Mam w kompie pliki 3o.exe i wupdmgr.exe

andrzej154 · 11 Kwiecień 2008 16:56

Od pewnego czasu mam problem ze startem komputera. Muszę kilkakrotnie włączac i wylączc komputer aby ten wystartował. Ponadto mój antywirus Norton daje mi komunikaty o wykryciu wirusów, ale informuje mnie o braku możliwości dostępu do pliku jak również o tym, że nie można go naprawic. Wirusy najprawdopodobnie ściągnąłem sobie przez Pen Driva. Oto nazwy wirusów z Nortona AntiVirus: Backdoor.Graybird oraz W32.Gammima.AG, byc może jest ich więcej. Nie wiem za bardzo co robic i dziwi mnie, że tyle płaci się za program antywirusowy, a ten je przepuszcza. Jak się nic nie uda mam zamiar przeprowadzic format dysku.

Leon1 · 11 Kwiecień 2008 17:00

Wyłącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

Wylecz pendriva lub kartę pamięci http://www.softpedia.com/get/Security/S … Tool.shtml lub format

Pobierz Combofix http://www.searchengines.pl/index.php?s … ntry395642 przeskanuj daj log

andrzej154 · 11 Kwiecień 2008 17:08

ComboFix 08-04-10.9 - Andrzej Skonieczny 2008-04-11 17:30:05.1 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.418 [GMT 2:00]

Running from: I:PulpitComboFix.exe

* Created a new restore point

* Resident AV is active

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED

.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

G:WINDOWSsystem32_000002_.tmp.dll

G:WINDOWSsystem32_000003_.tmp.dll

G:WINDOWSsystem32_000004_.tmp.dll

G:WINDOWSsystem32_000006_.tmp.dll

G:WINDOWSsystem32_000007_.tmp.dll

G:WINDOWSsystem32_000008_.tmp.dll

G:WINDOWSsystem32_000009_.tmp.dll

G:WINDOWSsystem32_000010_.tmp.dll

G:WINDOWSsystem32_000020_.tmp.dll

.

((((((((((((((((((((((((( Files Created from 2008-03-11 to 2008-04-11 )))))))))))))))))))))))))))))))

.

2008-04-05 22:15 . 2008-04-05 22:15

2008-04-05 20:54 . 2008-01-18 19:44

2008-04-05 20:54 . 2008-01-18 18:52

2008-04-05 20:54 . 2008-01-18 19:44

2008-04-05 20:54 . 2008-04-05 22:15

2008-04-05 20:54 . 2008-01-18 19:44

2008-04-05 20:54 . 2008-04-05 22:15

2008-04-05 20:24 . 2008-04-06 17:15

2008-04-05 20:20 . 2008-04-05 20:24

2008-04-05 20:20 . 2008-04-05 20:20

2008-04-05 20:20 . 2006-05-25 14:52 162,304 --a------ G:WINDOWSsystem32ztvunrar36.dll

2008-04-05 20:20 . 2003-02-02 19:06 153,088 --a------ G:WINDOWSsystem32UNRAR3.dll

2008-04-05 20:20 . 2005-08-26 00:50 77,312 --a------ G:WINDOWSsystem32ztvunace26.dll

2008-04-05 20:20 . 2002-03-06 00:00 75,264 --a------ G:WINDOWSsystem32unacev2.dll

2008-04-05 20:20 . 2006-06-19 12:01 69,632 --a------ G:WINDOWSsystem32ztvcabinet.dll

2008-04-05 12:40 . 2008-04-05 12:40

2008-03-29 23:02 . 2008-03-29 23:02

2008-03-29 22:59 . 2008-03-29 22:59

2008-03-29 22:55 . 2008-03-29 22:55

2008-03-29 21:07 . 2008-03-29 21:07

2008-03-29 01:20 . 2008-03-29 01:20

2008-03-29 00:55 . 2008-03-29 00:55

2008-03-29 00:55 . 2005-10-21 03:47 30,592 --------- G:WINDOWSsystem32driversrndismpx.sys

2008-03-29 00:55 . 2005-10-21 03:47 12,800 --------- G:WINDOWSsystem32driversusb8023x.sys

2008-03-16 19:34 . 2008-03-16 19:51

2008-03-16 19:34 . 2008-03-16 20:34

2008-03-16 11:27 . 2008-03-16 11:27

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-04-11 15:37 --------- d-----w G:Program FilescFosSpeed

2008-04-11 15:15 --------- d-----w G:Program FilesKalendarz XP

2008-04-11 15:15 --------- d-----w G:Documents and SettingsAndrzej SkoniecznyDane aplikacjiSkype

2008-04-11 14:23 --------- d-----w G:Documents and SettingsAndrzej SkoniecznyDane aplikacjiskypePM

2008-04-10 20:27 --------- d-----w G:Program FilesCommon FilesSymantec Shared

2008-04-03 23:04 --------- d-----w G:Program FilesNorton Internet Security

2008-04-01 20:22 --------- d-----w G:Program FileseMule

2008-03-29 20:55 --------- d–h--w G:Program FilesInstallShield Installation Information

2008-03-28 23:00 --------- d-----w G:Program FilesESET

2008-03-20 08:09 1,845,504 ----a-w G:WINDOWSsystem32win32k.sys

2008-03-19 22:29 --------- d-----w G:Program FilesDrzewo Genealogiczne II

2008-03-09 21:34 --------- d-----w G:Program FilesLizardTech

2008-03-07 21:16 --------- d-----w G:Program FilesDeluxe Ski Jump 3

2008-03-01 21:23 --------- d-----w G:Program FilesSereneScreen

2008-03-01 13:02 826,368 ----a-w G:WINDOWSsystem32wininet.dll

2008-02-26 19:46 805 ----a-w G:WINDOWSsystem32driversSYMEVENT.INF

2008-02-26 19:46 60,800 ----a-w G:WINDOWSsystem32S32EVNT1.DLL

2008-02-26 19:46 123,952 ----a-w G:WINDOWSsystem32driversSYMEVENT.SYS

2008-02-26 19:46 10,740 ----a-w G:WINDOWSsystem32driversSYMEVENT.CAT

2008-02-26 19:46 --------- d-----w G:Program FilesSymantec

2008-02-26 19:23 --------- d-----w G:Documents and SettingsAll UsersDane aplikacjiSymantec

2008-02-26 17:47 --------- d-----w G:Documents and SettingsAndrzej SkoniecznyDane aplikacjiSymantec

2008-02-24 23:24 --------- d-----w G:Program FilesEggsucker

2008-02-23 17:35 --------- d-----w G:Program FilesNSS

2008-02-22 21:13 --------- d-----w G:Program FilesWapSter

2008-02-21 21:55 --------- d-----w G:Documents and SettingsAndrzej SkoniecznyDane aplikacjiGadu-Gadu

2008-02-21 21:53 --------- d-----w G:Program FilesGadu-Gadu

2008-02-20 06:51 282,624 ----a-w G:WINDOWSsystem32gdi32.dll

2008-02-20 05:38 45,568 ----a-w G:WINDOWSsystem32dnsrslvr.dll

2008-02-16 21:35 32 ----a-w G:Documents and SettingsAll UsersDane aplikacjiezsid.dat

2008-02-16 21:33 --------- d-----w G:Program FilesSkype

2008-02-16 21:33 --------- d-----w G:Program FilesCommon FilesSkype

2008-02-16 21:33 --------- d-----w G:Documents and SettingsAll UsersDane aplikacjiSkype

2008-02-14 22:16 --------- d-----w G:Program FilesMSXML 4.0

2008-02-14 20:37 --------- d-----w G:Documents and SettingsAndrzej SkoniecznyDane aplikacjiNokia

2008-02-14 20:36 --------- d-----w G:Documents and SettingsAll UsersDane aplikacjiInstallations

2008-02-14 18:43 --------- d-----w G:Documents and SettingsAll UsersDane aplikacjiNokia

2008-02-14 18:42 --------- d-----w G:Program FilesNokia

2008-02-14 18:42 --------- d-----w G:Program FilesCommon FilesNokia

2008-02-14 18:25 --------- d-----w G:Documents and SettingsAndrzej SkoniecznyDane aplikacjiPC Suite

2008-02-14 17:39 --------- d-----w G:Program FilesDIFX

2008-02-14 17:39 --------- d-----w G:Program FilesCommon FilesPCSuite

2008-02-14 17:38 --------- d-----w G:Documents and SettingsAll UsersDane aplikacjiDownloaded Installations

2008-02-14 17:37 --------- d-----w G:Program FilesPC Connectivity Solution

2008-02-14 17:32 --------- d-----w G:Documents and SettingsAll UsersDane aplikacjiPC Suite

2008-02-13 21:23 --------- d-----w G:Program FilesCommon FilesAdobe

2008-02-12 14:16 717,016 ----a-r G:WINDOWSsystem32driverscfosspeed.sys

2008-02-12 14:16 285,912 ----a-w G:WINDOWSsystem32cfosspeed.dll

2008-02-11 19:37 --------- d-----w G:Program FilesMonety

2008-01-27 19:59 86,016 ----a-w G:WINDOWSsystem32OpenAL32.dll

2008-01-27 19:59 409,600 ----a-w G:WINDOWSsystem32wrap_oal.dll

2008-01-20 19:51 274,432 ----a-w G:WINDOWSsystem32imon.dll

2007-09-27 15:02 2,510,070 ----a-w G:WINDOWSinfSETB8.tmp

2004-08-04 12:00 1,545,692 ----a-w G:WINDOWSinfSET12E.tmp

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

*Note* empty entries legit default entries are not shown

REGEDIT4

[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]

“CTFMON.EXE”=“G:WINDOWSsystem32ctfmon.exe” [2004-08-04 14:00 15360]

“MSMSGS”=“G:Program FilesMessengermsmsgs.exe” [2004-10-13 18:24 1694208]

“Skype”=“G:Program FilesSkypePhoneSkype.exe” [2007-12-12 16:23 21686568]

“H/PC Connection Agent”=“G:Program FilesMicrosoft ActiveSyncWcescomm.exe” [2006-11-13 16:57 1289000]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]

“ccApp”=“G:Program FilesCommon FilesSymantec SharedccApp.exe” [2007-03-01 13:29 52840]

“Symantec PIF AlertEng”=“G:Program FilesCommon FilesSymantec SharedPIF{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}PIFSvc.exe” [2007-03-12 12:22 517768]

“Norton Ghost 12.0”=“G:Program FilesNorton GhostAgentVProTray.exe” [2008-01-10 05:43 2037088]

“itype”=“G:Program FilesMicrosoft IntelliType Proitype.exe” [2006-11-21 18:08 813912]

“IntelliPoint”=“G:Program FilesMicrosoft IntelliPointipoint.exe” [2007-08-31 13:01 1037736]

“StartCCC”=“G:Program FilesATI TechnologiesATI.ACECore-StaticCLIStart.exe” [2006-11-10 13:35 90112]

“DT LGE”=“G:Program FilesPortrait DisplaysforteManagerDTHtml.exe” [2007-04-13 18:55 288256]

“NeroFilterCheck”=“G:WINDOWSsystem32NeroCheck.exe” [2006-01-12 17:40 155648]

“RaidTool”=“G:Program FilesVIARAIDraid_tool.exe” [2005-04-27 04:22 589824]

“LXSUPMON”=“G:WINDOWSsystem32LXSUPMON.exe” [2002-01-28 14:48 885760]

“CTHelper”=“CTHELPER.EXE” [2006-08-11 15:56 17920 G:WINDOWSCTHELPER.EXE]

“CTxfiHlp”=“CTXFIHLP.EXE” [2006-08-11 15:56 18944 G:WINDOWSsystem32CTXFIHLP.EXE]

“cFosSpeed”=“G:Program FilescFosSpeedcFosSpeed.exe” [2008-02-12 16:16 863448]

“Adobe Reader Speed Launcher”=“G:Program FilesAdobeReader 8.0ReaderReader_sl.exe” [2007-05-11 14:06 40048]

“NSLauncher”=“G:Program FilesNokiaNokia Software LauncherNSLauncher.exe” [2006-11-28 02:12 2658304]

“RemoteControl”=“G:Program FilesCyberLinkPowerDVDPDVDServ.exe” [2005-01-12 04:01 32768]

“TrojanScanner”=“G:Program FilesTrojan RemoverTrjscan.exe” [2008-04-05 20:22 874064]

[HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]

“CTFMON.EXE”=“G:WINDOWSsystem32CTFMON.EXE” [2004-08-04 14:00 15360]

“Nokia.PCSync”=“G:Program FilesNokiaNokia PC Suite 6PcSync2.exe” [2007-11-07 18:35 1294336]

G:Documents and SettingsAndrzej SkoniecznyMenu StartProgramyAutostart

Picture Motion Browser Media Check Tool.lnk - G:Program FilesSonySony Picture UtilityVolumeWatcherSPUVolumeWatcher.exe [2008-02-02 23:59:38 229376]

G:Documents and SettingsAll UsersMenu StartProgramyAutostart

Adobe Gamma Loader.lnk - G:Program FilesCommon FilesAdobeCalibrationAdobe Gamma Loader.exe [2008-02-03 00:29:04 113664]

Kalendarz XP.lnk - G:Program FilesKalendarz XPKalendarz.exe [2008-01-20 19:24:01 882176]

Norton GoBack.lnk - G:Program FilesNorton SystemWorksNorton GoBackGBTray.exe [2005-11-14 09:24:04 861872]

[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionpoliciesexplorer]

“NoViewOnDrive”= 0 (0x0)

[HKLM~startupfolderG:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Przypominacz.lnk]

path=G:Documents and SettingsAll UsersMenu StartProgramyAutostartPrzypominacz.lnk

backup=G:WINDOWSpssPrzypominacz.lnkCommon Startup

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregnod32kui]

–a------ 2008-01-20 21:51 921600 G:Program FilesEsetnod32kui.exe

[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity center]

“AntiVirusDisableNotify”=dword:00000001

[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity centerMonitoringSymantecAntiVirus]

“DisableMonitoring”=dword:00000001

[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity centerMonitoringSymantecFirewall]

“DisableMonitoring”=dword:00000001

[HKLM~servicessharedaccessparametersfirewallpolicystandardprofile]

“EnableFirewall”= 0 (0x0)

[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]

“%windir%\system32\sessmgr.exe”=

“G:\Program Files\uTorrent\uTorrent.exe”=

“G:Program FilesMicrosoft ActiveSyncrapimgr.exe”= G:Program FilesMicrosoft ActiveSyncrapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager

“G:Program FilesMicrosoft ActiveSyncwcescomm.exe”= G:Program FilesMicrosoft ActiveSyncwcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager

“G:Program FilesMicrosoft ActiveSyncWCESMgr.exe”= G:Program FilesMicrosoft ActiveSyncWCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application

“G:\Program Files\Skype\Phone\Skype.exe”=

[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileGloballyOpenPortsList]

“26675:TCP”= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R3 USBSTOR;Sterownik magazynu masowego USB;G:WINDOWSsystem32DRIVERSUSBSTOR.SYS [2004-08-04 00:08]

[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{98910531-daf9-11dc-a9b9-001d60a3edfc}]

ShellAutocommand - J:wupdmgr.exe

ShellAutoRuncommand - G:WINDOWSsystem32RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wupdmgr.exe

[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{e306c795-cd12-11dc-8b7a-001d60a3edfc}]

ShellAutocommand - J:wupdmgr.exe

ShellAutoRuncommand - G:WINDOWSsystem32RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wupdmgr.exe

*Newly Created Service* - COMHOST

.

Contents of the ‘Scheduled Tasks’ folder

“2008-04-04 18:00:40 G:WINDOWSTasksNorton AntiVirus - Uruchom peĹ‚ne skanowanie systemu - Andrzej Skonieczny.job”

G:PROGRA~1NORTON~2NORTON~1Navw32.exef/TASK:

.

**************************************************************************

catchme 0.3.1351 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-04-11 17:37:22

Windows 5.1.2600 Dodatek Service Pack 2 NTFS

scanning hidden processes …

scanning hidden autostart entries …

scanning hidden files …

scan completed successfully

hidden files: 0

**************************************************************************

.

--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: G:WINDOWSsystem32lsass.exe

G:Program FilesEsetpr_imon.dll

.

Completion time: 2008-04-11 17:38:59

ComboFix-quarantined-files.txt 2008-04-11 15:38:33

Pre-Run: 24,241,684,480 bajtĂłw wolnych

Post-Run: 24,223,395,840 bajtĂłw wolnych

.

2008-04-09 17:08:10 — E O F —

Leon1 · 11 Kwiecień 2008 17:11

Źle wklejony log brak ukośników w ścieżkach popraw

andrzej154 · 11 Kwiecień 2008 17:26

Czytam porady, ale za bardzo nie wiem jak mam wkleic loga? Mam go wygenerowanego, ale wkleja mi go bez ukośników. Co mam zrobic?

andrzej154 · 11 Kwiecień 2008 17:29

ComboFix 08-04-10.9 - Andrzej Skonieczny 2008-04-11 17:30:05.1 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.418 [GMT 2:00]

Running from: I:\Pulpit\ComboFix.exe

* Created a new restore point

* Resident AV is active

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED

.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

G:\WINDOWS\system32_000002_.tmp.dll

G:\WINDOWS\system32_000003_.tmp.dll

G:\WINDOWS\system32_000004_.tmp.dll

G:\WINDOWS\system32_000006_.tmp.dll

G:\WINDOWS\system32_000007_.tmp.dll

G:\WINDOWS\system32_000008_.tmp.dll

G:\WINDOWS\system32_000009_.tmp.dll

G:\WINDOWS\system32_000010_.tmp.dll

G:\WINDOWS\system32_000020_.tmp.dll

.

((((((((((((((((((((((((( Files Created from 2008-03-11 to 2008-04-11 )))))))))))))))))))))))))))))))

.

2008-04-05 22:15 . 2008-04-05 22:15

2008-04-05 20:54 . 2008-01-18 19:44

2008-04-05 20:54 . 2008-01-18 18:52

2008-04-05 20:54 . 2008-01-18 19:44

2008-04-05 20:54 . 2008-04-05 22:15

2008-04-05 20:54 . 2008-01-18 19:44

2008-04-05 20:54 . 2008-04-05 22:15

2008-04-05 20:24 . 2008-04-06 17:15

2008-04-05 20:20 . 2008-04-05 20:24

2008-04-05 20:20 . 2008-04-05 20:20

2008-04-05 20:20 . 2006-05-25 14:52 162,304 --a------ G:\WINDOWS\system32\ztvunrar36.dll

2008-04-05 20:20 . 2003-02-02 19:06 153,088 --a------ G:\WINDOWS\system32\UNRAR3.dll

2008-04-05 20:20 . 2005-08-26 00:50 77,312 --a------ G:\WINDOWS\system32\ztvunace26.dll

2008-04-05 20:20 . 2002-03-06 00:00 75,264 --a------ G:\WINDOWS\system32\unacev2.dll

2008-04-05 20:20 . 2006-06-19 12:01 69,632 --a------ G:\WINDOWS\system32\ztvcabinet.dll

2008-04-05 12:40 . 2008-04-05 12:40

2008-03-29 23:02 . 2008-03-29 23:02

2008-03-29 22:59 . 2008-03-29 22:59

2008-03-29 22:55 . 2008-03-29 22:55

2008-03-29 21:07 . 2008-03-29 21:07

2008-03-29 01:20 . 2008-03-29 01:20

2008-03-29 00:55 . 2008-03-29 00:55

2008-03-29 00:55 . 2005-10-21 03:47 30,592 --------- G:\WINDOWS\system32\drivers\rndismpx.sys

2008-03-29 00:55 . 2005-10-21 03:47 12,800 --------- G:\WINDOWS\system32\drivers\usb8023x.sys

2008-03-16 19:34 . 2008-03-16 19:51

2008-03-16 19:34 . 2008-03-16 20:34

2008-03-16 11:27 . 2008-03-16 11:27

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-04-11 15:37 --------- d-----w G:\Program Files\cFosSpeed

2008-04-11 15:15 --------- d-----w G:\Program Files\Kalendarz XP

2008-04-11 15:15 --------- d-----w G:\Documents and Settings\Andrzej Skonieczny\Dane aplikacji\Skype

2008-04-11 14:23 --------- d-----w G:\Documents and Settings\Andrzej Skonieczny\Dane aplikacji\skypePM

2008-04-10 20:27 --------- d-----w G:\Program Files\Common Files\Symantec Shared

2008-04-03 23:04 --------- d-----w G:\Program Files\Norton Internet Security

2008-04-01 20:22 --------- d-----w G:\Program Files\eMule

2008-03-29 20:55 --------- d–h--w G:\Program Files\InstallShield Installation Information

2008-03-28 23:00 --------- d-----w G:\Program Files\ESET

2008-03-20 08:09 1,845,504 ----a-w G:\WINDOWS\system32\win32k.sys

2008-03-19 22:29 --------- d-----w G:\Program Files\Drzewo Genealogiczne II

2008-03-09 21:34 --------- d-----w G:\Program Files\LizardTech

2008-03-07 21:16 --------- d-----w G:\Program Files\Deluxe Ski Jump 3

2008-03-01 21:23 --------- d-----w G:\Program Files\SereneScreen

2008-03-01 13:02 826,368 ----a-w G:\WINDOWS\system32\wininet.dll

2008-02-26 19:46 805 ----a-w G:\WINDOWS\system32\drivers\SYMEVENT.INF

2008-02-26 19:46 60,800 ----a-w G:\WINDOWS\system32\S32EVNT1.DLL

2008-02-26 19:46 123,952 ----a-w G:\WINDOWS\system32\drivers\SYMEVENT.SYS

2008-02-26 19:46 10,740 ----a-w G:\WINDOWS\system32\drivers\SYMEVENT.CAT

2008-02-26 19:46 --------- d-----w G:\Program Files\Symantec

2008-02-26 19:23 --------- d-----w G:\Documents and Settings\All Users\Dane aplikacji\Symantec

2008-02-26 17:47 --------- d-----w G:\Documents and Settings\Andrzej Skonieczny\Dane aplikacji\Symantec

2008-02-24 23:24 --------- d-----w G:\Program Files\Eggsucker

2008-02-23 17:35 --------- d-----w G:\Program Files\NSS

2008-02-22 21:13 --------- d-----w G:\Program Files\WapSter

2008-02-21 21:55 --------- d-----w G:\Documents and Settings\Andrzej Skonieczny\Dane aplikacji\Gadu-Gadu

2008-02-21 21:53 --------- d-----w G:\Program Files\Gadu-Gadu

2008-02-20 06:51 282,624 ----a-w G:\WINDOWS\system32\gdi32.dll

2008-02-20 05:38 45,568 ----a-w G:\WINDOWS\system32\dnsrslvr.dll

2008-02-16 21:35 32 ----a-w G:\Documents and Settings\All Users\Dane aplikacji\ezsid.dat

2008-02-16 21:33 --------- d-----w G:\Program Files\Skype

2008-02-16 21:33 --------- d-----w G:\Program Files\Common Files\Skype

2008-02-16 21:33 --------- d-----w G:\Documents and Settings\All Users\Dane aplikacji\Skype

2008-02-14 22:16 --------- d-----w G:\Program Files\MSXML 4.0

2008-02-14 20:37 --------- d-----w G:\Documents and Settings\Andrzej Skonieczny\Dane aplikacji\Nokia

2008-02-14 20:36 --------- d-----w G:\Documents and Settings\All Users\Dane aplikacji\Installations

2008-02-14 18:43 --------- d-----w G:\Documents and Settings\All Users\Dane aplikacji\Nokia

2008-02-14 18:42 --------- d-----w G:\Program Files\Nokia

2008-02-14 18:42 --------- d-----w G:\Program Files\Common Files\Nokia

2008-02-14 18:25 --------- d-----w G:\Documents and Settings\Andrzej Skonieczny\Dane aplikacji\PC Suite

2008-02-14 17:39 --------- d-----w G:\Program Files\DIFX

2008-02-14 17:39 --------- d-----w G:\Program Files\Common Files\PCSuite

2008-02-14 17:38 --------- d-----w G:\Documents and Settings\All Users\Dane aplikacji\Downloaded Installations

2008-02-14 17:37 --------- d-----w G:\Program Files\PC Connectivity Solution

2008-02-14 17:32 --------- d-----w G:\Documents and Settings\All Users\Dane aplikacji\PC Suite

2008-02-13 21:23 --------- d-----w G:\Program Files\Common Files\Adobe

2008-02-12 14:16 717,016 ----a-r G:\WINDOWS\system32\drivers\cfosspeed.sys

2008-02-12 14:16 285,912 ----a-w G:\WINDOWS\system32\cfosspeed.dll

2008-02-11 19:37 --------- d-----w G:\Program Files\Monety

2008-01-27 19:59 86,016 ----a-w G:\WINDOWS\system32\OpenAL32.dll

2008-01-27 19:59 409,600 ----a-w G:\WINDOWS\system32\wrap_oal.dll

2008-01-20 19:51 274,432 ----a-w G:\WINDOWS\system32\imon.dll

2007-09-27 15:02 2,510,070 ----a-w G:\WINDOWS\inf\SETB8.tmp

2004-08-04 12:00 1,545,692 ----a-w G:\WINDOWS\inf\SET12E.tmp

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

*Note* empty entries legit default entries are not shown

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“CTFMON.EXE”=“G:\WINDOWS\system32\ctfmon.exe” [2004-08-04 14:00 15360]

“MSMSGS”=“G:\Program Files\Messenger\msmsgs.exe” [2004-10-13 18:24 1694208]

“Skype”=“G:\Program Files\Skype\Phone\Skype.exe” [2007-12-12 16:23 21686568]

“H/PC Connection Agent”=“G:\Program Files\Microsoft ActiveSync\Wcescomm.exe” [2006-11-13 16:57 1289000]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“ccApp”=“G:\Program Files\Common Files\Symantec Shared\ccApp.exe” [2007-03-01 13:29 52840]

“Symantec PIF AlertEng”=“G:\Program Files\Common Files\Symantec Shared\PIF{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe” [2007-03-12 12:22 517768]

“Norton Ghost 12.0”=“G:\Program Files\Norton Ghost\Agent\VProTray.exe” [2008-01-10 05:43 2037088]

“itype”=“G:\Program Files\Microsoft IntelliType Pro\itype.exe” [2006-11-21 18:08 813912]

“IntelliPoint”=“G:\Program Files\Microsoft IntelliPoint\ipoint.exe” [2007-08-31 13:01 1037736]

“StartCCC”=“G:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe” [2006-11-10 13:35 90112]

“DT LGE”=“G:\Program Files\Portrait Displays\forteManager\DTHtml.exe” [2007-04-13 18:55 288256]

“NeroFilterCheck”=“G:\WINDOWS\system32\NeroCheck.exe” [2006-01-12 17:40 155648]

“RaidTool”=“G:\Program Files\VIA\RAID\raid_tool.exe” [2005-04-27 04:22 589824]

“LXSUPMON”=“G:\WINDOWS\system32\LXSUPMON.exe” [2002-01-28 14:48 885760]

“CTHelper”=“CTHELPER.EXE” [2006-08-11 15:56 17920 G:\WINDOWS\CTHELPER.EXE]

“CTxfiHlp”=“CTXFIHLP.EXE” [2006-08-11 15:56 18944 G:\WINDOWS\system32\CTXFIHLP.EXE]

“cFosSpeed”=“G:\Program Files\cFosSpeed\cFosSpeed.exe” [2008-02-12 16:16 863448]

“Adobe Reader Speed Launcher”=“G:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe” [2007-05-11 14:06 40048]

“NSLauncher”=“G:\Program Files\Nokia\Nokia Software Launcher\NSLauncher.exe” [2006-11-28 02:12 2658304]

“RemoteControl”=“G:\Program Files\CyberLink\PowerDVD\PDVDServ.exe” [2005-01-12 04:01 32768]

“TrojanScanner”=“G:\Program Files\Trojan Remover\Trjscan.exe” [2008-04-05 20:22 874064]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

“CTFMON.EXE”=“G:\WINDOWS\system32\CTFMON.EXE” [2004-08-04 14:00 15360]

“Nokia.PCSync”=“G:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe” [2007-11-07 18:35 1294336]

G:\Documents and Settings\Andrzej Skonieczny\Menu Start\Programy\Autostart\

Picture Motion Browser Media Check Tool.lnk - G:\Program Files\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe [2008-02-02 23:59:38 229376]

G:\Documents and Settings\All Users\Menu Start\Programy\Autostart\

Adobe Gamma Loader.lnk - G:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2008-02-03 00:29:04 113664]

Kalendarz XP.lnk - G:\Program Files\Kalendarz XP\Kalendarz.exe [2008-01-20 19:24:01 882176]

Norton GoBack.lnk - G:\Program Files\Norton SystemWorks\Norton GoBack\GBTray.exe [2005-11-14 09:24:04 861872]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

“NoViewOnDrive”= 0 (0x0)

[HKLM~\startupfolder\G:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Przypominacz.lnk]

path=G:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Przypominacz.lnk

backup=G:\WINDOWS\pss\Przypominacz.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nod32kui]

–a------ 2008-01-20 21:51 921600 G:\Program Files\Eset\nod32kui.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

“AntiVirusDisableNotify”=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]

“DisableMonitoring”=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]

“DisableMonitoring”=dword:00000001

[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

“EnableFirewall”= 0 (0x0)

[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

“%windir%\system32\sessmgr.exe”=

“G:\Program Files\uTorrent\uTorrent.exe”=

“G:\Program Files\Microsoft ActiveSync\rapimgr.exe”= G:\Program Files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager

“G:\Program Files\Microsoft ActiveSync\wcescomm.exe”= G:\Program Files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager

“G:\Program Files\Microsoft ActiveSync\WCESMgr.exe”= G:\Program Files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application

“G:\Program Files\Skype\Phone\Skype.exe”=

[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

“26675:TCP”= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R3 USBSTOR;Sterownik magazynu masowego USB;G:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-04 00:08]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{98910531-daf9-11dc-a9b9-001d60a3edfc}]

\Shell\Auto\command - J:\wupdmgr.exe

\Shell\AutoRun\command - G:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wupdmgr.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{e306c795-cd12-11dc-8b7a-001d60a3edfc}]

\Shell\Auto\command - J:\wupdmgr.exe

\Shell\AutoRun\command - G:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wupdmgr.exe

*Newly Created Service* - COMHOST

.

Contents of the ‘Scheduled Tasks’ folder

“2008-04-04 18:00:40 G:\WINDOWS\Tasks\Norton AntiVirus - Uruchom pełne skanowanie systemu - Andrzej Skonieczny.job”

G:\PROGRA~1\NORTON~2\NORTON~1\Navw32.exef/TASK:

.

**************************************************************************

catchme 0.3.1351 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-04-11 17:37:22

Windows 5.1.2600 Dodatek Service Pack 2 NTFS

scanning hidden processes …

scanning hidden autostart entries …

scanning hidden files …

scan completed successfully

hidden files: 0

**************************************************************************

.

--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: G:\WINDOWS\system32\lsass.exe

G:\Program Files\Eset\pr_imon.dll

.

Completion time: 2008-04-11 17:38:59

ComboFix-quarantined-files.txt 2008-04-11 15:38:33

Pre-Run: 24,241,684,480 bajtów wolnych

Post-Run: 24,223,395,840 bajtów wolnych

.

2008-04-09 17:08:10 — E O F —

Leon1 · 11 Kwiecień 2008 17:42

Otwórz notatnik i wklej

zapisz jako plik.reg >> wszystkie pliki >> scal z rejestrem >> restart

powstanie plik o takiej ikonie

w który dwa razy klikniesz potwierdzisz chęć dodania do rejestru potem restart

zrób optymalizacje uruchamiania http://cybertrash.netarteria.pl/cyber/index.php/topic,378.0.html

usuń ręcznie folder C: \Qoobox usuń instalkę Combofix z dysku.

przeskanuj tym http://www.kaspersky.pl/virusscanner.html pokaż raport

włącz przywracanie systemu

andrzej154 · 13 Kwiecień 2008 15:40

Przepraszam, że tak długo nie odzywałem się, ale po tym wszystkim co zrobiłem nadal komuter nie uruchamia się. Muszę startowac z trybu awaryjnego, ale przeskanowałe go i oto raport. Co mam robic dalej. Komputer startuje otwiera wszystko, a w pewnym momencie poprostu zatrzymuje się. Widac, że dioda od twardziela mruga cos tam komp chce zdziałac, ale nie uruchamia do końca systemu.

andrzej154 · 13 Kwiecień 2008 15:41

oto raport po kasperskim

KASPERSKY ONLINE SCANNER REPORT

13 kwiecień 2008 17:34:23

System operacyjny: Microsoft Windows XP Professional, Dodatek Service Pack 2 (Build 2600)

Kaspersky Online Scanner wersja: 5.0.98.0

Ostatnia aktualizacja Kaspersky Anti-Virus13/04/2008

Liczba wpisów w bazie danych Kaspersky Anti-Virus701682

Ustawienia skanowania:

Skanowanie przy użyciu następujących baz danych: rozszerzone

Skanuj archiwa: tak

Skanuj pocztowe bazy danych: tak

Obszar skanowania - Mój komputer:

A:\

C:\

D:\

E:\

F:\

G:\

H:\

I:\

Statystyki skanowania:

Liczba skanowanych obiektów: 54173

Liczba wykrytych wirusów: 2

Liczba zainfekowanych obiektów: 2

Liczba podejrzanych obiektów: 0

Czas trwania skanowania: 01:15:51

Nazwa zainfekowanego obiektu / Nazwa wirusa / Ostatnie działanie

D:\System Volume Information\MountPointManagerRemoteDatabase Object is locked pominięty

G:\Documents and Settings\Administrator\Cookies\index.dat Object is locked pominięty

G:\Documents and Settings\Administrator\Dane aplikacji$_hpcst$.hpc Object is locked pominięty

G:\Documents and Settings\Administrator\NTUSER.DAT Object is locked pominięty

G:\Documents and Settings\Administrator\NTUSER.DAT.LOG Object is locked pominięty

G:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Microsoft\Feeds Cache\index.dat Object is locked pominięty

G:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty

G:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty

G:\Documents and Settings\Administrator\Ustawienia lokalne\Historia\History.IE5\index.dat Object is locked pominięty

G:\Documents and Settings\Administrator\Ustawienia lokalne\Historia\History.IE5\MSHist012008041320080414\index.dat Object is locked pominięty

G:\Documents and Settings\Administrator\Ustawienia lokalne\temp\Perflib_Perfdata_7b8.dat Object is locked pominięty

G:\Documents and Settings\Administrator\Ustawienia lokalne\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Object is locked pominięty

G:\Documents and Settings\Administrator\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat Object is locked pominięty

G:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked pominięty

G:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked pominięty

G:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty

G:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty

G:\Program Files\ESET\infected\IAME41AA.NQF Zainfekowanych: Trojan-PSW.Win32.OnLineGames.upg pominięty

G:\Program Files\ESET\infected\IAQNLDAA.NQF Zainfekowanych: Backdoor.Win32.Hupigon.qcb pominięty

G:\Program Files\Norton Internet Security\Norton AntiVirus\Savrt\0044NAV~.TMP Object is locked pominięty

G:\Program Files\Norton Internet Security\Norton AntiVirus\Savrt\0356NAV~.TMP Object is locked pominięty

G:\Program Files\Portrait Displays\forteManager\LGE\common\pdi_globals_tmp.js Object is locked pominięty

G:\System Volume Information\MountPointManagerRemoteDatabase Object is locked pominięty

G:\WINDOWS\CSC\00000001 Object is locked pominięty

G:\WINDOWS\Debug\PASSWD.LOG Object is locked pominięty

G:\WINDOWS\system32\config\ACEEvent.evt Object is locked pominięty

G:\WINDOWS\system32\config\AppEvent.Evt Object is locked pominięty

G:\WINDOWS\system32\config\default Object is locked pominięty

G:\WINDOWS\system32\config\default.LOG Object is locked pominięty

G:\WINDOWS\system32\config\Internet.evt Object is locked pominięty

G:\WINDOWS\system32\config\SAM Object is locked pominięty

G:\WINDOWS\system32\config\SAM.LOG Object is locked pominięty

G:\WINDOWS\system32\config\SecEvent.Evt Object is locked pominięty

G:\WINDOWS\system32\config\SECURITY Object is locked pominięty

G:\WINDOWS\system32\config\SECURITY.LOG Object is locked pominięty

G:\WINDOWS\system32\config\software Object is locked pominięty

G:\WINDOWS\system32\config\software.LOG Object is locked pominięty

G:\WINDOWS\system32\config\SysEvent.Evt Object is locked pominięty

G:\WINDOWS\system32\config\system Object is locked pominięty

G:\WINDOWS\system32\config\system.LOG Object is locked pominięty

G:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked pominięty

G:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked pominięty

G:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked pominięty

G:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked pominięty

G:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked pominięty

G:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked pominięty

G:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked pominięty

H:\System Volume Information\MountPointManagerRemoteDatabase Object is locked pominięty

I:\System Volume Information\MountPointManagerRemoteDatabase Object is locked pominięty

Proces skanowania został zakończony.

Leon1 · 13 Kwiecień 2008 17:14

To jest prawdopodobnie kwarantanna Eseta więc opróżnij ją

Powinno być OK

andrzej154 · 13 Kwiecień 2008 18:11

Dzięki za pomoc. Wreszcie normalnie komp ruszył. Jeszcze raz przeskanuje go antywirusem dla pewności. Pozdrawiam

Gutek · 14 Kwiecień 2008 16:27

Zmiana zasad wklejania logów na forum - viewtopic.php?f=16&t=213350