Co to za wirus i jak go usunac. Trace kontrole nad Kompem

(Figus) #1

Mam chyba jakiegoś dziwnego wirusa. Mianowicie niedawno (4 dni temu) mój Windows XP HE został zablokowany. Używałem zawsze konta Administratora bez wpisywania hasła i nagle po tym jak oczyściłem sobie rejestr programem jv16 power tools 1.4.1 po restarcie systemu pojawił mi się monit z logowaniem którego wcześniej nie ustawiałem oraz prośba o wpisanie hasła.

Wszelkie próby naprawy systemu nie powiodły się w związku z tym zainstalowałem od nowa system zgrałem. Jednak co jakiś czas traciłem kontrolę na kompem tzn. wyglądało to tak jakby ktoś z zewnątrz uruchamiał mi programy nawet otwierał moją AVIRE ale zawsze powtarzało się pakowanie Menu Start prze WinRar’a.

Myślałem że ktoś sobie robi jaja (a nie bardzo mi do śmiechu bo pisze prace mgr) więc ze względów bezpieczeństwa wyjąłem nawet kartę sieciową. Przez chwile miałem spokój ale… niestety tylko na chwile :frowning:

Dlatego też podejrzewam że to tylko jakiś nieznośny wirus. Ale wszystkie pliki z partycji D:\ zgrałem na płyty i je skasowałem.

Przeskanowałem dysk C i D nowym programem antywirusowym oczywiście AVIRą w wersji Premium (załapałem się wcześniej na tą darmową licencję) Avirka na C nie wykryła nic ale na D wykryła i usunąłem je. Załączam log:

Start of the scan: 1 lipca 2008 14:48


Starting the file scan:


Begin scan in 'D:\'

D:\System Volume Information\_restore{7AF14544-7227-42B5-A4BB-79358B3D7AD3}\RP28\A0013690.exe

      [DETECTION] Contains detection pattern of the dropper DR/PSW.PWDump.2.3

      [NOTE] The file was deleted!

D:\System Volume Information\_restore{FA556BE3-E679-46F7-92EC-821F13C73D98}\RP12\A0002819.exe

      [DETECTION] Contains detection pattern of the SPR/CodeRevel.A.3 program

      [NOTE] The file was deleted!

D:\System Volume Information\_restore{FA556BE3-E679-46F7-92EC-821F13C73D98}\RP12\A0002820.dll

      [DETECTION] Contains detection pattern of the SPR/CodeRevel.A.1 program

      [NOTE] The file was deleted!

D:\System Volume Information\_restore{FA556BE3-E679-46F7-92EC-821F13C73D98}\RP12\A0002822.exe

      [DETECTION] Is the Trojan horse TR/Dldr.Zlob.jbe.26

      [NOTE] The file was deleted!



End of the scan: 1 lipca 2008 14:55

Used time: 06:57 min


The scan has been done completely.


     27 Scanning directories

   7121 Files were scanned

      4 viruses and/or unwanted programs were found

      0 Files were classified as suspicious:

      4 files were deleted

      0 files were repaired

      0 files were moved to quarantine

      0 files were renamed

      0 Files cannot be scanned

   7117 Files not concerned

    138 Archives were scanned

      0 Warnings

      4 Notes

Niestety problem nadal się pojawiał więc sformatowałem dysk D i wcześniej wyłączyłem przywracanie systemu. Formata zrobiłem z poziomu systemu Windows raz szybkie a później normalne. Po formacie dysk jednak nie jest zupełnie czysty mimo iż nic nie ma to jednak gdy sprawdzam przez prawy przycisk myszki i Właściwości to widać że Zajęte miejsce: 16 KB. Dołączam jeszcze Log z programu Hijackthis z wersji 2.0.2 i proszę o pomoc.

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 16:08:51, on 2008-07-01

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Avira\AntiVir PersonalEdition Premium\avgnt.exe

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\802.11g Wireless LAN\Monitor.exe

C:\Program Files\Avira\AntiVir PersonalEdition Premium\sched.exe

C:\Program Files\Avira\AntiVir PersonalEdition Premium\avguard.exe

C:\Program Files\Avira\AntiVir PersonalEdition Premium\avesvc.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe

C:\WINDOWS\system32\wpabaln.exe

C:\HiJackThis\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Program Files\HP\Smart Web Printing\hpswp_printenhancer.dll

O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Program Files\HP\Smart Web Printing\hpswp_framework.dll

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Premium\avgnt.exe" /min

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [Ashampoo FireWall] "C:\Program Files\Ashampoo\Ashampoo FireWall\FireWall.exe" -TRAY

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: Monitor.lnk = C:\Program Files\802.11g Wireless LAN\Monitor.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Kolekcja wycinków HP - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll

O9 - Extra button: Zaznaczanie HP Smart - {700259D7-1666-479a-93B1-3250410481E8} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: Avira AntiVir Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\avmailc.exe

O23 - Service: Avira AntiVir Premium Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\sched.exe

O23 - Service: Avira AntiVir Premium Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\avguard.exe

O23 - Service: Avira AntiVir Premium WebGuard (antivirwebservice) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE

O23 - Service: Avira AntiVir Premium MailGuard helper service (AVEService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\avesvc.exe


--

End of file - 4404 bytes

A dodam, że wcześniej używałem programu antywirusowego Avast 4.8 Pro Dodaje jeszcze log z Silent Runners:

"Silent Runners.vbs", revision 58, http://www.silentrunners.org/

Operating System: Windows XP SP2

Output limited to non-default values, except where indicated by "{++}"



Startup items buried in registry:

---------------------------------


HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}

"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]

"MSMSGS" = ""C:\Program Files\Messenger\msmsgs.exe" /background" [MS]


HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}

"avgnt" = ""C:\Program Files\Avira\AntiVir PersonalEdition Premium\avgnt.exe" /min" ["Avira GmbH"]

"HP Software Update" = "C:\Program Files\HP\HP Software Update\HPWuSchd2.exe" ["Hewlett-Packard Co."]

"Ashampoo FireWall" = ""C:\Program Files\Ashampoo\Ashampoo FireWall\FireWall.exe" -TRAY" [null data]

"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]


HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\

>{26923b43-4d38-484f-9b9e-de460746276c}\(Default) = "Internet Explorer"

                                        \StubPath = "C:\WINDOWS\system32\shmgrate.exe OCInstallUserConfigIE" [MS]

>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}\(Default) = "Outlook Express"

                                        \StubPath = "C:\WINDOWS\system32\shmgrate.exe OCInstallUserConfigOE" [MS]


HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\

{0347C33E-8762-4905-BF09-768834316C61}\(Default) = "HP Print Enhancer"

  -> {HKLM...CLSID} = "HP Print Enhancer"

                   \InProcServer32\(Default) = "C:\Program Files\HP\Smart Web Printing\hpswp_printenhancer.dll" ["Hewlett-Packard Co."]

{053F9267-DC04-4294-A72C-58F732D338C0}\(Default) = (no title provided)

  -> {HKLM...CLSID} = "HP Print Clips"

                   \InProcServer32\(Default) = "C:\Program Files\HP\Smart Web Printing\hpswp_framework.dll" ["Hewlett-Packard Co."]


HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\

"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Rozszerzenie CPL kadrowania wyświetlania"

  -> {HKLM...CLSID} = "Rozszerzenie CPL kadrowania wyświetlania"

                   \InProcServer32\(Default) = "deskpan.dll" [file not found]

"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Rozszerzenie ikony HyperTerminalu"

  -> {HKLM...CLSID} = "HyperTerminal Icon Ext"

                   \InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" [file not found]

"{3028902F-6374-48b2-8DC6-9725E775B926}" = "IE Microsoft AutoComplete"

  -> {HKLM...CLSID} = "IE Microsoft AutoComplete"

                   \InProcServer32\(Default) = "C:\WINDOWS\system32\browseui.dll" [MS]

"{EFA24E62-B078-11d0-89E4-00C04FC9E26E}" = "History Band"

  -> {HKLM...CLSID} = "History Band"

                   \InProcServer32\(Default) = "C:\WINDOWS\system32\shdocvw.dll" [MS]

"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"

  -> {HKLM...CLSID} = "WinRAR"

                   \InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]

"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"

  -> {HKLM...CLSID} = "Rozszerzenie ikon plików programu Outlook"

                   \InProcServer32\(Default) = "C:\Program Files\Microsoft Office\Office10\OLKFSTUB.DLL" [MS]

"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"

  -> {HKLM...CLSID} = (no title provided)

                   \InProcServer32\(Default) = "C:\Program Files\Microsoft Office\Office10\msohev.dll" [MS]

"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"

  -> {HKLM...CLSID} = "Shell Extension for Malware scanning"

                   \InProcServer32\(Default) = "C:\Program Files\Avira\AntiVir PersonalEdition Premium\shlext.dll" ["Avira GmbH"]

"{0561EC90-CE54-4f0c-9C55-E226110A740C}" = "Haali Column Provider"

  -> {HKLM...CLSID} = "Haali Column Provider"

                   \InProcServer32\(Default) = "C:\WINDOWS\system32\mmfinfo.dll" [null data]

"{5574006C-28F5-4a65-A28C-74DE6BFBE0BB}" = "Haali Matroska Shell Property Page"

  -> {HKLM...CLSID} = "Haali Matroska Shell Property Page"

                   \InProcServer32\(Default) = "C:\WINDOWS\system32\mmfinfo.dll" [null data]

"{327669A0-59A7-4be9-B99E-1C9F3A57611A}" = "Haali Matroska Thumbnail Extractor"

  -> {HKLM...CLSID} = "Haali Matroska Thumbnail Extractor"

                   \InProcServer32\(Default) = "C:\WINDOWS\system32\mmfinfo.dll" [null data]


HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\

<> "BootExecute" = "autocheck autochk *"|"lsdelete" [null data]


HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\

{0561EC90-CE54-4f0c-9C55-E226110A740C}\(Default) = "Haali Column Provider"

  -> {HKLM...CLSID} = "Haali Column Provider"

                   \InProcServer32\(Default) = "C:\WINDOWS\system32\mmfinfo.dll" [null data]


HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\

Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"

  -> {HKLM...CLSID} = "Shell Extension for Malware scanning"

                   \InProcServer32\(Default) = "C:\Program Files\Avira\AntiVir PersonalEdition Premium\shlext.dll" ["Avira GmbH"]

WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

  -> {HKLM...CLSID} = "WinRAR"

                   \InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]


HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\

WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

  -> {HKLM...CLSID} = "WinRAR"

                   \InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]


HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\

Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"

  -> {HKLM...CLSID} = "Shell Extension for Malware scanning"

                   \InProcServer32\(Default) = "C:\Program Files\Avira\AntiVir PersonalEdition Premium\shlext.dll" ["Avira GmbH"]

WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

  -> {HKLM...CLSID} = "WinRAR"

                   \InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]



Group Policies {policy setting}:

--------------------------------


Note: detected settings may not have any effect.


HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\


"disableregistrytools" = (REG_DWORD) dword:0x00000000

{Prevent access to registry editing tools}


HKCU\Software\Policies\Microsoft\Windows\System\


"disablecmd" = (REG_DWORD) dword:0x00000000

{Disable the command prompt}


HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\


"shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001

{Shutdown: Allow system to be shut down without having to log on}


"undockwithoutlogon" = (REG_DWORD) dword:0x00000001

{Devices: Allow undock without having to log on}



Active Desktop and Wallpaper:

-----------------------------


Active Desktop may be disabled at this entry:

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState



Windows Portable Device AutoPlay Handlers

-----------------------------------------


HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\Handlers\


HPAutoplayPSE\

"Provider" = "HP Photosmart Essential 2.01"

"InvokeProgID" = "HpqPSApl.Autoplay"

"InvokeVerb" = "Play"

HKLM\SOFTWARE\Classes\HpqPSApl.Autoplay\shell\Play\DropTarget\CLSID = "{A6873065-D632-4615-A3A9-C5F05EE109C1}"

  -> {HKLM...CLSID} = (no title provided)

                   \LocalServer32\(Default) = "C:\Program Files\HP\Digital Imaging\bin\HpqPsApl.exe" ["Hewlett-Packard"]



Startup items in "Admin" & "All Users" startup folders:

-------------------------------------------------------


C:\Documents and Settings\Admin\Menu Start\Programy\Autostart

"Monitor" -> shortcut to: "C:\Program Files\802.11g Wireless LAN\Monitor.exe" [empty string]


C:\Documents and Settings\All Users\Menu Start\Programy\Autostart

"HP Digital Imaging Monitor" -> shortcut to: "C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe" ["Hewlett-Packard Co."]

"Microsoft Office" -> shortcut to: "C:\Program Files\Microsoft Office\Office10\OSA.EXE -b -l" [MS]



Enabled Scheduled Tasks:

------------------------


"WebReg Deskjet F2100 series" -> launches: "C:\Program Files\HP\Digital Imaging\bin\hpqwrg.exe "Deskjet F2100 series"" ["Hewlett-Packard Co."]



Winsock2 Service Provider DLLs:

-------------------------------


Namespace Service Providers


HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}

000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]

000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]


Transport Service Providers


HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}

0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:

C:\Program Files\Ashampoo\Ashampoo FireWall\spi.dll [null data], 01 - 07, 18 - 19

%SystemRoot%\system32\mswsock.dll [MS], 08 - 17, 22 - 24

avsda.dll ["Avira GmbH"], 20 - 21, 27

%SystemRoot%\system32\rsvpsp.dll [MS], 25 - 26



Toolbars, Explorer Bars, Extensions:

------------------------------------


Extensions (Tools menu items, main toolbar menu buttons)


HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\

{58ECB495-38F0-49CB-A538-10282ABF65E7}\

"ButtonText" = "Kolekcja wycinków HP"

"CLSIDExtension" = "{E763472E-A716-4CD9-89BD-DBDA6122F741}"

  -> {HKLM...CLSID} = "ClipBookBtn Class"

                   \InProcServer32\(Default) = "C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll" ["Hewlett-Packard Co."]


{700259D7-1666-479A-93B1-3250410481E8}\

"ButtonText" = "Zaznaczanie HP Smart"

"CLSIDExtension" = "{A93C41D8-01F8-4F8B-B14C-DE20B117E636}"

  -> {HKLM...CLSID} = "EnhSelectionBtn Class"

                   \InProcServer32\(Default) = "C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll" ["Hewlett-Packard Co."]


{FB5F1910-F110-11D2-BB9E-00C04F795683}\

"ButtonText" = "Messenger"

"MenuText" = "Windows Messenger"

"Exec" = "C:\Program Files\Messenger\msmsgs.exe" [MS]



Running Services (Display Name, Service Name, Path {Service DLL}):

------------------------------------------------------------------


Ad-Aware 2007 Service, aawservice, ""C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe"" ["Lavasoft"]

Avira AntiVir Premium Guard, AntiVirService, ""C:\Program Files\Avira\AntiVir PersonalEdition Premium\avguard.exe"" ["Avira GmbH"]

Avira AntiVir Premium MailGuard helper service, AVEService, ""C:\Program Files\Avira\AntiVir PersonalEdition Premium\avesvc.exe"" ["Avira GmbH"]

Avira AntiVir Premium Scheduler, AntiVirScheduler, ""C:\Program Files\Avira\AntiVir PersonalEdition Premium\sched.exe"" ["Avira GmbH"]

Avira AntiVir Premium WebGuard, antivirwebservice, ""C:\Program Files\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE"" ["Avira GmbH"]

hpqcxs08, hpqcxs08, "C:\WINDOWS\system32\svchost.exe -k hpdevmgmt" {"C:\Program Files\HP\Digital Imaging\bin\hpqcxs08.dll" ["Hewlett-Packard Co."]}

Net Driver HPZ12, Net Driver HPZ12, "C:\WINDOWS\System32\svchost.exe -k HPZ12" {"C:\WINDOWS\system32\HPZinw12.dll" ["Hewlett-Packard"]}

Pml Driver HPZ12, Pml Driver HPZ12, "C:\WINDOWS\System32\svchost.exe -k HPZ12" {"C:\WINDOWS\system32\HPZipm12.dll" ["Hewlett-Packard"]}

Usługa HP CUE DeviceDiscovery, hpqddsvc, "C:\WINDOWS\system32\svchost.exe -k hpdevmgmt" {"C:\Program Files\HP\Digital Imaging\bin\hpqddsvc.dll" ["Hewlett-Packard Co."]}



Print Monitors:

---------------


HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors\

LIDIL hpzll5ha\Driver = "hpzll5ha.dll" ["Hewlett-Packard Company"]

PrimoMon\Driver = "Primomonnt.dll" [null data]



---------- (launch time: 2008-07-01 18:31:42)

<>: Suspicious data at a malware launch point.


+ This report excludes default entries except where indicated.

+ To see *everywhere* the script checks and *everything* it finds,

  launch it from a command prompt or a shortcut with the -all parameter.

+ The search for DESKTOP.INI DLL launch points on all local fixed drives

  took 8 seconds.

---------- (total run time: 72 seconds)

Bardzo proszę o pomoc. Tracę już kontrolę na komputerem nawet jak wyjmuje kartę sieciową choć przyznam że rzadziej. A mam do napisania prace :frowning: :frowning: Jak to możliwe żeby pr reinstalce systemu Winows XP SP 2 HE i formacie na dysku D oraz używaniu Antyvirusa to się dzieje. Nawet teraz jak pisałem ostatnie zdanie straciłem kontrolę otwierają się programy chce zamknąć przeglądarkę Firefox 2 :wink: Nie wiem czy czegoś ktoś teraz nawet nie pozmieniał w tych moich logach które wkleiłem :frowning: :frowning: :frowning: :frowning:

(Baldys15) #2

sfixuj:

O4 - Startup: Monitor.lnk = C:\Program Files\802.11g Wireless LAN\Monitor.exe

P.S to browser hijacker,przeskanuj tym:

http://dobreprogramy.pl/index.php?dz=2& … +2.2.3.444

i tym:

http://dobreprogramy.pl/index.php?dz=2& … y+1.5.2.20

(Figus) #3

Baldys16 dzięki wielkie za pomoc.

Mam tylko prośbę (bo słabo się znam a właściwie wcale w tym temacie wirusów itp.) czy mógłbyś mi powiedzieć jak mam sfixować:

O4 - Startup: Monitor.lnk = C:\Program Files\802.11g Wireless LAN\Monitor.exe

Czy chodzi o sfixowanie przez ComboFix?

I jeszcze jedno jak będę skanować dyski w/w programami to mam wyłączyć Avire?

Przepraszam za takie głupie pytania i jeszcze raz dzięki za pomoc.

(Baldys15) #4

odpalasz program hijackthis i masz po lewej stronie kwadraciki i szukasz wpisu:

O4 - Startup: Monitor.lnk = C:\Program Files\802.11g Wireless LAN\Monitor.exe

i klikasz na kwadracik i wciskasz przycisk fix checked… :slight_smile:

Aviry niemusisz wyłączyć podczas skanu:)

(Figus) #5

dzięki zaraz to zrobię :slight_smile:

(system) #6

Może byś się tak zastanowił, zanim polecisz usuwać prawidłowe wpisy.

Wireless LAN 802.11g - poczytaj sobie.

(Figus) #7

to co ja mam teraz zrobić żeby pozbyć się tego syfku. Spyware Terminator nic nie wykrył podaje log:

Logfile of Spyware Terminator v2.2.3.444 (db:1.000.000.000)

Scan Time: 2008-07-02 00:04:47 length: 244 s

Platform: WXP (5.1.0.2600)

User: Admin

Boot Mode: Normal

Scan type: Full_Spyware_Scan

Scanned Objects: 41638 (Critical:0)

Filter: No System items, No Safe items, No Invalid items


Running Processes

aawservice.exe [Lavasoft] : C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe

avgnt.exe [Avira GmbH] : C:\Program Files\Avira\AntiVir PersonalEdition Premium\avgnt.exe

HPWuSchd2.exe [Hewlett-Packard Co.] : C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

FireWall.exe : C:\Program Files\Ashampoo\Ashampoo FireWall\FireWall.exe

hpqtra08.exe [Hewlett-Packard Co.] : C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

sched.exe [Avira GmbH] : C:\Program Files\Avira\AntiVir PersonalEdition Premium\sched.exe

avguard.exe [Avira GmbH] : C:\Program Files\Avira\AntiVir PersonalEdition Premium\avguard.exe

avesvc.exe [Avira GmbH] : C:\Program Files\Avira\AntiVir PersonalEdition Premium\avesvc.exe

AVWEBGRD.EXE [Avira GmbH] : C:\Program Files\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE

hpqSTE08.exe [Hewlett-Packard Co.] : C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe


Internet Settings

R - HKLM\Software\Microsoft\Internet Explorer\Main, Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home

R - HKLM\Software\Microsoft\Internet Explorer\Search, SearchAssistant = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm

R - HKLM\Software\Microsoft\Internet Explorer\Search, CustomizeSearch = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm

R - HKLM\System\CurrentControlSet\Services\Tcpip\Parameters, Domain = 

R - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Telephony, DomainName = 


BHO

02 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - [Hewlett-Packard Co.] : C:\Program Files\HP\Smart Web Printing\hpswp_printenhancer.dll

02 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - [Hewlett-Packard Co.] : C:\Program Files\HP\Smart Web Printing\hpswp_framework.dll


StartUps

04 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, avgnt : [Avira GmbH] : C:\Program Files\Avira\AntiVir PersonalEdition Premium\avgnt.exe

04 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, HP Software Update : [Hewlett-Packard Co.] : C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

04 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Ashampoo FireWall : : C:\Program Files\Ashampoo\Ashampoo FireWall\FireWall.exe

04 - HKLM\System\CurrentControlSet\Control\Session Manager, BootExecute : : C:\WINDOWS\system32\lsdelete.exe

04 - Startup: %STARTUPALL%\HP Digital Imaging Monitor.lnk [Hewlett-Packard Co.] : C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe


Shell Extensions

WinRAR - {B41DB860-8EE4-11D2-9906-E49FADC173CA} - : C:\Program Files\WinRAR\rarext.dll

Rozszerzenie ikon plików programu Outlook - {0006F045-0000-0000-C000-000000000046} - [Microsoft Corporation] : C:\Program Files\Microsoft Office\Office10\OLKFSTUB.DLL

Shell Extension for Malware scanning - {45AC2688-0253-4ED8-97DE-B5370FA7D48A} - [Avira GmbH] : C:\Program Files\Avira\AntiVir PersonalEdition Premium\shlext.dll

Haali Column Provider - {0561EC90-CE54-4f0c-9C55-E226110A740C} - : C:\WINDOWS\system32\mmfinfo.dll

Haali Matroska Shell Property Page - {5574006C-28F5-4a65-A28C-74DE6BFBE0BB} - : C:\WINDOWS\system32\mmfinfo.dll

Haali Matroska Thumbnail Extractor - {327669A0-59A7-4be9-B99E-1C9F3A57611A} - : C:\WINDOWS\system32\mmfinfo.dll


Protocol Handler

Data Page Pluggable Protocol mso-offdap Handler - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - [Microsoft Corporation] : C:\Program Files\Common Files\Microsoft Shared\Web Components\10\OWC10.DLL


Services

23 - [Lavasoft] : C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe

23 - [Avira GmbH] : C:\Program Files\Avira\AntiVir PersonalEdition Premium\sched.exe

23 - [Avira GmbH] : C:\Program Files\Avira\AntiVir PersonalEdition Premium\avguard.exe

23 - [Avira GmbH] : C:\Program Files\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE

23 - : C:\Documents and Settings\Admin\Ustawienia lokalne\Temp\ASFWHide

23 - [Avira GmbH] : C:\Program Files\Avira\AntiVir PersonalEdition Premium\avesvc.exe

23 - [Avira GmbH] : C:\Program Files\Avira\AntiVir PersonalEdition Premium\avgntflt.sys

23 - [Avira GmbH] : C:\WINDOWS\system32\DRIVERS\avipbb.sys

23 - [HP] : C:\WINDOWS\system32\DRIVERS\HPZid412.sys

23 - [HP] : C:\WINDOWS\system32\DRIVERS\HPZipr12.sys

23 - [HP] : C:\WINDOWS\system32\DRIVERS\HPZius12.sys

23 - [Ralink Technology Inc.] : C:\WINDOWS\system32\DRIVERS\RT61.sys

23 - [Avira GmbH] : C:\WINDOWS\system32\DRIVERS\ssmdrv.sys

23 - [VIA Technologies, Inc.] : C:\WINDOWS\system32\drivers\ac97via.sys


Advanced Files Report

%PROGRAMFILES%\Ashampoo\Ashampoo FireWall\spi.dll MD5=83B6156F82AB18C5559222D283A9ED44 SIZE=393728

%PROGRAMFILES%\Lavasoft\Ad-Aware 2007\aawservice.exe [Lavasoft] [Ad-Aware 2007 Service] MD5=07AE10139D7713D69F57209FDF0425CC SIZE=607576

%PROGRAMFILES%\Lavasoft\Ad-Aware 2007\CEAPI.dll [Lavasoft] [CEAPI Dynamic Link Library] MD5=759C45CA544A92DE4B88618894A15587 SIZE=738664

%PROGRAMFILES%\Lavasoft\Ad-Aware 2007\PKArchive85u.dll [PKWARE, Inc.] [PKWARE Archive API] MD5=46374252AFA0A37F4F7AF528F6F16B96 SIZE=907096

%SYSDIR%\mmfinfo.dll MD5=23B625C2D8A15ACFB42CBD97224F6AC8 SIZE=159744

%SYSDIR%\mkunicode.dll MD5=399477319263E987B6A1261CCA789D43 SIZE=23552

%PROGRAMFILES%\WinRAR\rarext.dll MD5=6D2D012897D95EFE9A5C7284E9889AA4 SIZE=125440

%PROGRAMFILES%\Avira\AntiVir PersonalEdition Premium\shlext.dll [Avira GmbH] [AntiVir Workstation] MD5=655A36AB49696FFE33FB376719B298C1 SIZE=69889

%PROGRAMFILES%\Avira\AntiVir PersonalEdition Premium\cclib.dll [Avira GmbH] [AntiVir Workstation] MD5=18F68A243BDA79BBA9D01FA39ECE8598 SIZE=160001

%PROGRAMFILES%\avira\antivir personaledition premium\ccgen.dll [Avira GmbH] [AntiVir Workstation] MD5=B9875A5471B3CF425BAAF9B3CE813A9C SIZE=270593

%PROGRAMFILES%\avira\antivir personaledition premium\ccgenrc.dll [Avira GmbH] [AntiVir Workstation] MD5=856DBDB418067A7E87A2302F94AC31F5 SIZE=17665

%PROGRAMFILES%\avira\antivir personaledition premium\ccguard.dll [Avira GmbH] [AntiVir Workstation] MD5=3E1F96DE993B8D6E87ACF9146F9DF0D9 SIZE=217345

%PROGRAMFILES%\avira\antivir personaledition premium\ccgrdrc.dll [Avira GmbH] [AntiVir Workstation] MD5=B09D14A806D30132C427AA3745C46D54 SIZE=20225

%PROGRAMFILES%\avira\antivir personaledition premium\avipc.dll [Avira GmbH] [AntiVir Workstation] MD5=922EE25E719104E6D0E166451118E9F4 SIZE=73985

%PROGRAMFILES%\avira\antivir personaledition premium\ccupdate.dll [Avira GmbH] [AntiVir Workstation] MD5=E19C269071C08D9D30D91CE896480CA6 SIZE=114945

%PROGRAMFILES%\avira\antivir personaledition premium\ccupdrc.dll [Avira GmbH] [AntiVir Workstation] MD5=445F5AF6DFC84EFECB242209F3C12412 SIZE=12545

%PROGRAMFILES%\avira\antivir personaledition premium\cclic.dll [Avira GmbH] [AntiVir Workstation] MD5=708A5119B4C625B1AD300CD351A61F9B SIZE=61697

%PROGRAMFILES%\avira\antivir personaledition premium\cclicrc.dll [Avira GmbH] [AntiVir Workstation] MD5=35443145C1F3987262B8DD2AC6D53B05 SIZE=5889

%PROGRAMFILES%\avira\antivir personaledition premium\ccmsg.dll [Avira GmbH] [AntiVir Workstation] MD5=61DFF7D04472B97F33D66BF0934A4D48 SIZE=155905

%PROGRAMFILES%\Ashampoo\Ashampoo FireWall\ash_inet.dll [ash_inet] MD5=645E6FE0D45A06872B0B5E9A5AA66140 SIZE=471040

%PROGRAMFILES%\HP\Digital Imaging\bin\hpqtra08.exe [Hewlett-Packard Co.] [hp digital imaging - hp all-in-one series] MD5=F14219FC767F1383526AB423F278A8E3 SIZE=210520

%PROGRAMFILES%\HP\Digital Imaging\bin\hpquio08.dll [Hewlett-Packard Co.] [hp digital imaging - hp all-in-one series] MD5=9507A8E70A620A36CF2CF60740B8F022 SIZE=151552

%PROGRAMFILES%\HP\Digital Imaging\bin\hpqtra08.rsc [Hewlett-Packard Co.] [hp digital imaging - hp all-in-one series] MD5=E2E643A9760E9A1AF7D2E9E1CB8DDEF6 SIZE=47616

%PROGRAMFILES%\HP\Digital Imaging\bin\hpqtao08.dll [Hewlett-Packard Co.] [hp digital imaging - hp all-in-one series] MD5=021CFC69A1874431DC88BEFC37A2A2FD SIZE=98304

%PROGRAMFILES%\HP\Digital Imaging\bin\hpotra08.dll [Hewlett-Packard Co.] [hp digital imaging - hp all-in-one series] MD5=71A8226F1E43E5CB72AECA261B4FF722 SIZE=323584

%PROGRAMFILES%\HP\Digital Imaging\bin\hpotra08.rsc [Hewlett-Packard Co.] [hp digital imaging - hp all-in-one series] MD5=663B8A1913E743D8AC608A730D4B8FEA SIZE=12800

%PROGRAMFILES%\HP\Digital Imaging\bin\hpotradd.dll [Hewlett-Packard Co.] [hp digital imaging - hp all-in-one series] MD5=0F539A1FC4CB5C056009081D78DA44A3 SIZE=77824

%PROGRAMFILES%\HP\Digital Imaging\bin\hpqrif08.dll [Hewlett-Packard Co.] [hp digital imaging - hp all-in-one series] MD5=A6E02F65BE0C48DE7101923AE70268BD SIZE=290816

%PROGRAMFILES%\HP\Digital Imaging\bin\hpqmif08.dll [Hewlett-Packard Co.] [hp digital imaging - hp all-in-one series] MD5=D0716BD0C0822A642D36E82F49F2B5B8 SIZE=299008

%PROGRAMFILES%\HP\Digital Imaging\bin\hpqcob08.dll [Hewlett-Packard Co.] [hp digital imaging - hp all-in-one series] MD5=9B42F33A0CA3FBC7522372FBB14C8F36 SIZE=135168

%PROGRAMFILES%\HP\Digital Imaging\bin\hpodio08.dll [Hewlett-Packard Co.] [hp digital imaging - hp all-in-one series] MD5=466DF5986439ED1B3F3A8B0ACC54834C SIZE=1007616

%SYSDIR%\hpzipr12.dll [Hewlett-Packard] [Bidi User Mode] MD5=AF880166DAC5880219F748ED83902CB2 SIZE=33280

%PROGRAMFILES%\HP\Digital Imaging\bin\hpqddusr.dll [Hewlett-Packard Co.] [hp digital imaging - hp all-in-one series] MD5=FB71B03BFEF36CC57109E526562254C7 SIZE=61440

%PROGRAMFILES%\HP\Digital Imaging\bin\hpqddcmn.dll [Hewlett-Packard Co.] [hp digital imaging - hp all-in-one series] MD5=9AF5EA601C06E5C64F9F006E050B931E SIZE=184320

%SYSDIR%\hpzidr12.dll [Hewlett-Packard] [Bidi User Mode] MD5=26AE2CA34FA4342749EC1157CB1FE954 SIZE=49152

%PROGRAMFILES%\HP\Digital Imaging\bin\hpqusg.dll [Hewlett-Packard Co.] [hp digital imaging - hp all-in-one series] MD5=5B6748DFA56A0BE54C45B989378293E1 SIZE=401408

%SYSDIR%\hpzll5ha.dll [Hewlett-Packard Company] [Language Monitor] MD5=3183BFA7BDF50662F9094BC720EB7AF9 SIZE=117760

%SYSDIR%\Primomonnt.dll MD5=5C112CB49B85449C418814BDFD537379 SIZE=176235

%SYSDIR%\spool\PRTPROCS\W32X86\hpzpp5ha.dll [Hewlett-Packard Corporation] [HP Print Processor] MD5=D0E39177C896D2F8191A9C96636276DF SIZE=274944

%PROGRAMFILES%\Avira\AntiVir PersonalEdition Premium\sched.exe [Avira GmbH] [AntiVir Workstation] MD5=1C51917C9B30530A781F438F6A4AC49F SIZE=68865

%PROGRAMFILES%\Avira\AntiVir PersonalEdition Premium\schedr.dll [Avira GmbH] [AntiVir Workstation] MD5=EFBABD350FA0E4804CD98CE6FFE98743 SIZE=7937

%PROGRAMFILES%\Avira\AntiVir PersonalEdition Premium\avevtlog.dll [Avira GmbH] [AntiVir Workstation] MD5=3A5874F76D8EA78F5AB0B158191C1EE4 SIZE=114945

%PROGRAMFILES%\Avira\AntiVir PersonalEdition Premium\sqlite3.dll [SQLite Database] MD5=A467ACDA6C73AE3F8DBC6B94602921B5 SIZE=339968

%PROGRAMFILES%\Avira\AntiVir PersonalEdition Premium\avguard.exe [Avira GmbH] [AntiVir Workstation] MD5=3D87AB245DAEF20865D590978073DD2A SIZE=147201

%PROGRAMFILES%\Avira\AntiVir PersonalEdition Premium\guardmsg.dll [Avira GmbH] [AntiVir Workstation] MD5=0F3552C80887EB93BE8FFAF26F8D7006 SIZE=46849

%PROGRAMFILES%\Avira\AntiVir PersonalEdition Premium\AVPREF.DLL [Avira GmbH] [AntiVir Workstation] MD5=0B4552C1E399392E0494D074941C6218 SIZE=25857

%PROGRAMFILES%\Avira\AntiVir PersonalEdition Premium\SMTPLIB.DLL [Avira GmbH] [AntiVir Workstation] MD5=F2D83E33EC3F82835FA631F8FF2CCE64 SIZE=28929

%PROGRAMFILES%\Avira\AntiVir PersonalEdition Premium\AVGIO.DLL [Avira GmbH] MD5=7769B062FBEB74A07D47509B4140383A SIZE=124161

%PROGRAMFILES%\Avira\AntiVir PersonalEdition Premium\aecore.dll [Avira GmbH] [AVCORE] MD5=01372E61AE16EE639D2242419E324026 SIZE=168310

%PROGRAMFILES%\Avira\AntiVir PersonalEdition Premium\aevdf.dll [Avira GmbH] [AVVDF] MD5=C9FFFD5005F4FE7131DF6128E98E3A6A SIZE=102772

%PROGRAMFILES%\Avira\AntiVir PersonalEdition Premium\aescript.dll [Avira GmbH] [AVSCRIPT] MD5=5A36E9B0E5CEE68A0C1EEF4479C6C977 SIZE=278907

%PROGRAMFILES%\Avira\AntiVir PersonalEdition Premium\aescn.dll [Avira GmbH] [AVSCN] MD5=75E7A6935F8FDC62FA39F51C3691662C SIZE=119157

%PROGRAMFILES%\Avira\AntiVir PersonalEdition Premium\aerdl.dll [Avira GmbH] [AVRDL] MD5=352C02CD46F42A12635297AB0AA7BFC6 SIZE=418165

%PROGRAMFILES%\Avira\AntiVir PersonalEdition Premium\aepack.dll [Avira GmbH] [AVPACK] MD5=BCD6FA595D63767A5BD8B42B345EEFE4 SIZE=364918

%PROGRAMFILES%\Avira\AntiVir PersonalEdition Premium\unacev2.dll [ACE Compression Software] [UNACE - freeware ACE extraction component] MD5=DE02C4D04088B69E64ECC30A3D9E22E5 SIZE=77312

%PROGRAMFILES%\Avira\AntiVir PersonalEdition Premium\aeoffice.dll [Avira GmbH] [AVOFFICE] MD5=AD7E54BBBB52CADC6D8BCA257100FCDD SIZE=192891

%PROGRAMFILES%\Avira\AntiVir PersonalEdition Premium\aeheur.dll [Avira GmbH] [AVHEUR] MD5=084D3B194FDC04CFC98B8BABA67B372C SIZE=1274231

%PROGRAMFILES%\Avira\AntiVir PersonalEdition Premium\aehelp.dll [Avira GmbH] [AVHELP] MD5=83BAC707A4B7682201A1EB9766B54CEB SIZE=115063

%PROGRAMFILES%\Avira\AntiVir PersonalEdition Premium\aegen.dll [Avira GmbH] [AVGEN] MD5=BA1114DD91AD58240453D7F6BF8974AD SIZE=307573

%PROGRAMFILES%\Avira\AntiVir PersonalEdition Premium\aeemu.dll [Avira GmbH] [AVEMU] MD5=4496EA2C81F57277CB675A9AD3F81923 SIZE=430451

%PROGRAMFILES%\Avira\AntiVir PersonalEdition Premium\avesvc.exe [Avira GmbH] [AntiVir Workstation] MD5=9226AFA3AC94FA334D2BEE3559B4CF3C SIZE=41217

%PROGRAMFILES%\Avira\AntiVir PersonalEdition Premium\avesvc.dll [Avira GmbH] [AntiVir Workstation] MD5=23412E52CCB6492B20AECCD032545C71 SIZE=78081

%PROGRAMFILES%\Avira\AntiVir PersonalEdition Premium\avesvcr.dll [Avira GmbH] [AntiVir Workstation] MD5=3BD28FC87495F83FB604D72DB580E9B7 SIZE=8961

%PROGRAMFILES%\Avira\AntiVir PersonalEdition Premium\webcat.dll [Avira GmbH] [AntiVir Workstation] MD5=E829035483E48DFFD9B5A942C47F187F SIZE=110849

%PROGRAMFILES%\hp\digital imaging\bin\hpqddsvc.dll [Hewlett-Packard Co.] [hp digital imaging - hp all-in-one series] MD5=99ED733F614660EB32199BF889DFB7E2 SIZE=131072

%PROGRAMFILES%\hp\digital imaging\bin\hpqcxs08.dll [Hewlett-Packard Co.] [hp digital imaging - hp all-in-one series] MD5=58D4765AB87347DB835D5693ADF652C1 SIZE=217088

%PROGRAMFILES%\HP\Digital Imaging\bin\hpocxi08.dll [Hewlett-Packard Co.] [hp digital imaging - hp all-in-one series] MD5=ECC3C54B178896D32C776B5CEFD72E29 SIZE=442368

%SYSDIR%\hpzinw12.dll [Hewlett-Packard] [Bidi User Mode] MD5=51C6D8BFBD4EA5B62A1BA7F4469250D3 SIZE=43520

%SYSDIR%\hpzipm12.dll [Hewlett-Packard] [Bidi User Mode] MD5=79834AA2FBF9FE81EEBB229024F6F7FC SIZE=53248

%SYSDIR%\hpowiax3.dll [Hewlett-Packard] [hpowiax3.dll] MD5=6F26FD49E2CE5E4619AC74A8B5E280E6 SIZE=675840

%SYSDIR%\hpotscl3.dll [Hewlett-Packard Co.] [hp digital imaging - hp all-in-one series] MD5=51F23CF1FE194E7DB7DAB9444FF537C8 SIZE=569344

%PROGRAMFILES%\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE [Avira GmbH] [AntiVir Workstation] MD5=6BB6A6A65A8C01A6FBA0432A28EE1B0D SIZE=254209

%PROGRAMFILES%\Avira\AntiVir PersonalEdition Premium\msgclient.dll [Avira GmbH] [AntiVir Workstation] MD5=DC281CD8320B114161151611A3C2F56B SIZE=13569

%PROGRAMFILES%\HP\Digital Imaging\bin\hpqSTE08.exe [Hewlett-Packard Co.] [hp digital imaging - hp all-in-one series] MD5=FEDDD3579FEE51A9873D856DF3933C68 SIZE=151552

%PROGRAMFILES%\HP\Digital Imaging\bin\hpqwso08.dll [Hewlett-Packard Co.] [hp digital imaging - hp all-in-one series] MD5=1D0A76276AD7A836F29F447968C61CE6 SIZE=516096

%PROGRAMFILES%\HP\Digital Imaging\bin\hpqsti08.dll [Hewlett-Packard Co.] [hp digital imaging - hp all-in-one series] MD5=0A0A339D07FF5E9989EEF1E1D476CD29 SIZE=249856

%PROGRAMFILES%\HP\Digital Imaging\bin\hpqstp08.dll [Hewlett-Packard Co.] [hp digital imaging - hp all-in-one series] MD5=7C4DCFF108869D7915D39B9371BE5FFE SIZE=217088

%PROGRAMFILES%\HP\Digital Imaging\bin\hpqstp08.rsc [Hewlett-Packard Co.] [hp digital imaging - hp all-in-one series] MD5=BD146CFF4FC56A2803B9A38B300BF4FA SIZE=11776

%PROGRAMFILES%\HP\Digital Imaging\bin\hpqsem08.rsc [Hewlett-Packard Co.] [hp digital imaging - hp all-in-one series] MD5=E8C290C3DF1438E500F45B6C9CE64754 SIZE=667648

%PROGRAMFILES%\Crawler\Toolbar\firefox\components\xcomm.dll [Crawler.com] [Crawler Toolbar] MD5=D3D250FCF2E062A4941821F302FA5E25 SIZE=211968

%PROGRAMFILES%\Crawler\Toolbar\firefox\components\xshared.dll [Crawler.com] [Crawler Toolbar] MD5=304384A8927AA3C4B07E1B09D31D151D SIZE=349696

%PROGRAMFILES%\Crawler\Toolbar\firefox\components\xsupport.dll [Crawler.com] [Crawler Toolbar] MD5=DE95CE6ECC825AD1EA477A914FEFA434 SIZE=53248

%PROGRAMFILES%\Crawler\Toolbar\firefox\components\xwsg.dll [Crawler.com] [Crawler Toolbar] MD5=1458CE5EF534067EBE75DB64EA954A8E SIZE=2182656

deskpan.dll

%PROGRAMFILES%\Microsoft Office\Office10\OLKFSTUB.DLL [Microsoft Corporation] [Microsoft Outlook] MD5=9F20EAC75AD781685204007C1ABE0B71 SIZE=55440

%TEMP%\ASFWHide MD5=F8C718DC4299002D495A9DA30A7C6EF1 SIZE=4096

%SYSDIR%\svchost.exe -k netsvcs

%PROGRAMFILES%\Avira\AntiVir PersonalEdition Premium\avgntflt.sys [Avira GmbH] [AntiVir Workstation] MD5=509BB9F79F7986CB0D4D7A7BEF35C6D5 SIZE=52032

%SYSDIR%\DRIVERS\avipbb.sys [Avira GmbH] MD5=1A1068D7C0E1C836164ED924390CB407 SIZE=79424

%SYSDIR%\svchost -k DcomLaunch

%SYSDIR%\svchost.exe -k NetworkService

%SYSDIR%\svchost.exe -k hpdevmgmt

%SYSDIR%\DRIVERS\HPZid412.sys [HP] [HP Dot4 Windows 2000] MD5=D03D10F7DED688FECF50F8FBF1EA9B8A SIZE=49920

%SYSDIR%\DRIVERS\HPZipr12.sys [HP] [HP Dot4Print] MD5=89F41658929393487B6B7D13C8528CE3 SIZE=16496

%SYSDIR%\DRIVERS\HPZius12.sys [HP] [HP Dot4Usb Windows 2000] MD5=ABCB05CCDBF03000354B9553820E39F8 SIZE=21568

%SYSDIR%\svchost.exe -k LocalService

%SYSDIR%\svchost.exe -k HPZ12

%SYSDIR%\svchost -k rpcss

%SYSDIR%\DRIVERS\RT61.sys [Ralink Technology Inc.] [Ralink 802.11 Wireless Adapters] MD5=788E3A2113C47F66A912491C8730F96D SIZE=339072

%SYSDIR%\DRIVERS\ssmdrv.sys [Avira GmbH] MD5=3D2829FDE1C52FC64DA5413889CE4DEE SIZE=28352

%SYSDIR%\svchost.exe -k imgsvc

%SYSDIR%\drivers\ac97via.sys [VIA Technologies, Inc.] [VIA Audio WDM Driver] MD5=819BF44085104BE6527B86A88ACF856B SIZE=84480

%COMMONFILES%\Microsoft Shared\Web Components\10\OWC10.DLL [Microsoft Corporation] [Microsoft Office XP] MD5=0A0462F1A4F76F137B45C83FBF32A224 SIZE=7437128


End of Report

Pomocyyyy

(huber2t) #8

Podaj log z Combofix

(Figus) #9

Zaraz to zrobię tylko muszę znaleźć najnowszą wersję ComboFixa :slight_smile: :smiley:

(Figus) #10

ok dzięki już wyłączam

W dniu 02.07.2008 , o godzinie 13:16 został dopisany post przez figus

Właśnie zrobiłem log przez ComboFix. Jednak że nie udało mi się znaleźć najnowszej wersji a podczas uruchamiania ComboFix prosił o aktualizację musiałem zmienić datę w systemie aby się uruchomił.

Podaję loga:

ComboFix 08-06-20.4 - Admin 2008-06-28 12:56:32.1 - NTFSx86
(huber2t) #11

Log wyglada na czysty

usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.

Przeczyść komputer Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum

lub

Dr.WEB CureIt!

(Figus) #12

Gdy tracę kontrolę nad komputerem zaczyna się też pakowanie folderów i plików przez WinR

"> image_id: ARa takich jak:

Foldery:

802.11g Wireless LAN Utility

activePDF

Akcesoria

Autostart

Gadu-Gadu

WinRAR

Pliki:

desktop.ini

Pomoc zdalna.INK

We folderach są głównie Pliki z rozszerzeniem Ink

Odkryłem to w Folderze Temp

Po tym następuje próba wysłania tego spakowanego folderu o nazwie

Pulpit za pomocą Outlooka

Naprawdę bardzo proszę o pomoc bo chyba zwarjuję.

To musi być wirus albo trojan albo błąd systemu ale jak to możliwe :frowning:

Za pomocą kaspersky.pl/virusscanner.html nie przeskanuje bo już nie mam nawet IE 6 :frowning: a także słabe łącze ;(

No skanowanie DrWeb wykonane i niestety nic nie znalazł. A w czasie skanowania znów to się działo uruchamiały się inne programy właściwości strony w przeglądarce że widać było kod strony posting.php?mode=editf=16p=1682668 i http://www.bezpieczenstwosystemow.pl/index.php oraz próba zamknięcia Firefoaxa ale nigdy nie zamyka mi Firefoxa

Nich to ******** znów mi coś robiło teraz znów przestawiło pasek z Menu Start do góry :((

Pomooooocccyyy

(Gutek) #13

Nowy log z Combo

(Figus) #14

Tzn znów mam zrobić log ComboFix’em Ale nie ma nowszego ComboFix’a od tego co już znalazłem :frowning:

Ratunku :frowning:

W dniu 03.07.2008 , o godzinie 14:51 został dopisany post przez figus

Nie dawałem już sobie z tym wszystkim rady przinstalowałem system n Windows XP Professional i znów to samo ba już nawet podczas instalacji chodziła mi myszka nawet jak jej nie dotykałem :(( Z poziomu DOS nie udało się sformatować Dysku D:

Pod windą jak sformatowałem staciłem jeszcze dodatkowe 65 MB

Zaraz po instalce przeskanowałem Dyski BitDefender Plus — Nic nie wykrył :((

A ja wciąż jestem bezradny :frowning: i nic mi już chyba nie pomoże.

P.S.

Kiedyś miałem jakiegoś wirusa AMVO ale go usunął Antyvir i do plików systemowych coś się przykleiło pamiętam b2new ale to już chyba i tak nie istotne.

Pomóżcie :frowning:

W dniu 03.07.2008 , o godzinie 19:21 został dopisany post przez figus

Zrobiłem totalne wyczyszczenie Partycji D:\ za pomocą Paragon Disk Wiper 7, (trwało dobre 4 godziny) pod koniec gdy sformatowałem partycję na FAT32 było OK ale zauważyłem że zamiast mieć całą czystą partycję KB było zajęte nie wiem czym, zrobiłem więc format na NTFS ale Zajęło mi coś 65 MB dysku i znów powrócił stary problem więc znów zrobiłem format z Programu Paragon Disk Wiper 7 SE na FAT32 i jak na razie jest ok.

Tylko mam pytanie dlaczego Mam zajęte po formacie 16 KB na dysku. Przywracanie systemu mam wyłączone na obu dyskach. Co to może być.

I mała prośba mam zablokowany pasek zadań tzn. Nie mam paska szybkiego uruchamiania a jak go włączę to pasek zadań mi się powiększa. Próbuję przesunąć za pomocą myszki ale nie mogę a nie mam w ustawieniach włąćzonej obcji zablokuj pasek zadań. Jak to naprawić?

W dniu 03.07.2008 , o godzinie 19:50 został dopisany post przez figus

Podaję jeszcze wynik z defragmentacji Partycji D: wcześniej przeskanowałem Scandiskiem ale nie wiem gdzie są jego logi :frowning:

Wolumin (D:)

    Rozmiar woluminu = 18,64 GB

    Rozmiar klastra = 16 KB

    Zajęte miejsce = 16 KB

    Wolne miejsce = 18,64 GB

    Procent wolnego miejsca = 99 %


Fragmentacja woluminu

    Fragmentacja całkowita = 0 %

    Fragmentacja plików = 0 %

    Fragmentacja wolnego miejsca = 0 %


Fragmentacja plików

    Całkowita liczba plików = 0

    Średni rozmiar pliku = 0 bajtów

    Całkowita liczba pofragmentowanych plików = 0

    Całkowita liczba nadmiarowych fragmentów plików= 0

    Średnia liczba fragmentów na plik = 0,00


Fragmentacja pliku stronicowania

    Rozmiar pliku stronicowania = 0 bajtów

    Całkowita liczba fragmentów = 0


Fragmentacja folderów

    Całkowita liczba folderów = 1

    Pofragmentowane foldery = 1

    Liczba nadmiarowych fragmentów folderów = 0


--------------------------------------------------------------------------------

Fragmenty Rozmiar pliku Pliki, które nie mogą być zdefragmentowane

Brak

W dniu 03.07.2008 , o godzinie 20:44 _został dopisany post przez figus_Chyba już doszedłem co to za wirus. Mianowicie gdy udało mi się odblokować Pasek szybkiego uruchamiania na Pasku zadań że nie jest już taki gruby jak był poprzednio tylko znów jak dawniej jest cienki, zaraz powrócił problem utraty kontroli nad komputerem. Zatem wnioskuję że jest to jakiś wirus związany z paskiem zadań bądź paskiem szybkiego uruchamiania. A zatem jak pozbyć się tego kłopotu?W dniu 06.07.2008 , o godzinie 20:34 _został dopisany post przez figus_Ludzie ratunku czy to może być wirus który dotknął BIOS? Nie panikować? A jak ja mam teraz pracować jak pojawił się dodatkowy problem gdy zainstalowałem Microsoft Office XP, pojawił się po paru godzinach taki problem że moja myszka nie działa na tle pulpitu tzn. nie widać kursora myszy na pulpicie! !!