Brak stabilnosci systemu - podejrzenie wirusow


(Przemo22627) #1

Witam.

Moj problem wyglada nstepujaco. Mianowicie od jakichs 2 tyg moj komputer zaczal dziwnie sie zachowywac najbardziej widoczne jest to przy uruchomieniu jakiejkolwiek gry. Niewzne czy z samego rana kiedy komputer jest jeszcze "zimny" czy po paru godzinnym "pracowaniu" na nim. Po wejsciu do gry zacznynaja sie robic tak przez ok 5 min takie male zawieszania sie w idealnym odsetpie czasu ok 1 sec a po ok 5min jest spokój i zanow po jakichs 5 min zaczyna sie to samo!

Gdy wyjde do pulpitu ta czynnosc tez sie powataza tylko ze jest mniej widoczna. Dobrze ja widac na wykresie historii uzycia procesora CPU gdy niemam zadnych otwrtych programów linia uzycia procesora jest przez ok 3 mni idealnie prosta a po tym czasie przez ok 3 min zaczyna sie "piekny zygzak" i znow po ok 3 min jest idealnie prosta.

Zrobilem reinsatalacje sterownikow na nowe - nic niedalo. Posiadam Athlona 1700+ Ati Radeon 9950 256mb, i 512mb RAM.

Prosze bardzo o pomoc jestem zdesperowany niewiem co robic podejrzewam wirusy a niechce robic formata, zalaczam wyciag z HijackThis i kopie z plikow zdarzen moze cos wam podpowiedza.

Zaznaczam ze niejestem profesjnoalnym uzytkownikiem komp prosze wiec o wyrozumialosc i ijeszcze raz o pomoc!

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 09:10:36, on 2008-05-30

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16640)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Creative\MediaSource5\MtdAcqu.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\ABBYY FineReader 9.0\NetworkLicenseServer.exe

C:\WINDOWS\system32\CTsvcCDA.exe

C:\WINDOWS\system32\crypserv.exe

C:\Program Files\Common Files\LightScribe\LSSrvc.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\taskmgr.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.live.com/results.aspx?q=to&src=IE-Address

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - URLSearchHook: (no name) - {4e9ed2fe-72fa-456f-897e-767e72a43b0a} - (no file)

R3 - URLSearchHook: (no name) - {855d9a88-a3e6-4970-9bd3-acd475927103} - (no file)

R3 - URLSearchHook: (no name) - {ca7b3c71-3405-4499-aaf8-57ca2bb97d5d} - (no file)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0 CE\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: Winamp Toolbar BHO - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - (no file)

O2 - BHO: SoftWare - {4e9ed2fe-72fa-456f-897e-767e72a43b0a} - (no file)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O2 - BHO: (no name) - {ca7b3c71-3405-4499-aaf8-57ca2bb97d5d} - (no file)

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: (no name) - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - (no file)

O4 - HKLM..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"

O4 - HKLM..\Run: [iSUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup

O4 - HKLM..\Run: [snp325] C:\WINDOWS\vsnp325.exe

O4 - HKLM..\Run: [startCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"

O4 - HKCU..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU..\Run: [MtdAcqu] "C:\Program Files\Creative\MediaSource5\MtdAcqu.exe" /s

O4 - HKUS\S-1-5-19..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-18..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS.DEFAULT..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Startup: hitech-net.pl.lnk = ?

O8 - Extra context menu item: &Winamp Toolbar Search - C:\Documents and Settings\All Users\Dane aplikacji\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Pobierz używając Download &Express'a - C:\Program Files\Download Express\Add_Url.htm

O8 - Extra context menu item: Pobierz z &BitSpirit - C:\Program Files\BitSpirit\bsurl.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {631FF594-EC25-4CFF-B869-402DF294E1D6} (Instalator oprogramowania Onet.pl) - http://slimak.onet.pl/_m/kamerzysta/One ... or012s.ocx

O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar1.google.com/data/pl/big/ ... gleNav.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftup ... 2717516437

O17 - HKLM\System\CCS\Services\Tcpip..{58468762-E1B4-4B9B-82F2-9F3C9A3E3D05}: NameServer = 192.168.17.1

O17 - HKLM\System\CCS\Services\Tcpip..{C4746938-0729-4B48-88CF-B5D0F03B5760}: NameServer = 195.94.220.106 195.94.220.106

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: Usługa licencjonowania programu ABBYY FineReader 9.0 (ABBYY.Licensing.FineReader.Professional.9.0) - ABBYY (BIT Software) - C:\Program Files\ABBYY FineReader 9.0\NetworkLicenseServer.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe

O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Unknown owner - C:\Program Files\Common Files\LightScribe\LSSrvc.exe

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe

O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

--

End of file - 7788 bytes

Pliki z logu zdarzen - system

CRT invalid display type

Pliki z logu zdarzen - system

0000000242: 2008-05-30 01:24:29:437 Exception : Process with an Id of 488 is not running.

Exception Called by: ATI.ACE.MOM.Implementation.CCC0StateMachine::KillMe processID:01920 threadID:(MOM_STM_DelegateThread) domainName:(MOM.exe ) assemblyName:(MOM.Implementation, Version=2.0.3054.18910, Culture=neutral, PublicKeyToken=90ba9c70f846762e)


(huber2t) #2

fix w hijackthis

Podaj log z Combofix


(Przemo22627) #3

Dziakuje za odp hubert tylko jest maly problem co to znaczy "fix w hijackthis"? Mam cos zrobic z tym? Prosze o wyrozumialosc dla kompletnego laika.


(huber2t) #4

włącz HijackThis >> Do a system scan only >> zaznacz w okienku podane wpisy >> klik na Fix checked


(Przemo22627) #5

Aha zapomnialem wspomniec, ze usuwalem kliucze rejstru z "regedit" na wlasna reke.

A oto log z combo:

ComboFix 08-05-29.1 - Ja 2008-05-31 10:51:21.1 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.213 [GMT 2:00]

Running from: C:\Documents and Settings\Ja\Moje dokumenty\Przemo\Combo-Fix.exe

Command switches used :: C:\Documents and Settings\Ja\Moje dokumenty\Przemo\WindowsXP-KB310994-SP2-Pro-BootDisk-PLK.exe

* Created a new restore point

.

((((((((((((((((((((((((( Files Created from 2008-04-28 to 2008-05-31 )))))))))))))))))))))))))))))))

.

2008-05-27 19:39 . 2008-05-27 19:46

2008-05-27 19:36 . 2008-05-27 19:36

2008-05-27 19:30 . 2008-05-12 10:49 593,920 --------- C:\WINDOWS\system32\ati2sgag.exe

2008-05-27 19:01 . 2008-05-27 19:01

2008-05-26 18:05 . 2008-05-26 18:05

2008-05-26 17:51 . 2008-05-26 18:04

2008-05-26 17:51 . 2008-05-26 18:14

2008-05-26 17:44 . 2008-05-26 17:47

2008-05-26 16:47 . 2008-05-26 16:47

2008-05-20 20:09 . 2008-05-20 21:18

2008-05-18 17:21 . 2008-05-18 17:21

2008-05-12 17:56 . 2008-05-12 17:56 397,312 --a------ C:\WINDOWS\system32\ATIDEMGX.dll

2008-05-12 17:53 . 2008-05-12 17:53 307,200 --a------ C:\WINDOWS\system32\atiiiexx.dll

2008-05-12 17:45 . 2008-05-12 17:45 180,224 --a------ C:\WINDOWS\system32\atipdlxx.dll

2008-05-12 17:45 . 2008-05-12 17:45 139,264 --a------ C:\WINDOWS\system32\Oemdspif.dll

2008-05-12 17:45 . 2008-05-12 17:45 43,520 --a------ C:\WINDOWS\system32\ati2edxx.dll

2008-05-12 17:45 . 2008-05-12 17:45 26,112 --a------ C:\WINDOWS\system32\Ati2mdxx.exe

2008-05-12 17:44 . 2008-05-12 17:44 139,264 --a------ C:\WINDOWS\system32\ati2evxx.dll

2008-05-12 17:43 . 2008-05-12 17:43 10,153,984 --a------ C:\WINDOWS\system32\atioglx2.dll

2008-05-12 17:43 . 2008-05-12 17:43 540,672 --a------ C:\WINDOWS\system32\ati2evxx.exe

2008-05-12 17:41 . 2008-05-12 17:41 53,248 --a------ C:\WINDOWS\system32\ATIDDC.DLL

2008-05-12 17:22 . 2008-05-12 17:22 3,107,788 --a------ C:\WINDOWS\system32\ativvaxx.dat

2008-05-12 17:22 . 2008-05-12 17:22 3,107,788 --a------ C:\WINDOWS\system32\ativva5x.dat

2008-05-12 17:22 . 2008-05-12 17:22 887,724 --a------ C:\WINDOWS\system32\ativva6x.dat

2008-05-12 17:09 . 2008-05-12 17:09 47,104 --a------ C:\WINDOWS\system32\amdpcom32.dll

2008-05-12 17:05 . 2008-05-12 17:05 5,439,488 --a------ C:\WINDOWS\system32\atioglxx.dll

2008-05-12 17:05 . 2008-05-12 17:05 327,680 --a------ C:\WINDOWS\system32\atikvmag.dll

2008-05-12 17:03 . 2008-05-12 17:03 19,968 --a------ C:\WINDOWS\system32\atiadlxx.dll

2008-05-12 17:03 . 2008-05-12 17:03 17,408 --a------ C:\WINDOWS\system32\atitvo32.dll

2008-05-12 17:02 . 2008-05-12 17:02 241,664 --a------ C:\WINDOWS\system32\atiok3x2.dll

2008-05-12 17:02 . 2008-05-12 17:02 49,152 --a------ C:\WINDOWS\system32\drivers\ati2erec.dll

2008-05-10 14:27 . 2008-05-27 16:04

2008-04-30 15:02 . 2008-04-30 15:02

2008-04-24 13:22 . 2001-01-12 19:47 122,884 --a------ C:\WINDOWS\UnGins.exe

2008-04-05 09:45 . 2008-04-05 09:45

2008-04-02 07:12 . 2008-04-02 07:12

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-05-27 17:32 --------- d-----w C:\Program Files\ATI Technologies

2008-05-22 19:33 --------- d-----w C:\Documents and Settings\Ja\Dane aplikacji\Skype

2008-05-18 15:46 --------- d-----w C:\Program Files\World of Warcraft

2008-05-12 16:30 3,007,488 ----a-w C:\WINDOWS\system32\drivers\ati2mtag.sys

2008-05-12 15:54 305,152 ----a-w C:\WINDOWS\system32\ati2dvag.dll

2008-05-12 15:32 3,203,168 ----a-w C:\WINDOWS\system32\ati3duag.dll

2008-05-12 15:22 1,999,616 ----a-w C:\WINDOWS\system32\ativvaxx.dll

2008-05-12 14:57 548,864 ----a-w C:\WINDOWS\system32\ati2cqag.dll

2008-05-12 13:10 --------- d--h--w C:\Program Files\InstallShield Installation Information

2008-04-18 06:57 --------- d-----w C:\Program Files\Java

2008-04-06 17:55 --------- d-----w C:\Documents and Settings\Ja\Dane aplikacji\MSN6

2008-03-25 10:39 107,832 ----a-w C:\WINDOWS\system32\PnkBstrB.exe

2008-03-25 04:52 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll

2008-03-25 04:52 178,976 ----a-w C:\WINDOWS\system32\msjint40.dll

2008-03-20 08:09 1,845,504 ----a-w C:\WINDOWS\system32\win32k.sys

2008-03-01 13:02 826,368 ----a-w C:\WINDOWS\system32\wininet.dll

2008-02-26 12:01 294,912 ----a-w C:\WINDOWS\system32\msctf.dll

2008-02-20 06:51 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll

2008-02-20 05:38 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll

2006-01-25 21:59 1,595 ----a-w C:\Program Files\Common Files\basis.dat

2006-01-25 21:59 1,595 ----a-w C:\Documents and Settings\Ja\Dane aplikacji\basis.dat

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries & legit default entries are not shown

REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects{25CEE8EC-5730-41bc-8B58-22DDC8AB8C20}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects{4e9ed2fe-72fa-456f-897e-767e72a43b0a}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects{ca7b3c71-3405-4499-aaf8-57ca2bb97d5d}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:44 15360]

"MtdAcqu"="C:\Program Files\Creative\MediaSource5\MtdAcqu.exe" [2006-03-08 08:56 278528]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-05-16 01:19 79224]

"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]

"ISUSPM Startup"="C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-04-17 13:41 196608]

"snp325"="C:\WINDOWS\vsnp325.exe" [2006-10-10 15:11 827392]

"StartCCC"="C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 12:17 61440]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 01:44 15360]

"Nokia.PCSync"="C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-06-19 11:17 1241088]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

"NoResolveSearch"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"msacm.l3acm"= l3codecp.acm

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"Apple Mobile Device"=2 (0x2)

"BlueSoleil Hid Service"=2 (0x2)

"iPod Service"=3 (0x3)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"DisableNotifications"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\system32\sessmgr.exe"=

"C:\Program Files\Download Express\dep.exe"=

"C:\Program Files\Gadu-Gadu\gg.exe"=

"C:\Program Files\BearShare\BearShare.exe"=

"C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe"=

"C:\Program Files\EA GAMES\Battlefield 2\bf2_w32ded.exe"=

"C:\Program Files\Nokia\Nokia Software Updater\nsu_ui_client.exe"=

"C:\Program Files\Common Files\Nokia\Service Layer\nsl_host_process.exe"=

"C:\Program Files\Mozilla Firefox\firefox.exe"=

"C:\WINDOWS\system32\PnkBstrA.exe"=

"C:\WINDOWS\system32\PnkBstrB.exe"=

"C:\Program Files\EA GAMES\Battlefield 2\BF2.exe"=

"C:\Program Files\iTunes\iTunes.exe"=

"%windir%\Network Diagnostic\xpnetdiag.exe"=

"C:\Program Files\World of Warcraft\BackgroundDownloader.exe"=

"C:\Program Files\Skype\Phone\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"9285:TCP"= 9285:TCP:BitComet 9285 TCP

"9285:UDP"= 9285:UDP:BitComet 9285 UDP

"3724:TCP"= 3724:TCP:Blizzard Downloader: 3724

R0 sfdrv01a;StarForce Protection Environment Driver (version 1.x.a);C:\WINDOWS\system32\drivers\sfdrv01a.sys [2006-07-05 14:46]

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-05-16 01:20]

R2 ABBYY.Licensing.FineReader.Professional.9.0;Usługa licencjonowania programu ABBYY FineReader 9.0;"C:\Program Files\ABBYY FineReader 9.0\NetworkLicenseServer.exe" -service []

R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-05-16 01:16]

R3 SNP325;USB PC Camera (SNPSTD325);C:\WINDOWS\system32\DRIVERS\snp325.sys [2007-04-03 14:55]

*Newly Created Service* - CATCHME

.

Contents of the 'Scheduled Tasks' folder

"2008-05-01 20:08:45 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"

  • C:\Program Files\Apple Software Update\SoftwareUpdate.exe

.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-05-31 10:53:49

Windows 5.1.2600 Dodatek Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully

hidden files: 0

**************************************************************************

.

--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\explorer.exe

-> ?:\WINDOWS\System32\CSCDLL.dll

.

Completion time: 2008-05-31 10:55:59

ComboFix-quarantined-files.txt 2008-05-31 08:55:45

Pre-Run: 4,974,198,784 bajtów wolnych

Post-Run: 4,957,233,152 bajtów wolnych

WindowsXP-KB310994-SP2-Pro-BootDisk-PLK.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn

C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

159 --- E O F --- 2008-05-28 16:41:24


(huber2t) #6

otwórz notatnik i wklej

Z menu Notatnika -> Plik -> Zapisz jako -> Zmień rozszerzenie z .txt na wszystkie pliki -> zapisz pod nazwą Fix.reg

Uruchom ten plik, uruchom ponownie komputer

Log wyglada na czysty

Usuń ręcznie folder C:\Qoobox ,usuń instalkę Combofix z dysku

Przeczyść komputer Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum

Włącz przywracanie systemu.


(Przemo22627) #7

Zauwazylem w Menadzeze zadan windows ze procesem ktory powoduje te idealne 1sec przeciazenia procesora jest na zmiane explorer.exe i taskmgr.exe. szczegolnie dobrze widac to na zakladce wydajnosc gdy wszystkie programy sa wylaczone i linia obciazenia procesora jest na idealnym poziomie 0% w odstepach ok 4min sa takie 3min idealne zygzaki o wartosciach obciazenia ok 6%.

Acha jeszcze cos takiego zauwazylem w podgladzie zdarzen w zakladce system "blad zrodlo ati2mtag" "CRT invalid display type"

chyba sie poddam i zrobie format moze to wina sprzetu :frowning: .

W dniu 05.06.2008 , o godzinie 19:45 został dopisany post przez przemo22627

zrobile wszytko o czym pisales zalaczam raport z Kaspersky.


KASPERSKY ONLINE SCANNER REPORT

5 czerwiec 2008 19:25:57

System operacyjny: Microsoft Windows XP Professional, Dodatek Service Pack 2 (Build 2600)

Kaspersky Online Scanner wersja: 5.0.98.0

Ostatnia aktualizacja Kaspersky Anti-Virus 5/06/2008

Liczba wpisów w bazie danych Kaspersky Anti-Virus831358


Ustawienia skanowania:

Skanowanie przy użyciu następujących baz danych: rozszerzone

Skanuj archiwa: tak

Skanuj pocztowe bazy danych: tak

Obszar skanowania - Mój komputer:

A:\

C:\

D:\

E:\

F:\

G:\

Statystyki skanowania:

Liczba skanowanych obiektów: 65919

Liczba wykrytych wirusów: 2

Liczba zainfekowanych obiektów: 9

Liczba podejrzanych obiektów: 0

Czas trwania skanowania: 02:30:45

Nazwa zainfekowanego obiektu / Nazwa wirusa / Ostatnie działanie

C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Network\Downloader\qmgr0.dat Object is locked pominięty

C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Network\Downloader\qmgr1.dat Object is locked pominięty

C:\Documents and Settings\Ja\Cookies\index.dat Object is locked pominięty

C:\Documents and Settings\Ja\Dane aplikacji\Sun\Java\Deployment\cache\6.0\33\2752921-39ad71cd/HiPointInstallShieldRT.class Zainfekowanych: Trojan-Downloader.Java.OpenConnection.ap pominięty

C:\Documents and Settings\Ja\Dane aplikacji\Sun\Java\Deployment\cache\6.0\33\2752921-39ad71cd ZIP: zainfekowany - 1 pominięty

C:\Documents and Settings\Ja\Dane aplikacji\Sun\Java\Deployment\cache\6.0\41\daaeda9-1a5ce7f4/HiPointInstallShieldRT.class Zainfekowanych: Trojan-Downloader.Java.OpenConnection.ap pominięty

C:\Documents and Settings\Ja\Dane aplikacji\Sun\Java\Deployment\cache\6.0\41\daaeda9-1a5ce7f4 ZIP: zainfekowany - 1 pominięty

C:\Documents and Settings\Ja\Dane aplikacji\Sun\Java\Deployment\cache\javapi\v1.0\jar\eRT.jar-184d1e6b-59face67.zip/HiPointInstallShieldRT.class Zainfekowanych: Trojan-Downloader.Java.OpenConnection.ap pominięty

C:\Documents and Settings\Ja\Dane aplikacji\Sun\Java\Deployment\cache\javapi\v1.0\jar\eRT.jar-184d1e6b-59face67.zip ZIP: zainfekowany - 1 pominięty

C:\Documents and Settings\Ja\Dane aplikacji\Sun\Java\Deployment\cache\javapi\v1.0\jar\nlRT.jar-358874e5-447a2af3.zip/HiPointInstallShieldRT.class Zainfekowanych: Trojan-Downloader.Java.OpenConnection.ap pominięty

C:\Documents and Settings\Ja\Dane aplikacji\Sun\Java\Deployment\cache\javapi\v1.0\jar\nlRT.jar-358874e5-447a2af3.zip ZIP: zainfekowany - 1 pominięty

C:\Documents and Settings\Ja\NTUSER.DAT Object is locked pominięty

C:\Documents and Settings\Ja\ntuser.dat.LOG Object is locked pominięty

C:\Documents and Settings\Ja\Ustawienia lokalne\Dane aplikacji\Microsoft\Feeds Cache\index.dat Object is locked pominięty

C:\Documents and Settings\Ja\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty

C:\Documents and Settings\Ja\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty

C:\Documents and Settings\Ja\Ustawienia lokalne\Historia\History.IE5\index.dat Object is locked pominięty

C:\Documents and Settings\Ja\Ustawienia lokalne\Historia\History.IE5\MSHist012008060520080606\index.dat Object is locked pominięty

C:\Documents and Settings\Ja\Ustawienia lokalne\Temp\~DFBCFF.tmp Object is locked pominięty

C:\Documents and Settings\Ja\Ustawienia lokalne\Temp\~DFBD11.tmp Object is locked pominięty

C:\Documents and Settings\Ja\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat Object is locked pominięty

C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked pominięty

C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked pominięty

C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked pominięty

C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty

C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty

C:\Documents and Settings\LocalService\Ustawienia lokalne\Historia\History.IE5\index.dat Object is locked pominięty

C:\Documents and Settings\LocalService\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat Object is locked pominięty

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked pominięty

C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked pominięty

C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty

C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty

C:\Program Files\Alwil Software\Avast4\DATA\aswResp.dat Object is locked pominięty

C:\Program Files\Alwil Software\Avast4\DATA\Avast4.db Object is locked pominięty

C:\Program Files\Alwil Software\Avast4\DATA\integ\avast.int Object is locked pominięty

C:\Program Files\Alwil Software\Avast4\DATA\log\AshWebSv.ws Object is locked pominięty

C:\Program Files\Alwil Software\Avast4\DATA\log\aswMaiSv.log Object is locked pominięty

C:\Program Files\Alwil Software\Avast4\DATA\log\nshield.log Object is locked pominięty

C:\Program Files\Alwil Software\Avast4\DATA\log\selfdef.log Object is locked pominięty

C:\Program Files\Alwil Software\Avast4\DATA\report\Osłona rezydentna.txt Object is locked pominięty

C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked pominięty

C:\WINDOWS\Debug\PASSWD.LOG Object is locked pominięty

C:\WINDOWS\SchedLgU.Txt Object is locked pominięty

C:\WINDOWS\SoftwareDistribution\EventCache{EDAE1AA9-8F4F-4341-ADCF-80CF8B4A08AA}.bin Object is locked pominięty

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked pominięty

C:\WINDOWS\Sti_Trace.log Object is locked pominięty

C:\WINDOWS\system32\CatRoot2\edb.log Object is locked pominięty

C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked pominięty

C:\WINDOWS\system32\config\ACEEvent.evt Object is locked pominięty

C:\WINDOWS\system32\config\Antivirus.Evt Object is locked pominięty

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked pominięty

C:\WINDOWS\system32\config\default Object is locked pominięty

C:\WINDOWS\system32\config\default.LOG Object is locked pominięty

C:\WINDOWS\system32\config\Internet.evt Object is locked pominięty

C:\WINDOWS\system32\config\SAM Object is locked pominięty

C:\WINDOWS\system32\config\SAM.LOG Object is locked pominięty

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked pominięty

C:\WINDOWS\system32\config\SECURITY Object is locked pominięty

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked pominięty

C:\WINDOWS\system32\config\software Object is locked pominięty

C:\WINDOWS\system32\config\software.LOG Object is locked pominięty

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked pominięty

C:\WINDOWS\system32\config\system Object is locked pominięty

C:\WINDOWS\system32\config\system.LOG Object is locked pominięty

C:\WINDOWS\system32\drivers\sptd.sys Object is locked pominięty

C:\WINDOWS\system32\h323log.txt Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked pominięty

C:\WINDOWS\Temp\Perflib_Perfdata_6d8.dat Object is locked pominięty

C:\WINDOWS\Temp_avast4_\Webshlock.txt Object is locked pominięty

C:\WINDOWS\wiadebug.log Object is locked pominięty

C:\WINDOWS\wiaservc.log Object is locked pominięty

C:\WINDOWS\WindowsUpdate.log Object is locked pominięty

D:\My Music\Jac\after party imperium.mp3 Zainfekowanych: Trojan-Downloader.WMA.Wimad.n pominięty

Proces skanowania został zakończony.

W dniu 12.06.2008 , o godzinie 7:42 został dopisany post przez przemo22627

Czy ja moge liczyc na jakas odpowiedz? :frowning:


(Spandau) #8

Usuń poniższe pliki

Użyj http://dobreprogramy.pl/index.php?dz=2& ... r+2.07.575 do przeczyszczenia komputera