woam
(Amwilk)
15 Marzec 2007 14:01
#1
Kaspersky codziennie znajduje wirusy typu Email-Worm.Win32.Bagle.id Email-Worm.Win32.Bagle.id Trojan-Downloader.Win32.Agent.bgy
Logfile of HijackThis v1.99.1 Scan saved at 14:53:16, on 2007-03-15 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16414) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\Documents and Settings\Mariusz\Moje dokumenty\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll O4 - HKLM…\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM…\Run: [kis] “C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe” O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: Dodaj do Kaspersky Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\ie_banner_deny.htm O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll O9 - Extra button: Ochrona WWW - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O11 - Options group: [iNTERNATIONAL] International* O16 - DPF: {02ECD07A-22D0-4AF0-BA0A-3F6B06086D08} (GamesCampus Control) - http://www.gamescampus.com/xiah/luncher/GamesCampus.cab O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {92ECE6FA-AC2E-4042-BFAE-0C8608E52A43} (SignActivX Control) - https://www.bph.pl/sezam/components/SignActivX.cab O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing) O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\MSCSPTISRV.exe O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\PACSPTISVR.exe O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\SPTISRV.exe O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\SSScsiSV.exe
adam9870
(adam9870)
15 Marzec 2007 14:06
#2
Log czysty.
Jeśli to rzeczywiście Bagle to hijack mógł go nie pokazać dlatego proszę wkleić log z Comboscan oraz dwa logi z Gmer’a wykonane przy takich ustawieniach:
Zakładka Rootkit >>> zaznaczone wszystko oprócz Pokazuj wszystko >>> kliknij Szukaj >>> czekaj cierpliwie aż skończy >>> Kopiuj >>> wklej do posta
Zakładka Rootkit >>> zaznaczone tylko Usługi i Pokazuj wszystko >>> kliknij Szukaj >>> czekaj cierpliwie aż skończy >>> Kopiuj >>> wklej do posta
Jeśli wszystkie logi nie zmieszczą się bezpośrednio do posta, to umieść je w jakimś serwisie hostingowym jako pliki *.txt, a tu tylko zlinkuj.
http://forum.dobreprogramy.pl/viewtopic.php?t=96929
woam
(Amwilk)
15 Marzec 2007 14:20
#3
ComboScan v20070306.20 run by Mariusz on 2007-03-15 at 15:15:39 Supplementary logfile - please post this as an attachment with your post. -------------------------------------------------------------------------------- – System Information ---------------------------------------------------------- Microsoft Windows XP Professional (build 2600) SP 2.0 Architecture: X86; Language: Polish CPU 0: AMD Sempron 2500+ Percentage of Memory in Use: 40% Physical Memory (total/avail): 511.48 MiB / 303.31 MiB Pagefile Memory (total/avail): 1266.16 MiB / 1063.06 MiB Virtual Memory (total/avail): 2047.88 MiB / 1994.63 MiB A: is Removable (No Media) C: is Fixed (NTFS) - 19.53 GiB total, 12.87 GiB free. D: is Fixed (NTFS) - 55.02 GiB total, 16.29 GiB free. E: is CDROM (No Media) – Security Center ------------------------------------------------------------- AUOptions is scheduled to auto-install. Windows Internal Firewall is disabled. – Environment Variables ------------------------------------------------------- ALLUSERSPROFILE=C:\Documents and Settings\All Users APPDATA=C:\Documents and Settings\Mariusz\Dane aplikacji CLIENTNAME=Console CommonProgramFiles=C:\Program Files\Common Files COMPUTERNAME=0713741B70BD453 ComSpec=C:\WINDOWS\system32\cmd.exe FP_NO_HOST_CHECK=NO HOMEDRIVE=C: HOMEPATH=\Documents and Settings\Mariusz LOGONSERVER=\0713741B70BD453 NUMBER_OF_PROCESSORS=1 OS=Windows_NT Path=C:\Program Files\Internet Explorer;;C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\System32\Wbem;C:\Program Files\ATI Technologies\ATI Control Panel PATHEXT=.COM ;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH PROCESSOR_ARCHITECTURE=x86 PROCESSOR_IDENTIFIER=x86 Family 6 Model 8 Stepping 1, AuthenticAMD PROCESSOR_LEVEL=6 PROCESSOR_REVISION=0801 ProgramFiles=C:\Program Files PROMPT=$P$G SESSIONNAME=Console SystemDrive=C: SystemRoot=C:\WINDOWS TEMP=C:\DOCUME~1\Mariusz\USTAWI~1\Temp TMP=C:\DOCUME~1\Mariusz\USTAWI~1\Temp USERDOMAIN=0713741B70BD453 USERNAME=Mariusz USERPROFILE=C:\Documents and Settings\Mariusz windir=C:\WINDOWS – User Profiles --------------------------------------------------------------- Mariusz (admin) Ola – Add/Remove Programs --------------------------------------------------------- --> C:\Program Files\Nero\Nero 7\nero\uninstall\UNNERO.exe /UNINSTALL --> C:\WINDOWS\UNNeroBackItUp.exe /UNINSTALL --> C:\WINDOWS\UNNeroMediaHome.exe /UNINSTALL --> C:\WINDOWS\UNNeroShowTime.exe /UNINSTALL --> C:\WINDOWS\UNNeroVision.exe /UNINSTALL --> C:\WINDOWS\UNRecode.exe /UNINSTALL --> Dummy --> MsiExec.exe /X{27579b3c-5470-4496-be6c-0c872674f19f} --> RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup “C:\Program Files\InstallShield Installation Information{88E5FCB8-5F25-11D5-B16F-0800460222F0}\setup.exe” -l0x9 UNINSTALL --> RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup “C:\Program Files\InstallShield Installation Information{D76298C2-E532-4A11-BCFF-76F3F19DA84D}\setup.exe” UNINSTALL --> rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf A4Tech iKeyWorks 7.72 --> C:\Program Files\A4Tech\Keyboard\Uninst32.exe ABBYY PDF Transformer 2.0 --> MsiExec.exe /I{FA200000-0001-0000-0000-074957833700} Adobe Flash Player 9 ActiveX --> C:\WINDOWS\system32\Macromed\Flash\FlashUtil9b.exe -uninstallDelete Adobe Reader 7.0.9 --> MsiExec.exe /I{AC76BA86-7AD7-1033-7B44-A70900000002} Aktualizacja dla systemu Windows XP (KB894391) --> “C:\WINDOWS$NtUninstallKB894391$\spuninst\spuninst.exe” Aktualizacja dla systemu Windows XP (KB898461) --> “C:\WINDOWS$NtUninstallKB898461$\spuninst\spuninst.exe” Aktualizacja dla systemu Windows XP (KB900485) --> “C:\WINDOWS$NtUninstallKB900485$\spuninst\spuninst.exe” Aktualizacja dla systemu Windows XP (KB908531) --> “C:\WINDOWS$NtUninstallKB908531$\spuninst\spuninst.exe” Aktualizacja dla systemu Windows XP (KB910437) --> “C:\WINDOWS$NtUninstallKB910437$\spuninst\spuninst.exe” Aktualizacja dla systemu Windows XP (KB911280) --> “C:\WINDOWS$NtUninstallKB911280$\spuninst\spuninst.exe” Aktualizacja dla systemu Windows XP (KB916595) --> “C:\WINDOWS$NtUninstallKB916595$\spuninst\spuninst.exe” Aktualizacja dla systemu Windows XP (KB920872) --> “C:\WINDOWS$NtUninstallKB920872$\spuninst\spuninst.exe” Aktualizacja dla systemu Windows XP (KB922582) --> “C:\WINDOWS$NtUninstallKB922582$\spuninst\spuninst.exe” Aktualizacja dla systemu Windows XP (KB931836) --> “C:\WINDOWS$NtUninstallKB931836$\spuninst\spuninst.exe” Aktualizacja zabezpieczeń dla systemu Windows XP (KB893756) --> “C:\WINDOWS$NtUninstallKB893756$\spuninst\spuninst.exe” Aktualizacja zabezpieczeń dla systemu Windows XP (KB896358) --> “C:\WINDOWS$NtUninstallKB896358$\spuninst\spuninst.exe” Aktualizacja zabezpieczeń dla systemu Windows XP (KB896423) --> “C:\WINDOWS$NtUninstallKB896423$\spuninst\spuninst.exe” Aktualizacja zabezpieczeń dla systemu Windows XP (KB896424) --> “C:\WINDOWS$NtUninstallKB896424$\spuninst\spuninst.exe” Aktualizacja zabezpieczeń dla systemu Windows XP (KB896428) --> “C:\WINDOWS$NtUninstallKB896428$\spuninst\spuninst.exe” Aktualizacja zabezpieczeń dla systemu Windows XP (KB899587) --> “C:\WINDOWS$NtUninstallKB899587$\spuninst\spuninst.exe” Aktualizacja zabezpieczeń dla systemu Windows XP (KB899591) --> “C:\WINDOWS$NtUninstallKB899591$\spuninst\spuninst.exe” Aktualizacja zabezpieczeń dla systemu Windows XP (KB900725) --> “C:\WINDOWS$NtUninstallKB900725$\spuninst\spuninst.exe” Aktualizacja zabezpieczeń dla systemu Windows XP (KB901017) --> “C:\WINDOWS$NtUninstallKB901017$\spuninst\spuninst.exe” Aktualizacja zabezpieczeń dla systemu Windows XP (KB901214) --> “C:\WINDOWS$NtUninstallKB901214$\spuninst\spuninst.exe” Aktualizacja zabezpieczeń dla systemu Windows XP (KB902400) --> “C:\WINDOWS$NtUninstallKB902400$\spuninst\spuninst.exe” Aktualizacja zabezpieczeń dla systemu Windows XP (KB904706) --> “C:\WINDOWS$NtUninstallKB904706$\spuninst\spuninst.exe” Aktualizacja zabezpieczeń dla systemu Windows XP (KB905414) --> “C:\WINDOWS$NtUninstallKB905414$\spuninst\spuninst.exe” Aktualizacja zabezpieczeń dla systemu Windows XP (KB905749) --> “C:\WINDOWS$NtUninstallKB905749$\spuninst\spuninst.exe” Aktualizacja zabezpieczeń dla systemu Windows XP (KB908519) --> “C:\WINDOWS$NtUninstallKB908519$\spuninst\spuninst.exe” Aktualizacja zabezpieczeń dla systemu Windows XP (KB911562) --> “C:\WINDOWS$NtUninstallKB911562$\spuninst\spuninst.exe” Aktualizacja zabezpieczeń dla systemu Windows XP (KB911927) --> “C:\WINDOWS$NtUninstallKB911927$\spuninst\spuninst.exe” Aktualizacja zabezpieczeń dla systemu Windows XP (KB912919) --> “C:\WINDOWS$NtUninstallKB912919$\spuninst\spuninst.exe” Aktualizacja zabezpieczeń dla systemu Windows XP (KB913580) --> “C:\WINDOWS$NtUninstallKB913580$\spuninst\spuninst.exe” Aktualizacja zabezpieczeń dla systemu Windows XP (KB914388) --> “C:\WINDOWS$NtUninstallKB914388$\spuninst\spuninst.exe” Aktualizacja zabezpieczeń dla systemu Windows XP (KB914389) --> “C:\WINDOWS$NtUninstallKB914389$\spuninst\spuninst.exe” Aktualizacja zabezpieczeń dla systemu Windows XP (KB917422) --> “C:\WINDOWS$NtUninstallKB917422$\spuninst\spuninst.exe” Aktualizacja zabezpieczeń dla systemu Windows XP (KB917953) --> “C:\WINDOWS$NtUninstallKB917953$\spuninst\spuninst.exe” Aktualizacja zabezpieczeń dla systemu Windows XP (KB918118) --> “C:\WINDOWS$NtUninstallKB918118$\spuninst\spuninst.exe” Aktualizacja zabezpieczeń dla systemu Windows XP (KB918439) --> “C:\WINDOWS$NtUninstallKB918439$\spuninst\spuninst.exe” Aktualizacja zabezpieczeń dla systemu Windows XP (KB919007) --> “C:\WINDOWS$NtUninstallKB919007$\spuninst\spuninst.exe” Aktualizacja zabezpieczeń dla systemu Windows XP (KB920213) --> “C:\WINDOWS$NtUninstallKB920213$\spuninst\spuninst.exe” Aktualizacja zabezpieczeń dla systemu Windows XP (KB920670) --> “C:\WINDOWS$NtUninstallKB920670$\spuninst\spuninst.exe” Aktualizacja zabezpieczeń dla systemu Windows XP (KB920683) --> “C:\WINDOWS$NtUninstallKB920683$\spuninst\spuninst.exe” Aktualizacja zabezpieczeń dla systemu Windows XP (KB920685) --> “C:\WINDOWS$NtUninstallKB920685$\spuninst\spuninst.exe” Aktualizacja zabezpieczeń dla systemu Windows XP (KB922819) --> “C:\WINDOWS$NtUninstallKB922819$\spuninst\spuninst.exe” Aktualizacja zabezpieczeń dla systemu Windows XP (KB923191) --> “C:\WINDOWS$NtUninstallKB923191$\spuninst\spuninst.exe” Aktualizacja zabezpieczeń dla systemu Windows XP (KB923414) --> “C:\WINDOWS$NtUninstallKB923414$\spuninst\spuninst.exe” Aktualizacja zabezpieczeń dla systemu Windows XP (KB923694) --> “C:\WINDOWS$NtUninstallKB923694$\spuninst\spuninst.exe” Aktualizacja zabezpieczeń dla systemu Windows XP (KB923980) --> “C:\WINDOWS$NtUninstallKB923980$\spuninst\spuninst.exe” Aktualizacja zabezpieczeń dla systemu Windows XP (KB924191) --> “C:\WINDOWS$NtUninstallKB924191$\spuninst\spuninst.exe” Aktualizacja zabezpieczeń dla systemu Windows XP (KB924270) --> “C:\WINDOWS$NtUninstallKB924270$\spuninst\spuninst.exe” Aktualizacja zabezpieczeń dla systemu Windows XP (KB924667) --> “C:\WINDOWS$NtUninstallKB924667$\spuninst\spuninst.exe” Aktualizacja zabezpieczeń dla systemu Windows XP (KB926255) --> “C:\WINDOWS$NtUninstallKB926255$\spuninst\spuninst.exe” Aktualizacja zabezpieczeń dla systemu Windows XP (KB926436) --> “C:\WINDOWS$NtUninstallKB926436$\spuninst\spuninst.exe” Aktualizacja zabezpieczeń dla systemu Windows XP (KB927779) --> “C:\WINDOWS$NtUninstallKB927779$\spuninst\spuninst.exe” Aktualizacja zabezpieczeń dla systemu Windows XP (KB927802) --> “C:\WINDOWS$NtUninstallKB927802$\spuninst\spuninst.exe” Aktualizacja zabezpieczeń dla systemu Windows XP (KB928255) --> “C:\WINDOWS$NtUninstallKB928255$\spuninst\spuninst.exe” Aktualizacja zabezpieczeń dla systemu Windows XP (KB928843) --> “C:\WINDOWS$NtUninstallKB928843$\spuninst\spuninst.exe” ATI Catalyst Control Center --> MsiExec.exe /I{CDC131DB-C744-460C-832E-6E0C25AB6F03} ATI Control Panel --> RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup “C:\Program Files\InstallShield Installation Information{0BEDBD4E-2D34-47B5-9973-57E62B29307C}\setup.exe” ATI Display Driver --> rundll32 C:\WINDOWS\system32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_class:DISPLAY -clean ATI HYDRAVISION --> RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup “C:\Program Files\InstallShield Installation Information{083F79E4-6FE9-46FB-A6C6-4F8862742947}\setup.exe” BearPaw 1200CU Plus v1.0 --> C:\PROGRA~1\BEARPA~2\Driver\UNINST.EXE C-Media 3D Audio --> C:\WINDOWS\CMIUnInstall.exe CodeStuff Starter --> “C:\Program Files\CodeStuff\Starter\unStarter.exe” DivXG400 2.83 PL --> C:\WINDOWS\Odinstaluj.exe Google Toolbar for Internet Explorer --> regsvr32 /u /s “c:\program files\google\googletoolbar3.dll” HijackThis 1.99.1 --> C:\Documents and Settings\Mariusz\Moje dokumenty\hijackthis\HijackThis.exe /uninstall J2SE Runtime Environment 5.0 Update 10 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150100} K-Lite Codec Pack 2.85 Full --> “C:\Program Files\K-Lite Codec Pack\unins000.exe” Kaspersky Internet Security 6.0 --> MsiExec.exe /I{D0DCD54F-C829-41A5-AF32-71E632BB0E2C} livebox tp --> RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup “C:\Program Files\InstallShield Installation Information{AB3F9176-E74A-4F28-9A09-4F22349B145E}\setup.exe” -l0x15 Microsoft Compression Client Pack 1.0 for Windows XP --> “C:\WINDOWS$NtUninstallMSCompPackV1$\spuninst\spuninst.exe” Microsoft Office Professional Edition 2003 --> MsiExec.exe /I{90110415-6000-11D3-8CFE-0150048383C9} Microsoft User-Mode Driver Framework Feature Pack 1.0 --> “C:\WINDOWS$NtUninstallWudf01000$\spuninst\spuninst.exe” Narzędzie Software Uninstall Utility firmy ATI --> C:\Program Files\ATI Technologies\UninstallAll\AtiCimUn.exe Nero 7 Premium --> MsiExec.exe /I{6D6C1253-F5A2-4E0C-9070-F3C1176C1045} OpenMG Secure Module 4.1.00 --> C:\PROGRA~1\COMMON~1\INSTAL~1\Driver\9\INTEL3~1\IDriver.exe /M{2F151B50-B434-4838-B51D-70442EBA093E} UNINSTALL PITy 2006 dla Windows kompilacja:1.0.1.17 --> “d:\Program Files\PITy\PITY2006NG\unins000.exe” Poprawka systemu Windows XP - KB873339 --> C:\WINDOWS$NtUninstallKB873339$\spuninst\spuninst.exe Poprawka systemu Windows XP - KB885835 --> C:\WINDOWS$NtUninstallKB885835$\spuninst\spuninst.exe Poprawka systemu Windows XP - KB885836 --> C:\WINDOWS$NtUninstallKB885836$\spuninst\spuninst.exe Poprawka systemu Windows XP - KB886185 --> C:\WINDOWS$NtUninstallKB886185$\spuninst\spuninst.exe Poprawka systemu Windows XP - KB887472 --> C:\WINDOWS$NtUninstallKB887472$\spuninst\spuninst.exe Poprawka systemu Windows XP - KB888302 --> C:\WINDOWS$NtUninstallKB888302$\spuninst\spuninst.exe Poprawka systemu Windows XP - KB890859 --> “C:\WINDOWS$NtUninstallKB890859$\spuninst\spuninst.exe” Poprawka systemu Windows XP - KB891781 --> C:\WINDOWS$NtUninstallKB891781$\spuninst\spuninst.exe SmartPhotoRefresh --> C:\Program Files\BearPaw 1200CU Plus\UNWISE.EXE C:\Program Files\BearPaw 1200CU Plus\install.log SonicStage 3.0 --> RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup “C:\Program Files\InstallShield Installation Information{A0EB195B-5876-48E6-879D-33D4B2102610}\setup.exe” -l0x9 UNINSTALL -removeonly Tibia 7.92 --> “D:\Program Files\Tibia\unins000.exe” Windows Media Format 11 runtime --> “C:\WINDOWS$NtUninstallWMFDist11$\spuninst\spuninst.exe” WinRAR archiver --> C:\Program Files\WinRAR\uninstall.exe Xiah --> “d:\Program Files\Gamescampus\Xiah\unins000.exe” – End of ComboScan: finished at 2007-03-15 at 15:16:45 ------------------------
Złączono Posta : 15.03.2007 (Czw) 15:21
ComboScan v20070306.20 run by Mariusz on 2007-03-15 at 15:15:39 Computer is in Normal Mode. -------------------------------------------------------------------------------- – System Restore -------------------------------------------------------------- Successfully created ComboScan Restore Point. – Last 5 Restore Point(s) – 48: 2007-03-15 14:15:46 UTC - RP70 - ComboScan Restore Point 47: 2007-03-14 09:14:30 UTC - RP69 - Punkt kontrolny systemu 46: 2007-03-13 08:54:00 UTC - RP68 - Punkt kontrolny systemu 45: 2007-03-11 20:16:23 UTC - RP67 - Punkt kontrolny systemu 44: 2007-03-10 19:53:54 UTC - RP66 - Punkt kontrolny systemu – First Restore Point – 1: 2007-01-28 08:28:30 UTC - RP23 - Punkt kontrolny systemu Performed disk cleanup. – HijackThis (run as Mariusz.exe) --------------------------------------------- Logfile of HijackThis v1.99.1 Scan saved at 15:16:08, on 2007-03-15 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16414) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe C:\WINDOWS\system32\ctfmon.exe C:\Documents and Settings\Mariusz\Moje dokumenty\comboscan.exe C:\DOCUME~1\Mariusz\MOJEDO~1\HIJACK~1\Mariusz.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll O4 - HKLM…\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM…\Run: [kis] “C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe” O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: Dodaj do Kaspersky Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\ie_banner_deny.htm O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll O9 - Extra button: Ochrona WWW - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O11 - Options group: [iNTERNATIONAL] International* O16 - DPF: {02ECD07A-22D0-4AF0-BA0A-3F6B06086D08} (GamesCampus Control) - http://www.gamescampus.com/xiah/luncher/GamesCampus.cab O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {92ECE6FA-AC2E-4042-BFAE-0C8608E52A43} (SignActivX Control) - https://www.bph.pl/sezam/components/SignActivX.cab O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing) O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\MSCSPTISRV.exe O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\PACSPTISVR.exe O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\SPTISRV.exe O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\SSScsiSV.exe – File Associations ----------------------------------------------------------- .bat - batfile - “%1” %* .chm - chm.file - “C:\WINDOWS\hh.exe” %1 .cmd - cmdfile - “%1” %* .com - comfile - “%1” %* .exe - exefile - “%1” %* .hlp - hlpfile - %SystemRoot%\System32\winhlp32.exe %1 .inf - inffile - %SystemRoot%\System32\NOTEPAD.EXE %1 .ini - inifile - %SystemRoot%\System32\NOTEPAD.EXE %1 .js - JSFile - %SystemRoot%\System32\WScript.exe “%1” %* .lnk - lnkfile - {00021401-0000-0000-C000-000000000046} .pif - piffile - “%1” %* .reg - regfile - regedit.exe “%1” .scr - scrfile - “%1” /S .txt - txtfile - %SystemRoot%\system32\NOTEPAD.EXE %1 .vbs - VBSFile - %SystemRoot%\System32\WScript.exe “%1” %* – Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------- 1R AmdK7 (Sterownik procesora AMD K7) - C:\WINDOWS\system32\drivers\amdk7.sys 3R ati2mtag - C:\WINDOWS\system32\drivers\ati2mtag.sys 3R cmuda (C-Media WDM Audio Interface) - C:\WINDOWS\system32\drivers\cmuda.sys 3R FETNDIS (Sterownik NT karty VIA PCI 10/100Mb Fast Ethernet) - C:\WINDOWS\system32\drivers\fetnd5.sys 3R GT680x (GrandTechICNameNT) - C:\WINDOWS\system32\drivers\gt680x.sys 3R hidusb (Sterownik Microsoft klasy HID) - C:\WINDOWS\system32\drivers\hidusb.sys 0R kl1 - C:\WINDOWS\system32\drivers\kl1.sys 1R klif - C:\WINDOWS\system32\drivers\klif.sys 3R mouhid (Sterownik myszy HID) - C:\WINDOWS\system32\drivers\mouhid.sys 3S m_hook (Empty) - C:\Documents and Settings\Ola\Dane aplikacji\hidires\m_hook.sys (not found) 0R PxHelp20 - C:\WINDOWS\system32\drivers\PxHelp20.sys 0R uagp35 (Filtr AGPv3.5 firmy Microsoft) - C:\WINDOWS\system32\drivers\UAGP35.SYS 3R usbccgp (Rodzajowy sterownik nadrzędny USB Microsoft) - C:\WINDOWS\system32\drivers\usbccgp.sys 3R usbehci (Sterownik Miniport rozszerzonego kontrolera hosta USB 2.0 Microsoft) - C:\WINDOWS\system32\drivers\usbehci.sys 3R usbprint (Klasa PRINTER USB Microsoft) - C:\WINDOWS\system32\drivers\usbprint.sys 3S USBSTOR (Sterownik magazynu masowego USB) - C:\WINDOWS\system32\drivers\USBSTOR.SYS 3R USB_RNDIS (ADI Remote NDIS Network Device Driver) - C:\WINDOWS\system32\drivers\usb8023.sys 3S WudfPf (Windows Driver Foundation - User-mode Driver Framework Platform Driver) - C:\WINDOWS\system32\drivers\WudfPf.sys 3S WudfRd (Windows Driver Foundation - User-mode Driver Framework Reflector) - C:\WINDOWS\system32\drivers\WudfRd.sys – Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled -------------------- 3S aspnet_state (ASP.NET State Service) - C:\WINDOWS\Microsoft.NET \Framework\v1.1.4322\aspnet_state.exe 4S Ati HotKey Poller - C:\WINDOWS\system32\Ati2evxx.exe 2S ATI Smart - C:\WINDOWS\system32\ati2sgag.exe 2R AVP (Kaspersky Internet Security 6.0) - “C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe” -r 3S MSCSPTISRV - “C:\Program Files\Common Files\Sony Shared\AVLib\MSCSPTISRV.exe” 3S NBService - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe 3S NMIndexingService - “C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe” 3S ose (Office Source Engine) - “C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE” 3S PACSPTISVR - “C:\Program Files\Common Files\Sony Shared\AVLib\PACSPTISVR.exe” 3S SPTISRV (Sony SPTI Service) - “C:\Program Files\Common Files\Sony Shared\AVLib\SPTISRV.exe” 3S SSScsiSV (SonicStage SCSI Service) - C:\Program Files\Common Files\Sony Shared\AVLib\SSScsiSV.exe – Files created between 2007-02-15 and 2007-03-15 ----------------------------- 2007-03-14 11:04:46 217088 --a------ C:\WINDOWS\system32\yv12vfw.dll 2007-03-14 11:04:44 180224 --a------ C:\WINDOWS\system32\xvidvfw.dll 2007-03-14 11:04:43 3596288 --a------ C:\WINDOWS\system32\qt-dx331.dll 2007-03-14 11:04:42 200704 --a------ C:\WINDOWS\system32\ssldivx.dll 2007-03-14 11:04:42 1044480 --a------ C:\WINDOWS\system32\libdivx.dll 2007-03-14 11:04:42 196608 --a------ C:\WINDOWS\system32\dtu100.dll 2007-03-14 11:04:42 73728 --a------ C:\WINDOWS\system32\dpl100.dll 2007-03-14 11:04:41 639066 --a------ C:\WINDOWS\system32\divx.dll 2007-03-14 11:04:39 10752 --a------ C:\WINDOWS\system32\ff_vfw.dll 2007-03-14 11:04:34 0 d-------- C:\Program Files\K-Lite Codec Pack 2007-03-02 18:01:23 388608 --a------ C:\WINDOWS\system32\ltkrn12n.dll 2007-03-02 18:01:23 165888 --a------ C:\WINDOWS\system32\ltimg12n.dll 2007-03-02 18:01:23 130048 --a------ C:\WINDOWS\system32\ltfil12n.DLL 2007-03-02 18:01:23 49664 --a------ C:\WINDOWS\system32\Lfwmf12n.dll 2007-03-02 18:01:23 141824 --a------ C:\WINDOWS\system32\lftif12n.dll 2007-03-02 18:01:23 26624 --a------ C:\WINDOWS\system32\lfpcx12n.dll 2007-03-02 18:01:23 19456 --a------ C:\WINDOWS\system32\lfmsp12n.dll 2007-03-02 18:01:23 32256 --a------ C:\WINDOWS\system32\lflmb12n.dll 2007-03-02 18:01:23 89600 --a------ C:\WINDOWS\system32\lfjbg12n.dll 2007-03-02 18:01:23 20992 --a------ C:\WINDOWS\system32\lfimg12n.dll 2007-03-02 18:01:23 73216 --a------ C:\WINDOWS\system32\lffax12n.dll 2007-03-02 18:01:23 341504 --a------ C:\WINDOWS\system32\LFCMP12n.DLL 2007-03-02 18:01:23 30720 --a------ C:\WINDOWS\system32\lfbmp12n.dll 2007-03-02 18:01:22 31232 --a------ C:\WINDOWS\system32\Lfpct10n.dll 2007-03-02 18:01:22 25600 --a------ C:\WINDOWS\system32\Lfmac10n.dll 2007-03-02 18:01:22 248832 --a------ C:\WINDOWS\system32\LFJ2K12n.dll 2007-03-02 18:01:22 27136 --a------ C:\WINDOWS\system32\Lfimg10n.dll 2007-03-02 18:01:22 240640 --a------ C:\WINDOWS\system32\Lfdic10n.dll 2007-03-02 18:01:22 27136 --a------ C:\WINDOWS\system32\Lfcal10n.dll 2007-03-02 18:01:22 20480 --a------ C:\WINDOWS\system\Lfwpg70n.dll 2007-03-02 18:01:22 18944 --a------ C:\WINDOWS\system\Lfwfx70n.dll 2007-03-02 18:01:22 20992 --a------ C:\WINDOWS\system\Lftga70n.dll 2007-03-02 18:01:22 19456 --a------ C:\WINDOWS\system\Lfras70n.dll 2007-03-02 18:01:22 22016 --a------ C:\WINDOWS\system\Lfpsd70n.dll 2007-03-02 18:01:22 111104 --a------ C:\WINDOWS\system\Lfpng70n.dll 2007-03-02 18:01:22 24576 --a------ C:\WINDOWS\system\Lfpcx70n.dll 2007-03-02 18:01:22 24064 --a------ C:\WINDOWS\system\LFPCT70N.DLL 2007-03-02 18:01:22 19456 --a------ C:\WINDOWS\system\LFPCD70N.DLL 2007-03-02 18:01:22 19456 --a------ C:\WINDOWS\system\Lfmsp70n.dll 2007-03-02 18:01:22 25088 --a------ C:\WINDOWS\system\LFLMB70N.DLL 2007-03-02 18:01:22 28672 --a------ C:\WINDOWS\system\LFLMA70N.DLL 2007-03-02 18:01:22 95232 --a------ C:\WINDOWS\system\LFKODAK.DLL 2007-03-02 18:01:22 20480 --a------ C:\WINDOWS\system\LFIMG70N.DLL 2007-03-02 18:01:22 26112 --a------ C:\WINDOWS\system\LFICA70N.DLL 2007-03-02 18:01:22 32768 --a------ C:\WINDOWS\system\Lfgif70n.dll 2007-03-02 18:01:22 35328 --a------ C:\WINDOWS\system\LFFPX70N.DLL 2007-03-02 18:01:22 306688 --a------ C:\WINDOWS\system\LFFPX7.DLL 2007-03-02 18:01:22 24064 --a------ C:\WINDOWS\system\Lfeps70n.dll 2007-03-02 18:01:22 24576 --a------ C:\WINDOWS\system\LFBMP70N.DLL 2007-03-02 18:01:22 17920 --a------ C:\WINDOWS\system\LFAVI70N.DLL 2007-03-02 18:01:21 600576 --a------ C:\WINDOWS\system32\Ltwrp10n.dll 2007-03-02 18:01:21 117760 --a------ C:\WINDOWS\system32\Ltimg10n.dll 2007-03-02 18:01:21 28160 --a------ C:\WINDOWS\system32\Lfwmf10n.dll 2007-03-02 18:01:21 31232 --a------ C:\WINDOWS\system32\Lflmb10n.dll 2007-03-02 18:01:21 35840 --a------ C:\WINDOWS\system32\Lflma10n.dll 2007-03-02 18:01:21 350208 --a------ C:\WINDOWS\system\LTKRN70N.DLL 2007-03-02 18:01:21 55296 --a------ C:\WINDOWS\system\LTFIL70N.DLL 2007-03-02 18:01:21 93184 --a------ C:\WINDOWS\system\LFTIF70N.DLL 2007-03-02 18:01:21 18944 --a------ C:\WINDOWS\system\LFMAC70N.DLL 2007-03-02 18:01:21 55808 --a------ C:\WINDOWS\system\LFFAX70N.DLL 2007-03-02 18:01:21 224768 --a------ C:\WINDOWS\system\LFCMP70N.DLL 2007-03-02 18:01:21 19968 --a------ C:\WINDOWS\system\LFCAL70N.DLL 2007-03-02 18:01:20 297472 --a------ C:\WINDOWS\system32\Ltkrn10n.dll 2007-03-02 18:01:20 103424 --a------ C:\WINDOWS\system32\Ltfil10n.dll 2007-03-02 18:01:20 122368 --a------ C:\WINDOWS\system32\Lftif10n.dll 2007-03-02 18:01:20 77824 --a------ C:\WINDOWS\system32\Lffax10n.dll 2007-03-02 18:01:20 266752 --a------ C:\WINDOWS\system32\Lfcmp10n.dll 2007-03-02 18:01:20 34304 --a------ C:\WINDOWS\system32\Lfbmp10n.dll 2007-03-02 18:01:19 996872 --a------ C:\WINDOWS\system32\Cp3240mt.dll 2007-03-02 18:01:19 29952 --a------ C:\WINDOWS\system32\Borlndmm.dll 2007-03-02 18:01:19 212480 --a------ C:\WINDOWS\system\Pcdlib32.dll 2007-03-02 18:01:19 81920 --a------ C:\WINDOWS\system\Capi2032.dll 2007-03-02 17:46:49 228864 --a------ C:\WINDOWS\system32\Ltdis10n.dll 2007-03-02 17:46:49 33280 --a------ C:\WINDOWS\system32\Lfpcx10n.dll 2007-03-02 17:46:48 221184 --a------ C:\WINDOWS\system32\ps1gMiniDrv.dll 2007-03-02 17:46:48 110592 --a------ C:\WINDOWS\system32\MKCoInstaller.dll 2007-03-02 17:46:48 258560 --a------ C:\WINDOWS\system32\LTDIS12n.dll 2007-03-02 17:46:48 18120 --a------ C:\WINDOWS\system32\drivers\gt680x.sys 2007-03-02 17:46:45 81946 --a------ C:\WINDOWS\system32\vb5ko.dll 2007-03-02 17:46:36 0 d-------- C:\Program Files\Temp 2007-03-02 17:33:37 600576 -----n— C:\WINDOWS\system\Ltwrp10n.dll 2007-03-02 17:33:37 61440 --a------ C:\WINDOWS\system\BPEnhan.dll 2007-03-02 17:33:23 0 d-------- C:\Program Files\BearPaw 1200CU Plus 2007-03-02 17:16:51 0 d-------- C:\PNP 2007-03-02 17:10:05 0 d-------- C:\Program Files\BearPaw 1200CU 2007-02-28 18:53:52 149504 --a------ C:\WINDOWS\UNWISE.EXE 2007-02-28 18:23:04 258352 --a------ C:\WINDOWS\system32\unicows.dll 2007-02-28 18:23:04 5632 --a------ C:\WINDOWS\system32\pxc25pm.dll 2007-02-28 18:20:27 0 d-------- C:\Temp 2007-02-19 17:32:25 0 d-------- C:\Program Files\Nero 2007-02-19 17:32:25 0 d-------- C:\Program Files\Common Files\Ahead 2007-02-18 16:47:48 0 d-------- C:\Program Files\Kaspersky Lab 2007-02-18 16:47:47 156704 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat 2007-02-18 16:47:47 9791520 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat 2007-02-18 15:00:34 51969 --a------ C:\WINDOWS\Odinstaluj.exe 2007-02-18 14:55:57 262884 --a------ C:\WINDOWS\IPUI_DivXG400.exe 2007-02-17 08:10:59 0 d-------- C:\WINDOWS\exefld 2007-02-16 17:31:55 0 d-------- C:\Program Files\A4Tech 2007-02-16 10:39:50 0 d-------- C:\WINDOWS\ie7updates 2007-02-16 09:09:27 0 d-------- C:\WINDOWS\system32\PreInstall – Find3M Report --------------------------------------------------------------- 2007-03-14 11:05:38 0 d-------- C:\Documents and Settings\Mariusz\Dane aplikacji\Media Player Classic 2007-02-28 14:46:59 0 d-------- C:\Documents and Settings\Mariusz\Dane aplikacji\AdobeUM 2007-02-25 09:21:07 0 d-------- C:\Documents and Settings\Mariusz\Dane aplikacji\Ahead 2007-02-18 17:35:18 0 d—s---- C:\Documents and Settings\Mariusz\Dane aplikacji\Microsoft 2007-02-16 17:39:45 0 d-------- C:\Program Files\Messenger 2007-02-16 17:22:24 435978 --a------ C:\WINDOWS\system32\perfh015.dat 2007-02-16 17:22:24 67078 --a------ C:\WINDOWS\system32\perfc015.dat 2007-02-14 15:46:11 0 d-------- C:\Program Files\Windows Media Connect 2 2007-02-12 14:59:11 0 d-------- C:\Program Files\Google 2007-01-29 09:58:06 60416 -----n— C:\WINDOWS\system32\tzchange.exe 2007-01-23 18:00:00 237568 --a------ C:\WINDOWS\system32\OggDS.dll 2007-01-23 17:59:58 921600 --a------ C:\WINDOWS\system32\vorbisenc.dll 2007-01-23 17:59:51 188416 --a------ C:\WINDOWS\system32\vorbis.dll 2007-01-23 17:59:49 45056 --a------ C:\WINDOWS\system32\ogg.dll 2007-01-23 17:59:48 1415680 --a------ C:\WINDOWS\system32\WMV9VCM.dll 2007-01-23 17:59:35 245760 --a------ C:\WINDOWS\system32\mplvpx.dll 2007-01-23 17:59:32 9216 --a------ C:\WINDOWS\system32\cpuinf32.dll 2007-01-22 11:06:16 0 d-------- C:\Documents and Settings\Mariusz\Dane aplikacji\Adobe 2007-01-22 11:01:54 0 d-------- C:\Program Files\Common Files\Adobe 2007-01-21 13:03:46 0 d-------- C:\Documents and Settings\Mariusz\Dane aplikacji\Sony Corporation 2007-01-21 13:01:53 0 d-------- C:\Program Files\Common Files\Sony Shared 2007-01-21 13:01:49 0 d-------- C:\Program Files\Sony 2007-01-21 13:01:49 0 d–h----- C:\Program Files\InstallShield Installation Information 2007-01-21 13:01:41 0 d-------- C:\Program Files\Sony Corporation 2007-01-21 13:00:52 151552 -----n— C:\WINDOWS\system32\pxwma.dll 2007-01-21 13:00:52 104960 -----n— C:\WINDOWS\system32\pxinsi64.exe 2007-01-21 13:00:52 108544 -----n— C:\WINDOWS\system32\pxcpyi64.exe 2007-01-21 13:00:13 0 d-------- C:\Program Files\Common Files\InstallShield 2007-01-18 12:12:59 0 d-------- C:\Program Files\Microsoft.NET 2007-01-18 09:46:07 0 d-------- C:\Documents and Settings\Mariusz\Dane aplikacji\Sun 2007-01-18 09:45:42 0 d-------- C:\Documents and Settings\Mariusz\Dane aplikacji\Google 2007-01-18 09:45:27 0 d-------- C:\Program Files\Java 2007-01-18 09:43:26 0 d-------- C:\Program Files\Common Files\Java 2007-01-17 16:59:47 0 d-------- C:\Program Files\CodeStuff 2007-01-17 16:16:41 0 d-------- C:\Program Files\Common Files\ODBC 2007-01-17 16:16:38 0 d-------- C:\Program Files\Common Files\SpeechEngines 2007-01-17 16:16:11 62 --ahs---- C:\Documents and Settings\Mariusz\Dane aplikacji\desktop.ini 2007-01-17 16:13:57 0 d-------- C:\Documents and Settings\Mariusz\Dane aplikacji\Macromedia 2007-01-17 16:11:23 0 d-------- C:\Program Files\SAGEM 2007-01-17 15:53:33 0 d-------- C:\Program Files\C-Media 3D Audio 2007-01-17 15:46:14 0 d-------- C:\Documents and Settings\Mariusz\Dane aplikacji\ATI 2007-01-17 15:43:34 0 d-------- C:\Program Files\ATI Technologies 2007-01-17 15:35:58 0 d-------- C:\Documents and Settings\Mariusz\Dane aplikacji\Identities 2007-01-17 15:29:43 0 d-------- C:\Program Files\microsoft frontpage 2007-01-17 15:29:17 0 -rahs---- C:\MSDOS.SYS 2007-01-17 15:29:17 0 -rahs---- C:\IO.SYS 2007-01-17 15:29:17 0 --a------ C:\CONFIG.SYS 2007-01-17 15:29:17 0 --a------ C:\AUTOEXEC.BAT 2007-01-17 15:27:45 0 d–h----- C:\Program Files\WindowsUpdate 2007-01-17 15:27:41 0 d-------- C:\Program Files\Usługi online 2007-01-17 15:26:53 0 d-------- C:\Program Files\Common Files\MSSoap 2007-01-17 15:26:45 0 d-------- C:\Program Files\Movie Maker 2007-01-17 15:25:49 21856 --a------ C:\WINDOWS\system32\emptyregdb.dat 2007-01-17 15:25:17 0 d-------- C:\Program Files\MSN Gaming Zone 2007-01-17 15:25:08 0 d-------- C:\Program Files\Windows NT 2007-01-12 09:27:42 232960 --a------ C:\WINDOWS\system32\webcheck.dll 2007-01-12 09:27:42 51712 -----n— C:\WINDOWS\system32\msfeedsbs.dll 2007-01-12 09:27:42 458752 -----n— C:\WINDOWS\system32\msfeeds.dll 2007-01-12 09:27:42 6054400 --a------ C:\WINDOWS\system32\ieframe.dll 2007-01-08 19:04:54 105984 --a------ C:\WINDOWS\system32\url.dll 2007-01-08 19:04:08 102400 --a------ C:\WINDOWS\system32\occache.dll 2007-01-08 19:02:04 266752 --a------ C:\WINDOWS\system32\iertutil.dll 2007-01-08 19:02:04 44544 --a------ C:\WINDOWS\system32\iernonce.dll 2007-01-08 19:02:02 384000 --a------ C:\WINDOWS\system32\iedkcs32.dll 2007-01-08 19:02:02 383488 -----n— C:\WINDOWS\system32\ieapfltr.dll 2007-01-08 19:02:02 161792 --a------ C:\WINDOWS\system32\ieakui.dll 2007-01-08 19:02:02 230400 --a------ C:\WINDOWS\system32\ieaksie.dll 2007-01-08 19:02:02 153088 --a------ C:\WINDOWS\system32\ieakeng.dll 2007-01-08 19:01:14 17408 --a------ C:\WINDOWS\system32\corpol.dll 2007-01-08 19:00:48 124928 --a------ C:\WINDOWS\system32\advpack.dll 2007-01-08 18:08:14 56832 --a------ C:\WINDOWS\system32\ie4uinit.exe 2007-01-08 18:08:10 13824 --a------ C:\WINDOWS\system32\ieudinit.exe 2006-12-19 22:51:04 135168 --a------ C:\WINDOWS\system32\shsvcs.dll 2006-12-19 19:18:25 334336 --a------ C:\WINDOWS\system32\wiaservc.dll – Registry Dump --------------------------------------------------------------- [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run] “CTFMON.EXE”=“C:\WINDOWS\system32\ctfmon.exe” [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run] “Cmaudio”=“RunDll32 cmicnfg.cpl,CMICtrlWnd” “kis”="“C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe”" @="" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL] “Installed”=“1” [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI] “Installed”=“1” “NoChange”=“1” [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS] “Installed”=“1” [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] “appinit_dlls”=“C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll” [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload] “WPDShServiceObj”="{AAA288BA-9A4C-45B0-95D7-94D524869DB5}" [HKEY_USERS.default\software\microsoft\windows\currentversion\run] “CTFMON.EXE”=“C:\WINDOWS\system32\CTFMON.EXE” @="" [HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run] “CTFMON.EXE”=“C:\WINDOWS\system32\CTFMON.EXE” @="" [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders] “SecurityProviders”=“msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll” SafeBoot registry key needs to be repaired. This machine cannot enter Safe Mode. [HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost] HTTPFilter REG_MULTI_SZ HTTPFilter\0\0 LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0 NetworkService REG_MULTI_SZ DnsCache\0\0 DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0 rpcss REG_MULTI_SZ RpcSs\0\0 imgsvc REG_MULTI_SZ StiSvc\0\0 termsvcs REG_MULTI_SZ TermService\0\0 WudfServiceGroup REG_MULTI_SZ WUDFSvc\0\0 – End of ComboScan: finished at 2007-03-15 at 15:16:45 ------------------------
JNJN
(JNJN)
15 Marzec 2007 14:39
#4
Proszę zmienić temat postu na konkretny,opcja zmień i popraw.JNJN
adam9870
(adam9870)
15 Marzec 2007 14:57
#5
Pobierz Gmer’a .
Teraz czynności będziesz wykonywał w Gmerze więc uruchom go, poczekaj chwilkę, kliknij na zakładkę >>> w celu otworzenia pozostałych.
W zakładce Procesy wybierz Gmer awaryjny. Komputer się uruchomi ponownie i zostanie samo okienko Gmer’a
W zakładce Usługi skasuj z prawokliku usługę m_hook
W zakładce Procesy kliknij Pliki i usuń (jeśli będzie)
Zrestartuj komputer ręcznie przyciskiem na obudowie
Zajrzyj tutaj .
Po wykonaniu wklej dwa logi z Gmer’a wykonane przy takich ustawieniach:
Zakładka Rootkit >>> zaznaczone wszystko oprócz Pokazuj wszystko >>> kliknij Szukaj >>> czekaj cierpliwie aż skończy >>> Kopiuj >>> wklej do posta
Zakładka Rootkit >>> zaznaczone tylko Usługi i Pokazuj wszystko >>> kliknij Szukaj >>> czekaj cierpliwie aż skończy >>> Kopiuj >>> wklej do posta
Jeśli wszystkie logi nie zmieszczą się bezpośrednio do posta, to umieść je w jakimś serwisie hostingowym jako pliki *.txt, a tu tylko zlinkuj.
http://forum.dobreprogramy.pl/viewtopic.php?t=96929
UPDATE:
Najpierw zrób to, co napisałem, a dopiero potem wklej logi z Gmer’a.
woam
(Amwilk)
15 Marzec 2007 16:12
#6
Uruchomiłem Gmer awaryjny, skasowałem usługę m_hook.sys ale przy próbie skasowania pliku wyskakuje błąd. Jak resetowałem komputer przyciskiem na obudowie to powracał go gomea awaryjnego a w usługach była usługa m_hook.
Safebot próbowałem naprawić metodą “hive” niestety tryb awaryjny dalej nie działa, po jego wyborze komputer się restartuje i wracamy ponownie do strony wyboru, naszczęście tryb normalny działa
adam9870
(adam9870)
15 Marzec 2007 16:14
#7
Wklej logi, o które prosiłem.
adam9870
(adam9870)
15 Marzec 2007 16:43
#9
W dalszym ciągu widać usługę rootkita:
Otwórz Notatnik i wklej w nim to:
Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.BAT
W Gmerze w zakładce Procesy kliknij Gmer awaryjny >>> komputer się uruchomi ponownie i zostanie samo okienko Gmer’a >>> w zakładce Procesy przez … (trzy kropki) wskaż plik FIX.BAT >>> przez chwilkę mignie ekran i nastąpi reset.
Po wykonaniu wklej nowe logi z Gmer’a.
adam9870
(adam9870)
15 Marzec 2007 19:27
#11
Nadal jest:
Pobierz The avenger . Wypakuj => uruchom => zaznacz opcję Input script manually => kliknij w lupkę => w okienku, które się otworzy wklej:
=> Kliknij klawisz Done => teraz kliknij na zielone światełko => powinna pojawić się pewna informacja i kliknij OK (teraz restart).
Po resecie może pojawić się okienko na dosłownie kilka sekund oraz log w notatniku. Wejdź tam gdzie masz avengera i skasuj plik backup.zip czyli np. c:\avenger\backup.zip.
Po wykonaniu pokaż nowy log z Gmer’a wykonany przy ustawieniu usługi + pokazuj wszystko, zawartość pliku c:\avenger.txt oraz wynik szukania w narzędziu RegSearch wyrażenia m_hook
woam
(Amwilk)
16 Marzec 2007 10:45
#12
Dzięki za wszystko już jest OK.