilt.dll [2007-09-10 7200]
R3 MAILFILT.DLL;Outpost Firewall PlugIn (MAILFILT.DLL);c:\program files\Agnitum\Outpost Firewall\Kernel\mailfilt.dll [2007-09-10 14912]
R3 NNTPFILT.DLL;Outpost Firewall PlugIn (NNTPFILT.DLL);c:\program files\Agnitum\Outpost Firewall\Kernel\nntpfilt.dll [2007-09-10 6752]
R3 POP3FILT.DLL;Outpost Firewall PlugIn (POP3FILT.DLL);c:\program files\Agnitum\Outpost Firewall\Kernel\pop3filt.dll [2007-09-10 9984]
R3 PROTECT.DLL;Outpost Firewall PlugIn (PROTECT.DLL);c:\program files\Agnitum\Outpost Firewall\Kernel\protect.dll [2007-09-10 16960]
R3 SECRET.DLL;Outpost Firewall PlugIn (SECRET.DLL);c:\program files\Agnitum\Outpost Firewall\Kernel\secret.dll [2007-09-10 9696]
S3 FoxAwdWINFLASH;FoxAwdWINFLASH;c:\program files\LiveUpdate\FoxAwdWINFLASH.sys [2006-01-01 4380]
S3 KEYBOARDWDFilter;KEYBOARDWDFilter;c:\windows\system32\drivers\KEYBOARDWD.SYS [2007-11-17 6528]
S3 NPF;WinPcap Packet Driver (NPF);c:\windows\system32\drivers\npf.sys [2007-11-06 34064]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\J]
\Shell\AutoRun\command - J:\Setup.exe -auto
.
Zawartość folderu 'Zaplanowane zadania'
2009-02-23 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2007-08-29 14:57]
2009-03-02 c:\windows\Tasks\backup.job
- c:\windows\system32\ntbackup.exe [2004-08-03 23:44]
2009-03-01 c:\windows\Tasks\Schedule Task Weekly.job
- d:\program files\Registry Easy\RE.exe []
.
.
------- Skan uzupełniający -------
.
uInternet Settings,ProxyOverride = *.local
uInternet Settings,ProxyServer = 165.91.83.23:3128
IE: &D&ownload &with BitComet - d:\bitcomet\BitComet.exe/AddLink.htm
IE: &D&ownload all video with BitComet - d:\bitcomet\BitComet.exe/AddVideo.htm
IE: &D&ownload all with BitComet - d:\bitcomet\BitComet.exe/AddAllLink.htm
IE: E&ksportuj do programu Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Pasek Narzędzi RoboForm - file://d:\ai roboform\RoboFormComShowToolbar.html
IE: Personalizuj Menu - file://d:\ai roboform\RoboFormComCustomizeIEMenu.html
IE: Wypełnij Pola - file://d:\ai roboform\RoboFormComFillForms.html
IE: Zapisz Pola - file://d:\ai roboform\RoboFormComSavePass.html
LSP: c:\windows\system32\imon.dll
Handler: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - d:\program files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} - hxxp://downloads.ewido.net/ewidoOnlineScan.cab
DPF: {1E53EA77-34F2-474E-9046-B2B0C86F1821} - hxxp://www.eska.pl/streamplayers/OggX.ocx
DPF: {68282C51-9459-467B-95BF-3C0E89627E55} - hxxp://www.mks.com.pl/skaner/SkanerOnline.cab
FF - ProfilePath - c:\documents and settings\Krzysiek\Dane aplikacji\Mozilla\Firefox\Profiles\zsrau2p3.default\
FF - prefs.js: browser.search.selectedEngine - Yahoo
FF - prefs.js: keyword.URL - hxxp://search.yahoo.com/search?ei=utf-8&fr=megaup&p=
FF - plugin: c:\program files\Mozilla Firefox\plugins\npOggX.dll
FF - plugin: d:\program files\iTunes\Mozilla Plugins\npitunes.dll
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-02 17:01:50
Windows 5.1.2600 Dodatek Service Pack 2 NTFS
skanowanie ukrytych procesów ...
skanowanie ukrytych wpisów autostartu ...
skanowanie ukrytych plików ...
skanowanie pomyślnie ukończone
ukryte pliki: 0
**************************************************************************
.
--------------------- ZABLOKOWANE KLUCZE REJESTRU ---------------------
[HKEY_USERS\S-1-5-21-1957994488-1450960922-839522115-1003\Software\SecuROM\License information*]
"datasecu"=hex:e6,fb,3d,3b,79,9b,a6,ff,be,9b,77,d9,b1,07,f1,98,72,34,dc,f5,0e,
a3,fa,f0,e4,e4,a7,9b,11,00,f6,5e,f0,65,10,d0,02,c6,42,84,a2,66,ec,41,8a,a5,\
"rkeysecu"=hex:cd,b6,20,60,58,b7,73,a4,11,39,29,11,5e,d8,fc,c8
.
--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------
- - - - - - - > 'winlogon.exe'(1304)
c:\program files\common files\logitech\bluetooth\LBTWlgn.dll
c:\program files\common files\logitech\bluetooth\LBTServ.dll
.
Czas ukończenia: 2009-03-02 17:03:23
ComboFix-quarantined-files.txt 2009-03-02 16:02:54
Przed: 1,301,143,552 bajtów wolnych
Po: 1,398,980,608 bajtów wolnych
287
ale, podczas tego wykrył jakiegos rootkita kazał zapisac nazwe "c:\windows\system32\twex.exe"
2 ale, po skanowaniu jak włcze kompa dla kilku programów pojawia mi se to http://status.yoyo.pl/screenshot1236010068.jpg plik dll w tym błędzie jest taki sam, wczesniej to był wirus wiec wole sie upwenic
- Gacek89
- ~user
- Posty: 391
- Dołączenie: 22 Sie 2005, 11:11
- Miejscowość: Katowice
- Pochwały: 2
-
Dziwny wirus
przez wojtas 02 Mar 2009, 20:08
Pobierz i uruchom narzędzie
The Avenger
w bialym polu wklej tekst:
Kopiujesz - Klikasz na Paste Script from Clipboard - Execute - Potwierdzasz i zgadzasz się na restart klikając OK.
Po wykonaniu skasuj z dysku plik: C:\Avenger\backup.zip i wklej raport na forum C:\avenger.txt oraz nowy log z combofixa
The Avenger
w bialym polu wklej tekst:
Files to delete:
c:\documents and settings\Iza.GACEK\Dane aplikacji\twex.exe
Folders to delete:
c:\documents and settings\Iza.GACEK\Dane aplikacji\twain32
Kopiujesz - Klikasz na Paste Script from Clipboard - Execute - Potwierdzasz i zgadzasz się na restart klikając OK.
Po wykonaniu skasuj z dysku plik: C:\Avenger\backup.zip i wklej raport na forum C:\avenger.txt oraz nowy log z combofixa
-
wojtas - *mod
- Posty: 18165
- Dołączenie: 13 Sty 2006, 16:00
- Miejscowość: Krzeszyce
- Pochwały: 1656
-
42 posty(ów) • Strona 1 z 3 • 1, 2, 3
Kto jest na forum
Użytkownicy przeglądający to forum: Brak zarejestrowanych użytkowników oraz 9 gości