IE samoczynnie się włącza co jakiś czas i ściąga wirusy

filonatorr · 22 Czerwiec 2007 23:39

w związku z tematem http://forum.dobreprogramy.pl/viewtopic.php?t=165468

proszę o ponowne sprawdzenie logów…

ComboFix 07-06-18.2 “FILIP1” - 2007-06-23 1:29:22 - Dodatek Service Pack. 1 NTFS ((((((((((((((((((((((((( Files Created from 2007-05-22 to 2007-06-22 ))))))))))))))))))))))))))))))) 2007-06-23 01:02 2007-06-22 23:46 2007-06-22 23:41 49,152 --a------ C:\WINDOWS\nircmd.exe 2007-06-22 16:22 2007-06-19 00:21 2007-06-19 00:19 2007-06-18 23:14 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys 2007-06-18 23:00 2007-06-18 22:52 2007-06-17 09:14 2007-06-16 10:33 2007-06-03 12:26 2007-06-03 12:25 73,216 --a------ C:\WINDOWS\ST6UNST.EXE 2007-06-03 12:25 249,856 --------- C:\WINDOWS\Setup1.exe 2007-06-03 12:07 2007-06-03 12:07 (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-06-22 21:48:54 69,210 ----a-w C:\WINDOWS\system32\perfc015.dat 2007-06-22 21:48:54 440,880 ----a-w C:\WINDOWS\system32\perfh015.dat 2007-06-17 19:21:46 -------- d-----w C:\Program Files\SkanerOnline 2007-06-16 20:36:31 -------- d–h--w C:\Program Files\InstallShield Installation Information 2007-06-16 18:32:17 -------- d-----w C:\Program Files\FLVPlayer 2007-06-16 08:33:25 268,183 ----a-w C:\WINDOWS\system32\drivers\ndis.sys 2007-06-15 19:10:23 11,517 ----a-w C:\WINDOWS\mozver.dat 2007-06-15 18:28:22 -------- d-----w C:\Program Files\Mozilla Thunderbird 2007-05-22 11:00:14 -------- d-----w C:\Program Files\Gadu-Gadu 2007-05-11 17:24:14 -------- d-----w C:\Program Files\USB Disk Win98 Driver 2007-05-06 08:48:05 -------- d-----w C:\Program Files\Blender 2007-05-05 12:01:50 99,904 ----a-w C:\WINDOWS\system32\PnkBstrB.exe 2007-05-04 21:48:54 4 ----a-w C:\WINDOWS\system32\proc1262767916.bin 2007-05-03 14:39:52 43,520 ----a-w C:\WINDOWS\system32\CmdLineExt03.dll 2007-05-03 14:33:21 -------- d-----w C:\Program Files\Sierra 2007-04-28 19:39:31 -------- d-----w C:\Program Files\DAEMON Tools 2007-04-28 19:33:24 2,061 ----a-w C:\WINDOWS\system32\sdbackup.reg 2007-04-28 19:32:04 682,232 ----a-w C:\WINDOWS\system32\drivers\sptd.sys 2007-04-28 13:56:24 -------- d-----w C:\Program Files\EA GAMES ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects] {02478D38-C3F9-4EFB-9B51-7695ECA05670}=C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll [] {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}=C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll [2003-05-12 00:47] {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll [2006-12-15 04:23] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “!AVG Anti-Spyware”=“C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe” [2007-06-11 11:25] “nwiz”=“nwiz.exe” [2003-10-06 16:16 C:\WINDOWS\system32\nwiz.exe] “WheelMouse”=“C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe” [2003-07-18 00:53] “TkBellExe”=“C:\Program Files\Common Files\Real\Update_OB\realsched.exe” [2006-05-31 17:48] “AVG7_CC”=“C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe” [2007-04-22 10:13] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “NvMediaCenter”=“C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit” [] “Gadu-Gadu”=“C:\Program Files\Gadu-Gadu\gg.exe” [2007-05-10 16:36] [HKEY_USERS.default\software\microsoft\windows\currentversion\run] “NvMediaCenter”=RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] “{57B86673-276A-48B2-BAE7-C6DBB3020EB8}”=“C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\shellexecutehook.dll” [2007-05-30 14:29] [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\AVG Anti-Spyware Driver] [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\AVG Anti-Spyware Guard] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^FILIP1^Menu Start^Programy^Autostart^Xfire.lnk] path=C:\Documents and Settings\FILIP1\Menu Start\Programy\Autostart\Xfire.lnk backup=C:\WINDOWS\pss\Xfire.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BearShare] “C:\Program Files\BearShare\BearShare.exe” /pause [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools] “C:\Program Files\DAEMON Tools\daemon.exe” -lang 1033 [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Gadu-Gadu] “C:\Program Files\Gadu-Gadu\gg.exe” /tray [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper] “C:\Program Files\iTunes\iTunesHelper.exe” [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck] %systemroot%\system32\dumprep 0 -k [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MKS_MENU] C:\Program Files\MKS\Bin\mks_menu.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck] C:\WINDOWS\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] “C:\Program Files\QuickTime\qttask.exe” -atboottime [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype] “C:\Program Files\Skype\Phone\Skype.exe” /nosplash /minimized [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] “C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe” [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe] “C:\Program Files\Common Files\Real\Update_OB\realsched.exe” -osboot [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\USB Storage Toolbox] C:\Program Files\USB Disk Win98 Driver\Res.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent] C:\Program Files\Winamp\winampa.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\xp_sys] “C:\WINDOWS\servicepackfiles\mmwnd.exe” updated Contents of the ‘Scheduled Tasks’ folder 2007-06-18 20:53:00 C:\WINDOWS\tasks\XoftSpySE.job ************************************************************************** catchme 0.3.721 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net Rootkit scan 2007-06-23 01:33:10 Windows 5.1.2600 Dodatek Service Pack. 1 NTFS scanning hidden processes … scanning hidden autostart entries … scanning hidden files … ************************************************************************** [HKEY_LOCAL_MACHINE\system\ControlSet001\Services\Maya5PLEHelpServer] “ImagePath”="“C:\Program Files\AliasWavefront\Maya 5.0 Personal Learning Edition\docs\Wrapper.exe” -s “C:\Program Files\AliasWavefront\Maya 5.0 Personal Learning Edition\docs/Wrapper.conf”" Completion time: 2007-06-23 1:34:39 C:\ComboFix-quarantined-files.txt … 2007-06-23 01:34 C:\ComboFix2.txt … 2007-06-23 00:18 — E O F —

Logfile of HijackThis v1.99.1 Scan saved at 01:35:44, on 2007-06-23 Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe C:\Program Files\Common Files\Real\Update_OB\realsched.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\Program Files\Gadu-Gadu\gg.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe C:\Program Files\D-Link AirPlus\AirPlus.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\nvsvc32.exe C:\Program Files\Winamp\winamp.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\WINDOWS\explorer.exe C:\WINDOWS\system32\notepad.exe C:\DOCUME~1\FILIP1\USTAWI~1\Temp\Rar$EX00.375\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=192.168.0.1:8080;http=192.168.0.1:8080;https=192.168.0.1:8080 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: My Global Search Bar - {37B85A29-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL (file missing) O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing) O4 - HKLM…\Run: [!AVG Anti-Spyware] “C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe” /minimized O4 - HKLM…\Run: [nwiz] nwiz.exe /install O4 - HKLM…\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe O4 - HKLM…\Run: [TkBellExe] “C:\Program Files\Common Files\Real\Update_OB\realsched.exe” -osboot O4 - HKLM…\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP O4 - HKCU…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU…\Run: [Gadu-Gadu] “C:\Program Files\Gadu-Gadu\gg.exe” /tray O4 - Global Startup: D-Link AirPlus.lnk = ? O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll O9 - Extra button: Wyslij SMS’a - {215940F1-E7E0-4801-BEE3-44D045534106} - C:\Program Files\Common Files\moje.js O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O16 - DPF: {AB8638BB-79E8-4E9D-ABF2-8F33054E3941} (Guesser Class) - http://czat.onet.pl/client/kalambury/NetPunGame1.dll O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: Alias Maya 5.0 PLE Help Server (Maya5PLEHelpServer) - Unknown owner - C:\Program Files\AliasWavefront\Maya 5.0 Personal Learning Edition\docs\Wrapper.exe" -s "C:\Program Files\AliasWavefront\Maya 5.0 Personal Learning Edition\docs/Wrapper.conf (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\System32\PnkBstrA.exe (file missing) O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\System32\PnkBstrB.exe

Złączono Posta : 23.06.2007 (Sob) 1:45

Mam również problem z trojanem w system 32 dokładniej directxpushup. Usuwam go codziennie po pół roku , tak , że nie udało się mu jeszcze nic ściągnąć , choć tego nie wiem jak się tego na stałe pozbyć?

Agaton · 23 Czerwiec 2007 04:53

Ważny komunikat dotyczący tytułowania tematów

Proszę poprawić tytuł tematu na konkretny, mówiący o problemie.

W tym celu proszę użyć przycisku

Zignorowanie prośby będzie skutkowało usunięciem tematu do Kosza.

filonatorr · 23 Czerwiec 2007 07:40

czy już tak może zostać??

Aha i , czy te wiry , co je combofix wziął w kwarantannę , można skutecznie usunąć , czy mają tam pozostać na zawsze :?

Złączono Posta : 23.06.2007 (Sob) 12:34

ktoś pomoże?

slake · 23 Czerwiec 2007 13:00

Pobierz The Avenger->uruchom go w trybie awaryjnym->zaznacz opcję Input script manually->kliknij w “lupkę”->w okienku,które się otworzy wklej:

Następnie kliknij przycisk Done ->kliknij na zielone światełko -> powinna pojawić się pewna informacja,klikasz na OK (restart).

Przeskanuj plik na http://virusscan.jotti.org i podaj wynik skanowania.

Fix w HJT.

Po pracy nowy log z ComboFix.

filonatorr · 23 Czerwiec 2007 16:57

na http://virusscan.jotti.org w pliku C:\WINDOWS\system32\proc1262767916.bin nic nie znaleziono

w avengerze usunąłem co miałem , ale , czy mógłbym nim jeszcze łyknąć

C:\QooBox ??

Zfixowałem wszystko w HJT jednym słowem robota wykonana

oto Combo:

ComboFix 07-06-18.2 “FILIP1” - 2007-06-23 18:51:17 - Dodatek Service Pack. 1 NTFS ((((((((((((((((((((((((( Files Created from 2007-05-23 to 2007-06-23 ))))))))))))))))))))))))))))))) 2007-06-23 18:34 60,416 --a------ C:\WINDOWS\system32\drivers\perinkqa.sys 2007-06-23 13:25 2007-06-23 10:32 249,344 --a------ C:\WINDOWS\system32\directxpushup.exe 2007-06-22 23:41 49,152 --a------ C:\WINDOWS\nircmd.exe 2007-06-22 16:22 2007-06-19 00:21 2007-06-19 00:19 2007-06-18 23:14 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys 2007-06-18 23:00 2007-06-18 22:52 2007-06-17 09:14 2007-06-16 10:33 2007-06-03 12:26 2007-06-03 12:25 73,216 --a------ C:\WINDOWS\ST6UNST.EXE 2007-06-03 12:07 2007-06-03 12:07 (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-06-23 11:25:48 11,517 ----a-w C:\WINDOWS\mozver.dat 2007-06-22 21:48:54 69,210 ----a-w C:\WINDOWS\system32\perfc015.dat 2007-06-22 21:48:54 440,880 ----a-w C:\WINDOWS\system32\perfh015.dat 2007-06-17 19:21:46 -------- d-----w C:\Program Files\SkanerOnline 2007-06-16 20:36:31 -------- d–h--w C:\Program Files\InstallShield Installation Information 2007-06-16 18:32:17 -------- d-----w C:\Program Files\FLVPlayer 2007-06-16 08:33:25 268,183 ----a-w C:\WINDOWS\system32\drivers\ndis.sys 2007-06-15 18:28:22 -------- d-----w C:\Program Files\Mozilla Thunderbird 2007-05-22 11:00:14 -------- d-----w C:\Program Files\Gadu-Gadu 2007-05-11 17:24:14 -------- d-----w C:\Program Files\USB Disk Win98 Driver 2007-05-06 08:48:05 -------- d-----w C:\Program Files\Blender 2007-05-05 12:01:50 99,904 ----a-w C:\WINDOWS\system32\PnkBstrB.exe 2007-05-04 21:48:54 4 ----a-w C:\WINDOWS\system32\proc1262767916.bin 2007-05-03 14:39:52 43,520 ----a-w C:\WINDOWS\system32\CmdLineExt03.dll 2007-05-03 14:33:21 -------- d-----w C:\Program Files\Sierra 2007-04-28 19:39:31 -------- d-----w C:\Program Files\DAEMON Tools 2007-04-28 19:33:24 2,061 ----a-w C:\WINDOWS\system32\sdbackup.reg 2007-04-28 19:32:04 682,232 ----a-w C:\WINDOWS\system32\drivers\sptd.sys 2007-04-28 13:56:24 -------- d-----w C:\Program Files\EA GAMES ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects] {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}=C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll [2003-05-12 00:47] {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll [2006-12-15 04:23] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “!AVG Anti-Spyware”=“C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe” [2007-06-11 11:25] “nwiz”=“nwiz.exe” [2003-10-06 16:16 C:\WINDOWS\system32\nwiz.exe] “WheelMouse”=“C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe” [2003-07-18 00:53] “TkBellExe”=“C:\Program Files\Common Files\Real\Update_OB\realsched.exe” [2006-05-31 17:48] “AVG7_CC”=“C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe” [2007-04-22 10:13] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “NvMediaCenter”=“C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit” [] “Gadu-Gadu”=“C:\Program Files\Gadu-Gadu\gg.exe” [2007-05-10 16:36] [HKEY_USERS.default\software\microsoft\windows\currentversion\run] “NvMediaCenter”=RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] “{57B86673-276A-48B2-BAE7-C6DBB3020EB8}”=“C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\shellexecutehook.dll” [2007-05-30 14:29] [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\AVG Anti-Spyware Driver] [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\AVG Anti-Spyware Guard] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^FILIP1^Menu Start^Programy^Autostart^Xfire.lnk] path=C:\Documents and Settings\FILIP1\Menu Start\Programy\Autostart\Xfire.lnk backup=C:\WINDOWS\pss\Xfire.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BearShare] “C:\Program Files\BearShare\BearShare.exe” /pause [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools] “C:\Program Files\DAEMON Tools\daemon.exe” -lang 1033 [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Gadu-Gadu] “C:\Program Files\Gadu-Gadu\gg.exe” /tray [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper] “C:\Program Files\iTunes\iTunesHelper.exe” [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck] %systemroot%\system32\dumprep 0 -k [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MKS_MENU] C:\Program Files\MKS\Bin\mks_menu.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck] C:\WINDOWS\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] “C:\Program Files\QuickTime\qttask.exe” -atboottime [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype] “C:\Program Files\Skype\Phone\Skype.exe” /nosplash /minimized [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] “C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe” [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe] “C:\Program Files\Common Files\Real\Update_OB\realsched.exe” -osboot [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\USB Storage Toolbox] C:\Program Files\USB Disk Win98 Driver\Res.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent] C:\Program Files\Winamp\winampa.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\xp_sys] “C:\WINDOWS\servicepackfiles\mmwnd.exe” updated Contents of the ‘Scheduled Tasks’ folder 2007-06-18 20:53:00 C:\WINDOWS\tasks\XoftSpySE.job ************************************************************************** catchme 0.3.721 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net Rootkit scan 2007-06-23 18:54:34 Windows 5.1.2600 Dodatek Service Pack. 1 NTFS scanning hidden processes … scanning hidden autostart entries … scanning hidden files … ************************************************************************** [HKEY_LOCAL_MACHINE\system\ControlSet001\Services\Maya5PLEHelpServer] “ImagePath”="“C:\Program Files\AliasWavefront\Maya 5.0 Personal Learning Edition\docs\Wrapper.exe” -s “C:\Program Files\AliasWavefront\Maya 5.0 Personal Learning Edition\docs/Wrapper.conf”" Completion time: 2007-06-23 18:55:54 C:\ComboFix-quarantined-files.txt … 2007-06-23 18:55 C:\ComboFix2.txt … 2007-06-23 01:34 C:\ComboFix3.txt … 2007-06-23 00:18 — E O F —

slake · 23 Czerwiec 2007 17:34

Użyj narzędzia WWDC.Wszystkie znaczki w tym narzędziu powinny być na zielono.

W The Avenger wklej:

Kliknij klawisz Done…

Przeskanuj plik na stronce którą wcześniej już podałem:

filonatorr · 23 Czerwiec 2007 17:48

wykonane… C:\WINDOWS\system32\drivers\perinkqa.sys nie zainfekowany , ale , czy muszę użyć WWDC , skoro problem z IE został już zażegnany? :? jest w logach jeszcze coś niepokojącego ??

qrczak13 · 23 Czerwiec 2007 19:22

Czyszczenie rejestru - jv16 PowerTools 2006 1.5.2.350

WWDC możesz profilaktycznie na przyszłość zainstalować pozamykasz przynajmniej robaczywe porty.

adam9870 · 23 Czerwiec 2007 19:42

directxpushup.exe pozostawia dodatkowo po sobie usługę i sterownik dlatego proszę dla pewności wkleić jeszcze dwa logi z Gmer’a wykonane przy takich ustawieniach:

Zakładka Rootkit >>> zaznaczone wszystko oprócz Pokazuj wszystko >>> kliknij Szukaj >>> czekaj cierpliwie aż skończy >>> Kopiuj >>> wklej do posta
Zakładka Rootkit >>> zaznaczone tylko Usługi i Pokazuj wszystko >>> kliknij Szukaj >>> czekaj cierpliwie aż skończy >>> Kopiuj >>> wklej do posta

Jeśli wszystkie logi nie zmieszczą się bezpośrednio do posta, to umieść je w jakimś serwisie hostingowym jako pliki *.txt, a tu tylko zlinkuj.

filonatorr · 23 Czerwiec 2007 19:46

co jeżeli są 4 wpisy , z czerwonymi kropkami? 2 raczej nie potrzebne , ale setup.exe i winxp jest to z “folderu” C07ft5Y

slake · 23 Czerwiec 2007 19:48

Pokaż logi z Gmer’a ,o które prosił Adam.Zobaczymy jak wygląda sytuacja.

filonatorr · 23 Czerwiec 2007 20:32

http://www.wrzucacz.pl/?fid=615416702 <-- gmer 1

http://www.wrzucacz.pl/?fid=546646704 <-- gmer 2

a co do tych czerwonych kropek , to chodziło o rejestr oczywiście

Gutek · 23 Czerwiec 2007 20:44

Otwierasz Gmera i w zakładce CMD dla opcji CMD wklejasz:

i kliknij na Uruchom z prawej strony.

filonatorr · 23 Czerwiec 2007 20:57

wyskakuje błąd przy kasowaniu pliku! :? ale powiedzcie chociaż , jak tam się trzyma mój staruszek… aż tak z nim źle? :?

slake · 23 Czerwiec 2007 20:58

Podaj treść tego błędu.

Gutek · 23 Czerwiec 2007 20:58

Daj nowy log z Gmera

Dokończyć skanerami online - Skanery do wyboru

filonatorr · 23 Czerwiec 2007 21:05

błedne parametry , czy coś takiego >>>> błąd 0xC0000034

I co jest z moim staruszkiem? :?

Złączono Posta : 23.06.2007 (Sob) 23:08

@Gutek2222 nowy log… po 1 , to co zaznaczyć w tym logu… wszystko zaptaszkować ?? a po 2, to przy tym GMER >>> CMD>>> URUCHOM wyskakuje mi błąd więc co mogło się w tych logach zmienić? :?

Złączono Posta : 24.06.2007 (Nie) 9:45

Dobra niby wszystko w porządku , jeszcze muszę online przeskanować , ale w tym czasie już mi AVG znalazł trojan horst generic 5 downloader , czy jakoś tak , ten plik wydawał mi się już dawno podejżany , bo utworzył się zaraz po powstaniu moich problemów z IE , nazwa cd1041 i siedzi na partycji C:\ był również inny plik cd , ale go usunąłem … użyłem killboxa a potem avengera , ale żaden z tych programów nie pomógł i cd1041 siedzi tam dalej i nie zamierza się usunąć

Złączono Posta : 24.06.2007 (Nie) 9:51

aha i unlockera też już użyłem nawet

adam9870 · 24 Czerwiec 2007 17:47

Wklej komplet nowych logów tj. dwa logi z Gmer’a plus log z ComboFix.

filonatorr · 24 Czerwiec 2007 19:35

GMER 1 - http://www.wrzucacz.pl/?fid=304016872

GMER 2 - http://www.wrzucacz.pl/?fid=968076873

Combo Fix - http://www.wrzucacz.pl/?fid=777776874

Gutek · 24 Czerwiec 2007 21:51

Otwierasz Gmera i w zakładce CMD dla opcji CMD wklejasz:

i kliknij na Uruchom z prawej strony.