ShOOt
(Maruda0)
16 Lipiec 2009 13:58
#1
A więc tak: Jednego dnia nie chciał mi działać net. Wyskakiwało że złe parametry serwera POP3. No to reinstall neostrady zrobiłem i wszystko już dobrze.
Ale NIE weszedłem sobie na forum i zaczęło mnie coś wkurzać… Gdy pisałem jakiś post (byle gdzie) to mi kursor pisania uciekał i tak co 5-10 sekund.
Pomyślałem sobie : Może przejdzie, pogram sobie w coś… Ale potem się wkurzyłem jeszcze bardziej. Gdy włączyłem counter strike to gra się sama minimalizowała, i to też tak co 5-10 sekund. Zresetowałem kompa, nic nie dało. Tak się dzieję wszędzię gdzie piszę coś i ze wszytkimi grami i programami…
Mam nadzieję że mi pomożecie. I daje wam logi z hijack this może wam się przydadzą:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:46:24, on 2009-07-16
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\SYSTEM32\odbcasvc.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\calling.com
C:\WINDOWS\system32\wscntfy.exe
C:\PROGRA~1\NEOSTR~1\CnxMon.exe
C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe
C:\WINDOWS\system32\ctfmon.exe
D:\program files\valve\steam\steam.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\MultiKeyboard Driver\KbdDrv.exe
C:\PROGRA~1\NEOSTR~1\NeostradaTP.exe
C:\PROGRA~1\NEOSTR~1\ComComp.exe
C:\PROGRA~1\NEOSTR~1\Watch.exe
d:\program files\valve\steam\steamapps\unknownnamee\counter-strike\hl.exe
D:\program files\valve\steam\GameOverlayUI.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\USER XP\Pulpit\HiJackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neostrada.pl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada TP
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0 CE\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: PK IE Plugin - {1E1B2879-88FF-11D3-8D96-D7ACAC95951A} - C:\WINDOWS\system32\bpkwb.dll
O2 - BHO: My Global Search Bar BHO - {37B85A21-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.15642\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: IEPluginBHO - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Documents and Settings\USER XP\Dane aplikacji\Nowe Gadu-Gadu\_userdata\ggbho.1.dll
O3 - Toolbar: My Global Search Bar - {37B85A29-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [WinReg] C:\WINDOWS\system32\calling.com
O4 - HKLM\..\Run: [msennger] C:\WINDOWS\system32\calling.com
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\NEOSTR~1\CnxMon.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe
O4 - HKCU\..\Run: [vamsoft] C:\WINDOWS\system32\vamsoft.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe
O4 - HKCU\..\Run: [cbvcs] C:\WINDOWS\system32\urretnd.exe
O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe
O4 - HKCU\..\Run: [Steam] "d:\program files\valve\steam\steam.exe" -silent
O4 - HKCU\..\Run: [hohohhaha] C:\WINDOWS\system32\calling.com
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: MutiKeyboard Driver.lnk = C:\Program Files\MultiKeyboard Driver\KbdDrv.exe
O4 - Startup: Registration .LNK = D:\Program Files\Ubisoft\Peter Jackson's King Kong - The Official Game of the Movie\RegistrationReminder.exe
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{0BBE002B-BB5D-40E3-9CE4-6AFA25CA4F5B}: NameServer = 194.204.159.1 217.98.63.164
O17 - HKLM\System\CS1\Services\Tcpip\..\{0BBE002B-BB5D-40E3-9CE4-6AFA25CA4F5B}: NameServer = 194.204.159.1 217.98.63.164
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
--
End of file - 6119 bytes
kijek
(kijek)
16 Lipiec 2009 14:30
#2
Przeskanuj dysk programem antywirusowym.
Zainstaluj SP3 + wszystkie aktualizacje oraz IE 8.
ybu
(ybu)
16 Lipiec 2009 15:07
#4
Usuń te wpisy w HJT
Uruchom HijackThis - Do a system scan only - w oknie programu pokaże się log - zaznacz kratki przy podanych wpisach - klikasz Fix checked
Pobierz ComboFix,ale nie uruchamiaj go.Podczas pobierania i skanu Combofixem wyłącz wszelkie zapory i antywirusy.
hijackthis-rsit-otl-dds-inne-instrukcja-t36654.html
Wklej do notatnika:
Zapisz plik jako CFScript.txt najlepiej aby ikonka tego pliku znajdowała się obok ikonki ComboFix.exe
Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe powinno rozpocząć się usuwanie po tym daj log na forum.
EDIT- Bez programu antywirusowego to długo nie pociągnie Twój system.
ShOOt
(Maruda0)
16 Lipiec 2009 16:00
#5
ComboFix 09-07-14.08 - USER XP 2009-07-16 17:47.1.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1250.48.1045.18.511.225 [GMT 2:00]
Uruchomiony z: c:\documents and settings\USER XP\Pulpit\ComboFix.exe
Użyto następujących komend :: c:\documents and settings\USER XP\Pulpit\CFScript.txt
.
((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\060ptrm.com
C:\0bcobed.exe
C:\0c9k.exe
C:\0xuc.com
C:\11rhbu.cmd
C:\1f.bat
C:\1mteolu9.com
C:\1ogf.exe
C:\1utbfd.bat
C:\2.bat
C:\2.com
C:\2.exe
C:\28.bat
C:\28b6ry9r.exe
C:\2a.exe
C:\2aaxaiy.exe
C:\2fiy.bat
C:\3.cmd
C:\32agsg.exe
C:\6phx.com
C:\8.bat
C:\8.exe
C:\86l2qw.bat
C:\8gig0ofk.com
C:\8rcahp.exe
C:\982um3s9.exe
C:\9j.exe
C:\a1agmur.cmd
C:\a2h2.com
C:\aieh8r.bat
C:\autorun.inf
C:\bd3q0qix.exe
C:\be2trf.bat
C:\cb.exe
C:\cqxj.exe
C:\cv22.cmd
C:\d1vmq.exe
C:\dbrxubcw.com
C:\e2.cmd
C:\eaywxx.cmd
C:\ej10fkdo.bat
C:\em8tqm.cmd
C:\eyt.exe
C:\f9cvum.exe
C:\fbak.exe
C:\ft96s.exe
C:\g1.bat
C:\g1ljsm.com
C:\gbha.bat
C:\gclwpivc.cmd
C:\gfqgq.cmd
C:\gi2ky.exe
C:\gkc6.com
C:\gy.exe
C:\gyn.cmd
C:\hl80c6b1.com
C:\husyu8n.exe
C:\hyetn1i.exe
C:\i.cmd
C:\i.com
C:\i6g6x.cmd
C:\imo.exe
C:\ioockw.bat
C:\iq.bat
C:\j39y2.bat
C:\j60osk9.cmd
C:\jeorels.cmd
C:\jm3cx96.bat
C:\jr6.com
C:\lad.bat
C:\lc.exe
C:\lel3cx.com
C:\luk1ylq.com
C:\m0vnonh.bat
C:\minm.cmd
C:\ml.com
C:\mt.bat
C:\nkbd1v.exe
C:\npee.com
C:\o.exe
C:\o3n9k.com
C:\opgde.exe
C:\pook.com
c:\program files\BPK
c:\program files\BPK\bpk.exe
c:\program files\BPK\pk.bin
c:\program files\Mozilla Firefox\plugins\NPMyGlSh.dll
c:\program files\myglobalsearch
c:\program files\myglobalsearch\bar\1.bin\M9FFXTBR.JAR
c:\program files\myglobalsearch\bar\1.bin\M9FFXTBR.MANIFEST
c:\program files\myglobalsearch\bar\1.bin\M9NTSTBR.JAR
c:\program files\myglobalsearch\bar\1.bin\M9NTSTBR.MANIFEST
c:\program files\myglobalsearch\bar\1.bin\M9PLUGIN.DLL
c:\program files\myglobalsearch\bar\1.bin\MGSBAR.DLL
c:\program files\myglobalsearch\bar\1.bin\NPMYGLSH.DLL
c:\program files\myglobalsearch\bar\Cache\0002C7CA
c:\program files\myglobalsearch\bar\Cache\0007A44C
c:\program files\myglobalsearch\bar\Cache\002C2573
c:\program files\myglobalsearch\bar\Cache\00CBA5D9.bin
c:\program files\myglobalsearch\bar\Cache\00CBA8C7.bin
c:\program files\myglobalsearch\bar\Cache\00CBABD4.bin
c:\program files\myglobalsearch\bar\Cache\files.ini
c:\program files\myglobalsearch\bar\History\search
c:\program files\myglobalsearch\bar\Settings\prevcfg.htm
C:\q0dhfjf.exe
C:\q9.cmd
C:\qkjxl.exe
C:\qoes.bat
C:\qphdin.com
C:\qs.exe
C:\qwtb.com
C:\qxty9be.cmd
c:\recycler\S-1-5-21-0235618188-3206924784-743701493-4122
c:\recycler\S-1-5-21-1482476501-1644491937-682003330-1013
c:\recycler\S-1-5-21-2647803248-1940413245-607766163-7425
c:\recycler\S-1-5-21-5785821644-2589119388-518108474-1081
c:\recycler\S-1-5-21-8375854151-1041093621-501376802-3994
c:\recycler\S-1-5-21-8375854151-1041093621-501376802-3994\Desktop.ini
c:\recycler\S-1-5-21-8375854151-1041093621-501376802-3994\isl.exe
C:\rwj0.cmd
C:\s9it.bat
C:\sm.exe
C:\ste8.bat
C:\sys.exe
C:\tjjqtejq.bat
C:\tvlx2fg.exe
C:\u.com
C:\ukvr.bat
C:\upw.bat
C:\upx.bat
C:\ur0.com
C:\uvsqfgwd.cmd
C:\uxkl0apt.bat
C:\v63enh.exe
C:\ve.exe
C:\vwewav8.com
C:\w.com
C:\w2.com
C:\w98.com
c:\windows\AhnRpta.exe
c:\windows\expiorer.exe
c:\windows\system32\_000110_.tmp.dll
c:\windows\system32\28463
c:\windows\system32\28463\XMHK.001
c:\windows\system32\28463\XMHK.002
c:\windows\system32\28463\XMHK.005
c:\windows\system32\28463\XMHK.006
c:\windows\system32\28463\XMHK.007
c:\windows\system32\28463\XMHK.009.tmp
c:\windows\system32\28463\XMHK.exe
c:\windows\system32\afmain0.dll
c:\windows\system32\afmain1.dll
c:\windows\system32\aliases.ini
c:\windows\system32\amvo.exe
c:\windows\system32\bpk.dat
c:\windows\system32\bpk.exe
c:\windows\system32\bpkwb.dll
c:\windows\system32\ciuytr0.dll
c:\windows\system32\ciuytr1.dll
c:\windows\system32\ciuytr2.dll
c:\windows\system32\cvnmhg0.dll
c:\windows\system32\d.dll
c:\windows\system32\dbqp.fon
c:\windows\system32\haozs0.dll
c:\windows\system32\haozs1.dll
c:\windows\system32\inst.dat
c:\windows\system32\mirc.ini
c:\windows\system32\msn.dll
c:\windows\system32\nmdfgds0.dll
c:\windows\system32\nmdfgds1.dll
c:\windows\system32\nmdfgds2.dll
c:\windows\system32\odbcasvc.exe
c:\windows\system32\olhrwef.exe
c:\windows\system32\optyhww0.dll
c:\windows\system32\optyhww1.dll
c:\windows\system32\pk.bin
c:\windows\system32\poiyu
c:\windows\system32\systemac.dll
c:\windows\system32\urretnd.exe
c:\windows\system32\vamsoft.exe
C:\wqesvxa.exe
C:\wx8o0bt1.com
C:\x.cmd
C:\x2csvg.exe
C:\x2tpc.cmd
C:\xcisvxl.com
C:\xdw.com
C:\xh319r9b.bat
C:\xhah66s.cmd
C:\xmcckw.bat
C:\xsia.bat
C:\yb12j.cmd
C:\yftvl.com
C:\yh.cmd
C:\yhh.bat
C:\ymxf2.exe
C:\ysep1.exe
D:\0bcobed.exe
D:\0xuc.com
D:\11rhbu.cmd
D:\1f.bat
D:\1ogf.exe
D:\1utbfd.bat
D:\2.bat
D:\28.bat
D:\2a.exe
D:\2aaxaiy.exe
D:\2fiy.bat
D:\2w.cmd
D:\3.cmd
D:\32agsg.exe
D:\8.bat
D:\8.exe
D:\86l2qw.bat
D:\8rcahp.exe
D:\a1agmur.cmd
D:\a2h2.com
D:\aieh8r.bat
D:\Autorun.inf
D:\be2trf.bat
D:\cb.exe
D:\ceb6eu98.bat
D:\cqxj.exe
D:\cv22.cmd
D:\d1vmq.exe
D:\dbrxubcw.com
D:\e2.cmd
D:\eaywxx.cmd
D:\eb.bat
D:\ej10fkdo.bat
D:\em8tqm.cmd
D:\eyt.exe
D:\f9cvum.exe
D:\fbak.exe
D:\ft96s.exe
D:\g1.bat
D:\g1ljsm.com
D:\gbha.bat
D:\gclwpivc.cmd
D:\gfqgq.cmd
D:\gi2ky.exe
D:\gy.exe
D:\gyn.cmd
D:\husyu8n.exe
D:\hyetn1i.exe
D:\i.cmd
D:\i.com
D:\i6g6x.cmd
D:\ioockw.bat
D:\iq.bat
D:\iqosrtk.bat
D:\j39y2.bat
D:\jeorels.cmd
D:\jm3cx96.bat
D:\l8yuk.bat
D:\lad.bat
D:\lc.exe
D:\lel3cx.com
D:\luk1ylq.com
D:\m0vnonh.bat
D:\minm.cmd
D:\mt.bat
D:\npee.com
D:\o3n9k.com
D:\opgde.exe
D:\pook.com
D:\q0dhfjf.exe
D:\q9.cmd
D:\qoes.bat
D:\qphdin.com
D:\qquq.bat
D:\qwtb.com
D:\qxty9be.cmd
D:\r8.bat
D:\rwj0.cmd
D:\s9it.bat
D:\sm.exe
D:\ste8.bat
D:\tjjqtejq.bat
D:\tvlx2fg.exe
D:\u.com
D:\ukvr.bat
D:\upw.bat
D:\upx.bat
D:\uvsqfgwd.cmd
D:\uxkl0apt.bat
D:\vwewav8.com
D:\w.com
D:\w2.com
D:\w98.com
D:\wqesvxa.exe
D:\wx8o0bt1.com
D:\x.cmd
D:\x0.com
D:\x2tpc.cmd
D:\xcisvxl.com
D:\xdw.com
D:\xh319r9b.bat
D:\xhah66s.cmd
D:\xmcckw.bat
D:\xrdygg.bat
D:\xsia.bat
D:\yb12j.cmd
D:\yh.cmd
D:\yhh.bat
D:\ymxf2.exe
D:\ysep1.exe
.
((((((((((((((((((((((((((((((((((((((( Sterowniki/Usługi )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_KAVSYS
-------\Legacy_ODBCASVC
-------\Legacy_OREANS32
-------\Service_AVPsys
-------\Service_odbcasvc
-------\Service_oreans32
((((((((((((((((((((((((( Pliki utworzone od 2009-06-16 do 2009-07-16 )))))))))))))))))))))))))))))))
.
2009-07-16 14:08 . 2009-07-16 14:08 127 ----a-w- c:\windows\system32\544.reg
2009-07-16 13:39 . 2009-07-16 13:39 127 ----a-w- c:\windows\system32\148.reg
2009-07-16 13:12 . 2009-07-16 13:12 127 ----a-w- c:\windows\system32\755.reg
2009-07-16 13:11 . 2009-07-16 13:11 -------- d-----w- c:\program files\Thomson
2009-07-16 13:09 . 2009-07-16 15:52 -------- d-----w- c:\program files\Neostrada TP
2009-07-16 12:52 . 2009-07-16 12:52 127 ----a-w- c:\windows\system32\810.reg
2009-07-16 12:50 . 2009-07-16 12:50 127 ----a-w- c:\windows\system32\974.reg
2009-07-16 12:45 . 2009-07-16 12:45 127 ----a-w- c:\windows\system32\540.reg
2009-07-16 12:42 . 2009-07-16 12:42 127 ----a-w- c:\windows\system32\243.reg
2009-07-16 09:07 . 2009-07-16 09:07 127 ----a-w- c:\windows\system32\566.reg
2009-07-16 08:56 . 2001-01-12 17:47 122884 ----a-w- c:\windows\UnGins.exe
2009-07-16 08:55 . 2009-07-16 08:55 -------- d-----w- c:\program files\Sims
2009-07-16 08:45 . 2009-07-16 08:45 127 ----a-w- c:\windows\system32\777.reg
2009-07-16 07:30 . 2009-07-16 07:30 127 ----a-w- c:\windows\system32\433.reg
2009-07-15 18:15 . 2009-07-15 18:15 -------- d-----w- c:\documents and settings\USER XP\Dane aplikacji\Mumble
2009-07-15 18:14 . 2009-07-15 18:15 -------- d-----w- c:\program files\Mumble
2009-07-14 15:44 . 2009-06-27 08:50 35507 ----a-w- c:\windows\system32\lmz.exe
2009-07-14 15:44 . 2008-05-21 13:06 754176 ----a-w- c:\windows\system32\calling.com
2009-07-14 15:44 . 2007-09-05 09:02 31744 ----a-w- c:\windows\system32\lam5.exe
2009-07-14 15:44 . 2007-09-05 09:02 17408 ----a-w- c:\windows\system32\lam4.exe
2009-07-14 15:44 . 2007-09-05 09:02 19968 ----a-w- c:\windows\system32\lam3.exe
2009-07-14 15:44 . 2007-09-05 09:02 90112 ----a-w- c:\windows\system32\lam2.exe
2009-07-14 15:44 . 2007-09-05 09:02 61440 ----a-w- c:\windows\system32\lam1.exe
2009-07-14 15:44 . 2003-04-19 09:43 86016 ----a-w- c:\windows\system32\reg.dll
2009-07-11 08:33 . 2009-07-11 08:33 -------- d-----w- C:\AV_LOGS
2009-07-11 08:32 . 2008-12-10 14:56 17792 ----a-w- c:\windows\system32\drivers\vcsvad.sys
2009-06-29 12:03 . 2009-06-29 12:03 -------- d-----w- c:\program files\Pivot Stickfigure Animator
2009-06-26 05:59 . 2009-06-26 05:59 22672 ----a-w- c:\windows\antyvirk.exe
2009-06-22 13:01 . 2009-06-23 07:33 -------- d-----w- c:\windows\system32\dt
.
(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-07-16 13:11 . 2009-01-04 10:01 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-07-16 12:17 . 2009-06-08 11:40 -------- d-----w- c:\program files\Asystent Plusfon 401i
2009-07-16 12:13 . 2009-01-22 07:40 -------- d-----w- c:\documents and settings\USER XP\Dane aplikacji\skypePM
2009-07-16 12:10 . 2009-04-19 15:33 -------- d-----w- c:\program files\ipla
2009-07-16 12:09 . 2009-03-19 14:04 -------- d-----w- c:\documents and settings\USER XP\Dane aplikacji\Hamachi
2009-07-13 08:17 . 2009-01-22 07:37 -------- d-----w- c:\documents and settings\USER XP\Dane aplikacji\Skype
2009-06-30 19:56 . 2009-01-12 17:04 1 ----a-w- c:\documents and settings\USER XP\Dane aplikacji\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2009-06-12 14:23 . 2009-06-12 14:23 -------- d-----w- c:\program files\MultiKeyboard Driver
2009-06-11 17:18 . 2009-02-08 19:32 -------- d-----w- c:\documents and settings\USER XP\Dane aplikacji\VSO
2009-06-11 13:34 . 2009-06-11 13:34 -------- d-----w- c:\documents and settings\USER XP\Dane aplikacji\CyberLink
2009-06-08 11:41 . 2001-10-26 19:15 67078 ----a-w- c:\windows\system32\perfc015.dat
2009-06-08 11:41 . 2001-10-26 19:15 435978 ----a-w- c:\windows\system32\perfh015.dat
2009-06-06 17:18 . 2009-01-30 15:52 -------- d-----w- c:\documents and settings\USER XP\Dane aplikacji\Nowe Gadu-Gadu
2009-06-06 16:41 . 2009-06-04 07:04 -------- d-----w- c:\program files\Nowe Gadu-Gadu
2009-06-04 07:10 . 2009-06-04 07:10 -------- d-----w- c:\documents and settings\USER XP\Dane aplikacji\OpenFM
2009-05-28 09:23 . 2009-05-28 09:23 42088 ----a-w- c:\documents and settings\USER XP\Dane aplikacji\Nowe Gadu-Gadu\_userdata\ggbho.1.dll
2009-05-28 08:34 . 2009-05-28 08:34 11264 ----a-w- c:\documents and settings\USER XP\Dane aplikacji\Nowe Gadu-Gadu\_userdata\npgg.1.dll
2009-05-23 21:11 . 2009-01-04 14:48 -------- d-----w- c:\program files\Gadu-Gadu
2009-05-20 06:10 . 2009-04-19 15:33 -------- d-----w- c:\documents and settings\USER XP\Dane aplikacji\ipla
2009-05-10 16:01 . 2009-05-10 16:01 15872 ----a-r- c:\documents and settings\USER XP\Dane aplikacji\Microsoft\Installer\{048298C9-A4D3-490B-9FF9-AB023A9238F3}\Icon048298C9.exe
2009-04-22 09:20 . 2009-04-22 09:20 1024 ----a-w- c:\documents and settings\All Users\Dane aplikacji\BVRP Software\Motorola Phone Tools\faxres.cmd
2009-04-19 15:30 . 2009-04-19 15:30 1700352 ----a-w- c:\windows\system32\gdiplus.dll
2004-03-11 12:27 . 2009-01-19 19:24 40960 ----a-w- c:\program files\Uninstall_CDS.exe
2009-06-12 19:38 . 2009-01-04 10:26 134648 ----a-w- c:\program files\mozilla firefox\components\brwsrcmp.dll
2009-04-05 15:25 . 2009-01-04 16:10 89600 --sh--r- c:\windows\system32\cvnmhg1.dll
.
((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-03 15360]
"Steam"="d:\program files\valve\steam\steam.exe" [2009-06-11 1217784]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-01-18 68856]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WooCnxMon"="c:\progra~1\NEOSTR~1\CnxMon.exe" [2003-10-16 24576]
"SpeedTouch USB Diagnostics"="c:\program files\Thomson\SpeedTouch USB\Dragdiag.exe" [2004-01-26 866816]
"WOOWATCH"="c:\progra~1\NEOSTR~1\Watch.exe" [2003-10-16 20480]
"WOOTASKBARICON"="c:\progra~1\NEOSTR~1\TaskbarIcon.exe" [2003-10-16 53248]
"MSConfig"="c:\windows\PCHealth\HelpCtr\Binaries\MSConfig.exe" [2004-08-03 159744]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360]
"ATICCC"="c:\program files\ATI Technologies\ATI.ACE\cli.exe" [2005-02-22 32768]
c:\documents and settings\USER XP\Menu Start\Programy\Autostart\
MutiKeyboard Driver.lnk - c:\program files\MultiKeyboard Driver\KbdDrv.exe [2009-6-12 366080]
Registration .LNK - d:\program files\Ubisoft\Peter Jackson's King Kong - The Official Game of the Movie\RegistrationReminder.exe [2009-7-16 868352]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="c:\windows\system32\logonuiX.exe"
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WB]
2001-12-20 20:34 24576 ----a-w- c:\windows\system32\fastload.dll
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\usmt\\migwiz.exe"=
"c:\\Program Files\\Gadu-Gadu\\gg.exe"=
"d:\\Program Files\\BearShare\\BearShare.exe"=
"c:\\Program Files\\Valve\\hl.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"27090:UDP"= 27090:UDP:CS
R3 VCSVADHWSer;Avnex Virtual Audio Device (WDM);c:\windows\system32\drivers\vcsvad.sys [2009-07-11 17792]
S3 ddsxeiservice;ddsxeiservice2;\??\c:\program files\sXe Injected\ddsxei.sys --> c:\program files\sXe Injected\ddsxei.sys [?]
S3 MobileAdapter;Huawei Mobile Adapter USB Modem and USB Serial;c:\windows\system32\drivers\hmumdm.sys [2009-03-25 88960]
S3 Usbfilt;UsbFilt;c:\windows\system32\drivers\usbfilt.sys [2009-06-12 26166]
.
- - - - USUNIĘTO PUSTE WPISY - - - -
HKLM-Run-XMHK Agent - c:\windows\system32\28463\XMHK.exe
.
------- Skan uzupełniający -------
.
uSearch Page = hxxp://www.google.com
uStart Page = hxxp://www.neostrada.pl
uSearch Bar = hxxp://www.google.com/ie
uInternet Connection Wizard,ShellNext = iexplore
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: { - c:\program files\Messenger\msmsgs.exe
TCP: {0BBE002B-BB5D-40E3-9CE4-6AFA25CA4F5B} = 194.204.159.1 217.98.63.164
FF - ProfilePath - c:\documents and settings\USER XP\Dane aplikacji\Mozilla\Firefox\Profiles\m17wq25p.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.onet.pl
FF - plugin: c:\documents and settings\USER XP\Dane aplikacji\Nowe Gadu-Gadu\_userdata\npgg.1.dll
FF - plugin: c:\program files\Opera\program\plugins\nppdf32.dll
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-07-16 17:53
Windows 5.1.2600 Dodatek Service Pack 2 NTFS
skanowanie ukrytych procesów ...
skanowanie ukrytych wpisów autostartu ...
skanowanie ukrytych plików ...
skanowanie pomyślnie ukończone
ukryte pliki: 0
**************************************************************************
.
--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------
- - - - - - - > 'winlogon.exe'(672)
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\fastload.dll
- - - - - - - > 'explorer.exe'(3624)
c:\windows\system32\browselc.dll
c:\windows\system32\msi.dll
.
------------------------ Pozostałe uruchomione procesy ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\program files\Ahead\InCD\InCDsrv.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32\ati2evxx.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Czas ukończenia: 2009-07-16 17:56 - komputer został uruchomiony ponownie
ComboFix-quarantined-files.txt 2009-07-16 15:56
Przed: 7 984 979 968 bajtów wolnych
Po: 8 111 067 136 bajtów wolnych
WindowsXP-KB310994-SP2-Pro-BootDisk-PLK.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
481
To jest log z ComboFix’a. Heh wygląda na to że problem rozwiązany. Dzięki za pomoc. Już se ściągam anty wirka. Może mi ktoś powiedzieć jaki będzie dobry?
EDIT: Może mi ktoś podać stronę z której ściągne dodatek “Service Pack 3”?
ShOOt
(Maruda0)
17 Lipiec 2009 06:01
#7
No dzięki. Ale przypomniałem sobie że ja robie reguralnie format kompa co 5-6 miesięcy. To chyba mi nie potrzebny anty-wirek?
Potrzebny, po formacie od razu pierwszy plik i mozesz załapać wirusa.
ShOOt
(Maruda0)
17 Lipiec 2009 09:15
#9
To jakiego tego antywirusa ściągnąć se?
Według mnie najlepszy Kaspersky. Dobre są niektóre płatne, zaletą darmowych jest tylko to, że są darmowe.
ShOOt
(Maruda0)
17 Lipiec 2009 11:52
#11
Mam jeszcze jeden problem.
Ściągnąłem ten service pack co powiedział Garent-Lipe i mam taki plik:
xpsp3_5512.080413-2113_pl_x86fre_spcd.iso
Dobra i nie wiem co z tym zrobić, bo nie mam żadnego programu który odczyta mi rozszerzenie .iso
O co z tym chodzi?
deFco247
(deFco247)
17 Lipiec 2009 12:08
#12
Pobrałeś obraz płyty. Takie coś musisz nagrać na płytkę np. darmowym programem IMGBurn.
Możesz pobrać SP3 jako instalator .
Dalej masz syf na kompie.
Pobierz The Avenger i uruchom.
Skopiuj ten tekst:
W oknie The Avengera klikasz Paste Script from Clipboard , wybierasz Execute i zgadzasz się na restart.
Po restarcie kasujesz plik C:\Avenger\backup.zip i dajesz tutaj do sprawdzenia raport C:\avenger.txt
ShOOt
(Maruda0)
17 Lipiec 2009 12:16
#13
Dobra już. Odczytałem ten sp3 programem deamon tools. No i tak instaluje mi sie i wyskakuje takie coś:
I co z tym zrobić?
ybu
(ybu)
17 Lipiec 2009 12:33
#14
deFco247 czy do skryptu,który podałeś nie należy jeszcze dodać to ?
EDIT- deFco247 - tu nie chodziło mi o zwrócenie Ci uwagi bo to może się każdemu zdarzyć,zwłaszcza gdy logi podawane są w formie jaką on podał.Dlatego ja jak oglądam sobie jakieś logi tego typu to kopiuję je sobie do notatnika i wtedy dopiero jest jasny podgląd.
deFco247
(deFco247)
17 Lipiec 2009 12:37
#15
Co do tego nie byłem pewien. Ale chyba jednak do usunięcia.
Nie zauważyłem pliku w logu. Dziękuję za zwrócenie uwagi.
ShOOt
(Maruda0)
17 Lipiec 2009 14:10
#16
Pobrałem SP3 PL. Instaltor. Sprubowałem zainstalować ale wyskoczyło to samo:
– Dodane 17.07.2009 (Pt) 16:15 –
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
File "c:\windows\system32\lam1.exe" deleted successfully.
File "c:\windows\system32\lam2.exe" deleted successfully.
File "c:\windows\system32\lam3.exe" deleted successfully.
File "c:\windows\system32\lam4.exe" deleted successfully.
File "c:\windows\system32\lam5.exe" deleted successfully.
File "c:\windows\system32\lmz.exe" deleted successfully.
File "c:\windows\system32\544.reg" deleted successfully.
File "c:\windows\system32\148.reg" deleted successfully.
File "c:\windows\system32\755.reg" deleted successfully.
File "c:\windows\system32\810.reg" deleted successfully.
File "c:\windows\system32\974.reg" deleted successfully.
File "c:\windows\system32\540.reg" deleted successfully.
File "c:\windows\system32\243.reg" deleted successfully.
File "c:\windows\system32\566.reg" deleted successfully.
File "c:\windows\system32\777.reg" deleted successfully.
File "c:\windows\system32\433.reg" deleted successfully.
File "c:\windows\system32\cvnmhg1.dll" deleted successfully.
Completed script processing.
*******************
Finished! Terminate.
To jest wynik z avengera
ybu
(ybu)
17 Lipiec 2009 16:17
#17
Start Uruchom wpisz Combofix /u ewentualnie usuń ręcznie folder C:\Qoobox i instalkę Combofix z dysku.
Wyłącz I włącz przywracanie systemu na wszystkich dyskach http://support.microsoft.com/kb/310405/pl
Przeskanuj obszar Mój komputer http://www.kaspersky.pl/virusscanner.html .Jak będą wirusy,daj raport
Ewentualnie użyj:
Dr.WEB CureIt! http://dobreprogramy.pl/index.php?dz=2& … It!+4.44.5
ShOOt
(Maruda0)
17 Lipiec 2009 20:49
#18
A o co chodzi z tym SP3?
– Dodane 18.07.2009 (So) 11:18 –
To znaczy że mam system w języku angielskim?
Service Pack (SP3) to nic innego jak worek aktualizacji, które usprawniają system. Po tym działa lepiej i jest bardziej uodporniony na ataki wirusów. Co do Twojego problemu to go nie spotkałem, ten na pewno jest do polskojęzycznej wersji http://dobreprogramy.pl/index.php?dz=2& … ice+Pack+3