Mam kilka problemów:
http://www.wrzuta.pl/obraz/nxVmtjnPHe/
http://www.wrzuta.pl/obraz/9hY2MYNhd8/
Szukałem w wielu miejscach, podejmowałem różne próby,ale to na nic…
Cofałeś system ??
Co znaczy “cofać system”??
to znaczy, czy stosowałeś przywracanie systemu
Nie stosowałem tego. Ale jak się domyślam potrzeba płytę z z windowse, ale ja jej nie mam…
Nie stosowałem tego. Ale jak się domyślam potrzeba płytę z z windowse, ale ja jej nie mam…
Próbowałem już wiersz polecenia w trybie awaryjnym, program ComboFix, defragmentacja dysków… ale nic!
Hmm… Może znasz kogoś kto ma też tego samego windowsa… Jeżeli tak, to mógłbyś zastosować instalację naprawczą, która może rozwiązałaby problem… Tylko problem jest w tym, że to musi być tokładnie ten sam windows czyli musi być dokładnie ta sama kompilacja bo w przeciwnym razie instalator poinformuje Cię, że w napędzie jest inny windows…
Jaką masz kompilacje dowiesz się z programu informacje o systemie. Niestety musisz sam poszukać bo mam innego windowsa, więc nie jestem w stanie dokładnie Ci napisać gdzie to masz… Napewno to gdzieś jest w menu start
Albo najpierw srpubój zrobić właśnie przywracanie systemu. Tylko najlepiej będzie jak znajdziesz punkt który się nazywa punkt kontrolny systemu windows
Jak zrobić przywracanie systemu?
Po włączeniu komputera wciśnij klawisz F8, przed rozpoczęciem ładowania systemu. Następnie:
wybierz tryb awaryjny z wierszem polecenia.
wybierz system operacyjny, jeżeli Masz ich więcej.
Zaloguj się do systemu na konto z uprawnieniami administratora.
Wpisz c:\windows\system32\restore\rstrui.exe , gdzie na dysku C jest zainstalowany XP
Ja bym jednak podejrzewał wirusy, daj do sprawdzenia logi z programów HijackThis oraz combofix: viewtopic.php?f=16&t=36654
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:50:48, on 2008-08-25
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\VMSnap3.EXE
C:\WINDOWS\Domino.EXE
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\DNA\btdna.exe
C:\Program Files\Winamp Remote\bin\OrbTray.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\AVG\AVG8\avgrsx.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\CF23051.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
D:\Program Files\Gadu-Gadu\gg.exe
C:\Documents and Settings\a\Moje dokumenty\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://us.rd.yahoo.com/customize/ycomp/ … .yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
R3 - URLSearchHook: Winamp Search Class - {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Program Files\Winamp Toolbar\winamptb.dll
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Program Files\HP\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Program Files\HP\Smart Web Printing\hpswp_framework.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files\Winamp Toolbar\winamptb.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - D:\Program Files\FlashGet\jccatch.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Mario Forever Toolbar Helper - {8036D4D7-AAD3-4793-AB49-329E437155A8} - C:\Program Files\Mario Forever Toolbar\v2.0.0.4\Mario_Forever_Toolbar.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: MegaIEMn - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - D:\Program Files\Megaupload\Mega Manager\MegaIEMn.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - D:\Program Files\FlashGet\getflash.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Mario Forever Toolbar - {463DF6D5-BEC1-4d67-B217-59DB692DFC53} - C:\Program Files\Mario Forever Toolbar\v2.0.0.4\Mario_Forever_Toolbar.dll (file missing)
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll
O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL
O3 - Toolbar: Steganos Internet Anonym - {00000000-5736-4205-0008-f7ed0776fb27} - c:\program files\steganos internet anonym 2006\sia2006iep.dll (file missing)
O3 - Toolbar: FreshDownload Bar - {ED0E8CA5-42FB-4B18-997B-769E0408E79D} - C:\PROGRA~1\FRESHD~1\FRESHD~1\fdiebar.dll (file missing)
O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM…\Run: [nwiz] nwiz.exe /install
O4 - HKLM…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM…\Run: [RemoteControl] “C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe”
O4 - HKLM…\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM…\Run: [soundMan] SOUNDMAN.EXE
O4 - HKLM…\Run: [VMSnap3] C:\WINDOWS\VMSnap3.EXE
O4 - HKLM…\Run: [Domino] C:\WINDOWS\Domino.EXE
O4 - HKLM…\Run: [sunJavaUpdateSched] “C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe”
O4 - HKLM…\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM…\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM…\Run: [Adobe Reader Speed Launcher] “C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe”
O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU…\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] “C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe”
O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background
O4 - HKCU…\Run: [Gadu-Gadu] “D:\Program Files\Gadu-Gadu\gg.exe” /tray
O4 - HKCU…\Run: [bitTorrent DNA] “C:\Program Files\DNA\btdna.exe”
O4 - HKCU…\Run: [Orb] “C:\Program Files\Winamp Remote\bin\OrbTray.exe” /background
O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA LOKALNA’)
O4 - HKUS\S-1-5-19…\RunOnce: [sIA2006] “C:\Program Files\Steganos Internet Anonym 2006\SIA2006.exe” -firstboot (User ‘USŁUGA LOKALNA’)
O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA SIECIOWA’)
O4 - HKUS\S-1-5-20…\RunOnce: [sIA2006] “C:\Program Files\Steganos Internet Anonym 2006\SIA2006.exe” -firstboot (User ‘USŁUGA SIECIOWA’)
O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’)
O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’)
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: &Winamp Search - C:\Documents and Settings\All Users\Dane aplikacji\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O8 - Extra context menu item: &Ściągnij przy pomocy FlashGet’a - D:\PROGRA~1\FlashGet\jc_link.htm
O8 - Extra context menu item: &Ściągnij wszystko przy pomocy FlashGet’a - D:\PROGRA~1\FlashGet\jc_all.htm
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Kolekcja wycinków HP - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Zaznaczanie HP Smart - {700259D7-1666-479a-93B1-3250410481E8} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FreshDownload - {BD1CC818-DFC3-4B73-8043-9DC0549E8599} - C:\Program Files\FreshDevices\FreshDownload\fd.exe (file missing)
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\Program Files\FlashGet\FlashGet.exe
O9 - Extra ‘Tools’ menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\Program Files\FlashGet\FlashGet.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip…{187A6125-09DF-4107-9400-A29BBF5BB6CA}: NameServer = 192.168.1.254,194.114.149.11
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: WinFast® Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Unknown owner - C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe (file missing)
–
End of file - 9905 bytes
to był HijackThis
a teraz combofix:
ComboFix 08-08-24.02 - a 2008-08-25 13:26:41.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.160 [GMT 2:00]
Running from: C:\Documents and Settings\a\Pulpit\ComboFix.exe
Command switches used :: C:\Documents and Settings\a\Pulpit\CFScript.txt
* Created a new restore point
* Resident AV is active
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED
FILE ::
C:\Documents and Settings\a\Menu Start\Programy\IE AntiVirus 3.3.lnk
C:\Recycled\Recycled
C:\WINDOWS\clofghls.dll
C:\WINDOWS\lsass.exe
C:\WINDOWS\system32\AutoRun.inf
.
((((((((((((((((((((((((( Files Created from 2008-07-25 to 2008-08-25 )))))))))))))))))))))))))))))))
.
2008-08-21 17:35 . 2008-08-25 13:29
2008-08-21 17:35 . 2008-02-06 16:02
2008-08-21 17:35 . 2008-02-06 15:23
2008-08-21 17:35 . 2008-02-06 16:02
2008-08-21 17:35 . 2008-02-06 16:02
2008-08-21 17:35 . 2008-02-06 16:02
2008-08-21 17:35 . 2008-02-06 16:02
2008-08-21 17:35 . 2008-08-21 17:35
2008-08-20 14:18 . 2008-08-20 14:18 98,304 --a------ C:\WINDOWS\system32\CmdLineExt.dll
2008-08-19 21:07 . 2008-08-19 21:07
2008-08-19 08:29 . 2008-08-19 08:29
2008-08-16 17:23 . 2008-08-16 17:23
2008-08-16 17:16 . 2008-08-16 17:16
2008-08-16 16:06 . 2008-08-16 16:06
2008-08-16 16:02 . 2008-08-16 16:05
2008-08-16 16:01 . 2008-08-16 16:01
2008-08-08 09:57 . 2008-08-08 09:57
2008-08-08 09:57 . 2008-08-08 10:08
2008-08-07 14:35 . 2008-08-08 09:21
2008-08-07 14:35 . 2008-08-07 14:36
2008-08-07 13:49 . 2008-08-07 13:49
2008-08-07 13:43 . 2008-08-07 13:44
2008-08-06 17:27 . 2008-08-25 13:26
2008-08-06 12:52 . 2008-08-25 10:50
2008-08-06 12:52 . 2008-08-06 12:52
2008-08-06 12:52 . 2008-08-08 18:55 96,520 --a------ C:\WINDOWS\system32\drivers\avgldx86.sys
2008-08-06 12:52 . 2008-08-06 12:52 10,520 --a------ C:\WINDOWS\system32\avgrsstx.dll.old
2008-08-06 12:52 . 2008-08-08 18:55 10,520 --a------ C:\WINDOWS\system32\avgrsstx.dll
2008-08-04 18:28 . 2008-08-05 13:16
2008-08-04 18:27 . 2008-08-04 18:27
2008-08-04 17:40 . 2008-08-04 17:40
2008-07-30 14:54 . 2001-06-24 17:32 172,032 --a------ C:\WINDOWS\JAPI2.DLL
2008-07-30 14:54 . 1999-07-26 10:47 109,840 --a------ C:\WINDOWS\VidCap32.exe
2008-07-30 14:54 . 2002-05-28 09:52 106,496 --a------ C:\WINDOWS\JAPI.DLL
2008-07-30 14:54 . 2004-12-03 12:19 102,400 --a------ C:\WINDOWS\MMVEM.EXE
2008-07-30 14:54 . 1999-10-24 10:25 20,992 --a------ C:\WINDOWS\MMVCB.AX
2008-07-30 14:46 . 2008-07-30 14:46
2008-07-30 14:46 . 2008-07-30 14:46
2008-07-30 14:46 . 2006-04-25 10:57 428,160 --a------ C:\WINDOWS\system32\drivers\vmfilter303.sys
2008-07-30 14:46 . 2006-02-23 20:39 40,960 --a------ C:\WINDOWS\system32\setupfilter.exe
2008-07-29 12:28 . 2006-06-26 02:49 1,867,776 --a------ C:\WINDOWS\system32\python24.dll
2008-07-29 12:28 . 2006-06-26 02:49 1,867,776 --a------ C:\WINDOWS\python24.dll
2008-07-29 12:27 . 2008-07-29 12:45
2008-07-28 17:03 . 2008-07-28 17:03
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-25 11:28 --------- d-----w C:\Documents and Settings\a\Dane aplikacji\DNA
2008-08-21 15:33 --------- d-----w C:\Documents and Settings\a\Dane aplikacji\BitTorrent
2008-08-21 15:06 --------- d-----w C:\Program Files\Tibia
2008-08-20 12:29 --------- d–h--w C:\Program Files\InstallShield Installation Information
2008-08-20 08:38 --------- d-----w C:\Program Files\Common Files\Adobe
2008-08-16 13:39 --------- d-----w C:\Documents and Settings\a\Dane aplikacji\MegauploadToolbar
2008-08-09 10:21 --------- d-----w C:\Documents and Settings\a\Dane aplikacji\Xfire
2008-08-07 11:48 --------- d-----w C:\Program Files\MegauploadToolbar
2008-08-07 08:49 --------- d—a-w C:\Documents and Settings\All Users\Dane aplikacji\TEMP
2008-08-04 11:37 --------- d-----w C:\Program Files\Common Files\Wise Installation Wizard
2008-08-04 11:36 --------- d-----w C:\Program Files\AGEIA Technologies
2008-08-01 10:51 --------- d-----w C:\Documents and Settings\a\Dane aplikacji\Skype
2008-08-01 10:36 --------- d-----w C:\Documents and Settings\a\Dane aplikacji\skypePM
2008-07-29 15:10 --------- d-----w C:\Documents and Settings\a\Dane aplikacji\Tibia
2008-07-16 10:28 --------- d-----w C:\Program Files\Cossacks 2 - Battle for Europe
2008-07-01 09:57 --------- d-----w C:\Program Files\Winamp
2008-07-01 09:56 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\OrbNetworks
2008-07-01 09:55 --------- d-----w C:\Program Files\Winamp Toolbar
2008-07-01 09:55 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Winamp Toolbar
2008-07-01 09:54 --------- d-----w C:\Program Files\Winamp Remote
2008-06-26 20:10 42,320 ----a-w C:\WINDOWS\system32\xfcodec.dll
2008-06-26 12:05 --------- d-----w C:\Documents and Settings\LocalService\Dane aplikacji\HPAppData
2008-06-26 11:34 406,418 ----a-w C:\WINDOWS\Mario_Forever_Toolbar_Uninstaller_1281.exe
2008-02-07 09:00 32 ----a-w C:\Documents and Settings\All Users\Dane aplikacji\ezsid.dat
.
------- Sigcheck -------
2004-08-03 23:14 359040 9f4b36614a0fc234525ba224957de55c C:\WINDOWS\system32\dllcache\tcpip.sys
2004-08-03 23:14 359040 6a603809f598332dbedd535bdbce313e C:\WINDOWS\system32\drivers\tcpip.sys
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries legit default entries are not shown
REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
“{57BCA5FA-5DBB-45a2-B558-1755C3F6253B}”= “C:\Program Files\Winamp Toolbar\winamptb.dll” [2008-03-20 00:36 1267040]
[HKEY_CLASSES_ROOT\clsid{57bca5fa-5dbb-45a2-b558-1755c3f6253b}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLTBSearch.1]
[HKEY_CLASSES_ROOT\TypeLib{538CD77C-BFDD-49b0-9562-77419CAB89D1}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLTBSearch]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“CTFMON.EXE”=“C:\WINDOWS\system32\ctfmon.exe” [2004-08-04 00:44 15360]
“BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}”=“C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe” [2006-06-01 14:32 94208]
“MSMSGS”=“C:\Program Files\Messenger\msmsgs.exe” [2004-08-04 01:55 1667584]
“Gadu-Gadu”=“D:\Program Files\Gadu-Gadu\gg.exe” [2007-11-14 12:54 2131392]
“BitTorrent DNA”=“C:\Program Files\DNA\btdna.exe” [2008-06-13 13:55 289088]
“Orb”=“C:\Program Files\Winamp Remote\bin\OrbTray.exe” [2008-04-01 03:54 507904]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“NvCplDaemon”=“C:\WINDOWS\system32\NvCpl.dll” [2005-07-20 22:07 7110656]
“NvMediaCenter”=“C:\WINDOWS\system32\NvMcTray.dll” [2005-07-20 22:07 86016]
“RemoteControl”=“C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe” [2003-10-31 20:42 32768]
“NeroFilterCheck”=“C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe” [2006-01-12 17:40 155648]
“VMSnap3”=“C:\WINDOWS\VMSnap3.EXE” [2006-08-30 10:58 49152]
“Domino”=“C:\WINDOWS\Domino.EXE” [2006-06-28 17:54 49152]
“SunJavaUpdateSched”=“C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe” [2007-09-25 02:11 132496]
“HP Software Update”=“C:\Program Files\HP\HP Software Update\HPWuSchd2.exe” [2007-03-11 21:34 49152]
“AVG8_TRAY”=“C:\PROGRA~1\AVG\AVG8\avgtray.exe” [2008-08-08 18:55 1232152]
“Adobe Reader Speed Launcher”=“C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe” [2008-06-12 02:38 34672]
“nwiz”=“nwiz.exe” [2005-07-20 22:07 1519616 C:\WINDOWS\system32\nwiz.exe]
“SoundMan”=“SOUNDMAN.EXE” [2006-08-03 06:12 577536 C:\WINDOWS\soundman.exe]
[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
“CTFMON.EXE”=“C:\WINDOWS\system32\CTFMON.EXE” [2004-08-04 00:44 15360]
“swg”=“C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe” [2008-02-07 10:39 171448]
C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\
HP Digital Imaging Monitor.lnk - C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe [2007-03-11 21:26:24 210520]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
“AppInit_DLLs”=avgrsstx.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
“VIDC.XFR1”= xfcodec.dll
[HKLM~\startupfolder\C:^Documents and Settings^a^Menu Start^Programy^Autostart^Xfire.lnk]
path=C:\Documents and Settings\a\Menu Start\Programy\Autostart\Xfire.lnk
backup=C:\WINDOWS\pss\Xfire.lnkStartup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Flashget]
–a------ 2007-09-25 10:10 2007088 D:\Program Files\FlashGet\flashget.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Gadu-Gadu]
–a------ 2007-11-14 12:54 2131392 D:\Program Files\Gadu-Gadu\gg.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2004-08-04 01:55 1667584 C:\Program Files\Messenger\msmsgs.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
-ra------ 2008-02-01 18:22 21898024 C:\Program Files\Skype\Phone\Skype.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
–a------ 2008-02-07 10:39 171448 C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Winamp Agent]
–a------ 2008-04-01 20:49 36352 C:\Program Files\Winamp\winampa.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
“wuauserv”=2 (0x2)
[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
“%windir%\system32\sessmgr.exe”=
“D:\Program Files\FlashGet\flashget.exe”=
“D:\Program Files\Gadu-Gadu\gg.exe”=
“D:\Program Files\EA GAMES\MOHAA\MOHAA.exe”=
“D:\Program Files\Xfire\xfire.exe”=
“D:\Program Files\GameSpy Arcade\Aphex.exe”=
“C:\Program Files\Nero\Nero 7\Nero Home\NeroHome.exe”=
“C:\Program Files\DNA\btdna.exe”=
“C:\Program Files\BitTorrent\bittorrent.exe”=
“D:\Program Files\Snikers\Snikers.exe”=
“C:\Program Files\Winamp Remote\bin\Orb.exe”=
“C:\Program Files\Winamp Remote\bin\OrbTray.exe”=
“C:\Program Files\Winamp Remote\bin\OrbStreamerClient.exe”=
“C:\Program Files\Skype\Phone\Skype.exe”=
“C:\Program Files\AVG\AVG8\avgupd.exe”=
“C:\Documents and Settings\a\Moje dokumenty\Quake[CVR.pl]\ID1\qwcl.exe”=
“C:\q3test-1.08\quake3.exe”=
[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
“8461:TCP”= 8461:TCP:GoD High Port
“8462:TCP”= 8462:TCP:GoD Low Port
R1 AvgLdx86;AVG AVI Loader Driver x86;C:\WINDOWS\system32\Drivers\avgldx86.sys [2008-08-08 18:55]
R2 avg8wd;AVG8 WatchDog;C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe [2008-08-08 18:55]
S1 ShldDrv;Panda File Shield Driver;C:\WINDOWS\system32\DRIVERS\ShlDrv51.sys []
S2 PavProc;Panda Process Protection Driver;C:\WINDOWS\system32\DRIVERS\PavProc.sys []
S3 vvftav303;vvftav303;C:\WINDOWS\system32\drivers\vvftav303.sys [2007-06-23 07:45]
S3 XDva098;XDva098;C:\WINDOWS\system32\XDva098.sys []
S3 ZSMC0303;A4 TECH PC Camera H;C:\WINDOWS\system32\Drivers\usbVM303.sys [2006-12-01 14:23]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-25 13:29:51
Windows 5.1.2600 Dodatek Service Pack 2 NTFS
scanning hidden processes …
scanning hidden autostart entries …
scanning hidden files …
scan completed successfully
hidden files: 0
**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------
PROCESS: C:\WINDOWS\system32\lsass.exe
.
Completion time: 2008-08-25 13:35:34
ComboFix-quarantined-files.txt 2008-08-25 11:35:04
ComboFix2.txt 2008-08-25 11:12:10
Pre-Run: 8,760,684,544 bajtów wolnych
Post-Run: 8,749,023,232 bajtów wolnych
201
Co z tego wyczytasz?
Moim zdaniem log z hijacka jest czysty…
FILE ::
C:\Documents and Settings\a\Menu Start\Programy\IE AntiVirus 3.3.lnk
C:\Recycled\Recycled
C:\WINDOWS\clofghls.dll
C:\WINDOWS\lsass.exe
C:\WINDOWS\system32\AutoRun.inf
A jednak coś w ystemie siedzi albo siedziało…
fix w hijackthis
Pobierz ComboFix, ale nie uruchamiaj
Otwórz notatnik i wklej do niego:
Driver::
ShldDrv
PavProc
XDva098
Plik -> zapisz jako -> CFScript.txt.
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->
Rozpocznie się usuwanie i powstanie log, który dasz na forum.
Logi dajesz na http://wklej.eu lub na http://wklej.org a w poście dajesz tylko link
I jak mam to coś usunąc? AVG mi to czsami wykrył… ale nie wiem jak to usunąc albo cos…
włącz HijackThis >> Do a system scan only >> zaznacz w okienku podane wpisy >> klik na Fix checked
A później po kolei(W czasie pobierania i skanowania combofixem zamknij wszelkie programy ochronne (Antywirusa, zaporę)) wykonuj wskazówki z comobfixem
Log z ComboFix. Poprzedni log(na 1 stronie ) jest tez z ComboFix, ale wpisałem co innego w notatniku…
zobaczymy co z tego wyjdzie.
Siedzi. 
Wklej do Notatnika :
File::
C:\WINDOWS\system32\XDva098.sys
C:\WINDOWS\lsass.exe
Driver::
XDva098
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"lsass.exe"=-
>>Plik>>Zapisz jako… >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
–>
Ma się rozpocząć usuwanie. (i powstanie log).Daj ten log, który powstanie w trakcie usuwania.
Jeśli pójdzie dobrze, to: Po restarcie usuń ręcznie folder C:** Qoobox.**
==========================
K.