Komp wolno działa. Infekcja plików wykonalnych


(Jakub0602) #1

Od pewnego czasu (nie wiem dokładnie od kiedy, ale chyba jakiś plik sciągałem) mojego kompa szlag trafia. :shock:

Czy ktoś mógłby mi pomóc??

Jak karta sieciowa jest wyłączona to jest nawet ok ale jak włacze neta to się wyrabiają cuda na kiju...

Objawy:

  • wiele programów nie działa ( niektóre piszą coś o zainfekowanym pliku wykonalnym)

  • pc "konsumuje" 100 MB więcej RAM'u niż normalnie

  • internet się ciągle zawiesza i ledwo co łączy

  • w menadżerze zadań jest o wiele za dużo procesów "svchost.exe"

  • antywirus coś próbował usunąć ale mu nie wyszło

  • były problemy z takimi plikami jak : reader_s / vrt1.tmp / services.exe / wuaulct.exe

Wklejam też logi z Hijackthis:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 16:22:13, on 2009-03-22

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Unable to get Internet Explorer version!

Boot mode: Normal

Running processes:

C:\INSTAL\System32\smss.exe

C:\INSTAL\system32\winlogon.exe

C:\INSTAL\system32\services.exe

C:\INSTAL\system32\lsass.exe

C:\INSTAL\system32\svchost.exe

C:\INSTAL\System32\svchost.exe

C:\INSTAL\system32\spoolsv.exe

C:\INSTAL\system32\acs.exe

C:\INSTAL\Explorer.EXE

C:\INSTAL\System32\svchost.exe

C:\INSTAL\System32\svchost.exe

C:\INSTAL\System32\svchost.exe

C:\INSTAL\TEMP\BN1.tmp

C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe

C:\INSTAL\system32\svchost.exe

C:\INSTAL\system32\nvsvc32.exe

C:\INSTAL\system32\oodag.exe

C:\INSTAL\system32\svchost.exe

C:\Program Files\TP-LINK\TWCU\TWCU.exe

C:\PROGRA~1\AVG\AVG8\avgtray.exe

C:\PROGRA~1\AVG\AVG8\avgrsx.exe

C:\INSTAL\system32\svchost.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

C:\INSTAL\system32\cmd.exe

C:\INSTAL\system32\wuauclt.exe

C:\Program Files\AVG\AVG8\avgcsrvx.exe

C:\INSTAL\System32\svchost.exe

F2 - REG:system.ini: UserInit=C:\INSTAL\system32\userinit.exe,C:\INSTAL\system32\hhupd.exe,

O4 - HKLM..\Run: [TWCU] "C:\Program Files\TP-LINK\TWCU\TWCU.exe" -nogui

O4 - HKLM..\Run: [NvCplDaemon] RUNDLL32.EXE C:\INSTAL\system32\NvCpl.dll,NvStartup

O4 - HKLM..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe

O4 - HKCU..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun

O4 - HKUS\S-1-5-21-839522115-1897051121-2146875587-1003..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun (User '?')

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll

O20 - Winlogon Notify: avgrsstarter - C:\INSTAL\SYSTEM32\avgrsstx.dll

O23 - Service: TP-LINK Configuration Service (ACS) - Unknown owner - C:\INSTAL\system32\acs.exe

O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\INSTAL\system32\nvsvc32.exe

O23 - Service: O&O Defrag - O&O Software GmbH - C:\INSTAL\system32\oodag.exe

O24 - Desktop Component 0: (no name) - (no file)

--

End of file - 2479 bytes

StartupList report, 2009-03-22, 16:17:18

StartupList version: 1.52.2

Started from : C:\Program Files\Trend Micro\HijackThis\HijackThis.EXE

Detected: Windows XP Dodatek SP2 (WinNT 5.01.2600)

Detected: Unable to get Internet Explorer version!

* Using default options

* Including empty and uninteresting sections

* Showing rarely important sections

==================================================

Running processes:

C:\INSTAL\System32\smss.exe

C:\INSTAL\system32\winlogon.exe

C:\INSTAL\system32\services.exe

C:\INSTAL\system32\lsass.exe

C:\INSTAL\system32\svchost.exe

C:\INSTAL\System32\svchost.exe

C:\INSTAL\system32\spoolsv.exe

C:\INSTAL\Explorer.EXE

C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe

C:\INSTAL\system32\nvsvc32.exe

C:\INSTAL\system32\svchost.exe

C:\PROGRA~1\AVG\AVG8\avgrsx.exe

C:\INSTAL\system32\svchost.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe


Listing of startup folders:

Shell folders Startup:

[C]

*No files*

Shell folders AltStartup:

*Folder not found*

User shell folders Startup:

*Folder not found*

User shell folders AltStartup:

*Folder not found*

Shell folders Common Startup:

[C]

*No files*

Shell folders Common AltStartup:

*Folder not found*

User shell folders Common Startup:

*Folder not found*

User shell folders Alternate Common Startup:

*Folder not found*


Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]

UserInit = C:\INSTAL\system32\userinit.exe,C:\INSTAL\system32\hhupd.exe,

[HKLM\Software\Microsoft\Windows\CurrentVersion\Winlogon]

*Registry key not found*

[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]

*Registry value not found*

[HKCU\Software\Microsoft\Windows\CurrentVersion\Winlogon]

*Registry key not found*


Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

TWCU = "C:\Program Files\TP-LINK\TWCU\TWCU.exe" -nogui

NvCplDaemon = RUNDLL32.EXE C:\INSTAL\system32\NvCpl.dll,NvStartup

AVG8_TRAY = C:\PROGRA~1\AVG\AVG8\avgtray.exe


Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce

*No values found*


Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx

*No values found*


Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

*No values found*


Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

*No values found*


Autorun entries from Registry:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

DAEMON Tools Lite = "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun


Autorun entries from Registry:

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce

*No values found*


Autorun entries from Registry:

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx

*Registry key not found*


Autorun entries from Registry:

HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices

*No values found*


Autorun entries from Registry:

HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

*No values found*


Autorun entries from Registry:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Run

*Registry key not found*


Autorun entries from Registry:

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Run

*Registry key not found*


Autorun entries in Registry subkeys of:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

[AutorunsDisabled]

NvCplDaemon = RUNDLL32.EXE C:\INSTAL\system32\NvCpl.dll,NvStartup

NvMediaCenter = RUNDLL32.EXE C:\INSTAL\system32\NvMcTray.dll,NvTaskbarInit

nwiz = nwiz.exe /install


Autorun entries in Registry subkeys of:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce

*No subkeys found*


Autorun entries in Registry subkeys of:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx

*No subkeys found*


Autorun entries in Registry subkeys of:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

*No subkeys found*


Autorun entries in Registry subkeys of:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

*No subkeys found*


Autorun entries in Registry subkeys of:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

[AutorunsDisabled]

winlogon = C:\Documents and Settings\RodzinaCięszczyk\svchost.exe


Autorun entries in Registry subkeys of:

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce

*No subkeys found*


Autorun entries in Registry subkeys of:

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx

*Registry key not found*


Autorun entries in Registry subkeys of:

HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices

*No subkeys found*


Autorun entries in Registry subkeys of:

HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

*No subkeys found*


Autorun entries in Registry subkeys of:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Run

*Registry key not found*


Autorun entries in Registry subkeys of:

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Run

*Registry key not found*


File association entry for .EXE:

HKEY_CLASSES_ROOT\exefile\shell\open\command

(Default) = "%1" %*


File association entry for .COM:

HKEY_CLASSES_ROOT\ComFile\shell\open\command

(Default) = "%1" %*


File association entry for .BAT:

HKEY_CLASSES_ROOT\batfile\shell\open\command

(Default) = "%1" %*


File association entry for .PIF:

HKEY_CLASSES_ROOT\piffile\shell\open\command

(Default) = "%1" %*


File association entry for .SCR:

HKEY_CLASSES_ROOT\scrfile\shell\open\command

(Default) = "%1" /S


File association entry for .HTA:

HKEY_CLASSES_ROOT\htafile\shell\open\command

(Default) = C:\INSTAL\system32\mshta.exe "%1" %*


File association entry for .TXT:

HKEY_CLASSES_ROOT\txtfile\shell\open\command

(Default) = %SystemRoot%\system32\NOTEPAD.EXE %1


Enumerating Active Setup stub paths:

HKLM\Software\Microsoft\Active Setup\Installed Components

(* = disabled by HKCU twin)

[>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}] *

StubPath = C:\INSTAL\inf\unregmp2.exe /HideWMP

[{22d6f312-b0f6-11d0-94ab-0080c74c7e95}] *

StubPath = rundll32.exe advpack.dll,LaunchINFSection C:\INSTAL\INF\mswmp.inf,PerUserStub

[{2C7339CF-2B09-4501-B3F3-F3508C9228ED}] *

StubPath = %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll

[{44BBA842-CC51-11CF-AAFA-00AA00B6015B}] *

StubPath = rundll32.exe advpack.dll,LaunchINFSection C:\INSTAL\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT

[{6BF52A52-394A-11d3-B153-00C04F79FAA6}] *

StubPath = rundll32.exe advpack.dll,LaunchINFSection C:\INSTAL\INF\wmp.inf,PerUserStub

[{89820200-ECBD-11cf-8B85-00AA005B4340}] *

StubPath = regsvr32.exe /s /n /i:U shell32.dll

[{89B4C1CD-B018-4511-B0A1-5476DBF70820}] *

StubPath = C:\INSTAL\system32\Rundll32.exe C:\INSTAL\system32\mscories.dll,Install


Enumerating ICQ Agent Autostart apps:

HKCU\Software\Mirabilis\ICQ\Agent\Apps

*Registry key not found*


Load/Run keys from C:\INSTAL\WIN.INI:

load=*INI file not found*

run=*INI file not found*

Load/Run keys from Registry:

HKLM..\Windows NT\CurrentVersion\WinLogon: load=*Registry value not found*

HKLM..\Windows NT\CurrentVersion\WinLogon: run=*Registry value not found*

HKLM..\Windows\CurrentVersion\WinLogon: load=*Registry key not found*

HKLM..\Windows\CurrentVersion\WinLogon: run=*Registry key not found*

HKCU..\Windows NT\CurrentVersion\WinLogon: load=*Registry value not found*

HKCU..\Windows NT\CurrentVersion\WinLogon: run=*Registry value not found*

HKCU..\Windows\CurrentVersion\WinLogon: load=*Registry key not found*

HKCU..\Windows\CurrentVersion\WinLogon: run=*Registry key not found*

HKCU..\Windows NT\CurrentVersion\Windows: load=*Registry value not found*

HKCU..\Windows NT\CurrentVersion\Windows: run=*Registry value not found*

HKLM..\Windows NT\CurrentVersion\Windows: load=*Registry value not found*

HKLM..\Windows NT\CurrentVersion\Windows: run=*Registry value not found*

HKLM..\Windows NT\CurrentVersion\Windows: AppInit_DLLs=*Registry value not found*


Shell & screensaver key from C:\INSTAL\SYSTEM.INI:

Shell=*INI section not found*

SCRNSAVE.EXE=*INI section not found*

drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe

SCRNSAVE.EXE=*Registry value not found*

drivers=*Registry value not found*

Policies Shell key:

HKCU..\Policies: Shell=*Registry value not found*

HKLM..\Policies: Shell=*Registry value not found*


Checking for EXPLORER.EXE instances:

C:\INSTAL\Explorer.exe: PRESENT!

C:\Explorer.exe: not present

C:\INSTAL\Explorer\Explorer.exe: not present

C:\INSTAL\System\Explorer.exe: not present

C:\INSTAL\System32\Explorer.exe: not present

C:\INSTAL\Command\Explorer.exe: not present

C:\INSTAL\Fonts\Explorer.exe: not present


Checking for superhidden extensions:

.lnk: HIDDEN! (arrow overlay: yes)

.pif: HIDDEN! (arrow overlay: yes)

.exe: not hidden

.com: not hidden

.bat: not hidden

.hta: not hidden

.scr: not hidden

.shs: HIDDEN!

.shb: HIDDEN!

.vbs: not hidden

.vbe: not hidden

.wsh: not hidden

.scf: HIDDEN! (arrow overlay: NO!)

.url: HIDDEN! (arrow overlay: yes)

.js: not hidden

.jse: not hidden


Verifying REGEDIT.EXE integrity:

  • Regedit.exe is MISSING!

  • .reg open command is normal (regedit.exe %1)

  • Company name OK: 'Microsoft Corporation'

  • Original filename OK: 'REGEDIT.EXE'

  • File description: 'Edytor rejestru'

Registry check failed!


Enumerating Browser Helper Objects:

*No BHO's found*


Enumerating Task Scheduler jobs:

*No jobs found*


Enumerating Download Program Files:

[Java Plug-in 1.6.0_07]

InProcServer32 = C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

CODEBASE = http://java.sun.com/update/1.6.0/jinsta ... s-i586.cab

[Java Plug-in 1.6.0_07]

InProcServer32 = C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

CODEBASE = http://java.sun.com/update/1.6.0/jinsta ... s-i586.cab

[Java Plug-in 1.6.0_07]

InProcServer32 = C:\Program Files\Java\jre1.6.0_07\bin\npjpi160_07.dll

CODEBASE = http://java.sun.com/update/1.6.0/jinsta ... s-i586.cab


Enumerating Winsock LSP files:

NameSpace #1: C:\INSTAL\System32\mswsock.dll

NameSpace #2: C:\INSTAL\System32\winrnr.dll

NameSpace #3: C:\INSTAL\System32\mswsock.dll

Protocol #1: C:\INSTAL\system32\mswsock.dll

Protocol #2: C:\INSTAL\system32\mswsock.dll

Protocol #3: C:\INSTAL\system32\mswsock.dll

Protocol #4: C:\INSTAL\system32\rsvpsp.dll

Protocol #5: C:\INSTAL\system32\rsvpsp.dll

Protocol #6: C:\INSTAL\system32\mswsock.dll

Protocol #7: C:\INSTAL\system32\mswsock.dll

Protocol #8: C:\INSTAL\system32\mswsock.dll

Protocol #9: C:\INSTAL\system32\mswsock.dll

Protocol #10: C:\INSTAL\system32\mswsock.dll

Protocol #11: C:\INSTAL\system32\mswsock.dll

Protocol #12: C:\INSTAL\system32\mswsock.dll

Protocol #13: C:\INSTAL\system32\mswsock.dll

Protocol #14: C:\INSTAL\system32\mswsock.dll

Protocol #15: C:\INSTAL\system32\mswsock.dll

Protocol #16: C:\INSTAL\system32\mswsock.dll

Protocol #17: C:\INSTAL\system32\mswsock.dll

Protocol #18: C:\INSTAL\system32\mswsock.dll

Protocol #19: C:\INSTAL\system32\mswsock.dll


Enumerating Windows NT/2000/XP services

Sterownik Microsoft ACPI: system32\DRIVERS\ACPI.sys (system)

TP-LINK Configuration Service: C:\INSTAL\system32\acs.exe (autostart)

Microsoft Kernel Acoustic Echo Canceller: system32\drivers\aec.sys (manual start)

AEGIS Protocol (IEEE 802.1x) v3.4.10.0: system32\DRIVERS\AegisP.sys (autostart)

AFD: \SystemRoot\System32\drivers\afd.sys (system)

Urządzenie alarmowe: %SystemRoot%\system32\svchost.exe -k LocalService (autostart)

Usługa bramy warstwy aplikacji: %SystemRoot%\System32\alg.exe (manual start)

Sterownik procesora AMD K7: system32\DRIVERS\amdk7.sys (system)

Zarządzanie aplikacjami: %SystemRoot%\system32\svchost.exe -k netsvcs (manual start)

TP-LINK Wireless Network Adapter Service: system32\DRIVERS\ar5211.sys (manual start)

ASP.NET State Service: %SystemRoot%\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (manual start)

Sterownik multimediów asynchronicznych RAS: system32\DRIVERS\asyncmac.sys (manual start)

Standardowy kontroler dysku twardego IDE/ESDI: system32\DRIVERS\atapi.sys (system)

ati7kmxx: System32\Drivers\ati7kmxx.sys (system)

atksgt: system32\DRIVERS\atksgt.sys (autostart)

Protokół klienta ARP ATM: system32\DRIVERS\atmarpc.sys (manual start)

Windows Audio: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)

Sterownik Audio Stub: system32\DRIVERS\audstub.sys (manual start)

AVG8 WatchDog: C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe (autostart)

AVG AVI Loader Driver x86: \SystemRoot\System32\Drivers\avgldx86.sys (system)

AVG On-access Scanner Minifilter Driver x86: \SystemRoot\System32\Drivers\avgmfx86.sys (system)

bdftdif: \??\C:\Program Files\Common Files\BitDefender\BitDefender Firewall\bdftdif.sys (system)

BDVEDISK: \??\C:\Program Files\BitDefender\BitDefender 2009\BDVEDISK.sys (autostart)

Usługa inteligentnego transferu w tle: %SystemRoot%\system32\svchost.exe -k netsvcs (manual start)

Przeglądarka komputera: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)

catchme: \??\C:\ComboFix\catchme.sys (manual start)

Canon Camera Access Library 8: C:\Program Files\Canon\CAL\CALMAIN.exe (disabled)

Sterownik stacji dysków CD-ROM: system32\DRIVERS\cdrom.sys (system)

Usługa indeksowania: %SystemRoot%\system32\cisvc.exe (manual start)

ClipBook: %SystemRoot%\system32\clipsrv.exe (disabled)

.NET Runtime Optimization Service v2.0.50727_X86: C:\INSTAL\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe (manual start)

C-Media WDM Audio Interface: system32\drivers\cmuda.sys (manual start)

Aplikacja systemowa modelu COM+: C:\INSTAL\system32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235} (manual start)

Usługi kryptograficzne: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)

Program uruchamiający proces serwera DCOM: %SystemRoot%\system32\svchost -k DcomLaunch (autostart)

Klient DHCP: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)

Sterownik dysku: system32\DRIVERS\disk.sys (system)

Usługa administracyjna Menedżera dysków logicznych: %SystemRoot%\System32\dmadmin.exe /com (manual start)

dmboot: System32\drivers\dmboot.sys (disabled)

Sterownik Menedżera dysków logicznych: System32\drivers\dmio.sys (system)

dmload: System32\drivers\dmload.sys (system)

Menedżer dysków logicznych: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)

Syntezator Microsoft Kernel DLS: system32\drivers\DMusic.sys (manual start)

Klient DNS: %SystemRoot%\system32\svchost.exe -k NetworkService (autostart)

Microsoft Kernel DRM Audio Descrambler: system32\drivers\drmkaud.sys (manual start)

dtscsi: \SystemRoot\System32\Drivers\dtscsi.sys (disabled)

Usługa raportowania błędów: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)

ethytpre: system32\drivers\ethytpre.sys (system)

Dziennik zdarzeń: %SystemRoot%\system32\services.exe (autostart)

System zdarzeń COM+: C:\INSTAL\system32\svchost.exe -k netsvcs (manual start)

Zgodność szybkiego przełączania użytkowników: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)

Sterownik kontrolera stacji dyskietek: system32\DRIVERS\fdc.sys (manual start)

Sterownik NT karty VIA PCI 10/100Mb Fast Ethernet: system32\DRIVERS\fetnd5.sys (manual start)

Sterownik stacji dyskietek: system32\DRIVERS\flpydisk.sys (manual start)

FltMgr: system32\DRIVERS\fltMgr.sys (system)

Sterownik Menedżera woluminów: system32\DRIVERS\ftdisk.sys (system)

giveio: system32\giveio.sys (system)

Rodzajowy klasyfikator pakietu: system32\DRIVERS\msgpc.sys (manual start)

Hamachi Network Interface: system32\DRIVERS\hamachi.sys (manual start)

Pomoc i obsługa techniczna: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)

Dostęp do urządzeń interfejsu HID: %SystemRoot%\System32\svchost.exe -k netsvcs (disabled)

Sterownik Microsoft klasy HID: system32\DRIVERS\hidusb.sys (manual start)

hpqcxs08: %SystemRoot%\system32\svchost.exe -k hpdevmgmt (manual start)

Usługa HP CUE DeviceDiscovery: %SystemRoot%\system32\svchost.exe -k hpdevmgmt (autostart)

IEEE-1284.4 Driver HPZid412: system32\DRIVERS\HPZid412.sys (manual start)

Print Class Driver for IEEE-1284.4 HPZipr12: system32\DRIVERS\HPZipr12.sys (manual start)

USB to IEEE-1284.4 Translation Driver HPZius12: system32\DRIVERS\HPZius12.sys (manual start)

HTTP: System32\Drivers\HTTP.sys (manual start)

HTTP SSL: %SystemRoot%\System32\svchost.exe -k HTTPFilter (manual start)

Sterownik portu klawiatury i8042 i myszy PS/2: system32\DRIVERS\i8042prt.sys (system)

InstallDriver Table Manager: "C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe" (manual start)

Sterownik filtru nagrywania dysków CD: system32\DRIVERS\imapi.sys (system)

Usługa COM nagrywania dysków CD IMAPI: %systemroot%\system32\imapi.exe (manual start)

InCD File System: system32\drivers\InCDFs.sys (disabled)

InCDPass: system32\drivers\InCDPass.sys (disabled)

InCD Reader: system32\drivers\InCDRm.sys (disabled)

Sterownik Zapory systemu Windows IPv6: system32\DRIVERS\Ip6Fw.sys (disabled)

Sterownik filtru ruchu IP: system32\DRIVERS\ipfltdrv.sys (manual start)

Sterownik IP w tunelu IP: system32\DRIVERS\ipinip.sys (manual start)

Translator adresów sieciowych IP: system32\DRIVERS\ipnat.sys (manual start)

Sterownik IPSEC: system32\DRIVERS\ipsec.sys (system)

Usługa wyliczania IR: system32\DRIVERS\irenum.sys (manual start)

Sterownik PnP magistrali ISA/EISA: system32\DRIVERS\isapnp.sys (system)

jzviqotoubtugq: \??\C:\INSTAL\system32\drivers\jzbgiloiqfcuegb.sys (autostart)

Sterownik klasy klawiatury: system32\DRIVERS\kbdclass.sys (system)

kbeepm: \??\C:\DOCUME~1\RODZIN~1\USTAWI~1\Temp\kbeepm.sys (disabled)

Microsoft Kernel Wave Audio Mixer: system32\drivers\kmixer.sys (manual start)

Serwer: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)

Stacja robocza: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)

lirsgt: system32\DRIVERS\lirsgt.sys (autostart)

Pomoc TCP/IP NetBIOS: %SystemRoot%\system32\svchost.exe -k LocalService (autostart)

Posłaniec: %SystemRoot%\system32\svchost.exe -k netsvcs (disabled)

NetMeeting Remote Desktop Sharing: C:\INSTAL\system32\mnmsrvc.exe (manual start)

Sterownik klasy myszy: system32\DRIVERS\mouclass.sys (system)

mpxpohrhyphvli: \??\C:\INSTAL\system32\drivers\umpraxxmrc.sys (autostart)

Readresator klienta WebDav: system32\DRIVERS\mrxdav.sys (manual start)

MRXSMB: system32\DRIVERS\mrxsmb.sys (system)

Distributed Transaction Coordinator: C:\INSTAL\system32\msdtc.exe (manual start)

Instalator Windows: %systemroot%\system32\msiexec.exe /V (manual start)

Serwer proxy usługi Microsoft Streaming: system32\drivers\MSKSSRV.sys (manual start)

Serwer proxy zegara Microsoft Streaming: system32\drivers\MSPCLOCK.sys (manual start)

Serwer proxy menedżera jakości Microsoft Streaming: system32\drivers\MSPQM.sys (manual start)

Sterownik BIOS zarządzania systemem firmy Microsoft: system32\DRIVERS\mssmbios.sys (manual start)

Sterownik usługi Dostęp zdalny NDIS TAPI: system32\DRIVERS\ndistapi.sys (manual start)

Protokół We/Wy trybu użytkownika NDIS: system32\DRIVERS\ndisuio.sys (manual start)

Sterownik usługi Dostęp zdalny NDIS WAN: system32\DRIVERS\ndiswan.sys (manual start)

Interfejs NetBIOS: system32\DRIVERS\netbios.sys (system)

NetBios przez TCP/IP: system32\DRIVERS\netbt.sys (manual start)

DDE sieci: %SystemRoot%\system32\netdde.exe (disabled)

DSDM DDE sieci: %SystemRoot%\system32\netdde.exe (disabled)

Logowanie do sieci: %SystemRoot%\system32\lsass.exe (manual start)

Połączenia sieciowe: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)

Rozpoznawanie lokalizacji w sieci (NLA): %SystemRoot%\system32\svchost.exe -k netsvcs (manual start)

Usługa NT LM Security Support Provider: %SystemRoot%\system32\lsass.exe (manual start)

Magazyn wymienny: %SystemRoot%\system32\svchost.exe -k netsvcs (manual start)

nv: system32\DRIVERS\nv4_mini.sys (manual start)

NVIDIA Display Driver Service: %SystemRoot%\system32\nvsvc32.exe (autostart)

Sterownik filtru ruchu IPX: system32\DRIVERS\nwlnkflt.sys (manual start)

Sterownik usług przesyłania dalej ruchu IPX: system32\DRIVERS\nwlnkfwd.sys (manual start)

O&O Defrag: C:\INSTAL\system32\oodag.exe (autostart)

Sterownik portu równoległego: system32\DRIVERS\parport.sys (manual start)

PCI Bus Driver: system32\DRIVERS\pci.sys (system)

Plug and Play: %SystemRoot%\system32\services.exe (autostart)

Pml Driver HPZ12: C:\INSTAL\System32\spool\DRIVERS\W32X86\3\HPZIPM12.EXE (disabled)

PnkBstrA: C:\INSTAL\system32\PnkBstrA.exe (disabled)

Usługi IPSEC: %SystemRoot%\system32\lsass.exe (autostart)

WAN Miniport (PPTP): system32\DRIVERS\raspptp.sys (manual start)

Profos: \??\C:\Program Files\Common Files\BitDefender\BitDefender Threat Scanner\profos.sys (manual start)

Magazyn chroniony: %SystemRoot%\system32\lsass.exe (autostart)

Harmonogram pakietów QoS: system32\DRIVERS\psched.sys (manual start)

Sterownik bezpośredniego połączenia kablowego: system32\DRIVERS\ptilink.sys (manual start)

PxHelp20: system32\DRIVERS\PxHelp20.sys (system)

pxvweihdfzkyi: \??\C:\INSTAL\system32\drivers\mdsgqdcjey.sys (autostart)

Sterownik automatycznego połączenia dostępu zdalnego: system32\DRIVERS\rasacd.sys (system)

Menedżer autopołączenia dostępu zdalnego: %SystemRoot%\system32\svchost.exe -k netsvcs (manual start)

WAN Miniport (L2TP): system32\DRIVERS\rasl2tp.sys (manual start)

Menedżer połączeń usługi Dostęp zdalny: %SystemRoot%\system32\svchost.exe -k netsvcs (manual start)

Sterownik usługi Dostęp zdalny PPPOE: system32\DRIVERS\raspppoe.sys (manual start)

Bezpośrednie połączenie kablowe: system32\DRIVERS\raspti.sys (manual start)

Rdbss: system32\DRIVERS\rdbss.sys (system)

RDPCDD: System32\DRIVERS\RDPCDD.sys (system)

Sterownik przekierowania urządzenia serwera terminali: system32\DRIVERS\rdpdr.sys (manual start)

Menedżer sesji pomocy pulpitu zdalnego: C:\INSTAL\system32\sessmgr.exe (manual start)

Sterownik filtru odtwarzania audio cyfrowych dysków CD: system32\DRIVERS\redbook.sys (system)

Routing i dostęp zdalny: %SystemRoot%\system32\svchost.exe -k netsvcs (disabled)

Rejestr zdalny: %SystemRoot%\system32\svchost.exe -k LocalService (autostart)

Lokalizator usługi zdalnego wywołania procedury (RPC): %SystemRoot%\system32\locator.exe (manual start)

Zdalne wywoływanie procedur (RPC): %SystemRoot%\system32\svchost -k rpcss (autostart)

QoS RSVP: %SystemRoot%\system32\rsvp.exe (manual start)

Menedżer kont zabezpieczeń: %SystemRoot%\system32\lsass.exe (autostart)

Karta inteligentna: %SystemRoot%\System32\SCardSvr.exe (manual start)

Harmonogram zadań: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)

Secdrv: system32\DRIVERS\secdrv.sys (manual start)

Logowanie pomocnicze: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)

Zawiadomienie o zdarzeniu systemowym: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)

Sterownik filtru Serenum: system32\DRIVERS\serenum.sys (manual start)

Sterownik portu szeregowego: system32\DRIVERS\serial.sys (system)

StarForce Protection Environment Driver (version 1.x): System32\drivers\sfdrv01.sys (system)

StarForce Protection Environment Driver (version 1.x.a): System32\drivers\sfdrv01a.sys (system)

StarForce Protection Helper Driver (version 2.x): System32\drivers\sfhlp02.sys (system)

StarForce Protection Synchronization Driver (version 2.x): System32\drivers\sfsync02.sys (system)

Zapora systemu Windows/Udostępnianie połączenia internetowego: %SystemRoot%\System32\svchost.exe -k netsvcs (disabled)

Wykrywanie sprzętu powłoki: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)

Microsoft Kernel Audio Splitter: system32\drivers\splitter.sys (manual start)

Bufor wydruku: %SystemRoot%\system32\spoolsv.exe (autostart)

sptd: System32\Drivers\sptd.sys (system)

Sterownik filtru Przywracania systemu: system32\DRIVERS\sr.sys (system)

Usługa przywracania systemu: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)

Srv: system32\DRIVERS\srv.sys (manual start)

Usługa odnajdywania SSDP: %SystemRoot%\system32\svchost.exe -k LocalService (manual start)

Windows Image Acquisition (WIA): %SystemRoot%\system32\svchost.exe -k imgsvc (autostart)

Sterownik magistrali programowej: system32\DRIVERS\swenum.sys (manual start)

Syntezator tablicy dźwięków WAVE Microsoft Kernel GS: system32\drivers\swmidi.sys (manual start)

MS Software Shadow Copy Provider: C:\INSTAL\system32\dllhost.exe /Processid:{34FAEC79-C62C-4573-92C0-2A7ECBD51DB6} (manual start)

Urządzenie audio Microsoft Kernel System: system32\drivers\sysaudio.sys (manual start)

Dzienniki wydajności i alerty: %SystemRoot%\system32\smlogsvc.exe (manual start)

Telefonia: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)

Sterownik protokołu TCP/IP: system32\DRIVERS\tcpip.sys (system)

Sterownik urządzenia terminalu: system32\DRIVERS\termdd.sys (system)

Usługi terminalowe: %SystemRoot%\System32\svchost -k DComLaunch (manual start)

Kompozycje: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)

Telnet: C:\INSTAL\system32\tlntsvr.exe (disabled)

Klient śledzenia łączy rozproszonych: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)

Trufos: \??\C:\Program Files\Common Files\BitDefender\BitDefender Threat Scanner\trufos.sys (manual start)

Filtr AGPv3.5 firmy Microsoft: system32\DRIVERS\uagp35.sys (system)

Sterownik Microcode Update: system32\DRIVERS\update.sys (manual start)

Host uniwersalnego urządzenia Plug and Play: %SystemRoot%\system32\svchost.exe -k LocalService (manual start)

Zasilacz awaryjny (UPS): %SystemRoot%\System32\ups.exe (manual start)

Rodzajowy sterownik nadrzędny USB Microsoft: system32\DRIVERS\usbccgp.sys (manual start)

Sterownik Miniport rozszerzonego kontrolera hosta USB 2.0 Microsoft: system32\DRIVERS\usbehci.sys (manual start)

Koncentrator z obsługą USB2: system32\DRIVERS\usbhub.sys (manual start)

Klasa PRINTER USB Microsoft: system32\DRIVERS\usbprint.sys (manual start)

Sterownik skanera USB: system32\DRIVERS\usbscan.sys (manual start)

Motorola USB Modem Driver: system32\DRIVERS\usbser.sys (manual start)

Motorola USB Modem Driver for MPT XP: system32\DRIVERS\usbsermptxp.sys (manual start)

Sterownik magazynu masowego USB: system32\DRIVERS\USBSTOR.SYS (manual start)

Sterownik Miniport uniwersalnego kontrolera hosta USB Microsoft: system32\DRIVERS\usbuhci.sys (manual start)

VgaSave: \SystemRoot\System32\drivers\vga.sys (system)

VIA AGP Filter: system32\DRIVERS\viaagp1.sys (system)

ViaIde: system32\DRIVERS\viaide.sys (system)

viasraid: system32\DRIVERS\viasraid.sys (system)

VIA AC'97 Audio Controller (WDM): system32\drivers\viaudio.sys (manual start)

Kopiowanie woluminów w tle: %SystemRoot%\System32\vssvc.exe (manual start)

Sony Ericsson W200 driver (WDM): system32\DRIVERS\w200bus.sys (manual start)

Sony Ericsson W200 USB WMC Modem Filter: system32\DRIVERS\w200mdfl.sys (manual start)

Sony Ericsson W200 USB WMC Modem Driver: system32\DRIVERS\w200mdm.sys (manual start)

Sony Ericsson W200 USB WMC Device Management Drivers (WDM): system32\DRIVERS\w200mgmt.sys (manual start)

Sony Ericsson W200 USB WMC OBEX Interface: system32\DRIVERS\w200obex.sys (manual start)

Usługa Czas systemu Windows: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)

Sterownik usługi Dostęp zdalny IP ARP: system32\DRIVERS\wanarp.sys (manual start)

Sterownik zgodności audio Microsoft WINMM WDM: system32\drivers\wdmaud.sys (manual start)

WebClient: %SystemRoot%\system32\svchost.exe -k LocalService (autostart)

Instrumentacja zarządzania Windows: %systemroot%\system32\svchost.exe -k netsvcs (autostart)

Usługa numeru seryjnego multimediów przenośnych: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)

Rozszerzenia sterownika Instrumentacji zarządzania Windows: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)

Karta wydajności WMI: C:\INSTAL\system32\wbem\wmiapsrv.exe (manual start)

Środowisko wspomagające dostawcę usług innych niż IFS - Windows Socket 2.0: \SystemRoot\System32\drivers\ws2ifsl.sys (disabled)

Centrum zabezpieczeń: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)

Aktualizacje automatyczne: %systemroot%\system32\svchost.exe -k netsvcs (autostart)

Konfiguracja zerowej sieci bezprzewodowej: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)

Usługa dostarczania sieci: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)


Enumerating Windows NT logon/logoff scripts:

*No scripts set to run*

Windows NT checkdisk command:

BootExecute = autocheck autochk *

Windows NT 'Wininit.ini':

PendingFileRenameOperations: C:\DOCUME~1\RODZIN~1\Cookies\index.dat


Enumerating ShellServiceObjectDelayLoad items:

PostBootReminder: C:\INSTAL\system32\SHELL32.dll

CDBurn: C:\INSTAL\system32\SHELL32.dll

WebCheck: C:\INSTAL\system32\webcheck.dll

SysTray: C:\INSTAL\system32\stobject.dll


Autorun entries from Registry:

HKCU\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

*No values found*


Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

*No values found*


End of report, 33 358 bytes

Report generated in 2,000 seconds

Command line options:

/verbose - to add additional info on each section

/complete - to include empty sections and unsuspicious data

/full - to include several rarely-important sections

/force9x - to include Win9x-only startups even if running on WinNT

/forcent - to include WinNT-only startups even if running on Win9x

/forceall - to include all Win9x and WinNT startups, regardless of platform

/history - to list version history only


(Leon$) #2

usuń HijackThisem >> Fix checked

Pobierz Combofix http://www.searchengines.pl/index.php?s ... ntry395642 ale nie włączaj

Podczas pobierania i skanu Combofixem proszę wyłączyć wszelkie zapory i antywirusy

Otwórz notatnik i wklej

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

Powinno rozpocząć się usuwanie

Potem log z usuwania Combofix

:slight_smile:


(Jakub0602) #3

Wszystko zrobiłem, jednak nadal coś sie uruchamia... :? i kompa zamula... Ehhh

Daje Loga z Combofixa:

ComboFix 09-03-19.01 - RodzinaCięszczyk 2009-03-22 17:36:28.4 - NTFSx86

Uruchomiony z: c:\documents and settings\RodzinaCięszczyk\Pulpit\ComboFix.exe

Użyto następujących komend :: c:\documents and settings\RodzinaCięszczyk\Pulpit\CFScript.txt

FILE ::

c:\instal\system32\hhupd.exe

.

((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\instal\services.exe

c:\instal\system32\7.tmp

c:\instal\system32\8.tmp

c:\instal\system32\9.tmp

c:\instal\system32\C.tmp

c:\instal\system32\c++.exe

c:\instal\system32\drivers\ntndis.sys

c:\instal\system32\E.tmp

c:\instal\system32\hhupd.exe

. . . jest zainfekowany!!

. . . jest zainfekowany!!

. . . jest zainfekowany!!

.

((((((((((((((((((((((((((((((((((((((( Sterowniki/Usługi )))))))))))))))))))))))))))))))))))))))))))))))))

.

-------\Service_restore

((((((((((((((((((((((((( Pliki utworzone od 2009-02-22 do 2009-03-22 )))))))))))))))))))))))))))))))

.

2009-03-22 16:37 . 2009-03-22 16:37 14,381 --a------ c:\instal\system32\11.tmp

2009-03-22 16:37 . 2009-03-22 16:37 124 --a------ c:\instal\system32\10.tmp

2009-03-22 16:21 . 2009-03-22 16:21 130 --a------ c:\instal\adobe.bat

2009-03-22 16:20 . 2009-03-22 16:21 71,680 --a------ c:\instal\system32\12.tmp

2009-03-22 16:20 . 2009-03-22 16:20 29,696 --a------ c:\instal\system32\11.tm_

2009-03-22 16:14 . 2009-03-22 16:15 71,680 --a------ c:\instal\system32\228.tmp

2009-03-22 16:14 . 2009-03-22 16:14 29,696 --a------ c:\instal\system32\227.tmp

2009-03-22 16:14 . 2009-03-22 16:14 124 --a------ c:\instal\system32\226.tmp

2009-03-22 13:00 . 2009-03-22 13:00 1 --a------ c:\instal\system32\F.tmp

2009-03-22 12:59 . 2009-03-22 13:00 84 --a------ c:\instal\system32\D.tmp

2009-03-21 18:30 . 2009-03-21 18:30 124 --a------ c:\instal\system32\B.tmp

2009-03-20 14:38 . 2009-03-20 14:39 124 --a------ c:\instal\system32\5.tmp

2009-03-20 13:35 . 2009-03-20 13:35 71,680 --a------ c:\instal\system32\43.tmp

2009-03-20 13:35 . 2009-03-20 13:35 46,080 --a------ c:\instal\system32\pdbcopy.exe

2009-03-20 13:35 . 2009-03-20 13:35 29,696 --a------ c:\instal\system32\42.tmp

2009-03-20 13:35 . 2009-03-20 13:35 124 --a------ c:\instal\system32\41.tmp

2009-03-20 13:25 . 2009-03-20 13:25 124 --a------ c:\instal\system32\4.tmp

2009-03-19 19:08 . 2009-03-19 19:08

2009-03-19 19:07 . 2009-03-19 19:08

2009-03-19 18:52 . 2009-03-19 18:52 124 --a------ c:\instal\system32\3.tmp

2009-03-19 17:43 . 2009-03-19 17:43 124 --a------ c:\instal\system32\2.tmp

2009-03-19 15:19 . 2009-03-19 15:19 124 --a------ c:\instal\system32\A.tmp

2009-03-19 14:45 . 2009-03-19 14:45 124 --a------ c:\instal\system32\6.tmp

2009-03-17 20:38 . 2009-03-17 20:38

2009-03-13 23:11 . 2009-03-15 10:27

2009-03-13 23:11 . 2009-03-13 23:11

2009-03-06 09:40 . 2009-03-06 09:41

2009-02-28 14:12 . 2009-02-28 14:12

2009-02-28 14:12 . 2009-02-28 14:12

2009-02-28 14:11 . 2009-03-01 15:39

2009-02-26 07:31 . 2009-02-27 07:13

2009-02-24 22:23 . 2009-02-24 22:23

2009-02-23 23:35 . 2009-02-23 23:35

.

(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-03-22 15:28 --------- d-----w c:\program files\Mozilla Thunderbird

2009-03-22 14:47 --------- d-----w c:\documents and settings\RodzinaCięszczyk\Dane aplikacji\OpenOffice.ux.pl2

2009-03-20 14:24 --------- d--h--w c:\program files\InstallShield Installation Information

2009-03-19 19:22 --------- d-----w c:\documents and settings\RodzinaCięszczyk\Dane aplikacji\BitTorrent

2009-03-18 19:25 --------- d-----w c:\documents and settings\All Users.INSTAL\Dane aplikacji\QuickTime

2009-03-18 15:54 182,912 ----a-w c:\instal\system32\drivers\ndis.sys

2009-02-28 21:58 --------- d-----w c:\documents and settings\RodzinaCięszczyk\Dane aplikacji\Skype

2009-02-12 00:03 --------- d-----w c:\documents and settings\RodzinaCięszczyk\Dane aplikacji\Leadertech

2009-02-06 23:40 --------- d-----w c:\program files\Hackman

2009-02-06 21:05 --------- d-----w c:\program files\NAPI-PROJEKT

2009-01-31 10:43 --------- d-----w c:\documents and settings\RodzinaCięszczyk\Dane aplikacji\PlayFirst

2009-01-31 10:43 --------- d-----w c:\documents and settings\All Users.INSTAL\Dane aplikacji\PlayFirst

2009-01-31 08:42 --------- d---a-w c:\documents and settings\All Users.INSTAL\Dane aplikacji\TEMP

2009-01-30 21:07 325,128 ----a-w c:\instal\system32\drivers\avgldx86.sys

2009-01-30 21:07 10,520 ----a-w c:\instal\system32\avgrsstx.dll

2009-01-29 02:27 20,480 ----a-w c:\instal\system32\H@tKeysH@@k.DLL

2009-01-27 20:47 138,280 ----a-w c:\instal\system32\drivers\PnkBstrK.sys

2009-01-27 20:47 111,928 ----a-w c:\instal\system32\PnkBstrB.exe

2009-01-27 18:51 --------- d-----w c:\documents and settings\All Users.INSTAL\Dane aplikacji\avg8

2009-01-25 13:11 409,600 ----a-w c:\instal\system32\wrap_oal.dll

2009-01-25 13:11 114,688 ----a-w c:\instal\system32\OpenAL32.dll

2009-01-25 13:11 --------- d-----w c:\program files\Puzzle Quest

2009-01-25 13:11 --------- d-----w c:\program files\OpenAL

2009-01-23 21:54 --------- d-----w c:\program files\DivX

2009-01-20 21:35 21,840 ----atw c:\instal\system32\SIntfNT.dll

2009-01-20 21:35 17,212 ----atw c:\instal\system32\SIntf32.dll

2009-01-20 21:35 12,067 ----atw c:\instal\system32\SIntf16.dll

2008-10-13 17:52 142 ----a-w c:\documents and settings\RodzinaCięszczyk\delself.bat

2008-10-13 17:52 142 ----a-w c:\documents and settings\RodzinaCięszczyk\delself.bat

2008-10-03 13:28 225,280 ----a-w c:\program files\Uninstall My Global Search Bar.dll

2001-11-23 04:08 712,704 ----a-w c:\instal\inf\OTHER\AUDIO3D.DLL

1998-04-30 13:56 147,456 ----a-w c:\program files\UNWISE.EXE

2008-10-13 19:45 21 --sha-r c:\instal\s.vbe

.

------- Sigcheck -------

2009-03-18 16:54 213376 558635d3af1c7546d26067d5d9b6959e c:\instal\system32\dllcache\ndis.sys

2009-03-18 16:54 213376 558635d3af1c7546d26067d5d9b6959e c:\instal\system32\drivers\ndis.sys

2004-08-03 23:44 1052160 98be7c7177ae4fa21a8e34579aac8730 c:\instal\explorer.exe

2004-08-03 23:44 1052160 2abcac0fb52cf50348165e4db1e47805 c:\instal\system32\dllcache\explorer.exe

2004-08-03 23:44 33792 cca4b9e44c3e085c28eb28741a2228f4 c:\instal\system32\ctfmon.exe

2004-08-03 23:44 33792 800575709a28675af57a71320b7e33f8 c:\instal\system32\dllcache\ctfmon.exe

2004-08-03 23:44 76800 ba7c853cd51e8621841eacfdfd9e5784 c:\instal\system32\spoolsv.exe

2004-08-03 23:44 76288 8cd2895d020fcaa0049b82ca3873a9a8 c:\instal\system32\dllcache\spoolsv.exe

2004-08-03 23:44 130560 bc8854fed00f7c320ec575e92ba4fe89 c:\instal\system32\wuauclt.exe

2004-08-03 23:44 130560 7b3cbcfe75bd8227d90ebecb7c9e47f3 c:\instal\system32\dllcache\wuauclt.exe

2004-08-03 23:44 44032 14582c700a9af889bc8afb35b7c5482d c:\instal\system32\userinit.exe

2004-08-03 23:44 43520 f677125adba40524c176b0fbb8b1ca0a c:\instal\system32\dllcache\userinit.exe

.

((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" [2008-07-24 490952]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"TWCU"="c:\program files\TP-LINK\TWCU\TWCU.exe" [2006-03-29 385024]

"NvCplDaemon"="c:\instal\system32\NvCpl.dll" [2006-03-09 7561216]

"AVG8_TRAY"="c:\progra~1\AVG\AVG8\avgtray.exe" [2009-01-30 1601304]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]

"Userinit"="c:\instal\explorer.exe,"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]

2009-01-30 22:07 10520 c:\instal\system32\avgrsstx.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"vidc.iv31"= c:\instal\system32\ir32_32.dll

"vidc.iv32"= c:\instal\system32\ir32_32.dll

"msacm.l3acm"= l3codecp.acm

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]

BootExecute REG_MULTI_SZ autocheck autochk *\0OODBS

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"CM-SmWizard"=c:\instal\System\SmWizard.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"UpdatesDisableNotify"=dword:00000001

"AntiVirusOverride"=dword:00000001

"FirewallOverride"=dword:00000001

"AntiVirusDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"e:\Quake 3 Arena\quake3.exe"=

"c:\INSTAL\system32\sessmgr.exe"=

"c:\Program Files\AVG\AVG8\avgupd.exe"=

"c:\Program Files\DNA\btdna.exe"=

"d:\Programy\Bit Torrent\BitTorrent\bittorrent.exe"=

"c:\Program Files\Skype\Phone\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"18768:TCP"= 18768:TCP:12345

R0 ati7kmxx;ati7kmxx; [x]

R1 ethytpre;ethytpre; [x]

R2 BDVEDISK;BDVEDISK; [x]

R2 jzviqotoubtugq;jzviqotoubtugq; [x]

R2 mpxpohrhyphvli;mpxpohrhyphvli; [x]

R2 pxvweihdfzkyi;pxvweihdfzkyi; [x]

R3 w200bus;Sony Ericsson W200 driver (WDM);c:\instal\system32\DRIVERS\w200bus.sys [2006-11-07 61504]

R3 w200mdfl;Sony Ericsson W200 USB WMC Modem Filter;c:\instal\system32\DRIVERS\w200mdfl.sys [2006-11-07 9328]

R3 w200mdm;Sony Ericsson W200 USB WMC Modem Driver;c:\instal\system32\DRIVERS\w200mdm.sys [2006-11-07 97056]

R3 w200mgmt;Sony Ericsson W200 USB WMC Device Management Drivers (WDM);c:\instal\system32\DRIVERS\w200mgmt.sys [2006-11-07 88560]

R3 w200obex;Sony Ericsson W200 USB WMC OBEX Interface;c:\instal\system32\DRIVERS\w200obex.sys [2006-11-07 86368]

R4 kbeepm;kbeepm; [x]

S0 sfdrv01a;StarForce Protection Environment Driver (version 1.x.a);c:\instal\System32\drivers\sfdrv01a.sys [2006-07-05 63352]

S0 viasraid;viasraid;c:\instal\system32\DRIVERS\viasraid.sys [2003-08-05 77056]

S1 AvgLdx86;AVG AVI Loader Driver x86;c:\instal\System32\Drivers\avgldx86.sys [2009-01-30 325128]

S2 avg8wd;AVG8 WatchDog;c:\progra~1\AVG\AVG8\avgwdsvc.exe [2009-01-30 298264]

--- Inne Usługi/Sterowniki w Pamięci ---

*Deregistered* - ACS

*Deregistered* - AegisP

*Deregistered* - AFD

*Deregistered* - Alerter

*Deregistered* - ALG

*Deregistered* - aswFsBlk

*Deregistered* - aswMon2

*Deregistered* - atksgt

*Deregistered* - AudioSrv

*Deregistered* - audstub

*Deregistered* - avast! Antivirus

*Deregistered* - avg8wd

*Deregistered* - AvgLdx86

*Deregistered* - AvgMfx86

*Deregistered* - Browser

*Deregistered* - Cdfs

*Deregistered* - CryptSvc

*Deregistered* - DcomLaunch

*Deregistered* - Dhcp

*Deregistered* - dmio

*Deregistered* - dmload

*Deregistered* - dmserver

*Deregistered* - Dnscache

*Deregistered* - ERSvc

*Deregistered* - EventSystem

*Deregistered* - FastUserSwitchingCompatibility

*Deregistered* - Fips

*Deregistered* - FltMgr

*Deregistered* - Ftdisk

*Deregistered* - giveio

*Deregistered* - Gpc

*Deregistered* - helpsvc

*Deregistered* - hpqcxs08

*Deregistered* - hpqddsvc

*Deregistered* - ImapiService

*Deregistered* - IpNat

*Deregistered* - IPSec

*Deregistered* - KSecDD

*Deregistered* - lanmanserver

*Deregistered* - lanmanworkstation

*Deregistered* - lirsgt

*Deregistered* - LmHosts

*Deregistered* - mnmdd

*Deregistered* - MountMgr

*Deregistered* - MRxDAV

*Deregistered* - MRxSmb

*Deregistered* - Msfs

*Deregistered* - mssmbios

*Deregistered* - Mup

*Deregistered* - NDIS

*Deregistered* - NdisTapi

*Deregistered* - Ndisuio

*Deregistered* - NdisWan

*Deregistered* - NDProxy

*Deregistered* - NetBIOS

*Deregistered* - NetBT

*Deregistered* - Netman

*Deregistered* - Nla

*Deregistered* - Npfs

*Deregistered* - Ntfs

*Deregistered* - Null

*Deregistered* - NVSvc

*Deregistered* - O&O Defrag

*Deregistered* - PartMgr

*Deregistered* - ParVdm

*Deregistered* - PolicyAgent

*Deregistered* - PptpMiniport

*Deregistered* - ProtectedStorage

*Deregistered* - PSched

*Deregistered* - RasAcd

*Deregistered* - Rasl2tp

*Deregistered* - RasMan

*Deregistered* - RasPppoe

*Deregistered* - Raspti

*Deregistered* - Rdbss

*Deregistered* - RDPCDD

*Deregistered* - rdpdr

*Deregistered* - RemoteRegistry

*Deregistered* - RpcSs

*Deregistered* - SamSs

*Deregistered* - Schedule

*Deregistered* - seclogon

*Deregistered* - SENS

*Deregistered* - serenum

*Deregistered* - sfdrv01

*Deregistered* - sfdrv01a

*Deregistered* - sfhlp02

*Deregistered* - sfsync02

*Deregistered* - SharedAccess

*Deregistered* - ShellHWDetection

*Deregistered* - Spooler

*Deregistered* - sr

*Deregistered* - srservice

*Deregistered* - Srv

*Deregistered* - stisvc

*Deregistered* - swenum

*Deregistered* - TapiSrv

*Deregistered* - Tcpip

*Deregistered* - TermDD

*Deregistered* - TermService

*Deregistered* - Themes

*Deregistered* - TrkWks

*Deregistered* - uagp35

*Deregistered* - Update

*Deregistered* - VgaSave

*Deregistered* - VolSnap

*Deregistered* - W32Time

*Deregistered* - Wanarp

*Deregistered* - WebClient

*Deregistered* - winmgmt

*Deregistered* - wscsvc

*Deregistered* - wuauserv

*Deregistered* - WZCSVC

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{10f6a234-a923-11dd-8206-000d8798989c}]

\Shell\AutoRun\command - G:\AutoRunMorrowind.exe

\Shell\install\command - G:\Setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{24f5589c-f57d-11db-91e6-fa76e128fe21}]

\Shell\AutoRun\command - wscript.exe u.vbe

\Shell\explore\Command - wscript.exe u.vbe

\Shell\find\Command - wscript.exe u.vbe

\Shell\open\Command - wscript.exe u.vbe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{353a6e88-5c78-11dc-be4b-e0f5f8412460}]

\Shell\AutoRun\command - wscript.exe u.vbe

\Shell\explore\Command - wscript.exe u.vbe

\Shell\find\Command - wscript.exe u.vbe

\Shell\open\Command - wscript.exe u.vbe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{ac1e5eb2-4a8c-11dd-bf47-b45196a65c60}]

\Shell\AutoRun\command - H:\LaunchU3.exe -a

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{b00e1fa4-deee-11dd-8358-000d8798989c}]

\Shell\adobe\command - h:\adobe\rp505enu.exe

\Shell\AutoRun\command - H:\setup.exe

\Shell\directx\command - h:\directx\dxsetup.exe

\Shell\setup\command - H:\setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{c5034fae-131e-11de-8473-000d8798989c}]

\Shell\Auto\command - I:\activexdebugger32.exe f

\Shell\AutoRun\command - c:\instal\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL activexdebugger32.exe f

\Shell\explore\Command - I:\activexdebugger32.exe f

\Shell\open\Command - I:\activexdebugger32.exe f

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{dab8cc53-9156-11dc-bbef-8809df773830}]

\Shell\AutoRun\command - wscript.exe u.vbe

\Shell\explore\Command - wscript.exe u.vbe

\Shell\find\Command - wscript.exe u.vbe

\Shell\open\Command - wscript.exe u.vbe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{e4bf498c-51b4-11dd-bf64-82cbbf682660}]

\Shell\Auto\command - Start.exe

\Shell\AutoRun\command - c:\instal\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Start.exe

.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-03-22 17:49:48

Windows 5.1.2600 Dodatek Service Pack 2 NTFS

detected NTDLL code modification:

ZwOpenFile

skanowanie ukrytych procesów ...

skanowanie ukrytych wpisów autostartu ...

skanowanie ukrytych plików ...

skanowanie pomyślnie ukończone

ukryte pliki: 0

**************************************************************************

.

--------------------- ZABLOKOWANE KLUCZE REJESTRU ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]

"OODEFRAG08.00.00.01WORKSTATION"="1E6155A4D0E5DC80B6BFC2C32E40F81090E3492C7C30AF9E9DB7F6C6DADCFA5124328B6ED4B06A9DD80FC5950B743B8685D93E36D5C8F1423F514D0D0FE89415AB8C8CB257426A15D87A5D727BD2C9ADA3328083DDE304F5AC874603788ACFDF637DC6C9EAFD50A89581AC0715BB25A89A768DB7CAFD0DE58913D8E010F91B807F8C4A2167FA776B73150018B045AD70A0A60B8B1749980DFB209F711027CB9B37B1CBBBE9851BC45C1BC479EBB62CD2F1B4BE48002A163FAE4EDC16F6B399A5C6DA242CD11D5F71BC6E0C96278C48EE488814CF09BCD8A2D03173438876226AED68501DFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CA6A0AC4980AC7933FEBC9E127BECC74C5D575E7D6A3B9808A9C6AECB7A5D1407EF1C60CEDD2F52B2D7750D7027804A3DBD0B6D84ED1E16687D2B71BA47F47675DB7CCAFB5E40051B8383E79BF77977DC11F5ED4B0C936525B9E052646A091F3B6E19F70172B6A07D25056663D908857720AF8AAE017695BF502A05F2D9D05EAAC042927D62DEE0C519097E8A25C5482EA6229F38D4CAB52E806F6FD070DE9B2E327EAA61F677A6F37CCF0727B5BEB936236EEE42958D787AC94E5CBF8A3BDF456307B3F400B6741DB452BB266A74F659DAE69EFC542BB3427196F9D48ADFDC823C4904CFD04372E8E739BEC3275CBE735713B66CA30560B8024CDA78D53C630F666658E03EB86D1380E41493545EF878E1AE27671EF21DA348A9F5E6D6B3EA244FB34FE9A329D36D2F66237DDB58ACEA0CA93E9ADF3E2BDDD39924B1FA1D0D12A83CEC80E096BB5B6605393B309A07E42B27B30788A3F154FBBD253EB2C20B3CE93C180E56795B54DC3B065B426B5993567E1FFD3DD6790CD7689B4375E3C6194DA61C506DBE0E658DB59EC18A8218B969BB7FA7A77EEF18C5A40D4F3BB4C635CF9F28590F45D5B0B8DAFA24858E5CAA841EB481F3B1A8A4E62E634303DAB62E3580D08F29615567613DF70EB22FE2D00C1906D9D10198EF20756E524DF265B881D60CAB305B5452CD2A555D94790D2929D49BD5F6ECD9CB1B1F6086A08AC49B01E537BC1A6FBECF0A9EB745B2F55F45462B03EB9B6D2A1E4403CE3C0625EB31C0A18FA2E04D254E644DA84D1BA382C994AEAC687CE96B614C2F33A48B3916EA1333B895831ABA52709D924FDAF1C4F0871FEFE95A4323A4AAE2EEC44333A3C90DF93C1D06EB57F406A9C77A8746948658F685E6FA49FB899592427342F015E68A060318ECCF78E13F3FFA51B77A896D03608A2424C244C60D66D360A245926CA99C5E37C445BB5AFBE1462A86D95A1AC63C01BFA4E96CA6CF3DAF0A0178669A4CB801821BC1E530DEC725B194A6E516281B4D284D6C0B86E325C14600C480C39607015102AB60CE4F5B76E4"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Windows\AutorunsDisabled]

"Appinit_Dlls"="karna.dat"

.

------------------------ Pozostałe uruchomione procesy ------------------------

.

c:\instal\system32\acs.exe

c:\instal\system32\nvsvc32.exe

c:\instal\system32\oodag.exe

c:\program files\AVG\AVG8\avgrsx.exe

.

**************************************************************************

.

Czas ukończenia: 2009-03-22 17:54:20 - komputer został uruchomiony ponownie [RodzinaCięszczyk]

ComboFix-quarantined-files.txt 2009-03-22 16:54:16

Przed: 11 920 113 664 bajtów wolnych

Po: 11,875,504,128 bajtów wolnych

347


(Spandau) #4

Masz zainfekowany system wirusem który infekuje pliki exe a konkretnie Virutem

Sposób 1 na tego wirusa

Format wszystkich partycji i dysków bez wyjątku, zapomnij o sterownikach i instalkach które masz na dysku bo one są zainfekowane i należy je także usunąć

Sposób 2

Pobierz Kaspersky Rescue Disk http://dobreprogramy.pl/index.php?dz=2& ... k+8.8.1.18 wypal płytkę ( Musisz to zrobić na nie zainfekowanym komputerze ) Włóż ją do napędu jeśli w biosie masz ustawione bootowanie z CD/DVD to po restarcie powinien uruchomić się skaner z płytki Wykonujesz pełny skan usuwasz wszystko co znajdzie skaner do skutku, tzn tyle razy aż skaner nic nie znajdzie

Następnie jak już skaner nic nie znajdzie wkładasz do napędu płytkę instalacyjną windowsa i robisz instalacje nakładkową windows bez utraty danych http://www.searchengines.pl/index.php?s ... 0&p=109540

Proszę się najpierw upewnić czy ta opcja jest możliwa i to zanim zaczniesz skanować Kasperskim Nie muszę dodawać że wszystkie programy które nie będą działać należy p tym przeinstalować

Następnie pobierz i przeskanuj system Dr.WEB CureIt!

Jak skaner nic nie znajdzie pobierz Combofix przeskanuj system i daj log na forum.

Po tym dla pewności Wyłącz przywracanie systemu na wszystkich dyskach. Instrukcja

Sposób 3

Cóż chyba najmniej skuteczny ale jeśli chcesz możesz spróbować

  1. Wyłącz przywracanie systemu na wszystkich dyskach. Instrukcja

  2. Pobierz i użyj narzędzie do usuwania Viruta http://translate.google.pl/translate?hl ... D%26sa%3DG win32/Virut instrukcja podana w linku

Operacje przeprowadzasz na koncie z uprawnieniami administratora

Najpierw proszę pobrać plik rmvirut.nt następnie rmvirut.exe Pliki muszą być zlokalizowane w tym samym katalogu np C Po ściągnięciu pliku rmvirut.exe proszę go od razu uruchomić może się uda i wirus nie zdąży go zainfekować

  1. Pobierz Dr.WEB CureIt! Już w trakcie pobierania zmień mu nazwę na losową np 123.com (rozszerzenie com nie exe) Uruchom, wykonaj pełne skanowanie, wylecz co się da reszta do usunięcia. Jeśli podczas skanowania będzie się wieszać to wejdź w tryb awaryjny windows i tam spróbuj przeskanować system. Skanujesz do skutku aż skaner nic nie znajdzie

  2. Następnie jak już skaner nic nie znajdzie wkładasz do napędu płytkę instalacyjną windowsa i robisz instalacje nakładkową windows bez utraty danych http://www.searchengines.pl/index.php?s ... 0&p=109540

  3. Po tej instalacji ponownie wyłącz przywracanie systemu na wszystkich dyskach

  4. Pobierz ponownie i przeskanuj system Dr.WEB CureIt! Pełne skanowanie

  5. Jeśli skaner nic nie znajdzie pobierz Combofix przeskanuj system i daj nowy log na forum

  6. Wyłącz ponownie przywracanie systemu na wszystkich dyskach


(Agatonster) #5

Jakub0602 ,

Proszę zapoznać się z tematem Ważny komunikat dotyczący tytułowania tematów i poprawić tytuł na konkretny, mówiący o problemie. W celu dokonania zaleconej korekty - proszę użyć przycisku Edytuj przy poście otwierającym ten temat.

Zignorowanie zalecenia będzie skutkowało usunięciem tematu do Kosza.

W związku ze zmianą, jaka obowiązuje przy wklejaniu logów na forum - przeczytaj i zastosuj się do Tematu