Nod32 wkrył trojana

Dla specjalistów Bezpieczeństwo
#1

Antywirus wykrył i zablokował trojana , ale pomimo tego komputer bardzo wolno chodzi po włączeniu pojawia sie informacja problem z aplikacja eset gui zostanie ona zamkięta i windows prosi o przesłane błędów , od tygodnia nod 32 w skanowaniu na żądanie zawiesza sie na dysku “D” po 22% skanu i nawet przez 6 godzin nie rusza dalej ? Co mam robic ?

Dodane 10.05.2009 (N) 14:41

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 14:35:13, on 2009-05-10

Platform: Windows XP Dodatek SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Program Files\QuickTime\qttask.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\Java\jre6\bin\jusched.exe

C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\OLYMPUS\OLYMPUS Master 2\MMonitor.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\Bonjour\mDNSResponder.exe

C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\Program Files\Opera\opera.exe

C:\Program Files\WinRAR\WinRAR.exe

C:\Documents and Settings\Właściciel\Ustawienia lokalne\Dane aplikacji\Opera\Opera\profile\cache4\temporary_download\launch.exe

C:\DOCUME~1\WACICI~1\USTAWI~1\Temp\RarSFX0\r2953r.exe

C:\DOCUME~1\WACICI~1\USTAWI~1\Temp\RarSFX0\7p56y.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.eu.microsoft.com/poland/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

F2 - REG:system.ini: Shell=explorer.exe 

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - D:\Programy\BitComet\tools\BitCometBHO_1.2.8.7.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [OM2_Monitor] "C:\Program Files\OLYMPUS\OLYMPUS Master 2\FirstStart.exe" /OM

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice

O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [OM2_Monitor] "C:\Program Files\OLYMPUS\OLYMPUS Master 2\MMonitor.exe"

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: Pobierz wszystkie VIdeo za pomocą BitComet - res://D:\Programy\BitComet\BitComet.exe/AddVideo.htm

O8 - Extra context menu item: Pobierz wszystko za pomocą BitComet - res://D:\Programy\BitComet\BitComet.exe/AddAllLink.htm

O8 - Extra context menu item: Pobierz za pomocą BitComet - res://D:\Programy\BitComet\BitComet.exe/AddLink.htm

O9 - Extra button: Bonjour - {7F9DB11C-E358-4ca6-A83D-ACC663939424} - C:\Program Files\Bonjour\ExplorerPlugin.dll

O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://D:\Programy\BitComet\tools\BitCometBHO_1.2.8.7.dll/206 (file missing)

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O23 - Service: Bonjour Service - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe

O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe


--

End of file - 6315 bytes
#2

:arrow: Sfiksuj w HijackThis

:arrow: Wykonaj pełne skanowanie Dr.Web CureIt!

#3

Przeskanowałem podanym antywirusem usunąłem 3 wirusy , usunąłem zaznaczony problem po hijackthis .Dziekuje za pomoc . Przesyłam loga po wykonaniu w/w czynności >

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 14:35:13, on 2009-05-10

Platform: Windows XP Dodatek SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Program Files\QuickTime\qttask.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\Java\jre6\bin\jusched.exe

C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\OLYMPUS\OLYMPUS Master 2\MMonitor.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\Bonjour\mDNSResponder.exe

C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\Program Files\Opera\opera.exe

C:\Program Files\WinRAR\WinRAR.exe

C:\Documents and Settings\Właściciel\Ustawienia lokalne\Dane aplikacji\Opera\Opera\profile\cache4\temporary_download\launch.exe

C:\DOCUME~1\WACICI~1\USTAWI~1\Temp\RarSFX0\r2953r.exe

C:\DOCUME~1\WACICI~1\USTAWI~1\Temp\RarSFX0\7p56y.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.eu.microsoft.com/poland/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

F2 - REG:system.ini: Shell=explorer.exe 

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - D:\Programy\BitComet\tools\BitCometBHO_1.2.8.7.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [OM2_Monitor] "C:\Program Files\OLYMPUS\OLYMPUS Master 2\FirstStart.exe" /OM

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice

O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [OM2_Monitor] "C:\Program Files\OLYMPUS\OLYMPUS Master 2\MMonitor.exe"

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: Pobierz wszystkie VIdeo za pomocą BitComet - res://D:\Programy\BitComet\BitComet.exe/AddVideo.htm

O8 - Extra context menu item: Pobierz wszystko za pomocą BitComet - res://D:\Programy\BitComet\BitComet.exe/AddAllLink.htm

O8 - Extra context menu item: Pobierz za pomocą BitComet - res://D:\Programy\BitComet\BitComet.exe/AddLink.htm

O9 - Extra button: Bonjour - {7F9DB11C-E358-4ca6-A83D-ACC663939424} - C:\Program Files\Bonjour\ExplorerPlugin.dll

O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://D:\Programy\BitComet\tools\BitCometBHO_1.2.8.7.dll/206 (file missing)

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O23 - Service: Bonjour Service - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe

O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe


--

End of file - 6315 bytes
#4

Właściwie to bez zmian. Napisz koniecznie jakie wirusy usunął Dr.Web, najlepiej daj z niego log.

Uruchom ComboFix i wklej z niego log

viewtopic.php?p=1170959#p1170959

Wklejasz na www.wklej.org, tutaj dajesz link.

Podczas pobierania i skanu ComboFix’em wyłącz antywirusa i zapory.

#5

Poprawiam posta bo cos schrz…

Dr.Web wykrył i usunął n/w

-silent runners.vbs C:/documents and settings - prawdopodobnie BATCH.VIRUS

D:/system.volume information /restore{133e741A-e9C8-4fedd-84d4-6b33cba5153b}-/rp301/a012244.exe-archiwum zawiera zainfekowany obiekt

-a012244-tool.game.crack

-A012244.exe-archiwum zawier zainfekowany obiekt

-A0122450.exe -tool.game.crack

ComboFix 09-05-09.05 - Właściciel 2009-05-11 8:59.4 - NTFSx86

Microsoft Windows XP Home Edition 5.1.2600.3.1250.48.1045.18.2046.1609 [GMT 2:00]

Uruchomiony z: c:\documents and settings\Właściciel\Ustawienia lokalne\Dane aplikacji\Opera\Opera\profile\cache4\temporary_download\ComboFix.exe

AV: ESET NOD32 Antivirus 4.0 *On-access scanning disabled* (Updated)

 * Utworzono nowy punkt przywracania

.


((((((((((((((((((((((((( Pliki utworzone od 2009-04-11 do 2009-05-11 )))))))))))))))))))))))))))))))

.


2009-05-10 09:22 . 2009-05-10 09:22	--------	d-----w	c:\program files\Trend Micro

2009-05-02 08:05 . 2009-05-02 08:08	--------	d-----w	c:\program files\Spybot - Search & Destroy

2009-05-01 16:26 . 2009-05-01 16:26	--------	d-----w	c:\documents and settings\All Users\Dane aplikacji\SUPERAntiSpyware.com

2009-04-17 15:00 . 2008-03-21 11:57	14640	------w	c:\windows\system32\spmsgXP_2k3.dll

2009-04-15 18:07 . 2009-02-06 10:10	227840	-c----w	c:\windows\system32\dllcache\wmiprvse.exe

2009-04-15 18:07 . 2009-03-06 14:22	285696	-c----w	c:\windows\system32\dllcache\pdh.dll

2009-04-15 18:07 . 2009-02-09 11:25	111104	-c----w	c:\windows\system32\dllcache\services.exe

2009-04-15 18:07 . 2009-02-09 10:53	401408	-c----w	c:\windows\system32\dllcache\rpcss.dll

2009-04-15 18:07 . 2009-02-09 10:53	473600	-c----w	c:\windows\system32\dllcache\fastprox.dll

2009-04-15 18:06 . 2009-02-09 10:53	686592	-c----w	c:\windows\system32\dllcache\advapi32.dll

2009-04-15 18:06 . 2009-02-09 10:53	731136	-c----w	c:\windows\system32\dllcache\lsasrv.dll

2009-04-15 18:06 . 2009-02-09 10:53	453120	-c----w	c:\windows\system32\dllcache\wmiprvsd.dll

2009-04-15 18:06 . 2009-02-09 10:53	722944	-c----w	c:\windows\system32\dllcache\ntdll.dll

2009-04-15 18:05 . 2008-04-21 21:16	218112	-c----w	c:\windows\system32\dllcache\wordpad.exe


.

(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-05-09 13:30 . 2009-04-03 16:10	--------	d-----w	c:\program files\K-Meleon

2009-04-22 06:57 . 2009-01-12 09:05	--------	d-----w	c:\program files\Nokia

2009-04-21 09:28 . 2006-03-02 12:00	49712	----a-w	c:\windows\system32\perfc015.dat

2009-04-21 09:28 . 2006-03-02 12:00	355830	----a-w	c:\windows\system32\perfh015.dat

2009-04-17 15:00 . 2009-04-17 15:00	0	---ha-w	c:\windows\system32\drivers\Msft_Kernel_ccdcmb_01007.Wdf

2009-04-17 15:00 . 2009-04-17 15:00	0	---ha-w	c:\windows\system32\drivers\MsftWdf_Kernel_01007_Coinstaller_Critical.Wdf

2009-04-09 13:21 . 2009-04-09 13:21	94360	----a-w	c:\windows\system32\drivers\epfwtdir.sys

2009-04-09 13:18 . 2009-04-09 13:18	107256	----a-w	c:\windows\system32\drivers\ehdrv.sys

2009-04-09 13:10 . 2009-04-09 13:10	113960	----a-w	c:\windows\system32\drivers\eamon.sys

2009-04-08 17:22 . 2009-01-22 09:48	--------	d-----w	c:\program files\Lavasoft

2009-04-03 16:11 . 2009-03-24 09:48	--------	d-----w	c:\program files\Opera

2009-04-03 07:33 . 2008-06-27 11:35	9809	----a-w	c:\windows\mozver.dat

2009-04-02 09:53 . 2009-04-01 08:08	--------	d-----w	c:\program files\Opera 10 Preview

2009-04-01 07:12 . 2008-10-22 10:51	--------	d-----w	c:\program files\Java

2009-03-25 14:01 . 2009-03-25 14:01	--------	d-----w	c:\program files\GIMP-2.0

2009-03-15 06:25 . 2008-06-30 15:05	--------	d-----w	c:\program files\Common Files\Adobe

2009-03-10 16:34 . 2009-03-10 16:34	720	----a-w	c:\windows\unins000.dat

2009-03-09 03:19 . 2008-11-27 09:11	410984	----a-w	c:\windows\system32\deploytk.dll

2009-03-08 03:34 . 2006-03-02 12:00	914944	----a-w	c:\windows\system32\wininet.dll

2009-03-08 03:34 . 2006-03-02 12:00	43008	----a-w	c:\windows\system32\licmgr10.dll

2009-03-08 03:33 . 2006-03-02 12:00	18944	----a-w	c:\windows\system32\corpol.dll

2009-03-08 03:33 . 2006-03-02 12:00	420352	----a-w	c:\windows\system32\vbscript.dll

2009-03-08 03:32 . 2006-03-02 12:00	72704	----a-w	c:\windows\system32\admparse.dll

2009-03-08 03:32 . 2006-03-02 12:00	71680	----a-w	c:\windows\system32\iesetup.dll

2009-03-08 03:31 . 2006-03-02 12:00	34816	----a-w	c:\windows\system32\imgutil.dll

2009-03-08 03:31 . 2006-03-02 12:00	48128	----a-w	c:\windows\system32\mshtmler.dll

2009-03-08 03:31 . 2006-03-02 12:00	45568	----a-w	c:\windows\system32\mshta.exe

2009-03-08 03:22 . 2006-03-02 12:00	156160	----a-w	c:\windows\system32\msls31.dll

2009-03-06 14:22 . 2006-03-02 12:00	285696	----a-w	c:\windows\system32\pdh.dll

2008-10-11 09:35 . 2008-07-19 10:25	72	--sh--w	c:\windows\S8EDB4C44.tmp

2009-01-04 11:46 . 2009-01-04 11:44	56	--sh--r	c:\windows\system32\D01F8C9CE6.sys

2009-01-04 11:47 . 2009-01-04 11:44	3350	--sha-w	c:\windows\system32\KGyGaAvL.sys

.


((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane  

REGEDIT4


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Gadu-Gadu"="c:\program files\Gadu-Gadu\gg.exe" [2007-11-14 2131392]

"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

"OM2_Monitor"="c:\program files\OLYMPUS\OLYMPUS Master 2\MMonitor.exe" [2007-09-04 95536]

"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-12-04 8523776]

"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2006-09-01 282624]

"OM2_Monitor"="c:\program files\OLYMPUS\OLYMPUS Master 2\FirstStart.exe" [2007-09-04 54576]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-12-04 81920]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]

"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-03-09 148888]

"egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2009-04-09 2029640]

"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2007-04-12 16132608]

"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2007-12-04 1626112]

"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" - c:\windows\KHALMNPR.Exe [2007-04-11 56080]


[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]

@="Driver"


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]

@=""


[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Gadu-Gadu\\gg.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"d:\\Gry\\Q3\\quake3.exe"=

"d:\\Gry\\Q3\\HLSW\\hlsw.exe"=

"d:\\Programy\\BitComet\\BitComet.exe"=

"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=

"c:\\Program Files\\Skype\\Phone\\Skype.exe"=


[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"23338:TCP"= 23338:TCP:BitComet 23338 TCP

"23338:UDP"= 23338:UDP:BitComet 23338 UDP


R1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [2009-04-09 107256]

R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [2009-04-09 94360]

R2 ekrn;ESET Service;c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe [2009-04-09 731840]

S0 Lbd;Lbd;c:\windows\system32\DRIVERS\Lbd.sys --> c:\windows\system32\DRIVERS\Lbd.sys [?]


[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]

"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP

.

Zawartość folderu 'Zaplanowane zadania'


2009-04-06 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

.

.

------- Skan uzupełniający -------

.

uInternet Settings,ProxyOverride = *.local

IE: Pobierz wszystkie VIdeo za pomocą BitComet - d:\programy\BitComet\BitComet.exe/AddVideo.htm

IE: Pobierz wszystko za pomocą BitComet - d:\programy\BitComet\BitComet.exe/AddAllLink.htm

IE: Pobierz za pomocą BitComet - d:\programy\BitComet\BitComet.exe/AddLink.htm

FF - ProfilePath - c:\documents and settings\Właściciel\Dane aplikacji\Mozilla\Firefox\Profiles\lsgy3aeq.default\

FF - component: c:\documents and settings\Właściciel\Dane aplikacji\Mozilla\Firefox\Profiles\lsgy3aeq.default\extensions\{B042753D-F57E-4e8e-A01B-7379A6D4CEFB}\components\IBitCometExtension.dll

FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll

FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll

.


**************************************************************************


catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-05-11 09:00

Windows 5.1.2600 Dodatek Service Pack 3 NTFS


skanowanie ukrytych procesów ...  


skanowanie ukrytych wpisów autostartu ... 


skanowanie ukrytych plików ...  


skanowanie pomyślnie ukończone

ukryte pliki: 0


**************************************************************************

.

--------------------- ZABLOKOWANE KLUCZE REJESTRU ---------------------


[HKEY_LOCAL_MACHINE\software\Classes\*PÚ4

»×ęN˙_*a*u*t*o*_*f*i*l*e*\shell\open\command]

@="\"c:\\Program Files\\WinRAR\\WinRAR.exe\" \"%1\""

.

--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------


- - - - - - - > 'explorer.exe'(240)

c:\windows\system32\ieframe.dll

c:\windows\system32\webcheck.dll

.

Czas ukończenia: 2009-05-11 9:01

ComboFix-quarantined-files.txt 2009-05-11 07:01


Przed: 18 898 546 688 bajtów wolnych

Po: 22 031 618 048 bajtów wolnych


144	--- E O F ---	2009-04-16 07:53
#6

Zmiana zasad wklejania logów na forum - viewtopic.php?f=16&t=253052

Wklej do Notatnika:

File::

c:\windows\S8EDB4C44.tmp

c:\windows\system32\D01F8C9CE6.sys

>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku –>cfscript10uc2.gif

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: ** Qoobox**.

Po tym nowy log z Combo oraz skan http://www.kaspersky.pl/virusscanner.html

Prawoklik na Mój KomputerWłaściwościPrzywracanie systemu wyłącz przywracanie systemu na wszystkich dyskach.

#7

ComboFix 09-05-10.01 - Właściciel 2009-05-11 10:54.6 - NTFSx86

Microsoft Windows XP Home Edition 5.1.2600.3.1250.48.1045.18.2046.1631 [GMT 2:00]

Uruchomiony z: c:\documents and settings\Właściciel\Pulpit\ComboFix.exe

AV: ESET NOD32 Antivirus 4.0 *On-access scanning disabled* (Updated)

.

((((((((((((((((((((((((( Pliki utworzone od 2009-04-11 do 2009-05-11 )))))))))))))))))))))))))))))))

.

2009-05-11 08:30 . 2008-11-06 00:03 -------- d-----w C:\SDFix

2009-05-10 09:22 . 2009-05-10 09:22 -------- d-----w c:\program files\Trend Micro

2009-05-02 08:05 . 2009-05-02 08:08 -------- d-----w c:\program files\Spybot - Search & Destroy

2009-05-01 16:26 . 2009-05-01 16:26 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\SUPERAntiSpyware.com

2009-04-17 15:00 . 2008-03-21 11:57 14640 ------w c:\windows\system32\spmsgXP_2k3.dll

2009-04-15 18:07 . 2009-02-06 10:10 227840 -c----w c:\windows\system32\dllcache\wmiprvse.exe

2009-04-15 18:07 . 2009-03-06 14:22 285696 -c----w c:\windows\system32\dllcache\pdh.dll

2009-04-15 18:07 . 2009-02-09 11:25 111104 -c----w c:\windows\system32\dllcache\services.exe

2009-04-15 18:07 . 2009-02-09 10:53 401408 -c----w c:\windows\system32\dllcache\rpcss.dll

2009-04-15 18:07 . 2009-02-09 10:53 473600 -c----w c:\windows\system32\dllcache\fastprox.dll

2009-04-15 18:06 . 2009-02-09 10:53 686592 -c----w c:\windows\system32\dllcache\advapi32.dll

2009-04-15 18:06 . 2009-02-09 10:53 731136 -c----w c:\windows\system32\dllcache\lsasrv.dll

2009-04-15 18:06 . 2009-02-09 10:53 453120 -c----w c:\windows\system32\dllcache\wmiprvsd.dll

2009-04-15 18:06 . 2009-02-09 10:53 722944 -c----w c:\windows\system32\dllcache\ntdll.dll

2009-04-15 18:05 . 2008-04-21 21:16 218112 -c----w c:\windows\system32\dllcache\wordpad.exe

.

(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-05-09 13:30 . 2009-04-03 16:10 -------- d-----w c:\program files\K-Meleon

2009-04-22 06:57 . 2009-01-12 09:05 -------- d-----w c:\program files\Nokia

2009-04-21 09:28 . 2006-03-02 12:00 49712 ----a-w c:\windows\system32\perfc015.dat

2009-04-21 09:28 . 2006-03-02 12:00 355830 ----a-w c:\windows\system32\perfh015.dat

2009-04-17 15:00 . 2009-04-17 15:00 0 —ha-w c:\windows\system32\drivers\Msft_Kernel_ccdcmb_01007.Wdf

2009-04-17 15:00 . 2009-04-17 15:00 0 —ha-w c:\windows\system32\drivers\MsftWdf_Kernel_01007_Coinstaller_Critical.Wdf

2009-04-09 13:21 . 2009-04-09 13:21 94360 ----a-w c:\windows\system32\drivers\epfwtdir.sys

2009-04-09 13:18 . 2009-04-09 13:18 107256 ----a-w c:\windows\system32\drivers\ehdrv.sys

2009-04-09 13:10 . 2009-04-09 13:10 113960 ----a-w c:\windows\system32\drivers\eamon.sys

2009-04-08 17:22 . 2009-01-22 09:48 -------- d-----w c:\program files\Lavasoft

2009-04-03 16:11 . 2009-03-24 09:48 -------- d-----w c:\program files\Opera

2009-04-03 07:33 . 2008-06-27 11:35 9809 ----a-w c:\windows\mozver.dat

2009-04-02 09:53 . 2009-04-01 08:08 -------- d-----w c:\program files\Opera 10 Preview

2009-04-01 07:12 . 2008-10-22 10:51 -------- d-----w c:\program files\Java

2009-03-25 14:01 . 2009-03-25 14:01 -------- d-----w c:\program files\GIMP-2.0

2009-03-15 06:25 . 2008-06-30 15:05 -------- d-----w c:\program files\Common Files\Adobe

2009-03-10 16:34 . 2009-03-10 16:34 720 ----a-w c:\windows\unins000.dat

2009-03-09 03:19 . 2008-11-27 09:11 410984 ----a-w c:\windows\system32\deploytk.dll

2009-03-08 03:34 . 2006-03-02 12:00 914944 ----a-w c:\windows\system32\wininet.dll

2009-03-08 03:34 . 2006-03-02 12:00 43008 ----a-w c:\windows\system32\licmgr10.dll

2009-03-08 03:33 . 2006-03-02 12:00 18944 ----a-w c:\windows\system32\corpol.dll

2009-03-08 03:33 . 2006-03-02 12:00 420352 ----a-w c:\windows\system32\vbscript.dll

2009-03-08 03:32 . 2006-03-02 12:00 72704 ----a-w c:\windows\system32\admparse.dll

2009-03-08 03:32 . 2006-03-02 12:00 71680 ----a-w c:\windows\system32\iesetup.dll

2009-03-08 03:31 . 2006-03-02 12:00 34816 ----a-w c:\windows\system32\imgutil.dll

2009-03-08 03:31 . 2006-03-02 12:00 48128 ----a-w c:\windows\system32\mshtmler.dll

2009-03-08 03:31 . 2006-03-02 12:00 45568 ----a-w c:\windows\system32\mshta.exe

2009-03-08 03:22 . 2006-03-02 12:00 156160 ----a-w c:\windows\system32\msls31.dll

2009-03-06 14:22 . 2006-03-02 12:00 285696 ----a-w c:\windows\system32\pdh.dll

2008-10-11 09:35 . 2008-07-19 10:25 72 --sh–w c:\windows\S8EDB4C44.tmp

2009-01-04 11:46 . 2009-01-04 11:44 56 --sh–r c:\windows\system32\D01F8C9CE6.sys

2009-01-04 11:47 . 2009-01-04 11:44 3350 --sha-w c:\windows\system32\KGyGaAvL.sys

.

((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“Gadu-Gadu”=“c:\program files\Gadu-Gadu\gg.exe” [2007-11-14 2131392]

“CTFMON.EXE”=“c:\windows\system32\ctfmon.exe” [2008-04-14 15360]

“OM2_Monitor”=“c:\program files\OLYMPUS\OLYMPUS Master 2\MMonitor.exe” [2007-09-04 95536]

“SpybotSD TeaTimer”=“c:\program files\Spybot - Search & Destroy\TeaTimer.exe” [2009-03-05 2260480]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“NvCplDaemon”=“c:\windows\system32\NvCpl.dll” [2007-12-04 8523776]

“QuickTime Task”=“c:\program files\QuickTime\qttask.exe” [2006-09-01 282624]

“OM2_Monitor”=“c:\program files\OLYMPUS\OLYMPUS Master 2\FirstStart.exe” [2007-09-04 54576]

“NvMediaCenter”=“c:\windows\system32\NvMcTray.dll” [2007-12-04 81920]

“Adobe Reader Speed Launcher”=“c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe” [2009-02-27 35696]

“SunJavaUpdateSched”=“c:\program files\Java\jre6\bin\jusched.exe” [2009-03-09 148888]

“egui”=“c:\program files\ESET\ESET NOD32 Antivirus\egui.exe” [2009-04-09 2029640]

“RTHDCPL”=“RTHDCPL.EXE” - c:\windows\RTHDCPL.exe [2007-04-12 16132608]

“nwiz”=“nwiz.exe” - c:\windows\system32\nwiz.exe [2007-12-04 1626112]

“Logitech Hardware Abstraction Layer”=“KHALMNPR.EXE” - c:\windows\KHALMNPR.Exe [2007-04-11 56080]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

“CTFMON.EXE”=“c:\windows\system32\CTFMON.EXE” [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]

@=“Driver”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]

@=""

[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

“%windir%\system32\sessmgr.exe”=

“c:\Program Files\Gadu-Gadu\gg.exe”=

“%windir%\Network Diagnostic\xpnetdiag.exe”=

“d:\Gry\Q3\quake3.exe”=

“d:\Gry\Q3\HLSW\hlsw.exe”=

“d:\Programy\BitComet\BitComet.exe”=

“c:\Program Files\Bonjour\mDNSResponder.exe”=

“c:\Program Files\Skype\Phone\Skype.exe”=

[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

“23338:TCP”= 23338:TCP:BitComet 23338 TCP

“23338:UDP”= 23338:UDP:BitComet 23338 UDP

R1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [2009-04-09 107256]

R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [2009-04-09 94360]

R2 ekrn;ESET Service;c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe [2009-04-09 731840]

S0 Lbd;Lbd;c:\windows\system32\DRIVERS\Lbd.sys --> c:\windows\system32\DRIVERS\Lbd.sys [?]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]

“c:\windows\system32\rundll32.exe” “c:\windows\system32\iedkcs32.dll”,BrandIEActiveSetup SIGNUP

.

Zawartość folderu ‘Zaplanowane zadania’

2009-04-06 c:\windows\Tasks\AppleSoftwareUpdate.job

  • c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

.

.

------- Skan uzupełniający -------

.

uInternet Settings,ProxyOverride = *.local

IE: Pobierz wszystkie VIdeo za pomocą BitComet - d:\programy\BitComet\BitComet.exe/AddVideo.htm

IE: Pobierz wszystko za pomocą BitComet - d:\programy\BitComet\BitComet.exe/AddAllLink.htm

IE: Pobierz za pomocą BitComet - d:\programy\BitComet\BitComet.exe/AddLink.htm

FF - ProfilePath - c:\documents and settings\Właściciel\Dane aplikacji\Mozilla\Firefox\Profiles\lsgy3aeq.default\

FF - component: c:\documents and settings\Właściciel\Dane aplikacji\Mozilla\Firefox\Profiles\lsgy3aeq.default\extensions{B042753D-F57E-4e8e-A01B-7379A6D4CEFB}\components\IBitCometExtension.dll

.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-05-11 10:55

Windows 5.1.2600 Dodatek Service Pack 3 NTFS

skanowanie ukrytych procesów …

skanowanie ukrytych wpisów autostartu …

skanowanie ukrytych plików …

skanowanie pomyślnie ukończone

ukryte pliki: 0

**************************************************************************

.

--------------------- ZABLOKOWANE KLUCZE REJESTRU ---------------------

[HKEY_LOCAL_MACHINE\software\Classes*PÚ4

»×ęN˙_*a*u*t*o*_*f*i*l*e*\shell\open\command]

@="“c:\Program Files\WinRAR\WinRAR.exe” “%1"”

.

--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------

              • > ‘explorer.exe’(4068)

c:\windows\system32\ieframe.dll

c:\windows\system32\webcheck.dll

.

Czas ukończenia: 2009-05-11 10:56

ComboFix-quarantined-files.txt 2009-05-11 08:56

Przed: 21 952 851 968 bajtów wolnych

Po: 21 959 094 272 bajtów wolnych

142 — E O F — 2009-04-16 07:53

#8

Dlaczego nie wykonałeś zaleceń Gutek2222 i nie uruchomiłeś przez skrypt (nie widać zmian). Popraw. Zamieść log z usuwania.

Wyłącz na chwilę przywracanie systemu.

#9

Zmiana zasad wklejania logów na forum - viewtopic.php?f=16&t=253052

#10

Z całym szacunkiem , ale wysyłałem loga według wyżej zasygnalizowanej propozycji ale nie pokazywał sie na forum / moze tego nie potrafie / probowałem wiele razy przenies sdfix tak jak na instrukcji , pokazywało mi bląd nie dałem rady zrobic , usunąć recznie Qoobox po restarcie zrobiłem ale co chwila sie pojawia ? Teraz wyłączyłem przywracanie systemu na wszystkich dyskach czy to zrobic na trawale / ja właczyłem tzn. odfajkowałm / też głupie pytanie ?!No i wysle combofix tutaj bo tam wysyłam i nie wiem czy dociera !Dokonam jeszcze skanu antywirem

#11
#12

Dzieki za pomoc nie dam rady tego zrobic zostal ew. format .Pozdrawiam

#13

To spróbuj tak:

Pobierz The Avenger.

Skopiuj ten tekst:

Files to delete:

c:\windows\S8EDB4C44.tmp

c:\windows\system32\D01F8C9CE6.sys

W oknie The Avengera klikasz Paste Script from Clipboard , wybierasz Execute i zgadzasz się na restart.

Po restarcie skasuj plik C:\Avenger\backup.zip i wklej raport na forum C:\avenger.txt

#14

Raport z The Avenger

Logfile of The Avenger Version 2.0, (c) by Swandog46

http://swandog46.geekstogo.com


Platform: Windows XP


*******************


Script file opened successfully.

Script file read successfully.


Backups directory opened successfully at C:\Avenger


*******************


Beginning to process script file:


Rootkit scan active.

No rootkits found!



Completed script processing.


*******************


Finished! Terminate.

Dodane 12.05.2009 (Wt) 13:37 – log z hijackthis

Logfile of The Avenger Version 2.0, (c) by Swandog46

http://swandog46.geekstogo.com


Platform: Windows XP


*******************


Script file opened successfully.

Script file read successfully.


Backups directory opened successfully at C:\Avenger


*******************


Beginning to process script file:


Rootkit scan active.

No rootkits found!



Completed script processing.


*******************


Finished! Terminate.

Logfile of The Avenger Version 2.0, (c) by Swandog46

http://swandog46.geekstogo.com


Platform: Windows XP


*******************


Script file opened successfully.

Script file read successfully.


Backups directory opened successfully at C:\Avenger


*******************


Beginning to process script file:


Rootkit scan active.

No rootkits found!



Completed script processing.


*******************


Finished! Terminate.

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 13:34:21, on 2009-05-12

Platform: Windows XP Dodatek SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\RTHDCPL.EXE

C:\Program Files\QuickTime\qttask.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\Java\jre6\bin\jusched.exe

C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\OLYMPUS\OLYMPUS Master 2\MMonitor.exe

C:\Program Files\Bonjour\mDNSResponder.exe

C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\Program Files\Opera\opera.exe

D:\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.eu.microsoft.com/poland/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - D:\Programy\BitComet\tools\BitCometBHO_1.2.8.7.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [OM2_Monitor] "C:\Program Files\OLYMPUS\OLYMPUS Master 2\FirstStart.exe" /OM

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice

O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [OM2_Monitor] "C:\Program Files\OLYMPUS\OLYMPUS Master 2\MMonitor.exe"

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: Pobierz wszystkie VIdeo za pomocą BitComet - res://D:\Programy\BitComet\BitComet.exe/AddVideo.htm

O8 - Extra context menu item: Pobierz wszystko za pomocą BitComet - res://D:\Programy\BitComet\BitComet.exe/AddAllLink.htm

O8 - Extra context menu item: Pobierz za pomocą BitComet - res://D:\Programy\BitComet\BitComet.exe/AddLink.htm

O9 - Extra button: Bonjour - {7F9DB11C-E358-4ca6-A83D-ACC663939424} - C:\Program Files\Bonjour\ExplorerPlugin.dll

O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://D:\Programy\BitComet\tools\BitCometBHO_1.2.8.7.dll/206 (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O23 - Service: Bonjour Service - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe

O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe


--

End of file - 5183 bytes