Otwieranie folderu przy starcie

[Random]

Zaraz po uruchomieniu windows 2 razy pojawia mi się folder Moje Dokumenty, nie znalazłem procesu który mógłbym wyłączyć przy autostarcie i nie wiem co jest przyczyną pojawiania się.

[Lukesh]

Wstaw loga z Combofixa: jak-generujemy-logi-z-combofixa-oraz-rsita-vt95026.html

Temat oczywiscie przenosze do dzialu Bezpieczenstwo.

[Random]

Kod: Zaznacz wszystko

ComboFix 08-12-06.06 - Admin 2008-12-08 18:26:02.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1250.1.1045.18.1593 [GMT 1:00]
Uruchomiony z: c:\documents and settings\Admin\Pulpit\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((((((   Usunięto   )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\winnt\base64.tmp
c:\winnt\zip1.tmp
c:\winnt\zip2.tmp
c:\winnt\zip3.tmp

.
(((((((((((((((((((((((((   Pliki utworzone od 2008-11-08 do 2008-12-08  )))))))))))))))))))))))))))))))
.

2008-12-07 21:35 . 2008-12-07 21:35   <DIR>   d--------   c:\winnt\Logs
2008-12-07 21:34 . 2008-12-07 21:34   <DIR>   d--------   c:\winnt\system32\xlive
2008-12-07 21:34 . 2008-12-07 21:34   <DIR>   d--------   c:\program files\Microsoft Games for Windows - LIVE
2008-12-07 21:34 . 2008-03-05 15:56   1,420,824   --a------   c:\winnt\system32\D3DCompiler_37.dll
2008-12-07 21:34 . 2008-02-05 23:07   462,864   --a------   c:\winnt\system32\d3dx10_37.dll
2008-12-07 20:32 . 2008-12-07 20:32   <DIR>   d--------   c:\program files\MSBuild
2008-12-07 20:29 . 2008-12-07 20:29   <DIR>   d--------   c:\winnt\system32\XPSViewer
2008-12-07 20:27 . 2008-12-07 20:27   <DIR>   d--------   c:\program files\Reference Assemblies
2008-12-07 20:27 . 2006-06-29 13:07   14,048   ---------   c:\winnt\system32\spmsg2.dll
2008-12-07 12:47 . 2008-12-07 12:47   <DIR>   d--------   c:\program files\SpeedSim
2008-12-07 12:47 . 2008-12-07 12:48   <DIR>   d--------   c:\documents and settings\Admin\Dane aplikacji\SpeedSim
2008-12-06 14:32 . 2008-12-06 14:32   <DIR>   d--------   c:\program files\Veoh Networks
2008-12-03 20:00 . 2008-12-07 19:05   <DIR>   d--------   c:\program files\Unlocker
2008-12-02 22:14 . 2008-12-02 22:14   <DIR>   d--------   C:\!KillBox
2008-11-23 21:56 . 2008-12-08 18:01   54,156   --ah-----   c:\winnt\QTFont.qfn
2008-11-23 21:56 . 2008-11-23 21:56   1,409   --a------   c:\winnt\QTFont.for
2008-11-21 18:49 . 2006-03-01 10:25   8,704   --a------   c:\winnt\system32\drivers\ggsemc.sys
2008-11-17 21:59 . 2008-11-18 15:32   92   --a------   c:\winnt\mp3wavcon.ini
2008-11-17 21:55 . 2008-11-17 21:55   <DIR>   d--------   c:\program files\AudioToolsFactory
2008-11-17 21:55 . 2008-11-18 15:31   <DIR>   d--------   C:\My Music
2008-11-17 21:55 . 2003-12-15 12:43   1,871,872   --a------   c:\winnt\system32\NCTAudioFile2.dll
2008-11-17 21:55 . 2003-12-08 12:19   425,984   --a------   c:\winnt\system32\NCTAudioTransform2.dll
2008-11-17 21:55 . 2003-08-07 14:01   237,568   --a------   c:\winnt\system32\lame_enc.dll
2008-11-17 21:55 . 2003-12-15 12:24   196,608   --a------   c:\winnt\system32\NCTWMAFile2.dll
2008-11-17 21:55 . 2003-12-08 12:49   116,304   --a------   c:\winnt\system32\NCTWMAProfiles.prx
2008-11-17 21:55 . 2008-11-18 15:32   5   --a------   c:\winnt\system32\SySmp3con.dat
2008-11-17 20:53 . 2008-11-17 20:54   <DIR>   d--------   c:\program files\Success Upper-Intermediate
2008-11-16 20:23 . 2008-11-16 20:23   <DIR>   d--------   c:\documents and settings\All Users\Dane aplikacji\e-Safekey
2008-11-11 15:09 . 2008-11-11 15:09   <DIR>   d--------   c:\documents and settings\Admin\Dane aplikacji\Leadertech
2008-11-11 14:52 . 2008-03-05 15:56   3,786,760   --a------   c:\winnt\system32\D3DX9_37.dll
2008-11-11 14:52 . 2007-07-19 18:14   3,727,720   --a------   c:\winnt\system32\d3dx9_35.dll
2008-11-09 11:30 . 2008-11-09 11:30   <DIR>   d--------   c:\documents and settings\Admin\Dane aplikacji\Apple Computer

.
((((((((((((((((((((((((((((((((((((((((   Sekcja Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-07 21:05   ---------   d-----w   c:\program files\DC++
2008-12-07 20:36   107,888   ----a-w   c:\winnt\system32\CmdLineExt.dll
2008-12-07 19:37   ---------   d--h--w   c:\program files\InstallShield Installation Information
2008-12-07 19:37   ---------   d-----w   c:\program files\Rockstar Games
2008-12-07 18:01   ---------   d-----w   c:\documents and settings\Admin\Dane aplikacji\Azureus
2008-12-05 15:29   ---------   d-----w   c:\program files\Winamp Remote
2008-11-21 20:23   ---------   d-----w   c:\program files\Azureus
2008-11-15 19:45   ---------   d-----w   c:\documents and settings\Admin\Dane aplikacji\Lavasoft
2008-11-11 13:52   ---------   d-----w   c:\program files\EA Sports
2008-11-11 13:24   ---------   d-----w   c:\program files\America's Army
2008-11-02 20:52   ---------   d-----w   c:\documents and settings\Admin\Dane aplikacji\GanymedeNet
2008-11-02 20:25   ---------   d-----w   c:\program files\Ganymede
2008-11-01 09:30   ---------   d-----w   c:\program files\Common Files\Adobe
2008-10-28 18:20   ---------   d-----w   c:\documents and settings\Admin\Dane aplikacji\Creative
2008-10-27 21:26   ---------   d-----w   c:\program files\ElastoManiaRegistered
2008-10-26 15:52   ---------   d-----w   c:\program files\Common Files\BitDefender
2008-10-26 15:51   81,984   ----a-w   c:\winnt\system32\bdod.bin
2008-10-23 20:23   ---------   d-----w   c:\documents and settings\Admin\Dane aplikacji\Skype
2008-10-23 19:17   ---------   d-----w   c:\documents and settings\Admin\Dane aplikacji\skypePM
2008-10-22 18:08   ---------   d-----w   c:\program files\AV Vcs 6.0 DIAMOND
2008-10-22 04:29   14,303,392   ----a-w   c:\winnt\system32\xlive.dll
2008-10-22 04:29   13,643,936   ----a-w   c:\winnt\system32\xlivefnt.dll
2008-10-21 05:39   ---------   d-----w   c:\documents and settings\Admin\Dane aplikacji\Dev-Cpp
2008-10-19 14:49   ---------   d-----w   c:\program files\Common Files\Wise Installation Wizard
2008-10-19 14:33   ---------   d-----w   c:\program files\MP3 Remix
2008-10-17 16:29   ---------   d-----w   c:\documents and settings\Admin\Dane aplikacji\Ulead Systems
2008-10-17 16:28   ---------   d-----w   c:\documents and settings\All Users\Dane aplikacji\Ulead Systems
2008-10-17 15:54   ---------   d-----w   c:\program files\SmartSound Software
2008-10-17 15:54   ---------   d-----w   c:\documents and settings\All Users\Dane aplikacji\SmartSound Software Inc
2008-10-17 15:53   ---------   d-----w   c:\program files\Windows Media Components
2008-10-17 15:53   ---------   d-----w   c:\program files\QuickTime
2008-10-17 15:53   ---------   d-----w   c:\documents and settings\All Users\Dane aplikacji\InstallShield
2008-10-17 15:53   ---------   d-----w   c:\documents and settings\All Users\Dane aplikacji\Apple Computer
2008-10-17 15:52   ---------   d-----w   c:\program files\Ulead Systems
2008-10-17 15:52   ---------   d-----w   c:\program files\Common Files\Ulead Systems
2008-10-17 15:52   ---------   d-----w   c:\program files\Common Files\InstallShield
2008-10-15 13:17   ---------   d-----w   c:\program files\Tasker
2008-10-13 13:46   ---------   d-----w   c:\documents and settings\All Users\Dane aplikacji\Creative
2008-10-13 13:43   ---------   d-----w   c:\program files\Creative
2008-10-13 13:42   ---------   d--h--w   c:\program files\Creative Installation Information
2008-10-13 13:42   ---------   d-----w   c:\program files\Common Files\Creative
2008-10-13 13:35   ---------   d-----w   c:\program files\Realtek
2008-08-31 19:19   0   ----a-w   c:\documents and settings\Admin\jagex_runescape_preferences.dat
2008-03-28 14:55   114,688   ----a-w   c:\program files\Patch.exe
.

(((((((((((((((((((((((((((((((((((((   Wpisy startowe rejestru   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\winnt\system32\ctfmon.exe" [2004-08-04 15360]
"Gadu-Gadu"="c:\program files\Gadu-Gadu\gg.exe" [2007-11-14 2131392]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Common Files\Ahead\Lib\NMBgMonitor.exe" [2006-12-23 143360]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2004-08-04 1694208]
"EdHTML"="c:\program files\Binboy\EdHTMLv5.0\EdHTML.exe" [2003-03-24 1443328]
"Orb"="c:\program files\Winamp Remote\bin\OrbTray.exe" [2008-04-01 507904]
"CreativeTaskScheduler"="c:\program files\Creative\Shared Files\CTSched.exe" [2006-11-17 53341]
"VeohPlugin"="c:\program files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe" [2008-11-03 3522296]
"EXPLORER.EXE"="EXPLORER.EXE" [2004-08-04 c:\winnt\explorer.exe]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HPDJ Taskbar Utility"="c:\winnt\system32\spool\drivers\w32x86\3\hpztsb09.exe" [2003-11-08 188416]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"NeroFilterCheck"="c:\program files\Common Files\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]
"TkBellExe"="c:\program files\Common Files\Real\Update_OB\realsched.exe" [2008-07-02 185896]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"CTSysVol"="c:\program files\Creative\SBAudigy\Surround Mixer\CTSysVol.exe" [2005-10-31 57344]
"UpdReg"="c:\winnt\UpdReg.EXE" [2000-05-11 90112]
"UVS10 Preload"="c:\program files\Ulead Systems\Ulead VideoStudio 10\uvPL.exe" [2006-03-06 36864]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-10-17 155648]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-11-12 81000]
"UnlockerAssistant"="c:\program files\Unlocker\UnlockerAssistant.exe" [2008-05-02 15872]
"P17Helper"="P17.dll" [2005-05-03 c:\winnt\system32\P17.dll]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\winnt\system32\CTFMON.EXE" [2004-08-04 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nlsf"="move" [X]
"tscuninstall"="c:\winnt\system32\tscupgrd.exe" [2004-08-04 44544]

c:\documents and settings\All Users\Menu Start\Programy\Autostart\
Adobe Gamma Loader.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2008-03-13 113664]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.dvacm"= c:\progra~1\COMMON~1\ULEADS~1\Vio\Dvacm.acm
"msacm.MPEGacm"= c:\progra~1\COMMON~1\ULEADS~1\MPEG\MPEGacm.acm
"msacm.ulmp3acm"= c:\progra~1\COMMON~1\ULEADS~1\MPEG\ulmp3acm.acm

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Nowe Gadu-Gadu]
--a------ 2008-06-27 09:28 8798816 c:\program files\Nowe Gadu-Gadu\gg.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Program Files\\Winamp Remote\\bin\\Orb.exe"=
"c:\\Program Files\\Winamp Remote\\bin\\OrbTray.exe"=
"c:\\Program Files\\Winamp Remote\\bin\\OrbStreamerClient.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"c:\\Program Files\\Gadu-Gadu\\gg.exe"=
"c:\\Program Files\\Rockstar Games\\Rockstar Games Social Club\\RGSCLauncher.exe"=
"c:\\Program Files\\Rockstar Games\\Grand Theft Auto IV\\LaunchGTAIV.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"17073:TCP"= 17073:TCP:BitComet 17073 TCP
"17073:UDP"= 17073:UDP:BitComet 17073 UDP
"10328:TCP"= 10328:TCP:BitComet 10328 TCP
"10328:UDP"= 10328:UDP:BitComet 10328 UDP
"15493:TCP"= 15493:TCP:BitComet 15493 TCP
"15493:UDP"= 15493:UDP:BitComet 15493 UDP
"17500:TCP"= 17500:TCP:BitComet 17500 TCP
"17500:UDP"= 17500:UDP:BitComet 17500 UDP

R1 aswSP;avast! Self Protection;c:\winnt\system32\drivers\aswSP.sys [2008-11-15 110160]
R2 aswFsBlk;aswFsBlk;c:\winnt\system32\DRIVERS\aswFsBlk.sys [2008-11-15 20560]
S1 ShldDrv;Panda File Shield Driver;c:\winnt\system32\DRIVERS\ShlDrv51.sys []
S2 PavProc;Panda Process Protection Driver;\??\c:\winnt\system32\DRIVERS\PavProc.sys []
S3 {DEF85C80-216A-43ab-AF70-1665EDBE2780};{DEF85C80-216A-43ab-AF70-1665EDBE2780};\??\c:\winnt\TEMP\30.tmp []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{86c29e40-b660-11dd-9b0c-0008a1b5fd3d}]
\Shell\AutoRun\command - F:\EXPLORER.EXE
\Shell\explore\Command - F:\EXPLORER.EXE
\Shell\open\Command - F:\EXPLORER.EXE

*Newly Created Service* - PROCEXP90
.
- - - - USUNIĘTO PUSTE WPISY - - - -

WebBrowser-{A057A204-BACC-4D26-C39E-35F1D2A32EC8} - (no file)
HKCU-Run-wsctf.exe - wsctf.exe
HKLM-Run-RTHDCPL - RTHDCPL.EXE


.
------- Skan uzupełniający -------
.
IE: &D&ownload &with BitComet - c:\program files\BitComet\BitComet.exe/AddLink.htm
IE: &D&ownload all video with BitComet - c:\program files\BitComet\BitComet.exe/AddVideo.htm
IE: &D&ownload all with BitComet - c:\program files\BitComet\BitComet.exe/AddAllLink.htm
IE: E&ksportuj do programu Microsoft Excel - c:\progra~1\MICROS~1\Office12\EXCEL.EXE/3000
TCP: {2F19FC43-4D4A-478D-9DB0-AFB16F0F183A} = 192.168.11.1
TCP: {3E3F7BE4-B892-4A3F-B974-2DFA06FD7800} = 192.168.11.1

c:\winnt\Downloaded Program Files\e-Safekey.dll - O16 -: {D8575CE3-3432-4540-88A9-85A1325D3375}
hxxps://ebanking.nationalirishbank.ie/html/activex/e-Safekey/NIB/e-Safekey.cab
c:\winnt\Downloaded Program Files\e-Safekey.inf
FireFox -: Profile - c:\documents and settings\Admin\Dane aplikacji\Mozilla\Firefox\Profiles\ebqucorb.rapu\
FF -: plugin - c:\program files\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll
FF -: plugin - c:\program files\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll
FF -: plugin - c:\program files\Mozilla Firefox\plugins\npganymedenet.dll
FF -: plugin - c:\program files\Mozilla Firefox\plugins\NPSOCCER.dll
FF -: plugin - c:\program files\Veoh Networks\VeohWebPlayer\NPVeohTVPlugin.dll
FF -: plugin - c:\program files\Veoh Networks\VeohWebPlayer\npWebPlayerVideoPluginATL.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-08 18:30:07
Windows 5.1.2600 Dodatek Service Pack 2 NTFS

skanowanie ukrytych procesów ...

skanowanie ukrytych wpisów autostartu ...

skanowanie ukrytych plików ...

skanowanie pomyślnie ukończone
ukryte pliki: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\{DEF85C80-216A-43ab-AF70-1665EDBE2780}]
"ImagePath"="\??\c:\winnt\TEMP\30.tmp"
.
--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------

- - - - - - - > 'winlogon.exe'(844)
c:\winnt\system32\Ati2evxx.dll
.
Czas ukończenia: 2008-12-08 18:30:51
ComboFix-quarantined-files.txt  2008-12-08 17:30:24

Przed: 23,244,435,456 bajtów wolnych
Po: 23,873,392,640 bajtów wolnych

211


[wojtas]

ide spac narazie zrob:

Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum.

[Random]

kaspersky nic nie wykrył

Statystyki skanowania
Przeskanowanych plików 105153
Nazwa zagrożenia 0
Zainfekowanych obiektów 0
Podejrzanych obiektów 0
Czas skanowania 01:17:17

Nie wykryto zagrożeń. Obszar skanowania jest czysty.
Wybrany obszar został przeskanowany.

[wojtas]

wklej do notatnika

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"EXPLORER.EXE"=-

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{86c29e40-b660-11dd-9b0c-0008a1b5fd3d}]

[-HKEY_LOCAL_MACHINE\system\ControlSet001\Services\{DEF85C80-216A-43ab-AF70-1665EDBE2780}]

w notatniku u góry>>>plik zapisz jako>>>Zmien rozszerzenie z TXT na Wszystkie pliki *.* >>> Zapisz pod nazwą FIX.REG

Klikasz dwa razy na powstały plik fix i dodajesz go do rejestru....

te plik/i :

c:\program files\Patch.exe

przesaknuj tu

http://virusscan.jotti.org/
http://www.virustotal.com/

Pobierz i uruchom narzędzie
The Avenger
w bialym polu wklej tekst:

Files to delete:

c:\winnt\TEMP\30.tmp

Drivers to unload:

{DEF85C80-216A-43ab-AF70-1665EDBE2780}

Kopiujesz - Klikasz na Paste Script from Clipboard - Execute - Potwierdzasz i zgadzasz się na restart klikając OK.
Po wykonaniu skasuj z dysku plik: C:\Avenger\backup.zip i wklej raport na forum C:\avenger.txt

[Random]

no więc tak, skanery nie wykryly nic podejrzanego +

Kod: Zaznacz wszystko

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error:  file "c:\winnt\TEMP\30.tmp" not found!
Deletion of file "c:\winnt\TEMP\30.tmp" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  registry key "\Registry\Machine\System\CurrentControlSet\Services\{DEF85C80-216A-43ab-AF70-1665EDBE2780}" not found!
Deletion of driver "{DEF85C80-216A-43ab-AF70-1665EDBE2780}" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Completed script processing.

*******************

Finished!  Terminate.


w sumie nie wiem jak to mozliwe bo dodałem do rejestru a nie wykryło

[wojtas]

Start => Uruchom => cmd =>

sc stop {DEF85C80-216A-43ab-AF70-1665EDBE2780}

enter

sc delete {DEF85C80-216A-43ab-AF70-1665EDBE2780}

Wklep i zatwierdź Enter`em

potem nowy log z combo