Matias_PL
(Rostek Mateusz)
30 Czerwiec 2007 16:58
#1
Mój problem jest powszechny jednak nie mogę nigdzie znaleźć rozwiązania.
Mianowicie chodzi o neostradę która się zawiesza.
Włączam BitCometa i mniej więcej po 30 min neostrada wyłącza sie (zawiesza) i pomaga tylko restart kompa. Myślę że to może być to wirus jednak avast i norton niczego nie wykrył dlatego daje loga:
Logfile of HijackThis v1.99.1 Scan saved at 18:49:06, on 2007-06-30 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\SYSTEM32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\nvsvc32.exe C:\Program Files\Spyware Doctor\sdhelp.exe C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wdfmgr.exe C:\WINDOWS\system32\UAService7.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe C:\WINDOWS\INF\MSI\SlowDownCPU\SlowDownCPU.exe C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\WINDOWS\system32\ctfmon.exe C:\PROGRA~1\NEOSTR~1\NeostradaTP.exe C:\PROGRA~1\NEOSTR~1\ComComp.exe C:\PROGRA~1\NEOSTR~1\Watch.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\DOCUME~1\MATEUS~1.MIC\USTAWI~1\Temp\Katalog tymczasowy 1 dla hijackthis.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.optimus.pl R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\windows\blank.htm R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada TP R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL O1 - Hosts: 195.13.63.187 irc.westwood.com O1 - Hosts: 195.13.63.187 servserv.westwood.com O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Program Files\FlashGet\jccatch.dll O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet\tools\BitCometBHO_1.1.6.14.dll O2 - BHO: (no name) - {44E617BE-AA5C-A3AA-2A91-822D12DDAE97} - (no file) O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: SnapFlash Class - {A44CBB0B-C77D-4BF5-87CC-B4EE79AD1B7E} - C:\Program Files\Common Files\Justdo\Jd2002.dll O2 - BHO: (no name) - {BC745416-EDA8-E022-F7CB-E52C851F0F99} - (no file) O2 - BHO: (no name) - {BF225B11-BEA4-B02F-FFCB-E52C851F09C2} - (no file) O2 - BHO: (no name) - {C1E96F1B-83F1-887B-FE4B-8DEA19C672C7} - (no file) O2 - BHO: (no name) - {C6BB4708-AE1D-420D-B49F-0CEA6C6AFF0F} - \ O2 - BHO: (no name) - {CA5BA45E-46EF-163E-B9B3-42B6ACE62990} - (no file) O2 - BHO: (no name) - {ED0399A3-294E-7393-4095-25C0AB270490} - (no file) O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Program Files\FlashGet\getflash.dll O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file) O4 - HKLM…\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe O4 - HKLM…\Run: [WOOTASKBARICON] C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe O4 - HKLM…\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM…\Run: [soundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe O4 - HKLM…\Run: [soundMAX] “C:\Program Files\Analog Devices\SoundMAX\Smax4.exe” /tray O4 - HKLM…\Run: [slowDownCPU] C:\WINDOWS\INF\MSI\SlowDownCPU\SlowDownCPU.exe O4 - HKLM…\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe O4 - HKLM…\Run: [nwiz] nwiz.exe /install O4 - HKLM…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM…\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe O4 - HKLM…\Run: [HP Software Update] “C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe” O4 - HKLM…\Run: [HP Component Manager] “C:\Program Files\HP\hpcoretech\hpcmpmgr.exe” O4 - HKLM…\Run: [DeviceDiscovery] C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe O4 - HKLM…\Run: [CnxDslTaskBar] “C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe” “ZTE Corporation\ZXDSL852” O4 - HKLM…\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKCU…\Run: [incrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: BlueSoleil.lnk = C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe O4 - Global Startup: Microtek Scanner Finder.lnk = C:\WINDOWS\twain_32\ScanWiz5\SDII.exe O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm O8 - Extra context menu item: &Ściągnij przy pomocy FlashGet’a - C:\PROGRA~1\FlashGet\jc_link.htm O8 - Extra context menu item: &Ściągnij wszystko przy pomocy FlashGet’a - C:\PROGRA~1\FlashGet\jc_all.htm O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Save Flash with Flash Catcher - res://C:\Program Files\Common Files\Justdo\IECatcher.DLL/FlashCatcher.htm O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra ‘Tools’ menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Flash Catcher - {90BAE0EF-F4BF-4FAC-B2EC-2C725C34AF12} - C:\Program Files\Common Files\Justdo\IECatcher.DLL O9 - Extra ‘Tools’ menuitem: Flash Catcher - {90BAE0EF-F4BF-4FAC-B2EC-2C725C34AF12} - C:\Program Files\Common Files\Justdo\IECatcher.DLL O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe O9 - Extra ‘Tools’ menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe O14 - IERESET.INF: START_PAGE_URL=http://www.optimus.pl O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O17 - HKLM\System\CCS\Services\Tcpip…{C554B7DD-302C-4A21-90BB-D441813A7E08}: NameServer = 194.204.159.1 217.98.63.164 O20 - AppInit_DLLs: O20 - Winlogon Notify: Shell Extensions - C:\WINDOWS\system32\sgrmfilt.dll (file missing) O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\ O23 - Service: adsldp.exe - Unknown owner - C:\WINDOWS\system32\adsldp.exe (file missing) O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe O23 - Service: kbdus.exe - Unknown owner - C:\WINDOWS\system32\kbdus.exe (file missing) O23 - Service: mplapx.exe - Unknown owner - C:\WINDOWS\system32\mplapx.exe (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Panda Process Protection Service (PavPrSrv) - Unknown owner - C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe (file missing) O23 - Service: scopl.exe - Unknown owner - C:\WINDOWS\system32\scopl.exe (file missing) O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Program Files\Spyware Doctor\sdhelp.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: umpnpmgr.exe - Unknown owner - C:\WINDOWS\system32\umpnpmgr.exe (file missing) O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe O23 - Service: wkssvc.exe - Unknown owner - C:\WINDOWS\
adam9870
(adam9870)
30 Czerwiec 2007 18:27
#2
Na początku mała uwaga: nie trzymaj hijacka w TEMPie lub innym katalogu tymczasowym. Umieść go np. na pulpicie.
Użyj Windows Worms Doors Cleanera zmień znaczki z disable na enable (wszystkie znaczki maja być na zielono, jeżeli któryś z nich będzie na żółto to go zostaw). Po użyciu narzędzia wymagany jest restart.
Start => Uruchom => wpisz services.msc => zatrzymaj i wyłącz usługi: adsldp.exe, kbdus.exe, mplapx.exe, scopl.exe, umpnpmgr.exe oraz wkssvc.exe
Pliki zaznaczone na czerwono usuń ręcznie z dysku w trybie awaryjnym natomiast powyżej przedstawione wpisy korzystając z HijackThis.
Korzystając z programu HostsXpert przywróć domyślne ustawienia plikowi hosts.
Czy masz jeszcze zainstalowaną Pandę? Jeśli nie to korzystając z wiersza polecenia (start -> uruchom -> regedit) wydaj następujące polecenia:
Po wykonaniu wklej log z ComboFix . Aby zrobić w nim log należy go uruchomić => nacisnąć klawisz Y => czekać cierpliwie i log powinien być w formie pliku .txt o nazwie combofix na partycji C.
Matias_PL
(Rostek Mateusz)
1 Lipiec 2007 09:37
#3
Słuchaj dzięki ale czy mógłbyś opisać dokładnie jak wykasować rejestry, pliki w trybie awaryjnym, jak przywrócić domyślne ustawienia hosts oraz jak wydać polecenie w rejestrze bo ja jestem w tym kompletnie zielony.
adam9870
(adam9870)
1 Lipiec 2007 09:52
#4
Ok, instrukcja krok po kroku.
http://www.merijn.org/files/hijackthis.zip
Kliknij na powyższy plik, a następnie wybierz opcję Pobierz bądź Zapisz (zależy od tego z jakiej przeglądarki internetowej korzystasz) i jako miejsce zapisu wskaż Pulpit.
Start >>> uruchom >>> wpisz notepad i kliknij OK >>> do okienka Notatnika, które zostanie otwarte wklej:
Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.BAT
Okienko zapisu pliku powinno wyglądać jak na poniższym screenie:
http://img140.imageshack.us/img140/3296/zapisfn5.png
Plik umieść w dowolnym miejscu (np. na Pulpicie).
Uruchom system w trybie awaryjnym. Aby uruchomić system w trybie awaryjnym należy w czasie gdy komputer będzie wyłączony wcisnąć klawisz F5 bądź F8 >>> włączyć komputer >>> gdy pojawi się ekran wyboru systemu puścić klawisz i za pomocą strzałek na klawiaturze wybrać pozycję Tryb awaryjny i potwierdzić wybór wciskając klawisz ENTER
Kliknij podwójnie na utworzony plik FIX.BAT. Po wykonaniu tej czynności mignie przez chwilkę ekran.
Uruchom HijackThis >>> kliknij Do a system scan only bądź wykonaj nowe skanowanie >>> pokaże się lista wpisów >>> postaw ptaszek przy wpisach, które chcesz usunąć >>> kliknij Fix checked i potwierdź usunięcie.
Uruchom system ponownie ale już w trybie normalnym.
Pobierz, a następnie uruchom program HostsXpert i skorzystaj z opcji Make Hosts ReadOnly?
Wykonaj i wklej log z ComboFix. Dokładna instrukcja tworzenia loga we wspomnianym narzędziu znajduje się tutaj:
http://www.searchengines.pl/phpbb203/in … opic=86306
Matias_PL
(Rostek Mateusz)
1 Lipiec 2007 11:40
#5
Te wpisy co mam usunąć to te wszystkie:
Aha te pliki chciałem wyłączyć ale one już były wyłączone. Gdy w trybie awaryjnym włączyłem ten FIX.BAT to pojawiło się okienko a la DOS i po kolei przy każdym pliki pojawiało się “not found” czy jakoś tak.
Chciałem jeszcze zobaczyć czy w Hijacku te wpisy są ale ich nie było!
Matias_PL
(Rostek Mateusz)
1 Lipiec 2007 12:53
#7
Proszę oto log z Combofixa:
“Mateusz” - 2007-07-01 13:57:50 - ComboFix 07-06-27.7 - Dodatek Service Pack 2 NTFS (((((((((((((((((((((((((((((((((((((((( Look2Me’s Log )))))))))))))))))))))))))))))))))))))))))))))))))) Granting SeDebugPrivilege to Administratorzy … successful ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) C:\Program Files\Common Files{50C44~1 C:\Program Files\Common Files\misc001 C:\Program Files\Common Files\ystem3~1 C:\WINDOWS\asembl~1 C:\WINDOWS\system32\dobe~1 C:\WINDOWS\system32\fnts~1 C:\WINDOWS\system32\racle~1 C:\WINDOWS\system32\sembly~1 C:\WINDOWS\system32\wnstscc.exe C:\WINDOWS\system32\ystem~1 ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) -------\nm ((((((((((((((((((((((((( Files Created from 2007-06-01 to 2007-07-01 ))))))))))))))))))))))))))))))) 2007-07-01 13:55 49,152 --a------ C:\WINDOWS\nircmd.exe 2007-07-01 12:59 442 --a------ C:\DOCUME~1\MATEUS~1.MIC\HKCU_Run.reg 2007-07-01 12:59 3,460 --a------ C:\DOCUME~1\MATEUS~1.MIC\HKLM_Run.reg 2007-07-01 12:59 230 --a------ C:\DOCUME~1\MATEUS~1.MIC\HKLM_RunOnce.reg 2007-07-01 12:59 228 --a------ C:\DOCUME~1\MATEUS~1.MIC\HKCU_RunOnce.reg 2007-07-01 12:34 90,112 --a------ C:\WINDOWS\system32\CActiveList.Dll 2007-07-01 12:34 77,824 --a------ C:\WINDOWS\system32\SecurityBrowser.exe 2007-07-01 12:34 5,632 --a------ C:\WINDOWS\system32\bindll.dll 2007-07-01 12:34 158,208 --a------ C:\WINDOWS\system32\MSCMCDE.DLL 2007-07-01 12:34 102,400 --a------ C:\WINDOWS\system32\CFile.Dll 2007-07-01 12:34 1,028,096 --a------ C:\WINDOWS\system32\WinSweep.dll 2007-07-01 12:34 2007-06-30 17:38 2007-06-30 17:17 2007-06-25 18:15 2007-06-20 19:00 2007-06-11 21:39 2007-06-11 21:39 2007-06-11 21:39 2007-06-11 21:39 2007-06-11 21:35 174,592 --a------ C:\WINDOWS\system32\framedyn.dll 2007-06-11 21:35 2007-06-11 21:34 5,632 --a------ C:\WINDOWS\system32\drivers\StarOpen.sys 2007-06-11 21:34 2007-06-11 20:03 2007-06-11 18:20 2007-06-11 18:17 10,880 --a------ C:\WINDOWS\system32\drivers\NdisIP.sys 2007-06-11 18:16 85,376 --a------ C:\WINDOWS\system32\drivers\NABTSFEC.sys 2007-06-11 18:16 5,504 --a------ C:\WINDOWS\system32\drivers\MSTEE.sys 2007-06-11 18:16 19,328 --a------ C:\WINDOWS\system32\drivers\WSTCODEC.SYS 2007-06-11 18:16 17,024 --a------ C:\WINDOWS\system32\drivers\CCDECODE.sys 2007-06-11 18:16 15,360 --a------ C:\WINDOWS\system32\drivers\StreamIP.sys 2007-06-11 18:16 11,136 --a------ C:\WINDOWS\system32\drivers\SLIP.sys 2007-06-11 18:15 54,784 --a------ C:\WINDOWS\system32\drivers\vfwwdm32.dll 2007-06-06 18:48 2007-06-06 18:48 2007-06-05 20:47 2007-06-03 14:44 9,464 --------- C:\WINDOWS\system32\drivers\cdralw2k.sys 2007-06-03 14:44 9,336 --------- C:\WINDOWS\system32\drivers\cdr4_xp.sys 2007-06-03 14:44 43,528 --------- C:\WINDOWS\system32\drivers\PxHelp20.sys 2007-06-03 14:44 129,784 --------- C:\WINDOWS\system32\pxafs.dll (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-07-01 11:30:59 -------- d-----w C:\Program Files\Neostrada TP 2007-07-01 10:30:23 -------- d-----w C:\Program Files\eMule 2007-07-01 10:22:44 -------- d-----w C:\Program Files\Messenger 2007-07-01 10:20:00 -------- d-----w C:\Program Files\EA SPORTS 2007-07-01 10:19:22 -------- d-----w C:\Program Files\Disney Interactive 2007-07-01 10:11:57 -------- d-----w C:\Program Files\Codemasters 2007-06-30 15:34:24 -------- d–h--w C:\Program Files\InstallShield Installation Information 2007-06-30 15:24:16 -------- d-----w C:\Program Files\EA GAMES 2007-06-30 15:18:07 -------- d-----w C:\Program Files\Electronic Arts 2007-06-30 15:16:12 -------- d-----w C:\Program Files\CueClub 2007-06-30 14:24:00 -------- d-----w C:\Program Files\SpeedFan 2007-06-28 09:39:51 -------- d-----w C:\Program Files\Sims 2007-06-27 19:14:10 -------- d-----w C:\Program Files\FlashGet 2007-06-25 16:15:55 2,560 ----a-w C:\WINDOWS\system32\BitCometRes.dll 2007-06-25 16:04:58 -------- d-----w C:\Program Files\Common Files\AVSMedia 2007-06-14 16:01:15 -------- d-----w C:\DOCUME~1\MATEUS~1.MIC\DANEAP~1\Skype 2007-06-11 17:18:06 -------- d-----w C:\Program Files\QuickTime 2007-06-03 12:45:05 -------- d-----w C:\Program Files\Winamp 2007-05-31 17:04:14 -------- d-----w C:\DOCUME~1\MATEUS~1.MIC\DANEAP~1\Ahead 2007-05-27 14:32:57 -------- d-----w C:\Program Files\Little Fighter 2.5 - v2.0 2007-05-23 17:44:46 737,280 ----a-w C:\WINDOWS\iun6002.exe 2007-05-20 11:49:15 -------- d-----w C:\DOCUME~1\MATEUS~1.MIC\DANEAP~1\Azureus 2007-05-19 10:13:38 -------- d-----w C:\DOCUME~1\MATEUS~1.MIC\DANEAP~1\AdobeUM 2007-05-18 20:12:46 -------- d-----w C:\Program Files\Spyware Doctor 2007-05-18 13:59:34 -------- d-----w C:\Program Files\Send File 2007-05-18 13:43:56 249,856 ------w C:\WINDOWS\Setup1.exe 2007-05-18 13:43:55 73,216 ----a-w C:\WINDOWS\ST6UNST.EXE 2007-05-17 16:27:08 -------- d-----w C:\DOCUME~1\MATEUS~1.MIC\DANEAP~1\FMA 2007-05-16 15:18:58 683,520 ------w C:\WINDOWS\system32\inetcomm.dll 2007-05-12 13:38:43 -------- d-----w C:\Program Files\Ahead 2007-05-12 13:38:42 -------- d-----w C:\Program Files\Common Files\Ahead 2007-04-30 15:46:10 745,600 ----a-w C:\WINDOWS\system32\aswBoot.exe 2007-04-30 15:35:28 95,872 ----a-w C:\WINDOWS\system32\AVASTSS.scr 2007-04-25 14:23:30 144,896 ------w C:\WINDOWS\system32\schannel.dll 2007-04-18 16:14:32 2,854,400 ----a-w C:\WINDOWS\system32\msi.dll 2007-04-16 20:47:36 33,624 ----a-w C:\WINDOWS\system32\wups.dll 2007-04-16 20:45:54 1,710,936 ----a-w C:\WINDOWS\system32\wuaueng.dll 2007-04-16 20:45:48 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll 2007-04-16 20:45:42 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll 2007-04-16 20:45:36 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll 2007-04-16 20:45:28 92,504 ----a-w C:\WINDOWS\system32\cdm.dll 2007-04-16 20:45:20 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe 2007-04-16 20:45:20 43,352 ----a-w C:\WINDOWS\system32\wups2.dll 2006-08-03 09:07:29 88 --sh–r C:\WINDOWS\system32\51A89A1674.sys 2006-08-03 09:07:54 3,350 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects] {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}=C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll [2005-09-24 06:12] {2F364306-AA45-47B5-9F9D-39A8B94E7EF7}=C:\Program Files\FlashGet\jccatch.dll [2007-01-29 11:46] {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60}=C:\Program Files\BitComet\tools\BitCometBHO_1.1.6.14.dll [2007-06-14 15:07] {53707962-6F74-2D53-2644-206D7942484F}=C:\PROGRA~1\SPYBOT~1\SDHelper.dll [2005-05-31 01:04] {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll [2005-11-10 14:22] {A44CBB0B-C77D-4BF5-87CC-B4EE79AD1B7E}=C:\Program Files\Common Files\Justdo\Jd2002.dll [2006-03-16 16:32] {C6BB4708-AE1D-420D-B49F-0CEA6C6AFF0F}=\ [2007-07-01 14:00] {F156768E-81EF-470C-9057-481BA8380DBA}=C:\Program Files\FlashGet\getflash.dll [2007-01-15 05:40] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “WOOWATCH”=“C:\PROGRA~1\NEOSTR~1\Watch.exe” [2005-07-21 09:33] “WOOTASKBARICON”=“C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe” [2005-07-21 09:33] “SunJavaUpdateSched”=“C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe” [2005-11-10 14:03] “SoundMAXPnP”=“C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe” [2004-10-14 09:11] “SoundMAX”=“C:\Program Files\Analog Devices\SoundMAX\Smax4.exe” [2004-08-06 07:27] “nwiz”=“nwiz.exe” [2005-06-15 17:20 C:\WINDOWS\system32\nwiz.exe] “HP Software Update”=“C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe” [2003-06-25 11:24] “HP Component Manager”=“C:\Program Files\HP\hpcoretech\hpcmpmgr.exe” [2003-10-23 19:51] “DeviceDiscovery”=“C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe” [2003-05-21 18:37] “CnxDslTaskBar”=“C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe” [2005-07-21 22:52] “avast!”=“C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe” [2007-04-30 17:42] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “IncrediMail”=“C:\PROGRA~1\INCRED~1\bin\IncMail.exe” [1724-12-25 21:46] “CTFMON.EXE”=“C:\WINDOWS\system32\ctfmon.exe” [2004-08-04 14:00] [HKEY_USERS.default\software\microsoft\windows\currentversion\run] “Spyware Doctor”=“C:\Program Files\Spyware Doctor\swdoctor.exe” /Q [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] “appinit_dlls”= [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools-1033] “C:\Program Files\D-Tools\daemon.exe” -lang 1033 -lock [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Flashget] C:\Program Files\FlashGet\flashget.exe /min [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Gadu-Gadu] “C:\Program Files\Gadu-Gadu\gg.exe” /tray [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] “C:\Program Files\QuickTime\qttask.exe” -atboottime [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype] “C:\Program Files\Skype\Phone\Skype.exe” /nosplash /minimized Contents of the ‘Scheduled Tasks’ folder 2007-02-09 11:41:00 C:\WINDOWS\tasks\At1.job 2007-06-07 10:41:00 C:\WINDOWS\tasks\At2.job 2006-11-10 15:50:10 C:\WINDOWS\tasks\At4.job 2007-01-10 19:00:00 C:\WINDOWS\tasks\At5.job 2007-06-10 12:00:00 C:\WINDOWS\tasks\At6.job ************************************************************************** catchme 0.3.721 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net Rootkit scan 2007-07-01 14:03:15 Windows 5.1.2600 Dodatek Service Pack 2 NTFS scanning hidden processes … scanning hidden autostart entries … scanning hidden files … scan completed successfully hidden files: 0 ************************************************************************** Completion time: 2007-07-01 14:04:28 - machine was rebooted C:\ComboFix-quarantined-files.txt … 2007-07-01 14:04 — E O F —
Joan
(Joan Sunshine)
1 Lipiec 2007 22:52
#8
C:\WINDOWS\system32\SecurityBrowser.exe
C:\WINDOWS\system32\bindll.dll
C:\WINDOWS\system32\51A89A1674.sys
Przeskanuj ten plik na stronie http://virusscan.jotti.org/ i podaj wynik.
Start>wszystkie programy>akcesoria>>>narzędzia systemowe>zaplanowane zadania i usuń wszystkie wpisy z “At”
Matias_PL
(Rostek Mateusz)
2 Lipiec 2007 10:18
#9
Słuchaj ten plik 51…sys jest czysty. A reszty nie ma, te “AT” usunąłem…
adam9870
(adam9870)
2 Lipiec 2007 11:01
#10
Pliki muszą być, poszukaj dokładniej. Ewentualnie spróbuj na czas skanowania włączyć pokazywanie ukrytych i systemowych plików. Możesz to zrobić poprzez aplet Opcje folderów na zakładce Widok korzystając z opcji Pokaż ukryte pliki i foldery oraz Ukryj chronione pliki systemu operacyjnego (zalecane) .
Matias_PL
(Rostek Mateusz)
2 Lipiec 2007 18:29
#11
Joan
(Joan Sunshine)
2 Lipiec 2007 21:06
#12
spróbuj znaleźć przez wyszukiwarkę i wklej nowego combofixa