Kubixsan
(Dragonvegeta)
20 Grudzień 2007 21:07
#1
Ogólnie cięcie się gier + spadki fpsów. Prosze o sprawdzenie loga.
Logfile of HijackThis v1.99.1
Scan saved at 22:00:02, on 2007-12-20
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
d:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\TBPanel.exe
C:\Program Files\WinFast\WFTVFM\WFWIZ.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Microsoft IntelliPoint\ipoint.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Program Files\Warkeys\AutoWarkey\AutoHotkey\AutoHotkey.exe
C:\DOCUME~1\Kubix\USTAWI~1\Temp\rundll.exe
D:\Program Files\VentriloMIX\Ventrilo 2.1.4.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\3eb91.exe
D:\Program Files\Gadu-Gadu\gg.exe
D:\hijackthis_sfx\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.zhaodao123.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WinFast Schedule] C:\Program Files\WinFast\WFTVFM\WFWIZ.exe
O4 - HKLM\..\Run: [Flashget] "d:\Program Files\FlashGet\FlashGet.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "D:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\ipoint.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Gadu-Gadu] "D:\Program Files\Gadu-Gadu\gg.exe" /tray
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Startup: My_AutoWarkey_Script.lnk = D:\Program Files\Warkeys\AutoWarkey\AutoHotkey\AutoHotkey.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - d:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: Ň»ĆđŔ´ŇôŔÖÖúĘÖ (Yiqilai) - Unknown owner - C:\Program Files\Yiqilai\wmp\YiqilaiLyrics.exe (file missing)
Gutek
(Gutek)
20 Grudzień 2007 21:22
#2
Start >>> Uruchom >>> services.msc >>> zatrzymaj i wyłącz Yiqilai
Daj log z ComboFix
Kubixsan
(Dragonvegeta)
20 Grudzień 2007 21:35
#3
Niestety nie ma tam “Yuqilai” ani nic podobnego :/.
Log z Combofix:
Gutek
(Gutek)
20 Grudzień 2007 21:59
#4
Wklej do Notatnika:
>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )
– podobnie jak na tym obrazku –>
(jeśli pojawi się pytanie " 1 or 2 " - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)
Po restarcie usuń ręcznie folder C: * * Qoobox**.
Po tym nowy log z Combo
Gutek
(Gutek)
20 Grudzień 2007 22:16
#6
Wklej do Notatnika:
>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )
– podobnie jak na tym obrazku –>
(jeśli pojawi się pytanie " 1 or 2 " - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)
Po restarcie usuń ręcznie folder C: * * Qoobox**.
Po tym nowy log z Combo
Kubixsan
(Dragonvegeta)
21 Grudzień 2007 14:37
#8
ComboFix 07-12-20.1 - Kubix 2007-12-21 13:43:13.8 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.757 [GMT 1:00]
Running from: C:\Documents and Settings\Kubix\Pulpit\ComboFix.exe
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Documents and Settings\All Users\Dane aplikacji.\t
C:\Documents and Settings\All Users\Dane aplikacji.\t\a2001.dat
C:\Documents and Settings\All Users\Dane aplikacji.\t\b2001.dat
C:\Documents and Settings\All Users\Dane aplikacji.\t\k2001.dat
C:\Documents and Settings\All Users\Dane aplikacji.\t\p2001.dat
C:\Documents and Settings\All Users\Dane aplikacji.\t\r2001.dat
.
((((((((((((((((((((((((( Files Created from 2007-11-21 to 2007-12-21 )))))))))))))))))))))))))))))))
.
2007-12-11 18:42 . 2005-12-30 20:10 761,856 --a------ C:\WINDOWS\system32\xvidcore.dll
2007-12-11 18:42 . 2004-01-22 19:06 157,696 --a------ C:\WINDOWS\system32\unrar.dll
2007-11-27 16:46 . 2007-11-27 16:46 106,496 --a------ C:\WINDOWS\DIIUnin.exe
2007-11-27 16:46 . 2007-11-27 19:27 35,144 --a------ C:\WINDOWS\DIIUnin.dat
2007-11-27 16:46 . 2007-11-27 16:46 2,829 --a------ C:\WINDOWS\DIIUnin.pif
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-20 18:04 --------- d--h--w C:\Program Files\InstallShield Installation Information
2007-12-18 19:15 --------- d-----w C:\Documents and Settings\Kubix\Dane aplikacji\Hamachi
2007-12-16 10:19 --------- d-----w C:\Documents and Settings\Kubix\Dane aplikacji\teamspeak2
2007-12-13 15:19 43,520 ----a-w C:\WINDOWS\system32\CmdLineExt03.dll
2007-12-06 20:21 25,280 ----a-w C:\WINDOWS\system32\drivers\hamachi.sys
2007-11-29 10:41 --------- d-----w C:\Program Files\Microsoft IntelliPoint
2007-11-27 18:24 21,840 ----atw C:\WINDOWS\system32\SIntfNT.dll
2007-11-27 18:24 17,212 ----atw C:\WINDOWS\system32\SIntf32.dll
2007-11-27 18:24 12,067 ----atw C:\WINDOWS\system32\SIntf16.dll
2007-11-19 19:16 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\DAEMON Tools Pro
2007-11-19 18:35 --------- d-----w C:\Program Files\DAEMON Tools Pro
2007-11-19 09:58 278,984 ----a-w C:\WINDOWS\system32\drivers\atksgt.sys
2007-11-19 09:58 25,416 ----a-w C:\WINDOWS\system32\drivers\lirsgt.sys
2007-11-19 09:23 --------- d-----w C:\Documents and Settings\Kubix\Dane aplikacji\DAEMON Tools Pro
2007-11-19 09:18 685,816 ----a-w C:\WINDOWS\system32\drivers\sptd.sys
2007-11-13 17:02 --------- d-----w C:\Program Files\MSN Messenger
2007-11-13 14:00 20,541 ----a-w C:\WINDOWS\system32\detoured.dll
2007-11-13 14:00 --------- d-----w C:\Program Files\Windows Live
2007-11-12 15:53 --------- d-----w C:\Program Files\eachnet
2007-11-11 19:28 178,999 ----a-w C:\Documents and Settings\Kubix\dodolook020.exe
2007-11-06 16:08 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\NexonUS
2007-10-06 07:59 348,160 ----a-w C:\WINDOWS\system32\msvcr71.dll
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:44]
"Gadu-Gadu"="D:\Program Files\Gadu-Gadu\gg.exe" [2007-05-10 15:36]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-08-03 23:55]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Gainward"="C:\WINDOWS\TBPanel.exe" [2006-08-04 08:38]
"NvCplDaemon"="RUNDLL32.exe" [2004-08-03 23:44 C:\WINDOWS\system32\rundll32.exe]
"nwiz"="nwiz.exe" [2006-06-01 10:22 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="RunDLL32.exe" [2004-08-03 23:44 C:\WINDOWS\system32\rundll32.exe]
"Flashget"="d:\Program Files\FlashGet\FlashGet.exe" [2007-04-16 16:10]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 03:00]
"!AVG Anti-Spyware"="D:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 10:25]
"NeroCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50]
"SoundMan"="SOUNDMAN.EXE" [2006-11-17 04:42 C:\WINDOWS\soundman.exe]
"IntelliPoint"="C:\Program Files\Microsoft IntelliPoint\ipoint.exe" [2006-07-08 00:15]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-03 23:44]
C:\Documents and Settings\Kubix\Menu Start\Programy\Autostart\
My_AutoWarkey_Script.lnk - D:\Program Files\Warkeys\AutoWarkey\AutoHotkey\AutoHotkey.exe [2007-07-19 15:05:22]
R1 BIOS;BIOS;C:\WINDOWS\system32\drivers\BIOS.sys [2005-03-16 07:23]
R2 BT848;WinFast TV2000 XP WDM Video Capture;C:\WINDOWS\system32\drivers\wf2kvcap.sys [2004-10-04 11:34]
R2 tv2ktunr;WinFast TV2000 XP WDM TVTuner;C:\WINDOWS\system32\drivers\wf2ktunr.sys [2004-10-04 11:34]
R2 Tv2kXbar;WinFast TV2000 XP WDM Crossbar;C:\WINDOWS\system32\drivers\wf2kxbar.sys [2004-10-04 11:34]
S3 NPF;NetGroup Packet Filter Driver;C:\WINDOWS\system32\drivers\npf.sys [2005-08-02 22:10]
S3 WFIOCTL;WFIOCTL;C:\Program Files\WinFast\WFTVFM\WFIOCTL.SYS [2005-01-06 15:55]
.
**************************************************************************
catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-21 13:44:21
Windows 5.1.2600 Dodatek Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
Completion time: 2007-12-21 13:45:03
C:\ComboFix2.txt ... 2007-12-21 13:30
C:\ComboFix3.txt ... 2007-12-21 13:25
Gutek
(Gutek)
21 Grudzień 2007 23:50
#9
Ja już nic w logu nie widzę