Ostatnio zauwarzyłem na swoim dysku plik tekstowy z pierwsza litera mojego nicku,a w nim jest napisane co ostatnio ogladalem w postaci C:\Nowy folder\Film.avi 8 wie ktos o co w tym wszystkim chodzi.Czy czasem mnie ktos nie spieguje lub czy to nie wirus dzieje sie tak jak odtwarzam film w Dziobas Rar Player
Podaj lokalizacją tego pliku
W Windows istnieje takie coś jak “Moje bieżące dokumenty” i tam masz skróty do plików, które ostatnio otwierałeś. Być może o to Ci chodzi
Nie plik znajduje sie na dysku C: i tam sie tworzy plik tekstowy z pierwsza litera mojego loginu do windows czyli m.txt w ktorym jest zapisane co ostatnio ogladałem.
Możliwe, że to Keylogger.
Daj log z -----> ComboFix (niżej na stronie linku).
======================
K.
A o to i log z ComboFix
ComboFix 08-09-13.05 - M@xi 2008-09-14 14:22:31.1 - NTFSx86
Microsoft Windows XP Home Edition [GMT 2:00]
Uruchomiony z: D:\Documents and Settings\M@xi\Pulpit\ComboFix.exe
* Utworzono nowy punkt przywracania
UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA
.
((((((((((((((((((((((((( Pliki utworzone od 2008-08-14 do 2008-09-14 )))))))))))))))))))))))))))))))
.
2008-09-14 12:06 . 2008-09-14 12:06
2008-09-14 11:28 . 2008-09-14 11:29
2008-09-13 12:14 . 2008-09-13 12:14
2008-09-13 10:49 . 2008-09-13 10:49 716,272 --a------ D:\WINDOWS\system32\drivers\sptd.sys
2008-09-12 20:12 . 2007-07-30 19:19 271,224 --a------ D:\WINDOWS\system32\mucltui.dll
2008-09-12 20:12 . 2007-07-30 19:18 30,072 --a------ D:\WINDOWS\system32\mucltui.dll.mui
2008-09-12 17:13 . 2008-04-13 20:45 10,368 --a------ D:\WINDOWS\system32\drivers\hidusb.sys
2008-09-12 17:13 . 2008-04-13 20:45 10,368 --a–c— D:\WINDOWS\system32\dllcache\hidusb.sys
2008-09-12 16:56 . 2008-09-12 16:56 203 --a------ D:\WINDOWS\GSdx9 sse2.INI
2008-09-12 15:09 . 2008-09-12 15:09
2008-09-12 10:47 . 2008-02-15 12:49 180,224 --a------ D:\WINDOWS\system32\igfxres.dll
2008-09-12 10:36 . 2008-09-12 10:36
2008-09-12 10:36 . 2008-05-27 10:50 90,112 --a------ D:\WINDOWS\system32\QuickTimeVR.qtx
2008-09-12 10:36 . 2008-05-27 10:50 57,344 --a------ D:\WINDOWS\system32\QuickTime.qts
2008-09-12 10:36 . 2008-09-14 13:58 69 --a------ D:\WINDOWS\NeroDigital.ini
2008-09-12 10:35 . 2008-09-12 10:36
2008-09-12 10:20 . 2008-09-12 10:20
2008-09-12 10:16 . 2008-09-12 10:16
2008-09-12 10:16 . 2008-09-12 10:18
2008-09-12 10:16 . 2008-09-12 10:16
2008-09-11 23:40 . 2004-08-04 13:00 250,624 -ra------ D:\NTLDR
2008-09-11 23:26 . 2008-09-11 23:26
2008-09-11 21:30 . 2008-09-11 21:30
2008-09-11 21:30 . 2008-09-11 21:30 940,794 --a------ D:\WINDOWS\system32\LoopyMusic.wav
2008-09-11 21:30 . 2008-09-11 21:30 146,650 --a------ D:\WINDOWS\system32\BuzzingBee.wav
2008-09-11 16:35 . 2008-09-11 16:35
2008-09-11 16:20 . 2008-05-16 00:51 30,768 -ra------ D:\WINDOWS\system32\drivers\vmusb.sys
2008-09-11 14:57 . 2008-09-11 14:57
2008-09-11 14:50 . 2008-09-11 14:50
2008-09-11 14:42 . 2004-08-04 00:35 701,440 --------- D:\WINDOWS\system32\drivers\ati2mtag.sys
2008-09-11 14:22 . 2008-09-11 14:22 13,646 --a------ D:\WINDOWS\system32\wpa.bak
2008-09-11 14:20 . 2008-09-11 15:18
2008-09-11 14:20 . 2007-08-10 20:53 26,488 --a------ D:\WINDOWS\system32\spupdsvc.exe
.
(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-14 12:21 242,000 ----a-w D:\WINDOWS\system32\drivers\APPFCONT.DAT.bck
2008-09-14 12:21 242,000 ----a-w D:\WINDOWS\system32\drivers\APPFCONT.DAT
2008-09-14 12:21 1,224 ----a-w D:\WINDOWS\system32\drivers\APPFLTR.CFG.bck
2008-09-14 12:21 1,224 ----a-w D:\WINDOWS\system32\drivers\APPFLTR.CFG
2008-09-14 11:27 --------- d-----w D:\Program Files\PeerGuardian2
2008-09-13 14:21 --------- d-----w D:\Documents and Settings\M@xi\Dane aplikacji\Tlen.pl
2008-09-11 13:58 --------- d-----w D:\Program Files\Skype
2008-09-11 13:58 --------- d-----w D:\Program Files\Common Files\Skype
2008-09-11 13:58 --------- d-----w D:\Documents and Settings\M@xi\Dane aplikacji\Skype
2008-09-11 13:58 --------- d-----w D:\Documents and Settings\All Users\Dane aplikacji\Skype
2008-09-11 13:57 --------- d-----w D:\Program Files\Real Alternative
2008-09-11 13:56 --------- d-----w D:\Documents and Settings\M@xi\Dane aplikacji\Winamp
2008-09-11 13:55 --------- d-----w D:\Program Files\Winamp
2008-09-11 13:51 --------- d-----w D:\Program Files\UnH Solutions
2008-09-11 13:45 --------- d-----w D:\Program Files\Pcsx2
2008-09-11 13:41 --------- d-----w D:\Program Files\Tlen.pl
2008-09-11 13:38 --------- d-----w D:\Program Files\Xvid
2008-09-11 13:37 --------- d-----w D:\Program Files\DivX
2008-09-11 13:33 --------- d-----w D:\Program Files\Windows Defender
2008-09-11 13:27 315,392 ----a-w D:\WINDOWS\HideWin.exe
2008-09-11 13:27 --------- d–h--w D:\Program Files\InstallShield Installation Information
2008-09-11 13:27 --------- d-----w D:\Program Files\Realtek
2008-09-11 11:39 --------- d-----w D:\Documents and Settings\All Users\Dane aplikacji\sentinel
2008-09-11 11:34 --------- d-----w D:\Program Files\Panda Security
2008-09-11 11:33 --------- d-----w D:\Program Files\Common Files\Panda Software
2008-09-11 11:33 --------- d-----w D:\Program Files\Common Files\InstallShield
2008-09-11 11:25 --------- d-----w D:\Program Files\microsoft frontpage
2008-09-11 11:23 --------- d-----w D:\Program Files\Usługi online
2008-07-25 08:36 524,288 ----a-w D:\WINDOWS\system32\DivXsm.exe
2008-07-23 16:50 9,464 ------w D:\WINDOWS\system32\drivers\cdralw2k.sys
2008-07-23 16:50 9,336 ------w D:\WINDOWS\system32\drivers\cdr4_xp.sys
2008-07-23 16:50 43,528 ------w D:\WINDOWS\system32\drivers\PxHelp20.sys
2008-07-23 16:50 3,596,288 ----a-w D:\WINDOWS\system32\qt-dx331.dll
2008-07-23 16:50 129,784 ------w D:\WINDOWS\system32\pxafs.dll
2008-07-23 16:50 120,056 ------w D:\WINDOWS\system32\pxcpyi64.exe
2008-07-23 16:50 118,520 ------w D:\WINDOWS\system32\pxinsi64.exe
2008-07-23 16:48 200,704 ----a-w D:\WINDOWS\system32\ssldivx.dll
2008-07-23 16:48 1,044,480 ----a-w D:\WINDOWS\system32\libdivx.dll
2008-07-23 16:46 12,288 ----a-w D:\WINDOWS\system32\DivXWMPExtType.dll
2008-07-07 20:29 253,952 ----a-w D:\WINDOWS\system32\es.dll
2008-06-24 16:46 74,240 ----a-w D:\WINDOWS\system32\mscms.dll
2008-06-24 14:06 972,072 ----a-w D:\WINDOWS\UNNeroMediaHome.exe
2008-06-20 17:48 246,784 ----a-w D:\WINDOWS\system32\mswsock.dll
.
((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“CTFMON.EXE”=“D:\WINDOWS\system32\ctfmon.exe” [2008-04-14 15360]
“PeerGuardian”=“D:\Program Files\PeerGuardian2\pg2.exe” [2005-09-18 1421824]
“IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}”=“D:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe” [2008-06-24 1840424]
“AlcoholAutomount”=“D:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe” [2008-02-22 217544]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“APVXDWIN”=“D:\Program Files\Panda Security\Panda Antivirus + Firewall 2008\APVXDWIN.EXE” [2007-07-19 455984]
“NeroFilterCheck”=“D:\Program Files\Common Files\Nero\Lib\NeroCheck.exe” [2008-06-19 570664]
“NBKeyScan”=“D:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe” [2008-06-08 2221352]
“IgfxTray”=“D:\WINDOWS\system32\igfxtray.exe” [2008-02-15 135168]
“HotKeysCmds”=“D:\WINDOWS\system32\hkcmd.exe” [2008-02-15 159744]
“Persistence”=“D:\WINDOWS\system32\igfxpers.exe” [2008-02-15 131072]
“RTHDCPL”=“RTHDCPL.EXE” [2008-05-16 D:\WINDOWS\RTHDCPL.exe]
[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
“CTFMON.EXE”=“D:\WINDOWS\system32\CTFMON.EXE” [2008-04-14 15360]
“DWQueuedReporting”=“D:\PROGRA~1\COMMON~1\MICROS~1\DW\dwtrig20.exe” [2007-03-13 39264]
[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
“nltide_2”=“shell32” [X]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avldr]
2007-02-15 20:02 50736 D:\WINDOWS\system32\avldr.dll
[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
“EnableFirewall”= 0 (0x0)
[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
“%windir%\system32\sessmgr.exe”=
“%windir%\Network Diagnostic\xpnetdiag.exe”=
“D:\Program Files\Skype\Phone\Skype.exe”=
R1 APPFLT;App Filter Plugin;D:\WINDOWS\system32\Drivers\APPFLT.SYS [2007-05-11 71736]
R1 DSAFLT;DSA Filter Plugin;D:\WINDOWS\system32\Drivers\DSAFLT.SYS [2007-05-11 51256]
R1 FNETMON;NetMon Filter Plugin;D:\WINDOWS\system32\Drivers\fnetmon.SYS [2007-05-11 22072]
R1 IDSFLT;Ids Filter Plugin;D:\WINDOWS\system32\Drivers\IDSFLT.SYS [2007-07-11 191672]
R1 NETFLTDI;Panda Net Driver [TDI Layer];D:\WINDOWS\system32\Drivers\NETFLTDI.SYS [2007-05-11 09:33 132920]
R1 ShldDrv;Panda File Shield Driver;D:\WINDOWS\system32\DRIVERS\ShlDrv51.sys [2007-05-23 38968]
R1 SMSFLT;SMS Filter Plugin;D:\WINDOWS\system32\Drivers\SMSFLT.SYS [2007-05-11 37304]
R1 WNMFLT;Wifi Monitor Filter Plugin;D:\WINDOWS\system32\Drivers\WNMFLT.SYS [2007-05-11 30648]
R2 cpoint;Panda CPoint Driver;D:\WINDOWS\system32\Drivers\cpoint.sys [2007-06-08 24760]
R2 PavProc;Panda Process Protection Driver;D:\WINDOWS\system32\DRIVERS\PavProc.sys [2007-07-12 178872]
R3 AvFlt;Antivirus Filter Driver;D:\WINDOWS\system32\drivers\av5flt.sys []
R3 NETIMFLT;PANDA NDIS IM Filter Miniport;D:\WINDOWS\system32\DRIVERS\netimflt.sys [2007-04-24 142128]
R3 PavSRK.sys;PavSRK.sys;D:\WINDOWS\system32\PavSRK.sys []
R3 PavTPK.sys;PavTPK.sys;D:\WINDOWS\system32\PavTPK.sys []
*Newly Created Service* - PGFILTER
*Newly Created Service* - PROCEXP90
.
Zawartość folderu ‘Zaplanowane zadania’
.
.
------- Skan uzupełniający -------
.
R0 -: HKCU-Main,Start Page = hxxp://o2.pl/
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-14 14:24:42
Windows 5.1.2600 Dodatek Service Pack 3 NTFS
skanowanie ukrytych procesów …
skanowanie ukrytych wpisów autostartu …
skanowanie ukrytych plików …
skanowanie pomyślnie ukończone
ukryte pliki: 0
**************************************************************************
.
Czas ukończenia: 2008-09-14 14:25:45
ComboFix-quarantined-files.txt 2008-09-14 12:25:39
Przed: 14,614,990,848 bajt˘w wolnych
Po: 15,501,717,504 bajt˘w wolnych
168 — E O F — 2008-09-14 10:00:53
Pobierz ComboFix, ale nie uruchamiaj
Otwórz notatnik i wklej do niego:
Driver::
PavSRK.sys
PavTPK.sys
Plik -> zapisz jako -> CFScript.txt.
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->
Rozpocznie się usuwanie i powstanie log, który dasz na forum.
Logi dajesz na http://wklej.eu lub na http://wklej.org a w poście dajesz tylko link
http://wklej.eu/index.php?id=e797d789e1 Niestety program Combo Fix nie usunał mojego problemu ten plik z odtworzonymi filmami tworzy sie tylko po odtworzeniu filmu w Dziobas Rar Player czy u was sie tez tak dzieje ???
Wklej do Notatnika:
Driver::
AvFlt
>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )
– podobnie jak na tym obrazku –>
(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)
Po restarcie usuń ręcznie folder C: ** Qoobox**.
Po tym nowy log z Combo oraz skan http://www.kaspersky.pl/virusscanner.html
OT-y KOSZ
Niestety to nic nie pomaga odrazu mi blue screen po ukonczeniu wyszedl i restart kompa,po restarcie ‘‘Proces nie moze uzyskac dostepu do pliku,ponieważ jest on uzywany przez inny proces’’.Moze niech ktos z was sobie wgra dziobas rar playera i zobaczy czy u niego tez tak jest jak odpala jakis plik filmowy.
Ale smieszny jestes gosciu moze na forum policyjnym jeszcze mam podac nie bede linkow nigdzie wrzucał juz wrzuciłem jeden wiec starczy,wiec temat zamkniety niech moderator zamknie go bo wy zamiast pomagac szkodzicie.