Zaatakował mnie Malware Doctor. Tu jest log z combofixa:
http://www.wklej.org/id/87137/
Pomóżcie proszę, bo nie wiem jak się definitywnie tego pozbyć.
Combofix czyści, ale po restarcie znowu się pojawia Doctor.
Zaatakował mnie Malware Doctor. Tu jest log z combofixa:
http://www.wklej.org/id/87137/
Pomóżcie proszę, bo nie wiem jak się definitywnie tego pozbyć.
Combofix czyści, ale po restarcie znowu się pojawia Doctor.
Proponuję dodać jeszcze do CFScript te wpisy:
File::
c:\documents and settings\Agunia\bvd32.exe
c:\documents and settings\Agunia\ud32.exe
c:\documents and settings\Agunia\bv2.exe
c:\documents and settings\Agunia\kpi32.exe
Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Documents and Settings\\Agunia\\ud32.exe"=-
czyli ostatecznie skryty będzie taki:
File::
c:\documents and settings\Agunia\winit32.exe
c:\windows\system32\AshEvtSvc.exe
c:\windows\mlw177.exe
c:\windows\system32\gofax.dll
c:\windows\system32\stfa.dll
c:\windows\system32\drivers\7871b520.sys
c:\recycler\S-1-5-21-6083738708-2680156039-822860926-4788\winmap32.exe
c:\documents and settings\LocalService\Dane aplikacji\916653139.exe
c:\documents and settings\Agunia\bvd32.exe
c:\documents and settings\Agunia\ud32.exe
c:\documents and settings\Agunia\bv2.exe
c:\documents and settings\Agunia\kpi32.exe
Driver::
ashevtsvc
Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Malware Doctor"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Malware Doctor"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Taskman"=-
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"ud32.exe"=-
"c:\\Documents and Settings\\Agunia\\ud32.exe"=-
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\7871b520]
Moje niedopatrzenie przepraszam. Zrób jeszcze raz ze skryptem Barnaba
ok - to teraz po skrypcie Barnaby:
już będzie żył, czy dalej go męczymy combofixem?
Już nie męczymy!
Log wygląda na czysty.
usuń ręcznie folder C: \Qoobox oraz instalkę Combofix z dysku.
Przeczyść system oraz rejestr CCleaner
Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja
Przeskanuj obszar Mój komputer Kaspersky Online Scanner daj raport na forum
lub Dr.WEB CureIt!
ufff Kaspersky nic nie znalazł
mam nadzieję, że to koniec przygód z doktorkiem
dzięki bardzo za pomoc spandaupol i Barnaba!
Wykonaj pełne skanowanie, szybki skan to za mało
pomocy z tym cholerstwem doctorkiem … zrobiłam log w combofixie i wyszło mi takie coś… jestem totalnie zielona do komputera wiec prosze o wyjasnienie co mam dale zrobic. pozdrawiam a oto moj nr gg 7293906
ComboFix 09-05-28.07 - ASUS 2009-05-29 6:45.1 - FAT32x86
Microsoft Windows XP Home Edition 5.1.2600.2.1250.48.1045.18.447.146 [GMT 2:00]
Uruchomiony z: d:\programy 2\ComboFix.exe
AV: ESET NOD32 Antivirus 4.0 *On-access scanning enabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
* Rezydentny antywirus jest aktywny
.
((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\documents and settings\ASUS\Dane aplikacji\wiaserva.log
c:\documents and settings\LocalService\Dane aplikacji\691447002.exe
c:\program files\Internet Explorer\setupapi.dll
c:\windows\system32\acovcnt.exe
c:\windows\system32\avast!Antivirus.exe
c:\windows\system32\sft.res
c:\windows\Temp\50023065.exe
c:\windows\ufdata2000.log
.
((((((((((((((((((((((((((((((((((((((( Sterowniki/Usługi )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_avast!antivirus
-------\Service_avast!antivirus
((((((((((((((((((((((((( Pliki utworzone od 2009-04-28 do 2009-05-29 )))))))))))))))))))))))))))))))
.
2009-05-18 04:44 . 2009-05-18 04:44 -------- d-----w c:\documents and settings\ASUS\Dane aplikacji\Skype
2009-05-18 04:43 . 2009-05-18 04:43 -------- d-----w c:\program files\Common Files\Skype
2009-05-18 04:43 . 2009-05-18 04:43 -------- d-----r c:\program files\Skype
2009-05-05 16:36 . 2009-05-05 16:36 -------- d-sh–w C:\FOUND.001
2009-04-29 05:38 . 2009-04-29 05:38 -------- d-sh–w C:\FOUND.000
.
(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-29 04:55 . 2009-04-04 16:56 83294 ----a-w c:\windows\system32\drivers\2290245.sys
2009-04-26 06:00 . 2009-04-26 06:00 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\ESET
2009-04-22 09:51 . 2009-04-22 09:51 57344 ----a-w c:\documents and settings\ASUS\Dane aplikacji\Sun\Java\Deployment\cache\6.0\50\5b902232-1b62a2d6-n\Decora-SSE.dll
2009-04-22 09:51 . 2009-04-22 09:51 24064 ----a-w c:\documents and settings\ASUS\Dane aplikacji\Sun\Java\Deployment\cache\6.0\15\4e09eacf-6204cb56-n\Decora-D3D.dll
2009-04-22 09:51 . 2009-04-22 09:51 315392 ----a-w c:\documents and settings\ASUS\Dane aplikacji\Sun\Java\Deployment\cache\6.0\62\6baea4fe-78ae34d5-n\jogl.dll
2009-04-22 09:51 . 2009-04-22 09:51 20480 ----a-w c:\documents and settings\ASUS\Dane aplikacji\Sun\Java\Deployment\cache\6.0\62\6baea4fe-78ae34d5-n\jogl_awt.dll
2009-04-22 09:51 . 2009-04-22 09:51 114688 ----a-w c:\documents and settings\ASUS\Dane aplikacji\Sun\Java\Deployment\cache\6.0\62\6baea4fe-78ae34d5-n\jogl_cg.dll
2009-04-22 09:51 . 2009-04-22 09:51 20480 ----a-w c:\documents and settings\ASUS\Dane aplikacji\Sun\Java\Deployment\cache\6.0\45\4f710eed-7ca9de0f-n\gluegen-rt.dll
2009-04-22 09:51 . 2009-04-22 09:51 499712 ----a-w c:\documents and settings\ASUS\Dane aplikacji\Sun\Java\Deployment\cache\6.0\33\258cea61-1c97b848-n\msvcp71.dll
2009-04-22 09:51 . 2009-04-22 09:51 499712 ----a-w c:\documents and settings\ASUS\Dane aplikacji\Sun\Java\Deployment\cache\6.0\33\258cea61-1c97b848-n\jmc.dll
2009-04-22 09:51 . 2009-04-22 09:51 348160 ----a-w c:\documents and settings\ASUS\Dane aplikacji\Sun\Java\Deployment\cache\6.0\33\258cea61-1c97b848-n\msvcr71.dll
2009-04-22 09:50 . 2009-04-22 09:51 410984 ----a-w c:\windows\system32\deploytk.dll
2009-04-22 09:50 . 2009-04-22 09:50 152576 ----a-w c:\documents and settings\ASUS\Dane aplikacji\Sun\Java\jre1.6.0_13\lzma.dll
2009-04-22 06:42 . 2009-04-22 06:42 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\TEMP
2009-04-22 06:21 . 2009-04-22 06:20 -------- d-----w c:\program files\Alwil Software
2009-04-22 06:15 . 2009-04-22 06:15 -------- d-----w c:\documents and settings\ASUS\Dane aplikacji\VirusRemover2009
.
((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“CTFMON.EXE”=“c:\windows\system32\ctfmon.exe” [2006-03-02 15360]
“StartCCC”=“c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe” [2006-11-10 90112]
“MSMSGS”=“c:\program files\Messenger\msmsgs.exe” [2004-10-13 1694208]
“H/PC Connection Agent”=“c:\program files\Microsoft ActiveSync\wcescomm.exe” [2006-11-13 1289000]
“Orb”=“c:\program files\Winamp Remote\bin\OrbTray.exe” [2008-04-01 507904]
“Nowe Gadu-Gadu”=“c:\program files\Nowe Gadu-Gadu\gg.exe” [2009-02-27 9339496]
“Skype”=“c:\program files\Skype\Phone\Skype.exe” [2009-04-21 24264488]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“Kalendarz nauczyciela Free”=“H” [X]
“ATKOSD2”=“c:\program files\ATKOSD2\ATKOSD2.exe” [2007-07-03 7708672]
“ATKHOTKEY”=“c:\program files\ATK Hotkey\Hcontrol.exe” [2007-07-12 225280]
“ATKMEDIA”=“c:\program files\ASUS\ATK Media\DMEDIA.EXE” [2006-11-02 61440]
“ASUS Live Update”=“c:\program files\ASUS\ASUS Live Update\ALU.exe” [2007-07-19 49520]
“SynTPEnh”=“c:\program files\Synaptics\SynTP\SynTPEnh.exe” [2006-05-25 786521]
“ACMON”=“c:\program files\ASUS\Splendid\ACMON.exe” [2007-07-10 851968]
“ABLKSR”=“c:\windows\ABLKSR\ABLKSR.exe” [2006-01-02 61440]
“NeroFilterCheck”=“c:\windows\system32\NeroCheck.exe” [2006-01-12 155648]
“Power_Gear”=“c:\program files\ASUS\Power4 Gear\BatteryLife.exe” [2006-07-26 90112]
“PowerForPhone”=“c:\program files\P4P\P4P.exe” [2007-07-19 778240]
“Wireless Console 2”=“c:\program files\Wireless Console 2\wcourier.exe” [2007-07-05 1040384]
“ASUSTPE”=“c:\windows\system32\ASUSTPE.exe” [2007-01-16 106496]
“ASUS Camera ScreenSaver”=“c:\windows\ASScrProlog.exe” [2007-12-12 37232]
“ASUS Screen Saver Protector”=“c:\windows\ASScrPro.exe” [2007-12-12 33136]
“WinampAgent”=“d:\programy\Winamp\winampa.exe” [2008-08-03 36352]
“TWCU”=“c:\program files\TP-LINK\TWCU.exe” [2007-04-10 479412]
“SunJavaUpdateSched”=“c:\program files\Java\jre6\bin\jusched.exe” [2009-04-22 148888]
“egui”=“d:\programy 2\egui.exe” [2009-02-06 2021400]
“RTHDCPL”=“RTHDCPL.EXE” - c:\windows\RTHDCPL.exe [2006-10-30 16269312]
“SkyTel”=“SkyTel.EXE” - c:\windows\SkyTel.exe [2006-05-16 2879488]
[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
“CTFMON.EXE”=“c:\windows\system32\CTFMON.EXE” [2006-03-02 15360]
c:\documents and settings\ASUS\Menu Start\Programy\Autostart\
CCC.lnk - c:\program files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe [2006-9-29 49152]
c:\documents and settings\All Users\Menu Start\Programy\Autostart\
Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe [2006-10-23 40048]
Adobe Reader Synchronizer.lnk - c:\program files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe [2006-10-23 734872]
Bluetooth Manager.lnk - c:\program files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe [2007-5-22 2756608]
Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [2000-1-21 65588]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
“DisableTaskMgr”= 1 (0x1)
“DisableRegistryTools”= 1 (0x1)
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32
“wave1”= serwvdrv.dll
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
“AntiVirusDisableNotify”=dword:00000001
“UpdatesDisableNotify”=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
“DisableMonitoring”=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
“DisableMonitoring”=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
“DisableMonitoring”=dword:00000001
[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
“%windir%\system32\sessmgr.exe”=
“c:\program files\Microsoft ActiveSync\rapimgr.exe”= c:\program files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
“c:\program files\Microsoft ActiveSync\wcescomm.exe”= c:\program files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
“c:\program files\Microsoft ActiveSync\WCESMgr.exe”= c:\program files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
“c:\Program Files\Winamp Remote\bin\Orb.exe”=
“c:\Program Files\Winamp Remote\bin\OrbTray.exe”=
“c:\Program Files\Winamp Remote\bin\OrbStreamerClient.exe”=
“c:\Program Files\Nowe Gadu-Gadu\gg.exe”=
“c:\Program Files\Skype\Phone\Skype.exe”=
[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
“26675:TCP”= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2009-01-13 111184]
R1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [2009-02-06 106208]
R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [2009-02-06 93336]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2009-01-13 20560]
R2 ekrn;ESET Service;d:\programy 2\ekrn.exe [2009-02-06 727720]
R2 NwSapAgent;Agent SAP;c:\windows\system32\svchost.exe -k netsvcs [2006-08-27 14336]
R2 StkSSrv;Syntek AVStream USB2.0 WebCam Service;c:\windows\system32\StkCSrv.exe [2007-04-18 24576]
R3 StkCMini;Syntek AVStream USB2.0 1.3M WebCam;c:\windows\system32\drivers\StkCMini.sys [2007-06-05 1260672]
R3 WSIMD;wsimd Service;c:\windows\system32\drivers\wsimd.sys [2009-01-25 55840]
— Inne Usługi/Sterowniki w Pamięci —
*NewlyCreated* - avast!antivirus
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\ccc-core-static]
msiexec /fums {857D4360-762B-978B-76AD-491AA719E47A} /qb
.
HKCU-Run-eMuleAutoStart - d:\programy 2\eMule\emule.exe
HKCU-Run-Malware Doctor - c:\documents and settings\LocalService\Dane aplikacji\691447002.exe
HKCU-Run-wsctf.exe - wsctf.exe
HKLM-Run-avast! - d:\programy\ashDisp.exe
HKLM-Run-Malware Doctor - c:\documents and settings\LocalService\Dane aplikacji\691447002.exe
SafeBoot-procexp90.sys
.
------- Skan uzupełniający -------
.
uStart Page = hxxp://www.google.pl/
IE: &Google Search - c:\program files\Google\googletoolbar.dll/cmsearch.html
IE: &Winamp Search - c:\documents and settings\All Users\Dane aplikacji\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
IE: Backward &Links - c:\program files\Google\googletoolbar.dll/cmbacklinks.html
IE: Cac&hed Snapshot of Page - c:\program files\Google\googletoolbar.dll/cmcache.html
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
IE: Si&milar Pages - c:\program files\Google\googletoolbar.dll/cmsimilar.html
IE: Translate into English - c:\program files\Google\googletoolbar.dll/cmtrans.html
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-29 06:52
Windows 5.1.2600 Dodatek Service Pack 2 FAT NTAPI
skanowanie ukrytych procesów …
skanowanie ukrytych wpisów autostartu …
skanowanie ukrytych plików …
skanowanie pomyślnie ukończone
ukryte pliki: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\2290245]
“ImagePath”="\SystemRoot\System32\drivers\2290245.sys"
.
--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\msi.dll
.
------------------------ Pozostałe uruchomione procesy ------------------------
.
c:\windows\SYSTEM32\ATI2EVXX.EXE
c:\windows\SYSTEM32\ATI2EVXX.EXE
c:\windows\SYSTEM32\ACS.EXE
c:\windows\SYSTEM32\ACENGSVR.EXE
c:\program files\ATI TECHNOLOGIES\ATI.ACE\CORE-STATIC\MOM.EXE
c:\program files\MICROSOFT ACTIVESYNC\RAPIMGR.EXE
c:\program files\ATK HOTKEY\ATKOSD.EXE
c:\program files\JAVA\JRE6\BIN\JQS.EXE
c:\program files\COMMON FILES\LIGHTSCRIBE\LSSRVC.EXE
c:\program files\ASUS\NB PROBE\SPM\SPMGR.EXE
c:\program files\TOSHIBA\BLUETOOTH TOSHIBA STACK\TOSBTSRV.EXE
c:\windows\SYSTEM32\WDFMGR.EXE
c:\program files\ATK HOTKEY\KBFILTR.EXE
c:\program files\ATK HOTKEY\WDC.EXE
c:\windows\system32\wbem\wmiapsrv.exe
c:\program files\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
c:\program files\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
c:\windows\System32\avast!Antivirus.exe
.
**************************************************************************
.
Czas ukończenia: 2009-05-29 6:57 - komputer został uruchomiony ponownie
ComboFix-quarantined-files.txt 2009-05-29 04:57
Przed: 55 850 500 096 bajtów wolnych
Po: 57 882 607 616 bajtów wolnych
WindowsXP-KB310994-SP2-Home-BootDisk-PLK.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT=“Microsoft Windows Recovery Console” /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS=“Microsoft Windows XP Home Edition” /noexecute=optin /fastdetect
204 — E O F — 2009-01-15 11:20
kulecka19, nie podpinaj się pod innych ale załóż własny temat następnym razem.
Wygląda na to, że teraz posiadasz Avasta, w logu jest jeszcze aktywna usługa Eseta i szczątki po Nortonie.
Wklej do notatnika
Zapisz jako CFScript.txt. Ten plik przeciągasz na ikonę ComboFix’a, rozpocznie się usuwanie i powstanie log który tutaj zamieścisz.
Hej a z tym moim problem co ??
Nie wiem co się bulwersujesz - też się przecież podpiąłeś. Wklej do notatnika
Zapisz jako CFScript.txt. Ten plik przeciągasz na ikonę ComboFix’a, rozpocznie się usuwanie i powstanie log, który tutaj zamieścisz.
Hej
Dzieki za pomoc i wcale sie nie zloscilem
a podpialem sie bo temat byl nieaktywny od 22 dni wiec nie chcialem zakladac nowego i odswiezylem ten
chyba sie uzunelo o to log http://wklej.org/id/97713/
potem przejechalem jeszcze ccleanerem wydaje mi sie ze juz po sprawie czy cos jeszcze nalezy wykonac ?
Dobra z ComboFix’em na dziś koniec.
Start => Uruchom => wpisz Combofix /u
Pobierz Avenger
http://www.searchengines.pl/index.php?s … ntry405552
Wklej do niego ten tekst
Klikasz Execute. Usuwasz pozostałości po Avenger’ze.
Wyłączas na chwilę przywracanie systemu.
Wykonujesz skan Dr.WEB CureIt - usuwasz jak coś znajdzie.
Czyścisz dysk i rejestr CCleaner’em.
To, że temat był jakiś czas nieaktywny nie zwalnia od tego by założyć swój - jest bardziej przejrzyście.
zrobiłam tak jak kazałeś a log to (przepraszam że kopiuje ale nie umie wklejac tak jak inni linkiem i przepraszam ze sie podpiełam do kogos wiecej nie bede :
ComboFix 09-05-28.07 - ASUS 2009-05-29 19:14.3 - FAT32x86
Microsoft Windows XP Home Edition 5.1.2600.2.1250.48.1045.18.447.120 [GMT 2:00]
Uruchomiony z: d:\programy 2\ComboFix.exe
Użyto następujących komend :: c:\documents and settings\ASUS\Pulpit\CFScript.txt
AV: ESET NOD32 Antivirus 4.0 *On-access scanning enabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
* Rezydentny antywirus jest aktywny
FILE ::
“c:\windows\System32\avast!Antivirus.exe”
“c:\windows\system32\drivers\2290245.sys”
.
((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\documents and settings\LocalService\Dane aplikacji\691447002.exe
C:\FOUND.000
c:\found.000\FILE0000.CHK
c:\found.000\FILE0001.CHK
c:\found.000\FILE0002.CHK
c:\found.000\FILE0003.CHK
c:\found.000\FILE0004.CHK
c:\found.000\FILE0005.CHK
c:\found.000\FILE0006.CHK
c:\found.000\FILE0007.CHK
c:\found.000\FILE0008.CHK
C:\FOUND.001
c:\found.001\FILE0000.CHK
c:\program files\Internet Explorer\setupapi.dll
c:\windows\system32\avast!Antivirus.exe
c:\windows\system32\drivers\2290245.sys . . . . nie udało się usunąć
.
((((((((((((((((((((((((((((((((((((((( Sterowniki/Usługi )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_avast!antivirus
-------\Service_avast!antivirus
-------\Service_2290245
((((((((((((((((((((((((( Pliki utworzone od 2009-04-28 do 2009-05-29 )))))))))))))))))))))))))))))))
.
2009-05-18 04:44 . 2009-05-18 04:44 -------- d-----w c:\documents and settings\ASUS\Dane aplikacji\Skype
2009-05-18 04:43 . 2009-05-18 04:43 -------- d-----w c:\program files\Common Files\Skype
2009-05-18 04:43 . 2009-05-18 04:43 -------- d-----r c:\program files\Skype
.
(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-29 17:21 . 2009-04-04 16:56 83294 ----a-w c:\windows\system32\drivers\2290245.sys
2009-04-26 06:00 . 2009-04-26 06:00 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\ESET
2009-04-22 09:51 . 2009-04-22 09:51 57344 ----a-w c:\documents and settings\ASUS\Dane aplikacji\Sun\Java\Deployment\cache\6.0\50\5b902232-1b62a2d6-n\Decora-SSE.dll
2009-04-22 09:51 . 2009-04-22 09:51 24064 ----a-w c:\documents and settings\ASUS\Dane aplikacji\Sun\Java\Deployment\cache\6.0\15\4e09eacf-6204cb56-n\Decora-D3D.dll
2009-04-22 09:51 . 2009-04-22 09:51 315392 ----a-w c:\documents and settings\ASUS\Dane aplikacji\Sun\Java\Deployment\cache\6.0\62\6baea4fe-78ae34d5-n\jogl.dll
2009-04-22 09:51 . 2009-04-22 09:51 20480 ----a-w c:\documents and settings\ASUS\Dane aplikacji\Sun\Java\Deployment\cache\6.0\62\6baea4fe-78ae34d5-n\jogl_awt.dll
2009-04-22 09:51 . 2009-04-22 09:51 114688 ----a-w c:\documents and settings\ASUS\Dane aplikacji\Sun\Java\Deployment\cache\6.0\62\6baea4fe-78ae34d5-n\jogl_cg.dll
2009-04-22 09:51 . 2009-04-22 09:51 20480 ----a-w c:\documents and settings\ASUS\Dane aplikacji\Sun\Java\Deployment\cache\6.0\45\4f710eed-7ca9de0f-n\gluegen-rt.dll
2009-04-22 09:51 . 2009-04-22 09:51 499712 ----a-w c:\documents and settings\ASUS\Dane aplikacji\Sun\Java\Deployment\cache\6.0\33\258cea61-1c97b848-n\msvcp71.dll
2009-04-22 09:51 . 2009-04-22 09:51 499712 ----a-w c:\documents and settings\ASUS\Dane aplikacji\Sun\Java\Deployment\cache\6.0\33\258cea61-1c97b848-n\jmc.dll
2009-04-22 09:51 . 2009-04-22 09:51 348160 ----a-w c:\documents and settings\ASUS\Dane aplikacji\Sun\Java\Deployment\cache\6.0\33\258cea61-1c97b848-n\msvcr71.dll
2009-04-22 09:50 . 2009-04-22 09:51 410984 ----a-w c:\windows\system32\deploytk.dll
2009-04-22 09:50 . 2009-04-22 09:50 152576 ----a-w c:\documents and settings\ASUS\Dane aplikacji\Sun\Java\jre1.6.0_13\lzma.dll
2009-04-22 06:42 . 2009-04-22 06:42 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\TEMP
2009-04-22 06:21 . 2009-04-22 06:20 -------- d-----w c:\program files\Alwil Software
2009-04-22 06:15 . 2009-04-22 06:15 -------- d-----w c:\documents and settings\ASUS\Dane aplikacji\VirusRemover2009
.
((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“CTFMON.EXE”=“c:\windows\system32\ctfmon.exe” [2006-03-02 15360]
“StartCCC”=“c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe” [2006-11-10 90112]
“MSMSGS”=“c:\program files\Messenger\msmsgs.exe” [2004-10-13 1694208]
“H/PC Connection Agent”=“c:\program files\Microsoft ActiveSync\wcescomm.exe” [2006-11-13 1289000]
“Orb”=“c:\program files\Winamp Remote\bin\OrbTray.exe” [2008-04-01 507904]
“Nowe Gadu-Gadu”=“c:\program files\Nowe Gadu-Gadu\gg.exe” [2009-02-27 9339496]
“Skype”=“c:\program files\Skype\Phone\Skype.exe” [2009-04-21 24264488]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“Kalendarz nauczyciela Free”=“H” [X]
“ATKOSD2”=“c:\program files\ATKOSD2\ATKOSD2.exe” [2007-07-03 7708672]
“ATKHOTKEY”=“c:\program files\ATK Hotkey\Hcontrol.exe” [2007-07-12 225280]
“ATKMEDIA”=“c:\program files\ASUS\ATK Media\DMEDIA.EXE” [2006-11-02 61440]
“ASUS Live Update”=“c:\program files\ASUS\ASUS Live Update\ALU.exe” [2007-07-19 49520]
“SynTPEnh”=“c:\program files\Synaptics\SynTP\SynTPEnh.exe” [2006-05-25 786521]
“ACMON”=“c:\program files\ASUS\Splendid\ACMON.exe” [2007-07-10 851968]
“ABLKSR”=“c:\windows\ABLKSR\ABLKSR.exe” [2006-01-02 61440]
“NeroFilterCheck”=“c:\windows\system32\NeroCheck.exe” [2006-01-12 155648]
“Power_Gear”=“c:\program files\ASUS\Power4 Gear\BatteryLife.exe” [2006-07-26 90112]
“PowerForPhone”=“c:\program files\P4P\P4P.exe” [2007-07-19 778240]
“Wireless Console 2”=“c:\program files\Wireless Console 2\wcourier.exe” [2007-07-05 1040384]
“ASUSTPE”=“c:\windows\system32\ASUSTPE.exe” [2007-01-16 106496]
“ASUS Camera ScreenSaver”=“c:\windows\ASScrProlog.exe” [2007-12-12 37232]
“ASUS Screen Saver Protector”=“c:\windows\ASScrPro.exe” [2007-12-12 33136]
“WinampAgent”=“d:\programy\Winamp\winampa.exe” [2008-08-03 36352]
“TWCU”=“c:\program files\TP-LINK\TWCU.exe” [2007-04-10 479412]
“SunJavaUpdateSched”=“c:\program files\Java\jre6\bin\jusched.exe” [2009-04-22 148888]
“egui”=“d:\programy 2\egui.exe” [2009-02-06 2021400]
“RTHDCPL”=“RTHDCPL.EXE” - c:\windows\RTHDCPL.exe [2006-10-30 16269312]
“SkyTel”=“SkyTel.EXE” - c:\windows\SkyTel.exe [2006-05-16 2879488]
[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
“CTFMON.EXE”=“c:\windows\system32\CTFMON.EXE” [2006-03-02 15360]
c:\documents and settings\ASUS\Menu Start\Programy\Autostart\
CCC.lnk - c:\program files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe [2006-9-29 49152]
c:\documents and settings\All Users\Menu Start\Programy\Autostart\
Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe [2006-10-23 40048]
Adobe Reader Synchronizer.lnk - c:\program files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe [2006-10-23 734872]
Bluetooth Manager.lnk - c:\program files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe [2007-5-22 2756608]
Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [2000-1-21 65588]
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32
“wave1”= serwvdrv.dll
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
“AntiVirusDisableNotify”=dword:00000001
“UpdatesDisableNotify”=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
“DisableMonitoring”=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
“DisableMonitoring”=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
“DisableMonitoring”=dword:00000001
[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
“%windir%\system32\sessmgr.exe”=
“c:\program files\Microsoft ActiveSync\rapimgr.exe”= c:\program files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
“c:\program files\Microsoft ActiveSync\wcescomm.exe”= c:\program files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
“c:\program files\Microsoft ActiveSync\WCESMgr.exe”= c:\program files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
“c:\Program Files\Winamp Remote\bin\Orb.exe”=
“c:\Program Files\Winamp Remote\bin\OrbTray.exe”=
“c:\Program Files\Winamp Remote\bin\OrbStreamerClient.exe”=
“c:\Program Files\Nowe Gadu-Gadu\gg.exe”=
“c:\Program Files\Skype\Phone\Skype.exe”=
[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
“26675:TCP”= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2009-01-13 111184]
R1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [2009-02-06 106208]
R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [2009-02-06 93336]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2009-01-13 20560]
R2 ekrn;ESET Service;d:\programy 2\ekrn.exe [2009-02-06 727720]
R2 NwSapAgent;Agent SAP;c:\windows\system32\svchost.exe -k netsvcs [2006-08-27 14336]
R2 StkSSrv;Syntek AVStream USB2.0 WebCam Service;c:\windows\system32\StkCSrv.exe [2007-04-18 24576]
R3 StkCMini;Syntek AVStream USB2.0 1.3M WebCam;c:\windows\system32\drivers\StkCMini.sys [2007-06-05 1260672]
R3 WSIMD;wsimd Service;c:\windows\system32\drivers\wsimd.sys [2009-01-25 55840]
— Inne Usługi/Sterowniki w Pamięci —
*NewlyCreated* - getpadd
*Deregistered* - getpadd
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\ccc-core-static]
msiexec /fums {857D4360-762B-978B-76AD-491AA719E47A} /qb
.
HKLM-Run-avast! - d:\programy\ashDisp.exe
SafeBoot-procexp90.sys
.
------- Skan uzupełniający -------
.
uStart Page = hxxp://www.google.pl/
IE: &Google Search - c:\program files\Google\googletoolbar.dll/cmsearch.html
IE: &Winamp Search - c:\documents and settings\All Users\Dane aplikacji\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
IE: Backward &Links - c:\program files\Google\googletoolbar.dll/cmbacklinks.html
IE: Cac&hed Snapshot of Page - c:\program files\Google\googletoolbar.dll/cmcache.html
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
IE: Si&milar Pages - c:\program files\Google\googletoolbar.dll/cmsimilar.html
IE: Translate into English - c:\program files\Google\googletoolbar.dll/cmtrans.html
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-29 19:20
Windows 5.1.2600 Dodatek Service Pack 2 FAT NTAPI
skanowanie ukrytych procesów …
skanowanie ukrytych wpisów autostartu …
skanowanie ukrytych plików …
skanowanie pomyślnie ukończone
ukryte pliki: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\2290245]
“ImagePath”="\SystemRoot\System32\drivers\2290245.sys"
.
--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\msi.dll
c:\windows\system32\browselc.dll
c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
c:\windows\system32\StkCWIA.dll
c:\program files\Common Files\Adobe\Acrobat\ActiveX\PDFShell.dll
.
------------------------ Pozostałe uruchomione procesy ------------------------
.
c:\windows\SYSTEM32\ATI2EVXX.EXE
c:\windows\SYSTEM32\ATI2EVXX.EXE
c:\windows\SYSTEM32\ACS.EXE
c:\windows\SYSTEM32\ACENGSVR.EXE
c:\program files\ATI TECHNOLOGIES\ATI.ACE\CORE-STATIC\MOM.EXE
c:\program files\MICROSOFT ACTIVESYNC\RAPIMGR.EXE
c:\program files\ATK HOTKEY\ATKOSD.EXE
c:\program files\JAVA\JRE6\BIN\JQS.EXE
c:\program files\COMMON FILES\LIGHTSCRIBE\LSSRVC.EXE
c:\program files\ASUS\NB PROBE\SPM\SPMGR.EXE
c:\program files\TOSHIBA\BLUETOOTH TOSHIBA STACK\TOSBTSRV.EXE
c:\windows\system32\wdfmgr.exe
c:\program files\ATK HOTKEY\KBFILTR.EXE
c:\program files\ATK HOTKEY\WDC.EXE
c:\program files\TOSHIBA\BLUETOOTH TOSHIBA STACK\TOSA2DP.EXE
c:\program files\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\program files\Skype\Plugin Manager\skypePM.exe
.
**************************************************************************
.
Czas ukończenia: 2009-05-29 19:23 - komputer został uruchomiony ponownie
ComboFix-quarantined-files.txt 2009-05-29 17:23
Przed: 57 717 096 448 bajtów wolnych
Po: 57 864 421 376 bajtów wolnych
206 — E O F — 2009-01-15 11:20
Nie wszystko się usunęło. Wklej do notatnika
Robisz to samo co poprzednio.
Jaki masz aktualnie antywirus? Podejrzewam, że Avast ale chę się upewnić.