C:\ d:\ - uruchom za pomoca ? OCB WTF?


(Ja Adi) #1

Jakiś złośliwy wirus spłatał mi figla. i nie mogłem otworzyć dysków lokalnych.

przeszukałem forum i zainstalowałem COMBOFIX - zrobił swoje i działa wszystko cacy.

http://www.wklejto.pl/28993 ->raport

ale jakby ktoś, kto się na tym zna poinformował mnie o pozostałych wadach systemu proszę o odpowiedz..

System świeżo po formacie.. ale dysk D nosił 1063 zainfekowane pliki 5-tka zlosiwych trojanów.. pewnie dalej siedzą;/


(Henio Mazurek) #2

W logu nie ma ukośników. Wklej go jeszcze raz.


(Ja Adi) #3

ComboFix 09-03-15.01 - PC 2009-03-17 18:04:30.1 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.767.533 [GMT 1:00]

Uruchomiony z: c:\documents and settings\PC\Pulpit\ComboFix.exe

AV: avast! antivirus 4.8.1335 [VPS 090317-0] *On-access scanning enabled* (Updated)

FW: ZoneAlarm Pro Firewall *enabled*

* Utworzono nowy punkt przywracania

.

((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\autorun.inf

c:\windows\system32\nmdfgds0.dll

c:\windows\system32\nmdfgds1.dll

D:\Autorun.inf

.

((((((((((((((((((((((((( Pliki utworzone od 2009-02-17 do 2009-03-17 )))))))))))))))))))))))))))))))

.

2009-03-17 17:13 . 2004-08-03 23:44 221,184 --a------ c:\windows\system32\wmpns.dll

2009-03-16 14:25 . 2009-03-17 17:15

2009-03-16 14:24 . 2009-03-16 14:25

2009-03-16 14:02 . 2003-06-19 01:31 17,920 --a------ c:\windows\system32\mdimon.dll

2009-03-16 14:02 . 2009-03-16 14:02 421 --a------ c:\windows\ODBC.INI

2009-03-16 14:00 . 2009-03-16 14:01

2009-03-16 14:00 . 2009-03-16 14:00

2009-03-16 13:59 . 2009-03-16 13:59

2009-03-16 10:20 . 2004-08-03 23:08 26,496 --a–c— c:\windows\system32\dllcache\usbstor.sys

2009-03-16 10:05 . 2009-03-16 10:05

2009-03-16 10:05 . 2004-08-23 14:49 40,960 --a------ c:\windows\system32\FTRTSVC.exe

2009-03-16 10:05 . 2005-10-06 15:55 36,864 --a------ c:\windows\system32\IfHelper.dll

2009-03-15 18:27 . 2003-01-30 07:46 28,672 -ra------ c:\windows\system32\adinst32.dll

2009-03-15 18:25 . 2009-03-15 18:25

2009-03-15 12:53 . 2009-03-15 12:53

2009-03-15 12:53 . 2009-03-15 14:06

2009-03-15 12:39 . 2009-03-15 12:39 23,665 --a------ C:\LXCFunst.csv

2009-03-15 12:38 . 2009-03-15 12:38 35,483 --ah----- c:\windows\system32\lxcfhelp.GID

2009-03-15 12:30 . 2009-03-15 12:40

2009-03-15 12:30 . 2009-03-15 12:30

2009-03-15 12:30 . 2009-03-15 12:39 420 --a------ C:\LXCFINST.csv

2009-03-15 12:30 . 2009-03-15 12:30 0 --a------ C:\lxcffire.csv

2009-03-15 12:28 . 2009-03-15 12:28

2009-03-15 12:26 . 2009-03-15 12:26

2009-03-15 12:21 . 2009-03-15 12:22

2009-03-15 12:21 . 2006-05-10 08:42 520,192 --------- c:\windows\system32\ati2sgag.exe

2009-03-15 12:20 . 2009-03-15 12:23

2009-03-15 12:20 . 2006-02-08 21:44 1,114,674 -ra------ c:\windows\system32\drivers\ativcaxx.cpa

2009-03-15 12:20 . 2006-05-10 14:33 307,200 -ra------ c:\windows\system32\atiiiexx.dll

2009-03-15 12:20 . 2006-04-28 21:05 127,614 -ra------ c:\windows\system32\atiicdxx.dat

2009-03-15 12:20 . 2005-10-14 15:10 58,560 -ra------ c:\windows\system32\drivers\ativckxx.vp

2009-03-15 12:20 . 2006-05-10 14:47 28,080 -ra------ c:\windows\system32\drivers\ativvpxx.vp

2009-03-15 12:20 . 2006-01-26 01:48 6,005 -ra------ c:\windows\system32\atifglpf.xml

2009-03-15 12:20 . 2006-02-08 21:44 929 -ra------ c:\windows\system32\drivers\ativcaxx.vp

2009-03-15 12:17 . 2009-03-15 12:17

2009-03-15 12:17 . 2009-03-15 12:17

.

(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-03-17 15:46 --------- d-----w c:\program files\neostrada tp

2009-03-16 09:06 33 ----a-w c:\windows\system32\drivers\adidsl.cfg

2009-03-16 09:06 --------- d–h--w c:\program files\InstallShield Installation Information

2009-03-15 11:23 --------- d-----w c:\program files\Common Files\InstallShield

2009-03-15 10:18 --------- d-----w c:\program files\Java

2009-03-15 10:02 --------- d-----w c:\program files\Zone Labs

2009-03-15 10:00 --------- d-----w c:\program files\Alwil Software

2009-03-15 09:50 --------- d-----w c:\program files\microsoft frontpage

2009-03-15 09:48 --------- d-----w c:\program files\Usługi online

.

((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“Nowe Gadu-Gadu”=“c:\program files\Nowe Gadu-Gadu\gg.exe” [2009-02-27 9339496]

“MSMSGS”=“c:\program files\Messenger\msmsgs.exe” [2004-08-04 1667584]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“avast!”=“c:\progra~1\ALWILS~1\Avast4\ashDisp.exe” [2009-02-05 81000]

“Zone Labs Client”=“c:\program files\Zone Labs\ZoneAlarm\zlclient.exe” [2005-07-17 980752]

“ATICCC”=“c:\program files\ATI Technologies\ATI.ACE\cli.exe” [2006-01-02 45056]

“WOOWATCH”=“c:\progra~1\NEOSTR~1\Watch.exe” [2004-08-23 20480]

“WOOTASKBARICON”=“c:\progra~1\NEOSTR~1\GestMaj.exe” [2004-10-14 32768]

“SoundMan”=“SOUNDMAN.EXE” [2002-08-15 c:\windows\SOUNDMAN.EXE]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

“CTFMON.EXE”=“c:\windows\system32\CTFMON.EXE” [2004-08-03 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]

--------- 2004-08-04 00:55 1667584 c:\program files\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]

“DisableMonitoring”=dword:00000001

[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

“EnableFirewall”= 0 (0x0)

[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

“%windir%\system32\sessmgr.exe”=

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2009-03-15 114768]

R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2009-03-15 20560]

R3 e4usbaw;USB ADSL2 WAN Adapter;c:\windows\system32\drivers\e4usbaw.sys [2009-03-16 116992]

S2 IKANLOADER2;General Purpose USB Driver (e4ldr.sys);c:\windows\system32\drivers\e4ldr.sys [2009-03-16 64000]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{aa40366e-120b-11de-940e-4d6564696130}]

\Shell\AutoRun\command - F:\cb.exe

\Shell\open\Command - F:\cb.exe

.

        • USUNIĘTO PUSTE WPISY - - - -

HKCU-Run-cdoosoft - c:\windows\system32\olhrwef.exe

.

------- Skan uzupełniający -------

.

uStart Page = hxxp://www.google.pl/

IE: E&ksport do programu Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

TCP: {69F6D9DB-5944-46DA-BB71-B00F7A836047} = 194.204.152.34 217.98.63.164

FF - ProfilePath - c:\documents and settings\PC\Dane aplikacji\Mozilla\Firefox\Profiles\mgw3u4ri.default\

FF - plugin: c:\program files\Java\j2re1.4.0_03\bin\NPJava11.dll

FF - plugin: c:\program files\Java\j2re1.4.0_03\bin\NPJava12.dll

FF - plugin: c:\program files\Java\j2re1.4.0_03\bin\NPJava13.dll

FF - plugin: c:\program files\Java\j2re1.4.0_03\bin\NPJava32.dll

FF - plugin: c:\program files\Java\j2re1.4.0_03\bin\NPJPI140_03.dll

FF - plugin: c:\program files\Java\j2re1.4.0_03\bin\NPOJI610.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\NPJava11.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\NPJava12.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\NPJava13.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\NPJava32.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\NPJPI140_03.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\NPOJI610.dll

.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-03-17 18:06:17

Windows 5.1.2600 Dodatek Service Pack 2 NTFS

skanowanie ukrytych procesów …

skanowanie ukrytych wpisów autostartu …

skanowanie ukrytych plików …

skanowanie pomyślnie ukończone

ukryte pliki: 0

**************************************************************************

.

--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------

              • > ‘winlogon.exe’(488)

c:\windows\system32\Ati2evxx.dll

.

Czas ukończenia: 2009-03-17 18:07:29

ComboFix-quarantined-files.txt 2009-03-17 17:07:27

Przed: 58 529 505 280 bajtów wolnych

Po: 58,530,975,744 bajtów wolnych

WindowsXP-KB310994-SP2-Pro-BootDisk-PLK.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT=“Microsoft Windows Recovery Console” /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS=“Microsoft Windows XP Professional” /noexecute=optin /fastdetect

146


(huber2t) #4

Do wyleczenia pendrive z wirusów użyj tych programów

otwórz notatnik i wklej

Z menu Notatnika -> Plik -> Zapisz jako -> Zmień rozszerzenie z .txt na wszystkie pliki -> zapisz pod nazwą Fix.reg

Uruchom ten plik, uruchom ponownie komputer

usuń ręcznie folder C:\Qoobox oraz Combofix , usuń instalkę Combofix z dysku.

Przeczyść system Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar całego komputera http://www.kaspersky.pl/virusscanner.html Daj raport z niego na forum


(_Papryk_) #5

witam! mam podobny problem, również wyczyściłem komputer z wirusów i powstał mi błąd, który nakazuje mi otwierać partycje za pomocą, któregoś z programów… co mam zrobić krok po kroku ? proszę o pomoc :slight_smile:

log z hijackthis

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 16:55:58, on 2009-05-24

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\PnkBstrA.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE

C:\PROGRA~1\MYWEBS~1\bar\4.bin\mwsoemon.exe

C:\Program Files\Java\jre6\bin\jusched.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Winamp\winamp.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.bearshare.com/pl

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\bar\4.bin\MWSSRCAS.DLL

O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\bar\4.bin\MWSSRCAS.DLL

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\4.bin\MWSBAR.DLL

O2 - BHO: My Global Search Bar BHO - {37B85A21-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: My Global Search Bar - {37B85A29-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL

O3 - Toolbar: My Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\4.bin\MWSBAR.DLL

O4 - HKLM…\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM…\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM…\Run: [NVRTCLK] C:\WINDOWS\system32\NVRTCLK\NVRTClk.exe

O4 - HKLM…\Run: [PathNvidiaTV] C:\Program Files\Gigabyte\Nvidia\patchnvidiaTVout.exe

O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM…\Run: [nwiz] nwiz.exe /install

O4 - HKLM…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM…\Run: [EPSON Stylus CX3600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P26 “EPSON Stylus CX3600 Series” /O6 “USB001” /M “Stylus CX3600”

O4 - HKLM…\Run: [MyWebSearch Plugin] rundll32 C:\PROGRA~1\MYWEBS~1\bar\4.bin\M3PLUGIN.DLL,UPF

O4 - HKLM…\Run: [My Web Search Bar] rundll32 C:\PROGRA~1\MYWEBS~1\bar\4.bin\MWSBAR.DLL,S

O4 - HKLM…\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\4.bin\mwsoemon.exe

O4 - HKLM…\Run: [sunJavaUpdateSched] “C:\Program Files\Java\jre6\bin\jusched.exe”

O4 - HKLM…\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background

O4 - HKCU…\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\4.bin\mwsoemon.exe

O4 - HKCU…\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe

O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA LOKALNA’)

O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA SIECIOWA’)

O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’)

O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’)

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredi … p=ZNfox000

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O17 - HKLM\System\CCS\Services\Tcpip…{C20D2AB0-A366-4CC4-A251-D937C0CF9007}: NameServer = 194.204.159.1 217.98.63.164

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: My Web Search Service (MyWebSearchService) - MyWebSearch.com - C:\PROGRA~1\MYWEBS~1\bar\4.bin\mwssvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

End of file - 6436 bytes

poszerzony log z hijackthis

StartupList report, 2009-05-24, 16:56:26

StartupList version: 1.52.2

Started from : C:\Program Files\Trend Micro\HijackThis\HijackThis.EXE

Detected: Windows XP Dodatek SP2 (WinNT 5.01.2600)

Detected: Internet Explorer v6.00 SP2 (6.00.2900.2180)

* Using default options

* Including empty and uninteresting sections

* Showing rarely important sections

==================================================

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\PnkBstrA.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE

C:\PROGRA~1\MYWEBS~1\bar\4.bin\mwsoemon.exe

C:\Program Files\Java\jre6\bin\jusched.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Winamp\winamp.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe


Listing of startup folders:

Shell folders Startup:

[C]

*No files*

Shell folders AltStartup:

*Folder not found*

User shell folders Startup:

*Folder not found*

User shell folders AltStartup:

*Folder not found*

Shell folders Common Startup:

[C]

DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

Shell folders Common AltStartup:

*Folder not found*

User shell folders Common Startup:

*Folder not found*

User shell folders Alternate Common Startup:

*Folder not found*


Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]

UserInit = C:\WINDOWS\system32\userinit.exe,

[HKLM\Software\Microsoft\Windows\CurrentVersion\Winlogon]

*Registry key not found*

[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]

*Registry value not found*

[HKCU\Software\Microsoft\Windows\CurrentVersion\Winlogon]

*Registry key not found*


Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

RTHDCPL = RTHDCPL.EXE

Alcmtr = ALCMTR.EXE

NVRTCLK = C:\WINDOWS\system32\NVRTCLK\NVRTClk.exe

PathNvidiaTV = C:\Program Files\Gigabyte\Nvidia\patchnvidiaTVout.exe

NvCplDaemon = RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

nwiz = nwiz.exe /install

NvMediaCenter = RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

EPSON Stylus CX3600 Series = C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P26 “EPSON Stylus CX3600 Series” /O6 “USB001” /M “Stylus CX3600”

MyWebSearch Plugin = rundll32 C:\PROGRA~1\MYWEBS~1\bar\4.bin\M3PLUGIN.DLL,UPF

My Web Search Bar = rundll32 C:\PROGRA~1\MYWEBS~1\bar\4.bin\MWSBAR.DLL,S

MyWebSearch Email Plugin = C:\PROGRA~1\MYWEBS~1\bar\4.bin\mwsoemon.exe

SunJavaUpdateSched = “C:\Program Files\Java\jre6\bin\jusched.exe”

avast! = C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe


Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce

*No values found*


Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx

*No values found*


Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

*Registry key not found*


Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

*Registry key not found*


Autorun entries from Registry:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

CTFMON.EXE = C:\WINDOWS\system32\ctfmon.exe

MSMSGS = “C:\Program Files\Messenger\msmsgs.exe” /background

MyWebSearch Email Plugin = C:\PROGRA~1\MYWEBS~1\bar\4.bin\mwsoemon.exe

cdoosoft = C:\WINDOWS\system32\olhrwef.exe


Autorun entries from Registry:

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce

*No values found*


Autorun entries from Registry:

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx

*Registry key not found*


Autorun entries from Registry:

HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices

*Registry key not found*


Autorun entries from Registry:

HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

*Registry key not found*


Autorun entries from Registry:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Run

*Registry key not found*


Autorun entries from Registry:

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Run

*Registry key not found*


Autorun entries in Registry subkeys of:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

[OptionalComponents]

*No values found*


Autorun entries in Registry subkeys of:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce

*No subkeys found*


Autorun entries in Registry subkeys of:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx

*No subkeys found*


Autorun entries in Registry subkeys of:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

*Registry key not found*


Autorun entries in Registry subkeys of:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

*Registry key not found*


Autorun entries in Registry subkeys of:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

*No subkeys found*


Autorun entries in Registry subkeys of:

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce

*No subkeys found*


Autorun entries in Registry subkeys of:

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx

*Registry key not found*


Autorun entries in Registry subkeys of:

HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices

*Registry key not found*


Autorun entries in Registry subkeys of:

HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

*Registry key not found*


Autorun entries in Registry subkeys of:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Run

*Registry key not found*


Autorun entries in Registry subkeys of:

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Run

*Registry key not found*


File association entry for .EXE:

HKEY_CLASSES_ROOT\exefile\shell\open\command

(Default) = “%1” %*


File association entry for .COM:

HKEY_CLASSES_ROOT\comfile\shell\open\command

(Default) = “%1” %*


File association entry for .BAT:

HKEY_CLASSES_ROOT\batfile\shell\open\command

(Default) = “%1” %*


File association entry for .PIF:

HKEY_CLASSES_ROOT\piffile\shell\open\command

(Default) = “%1” %*


File association entry for .SCR:

HKEY_CLASSES_ROOT\scrfile\shell\open\command

(Default) = “%1” /S


File association entry for .HTA:

HKEY_CLASSES_ROOT\htafile\shell\open\command

(Default) = C:\WINDOWS\system32\mshta.exe “%1” %*


File association entry for .TXT:

HKEY_CLASSES_ROOT\txtfile\shell\open\command

(Default) = %SystemRoot%\system32\NOTEPAD.EXE %1


Enumerating Active Setup stub paths:

HKLM\Software\Microsoft\Active Setup\Installed Components

(* = disabled by HKCU twin)

[>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}]

StubPath = C:\WINDOWS\inf\unregmp2.exe /ShowWMP

[>{26923b43-4d38-484f-9b9e-de460746276c}] *

StubPath = %systemroot%\system32\shmgrate.exe OCInstallUserConfigIE

[>{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS] *

StubPath = RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP

[>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}] *

StubPath = %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE

[{22d6f312-b0f6-11d0-94ab-0080c74c7e95}] *

StubPath = rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\mswmp.inf,PerUserStub

[{2C7339CF-2B09-4501-B3F3-F3508C9228ED}] *

StubPath = %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll

[{44BBA840-CC51-11CF-AAFA-00AA00B6015C}] *

StubPath = “%ProgramFiles%\Outlook Express\setup50.exe” /APP:OE /CALLER:WINNT /user /install

[{44BBA842-CC51-11CF-AAFA-00AA00B6015B}] *

StubPath = rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT

[{5945c046-1e7d-11d1-bc44-00c04fd912be}] *

StubPath = rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser

[{6BF52A52-394A-11d3-B153-00C04F79FAA6}] *

StubPath = rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\wmp.inf,PerUserStub

[{7790769C-0471-11d2-AF11-00C04FA35D02}] *

StubPath = “%ProgramFiles%\Outlook Express\setup50.exe” /APP:WAB /CALLER:WINNT /user /install

[{89820200-ECBD-11cf-8B85-00AA005B4340}] *

StubPath = regsvr32.exe /s /n /i:U shell32.dll

[{89820200-ECBD-11cf-8B85-00AA005B4383}] *

StubPath = %SystemRoot%\system32\ie4uinit.exe


Enumerating ICQ Agent Autostart apps:

HKCU\Software\Mirabilis\ICQ\Agent\Apps

*Registry key not found*


Load/Run keys from C:\WINDOWS\WIN.INI:

load=*INI section not found*

run=*INI section not found*

Load/Run keys from Registry:

HKLM…\Windows NT\CurrentVersion\WinLogon: load=*Registry value not found*

HKLM…\Windows NT\CurrentVersion\WinLogon: run=*Registry value not found*

HKLM…\Windows\CurrentVersion\WinLogon: load=*Registry key not found*

HKLM…\Windows\CurrentVersion\WinLogon: run=*Registry key not found*

HKCU…\Windows NT\CurrentVersion\WinLogon: load=*Registry value not found*

HKCU…\Windows NT\CurrentVersion\WinLogon: run=*Registry value not found*

HKCU…\Windows\CurrentVersion\WinLogon: load=*Registry key not found*

HKCU…\Windows\CurrentVersion\WinLogon: run=*Registry key not found*

HKCU…\Windows NT\CurrentVersion\Windows: load=

HKCU…\Windows NT\CurrentVersion\Windows: run=*Registry value not found*

HKLM…\Windows NT\CurrentVersion\Windows: load=*Registry value not found*

HKLM…\Windows NT\CurrentVersion\Windows: run=*Registry value not found*

HKLM…\Windows NT\CurrentVersion\Windows: AppInit_DLLs=


Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

Shell=*INI section not found*

SCRNSAVE.EXE=*INI section not found*

drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe

SCRNSAVE.EXE=C:\WINDOWS\System32\logon.scr

drivers=*Registry value not found*

Policies Shell key:

HKCU…\Policies: Shell=*Registry key not found*

HKLM…\Policies: Shell=*Registry value not found*


Checking for EXPLORER.EXE instances:

C:\WINDOWS\Explorer.exe: PRESENT!

C:\Explorer.exe: not present

C:\WINDOWS\Explorer\Explorer.exe: not present

C:\WINDOWS\System\Explorer.exe: not present

C:\WINDOWS\System32\Explorer.exe: not present

C:\WINDOWS\Command\Explorer.exe: not present

C:\WINDOWS\Fonts\Explorer.exe: not present


Checking for superhidden extensions:

.lnk: HIDDEN! (arrow overlay: yes)

.pif: HIDDEN! (arrow overlay: yes)

.exe: not hidden

.com: not hidden

.bat: not hidden

.hta: not hidden

.scr: not hidden

.shs: HIDDEN!

.shb: HIDDEN!

.vbs: not hidden

.vbe: not hidden

.wsh: not hidden

.scf: HIDDEN! (arrow overlay: NO!)

.url: HIDDEN! (arrow overlay: yes)

.js: not hidden

.jse: not hidden


Verifying REGEDIT.EXE integrity:

  • Regedit.exe found in C:\WINDOWS

  • .reg open command is normal (regedit.exe %1)

  • Company name OK: ‘Microsoft Corporation’

  • Original filename OK: ‘REGEDIT.EXE’

  • File description: ‘Edytor rejestru’

Registry check passed


Enumerating Browser Helper Objects:

MyWebSearch Search Assistant BHO - C:\Program Files\MyWebSearch\bar\4.bin\MWSSRCAS.DLL - {00A6FAF1-072E-44cf-8957-5838F569A31D}

(no name) - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}

mwsBar BHO - C:\Program Files\MyWebSearch\bar\4.bin\MWSBAR.DLL - {07B18EA1-A523-4961-B6BB-170DE4475CCA}

My Global Search Bar BHO - C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL - {37B85A21-692B-4205-9CAD-2626E4993404}

(no name) - C:\Program Files\Java\jre6\bin\jp2ssv.dll - {DBC80044-A445-435b-BC74-9C25C1C588A9}

JQSIEStartDetectorImpl - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll - {E7E6F031-17CE-4C07-BC86-EABFE594F69C}


Enumerating Task Scheduler jobs:

*No jobs found*


Enumerating Download Program Files:

[{31435657-9980-0010-8000-00AA00389B71}]

CODEBASE = http://download.microsoft.com/download/ … vc1dmo.cab

[Java Plug-in 1.6.0_13]

InProcServer32 = C:\Program Files\Java\jre6\bin\jp2iexp.dll

CODEBASE = http://java.sun.com/update/1.6.0/jinsta … s-i586.cab

[Java Plug-in 1.6.0_13]

InProcServer32 = C:\Program Files\Java\jre6\bin\jp2iexp.dll

CODEBASE = http://java.sun.com/update/1.6.0/jinsta … s-i586.cab

[Java Plug-in 1.6.0_13]

InProcServer32 = C:\Program Files\Java\jre6\bin\npjpi160_13.dll

CODEBASE = http://java.sun.com/update/1.6.0/jinsta … s-i586.cab

[shockwave Flash Object]

InProcServer32 = C:\WINDOWS\system32\Macromed\Flash\Flash10a.ocx

CODEBASE = http://download.macromedia.com/pub/shoc … wflash.cab


Enumerating Winsock LSP files:

NameSpace #1: C:\WINDOWS\System32\mswsock.dll

NameSpace #2: C:\WINDOWS\System32\winrnr.dll

NameSpace #3: C:\WINDOWS\System32\mswsock.dll

Protocol #1: C:\WINDOWS\system32\mswsock.dll

Protocol #2: C:\WINDOWS\system32\mswsock.dll

Protocol #3: C:\WINDOWS\system32\mswsock.dll

Protocol #4: C:\WINDOWS\system32\rsvpsp.dll

Protocol #5: C:\WINDOWS\system32\rsvpsp.dll

Protocol #6: C:\WINDOWS\system32\mswsock.dll

Protocol #7: C:\WINDOWS\system32\mswsock.dll

Protocol #8: C:\WINDOWS\system32\mswsock.dll

Protocol #9: C:\WINDOWS\system32\mswsock.dll

Protocol #10: C:\WINDOWS\system32\mswsock.dll

Protocol #11: C:\WINDOWS\system32\mswsock.dll

Protocol #12: C:\WINDOWS\system32\mswsock.dll

Protocol #13: C:\WINDOWS\system32\mswsock.dll

Protocol #14: C:\WINDOWS\system32\mswsock.dll

Protocol #15: C:\WINDOWS\system32\mswsock.dll


Enumerating Windows NT/2000/XP services

Sterownik Microsoft ACPI: system32\DRIVERS\ACPI.sys (system)

General Purpose USB Driver (adildr.sys): System32\Drivers\adildr.sys (autostart)

USB ADSL WAN Adapter: system32\DRIVERS\adiusbaw.sys (manual start)

Microsoft Kernel Acoustic Echo Canceller: system32\drivers\aec.sys (manual start)

AFD: \SystemRoot\System32\drivers\afd.sys (system)

Urządzenie alarmowe: %SystemRoot%\system32\svchost.exe -k LocalService (disabled)

Usługa bramy warstwy aplikacji: %SystemRoot%\System32\alg.exe (manual start)

Zarządzanie aplikacjami: %SystemRoot%\system32\svchost.exe -k netsvcs (manual start)

aswFsBlk: system32\DRIVERS\aswFsBlk.sys (autostart)

avast! iAVS4 Control Service: “C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe” (autostart)

Sterownik multimediów asynchronicznych RAS: system32\DRIVERS\asyncmac.sys (manual start)

Standardowy kontroler dysku twardego IDE/ESDI: system32\DRIVERS\atapi.sys (system)

Protokół klienta ARP ATM: system32\DRIVERS\atmarpc.sys (manual start)

Windows Audio: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)

Sterownik Audio Stub: system32\DRIVERS\audstub.sys (manual start)

avast! Antivirus: “C:\Program Files\Alwil Software\Avast4\ashServ.exe” (autostart)

avast! Mail Scanner: “C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe” /service (manual start)

avast! Web Scanner: “C:\Program Files\Alwil Software\Avast4\ashWebSv.exe” /service (manual start)

AVPsys: ??\C:\WINDOWS\system32\drivers\cdaudio.sys (manual start)

Broadcom NetXtreme Gigabit Ethernet: system32\DRIVERS\b57xp32.sys (manual start)

Usługa inteligentnego transferu w tle: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)

Przeglądarka komputera: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)

Sterownik stacji dysków CD-ROM: system32\DRIVERS\cdrom.sys (system)

Usługa indeksowania: %SystemRoot%\system32\cisvc.exe (manual start)

ClipBook: %SystemRoot%\system32\clipsrv.exe (disabled)

Aplikacja systemowa modelu COM+: C:\WINDOWS\system32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235} (manual start)

Usługi kryptograficzne: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)

Program uruchamiający proces serwera DCOM: %SystemRoot%\system32\svchost -k DcomLaunch (autostart)

Klient DHCP: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)

Sterownik dysku: system32\DRIVERS\disk.sys (system)

Usługa administracyjna Menedżera dysków logicznych: %SystemRoot%\System32\dmadmin.exe /com (manual start)

dmboot: System32\drivers\dmboot.sys (disabled)

dmio: System32\drivers\dmio.sys (disabled)

dmload: System32\drivers\dmload.sys (disabled)

Menedżer dysków logicznych: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)

Syntezator Microsoft Kernel DLS: system32\drivers\DMusic.sys (manual start)

Klient DNS: %SystemRoot%\system32\svchost.exe -k NetworkService (autostart)

Microsoft Kernel DRM Audio Descrambler: system32\drivers\drmkaud.sys (manual start)

Usługa raportowania błędów: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)

Dziennik zdarzeń: %SystemRoot%\system32\services.exe (autostart)

System zdarzeń COM+: C:\WINDOWS\system32\svchost.exe -k netsvcs (manual start)

Zgodność szybkiego przełączania użytkowników: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)

Sterownik kontrolera stacji dyskietek: system32\DRIVERS\fdc.sys (manual start)

Sterownik stacji dyskietek: system32\DRIVERS\flpydisk.sys (manual start)

FltMgr: system32\DRIVERS\fltMgr.sys (system)

Sterownik Menedżera woluminów: system32\DRIVERS\ftdisk.sys (system)

Rodzajowy klasyfikator pakietu: system32\DRIVERS\msgpc.sys (manual start)

Sterownik magistrali Microsoft UAA dla High Definition Audio: system32\DRIVERS\HDAudBus.sys (manual start)

Pomoc i obsługa techniczna: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)

Dostęp do urządzeń interfejsu HID: %SystemRoot%\System32\svchost.exe -k netsvcs (disabled)

HTTP: System32\Drivers\HTTP.sys (manual start)

HTTP SSL: %SystemRoot%\System32\svchost.exe -k HTTPFilter (manual start)

Sterownik portu klawiatury i8042 i myszy PS/2: system32\DRIVERS\i8042prt.sys (system)

Sterownik filtru nagrywania dysków CD: system32\DRIVERS\imapi.sys (system)

Usługa COM nagrywania dysków CD IMAPI: C:\WINDOWS\system32\imapi.exe (manual start)

Service for Realtek HD Audio (WDM): system32\drivers\RtkHDAud.sys (manual start)

Sterownik procesora Intel: system32\DRIVERS\intelppm.sys (system)

Sterownik Zapory systemu Windows IPv6: system32\DRIVERS\Ip6Fw.sys (manual start)

Sterownik filtru ruchu IP: system32\DRIVERS\ipfltdrv.sys (manual start)

Sterownik IP w tunelu IP: system32\DRIVERS\ipinip.sys (manual start)

Translator adresów sieciowych IP: system32\DRIVERS\ipnat.sys (manual start)

Sterownik IPSEC: system32\DRIVERS\ipsec.sys (system)

Usługa wyliczania IR: system32\DRIVERS\irenum.sys (manual start)

Sterownik PnP magistrali ISA/EISA: system32\DRIVERS\isapnp.sys (system)

ITERAID_Service_Install: system32\DRIVERS\iteraid.sys (system)

Java Quick Starter: “C:\Program Files\Java\jre6\bin\jqs.exe” -service -config “C:\Program Files\Java\jre6\lib\deploy\jqs\jqs.conf” (autostart)

Sterownik klasy klawiatury: system32\DRIVERS\kbdclass.sys (system)

Microsoft Kernel Wave Audio Mixer: system32\drivers\kmixer.sys (manual start)

Serwer: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)

Stacja robocza: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)

Pomoc TCP/IP NetBIOS: %SystemRoot%\system32\svchost.exe -k LocalService (autostart)

Machine Debug Manager: “C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe” (autostart)

Posłaniec: %SystemRoot%\system32\svchost.exe -k netsvcs (disabled)

NetMeeting Remote Desktop Sharing: C:\WINDOWS\system32\mnmsrvc.exe (manual start)

Sterownik klasy myszy: system32\DRIVERS\mouclass.sys (system)

Readresator klienta WebDav: system32\DRIVERS\mrxdav.sys (manual start)

MRXSMB: system32\DRIVERS\mrxsmb.sys (system)

Distributed Transaction Coordinator: C:\WINDOWS\system32\msdtc.exe (manual start)

Instalator Windows: C:\WINDOWS\system32\msiexec.exe /V (manual start)

Serwer proxy usługi Microsoft Streaming: system32\drivers\MSKSSRV.sys (manual start)

Serwer proxy zegara Microsoft Streaming: system32\drivers\MSPCLOCK.sys (manual start)

Serwer proxy menedżera jakości Microsoft Streaming: system32\drivers\MSPQM.sys (manual start)

Sterownik BIOS zarządzania systemem firmy Microsoft: system32\DRIVERS\mssmbios.sys (manual start)

My Web Search Service: C:\PROGRA~1\MYWEBS~1\bar\4.bin\mwssvc.exe (autostart)

Sterownik usługi Dostęp zdalny NDIS TAPI: system32\DRIVERS\ndistapi.sys (manual start)

Protokół We/Wy trybu użytkownika NDIS: system32\DRIVERS\ndisuio.sys (manual start)

Sterownik usługi Dostęp zdalny NDIS WAN: system32\DRIVERS\ndiswan.sys (manual start)

Interfejs NetBIOS: system32\DRIVERS\netbios.sys (system)

NetBios przez TCP/IP: system32\DRIVERS\netbt.sys (system)

DDE sieci: %SystemRoot%\system32\netdde.exe (disabled)

DSDM DDE sieci: %SystemRoot%\system32\netdde.exe (disabled)

Logowanie do sieci: %SystemRoot%\system32\lsass.exe (manual start)

Połączenia sieciowe: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)

Rozpoznawanie lokalizacji w sieci (NLA): %SystemRoot%\system32\svchost.exe -k netsvcs (manual start)

Usługa NT LM Security Support Provider: %SystemRoot%\system32\lsass.exe (manual start)

Magazyn wymienny: %SystemRoot%\system32\svchost.exe -k netsvcs (manual start)

nv: system32\DRIVERS\nv4_mini.sys (manual start)

NVIDIA Display Driver Service: %SystemRoot%\system32\nvsvc32.exe (autostart)

Sterownik filtru ruchu IPX: system32\DRIVERS\nwlnkflt.sys (manual start)

Sterownik usług przesyłania dalej ruchu IPX: system32\DRIVERS\nwlnkfwd.sys (manual start)

Sterownik portu równoległego: system32\DRIVERS\parport.sys (manual start)

Sterownik magistrali PCI: system32\DRIVERS\pci.sys (system)

PCIIde: system32\DRIVERS\pciide.sys (system)

Plug and Play: %SystemRoot%\system32\services.exe (autostart)

PnkBstrA: C:\WINDOWS\system32\PnkBstrA.exe (autostart)

Usługi IPSEC: %SystemRoot%\system32\lsass.exe (autostart)

WAN Miniport (PPTP): system32\DRIVERS\raspptp.sys (manual start)

Magazyn chroniony: %SystemRoot%\system32\lsass.exe (autostart)

Harmonogram pakietów QoS: system32\DRIVERS\psched.sys (manual start)

Sterownik bezpośredniego połączenia kablowego: system32\DRIVERS\ptilink.sys (manual start)

PxHelp20: System32\Drivers\PxHelp20.sys (system)

Sterownik automatycznego połączenia dostępu zdalnego: system32\DRIVERS\rasacd.sys (system)

Menedżer autopołączenia dostępu zdalnego: %SystemRoot%\system32\svchost.exe -k netsvcs (manual start)

WAN Miniport (L2TP): system32\DRIVERS\rasl2tp.sys (manual start)

Menedżer połączeń usługi Dostęp zdalny: %SystemRoot%\system32\svchost.exe -k netsvcs (manual start)

Sterownik usługi Dostęp zdalny PPPOE: system32\DRIVERS\raspppoe.sys (manual start)

Bezpośrednie połączenie kablowe: system32\DRIVERS\raspti.sys (manual start)

Rdbss: system32\DRIVERS\rdbss.sys (system)

RDPCDD: System32\DRIVERS\RDPCDD.sys (system)

Menedżer sesji pomocy pulpitu zdalnego: C:\WINDOWS\system32\sessmgr.exe (manual start)

Sterownik filtru odtwarzania audio cyfrowych dysków CD: system32\DRIVERS\redbook.sys (system)

Routing i dostęp zdalny: %SystemRoot%\system32\svchost.exe -k netsvcs (disabled)

Lokalizator usługi zdalnego wywołania procedury (RPC): %SystemRoot%\system32\locator.exe (manual start)

Zdalne wywoływanie procedur (RPC): %SystemRoot%\system32\svchost -k rpcss (autostart)

QoS RSVP: %SystemRoot%\system32\rsvp.exe (manual start)

Menedżer kont zabezpieczeń: %SystemRoot%\system32\lsass.exe (autostart)

Karta inteligentna: %SystemRoot%\System32\SCardSvr.exe (manual start)

Harmonogram zadań: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)

Secdrv: system32\DRIVERS\secdrv.sys (manual start)

Logowanie pomocnicze: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)

Zawiadomienie o zdarzeniu systemowym: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)

Sterownik filtru Serenum: system32\DRIVERS\serenum.sys (manual start)

Sterownik portu szeregowego: system32\DRIVERS\serial.sys (system)

Zapora systemu Windows/Udostępnianie połączenia internetowego: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)

Wykrywanie sprzętu powłoki: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)

Microsoft Kernel Audio Splitter: system32\drivers\splitter.sys (manual start)

Bufor wydruku: %SystemRoot%\system32\spoolsv.exe (autostart)

sptd: System32\Drivers\sptd.sys (system)

Sterownik filtru Przywracania systemu: system32\DRIVERS\sr.sys (system)

Usługa przywracania systemu: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)

Srv: system32\DRIVERS\srv.sys (manual start)

Usługa odnajdywania SSDP: %SystemRoot%\system32\svchost.exe -k LocalService (manual start)

Windows Image Acquisition (WIA): %SystemRoot%\system32\svchost.exe -k imgsvc (autostart)

Sterownik magistrali programowej: system32\DRIVERS\swenum.sys (manual start)

Syntezator tablicy dźwięków WAVE Microsoft Kernel GS: system32\drivers\swmidi.sys (manual start)

MS Software Shadow Copy Provider: C:\WINDOWS\system32\dllhost.exe /Processid:{A212D2CB-8C4F-4813-AA33-9DF6B2AF536E} (manual start)

Urządzenie audio Microsoft Kernel System: system32\drivers\sysaudio.sys (manual start)

Dzienniki wydajności i alerty: %SystemRoot%\system32\smlogsvc.exe (manual start)

Telefonia: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)

Sterownik protokołu TCP/IP: system32\DRIVERS\tcpip.sys (system)

Sterownik urządzenia terminalu: system32\DRIVERS\termdd.sys (system)

Usługi terminalowe: %SystemRoot%\System32\svchost -k DComLaunch (manual start)

Kompozycje: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)

Klient śledzenia łączy rozproszonych: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)

Windows User Mode Driver Framework: C:\WINDOWS\system32\wdfmgr.exe (autostart)

Sterownik Microcode Update: system32\DRIVERS\update.sys (manual start)

Host uniwersalnego urządzenia Plug and Play: %SystemRoot%\system32\svchost.exe -k LocalService (manual start)

Zasilacz awaryjny (UPS): %SystemRoot%\System32\ups.exe (manual start)

Rodzajowy sterownik nadrzędny USB Microsoft: system32\DRIVERS\usbccgp.sys (manual start)

Sterownik Miniport rozszerzonego kontrolera hosta USB 2.0 Microsoft: system32\DRIVERS\usbehci.sys (manual start)

Koncentrator z obsługą USB2: system32\DRIVERS\usbhub.sys (manual start)

Klasa PRINTER USB Microsoft: system32\DRIVERS\usbprint.sys (manual start)

Sterownik skanera USB: system32\DRIVERS\usbscan.sys (manual start)

Sterownik magazynu masowego USB: system32\DRIVERS\USBSTOR.SYS (manual start)

Sterownik Miniport uniwersalnego kontrolera hosta USB Microsoft: system32\DRIVERS\usbuhci.sys (manual start)

VgaSave: \SystemRoot\System32\drivers\vga.sys (system)

Kopiowanie woluminów w tle: %SystemRoot%\System32\vssvc.exe (manual start)

Usługa Czas systemu Windows: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)

Sterownik usługi Dostęp zdalny IP ARP: system32\DRIVERS\wanarp.sys (manual start)

Sterownik zgodności audio Microsoft WINMM WDM: system32\drivers\wdmaud.sys (manual start)

WebClient: %SystemRoot%\system32\svchost.exe -k LocalService (autostart)

Instrumentacja zarządzania Windows: %systemroot%\system32\svchost.exe -k netsvcs (autostart)

Usługa numeru seryjnego multimediów przenośnych: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)

Karta wydajności WMI: C:\WINDOWS\system32\wbem\wmiapsrv.exe (manual start)

Centrum zabezpieczeń: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)

Aktualizacje automatyczne: %systemroot%\system32\svchost.exe -k netsvcs (autostart)

Konfiguracja zerowej sieci bezprzewodowej: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)

Usługa dostarczania sieci: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)


Enumerating Windows NT logon/logoff scripts:

*No scripts set to run*

Windows NT checkdisk command:

BootExecute = autocheck autochk *

Windows NT ‘Wininit.ini’:

PendingFileRenameOperations: *Registry value not found*


Enumerating ShellServiceObjectDelayLoad items:

PostBootReminder: C:\WINDOWS\system32\SHELL32.dll

CDBurn: C:\WINDOWS\system32\SHELL32.dll

WebCheck: C:\WINDOWS\system32\webcheck.dll

SysTray: C:\WINDOWS\system32\stobject.dll


Autorun entries from Registry:

HKCU\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

*Registry key not found*


Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

*Registry key not found*


End of report, 33 072 bytes

Report generated in 0,234 seconds

Command line options:

/verbose - to add additional info on each section

/complete - to include empty sections and unsuspicious data

/full - to include several rarely-important sections

/force9x - to include Win9x-only startups even if running on WinNT

/forcent - to include WinNT-only startups even if running on Win9x

/forceall - to include all Win9x and WinNT startups, regardless of platform

/history - to list version history only


(@Blade@) #6

Fix w HijackThis:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.bearshare.com/pl

R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\bar\4.bin\MWSSRCAS.DLL

O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\bar\4.bin\MWSSRCAS.DLL

O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\4.bin\MWSBAR.DLL

O2 - BHO: My Global Search Bar BHO - {37B85A21-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL

O3 - Toolbar: My Global Search Bar - {37B85A29-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL

O3 - Toolbar: My Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\4.bin\MWSBAR.DLL

O4 - HKLM\..\Run: [MyWebSearch Plugin] rundll32 C:\PROGRA~1\MYWEBS~1\bar\4.bin\M3PLUGIN.DLL,UPF

O4 - HKLM\..\Run: [My Web Search Bar] rundll32 C:\PROGRA~1\MYWEBS~1\bar\4.bin\MWSBAR.DLL,S

O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\4.bin\mwsoemon.exe

O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\4.bin\mwsoemon.exe

O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe

O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredi ... p=ZNfox000

O23 - Service: My Web Search Service (MyWebSearchService) - MyWebSearch.com - C:\PROGRA~1\MYWEBS~1\bar\4.bin\mwssvc.exe

Pobierz Combofix ale nie uruchamiaj Wklej do notatnika:

Folder::

C:\Program Files\MyWebSearch

C:\Program Files\MyGlobalSearch


File::

C:\WINDOWS\system32\olhrwef.exe


Driver::

MyWebSearchService

Plik -> zapisz jako -> CFScript.txt.

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

cfscript10uc2.gif

Rozpocznie się usuwanie i powstanie log, który dajesz na forum.

Wylecz pamięci przenośne Flash Disinfector lub sformatuj