Problem z ctfmon.exe


(Damianm14) #1

Witam.

Problem tak jak w temacie.

Gdy wchodzę na konto główne z uprawnieniami administratora najpierw pokazuje się cmd, lecz nie mam możliwości odczytać napisów. Dosłownie ułamki sekund po tym wyskakuje okienko z napisem: na górze jest napisana nazwa aplikacji (ctfmon.exe), a pod spodem: Zainicjowanie aplikacji nie powiodło się, gdyż stacja jest teraz zamykana. I problem występuje tylko na administratorze, ponieważ na koncie Gościa nic takiego się nie pojawia, lecz gdy chcę uruchomić jakąś aplikacje np: grę, wyskakuje okienko: na górze jest napisane: Błąd zapisu pliku, a niżej "Nazwa aplikacji", nie może zapisać pliku. Zapewne niema miejsca na dysku twardym. Myślę że niema to nic wspólnego z tematem, lecz po oczyszczaniu dysku problem znów się pojawia. Poniżej wklejam loga z HijackThis i proszę o pomoc. Z góry dzięki.

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 14:11:24, on 2008-07-13

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\system32\WgaTray.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe

C:\Program Files\HP\Digital Imaging\Product Assistant\bin\hprblog.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Documents and Settings\Gość\Pulpit\hijackthis.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0 CE\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: IEWatchObj Class - {9527D42F-D666-11D3-B8DD-00600838CD5F} - C:\WINDOWS\system32\IETie.dll

O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll

O4 - HKLM..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM..\Run: [AlSys] C:\Program Files\Activity Logger\alsys.exe

O4 - HKLM..\Run: [PRONoMgr.exe] C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe

O4 - HKLM..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM..\Run: [webrebates] "C:\Program Files\WebRebates4\webrebates.exe"

O4 - HKLM..\Run: [sMSTray] C:\Program Files\Samsung\Samsung Media Studio 5\SMSTray.exe

O4 - HKLM..\Run: [imagePath] C:\windows\system_32.bat

O4 - HKLM..\Run: [system_tray] shutdown -r -f -t 0

O4 - HKCU..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-21-790525478-1336601894-725345543-501..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User '?')

O4 - HKUS\S-1-5-18..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')

O4 - HKUS.DEFAULT..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll

O9 - Extra button: Wyślij do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: Wyślij &do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Program Files\Ares\chatServer.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Windows Audio (AudioSrv) - Unknown owner - net.exe (file missing)

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe

O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe

O23 - Service: Intel NCS NetService (NetSvc) - Intel® Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe

--

End of file - 4415 bytes


(huber2t) #2

fix w hijackthis

Pokaż log z Combofix


(Leon$) #3

wpisy

usuń HijackThisem >> Fix checked

Pobierz Combofix http://www.searchengines.pl/index.php?s ... ntry395642 ale nie włączaj.

Otwórz notatnik i wklej

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri ... iemoes.gif

Powinno rozpocząć się usuwanie

Potem log z usuwania Combofix

:slight_smile:


(Damianm14) #4

Niestety ale to mi nie pomogło Leon$, ponieważ gdy przeciągam ikonkę do combofix.exe wyskakuje pasek ładowania, a po tym instalacja nie powiodła się. Aaaa... nie ma to jak komplikacje. :expressionless:


(huber2t) #5

Pobierz The Avenger

wklej do niego ten tekst:

Files to delete:

C:Program FilesActivity Logger\alsys.exe


Folders to delete::

C:\Program Files\WebRebates4

kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt


(Damianm14) #6

Aha, zapomniałem dodać, że korzystam w tej chwili z konta Gościa bez uprawnień Administratora.


(Leon$) #7

czytając obsługę Combofixa powinieneś wiedzieć że działa na koncie administratora

:slight_smile:


(Damianm14) #8

Niestety, ale to nie pomogło hubert2t. Gdy postępuje według Twoich instrukcji wyskakuje Error:can't open file 'C:/avkyk.txt'(error 5: odmowa dostępu.) Gdy klikam ok pojawia się kolejny error: Could not open script file.Aborting execution!(error 6: nieprawidłowe dojście.) Ponowie klikam ok i wyskakuje error : can't open file 'C:/avenger.(txt' error 5:odmowa dostępu.) Znów klikam ok i wyskakuje koolejny błąd Error: Could not log error messages to file.(error 6: nieprawidłowe dojście.) To wszystkie błędy.

W dniu 13.07.2008 , o godzinie 16:17 został dopisany post przez damianm14

Leon$ na koncie admina nie mam możliwości pracować, ponieważ po włączeniu konta resetuje komputer :frowning: .


(Leon$) #9

te programy działają na koncie administratora

wejdź w tryb awaryjny

:slight_smile:


(Damianm14) #10

Zapomniałem dodać, że po ostatnim włączaniu konta admina poza błędem ctfmon.exe pojawił sie ten sam problem ze skype.exe.

PS. Zaraz pokaże logi jeśli wszystko się uda. :wink:

W dniu 13.07.2008 , o godzinie 16:54 został dopisany post przez damianm14

Mam pytanie ile bedzie stage'ów? Nie chcę zbyt wcześnie zakończyć skanu.


(huber2t) #11

Progrma sam skończy skanowanie a koniec będzie jak pokaże ci się log


(Damianm14) #12

Log z Combofix.exe

ComboFix 08-07-12.3 - domownicy 2008-07-13 16:57:55.1 - NTFSx86 NETWORK

Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.355 [GMT 2:00]

Running from: C:\Documents and Settings\domownicy\Pulpit\ComboFix.exe

Command switches used :: C:\Documents and Settings\domownicy\Pulpit\CFScript.txt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED!!

.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\Documents and Settings\domownicy\Dane aplikacji\Install.dat

.

---- Previous Run -------

.

C:\Program Files\WebRebates4

C:\Program Files\WebRebates4\README.txt

C:\Program Files\WebRebates4\w11150.exe

C:\Program Files\WebRebates4\webarebates\topr11150.dat

C:\Program Files\WebRebates4\webarebates\toprp11170.dat

C:\Program Files\WebRebates4\webdrebates\Alcia\m46f828a77358.dat

C:\Program Files\WebRebates4\webdrebates\Alcia\w472b3f2f5150.dat

C:\Program Files\WebRebates4\webdrebates\Damian\m46f828a77358.dat

C:\Program Files\WebRebates4\webdrebates\Damian\w472b3f2f5150.dat

C:\Program Files\WebRebates4\webdrebates\domownicy\m46f828a77358.dat

C:\Program Files\WebRebates4\webdrebates\domownicy\w472b3f2f5150.dat

C:\Program Files\WebRebates4\webdrebates\l472b3f322fa8.dat

C:\Program Files\WebRebates4\webdrebates\m46f8289afbe.dat

C:\Program Files\WebRebates4\webdrebates\Mirek\w472b3f2f5150.dat

C:\Program Files\WebRebates4\webdrebates\r472b3f2264b9.dat

C:\Program Files\WebRebates4\webdrebates\v46f828aa632a.dat

C:\Program Files\WebRebates4\webdrebates\webzrebates.dat

C:\Program Files\WebRebates4\webrebates.dll

C:\Program Files\WebRebates4\webrebates.exe

C:\Program Files\WebRebates4\webrebates2.dll

C:\Program Files\WebRebates4\websrebates\Html\ftoprRPMP0.htm

C:\Program Files\WebRebates4\websrebates\Html\ftoprRPMS0.htm

C:\Program Files\WebRebates4\websrebates\Html\ftoprUPMP0.htm

C:\Program Files\WebRebates4\websrebates\Html\ftoprUPMS0.htm

C:\Program Files\WebRebates4\websrebates\Html\toprC0.htm

C:\Program Files\WebRebates4\websrebates\Html\toprP0.htm

C:\Program Files\WebRebates4\websrebates\Html\toprR1.htm

C:\Program Files\WebRebates4\websrebates\Html\toprRPMF0.htm

C:\Program Files\WebRebates4\websrebates\Html\toprUPMF0.htm

C:\Program Files\WebRebates4\websrebates\Html\toprXPMP0.htm

C:\Program Files\WebRebates4\websrebates\Html\toprXPMS0.htm

C:\Program Files\WebRebates4\websrebates\Images\topr_blnk.gif

C:\Program Files\WebRebates4\websrebates\Images\topr_c_envelope.gif

C:\Program Files\WebRebates4\websrebates\Images\topr_c_footer.gif

C:\Program Files\WebRebates4\websrebates\Images\topr_c_hdr_autotrack_remove.gif

C:\Program Files\WebRebates4\websrebates\Images\topr_c_hdr_settings.gif

C:\Program Files\WebRebates4\websrebates\Images\topr_c_hdr_settings_toprebates.gif

C:\Program Files\WebRebates4\websrebates\Images\topr_c_pop_circles.gif

C:\Program Files\WebRebates4\websrebates\Images\topr_c_pop_circles_bg2.gif

C:\Program Files\WebRebates4\websrebates\Images\topr_c_warning.gif

C:\Program Files\WebRebates4\websrebates\websrebates\weblrebates.dat

C:\Program Files\WebRebates4\websrebates\websrebates\webprebates.dat

C:\Program Files\WebRebates4\websrebates\websrebates\websrebates.dat

C:\Program Files\WebRebates4\websrebates\webtrebates\log.txt

C:\WINDOWS\hosts

C:\WINDOWS\system32\h@tkeysh@@k.dll

.

((((((((((((((((((((((((( Files Created from 2008-06-13 to 2008-07-13 )))))))))))))))))))))))))))))))

.

2008-07-13 16:33 . 2008-07-13 16:33

2008-07-07 15:16 . 2008-07-07 15:16

2008-07-06 19:04 . 2008-07-06 19:04

2008-07-05 10:34 . 2008-07-05 10:34

2008-07-05 10:34 . 2008-07-05 10:34

2008-07-05 10:06 . 2008-07-05 10:06

2008-07-05 10:05 . 2008-07-13 17:02

2008-07-05 10:05 . 2008-07-13 17:02

2008-07-05 10:05 . 2008-07-07 14:36

2008-07-05 10:05 . 2008-07-07 14:36

2008-07-05 10:05 . 2005-04-13 19:05

2008-07-05 10:05 . 2005-04-13 19:05

2008-07-05 10:05 . 2008-07-13 16:18

2008-07-05 10:05 . 2008-07-13 16:18

2008-07-05 10:05 . 2008-07-13 15:54

2008-07-05 10:05 . 2008-07-13 15:54

2008-07-05 10:05 . 2005-04-13 20:59

2008-07-05 10:05 . 2005-04-13 20:59

2008-07-05 10:05 . 2008-07-06 13:02

2008-07-05 10:05 . 2008-07-06 13:02

2008-07-05 10:05 . 2008-07-13 16:21

2008-07-04 16:47 . 2008-07-04 16:47 160 --a------ C:\WINDOWS\y.reg

2008-07-04 16:47 . 2008-07-04 16:47 156 --a------ C:\WINDOWS\z.reg

2008-07-04 16:47 . 2008-07-04 16:47 155 --a------ C:\WINDOWS\x.reg

2008-07-04 16:47 . 2008-07-04 16:47 64 --a------ C:\WINDOWS\system_32.bat

2008-07-02 14:44 . 2008-07-02 14:44 280 --a------ C:\WINDOWS\game.ini

2008-06-27 22:18 .

2008-06-27 22:18 .

2008-06-22 18:07 . 2008-06-22 18:32

2008-06-16 20:46 . 2008-06-16 20:46

2008-06-16 18:39 . 2008-06-16 18:39

2008-06-16 18:36 . 2008-06-16 18:39

2008-06-16 18:36 . 2008-06-16 18:36

2008-06-16 18:36 . 2008-06-16 18:36

2008-06-16 18:31 . 2006-06-29 13:07 14,048 --------- C:\WINDOWS\system32\spmsg2.dll

2008-06-16 18:26 . 2008-06-16 18:26

2008-06-16 16:37 . 2008-06-16 15:43

2008-06-16 15:51 . 2008-06-16 15:51

2008-06-16 15:51 . 2008-06-16 15:51

2008-06-16 15:44 . 2008-06-16 15:43

2008-06-16 15:36 . 2007-04-05 12:16 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll

2008-06-13 16:08 . 2008-06-13 16:08

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-07-13 12:26 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Avg7

2008-07-04 20:53 --------- d-----w C:\Program Files\FlashGet

2008-07-04 20:21 --------- d-----w C:\Documents and Settings\domownicy\Dane aplikacji\Skype

2008-07-04 14:51 --------- d-----w C:\Program Files\Activision

2008-07-02 12:44 --------- d--h--w C:\Program Files\InstallShield Installation Information

2008-06-27 19:59 --------- d-----w C:\Program Files\Football Generation

2008-06-27 19:53 --------- d-----w C:\Documents and Settings\domownicy\Dane aplikacji\OpenOffice.org2

2008-06-16 15:07 --------- d-----w C:\Documents and Settings\Damian\Dane aplikacji\OpenOffice.org2

2008-06-14 18:01 273,024 ------w C:\WINDOWS\system32\drivers\bthport.sys

2008-06-11 01:03 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Microsoft Help

2008-06-06 18:44 --------- d-----w C:\Program Files\McDonaldsFairies

2008-06-05 17:19 --------- d-----w C:\Program Files\Sims

2008-05-07 05:16 1,291,264 ----a-w C:\WINDOWS\system32\quartz.dll

2008-04-21 07:03 662,016 ----a-w C:\WINDOWS\system32\wininet.dll

2006-12-13 20:33 34 ----a-w C:\Documents and Settings\All Users\Dane aplikacji\amlistx.dat

2006-12-13 20:33 0 ----a-w C:\Documents and Settings\domownicy\Dane aplikacji\amopn.dat

2006-11-12 13:15 368,678 ----a-w C:\Program Files\Nowe miasto.sc3

2006-04-05 12:38 8,011,748 ----a-w C:\Program Files\Śmieci.zip

2005-12-02 21:28 2,678,784 ----a-w C:\Program Files\Foxit Reader.exe

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries legit default entries are not shown

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Skype"="C:\Program Files\Skype\Phone\Skype.exe" [2007-03-12 16:05 25590312]

"ares"="C:\Program Files\Ares\Ares.exe" [2007-05-04 02:32 961024]

"Gadu-Gadu"="C:\Program Files\Gadu-Gadu\Gadu-Gadu\gg.exe" [2008-03-20 12:04 2127296]

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:44 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd2.exe" [2005-05-12 00:12 49152]

"AVG7_CC"="C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe" [2008-06-27 18:57 580096]

"PRONoMgr.exe"="C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe" [2003-03-11 16:24 86016]

"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-07-13 21:20 98304]

"ImagePath"="C:\windows\system_32.bat" [2008-07-04 16:47 64]

"SoundMan"="SOUNDMAN.EXE" [2004-05-14 09:47 67072 C:\WINDOWS\SOUNDMAN.EXE]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 00:44 15360]

"AVG7_Run"="C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe" [2007-10-24 18:59 219136]

C:\Documents and Settings\Damian\Menu Start\Programy\Autostart\

OpenOffice.org 2.0.2.lnk - C:\Program Files\OpenOffice.org 2.0.2\program\quickstart.exe [2006-03-12 01:12:44 393216]

C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\

HP Digital Imaging Monitor.lnk - C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe [2005-05-12 00:23:26 282624]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

"{88485281-8b4b-4f8d-9ede-82e29a064277}"= "C:\PROGRA~1\MarkAny\CONTEN~1\MACSMA~1.DLL" [2004-11-23 17:51 192512]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Load]

??? [?]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Run]

??? [?]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]

--a------ 2004-08-04 00:44 15360 C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]

--a------ 2005-06-06 21:04 180269 C:\Program Files\Common Files\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\system32\sessmgr.exe"=

"C:\Program Files\Ares\Ares.exe"=

"C:\WINDOWS\system32\usmt\migwiz.exe"=

"C:\Program Files\Shareaza\Shareaza.exe"=

"C:\Program Files\EA GAMES\MOHAA\MOHAA.exe"=

"C:\WINDOWS\system32\muzapp.exe"=

"C:\Program Files\Activision\Call of Duty 2\CoD2MP_s.exe"=

"C:\Program Files\Gadu-Gadu\Gadu-Gadu\gg.exe"=

"C:\Program Files\Gadu-Gadu\gg.exe"=

"C:\Program Files\Wolfenstein - Enemy Territory\ET.exe"=

"C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE"=

"C:\Program Files\Activision\Call of Duty 2\Kopia CoD2MP_s.exe"=

"C:\Program Files\Skype\Phone\Skype.exe"=

*Newly Created Service* - CATCHME

.

  • ORPHANS REMOVED - - - -

HKCU-Run-Komunikator - C:\Program Files\Tlen.pl\tlen.exe

HKCU-Run-WinButler - C:\Documents and Settings\domownicy\Dane aplikacji\WinButler\WinButler.exe

HKLM-Run-SMSTray - C:\Program Files\Samsung\Samsung Media Studio 5\SMSTray.exe

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-07-13 17:03:19

Windows 5.1.2600 Dodatek Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully

hidden files: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\AudioSrv]

"ImagePath"="net user %username% 9314 "

.

--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe

  • C:\WINDOWS\system32\Ati2evxx.dll

.

Completion time: 2008-07-13 17:05:29

ComboFix-quarantined-files.txt 2008-07-13 15:04:50

Pre-Run: 14,963,113,984 bajtów wolnych

Post-Run: 15,912,587,264 bajtów wolnych

203 --- E O F --- 2008-06-21 01:02:28

Problem nie zniknął :frowning:

W dniu 13.07.2008 , o godzinie 17:33 został dopisany post przez damianm14

Logfile of The Avenger Version 2.0, © by Swandog46

http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.

Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

No rootkits found!

Error: could not open file "C:Program FilesActivity Logger\alsys.exe"

Deletion of file "C:Program FilesActivity Logger\alsys.exe" failed!

Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)

-- bad path / the parent directory does not exist

Error: file "Folders to delete::" not found!

Deletion of file "Folders to delete::" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

-- the object does not exist

Error: file "C:\Program Files\WebRebates4" not found!

Deletion of file "C:\Program Files\WebRebates4" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

-- the object does not exist

Completed script processing.

*******************

Finished! Terminate.

O to log z avenger'a.


(Leon$) #13

czy znasz te pliki czy to ty je stworzyłeś może wiesz jaki program tego dokonał?

:slight_smile:


(Damianm14) #14

Niestety nie mam pojęcia o tych plikach. Lecz ostatnio jeszcze przed tym problemem sciągałem kilka rzeczy i po otwarciu jednej aplikacji wyskoczyła cmd i szybko coś tam się napisało. Z tego co zdążyłem zauważyć to coś WINDOWS lub SYSTEM. Coś takiego tam pisało lecz było tego sporo. A czy te pliki przeszkadzają??


(Leon$) #15

pliki te są z rozszerzeniem reg mogą powodować zmiany w rejestrze

podczas uruchamiania systemu jest odwołanie do pliku C:\WINDOWS\system_32.bat który z kolei może powodować wykonywanie plików reg

C:\WINDOWS\y.reg

C:\WINDOWS\z.reg

C:\WINDOWS\x.reg

czy to jest szkodliwe dla systemu tego nie wiem

zrób optymalizacje uruchamiania

http://cybertrash.netarteria.pl/cyber/i ... 378.0.html

usuń ręcznie folder C: \Qoobox usuń instalkę Combofix z dysku.

Wyłącz I włącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

przeskanuj obszar Mój komputer http://www.kaspersky.pl/virusscanner.html pokaż raport stronę uruchomić przez IE

:slight_smile:


(Damianm14) #16

Mógł bym się dowiedzieć jak wyłączyć i włączyć przywracanie systemu??


(huber2t) #17

Wyłącz i Włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Tutaj masz


(Damianm14) #18

Mam jeden duży problem. W trybie awaryjnym nie da się włączyć przywracania sytemu. Wyłączyć owszem,ale wła=ączy ć spowrotem się nie da. :expressionless:


(Leon$) #19

nie musisz go teraz włączać

włączysz w normalnym trybie jak będziesz chciał

a tak przy okazji

przecież podałem ci link który potem hubert powtórzył

:slight_smile:


(Damianm14) #20

Tylko że narazie nie mogę wejść na konto admina ponieważ resetuje mi komputer w trybie normalnym na tym koncie.