Reklamy

Koralik · 10 Sierpień 2007 08:29

Witam serdecznie,

Ostatnimi czasy mój komputer stał sie chyba rajem dla wszelkiego rodzaju świństw, których za Chiny Ludowe nie mogę się pozbyć. Próbowałem już różnego rodzaju oprogramowania (Ad-Aware, AVG etc), ale to wszystko działa na krótką metę, gdyż już po chwili wraca do poprzedniego stanu. To co mnie doprowadza do furii, to wszechobecne wyskakujące okienka z reklamami i errorsafem w IE, mimo, że używam tylko firefoxa.

Oto jak wygląda mój log z HijackThis.

Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 10:11:31, on 2007-08-10 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Intel\Wireless\Bin\EvtEng.exe C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\Program Files\Common Files\LightScribe\LSSrvc.exe C:\WINDOWS\system32\nvsvc32.exe C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe C:\Program Files\CyberLink\Shared Files\RichVideo.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\ATK0100\HControl.exe C:\WINDOWS\sm56hlpr.exe C:\Program Files\Wireless Console 2\wcourier.exe C:\WINDOWS\system32\rundll32.exe C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe C:\Program Files\Intel\Wireless\Bin\EOUWiz.exe C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\Program Files\D-Tools\daemon.exe C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe C:\WINDOWS\RTHDCPL.EXE C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Gadu-Gadu\gg.exe C:\Program Files\Messenger\msmsgs.exe C:\Program Files\Netia\Net\netianet.exe C:\Program Files\Skype\Phone\Skype.exe C:\Documents and Settings\Tomek\Moje dokumenty\s?stem32??oolsv.exe C:\WINDOWS\system32\wscntfy.exe C:\Program Files\Adobe\Acrobat 6.0 CE\Distillr\acrotray.exe C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe C:\WINDOWS\ATK0100\ATKOSD.exe C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe C:\Program Files\Program narzędziowy adaptera 802.11b USB \WlanUtility.exe C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe C:\Program Files\Skype\Plugin Manager\skypePM.exe C:\Program Files\Toshiba\Bluetooth Toshiba Stack\tosOBEX.exe C:\Program Files\Toshiba\Bluetooth Toshiba Stack\tosBtProc.exe C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE C:\WINDOWS\msagent\AgentSvr.exe C:\Program Files\TC PowerPack\totalcmd.exe C:\Program Files\Java\jre1.5.0_11\bin\jucheck.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.rotwl.pl R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.rotwl.pl R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0 CE\Acrobat\AcroIEFavClient.dll O4 - HKLM…\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM…\Run: [nwiz] nwiz.exe /install O4 - HKLM…\Run: [skrót do strony właściwości High Definition Audio] HDAShCut.exe O4 - HKLM…\Run: [sMSERIAL] sm56hlpr.exe O4 - HKLM…\Run: [Wireless Console 2] C:\Program Files\Wireless Console 2\wcourier.exe O4 - HKLM…\Run: [intelZeroConfig] “C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe” O4 - HKLM…\Run: [intelWireless] “C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe” /tf Intel PROSet/Wireless O4 - HKLM…\Run: [EOUApp] “C:\Program Files\Intel\Wireless\Bin\EOUWiz.exe” O4 - HKLM…\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM…\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe O4 - HKLM…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM…\Run: [DAEMON Tools-1033] “C:\Program Files\D-Tools\daemon.exe” -lang 1033 O4 - HKLM…\Run: [iSUSPM Startup] “C:\Program Files\Common Files\InstallShield\UpdateService\isuspm.exe” -startup O4 - HKLM…\Run: [iSUSScheduler] “C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe” -start O4 - HKLM…\Run: [sunJavaUpdateSched] “C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe” O4 - HKLM…\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM…\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM…\Run: [XeroxRegistation] “C:\DOCUME~1\Tomek\USTAWI~1\Temp\Xerox\EReg\opbreg.exe” /Startup O4 - HKLM…\Run: [RemoteControl] “C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe” O4 - HKLM…\Run: [LanguageShortcut] “C:\Program Files\CyberLink\PowerDVD\Language\Language.exe” O4 - HKLM…\Run: [!AVG Anti-Spyware] “C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe” /minimized O4 - HKLM…\Run: [OutpostFeedBack] C:\PROGRA~1\Agnitum\OUTPOS~1.0\feedback.exe /dump:os_startup O4 - HKLM…\Run: [systemOptimizer] rundll32.exe “C:\WINDOWS\system32\lanjuawv.dll”,forkonce O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU…\Run: [Gadu-Gadu] “C:\Program Files\Gadu-Gadu\gg.exe” /tray O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background O4 - HKCU…\Run: [NETIANET] C:\Program Files\Netia\Net\netianet.exe O4 - HKCU…\Run: [skype] “C:\Program Files\Skype\Phone\Skype.exe” /nosplash /minimized O4 - HKCU…\Run: [Hdlam] “C:\Documents and Settings\Tomek\Moje dokumenty\s?stem32??oolsv.exe” O4 - HKCU…\Run: [Oeoa] “C:\WINDOWS\system32\PPATCH~1\scanregw.exe” -vt ndrv O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA LOKALNA’) O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA SIECIOWA’) O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’) O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’) O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 6.0 CE\Distillr\acrotray.exe O4 - Global Startup: Action Manager 32.lnk = C:\Program Files\ScannerU\AM32.exe O4 - Global Startup: Bluetooth Manager.lnk = ? O4 - Global Startup: Program narzędziowy adaptera 802.11b USB .lnk = ? O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll O9 - Extra button: Szybkie dostosowywanie programu Outpost Firewall Pro - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\PROGRA~1\Agnitum\OUTPOS~1.0\Plugins\BrowserBar\ie_bar.dll (file missing) O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {3D8700FB-86A4-4CB4-B738-6F0FC016AC7D} (MainControl Class) - http://arcaonline.arcabit.com/ArcaOnline.cab O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://www.mapa.lodz.pl/VIEWERS/mgaxctrl.cab O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MainControl Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: DomainService - Unknown owner - C:\WINDOWS\system32\wsrahjcp.exe (file missing) O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe O23 - Service: Intel® PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe – End of file - 9050 bytes

Prosiłbym o pomoc, gdyż nie należę do zaawansowanych użytkowników, a kompa traktuje bardziej jako narzędzie do pracy niż obiekt moich wielkich zainteresowań. Pozdrawiam,

PS. Dorzucam też loga z ComboFix:

ComboFix 07-08-09.3 - “Tomek” 2007-08-10 10:36:56.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.441 [GMT 2:00] * Created a new restore point ADS removed - ntoskrnl.exe: deleted 68 bytes in 1 streams. ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) C:\DOCUME~1\Tomek\MENUST~1\Programy.\Outerinfo C:\DOCUME~1\Tomek\MENUST~1\Programy.\Outerinfo\Terms.lnk C:\DOCUME~1\Tomek\MOJEDO~1.\sstem3~1 C:\DOCUME~1\Tomek\MOJEDO~1.\sstem3~1??oolsv.exe C:\Program Files\Common Files\Yazzle1162OinUninstaller.exe C:\Program Files\outerinfo C:\Program Files\outerinfo\Terms.rtf C:\WINDOWS\system32\0_exception.nls C:\WINDOWS\system32\adeeg.bak1 C:\WINDOWS\system32\adeeg.ini C:\WINDOWS\system32\ddcyy.dll C:\WINDOWS\system32\eeobwz.dll C:\WINDOWS\system32\hggghhf.dll C:\WINDOWS\system32\hlajwvtq.dll C:\WINDOWS\system32\ijiiksrf.dll C:\WINDOWS\system32\klobolkx.dll C:\WINDOWS\system32\lanjuawv.dll C:\WINDOWS\system32\ppatch~1 C:\WINDOWS\system32\ppatch~1\scanregw.exe C:\WINDOWS\system32\qtvwjalh.ini C:\WINDOWS\system32\vcrxfvpx.dll C:\WINDOWS\system32\vwaujnal.ini C:\WINDOWS\system32\wnstsicomsv32.exe C:\WINDOWS\system32\xepudugc.dll C:\WINDOWS\system32\xklobolk.ini C:\WINDOWS\system32\xpvfxrcv.ini C:\WINDOWS\system32\yycdd.bak1 C:\WINDOWS\system32\yycdd.bak2 C:\WINDOWS\system32\yycdd.ini ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) -------\LEGACY_ASC3550U -------\LEGACY_DOMAINSERVICE -------\LEGACY_NTIO256 -------\LEGACY_RUNTIME2 -------\asc3550u -------\DomainService -------\ntio256 ((((((((((((((((((((((((( Files Created from 2007-07-10 to 2007-08-10 ))))))))))))))))))))))))))))))) 2007-08-10 10:39 69,184 --a------ C:\WINDOWS\system32\ebnghuwr.dll 2007-08-10 10:34 51,200 --a------ C:\WINDOWS\nircmd.exe 2007-08-10 10:10 2007-08-10 09:55 75,328 --a------ C:\WINDOWS\system32\mbqyrrfs.exe 2007-08-08 09:43 2007-08-07 07:59 574,508 --a------ C:\WINDOWS\system32\ulcrhhlj.exe 2007-08-06 08:28 2007-08-06 08:13 2007-08-04 17:29 2007-08-04 17:21 2007-08-04 17:19 2,297,552 --a------ C:\WINDOWS\system32\d3dx9_26.dll 2007-08-01 10:29 2007-07-20 13:01 2007-07-20 12:55 2007-07-20 12:55 2007-07-20 12:03 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys 2007-07-20 12:01 767,280 --a------ C:\WINDOWS\system32\ArcaMicroScanUpdater.exe 2007-07-20 11:36 2007-07-20 10:34 847,872 --a------ C:\WINDOWS\system32\ArcaOnline.dll 2007-07-20 09:39 884,851 —hs---- C:\WINDOWS\system32\adeeg.bak2 2007-07-18 16:23 2007-07-18 16:23 2007-07-18 14:35 2007-07-18 11:47 34,560 --a------ C:\WINDOWS\system32\drivers\runtime2.sys 2007-07-18 11:46 17,920 --a------ C:\WINDOWS\system32\ntio256.sys 2007-07-18 11:46 15,360 --a------ C:\WINDOWS\system32\protector.exe 2007-07-18 11:34 2007-07-18 11:34 2007-07-18 11:31 2007-07-18 10:36 2007-07-18 10:23 2007-07-18 10:05 413,760 --a------ C:\WINDOWS\system32\mpg4c32.dll 2007-07-18 10:05 261,632 --a------ C:\WINDOWS\system32\mcdvd_32.dll 2007-07-18 10:05 24,576 --a------ C:\WINDOWS\system32\msxml3a.dll 2007-07-18 10:05 1,700,352 --a------ C:\WINDOWS\system32\GdiPlus.dll 2007-07-18 10:05 (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-08-10 09:56 --------- d-------- C:\DOCUME~1\Tomek\DANEAP~1\Skype 2007-08-08 10:52 --------- d-------- C:\DOCUME~1\Tomek\DANEAP~1\AdobeUM 2007-08-04 17:21 --------- d–h----- C:\Program Files\InstallShield Installation Information 2007-08-01 10:29 --------- d-------- C:\DOCUME~1\Tomek\DANEAP~1\Lavasoft 2007-07-18 12:19 --------- d-------- C:\Program Files\SkanerOnline 2007-07-18 11:45 --------- d-------- C:\Program Files\Winamp 2007-07-18 11:24 --------- d-------- C:\Program Files\IrfanView 2007-07-18 11:23 --------- d-------- C:\Program Files\mks_vir_2007 2007-07-18 10:43 73216 --a------ C:\WINDOWS\ST6UNST.EXE 2007-07-18 10:43 249856 --------- C:\WINDOWS\Setup1.exe 2007-05-24 19:09 51166 --a------ C:\WINDOWS\system32\perfc015.dat 2007-05-24 19:09 359284 --a------ C:\WINDOWS\system32\perfh015.dat 2007-05-21 11:16 1108 --ahs---- C:\WINDOWS\system32\KGyGaAvL.sys ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE~\Browser Helper Objects{8B8C9987-F0F2-4AA6-B7DE-5762C6A0D4DC}] C:\WINDOWS\system32\vturs.dll [HKEY_LOCAL_MACHINE~\Browser Helper Objects{C046A285-DD5A-48CF-9562-D0E933AE040A}] C:\WINDOWS\system32\mljgh.dll [HKEY_LOCAL_MACHINE~\Browser Helper Objects{EC73176B-1DA5-4757-8222-AB58D1B44780}] C:\WINDOWS\system32\geeda.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “HControl”=“C:\WINDOWS\ATK0100\HControl.exe” [2006-02-23 06:40] “NvCplDaemon”=“C:\WINDOWS\system32\NvCpl.dll” [2005-11-21 17:51] “nwiz”=“nwiz.exe” [2005-11-21 17:51 C:\WINDOWS\system32\nwiz.exe] “Skrót do strony właściwości High Definition Audio”=“HDAShCut.exe” [2005-01-07 18:07 C:\WINDOWS\system32\HdAShCut.exe] “SMSERIAL”=“sm56hlpr.exe” [2005-05-27 01:12 C:\WINDOWS\sm56hlpr.exe] “Wireless Console 2”=“C:\Program Files\Wireless Console 2\wcourier.exe” [2005-10-17 18:09] “IntelZeroConfig”=“C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe” [2006-04-14 12:51] “IntelWireless”=“C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe” [2006-04-14 12:52] “EOUApp”=“C:\Program Files\Intel\Wireless\Bin\EOUWiz.exe” [2006-04-14 12:56] “SynTPEnh”=“C:\Program Files\Synaptics\SynTP\SynTPEnh.exe” [2005-10-21 08:26] “WinampAgent”=“C:\Program Files\Winamp\winampa.exe” [] “NeroFilterCheck”=“C:\WINDOWS\system32\NeroCheck.exe” [2006-01-12 17:40] “DAEMON Tools-1033”=“C:\Program Files\D-Tools\daemon.exe” [2003-10-02 03:20] “ISUSPM Startup”=“C:\Program Files\Common Files\InstallShield\UpdateService\isuspm.exe” [2005-08-11 17:30] “ISUSScheduler”=“C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe” [2005-08-11 17:30] “SunJavaUpdateSched”=“C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe” [2006-12-15 04:23] “RTHDCPL”=“RTHDCPL.EXE” [2005-09-06 14:39 C:\WINDOWS\RTHDCPL.EXE] “Alcmtr”=“ALCMTR.EXE” [2005-05-03 12:43 C:\WINDOWS\ALCMTR.EXE] “RemoteControl”=“C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe” [2007-01-08 22:26] “LanguageShortcut”=“C:\Program Files\CyberLink\PowerDVD\Language\Language.exe” [2007-01-08 22:17] “!AVG Anti-Spyware”=“C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe” [2007-06-11 11:25] “OutpostFeedBack”=“C:\PROGRA~1\Agnitum\OUTPOS~1.0\feedback.exe” [] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “CTFMON.EXE”=“C:\WINDOWS\system32\ctfmon.exe” [2004-08-04 02:44] “Gadu-Gadu”=“C:\Program Files\Gadu-Gadu\gg.exe” [2006-11-14 11:12] “MSMSGS”=“C:\Program Files\Messenger\msmsgs.exe” [2004-08-04 01:55] “NETIANET”=“C:\Program Files\Netia\Net\netianet.exe” [2007-02-12 17:17] “Skype”=“C:\Program Files\Skype\Phone\Skype.exe” [2007-03-30 13:34] “Hdlam”=“C:\Documents and Settings\Tomek\Moje dokumenty\s?stem32??oolsv.exe” [] “Oeoa”=“C:\WINDOWS\system32\PPATCH~1\scanregw.exe” [] C:\Documents and Settings\Tomek\Menu Start\Programy\Autostart\ Adobe Gamma.lnk - C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 20:16:50] C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\ Acrobat Assistant.lnk - C:\Program Files\Adobe\Acrobat 6.0 CE\Distillr\acrotray.exe [2003-07-17 22:50:42] Action Manager 32.lnk - C:\Program Files\ScannerU\AM32.exe [2007-03-26 11:33:17] Bluetooth Manager.lnk - C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtMng1.exe [2005-06-16 12:11:42] Program narz©dziowy adaptera 802.11b USB .lnk - C:\Program Files\Program narz©dziowy adaptera 802.11b USB \WlanUtility.exe [2007-06-09 12:49:44] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system] “DisableRegistryTools”=0 (0x0) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ŔČ] ŔČ [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ČĐ] ČĐ [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\wintuh32] wintuh32.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\Ŕpx] Ŕpx R0 pnpshark;pnpshark;C:\WINDOWS\system32\DRIVERS\pnpshark.sys R0 risdptsk;risdptsk;C:\WINDOWS\system32\DRIVERS\risdptsk.sys R0 st3shark;st3shark;C:\WINDOWS\system32\DRIVERS\st3shark.sys R1 Tosrfcom;Bluetooth RFCOMM from TOSHIBA;C:\WINDOWS\system32\Drivers\tosrfcom.sys R3 MTsensor;ATK0100 ACPI UTILITY;C:\WINDOWS\system32\DRIVERS\ATKACPI.sys R3 rimsptsk;rimsptsk;C:\WINDOWS\system32\DRIVERS\rimsptsk.sys R3 RTL8023xp;Realtek 10/100/1000 NIC Family all in one NDIS XP Driver;C:\WINDOWS\system32\DRIVERS\Rtenicxp.sys R3 smserial;smserial;C:\WINDOWS\system32\DRIVERS\smserial.sys R3 SynMini;USB2.0 1.3M Web Cam;C:\WINDOWS\system32\Drivers\SynMini.sys R3 SynScan;USB2.0 1.3M Web Cam Still Image;C:\WINDOWS\system32\Drivers\SynScan.sys R3 tosporte;Bluetooth Port Driver from Toshiba;C:\WINDOWS\system32\DRIVERS\tosporte.sys R3 Tosrfbd;Bluetooth RFBUS from TOSHIBA;C:\WINDOWS\system32\Drivers\tosrfbd.sys R3 Tosrfbnp;Bluetooth RFBNEP from TOSHIBA;C:\WINDOWS\system32\Drivers\tosrfbnp.sys R3 Tosrfhid;Bluetooth RFHID from TOSHIBA;C:\WINDOWS\system32\DRIVERS\Tosrfhid.sys R3 tosrfnds;Bluetooth Personal Area Network from TOSHIBA;C:\WINDOWS\system32\DRIVERS\tosrfnds.sys R3 Tosrfusb;Bluetooth USB Controller;C:\WINDOWS\system32\Drivers\tosrfusb.sys R3 w39n51;Intel® PRO/Wireless 3945ABG Adapter Driver;C:\WINDOWS\system32\DRIVERS\w39n51.sys S3 cglptnt;cglptnt;??\C:\Program Files\TC PowerPack\cglptnt.sys S3 GT680xNT;715 USB Scanner Driver;C:\WINDOWS\system32\drivers\gt680x.sys S3 sdbus;sdbus;C:\WINDOWS\system32\DRIVERS\sdbus.sys S3 toshidpt;TOSHIBA Bluetooth HID port driver;C:\WINDOWS\system32\drivers\Toshidpt.sys S3 TosRfSnd;Bluetooth Audio Device (WDM) from TOSHIBA;C:\WINDOWS\system32\drivers\TosRfSnd.sys S3 USB_RNDIS;ADI Remote NDIS Network Device Driver;C:\WINDOWS\system32\DRIVERS\usb8023.sys S3 WLAN_USB;Sagem 802.11b USB Dongle Driver;C:\WINDOWS\system32\DRIVERS\WLANUSB.sys [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{2240a8e2-1a5b-11dc-b263-0018f38d1db8}] AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycled\ctfmon.exe Open(&0)\command- G:\Recycled\ctfmon.exe ************************************************************************** catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-08-10 10:42:53 Windows 5.1.2600 Dodatek Service Pack 2 NTFS scanning hidden processes … scanning hidden registry entries … [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\T\1\b] “Asynchronous”=dword:00000000 “Impersonate”=dword:00000000 “DLLName”="\x154\bp\bx\b\3\2" “Logon”=“WLEventLogon\0\0\0\0\0” “Logoff”="" [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Favorites\A\1\5\1c] “Order”=hex:08,00,00,00,02,00,00,00,b8,01,00,00,01,00,00,00,04,00,00,00,8c,… scanning hidden files … scan completed successfully hidden files: 0 ************************************************************************** Completion time: 2007-08-10 10:44:19 - machine was rebooted C:\ComboFix-quarantined-files.txt … 2007-08-10 10:44 — E O F —

jessica · 10 Sierpień 2007 08:54

Te w/w wpisy sfiksuj w Hijacku:

>>Hijack>>scan(Do a system scan only)>>zaznacz je >> Fix checked.

.

.Wklej do Notatnika :

File::

C:\WINDOWS\system32\ebnghuwr.dll

C:\WINDOWS\system32\mbqyrrfs.exe

C:\WINDOWS\system32\ulcrhhlj.exe

C:\WINDOWS\system32\adeeg.bak2

C:\WINDOWS\system32\drivers\runtime2.sys 

C:\WINDOWS\system32\ntio256.sys 

C:\WINDOWS\system32\protector.exe


Registry::

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{8B8C9987-F0F2-4AA6-B7DE-5762C6A0D4DC}]

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C046A285-DD5A-48CF-9562-D0E933AE040A}] 

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{EC73176B-1DA5-4757-8222-AB58D1B44780}] 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Hdlam"=-

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Oeoa"=-

[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\wintuh32]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2240a8e2-1a5b-11dc-b263-0018f38d1db8}]

>>Plik>>Zapisz jako… >>> CFScript.txt (najwygodniej będzie,

jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

(czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– tak jak na tym obrazku -->http://i12.tinypic.com/4l761r5.gif

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie.

Po restarcie usuń ręcznie folder C: ** Qoobox**.

Potem daj nowe logi z Hijacka i ComboFixa - log wklej na http://wklej.org/, a w poście daj tylko link.

.

EDIT:

Masz trzy klucze, które mają niezrozumiałe znaki, więc je trudno będzie usunąć - narzędzia i system nie rozpoznają takich znaków.

Spróbuj ręcznie:

>>Start >>> Uruchom >>> wybierz (lub wpisz) REGEDIT >>OK>

>>rozwiń ten klucz:

(+) HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify

>>zaznacz: ŔČ (to będzie u Ciebie wyglądało inaczej, jakieś niezrozumiałe znaki) >>prawoklik>>usuń

To samo zrób z pozostałymi dwoma niezrozumiałymi wpisami.

.

Koralik · 10 Sierpień 2007 11:59

Ok, zrobiłem to co napisałaś:

Link do HijackThis:

http://wklej.org/id/d1ff285e48

Link do ComboFix:

http://wklej.org/id/85f9ec1d36

Link do Silent Runnera

http://wklej.org/id/49f8ba4e14

Osobno puściłem też VundoFix i FixVundo, ale one nic mi nie wykryły.

jessica · 10 Sierpień 2007 12:20

Logi są czyste.

Kątem oka zauważyłam, że niektóre klucze rejestru, związane z Outpostem, są bez plików.

Czyżbyś nie miał już Firewalla?

.

Koralik · 10 Sierpień 2007 12:28

To super że są czyste, firewalla rzeczywiście nie mam. Polecałabyś jakiegoś dobrego? Dzięki wielkie za dotychczasową pomoc

jessica · 10 Sierpień 2007 12:59

Ja mam “Kerio Personal Firewall” i jestem z niego zadowolona.

.