joahun
(Joahun)
17 Październik 2007 06:57
#1
Prosiłam już o pomoc w usunięciu trojana Agent.IJM. Zastosowałam się do rad udzielonych na tym forum. Po użyciu wszelkich programów, wielokrotnym usuwaniu tego wirusa, zdawać by się mogło, że wszystko ok. Okazuje się jednak, iż po kilku dniach problem powrócił - komputer wolny jak muł, strony internetowe się nie otwierają ( dopiero po dwukrotnym odświeżaniu ), połączenie internetowe odbiera kolosalne ilości bajtów w porównaniu z wysyłanymi, odtwarzacz DVD napotyka błędy (czego wcześniej nie było). No i podczas ostatniego skanowania ( czyli dzisiaj rano) AVG wykrył 15 trojanów pod nazwami Agent.IPA, IPM, IPT. Proszę o pomoc i z góry przepraszam za szczegółowe pytania.
Wklejam Log HijackThis:
L
ogfile of HijackThis v1.99.1 Scan saved at 08:43:04, on 2007-10-17 Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\PROGRA~1\Grisoft\AVG7\avgcc.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe C:\Program Files\internet explorer\iexplore.exe C:\WINDOWS\System32\svchost.exe C:\Documents and Settings\xxx\Ustawienia lokalne\Temp\Katalog tymczasowy 1 dla hijackthis.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O4 - HKLM…\Run: [WatchDog] C:\Program Files\InterVideo\DVD Check\DVDCheck.exe O4 - HKLM…\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe O4 - HKLM…\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM…\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP O4 - HKLM…\Run: [Microsoft Network Services Controller] C:\WINDOWS\System32\mmsvc32.exe O4 - HKLM…\Run: [spools Service Controller] C:\WINDOWS\System32\spools.exe O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU…\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: DVD Check.lnk = C:\Program Files\InterVideo\DVD Check\DVDCheck.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab O16 - DPF: {AD7013FF-1D9A-4F36-94A6-3CD408A663F9} (GameDesire BreakOut) - http://67.15.101.3/g_bin/pl/breakout_2_0_0_28.cab O17 - HKLM\System\CCS\Services\Tcpip…{385879AF-9FF4-4B0A-B839-44BA7D53F936}: NameServer = 85.255.116.173 85.255.112.72 O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
i Log z ComboFix:
ComboFix 07-08-14.4 - “xxx” 2007-10-17 8:46:19.5 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.1.1250.1.1045.18.44 [GMT 2:00] ((((((((((((((((((((((((( Files Created from 2007-09-17 to 2007-10-17 ))))))))))))))))))))))))))))))) 2007-10-17 00:55 2007-10-11 10:09 2007-09-23 22:59 67,788 --a------ C:\WINDOWS\exrk.exe 2007-09-23 08:35 25,992 --a------ C:\WINDOWS\system32\pgdfgsvc.exe 2007-09-23 07:05 2007-09-23 07:05 2007-09-21 16:50 2007-09-21 04:54 2007-09-21 01:50 2007-09-19 16:45 2007-09-19 16:45 (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-09-19 02:14 --------- d-------- C:\Program Files\Share_Accelerator_MM 2007-09-19 02:13 2560 --a------ C:\WINDOWS_MSRSTRT.EXE 2007-09-16 21:35 --------- d-------- C:\Program Files\PopCap Games 2007-09-16 21:35 --------- d-------- C:\Program Files\Messenger 2007-09-16 21:35 --------- d-------- C:\Program Files\GameHouse 2007-09-16 21:35 --------- d-------- C:\Program Files\Codec Pack - All In 1 ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “WatchDog”=“C:\Program Files\InterVideo\DVD Check\DVDCheck.exe” [2004-12-08 19:44] “SunJavaUpdateSched”=“C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe” [2005-03-04 04:36] “ATIPTA”=“C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe” [2005-04-11 11:00] “AVG7_CC”=“C:\PROGRA~1\Grisoft\AVG7\avgcc.exe” [2007-09-15 23:09] “Microsoft Network Services Controller”=“C:\WINDOWS\System32\mmsvc32.exe” [] “Spools Service Controller”=“C:\WINDOWS\System32\spools.exe” [] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “CTFMON.EXE”=“C:\WINDOWS\System32\ctfmon.exe” [2002-09-29 00:00] “SpybotSD TeaTimer”=“C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe” [2005-05-31 01:04] C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\ DVD Check.lnk - C:\Program Files\InterVideo\DVD Check\DVDCheck.exe [2007-02-07 05:46:32] Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 10:01:04] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\hpWirelessAssistant] C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\odk_mcd] R3 HSFHWATI;HSFHWATI;C:\WINDOWS\System32\DRIVERS\HSFHWATI.sys R3 k510bus;Sony Ericsson K510 Driver driver (WDM);C:\WINDOWS\System32\DRIVERS\k510bus.sys R3 k510mdfl;Sony Ericsson K510 USB WMC Modem Filter;C:\WINDOWS\System32\DRIVERS\k510mdfl.sys R3 k510mdm;Sony Ericsson K510 USB WMC Modem Driver;C:\WINDOWS\System32\DRIVERS\k510mdm.sys R3 k510mgmt;Sony Ericsson K510 USB WMC Device Management Drivers (WDM);C:\WINDOWS\System32\DRIVERS\k510mgmt.sys R3 k510obex;Sony Ericsson K510 USB WMC OBEX Interface;C:\WINDOWS\System32\DRIVERS\k510obex.sys S1 eusk2par;EUTRON SmartKey Parallel Driver;??\C:\WINDOWS\System32\Drivers\eusk2par.sys S3 GTF32BUS;GT F32 BUS;C:\WINDOWS\System32\DRIVERS\gtf32bus.sys S3 GTPTSER;GT PT SER;C:\WINDOWS\System32\DRIVERS\gtptser.sys S3 GTSCSER;GT SC SER;C:\WINDOWS\System32\DRIVERS\gtscser.sys ************************************************************************** catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-10-17 08:48:35 Windows 5.1.2600 Dodatek Service Pack. 1 NTFS scanning hidden processes … scanning hidden autostart entries … scanning hidden files … ************************************************************************** Completion time: 2007-10-17 8:50:02 — E O F —
Gutek
(Gutek)
17 Październik 2007 21:41
#2
przeskanuj plik - http://virusscan.jotti.org/
Otwórz Notatnik i wklej w nim to:
Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG >>> kliknij dwa razy na utworzony plik FIX.REG i potwierdź dodanie do rejestru >>> restart.
Użyj SmitFraudFix wybierz opcji nr 2 , oczywiście w trybie awaryjnym i po tym nowy log z Combofix
joahun
(Joahun)
18 Październik 2007 07:06
#3
ponieważ notorycznie wyskakuje mi błąd na stronie. Reszta zrobiona, oto log:
ComboFix 07-08-14.4 - “xxx” 2007-10-18 8:56:22.6 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.1.1250.1.1045.18.27 [GMT 2:00] ((((((((((((((((((((((((( Files Created from 2007-09-18 to 2007-10-18 ))))))))))))))))))))))))))))))) 2007-10-18 08:46 53,248 --a------ C:\WINDOWS\system32\Process.exe 2007-10-18 08:46 51,200 --a------ C:\WINDOWS\system32\dumphive.exe 2007-10-18 08:46 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe 2007-10-18 08:46 1,828 --a------ C:\WINDOWS\system32\tmp.reg 2007-10-17 15:37 92,208 --a------ C:\WINDOWS\system\WING.DLL 2007-10-17 15:37 12,800 --a------ C:\WINDOWS\system\WING32.DLL 2007-10-17 00:55 2007-10-11 10:09 2007-09-23 22:59 67,788 --a------ C:\WINDOWS\exrk.exe 2007-09-23 08:35 25,992 --a------ C:\WINDOWS\system32\pgdfgsvc.exe 2007-09-23 07:05 2007-09-23 07:05 2007-09-21 16:50 2007-09-21 04:54 2007-09-21 01:50 2007-09-19 16:45 2007-09-19 16:45 (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-09-19 02:14 --------- d-------- C:\Program Files\Share_Accelerator_MM 2007-09-19 02:13 2560 --a------ C:\WINDOWS_MSRSTRT.EXE 2007-09-16 21:35 --------- d-------- C:\Program Files\PopCap Games 2007-09-16 21:35 --------- d-------- C:\Program Files\Messenger 2007-09-16 21:35 --------- d-------- C:\Program Files\GameHouse 2007-09-16 21:35 --------- d-------- C:\Program Files\Codec Pack - All In 1 ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “WatchDog”=“C:\Program Files\InterVideo\DVD Check\DVDCheck.exe” [2004-12-08 19:44] “SunJavaUpdateSched”=“C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe” [2005-03-04 04:36] “ATIPTA”=“C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe” [2005-04-11 11:00] “AVG7_CC”=“C:\PROGRA~1\Grisoft\AVG7\avgcc.exe” [2007-09-15 23:09] “Microsoft Network Services Controller”=“C:\WINDOWS\System32\mmsvc32.exe” [] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “CTFMON.EXE”=“C:\WINDOWS\System32\ctfmon.exe” [2002-09-29 00:00] “SpybotSD TeaTimer”=“C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe” [2005-05-31 01:04] C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\ DVD Check.lnk - C:\Program Files\InterVideo\DVD Check\DVDCheck.exe [2007-02-07 05:46:32] Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 10:01:04] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\hpWirelessAssistant] C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\odk_mcd] R3 HSFHWATI;HSFHWATI;C:\WINDOWS\System32\DRIVERS\HSFHWATI.sys S1 eusk2par;EUTRON SmartKey Parallel Driver;??\C:\WINDOWS\System32\Drivers\eusk2par.sys S3 GTF32BUS;GT F32 BUS;C:\WINDOWS\System32\DRIVERS\gtf32bus.sys S3 GTPTSER;GT PT SER;C:\WINDOWS\System32\DRIVERS\gtptser.sys S3 GTSCSER;GT SC SER;C:\WINDOWS\System32\DRIVERS\gtscser.sys S3 k510bus;Sony Ericsson K510 Driver driver (WDM);C:\WINDOWS\System32\DRIVERS\k510bus.sys S3 k510mdfl;Sony Ericsson K510 USB WMC Modem Filter;C:\WINDOWS\System32\DRIVERS\k510mdfl.sys S3 k510mdm;Sony Ericsson K510 USB WMC Modem Driver;C:\WINDOWS\System32\DRIVERS\k510mdm.sys S3 k510mgmt;Sony Ericsson K510 USB WMC Device Management Drivers (WDM);C:\WINDOWS\System32\DRIVERS\k510mgmt.sys S3 k510obex;Sony Ericsson K510 USB WMC OBEX Interface;C:\WINDOWS\System32\DRIVERS\k510obex.sys ************************************************************************** catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-10-18 08:57:50 Windows 5.1.2600 Dodatek Service Pack. 1 NTFS scanning hidden processes … scanning hidden autostart entries … scanning hidden files … scan completed successfully hidden files: 0 ************************************************************************** Completion time: 2007-10-18 8:59:07 C:\ComboFix2.txt … 2007-10-17 08:50 — E O F —
adam9870
(adam9870)
19 Październik 2007 18:42
#4
Uwaga : na czas wykonywania czynności wyłącz SpybotSD TeaTimer. W przeciwnym wypadku naniesione zmiany mogą nie zostać zapisane.
Według Prevx to syf (C:\WINDOWS\exrk.exe), więc teoretycznie można by zaryzykować jego usunięcie, jednak dla pewności proszę spróbować przeskanować ten plik na stronie http://www.virustotal.com/pl/ , a jeśli rzeczywiście okaże się szkodliwy - usunąć go ręcznie.
Otwórz Notatnik i wklej w nim to:
Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.BAT
Otwórz Notatnik i wklej w nim to:
Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG
Przejdź do trybu awaryjnego i uruchom utworzone pliki.
Po wykonaniu wykonaj i wklej nowy log z ComboFix.
joahun
(Joahun)
20 Październik 2007 22:29
#5
Zrobione według wskazówek. Oto log
ComboFix 07-08-14.4 - “xxx” 2007-10-21 0:21:20.7 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.1.1250.1.1045.18.31 [GMT 2:00] ((((((((((((((((((((((((( Files Created from 2007-09-20 to 2007-10-20 ))))))))))))))))))))))))))))))) 2007-10-20 20:15 2007-10-20 20:14 2007-10-20 20:07 4,096 --a------ C:\WINDOWS\d3dx.dat 2007-10-20 20:07 2007-10-18 20:44 2007-10-18 20:44 2007-10-18 09:32 2007-10-18 08:46 53,248 --a------ C:\WINDOWS\system32\Process.exe 2007-10-18 08:46 51,200 --a------ C:\WINDOWS\system32\dumphive.exe 2007-10-18 08:46 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe 2007-10-18 08:46 1,828 --a------ C:\WINDOWS\system32\tmp.reg 2007-10-17 15:37 92,208 --a------ C:\WINDOWS\system\WING.DLL 2007-10-17 15:37 12,800 --a------ C:\WINDOWS\system\WING32.DLL 2007-10-17 00:55 2007-10-11 10:09 2007-09-23 08:35 25,992 --a------ C:\WINDOWS\system32\pgdfgsvc.exe 2007-09-23 07:05 2007-09-23 07:05 2007-09-21 16:50 2007-09-21 04:54 2007-09-21 01:50 (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-10-20 20:15 --------- d-------- C:\Program Files\GameHouse 2007-10-19 13:47 --------- d-------- C:\DOCUME~1\xxx\DANEAP~1\PlayFirst 2007-10-19 13:22 --------- d-------- C:\DOCUME~1\xxx\DANEAP~1\Help 2007-09-19 02:13 2560 --a------ C:\WINDOWS_MSRSTRT.EXE 2007-09-16 21:35 --------- d-------- C:\Program Files\PopCap Games 2007-09-16 21:35 --------- d-------- C:\Program Files\Messenger 2007-09-16 21:35 --------- d-------- C:\Program Files\Codec Pack - All In 1 ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “WatchDog”=“C:\Program Files\InterVideo\DVD Check\DVDCheck.exe” [2004-12-08 19:44] “SunJavaUpdateSched”=“C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe” [2005-03-04 04:36] “ATIPTA”=“C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe” [2005-04-11 11:00] “AVG7_CC”=“C:\PROGRA~1\Grisoft\AVG7\avgcc.exe” [2007-09-15 23:09] “Spools Service Controller”=“C:\WINDOWS\System32\spools.exe” [] “Microsoft Network Services Controller”=“C:\WINDOWS\System32\mmsvc32.exe” [] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “CTFMON.EXE”=“C:\WINDOWS\System32\ctfmon.exe” [2002-09-29 00:00] “SpybotSD TeaTimer”=“C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe” [2005-05-31 01:04] C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\ DVD Check.lnk - C:\Program Files\InterVideo\DVD Check\DVDCheck.exe [2007-02-07 05:46:32] Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 10:01:04] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\hpWirelessAssistant] C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\odk_mcd] R3 HSFHWATI;HSFHWATI;C:\WINDOWS\System32\DRIVERS\HSFHWATI.sys S1 eusk2par;EUTRON SmartKey Parallel Driver;??\C:\WINDOWS\System32\Drivers\eusk2par.sys S3 GTF32BUS;GT F32 BUS;C:\WINDOWS\System32\DRIVERS\gtf32bus.sys S3 GTPTSER;GT PT SER;C:\WINDOWS\System32\DRIVERS\gtptser.sys S3 GTSCSER;GT SC SER;C:\WINDOWS\System32\DRIVERS\gtscser.sys S3 k510bus;Sony Ericsson K510 Driver driver (WDM);C:\WINDOWS\System32\DRIVERS\k510bus.sys S3 k510mdfl;Sony Ericsson K510 USB WMC Modem Filter;C:\WINDOWS\System32\DRIVERS\k510mdfl.sys S3 k510mdm;Sony Ericsson K510 USB WMC Modem Driver;C:\WINDOWS\System32\DRIVERS\k510mdm.sys S3 k510mgmt;Sony Ericsson K510 USB WMC Device Management Drivers (WDM);C:\WINDOWS\System32\DRIVERS\k510mgmt.sys S3 k510obex;Sony Ericsson K510 USB WMC OBEX Interface;C:\WINDOWS\System32\DRIVERS\k510obex.sys ************************************************************************** catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-10-21 00:22:42 Windows 5.1.2600 Dodatek Service Pack. 1 NTFS scanning hidden processes … scanning hidden autostart entries … scanning hidden files … ************************************************************************** Completion time: 2007-10-21 0:23:54 C:\ComboFix2.txt … 2007-10-18 08:59 C:\ComboFix3.txt … 2007-10-17 08:50 — E O F —
adam9870
(adam9870)
21 Październik 2007 08:54
#6
Uwaga : na czas wykonywania czynności wyłącz SpybotSD TeaTimer. W przeciwnym wypadku naniesione zmiany mogą nie zostać zapisane.
Start => uruchom => wpisz regedit i kliknij OK => przejdź do klucza:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
i skasuj z prawokliku znajdującą się tam wartość Spools Service Controller oraz Microsoft Network Services Controller
Następnie uruchom ponownie komputer i wklej nowy log z Combo.
joahun
(Joahun)
21 Październik 2007 23:09
#7
Wykonane, oto log:
ComboFix 07-08-14.4 - “xxx” 2007-10-22 0:51:58.9 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.1.1250.1.1045.18.61 [GMT 2:00] ((((((((((((((((((((((((( Files Created from 2007-09-21 to 2007-10-21 ))))))))))))))))))))))))))))))) 2007-10-20 20:15 2007-10-20 20:14 2007-10-20 20:07 4,096 --a------ C:\WINDOWS\d3dx.dat 2007-10-20 20:07 2007-10-18 20:44 2007-10-18 20:44 2007-10-18 09:32 2007-10-18 08:46 53,248 --a------ C:\WINDOWS\system32\Process.exe 2007-10-18 08:46 51,200 --a------ C:\WINDOWS\system32\dumphive.exe 2007-10-18 08:46 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe 2007-10-18 08:46 1,828 --a------ C:\WINDOWS\system32\tmp.reg 2007-10-17 15:37 92,208 --a------ C:\WINDOWS\system\WING.DLL 2007-10-17 15:37 12,800 --a------ C:\WINDOWS\system\WING32.DLL 2007-10-17 00:55 2007-10-11 10:09 2007-09-23 08:35 25,992 --a------ C:\WINDOWS\system32\pgdfgsvc.exe 2007-09-23 07:05 2007-09-23 07:05 (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-10-20 20:15 --------- d-------- C:\Program Files\GameHouse 2007-10-19 13:47 --------- d-------- C:\DOCUME~1\xxx\DANEAP~1\PlayFirst 2007-10-19 13:22 --------- d-------- C:\DOCUME~1\xxx\DANEAP~1\Help 2007-09-21 16:55 --------- d-------- C:\DOCUME~1\xxx\DANEAP~1\Mysteryville2 2007-09-21 04:54 --------- d-------- C:\DOCUME~1\xxx\DANEAP~1\GameHouse 2007-09-21 01:51 --------- d-------- C:\DOCUME~1\xxx\DANEAP~1\Magic Academy 2007-09-19 02:13 2560 --a------ C:\WINDOWS_MSRSTRT.EXE 2007-09-16 21:35 --------- d-------- C:\Program Files\PopCap Games 2007-09-16 21:35 --------- d-------- C:\Program Files\Messenger 2007-09-16 21:35 --------- d-------- C:\Program Files\Codec Pack - All In 1 ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “WatchDog”=“C:\Program Files\InterVideo\DVD Check\DVDCheck.exe” [2004-12-08 19:44] “SunJavaUpdateSched”=“C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe” [2005-03-04 04:36] “ATIPTA”=“C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe” [2005-04-11 11:00] “AVG7_CC”=“C:\PROGRA~1\Grisoft\AVG7\avgcc.exe” [2007-09-15 23:09] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “CTFMON.EXE”=“C:\WINDOWS\System32\ctfmon.exe” [2002-09-29 00:00] C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\ DVD Check.lnk - C:\Program Files\InterVideo\DVD Check\DVDCheck.exe [2007-02-07 05:46:32] Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 10:01:04] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\hpWirelessAssistant] C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\odk_mcd] R3 HSFHWATI;HSFHWATI;C:\WINDOWS\System32\DRIVERS\HSFHWATI.sys S1 eusk2par;EUTRON SmartKey Parallel Driver;??\C:\WINDOWS\System32\Drivers\eusk2par.sys S3 GTF32BUS;GT F32 BUS;C:\WINDOWS\System32\DRIVERS\gtf32bus.sys S3 GTPTSER;GT PT SER;C:\WINDOWS\System32\DRIVERS\gtptser.sys S3 GTSCSER;GT SC SER;C:\WINDOWS\System32\DRIVERS\gtscser.sys S3 k510bus;Sony Ericsson K510 Driver driver (WDM);C:\WINDOWS\System32\DRIVERS\k510bus.sys S3 k510mdfl;Sony Ericsson K510 USB WMC Modem Filter;C:\WINDOWS\System32\DRIVERS\k510mdfl.sys S3 k510mdm;Sony Ericsson K510 USB WMC Modem Driver;C:\WINDOWS\System32\DRIVERS\k510mdm.sys S3 k510mgmt;Sony Ericsson K510 USB WMC Device Management Drivers (WDM);C:\WINDOWS\System32\DRIVERS\k510mgmt.sys S3 k510obex;Sony Ericsson K510 USB WMC OBEX Interface;C:\WINDOWS\System32\DRIVERS\k510obex.sys ************************************************************************** catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-10-22 00:53:01 Windows 5.1.2600 Dodatek Service Pack. 1 NTFS scanning hidden processes … C:\WINDOWS\system32\cmd.exe [2020] 0xFF61D6C0 scanning hidden autostart entries … scanning hidden files … scan completed successfully hidden files: 0 ************************************************************************** Completion time: 2007-10-22 0:53:40 — E O F —
Złączono Posta : 24.10.2007 (Sro) 8:34
Wkleiłam już loga po czyszczeniu. Czy mogłabym prosić, aby ktoś na niego zerknął i napisał czy to już wszysko?! Chcę zaznaczyć, że podane na początku postu objawy niewiele się zmieniły, a w szczególności otwieranie stron na necie ( to makabra :-x ) No i jeszcze jedno pytanie : Czy różnica w ilości wysyłanuch bajtów ( net połączenie aktywność ) w stosunku do otrzymanych może wynosić 2000000??? kiedy mam takie problemy z otwieraniem stron??? Proszę o poradę. Dziękuję.
Złączono Posta : 24.10.2007 (Sro) 8:51
Wkleiłam już loga po czyszczeniu. Czy mogłabym prosić, aby ktoś na niego zerknął i napisał czy to już wszysko?! Chcę zaznaczyć, że podane na początku postu objawy niewiele się zmieniły, a w szczególności otwieranie stron na necie ( to makabra ) No i jeszcze jedno pytanie : Czy różnica w ilości wysyłanuch bajtów ( net połączenie aktywność ) w stosunku do otrzymanych może wynosić 2000000?? kiedy mam takie problemy z otwieraniem stron!! Proszę o poradę. Dziękuję.
Złączono Posta : 28.10.2007 (Nie) 10:23
Moderator prosił o wklejenie loga i nie wiem jak to się dzieje, że do tej pory nikt mi nie może pomóc? Chętnie bym już skończyła ten temat, ale brak odpowiedzi niwe pozwala mi na to. Czytałam, że forum to zostało stworzone, aby pomagać m.in. takimlaikom jak ja. Będę wdzięczna za odpowiedź.