DemoniQs
(Demoniqs1616)
22 Maj 2009 15:36
#1
Bardzo zależy mi na czasie gdyż potrzebuje komputera i internetu do pracy a niestety z tym syfem jest to nie możliwe.
Z góry dziękuje
Log z CombFix
ComboFix 09-05-21.03 - Pawel 2009-05-22 13:54.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1250.48.1045.18.1023.654 [GMT 3:00] Uruchomiony z: C:\ComboFix.exe . ((((((((((((((((((((((((((((((((((((((( Usunięto ))))))))))))))))))))))))))))))))))))))))))))))))) . c:\program files\RelevantKnowledge c:\program files\RelevantKnowledge\rlservice.exe c:\windows\system32_id.dat c:\windows\system32\2052q.exe c:\windows\system32\digiwet.dll c:\windows\system32\servises.exe E:\Autorun.inf F:\Autorun.inf . ((((((((((((((((((((((((((((((((((((((( Sterowniki/Usługi ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_I386SI -------\Legacy_NETSIK -------\Legacy_NICSK32 -------\Legacy_NTLMSSP_SERVICE -------\Legacy_PORT135SIK -------\Legacy_SECURENTM -------\Legacy_SYSTEMNTMI -------\Service_NtLmSsp Service ((((((((((((((((((((((((( Pliki utworzone od 2009-04-22 do 2009-05-22 ))))))))))))))))))))))))))))))) . 2009-05-22 13:45 . 2009-05-22 13:46 4096 —ha-w C:._ComboFix.exe 2009-05-22 11:04 . 2009-05-22 11:04 2968438 ----a-r C:\ComboFix.exe 2009-05-21 13:47 . 2009-05-21 13:47 4096 —ha-w C:._Pareto_AV_Setup_RW.exe 2009-05-21 11:45 . 2009-05-22 11:00 54048 --sha-w c:\windows\system32\drivers\fidbox2.dat 2009-05-21 11:45 . 2009-05-22 10:58 6350880 --sha-w c:\windows\system32\drivers\fidbox.dat 2009-05-21 11:24 . 2009-05-21 11:24 -------- d-----w c:\program files\Common Files\ParetoLogic 2009-05-21 11:24 . 2009-05-21 11:24 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\ParetoLogic Anti-Virus PLUS 2009-05-21 11:24 . 2009-05-21 11:24 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\ParetoLogic 2009-05-21 11:24 . 2009-05-21 11:24 -------- d-----w c:\program files\ParetoLogic 2009-05-21 11:23 . 2009-05-21 11:23 -------- d-----w c:\documents and settings\Pawel\Ustawienia lokalne\Dane aplikacji\Downloaded Installations 2009-05-21 11:03 . 2009-05-21 11:05 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\Lavasoft 2009-05-21 11:03 . 2009-05-21 11:03 -------- d-----w c:\program files\Lavasoft 2009-05-20 21:17 . 2009-05-20 21:17 4096 —ha-w C:._spybot.exe 2009-05-20 16:25 . 2009-02-05 20:06 51376 ----a-w c:\windows\system32\drivers\aswTdi.sys 2009-05-20 16:25 . 2009-02-05 20:06 23152 ----a-w c:\windows\system32\drivers\aswRdr.sys 2009-05-20 16:25 . 2009-02-05 20:05 26944 ----a-w c:\windows\system32\drivers\aavmker4.sys 2009-05-20 16:25 . 2009-02-05 20:04 97480 ----a-w c:\windows\system32\AvastSS.scr 2009-05-20 16:25 . 2009-02-05 20:08 93296 ----a-w c:\windows\system32\drivers\aswmon.sys 2009-05-20 16:25 . 2009-02-05 20:08 94032 ----a-w c:\windows\system32\drivers\aswmon2.sys 2009-05-20 16:25 . 2009-02-05 20:07 114768 ----a-w c:\windows\system32\drivers\aswSP.sys 2009-05-20 16:25 . 2009-02-05 20:07 20560 ----a-w c:\windows\system32\drivers\aswFsBlk.sys 2009-05-20 16:25 . 2009-02-05 20:11 1256296 ----a-w c:\windows\system32\aswBoot.exe 2009-05-20 16:25 . 2009-05-20 16:25 -------- d-----w c:\program files\Alwil Software 2009-05-20 15:18 . 2009-05-20 15:18 4096 —ha-w C:._setuppolpro.exe 2009-05-20 09:30 . 2009-05-20 09:31 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\Spybot - Search & Destroy 2009-05-20 09:30 . 2009-05-20 09:30 -------- d-----w c:\program files\Spybot - Search & Destroy 2009-05-19 14:55 . 2009-05-19 14:55 32 --s-a-w c:\windows\system32\3361347752.dat 2009-05-15 10:47 . 2009-05-15 10:47 -------- d-----w c:\documents and settings\Pawel\Ustawienia lokalne\Dane aplikacji\ESET 2009-05-11 10:05 . 2009-05-11 10:05 34716496 ----a-w C:\setuppolpro.exe 2009-05-10 13:46 . 2009-05-13 15:52 88 --sh–r c:\documents and settings\All Users\Dane aplikacji\E52409E4B3.sys 2009-05-10 13:46 . 2009-05-13 15:52 2828 --sha-w c:\documents and settings\All Users\Dane aplikacji\KGyGaAvL.sys 2009-05-10 13:45 . 2009-05-10 13:46 -------- d-----w c:\documents and settings\Pawel\Dane aplikacji\Corel 2009-05-10 13:44 . 2009-05-10 13:44 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\Corel 2009-05-10 13:44 . 2009-05-10 13:44 -------- d-----w c:\program files\Common Files\Protexis 2009-05-10 13:41 . 2009-05-10 13:41 -------- d-----w c:\program files\Common Files\Corel 2009-05-10 13:39 . 2009-05-10 13:39 -------- d-----w c:\program files\Corel 2009-05-03 06:16 . 2009-05-03 06:18 -------- d-----w c:\documents and settings\Bartosz\Dane aplikacji\Skype 2009-04-27 11:22 . 2009-04-27 11:22 -------- d-----w c:\documents and settings\Bartosz\Ustawienia lokalne\Dane aplikacji\IVONA_INST 2009-04-27 06:34 . 2009-04-27 06:34 19153264 ----a-w C:\spybot.exe . (((((((((((((((((((((((((((((((((((((((( Sekcja Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-05-22 11:01 . 2009-03-24 14:34 -------- d-----w c:\documents and settings\Pawel\Dane aplikacji\Skype 2009-05-22 10:58 . 2009-05-21 11:45 90212 --sha-w c:\windows\system32\drivers\fidbox.idx 2009-05-22 10:58 . 2009-05-21 11:45 8132 --sha-w c:\windows\system32\drivers\fidbox2.idx 2009-05-22 10:50 . 2009-03-24 14:36 -------- d-----w c:\documents and settings\Pawel\Dane aplikacji\skypePM 2009-05-22 10:20 . 2008-12-03 22:18 -------- d-----w c:\program files\Mozilla Firefox 3.1 Beta 1 2009-05-22 10:17 . 2009-02-15 07:08 -------- d-----w c:\documents and settings\Bartosz\Dane aplikacji\DNA 2009-05-22 09:07 . 2009-01-13 18:16 -------- d-----w c:\documents and settings\Bartosz\Dane aplikacji\foobar2000 2009-05-22 08:27 . 2009-02-15 07:08 -------- d-----w c:\program files\DNA 2009-05-22 01:30 . 2008-12-16 22:02 -------- d-----w c:\documents and settings\Pawel\Dane aplikacji\uTorrent 2009-05-21 18:23 . 2009-02-09 10:45 -------- d-----w c:\program files\KeenfinderSrch 2009-05-21 16:04 . 2009-01-27 13:59 -------- d-----w c:\documents and settings\Pawel\Dane aplikacji\OpenOffice.org2 2009-05-21 13:17 . 2009-01-27 13:59 1 ----a-w c:\documents and settings\Pawel\Dane aplikacji\OpenOffice.org2\user\uno_packages\cache\stamp.sys 2009-05-21 11:30 . 2009-01-24 18:45 -------- d-----w c:\documents and settings\Bartosz\Dane aplikacji\OpenOffice.org2 2009-05-21 11:28 . 2009-01-24 18:46 1 ----a-w c:\documents and settings\Bartosz\Dane aplikacji\OpenOffice.org2\user\uno_packages\cache\stamp.sys 2009-05-21 11:03 . 2008-12-09 20:57 -------- d-----w c:\program files\Common Files\Wise Installation Wizard 2009-05-20 16:48 . 2009-02-09 10:45 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\KeenfinderSrch 2009-05-13 13:14 . 2009-03-24 13:54 -------- d-----w c:\documents and settings\iPhone\Dane aplikacji\OpenOffice.org2 2009-05-10 15:27 . 2008-12-06 14:24 49712 ----a-w c:\documents and settings\Bartosz\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT 2009-05-10 13:45 . 2008-12-03 23:26 49712 ----a-w c:\documents and settings\Pawel\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT 2009-05-07 14:17 . 2009-03-28 14:27 98304 ----a-w c:\documents and settings\Pawel\Dane aplikacji\Soldat\BattlEye\BEClient.dll 2009-04-24 08:53 . 2008-12-10 18:00 -------- d-----w c:\program files\Tibia 2009-04-19 09:53 . 2008-12-09 21:00 -------- d-----w c:\documents and settings\Bartosz\Dane aplikacji\teamspeak2 2009-04-19 09:53 . 2009-04-19 09:52 -------- d-----w c:\program files\Teamspeak2_RC2 2009-04-18 20:20 . 2008-12-03 21:50 -------- d–h--w c:\program files\InstallShield Installation Information 2009-04-18 07:48 . 2008-12-19 21:14 -------- d-----w c:\program files\Tibia Auto 2009-04-18 07:47 . 2009-03-04 18:33 -------- d-----w c:\program files\Hero Editor 2009-04-15 15:18 . 2009-04-15 15:18 -------- d-----w c:\documents and settings\Pawel\Dane aplikacji\TuneUp Software 2009-04-15 13:17 . 2009-04-15 13:17 -------- d-----w c:\program files\IrfanView 2009-04-14 20:06 . 2009-02-15 07:08 -------- d-----w c:\documents and settings\Bartosz\Dane aplikacji\BitTorrent 2009-04-14 09:17 . 2009-02-12 10:13 -------- d-----w c:\program files\foobar2000 2009-04-10 20:23 . 2009-03-21 17:03 -------- d-----w c:\program files\Winamp Toolbar 2009-04-10 20:11 . 2009-04-10 20:11 -------- d-----w c:\documents and settings\Bartosz\Dane aplikacji\TuneUp Software 2009-04-10 20:11 . 2009-04-10 20:11 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\TuneUp Software 2009-04-07 12:48 . 2009-04-07 12:48 98304 ----a-w c:\windows\system32\CmdLineExt.dll 2009-04-04 18:58 . 2009-03-08 09:21 -------- d-----w c:\program files\SpeedFan 2009-04-02 18:56 . 2009-04-02 18:37 -------- d-----w c:\program files\Deluxe Ski Jump 3 2009-04-02 11:48 . 2009-01-18 19:43 189072 ----a-w c:\windows\system32\PnkBstrB.exe 2009-04-02 11:48 . 2009-01-18 19:43 75064 ----a-w c:\windows\system32\PnkBstrA.exe 2009-04-02 11:48 . 2009-01-18 19:44 138920 ----a-w c:\windows\system32\drivers\PnkBstrK.sys 2009-03-31 15:56 . 2009-03-31 15:56 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\InstallShield 2009-03-31 15:55 . 2009-03-31 15:55 -------- d-----w c:\program files\Common Files\InstallShield Shared 2009-03-29 15:23 . 2009-03-29 15:23 57344 ----a-w c:\documents and settings\Pawel\Dane aplikacji\Sun\Java\Deployment\cache\6.0\50\5b902232-46eb8450-n\Decora-SSE.dll 2009-03-29 15:23 . 2009-03-29 15:23 315392 ----a-w c:\documents and settings\Pawel\Dane aplikacji\Sun\Java\Deployment\cache\6.0\62\6baea4fe-7d4f4c57-n\jogl.dll 2009-03-29 15:23 . 2009-03-29 15:23 24064 ----a-w c:\documents and settings\Pawel\Dane aplikacji\Sun\Java\Deployment\cache\6.0\15\4e09eacf-46f41448-n\Decora-D3D.dll 2009-03-29 15:23 . 2009-03-29 15:23 20480 ----a-w c:\documents and settings\Pawel\Dane aplikacji\Sun\Java\Deployment\cache\6.0\62\6baea4fe-7d4f4c57-n\jogl_awt.dll 2009-03-29 15:23 . 2009-03-29 15:23 114688 ----a-w c:\documents and settings\Pawel\Dane aplikacji\Sun\Java\Deployment\cache\6.0\62\6baea4fe-7d4f4c57-n\jogl_cg.dll 2009-03-29 15:23 . 2009-03-29 15:23 20480 ----a-w c:\documents and settings\Pawel\Dane aplikacji\Sun\Java\Deployment\cache\6.0\45\4f710eed-344f8950-n\gluegen-rt.dll 2009-03-29 15:23 . 2009-03-29 15:23 499712 ----a-w c:\documents and settings\Pawel\Dane aplikacji\Sun\Java\Deployment\cache\6.0\33\258cea61-6d8ae21d-n\msvcp71.dll 2009-03-29 15:23 . 2009-03-29 15:23 499712 ----a-w c:\documents and settings\Pawel\Dane aplikacji\Sun\Java\Deployment\cache\6.0\33\258cea61-6d8ae21d-n\jmc.dll 2009-03-29 15:23 . 2009-03-29 15:23 348160 ----a-w c:\documents and settings\Pawel\Dane aplikacji\Sun\Java\Deployment\cache\6.0\33\258cea61-6d8ae21d-n\msvcr71.dll 2009-03-29 13:46 . 2009-03-29 13:44 -------- d-----w c:\documents and settings\Pawel\Dane aplikacji\Irssi 2009-03-29 13:45 . 2009-03-29 13:44 -------- d-----w c:\program files\Irssi 2009-03-29 11:03 . 2008-12-13 15:26 102400 ----a-w c:\documents and settings\Pawel\Dane aplikacji\Soldat\BattlEye\BEClient_x86.dll 2009-03-29 09:36 . 2009-03-29 09:24 -------- d-----w c:\program files\Yahoo! 2009-03-29 04:50 . 2001-10-26 17:15 83660 ----a-w c:\windows\system32\perfc015.dat 2009-03-29 04:50 . 2001-10-26 17:15 490284 ----a-w c:\windows\system32\perfh015.dat 2009-03-27 21:42 . 2009-03-27 20:26 -------- d-----w c:\program files\Thoosje Sidebar V2.3 2009-03-27 19:45 . 2009-03-27 19:45 -------- d-----w c:\program files\RocketDock 2009-03-26 17:23 . 2009-02-27 15:42 -------- d-----w c:\documents and settings\Pawel\Dane aplikacji\foobar2000 2009-03-25 18:01 . 2009-03-25 18:01 -------- d-----w c:\documents and settings\Bartosz\Dane aplikacji\Notepad++ 2009-03-25 15:13 . 2009-03-25 15:10 -------- d-----w c:\documents and settings\Pawel\Dane aplikacji\Winamp 2009-03-25 14:24 . 2009-03-25 14:24 -------- d-----w c:\documents and settings\Pawel\Dane aplikacji\Notepad++ 2009-03-25 14:24 . 2009-03-25 14:24 -------- d-----w c:\program files\Notepad++ 2009-03-25 11:25 . 2009-03-25 11:25 57344 ----a-w c:\documents and settings\Bartosz\Dane aplikacji\Sun\Java\Deployment\cache\6.0\50\5b902232-2bc1a8a4-n\Decora-SSE.dll 2009-03-25 11:25 . 2009-03-25 11:25 24064 ----a-w c:\documents and settings\Bartosz\Dane aplikacji\Sun\Java\Deployment\cache\6.0\15\4e09eacf-1b056dfd-n\Decora-D3D.dll 2009-03-25 11:25 . 2009-03-25 11:25 499712 ----a-w c:\documents and settings\Bartosz\Dane aplikacji\Sun\Java\Deployment\cache\6.0\33\258cea61-2e0de837-n\msvcp71.dll 2009-03-25 11:25 . 2009-03-25 11:25 499712 ----a-w c:\documents and settings\Bartosz\Dane aplikacji\Sun\Java\Deployment\cache\6.0\33\258cea61-2e0de837-n\jmc.dll 2009-03-25 11:25 . 2009-03-25 11:25 348160 ----a-w c:\documents and settings\Bartosz\Dane aplikacji\Sun\Java\Deployment\cache\6.0\33\258cea61-2e0de837-n\msvcr71.dll 2009-03-25 11:24 . 2009-03-25 11:24 57344 ----a-w c:\documents and settings\Bartosz\Dane aplikacji\Sun\Java\Deployment\cache\6.0\37\3976f065-4965a9b5-n\Decora-SSE.dll 2009-03-25 11:24 . 2009-03-25 11:24 24064 ----a-w c:\documents and settings\Bartosz\Dane aplikacji\Sun\Java\Deployment\cache\6.0\37\2c4a0065-175baf6d-n\Decora-D3D.dll 2009-03-25 11:24 . 2009-03-25 11:24 315392 ----a-w c:\documents and settings\Bartosz\Dane aplikacji\Sun\Java\Deployment\cache\6.0\62\6baea4fe-11f3a539-n\jogl.dll 2009-03-25 11:24 . 2009-03-25 11:24 20480 ----a-w c:\documents and settings\Bartosz\Dane aplikacji\Sun\Java\Deployment\cache\6.0\62\6baea4fe-11f3a539-n\jogl_awt.dll 2009-03-25 11:24 . 2009-03-25 11:24 114688 ----a-w c:\documents and settings\Bartosz\Dane aplikacji\Sun\Java\Deployment\cache\6.0\62\6baea4fe-11f3a539-n\jogl_cg.dll 2009-03-25 11:24 . 2009-03-25 11:24 20480 ----a-w c:\documents and settings\Bartosz\Dane aplikacji\Sun\Java\Deployment\cache\6.0\45\4f710eed-2bc72205-n\gluegen-rt.dll 2009-03-25 11:24 . 2009-03-25 11:24 503808 ----a-w c:\documents and settings\Bartosz\Dane aplikacji\Sun\Java\Deployment\cache\6.0\38\39ba6e6-2a8bdf3d-n\msvcp71.dll 2009-03-25 11:24 . 2009-03-25 11:24 499712 ----a-w c:\documents and settings\Bartosz\Dane aplikacji\Sun\Java\Deployment\cache\6.0\38\39ba6e6-2a8bdf3d-n\jmc.dll 2009-03-25 11:24 . 2009-03-25 11:24 348160 ----a-w c:\documents and settings\Bartosz\Dane aplikacji\Sun\Java\Deployment\cache\6.0\38\39ba6e6-2a8bdf3d-n\msvcr71.dll 2009-03-25 11:24 . 2009-03-25 11:24 410984 ----a-w c:\windows\system32\deploytk.dll 2009-03-25 11:24 . 2009-03-25 11:24 -------- d-----w c:\program files\Java 2009-03-25 11:23 . 2009-03-25 11:23 152576 ----a-w c:\documents and settings\Bartosz\Dane aplikacji\Sun\Java\jre1.6.0_13\lzma.dll 2009-03-24 14:36 . 2009-03-24 14:36 56 —ha-w c:\windows\system32\ezsidmv.dat 2009-03-24 14:34 . 2009-03-24 14:34 -------- d-----w c:\program files\Common Files\Skype 2009-03-24 14:34 . 2009-03-24 14:34 -------- d-----r c:\program files\Skype 2009-03-24 14:34 . 2009-03-24 14:34 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\Skype 2009-03-24 14:21 . 2009-03-24 14:20 -------- d-----w c:\program files\iTunes 2009-03-24 14:21 . 2009-03-24 14:20 -------- d-----w c:\documents and settings\All Users\Dane aplikacji{00D89592-F643-4D8D-8F0F-AFAE0F14D4C3} 2009-03-24 14:20 . 2009-03-24 14:20 -------- d-----w c:\program files\iPod 2009-03-24 14:20 . 2008-12-03 23:13 -------- d-----w c:\program files\Common Files\Apple 2009-03-24 14:18 . 2008-12-03 23:15 -------- d-----w c:\program files\Bonjour 2009-03-24 14:18 . 2009-03-24 14:17 -------- d-----w c:\program files\QuickTime 2009-03-24 13:55 . 2009-03-24 13:55 1 ----a-w c:\documents and settings\iPhone\Dane aplikacji\OpenOffice.org2\user\uno_packages\cache\stamp.sys 2009-03-24 13:48 . 2009-03-24 13:48 -------- d-----w c:\program files\Max Soft 2009-03-17 18:26 . 2009-03-17 18:26 45728 ----a-w c:\documents and settings\iPhone\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT 2009-03-12 19:18 . 2009-03-12 19:18 75048 ----a-w c:\documents and settings\All Users\Dane aplikacji\Apple Computer\Installer Cache\iTunes 8.1.0.52\SetupAdmin.exe 2009-03-11 07:49 . 2009-03-09 19:55 334912 ----a-w c:\documents and settings\Bartosz\Dane aplikacji\id Software\quakelive\home\baseq3\cgamex86.dll 2009-03-11 07:49 . 2009-03-09 19:55 171072 ----a-w c:\documents and settings\Bartosz\Dane aplikacji\id Software\quakelive\home\baseq3\uix86.dll 2009-03-11 07:48 . 2009-03-09 19:55 866235 ----a-w c:\documents and settings\Bartosz\Dane aplikacji\id Software\quakelive\home\pb\pbcl.dll 2009-03-11 07:48 . 2009-03-09 19:55 57344 ----a-w c:\documents and settings\Bartosz\Dane aplikacji\id Software\quakelive\home\pb\pbag.dll 2009-03-11 07:48 . 2009-03-09 19:55 479232 ----a-w c:\documents and settings\Bartosz\Dane aplikacji\id Software\quakelive\home\pb\pbsv.dll 2009-03-11 07:48 . 2009-03-09 19:55 2669632 ----a-w c:\documents and settings\Bartosz\Dane aplikacji\id Software\quakelive\home\baseq3\quakelive.dll . ------- Sigcheck ------- [-] 2004-08-03 23:44 1224704 A09E5271D2737CA1B5AA98A1F68D4BE5 c:\windows\explorer.exe [-] 2004-08-03 23:44 1224704 A09E5271D2737CA1B5AA98A1F68D4BE5 c:\windows\icon_TMP\explorer.exe [-] 2004-08-03 23:44 1224704 A09E5271D2737CA1B5AA98A1F68D4BE5 c:\windows\system32\dllcache\explorer.exe [7] 2004-08-03 23:44 1033728 379098A96E6C165B659DE7E4328010EA c:\windows\system_backup\explorer.exe [-] 2008-01-19 13:51 1548288 9F660B0A60A10859F17D46EAF180AC35 c:\windows\system32\sfcfiles.dll . ((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “Skype”=“c:\program files\Skype\Phone\Skype.exe” [2009-04-16 24264488] “Catcher”=“c:\documents and settings\Pawel\Pulpit\Catcher.exe” [2009-03-24 1439744] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “WheelMouse”=“c:\program files\A4Tech\Mouse\Amoumain.exe” [2007-05-15 204800] “avast!”=“c:\program files\Alwil Software\Avast4\ashDisp.exe” [2009-02-05 81000] “ParetoLogic Anti-Virus PLUS”=“c:\program files\ParetoLogic\Anti-Virus PLUS\Pareto_AV.lnk” [2009-05-21 1974] [HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce] “nltide_3”=“advpack.dll” - c:\windows\system32\advpack.dll [2004-08-03 100864] c:\documents and settings\iPhone\Menu Start\Programy\Autostart\ OpenOffice.org 2.4.lnk - c:\program files\OpenOffice.org 2.4\program\quickstart.exe [2008-1-21 393216] c:\documents and settings\All Users\Menu Start\Programy\Autostart\ hpoddt01.exe.lnk - c:\program files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe [2003-4-6 28672] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] “SynchronousMachineGroupPolicy”= 0 (0x0) “SynchronousUserGroupPolicy”= 0 (0x0) [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer] “NoStrCmpLogical”= 1 (0x1) [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] “ForceClassicControlPanel”= 1 (0x1) [HKEY_USERS.default\software\microsoft\windows\currentversion\policies\explorer] “ForceClassicControlPanel”= 1 (0x1) [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys] @=“Driver” [HKLM~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^hp psc 1000 series.lnk] path=c:\documents and settings\All Users\Menu Start\Programy\Autostart\hp psc 1000 series.lnk backup=c:\windows\pss\hp psc 1000 series.lnkCommon Startup [HKLM~\startupfolder\C:^Documents and Settings^Bartosz^Menu Start^Programy^Autostart^OpenOffice.org 2.4.lnk] path=c:\documents and settings\Bartosz\Menu Start\Programy\Autostart\OpenOffice.org 2.4.lnk backup=c:\windows\pss\OpenOffice.org 2.4.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\security center] “AntiVirusDisableNotify”=dword:00000001 “UpdatesDisableNotify”=dword:00000001 [HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile] “EnableFirewall”= 0 (0x0) “DisableUnicastResponsesToMulticastBroadcast”= 0 (0x0) [HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] “%windir%\system32\sessmgr.exe”= “c:\Program Files\Orb Networks\Orb\bin\Orb.exe”= “c:\Program Files\Orb Networks\Orb\bin\OrbTray.exe”= “c:\Program Files\Orb Networks\Orb\bin\OrbStreamerClient.exe”= “c:\Program Files\uTorrent\uTorrent.exe”= “c:\Program Files\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe”= “c:\Nexon\NEXON_EU_Downloader\NEXON_EU_Downloader_Engine.exe”= “c:\Documents and Settings\All Users\Dane aplikacji\NexonEU\NGM\NGM.exe”= “c:\Program Files\BitTorrent\bittorrent.exe”= “c:\WINDOWS\system32\PnkBstrA.exe”= “c:\WINDOWS\system32\PnkBstrB.exe”= “c:\Program Files\Bonjour\mDNSResponder.exe”= “c:\Program Files\iTunes\iTunes.exe”= “c:\Program Files\A4Tech\Mouse\Amoumain.exe”= “c:\Program Files\DNA\btdna.exe”= “c:\Program Files\DAEMON Tools Lite\daemon.exe”= “f:\AQQ\AQQ.exe”= “c:\Program Files\Spybot - Search & Destroy\TeaTimer.exe”= “c:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe”= “c:\Program Files\RocketDock\RocketDock.exe”= “c:\Program Files\Mozilla Firefox 3.1 Beta 1\firefox.exe”= “c:\spybot.exe”= “c:\Program Files\Skype\Phone\Skype.exe”= [HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] “5353:TCP”= 5353:TCP:Adobe CSI CS4 R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2009-05-20 114768] R1 atitray;atitray;c:\program files\Radeon Omega Drivers\v3.8.205\ATI Tray Tools\atitray.sys [2005-11-14 10496] R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2009-05-20 20560] R2 ZeppelinService;plasservice;c:\program files\Common Files\ParetoLogic\PLAS\plasservice.exe [2009-02-18 587216] S3 nmwcdnsu;Nokia USB Flashing Phone Parent;c:\windows\system32\drivers\nmwcdnsu.sys [2008-12-30 138112] S3 nmwcdnsuc;Nokia USB Flashing Generic;c:\windows\system32\drivers\nmwcdnsuc.sys [2008-12-30 8320] — Inne Usługi/Sterowniki w Pamięci — *NewlyCreated* - ASWRDR *NewlyCreated* - AVAST!_MAIL_SCANNER *NewlyCreated* - AVAST!_WEB_SCANNER HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp . Zawartość folderu ‘Zaplanowane zadania’ 2009-05-08 c:\windows\Tasks\1-Click Maintenance.job - f:\pulpit\TuneUp Utilities 2007\SystemOptimizer.exe [2006-12-19 13:53] 2009-05-21 c:\windows\Tasks\ParetoLogic Anti-Virus PLUS.job - c:\program files\ParetoLogic\Anti-Virus PLUS\Pareto_AV.exe [2009-02-18 11:43] 2009-05-21 c:\windows\Tasks\ParetoLogic Anti-Virus PLUS_dbsummary.job - c:\program files\ParetoLogic\Anti-Virus PLUS\Pareto_AV.exe [2009-02-18 11:43] 2009-05-21 c:\windows\Tasks\ParetoLogic Registration.job - c:\program files\Common Files\ParetoLogic\UUS2\UUS.dll [2008-02-22 09:25] 2009-05-21 c:\windows\Tasks\ParetoLogic Update Version2.job - c:\program files\Common Files\ParetoLogic\UUS2\Pareto_Update.exe [2008-02-22 09:25] . . ------- Skan uzupełniający ------- . uInternet Settings,ProxyOverride = *.local LSP: c:\windows\system32\INetHTTPFilter.dll FF - ProfilePath - c:\documents and settings\Pawel\Dane aplikacji\Mozilla\Firefox\Profiles\9pnye9lb.default\ FF - component: c:\program files\DAEMON Tools Toolbar\FirefoxDTT\components\DTToolbarFF.dll FF - component: c:\program files\Mozilla Firefox 3.1 Beta 1\extensions{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll FF - plugin: c:\documents and settings\All Users\Dane aplikacji\id Software\QuakeLive\npquakezero.dll FF - plugin: c:\documents and settings\All Users\Dane aplikacji\NexonEU\NGM\npNxGameeu.dll FF - plugin: c:\program files\Mozilla Firefox 3.1 Beta 1\plugins\npbittorrent.dll FF - plugin: c:\program files\Mozilla Firefox 3.1 Beta 1\plugins\npyaxmpb.dll ---- FIREFOX - SPOSÓB POSTĘPOWANIA ---- c:\program files\Mozilla Firefox 3.1 Beta 1\greprefs\all.js - pref(“media.enforce_same_site_origin”, false); c:\program files\Mozilla Firefox 3.1 Beta 1\greprefs\all.js - pref(“media.cache_size”, 51200); c:\program files\Mozilla Firefox 3.1 Beta 1\greprefs\all.js - pref(“media.ogg.enabled”, true); c:\program files\Mozilla Firefox 3.1 Beta 1\greprefs\all.js - pref(“media.wave.enabled”, true); c:\program files\Mozilla Firefox 3.1 Beta 1\greprefs\all.js - pref(“media.autoplay.enabled”, true); c:\program files\Mozilla Firefox 3.1 Beta 1\greprefs\all.js - pref(“browser.urlbar.autocomplete.enabled”, true); c:\program files\Mozilla Firefox 3.1 Beta 1\greprefs\all.js - pref(“capability.policy.mailnews.*.wholeText”, “noAccess”); c:\program files\Mozilla Firefox 3.1 Beta 1\greprefs\all.js - pref(“dom.storage.default_quota”, 5120); c:\program files\Mozilla Firefox 3.1 Beta 1\greprefs\all.js - pref(“network.http.prompt-temp-redirect”, true); c:\program files\Mozilla Firefox 3.1 Beta 1\greprefs\all.js - pref(“gestures.enable_single_finger_input”, true); c:\program files\Mozilla Firefox 3.1 Beta 1\greprefs\all.js - pref(“network.tcp.sendbuffer”, 131072); c:\program files\Mozilla Firefox 3.1 Beta 1\defaults\pref\firefox.js - pref(“extensions.blocklist.level”, 2); c:\program files\Mozilla Firefox 3.1 Beta 1\defaults\pref\firefox.js - pref(“browser.urlbar.restrict.typed”, “~”); c:\program files\Mozilla Firefox 3.1 Beta 1\defaults\pref\firefox.js - pref(“browser.urlbar.default.behavior”, 0); c:\program files\Mozilla Firefox 3.1 Beta 1\defaults\pref\firefox.js - pref(“browser.ssl_override_behavior”, 2); c:\program files\Mozilla Firefox 3.1 Beta 1\defaults\pref\firefox.js - pref(“security.alternate_certificate_error_page”, “certerror”); c:\program files\Mozilla Firefox 3.1 Beta 1\defaults\pref\firefox.js - pref(“browser.privatebrowsing.autostart”, false); c:\program files\Mozilla Firefox 3.1 Beta 1\defaults\pref\firefox.js - pref(“browser.privatebrowsing.dont_prompt_on_enter”, false); c:\program files\Mozilla Firefox 3.1 Beta 1\defaults\pref\firefox.js - pref(“geo.wifi.uri”, “https://www.google.com/loc/json ”); . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-05-22 14:00 Windows 5.1.2600 Dodatek Service Pack 2 NTFS skanowanie ukrytych procesów … skanowanie ukrytych wpisów autostartu … skanowanie ukrytych plików … skanowanie pomyślnie ukończone ukryte pliki: 0 ************************************************************************** . --------------------- Pliki DLL ładowane pod uruchomionymi procesami --------------------- - - - - - - - > ‘winlogon.exe’(708) c:\windows\system32\Ati2evxx.dll - - - - - - - > ‘explorer.exe’(1620) c:\program files\Common Files\Corel\Shared\Shell Extension\FileInfoProvider.dll c:\windows\system32\stobject.dll . ------------------------ Pozostałe uruchomione procesy ------------------------ . c:\program files\Lavasoft\Ad-Aware\aawservice.exe c:\program files\Alwil Software\Avast4\aswUpdSv.exe c:\program files\Alwil Software\Avast4\ashServ.exe c:\program files\Java\jre6\bin\jqs.exe c:\program files\Skype\Phone\Skype.exe c:\program files\Common Files\Protexis\License Service\PsiService_2.exe c:\windows\system32\wdfmgr.exe c:\program files\Alwil Software\Avast4\ashMaiSv.exe c:\program files\Alwil Software\Avast4\ashWebSv.exe c:\program files\Alwil Software\Avast4\Setup\avast.setup c:\program files\Skype\Plugin Manager\skypePM.exe . ************************************************************************** . Czas ukończenia: 2009-05-22 14:03 - komputer został uruchomiony ponownie ComboFix-quarantined-files.txt 2009-05-22 11:03 Przed: 5 525 917 696 bajtów wolnych Po: 5 730 516 992 bajtów wolnych WindowsXP-KB310994-SP2-Pro-BootDisk-PLK.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT=“Microsoft Windows Recovery Console” /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS=“Microsoft Windows XP Professional” /noexecute=optin /fastdetect C:\chain0=“Mac OS Tiger” 348
Oraz log z HiJackThis
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14:46:04, on 2009-05-22 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\Explorer.EXE C:\Program Files\A4Tech\Mouse\Amoumain.exe C:\Program Files\Alwil Software\Avast4\ashDisp.exe C:\Program Files\Skype\Phone\Skype.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\Program Files\Java\jre6\bin\jqs.exe C:\Program Files\Skype\Plugin Manager\skypePM.exe c:\Program Files\Common Files\Protexis\License Service\PsiService_2.exe C:\Program Files\Common Files\ParetoLogic\PLAS\plasservice.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Alwil Software\Avast4\setup\avast.setup C:\Program Files\HijackThis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll O4 - HKLM…\Run: [WheelMouse] C:\Program Files\A4Tech\Mouse\Amoumain.exe O4 - HKLM…\Run: [avast!] “C:\Program Files\Alwil Software\Avast4\ashDisp.exe” O4 - HKLM…\Run: [ParetoLogic Anti-Virus PLUS] “C:\Program Files\ParetoLogic\Anti-Virus PLUS\Pareto_AV.lnk” -NM -hidesplash O4 - HKCU…\Run: [skype] “C:\Program Files\Skype\Phone\Skype.exe” /nosplash /minimized O4 - HKCU…\Run: [Catcher] C:\Documents and Settings\Pawel\Pulpit\Catcher.exe O4 - HKUS\S-1-5-18…\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,4,N (User ‘SYSTEM’) O4 - HKUS.DEFAULT…\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,4,N (User ‘Default user’) O4 - Global Startup: hpoddt01.exe.lnk = ? O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll O9 - Extra ‘Tools’ menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\inethttpfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\inethttpfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\inethttpfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\inethttpfilter.dll O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: Usługa iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - c:\Program Files\Common Files\Protexis\License Service\PsiService_2.exe O23 - Service: plasservice (ZeppelinService) - ParetoLogic Inc. - C:\Program Files\Common Files\ParetoLogic\PLAS\plasservice.exe – End of file - 4952 bytes
Agaton
(Agatonster)
22 Maj 2009 16:12
#2
DemoniQs ,
Proszę zapoznać się z tematem Ważny komunikat dotyczący tytułowania tematów i poprawić tytuł na konkretny, mówiący o problemie. W celu dokonania zaleconej korekty proszę użyć przycisku Edytuj przy poście otwierającym ten temat.
W związku ze zmianą, jaka obowiązuje przy wklejaniu logów na forum - przeczytaj i zastosuj się do Tematu
Zignorowanie zalecenia będzie skutkowało usunięciem tematu do Kosza.
DemoniQs
(Demoniqs1616)
22 Maj 2009 16:20
#4
Niestety zafixowac nie chcialo, wedlug rady usunalem w LSPFix.
Czy reszta jest czysta? Bo cos mi sie wydaje ze tego wiecej bylo
jasio96
(96jasio96)
22 Maj 2009 16:25
#5
Tak jest czysta . Wykonaj skan w HijackThis , i zobacz czy wpisy zniknęły .
system
(system)
22 Maj 2009 20:38
#6
W dniu 2009-05-21 o godz. 11:24 DemoniQs instaluje program ParetoLogic Anti-Virus PLUS, a następnego dnia otrzymuje na tym forum polecenie:
jasio96:
Sfiksuj w HijackThis
które ma za zadanie usunięcia prawidłowego wpisu z łańcucha Winsock wprowadzonego przez ParetoLogic Anti-Virus PLUS. Mało tego, zalecana metoda usunięci tego wpisu to:
całe szczęście, że ze względów bezpieczeństwa HijackThis nie potrafi naprawić wpisów typu Unknown file in Winsock LSP. DemoniQs jednak za pomocą narzędzia LSPFix usuwa te wpisy, co w rezultacie doprowadzi do nieprawidłowego działania tego programu.
Uważam, że umieszczanie tego typu “rad” szczególnie w tym dziale jest wybitnie szkodliwe i w skrajnych przypadkach może doprowadzić do poważnego uszkodzenia systemu użytkowników.
Inna sprawa to obecność 2 AV w sytemie i jeden trzeba odinstalować.
Jeżeli używasz Przywracania systemu, to wyłącz go na wszystkich dyskach, a następnie włącz.
Pobierz narzędzie OTMoveIt3 (zapisz go na C) i użyj funkcji CleanUp (program musi mieć dostęp do internetu).
Następnie przeskanuj system za pomocą SUPERAntiSpyware .