Malwarebytes’ Anti-Malware 1.30

Wersja bazy definicji: 1306

Windows 5.1.2600 Dodatek Service Pack. 1

2008-11-19 20:38:46

mbam-log-2008-11-19 (20-38-36).txt

Typ skanowania: Szybkie skanowanie

Przeskanowane obiekty: 42288

Upłynęło: 1 minute(s), 21 second(s)

Zainfekowane procesy w pamięci: 0

Zainfekowane moduły pamięci: 0

Zainfekowane klucze rejestru: 0

Zainfekowane wartości rejestru: 0

Zainfekowane pliki rejestru: 1

Zainfekowane foldery: 0

Zainfekowane pliki: 2

Zainfekowane procesy w pamięci:

(Nie wykryto groźnych plików)

Zainfekowane moduły pamięci:

(Nie wykryto groźnych plików)

Zainfekowane klucze rejestru:

(Nie wykryto groźnych plików)

Zainfekowane wartości rejestru:

(Nie wykryto groźnych plików)

Zainfekowane pliki rejestru:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (explorer.exe “C:\Program Files\Common Files\System\Adobe_Desk_Lighting.exe”) Good: (Explorer.exe) -> No action taken.

Zainfekowane foldery:

(Nie wykryto groźnych plików)

Zainfekowane pliki:

C:\WINDOWS\system32\drivers\services.exe (Trojan.Agent) -> No action taken.

C:\Documents and Settings\Tomek\svchost.exe (Trojan.Agent) -> No action taken.

Użyj jeszcze raz programu i Wciskamy Skanuj , wybieramy dyski do skanowania i Rozpoczynamy skanowanie , na końcu wciskamy Usuń zaznaczone.

Daj log z ComboFix

Zmiana zasad wklejania logów na forum - viewtopic.php?f=16&t=253052

ComboFix 08-11-18.A2 - Tomek 2008-11-19 21:12:21.7 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.1.1250.1.1045.18.672 [GMT 1:00]

Uruchomiony z: e:\torenty\ComboFix.exe

* Utworzono nowy punkt przywracania

UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA

.

((((((((((((((((((((((((( Pliki utworzone od 2008-10-19 do 2008-11-19 )))))))))))))))))))))))))))))))

.

2008-11-04 21:56 . 2008-11-04 21:56 180,224 --a------ c:\windows\system32\drivers\ptsrqtnt.sys

2008-11-02 15:30 . 2008-11-02 15:30

2008-11-02 15:30 . 2008-11-02 15:30

2008-11-02 15:30 . 2008-11-02 15:30

2008-11-02 15:30 . 2008-10-22 16:10 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys

2008-11-02 15:30 . 2008-10-22 16:10 15,504 --a------ c:\windows\system32\drivers\mbam.sys

2008-10-31 22:29 . 2008-10-31 22:29

2008-10-31 22:15 . 2008-10-31 22:15

2008-10-30 20:52 . 2008-10-30 20:52 18,944 --a------ c:\documents and settings\All Users\mo3TK.exe

.

(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-11-19 19:43 --------- d-----w c:\program files\neostrada tp

2008-11-12 20:09 --------- d-----w c:\program files\BitComet

2008-09-28 17:53 --------- d–h--w c:\program files\InstallShield Installation Information

2008-09-28 17:53 --------- d-----w c:\program files\THQ

2008-09-08 14:42 258,048 ----a-w c:\windows\system32\libFLAC.dll

2008-09-08 14:41 892,928 ----a-w c:\windows\system32\iconv.dll

2008-09-08 14:41 456,192 ----a-w c:\windows\system32\libmplayer.dll

2008-09-08 14:41 3,569,152 ----a-w c:\windows\system32\libavcodec.dll

2008-09-08 14:41 119,296 ----a-w c:\windows\system32\libmpeg2_ff.dll

2008-09-08 14:39 79,360 ----a-w c:\windows\system32\mkzlib.dll

2008-09-08 14:39 755,027 ----a-w c:\windows\system32\xvidcore.dll

2008-09-08 14:39 524,288 ----a-w c:\windows\system32\DivXsm.exe

2008-09-08 14:39 23,552 ----a-w c:\windows\system32\mkunicode.dll

2008-09-08 14:39 2,041,363 ----a-w c:\windows\system32\x264vfw.dll

2008-09-08 14:39 163,840 ----a-w c:\windows\system32\ts.dll

2008-09-08 14:39 159,839 ----a-w c:\windows\system32\xvidvfw.dll

2008-09-08 14:39 159,744 ----a-w c:\windows\system32\mmfinfo.dll

2008-09-08 14:39 148,992 ----a-w c:\windows\system32\mkx.dll

2008-09-08 14:39 141,312 ----a-w c:\windows\system32\mp4.dll

2008-09-08 14:39 120,832 ----a-w c:\windows\system32\ogm.dll

2008-09-08 14:39 108,032 ----a-w c:\windows\system32\avi.dll

2007-12-19 16:46 77,824 ----a-w c:\program files\LFS_restart.exe

2006-06-23 06:48 32,768 ----a-r c:\windows\inf\UpdateUSB.exe

2007-10-09 16:23 56 --sh–r c:\windows\system32\CD0CE156F6.sys

2007-10-09 16:23 1,682 --sha-w c:\windows\system32\KGyGaAvL.sys

.

((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane

REGEDIT4

[HKEY_LOCAL_MACHINE~\Browser Helper Objects{84583270-0414-5794-6430-5599ca323026}]

2008-11-19 14:39 53760 -rahs---- c:\program files\Common Files\System\admin s.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“swg”=“c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe” [2007-11-17 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“NvCplDaemon”=“c:\windows\System32\NvCpl.dll” [2007-04-12 8429568]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

“CTFMON.EXE”=“c:\windows\System32\CTFMON.EXE” [2002-09-20 13312]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

“RunNarrator”=“Narrator.exe” [2001-10-26 c:\windows\system32\narrator.exe]

c:\documents and settings\Tomek\Menu Start\Programy\Autostart\

IPod Try Icon Lighting.exe [2008-11-19 33792]

c:\documents and settings\All Users\Menu Start\Programy\Autostart\

Google XDesktop Lighting.exe [2008-11-19 33792]

[HKLM~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Adobe Reader Speed Launch.lnk]

path=c:\documents and settings\All Users\Menu Start\Programy\Autostart\Adobe Reader Speed Launch.lnk

backup=c:\windows\pss\Adobe Reader Speed Launch.lnkCommon Startup

[HKLM~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Google XDesktop Lighting.exe]

path=c:\documents and settings\All Users\Menu Start\Programy\Autostart\Google XDesktop Lighting.exe

backup=c:\windows\pss\Google XDesktop Lighting.exeCommon Startup

[HKLM~\startupfolder\C:^Documents and Settings^Tomek^Menu Start^Programy^Autostart^IPod Try Icon Lighting.exe]

path=c:\documents and settings\Tomek\Menu Start\Programy\Autostart\IPod Try Icon Lighting.exe

backup=c:\windows\pss\IPod Try Icon Lighting.exeStartup

[HKLM~\startupfolder\C:^Documents and Settings^Tomek^Menu Start^Programy^Autostart^userinit.exe]

path=c:\documents and settings\Tomek\Menu Start\Programy\Autostart\userinit.exe

backup=c:\windows\pss\userinit.exeStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]

c:\windows\system32\dumprep 0 -k [X]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]

–a------ 2008-01-11 21:16 39792 c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]

–a------ 2006-12-23 17:05 143360 c:\program files\Common Files\Ahead\Lib\NMBgMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BitComet]

–a------ 2007-09-10 13:33 6338360 c:\program files\BitComet\BitComet.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTZDetec.exe]

--------- 2007-12-18 13:20 401408 c:\program files\Creative\Creative Media Lite\CTZDetec.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\JMB36X Configure]

-r------- 2006-10-30 13:44 1953792 c:\windows\system32\JMRaidSetup.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\JMB36X IDE Setup]

-r------- 2006-10-30 13:44 36864 c:\windows\JM\JMInsIDE.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LanguageShortcut]

–a------ 2006-12-05 21:55 54832 c:\program files\CyberLink\PowerDVD\Language\Language.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

–a------ 2006-01-12 14:40 155648 c:\program files\Common Files\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]

–a------ 2007-04-12 22:44 8429568 c:\windows\system32\nvcpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]

–a------ 2007-04-12 22:44 81920 c:\windows\system32\nvmctray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]

--------- 2006-11-23 14:10 56928 c:\program files\CyberLink\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAX]

--------- 2006-07-13 06:12 729088 c:\program files\Analog Devices\SoundMAX\SMax4.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAXPnP]

-ra------ 2006-12-18 14:34 868352 c:\program files\Analog Devices\Core\smax4pnp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

–a------ 2008-02-22 03:25 144784 c:\program files\Java\jre1.6.0_05\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]

–a------ 2007-11-17 14:00 68856 c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WOOTASKBARICON]

--------- 2004-10-14 15:55 32768 c:\progra~1\NEOSTR~1\GestMAJ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WOOWATCH]

--------- 2004-08-23 13:49 20480 c:\progra~1\NEOSTR~1\Watch.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]

–a------ 2007-04-12 22:44 1626112 c:\windows\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

“UpdatesDisableNotify”=dword:00000001

“AntiVirusDisableNotify”=dword:00000001

R1 aswSP;avast! Self Protection;c:\windows\System32\drivers\aswSP.sys [2008-07-10 78416]

R3 e4usbaw;USB ADSL2 WAN Adapter;c:\windows\System32\DRIVERS\e4usbaw.sys [2007-10-02 116992]

S0 OCDE;ZTekWare Original CD Emulator Service;c:\windows\System32\Drivers\OCDE.sys []

S2 IKANLOADER2;General Purpose USB Driver (e4ldr.sys);c:\windows\System32\Drivers\e4ldr.sys [2007-10-02 64000]

S2 ptsrqtnt;ptsrqtnt;??\c:\windows\system32\drivers\ptsrqtnt.sys [2008-11-04 180224]

.

.

------- Skan uzupełniający -------

.

uSearch Page = hxxp://www.google.com

uStart Page = hxxp://www.wp.pl/

uSearch Bar = hxxp://www.google.com/ie

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

IE: Download with BitComet - c:\program files\BitComet\BitComet.exe/AddLink.htm

IE: Download all video with BitComet - c:\program files\BitComet\BitComet.exe/AddVideo.htm

IE: Download all with BitComet - c:\program files\BitComet\BitComet.exe/AddAllLink.htm

IE: Eksport do programu Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

IE: {c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm

IE: {c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm -

TCP: {2ACE0F1E-00A4-49D6-BE68-08262888BDC0} = 194.204.159.1 217.98.63.164

O16 -: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab

c:\windows\Downloaded Program Files\DirectAnimation Java Classes.osd

O16 -: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab

c:\windows\Downloaded Program Files\Microsoft XML Parser for Java.osd

.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-11-19 21:12:59

Windows 5.1.2600 Dodatek Service Pack. 1 NTFS

skanowanie ukrytych procesów …

skanowanie ukrytych wpisów autostartu …

skanowanie ukrytych plików …

skanowanie pomyślnie ukończone

ukryte pliki: 0

**************************************************************************

.

Czas ukończenia: 2008-11-19 21:13:16

ComboFix-quarantined-files.txt 2008-11-19 20:13:15

Przed: 70 336 520 192 bajtów wolnych

Po: 70,409,592,832 bajtów wolnych

158

i nie moge wyłączyc kompa bo sie zacina

Wklej do Notatnika:

Driver::

OCDE


Registry::

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{84583270-0414-5794-6430-5599ca323026}]

>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku –>

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: ** Qoobox**.

Wykonaj skan Dr. Web CureIt

Po pierwsze nie to

bo to od CD Emulator od ZTekWare .

Szity sa na pewno tu

Te dwa ostatnie wpisy dlatego ze takie pliki nie istnieją a drugi bo userinit nie w tej lokalizacji

Dobrze by było sprawdzić na VirusTotal te userinity.

Gdyby sie okazało że zarażony jest to ten spod C:\Windows\System32\ to trzeba by było go wymienić z konsoli.

Oczywiście trzeba wykasować wpisy w HKLM bo to autostarty

Dalej mi sie nie chce grzebać bo późno więć ide spać

Po pierwsze to jest jedna rodzina i są Ok te pliki czas i godzina, nie będę tłumaczył od czego bo tobie nie ma sensu, cos nie jest w google to do usuniecia!

C:\WINDOWS\system32\CD0CE156F6.sys

C:\WINDOWS\system32\KGyGaAvL.sys

Te wpisy też Ok

Zrób to o co prosiłem i zrób skan Dr. Web CureIt S0 OCDE ma S i [] poczytaj o Combo to sie dowiesz co oznacza!

co dalej

ComboFix 08-11-18.A2 - Tomek 2008-11-20 7:45:36.8 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.1.1250.1.1045.18.689 [GMT 1:00]

Uruchomiony z: e:\torenty\ComboFix.exe

Użyto następujących komend :: e:\torenty\CFScript.txt

* Utworzono nowy punkt przywracania

UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA

.

((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

((((((((((((((((((((((((((((((((((((((( Sterowniki/Usługi )))))))))))))))))))))))))))))))))))))))))))))))))

.

-------\Service_OCDE

((((((((((((((((((((((((( Pliki utworzone od 2008-10-20 do 2008-11-20 )))))))))))))))))))))))))))))))

.

2008-11-04 21:56 . 2008-11-04 21:56 180,224 --a------ c:\windows\system32\drivers\ptsrqtnt.sys

2008-11-02 15:30 . 2008-11-02 15:30

2008-11-02 15:30 . 2008-11-02 15:30

2008-11-02 15:30 . 2008-11-02 15:30

2008-11-02 15:30 . 2008-10-22 16:10 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys

2008-11-02 15:30 . 2008-10-22 16:10 15,504 --a------ c:\windows\system32\drivers\mbam.sys

2008-10-31 22:29 . 2008-10-31 22:29

2008-10-31 22:15 . 2008-10-31 22:15

2008-10-30 20:52 . 2008-10-30 20:52 18,944 --a------ c:\documents and settings\All Users\mo3TK.exe

.

(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-11-20 05:37 --------- d-----w c:\program files\neostrada tp

2008-11-12 20:09 --------- d-----w c:\program files\BitComet

2008-09-28 17:53 --------- d–h--w c:\program files\InstallShield Installation Information

2008-09-28 17:53 --------- d-----w c:\program files\THQ

2008-09-08 14:42 258,048 ----a-w c:\windows\system32\libFLAC.dll

2008-09-08 14:41 892,928 ----a-w c:\windows\system32\iconv.dll

2008-09-08 14:41 456,192 ----a-w c:\windows\system32\libmplayer.dll

2008-09-08 14:41 3,569,152 ----a-w c:\windows\system32\libavcodec.dll

2008-09-08 14:41 119,296 ----a-w c:\windows\system32\libmpeg2_ff.dll

2008-09-08 14:39 79,360 ----a-w c:\windows\system32\mkzlib.dll

2008-09-08 14:39 755,027 ----a-w c:\windows\system32\xvidcore.dll

2008-09-08 14:39 524,288 ----a-w c:\windows\system32\DivXsm.exe

2008-09-08 14:39 23,552 ----a-w c:\windows\system32\mkunicode.dll

2008-09-08 14:39 2,041,363 ----a-w c:\windows\system32\x264vfw.dll

2008-09-08 14:39 163,840 ----a-w c:\windows\system32\ts.dll

2008-09-08 14:39 159,839 ----a-w c:\windows\system32\xvidvfw.dll

2008-09-08 14:39 159,744 ----a-w c:\windows\system32\mmfinfo.dll

2008-09-08 14:39 148,992 ----a-w c:\windows\system32\mkx.dll

2008-09-08 14:39 141,312 ----a-w c:\windows\system32\mp4.dll

2008-09-08 14:39 120,832 ----a-w c:\windows\system32\ogm.dll

2008-09-08 14:39 108,032 ----a-w c:\windows\system32\avi.dll

2007-12-19 16:46 77,824 ----a-w c:\program files\LFS_restart.exe

2006-06-23 06:48 32,768 ----a-r c:\windows\inf\UpdateUSB.exe

2007-10-09 16:23 56 --sh–r c:\windows\system32\CD0CE156F6.sys

2007-10-09 16:23 1,682 --sha-w c:\windows\system32\KGyGaAvL.sys

.

((((((((((((((((((((((((((((( snapshot@2008-11-19_21.13.05,89 )))))))))))))))))))))))))))))))))))))))))

.

• 2008-11-19 20:12:06 262,144 ----a-w c:\windows\system32\config\systemprofile\ntuser.dat

• 2008-11-20 06:45:16 262,144 ----a-w c:\windows\system32\config\systemprofile\ntuser.dat

• 2008-11-20 06:47:29 16,384 ----atw c:\windows\TEMP\Perflib_Perfdata_3a8.dat

.

((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“swg”=“c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe” [2007-11-17 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“NvCplDaemon”=“c:\windows\System32\NvCpl.dll” [2007-04-12 8429568]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

“CTFMON.EXE”=“c:\windows\System32\CTFMON.EXE” [2002-09-20 13312]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

“RunNarrator”=“Narrator.exe” [2001-10-26 c:\windows\system32\narrator.exe]

c:\documents and settings\Tomek\Menu Start\Programy\Autostart\

IPod Try Icon Lighting.exe [2008-11-19 33792]

c:\documents and settings\All Users\Menu Start\Programy\Autostart\

Google XDesktop Lighting.exe [2008-11-19 33792]

[HKLM~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Adobe Reader Speed Launch.lnk]

path=c:\documents and settings\All Users\Menu Start\Programy\Autostart\Adobe Reader Speed Launch.lnk

backup=c:\windows\pss\Adobe Reader Speed Launch.lnkCommon Startup

[HKLM~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Google XDesktop Lighting.exe]

path=c:\documents and settings\All Users\Menu Start\Programy\Autostart\Google XDesktop Lighting.exe

backup=c:\windows\pss\Google XDesktop Lighting.exeCommon Startup

[HKLM~\startupfolder\C:^Documents and Settings^Tomek^Menu Start^Programy^Autostart^IPod Try Icon Lighting.exe]

path=c:\documents and settings\Tomek\Menu Start\Programy\Autostart\IPod Try Icon Lighting.exe

backup=c:\windows\pss\IPod Try Icon Lighting.exeStartup

[HKLM~\startupfolder\C:^Documents and Settings^Tomek^Menu Start^Programy^Autostart^userinit.exe]

path=c:\documents and settings\Tomek\Menu Start\Programy\Autostart\userinit.exe

backup=c:\windows\pss\userinit.exeStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]

c:\windows\system32\dumprep 0 -k [X]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]

–a------ 2008-01-11 21:16 39792 c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]

–a------ 2006-12-23 17:05 143360 c:\program files\Common Files\Ahead\Lib\NMBgMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BitComet]

–a------ 2007-09-10 13:33 6338360 c:\program files\BitComet\BitComet.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTZDetec.exe]

--------- 2007-12-18 13:20 401408 c:\program files\Creative\Creative Media Lite\CTZDetec.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\JMB36X Configure]

-r------- 2006-10-30 13:44 1953792 c:\windows\system32\JMRaidSetup.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\JMB36X IDE Setup]

-r------- 2006-10-30 13:44 36864 c:\windows\JM\JMInsIDE.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LanguageShortcut]

–a------ 2006-12-05 21:55 54832 c:\program files\CyberLink\PowerDVD\Language\Language.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

–a------ 2006-01-12 14:40 155648 c:\program files\Common Files\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]

–a------ 2007-04-12 22:44 8429568 c:\windows\system32\nvcpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]

–a------ 2007-04-12 22:44 81920 c:\windows\system32\nvmctray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]

--------- 2006-11-23 14:10 56928 c:\program files\CyberLink\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAX]

--------- 2006-07-13 06:12 729088 c:\program files\Analog Devices\SoundMAX\SMax4.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAXPnP]

-ra------ 2006-12-18 14:34 868352 c:\program files\Analog Devices\Core\smax4pnp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

–a------ 2008-02-22 03:25 144784 c:\program files\Java\jre1.6.0_05\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]

–a------ 2007-11-17 14:00 68856 c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WOOTASKBARICON]

--------- 2004-10-14 15:55 32768 c:\progra~1\NEOSTR~1\GestMAJ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WOOWATCH]

--------- 2004-08-23 13:49 20480 c:\progra~1\NEOSTR~1\Watch.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]

–a------ 2007-04-12 22:44 1626112 c:\windows\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

“UpdatesDisableNotify”=dword:00000001

“AntiVirusDisableNotify”=dword:00000001

R1 aswSP;avast! Self Protection;c:\windows\System32\drivers\aswSP.sys [2008-07-10 78416]

R3 e4usbaw;USB ADSL2 WAN Adapter;c:\windows\System32\DRIVERS\e4usbaw.sys [2007-10-02 116992]

S2 IKANLOADER2;General Purpose USB Driver (e4ldr.sys);c:\windows\System32\Drivers\e4ldr.sys [2007-10-02 64000]

S2 ptsrqtnt;ptsrqtnt;??\c:\windows\system32\drivers\ptsrqtnt.sys [2008-11-04 180224]

.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-11-20 07:47:37

Windows 5.1.2600 Dodatek Service Pack. 1 NTFS

skanowanie ukrytych procesów …

skanowanie ukrytych wpisów autostartu …

skanowanie ukrytych plików …

skanowanie pomyślnie ukończone

ukryte pliki: 0

**************************************************************************

.

------------------------ Pozostałe uruchomione procesy ------------------------

.

c:\program files\Alwil Software\Avast4\aswUpdSv.exe

c:\program files\Alwil Software\Avast4\ashServ.exe

c:\windows\system32\CTSVCCDA.EXE

c:\program files\Creative\Shared Files\CTDevSrv.exe

c:\windows\system32\FTRTSVC.exe

c:\program files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

c:\windows\system32\nvsvc32.exe

c:\program files\CyberLink\Shared Files\RichVideo.exe

c:\windows\system32\UAService7.exe

c:\program files\Alwil Software\Avast4\ashWebSv.exe

c:\program files\Alwil Software\Avast4\ashMaiSv.exe

.

**************************************************************************

.

Czas ukończenia: 2008-11-20 7:48:29 - komputer został uruchomiony ponownie [Tomek]

ComboFix-quarantined-files.txt 2008-11-20 06:48:26

ComboFix2.txt 2008-11-19 20:13:17

Przed: 70 280 904 704 bajtów wolnych

Po: 70,356,983,808 bajtów wolnych

166

Zmiana zasad wklejania logów na forum - viewtopic.php?f=16&t=253052

Gdzie raport ze skanu Dr. Web CureIt?

Jak nie chesz go używac to Pobierz program SDFix

SDFix: Version 1.240

Run by Tomek on 2008-11-20 at 19:28

Microsoft Windows XP [Wersja 5.1.2600]

Running From: C:\SDFix

Checking Services :

Restoring Default Security Values

Restoring Default Hosts File

Rebooting

Checking Files :

Trojan Files Found:

C:\WINDOWS\system32\TFTP600 - Deleted

Removing Temp Files

ADS Check :

Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-11-20 19:30:30

Windows 5.1.2600 Dodatek Service Pack. 1 NTFS

scanning hidden processes …

scanning hidden services & system hive …

scanning hidden registry entries …

scanning hidden files …

scan completed successfully

hidden processes: 0

hidden services: 0

hidden files: 0

Remaining Services :

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

Remaining Files :

File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes :

Tue 9 Oct 2007 56 …SHR — “C:\WINDOWS\system32\CD0CE156F6.sys”

Tue 9 Oct 2007 1,682 A.SH. — “C:\WINDOWS\system32\KGyGaAvL.sys”

Sun 24 Feb 2008 4,348 …SH. — “C:\Documents and Settings\All Users\DRM\DRMv1.bak”

Thu 10 Apr 2008 400 A.SH. — “C:\Documents and Settings\All Users\DRM\v2ks.bla.bak”

Thu 10 Apr 2008 48 A.SH. — “C:\Documents and Settings\All Users\DRM\v2ks.sec.bak”

Wed 19 Nov 2008 53,760 A.SHR — “C:\Program Files\Common Files\System\admin s.dll”

Wed 19 Nov 2008 33,792 A.SHR — “C:\Program Files\Common Files\System\Adobe_Desk_Lighting.exe”

Tue 2 Oct 2007 70,144 …SHR — “C:\Program Files\Team6 game studios\Downtown Challenge\Setup.exe”

Tue 8 Mar 2005 16,384 A.SHR — “C:\Program Files\Team6 game studios\Downtown Challenge_Setup.dll”

Wed 19 Nov 2008 33,792 A.SHR — “C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Google XDesktop Lighting.exe”

Wed 19 Nov 2008 33,792 A.SHR — “C:\Documents and Settings\Tomek\Menu Start\Programy\Autostart\IPod Try Icon Lighting.exe”

Finished!

firewallpolicy co oznacza ten napis ?

C:\Program Files\Common Files\System\admin s.dll 

C:\Program Files\Common Files\System\Adobe_Desk_Lighting.ex

przeskanuj plik na http://www.virustotal.com/

Daj nowy log z ComboFix

co mam z tym zrobic

Wchodizsz na stornę http://www.virustotal.com/ masz tam wybierz i idziesz do lokalizacji

C:\Program Files\Common Files\System\admin s.dll 

C:\Program Files\Common Files\System\Adobe_Desk_Lighting.ex

i przeskanuj najpierw jeden później drugi plik. Wynik na forum wrzucasz

Plik admin_s.dll_ otrzymany 2008.11.21 16:06:26 (CET)

Obecny status: Ładowanie … w kolejce oczekuje skanowanie zakończono NIE ZNALEZIONO ZATRZYMANE

Wynik: 8/37 (21.63%)

Ładowanie informacji serwera…

Twój plik czeka w kolejce na pozycji: 1.

Oczekiwany czas rozpoczęcia zawiera się między 38 i 55 sekundy.

Nie zamykaj tego okna, dopóki skanowanie nie zostanie ukończone.

Skaner nie odpowiada, trwają próby odzyskania wyników skanowania.

Jeśli potrwa to dłużej niż 5 minut, wyślik plik ponownie.

Twój plik jest obecnie skanowany, wyniki będą pojawiać się stopniowo.

Zwięzły Drukuj wyniki

Twój plik wygasł lub nie istnieje.

Usługa została wstrzymana. Twój plik będzie czekać na skanowanie (na pozycji: ) przez nieokreślony czas.

Możesz czekać na odpowiedź (automatyczne przeładowanie) lub podać swój email poniżej i kliknąć “przypomnij”, wtedy system poinformuje Cię o zakończeniu skanowania wysyłając email.

Przypomnij:

Antywirus Wersja Ostatnia aktualizacja Wynik

AhnLab-V3 2008.11.21.0 2008.11.21 -

AntiVir 7.9.0.35 2008.11.21 TR/ATRAPS.Gen

Authentium 5.1.0.4 2008.11.20 -

Avast 4.8.1281.0 2008.11.20 -

AVG 8.0.0.199 2008.11.21 -

BitDefender 7.2 2008.11.21 -

CAT-QuickHeal 10.00 2008.11.21 -

ClamAV 0.94.1 2008.11.21 -

DrWeb 4.44.0.09170 2008.11.21 -

eSafe 7.0.17.0 2008.11.19 Suspicious File

eTrust-Vet 31.6.6221 2008.11.21 -

Ewido 4.0 2008.11.21 -

F-Prot 4.4.4.56 2008.11.21 -

F-Secure 8.0.14332.0 2008.11.21 Atraps.A

Fortinet 3.117.0.0 2008.11.21 -

GData 19 2008.11.21 -

Ikarus T3.1.1.45.0 2008.11.21 Virus.Win32.BHO.PO

K7AntiVirus 7.10.529 2008.11.20 -

Kaspersky 7.0.0.125 2008.11.21 -

McAfee 5440 2008.11.20 -

McAfee+Artemis 5440 2008.11.20 -

Microsoft 1.4104 2008.11.21 -

NOD32 3631 2008.11.21 -

Norman 5.80.02 2008.11.20 Atraps.A

Panda 9.0.0.4 2008.11.20 Suspicious file

PCTools 4.4.2.0 2008.11.21 -

Prevx1 V2 2008.11.21 -

Rising 21.04.42.00 2008.11.21 -

SecureWeb-Gateway 6.7.6 2008.11.21 Trojan.ATRAPS.Gen

Sophos 4.35.0 2008.11.21 -

Sunbelt 3.1.1823.2 2008.11.21 -

Symantec 10 2008.11.21 -

TheHacker 6.3.1.1.159 2008.11.19 -

TrendMicro 8.700.0.1004 2008.11.21 PAK_Generic.005

VBA32 3.12.8.9 2008.11.20 -

ViRobot 2008.11.18.1474 2008.11.18 -

VirusBuster 4.5.11.0 2008.11.21 -

Dodatkowe informacje

File size: 53760 bytes

MD5…: 8c62549156e22a55b1b3c86a2f0ee6a5

SHA1…: b028292bfa101c75b3e80f30b6274f8f04b7ab99

SHA256: 4091a77b9340fd7bf075db2fab2904b9bda42fb9c8e4b2395cdb296a1ae550fa

SHA512: c2d80c2f9c30e6a7fcbeb404cac5a9038ce91e389180601c845555d14725d653

989551c8973e74d07cf504209432f0d9c3d2887f050973c484218f1d9123b1f5

PEiD…: -

TrID…: File type identification

Win32 EXE Yoda’s Crypter (64.5%)

Win32 Executable Generic (20.7%)

Win16/32 Executable Delphi generic (5.0%)

Generic Win/DOS Executable (4.8%)

DOS Executable Generic (4.8%)

PEInfo: PE Structure information

( base data )

entrypointaddress.: 0x418a0

timedatestamp…: 0x2a425e19 (Fri Jun 19 22:22:17 1992)

machinetype…: 0x14c (I386)

( 3 sections )

name viradd virsiz rawdsiz ntrpy md5

KHT0 0x1000 0x25000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e

KHT1 0x26000 0xd000 0xc600 7.97 d85d7625165f8b0dc2ccd4b22eb6bc62

.rsrc 0x33000 0x1000 0x800 3.22 d2815b1ae507e9ca09454f9921d65a09

( 6 imports )

> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree

> advapi32.dll: RegFlushKey

> ole32.dll: IsEqualGUID

> oleaut32.dll: LoadTypeLib

> shell32.dll: ShellExecuteA

> user32.dll: CharNextA

( 4 exports )

DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer

packers (F-Prot): UPX_LZMA

packers (Kaspersky):

0 bytes size received / Se ha recibido un archivo vacio

to jest odpowiedz na drugi

Pobierz The Avenger.W okienku, które się otworzy wklej:

kopiuj >> klikasz na Paste Script from Clipboard >> Execute >> Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

Wykonaj skan Dr. Web CureIt

a na dodatek nie moge zainstalowac kaspra bo pokazuje ze instalator windows zła instalacja lub komp w trub awaryjny . normalnie super :-x

Napisz to jakoś po ludzku, bo nie rozumie? Nie możesz zainsalować Kasperskiego? Komputer się normalnie odpala?

Jest to wszystko chaotycznie napisane brak logów nie wiadomo co usunięte a co nie więc:

Otwórz notatnik i wklej

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri … iemoes.gif

Powinno rozpocząć się usuwanie

Potem log z usuwania Combofix

Pobierz System Repair Engineer

http://www.cybertrash.pl/images/tata/System%20Repair/System%20Repair%20Engineer.html

przeskanuj daj log

ten wskazany dr w .

nic nie pokazał o co śmiesniejsz to nie moge usunac tych wpisow co były do skasowania . co dalej

ComboFix 08-11-18.A2 - Tomek 2008-11-21 21:16:56.9 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.1.1250.1.1045.18.646 [GMT 1:00]

Uruchomiony z: e:\torenty\ComboFix.exe

UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA

.

((((((((((((((((((((((((( Pliki utworzone od 2008-10-21 do 2008-11-21 )))))))))))))))))))))))))))))))

.

2008-11-21 17:04 . 2008-11-21 17:04 29 --a------ c:\windows\system32\tdrugupd.tmp

2008-11-20 19:26 . 2008-11-20 19:27

2008-11-02 15:30 . 2008-11-02 15:30

2008-11-02 15:30 . 2008-11-02 15:30

2008-11-02 15:30 . 2008-11-02 15:30

2008-11-02 15:30 . 2008-10-22 16:10 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys

2008-11-02 15:30 . 2008-10-22 16:10 15,504 --a------ c:\windows\system32\drivers\mbam.sys

2008-10-31 22:29 . 2008-10-31 22:29

2008-10-31 22:15 . 2008-10-31 22:15

2008-10-30 20:52 . 2008-10-30 20:52 18,944 --a------ c:\documents and settings\All Users\mo3TK.exe

.

(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-11-21 20:16 --------- d-----w c:\program files\neostrada tp

2008-11-21 16:09 --------- d-----w c:\documents and settings\All Users\Dane aplikacji\Kaspersky Lab Setup Files

2008-11-12 20:09 --------- d-----w c:\program files\BitComet

2008-09-28 17:53 --------- d–h--w c:\program files\InstallShield Installation Information

2008-09-28 17:53 --------- d-----w c:\program files\THQ

2008-09-08 14:42 258,048 ----a-w c:\windows\system32\libFLAC.dll

2008-09-08 14:41 892,928 ----a-w c:\windows\system32\iconv.dll

2008-09-08 14:41 456,192 ----a-w c:\windows\system32\libmplayer.dll

2008-09-08 14:41 3,569,152 ----a-w c:\windows\system32\libavcodec.dll

2008-09-08 14:41 119,296 ----a-w c:\windows\system32\libmpeg2_ff.dll

2008-09-08 14:39 79,360 ----a-w c:\windows\system32\mkzlib.dll

2008-09-08 14:39 755,027 ----a-w c:\windows\system32\xvidcore.dll

2008-09-08 14:39 524,288 ----a-w c:\windows\system32\DivXsm.exe

2008-09-08 14:39 23,552 ----a-w c:\windows\system32\mkunicode.dll

2008-09-08 14:39 2,041,363 ----a-w c:\windows\system32\x264vfw.dll

2008-09-08 14:39 163,840 ----a-w c:\windows\system32\ts.dll

2008-09-08 14:39 159,839 ----a-w c:\windows\system32\xvidvfw.dll

2008-09-08 14:39 159,744 ----a-w c:\windows\system32\mmfinfo.dll

2008-09-08 14:39 148,992 ----a-w c:\windows\system32\mkx.dll

2008-09-08 14:39 141,312 ----a-w c:\windows\system32\mp4.dll

2008-09-08 14:39 120,832 ----a-w c:\windows\system32\ogm.dll

2008-09-08 14:39 108,032 ----a-w c:\windows\system32\avi.dll

2007-12-19 16:46 77,824 ----a-w c:\program files\LFS_restart.exe

2006-06-23 06:48 32,768 ----a-r c:\windows\inf\UpdateUSB.exe

2007-10-09 16:23 56 --sh–r c:\windows\system32\CD0CE156F6.sys

2007-10-09 16:23 1,682 --sha-w c:\windows\system32\KGyGaAvL.sys

.

((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane

REGEDIT4

[HKEY_LOCAL_MACHINE~\Browser Helper Objects{84583270-0414-5794-6430-5599ca323026}]

2008-11-21 15:31 53760 -rahs---- c:\program files\Common Files\System\admin s.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“swg”=“c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe” [2007-11-17 68856]

“BitComet”=“c:\program files\BitComet\BitComet.exe” [2007-09-10 6338360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“NvCplDaemon”=“c:\windows\System32\NvCpl.dll” [2007-04-12 8429568]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

“CTFMON.EXE”=“c:\windows\System32\CTFMON.EXE” [2002-09-20 13312]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

“RunNarrator”=“Narrator.exe” [2001-10-26 c:\windows\system32\narrator.exe]

c:\documents and settings\Tomek\Menu Start\Programy\Autostart\

IPod Try Icon Lighting.exe [2008-11-21 33792]

c:\documents and settings\All Users\Menu Start\Programy\Autostart\

Google XDesktop Lighting.exe [2008-11-21 33792]

[HKLM~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Adobe Reader Speed Launch.lnk]

path=c:\documents and settings\All Users\Menu Start\Programy\Autostart\Adobe Reader Speed Launch.lnk

backup=c:\windows\pss\Adobe Reader Speed Launch.lnkCommon Startup

[HKLM~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Google XDesktop Lighting.exe]

path=c:\documents and settings\All Users\Menu Start\Programy\Autostart\Google XDesktop Lighting.exe

backup=c:\windows\pss\Google XDesktop Lighting.exeCommon Startup

[HKLM~\startupfolder\C:^Documents and Settings^Tomek^Menu Start^Programy^Autostart^IPod Try Icon Lighting.exe]

path=c:\documents and settings\Tomek\Menu Start\Programy\Autostart\IPod Try Icon Lighting.exe

backup=c:\windows\pss\IPod Try Icon Lighting.exeStartup

[HKLM~\startupfolder\C:^Documents and Settings^Tomek^Menu Start^Programy^Autostart^userinit.exe]

path=c:\documents and settings\Tomek\Menu Start\Programy\Autostart\userinit.exe

backup=c:\windows\pss\userinit.exeStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]

c:\windows\system32\dumprep 0 -k [X]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]

–a------ 2008-01-11 21:16 39792 c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]

–a------ 2006-12-23 17:05 143360 c:\program files\Common Files\Ahead\Lib\NMBgMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BitComet]

–a------ 2007-09-10 13:33 6338360 c:\program files\BitComet\BitComet.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTZDetec.exe]

--------- 2007-12-18 13:20 401408 c:\program files\Creative\Creative Media Lite\CTZDetec.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\JMB36X Configure]

-r------- 2006-10-30 13:44 1953792 c:\windows\system32\JMRaidSetup.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\JMB36X IDE Setup]

-r------- 2006-10-30 13:44 36864 c:\windows\JM\JMInsIDE.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LanguageShortcut]

–a------ 2006-12-05 21:55 54832 c:\program files\CyberLink\PowerDVD\Language\Language.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

–a------ 2006-01-12 14:40 155648 c:\program files\Common Files\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]

–a------ 2007-04-12 22:44 8429568 c:\windows\system32\nvcpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]

–a------ 2007-04-12 22:44 81920 c:\windows\system32\nvmctray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]

--------- 2006-11-23 14:10 56928 c:\program files\CyberLink\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAX]

--------- 2006-07-13 06:12 729088 c:\program files\Analog Devices\SoundMAX\SMax4.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAXPnP]

-ra------ 2006-12-18 14:34 868352 c:\program files\Analog Devices\Core\smax4pnp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

–a------ 2008-02-22 03:25 144784 c:\program files\Java\jre1.6.0_05\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]

–a------ 2007-11-17 14:00 68856 c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WOOTASKBARICON]

--------- 2004-10-14 15:55 32768 c:\progra~1\NEOSTR~1\GestMAJ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WOOWATCH]

--------- 2004-08-23 13:49 20480 c:\progra~1\NEOSTR~1\Watch.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]

–a------ 2007-04-12 22:44 1626112 c:\windows\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

“UpdatesDisableNotify”=dword:00000001

“AntiVirusDisableNotify”=dword:00000001

R3 e4usbaw;USB ADSL2 WAN Adapter;c:\windows\System32\DRIVERS\e4usbaw.sys [2007-10-02 116992]

S2 IKANLOADER2;General Purpose USB Driver (e4ldr.sys);c:\windows\System32\Drivers\e4ldr.sys [2007-10-02 64000]

S2 ptsrqtnt;ptsrqtnt;??\c:\windows\system32\drivers\ptsrqtnt.sys []

.

.

------- Skan uzupełniający -------

.

uSearch Page = hxxp://www.google.com

uStart Page = hxxp://www.wp.pl/

uSearch Bar = hxxp://www.google.com/ie

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

IE: Download with BitComet - c:\program files\BitComet\BitComet.exe/AddLink.htm

IE: Download all video with BitComet - c:\program files\BitComet\BitComet.exe/AddVideo.htm

IE: Download all with BitComet - c:\program files\BitComet\BitComet.exe/AddAllLink.htm

IE: Eksport do programu Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

IE: {c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm

IE: {c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm -

TCP: {2ACE0F1E-00A4-49D6-BE68-08262888BDC0} = 194.204.159.1 217.98.63.164

O16 -: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab

c:\windows\Downloaded Program Files\DirectAnimation Java Classes.osd

O16 -: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab

c:\windows\Downloaded Program Files\Microsoft XML Parser for Java.osd

.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-11-21 21:17:28

Windows 5.1.2600 Dodatek Service Pack. 1 NTFS

skanowanie ukrytych procesów …

skanowanie ukrytych wpisów autostartu …

skanowanie ukrytych plików …

skanowanie pomyślnie ukończone

ukryte pliki: 0

**************************************************************************

.

Czas ukończenia: 2008-11-21 21:17:44

ComboFix-quarantined-files.txt 2008-11-21 20:17:42

Przed: 70 264 795 136 bajtów wolnych

Po: 70,284,578,816 bajtów wolnych

158