Problemy w Windows xp


(Kaszok1235) #1

Mam kilka problemów:

  1. Po uruchomieniu systemu CZASAMI wyskakuje mi błąd:

http://www.wrzuta.pl/obraz/nxVmtjnPHe/

  1. Po kliknięciu PPM na jakąś ikonę, lub przy kliknięciu Ctrl+D lub Ctrl+D pojawia się:

Szukałem w wielu miejscach, podejmowałem różne próby,ale to na nic...


(Adwody1) #2

Cofałeś system ??


(Kaszok1235) #3

Co znaczy "cofać system"??


(Piotrkijak) #4

to znaczy, czy stosowałeś przywracanie systemu


(Kaszok1235) #5

Nie stosowałem tego. Ale jak się domyślam potrzeba płytę z z windowse, ale ja jej nie mam...


(Kaszok1235) #6

Nie stosowałem tego. Ale jak się domyślam potrzeba płytę z z windowse, ale ja jej nie mam...


(Kaszok1235) #7

Próbowałem już wiersz polecenia w trybie awaryjnym, program ComboFix, defragmentacja dysków... ale nic!


(Piotrkijak) #8

Hmm... Może znasz kogoś kto ma też tego samego windowsa... Jeżeli tak, to mógłbyś zastosować instalację naprawczą, która może rozwiązałaby problem... Tylko problem jest w tym, że to musi być tokładnie ten sam windows czyli musi być dokładnie ta sama kompilacja bo w przeciwnym razie instalator poinformuje Cię, że w napędzie jest inny windows...


(Piotrkijak) #9

Jaką masz kompilacje dowiesz się z programu informacje o systemie. Niestety musisz sam poszukać bo mam innego windowsa, więc nie jestem w stanie dokładnie Ci napisać gdzie to masz... Napewno to gdzieś jest w menu start


(Piotrkijak) #10

Albo najpierw srpubój zrobić właśnie przywracanie systemu. Tylko najlepiej będzie jak znajdziesz punkt który się nazywa punkt kontrolny systemu windows


(Kaszok1235) #11

Jak zrobić przywracanie systemu?


(Cosik Ktosik) #12

Po włączeniu komputera wciśnij klawisz F8, przed rozpoczęciem ładowania systemu. Następnie:

  • wybierz tryb awaryjny z wierszem polecenia.

  • wybierz system operacyjny, jeżeli Masz ich więcej.

  • Zaloguj się do systemu na konto z uprawnieniami administratora.

  • Wpisz c:\windows\system32\restore\rstrui.exe , gdzie na dysku C jest zainstalowany XP

Ja bym jednak podejrzewał wirusy, daj do sprawdzenia logi z programów HijackThis oraz combofix: viewtopic.php?f=16&t=36654


(Kaszok1235) #13

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 14:50:48, on 2008-08-25

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\VMSnap3.EXE

C:\WINDOWS\Domino.EXE

C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

C:\PROGRA~1\AVG\AVG8\avgtray.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\DNA\btdna.exe

C:\Program Files\Winamp Remote\bin\OrbTray.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe

C:\WINDOWS\system32\notepad.exe

C:\Program Files\AVG\AVG8\avgrsx.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\CF23051.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\system32\notepad.exe

D:\Program Files\Gadu-Gadu\gg.exe

C:\Documents and Settings\a\Moje dokumenty\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://us.rd.yahoo.com/customize/ycomp/ ... .yahoo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - URLSearchHook: Winamp Search Class - {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Program Files\Winamp Toolbar\winamptb.dll

O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Program Files\HP\Smart Web Printing\hpswp_printenhancer.dll

O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Program Files\HP\Smart Web Printing\hpswp_framework.dll

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files\Winamp Toolbar\winamptb.dll

O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - D:\Program Files\FlashGet\jccatch.dll

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll

O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: Mario Forever Toolbar Helper - {8036D4D7-AAD3-4793-AB49-329E437155A8} - C:\Program Files\Mario Forever Toolbar\v2.0.0.4\Mario_Forever_Toolbar.dll (file missing)

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O2 - BHO: MegaIEMn - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - D:\Program Files\Megaupload\Mega Manager\MegaIEMn.dll

O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - D:\Program Files\FlashGet\getflash.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: Mario Forever Toolbar - {463DF6D5-BEC1-4d67-B217-59DB692DFC53} - C:\Program Files\Mario Forever Toolbar\v2.0.0.4\Mario_Forever_Toolbar.dll (file missing)

O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll

O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL

O3 - Toolbar: Steganos Internet Anonym - {00000000-5736-4205-0008-f7ed0776fb27} - c:\program files\steganos internet anonym 2006\sia2006iep.dll (file missing)

O3 - Toolbar: FreshDownload Bar - {ED0E8CA5-42FB-4B18-997B-769E0408E79D} - C:\PROGRA~1\FRESHD~1\FRESHD~1\fdiebar.dll (file missing)

O4 - HKLM..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM..\Run: [nwiz] nwiz.exe /install

O4 - HKLM..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe

O4 - HKLM..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM..\Run: [VMSnap3] C:\WINDOWS\VMSnap3.EXE

O4 - HKLM..\Run: [Domino] C:\WINDOWS\Domino.EXE

O4 - HKLM..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKLM..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe

O4 - HKLM..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKCU..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU..\Run: [Gadu-Gadu] "D:\Program Files\Gadu-Gadu\gg.exe" /tray

O4 - HKCU..\Run: [bitTorrent DNA] "C:\Program Files\DNA\btdna.exe"

O4 - HKCU..\Run: [Orb] "C:\Program Files\Winamp Remote\bin\OrbTray.exe" /background

O4 - HKUS\S-1-5-19..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-19..\RunOnce: [sIA2006] "C:\Program Files\Steganos Internet Anonym 2006\SIA2006.exe" -firstboot (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-20..\RunOnce: [sIA2006] "C:\Program Files\Steganos Internet Anonym 2006\SIA2006.exe" -firstboot (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-18..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS.DEFAULT..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O8 - Extra context menu item: &Winamp Search - C:\Documents and Settings\All Users\Dane aplikacji\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html

O8 - Extra context menu item: &Ściągnij przy pomocy FlashGet'a - D:\PROGRA~1\FlashGet\jc_link.htm

O8 - Extra context menu item: &Ściągnij wszystko przy pomocy FlashGet'a - D:\PROGRA~1\FlashGet\jc_all.htm

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Kolekcja wycinków HP - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll

O9 - Extra button: Zaznaczanie HP Smart - {700259D7-1666-479a-93B1-3250410481E8} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: FreshDownload - {BD1CC818-DFC3-4B73-8043-9DC0549E8599} - C:\Program Files\FreshDevices\FreshDownload\fd.exe (file missing)

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\Program Files\FlashGet\FlashGet.exe

O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\Program Files\FlashGet\FlashGet.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip..{187A6125-09DF-4107-9400-A29BBF5BB6CA}: NameServer = 192.168.1.254,194.114.149.11

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: WinFast® Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Panda Process Protection Service (PavPrSrv) - Unknown owner - C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe (file missing)

--

End of file - 9905 bytes

to był HijackThis

a teraz combofix:

ComboFix 08-08-24.02 - a 2008-08-25 13:26:41.3 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.160 [GMT 2:00]

Running from: C:\Documents and Settings\a\Pulpit\ComboFix.exe

Command switches used :: C:\Documents and Settings\a\Pulpit\CFScript.txt

* Created a new restore point

* Resident AV is active

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED!!

FILE ::

C:\Documents and Settings\a\Menu Start\Programy\IE AntiVirus 3.3.lnk

C:\Recycled\Recycled

C:\WINDOWS\clofghls.dll

C:\WINDOWS\lsass.exe

C:\WINDOWS\system32\AutoRun.inf

.

((((((((((((((((((((((((( Files Created from 2008-07-25 to 2008-08-25 )))))))))))))))))))))))))))))))

.

2008-08-21 17:35 . 2008-08-25 13:29

2008-08-21 17:35 . 2008-02-06 16:02

2008-08-21 17:35 . 2008-02-06 15:23

2008-08-21 17:35 . 2008-02-06 16:02

2008-08-21 17:35 . 2008-02-06 16:02

2008-08-21 17:35 . 2008-02-06 16:02

2008-08-21 17:35 . 2008-02-06 16:02

2008-08-21 17:35 . 2008-08-21 17:35

2008-08-20 14:18 . 2008-08-20 14:18 98,304 --a------ C:\WINDOWS\system32\CmdLineExt.dll

2008-08-19 21:07 . 2008-08-19 21:07

2008-08-19 08:29 . 2008-08-19 08:29

2008-08-16 17:23 . 2008-08-16 17:23

2008-08-16 17:16 . 2008-08-16 17:16

2008-08-16 16:06 . 2008-08-16 16:06

2008-08-16 16:02 . 2008-08-16 16:05

2008-08-16 16:01 . 2008-08-16 16:01

2008-08-08 09:57 . 2008-08-08 09:57

2008-08-08 09:57 . 2008-08-08 10:08

2008-08-07 14:35 . 2008-08-08 09:21

2008-08-07 14:35 . 2008-08-07 14:36

2008-08-07 13:49 . 2008-08-07 13:49

2008-08-07 13:43 . 2008-08-07 13:44

2008-08-06 17:27 . 2008-08-25 13:26

2008-08-06 12:52 . 2008-08-25 10:50

2008-08-06 12:52 . 2008-08-06 12:52

2008-08-06 12:52 . 2008-08-08 18:55 96,520 --a------ C:\WINDOWS\system32\drivers\avgldx86.sys

2008-08-06 12:52 . 2008-08-06 12:52 10,520 --a------ C:\WINDOWS\system32\avgrsstx.dll.old

2008-08-06 12:52 . 2008-08-08 18:55 10,520 --a------ C:\WINDOWS\system32\avgrsstx.dll

2008-08-04 18:28 . 2008-08-05 13:16

2008-08-04 18:27 . 2008-08-04 18:27

2008-08-04 17:40 . 2008-08-04 17:40

2008-07-30 14:54 . 2001-06-24 17:32 172,032 --a------ C:\WINDOWS\JAPI2.DLL

2008-07-30 14:54 . 1999-07-26 10:47 109,840 --a------ C:\WINDOWS\VidCap32.exe

2008-07-30 14:54 . 2002-05-28 09:52 106,496 --a------ C:\WINDOWS\JAPI.DLL

2008-07-30 14:54 . 2004-12-03 12:19 102,400 --a------ C:\WINDOWS\MMVEM.EXE

2008-07-30 14:54 . 1999-10-24 10:25 20,992 --a------ C:\WINDOWS\MMVCB.AX

2008-07-30 14:46 . 2008-07-30 14:46

2008-07-30 14:46 . 2008-07-30 14:46

2008-07-30 14:46 . 2006-04-25 10:57 428,160 --a------ C:\WINDOWS\system32\drivers\vmfilter303.sys

2008-07-30 14:46 . 2006-02-23 20:39 40,960 --a------ C:\WINDOWS\system32\setupfilter.exe

2008-07-29 12:28 . 2006-06-26 02:49 1,867,776 --a------ C:\WINDOWS\system32\python24.dll

2008-07-29 12:28 . 2006-06-26 02:49 1,867,776 --a------ C:\WINDOWS\python24.dll

2008-07-29 12:27 . 2008-07-29 12:45

2008-07-28 17:03 . 2008-07-28 17:03

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-08-25 11:28 --------- d-----w C:\Documents and Settings\a\Dane aplikacji\DNA

2008-08-21 15:33 --------- d-----w C:\Documents and Settings\a\Dane aplikacji\BitTorrent

2008-08-21 15:06 --------- d-----w C:\Program Files\Tibia

2008-08-20 12:29 --------- d--h--w C:\Program Files\InstallShield Installation Information

2008-08-20 08:38 --------- d-----w C:\Program Files\Common Files\Adobe

2008-08-16 13:39 --------- d-----w C:\Documents and Settings\a\Dane aplikacji\MegauploadToolbar

2008-08-09 10:21 --------- d-----w C:\Documents and Settings\a\Dane aplikacji\Xfire

2008-08-07 11:48 --------- d-----w C:\Program Files\MegauploadToolbar

2008-08-07 08:49 --------- d---a-w C:\Documents and Settings\All Users\Dane aplikacji\TEMP

2008-08-04 11:37 --------- d-----w C:\Program Files\Common Files\Wise Installation Wizard

2008-08-04 11:36 --------- d-----w C:\Program Files\AGEIA Technologies

2008-08-01 10:51 --------- d-----w C:\Documents and Settings\a\Dane aplikacji\Skype

2008-08-01 10:36 --------- d-----w C:\Documents and Settings\a\Dane aplikacji\skypePM

2008-07-29 15:10 --------- d-----w C:\Documents and Settings\a\Dane aplikacji\Tibia

2008-07-16 10:28 --------- d-----w C:\Program Files\Cossacks 2 - Battle for Europe

2008-07-01 09:57 --------- d-----w C:\Program Files\Winamp

2008-07-01 09:56 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\OrbNetworks

2008-07-01 09:55 --------- d-----w C:\Program Files\Winamp Toolbar

2008-07-01 09:55 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Winamp Toolbar

2008-07-01 09:54 --------- d-----w C:\Program Files\Winamp Remote

2008-06-26 20:10 42,320 ----a-w C:\WINDOWS\system32\xfcodec.dll

2008-06-26 12:05 --------- d-----w C:\Documents and Settings\LocalService\Dane aplikacji\HPAppData

2008-06-26 11:34 406,418 ----a-w C:\WINDOWS\Mario_Forever_Toolbar_Uninstaller_1281.exe

2008-02-07 09:00 32 ----a-w C:\Documents and Settings\All Users\Dane aplikacji\ezsid.dat

.

------- Sigcheck -------

2004-08-03 23:14 359040 9f4b36614a0fc234525ba224957de55c C:\WINDOWS\system32\dllcache\tcpip.sys

2004-08-03 23:14 359040 6a603809f598332dbedd535bdbce313e C:\WINDOWS\system32\drivers\tcpip.sys

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries legit default entries are not shown

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]

"{57BCA5FA-5DBB-45a2-B558-1755C3F6253B}"= "C:\Program Files\Winamp Toolbar\winamptb.dll" [2008-03-20 00:36 1267040]

[HKEY_CLASSES_ROOT\clsid{57bca5fa-5dbb-45a2-b558-1755c3f6253b}]

[HKEY_CLASSES_ROOT\WINAMPTB.AOLTBSearch.1]

[HKEY_CLASSES_ROOT\TypeLib{538CD77C-BFDD-49b0-9562-77419CAB89D1}]

[HKEY_CLASSES_ROOT\WINAMPTB.AOLTBSearch]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:44 15360]

"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe" [2006-06-01 14:32 94208]

"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-08-04 01:55 1667584]

"Gadu-Gadu"="D:\Program Files\Gadu-Gadu\gg.exe" [2007-11-14 12:54 2131392]

"BitTorrent DNA"="C:\Program Files\DNA\btdna.exe" [2008-06-13 13:55 289088]

"Orb"="C:\Program Files\Winamp Remote\bin\OrbTray.exe" [2008-04-01 03:54 507904]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-07-20 22:07 7110656]

"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2005-07-20 22:07 86016]

"RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [2003-10-31 20:42 32768]

"NeroFilterCheck"="C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe" [2006-01-12 17:40 155648]

"VMSnap3"="C:\WINDOWS\VMSnap3.EXE" [2006-08-30 10:58 49152]

"Domino"="C:\WINDOWS\Domino.EXE" [2006-06-28 17:54 49152]

"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 02:11 132496]

"HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd2.exe" [2007-03-11 21:34 49152]

"AVG8_TRAY"="C:\PROGRA~1\AVG\AVG8\avgtray.exe" [2008-08-08 18:55 1232152]

"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 02:38 34672]

"nwiz"="nwiz.exe" [2005-07-20 22:07 1519616 C:\WINDOWS\system32\nwiz.exe]

"SoundMan"="SOUNDMAN.EXE" [2006-08-03 06:12 577536 C:\WINDOWS\soundman.exe]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 00:44 15360]

"swg"="C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe" [2008-02-07 10:39 171448]

C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\

HP Digital Imaging Monitor.lnk - C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe [2007-03-11 21:26:24 210520]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

"AppInit_DLLs"=avgrsstx.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"VIDC.XFR1"= xfcodec.dll

[HKLM\~\startupfolder\C:^Documents and Settings^a^Menu Start^Programy^Autostart^Xfire.lnk]

path=C:\Documents and Settings\a\Menu Start\Programy\Autostart\Xfire.lnk

backup=C:\WINDOWS\pss\Xfire.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Flashget]

--a------ 2007-09-25 10:10 2007088 D:\Program Files\FlashGet\flashget.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Gadu-Gadu]

--a------ 2007-11-14 12:54 2131392 D:\Program Files\Gadu-Gadu\gg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]

--------- 2004-08-04 01:55 1667584 C:\Program Files\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]

-ra------ 2008-02-01 18:22 21898024 C:\Program Files\Skype\Phone\Skype.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]

--a------ 2008-02-07 10:39 171448 C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Winamp Agent]

--a------ 2008-04-01 20:49 36352 C:\Program Files\Winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"wuauserv"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\system32\sessmgr.exe"=

"D:\Program Files\FlashGet\flashget.exe"=

"D:\Program Files\Gadu-Gadu\gg.exe"=

"D:\Program Files\EA GAMES\MOHAA\MOHAA.exe"=

"D:\Program Files\Xfire\xfire.exe"=

"D:\Program Files\GameSpy Arcade\Aphex.exe"=

"C:\Program Files\Nero\Nero 7\Nero Home\NeroHome.exe"=

"C:\Program Files\DNA\btdna.exe"=

"C:\Program Files\BitTorrent\bittorrent.exe"=

"D:\Program Files\Snikers\Snikers.exe"=

"C:\Program Files\Winamp Remote\bin\Orb.exe"=

"C:\Program Files\Winamp Remote\bin\OrbTray.exe"=

"C:\Program Files\Winamp Remote\bin\OrbStreamerClient.exe"=

"C:\Program Files\Skype\Phone\Skype.exe"=

"C:\Program Files\AVG\AVG8\avgupd.exe"=

"C:\Documents and Settings\a\Moje dokumenty\Quake[CVR.pl]\ID1\qwcl.exe"=

"C:\q3test-1.08\quake3.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"8461:TCP"= 8461:TCP:GoD High Port

"8462:TCP"= 8462:TCP:GoD Low Port

R1 AvgLdx86;AVG AVI Loader Driver x86;C:\WINDOWS\system32\Drivers\avgldx86.sys [2008-08-08 18:55]

R2 avg8wd;AVG8 WatchDog;C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe [2008-08-08 18:55]

S1 ShldDrv;Panda File Shield Driver;C:\WINDOWS\system32\DRIVERS\ShlDrv51.sys []

S2 PavProc;Panda Process Protection Driver;C:\WINDOWS\system32\DRIVERS\PavProc.sys []

S3 vvftav303;vvftav303;C:\WINDOWS\system32\drivers\vvftav303.sys [2007-06-23 07:45]

S3 XDva098;XDva098;C:\WINDOWS\system32\XDva098.sys []

S3 ZSMC0303;A4 TECH PC Camera H;C:\WINDOWS\system32\Drivers\usbVM303.sys [2006-12-01 14:23]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12

hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc

.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-08-25 13:29:51

Windows 5.1.2600 Dodatek Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully

hidden files: 0

**************************************************************************

.

--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\lsass.exe

  • C:\Program Files\Secure Surfing Engine\sselsp.dll

.

Completion time: 2008-08-25 13:35:34

ComboFix-quarantined-files.txt 2008-08-25 11:35:04

ComboFix2.txt 2008-08-25 11:12:10

Pre-Run: 8,760,684,544 bajtów wolnych

Post-Run: 8,749,023,232 bajtów wolnych

201

Co z tego wyczytasz?


(Piotrkijak) #14

Moim zdaniem log z hijacka jest czysty...


(Piotrkijak) #15

FILE ::

C:\Documents and Settings\a\Menu Start\Programy\IE AntiVirus 3.3.lnk

C:\Recycled\Recycled

C:\WINDOWS\clofghls.dll

C:\WINDOWS\lsass.exe

C:\WINDOWS\system32\AutoRun.inf

A jednak coś w ystemie siedzi albo siedziało....


(huber2t) #16

fix w hijackthis

Pobierz ComboFix, ale nie uruchamiaj

Otwórz notatnik i wklej do niego:

Driver::

ShldDrv

PavProc

XDva098

Plik -> zapisz jako -> CFScript.txt.

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->

cfscript10uc2.gif

Rozpocznie się usuwanie i powstanie log, który dasz na forum.

Logi dajesz na http://wklej.eu lub na http://wklej.org a w poście dajesz tylko link


(Kaszok1235) #17

I jak mam to coś usunąc? AVG mi to czsami wykrył... ale nie wiem jak to usunąc albo cos...


(huber2t) #18

włącz HijackThis >> Do a system scan only >> zaznacz w okienku podane wpisy >> klik na Fix checked

A później po kolei(W czasie pobierania i skanowania combofixem zamknij wszelkie programy ochronne (Antywirusa, zaporę)) wykonuj wskazówki z comobfixem


(Kaszok1235) #19

http://wklej.org/id/1853/

Log z ComboFix. Poprzedni log(na 1 stronie ) jest tez z ComboFix, ale wpisałem co innego w notatniku...

zobaczymy co z tego wyjdzie.


(Kambor4) #20

Siedzi. :wink:

Wklej do Notatnika :

File::

C:\WINDOWS\system32\XDva098.sys

C:\WINDOWS\lsass.exe


Driver::

XDva098


Registry::

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"lsass.exe"=-

>>Plik>>Zapisz jako... >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

-->cfscript10uc2.gif

Ma się rozpocząć usuwanie. (i powstanie log).Daj ten log, który powstanie w trakcie usuwania.

Jeśli pójdzie dobrze, to: Po restarcie usuń ręcznie folder C:**** Qoobox.

==========================

K.