Navarre
(Navarre)
4 Marzec 2008 18:48
#1
Witam!
Mam problem z pozycją w Narzędzia>Opcje folderów>Widok>“nie pokazuj ukrytych plików i folderów”
Mianowicie pomimo zaznaczania opcji pokazuj windows nadal chowa przede mną pliki ukryte…
Nie pomogła nawet edycja rejestru…
Dodam że do tej pory były odznaczone ptaszki przy chowaniu rozszerzeń i ukrywaniu systemowych ale tego nie zmieniło…tylko ukryte mi schowało i nie chce pokazać…
Ma ktoś jakiś pomysł…?
Bo mam wrażenie że to jakiś intruz na systemie…
D1113
(D@rius)
4 Marzec 2008 18:52
#2
Narzędzia>Opcje folderów>Widok>“nie pokazuj ukrytych plików i folderów” no dajesz to i zastosuj… Po tym odśwież i foldery mają się ukryć… Ja tak miałem dziś że się nie chowały ale dałem odśwież i zadziałało
prawdopodobnie masz trojana. nie pamiętam nazwy ale jest on związany z pen drive i innymi tego typu urządzeniami. chodzi o pliki autorun. u mnie pomógł NOD32 jeśli nadal nic to nie da to polecam Combo Fix i Flash Desinfector. i przejrzyj ten temat: viewtopic.php?f=13&t=219798
addmir
(Dmirecki)
4 Marzec 2008 19:54
#4
Navarre
(Navarre)
4 Marzec 2008 23:57
#5
Chodzi o to ze ja chce widziec ukryte pliki… a windows uparcie zaznacza ukrywanie i nawet na chwile nie pokazuje ukrytych…po prostu ignoruje to ze zmieniam opcje w opcjach folderów…
Logfile of HijackThis v1.99.1 Scan saved at 00:43, on 2008-03-05 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16608) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe C:\Program Files\Intel\Wireless\Bin\EvtEng.exe C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\nvsvc32.exe C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Compal\Smart Battery\SMBTray.exe C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe C:\Program Files\Intel\Wireless\Bin\EOUWiz.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe C:\Program Files\Konnekt\konnekt.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Skype\Phone\Skype.exe C:\Program Files\Protector Suite QL\psqltray.exe C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe C:\Program Files\Mozilla Firefox\firefox.exe D:\Translator\HandyDict.exe C:\Program Files\WinRAR\WinRAR.exe C:\DOCUME~1\Kapo\USTAWI~1\Temp\Rar$EX00.875\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://10.1.1.77/logon R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet\tools\BitCometBHO_1.2.1.2.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O4 - HKLM…\Run: [sMBTray] C:\Program Files\Compal\Smart Battery\SMBTray.exe O4 - HKLM…\Run: [intelZeroConfig] “C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe” O4 - HKLM…\Run: [intelWireless] “C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe” /tf Intel PROSet/Wireless O4 - HKLM…\Run: [EOUApp] “C:\Program Files\Intel\Wireless\Bin\EOUWiz.exe” O4 - HKLM…\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM…\Run: [PSQLLauncher] “C:\Program Files\Protector Suite QL\launcher.exe” /startup O4 - HKLM…\Run: [sunJavaUpdateSched] “C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe” O4 - HKLM…\Run: [CorelDRAW Graphics Suite 11b] F:\Corel Graphics 12\Languages\EN\Programs\Registration.exe /title=“CorelDRAW Graphics Suite 12” /date=030708 serial=DR12CGB-5409705-CFB lang=EN O4 - HKCU…\Run: [Konnekt] “C:\Program Files\Konnekt\konnekt.exe” /autostart O4 - HKCU…\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU…\Run: [skype] “C:\Program Files\Skype\Phone\Skype.exe” /nosplash /minimized O4 - Global Startup: BTTray.lnk = ? O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Wyślij do urządzenia &Bluetooth… - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: @btrez.dll ,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra ‘Tools’ menuitem: @btrez.dll ,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Program Files\BitComet\tools\BitCometBHO_1.2.1.2.dll/206 (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O11 - Options group: [iNTERNATIONAL] International* O17 - HKLM\System\CCS\Services\Tcpip…{C4AD6D02-A33F-49F6-8BFA-0B12B64AB73F}: NameServer = 212.2.96.52,213.136.225.226 O20 - Winlogon Notify: psfus - C:\WINDOWS\system32\psqlpwd.dll O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Intel® PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
ComboFix:
ComboFix 08-03-04.4 - Kapo 2008-03-05 0:51:22.2 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.2600 [GMT 1:00] Running from: C:\Documents and Settings\Kapo\Pulpit\ComboFix.exe * Created a new restore point WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED . ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) . C:\Autorun.inf C:\WINDOWS\system32\amvo.exe C:\WINDOWS\system32\amvo0.dll C:\WINDOWS\system32\amvo1.dll D:\Autorun.inf E:\Autorun.inf F:\Autorun.inf . ((((((((((((((((((((((((( Files Created from 2008-02-04 to 2008-03-04 ))))))))))))))))))))))))))))))) . 2008-02-28 23:10 . 2008-02-28 23:11 58,167 --a------ C:\pisk.exe 2008-02-28 23:10 . 2008-02-28 23:11 5,778 --a------ C:\pisk.o 2008-02-28 23:10 . 2008-02-28 23:11 475 --a------ C:\pisk.pas 2008-02-28 23:10 . 2008-02-28 23:10 68 --a------ C:\pisk.bak 2008-02-28 22:44 . 2008-03-05 00:03 60,451 --a------ C:\remainder.exe 2008-02-28 22:44 . 2008-03-05 00:03 8,585 --a------ C:\remainder.o 2008-02-28 22:40 . 2008-02-28 22:40 51,189 --a------ C:\prog.exe 2008-02-28 22:40 . 2008-02-28 22:40 6,871 --a------ C:\prog.o 2008-02-28 22:40 . 2008-02-28 23:31 672 --a------ C:\remainder.bak 2008-02-28 22:40 . 2008-02-28 23:34 609 --a------ C:\remainder.pas 2008-02-28 22:40 . 2008-02-28 22:40 599 --a------ C:\prog.pas 2008-02-28 22:25 . 2008-02-28 22:25 2008-02-26 21:56 . 1999-02-17 12:49 1,039,360 -ra------ C:\WINDOWS\system32\MSJET35.DLL 2008-02-26 21:56 . 1999-02-17 12:49 368,912 -ra------ C:\WINDOWS\system32\VBAR332.DLL 2008-02-26 21:55 . 1998-09-25 12:18 607,744 --------- C:\WINDOWS\system32\Decslib.dll 2008-02-26 21:54 . 1999-03-08 07:53 28,252 --------- C:\WINDOWS\corelpf.lrs 2008-02-26 21:53 . 1999-07-22 12:47 909,824 --------- C:\WINDOWS\system32\qd3d.dll 2008-02-26 21:53 . 1997-07-30 15:21 553,984 --------- C:\WINDOWS\system32\rave.dll 2008-02-26 21:53 . 1999-07-22 12:47 211,456 --------- C:\WINDOWS\system32\qd3d_ir2.q3x 2008-02-26 21:53 . 1998-12-10 08:42 168,448 --------- C:\WINDOWS\system32\Awrtl30.dll 2008-02-26 21:53 . 1998-11-03 11:10 112,688 --------- C:\WINDOWS\system32\shw32.dll 2008-02-26 21:53 . 1999-03-21 09:49 100,864 --------- C:\WINDOWS\system32\awpe.dll 2008-02-26 21:53 . 1997-07-30 15:58 70,656 --------- C:\WINDOWS\system32\3dviewer.dll 2008-02-26 21:53 . 1996-12-10 13:21 39,095 --------- C:\WINDOWS\iccsigs.dat 2008-02-26 21:52 . 1999-07-21 20:14 245,760 --------- C:\WINDOWS\system32\Sccomp91.dll 2008-02-26 21:52 . 1999-08-09 10:35 225,280 --------- C:\WINDOWS\system32\Scint91.dll 2008-02-26 21:52 . 1999-08-09 10:35 110,592 --------- C:\WINDOWS\system32\Sccres91.dll 2008-02-26 21:18 . 2008-02-26 21:18 2008-02-26 21:18 . 2008-02-26 21:53 2008-02-26 21:16 . 2008-02-26 21:56 2008-02-26 21:09 . 2008-02-26 22:35 88 -r-hs---- C:\Documents and Settings\All Users\Dane aplikacji\4C500E7472.sys 2008-02-26 18:41 . 2008-02-26 18:40 107,475 -r-hs---- C:\u2.cmd 2008-02-26 18:40 . 2008-02-21 10:52 107,221 -r-hs---- C:\oufddh.exe 2008-02-22 08:20 . 2008-02-22 08:22 2008-02-22 08:20 . 2008-02-22 08:20 2008-02-21 21:50 . 2008-02-21 21:50 2008-02-21 21:49 . 2008-02-21 21:53 394 --a------ C:\WINDOWS\capture.ini 2008-02-21 21:48 . 2008-02-21 21:48 0 --a------ C:\WINDOWS\CorelDrw.INI 2008-02-21 21:47 . 2008-02-26 21:56 2008-02-17 15:50 . 2008-02-17 16:10 2008-02-09 23:27 . 2008-02-09 23:27 2008-02-09 23:27 . 2008-02-09 23:27 2008-02-09 23:27 . 2007-09-24 23:31 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl 2008-02-09 23:26 . 2008-02-09 23:26 2008-02-09 23:25 . 2008-02-09 23:29 671 --a------ C:\WINDOWS\mozver.dat 2008-02-05 00:19 . 2008-02-05 13:48 2008-02-04 15:06 . 2008-02-04 15:06 . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-03-04 23:49 --------- d-----w C:\Documents and Settings\Kapo\Dane aplikacji\Skype 2008-02-26 21:36 --------- d-----w C:\Program Files\Common Files\Adobe 2008-02-26 21:33 --------- d-----w C:\Program Files\Compal 2008-02-21 20:46 --------- d–h--w C:\Program Files\InstallShield Installation Information 2008-02-21 20:45 --------- d-----w C:\Program Files\Common Files\InstallShield 2008-02-21 19:48 --------- d-----w C:\Program Files\IrfanView 2008-02-01 01:31 --------- d-----w C:\Program Files\Protector Suite QL 2008-01-27 18:19 --------- d-----w C:\Program Files\MarBit 2008-01-27 18:13 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Microsoft Help 2008-01-26 15:13 --------- d-----w C:\Program Files\Apple Software Update 2008-01-26 15:13 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Apple 2008-01-25 00:35 --------- d-----w C:\Program Files\DAEMON Tools 2008-01-24 15:35 --------- d-----w C:\Program Files\Unlocker 2008-01-23 22:34 --------- d-----w C:\Program Files\RegCleaner 2008-01-23 21:04 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Lavasoft 2008-01-23 21:03 --------- d-----w C:\Program Files\Lavasoft 2008-01-23 21:02 --------- d-----w C:\Program Files\Common Files\Wise Installation Wizard 2008-01-21 18:56 --------- d-----w C:\Program Files\Save Flash 2008-01-20 22:04 --------- d-----w C:\Program Files\Microsoft.NET 2008-01-20 09:21 --------- d-----w C:\Program Files\Common Files\Ahead 2008-01-20 08:42 --------- d-----w C:\Documents and Settings\Kapo\Dane aplikacji\Ahead 2008-01-20 08:41 --------- d-----w C:\Program Files\Reasonable NoClone 2007 Enterprise 2008-01-20 08:41 --------- d-----w C:\Program Files\Nero 2008-01-20 08:41 --------- d-----w C:\Documents and Settings\Kapo\Dane aplikacji\Reasonable Software House Ltd 2008-01-19 12:29 --------- d-----w C:\Program Files\BitComet 2008-01-19 10:59 --------- d-----w C:\Documents and Settings\Kapo\Dane aplikacji\BitTorrent 2008-01-17 15:21 --------- d-----w C:\Program Files\Trend Micro 2008-01-17 14:34 --------- d-----w C:\Program Files\Alwil Software 2008-01-16 16:42 --------- d-----w C:\Program Files\SpeedFan 2008-01-16 16:14 --------- d-----w C:\Program Files\MSXML 4.0 2008-01-15 17:43 --------- d-----w C:\Program Files\Skype 2008-01-14 00:26 --------- d-----w C:\Program Files\Konnekt 2008-01-14 00:23 --------- d-----w C:\Documents and Settings\Kapo\Dane aplikacji\stamina 2008-01-13 22:13 --------- d-----w C:\Program Files\Real Alternative 2008-01-13 21:46 --------- d-----w C:\Documents and Settings\Kapo\Dane aplikacji\IrfanView 2008-01-13 14:53 --------- d-----w C:\Documents and Settings\Administrator\Dane aplikacji\Intel 2008-01-13 00:59 --------- d-----w C:\Program Files\Foxit Software 2008-01-13 00:17 --------- d-----w C:\Program Files\K-Lite Codec Pack 2008-01-13 00:14 --------- d-----w C:\Program Files\SubEdit-Player 2008-01-12 23:42 --------- d-----w C:\Program Files\RivChat2 2008-01-12 22:59 --------- d-----w C:\Program Files\Alcohol Soft 2008-01-12 15:06 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\XP32 2008-01-12 14:17 21,275 ----a-w C:\WINDOWS\system32\drivers\AegisP.sys 2008-01-12 14:17 --------- d-----w C:\Documents and Settings\Kapo\Dane aplikacji\Intel 2008-01-12 14:16 --------- d-----w C:\WINDOWS\system32\config\systemprofile\Dane aplikacji\Intel 2008-01-12 14:16 --------- d-----w C:\Program Files\Intel 2008-01-12 14:16 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Intel 2008-01-12 14:12 0 —ha-w C:\WINDOWS\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf 2008-01-12 14:11 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Vista64 2008-01-12 14:11 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Vista32 2008-01-12 14:05 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\UIB 2008-01-12 14:01 --------- d-----w C:\Program Files\Common Files\snp2uvc 2008-01-12 14:01 --------- d-----w C:\Documents and Settings\Kapo\Dane aplikacji\InstallShield 2008-01-12 14:00 --------- d-----w C:\Program Files\WIDCOMM 2008-01-12 14:00 --------- d-----w C:\Program Files\Elantech 2008-01-12 13:58 --------- d-----w C:\Program Files\Broadcom 2008-01-12 13:53 315,392 ----a-w C:\WINDOWS\HideWin.exe 2008-01-12 13:53 --------- d-----w C:\Program Files\Realtek 2008-01-12 13:47 --------- d-----w C:\Program Files\microsoft frontpage 2008-01-12 13:45 --------- d-----w C:\Program Files\Usługi online . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries legit default entries are not shown REGEDIT4 [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\UEAFOverlay] @={F2F31467-B1AC-4df0-AE79-FD5FA085E22B} [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\UEAFOverlayOpen] @={A3E208F7-0E3A-4182-A7A6-B169D5D691AA} [HKEY_CLASSES_ROOT\CLSID{F2F31467-B1AC-4df0-AE79-FD5FA085E22B}] 2007-03-28 19:59 2953216 --a------ C:\Program Files\Protector Suite QL\farchns.dll [HKEY_CLASSES_ROOT\CLSID{A3E208F7-0E3A-4182-A7A6-B169D5D691AA}] 2007-03-28 19:59 2953216 --a------ C:\Program Files\Protector Suite QL\farchns.dll [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “Konnekt”=“C:\Program Files\Konnekt\konnekt.exe” [2005-05-24 22:41 503808] “ctfmon.exe”=“C:\WINDOWS\system32\ctfmon.exe” [2004-08-03 23:44 15360] “Skype”=“C:\Program Files\Skype\Phone\Skype.exe” [2006-10-13 17:20 20058152] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “SMBTray”=“C:\Program Files\Compal\Smart Battery\SMBTray.exe” [2007-06-04 17:22 521776] “IntelZeroConfig”=“C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe” [2005-12-05 12:37 667718] “IntelWireless”=“C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe” [2005-11-28 11:41 602182] “EOUApp”=“C:\Program Files\Intel\Wireless\Bin\EOUWiz.exe” [2005-11-28 11:47 569413] “avast!”=“C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe” [2007-12-04 14:00 79224] “NvCplDaemon”=“C:\WINDOWS\system32\NvCpl.dll” [2007-06-26 13:06 8462336] “PSQLLauncher”=“C:\Program Files\Protector Suite QL\launcher.exe” [2007-03-28 19:23 49168] “SunJavaUpdateSched”=“C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe” [2007-09-25 01:11 132496] “CorelDRAW Graphics Suite 11b”=“F:\Corel Graphics 12\Languages\EN\Programs\Registration.exe” [] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\psfus] C:\WINDOWS\system32\psqlpwd.dll 2007-03-28 19:46 90112 C:\WINDOWS\system32\psqlpwd.dll [HKLM~\startupfolder\C:^Documents and Settings^Kapo^Menu Start^Programy^Autostart^Rejestrowanie produktów Corela.lnk] path=C:\Documents and Settings\Kapo\Menu Start\Programy\Autostart\Rejestrowanie produktów Corela.lnk backup=C:\WINDOWS\pss\Rejestrowanie produktów Corela.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\amva] C:\WINDOWS\system32\amvo.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] --a------ 2005-10-28 16:25 94208 C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe] --a------ 2004-08-03 23:44 15360 C:\WINDOWS\system32\ctfmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon] --a------ 2007-06-26 13:06 8462336 C:\WINDOWS\system32\NvCpl.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter] --a------ 2007-06-26 13:06 81920 C:\WINDOWS\system32\NVMCTRAY.DLL [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] “ose”=3 (0x3) “MDM”=2 (0x2) “IDriverT”=3 (0x3) “aawservice”=2 (0x2) [HKEY_LOCAL_MACHINE\software\microsoft\security center] “AntiVirusDisableNotify”=dword:00000001 “UpdatesDisableNotify”=dword:00000001 [HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile] “EnableFirewall”= 0 (0x0) [HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] “C:\Program Files\Skype\Phone\Skype.exe”= [HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] “19351:TCP”= 19351:TCP:BitComet 19351 TCP “19351:UDP”= 19351:UDP:BitComet 19351 UDP R0 EMSC;COMPAL Embedded System Control;C:\WINDOWS\system32\DRIVERS\EMSC.SYS [2007-03-14 10:16] R3 CamFilter;CamFilter;C:\WINDOWS\system32\Drivers\CamFilter.sys [2007-05-11 15:56] R3 Ktp;Elantech Touchpad;C:\WINDOWS\system32\DRIVERS\Ktp.sys [2006-11-18 02:55] R3 SNP2UVC;USB2.0 PC Camera (SNP2UVC);C:\WINDOWS\system32\DRIVERS\snp2uvc.sys [2007-01-17 03:04] R3 TcUsb;TC USB Kernel Driver;C:\WINDOWS\system32\Drivers\tcusb.sys [2007-03-28 19:15] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{0d9665ba-cce3-11dc-845f-001c26ebfaa9}] \Shell\Auto\command - I:\UFO.exe \Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL UFO.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{35d59616-d377-11dc-8473-001cbf62c269}] \Shell\Auto\command - I:\UFO.exe \Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL UFO.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{a408a190-c5af-11dc-8444-001c26ebfaa9}] \Shell\Auto\command - I:\UFO.exe \Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL UFO.exe . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-03-05 00:53:45 Windows 5.1.2600 Dodatek Service Pack 2 NTFS scanning hidden processes … scanning hidden autostart entries … scanning hidden files … scan completed successfully hidden files: 0 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe C:\Program Files\Intel\Wireless\Bin\EvtEng.exe C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\nvsvc32.exe C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\Program Files\Protector Suite QL\psqltray.exe C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe . ************************************************************************** . Completion time: 2008-03-05 0:54:41 - machine was rebooted [Kapo] ComboFix-quarantined-files.txt 2008-03-04 23:54:37 . 2008-02-13 14:32:21 — E O F — Zaznaczam ze adres 10.1.1.77 nie jest obcy…
addmir
(Dmirecki)
5 Marzec 2008 18:19
#6
Infekcja z pendrive! Combo część usunął.
Wklej do notatnika:
File::
C:\u2.cmd
C:\oufddh.exe
Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\amva]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
Plik -> zapisz jako -> CFScript.txt
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->
Powinno się rozpocząć usuwanie i powstanie log, daj ten log na forum.
Jeśli wszystko pójdzie dobrze, to po restarcie usuń ręcznie plik C: * * Qoobox**
Start Uruchom wklep: regedit
Przejdź do klucza:
Znajdź: ShowSuperHidden - REG_DWORD - jeśli ustawisz na 00000001 to W Explorerze będą pokazane pliki z atrybutami ukryty + systemowy.
nol
(Phoneix Guru)
5 Marzec 2008 23:26
#7
Mam ten sam problem i nie za bardzo rozumiem co mam zrobić.
http://www.wklej.org/id/fafe91f22e
Navarre
(Navarre)
6 Marzec 2008 23:29
#8
nol , po pierwsze załóż inny temat bo robisz bałagan w wątku…
oto log:
ComboFix 08-03-04.4 - Kapo 2008-03-07 0:25:41.3 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.2526 [GMT 1:00] Running from: C:\Documents and Settings\Kapo\Pulpit\ComboFix.exe Command switches used :: C:\Documents and Settings\Kapo\Pulpit\cfscript.txt * Created a new restore point WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED FILE :: C:\oufddh.exe C:\u2.cmd . ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) . C:\oufddh.exe C:\u2.cmd . --------------- FMove --------------- . ((((((((((((((((((((((((( Files Created from 2008-02-06 to 2008-03-06 ))))))))))))))))))))))))))))))) . 2008-02-28 23:10 . 2008-02-28 23:11 58,167 --a------ C:\pisk.exe 2008-02-28 23:10 . 2008-02-28 23:11 5,778 --a------ C:\pisk.o 2008-02-28 23:10 . 2008-02-28 23:11 475 --a------ C:\pisk.pas 2008-02-28 23:10 . 2008-02-28 23:10 68 --a------ C:\pisk.bak 2008-02-28 22:44 . 2008-03-05 19:29 60,451 --a------ C:\remainder.exe 2008-02-28 22:44 . 2008-03-05 19:29 8,585 --a------ C:\remainder.o 2008-02-28 22:40 . 2008-03-05 19:32 59,164 --a------ C:\prog.exe 2008-02-28 22:40 . 2008-03-05 19:32 7,274 --a------ C:\prog.o 2008-02-28 22:40 . 2008-02-28 23:31 672 --a------ C:\remainder.bak 2008-02-28 22:40 . 2008-03-05 19:32 639 --a------ C:\prog.pas 2008-02-28 22:40 . 2008-03-05 19:31 623 --a------ C:\prog.bak 2008-02-28 22:40 . 2008-02-28 23:34 609 --a------ C:\remainder.pas 2008-02-28 22:25 . 2008-02-28 22:25 2008-02-26 21:56 . 1999-02-17 12:49 1,039,360 -ra------ C:\WINDOWS\system32\MSJET35.DLL 2008-02-26 21:56 . 1999-02-17 12:49 368,912 -ra------ C:\WINDOWS\system32\VBAR332.DLL 2008-02-26 21:55 . 1998-09-25 12:18 607,744 --------- C:\WINDOWS\system32\Decslib.dll 2008-02-26 21:54 . 1999-03-08 07:53 28,252 --------- C:\WINDOWS\corelpf.lrs 2008-02-26 21:53 . 1999-07-22 12:47 909,824 --------- C:\WINDOWS\system32\qd3d.dll 2008-02-26 21:53 . 1997-07-30 15:21 553,984 --------- C:\WINDOWS\system32\rave.dll 2008-02-26 21:53 . 1999-07-22 12:47 211,456 --------- C:\WINDOWS\system32\qd3d_ir2.q3x 2008-02-26 21:53 . 1998-12-10 08:42 168,448 --------- C:\WINDOWS\system32\Awrtl30.dll 2008-02-26 21:53 . 1998-11-03 11:10 112,688 --------- C:\WINDOWS\system32\shw32.dll 2008-02-26 21:53 . 1999-03-21 09:49 100,864 --------- C:\WINDOWS\system32\awpe.dll 2008-02-26 21:53 . 1997-07-30 15:58 70,656 --------- C:\WINDOWS\system32\3dviewer.dll 2008-02-26 21:53 . 1996-12-10 13:21 39,095 --------- C:\WINDOWS\iccsigs.dat 2008-02-26 21:52 . 1999-07-21 20:14 245,760 --------- C:\WINDOWS\system32\Sccomp91.dll 2008-02-26 21:52 . 1999-08-09 10:35 225,280 --------- C:\WINDOWS\system32\Scint91.dll 2008-02-26 21:52 . 1999-08-09 10:35 110,592 --------- C:\WINDOWS\system32\Sccres91.dll 2008-02-26 21:18 . 2008-02-26 21:18 2008-02-26 21:18 . 2008-02-26 21:53 2008-02-26 21:16 . 2008-02-26 21:56 2008-02-26 21:09 . 2008-02-26 22:35 88 -r-hs---- C:\Documents and Settings\All Users\Dane aplikacji\4C500E7472.sys 2008-02-22 08:20 . 2008-02-22 08:22 2008-02-22 08:20 . 2008-02-22 08:20 2008-02-21 21:50 . 2008-02-21 21:50 2008-02-21 21:49 . 2008-02-21 21:53 394 --a------ C:\WINDOWS\capture.ini 2008-02-21 21:48 . 2008-02-21 21:48 0 --a------ C:\WINDOWS\CorelDrw.INI 2008-02-21 21:47 . 2008-02-26 21:56 2008-02-21 09:50 . 2008-02-21 09:50 2008-02-21 09:18 . 2008-02-21 09:50 2008-02-21 09:18 . 2008-02-21 09:50 2008-02-21 09:18 . 2008-02-21 09:18 2008-02-21 09:18 . 2008-02-21 09:18 2008-02-21 09:18 . 2008-01-12 14:43 2008-02-21 09:18 . 2008-01-12 14:43 2008-02-21 09:18 . 2008-02-21 09:49 2008-02-21 09:18 . 2008-02-21 09:49 2008-02-21 09:18 . 2008-02-21 09:18 2008-02-21 09:18 . 2008-02-21 09:18 2008-02-21 09:18 . 2008-01-12 14:33 2008-02-21 09:18 . 2008-01-12 14:33 2008-02-21 09:18 . 2008-02-21 09:18 2008-02-21 09:18 . 2008-02-21 09:50 2008-02-21 09:18 . 2008-02-21 09:50 2008-02-17 15:50 . 2008-02-17 16:10 2008-02-09 23:27 . 2008-02-09 23:27 2008-02-09 23:27 . 2008-03-05 07:23 2008-02-09 23:27 . 2008-02-22 02:33 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl 2008-02-09 23:26 . 2008-02-09 23:26 2008-02-09 23:25 . 2008-02-09 23:29 671 --a------ C:\WINDOWS\mozver.dat . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-03-06 21:54 --------- d-----w C:\Documents and Settings\Kapo\Dane aplikacji\Skype 2008-02-26 21:36 --------- d-----w C:\Program Files\Common Files\Adobe 2008-02-26 21:33 --------- d-----w C:\Program Files\Compal 2008-02-21 20:46 --------- d–h--w C:\Program Files\InstallShield Installation Information 2008-02-21 20:45 --------- d-----w C:\Program Files\Common Files\InstallShield 2008-02-21 19:48 --------- d-----w C:\Program Files\IrfanView 2008-02-05 12:48 --------- d-----w C:\Program Files\Winamp 2008-02-04 14:06 --------- d-----w C:\Program Files\Common Files\Blizzard Entertainment 2008-02-01 01:31 --------- d-----w C:\Program Files\Protector Suite QL 2008-01-27 18:19 --------- d-----w C:\Program Files\MarBit 2008-01-27 18:13 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Microsoft Help 2008-01-26 15:13 --------- d-----w C:\Program Files\Apple Software Update 2008-01-26 15:13 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Apple 2008-01-25 00:35 --------- d-----w C:\Program Files\DAEMON Tools 2008-01-24 15:35 --------- d-----w C:\Program Files\Unlocker 2008-01-23 22:34 --------- d-----w C:\Program Files\RegCleaner 2008-01-23 21:04 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Lavasoft 2008-01-23 21:03 --------- d-----w C:\Program Files\Lavasoft 2008-01-23 21:02 --------- d-----w C:\Program Files\Common Files\Wise Installation Wizard 2008-01-21 18:56 --------- d-----w C:\Program Files\Save Flash 2008-01-20 22:04 --------- d-----w C:\Program Files\Microsoft.NET 2008-01-20 09:21 --------- d-----w C:\Program Files\Common Files\Ahead 2008-01-20 08:42 --------- d-----w C:\Documents and Settings\Kapo\Dane aplikacji\Ahead 2008-01-20 08:41 --------- d-----w C:\Program Files\Reasonable NoClone 2007 Enterprise 2008-01-20 08:41 --------- d-----w C:\Program Files\Nero 2008-01-20 08:41 --------- d-----w C:\Documents and Settings\Kapo\Dane aplikacji\Reasonable Software House Ltd 2008-01-19 12:29 --------- d-----w C:\Program Files\BitComet 2008-01-19 10:59 --------- d-----w C:\Documents and Settings\Kapo\Dane aplikacji\BitTorrent 2008-01-17 15:21 --------- d-----w C:\Program Files\Trend Micro 2008-01-17 14:34 --------- d-----w C:\Program Files\Alwil Software 2008-01-16 16:42 --------- d-----w C:\Program Files\SpeedFan 2008-01-16 16:14 --------- d-----w C:\Program Files\MSXML 4.0 2008-01-15 17:43 --------- d-----w C:\Program Files\Skype 2008-01-14 00:26 --------- d-----w C:\Program Files\Konnekt 2008-01-14 00:23 --------- d-----w C:\Documents and Settings\Kapo\Dane aplikacji\stamina 2008-01-13 22:13 --------- d-----w C:\Program Files\Real Alternative 2008-01-13 21:46 --------- d-----w C:\Documents and Settings\Kapo\Dane aplikacji\IrfanView 2008-01-13 14:53 --------- d-----w C:\Documents and Settings\Administrator\Dane aplikacji\Intel 2008-01-13 00:59 --------- d-----w C:\Program Files\Foxit Software 2008-01-13 00:17 --------- d-----w C:\Program Files\K-Lite Codec Pack 2008-01-13 00:14 --------- d-----w C:\Program Files\SubEdit-Player 2008-01-12 23:42 --------- d-----w C:\Program Files\RivChat2 2008-01-12 22:59 --------- d-----w C:\Program Files\Alcohol Soft 2008-01-12 15:06 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\XP32 2008-01-12 14:17 21,275 ----a-w C:\WINDOWS\system32\drivers\AegisP.sys 2008-01-12 14:17 --------- d-----w C:\Documents and Settings\Kapo\Dane aplikacji\Intel 2008-01-12 14:16 --------- d-----w C:\WINDOWS\system32\config\systemprofile\Dane aplikacji\Intel 2008-01-12 14:16 --------- d-----w C:\Program Files\Intel 2008-01-12 14:16 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Intel 2008-01-12 14:12 0 —ha-w C:\WINDOWS\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf 2008-01-12 14:11 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Vista64 2008-01-12 14:11 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Vista32 2008-01-12 14:05 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\UIB 2008-01-12 14:01 --------- d-----w C:\Program Files\Common Files\snp2uvc 2008-01-12 14:01 --------- d-----w C:\Documents and Settings\Kapo\Dane aplikacji\InstallShield 2008-01-12 14:00 --------- d-----w C:\Program Files\WIDCOMM 2008-01-12 14:00 --------- d-----w C:\Program Files\Elantech 2008-01-12 13:58 --------- d-----w C:\Program Files\Broadcom 2008-01-12 13:53 315,392 ----a-w C:\WINDOWS\HideWin.exe 2008-01-12 13:53 --------- d-----w C:\Program Files\Realtek 2008-01-12 13:47 --------- d-----w C:\Program Files\microsoft frontpage 2008-01-12 13:45 --------- d-----w C:\Program Files\Usługi online 2007-12-14 10:32 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe 2007-12-07 02:14 824,832 ----a-w C:\WINDOWS\system32\wininet.dll . ((((((((((((((((((((((((((((( snapshot@2008-03-05_ 0.54.31.04 ))))))))))))))))))))))))))))))))))))))))) . - 2007-09-24 21:30:28 135,168 ----a-w C:\WINDOWS\system32\java.exe + 2008-02-22 00:23:35 135,168 ----a-w C:\WINDOWS\system32\java.exe - 2007-09-24 21:30:30 135,168 ----a-w C:\WINDOWS\system32\javaw.exe + 2008-02-22 00:23:39 135,168 ----a-w C:\WINDOWS\system32\javaw.exe - 2007-09-24 22:31:42 139,264 ----a-w C:\WINDOWS\system32\javaws.exe + 2008-02-22 01:33:32 139,264 ----a-w C:\WINDOWS\system32\javaws.exe - 2008-03-04 16:55:46 60,114 ----a-w C:\WINDOWS\system32\perfc009.dat + 2008-03-06 18:39:11 60,114 ----a-w C:\WINDOWS\system32\perfc009.dat - 2008-03-04 16:55:46 76,626 ----a-w C:\WINDOWS\system32\perfc015.dat + 2008-03-06 18:39:11 76,626 ----a-w C:\WINDOWS\system32\perfc015.dat - 2008-03-04 16:55:46 397,894 ----a-w C:\WINDOWS\system32\perfh009.dat + 2008-03-06 18:39:11 397,894 ----a-w C:\WINDOWS\system32\perfh009.dat - 2008-03-04 16:55:46 454,760 ----a-w C:\WINDOWS\system32\perfh015.dat + 2008-03-06 18:39:11 454,760 ----a-w C:\WINDOWS\system32\perfh015.dat + 2008-03-06 18:34:58 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_720.dat . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries legit default entries are not shown REGEDIT4 [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\UEAFOverlay] @={F2F31467-B1AC-4df0-AE79-FD5FA085E22B} [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\UEAFOverlayOpen] @={A3E208F7-0E3A-4182-A7A6-B169D5D691AA} [HKEY_CLASSES_ROOT\CLSID{F2F31467-B1AC-4df0-AE79-FD5FA085E22B}] 2007-03-28 19:59 2953216 --a------ C:\Program Files\Protector Suite QL\farchns.dll [HKEY_CLASSES_ROOT\CLSID{A3E208F7-0E3A-4182-A7A6-B169D5D691AA}] 2007-03-28 19:59 2953216 --a------ C:\Program Files\Protector Suite QL\farchns.dll [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “Konnekt”=“C:\Program Files\Konnekt\konnekt.exe” [2005-05-24 22:41 503808] “ctfmon.exe”=“C:\WINDOWS\system32\ctfmon.exe” [2004-08-03 23:44 15360] “Skype”=“C:\Program Files\Skype\Phone\Skype.exe” [2006-10-13 17:20 20058152] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “SMBTray”=“C:\Program Files\Compal\Smart Battery\SMBTray.exe” [2007-06-04 17:22 521776] “IntelZeroConfig”=“C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe” [2005-12-05 12:37 667718] “IntelWireless”=“C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe” [2005-11-28 11:41 602182] “EOUApp”=“C:\Program Files\Intel\Wireless\Bin\EOUWiz.exe” [2005-11-28 11:47 569413] “avast!”=“C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe” [2007-12-04 14:00 79224] “NvCplDaemon”=“C:\WINDOWS\system32\NvCpl.dll” [2007-06-26 13:06 8462336] “PSQLLauncher”=“C:\Program Files\Protector Suite QL\launcher.exe” [2007-03-28 19:23 49168] “SunJavaUpdateSched”=“C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe” [2008-02-22 04:25 144784] “CorelDRAW Graphics Suite 11b”=“F:\Corel Graphics 12\Languages\EN\Programs\Registration.exe” [] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\psfus] C:\WINDOWS\system32\psqlpwd.dll 2007-03-28 19:46 90112 C:\WINDOWS\system32\psqlpwd.dll [HKLM~\startupfolder\C:^Documents and Settings^Kapo^Menu Start^Programy^Autostart^Rejestrowanie produktów Corela.lnk] path=C:\Documents and Settings\Kapo\Menu Start\Programy\Autostart\Rejestrowanie produktów Corela.lnk backup=C:\WINDOWS\pss\Rejestrowanie produktów Corela.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] --a------ 2005-10-28 16:25 94208 C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe] --a------ 2004-08-03 23:44 15360 C:\WINDOWS\system32\ctfmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon] --a------ 2007-06-26 13:06 8462336 C:\WINDOWS\system32\NvCpl.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter] --a------ 2007-06-26 13:06 81920 C:\WINDOWS\system32\NVMCTRAY.DLL [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] “ose”=3 (0x3) “MDM”=2 (0x2) “IDriverT”=3 (0x3) “aawservice”=2 (0x2) [HKEY_LOCAL_MACHINE\software\microsoft\security center] “AntiVirusDisableNotify”=dword:00000001 “UpdatesDisableNotify”=dword:00000001 [HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile] “EnableFirewall”= 0 (0x0) [HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] “C:\Program Files\Skype\Phone\Skype.exe”= [HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] “19351:TCP”= 19351:TCP:BitComet 19351 TCP “19351:UDP”= 19351:UDP:BitComet 19351 UDP R0 EMSC;COMPAL Embedded System Control;C:\WINDOWS\system32\DRIVERS\EMSC.SYS [2007-03-14 10:16] R3 CamFilter;CamFilter;C:\WINDOWS\system32\Drivers\CamFilter.sys [2007-05-11 15:56] R3 Ktp;Elantech Touchpad;C:\WINDOWS\system32\DRIVERS\Ktp.sys [2006-11-18 02:55] R3 SNP2UVC;USB2.0 PC Camera (SNP2UVC);C:\WINDOWS\system32\DRIVERS\snp2uvc.sys [2007-01-17 03:04] R3 TcUsb;TC USB Kernel Driver;C:\WINDOWS\system32\Drivers\tcusb.sys [2007-03-28 19:15] . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-03-07 00:26:40 Windows 5.1.2600 Dodatek Service Pack 2 NTFS scanning hidden processes … scanning hidden autostart entries … scanning hidden files … scan completed successfully hidden files: 0 ************************************************************************** . Completion time: 2008-03-07 0:26:55 ComboFix-quarantined-files.txt 2008-03-06 23:26:53 ComboFix2.txt 2008-03-04 23:54:41 . 2008-02-13 14:32:21 — E O F —
addmir
(Dmirecki)
7 Marzec 2008 07:26
#9
Navarre
Znasz te pliki? Jak nie to przeskanuj te .exe na http://www.virustotal.com Napisz czy coś znalazło
ComboFix jest niestety logiem ograniczonym… A objawy wskazują, że musi być coś więcej…
Zrób pełny skan przez Kasperski Virus Removal Tool . Napisz czy coś znalazło
Aha, zapomniałem dodać, że logi dajesz na http://www.wklej.org
nol
Użyj SmitFraudFix z opcji 2 , w trybie awaryjnym. opis
Potem pokaż plik C:\rapport.txt + nowy log z Combo i hijack. Logi także dawaj na http://www.wklej.org , a tu tylko adres do stronki.
nol
(Phoneix Guru)
7 Marzec 2008 23:25
#10
http://www.wklej.org/id/55e2e57aa9
Przeglądałem pobieżnie logi i zdziwiły mnie wpisy Bitcomet’a gdyż nie używam go i odinstalowywałem wieki temu.
addmir
(Dmirecki)
8 Marzec 2008 10:45
#11
nol
Fix w hijack:
Wklej do notatnika:
File::
C:\WINNT\system32\VCCLSID.exe
C:\WINNT\system32\SrchSTS.exe
C:\WINNT\system32\VACFix.exe
C:\WINNT\system32\IEDFix.exe
C:\WINNT\system32\Process.exe
C:\WINNT\system32\dumphive.exe
C:\WINNT\system32\WS2Fix.exe
C:\WINNT\system32\tmp.reg
Plik -> zapisz jako -> CFScript.txt
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->
Powinno się rozpocząć usuwanie i powstanie log, daj ten log na forum + nowy log z HijackThis.
Jeśli wszystko pójdzie dobrze, to po restarcie usuń ręcznie plik C: * * Qoobox**
I użyj SDFix
1) Dwuklik na SDFix.exe następnie program wypakuje się na dysk systemowy (standardowo C:\SDFix) 2) Zrestartuj komputer i wejdź do trybu awaryjnego (klawisz F8 przed bootem Windowsa) 3) Wejdź do folderu z SDFix kliknij dwa razy na plik RunThis.bat 4) Wciśnij Y nastąpi proces usuwania. 5) Kiedy usuwanie się ukończy wciśnij dowolny klawisz (Any Key). Nastąpi restart komputera. 6) Po restarcie SDFix uruchomi się ponownie, żeby dokończyć proces usuwania kiedy pojawi się w oknie programu Finished, wciśnij dowolny klawisz do zakończenia scryptu i załadowania ikon na pulpicie. 7) Pokaż Report.txt znajdujący się w folderze SDFix.
nol
(Phoneix Guru)
8 Marzec 2008 13:23
#12
addmir
(Dmirecki)
8 Marzec 2008 17:33
#13
nol
Nie widać śladów używania ComboFix-a i SDFix-a! Zrób to jeszcze raz!
SDFix był użyty w trybie awaryjnym?
nol
(Phoneix Guru)
8 Marzec 2008 22:47
#14
gdy teraz próbuje użyć ComboFix pojawia sie błąd " you can’t rename ComboFix as ComboFIx please use another name"
Tak, SDFix był użyty w trybie awaryjnym.
Za chwilę dołączę raport SDFix:
raport wygląda identycznie jak poprzedni.
Po restarcie w konsoli pojawiają sie komunikaty że nie udało sie odnaleźć …
addmir
(Dmirecki)
9 Marzec 2008 10:57
#15
nol ,
Ściągnij jeszcze raz ComboFix
nol
(Phoneix Guru)
9 Marzec 2008 11:36
#16
addmir
(Dmirecki)
9 Marzec 2008 12:03
#17
nol ,
Pobierz Avenger
Zaznacz Input Script Manually => naciśnij lupkę => wklej to:
=> teraz naciskasz “zielone światełko”
Pokaż log z HijackThis jeszcze raz
Zrób pełny skan systemu poprzez Kasperski Virus Removal Tool i pokaż wynik (log)
nol
(Phoneix Guru)
9 Marzec 2008 14:40
#18
raport z Avenger’a i HijackThis
http://www.wklej.org/id/2eab1fbea9
Jestem w trakcie skanowania KVRT po wszystkim umieszczę Log…:
niczego nie wykrył LOG zajmował 51mega wiec nie umieszczałem go
addmir
(Dmirecki)
10 Marzec 2008 18:04
#19
Powiem ci tak - ja już nic w logach nie widzę. Kasperski nic nie wykrywa. Nie wiem czym to może być spowodowane.
Mogę tylko podpowiedzieć:
Start => Uruchom => regedit => ENTER
przechodzisz do klucza:
kliknij prawym przyciskiem myszy wartość “ShowSuperHidden” i wybierz “Modyfikuj”. Zmień wartość na 1 i zatwierdź zmianę klikając OK.
nol
(Phoneix Guru)
11 Marzec 2008 20:03
#20
Najciemniej jest pod latarnią
z tego wszystkiego nie sprawdziłem czy opcja pokazuj pliki ukryte działa.
Dzięki wielkie.