Po wizycie trojana amvo.dll i amv1.dll komp mi zamulił


(Solostraton) #1

Witam po wizycie trojana amvo.exe i amv1.exe komp mi zamulił. Podobnie mam problemy z drógim kompem. Uruchomiłem ComboFix-a, sytuacja po tym sie troche poprawiła i otrzymałem następujące logi:

1 KOMP:

ComboFix 08-02-18.1 - Soloo 2008-02-18 18:10:29.2 - NTFSx86

Microsoft Windows XP Home Edition 5.1.2600.2.1250.1.1033.18.125 [GMT 1:00]

Running from: H:\ComboFix.exe

* Created a new restore point


[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED [/b][/color]

.


((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.


C:\Autorun.inf

C:\WINDOWS\system32\amvo.exe

C:\WINDOWS\system32\amvo0.dll


.

((((((((((((((((((((((((( Files Created from 2008-01-18 to 2008-02-18 )))))))))))))))))))))))))))))))

.


2008-02-16 14:36 . 2008-02-18 18:10 103,461 -r-hs---- C:\d6fagcs8.cmd

2008-02-13 12:34 . 2008-02-12 20:27 104,140 -r-hs---- C:\[u]0[/u]hct8ybw.bat

2008-02-08 11:49 . 2008-02-09 13:44 105,062 -r-hs---- C:\3wcxx91.cmd

2008-02-07 09:41 . 2008-02-14 00:03 102,211 -r-hs---- C:\x.com

2008-02-03 10:33 . 2008-02-04 16:44 103,367 -r-hs---- C:\2ifetri.cmd

2008-02-02 19:14 . 2008-02-02 19:13 104,644 -r-hs---- C:\i.cmd

2008-01-30 10:31 . 2008-01-31 16:52 104,080 -r-hs---- C:\h.cmd

2008-01-29 15:53 . 2008-01-29 15:53 103,894 -r-hs---- C:\ylr.exe

2008-01-27 12:40 . 2008-02-08 19:08   




2 KOMP:

[code]ComboFix 08-02-18.1 - Athlon Xp 2008-02-18 18:19:56.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.62 [GMT 1:00] Running from: C:\Documents and Settings\Athlon Xp\Pulpit\ComboFix.exe * Created a new restore point [color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

Prosił bym was o sprawdzenie ich. Wielkie dzieki z góry.


(jessica) #2

Komputer nr 1:

Wklej do Notatnika :

File::

X:\d.com

X:\Autorun.inf

X:\amvo.exe

X:\amvo0.dll

X:\juok3st.bat

X:\xn1i9x.com

X:\xo8wr9.exe

X:\qd.cmd

X:\awda2.exe

X:\d6fagcs8.cmd

X:\*0hct8ybw.bat

X:\3wcxx91.cmd

X:\x.com

X:\2ifetri.cmd

X:\i.cmd

X:\h.cmd

X:\ylr.exe

H:\juok3st.bat

H:\3wcxx91.cmd

C:\d.com

C:\juok3st.bat

C:\xn1i9x.com

C:\xo8wr9.exe

C:\qd.cmd

C:\awda2.exe

C:\d6fagcs8.cmd

C:\*0hct8ybw.bat

C:\3wcxx91.cmd

C:\x.com

C:\2ifetri.cmd

C:\i.cmd

C:\h.cmd

C:\ylr.exe


Driver::

DK12DRV

axsaki

axskbus


Registry::

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\run]

"Windows Update"=-

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fe814291-bd11-11dc-9886-101111111111}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{76a79642-bdd1-11dc-9888-101111111111}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2d8d67e9-c4d4-11dc-9897-101111111111}]

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WindowsServicesStartup]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e9c2da2f-1976-11dc-96f6-0013ce06a163}]

Uwaga: Po wklejeniu do Notatnika usuń * gwiazdki z tekstu! Pod X podstaw literę pod jaką aktualnie będzie widziany pen (to się oczywiście zmienia przy podpinaniu). >>Plik>>Zapisz jako... >>> CFScript Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe – podobnie jak na tym obrazku -->88953CFScript-createdbyMiekiemoes.gif


(Agatonster) #3

Solostraton ,

Zapoznaj się z tematem Ważny komunikat dotyczący tytułowania tematów i zmień tytuł na konkretny, mówiący o problemie.

W celu dokonania zaleconej korekty - proszę użyć przycisku ac7a4cd89050aa6e.gifprzy poście otwierającym ten temat.

Zignorowanie zalecenia będzie skutkowało usunięciem tematu do Kosza.

W związku ze zmianą, jaka obowiązuje przy wklejaniu logów w tym dziale, przeczytaj i zastosuj się do Tematu


(Solostraton) #4

Komputer 1 jest strasznie zamulony od jakiegoś czasu i nie wiem czemu.

Logi po dykonianiu powyrzszej operacji:

1 komputer:

ComboFix 08-02-19.2 - Soloo 2008-02-19 16:59:40.3 - NTFSx86

Microsoft Windows XP Home Edition 5.1.2600.2.1250.1.1033.18.130 [GMT 1:00]

Running from: C:\Documents and Settings\Soloo\Desktop\ComboFix.exe

Command switches used :: C:\Documents and Settings\Soloo\Desktop\CFScript.txt

 * Created a new restore point


[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED [/b][/color]


FILE ::

C:\2ifetri.cmd

C:\3wcxx91.cmd

C:\awda2.exe

C:\d.com

C:\d6fagcs8.cmd

C:\h.cmd

C:\i.cmd

C:\juok3st.bat

C:\qd.cmd

C:\x.com

C:\xn1i9x.com

C:\xo8wr9.exe

C:\ylr.exe

H:\3wcxx91.cmd

H:\juok3st.bat

X:\2ifetri.cmd

X:\3wcxx91.cmd

X:\amvo.exe

X:\amvo0.dll

X:\Autorun.inf

X:\awda2.exe

X:\d.com

X:\d6fagcs8.cmd

X:\h.cmd

X:\i.cmd

X:\juok3st.bat

X:\qd.cmd

X:\x.com

X:\xn1i9x.com

X:\xo8wr9.exe

X:\ylr.exe

.


((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.


C:\2ifetri.cmd

C:\3wcxx91.cmd

C:\Autorun.inf

C:\awda2.exe

C:\d.com

C:\d6fagcs8.cmd

C:\h.cmd

C:\i.cmd

C:\juok3st.bat

C:\qd.cmd

C:\WINDOWS\system32\amvo.exe

C:\WINDOWS\system32\amvo0.dll

C:\x.com

C:\xn1i9x.com

C:\xo8wr9.exe

C:\ylr.exe


.

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))


.

-------\axsaki

-------\axskbus

-------\DK12DRV



((((((((((((((((((((((((( Files Created from 2008-01-19 to 2008-02-19 )))))))))))))))))))))))))))))))

.


2008-02-13 12:34 . 2008-02-12 20:27	104,140	-r-hs----	C:\[u]0[/u]hct8ybw.bat

2008-01-27 12:40 . 2008-02-08 19:08	




2 komputer:

[code]ComboFix 08-02-19.2 - Athlon Xp 2008-02-19 17:39:03.2 - NTFSx86 Running from: C:\Documents and Settings\Athlon Xp\Pulpit\ComboFix.exe Command switches used :: C:\Documents and Settings\Athlon Xp\Pulpit\CFScript.txt * Created a new restore point [color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!


(jessica) #5

Komputer nr 1:

Wklej do Notatnika :

File::

H:\d6fagcs8.cmd

C:\*0hct8ybw.bat


Registry::

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{20aeab12-fb4a-11db-969e-0013ce06a163}]

Uwaga: Po wklejeniu do Notatnika usuń * gwiazdki z tekstu! >>Plik>>Zapisz jako... >>> CFScript Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe ( – podobnie jak na tym obrazku -->88953CFScript-createdbyMiekiemoes.gif


(Solostraton) #6

Oto logi po kolejnych poprawkach:

1 komputer:

ComboFix 08-02-20.2 - Soloo 2008-02-19 22:26:45.4 - NTFSx86

Running from: C:\Documents and Settings\Soloo\Desktop\ComboFix.exe

Command switches used :: C:\Documents and Settings\Soloo\Desktop\CFScript.txt

 * Created a new restore point


[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED [/b][/color]


FILE ::

H:\d6fagcs8.cmd

.


((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.


C:\Autorun.inf

C:\WINDOWS\system32\amvo.exe

C:\WINDOWS\system32\amvo1.dll


.

((((((((((((((((((((((((( Files Created from 2008-01-20 to 2008-02-20 )))))))))))))))))))))))))))))))

.


2008-02-19 17:56 . 2008-02-19 17:56	107,052	-r-hs----	C:\gumkrhf.bat

2008-02-13 12:34 . 2008-02-12 20:27	104,140	-r-hs----	C:\[u]0[/u]hct8ybw.bat

2008-01-27 12:40 . 2008-02-08 19:08	




2 komputer:

[code]ComboFix 08-02-20.2 - Athlon Xp 2008-02-19 22:35:43.3 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1250.48.1045.18.71 [GMT 1:00] Running from: C:\Documents and Settings\Athlon Xp\Pulpit\ComboFix.exe Command switches used :: C:\Documents and Settings\Athlon Xp\Pulpit\CFScript.txt * Created a new restore point [color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

SZMCZERE DZIĘKI ZA OKAZANĄ POMOC =D


(jessica) #7

Ale uparte świństwo..

Komputer nr 1:

Wklej do Notatnika :

File::

H:\gumkrhf.bat

C:\gumkrhf.bat

C:\*0hct8ybw.bat

X:\Autorun.inf

X:\gumkrhf.bat

X:\gumkrhf.bat

X:\*0hct8ybw.bat


Registry::

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fe814291-bd11-11dc-9886-101111111111}]

Uwaga: Po wklejeniu do Notatnika usuń * gwiazdki z tekstu! Pod X podstaw literę pod jaką aktualnie będzie widziany pen (to się oczywiście zmienia przy podpinaniu). >>Plik>>Zapisz jako... >>> CFScript Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe – podobnie jak na tym obrazku -->88953CFScript-createdbyMiekiemoes.gif


(Solostraton) #8

1 komputer:

ComboFix 08-02-20.2 - Soloo 2008-02-21 0:18:32.5 - NTFSx86

Running from: C:\Documents and Settings\Soloo\Desktop\ComboFix.exe

Command switches used :: C:\Documents and Settings\Soloo\Desktop\CFScript.txt

 * Created a new restore point


[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED [/b][/color]


FILE ::

C:\gumkrhf.bat

H:\gumkrhf.bat

X:\Autorun.inf

X:\gumkrhf.bat

.


((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.


C:\Autorun.inf

C:\gumkrhf.bat

C:\WINDOWS\system32\amvo.exe

C:\WINDOWS\system32\amvo0.dll

C:\WINDOWS\system32\amvo1.dll


.

((((((((((((((((((((((((( Files Created from 2008-01-20 to 2008-02-20 )))))))))))))))))))))))))))))))

.


2008-02-13 12:34 . 2008-02-12 20:27	104,140	-r-hs----	C:\[u]0[/u]hct8ybw.bat

2008-01-27 12:40 . 2008-02-08 19:08	




2 komputer

[code]ComboFix 08-02-20.2 - Athlon Xp 2008-02-21 0:26:45.4 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1250.48.1045.18.79 [GMT 1:00] Running from: C:\Documents and Settings\Athlon Xp\Pulpit\ComboFix.exe Command switches used :: C:\Documents and Settings\Athlon Xp\Pulpit\CFScript.txt * Created a new restore point [color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

Czy na coś moje komputerki chorują nadal?


(jessica) #9

Wklej do Notatnika :

File::

H:\gumkrhf.bat

C:\*0hct8ybw.bat

X:\gumkrhf.bat

X:\*0hct8ybw.bat

X:\autorun.inf

X:\amvo.exe

X:\amvo0.dll

X:\amvo1.dll


Registry::

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{20aeab12-fb4a-11db-969e-0013ce06a163}]

Uwaga: Po wklejeniu do Notatnika usuń * gwiazdki z tekstu! Pod X podstaw literę pod jaką aktualnie będzie widziany pen (to się oczywiście zmienia przy podpinaniu). >>Plik>>Zapisz jako... >>> CFScript Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe – podobnie jak na tym obrazku -->88953CFScript-createdbyMiekiemoes.gif


(Solostraton) #10

Czyszczenia dokonałem w trybie awaryjnym. Przed wyczyszczeniem kompów sformatowałem pendrivy i jeszcze ich nie wkładałem do komputera. Urzywam Avasta, jaką ochrone byś mi polecił?

Komputer 1:

ComboFix 08-02-20.2 - Administrator 2008-02-21 10:35:07.6 - NTFSx86 MINIMAL

Microsoft Windows XP Home Edition 5.1.2600.2.1250.48.1033.18.330 [GMT 1:00]

Running from: C:\Documents and Settings\Administrator\Desktop\ComboFix.exe

Command switches used :: C:\Documents and Settings\Administrator\Desktop\CFScript.txt


[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED [/b][/color]


FILE ::

H:\gumkrhf.bat

X:\amvo.exe

X:\amvo0.dll

X:\amvo1.dll

X:\autorun.inf

X:\gumkrhf.bat

.


((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.


C:\Autorun.inf

C:\Program Files\Sony

C:\WINDOWS\system32\amvo.exe

C:\WINDOWS\system32\amvo0.dll

C:\WINDOWS\system32\amvo1.dll


.

((((((((((((((((((((((((( Files Created from 2008-01-21 to 2008-02-21 )))))))))))))))))))))))))))))))

.


2008-02-21 10:29 . 2007-10-07 21:14	




Komputer 2

[code]ComboFix 08-02-20.2 - Athlon Xp 2008-02-21 10:59:15.5 - NTFSx86 NETWORK Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.118 [GMT 1:00] Running from: C:\Documents and Settings\Athlon Xp\Pulpit\ComboFix.exe Command switches used :: C:\Documents and Settings\Athlon Xp\Pulpit\CFScript.txt [color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!


(jessica) #11

To tak wygląda, jakby oba komputery były ze sobą połączone w domu i infekcja przedostaje się z jednego na drugi i potem odwrotnie.

Jest w poście tylko log z jednego komputera.

Wklej do Notatnika :

File::

C:\*hct8ybw.bat

C:\gumkrhf.bat

Uwaga: Po wklejeniu do Notatnika usuń * gwiazdki z tekstu! >>Plik>>Zapisz jako... >>> CFScript Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe – podobnie jak na tym obrazku -->62122CFScript.gif


(Solostraton) #12

Tym razem komputery nie miały szans się spotkać. ComboFix odpalałem w trybach awaryjnych a teraz tylko jeden komputer na raz jest podpięty do sieci. Logi umieszczam dlatego na 2 tury bo nie chce używać pendriv-ów.

Komputer 1:

ComboFix 08-02-20.2 - Soloo 2008-02-21 12:00:17.6 - NTFSx86 MINIMAL

Microsoft Windows XP Home Edition 5.1.2600.2.1250.1.1033.18.329 [GMT 1:00]

Running from: C:\Documents and Settings\Soloo\Desktop\ComboFix.exe

Command switches used :: C:\Documents and Settings\Soloo\Desktop\CFScript.txt


[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED [/b][/color]


FILE ::

C:\gumkrhf.bat

.


((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.


C:\gumkrhf.bat


.

((((((((((((((((((((((((( Files Created from 2008-01-21 to 2008-02-21 )))))))))))))))))))))))))))))))

.


2008-02-13 12:34 . 2008-02-12 20:27	104,140	-r-hs----	C:\[u]0[/u]hct8ybw.bat

2008-01-27 12:40 . 2008-02-08 19:08	




Komputer 2:

[code]ComboFix 08-02-20.2 - Athlon Xp 2008-02-21 12:05:11.6 - NTFSx86 MINIMAL Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.134 [GMT 1:00] Running from: C:\Documents and Settings\Athlon Xp\Pulpit\ComboFix.exe Command switches used :: C:\Documents and Settings\Athlon Xp\Pulpit\CFScript.txt [color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!


(jessica) #13

To się nigdy chyba nie skończy, bo nie wiem, skąd powraca infekcja po usunięciu.

Komputer nr 1:

Wklej do Notatnika :

File::

C:\gumkrhf.bat

C:\*0hct8ybw.bat

Uwaga: Po wklejeniu do Notatnika usuń * gwiazdki z tekstu! Dalej już wiesz, co robić. Komputer nr 2: Wklej do Notatnika :

File::

C:\oufddh.exe

C:\autorun.inf

C:\*0hct8ybw.bat

Uwaga: Po wklejeniu do Notatnika usuń * gwiazdki z tekstu!

Dalej już wiesz, co robić.

jessi


(Solostraton) #14

Darowałem sobie czyszczenie komputera 2, zajme się nim jak komputer 1 się oczyści. Może infekcja powraca z internetu? Jaką ochrone byś polecił?

komputer 1:

ComboFix 08-02-20.2 - Soloo 2008-02-21 13:38:53.7 - NTFSx86 MINIMAL

(jessica) #15

Ten log jest czysty.

Ta infekcja nie ma nic wspólnego z internetem, na pewno nie jest z internetu.

jessi


(Solostraton) #16

Ciesze się że wreszcie jakiś postęp i doceniam twoją niezłomność i zaangażowanie. =D>

komputer 2:

ComboFix 08-02-20.2 - Athlon Xp 2008-02-21 15:55:49.7 - NTFSx86 MINIMAL

Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.132 [GMT 1:00]

Running from: C:\Documents and Settings\Athlon Xp\Pulpit\ComboFix.exe

Command switches used :: C:\Documents and Settings\Athlon Xp\Pulpit\CFScript.txt


[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED [/b][/color]


FILE ::

C:\[u]0[/u]hct8ybw.bat

C:\autorun.inf

C:\oufddh.exe

.


((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.


C:\[u]0[/u]hct8ybw.bat

C:\autorun.inf

C:\oufddh.exe


.

((((((((((((((((((((((((( Files Created from 2008-01-21 to 2008-02-21 )))))))))))))))))))))))))))))))

.


2008-02-19 12:49 . 2001-07-06 14:41	569,344	--a------	C:\WINDOWS\system32\imagr5.dll

2008-02-19 12:49 . 2001-07-06 12:44	544,768	--a------	C:\WINDOWS\system32\imagx5.dll

2008-02-19 12:49 . 2001-07-06 18:24	283,920	--a------	C:\WINDOWS\system32\ImagXpr5.dll

2008-02-19 12:49 . 2001-07-09 11:50	155,648	--a------	C:\WINDOWS\system32\NeroCheck.exe

2008-02-19 12:49 . 2000-06-26 11:45	106,496	--a------	C:\WINDOWS\system32\TwnLib20.dll

2008-02-19 12:49 . 2001-06-26 08:15	38,912	--a------	C:\WINDOWS\system32\picn20.dll

2008-02-19 12:36 . 2007-07-30 19:19	38,232	--a------	C:\WINDOWS\system32\wucltui.dll.mui

2008-02-19 12:36 . 2007-07-30 19:20	30,040	--a------	C:\WINDOWS\system32\wuaucpl.cpl.mui

2008-02-19 12:36 . 2007-07-30 19:20	30,040	--a------	C:\WINDOWS\system32\wuapi.dll.mui

2008-02-19 12:36 . 2007-07-30 19:18	21,336	--a------	C:\WINDOWS\system32\wuaueng.dll.mui


.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-02-21 11:24	---------	d-----w	C:\Program Files\Neostrada TP

2008-02-19 17:57	---------	d-----w	C:\Program Files\Winamp

2008-02-19 11:49	---------	d-----w	C:\Program Files\Common Files\Ahead

2008-02-19 11:49	---------	d-----w	C:\Program Files\Ahead

2007-12-04 13:04	837,496	----a-w	C:\WINDOWS\system32\aswBoot.exe

2007-12-04 12:54	95,608	----a-w	C:\WINDOWS\system32\AvastSS.scr

2005-03-03 18:41	1,293	-c--a-w	C:\Documents and Settings\Gadu-Gadu\config.dat

2007-04-01 14:22	1,682	--sha-w	C:\WINDOWS\system32\KGyGaAvL.sys

.


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries & legit default entries are not shown 

REGEDIT4


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"AudioHQ"="C:\Program Files\Creative\SBLive\AudioHQ\AHQTB.EXE" [2001-08-17 16:01 180224]

"AHQInit"="C:\Program Files\Creative\SBLive\Program\AHQInit.exe" [2001-05-10 16:49 102400]

"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-06-01 16:22 7618560]

"NvMediaCenter"="NvMCTray.dll" [2006-06-01 16:22 86016 C:\WINDOWS\system32\nvmctray.dll]

"avast!"="C:\PROGRA~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224]

"WooCnxMon"="C:\PROGRA~1\NEOSTR~1\CnxMon.exe" [2003-10-16 18:07 24576]

"WOOWATCH"="C:\PROGRA~1\NEOSTR~1\Watch.exe" [2003-10-16 18:07 20480]

"WOOTASKBARICON"="C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe" [2003-10-16 18:07 53248]

"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]


[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 07:44 15360]


[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"SRUUninstall"="C:\WINDOWS\System32\msiexec.exe" [2005-03-21 14:00 78848]


C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\

Adobe Reader Speed Launch.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 22:05:26 29696]


[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]

Notification Packages	REG_MULTI_SZ :\WINDOWS\syste


[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Adobe Reader Speed Launch.lnk]

path=C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Adobe Reader Speed Launch.lnk

backup=C:\WINDOWS\pss\Adobe Reader Speed Launch.lnkCommon Startup


[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^AutoCAD Startup Accelerator.lnk]

path=C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\AutoCAD Startup Accelerator.lnk

backup=C:\WINDOWS\pss\AutoCAD Startup Accelerator.lnkCommon Startup


[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^DSLMON.lnk]

backup=C:\WINDOWS\pss\DSLMON.lnkCommon Startup


[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Microsoft Office.lnk]

backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup


[HKLM\~\startupfolder\C:^Documents and Settings^Athlon Xp^Menu Start^Programy^Autostart^PeerGuardian.lnk]

backup=C:\WINDOWS\pss\PeerGuardian.lnkStartup


[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]

C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe


[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AutoConnect]

C:\Program Files\AutoConnect\AutoConnect.exe


[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Gadu-Gadu]


[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Internet Optimizer]

C:\Program Files\Internet Optimizer\optimize.exe


[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Komunikator]

C:\Program Files\Tlen.pl\tlen.exe


[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Media Access]

C:\Program Files\Media Access\MediaAccK.exe


[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]

--a------ 2004-10-13 16:24 1694208 C:\Program Files\Messenger\msmsgs.exe


[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]

C:\Program Files\MSN Messenger\MsnMsgr.exe


[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]

--a------ 2006-06-01 16:22 1519616 C:\WINDOWS\system32\nwiz.exe


[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpeedTouch USB Diagnostics]

--a------ 2004-01-26 10:38 866816 C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe


[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr]

D:\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe


[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WMC_AutoUpdate]


[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WooCnxMon]

--a------ 2003-10-16 18:07 24576 C:\PROGRA~1\NEOSTR~1\CnxMon.exe


[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WOOTASKBARICON]

--------- 2003-10-16 18:07 53248 C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe


[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WOOWATCH]

--------- 2003-10-16 18:07 20480 C:\PROGRA~1\NEOSTR~1\Watch.exe


R1 VIAPFD;VIAPFD;C:\WINDOWS\system32\Drivers\VIAPFD.SYS [2001-12-13 06:57]

R3 Dvd43;Dvd43;C:\WINDOWS\system32\DRIVERS\Dvd43.sys [2004-12-22 00:22]

S1 UserPort;UserPort;C:\WINDOWS\system32\Drivers\UserPort.sys [2000-11-28 20:47]

S2 DLPortIO;DriverLINX Port I/O Driver;C:\WINDOWS\system32\drivers\DLPortIO.sys [1996-09-27 08:10]

S2 UxTuneUp;TuneUp Theme Extension;C:\WINDOWS\System32\svchost.exe [2004-08-04 07:44]

S3 Cap7134;TVFM 503 WDM Video Capture;C:\WINDOWS\system32\DRIVERS\Cap7134.sys [2003-01-25 14:54]


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs

UxTuneUp


.

Contents of the 'Scheduled Tasks' folder

"2007-12-21 16:19:05 C:\WINDOWS\Tasks\1-Click Maintenance.job"

- C:\Program Files\TuneUp Utilities 2007\SystemOptimizer.exe

.

**************************************************************************


catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-02-21 15:58:31

Windows 5.1.2600 Dodatek Service Pack 2 NTFS


scanning hidden processes ... 


scanning hidden autostart entries ...


scanning hidden files ... 


**************************************************************************

.

Completion time: 2008-02-21 16:00:12

ComboFix-quarantined-files.txt 2008-02-21 14:59:19

ComboFix2.txt 2008-02-21 11:09:38

[/code]

(jessica) #17

Ten log jest także czysty!

A więc masz już wskazowkę: te oba komputery nigdy już nie będą mogły jednocześnie pracować.

Mnie ciągle ciekawi ten dziwny element klucza.

jessi


(Solostraton) #18

Kurcze, powiem ci że one muszą działać razem. Tam gdzie pisałeś jest wpis:

:\WINDOWS\syst

(jessica) #19

No to niedługo znów zawitasz na Forum...

" :\WINDOWS\syst" - takiego wpisu nie powinno tam być, ale nie wiem, jaki powinien być akurat u Ciebie, bo u każdego może być inny (ale na pewno nie taki!).

jessi


(Solostraton) #20

Mam nadzieje że troche pochodzi system. Tak na boku to mam 3 partcje i cCombofix strawdza je wszystkie? W każdym razie dzięki ci za czas mi poświęcony. Niech ci bozia w dzieciach wynagrodzi :wink: