oprych
(oprych)
29 Listopad 2007 00:45
#1
Witam
Mam dziwyny problem, podejrzewam wirusa, ale nic go nie wykrywa ;(
Otóż gdy próbuje wejść na którąś z partycji pojawia mi się komunikat o blędzie: (0xc000007b) oraz jakaś informacja o plik svrhost.exe
aby wejść na dysk musze ręcznie wpisywać adres, albo prawym przyciskiem i “otwórz”. zauważyłem, iż wtedy domyślną opcją zamiast “otwórz” jest “auto”
sformatowałem partycje systemową i po pierwszym uruchomieniu ona działała, pozostałe nie. po drugim i ona miała zmienioną domyślną opcje na auto
kilku moich znajomych ma podobny problem, tylko że u nich po prostu nie można wejść na dysk, bez komunikatów o błędzie. (oni mają XP, a ja mam XP 64)
wrzucam log
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:34:13, on 2007-11-29
Platform: Windows 2003 SP2 (WinNT 5.02.3790)
MSIE: Internet Explorer v6.00 SP2 (6.00.3790.1830)
Boot mode: Normal
Running processes:
C:\WINDOWS\SysWOW64\ctfmon.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\cmd.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\cmd.exe
C:\Program Files (x86)\Tlen.pl\tlen.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\cmd.exe
C:\Program Files (x86)\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
F2 - REG:system.ini: UserInit=userinit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Komunikator] C:\Program Files (x86)\Tlen.pl\tlen.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C35303B6-6706-4D8B-8408-94BC0708616D}: NameServer = 212.14.14.36,212.14.14.37
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe (file missing)
O23 - Service: Event Log (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe (file missing)
O23 - Service: HTTP SSL (HTTPFilter) - Unknown owner - C:\WINDOWS\System32\lsass.exe (file missing)
O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe (file missing)
O23 - Service: Distributed Transaction Coordinator (MSDTC) - Unknown owner - C:\WINDOWS\system32\msdtc.exe (file missing)
O23 - Service: Net Logon (Netlogon) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: NT LM Security Support Provider (NtLmSsp) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe (file missing)
O23 - Service: IPSEC Services (PolicyAgent) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: Protected Storage (ProtectedStorage) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: Remote Desktop Help Session Manager (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe (file missing)
O23 - Service: Security Accounts Manager (SamSs) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: Windows WorkGroup (svrhost) - Unknown owner - C:\Program Files\Common Files\Microsoft Shared\MSINFO\svrhost.exe
O23 - Service: Virtual Disk Service (vds) - Unknown owner - C:\WINDOWS\System32\vds.exe (file missing)
O23 - Service: Volume Shadow Copy (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe (file missing)
O23 - Service: WMI Performance Adapter (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe (file missing)
--
End of file - 4110 bytes
system
(system)
29 Listopad 2007 08:39
#2
Uruchom komputer w trybie awaryjnym.
Wejdź na dyski z którymi masz problemy, odkryj pliki ukryte a następnie skasuj ‘autorun.inf’.
Być może będziesz musiał zabić proces ‘svrhost.exe’.
Przy okazji skasuj ten plik z katalogu ‘Windows’ lub ‘Windows\System32’
oprych
(oprych)
29 Listopad 2007 10:39
#3
miałem racje, to był wirus. W nocy Avast po aktualizacji zaczął go wykrywać.
Teraz juz wszystko okej.
Mam tylko pytanie, jedna z partycji nadal po kliknięciu ma fukncje “auto” zamiast otwórz jako domyślną i przez to nie chce mi się otworzyć. Pamięta ktoś jak zmienić w rejestrze, to aby domyślną opcją było otwórz??
pogoneiro
(Duncaen)
29 Listopad 2007 11:56
#4
Zobacz tu bo miałem podobne problemy w Xp prof:
http://forum.dobreprogramy.pl/viewtopic.php?t=197466
i to możesz przejrzeć:
http://forum.dobreprogramy.pl/viewtopic … t=#1322571
Poiwinienes z tym rozwiązac problem
Gutek
(Gutek)
29 Listopad 2007 22:56
#5
usuń wpisy HJT, ale
Otwórz Notatnik i wklej do niego:
Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.BAT >>>
kliknij dwa razy na utworzony plik FIX.BAT >>> restart.
Po tym usuń plik ręcznie w trybie awaryjnym.
ptaq83
(Ptak83)
21 Grudzień 2007 12:11
#6
mam ten sam problem tylko inny log
wrzucam ten log
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 13:10:38, on 2007-12-21 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE F:\Anty wirus\Norton cpmander\navapsvc.exe F:\Anty wirus\Norton cpmander\IWP\NPFMntor.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\PSIService.exe C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe C:\Program Files\Analog Devices\SoundMAX\Smax4.exe C:\PROGRA~1\NEOSTR~1\CnxMon.exe C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe E:\Win Fast\Win Fast Pliki instalacyjne\WFWIZ.exe C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Program Files\Common Files\Symantec Shared\ccApp.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\wuauclt.exe C:\Program Files\Messenger\msmsgs.exe F:\Emule\emule.exe C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe C:\Program Files\Neostrada TP\NeostradaTP.exe C:\Program Files\Neostrada TP\ComComp.exe C:\Program Files\Neostrada TP\Watch.exe C:\Program Files\Internet Explorer\iexplore.exe C:\WINDOWS\system32\wscntfy.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://szukaj.wp.pl R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada TP R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Adobe Reader 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - F:\Anty wirus\Norton cpmander\NavShExt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - F:\Anty wirus\Norton cpmander\NavShExt.dll O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL O4 - HKLM…\Run: [soundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe O4 - HKLM…\Run: [soundMAX] “C:\Program Files\Analog Devices\SoundMAX\Smax4.exe” /tray O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM…\Run: [nwiz] nwiz.exe /install O4 - HKLM…\Run: [WooCnxMon] C:\PROGRA~1\NEOSTR~1\CnxMon.exe O4 - HKLM…\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe O4 - HKLM…\Run: [WOOTASKBARICON] C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe O4 - HKLM…\Run: [WinFast Schedule] E:\Win Fast\Win Fast Pliki instalacyjne\WFWIZ.exe O4 - HKLM…\Run: [sunJavaUpdateSched] “C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe” O4 - HKLM…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM…\Run: [ccApp] “C:\Program Files\Common Files\Symantec Shared\ccApp.exe” O4 - HKLM…\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU…\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background O4 - HKCU…\Run: [eMuleAutoStart] F:\Emule\emule.exe -AutoStart O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA LOKALNA’) O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA SIECIOWA’) O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’) O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’) O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra ‘Tools’ menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/DriverDow … eqlab2.cab O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://go.divx.com/plugin/DivXBrowserPlugin.cab O16 - DPF: {CAFEEFAC-0014-0000-0003-ABCDEFFEDCBA} (Java Runtime Environment 1.4.0_03) - O17 - HKLM\System\CCS\Services\Tcpip…{5328EA01-CF5F-458A-BAE3-D9257CFE0F1A}: NameServer = 194.204.159.1 217.98.63.164 O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe O23 - Service: Harmonogram automatycznej usługi LiveUpdate - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - F:\Anty wirus\Norton cpmander\navapsvc.exe O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - F:\Anty wirus\Norton cpmander\IWP\NPFMntor.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe O23 - Service: SAVScan - Symantec Corporation - F:\Anty wirus\Norton cpmander\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Windows WorkGroup (svrhost) - Unknown owner - C:\Program Files\Common Files\Microsoft Shared\MSINFO\svrhost.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe – End of file - 8388 bytes
tylko prosze krok po kroku bo jestem laikiem
Leon1
(Leon$)
21 Grudzień 2007 12:27
#7
oprych:
miałem racje, to był wirus. W nocy Avast po aktualizacji zaczął go wykrywać. Teraz juz wszystko okej. Mam tylko pytanie, jedna z partycji nadal po kliknięciu ma fukncje “auto” zamiast otwórz jako domyślną i przez to nie chce mi się otworzyć. Pamięta ktoś jak zmienić w rejestrze, to aby domyślną opcją było otwórz??
Pobierz Combofix Przeskanuj system daj log na forum
ptaq83
(Ptak83)
21 Grudzień 2007 13:13
#8
log z programu combofix
ComboFix 07-12-21.4 - Administrator 2007-12-21 14:03:40.2 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.641 [GMT 1:00] Running from: F:\Combofix\ComboFix.exe . ((((((((((((((((((((((((( Files Created from 2007-11-21 to 2007-12-21 ))))))))))))))))))))))))))))))) . 2007-12-21 12:12 . 2007-12-21 12:12 2007-12-21 11:16 . 2007-12-21 11:16 2007-12-19 13:40 . 2007-12-19 13:40 2007-12-12 10:10 . 2007-12-13 11:01 1,393 --a------ C:\WINDOWS\imsins.BAK 2007-12-09 13:06 . 2007-12-09 13:06 2007-12-09 13:06 . 2007-12-21 14:00 2007-12-05 11:29 . 2007-09-24 22:39 657,408 —hs---- C:\WINDOWS\system32_svrhost.exe 2007-12-01 22:24 . 2004-04-12 17:27 609,584 --a------ C:\WINDOWS\system32\comctl32.ocx 2007-12-01 22:24 . 2004-04-12 17:27 152,848 --a------ C:\WINDOWS\system32\comdlg32.ocx 2007-12-01 18:24 . 2007-12-01 18:24 2007-12-01 17:37 . 2007-12-01 17:37 4,608 --a------ C:\WINDOWS\system32\drivers\symlcbrd.sys 2007-12-01 17:36 . 2007-12-01 18:25 2007-12-01 17:36 . 2007-12-21 13:52 2007-12-01 17:36 . 2007-12-01 17:41 2007-12-01 17:36 . 2007-12-01 17:42 2007-12-01 17:36 . 2006-09-15 22:52 124,016 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.SYS 2007-12-01 17:36 . 2006-09-15 22:52 91,904 --a------ C:\WINDOWS\system32\S32EVNT1.DLL 2007-12-01 16:43 . 2004-08-04 00:44 21,504 --a------ C:\WINDOWS\system32\hidserv.dll 2007-12-01 16:43 . 2004-08-04 00:44 21,504 --a–c— C:\WINDOWS\system32\dllcache\hidserv.dll 2007-12-01 16:43 . 2001-10-26 16:57 12,160 --a------ C:\WINDOWS\system32\drivers\mouhid.sys 2007-12-01 16:43 . 2001-10-26 16:57 12,160 --a–c— C:\WINDOWS\system32\dllcache\mouhid.sys 2007-12-01 16:43 . 2001-08-17 22:02 9,600 --a------ C:\WINDOWS\system32\drivers\hidusb.sys 2007-12-01 16:43 . 2001-08-17 22:02 9,600 --a–c— C:\WINDOWS\system32\dllcache\hidusb.sys 2007-11-26 12:16 . 2007-11-26 13:18 2007-11-26 12:16 . 2007-11-26 12:16 54,156 --ah----- C:\WINDOWS\QTFont.qfn 2007-11-26 12:16 . 2007-11-26 12:16 1,409 --a------ C:\WINDOWS\QTFont.for 2007-11-26 12:16 . 2007-11-26 13:18 952 --ahs---- C:\WINDOWS\system32\KGyGaAvL.sys 2007-11-26 12:15 . 2007-11-26 12:15 2007-11-26 12:14 . 2007-11-26 12:15 . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2007-12-21 13:03 --------- d-----w C:\Program Files\Neostrada TP 2007-11-13 10:25 20,480 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys 2007-11-10 15:24 --------- d-----w C:\Documents and Settings\Administrator\Dane aplikacji\Sports Interactive 2007-11-10 15:21 --------- d–h--w C:\Program Files\Zero G Registry 2007-11-09 22:10 --------- d-----w C:\Program Files\Java 2007-11-06 12:48 --------- d-----w C:\Program Files\SystemRequirementsLab 2007-11-02 18:54 --------- d-----w C:\Documents and Settings\Administrator\Dane aplikacji\Morpheus Software 2007-10-29 22:44 1,291,264 ----a-w C:\WINDOWS\system32\quartz.dll 2007-10-29 10:28 --------- d-----w C:\Program Files\Google 2007-10-27 11:33 --------- d–h--w C:\Program Files\InstallShield Installation Information 2007-10-20 05:01 227,328 ----a-w C:\WINDOWS\system32\wmasf.dll 2007-10-10 20:04 107,888 ----a-w C:\WINDOWS\system32\CmdLineExt.dll 2007-07-13 18:37 72,462 ----a-w C:\Documents and Settings\All Users\Dane aplikacji\firstlsp.reg.dat . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries & legit default entries are not shown REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “CTFMON.EXE”=“C:\WINDOWS\system32\ctfmon.exe” [2004-08-04 00:44] “swg”=“C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe” [2007-11-03 16:27] “MSMSGS”=“C:\Program Files\Messenger\msmsgs.exe” [2004-10-13 17:24] “eMuleAutoStart”=“F:\Emule\emule.exe” [2007-05-13 15:57] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “SoundMAXPnP”=“C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe” [2003-05-29 15:28] “SoundMAX”=“C:\Program Files\Analog Devices\SoundMAX\Smax4.exe” [2003-05-30 08:42] “NvCplDaemon”=“RUNDLL32.exe” [2004-08-04 00:44 C:\WINDOWS\system32\rundll32.exe] “nwiz”=“nwiz.exe” [2007-09-17 01:07 C:\WINDOWS\system32\nwiz.exe] “WooCnxMon”=“C:\PROGRA~1\NEOSTR~1\CnxMon.exe” [2003-10-16 17:07] “WOOWATCH”=“C:\PROGRA~1\NEOSTR~1\Watch.exe” [2003-10-16 17:07] “WOOTASKBARICON”=“C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe” [2003-10-16 17:07] “WinFast Schedule”=“E:\Win Fast\Win Fast Pliki instalacyjne\WFWIZ.exe” [2005-05-04 16:51] “SunJavaUpdateSched”=“C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe” [2007-09-25 01:11] “NvMediaCenter”=“RUNDLL32.exe” [2004-08-04 00:44 C:\WINDOWS\system32\rundll32.exe] “ccApp”=“C:\Program Files\Common Files\Symantec Shared\ccApp.exe” [2007-02-22 10:58] “Symantec NetDriver Monitor”=“C:\PROGRA~1\SYMNET~1\SNDMon.exe” [2007-12-01 18:24] [HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] “CTFMON.EXE”=“C:\WINDOWS\system32\CTFMON.EXE” [2004-08-04 00:44] C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\ DSLMON.lnk - C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe [2007-07-14 07:59:44] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray] F:\Emulacja napedow CD DVD\CloneCD\CloneCD\CloneCDTray.exe /s [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools] F:\Emulacja napedow CD DVD\DAEMON Tools 4.0.6 x86\DAEMON Tools\daemon.exe -lang 1033 [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] 2006-01-12 15:40 155648 --a------ C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Odkurzacz-MCD] 2007-03-02 21:38 255488 --a------ F:\Pc Format\Odkurzacz\odk_mcd.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VirtualCloneDrive] F:\Emulacja napedow CD DVD\Virtual CloneDrive 5.1.4.5\VirtualCloneDrive\VCDDaemon.exe /s [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent] 2004-12-20 19:41 33792 --a------ F:\Winamp\winampa.exe R2 Harmonogram automatycznej usługi LiveUpdate;Harmonogram automatycznej usługi LiveUpdate;“C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe” [2006-08-03 17:40] R2 WF23880;WinFast TV2000/DV2000 WDM Video Capture.;C:\WINDOWS\system32\drivers\wf88vcap.sys [2004-10-18 10:25] R2 WF88XBAR;WinFast TV2000/DV2000 WDM Crossbar.;C:\WINDOWS\system32\drivers\WF88XBAR.sys [2004-10-18 10:25] R2 WFTUNE;WinFast TV2000/DV2000 WDM Tuner.;C:\WINDOWS\system32\drivers\WF88TUNE.sys [2004-10-18 10:25] R3 WFIOCTL;WFIOCTL;E:\Win Fast\Win Fast Pliki instalacyjne\WFIOCTL.SYS [2005-01-06 15:55] S0 NVStrap;NVStrap;C:\WINDOWS\system32\drivers\NVStrap.sys [2004-10-04 05:45] S2 svrhost;Windows WorkGroup;C:\Program Files\Common Files\Microsoft Shared\MSINFO\svrhost.exe [2007-09-24 22:39] S3 RivaTunerEx;RivaTunerEx;F:\RivaTuner 2.0 RC 15.2\RivaTuner\RivaTunerEx.sys [2004-10-04 05:45] S3 sscdbus;SAMSUNG USB Composite Device driver (WDM);C:\WINDOWS\system32\DRIVERS\sscdbus.sys [2005-12-22 11:24] S3 sscdmdfl;SAMSUNG CDMA Modem Filter;C:\WINDOWS\system32\DRIVERS\sscdmdfl.sys [2005-12-22 11:24] S3 sscdmdm;SAMSUNG CDMA Modem Drivers;C:\WINDOWS\system32\DRIVERS\sscdmdm.sys [2005-12-22 11:24] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D] \Shell\Auto\command - svrhost.exe \Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL svrhost.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E] \Shell\Auto\command - svrhost.exe \Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL svrhost.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F] \Shell\Auto\command - svrhost.exe \Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL svrhost.exe . Contents of the ‘Scheduled Tasks’ folder “2007-12-14 20:56:01 C:\WINDOWS\Tasks\Norton AntiVirus - Skanuj komputer - Administrator.job” - F:\ANTYWI~1\NORTON~1\Navw32.exef/task: . ************************************************************************** catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-12-21 14:04:34 Windows 5.1.2600 Dodatek Service Pack 2 NTFS scanning hidden processes … C:\WINDOWS\system32\calc.exe [1680] 0x85B20020 C:\Program Files\Internet Explorer\IEXPLORE.EXE [1688] 0x85B3ADA0 scanning hidden autostart entries … scanning hidden files … scan completed successfully hidden files: 0 ************************************************************************** . Completion time: 2007-12-21 14:04:56 C:\ComboFix2.txt … 2007-12-21 13:44 . 2007-12-13 10:01:44 — E O F —
mam nadzieje ze uda ci sie mi pomoc probowalem przez hijackthis ale nie wiem czy wszystko zrobilem poprawnie
Leon1
(Leon$)
21 Grudzień 2007 13:39
#9
ptaq82
Otwórz notatnik i wklej
File::
C:\WINDOWS\system32\_svrhost.exe
Driver::
svrhost
Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
zapisz jako CFScript (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe ) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe
http://img.wklej.org/images/88953CFScri … iemoes.gif
na pytanie “1 or 2” - to wpisz 1 i naciśnij ENTER
Powinno rozpocząć się usuwanie
Po restarcie usuń ręcznie folder C: \Qoobox