RATUNKU! Win32.Backdoor.Agent / Trojan Spy Banker CMB

archicar · 29 Grudzień 2007 01:15

Witam!

Jestem tu nowy. Na wstępie od razu musze powiedzieć że jestem komputerowym laikiem. Nie umiem nic zrobic dosie itd…

Co nieco jednak wiem, ale nie mam głowy do tego… czarna magia…

OK!

Od jakiegoś czasu mam pewien problem. Zarabiam głównie poprzez internet, tzn aukcji Allegro, Ebay itd…

Jakisczas temu przysłali mi z Ebay’a że skasowali mi hasło bo jest jakieś “third party” (nie wiem o co biega). Postąpiłem wedle instrukcji, hasło zmieniłem i ok… za kilka dni to samo… I tak od 2 miesięcy. Co zmienie hasło, mija kilka dni i mail od Ebaya… i od nowa… Szlag mnie trafia!

Zainstalowałem program AdAwareSe (lavasoft) ktpry wykrywa mi ciągle cos takiego:

Critical Objects:

Win32.Backdoor.Agent

Lokalizacje:

C:\WINDOWS\System32\wsnpoem\audio.dll

C:\WINDOWS\System32\wsnpoem\video.dll

HKEY_USERS:.DEFAULT\software\microsoft\currentversion\explorer “{f710fa10-2031-3106-8872-93a2b5c5c620}”

oraz

Tracking Cookie

Location>

C:…\Paweł\Cookies\paweł@hit.genius(2).txt

Za każdym razem nie da się tego usunąć.

Inny program SpyDoctor (tylko co ściągnięty wiec świeży) wykrywa jednak co innego (a moze to to samo…?):

Trojan Spy Banker CMB

usunąć go nie chce! Ale lokalizacje pokazuje te same co dla Backdoor Agent.

Czytałem co nieco na forach, jednak np zabawa z programem CmboFix itd to czarna magia… Zainstalowałem go, włączyłem i zawiesiło mi komputer… Nie znam języka komputerowego, zajmuję się renowacją starych aut i komputery mnie przerastają.

Bardzo proszę o pomoc… Jak się tego szitu pozbyć! Rzecz jasna bez formatowania kompa bo to dla mnie będzie tragedia…

Jako że komp był jużkilk arazy wcześniej atakowany różnymi wirusami to np nie działa mi wypalarka neroexpress i nie mam jak wszystkiego na płyty zrucić…

Kiedyśkomputer “prowadził” mi kolega spec od tego, ale wyjechał i jestem na lodzie.

POMOCY!

PS

Jakby co to mi trzeba mówić drukowanymi literami… jak dla młota!

andre_28 · 29 Grudzień 2007 08:35

Sprubuj zainstalowac \ ESET smart security \ Powinien rozwiazac problem. wersja 30 dniowa do pobrania

http://www.eset.pl/nod32—skuteczny-antywirus.html

Gutek · 29 Grudzień 2007 15:34

Użyj SmitFraudFix wybierz opcji nr 2 , oczywiście w trybie awaryjnym i po tym - Daj log z ComboFix

archicar · 29 Grudzień 2007 19:52

Witam!

Oto (log? ) dziennik z Eset Antivirus

Dziennik skanowania

Wersja bazy sygnatur wirusów: 2682 (20071123)

Data: 2007-12-29 Godzina: 18:33:47

Skanowane dyski, foldery i pliki: C:;D:;E:\

C:\pagefile.sys - błąd podczas otwierania [4]

C:\Documents and Settings\All Users\Dane aplikacji\ESET\ESET NOD32 Antivirus\Charon\CACHE.NDB - błąd podczas otwierania [4]

C:\Documents and Settings\LocalService\NTUSER.DAT - błąd podczas otwierania [4]

C:\Documents and Settings\LocalService\ntuser.dat.LOG - błąd podczas otwierania [4]

C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat - błąd podczas otwierania [4]

C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG - błąd podczas otwierania [4]

C:\Documents and Settings\Marta\Ustawienia lokalne\Dane aplikacji\Identities{647ADB1F-52DF-4761-A12D-95AC3C1128E1}\Microsoft\Outlook Express\Elementy usunięte.dbx » DBX - nie zawiera zagrożeń (skanowanie wewnątrz nie zostało wykonane)

C:\Documents and Settings\Marta\Ustawienia lokalne\Dane aplikacji\Identities{647ADB1F-52DF-4761-A12D-95AC3C1128E1}\Microsoft\Outlook Express\Elementy wysłane.dbx » DBX - nie zawiera zagrożeń (skanowanie wewnątrz nie zostało wykonane)

C:\Documents and Settings\Marta\Ustawienia lokalne\Dane aplikacji\Identities{647ADB1F-52DF-4761-A12D-95AC3C1128E1}\Microsoft\Outlook Express\Kopie robocze.dbx » DBX - nie zawiera zagrożeń (skanowanie wewnątrz nie zostało wykonane)

C:\Documents and Settings\Marta\Ustawienia lokalne\Dane aplikacji\Identities{647ADB1F-52DF-4761-A12D-95AC3C1128E1}\Microsoft\Outlook Express\Skrzynka odbiorcza.dbx » DBX - nie zawiera zagrożeń (skanowanie wewnątrz nie zostało wykonane)

C:\Documents and Settings\NetworkService\NTUSER.DAT - błąd podczas otwierania [4]

C:\Documents and Settings\NetworkService\ntuser.dat.LOG - błąd podczas otwierania [4]

C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat - błąd podczas otwierania [4]

C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG - błąd podczas otwierania [4]

C:\Documents and Settings\Paweł\NTUSER.DAT - błąd podczas otwierania [4]

C:\Documents and Settings\Paweł\NTUSER.DAT.LOG - błąd podczas otwierania [4]

C:\Documents and Settings\Paweł\Pulpit\pulpit 2007\Re_ Bremsen fur Fiat 850 Spezial _ Spider.eml » MIME - nie zawiera zagrożeń (skanowanie wewnątrz nie zostało wykonane)

C:\Documents and Settings\Paweł\Pulpit\pulpit 2007\pulpit 2006\stronki z pulpitu pawła\aawsepersonal.exe » WISE » Ad-Aware SE default.ask » ZIP » arrow1.bmp - błąd — plik chroniony hasłem

C:\Documents and Settings\Paweł\Pulpit\pulpit 2007\pulpit 2006\stronki z pulpitu pawła\aawsepersonal.exe » WISE » Ad-Aware SE default.ask » ZIP » arrow2.bmp - błąd — plik chroniony hasłem

C:\Documents and Settings\Paweł\Pulpit\pulpit 2007\pulpit 2006\stronki z pulpitu pawła\aawsepersonal.exe » WISE » Ad-Aware SE default.ask » ZIP » bck1.bmp - błąd — plik chroniony hasłem

C:\Documents and Settings\Paweł\Pulpit\pulpit 2007\pulpit 2006\stronki z pulpitu pawła\aawsepersonal.exe » WISE » Ad-Aware SE default.ask » ZIP » bck2.bmp - błąd — plik chroniony hasłem

C:\Documents and Settings\Paweł\Pulpit\pulpit 2007\pulpit 2006\stronki z pulpitu pawła\aawsepersonal.exe » WISE » Ad-Aware SE default.ask » ZIP » bt11.bmp - błąd — plik chroniony hasłem

C:\Documents and Settings\Paweł\Pulpit\pulpit 2007\pulpit 2006\stronki z pulpitu pawła\aawsepersonal.exe » WISE » Ad-Aware SE default.ask » ZIP » bt12.bmp - błąd — plik chroniony hasłem

C:\Documents and Settings\Paweł\Pulpit\pulpit 2007\pulpit 2006\stronki z pulpitu pawła\aawsepersonal.exe » WISE » Ad-Aware SE default.ask » ZIP » bt13.bmp - błąd — plik chroniony hasłem

C:\Documents and Settings\Paweł\Pulpit\pulpit 2007\pulpit 2006\stronki z pulpitu pawła\aawsepersonal.exe » WISE » Ad-Aware SE default.ask » ZIP » bt21.bmp - błąd — plik chroniony hasłem

C:\Documents and Settings\Paweł\Pulpit\pulpit 2007\pulpit 2006\stronki z pulpitu pawła\aawsepersonal.exe » WISE » Ad-Aware SE default.ask » ZIP » bt22.bmp - błąd — plik chroniony hasłem

C:\Documents and Settings\Paweł\Pulpit\pulpit 2007\pulpit 2006\stronki z pulpitu pawła\aawsepersonal.exe » WISE » Ad-Aware SE default.ask » ZIP » bt23.bmp - błąd — plik chroniony hasłem

C:\Documents and Settings\Paweł\Pulpit\pulpit 2007\pulpit 2006\stronki z pulpitu pawła\aawsepersonal.exe » WISE » Ad-Aware SE default.ask » ZIP » bt31.bmp - błąd — plik chroniony hasłem

C:\Documents and Settings\Paweł\Pulpit\pulpit 2007\pulpit 2006\stronki z pulpitu pawła\aawsepersonal.exe » WISE » Ad-Aware SE default.ask » ZIP » bt32.bmp - błąd — plik chroniony hasłem

C:\Documents and Settings\Paweł\Pulpit\pulpit 2007\pulpit 2006\stronki z pulpitu pawła\aawsepersonal.exe » WISE » Ad-Aware SE default.ask » ZIP » bt33.bmp - błąd — plik chroniony hasłem

C:\Documents and Settings\Paweł\Pulpit\pulpit 2007\pulpit 2006\stronki z pulpitu pawła\aawsepersonal.exe » WISE » Ad-Aware SE default.ask » ZIP » bt41.bmp - błąd — plik chroniony hasłem

C:\Documents and Settings\Paweł\Pulpit\pulpit 2007\pulpit 2006\stronki z pulpitu pawła\aawsepersonal.exe » WISE » Ad-Aware SE default.ask » ZIP » bt42.bmp - błąd — plik chroniony hasłem

C:\Documents and Settings\Paweł\Pulpit\pulpit 2007\pulpit 2006\stronki z pulpitu pawła\aawsepersonal.exe » WISE » Ad-Aware SE default.ask » ZIP » bt43.bmp - błąd — plik chroniony hasłem

C:\Documents and Settings\Paweł\Pulpit\pulpit 2007\pulpit 2006\stronki z pulpitu pawła\aawsepersonal.exe » WISE » Ad-Aware SE default.ask » ZIP » bt51.bmp - błąd — plik chroniony hasłem

C:\Documents and Settings\Paweł\Pulpit\pulpit 2007\pulpit 2006\stronki z pulpitu pawła\aawsepersonal.exe » WISE » Ad-Aware SE default.ask » ZIP » bt52.bmp - błąd — plik chroniony hasłem

C:\Documents and Settings\Paweł\Pulpit\pulpit 2007\pulpit 2006\stronki z pulpitu pawła\aawsepersonal.exe » WISE » Ad-Aware SE default.ask » ZIP » bt53.bmp - błąd — plik chroniony hasłem

C:\Documents and Settings\Paweł\Pulpit\pulpit 2007\pulpit 2006\stronki z pulpitu pawła\aawsepersonal.exe » WISE » Ad-Aware SE default.ask » ZIP » bt61.bmp - błąd — plik chroniony hasłem

C:\Documents and Settings\Paweł\Pulpit\pulpit 2007\pulpit 2006\stronki z pulpitu pawła\aawsepersonal.exe » WISE » Ad-Aware SE default.ask » ZIP » bt62.bmp - błąd — plik chroniony hasłem

C:\Documents and Settings\Paweł\Pulpit\pulpit 2007\pulpit 2006\stronki z pulpitu pawła\aawsepersonal.exe » WISE » Ad-Aware SE default.ask » ZIP » checkbox1.bmp - błąd — plik chroniony hasłem

C:\Documents and Settings\Paweł\Pulpit\pulpit 2007\pulpit 2006\stronki z pulpitu pawła\aawsepersonal.exe » WISE » Ad-Aware SE default.ask » ZIP » checkbox2.bmp - błąd — plik chroniony hasłem

C:\Documents and Settings\Paweł\Pulpit\pulpit 2007\pulpit 2006\stronki z pulpitu pawła\aawsepersonal.exe » WISE » Ad-Aware SE default.ask » ZIP » checkbox3.bmp - błąd — plik chroniony hasłem

C:\Documents and Settings\Paweł\Pulpit\pulpit 2007\pulpit 2006\stronki z pulpitu pawła\aawsepersonal.exe » WISE » Ad-Aware SE default.ask » ZIP » checkbox4.bmp - błąd — plik chroniony hasłem

C:\Documents and Settings\Paweł\Pulpit\pulpit 2007\pulpit 2006\stronki z pulpitu pawła\aawsepersonal.exe » WISE » Ad-Aware SE default.ask » ZIP » default.skn - błąd — plik chroniony hasłem

C:\Documents and Settings\Paweł\Pulpit\pulpit 2007\pulpit 2006\stronki z pulpitu pawła\aawsepersonal.exe » WISE » Ad-Aware SE default.ask » ZIP » defbtn1.bmp - błąd — plik chroniony hasłem

C:\Documents and Settings\Paweł\Pulpit\pulpit 2007\pulpit 2006\stronki z pulpitu pawła\aawsepersonal.exe » WISE » Ad-Aware SE default.ask » ZIP » defbtn2.bmp - błąd — plik chroniony hasłem

C:\Documents and Settings\Paweł\Pulpit\pulpit 2007\pulpit 2006\stronki z pulpitu pawła\aawsepersonal.exe » WISE » Ad-Aware SE default.ask » ZIP » defbtn3.bmp - błąd — plik chroniony hasłem

C:\Documents and Settings\Paweł\Pulpit\pulpit 2007\pulpit 2006\stronki z pulpitu pawła\aawsepersonal.exe » WISE » Ad-Aware SE default.ask » ZIP » glyph1.bmp - błąd — plik chroniony hasłem

C:\Documents and Settings\Paweł\Pulpit\pulpit 2007\pulpit 2006\stronki z pulpitu pawła\aawsepersonal.exe » WISE » Ad-Aware SE default.ask » ZIP » glyph2.bmp - błąd — plik chroniony hasłem

C:\Documents and Settings\Paweł\Pulpit\pulpit 2007\pulpit 2006\stronki z pulpitu pawła\aawsepersonal.exe » WISE » Ad-Aware SE default.ask » ZIP » glyph3.bmp - błąd — plik chroniony hasłem

C:\Documents and Settings\Paweł\Pulpit\pulpit 2007\pulpit 2006\stronki z pulpitu pawła\aawsepersonal.exe » WISE » Ad-Aware SE default.ask » ZIP » glyph4.bmp - błąd — plik chroniony hasłem

C:\Documents and Settings\Paweł\Pulpit\pulpit 2007\pulpit 2006\stronki z pulpitu pawła\aawsepersonal.exe » WISE » Ad-Aware SE default.ask » ZIP » glyph5.bmp - błąd — plik chroniony hasłem

C:\Documents and Settings\Paweł\Pulpit\pulpit 2007\pulpit 2006\stronki z pulpitu pawła\aawsepersonal.exe » WISE » Ad-Aware SE default.ask » ZIP » glyph6.bmp - błąd — plik chroniony hasłem

C:\Documents and Settings\Paweł\Pulpit\pulpit 2007\pulpit 2006\stronki z pulpitu pawła\aawsepersonal.exe » WISE » Ad-Aware SE default.ask » ZIP » glyph7.bmp - błąd — plik chroniony hasłem

C:\Documents and Settings\Paweł\Pulpit\pulpit 2007\pulpit 2006\stronki z pulpitu pawła\aawsepersonal.exe » WISE » Ad-Aware SE default.ask » ZIP » main.bmp - błąd — plik chroniony hasłem

C:\Documents and Settings\Paweł\Pulpit\pulpit 2007\pulpit 2006\stronki z pulpitu pawła\aawsepersonal.exe » WISE » Ad-Aware SE default.ask » ZIP » preview.bmp - błąd — plik chroniony hasłem

C:\Documents and Settings\Paweł\Pulpit\pulpit 2007\pulpit 2006\stronki z pulpitu pawła\aawsepersonal.exe » WISE » Ad-Aware SE default.ask » ZIP » sprite1.bmp - błąd — plik chroniony hasłem

C:\Documents and Settings\Paweł\Pulpit\pulpit 2007\pulpit 2006\stronki z pulpitu pawła\aawsepersonal.exe » WISE » Ad-Aware SE default.ask » ZIP » tab1.bmp - błąd — plik chroniony hasłem

C:\Documents and Settings\Paweł\Pulpit\pulpit 2007\pulpit 2006\stronki z pulpitu pawła\aawsepersonal.exe » WISE » Ad-Aware SE default.ask » ZIP » tab2.bmp - błąd — plik chroniony hasłem

C:\Documents and Settings\Paweł\Pulpit\pulpit 2007\pulpit 2006\stronki z pulpitu pawła\Odp_ Fiat 127 — części Gdańsk.eml » MIME - nie zawiera zagrożeń (skanowanie wewnątrz nie zostało wykonane)

C:\Documents and Settings\Paweł\Pulpit\pulpit 2007\pulpit 2006\stronki z pulpitu pawła\Re_ patched.eml » MIME - nie zawiera zagrożeń (skanowanie wewnątrz nie zostało wykonane)

C:\Documents and Settings\Paweł\Ustawienia lokalne\Dane aplikacji\Identities{CBBCB7EA-6F87-48F3-8B84-5B9738474E40}\Microsoft\Outlook Express\Ebay.it.dbx » DBX - nie zawiera zagrożeń (skanowanie wewnątrz nie zostało wykonane)

C:\Documents and Settings\Paweł\Ustawienia lokalne\Dane aplikacji\Identities{CBBCB7EA-6F87-48F3-8B84-5B9738474E40}\Microsoft\Outlook Express\Elementy wysłane.dbx » DBX - nie zawiera zagrożeń (skanowanie wewnątrz nie zostało wykonane)

C:\Documents and Settings\Paweł\Ustawienia lokalne\Dane aplikacji\Identities{CBBCB7EA-6F87-48F3-8B84-5B9738474E40}\Microsoft\Outlook Express\HRIBAR & OTROCI.dbx » DBX - nie zawiera zagrożeń (skanowanie wewnątrz nie zostało wykonane)

C:\Documents and Settings\Paweł\Ustawienia lokalne\Dane aplikacji\Identities{CBBCB7EA-6F87-48F3-8B84-5B9738474E40}\Microsoft\Outlook Express\Kopie robocze.dbx » DBX - nie zawiera zagrożeń (skanowanie wewnątrz nie zostało wykonane)

C:\Documents and Settings\Paweł\Ustawienia lokalne\Dane aplikacji\Identities{CBBCB7EA-6F87-48F3-8B84-5B9738474E40}\Microsoft\Outlook Express\Skrzynka odbiorcza.dbx » DBX - nie zawiera zagrożeń (skanowanie wewnątrz nie zostało wykonane)

C:\Documents and Settings\Paweł\Ustawienia lokalne\Dane aplikacji\Identities{CBBCB7EA-6F87-48F3-8B84-5B9738474E40}\Microsoft\Outlook Express\Spam.dbx » DBX - nie zawiera zagrożeń (skanowanie wewnątrz nie zostało wykonane)

C:\Documents and Settings\Paweł\Ustawienia lokalne\Dane aplikacji\Identities{CBBCB7EA-6F87-48F3-8B84-5B9738474E40}\Microsoft\Outlook Express\wysłane II.dbx » DBX - nie zawiera zagrożeń (skanowanie wewnątrz nie zostało wykonane)

C:\Documents and Settings\Paweł\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat - błąd podczas otwierania [4]

C:\Documents and Settings\Paweł\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG - błąd podczas otwierania [4]

C:\Documents and Settings\Paweł\Ustawienia lokalne\Temporary Internet Files\Content.IE5\015SVU29\wzory[1].zip » ZIP » WZORY/Akryl/1018.gif - uszkodzone archiwum

C:\Documents and Settings\Paweł\Ustawienia lokalne\Temporary Internet Files\Content.IE5\65SVILM5\colraiser[1].zip » ZIP » IMG_2225.JPG - uszkodzone archiwum

C:\Documents and Settings\Paweł\Ustawienia lokalne\Temporary Internet Files\Content.IE5\VIKFVHKH\haber[1].js » MIME - nie zawiera zagrożeń (skanowanie wewnątrz nie zostało wykonane)

C:\Program Files\Ahead\Nero\Cdi\CDI_VCD.CFG » MIME - nie zawiera zagrożeń (skanowanie wewnątrz nie zostało wykonane)

C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » Ad-Aware SE Default.skn - błąd — plik chroniony hasłem

C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » arrow1.bmp - błąd — plik chroniony hasłem

C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » arrow2.bmp - błąd — plik chroniony hasłem

C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » bck1.bmp - błąd — plik chroniony hasłem

C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » bt11.bmp - błąd — plik chroniony hasłem

C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » bt12.bmp - błąd — plik chroniony hasłem

C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » bt13.bmp - błąd — plik chroniony hasłem

C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » bt21.bmp - błąd — plik chroniony hasłem

C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » bt22.bmp - błąd — plik chroniony hasłem

C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » bt23.bmp - błąd — plik chroniony hasłem

C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » bt31.bmp - błąd — plik chroniony hasłem

C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » bt32.bmp - błąd — plik chroniony hasłem

C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » bt33.bmp - błąd — plik chroniony hasłem

C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » bt41.bmp - błąd — plik chroniony hasłem

C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » bt42.bmp - błąd — plik chroniony hasłem

C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » bt43.bmp - błąd — plik chroniony hasłem

C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » bt51.bmp - błąd — plik chroniony hasłem

C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » bt52.bmp - błąd — plik chroniony hasłem

C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » bt53.bmp - błąd — plik chroniony hasłem

C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » bt61.bmp - błąd — plik chroniony hasłem

C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » bt62.bmp - błąd — plik chroniony hasłem

C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » checkbox1.bmp - błąd — plik chroniony hasłem

C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » checkbox2.bmp - błąd — plik chroniony hasłem

C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » checkbox3.bmp - błąd — plik chroniony hasłem

C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » checkbox4.bmp - błąd — plik chroniony hasłem

C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » defbtn1.bmp - błąd — plik chroniony hasłem

C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » defbtn2.bmp - błąd — plik chroniony hasłem

C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » defbtn3.bmp - błąd — plik chroniony hasłem

C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » glyph1.bmp - błąd — plik chroniony hasłem

C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » glyph2.bmp - błąd — plik chroniony hasłem

C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » glyph3.bmp - błąd — plik chroniony hasłem

C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » glyph4.bmp - błąd — plik chroniony hasłem

C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » glyph5.bmp - błąd — plik chroniony hasłem

C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » glyph6.bmp - błąd — plik chroniony hasłem

C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » glyph7.bmp - błąd — plik chroniony hasłem

C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » main.bmp - błąd — plik chroniony hasłem

C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » preview.bmp - błąd — plik chroniony hasłem

C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » sprite1.bmp - błąd — plik chroniony hasłem

C:\Program Files\Real\RealPlayer\browserrecord\chrome.manifest » MIME - nie zawiera zagrożeń (skanowanie wewnątrz nie zostało wykonane)

C:\Program Files\XviD\UninstXviD.exe » UPX v12_m2 » NSIS - nieprawidłowe archiwum

C:\Program Files\XviD\UninstXviD.exe » NSIS - nieprawidłowe archiwum

C:\RECYCLER\S-1-5-21-854245398-2025429265-725345543-1004\Dc345.eml » MIME - nie zawiera zagrożeń (skanowanie wewnątrz nie zostało wykonane)

C:\RECYCLER\S-1-5-21-854245398-2025429265-725345543-1004\Dc398.eml » MIME - nie zawiera zagrożeń (skanowanie wewnątrz nie zostało wykonane)

C:\WINDOWS\IEPatchUninstall.log » MIME - nie zawiera zagrożeń (skanowanie wewnątrz nie zostało wykonane)

C:\WINDOWS$NtUninstallKB824141$\user32.dll - błąd podczas otwierania [4]

C:\WINDOWS$NtUninstallKB824141$\win32k.sys - błąd podczas otwierania [4]

C:\WINDOWS$NtUninstallKB826939$\accwiz.exe - błąd podczas otwierania [4]

C:\WINDOWS$NtUninstallKB826939$\crypt32.dll - błąd podczas otwierania [4]

C:\WINDOWS$NtUninstallKB826939$\cryptsvc.dll - błąd podczas otwierania [4]

C:\WINDOWS$NtUninstallKB826939$\hh.exe - błąd podczas otwierania [4]

C:\WINDOWS$NtUninstallKB826939$\hhctrl.ocx - błąd podczas otwierania [4]

C:\WINDOWS$NtUninstallKB826939$\hhsetup.dll - błąd podczas otwierania [4]

C:\WINDOWS$NtUninstallKB826939$\html32.cnv - błąd podczas otwierania [4]

C:\WINDOWS$NtUninstallKB826939$\itss.dll - błąd podczas otwierania [4]

C:\WINDOWS$NtUninstallKB826939$\locator.exe - błąd podczas otwierania [4]

C:\WINDOWS$NtUninstallKB826939$\magnify.exe - błąd podczas otwierania [4]

C:\WINDOWS$NtUninstallKB826939$\migwiz.exe - błąd podczas otwierania [4]

C:\WINDOWS$NtUninstallKB826939$\mrxsmb.sys - błąd podczas otwierania [4]

C:\WINDOWS$NtUninstallKB826939$\msconv97.dll - błąd podczas otwierania [4]

C:\WINDOWS$NtUninstallKB826939$\narrator.exe - błąd podczas otwierania [4]

C:\WINDOWS$NtUninstallKB826939$\newdev.dll - błąd podczas otwierania [4]

C:\WINDOWS$NtUninstallKB826939$\ntdll.dll - błąd podczas otwierania [4]

C:\WINDOWS$NtUninstallKB826939$\ntkrnlpa.exe - błąd podczas otwierania [4]

C:\WINDOWS$NtUninstallKB826939$\ntoskrnl.exe - błąd podczas otwierania [4]

C:\WINDOWS$NtUninstallKB826939$\ole32.dll - błąd podczas otwierania [4]

C:\WINDOWS$NtUninstallKB826939$\osk.exe - błąd podczas otwierania [4]

C:\WINDOWS$NtUninstallKB826939$\pchshell.dll - błąd podczas otwierania [4]

C:\WINDOWS$NtUninstallKB826939$\raspptp.sys - błąd podczas otwierania [4]

C:\WINDOWS$NtUninstallKB826939$\rpcrt4.dll - błąd podczas otwierania [4]

C:\WINDOWS$NtUninstallKB826939$\rpcss.dll - błąd podczas otwierania [4]

C:\WINDOWS$NtUninstallKB826939$\shell32.dll - błąd podczas otwierania [4]

C:\WINDOWS$NtUninstallKB826939$\shmedia.dll - błąd podczas otwierania [4]

C:\WINDOWS$NtUninstallKB826939$\srrstr.dll - błąd podczas otwierania [4]

C:\WINDOWS$NtUninstallKB826939$\srv.sys - błąd podczas otwierania [4]

C:\WINDOWS$NtUninstallKB826939$\sysmain.sdb - błąd podczas otwierania [4]

C:\WINDOWS$NtUninstallKB826939$\user32.dll - błąd podczas otwierania [4]

C:\WINDOWS$NtUninstallKB826939$\win32k.sys - błąd podczas otwierania [4]

C:\WINDOWS$NtUninstallKB826939$\winsrv.dll - błąd podczas otwierania [4]

C:\WINDOWS$NtUninstallKB826939$\zipfldr.dll - błąd podczas otwierania [4]

C:\WINDOWS$NtUninstallKB828035$\msgsvc.dll - błąd podczas otwierania [4]

C:\WINDOWS$NtUninstallKB828035$\wkssvc.dll - błąd podczas otwierania [4]

C:\WINDOWS$NtUninstallKB835732$\callcont.dll - błąd podczas otwierania [4]

C:\WINDOWS$NtUninstallKB835732$\cmdevtgprov.dll - błąd podczas otwierania [4]

C:\WINDOWS$NtUninstallKB835732$\evtgprov.dll - błąd podczas otwierania [4]

C:\WINDOWS$NtUninstallKB835732$\gdi32.dll - błąd podczas otwierania [4]

C:\WINDOWS$NtUninstallKB835732$\h323.tsp - błąd podczas otwierania [4]

C:\WINDOWS$NtUninstallKB835732$\h323msp.dll - błąd podczas otwierania [4]

C:\WINDOWS$NtUninstallKB835732$\helpctr.exe - błąd podczas otwierania [4]

C:\WINDOWS$NtUninstallKB835732$\ipnathlp.dll - błąd podczas otwierania [4]

C:\WINDOWS$NtUninstallKB835732$\lsasrv.dll - błąd podczas otwierania [4]

C:\WINDOWS$NtUninstallKB835732$\mf3216.dll - błąd podczas otwierania [4]

C:\WINDOWS$NtUninstallKB835732$\msasn1.dll - błąd podczas otwierania [4]

C:\WINDOWS$NtUninstallKB835732$\msgina.dll - błąd podczas otwierania [4]

C:\WINDOWS$NtUninstallKB835732$\mst120.dll - błąd podczas otwierania [4]

C:\WINDOWS$NtUninstallKB835732$\netapi32.dll - błąd podczas otwierania [4]

C:\WINDOWS$NtUninstallKB835732$\nmcom.dll - błąd podczas otwierania [4]

C:\WINDOWS$NtUninstallKB835732$\rtcdll.dll - błąd podczas otwierania [4]

C:\WINDOWS$NtUninstallKB835732$\schannel.dll - błąd podczas otwierania [4]

C:\WINDOWS$NtUninstallQ828026$\msdxm.ocx - błąd podczas otwierania [4]

C:\WINDOWS$NtUninstallQ828026$\wmpcore.dll - błąd podczas otwierania [4]

C:\WINDOWS\Prefetch\AUTORUN.EXE-055703AF.pf - błąd podczas otwierania [4]

C:\WINDOWS\system32\ntos.exe - błąd podczas otwierania [4]

C:\WINDOWS\system32\config\default - błąd podczas otwierania [4]

C:\WINDOWS\system32\config\default.LOG - błąd podczas otwierania [4]

C:\WINDOWS\system32\config\SAM - błąd podczas otwierania [4]

C:\WINDOWS\system32\config\SAM.LOG - błąd podczas otwierania [4]

C:\WINDOWS\system32\config\SECURITY - błąd podczas otwierania [4]

C:\WINDOWS\system32\config\SECURITY.LOG - błąd podczas otwierania [4]

C:\WINDOWS\system32\config\software - błąd podczas otwierania [4]

C:\WINDOWS\system32\config\software.LOG - błąd podczas otwierania [4]

C:\WINDOWS\system32\config\system - błąd podczas otwierania [4]

C:\WINDOWS\system32\config\system.LOG - błąd podczas otwierania [4]

C:\WINDOWS\system32\wsnpoem\audio.dll - błąd podczas otwierania [4]

C:\WINDOWS\system32\wsnpoem\video.dll - błąd podczas otwierania [4]

E:\MAGAZYN\Marta\Ustawienia lokalne\Dane aplikacji\Identities{647ADB1F-52DF-4761-A12D-95AC3C1128E1}\Microsoft\Outlook Express\dzieci.dbx » DBX - nie zawiera zagrożeń (skanowanie wewnątrz nie zostało wykonane)

E:\MAGAZYN\Marta\Ustawienia lokalne\Dane aplikacji\Identities{647ADB1F-52DF-4761-A12D-95AC3C1128E1}\Microsoft\Outlook Express\Elementy usunięte.dbx » DBX - nie zawiera zagrożeń (skanowanie wewnątrz nie zostało wykonane)

E:\MAGAZYN\Marta\Ustawienia lokalne\Dane aplikacji\Identities{647ADB1F-52DF-4761-A12D-95AC3C1128E1}\Microsoft\Outlook Express\Elementy wysłane.dbx » DBX - nie zawiera zagrożeń (skanowanie wewnątrz nie zostało wykonane)

E:\MAGAZYN\Marta\Ustawienia lokalne\Dane aplikacji\Identities{647ADB1F-52DF-4761-A12D-95AC3C1128E1}\Microsoft\Outlook Express\Skrzynka odbiorcza.dbx » DBX - nie zawiera zagrożeń (skanowanie wewnątrz nie zostało wykonane)

E:\MAGAZYN\Paweł\Ustawienia lokalne\Temp\LSInstall.log » MIME - nie zawiera zagrożeń (skanowanie wewnątrz nie zostało wykonane)

E:\MAGAZYN\Paweł\Ustawienia lokalne\Dane aplikacji\Identities{CBBCB7EA-6F87-48F3-8B84-5B9738474E40}\Microsoft\Outlook Express\124.dbx » DBX - nie zawiera zagrożeń (skanowanie wewnątrz nie zostało wykonane)

E:\MAGAZYN\Paweł\Ustawienia lokalne\Dane aplikacji\Identities{CBBCB7EA-6F87-48F3-8B84-5B9738474E40}\Microsoft\Outlook Express\Ebay.it.dbx » DBX - nie zawiera zagrożeń (skanowanie wewnątrz nie zostało wykonane)

E:\MAGAZYN\Paweł\Ustawienia lokalne\Dane aplikacji\Identities{CBBCB7EA-6F87-48F3-8B84-5B9738474E40}\Microsoft\Outlook Express\Elementy wysłane.dbx » DBX - nie zawiera zagrożeń (skanowanie wewnątrz nie zostało wykonane)

E:\MAGAZYN\Paweł\Ustawienia lokalne\Dane aplikacji\Identities{CBBCB7EA-6F87-48F3-8B84-5B9738474E40}\Microsoft\Outlook Express\HRIBAR & OTROCI.dbx » DBX - nie zawiera zagrożeń (skanowanie wewnątrz nie zostało wykonane)

E:\MAGAZYN\Paweł\Ustawienia lokalne\Dane aplikacji\Identities{CBBCB7EA-6F87-48F3-8B84-5B9738474E40}\Microsoft\Outlook Express\Kopie robocze.dbx » DBX - nie zawiera zagrożeń (skanowanie wewnątrz nie zostało wykonane)

E:\MAGAZYN\Paweł\Ustawienia lokalne\Dane aplikacji\Identities{CBBCB7EA-6F87-48F3-8B84-5B9738474E40}\Microsoft\Outlook Express\Skrzynka odbiorcza.dbx » DBX - nie zawiera zagrożeń (skanowanie wewnątrz nie zostało wykonane)

E:\MAGAZYN\Paweł\Ustawienia lokalne\Dane aplikacji\Identities{CBBCB7EA-6F87-48F3-8B84-5B9738474E40}\Microsoft\Outlook Express\wysłane II.dbx » DBX - nie zawiera zagrożeń (skanowanie wewnątrz nie zostało wykonane)

E:\stronki z pulpitu pawła\Odp_ Fiat 127 — części Gdańsk.eml » MIME - nie zawiera zagrożeń (skanowanie wewnątrz nie zostało wykonane)

E:\stronki z pulpitu pawła\Re_ patched.eml » MIME - nie zawiera zagrożeń (skanowanie wewnątrz nie zostało wykonane)

Liczba przeskanowanych obiektów: 261933

Liczba znalezionych zagrożeń: 0

Godzina zakończenia: 19:22:37 Całkowity czas skanowania: 2930 s (00:48:50)

Uwagi:

[4] Nie można otworzyć obiektu. Może on być używany przez inną aplikację lub system operacyjny.

Nic z tego nie jarzę…

Tamtych Combofixów nie umiem używać… Jak go otwieram to siewiesza komputer…

Pozdrawiam

Gutek · 29 Grudzień 2007 20:18

Użyj SmitFraudFix wybierz opcji nr 2 ???

archicar · 29 Grudzień 2007 23:16

Mówiąc szczerze to raczej kiszka z tym programem…

Nic nie wykrył… chyba… a AdAwareSE teraz wykrywa nie 4 a już 13 takich wirusów. Ja sie potnę!

Zrobiłę, tak jak napisane na strone było.

Oto zawartość tego pliku Rapport.txt co pozostał po wywalaniu wirusów.

SmitFraudFix v2.274


Scan done at 23:55:33.09, 2007-12-29

Run from C:\Documents and Settings\Paweł\Pulpit\smitfraudfix\SmitfraudFix

OS: Microsoft Windows XP [Wersja 5.1.2600] - Windows_NT

The filesystem type is NTFS

Fix run in safe mode


»»»»»»»»»»»»»»»»»»»»»»»» Process


C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Spyware Doctor\svcntaux.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\System32\cmd.exe

C:\WINDOWS\System32\wbem\wmiprvse.exe


»»»»»»»»»»»»»»»»»»»»»»»» hosts



»»»»»»»»»»»»»»»»»»»»»»»» C:\



»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS



»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system



»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web



»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32



»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Paweł



»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Paweł\Application Data



»»»»»»»»»»»»»»»»»»»»»»»» Start Menu



»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\PAWE~1\Ulubione



»»»»»»»»»»»»»»»»»»»»»»»» Desktop



»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 



»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys



»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components




»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!Attention, following keys are not inevitably infected!


IEDFix.exe by S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!Attention, following keys are not inevitably infected!


SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll



»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!Attention, following keys are not inevitably infected!


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"=""



»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!Attention, following keys are not inevitably infected!


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""



»»»»»»»»»»»»»»»»»»»»»»»» Rustock




»»»»»»»»»»»»»»»»»»»»»»»» DNS


HKLM\SYSTEM\CCS\Services\Tcpip\..\{4F3CD39F-E78A-4019-8882-C82E4476EAF0}: NameServer=192.168.0.1,212.77.102.200

HKLM\SYSTEM\CS1\Services\Tcpip\..\{4F3CD39F-E78A-4019-8882-C82E4476EAF0}: NameServer=192.168.0.1,212.77.102.200

HKLM\SYSTEM\CS3\Services\Tcpip\..\{4F3CD39F-E78A-4019-8882-C82E4476EAF0}: NameServer=192.168.0.1,212.77.102.200



»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection



»»»»»»»»»»»»»»»»»»»»»»»» End


[/code]

Ja z tego nic nie jarzę… a wirusy nadal są…

archicar · 30 Grudzień 2007 00:18

I jeszcze jeden log z ComboFixa… tym razem wyraźnie pokazuje niezeskanowane ukryte pliki:

ComboFix 07-12-21.4 - Paweł 2007-12-30 1:10:22.3 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.1.1250.1.1045.18.238 [GMT 1:00] Running from: C:\Documents and Settings\Paweł\Pulpit\ComboFix.exe . ((((((((((((((((((((((((( Files Created from 2007-11-28 to 2007-12-30 ))))))))))))))))))))))))))))))) . 2007-12-30 00:53 . 2001-05-25 06:01 90,112 --a------ C:\WINDOWS\system32\RegDACL.exe 2007-12-30 00:53 . 2007-12-29 20:40 8,940 --a------ C:\clean.bat 2007-12-30 00:53 . 2004-07-22 12:15 4,096 --a------ C:\WINDOWS\system32\reboot.exe 2007-12-30 00:53 . 2007-10-11 08:55 347 --a------ C:\run2.reg 2007-12-29 23:55 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe 2007-12-29 23:55 . 2006-04-27 16:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe 2007-12-29 23:55 . 2007-12-20 23:11 81,920 --a------ C:\WINDOWS\system32\IEDFix.exe 2007-12-29 23:55 . 2003-06-05 20:13 53,248 --a------ C:\WINDOWS\system32\Process.exe 2007-12-29 23:55 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe 2007-12-29 23:55 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe 2007-12-29 23:30 . 2007-12-29 23:57 2,118 --a------ C:\WINDOWS\system32\tmp.reg 2007-12-29 18:32 . 2007-12-29 18:32 2007-12-29 16:31 . 2007-12-04 14:04 837,496 --a------ C:\WINDOWS\system32\aswBoot.exe 2007-12-29 16:31 . 2004-01-09 10:13 380,928 --a------ C:\WINDOWS\system32\actskin4.ocx 2007-12-29 16:31 . 2007-12-04 13:54 95,608 --a------ C:\WINDOWS\system32\AvastSS.scr 2007-12-29 16:31 . 2007-12-04 15:55 94,544 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys 2007-12-29 16:31 . 2007-12-04 15:56 93,264 --a------ C:\WINDOWS\system32\drivers\aswmon.sys 2007-12-29 16:31 . 2007-12-04 15:51 42,912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys 2007-12-29 16:31 . 2007-12-04 15:49 26,624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys 2007-12-29 16:31 . 2007-12-04 15:53 23,152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys 2007-12-28 23:54 . 2007-12-28 23:54 2007-12-28 23:54 . 2007-10-18 00:16 79,688 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys 2007-12-28 23:54 . 2007-10-18 00:15 62,280 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys 2007-12-28 23:54 . 2007-10-18 00:14 41,288 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys 2007-12-28 23:54 . 2007-10-18 00:16 29,000 --a------ C:\WINDOWS\system32\drivers\kcom.sys 2007-12-28 12:57 . 2007-06-05 10:56 44,928 --a------ C:\WINDOWS\system32\drivers\SDTHOOK.SYS 2007-12-28 12:41 . 2007-12-29 17:59 2007-12-28 12:41 . 2007-12-28 12:41 30,590 --a------ C:\WINDOWS\system32\pavas.ico 2007-12-19 00:10 . 2007-12-19 00:10 2007-12-18 21:59 . 2007-12-18 21:59 2007-12-18 21:58 . 2007-12-18 21:58 2007-12-18 14:00 . 2007-12-29 00:47 2007-12-18 14:00 . 2007-12-29 16:12 2007-12-18 14:00 . 2005-09-23 08:29 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll 2007-11-28 19:50 . 2007-12-12 21:36 252 --a------ C:\WINDOWS\Mouse_Boy.iix 2007-11-28 19:34 . 2007-11-28 19:34 2007-11-28 19:34 . 2007-11-28 19:34 2007-11-28 19:34 . 2007-11-28 19:35 2007-11-27 17:59 . 2003-03-07 15:25 32,280 --a------ C:\WINDOWS\system32\AutoRun.pdf 2007-11-27 17:59 . 2003-03-07 15:08 8,192 --a------ C:\WINDOWS\system32\AutoRun.exe 2007-11-17 20:08 . 2007-11-17 20:08 1 --a------ C:\WINDOWS\system32\rc.dat 2007-11-17 20:08 . 2007-11-17 20:08 1 --a------ C:\WINDOWS\system32\cs.dat 2007-11-12 12:33 . 2007-11-13 20:32 2007-11-12 12:21 . 1999-02-17 13:49 1,039,360 --------- C:\WINDOWS\system32\MSJET35.DLL 2007-11-12 12:21 . 1999-02-17 13:49 368,912 --------- C:\WINDOWS\system32\VBAR332.DLL 2007-11-12 12:20 . 1998-09-25 13:18 607,744 --------- C:\WINDOWS\system32\Decslib.dll 2007-11-12 12:17 . 2007-11-12 12:18 2007-11-12 12:16 . 2007-11-12 12:25 . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2007-12-29 23:50 --------- d-----w C:\Documents and Settings\Paweł\Dane aplikacji\WholeSecurity 2007-12-29 15:31 --------- d-----w C:\Program Files\Alwil Software 2007-12-28 12:43 --------- d-----w C:\Program Files\Google 2007-12-27 17:19 --------- d-----w C:\Documents and Settings\Marta\Dane aplikacji\WholeSecurity 2007-11-28 18:50 --------- d-----w C:\Program Files\Play . ((((((((((((((((((((((((((((( snapshot@2007-12-30_ 0.25.56.96 ))))))))))))))))))))))))))))))))))))))))) . - 2007-12-29 23:07:55 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat + 2007-12-30 00:05:33 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat - 2007-12-29 00:23:18 262,144 ----a-w C:\WINDOWS\system32\config\systemprofile\NtUser.dat + 2007-12-30 00:10:15 262,144 ----a-w C:\WINDOWS\system32\config\systemprofile\NtUser.dat - 2007-12-29 23:07:55 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Historia\History.IE5\index.dat + 2007-12-30 00:05:33 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Historia\History.IE5\index.dat - 2007-12-29 23:07:55 49,152 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat + 2007-12-30 00:05:33 49,152 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat + 2005-11-08 22:26:46 38,400 ----a-w C:\WINDOWS\system32\moveex.exe - 2007-12-29 23:07:57 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_3c8.dat + 2007-12-30 00:05:38 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_3c8.dat . ((((((((((((((((((((((((((((((((((((((((((((( AWF )))))))))))))))))))))))))))))))))))))))))))))))))))))))))) . ----a-w 28,672 2001-11-29 00:00:00 C:\Program Files\Creative\SBAudigy\Program\bak\ADGJDet.exe ----a-w 28,672 2001-12-20 00:00:00 C:\Program Files\Creative\Splash Screen\bak\CTEaxSpl.EXE ----a-w 521,720 2007-02-21 09:36:52 C:\Program Files\eBay\eBay Toolbar2\bak\eBayTBDaemon.exe ----a-w 1,716,224 2007-01-16 08:41:24 C:\Program Files\Gadu-Gadu\bak\gg.exe ----a-w 1,716,224 2007-01-30 14:58:28 C:\Program Files\Gadu-Gadu\gg.exe ----a-w 90,112 2000-05-11 00:00:00 C:\WINDOWS\bak\UpdReg.EXE ----a-w 40,448 1998-09-24 15:07:08 C:\WINDOWS\system32\bak\launcher.dll ----a-w 40,448 1998-09-24 15:07:08 C:\WINDOWS\system32\launcher.dll ----a-w 184,320 1998-10-23 15:51:42 C:\WINDOWS\system32\bak\Launcher.exe ----a-w 155,648 2001-07-09 10:50:42 C:\WINDOWS\system32\bak\NeroCheck.exe . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries & legit default entries are not shown REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “Gadu-Gadu”=“C:\Program Files\Gadu-Gadu\gg.exe” [2007-01-30 15:58] “swg”=“C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe” [2007-08-02 09:52] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “NvCplDaemon”=“RUNDLL32.exe” [2001-10-26 18:30 C:\WINDOWS\system32\rundll32.exe] “nwiz”=“nwiz.exe” [2003-10-06 14:16 C:\WINDOWS\system32\nwiz.exe] “WINDVDPatch”=“CTHELPER.EXE” [2002-07-02 10:56 C:\WINDOWS\system32\CTHELPER.EXE] “Jet Detection”=“C:\Program Files\Creative\SBAudigy\PROGRAM\ADGJDet.exe” [] “CTStartup”=“C:\Program Files\Creative\Splash Screen\CTEaxSpl.exe” [] “eBayToolbar”=“C:\Program Files\eBay\eBay Toolbar2\eBayTBDaemon.exe” [] “TkBellExe”=“C:\Program Files\Common Files\Real\Update_OB\realsched.exe” [2007-10-24 13:51] “avast!”=“C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe” [2007-12-04 14:00] [HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] “CTFMON.EXE”=“C:\WINDOWS\System32\CTFMON.EXE” [2002-09-20 18:05] C:\Documents and Settings\Marta\Menu Start\Programy\Autostart\ launcher.lnk - C:\WINDOWS\system32\bak\Launcher.exe [2007-02-09 01:42:50] C:\Documents and Settings\Pawe\Menu Start\Programy\Autostart\ launcher.lnk - C:\WINDOWS\system32\bak\Launcher.exe [2007-02-09 01:42:50] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice] @="" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice] @="" S3 SDTHOOK;SDTHOOK;C:\WINDOWS\System32\DRIVERS\SDTHOOK.sys [2007-06-05 10:56] S3 SetupNTGLM7X;SetupNTGLM7X;F:\NTGLM7X.sys [] S3 usbscan;Sterownik skanera USB;C:\WINDOWS\System32\DRIVERS\usbscan.sys [2002-08-29 01:48] S3 USBSTOR;Sterownik magazynu masowego USB;C:\WINDOWS\System32\DRIVERS\USBSTOR.SYS [2002-08-29 01:32] . ************************************************************************** catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-12-30 01:12:00 Windows 5.1.2600 Dodatek Service Pack. 1 NTFS scanning hidden processes … scanning hidden autostart entries … HKLM\Software\Microsoft\Windows\CurrentVersion\Run CTStartup = C:\Program Files\Creative\Splash Screen\CTEaxSpl.EXE /run???p???w^?s???>?wH ?w???w*??w4???U??w4???D8?s4???97???H?s???3:?w???T?w?U?w???x?`???C@???s???s???x97?d??sx97??C@?x???sx???;?w???@ scanning hidden files … C:\WINDOWS\system32\ntos.exe 290304 bytes executable C:\WINDOWS\system32\wsnpoem scan completed successfully hidden files: 2 ************************************************************************** . Completion time: 2007-12-30 1:13:06 C:\ComboFix2.txt … 2007-12-30 00:27

Gutek · 30 Grudzień 2007 00:38

Pobierz program SDFix

archicar · 30 Grudzień 2007 02:16

No i chyba się udało…! Nie za pierwszym ale za drugim razem SDFix wypluł że wsnpoem i ntos zsotały deleted…! No to niby klawo! I AdAwareSE nic jużnie wykrywa… Że aż nie wierzę! Co prawda wynalazł jeszcze jakiegoś cookie genius coś tam ale go usunąłem ręcznie i zobaczymy…

Oto raport z SDFix:

Normal Mode:

Checking Files: 


Trojan Files Found:


C:\WINDOWS\system32\cmds.txt - Deleted

C:\WINDOWS\system32\cs.dat - Deleted

C:\WINDOWS\system32\rc.dat - Deleted

C:\WINDOWS\system32\ntos.exe - Deleted

C:\WINDOWS\system32\wsnpoem\audio.dll - Deleted

C:\WINDOWS\system32\wsnpoem\video.dll - Deleted




Folder C:\WINDOWS\system32\wsnpoem - Removed


Removing Temp Files...


ADS Check:


C:\WINDOWS

No streams found. 


C:\WINDOWS\system32

No streams found. 


C:\WINDOWS\system32\svchost.exe

No streams found.


C:\WINDOWS\system32\ntoskrnl.exe

No streams found.




                                 Final Check:


catchme 0.3.1333.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2007-12-30 02:53:08

Windows 5.1.2600 Dodatek Service Pack. 1 NTFS


scanning hidden processes ...


scanning hidden services & system hive ...


scanning hidden registry entries ...


[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Favorites\A\1\5\1c]

"Order"=hex:08,00,00,00,02,00,00,00,b8,01,00,00,01,00,00,00,04,00,00,00,8c,..


scanning hidden files ...


scan completed successfully

hidden processes: 0

hidden services: 0

hidden files: 0



Remaining Services:

------------------




Authorized Application Key Export:


[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]


[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]


Remaining Files:

---------------


File Backups: - C:\SDFix\backups\backups.zip


Files with Hidden Attributes:


Fri 20 Sep 2002 1,511,453 ...H. --- "C:\Program Files\Messenger\msmsgs.exe"

Tue 22 Nov 2005 1,166,848 A..H. --- "C:\Documents and Settings\Marta\Pulpit\przedszkole i gazetka\~WRL0003.tmp"

Tue 22 Nov 2005 1,166,848 A..H. --- "C:\Documents and Settings\Marta\Pulpit\przedszkole i gazetka\~WRL1446.tmp"


Finished!

Oraz log z ComboFix:

ComboFix 07-12-21.4 - Paweł 2007-12-30 2:56:11.4 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.1.1250.1.1045.18.296 [GMT 1:00] Running from: C:\Documents and Settings\Paweł\Pulpit\ComboFix.exe . ((((((((((((((((((((((((( Files Created from 2007-11-28 to 2007-12-30 ))))))))))))))))))))))))))))))) . 2007-12-30 02:28 . 2007-12-30 02:28 2007-12-30 01:34 . 2007-12-30 01:37 250 --a------ C:\WINDOWS\gmer.ini 2007-12-30 00:53 . 2001-05-25 06:01 90,112 --a------ C:\WINDOWS\system32\RegDACL.exe 2007-12-30 00:53 . 2007-12-29 20:40 8,940 --a------ C:\clean.bat 2007-12-30 00:53 . 2004-07-22 12:15 4,096 --a------ C:\WINDOWS\system32\reboot.exe 2007-12-30 00:53 . 2007-10-11 08:55 347 --a------ C:\run2.reg 2007-12-29 23:55 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe 2007-12-29 23:55 . 2006-04-27 16:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe 2007-12-29 23:55 . 2007-12-20 23:11 81,920 --a------ C:\WINDOWS\system32\IEDFix.exe 2007-12-29 23:55 . 2003-06-05 20:13 53,248 --a------ C:\WINDOWS\system32\Process.exe 2007-12-29 23:55 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe 2007-12-29 23:55 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe 2007-12-29 23:30 . 2007-12-29 23:57 2,118 --a------ C:\WINDOWS\system32\tmp.reg 2007-12-29 18:32 . 2007-12-29 18:32 2007-12-29 16:31 . 2007-12-04 14:04 837,496 --a------ C:\WINDOWS\system32\aswBoot.exe 2007-12-29 16:31 . 2004-01-09 10:13 380,928 --a------ C:\WINDOWS\system32\actskin4.ocx 2007-12-29 16:31 . 2007-12-04 13:54 95,608 --a------ C:\WINDOWS\system32\AvastSS.scr 2007-12-29 16:31 . 2007-12-04 15:55 94,544 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys 2007-12-29 16:31 . 2007-12-04 15:56 93,264 --a------ C:\WINDOWS\system32\drivers\aswmon.sys 2007-12-29 16:31 . 2007-12-04 15:51 42,912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys 2007-12-29 16:31 . 2007-12-04 15:49 26,624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys 2007-12-29 16:31 . 2007-12-04 15:53 23,152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys 2007-12-28 23:54 . 2007-12-28 23:54 2007-12-28 23:54 . 2007-10-18 00:16 79,688 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys 2007-12-28 23:54 . 2007-10-18 00:15 62,280 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys 2007-12-28 23:54 . 2007-10-18 00:14 41,288 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys 2007-12-28 23:54 . 2007-10-18 00:16 29,000 --a------ C:\WINDOWS\system32\drivers\kcom.sys 2007-12-28 12:57 . 2007-06-05 10:56 44,928 --a------ C:\WINDOWS\system32\drivers\SDTHOOK.SYS 2007-12-28 12:41 . 2007-12-29 17:59 2007-12-28 12:41 . 2007-12-28 12:41 30,590 --a------ C:\WINDOWS\system32\pavas.ico 2007-12-19 00:10 . 2007-12-19 00:10 2007-12-18 21:59 . 2007-12-18 21:59 2007-12-18 21:58 . 2007-12-18 21:58 2007-12-18 14:00 . 2007-12-29 00:47 2007-12-18 14:00 . 2007-12-29 16:12 2007-12-18 14:00 . 2005-09-23 08:29 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll 2007-11-28 19:50 . 2007-12-12 21:36 252 --a------ C:\WINDOWS\Mouse_Boy.iix 2007-11-28 19:34 . 2007-11-28 19:34 2007-11-28 19:34 . 2007-11-28 19:34 2007-11-28 19:34 . 2007-11-28 19:35 2007-11-27 17:59 . 2003-03-07 15:25 32,280 --a------ C:\WINDOWS\system32\AutoRun.pdf 2007-11-27 17:59 . 2003-03-07 15:08 8,192 --a------ C:\WINDOWS\system32\AutoRun.exe 2007-11-12 12:33 . 2007-11-13 20:32 2007-11-12 12:21 . 1999-02-17 13:49 1,039,360 --------- C:\WINDOWS\system32\MSJET35.DLL 2007-11-12 12:21 . 1999-02-17 13:49 368,912 --------- C:\WINDOWS\system32\VBAR332.DLL 2007-11-12 12:20 . 1998-09-25 13:18 607,744 --------- C:\WINDOWS\system32\Decslib.dll 2007-11-12 12:17 . 2007-11-12 12:18 2007-11-12 12:16 . 2007-11-12 12:25 . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2007-12-30 01:36 --------- d-----w C:\Documents and Settings\Paweł\Dane aplikacji\WholeSecurity 2007-12-29 15:31 --------- d-----w C:\Program Files\Alwil Software 2007-12-28 12:43 --------- d-----w C:\Program Files\Google 2007-12-27 17:19 --------- d-----w C:\Documents and Settings\Marta\Dane aplikacji\WholeSecurity 2007-11-28 18:50 --------- d-----w C:\Program Files\Play . ((((((((((((((((((((((((((((( snapshot@2007-12-30_ 0.25.56.96 ))))))))))))))))))))))))))))))))))))))))) . + 2007-12-29 06:04:43 163,328 ----a-w C:\WINDOWS\ERUNT\SDFIX\ERDNT.EXE + 2007-12-30 01:49:44 4,952,064 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\00000001\NTUSER.DAT + 2007-12-30 01:49:44 278,528 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\00000002\UsrClass.dat + 2007-12-29 06:04:43 163,328 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\ERDNT.EXE + 2007-12-30 01:28:29 4,952,064 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\00000001\NTUSER.DAT + 2007-12-30 01:28:29 278,528 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\00000002\UsrClass.dat + 2007-12-30 00:34:47 585,791 ----a-w C:\WINDOWS\gmer.dll + 2007-06-29 08:38:18 581,632 ----a-w C:\WINDOWS\gmer.exe - 2007-12-29 23:07:55 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat + 2007-12-30 01:27:32 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat - 2007-12-29 00:23:18 262,144 ----a-w C:\WINDOWS\system32\config\systemprofile\NtUser.dat + 2007-12-30 00:10:15 262,144 ----a-w C:\WINDOWS\system32\config\systemprofile\NtUser.dat - 2007-12-29 23:07:55 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Historia\History.IE5\index.dat + 2007-12-30 01:27:32 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Historia\History.IE5\index.dat - 2007-12-29 23:07:55 49,152 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat + 2007-12-30 01:27:32 49,152 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat + 2007-12-30 00:34:47 70,001 ----a-w C:\WINDOWS\system32\drivers\gmer.sys + 2005-11-08 22:26:46 38,400 ----a-w C:\WINDOWS\system32\moveex.exe + 2007-12-30 01:52:32 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_3c4.dat . ((((((((((((((((((((((((((((((((((((((((((((( AWF )))))))))))))))))))))))))))))))))))))))))))))))))))))))))) . ----a-w 28,672 2001-11-29 00:00:00 C:\Program Files\Creative\SBAudigy\Program\bak\ADGJDet.exe ----a-w 28,672 2001-12-20 00:00:00 C:\Program Files\Creative\Splash Screen\bak\CTEaxSpl.EXE ----a-w 521,720 2007-02-21 09:36:52 C:\Program Files\eBay\eBay Toolbar2\bak\eBayTBDaemon.exe ----a-w 1,716,224 2007-01-16 08:41:24 C:\Program Files\Gadu-Gadu\bak\gg.exe ----a-w 1,716,224 2007-01-30 14:58:28 C:\Program Files\Gadu-Gadu\gg.exe ----a-w 90,112 2000-05-11 00:00:00 C:\WINDOWS\bak\UpdReg.EXE ----a-w 40,448 1998-09-24 15:07:08 C:\WINDOWS\system32\bak\launcher.dll ----a-w 40,448 1998-09-24 15:07:08 C:\WINDOWS\system32\launcher.dll ----a-w 184,320 1998-10-23 15:51:42 C:\WINDOWS\system32\bak\Launcher.exe ----a-w 155,648 2001-07-09 10:50:42 C:\WINDOWS\system32\bak\NeroCheck.exe . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries & legit default entries are not shown REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “Gadu-Gadu”=“C:\Program Files\Gadu-Gadu\gg.exe” [2007-01-30 15:58] “swg”=“C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe” [2007-08-02 09:52] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “NvCplDaemon”=“RUNDLL32.exe” [2001-10-26 18:30 C:\WINDOWS\system32\rundll32.exe] “nwiz”=“nwiz.exe” [2003-10-06 14:16 C:\WINDOWS\system32\nwiz.exe] “WINDVDPatch”=“CTHELPER.EXE” [2002-07-02 10:56 C:\WINDOWS\system32\CTHELPER.EXE] “Jet Detection”=“C:\Program Files\Creative\SBAudigy\PROGRAM\ADGJDet.exe” [] “CTStartup”=“C:\Program Files\Creative\Splash Screen\CTEaxSpl.exe” [] “eBayToolbar”=“C:\Program Files\eBay\eBay Toolbar2\eBayTBDaemon.exe” [] “TkBellExe”=“C:\Program Files\Common Files\Real\Update_OB\realsched.exe” [2007-10-24 13:51] “avast!”=“C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe” [2007-12-04 14:00] [HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] “CTFMON.EXE”=“C:\WINDOWS\System32\CTFMON.EXE” [2002-09-20 18:05] C:\Documents and Settings\Marta\Menu Start\Programy\Autostart\ launcher.lnk - C:\WINDOWS\system32\bak\Launcher.exe [2007-02-09 01:42:50] C:\Documents and Settings\Pawe\Menu Start\Programy\Autostart\ launcher.lnk - C:\WINDOWS\system32\bak\Launcher.exe [2007-02-09 01:42:50] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice] @="" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice] @="" S3 SDTHOOK;SDTHOOK;C:\WINDOWS\System32\DRIVERS\SDTHOOK.sys [2007-06-05 10:56] S3 SetupNTGLM7X;SetupNTGLM7X;F:\NTGLM7X.sys [] S3 usbscan;Sterownik skanera USB;C:\WINDOWS\System32\DRIVERS\usbscan.sys [2002-08-29 01:48] S3 USBSTOR;Sterownik magazynu masowego USB;C:\WINDOWS\System32\DRIVERS\USBSTOR.SYS [2002-08-29 01:32] . ************************************************************************** catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-12-30 02:56:51 Windows 5.1.2600 Dodatek Service Pack. 1 NTFS scanning hidden processes … scanning hidden autostart entries … HKLM\Software\Microsoft\Windows\CurrentVersion\Run CTStartup = C:\Program Files\Creative\Splash Screen\CTEaxSpl.EXE /run???p???w^?s???>?wH ?w???w*??w4???U??w4???D8?s4???97???H?s???3:?w???T?w?U?w???x?`???C@???s???s???x97?d??sx97??C@?x???sx???;?w???@ scanning hidden files … scan completed successfully hidden files: 0 ************************************************************************** . Completion time: 2007-12-30 2:57:35 C:\ComboFix2.txt … 2007-12-30 01:13 C:\ComboFix3.txt … 2007-12-30 00:27

SDFix: Version 1.120

Run by Paweł on 2007-12-30 at 02:50

Microsoft Windows XP [Wersja 5.1.2600]

Running From: C:\SDFix

Safe Mode:

Checking Services:

Restoring Windows Registry Values

Restoring Windows Default Hosts File

Rebooting…

No to w takim rzie czekam na odpowiedź… czy mój komp jest już czysty czy jeszcze jakiś syf tam siedzi…!

Czy mogę już spokojnie wejść na witrynęmojego banku i sprawdzićzawartość konta…? Czy w końcu przestaną mi wywalać hasła na Ebay’u…?

Pozdrawiam

walker123 · 30 Grudzień 2007 02:24

Ja nie wiem po co te logi…

Jak wiem że mam syf to:

Ad-Aware, później SmitFraudFlix-I śmiga.

Jeśli użyłeś tego co Ci koledzy doradzali, to tak.

archicar · 30 Grudzień 2007 02:25

Hmmm… Ja te logi wstawiam bo mnie o to proszą… Mówię, ze jestem kołek w komputerach choć dziś sam sobie nie wierzę, że sam (choć prowadzony za rękę) cokolwiek w komputerze ruszyłem! Wow! I nie pogryzło mnie…

Wiec jest niby czysto! Nie ma już Backdoor Agenta! Super! Jednak AdAwareSE jeszcze mnie nęka jedną rzeczą, a dokładniej rzecz biorąc AdAwareSE wykrywa ciągle jeszcze takie coś:

Tracking cookie

Data Miner

IECache Entry

0 Bytes

C:…\Paweł\Cookies\paweł@hit.gemius[1].txt

Co to jest…? Za każdym razem go usuwam i po restarcie kompa program go wykrywa jako “critical object”

Czy to jakaś pozostałość po tamtym wirusie czy jak…?

Gutek · 30 Grudzień 2007 12:49

Powinno być OK, a to co Tobie wykrywa to “ciasteczka”, każdy je ma codziennie

archicar · 30 Grudzień 2007 22:17

WIELKIE, SUPERWIELKIE DZIĘKI!

Nigdy bym sobie nie dał rady z tym świństwem! Nawet pojęcia nie miałem, że takie programy istnieją! Dzięki też za wyrozumiałość i cierpliwość w prowadzeniu mnie za rękę! Super! Komp czysty jak łza! Z Ebaya nic nie wraca… Hasło jak ta lala. Gdyby nie Ebay to nawet nie wiedziałbym, że mam takiego syfa!

Wszystkim samych sukcesów i pełnej kabzy w Nowym Roku życzę!

Pozdrawiam i raz jeszcze bardzo dziękuję za pomoc.

ARCHICAR