HijackThis- problem z partycjami!

IntelKamil92 · 21 Lipiec 2008 20:58

od niedawna pojawiła sie taki problem komputer wymaga ode mnie gdy chce otworzyć dysk"otwórz za pomoca"mam 4 partycje D,E,F,C choc na C niema tego problemu.Myslałem ze to wirusy cos pomieszały ale Norton IS 2008 niczego nie wykrył.Znalazłem w necie ze “HijackThis” pomoze mi wykryc nieprawidłowości i czytałem zeby nie usuwac samodzielnie podanych przez program plikow przez niewprawionych(czyli mnie) bo to może bardziej zaszkodzic.wklejam logi te ktore podał ten program.jesli cos nie tak piszcie.bede szczerze wdzieczny za pomoc!

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 22:29:02, on 2008-07-21

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16674)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Canon\CAL\CALMAIN.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\System32\G-VGA.exe

C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

C:\PROGRA~1\NEOSTR~1\CnxMon.exe

C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe

C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe

C:\Program Files\Winamp\winampa.exe

C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe

C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe

C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe

C:\WINDOWS\system32\RunDll32.exe

C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Messenger\MSMSGS.EXE

C:\Program Files\Gadu-Gadu\gg.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\Program Files\Ares\Ares.exe

C:\Program Files\Picasa2\PicasaMediaDetector.exe

C:\Program Files\Common Files\Teleca Shared\CapabilityManager.exe

C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE

C:\Program Files\Common Files\Teleca Shared\Generic.exe

C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe

C:\Program Files\Skype\Plugin Manager\skypePM.exe

C:\Program Files\Neostrada TP\NeostradaTP.exe

C:\Program Files\Neostrada TP\ComComp.exe

C:\Program Files\Neostrada TP\Watch.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\PROGRA~1\COMMON~1\SYMANT~1\CCPD-LC\symlcsvc.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neostrada.pl

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada TP

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Program Files\Common Files\Symantec Shared\coShared\Browser\2.0\coIEPlg.dll

O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\PROGRA~1\COMMON~1\SYMANT~1\IDS\IPSBHO.dll

O3 - Toolbar: Show Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Program Files\Common Files\Symantec Shared\coShared\Browser\2.0\CoIEPlg.dll

O4 - HKLM…\Run: [NVRTCLK] C:\WINDOWS\System32\NVRTCLK\NVRTClk.exe

O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM…\Run: [nwiz] nwiz.exe /install

O4 - HKLM…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM…\Run: [VGAUtil] C:\WINDOWS\System32\G-VGA.exe

O4 - HKLM…\Run: [RemoteControl] “C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe”

O4 - HKLM…\Run: [WooCnxMon] C:\PROGRA~1\NEOSTR~1\CnxMon.exe

O4 - HKLM…\Run: [speedTouch USB Diagnostics] “C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe” /icon

O4 - HKLM…\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe

O4 - HKLM…\Run: [WOOTASKBARICON] C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe

O4 - HKLM…\Run: [ccApp] “C:\Program Files\Common Files\Symantec Shared\ccApp.exe”

O4 - HKLM…\Run: [osCheck] “C:\Program Files\Norton Internet Security\osCheck.exe”

O4 - HKLM…\Run: [WinampAgent] “C:\Program Files\Winamp\winampa.exe”

O4 - HKLM…\Run: [Adobe Photo Downloader] “C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe”

O4 - HKLM…\Run: [sony Ericsson PC Suite] “C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe” /startoptions

O4 - HKLM…\Run: [Media Codec Update Service] C:\Program Files\Essentials Codec Pack\update.exe -silent

O4 - HKLM…\Run: [PC-Checkup] “C:\Program Files\Speeditup Free\PCCheckUp\PCCheckUp.exe” -mini

O4 - HKLM…\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM…\Run: [sSBkgdUpdate] “C:\Program Files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe” -Embedding -boot

O4 - HKLM…\Run: [PaperPort PTD] “C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe”

O4 - HKLM…\Run: [indexSearch] “C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe”

O4 - HKLM…\Run: [PPort11reminder] “C:\Program Files\ScanSoft\PaperPort\Ereg\Ereg.exe” -r "C:\Documents and Settings\All Users\Dane aplikacji\ScanSoft\PaperPort\11\Config\Ereg\Ereg.ini

O4 - HKLM…\Run: [Adobe Reader Speed Launcher] “C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe”

O4 - HKLM…\Run: [NBKeyScan] “C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe”

O4 - HKLM…\Run: [QuickTime Task] “C:\Program Files\QuickTime\QTTask.exe” -atboottime

O4 - HKLM…\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\MSMSGS.EXE” /background

O4 - HKCU…\Run: [Gadu-Gadu] “C:\Program Files\Gadu-Gadu\gg.exe” /tray

O4 - HKCU…\Run: [skype] “C:\Program Files\Skype\Phone\Skype.exe” /nosplash /minimized

O4 - HKCU…\Run: [ares] “C:\Program Files\Ares\Ares.exe” -h

O4 - HKCU…\Run: [bitComet] C:\Program Files\BitComet\BitComet.exe /tray

O4 - HKCU…\Run: [speedItUpEX] C:\Program Files\Speeditup Free\SpeedItUp.exe -MINI

O4 - HKCU…\Run: [indxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] “C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe” ASO-616B5711-6DAE-4795-A05F-39A1E5104020

O4 - HKCU…\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe

O4 - HKCU…\Run: [amva] C:\WINDOWS\system32\amvo.exe

O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘USŁUGA LOKALNA’)

O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘USŁUGA SIECIOWA’)

O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘SYSTEM’)

O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘Default user’)

O4 - Startup: Tworzenie wycinków ekranu i uruchamianie programu OneNote 2007.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE

O8 - Extra context menu item: Eksportuj do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Wyślij do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra ‘Tools’ menuitem: Wyślij do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra ‘Tools’ menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windows … 0773801734

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microso … 0774188421

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s … wflash.cab

O17 - HKLM\System\CCS\Services\Tcpip…{73556220-3A19-41F7-8842-10E500A67DB9}: NameServer = 194.204.152.34 217.98.63.164

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Program Files\Ares\chatServer.exe

O23 - Service: Harmonogram automatycznej usługi LiveUpdate (Automatic LiveUpdate Scheduler) - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe

O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe

O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\VAScanner\comHost.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\LuComServer_3_4.EXE

O23 - Service: LiveUpdate Notice - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\COMMON~1\SYMANT~1\CCPD-LC\symlcsvc.exe

–

End of file - 10982 bytes

huber2t · 22 Lipiec 2008 01:52

Zaaktualizuj Antywirusa

fix w hijackthis

Podaj log z Combofix

IntelKamil92 · 22 Lipiec 2008 20:18

tam wyskakuja okienka a nie znam tak dobitnie angielskiego wiec mam wszystko potwierdzac??a i jeszcze ten fix O4 - HKCU…\Run: [amva] C:\WINDOWS\system32\amvo.exe mam go zaznaczyc w HjT i kliknac “fix chacked”??

huber2t · 22 Lipiec 2008 20:20

Tak masz kliknąć

Wszędzie potwierdzaj klikając tak

IntelKamil92 · 22 Lipiec 2008 20:24

woooooow!!przeniosłem tylko i nie podejmowałem dalszych krokow-CFS do Combofix i juz wszystko wrociło do normy dzieki wielkie!!!to mam kontynuowac operracje ktore zalecałes??

huber2t · 22 Lipiec 2008 20:25

Tak, wykonaj to

IntelKamil92 · 22 Lipiec 2008 20:43

zrobiłem to co kazałes,przeszukało komputer trwało to kilka minut ale zaden log sie nie pojawił czy moze gdzies mam szukac ??

Masaj · 22 Lipiec 2008 20:56

C://Avenger i daj caly log na forum

gurupl · 22 Lipiec 2008 21:00

MASAJ : moglbys mi tez pomoc? link do mojego tematu http://forum.dobreprogramy.pl/viewtopic.php?f=16&t=259053

sory, ze sie tak wbijam na czyjs temat, ale szukam pomocy

IntelKamil92 · 22 Lipiec 2008 21:10

heh nie moge albo nie umiem tego znalesc:/moze powinienem powtorzyc operacje??

huber2t · 23 Lipiec 2008 03:03

Start --> wyszukaj --> ComboFix.txt

Jeśli nie ma to:

Dwuklikiem uruchom combofxi i daj na forum powstały log

Masaj · 23 Lipiec 2008 10:42

C://Combofix , Tempy-Content IE5, C://Windows. gdzies tu musisz go miec CF pokazuje pod koniec skanu gdzie zapisze log najczesciej tam go mozna znalezc.

IntelKamil92 · 24 Lipiec 2008 11:13

ComboFix 08-07-21.2 - KAMIL 2008-07-22 22:28:10.1 - NTFSx86

Microsoft Windows XP Home Edition 5.1.2600.2.1250.1.1045.18.141 [GMT 2:00]

Running from: C:\Documents and Settings\KAMIL\Pulpit\ComboFix.exe

Command switches used :: C:\Documents and Settings\KAMIL\Pulpit\CFScript.txt…txt

* Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED

FILE ::

C:\WINDOWS\system32\amvo.exe

.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\Autorun.inf

C:\hgu.bat

C:\WINDOWS\system32\amvo.exe

C:\WINDOWS\system32\amvo0.dll

C:\WINDOWS\system32\ckvo.exe

C:\WINDOWS\system32\ckvo0.dll

D:\Autorun.inf

D:\hgu.bat

E:\Autorun.inf

E:\hgu.bat

F:\Autorun.inf

F:\hgu.bat

.

((((((((((((((((((((((((( Files Created from 2008-06-22 to 2008-07-22 )))))))))))))))))))))))))))))))

.

2008-07-22 11:50 . 2008-07-22 11:50 116,906 -r-hs---- C:\e9ehn1m8.com

2008-07-22 11:19 . 2008-07-22 11:19 117,309 -r-hs---- C:\njibyekk.com

2008-07-21 22:28 . 2008-07-21 22:28

2008-07-20 14:42 . 2008-07-20 14:42

2008-07-12 13:50 . 2008-07-12 13:50

2008-07-12 13:50 . 2008-07-12 13:55

2008-07-12 13:49 . 2004-08-04 08:44 159,232 --a------ C:\WINDOWS\system32\ptpusd.dll

2008-07-12 13:49 . 2004-08-04 06:58 15,104 --a------ C:\WINDOWS\system32\drivers\usbscan.sys

2008-07-12 13:49 . 2004-08-04 06:58 15,104 --a–c— C:\WINDOWS\system32\dllcache\usbscan.sys

2008-07-12 13:49 . 2001-10-26 17:29 5,632 --a------ C:\WINDOWS\system32\ptpusb.dll

2008-07-12 13:42 . 2008-07-12 13:57

2008-07-12 13:26 . 2008-07-12 13:37

2008-07-12 13:26 . 2008-07-12 13:26

2008-07-12 13:24 . 2008-07-12 13:24

2008-07-09 10:22 . 2008-07-09 10:22 118 --a------ C:\WINDOWS\system32\MRT.INI

2008-07-08 16:12 . 2008-07-22 11:50 77,312 -r-hs---- C:\WINDOWS\system32\ckvo1.dll

2008-06-23 23:28 . 2008-06-23 23:28 116,229 -r-hs---- C:\6x8be16.cmd

2008-06-22 00:43 . 2008-06-22 00:43 54,156 --ah----- C:\WINDOWS\QTFont.qfn

2008-06-22 00:43 . 2008-06-22 00:43 1,409 --a------ C:\WINDOWS\QTFont.for

2008-06-22 00:42 . 2008-06-22 00:42

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-07-22 20:28 --------- d-----w C:\Program Files\Neostrada TP

2008-07-22 20:22 --------- d-----w C:\Documents and Settings\KAMIL\Dane aplikacji\Skype

2008-07-22 19:54 --------- d-----w C:\Program Files\Common Files\Symantec Shared

2008-07-22 19:52 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Symantec

2008-07-22 19:37 --------- d-----w C:\Documents and Settings\KAMIL\Dane aplikacji\skypePM

2008-07-09 18:02 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Microsoft Help

2008-06-21 22:44 --------- d-----w C:\Program Files\QuickTime

2008-06-21 22:44 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Apple Computer

2008-06-20 10:54 --------- d-----w C:\Program Files\Common Files\Ahead

2008-06-20 10:54 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Nero

2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys

2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys

2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys

2008-06-14 18:01 273,024 ------w C:\WINDOWS\system32\drivers\bthport.sys

2008-06-13 12:14 31,280 ----a-w C:\WINDOWS\system32\drivers\SymIM.sys

2008-06-13 12:14 13,093 ----a-w C:\WINDOWS\system32\drivers\SymRedir.cat

2008-06-13 12:14 1,611 ----a-w C:\WINDOWS\system32\drivers\SymRedir.inf

2008-06-13 12:13 96,432 ----a-w C:\WINDOWS\system32\drivers\symfw.sys

2008-06-13 12:13 41,008 ----a-w C:\WINDOWS\system32\drivers\symndisv.sys

2008-06-13 12:13 38,576 ----a-w C:\WINDOWS\system32\drivers\symids.sys

2008-06-13 12:13 37,424 ----a-w C:\WINDOWS\system32\drivers\symndis.sys

2008-06-13 12:13 22,320 ----a-w C:\WINDOWS\system32\drivers\symredrv.sys

2008-06-13 12:13 184,240 ----a-w C:\WINDOWS\system32\drivers\symtdi.sys

2008-06-13 12:13 13,616 ----a-w C:\WINDOWS\system32\drivers\symdns.sys

2008-06-04 19:08 805 ----a-w C:\WINDOWS\system32\drivers\SYMEVENT.INF

2008-06-04 19:08 123,952 ----a-w C:\WINDOWS\system32\drivers\SYMEVENT.SYS

2008-06-04 19:08 10,671 ----a-w C:\WINDOWS\system32\drivers\SYMEVENT.CAT

2008-06-04 19:08 --------- d-----w C:\Program Files\Symantec

2008-05-25 22:21 --------- d-----w C:\Program Files\Gadu-Gadu

2008-01-25 19:53 32 ----a-w C:\Documents and Settings\All Users\Dane aplikacji\ezsid.dat

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

*Note* empty entries legit default entries are not shown

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“CTFMON.EXE”=“C:\WINDOWS\system32\ctfmon.exe” [2004-08-04 09:44 15360]

“MSMSGS”=“C:\Program Files\Messenger\MSMSGS.EXE” [2004-10-13 18:24 1694208]

“Gadu-Gadu”=“C:\Program Files\Gadu-Gadu\gg.exe” [2007-11-14 12:54 2131392]

“Skype”=“C:\Program Files\Skype\Phone\Skype.exe” [2007-12-07 16:11 21803304]

“ares”=“C:\Program Files\Ares\Ares.exe” [2007-05-04 02:32 961024]

“Picasa Media Detector”=“C:\Program Files\Picasa2\PicasaMediaDetector.exe” [2008-02-26 03:23 443968]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“NVRTCLK”=“C:\WINDOWS\System32\NVRTCLK\NVRTClk.exe” [2003-12-30 11:44 24576]

“NvCplDaemon”=“C:\WINDOWS\System32\NvCpl.dll” [2004-06-10 07:52 3809280]

“NvMediaCenter”=“C:\WINDOWS\System32\NvMcTray.dll” [2004-06-10 07:52 81920]

“VGAUtil”=“C:\WINDOWS\System32\G-VGA.exe” [2003-10-08 17:07 544768]

“RemoteControl”=“C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe” [2003-10-31 20:42 32768]

“WooCnxMon”=“C:\PROGRA~1\NEOSTR~1\CnxMon.exe” [2003-10-16 19:07 24576]

“SpeedTouch USB Diagnostics”=“C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe” [2004-01-26 12:38 866816]

“WOOWATCH”=“C:\PROGRA~1\NEOSTR~1\Watch.exe” [2003-10-16 19:07 20480]

“WOOTASKBARICON”=“C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe” [2003-10-16 19:07 53248]

“ccApp”=“C:\Program Files\Common Files\Symantec Shared\ccApp.exe” [2008-01-31 14:15 51048]

“osCheck”=“C:\Program Files\Norton Internet Security\osCheck.exe” [2007-08-24 22:53 714608]

“WinampAgent”=“C:\Program Files\Winamp\winampa.exe” [2008-01-16 00:54 37376]

“Adobe Photo Downloader”=“C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe” [2005-06-07 00:46 57344]

“Sony Ericsson PC Suite”=“C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe” [2005-10-26 17:17 159744]

“Media Codec Update Service”=“C:\Program Files\Essentials Codec Pack\update.exe” [2007-04-08 18:44 303104]

“SSBkgdUpdate”=“C:\Program Files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe” [2006-10-25 10:03 210472]

“PaperPort PTD”=“C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe” [2007-01-29 22:12 30248]

“IndexSearch”=“C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe” [2007-01-29 22:10 46632]

“PPort11reminder”=“C:\Program Files\ScanSoft\PaperPort\Ereg\Ereg.exe” [2007-02-01 14:46 255528]

“Adobe Reader Speed Launcher”=“C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe” [2008-01-11 22:16 39792]

“QuickTime Task”=“C:\Program Files\QuickTime\QTTask.exe” [2008-05-27 10:50 413696]

“nwiz”=“nwiz.exe” [2004-06-10 07:52 831488 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

“CTFMON.EXE”=“C:\WINDOWS\System32\CTFMON.EXE” [2004-08-04 09:44 15360]

C:\Documents and Settings\KAMIL\Menu Start\Programy\Autostart\

Tworzenie wycink˘w ekranu i uruchamianie programu OneNote 2007.lnk - C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE [2006-10-26 21:24:54 98632]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

“AntiVirusDisableNotify”=dword:00000001

“UpdatesDisableNotify”=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]

“DisableMonitoring”=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]

“DisableMonitoring”=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]

“DisableMonitoring”=dword:00000001

[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

“EnableFirewall”= 0 (0x0)

[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

“%windir%\system32\sessmgr.exe”=

“%windir%\Network Diagnostic\xpnetdiag.exe”=

“C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE”=

“C:\Program Files\Skype\Phone\Skype.exe”=

[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

“25056:TCP”= 25056:TCP:BitComet 25056 TCP

“25056:UDP”= 25056:UDP:BitComet 25056 UDP

R2 LiveUpdate Notice;LiveUpdate Notice;C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe [2008-01-31 14:15]

S3 COH_Mon;COH_Mon;C:\WINDOWS\system32\Drivers\COH_Mon.sys [2008-03-06 22:32]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{17780792-416b-11dd-80ac-000e501087d4}]

\Shell\AutoRun\command - 00hoeav.com

\Shell\explore\Command - 00hoeav.com

\Shell\open\Command - 00hoeav.com

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{263875b4-2113-11dd-8072-000e501087d4}]

\Shell\AutoRun\command - H:\6x8be16.cmd

\Shell\explore\Command - H:\6x8be16.cmd

\Shell\open\Command - H:\6x8be16.cmd

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{62010326-d808-11dc-bfca-000e501087d4}]

\Shell\AutoRun\command - I:\00hoeav.com

\Shell\explore\Command - I:\00hoeav.com

\Shell\open\Command - I:\00hoeav.com

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{dbb35a79-01ab-11dd-8026-000e501087d4}]

\Shell\AutoRun\command - H:\ffojc.com

\Shell\explore\Command - H:\ffojc.com

\Shell\open\Command - H:\ffojc.com

*Newly Created Service* - COMHOST

.

Contents of the ‘Scheduled Tasks’ folder

“2008-06-21 22:42:58 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job”

C:\Program Files\Apple Software Update\SoftwareUpdate.exe

“2008-05-05 19:02:42 C:\WINDOWS\Tasks\Norton Internet Security - Uruchom pełne skanowanie systemu - KAMIL.job”

IntelKamil92 · 24 Lipiec 2008 11:15

heh sorry za nieobecność… .To oto chodziło??

huber2t · 24 Lipiec 2008 11:16

Do wyleczenia pendrive z wirusów użyj

Perlovg Removal Tool

Flash Disinfector

lub format

Pobierz ComboFix, ale nie uruchamiaj

Otwórz notatnik i wklej do niego:

File::

C:\WINDOWS\system32\ckvo1.dll

C:\e9ehn1m8.com

C:\njibyekk.com

C:\6x8be16.cmd


Registry::

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{17780792-416b-11dd-80ac-000e501087d4}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{263875b4-2113-11dd-8072-000e501087d4}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{62010326-d808-11dc-bfca-000e501087d4}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{dbb35a79-01ab-11dd-8026-000e501087d4}]

Plik -> zapisz jako -> CFScript.txt.

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

Rozpocznie się usuwanie i powstanie log, który dasz na forum.

Logi dajesz na http://wklejto.pl lub na http://wklej.org a w poście dajesz tylko link

IntelKamil92 · 24 Lipiec 2008 11:47

ten post to nie do mnie chyba??PS. z moim kompem jest ostatni bardzo nie tak wszędzie pełno plikow systemowych takich wodnistych folderów niegdy wczesniej ich nie widziałem…

huber2t · 24 Lipiec 2008 11:49

Ten mój post jest do ciebie

IntelKamil92 · 24 Lipiec 2008 18:21

http://wklejto.pl/6583

W dniu 24.07.2008 , o godzinie 20:21 został dopisany post przez IntelKamil92

chyba to dobrze zrobiłem w razie czegos prosze pisac…

huber2t · 25 Lipiec 2008 05:07

Podaj haslo do pliku najpierw!

IntelKamil92 · 25 Lipiec 2008 09:22

http://wklejto.pl/6619 ---->hasło:kamil PS.sory za te niepoprawności ale pierwszy raz z tym obcuje