Co to znaczy? Samo się minimalizuje


(Maruda0) #1

A więc tak: Jednego dnia nie chciał mi działać net. Wyskakiwało że złe parametry serwera POP3. No to reinstall neostrady zrobiłem i wszystko już dobrze.

Ale NIE weszedłem sobie na forum i zaczęło mnie coś wkurzać... Gdy pisałem jakiś post (byle gdzie) to mi kursor pisania uciekał i tak co 5-10 sekund.

Pomyślałem sobie : Może przejdzie, pogram sobie w coś... Ale potem się wkurzyłem jeszcze bardziej. Gdy włączyłem counter strike to gra się sama minimalizowała, i to też tak co 5-10 sekund. Zresetowałem kompa, nic nie dało. Tak się dzieję wszędzię gdzie piszę coś i ze wszytkimi grami i programami...

Mam nadzieję że mi pomożecie. I daje wam logi z hijack this może wam się przydadzą:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 15:46:24, on 2009-07-16

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Ahead\InCD\InCDsrv.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\WINDOWS\SYSTEM32\odbcasvc.EXE

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\calling.com

C:\WINDOWS\system32\wscntfy.exe

C:\PROGRA~1\NEOSTR~1\CnxMon.exe

C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe

C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe

C:\WINDOWS\system32\ctfmon.exe

D:\program files\valve\steam\steam.exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Program Files\MultiKeyboard Driver\KbdDrv.exe

C:\PROGRA~1\NEOSTR~1\NeostradaTP.exe

C:\PROGRA~1\NEOSTR~1\ComComp.exe

C:\PROGRA~1\NEOSTR~1\Watch.exe

d:\program files\valve\steam\steamapps\unknownnamee\counter-strike\hl.exe

D:\program files\valve\steam\GameOverlayUI.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Documents and Settings\USER XP\Pulpit\HiJackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neostrada.pl

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada TP

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0 CE\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: PK IE Plugin - {1E1B2879-88FF-11D3-8D96-D7ACAC95951A} - C:\WINDOWS\system32\bpkwb.dll

O2 - BHO: My Global Search Bar BHO - {37B85A21-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.15642\swg.dll

O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O2 - BHO: IEPluginBHO - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Documents and Settings\USER XP\Dane aplikacji\Nowe Gadu-Gadu\_userdata\ggbho.1.dll

O3 - Toolbar: My Global Search Bar - {37B85A29-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL

O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll

O4 - HKLM\..\Run: [WinReg] C:\WINDOWS\system32\calling.com

O4 - HKLM\..\Run: [msennger] C:\WINDOWS\system32\calling.com

O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\NEOSTR~1\CnxMon.exe

O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe

O4 - HKCU\..\Run: [vamsoft] C:\WINDOWS\system32\vamsoft.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe

O4 - HKCU\..\Run: [cbvcs] C:\WINDOWS\system32\urretnd.exe

O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe

O4 - HKCU\..\Run: [Steam] "d:\program files\valve\steam\steam.exe" -silent

O4 - HKCU\..\Run: [hohohhaha] C:\WINDOWS\system32\calling.com

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: MutiKeyboard Driver.lnk = C:\Program Files\MultiKeyboard Driver\KbdDrv.exe

O4 - Startup: Registration .LNK = D:\Program Files\Ubisoft\Peter Jackson's King Kong - The Official Game of the Movie\RegistrationReminder.exe

O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{0BBE002B-BB5D-40E3-9CE4-6AFA25CA4F5B}: NameServer = 194.204.159.1 217.98.63.164

O17 - HKLM\System\CS1\Services\Tcpip\..\{0BBE002B-BB5D-40E3-9CE4-6AFA25CA4F5B}: NameServer = 194.204.159.1 217.98.63.164

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe


--

End of file - 6119 bytes

(kijek) #2

Przeskanuj dysk programem antywirusowym.


(sla17) #3

Zainstaluj SP3 + wszystkie aktualizacje oraz IE 8.


(ybu) #4

Usuń te wpisy w HJT

Uruchom HijackThis - Do a system scan only - w oknie programu pokaże się log - zaznacz kratki przy podanych wpisach - klikasz Fix checked

Pobierz ComboFix,ale nie uruchamiaj go.Podczas pobierania i skanu Combofixem wyłącz wszelkie zapory i antywirusy.

hijackthis-rsit-otl-dds-inne-instrukcja-t36654.html

Wklej do notatnika:

Zapisz plik jako CFScript.txt najlepiej aby ikonka tego pliku znajdowała się obok ikonki ComboFix.exe

Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe powinno rozpocząć się usuwanie po tym daj log na forum.

EDIT- Bez programu antywirusowego to długo nie pociągnie Twój system.


(Maruda0) #5
ComboFix 09-07-14.08 - USER XP 2009-07-16 17:47.1.1 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1250.48.1045.18.511.225 [GMT 2:00]

Uruchomiony z: c:\documents and settings\USER XP\Pulpit\ComboFix.exe

Użyto następujących komend :: c:\documents and settings\USER XP\Pulpit\CFScript.txt

.


((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))

.


C:\060ptrm.com

C:\0bcobed.exe

C:\0c9k.exe

C:\0xuc.com

C:\11rhbu.cmd

C:\1f.bat

C:\1mteolu9.com

C:\1ogf.exe

C:\1utbfd.bat

C:\2.bat

C:\2.com

C:\2.exe

C:\28.bat

C:\28b6ry9r.exe

C:\2a.exe

C:\2aaxaiy.exe

C:\2fiy.bat

C:\3.cmd

C:\32agsg.exe

C:\6phx.com

C:\8.bat

C:\8.exe

C:\86l2qw.bat

C:\8gig0ofk.com

C:\8rcahp.exe

C:\982um3s9.exe

C:\9j.exe

C:\a1agmur.cmd

C:\a2h2.com

C:\aieh8r.bat

C:\autorun.inf

C:\bd3q0qix.exe

C:\be2trf.bat

C:\cb.exe

C:\cqxj.exe

C:\cv22.cmd

C:\d1vmq.exe

C:\dbrxubcw.com

C:\e2.cmd

C:\eaywxx.cmd

C:\ej10fkdo.bat

C:\em8tqm.cmd

C:\eyt.exe

C:\f9cvum.exe

C:\fbak.exe

C:\ft96s.exe

C:\g1.bat

C:\g1ljsm.com

C:\gbha.bat

C:\gclwpivc.cmd

C:\gfqgq.cmd

C:\gi2ky.exe

C:\gkc6.com

C:\gy.exe

C:\gyn.cmd

C:\hl80c6b1.com

C:\husyu8n.exe

C:\hyetn1i.exe

C:\i.cmd

C:\i.com

C:\i6g6x.cmd

C:\imo.exe

C:\ioockw.bat

C:\iq.bat

C:\j39y2.bat

C:\j60osk9.cmd

C:\jeorels.cmd

C:\jm3cx96.bat

C:\jr6.com

C:\lad.bat

C:\lc.exe

C:\lel3cx.com

C:\luk1ylq.com

C:\m0vnonh.bat

C:\minm.cmd

C:\ml.com

C:\mt.bat

C:\nkbd1v.exe

C:\npee.com

C:\o.exe

C:\o3n9k.com

C:\opgde.exe

C:\pook.com

c:\program files\BPK

c:\program files\BPK\bpk.exe

c:\program files\BPK\pk.bin

c:\program files\Mozilla Firefox\plugins\NPMyGlSh.dll

c:\program files\myglobalsearch

c:\program files\myglobalsearch\bar\1.bin\M9FFXTBR.JAR

c:\program files\myglobalsearch\bar\1.bin\M9FFXTBR.MANIFEST

c:\program files\myglobalsearch\bar\1.bin\M9NTSTBR.JAR

c:\program files\myglobalsearch\bar\1.bin\M9NTSTBR.MANIFEST

c:\program files\myglobalsearch\bar\1.bin\M9PLUGIN.DLL

c:\program files\myglobalsearch\bar\1.bin\MGSBAR.DLL

c:\program files\myglobalsearch\bar\1.bin\NPMYGLSH.DLL

c:\program files\myglobalsearch\bar\Cache\0002C7CA

c:\program files\myglobalsearch\bar\Cache\0007A44C

c:\program files\myglobalsearch\bar\Cache\002C2573

c:\program files\myglobalsearch\bar\Cache\00CBA5D9.bin

c:\program files\myglobalsearch\bar\Cache\00CBA8C7.bin

c:\program files\myglobalsearch\bar\Cache\00CBABD4.bin

c:\program files\myglobalsearch\bar\Cache\files.ini

c:\program files\myglobalsearch\bar\History\search

c:\program files\myglobalsearch\bar\Settings\prevcfg.htm

C:\q0dhfjf.exe

C:\q9.cmd

C:\qkjxl.exe

C:\qoes.bat

C:\qphdin.com

C:\qs.exe

C:\qwtb.com

C:\qxty9be.cmd

c:\recycler\S-1-5-21-0235618188-3206924784-743701493-4122

c:\recycler\S-1-5-21-1482476501-1644491937-682003330-1013

c:\recycler\S-1-5-21-2647803248-1940413245-607766163-7425

c:\recycler\S-1-5-21-5785821644-2589119388-518108474-1081

c:\recycler\S-1-5-21-8375854151-1041093621-501376802-3994

c:\recycler\S-1-5-21-8375854151-1041093621-501376802-3994\Desktop.ini

c:\recycler\S-1-5-21-8375854151-1041093621-501376802-3994\isl.exe

C:\rwj0.cmd

C:\s9it.bat

C:\sm.exe

C:\ste8.bat

C:\sys.exe

C:\tjjqtejq.bat

C:\tvlx2fg.exe

C:\u.com

C:\ukvr.bat

C:\upw.bat

C:\upx.bat

C:\ur0.com

C:\uvsqfgwd.cmd

C:\uxkl0apt.bat

C:\v63enh.exe

C:\ve.exe

C:\vwewav8.com

C:\w.com

C:\w2.com

C:\w98.com

c:\windows\AhnRpta.exe

c:\windows\expiorer.exe

c:\windows\system32\_000110_.tmp.dll

c:\windows\system32\28463

c:\windows\system32\28463\XMHK.001

c:\windows\system32\28463\XMHK.002

c:\windows\system32\28463\XMHK.005

c:\windows\system32\28463\XMHK.006

c:\windows\system32\28463\XMHK.007

c:\windows\system32\28463\XMHK.009.tmp

c:\windows\system32\28463\XMHK.exe

c:\windows\system32\afmain0.dll

c:\windows\system32\afmain1.dll

c:\windows\system32\aliases.ini

c:\windows\system32\amvo.exe

c:\windows\system32\bpk.dat

c:\windows\system32\bpk.exe

c:\windows\system32\bpkwb.dll

c:\windows\system32\ciuytr0.dll

c:\windows\system32\ciuytr1.dll

c:\windows\system32\ciuytr2.dll

c:\windows\system32\cvnmhg0.dll

c:\windows\system32\d.dll

c:\windows\system32\dbqp.fon

c:\windows\system32\haozs0.dll

c:\windows\system32\haozs1.dll

c:\windows\system32\inst.dat

c:\windows\system32\mirc.ini

c:\windows\system32\msn.dll

c:\windows\system32\nmdfgds0.dll

c:\windows\system32\nmdfgds1.dll

c:\windows\system32\nmdfgds2.dll

c:\windows\system32\odbcasvc.exe

c:\windows\system32\olhrwef.exe

c:\windows\system32\optyhww0.dll

c:\windows\system32\optyhww1.dll

c:\windows\system32\pk.bin

c:\windows\system32\poiyu

c:\windows\system32\systemac.dll

c:\windows\system32\urretnd.exe

c:\windows\system32\vamsoft.exe

C:\wqesvxa.exe

C:\wx8o0bt1.com

C:\x.cmd

C:\x2csvg.exe

C:\x2tpc.cmd

C:\xcisvxl.com

C:\xdw.com

C:\xh319r9b.bat

C:\xhah66s.cmd

C:\xmcckw.bat

C:\xsia.bat

C:\yb12j.cmd

C:\yftvl.com

C:\yh.cmd

C:\yhh.bat

C:\ymxf2.exe

C:\ysep1.exe

D:\0bcobed.exe

D:\0xuc.com

D:\11rhbu.cmd

D:\1f.bat

D:\1ogf.exe

D:\1utbfd.bat

D:\2.bat

D:\28.bat

D:\2a.exe

D:\2aaxaiy.exe

D:\2fiy.bat

D:\2w.cmd

D:\3.cmd

D:\32agsg.exe

D:\8.bat

D:\8.exe

D:\86l2qw.bat

D:\8rcahp.exe

D:\a1agmur.cmd

D:\a2h2.com

D:\aieh8r.bat

D:\Autorun.inf

D:\be2trf.bat

D:\cb.exe

D:\ceb6eu98.bat

D:\cqxj.exe

D:\cv22.cmd

D:\d1vmq.exe

D:\dbrxubcw.com

D:\e2.cmd

D:\eaywxx.cmd

D:\eb.bat

D:\ej10fkdo.bat

D:\em8tqm.cmd

D:\eyt.exe

D:\f9cvum.exe

D:\fbak.exe

D:\ft96s.exe

D:\g1.bat

D:\g1ljsm.com

D:\gbha.bat

D:\gclwpivc.cmd

D:\gfqgq.cmd

D:\gi2ky.exe

D:\gy.exe

D:\gyn.cmd

D:\husyu8n.exe

D:\hyetn1i.exe

D:\i.cmd

D:\i.com

D:\i6g6x.cmd

D:\ioockw.bat

D:\iq.bat

D:\iqosrtk.bat

D:\j39y2.bat

D:\jeorels.cmd

D:\jm3cx96.bat

D:\l8yuk.bat

D:\lad.bat

D:\lc.exe

D:\lel3cx.com

D:\luk1ylq.com

D:\m0vnonh.bat

D:\minm.cmd

D:\mt.bat

D:\npee.com

D:\o3n9k.com

D:\opgde.exe

D:\pook.com

D:\q0dhfjf.exe

D:\q9.cmd

D:\qoes.bat

D:\qphdin.com

D:\qquq.bat

D:\qwtb.com

D:\qxty9be.cmd

D:\r8.bat

D:\rwj0.cmd

D:\s9it.bat

D:\sm.exe

D:\ste8.bat

D:\tjjqtejq.bat

D:\tvlx2fg.exe

D:\u.com

D:\ukvr.bat

D:\upw.bat

D:\upx.bat

D:\uvsqfgwd.cmd

D:\uxkl0apt.bat

D:\vwewav8.com

D:\w.com

D:\w2.com

D:\w98.com

D:\wqesvxa.exe

D:\wx8o0bt1.com

D:\x.cmd

D:\x0.com

D:\x2tpc.cmd

D:\xcisvxl.com

D:\xdw.com

D:\xh319r9b.bat

D:\xhah66s.cmd

D:\xmcckw.bat

D:\xrdygg.bat

D:\xsia.bat

D:\yb12j.cmd

D:\yh.cmd

D:\yhh.bat

D:\ymxf2.exe

D:\ysep1.exe


.

((((((((((((((((((((((((((((((((((((((( Sterowniki/Usługi )))))))))))))))))))))))))))))))))))))))))))))))))

.


-------\Legacy_KAVSYS

-------\Legacy_ODBCASVC

-------\Legacy_OREANS32

-------\Service_AVPsys

-------\Service_odbcasvc

-------\Service_oreans32



((((((((((((((((((((((((( Pliki utworzone od 2009-06-16 do 2009-07-16 )))))))))))))))))))))))))))))))

.


2009-07-16 14:08 . 2009-07-16 14:08	127	----a-w-	c:\windows\system32\544.reg

2009-07-16 13:39 . 2009-07-16 13:39	127	----a-w-	c:\windows\system32\148.reg

2009-07-16 13:12 . 2009-07-16 13:12	127	----a-w-	c:\windows\system32\755.reg

2009-07-16 13:11 . 2009-07-16 13:11	--------	d-----w-	c:\program files\Thomson

2009-07-16 13:09 . 2009-07-16 15:52	--------	d-----w-	c:\program files\Neostrada TP

2009-07-16 12:52 . 2009-07-16 12:52	127	----a-w-	c:\windows\system32\810.reg

2009-07-16 12:50 . 2009-07-16 12:50	127	----a-w-	c:\windows\system32\974.reg

2009-07-16 12:45 . 2009-07-16 12:45	127	----a-w-	c:\windows\system32\540.reg

2009-07-16 12:42 . 2009-07-16 12:42	127	----a-w-	c:\windows\system32\243.reg

2009-07-16 09:07 . 2009-07-16 09:07	127	----a-w-	c:\windows\system32\566.reg

2009-07-16 08:56 . 2001-01-12 17:47	122884	----a-w-	c:\windows\UnGins.exe

2009-07-16 08:55 . 2009-07-16 08:55	--------	d-----w-	c:\program files\Sims

2009-07-16 08:45 . 2009-07-16 08:45	127	----a-w-	c:\windows\system32\777.reg

2009-07-16 07:30 . 2009-07-16 07:30	127	----a-w-	c:\windows\system32\433.reg

2009-07-15 18:15 . 2009-07-15 18:15	--------	d-----w-	c:\documents and settings\USER XP\Dane aplikacji\Mumble

2009-07-15 18:14 . 2009-07-15 18:15	--------	d-----w-	c:\program files\Mumble

2009-07-14 15:44 . 2009-06-27 08:50	35507	----a-w-	c:\windows\system32\lmz.exe

2009-07-14 15:44 . 2008-05-21 13:06	754176	----a-w-	c:\windows\system32\calling.com

2009-07-14 15:44 . 2007-09-05 09:02	31744	----a-w-	c:\windows\system32\lam5.exe

2009-07-14 15:44 . 2007-09-05 09:02	17408	----a-w-	c:\windows\system32\lam4.exe

2009-07-14 15:44 . 2007-09-05 09:02	19968	----a-w-	c:\windows\system32\lam3.exe

2009-07-14 15:44 . 2007-09-05 09:02	90112	----a-w-	c:\windows\system32\lam2.exe

2009-07-14 15:44 . 2007-09-05 09:02	61440	----a-w-	c:\windows\system32\lam1.exe

2009-07-14 15:44 . 2003-04-19 09:43	86016	----a-w-	c:\windows\system32\reg.dll

2009-07-11 08:33 . 2009-07-11 08:33	--------	d-----w-	C:\AV_LOGS

2009-07-11 08:32 . 2008-12-10 14:56	17792	----a-w-	c:\windows\system32\drivers\vcsvad.sys

2009-06-29 12:03 . 2009-06-29 12:03	--------	d-----w-	c:\program files\Pivot Stickfigure Animator

2009-06-26 05:59 . 2009-06-26 05:59	22672	----a-w-	c:\windows\antyvirk.exe

2009-06-22 13:01 . 2009-06-23 07:33	--------	d-----w-	c:\windows\system32\dt


.

(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-07-16 13:11 . 2009-01-04 10:01	--------	d--h--w-	c:\program files\InstallShield Installation Information

2009-07-16 12:17 . 2009-06-08 11:40	--------	d-----w-	c:\program files\Asystent Plusfon 401i

2009-07-16 12:13 . 2009-01-22 07:40	--------	d-----w-	c:\documents and settings\USER XP\Dane aplikacji\skypePM

2009-07-16 12:10 . 2009-04-19 15:33	--------	d-----w-	c:\program files\ipla

2009-07-16 12:09 . 2009-03-19 14:04	--------	d-----w-	c:\documents and settings\USER XP\Dane aplikacji\Hamachi

2009-07-13 08:17 . 2009-01-22 07:37	--------	d-----w-	c:\documents and settings\USER XP\Dane aplikacji\Skype

2009-06-30 19:56 . 2009-01-12 17:04	1	----a-w-	c:\documents and settings\USER XP\Dane aplikacji\OpenOffice.org\3\user\uno_packages\cache\stamp.sys

2009-06-12 14:23 . 2009-06-12 14:23	--------	d-----w-	c:\program files\MultiKeyboard Driver

2009-06-11 17:18 . 2009-02-08 19:32	--------	d-----w-	c:\documents and settings\USER XP\Dane aplikacji\VSO

2009-06-11 13:34 . 2009-06-11 13:34	--------	d-----w-	c:\documents and settings\USER XP\Dane aplikacji\CyberLink

2009-06-08 11:41 . 2001-10-26 19:15	67078	----a-w-	c:\windows\system32\perfc015.dat

2009-06-08 11:41 . 2001-10-26 19:15	435978	----a-w-	c:\windows\system32\perfh015.dat

2009-06-06 17:18 . 2009-01-30 15:52	--------	d-----w-	c:\documents and settings\USER XP\Dane aplikacji\Nowe Gadu-Gadu

2009-06-06 16:41 . 2009-06-04 07:04	--------	d-----w-	c:\program files\Nowe Gadu-Gadu

2009-06-04 07:10 . 2009-06-04 07:10	--------	d-----w-	c:\documents and settings\USER XP\Dane aplikacji\OpenFM

2009-05-28 09:23 . 2009-05-28 09:23	42088	----a-w-	c:\documents and settings\USER XP\Dane aplikacji\Nowe Gadu-Gadu\_userdata\ggbho.1.dll

2009-05-28 08:34 . 2009-05-28 08:34	11264	----a-w-	c:\documents and settings\USER XP\Dane aplikacji\Nowe Gadu-Gadu\_userdata\npgg.1.dll

2009-05-23 21:11 . 2009-01-04 14:48	--------	d-----w-	c:\program files\Gadu-Gadu

2009-05-20 06:10 . 2009-04-19 15:33	--------	d-----w-	c:\documents and settings\USER XP\Dane aplikacji\ipla

2009-05-10 16:01 . 2009-05-10 16:01	15872	----a-r-	c:\documents and settings\USER XP\Dane aplikacji\Microsoft\Installer\{048298C9-A4D3-490B-9FF9-AB023A9238F3}\Icon048298C9.exe

2009-04-22 09:20 . 2009-04-22 09:20	1024	----a-w-	c:\documents and settings\All Users\Dane aplikacji\BVRP Software\Motorola Phone Tools\faxres.cmd

2009-04-19 15:30 . 2009-04-19 15:30	1700352	----a-w-	c:\windows\system32\gdiplus.dll

2004-03-11 12:27 . 2009-01-19 19:24	40960	----a-w-	c:\program files\Uninstall_CDS.exe

2009-06-12 19:38 . 2009-01-04 10:26	134648	----a-w-	c:\program files\mozilla firefox\components\brwsrcmp.dll

2009-04-05 15:25 . 2009-01-04 16:10	89600	--sh--r-	c:\windows\system32\cvnmhg1.dll

.


((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane  

REGEDIT4


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-03 15360]

"Steam"="d:\program files\valve\steam\steam.exe" [2009-06-11 1217784]

"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-01-18 68856]


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"WooCnxMon"="c:\progra~1\NEOSTR~1\CnxMon.exe" [2003-10-16 24576]

"SpeedTouch USB Diagnostics"="c:\program files\Thomson\SpeedTouch USB\Dragdiag.exe" [2004-01-26 866816]

"WOOWATCH"="c:\progra~1\NEOSTR~1\Watch.exe" [2003-10-16 20480]

"WOOTASKBARICON"="c:\progra~1\NEOSTR~1\TaskbarIcon.exe" [2003-10-16 53248]

"MSConfig"="c:\windows\PCHealth\HelpCtr\Binaries\MSConfig.exe" [2004-08-03 159744]


[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360]

"ATICCC"="c:\program files\ATI Technologies\ATI.ACE\cli.exe" [2005-02-22 32768]


c:\documents and settings\USER XP\Menu Start\Programy\Autostart\

MutiKeyboard Driver.lnk - c:\program files\MultiKeyboard Driver\KbdDrv.exe [2009-6-12 366080]

Registration .LNK - d:\program files\Ubisoft\Peter Jackson's King Kong - The Official Game of the Movie\RegistrationReminder.exe [2009-7-16 868352]


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]

"UIHost"="c:\windows\system32\logonuiX.exe"


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WB]

2001-12-20 20:34	24576	----a-w-	c:\windows\system32\fastload.dll


[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)


[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\WINDOWS\\system32\\usmt\\migwiz.exe"=

"c:\\Program Files\\Gadu-Gadu\\gg.exe"=

"d:\\Program Files\\BearShare\\BearShare.exe"=

"c:\\Program Files\\Valve\\hl.exe"=

"c:\\Program Files\\Skype\\Phone\\Skype.exe"=


[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"27090:UDP"= 27090:UDP:CS


R3 VCSVADHWSer;Avnex Virtual Audio Device (WDM);c:\windows\system32\drivers\vcsvad.sys [2009-07-11 17792]

S3 ddsxeiservice;ddsxeiservice2;\??\c:\program files\sXe Injected\ddsxei.sys --> c:\program files\sXe Injected\ddsxei.sys [?]

S3 MobileAdapter;Huawei Mobile Adapter USB Modem and USB Serial;c:\windows\system32\drivers\hmumdm.sys [2009-03-25 88960]

S3 Usbfilt;UsbFilt;c:\windows\system32\drivers\usbfilt.sys [2009-06-12 26166]

.

- - - - USUNIĘTO PUSTE WPISY - - - -


HKLM-Run-XMHK Agent - c:\windows\system32\28463\XMHK.exe



.

------- Skan uzupełniający -------

.

uSearch Page = hxxp://www.google.com

uStart Page = hxxp://www.neostrada.pl

uSearch Bar = hxxp://www.google.com/ie

uInternet Connection Wizard,ShellNext = iexplore

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

IE: { - c:\program files\Messenger\msmsgs.exe

TCP: {0BBE002B-BB5D-40E3-9CE4-6AFA25CA4F5B} = 194.204.159.1 217.98.63.164

FF - ProfilePath - c:\documents and settings\USER XP\Dane aplikacji\Mozilla\Firefox\Profiles\m17wq25p.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.onet.pl

FF - plugin: c:\documents and settings\USER XP\Dane aplikacji\Nowe Gadu-Gadu\_userdata\npgg.1.dll

FF - plugin: c:\program files\Opera\program\plugins\nppdf32.dll

.


**************************************************************************


catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-07-16 17:53

Windows 5.1.2600 Dodatek Service Pack 2 NTFS


skanowanie ukrytych procesów ...  


skanowanie ukrytych wpisów autostartu ... 


skanowanie ukrytych plików ...  


skanowanie pomyślnie ukończone

ukryte pliki: 0


**************************************************************************

.

--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------


- - - - - - - > 'winlogon.exe'(672)

c:\windows\system32\Ati2evxx.dll

c:\windows\system32\fastload.dll


- - - - - - - > 'explorer.exe'(3624)

c:\windows\system32\browselc.dll

c:\windows\system32\msi.dll

.

------------------------ Pozostałe uruchomione procesy ------------------------

.

c:\windows\system32\ati2evxx.exe

c:\program files\Ahead\InCD\InCDsrv.exe

c:\program files\Java\jre6\bin\jqs.exe

c:\windows\system32\ati2evxx.exe

c:\windows\system32\wscntfy.exe

.

**************************************************************************

.

Czas ukończenia: 2009-07-16 17:56 - komputer został uruchomiony ponownie

ComboFix-quarantined-files.txt 2009-07-16 15:56


Przed: 7 984 979 968 bajtów wolnych

Po: 8 111 067 136 bajtów wolnych


WindowsXP-KB310994-SP2-Pro-BootDisk-PLK.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect


481

To jest log z ComboFix'a. Heh wygląda na to że problem rozwiązany. Dzięki za pomoc. Już se ściągam anty wirka. Może mi ktoś powiedzieć jaki będzie dobry?


EDIT: Może mi ktoś podać stronę z której ściągne dodatek "Service Pack 3"?


(Retero) #6
microsoft service pack 3

w Google, pierwszy wynik http://www.microsoft.com/downloads/deta ... laylang=pl


(Maruda0) #7

No dzięki. Ale przypomniałem sobie że ja robie reguralnie format kompa co 5-6 miesięcy. To chyba mi nie potrzebny anty-wirek?


(sla17) #8

Potrzebny, po formacie od razu pierwszy plik i mozesz załapać wirusa.


(Maruda0) #9

To jakiego tego antywirusa ściągnąć se?


(Retero) #10

Według mnie najlepszy Kaspersky. Dobre są niektóre płatne, zaletą darmowych jest tylko to, że są darmowe.


(Maruda0) #11

Mam jeszcze jeden problem.

Ściągnąłem ten service pack co powiedział Garent-Lipe i mam taki plik:

xpsp3_5512.080413-2113_pl_x86fre_spcd.iso

Dobra i nie wiem co z tym zrobić, bo nie mam żadnego programu który odczyta mi rozszerzenie .iso

O co z tym chodzi?


(deFco247) #12

Pobrałeś obraz płyty. Takie coś musisz nagrać na płytkę np. darmowym programem IMGBurn.

Możesz pobrać SP3 jako instalator.

Dalej masz syf na kompie.

Pobierz The Avenger i uruchom.

Skopiuj ten tekst:

W oknie The Avengera klikasz Paste Script from Clipboard , wybierasz Execute i zgadzasz się na restart.

Po restarcie kasujesz plik C:\Avenger\backup.zip i dajesz tutaj do sprawdzenia raport C:\avenger.txt


(Maruda0) #13

Dobra już. Odczytałem ten sp3 programem deamon tools. No i tak instaluje mi sie i wyskakuje takie coś:

2hybaiw.jpg

I co z tym zrobić?


(ybu) #14

deFco247 czy do skryptu,który podałeś nie należy jeszcze dodać to ?

EDIT- deFco247 - tu nie chodziło mi o zwrócenie Ci uwagi bo to może się każdemu zdarzyć,zwłaszcza gdy logi podawane są w formie jaką on podał.Dlatego ja jak oglądam sobie jakieś logi tego typu to kopiuję je sobie do notatnika i wtedy dopiero jest jasny podgląd.


(deFco247) #15

Co do tego nie byłem pewien. Ale chyba jednak do usunięcia.

Nie zauważyłem pliku w logu. Dziękuję za zwrócenie uwagi. :))


(Maruda0) #16

Pobrałem SP3 PL. Instaltor. Sprubowałem zainstalować ale wyskoczyło to samo:

2hybaiw.jpg

-- Dodane 17.07.2009 (Pt) 16:15 --

Logfile of The Avenger Version 2.0, (c) by Swandog46

http://swandog46.geekstogo.com


Platform: Windows XP


*******************


Script file opened successfully.

Script file read successfully.


Backups directory opened successfully at C:\Avenger


*******************


Beginning to process script file:


Rootkit scan active.

No rootkits found!


File "c:\windows\system32\lam1.exe" deleted successfully.

File "c:\windows\system32\lam2.exe" deleted successfully.

File "c:\windows\system32\lam3.exe" deleted successfully.

File "c:\windows\system32\lam4.exe" deleted successfully.

File "c:\windows\system32\lam5.exe" deleted successfully.

File "c:\windows\system32\lmz.exe" deleted successfully.

File "c:\windows\system32\544.reg" deleted successfully.

File "c:\windows\system32\148.reg" deleted successfully.

File "c:\windows\system32\755.reg" deleted successfully.

File "c:\windows\system32\810.reg" deleted successfully.

File "c:\windows\system32\974.reg" deleted successfully.

File "c:\windows\system32\540.reg" deleted successfully.

File "c:\windows\system32\243.reg" deleted successfully.

File "c:\windows\system32\566.reg" deleted successfully.

File "c:\windows\system32\777.reg" deleted successfully.

File "c:\windows\system32\433.reg" deleted successfully.

File "c:\windows\system32\cvnmhg1.dll" deleted successfully.


Completed script processing.


*******************


Finished! Terminate.

To jest wynik z avengera


(ybu) #17

Start :arrow: Uruchom :arrow: wpisz Combofix /u ewentualnie usuń ręcznie folder C:\Qoobox i instalkę Combofix z dysku.

Wyłącz I włącz przywracanie systemu na wszystkich dyskach http://support.microsoft.com/kb/310405/pl

Przeskanuj obszar Mój komputer http://www.kaspersky.pl/virusscanner.html .Jak będą wirusy,daj raport

Ewentualnie użyj:

Dr.WEB CureIt! http://dobreprogramy.pl/index.php?dz=2& ... It!+4.44.5


(Maruda0) #18

A o co chodzi z tym SP3?

-- Dodane 18.07.2009 (So) 11:18 --

To znaczy że mam system w języku angielskim?


(Retero) #19

Service Pack (SP3) to nic innego jak worek aktualizacji, które usprawniają system. Po tym działa lepiej i jest bardziej uodporniony na ataki wirusów. Co do Twojego problemu to go nie spotkałem, ten na pewno jest do polskojęzycznej wersji http://dobreprogramy.pl/index.php?dz=2& ... ice+Pack+3