Witam.

Ostatnio troszke zwolnil mi komputer. Jak sie okazalo po sprawdzaniu Bitdefenderem wirusow bylo ok 265, 1 zostal w systemie. Chcialbym zeby ktos rzucil okiem na log z hijacka i ocenil czy isnieje zagrozenie.

oto log:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 22:12, on 2008-10-30

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\FTRTSVC.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\PowerS.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe

C:\Program Files\Common Files\BitDefender\BitDefender Communicator\xcommsvr.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Common Files\BitDefender\BitDefender Update Service\livesrv.exe

C:\PROGRA~1\NEOSTR~1\TaskBarIcon.exe

C:\Program Files\BitDefender\BitDefender 2008\vsserv.exe

C:\WINDOWS\System32\svchost.exe

C:\PROGRA~1\NEOSTR~1\neostradatp.exe

C:\PROGRA~1\NEOSTR~1\ComComp.exe

C:\PROGRA~1\NEOSTR~1\Toaster.exe

C:\PROGRA~1\NEOSTR~1\Inactivity.exe

C:\PROGRA~1\NEOSTR~1\PollingModule.exe

C:\PROGRA~1\NEOSTR~1\Watch.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\BitDefender\BitDefender 2008\uiscan.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neostrada.pl

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.yahoo.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = neostrada tp

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL

O1 - Hosts: 85.214.74.112 l2testauthd.lineage2.com

O1 - Hosts: 85.214.74.112 l2authd.lineage2.com

O1 - Hosts: 216.107.250.194 nprotect.lineage2.com

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: CPrintEnhancer Object - {AE84A6AA-A333-4B92-B276-C11E2212E4FE} - C:\Program Files\HP\Smart Web Printing\SmartWebPrinting.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll

O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Program Files\BitDefender\BitDefender 2008\IEToolbar.dll

O4 - HKLM…\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM…\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM…\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM…\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM…\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe

O4 - HKLM…\Run: [WOOTASKBARICON] C:\PROGRA~1\NEOSTR~1\GestMaj.exe TaskBarIcon.exe

O4 - HKLM…\Run: [PowerS] C:\WINDOWS\PowerS.exe

O4 - HKLM…\Run: [bitDefender Antiphishing Helper] “C:\Program Files\BitDefender\BitDefender 2008\IEShow.exe”

O4 - HKLM…\Run: [bDAgent] “C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe”

O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU…\Run: [msnmsgr] “C:\Program Files\Windows Live\Messenger\msnmsgr.exe” /background

O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA LOKALNA’)

O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA SIECIOWA’)

O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’)

O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’)

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)

O9 - Extra ‘Tools’ menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)

O17 - HKLM\System\CCS\Services\Tcpip…{335F3B65-9B27-4EEA-92DB-505AB53C8659}: NameServer = 194.204.159.1 217.98.63.164

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O21 - SSODL: UpdateCheck - {A9DB504D-C632-4826-BF64-A33F8F2A0DDA} - (no file)

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\Logishrd\Bluetooth\LBTServ.exe

O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\Program Files\Common Files\BitDefender\BitDefender Update Service\livesrv.exe

O23 - Service: NMIndexingService - Unknown owner - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe (file missing)

O23 - Service: nTune Service (nTuneService) - Unknown owner - C:\Program Files\NVIDIA Corporation\nTune\nTuneService.exe (file missing)

O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite XIIc\Win32\RpcDataSrv.exe

O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite XIIc\RpcSandraSrv.exe

O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe

O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe

O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S.R.L. - C:\Program Files\BitDefender\BitDefender 2008\vsserv.exe

O23 - Service: BitDefender Communicator (XCOMM) - BitDefender - C:\Program Files\Common Files\BitDefender\BitDefender Communicator\xcommsvr.exe

Użyj funkcji Fix checked w HijackThis:

Fix w HJT

znasz te Ip?

Jeśli nie to też fix w HJT

Daj loga z ComboFix

Loga wklejasz na WKLEJ TO lub WKLEJ a w poście daj linka

O1 - Hosts: 85.214.74.112 l2testauthd.lineage2.com

O1 - Hosts: 85.214.74.112 l2authd.lineage2.com

O1 - Hosts: 216.107.250.194 nprotect.lineage2.comO9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)

Gram w lineage 2 na prywatnym serwerze, modyfikacja hosta jet potrzebna w celu obejscia zakazu modyfikowania klienta do gry.

Uzywam tez MSN Messenger (jest bardzo popularny w krajach zachodnich, zupelnie jak u nas tlen czy gg) jako program do komunikacji ze znajomymi spoza Polski.

/edit: poza tym maly problem. Nie moge sie dostac do dyskow, po kliknieciu na ikonke dysku w oknie moj komputer (win xp) otwiera mi sie okienko z wyborem programu do wykonania tej czynnosci. Pewnie to w wyniku dzialania wirusow (btw. ponowny skan Bitdefenderem wykazuje 10 wirusow jak na razie po przeskanowaniu 580 tys plikow) znacie moze jakas szczepionke na to?

wirus: win32.traxg.c@mm zostal usuniety (8 przypadkow)

pozostal Worm.Generic.16975 (niemozliwa zadna czynnosc)

Application.Keygen.BD (wrzucilem do kwarantanny)

przeskanuj http://www.programosy.pl/program,malwar … lware.html i dal loga

I ja i maku13 podalismu te wpisy bo jak może nie zauważyłeś nie są one prawidłowe. w nawiasie pisze: “file missing”

Więc nic ci się nie stanie messenger-em

Malwarebytes’ Anti-Malware 1.30

Wersja bazy definicji: 1340

Windows 5.1.2600 Dodatek Service Pack 2

2008-10-31 03:08:08

mbam-log-2008-10-31 (03-08-08).txt

Typ skanowania: Pełne skanowanie (C:|E:|F:|)

Przeskanowane obiekty: 204639

Upłynęło: 2 hour(s), 22 minute(s), 5 second(s)

Zainfekowane procesy w pamięci: 0

Zainfekowane moduły pamięci: 0

Zainfekowane klucze rejestru: 0

Zainfekowane wartości rejestru: 0

Zainfekowane pliki rejestru: 0

Zainfekowane foldery: 0

Zainfekowane pliki: 0

Zainfekowane procesy w pamięci:

(Nie wykryto groźnych plików)

Zainfekowane moduły pamięci:

(Nie wykryto groźnych plików)

Zainfekowane klucze rejestru:

(Nie wykryto groźnych plików)

Zainfekowane wartości rejestru:

(Nie wykryto groźnych plików)

Zainfekowane pliki rejestru:

(Nie wykryto groźnych plików)

Zainfekowane foldery:

(Nie wykryto groźnych plików)

Zainfekowane pliki:

(Nie wykryto groźnych plików)

Combofix :

ComboFix 08-10-30.09 - Ja 2008-10-30 23:35:47.1 - NTFSx86

Uruchomiony z: C:\Documents and Settings\Ja\Pulpit\ComboFix.exe

* Resident AV is active

UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA

.

((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\autorun.inf

C:\WINDOWS\system32\MSINET.oca

E:\Autorun.inf

F:\Autorun.inf

.

((((((((((((((((((((((((((((((((((((((( Sterowniki/Usługi )))))))))))))))))))))))))))))))))))))))))))))))))

.

-------\Legacy_NPF

((((((((((((((((((((((((( Pliki utworzone od 2008-09-28 do 2008-10-30 )))))))))))))))))))))))))))))))

.

2008-10-30 22:12 . 2008-10-30 22:12

2008-10-30 18:26 . 2004-08-04 13:00 2 —hs---- C:\Documents and Settings\desktop.ini

2008-10-30 18:26 . 2004-08-04 13:00 2 —hs---- C:\desktop.ini

2008-10-19 21:22 . 2008-10-20 18:13

2008-10-19 21:22 . 2008-10-19 21:22

2008-10-19 21:22 . 2008-06-10 20:22 81,288 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys

2008-10-19 21:22 . 2008-06-02 14:19 66,952 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys

2008-10-19 21:22 . 2008-06-02 14:19 42,376 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys

2008-10-19 21:22 . 2008-06-02 14:19 29,576 --a------ C:\WINDOWS\system32\drivers\kcom.sys

2008-10-19 21:17 . 2008-10-19 21:17

2008-10-19 21:16 . 2008-10-30 16:31

2008-10-19 21:12 . 2008-10-22 10:00

2008-09-23 21:40 . 2008-10-21 22:25

2008-09-15 20:43 . 2008-09-15 20:43 268 --ah----- C:\sqmdata19.sqm

2008-09-15 20:43 . 2008-09-15 20:43 244 --ah----- C:\sqmnoopt19.sqm

2008-09-09 06:15 . 2008-09-09 06:15

2008-09-09 06:15 . 2008-09-09 06:15

2008-09-09 06:07 . 2008-09-09 06:07

2008-09-01 19:34 . 2008-09-01 19:34 268 --ah----- C:\sqmdata18.sqm

2008-09-01 19:34 . 2008-09-01 19:34 244 --ah----- C:\sqmnoopt18.sqm

.

(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-10-30 22:39 --------- d-----w C:\Program Files\Neostrada TP

2008-10-30 20:56 --------- d-----w C:\Documents and Settings\Ja\Dane aplikacji\uTorrent

2008-10-23 19:05 --------- d-----w C:\Documents and Settings\Ja\Dane aplikacji\Skype

2008-10-23 18:22 --------- d-----w C:\Documents and Settings\Ja\Dane aplikacji\skypePM

2008-10-21 21:27 --------- d-----w C:\Program Files\SpeedBit Video Accelerator

2008-10-21 21:26 --------- d–h--w C:\Program Files\InstallShield Installation Information

2008-10-20 18:22 --------- d—a-w C:\Documents and Settings\All Users\Dane aplikacji\TEMP

2008-10-06 14:34 --------- d-----w C:\Documents and Settings\Ja\Dane aplikacji\mIRC

2008-10-06 13:54 --------- d-----w C:\Program Files\mIRC

2008-09-07 01:05 --------- d-----w C:\Documents and Settings\Ja\Dane aplikacji\temp

2008-03-22 14:19 19,968 ----a-w C:\Documents and Settings\Ja\Dane aplikacji\GDIPFONTCACHEV1.DAT

2006-06-23 22:48 32,768 ----a-r C:\WINDOWS\inf\UpdateUSB.exe

2004-08-04 12:00 2 --sh–w C:\Program Files\desktop.ini

.

------- Sigcheck -------

2004-08-03 22:14 359040 9f4b36614a0fc234525ba224957de55c C:\WINDOWS\system32\dllcache\tcpip.sys

2004-08-03 22:14 359040 6a603809f598332dbedd535bdbce313e C:\WINDOWS\system32\drivers\tcpip.sys

.

((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“CTFMON.EXE”=“C:\WINDOWS\system32\ctfmon.exe” [2004-08-03 15360]

“msnmsgr”=“C:\Program Files\Windows Live\Messenger\msnmsgr.exe” [2007-10-18 5724184]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“WOOWATCH”=“C:\PROGRA~1\NEOSTR~1\Watch.exe” [2004-08-23 20480]

“WOOTASKBARICON”=“C:\PROGRA~1\NEOSTR~1\GestMaj.exe” [2004-10-14 32768]

“PowerS”=“C:\WINDOWS\PowerS.exe” [2001-08-03 159800]

“BitDefender Antiphishing Helper”=“C:\Program Files\BitDefender\BitDefender 2008\IEShow.exe” [2007-10-09 61440]

“BDAgent”=“C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe” [2008-09-15 368640]

“RTHDCPL”=“RTHDCPL.EXE” [2007-03-21 C:\WINDOWS\RTHDCPL.exe]

“Kernel and Hardware Abstraction Layer”=“KHALMNPR.EXE” [2007-09-21 C:\WINDOWS\KHALMNPR.Exe]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

“CTFMON.EXE”=“C:\WINDOWS\system32\CTFMON.EXE” [2004-08-03 15360]

C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\

Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]

2007-11-15 10:10 72208 c:\Program Files\Common Files\Logishrd\Bluetooth\LBTWLgn.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]

@=""

[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

“EnableFirewall”= 0 (0x0)

[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

“%windir%\system32\sessmgr.exe”=

“C:\Program Files\Gadu-Gadu\gg.exe”=

“C:\Program Files\uTorrent\uTorrent.exe”=

“F:\Gry\NWN2\nwn2main.exe”=

“F:\Gry\NWN2\nwn2main_amdxp.exe”=

“F:\Gry\NWN2\nwupdate.exe”=

“F:\Gry\NWN2\nwn2server.exe”=

“C:\Program Files\SiSoftware\SiSoftware Sandra Lite XIIc\Win32\RpcDataSrv.exe”=

“C:\Program Files\SiSoftware\SiSoftware Sandra Lite XIIc\RpcSandraSrv.exe”=

“F:\Gry\Pro Evolution Soccer 2008\PES2008.exe”=

“C:\Program Files\Windows Live\Messenger\msnmsgr.exe”=

“C:\Program Files\Windows Live\Messenger\livecall.exe”=

“C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe”=

“F:\Gry\S.T.A.L.K.E.R. - Shadow of Chernobyl\bin\XR_3DA.exe”=

“F:\Gry\S.T.A.L.K.E.R. - Shadow of Chernobyl\bin\dedicated\XR_3DA.exe”=

“F:\Gry\Loki\Autorun\Autorun.exe”=

“C:\Program Files\Skype\Phone\Skype.exe”=

“F:\pes\PES 2009\pes2009.exe”=

[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]

“AllowInboundEchoRequest”= 1 (0x1)

R2 BT848;BtCap, WDM Video Capture;C:\WINDOWS\system32\drivers\BT848.SYS [2002-02-22 294380]

R2 BTTUNER;BtTuner, WDM TV Tuner;C:\WINDOWS\system32\drivers\BTTUNER.SYS [2002-02-22 21824]

R2 BTXBAR;BtXBar, WDM Crossbar;C:\WINDOWS\system32\drivers\BTXBAR.SYS [2002-02-22 12796]

R3 AtcL001;NDIS Miniport Driver for Attansic L1 Gigabit Ethernet Controller;C:\WINDOWS\system32\DRIVERS\atl01_xp.sys [2007-03-15 38656]

R3 Bdfndisf;BitDefender Firewall NDIS Filter Service;C:\WINDOWS\system32\DRIVERS\bdfndisf.sys [2008-06-02 86792]

R3 e4usbaw;USB ADSL2 WAN Adapter;C:\WINDOWS\system32\DRIVERS\e4usbaw.sys [2006-09-19 116992]

S2 IKANLOADER2;General Purpose USB Driver (e4ldr.sys);C:\WINDOWS\system32\Drivers\e4ldr.sys [2006-09-15 64000]

S3 MEMSWEEP2;MEMSWEEP2;C:\WINDOWS\system32\12.tmp []

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12

hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc

bdx REG_MULTI_SZ scan

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\J]

\Shell\Auto\command - J:\tel.xls.exe

\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL tel.xls.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\K]

\Shell\Auto\command - K:\tel.xls.exe

\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL tel.xls.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\L]

\Shell\Auto\command - L:\tel.xls.exe

\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL tel.xls.exe

.

• • • • USUNIĘTO PUSTE WPISY - - - -

SSODL-UpdateCheck-{A9DB504D-C632-4826-BF64-A33F8F2A0DDA} - (no file)

.

------- Skan uzupełniający -------

.

FireFox -: Profile - C:\Documents and Settings\Ja\Dane aplikacji\Mozilla\Firefox\Profiles\5g3bceys.default\

FF -: plugin - C:\Program Files\Google\Google Updater\2.4.1368.5602\npCIDetect13.dll

FF -: plugin - C:\Program Files\Java\j2re1.4.0_03\bin\NPJava11.dll

FF -: plugin - C:\Program Files\Java\j2re1.4.0_03\bin\NPJava12.dll

FF -: plugin - C:\Program Files\Java\j2re1.4.0_03\bin\NPJava13.dll

FF -: plugin - C:\Program Files\Java\j2re1.4.0_03\bin\NPJava32.dll

FF -: plugin - C:\Program Files\Java\j2re1.4.0_03\bin\NPJPI140_03.dll

FF -: plugin - C:\Program Files\Java\j2re1.4.0_03\bin\NPOJI610.dll

FF -: plugin - C:\Program Files\Picasa2\npPicasa2.dll

.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-10-30 23:38:47

Windows 5.1.2600 Dodatek Service Pack 2 NTFS

skanowanie ukrytych procesów …

skanowanie ukrytych wpisów autostartu …

skanowanie ukrytych plików …

skanowanie pomyślnie ukończone

ukryte pliki: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\MEMSWEEP2]

“ImagePath”="??\C:\WINDOWS\system32\12.tmp"

.

------------------------ Pozostałe uruchomione procesy ------------------------

.

C:\WINDOWS\system32\ati2evxx.exe

C:\WINDOWS\system32\ati2evxx.exe

C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\WINDOWS\system32\FTRTSVC.exe

C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\Program Files\Common Files\BitDefender\BitDefender Communicator\xcommsvr.exe

C:\Program Files\Common Files\BitDefender\BitDefender Update Service\livesrv.exe

C:\Program Files\BitDefender\BitDefender 2008\vsserv.exe

C:\WINDOWS\system32\wscntfy.exe

C:\PROGRA~1\NEOSTR~1\TaskBarIcon.exe

.

**************************************************************************

.

Czas ukończenia: 2008-10-30 23:41:14 - komputer został uruchomiony ponownie [Ja]

ComboFix-quarantined-files.txt 2008-10-30 22:41:09

Przed: 3 289 743 360 bajtów wolnych

Po: 5,815,005,184 bajtów wolnych

176

Combofic naprawil problem z dostepem do dyskow.

Pobierz The Avenger zaznacz poniższy tekst

kopiujesz - klikasz na Paste Script from Clipboard - Execute - Potwierdzasz i zgadzasz się na restart klikając OK.

Po wykonaniu skasuj z dysku plik: C:\Avenger\backup.zip i wklej raport na forum C:\avenger.txt

Instrukcja obsługi programu http://cybertrash.pl/images/tata/Avenger/Avenger.html

/////////////////////////////////////////

Avenger Pre-Processor log

//////////////////////////////////////////

Platform: Windows XP (build 2600, Dodatek Service Pack 2)

Fri Oct 31 18:01:28 2008

18:01:16: Error: Invalid registry syntax in command:

“HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\J”

Only registry keys under the HKEY_LOCAL_MACHINE hive are accessible to this program.

Skipping line. (Registry key deletion mode)

18:01:19: Error: Invalid registry syntax in command:

“HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\K”

Only registry keys under the HKEY_LOCAL_MACHINE hive are accessible to this program.

Skipping line. (Registry key deletion mode)

18:01:21: Error: Invalid registry syntax in command:

“HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\L”

Only registry keys under the HKEY_LOCAL_MACHINE hive are accessible to this program.

Skipping line. (Registry key deletion mode)

//////////////////////////////////////////

Logfile of The Avenger Version 2.0, © by Swandog46

http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.

Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

No rootkits found!

File “C:\sqmdata19.sqm” deleted successfully.

File “C:\sqmnoopt19.sqm” deleted successfully.

File “C:\sqmdata18.sqm” deleted successfully.

File “C:\sqmnoopt18.sqm” deleted successfully.

Error: file “C:\WINDOWS\system32\12.tmp” not found!

Deletion of file “C:\WINDOWS\system32\12.tmp” failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

–> the object does not exist

Error: could not open file “J:\tel.xls.exe”

Deletion of file “J:\tel.xls.exe” failed!

Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)

–> bad path / the parent directory does not exist

Error: could not open file “K:\tel.xls.exe”

Deletion of file “K:\tel.xls.exe” failed!

Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)

–> bad path / the parent directory does not exist

Error: could not open file “L:\tel.xls.exe”

Deletion of file “L:\tel.xls.exe” failed!

Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)

–> bad path / the parent directory does not exist

Driver “MEMSWEEP2” deleted successfully.

Error: registry key “HKEY_LOCAL_MACHINE\System\ControlSet002\Services\MEMSWEEP2” not found!

Deletion of registry key “HKEY_LOCAL_MACHINE\System\ControlSet002\Services\MEMSWEEP2” failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

–> the object does not exist

Completed script processing.

*******************

Finished! Terminate.

jako ze skonczyla mi sie subskrypcja bitdefendera 2008 zainstalowalem wersje 2009 total security. natomiast po potraktowaniu systemu avengerem dostalem komunikat “system odzyskal sprawnosc po powaznym bledzie”. system zamulas strasznie po tym zabiegu, strony wczytuja sie z opoznieniem, gra przez net prawie niemozliwa (z powodu okrutnych lagow). Jakies pomysly?

Zastosuj się do tego Tematu i zmień tytuł tematu na konkretny inaczej KOSZ

Pozdrawiam Gutek2222

Zmiana zasad wklejania logów na forum - viewtopic.php?f=16&t=253052

Daj nowy log z ComboFix

do tematu sie zastosowalem (mam nadzieje ze w stopniu zadowalajacym)

Log z Combofix:

http://www.wklej.org/id/14265/

komp dziala jak zolw. strony wczytuja sie w zatrwazajaco wolnym tempie.

Nadal zainfekowany pendriv

Otwórz Notatnik i wklej w nim to:

Windows Registry Editor Version 5.00 


[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG >>> kliknij dwa razy na utworzony plik FIX.REG i potwierdź dodanie do rejestru >>> restart. Użyj:

- BitDefender Pica Removal Tool

- PRT (Perlovga Removal Tool)

• http://www.bezpieczenstwosystemow.pl/in … pic=1647.0

zrobione. wciaz odczuwalne jest lekkie mulenie w internecie.

p.s. popraw link do PRT jesli to ma byc direct link bo kieruje prosto na glowna strone, a nie do podpisanego programu.

korzystajac z tego ze macie moje logi na podgladzie chcialbym zapytac jeszcze o zamykanie systemu. zauwazylem ze system zamyka sie dobre pare minut zanim sie komputer wylaczy. jakies porady na ten temat?

Zobacz tutaj http://www.searchengines.pl/index.php?showtopic=5989 sekcja Start / Zamykanie

wielkie dzieki, pomoglo