Problem z Trojan32Agent

Dla specjalistów Bezpieczeństwo
#1

Witam!

Ad-aware wykrył mi trojana i po kazdym skanowaniu wykrywana tego samego w nowej lokalizacji. Nie wiem jak je usunąć.Z góry dzieki za pomoc!

Wczesniej ad-aware wykrywał tego samego trojana za kazdym skanowaniem w innej lokalizacji a to log z ostatniego skana który o dziwo nic nie wykrył

Ad-aware

Logfile created: 2009-04-19 12:3:9

Lavasoft Ad-Aware version: 8.0.3

Extended engine version: 8.1

User performing scan: Adzik


***********************Definitions database information***********************

Lavasoft definition file: 148.11

Extended engine definition file: 8.1


********************************Scan results:*********************************

Scan profile name: Full Scan (ID: full)

Objects scanned: 118024

Objects detected: 0



Type Detected

==========================

Processes.......: 0

Registry entries: 0

Hostfile entries: 0

Files...........: 0

Folders.........: 0

LSPs............: 0

Cookies.........: 0

Browser hijacks.: 0

MRU objects.....: 0




Scan and cleaning complete: Finished correctly after 1222 seconds


***********************************Settings***********************************


Scan profile:

ID: full, enabled:1, value: Full Scan

  ID: scancriticalareas, enabled:1, value: true

  ID: scanrunningapps, enabled:1, value: true

  ID: scanregistry, enabled:1, value: true

  ID: scanlsp, enabled:1, value: true

  ID: scanads, enabled:1, value: true

  ID: scanhostsfile, enabled:1, value: true

  ID: scanmru, enabled:1, value: true

  ID: scanbrowserhijacks, enabled:1, value: true

  ID: scantrackingcookies, enabled:1, value: true

    ID: closebrowsers, enabled:1, value: false

  ID: folderstoscan, enabled:1, value: C:\,D:\

  ID: scanrootkits, enabled:1, value: true

  ID: usespywareheuristics, enabled:1, value: true

  ID: extendedengine, enabled:0, value: true

    ID: useheuristics, enabled:0, value: true

      ID: heuristicslevel, enabled:0, value: mild, domain: medium,mild,strict

  ID: filescanningoptions, enabled:1

    ID: archives, enabled:1, value: true

    ID: onlyexecutables, enabled:1, value: false

    ID: skiplargerthan, enabled:1, value: 20480


Scan global:

ID: global, enabled:1

  ID: addtocontextmenu, enabled:1, value: true

  ID: playsoundoninfection, enabled:1, value: false

    ID: soundfile, enabled:0, value: *to be filled in automatically*\alert.wav


Scheduled scan settings:



Update settings:

ID: updates, enabled:1

  ID: launchthreatworksafterscan, enabled:1, value: normal, domain: normal,off,silently

  ID: displaystatus, enabled:1, value: false

  ID: deffiles, enabled:1, value: downloadandinstall, domain: dontcheck,downloadandinstall

  ID: autodetectproxy, enabled:1, value: false

  ID: useautoconfigscript, enabled:1, value: false

    ID: autoconfigurl, enabled:0, value: 

  ID: useproxy, enabled:1, value: false

    ID: proxyserver, enabled:0, value: 

  ID: softwareupdates, enabled:1, value: downloadandinstall, domain: dontcheck,downloadandinstall

  ID: licenseandinfo, enabled:1, value: downloadandinstall, domain: dontcheck,downloadandinstall

  ID: schedules, enabled:1, value: true

    ID: updatedaily, enabled:1, value: Daily

      ID: time, enabled:1, value: Fri Apr 17 14:21:00 2009

      ID: frequency, enabled:1, value: daily, domain: daily,monthly,once,systemstart,weekly

      ID: weekdays, enabled:1

        ID: monday, enabled:1, value: false

        ID: tuesday, enabled:1, value: false

        ID: wednesday, enabled:1, value: false

        ID: thursday, enabled:1, value: false

        ID: friday, enabled:1, value: false

        ID: saturday, enabled:1, value: false

        ID: sunday, enabled:1, value: false

      ID: monthly, enabled:1, value: 1, minvalue: 1, maxvalue: 31

      ID: scanprofile, enabled:1, value: 

      ID: auto_deal_with_infections, enabled:1, value: false

    ID: updateweekly, enabled:1, value: Weekly

      ID: time, enabled:1, value: Fri Apr 17 14:21:00 2009

      ID: frequency, enabled:1, value: weekly, domain: daily,monthly,once,systemstart,weekly

      ID: weekdays, enabled:1

        ID: monday, enabled:1, value: true

        ID: tuesday, enabled:1, value: false

        ID: wednesday, enabled:1, value: false

        ID: thursday, enabled:1, value: false

        ID: friday, enabled:1, value: true

        ID: saturday, enabled:1, value: false

        ID: sunday, enabled:1, value: false

      ID: monthly, enabled:1, value: 1, minvalue: 1, maxvalue: 31

      ID: scanprofile, enabled:1, value: 

      ID: auto_deal_with_infections, enabled:1, value: false


Appearance settings:

ID: appearance, enabled:1

  ID: skin, enabled:1, value: default.egl, reglocation: HKEY_LOCAL_MACHINE\SOFTWARE\Lavasoft\Ad-Aware\Resource

  ID: showtrayicon, enabled:1, value: true

  ID: language, enabled:1, value: en, reglocation: HKEY_LOCAL_MACHINE\SOFTWARE\Lavasoft\Ad-Aware\Language


Realtime protection settings:

ID: realtime, enabled:1

  ID: processprotection, enabled:1, value: true

  ID: registryprotection, enabled:0, value: false

  ID: networkprotection, enabled:0, value: false

  ID: loadatstartup, enabled:1, value: true

  ID: usespywareheuristics, enabled:0, value: false

  ID: extendedengine, enabled:0, value: false

    ID: useheuristics, enabled:0, value: false

      ID: heuristicslevel, enabled:0, value: mild, domain: medium,mild,strict

  ID: infomessages, enabled:1, value: display, domain: display,dontnotify,onlyimportant



******************************System information******************************

Computer name: ANDRYSZC-DB8A8C

Processor name: Intel(R) Core(TM)2 Duo CPU E8400 @ 3.00GHz

Processor identifier: x86 Family 6 Model 23 Stepping 6

Raw info: processorarchitecture 0, processortype 586, processorlevel 6, processor revision 5894, number of processors 2

Physical memory available: 1444409344 bytes

Physical memory total: 2146676736 bytes

Virtual memory available: 2057412608 bytes

Virtual memory total: 2147352576 bytes

Memory load: 32%

Microsoft Windows XP Professional Dodatek Service Pack 3 (build 2600)

Windows startup mode:


Running processes:

PID: 636 name: \SystemRoot\System32\smss.exe owner: SYSTEM domain: ZARZĄDZANIE NT

PID: 1332 name: \??\C:\WINDOWS\system32\csrss.exe owner: SYSTEM domain: ZARZĄDZANIE NT

PID: 1420 name: \??\C:\WINDOWS\system32\winlogon.exe owner: SYSTEM domain: ZARZĄDZANIE NT

PID: 1480 name: C:\WINDOWS\system32\services.exe owner: SYSTEM domain: ZARZĄDZANIE NT

PID: 1492 name: C:\WINDOWS\system32\lsass.exe owner: SYSTEM domain: ZARZĄDZANIE NT

PID: 1660 name: C:\WINDOWS\system32\svchost.exe owner: SYSTEM domain: ZARZĄDZANIE NT

PID: 1736 name: C:\WINDOWS\system32\svchost.exe owner: USŁUGA SIECIOWA domain: ZARZĄDZANIE NT

PID: 1896 name: C:\WINDOWS\System32\svchost.exe owner: SYSTEM domain: ZARZĄDZANIE NT

PID: 144 name: C:\WINDOWS\system32\svchost.exe owner: USŁUGA SIECIOWA domain: ZARZĄDZANIE NT

PID: 208 name: C:\WINDOWS\system32\svchost.exe owner: USŁUGA LOKALNA domain: ZARZĄDZANIE NT

PID: 276 name: C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe owner: SYSTEM domain: ZARZĄDZANIE NT

PID: 592 name: C:\WINDOWS\system32\spoolsv.exe owner: SYSTEM domain: ZARZĄDZANIE NT

PID: 772 name: C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe owner: SYSTEM domain: ZARZĄDZANIE NT

PID: 896 name: C:\Program Files\Java\jre6\bin\jqs.exe owner: SYSTEM domain: ZARZĄDZANIE NT

PID: 996 name: C:\Program Files\Common Files\LightScribe\LSSrvc.exe owner: SYSTEM domain: ZARZĄDZANIE NT

PID: 1032 name: C:\WINDOWS\system32\nvsvc32.exe owner: SYSTEM domain: ZARZĄDZANIE NT

PID: 1048 name: C:\WINDOWS\system32\PnkBstrA.exe owner: SYSTEM domain: ZARZĄDZANIE NT

PID: 1100 name: C:\WINDOWS\system32\svchost.exe owner: SYSTEM domain: ZARZĄDZANIE NT

PID: 1192 name: C:\WINDOWS\Explorer.EXE owner: Adzik domain: ANDRYSZC-DB8A8C

PID: 600 name: C:\WINDOWS\system32\wbem\unsecapp.exe owner: SYSTEM domain: ZARZĄDZANIE NT

PID: 844 name: C:\WINDOWS\System32\alg.exe owner: USŁUGA LOKALNA domain: ZARZĄDZANIE NT

PID: 912 name: C:\WINDOWS\system32\wbem\wmiprvse.exe owner: SYSTEM domain: ZARZĄDZANIE NT

PID: 1028 name: C:\WINDOWS\RTHDCPL.EXE owner: Adzik domain: ANDRYSZC-DB8A8C

PID: 2084 name: C:\WINDOWS\system32\RUNDLL32.EXE owner: Adzik domain: ANDRYSZC-DB8A8C

PID: 2092 name: C:\Program Files\Microsoft IntelliPoint\ipoint.exe owner: Adzik domain: ANDRYSZC-DB8A8C

PID: 2140 name: C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe owner: Adzik domain: ANDRYSZC-DB8A8C

PID: 2148 name: C:\Program Files\Winamp\winampa.exe owner: Adzik domain: ANDRYSZC-DB8A8C

PID: 2188 name: C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe owner: Adzik domain: ANDRYSZC-DB8A8C

PID: 2208 name: C:\Program Files\Java\jre6\bin\jusched.exe owner: Adzik domain: ANDRYSZC-DB8A8C

PID: 2284 name: C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe owner: Adzik domain: ANDRYSZC-DB8A8C

PID: 2524 name: C:\WINDOWS\system32\ctfmon.exe owner: Adzik domain: ANDRYSZC-DB8A8C

PID: 2560 name: C:\Program Files\EXPERTool\TBPanel.exe owner: Adzik domain: ANDRYSZC-DB8A8C

PID: 2576 name: C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe owner: Adzik domain: ANDRYSZC-DB8A8C

PID: 2612 name: D:\DAEMON Tools Lite\daemon.exe owner: Adzik domain: ANDRYSZC-DB8A8C

PID: 2712 name: D:\program files\valve\steam.exe owner: Adzik domain: ANDRYSZC-DB8A8C

PID: 2904 name: C:\Documents and Settings\Adzik\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe owner: Adzik domain: ANDRYSZC-DB8A8C

PID: 3148 name: D:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe owner: Adzik domain: ANDRYSZC-DB8A8C

PID: 3336 name: D:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe owner: Adzik domain: ANDRYSZC-DB8A8C

PID: 1484 name: D:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe owner: Adzik domain: ANDRYSZC-DB8A8C

PID: 2384 name: D:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe owner: Adzik domain: ANDRYSZC-DB8A8C

PID: 3648 name: C:\WINDOWS\system32\rundll32.exe owner: Adzik domain: ANDRYSZC-DB8A8C

PID: 1864 name: C:\Program Files\Mozilla Firefox\firefox.exe owner: Adzik domain: ANDRYSZC-DB8A8C

PID: 3568 name: C:\Program Files\Lavasoft\Ad-Aware\Ad-Aware.exe owner: Adzik domain: ANDRYSZC-DB8A8C


Startup items:

Name: RTHDCPL

          imagepath: RTHDCPL.EXE

Name: Alcmtr

          imagepath: ALCMTR.EXE

Name: NvCplDaemon

          imagepath: RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

Name: nwiz

          imagepath: nwiz.exe /install

Name: NvMediaCenter

          imagepath: RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

Name: IntelliPoint

          imagepath: "C:\Program Files\Microsoft IntelliPoint\ipoint.exe"

Name: GrooveMonitor

          imagepath: "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"

Name: WinampAgent

          imagepath: C:\Program Files\Winamp\winampa.exe

Name: NeroFilterCheck

          imagepath: C:\WINDOWS\system32\NeroCheck.exe

Name: egui

          imagepath: "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice

Name: SunJavaUpdateSched

          imagepath: "C:\Program Files\Java\jre6\bin\jusched.exe"

Name: Ad-Watch

          imagepath: C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe

Name: PostBootReminder

          imagepath: {7849596a-48ea-486e-8937-a2a3009f31a9}

Name: CDBurn

          imagepath: {fbeb8a05-beee-4442-804e-409d6c4515e9}

Name: WebCheck

          imagepath: {E6FB5E20-DE35-11CF-9C87-00AA005127ED}

Name: SysTray

          imagepath: {35CEC8A3-2BE6-11D2-8773-92E220524153}

Name: WPDShServiceObj

          imagepath: {AAA288BA-9A4C-45B0-95D7-94D524869DB5}

Name: {438755C2-A8BA-11D1-B96B-00A0C90312E1}

          imagepath: Moduł wstępnego ładowania interfejsu Browseui

Name: {8C7461EF-2B13-11d2-BE35-3078302C2030}

          imagepath: Demon buforu kategorii składników

Name: CTFMON.EXE

          imagepath: C:\WINDOWS\system32\CTFMON.EXE

Name: 

          imagepath: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\desktop.ini

Name: 

          location: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\hpoddt01.exe.lnk

          imagepath: D:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

Name: 

          location: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\hp psc 1000 series.lnk

          imagepath: D:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe

Name: 

          imagepath: C:\Documents and Settings\Default User\Menu Start\Programy\Autostart\desktop.ini


Bootexecute items:

Name: 

          imagepath: autocheck autochk *

Name: 

          imagepath: lsdelete


Running services:

Name: ALG

          displayname: Usługa bramy warstwy aplikacji

Name: AudioSrv

          displayname: Windows Audio

Name: BITS

          displayname: Usługa inteligentnego transferu w tle

Name: CryptSvc

          displayname: Usługi kryptograficzne

Name: DcomLaunch

          displayname: Program uruchamiający proces serwera DCOM

Name: Dhcp

          displayname: Klient DHCP

Name: dmserver

          displayname: Menedżer dysków logicznych

Name: Dnscache

          displayname: Klient DNS

Name: ekrn

          displayname: Eset Service

Name: ERSvc

          displayname: Usługa raportowania błędów

Name: Eventlog

          displayname: Dziennik zdarzeń

Name: EventSystem

          displayname: System zdarzeń COM+

Name: FastUserSwitchingCompatibility

          displayname: Zgodność szybkiego przełączania użytkowników

Name: helpsvc

          displayname: Pomoc i obsługa techniczna

Name: JavaQuickStarterService

          displayname: Java Quick Starter

Name: lanmanserver

          displayname: Serwer

Name: lanmanworkstation

          displayname: Stacja robocza

Name: Lavasoft Ad-Aware Service

          displayname: Lavasoft Ad-Aware Service

Name: LightScribeService

          displayname: LightScribeService Direct Disc Labeling Service

Name: LmHosts

          displayname: Pomoc TCP/IP NetBIOS

Name: Netman

          displayname: Połączenia sieciowe

Name: Nla

          displayname: Rozpoznawanie lokalizacji w sieci (NLA)

Name: NVSvc

          displayname: NVIDIA Display Driver Service

Name: PlugPlay

          displayname: Plug and Play

Name: PnkBstrA

          displayname: PnkBstrA

Name: ProtectedStorage

          displayname: Magazyn chroniony

Name: RpcSs

          displayname: Zdalne wywoływanie procedur (RPC)

Name: SamSs

          displayname: Menedżer kont zabezpieczeń

Name: Schedule

          displayname: Harmonogram zadań

Name: SENS

          displayname: Zawiadomienie o zdarzeniu systemowym

Name: SharedAccess

          displayname: Zapora systemu Windows/Udostępnianie połączenia internetowego

Name: ShellHWDetection

          displayname: Wykrywanie sprzętu powłoki

Name: Spooler

          displayname: Bufor wydruku

Name: srservice

          displayname: Usługa przywracania systemu

Name: SSDPSRV

          displayname: Usługa odnajdywania SSDP

Name: stisvc

          displayname: Windows Image Acquisition (WIA)

Name: TermService

          displayname: Usługi terminalowe

Name: Themes

          displayname: Kompozycje

Name: TrkWks

          displayname: Klient śledzenia łączy rozproszonych

Name: UxTuneUp

          displayname: TuneUp Theme Extension

Name: W32Time

          displayname: Usługa Czas systemu Windows

Name: winmgmt

          displayname: Instrumentacja zarządzania Windows

Name: wscsvc

          displayname: Centrum zabezpieczeń

Name: wuauserv

          displayname: Aktualizacje automatyczne

Name: WZCSVC

          displayname: Konfiguracja zerowej sieci bezprzewodowej

Hijackthis

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 12:25:15, on 2009-04-19

Platform: Windows XP Dodatek SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Boot mode: Normal


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\Program Files\Common Files\LightScribe\LSSrvc.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\PnkBstrA.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\Microsoft IntelliPoint\ipoint.exe

C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe

C:\Program Files\Winamp\winampa.exe

C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe

C:\Program Files\Java\jre6\bin\jusched.exe

C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\EXPERTool\TBPanel.exe

C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe

D:\DAEMON Tools Lite\daemon.exe

D:\program files\valve\steam.exe

C:\Documents and Settings\Adzik\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe

D:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

D:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe

D:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe

D:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\wscntfy.exe

D:\adrian\HiJackThis.exe


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.crawler.com/search/dispatcher.aspx?tp=aus&qkw=%s&tbid=60327

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60327

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60327

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60327

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60327

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\ipoint.exe"

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [Ad-Watch] C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [GAINWARD] C:\Program Files\EXPERTool\TBPanel.exe /A

O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe -hidden

O4 - HKCU\..\Run: [DAEMON Tools Lite] "D:\DAEMON Tools Lite\daemon.exe" -autorun

O4 - HKCU\..\Run: [Steam] "d:\program files\valve\steam.exe" -silent

O4 - HKCU\..\Run: [Nowe Gadu-Gadu] "C:\Program Files\Nowe Gadu-Gadu\gg.exe"

O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Adzik\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe" /c

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: hpoddt01.exe.lnk = ?

O4 - Global Startup: hp psc 1000 series.lnk = ?

O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000

O9 - Extra button: Wyślij do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: Wyślij &do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Program Files\ICQ6\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Program Files\ICQ6\ICQ.exe

O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe

O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe

O23 - Service: NMIndexingService - Unknown owner - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe

O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe

O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe


--

End of file - 8043 bytes
#2

Wykonaj pełny skan http://dobreprogramy.pl/index.php?dz=2& … ware+1.36/ usuń wszystko co znajdzie i daj log na forum

#3

log z tego programu

Malwarebytes' Anti-Malware 1.36

Wersja bazy definicji: 2009

Windows 5.1.2600 Dodatek Service Pack 3


2009-04-19 12:55:54

mbam-log-2009-04-19 (12-55-49).txt


Typ skanowania: Pełne skanowanie (C:\|D:\|)

Przeskanowane obiekty: 164229

Upłynęło: 17 minute(s), 5 second(s)


Zainfekowane procesy w pamięci: 0

Zainfekowane moduły pamięci: 0

Zainfekowane klucze rejestru: 1

Zainfekowane wartości rejestru: 0

Zainfekowane pliki rejestru: 0

Zainfekowane foldery: 0

Zainfekowane pliki: 0


Zainfekowane procesy w pamięci:

(Nie wykryto groźnych plików)


Zainfekowane moduły pamięci:

(Nie wykryto groźnych plików)


Zainfekowane klucze rejestru:

HKEY_LOCAL_MACHINE\SOFTWARE\MyGlobalSearch (Adware.BookedSpace) -> No action taken.


Zainfekowane wartości rejestru:

(Nie wykryto groźnych plików)


Zainfekowane pliki rejestru:

(Nie wykryto groźnych plików)


Zainfekowane foldery:

(Nie wykryto groźnych plików)


Zainfekowane pliki:

(Nie wykryto groźnych plików)
#4

Pobierz Combofix http://www.searchengines.pl/index.php?s … ntry395642 uruchom dwuklikiem

pokaż log

Podczas pobierania i skanu Combofixem proszę wyłączyć wszelkie zapory i antywirusy

:slight_smile:

#5

log z Combofix:

ComboFix 09-04-19.05 - Adzik 2009-04-19 13:25.1 - [color=red][b]FAT32[/b][/color]x86

Microsoft Windows XP Professional 5.1.2600.3.1250.48.1045.18.2047.1374 [GMT 2:00]

Uruchomiony z: c:\documents and settings\Adzik\Pulpit\ComboFix.exe

AV: AVG Anti-Virus Free *On-access scanning disabled* (Updated)

AV: ZoneAlarm Security Suite Antivirus *On-access scanning disabled* (Outdated)

FW: ZoneAlarm Security Suite Firewall *disabled*

 * Utworzono nowy punkt przywracania

.


((((((((((((((((((((((((( Pliki utworzone od 2009-03-19 do 2009-04-19 )))))))))))))))))))))))))))))))

.


2009-04-19 11:09 . 2009-04-19 11:09	--------	d-----w	c:\documents and settings\Adzik\Dane aplikacji\MailFrontier

2009-04-19 11:06 . 2009-04-19 11:06	62752	--sha-w	c:\windows\system32\drivers\fidbox.dat

2009-04-19 11:06 . 2009-04-19 11:06	32	--sha-w	c:\windows\system32\drivers\fidbox.idx

2009-04-19 11:03 . 2009-04-19 11:03	--------	d-----w	c:\documents and settings\All Users\Dane aplikacji\MailFrontier

2009-04-19 11:03 . 2009-04-19 11:06	4212	---h--w	c:\windows\system32\zllictbl.dat

2009-04-19 10:37 . 2009-04-19 10:37	--------	d-----w	c:\documents and settings\Adzik\Dane aplikacji\Malwarebytes

2009-04-19 10:37 . 2009-04-06 13:32	15504	----a-w	c:\windows\system32\drivers\mbam.sys

2009-04-19 10:37 . 2009-04-06 13:32	38496	----a-w	c:\windows\system32\drivers\mbamswissarmy.sys

2009-04-19 10:37 . 2009-04-19 10:37	--------	d-----w	c:\documents and settings\All Users\Dane aplikacji\Malwarebytes

2009-04-19 08:58 . 2009-04-19 08:58	--------	d-----w	c:\documents and settings\Adzik\Ustawienia lokalne\Dane aplikacji\Cooliris

2009-04-19 08:40 . 2008-12-11 06:38	159600	----a-w	c:\windows\system32\drivers\pctgntdi.sys

2009-04-19 08:40 . 2009-03-06 14:45	130424	----a-w	c:\windows\system32\drivers\PCTCore.sys

2009-04-19 08:40 . 2008-12-18 10:16	73840	----a-w	c:\windows\system32\drivers\PCTAppEvent.sys

2009-04-19 08:40 . 2008-12-10 10:36	64392	----a-w	c:\windows\system32\drivers\pctplsg.sys

2009-04-19 08:40 . 2009-04-19 08:40	--------	d-----w	c:\documents and settings\All Users\Dane aplikacji\PC Tools

2009-04-19 08:40 . 2009-04-19 08:40	--------	d-----w	c:\documents and settings\Adzik\Dane aplikacji\PC Tools

2009-04-17 20:14 . 2009-04-17 20:14	--------	d-----w	c:\documents and settings\Adzik\Ustawienia lokalne\Dane aplikacji\Google

2009-04-17 20:03 . 2009-04-17 20:03	--------	d-sh--w	C:\FOUND.009

2009-04-17 12:35 . 2009-04-17 13:13	15688	----a-w	c:\windows\system32\lsdelete.exe

2009-04-17 12:23 . 2009-04-17 12:23	--------	d-----w	c:\documents and settings\LocalService\Pulpit

2009-04-17 12:19 . 2009-04-17 13:13	64160	----a-w	c:\windows\system32\drivers\Lbd.sys

2009-04-17 12:19 . 2009-04-17 12:19	--------	d--h--w	c:\documents and settings\All Users\Dane aplikacji\{83C91755-2546-441D-AC40-9A6B4B860800}

2009-04-17 12:19 . 2009-04-17 12:19	--------	d-----w	c:\documents and settings\All Users\Dane aplikacji\Lavasoft

2009-04-15 14:17 . 2009-04-15 14:17	--------	d-----w	c:\documents and settings\All Users\Dane aplikacji\Vectra

2009-04-15 05:42 . 2009-02-06 10:10	227840	------w	c:\windows\system32\dllcache\wmiprvse.exe

2009-04-15 05:42 . 2009-03-06 14:22	285696	------w	c:\windows\system32\dllcache\pdh.dll

2009-04-15 05:42 . 2009-02-09 11:25	111104	------w	c:\windows\system32\dllcache\services.exe

2009-04-15 05:42 . 2009-02-09 10:53	686592	------w	c:\windows\system32\dllcache\advapi32.dll

2009-04-15 05:42 . 2009-02-09 10:53	473600	------w	c:\windows\system32\dllcache\fastprox.dll

2009-04-15 05:42 . 2009-02-09 10:53	401408	------w	c:\windows\system32\dllcache\rpcss.dll

2009-04-15 05:42 . 2009-02-09 10:53	731136	------w	c:\windows\system32\dllcache\lsasrv.dll

2009-04-15 05:42 . 2009-02-09 10:53	722944	------w	c:\windows\system32\dllcache\ntdll.dll

2009-04-15 05:42 . 2009-02-09 10:53	453120	------w	c:\windows\system32\dllcache\wmiprvsd.dll

2009-04-15 05:39 . 2009-03-27 06:58	1203922	------w	c:\windows\system32\dllcache\sysmain.sdb

2009-04-15 05:39 . 2008-04-21 21:16	218112	------w	c:\windows\system32\dllcache\wordpad.exe

2009-04-03 19:25 . 2009-04-03 19:25	--------	d-----w	c:\documents and settings\All Users\Dane aplikacji\McAfee

2009-04-02 17:46 . 2009-04-02 17:46	--------	d-----w	c:\documents and settings\All Users\Dane aplikacji\id Software

2009-03-30 14:03 . 2009-03-30 14:03	--------	d-----w	c:\documents and settings\Adzik\Dane aplikacji\U3

2009-03-21 14:08 . 2009-03-21 14:09	1018368	------w	c:\windows\system32\dllcache\kernel32.dll

2009-03-21 09:17 . 2002-10-24 15:08	443392	----a-w	c:\windows\system32\ltkrn13n.dll

2009-03-21 09:17 . 2002-10-22 11:53	393216	----a-w	c:\windows\system32\LFCMP13n.DLL

2009-03-21 09:17 . 2002-10-21 13:39	181248	----a-w	c:\windows\system32\Lfpng13n.dll

2009-03-21 09:17 . 2002-10-21 13:31	1013760	----a-w	c:\windows\system32\Ltwvc13n.dll

2009-03-21 09:17 . 2002-10-21 13:03	35328	----a-w	c:\windows\system32\lfgif13n.dll

2009-03-21 09:17 . 2002-10-21 13:02	30208	----a-w	c:\windows\system32\lfbmp13n.dll

2009-03-21 09:17 . 2002-10-21 13:01	446464	----a-w	c:\windows\system32\ltimg13n.dll

2009-03-21 09:17 . 2002-10-21 13:01	205824	----a-w	c:\windows\system32\ltefx13n.dll

2009-03-21 09:17 . 2002-10-21 13:00	139776	----a-w	c:\windows\system32\ltfil13n.DLL

2009-03-21 09:17 . 2002-10-21 12:53	265728	----a-w	c:\windows\system32\LTDIS13n.dll

2009-03-21 09:17 . 2005-02-21 09:34	2011136	----a-w	c:\windows\system32\XTP9510Lib.dll


.

(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-04-19 11:06 . 2009-04-17 13:21	2471	----a-w	C:\aaw7boot.log

2009-04-19 11:04 . 2009-04-19 11:04	--------	d-----w	c:\program files\ZoneAlarmSB

2009-04-19 11:02 . 2009-04-19 11:02	--------	d-----w	c:\program files\Zone Labs

2009-04-19 10:37 . 2009-04-19 10:37	--------	d-----w	c:\program files\Malwarebytes' Anti-Malware

2009-04-19 08:40 . 2009-04-19 08:40	--------	d-----w	c:\program files\Common Files\PC Tools

2009-04-19 08:40 . 2009-04-19 08:40	--------	d-----w	c:\program files\Spyware Doctor

2009-04-17 12:19 . 2009-04-17 12:19	--------	d-----w	c:\program files\Lavasoft

2009-04-16 20:27 . 2008-08-15 08:00	519	----a-w	C:\hpfr3420.xml

2009-04-16 20:27 . 2008-08-15 08:00	29831	----a-w	C:\hpfr3425.log

2009-04-15 14:17 . 2009-04-15 14:17	--------	d-----w	c:\program files\Vectra

2009-04-15 07:29 . 2001-10-26 16:15	75486	----a-w	c:\windows\system32\perfc015.dat

2009-04-15 07:29 . 2001-10-26 16:15	451352	----a-w	c:\windows\system32\perfh015.dat

2009-04-14 12:24 . 2008-09-21 10:37	138944	----a-w	c:\windows\system32\drivers\PnkBstrK.sys

2009-04-14 12:24 . 2008-09-21 10:36	75064	----a-w	c:\windows\system32\PnkBstrA.exe

2009-04-14 12:24 . 2008-09-21 10:37	189784	----a-w	c:\windows\system32\PnkBstrB.exe

2009-04-10 12:35 . 2009-04-10 12:34	--------	d-----w	c:\program files\Lavalys

2009-04-03 07:26 . 2008-08-14 13:25	69624	----a-w	c:\documents and settings\Adzik\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT

2009-04-02 17:46 . 2008-10-23 14:19	22328	----a-w	c:\documents and settings\Adzik\Dane aplikacji\PnkBstrK.sys

2009-04-02 17:46 . 2009-02-13 15:04	2246144	----a-w	c:\windows\system32\pbsvc.exe

2009-03-20 17:01 . 2009-03-20 17:01	--------	d-----w	c:\program files\1 Cool Button Tool 6.0

2009-03-17 16:18 . 2009-03-17 16:18	--------	d-----w	c:\program files\Microsoft.NET

2009-03-13 13:30 . 2009-03-13 13:30	--------	d-----w	c:\program files\DFX

2009-03-13 13:26 . 2009-03-13 13:26	--------	d-----w	c:\documents and settings\All Users\Dane aplikacji\DFX

2009-03-11 14:43 . 2009-03-11 14:43	--------	d-----w	c:\program files\ipla

2009-03-10 14:04 . 2009-03-10 14:04	--------	d-----w	c:\program files\ESET

2009-03-10 14:04 . 2009-03-10 14:04	--------	d-----w	c:\documents and settings\All Users\Dane aplikacji\ESET

2009-03-09 03:19 . 2008-12-09 15:47	410984	----a-w	c:\windows\system32\deploytk.dll

2009-03-06 14:22 . 2004-08-03 22:44	285696	----a-w	c:\windows\system32\pdh.dll

2009-03-03 16:19 . 2009-03-03 16:19	--------	d-----w	c:\documents and settings\Adzik\Dane aplikacji\Cream Software

2009-03-02 23:11 . 2008-06-26 08:14	1499136	------w	c:\windows\system32\dllcache\shdocvw.dll

2009-02-21 13:49 . 2009-02-21 13:49	--------	d-----w	c:\documents and settings\Adzik\Dane aplikacji\gtk-2.0

2009-02-20 15:48 . 2009-02-20 15:48	--------	d-----w	c:\documents and settings\Adzik\Dane aplikacji\id Software

2009-02-20 08:12 . 2008-06-23 15:13	3089408	------w	c:\windows\system32\dllcache\mshtml.dll

2009-02-20 08:12 . 2009-02-20 08:11	81920	------w	c:\windows\system32\dllcache\ieencode.dll

2009-02-20 08:12 . 2008-06-26 08:14	619520	------w	c:\windows\system32\dllcache\urlmon.dll

2009-02-20 08:12 . 2008-06-23 15:13	668672	------w	c:\windows\system32\dllcache\wininet.dll

2009-02-20 08:12 . 2004-08-03 22:44	668672	----a-w	c:\windows\system32\wininet.dll

2009-02-20 08:12 . 2004-08-03 22:44	81920	----a-w	c:\windows\system32\ieencode.dll

2009-02-10 17:09 . 2008-10-15 06:49	2067328	------w	c:\windows\system32\dllcache\ntkrnlpa.exe

2009-02-09 13:07 . 2008-10-15 06:49	1847040	------w	c:\windows\system32\dllcache\win32k.sys

2009-02-09 13:07 . 2004-08-03 22:37	1847040	----a-w	c:\windows\system32\win32k.sys

2009-02-09 11:26 . 2008-10-15 06:49	2190336	------w	c:\windows\system32\dllcache\ntoskrnl.exe

2009-02-09 11:26 . 2008-10-15 06:49	2025472	------w	c:\windows\system32\dllcache\ntkrpamp.exe

2009-02-09 11:26 . 2004-08-03 22:39	2025472	----a-w	c:\windows\system32\ntkrnlpa.exe

2009-02-09 11:26 . 2008-10-15 06:49	2146816	------w	c:\windows\system32\dllcache\ntkrnlmp.exe

2009-02-09 11:26 . 2004-08-03 22:38	2146816	----a-w	c:\windows\system32\ntoskrnl.exe

2009-02-09 11:25 . 2004-08-03 22:44	111104	----a-w	c:\windows\system32\services.exe

2009-02-09 10:53 . 2004-08-03 22:44	401408	----a-w	c:\windows\system32\rpcss.dll

2009-02-09 10:53 . 2004-08-03 22:44	731136	----a-w	c:\windows\system32\lsasrv.dll

2009-02-09 10:53 . 2004-08-03 22:43	686592	----a-w	c:\windows\system32\advapi32.dll

2009-02-09 10:53 . 2004-08-03 22:43	722944	----a-w	c:\windows\system32\ntdll.dll

2009-02-06 10:39 . 2001-10-26 17:30	35328	----a-w	c:\windows\system32\sc.exe

2009-02-06 10:39 . 2001-10-26 17:30	35328	----a-w	c:\windows\system32\dllcache\sc.exe

2009-02-04 16:36 . 2009-02-04 16:36	355584	----a-w	c:\windows\system32\TuneUpDefragService.exe

2009-02-03 19:58 . 2009-02-03 19:58	56832	------w	c:\windows\system32\dllcache\secur32.dll

2009-02-03 19:58 . 2004-08-03 22:44	56832	----a-w	c:\windows\system32\secur32.dll

2009-02-03 14:51 . 2009-02-03 14:51	603904	----a-w	c:\windows\system32\TUProgSt.exe

.


((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane  

REGEDIT4


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

"GAINWARD"="c:\program files\EXPERTool\TBPanel.exe" [2008-06-04 2177576]

"LightScribe Control Panel"="c:\program files\Common Files\LightScribe\LightScribeControlPanel.exe" [2007-08-23 455968]

"DAEMON Tools Lite"="d:\daemon tools lite\daemon.exe" [2008-07-24 490952]

"Steam"="d:\program files\valve\steam.exe" [2009-01-06 1410296]

"Nowe Gadu-Gadu"="c:\program files\Nowe Gadu-Gadu\gg.exe" [2009-02-27 9339496]

"Google Update"="c:\documents and settings\Adzik\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe" [2009-04-17 133104]


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-03 13529088]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-05-03 86016]

"IntelliPoint"="c:\program files\Microsoft IntelliPoint\ipoint.exe" [2006-07-07 600896]

"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2007-08-24 33648]

"WinampAgent"="c:\program files\Winamp\winampa.exe" [2006-03-10 35328]

"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]

"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-03-09 148888]

"Ad-Watch"="c:\program files\Lavasoft\Ad-Aware\AAWTray.exe" [2009-04-17 515416]

"ZoneAlarm Client"="c:\program files\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016]

"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2007-10-12 16384512]

"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2008-05-03 1630208]


[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]


c:\documents and settings\All Users\Menu Start\Programy\Autostart\

hpoddt01.exe.lnk - d:\program files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe [2003-4-6 28672]

hp psc 1000 series.lnk - d:\program files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe [2003-4-6 147456]


[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]

BootExecute	REG_MULTI_SZ autocheck autochk *\[u]0[/u]\[u]0[/u]lsdelete


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]

@="Service"


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]

"Microsoft Office Outlook"=c:\progra~1\MICROS~3\Office12\OUTLOOK.EXE /recycle


[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"Adobe Reader Speed Launcher"="d:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe"


[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]

"DisableMonitoring"=dword:00000001


[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"d:\\Program Files\\Valve\\Steam\\SteamApps\\adzik\\day of defeat source\\hl2.exe"=

"d:\\Program Files\\Valve\\Steam\\SteamApps\\adzik\\counter-strike source\\hl2.exe"=

"d:\\Program Files\\Valve\\Steam\\SteamApps\\adzik\\counter-strike\\hl.exe"=

"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=

"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"c:\\Program Files\\Microsoft Office\\Office12\\GROOVE.EXE"=

"c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=

"c:\\WINDOWS\\System32\\dpvsetup.exe"=

"d:\\Program Files\\mIRC\\mirc.exe"=

"d:\\Program Files\\Valve\\Steam\\SteamApps\\adzik\\half-life 2 deathmatch\\hl2.exe"=

"c:\\totalcmd\\TOTALCMD.EXE"=

"d:\\Program Files\\Gadu-Gadu\\gg.exe"=

"d:\\Program Files\\Valve\\Steam\\SteamApps\\adzik\\insurgency\\hl2.exe"=

"d:\\Program Files\\ICQ6\\ICQ.exe"=

"d:\\Program Files\\WapSter\\WapSter AQQ\\AQQ.exe"=

"d:\\Program Files\\Valve\\Steam\\SteamApps\\adzik\\age of chivalry\\hl2.exe"=

"d:\\Program Files\\totalcmd\\TOTALCMD.EXE"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\WINDOWS\\System32\\PnkBstrA.exe"=

"c:\\WINDOWS\\System32\\PnkBstrB.exe"=

"d:\\Program Files\\KONAMI\\Pro Evolution Soccer 2009\\pes2009.exe"=

"c:\\Program Files\\Java\\jre1.6.0_07\\launch4j-tmp\\JDownloader.exe"=

"c:\\WINDOWS\\System32\\java.exe"=

"d:\\Program Files\\Valve\\steamapps\\adzik\\counter-strike\\hl.exe"=

"d:\\Program Files\\Valve\\steamapps\\adzik\\day of defeat source\\hl2.exe"=

"d:\\Program Files\\Valve\\steamapps\\adzik\\insurgency\\hl2.exe"=

"d:\\Program Files\\Valve\\steamapps\\adzik\\counter-strike source\\hl2.exe"=

"d:\\Program Files\\EA GAMES\\Battlefield 2\\BF2.exe"=

"d:\\Program Files\\ET.exe"=

"d:\\adrian\\esl\\Nowy folder\\gback\\azereus.exe"=

"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

"c:\\Documents and Settings\\All Users\\Dane aplikacji\\NexonEU\\NGM\\NGM.exe"=

"c:\\Program Files\\Java\\JRE6\\BIN\\java.exe"=

"d:\\Program Files\\Electronic Arts\\Medal of Honor Airborne\\UnrealEngine3\\Binaries\\MOHA.exe"=

"c:\\Program Files\\Nowe Gadu-Gadu\\gg.exe"=

"d:\\Program Files\\Activision\\Call of Duty - World at War\\CoDWaW.exe"=

"d:\\Program Files\\Activision\\Call of Duty - World at War\\CoDWaWmp.exe"=

"d:\\Program Files\\SopCast\\adv\\SopAdver.exe"=

"d:\\Program Files\\SopCast\\SopCast.exe"=


R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [2009-04-17 951632]

R3 sdAuxService;PC Tools Auxiliary Service;c:\program files\Spyware Doctor\pctsAuxs.exe [2009-01-07 348752]

R3 SetupNTGLM7X;SetupNTGLM7X; [x]

S0 Lbd;Lbd;c:\windows\system32\DRIVERS\Lbd.sys [2009-04-17 64160]

S0 PCTCore;PCTools KDS;c:\windows\system32\drivers\PCTCore.sys [2009-03-06 130424]



--- Inne Usługi/Sterowniki w Pamięci ---


*NewlyCreated* - KLIF

*NewlyCreated* - SRESCAN

*NewlyCreated* - VSMON


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs

UxTuneUp


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{76d234df-1d33-11de-9511-0011e6220002}]

\Shell\AutoRun\command - H:\LaunchU3.exe -a


[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]

"c:\program files\Common Files\LightScribe\LSRunOnce.exe"

.

Zawartość folderu 'Zaplanowane zadania'


2009-04-19 c:\windows\Tasks\FRU Task 2003-04-06 08:52ewlett-Packard2003-04-06 08:52p psc 1200 series5E771253C1676EBED677BF361FDFC537825E15B8218703691.job

- d:\program files\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe [2003-04-05 22:52]


2009-04-19 c:\windows\Tasks\1-Click Maintenance.job

- d:\program files\TuneUp Utilities 2008\OneClickStarter.exe [2008-06-20 08:09]


2009-02-04 c:\windows\Tasks\FRU Task 2003-04-06 08:52ewlett-Packard2003-04-06 08:52p psc 1200 series5E771253C1676EBED677BF361FDFC537825E15B8225739225.job

- d:\program files\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe [2003-04-05 22:52]


2009-04-17 c:\windows\Tasks\Ad-Aware Update (Weekly).job

- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-01-18 13:12]


2009-04-18 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1993962763-884357618-839522115-1003.job

- c:\documents and settings\Adzik\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe [2009-04-17 20:14]

.

.

------- Skan uzupełniający -------

.

IE: E&ksportuj do programu Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000

FF - ProfilePath - c:\documents and settings\Adzik\Dane aplikacji\Mozilla\Firefox\Profiles\y04u1pro.default\

FF - component: c:\documents and settings\Adzik\Dane aplikacji\Mozilla\Firefox\Profiles\y04u1pro.default\extensions\piclens@cooliris.com\components\coolirisstub.dll

FF - plugin: c:\documents and settings\Adzik\Dane aplikacji\Mozilla\Firefox\Profiles\y04u1pro.default\extensions\firefox@tvunetworks.com\plugins\npTVUAx.dll

FF - plugin: c:\documents and settings\Adzik\Ustawienia lokalne\Dane aplikacji\Google\Update\1.2.141.5\npGoogleOneClick7.dll

FF - plugin: c:\documents and settings\All Users\Dane aplikacji\id Software\QuakeLive\npquakezero.dll

FF - plugin: c:\documents and settings\All Users\Dane aplikacji\NexonEU\NGM\npNxGameeu.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\NPZoneSB.dll

FF - plugin: d:\program files\Adobe\Reader 8.0\Reader\browser\nppdf32.dll


---- FIREFOX - SPOSÓB POSTĘPOWANIA ----

FF - user.js: network.http.max-persistent-connections-per-server - 4

FF - user.js: nglayout.initialpaint.delay - 600

FF - user.js: content.notify.interval - 600000

FF - user.js: content.max.tokenizing.time - 1800000

FF - user.js: content.switch.threshold - 600000

.


**************************************************************************


catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-04-19 13:26

Windows 5.1.2600 Dodatek Service Pack 3 FAT NTAPI


skanowanie ukrytych procesów ...  


skanowanie ukrytych wpisów autostartu ... 


skanowanie ukrytych plików ...  


skanowanie pomyślnie ukończone

ukryte pliki: 0


**************************************************************************

.

--------------------- ZABLOKOWANE KLUCZE REJESTRU ---------------------


[HKEY_USERS\S-1-5-21-1993962763-884357618-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{7E4EE369-BD90-F3C8-6BE1-6BE0D4E1E013}*]

@Allowed: (Read) (RestrictedCode)

@Allowed: (Read) (RestrictedCode)

"gableoeonbnoij"=hex:61,69,67,68,6e,67,6e,6e,61,69,6b,67,68,61,66,6c,67,6f,64,

   69,62,6a,6d,61,64,61,69,62,6e,6f,6c,6b,6d,70,64,6a,6c,68,6b,69,6f,66,62,6a,\

.

--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------


- - - - - - - > 'explorer.exe'(2976)

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

.

Czas ukończenia: 2009-04-19 13:27

ComboFix-quarantined-files.txt 2009-04-19 11:27


Przed: 3 811 246 080 bajtów wolnych

Po: 3 955 884 032 bajtów wolnych


WindowsXP-KB310994-SP2-Pro-BootDisk-PLK.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect


284	--- E O F ---	2009-04-15 06:46
#6

start >> uruchom >> cmd

sc stop SetupNTGLM7X >> Enter

sc delete SetupNTGLM7X >> Enter

usuń folder C:\FOUND.009

Pobierz CCleaner http://www.filehippo.com/download_ccleaner/

przeskanuj nim i wyczyść rejestr.

zrób optymalizacje uruchamiania

http://cybertrash.netarteria.pl/cyber/i … 378.0.html

usuń ręcznie folder C: \Qoobox usuń instalkę Combofix z dysku.

Wyłącz I włącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

przeskanuj obszar Mój komputer http://www.kaspersky.pl/virusscanner.html gdy będą wirusy pokaż raport

:slight_smile:

#7

jak wchodzę w dysk C: to tego folderu C:\FOUND.009 tam nie ma to jak go usunąć?

#8

Pobierz i uruchom narzędzie The Avenger Zaznaczasz tekst podany do usunięcia na forum

kopiuj >> klikasz na Paste Script from Clipboard >> Execute >> Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

:slight_smile:

#9 
Logfile of The Avenger Version 2.0, (c) by Swandog46

http://swandog46.geekstogo.com


Platform: Windows XP


*******************


Script file opened successfully.

Script file read successfully.


Backups directory opened successfully at C:\Avenger


*******************


Beginning to process script file:


Rootkit scan active.

No rootkits found!


Folder "C:\FOUND.009" deleted successfully.


Completed script processing.


*******************


Finished! Terminate.

dalej tak jak napisałeś wcześniej?

#10

folder został usunięty

zrób resztę zaleceń

:slight_smile:

#11

1 Raport (musiałem zakończyć jak juz z 20 % przeskanował dysk D):

RAPORT KASPERSKY ONLINE SCANNER 7.0

niedziela, 19 kwiecień 2009

System operacyjny: Microsoft Windows XP Professional Dodatek Service Pack 3 (build 2600)

Wersja Kaspersky Online Scanner: 7.0.26.12

Data ostatniej aktualizacji bazy danych: Sunday, April 19, 2009 14:36:04

Liczba wpisów: 2060571

Ustawienia skanowania

Typ bazy danych użytej do skanowania rozszerzona

Skanuj archiwa tak

Skanuj pocztowe bazy danych tak

Obszar skanowania Mój komputer

C:\

D:\

E:\

F:\

Statystyki skanowania

Przeskanowanych plików 49468

Nazwa zagrożenia 1

Zainfekowanych obiektów 2

Podejrzanych obiektów 0

Czas skanowania 00:51:55


Nazwa pliku Nazwa zagrożenia Liczba zagrożeń

C:\Documents and Settings\Adzik\Pulpit\avenger.zip	Zainfekowany: Trojan.Win32.Agent.cbzc	1	

C:\Documents and Settings\Adzik\Pulpit\avenger.exe	Zainfekowany: Trojan.Win32.Agent.cbzc	1	

Skanowanie zostało przerwane przez użytkownika.

2 Raport (Przeskanowałem cały dysk D:)

RAPORT KASPERSKY ONLINE SCANNER 7.0

niedziela, 19 kwiecień 2009

System operacyjny: Microsoft Windows XP Professional Dodatek Service Pack 3 (build 2600)

Wersja Kaspersky Online Scanner: 7.0.26.12

Data ostatniej aktualizacji bazy danych: Sunday, April 19, 2009 14:36:04

Liczba wpisów: 2060571

Ustawienia skanowania

Typ bazy danych użytej do skanowania rozszerzona

Skanuj archiwa tak

Skanuj pocztowe bazy danych tak

Obszar skanowania Folder

D:\

Statystyki skanowania

Przeskanowanych plików 40216

Nazwa zagrożenia 0

Zainfekowanych obiektów 0

Podejrzanych obiektów 0

Czas skanowania 00:36:52


Nie wykryto zagrożeń. Obszar skanowania jest czysty.

Wybrany obszar został przeskanowany.

I powiedz mi dlaczego w tych plikach które kazałeś mi ściągnąć był trojan ;)?

#12

To fałszywy alarm!Nie przejmuj sie :slight_smile:

#13

Ok ale wszystko juz powinno byc dobrze ? tak ? a czy to mozliwe ze od tego trojana rozłączało mi neta?