Mam pewien problem. Wdarł mi sie jakoś na kompa wirus, ktorego folder jest na dysku C w program files. Objawia sie tym że strasznie laguje PC i w prawym dolnym rogu wyskakuje co chwilkę okienko. Wirus ten składa się z czterech aplikacji w menadżeże zadań. Nie da sie ich wyłaczyć --> przeskakują tylko w inne miejsce w liscie. Folderu z wirusem tez sie nie da usunąć ponieważ pisze, że pliki w nim są używane. Tak to wygląda: http://img233.imageshack.us/img233/7263/wirusre3.jpg
wklej logi z hijackthis i silent runners
do usunięcia plików użyj unlockera
http://dobreprogramy.pl/index.php?dz=2&t=59&id=1571
lub killboxa
Hijack This:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
D:\Panda Internet Secutiry\pavsrv51.exe
D:\Panda Internet Secutiry\AVENGINE.EXE
C:\WINDOWS\system32\svchost.exe
D:\Panda Internet Secutiry\TPSrv.exe
d:\panda internet secutiry\firewall\PNMSRV.EXE
C:\WINDOWS\system32\spoolsv.exe
D:\Panda Internet Secutiry\PavFnSvr.exe
C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe
D:\Panda Internet Secutiry\AntiSpam\pskmssvc.exe
D:\Panda Internet Secutiry\PsImSvc.exe
C:\WINDOWS\System32\svchost.exe
D:\Panda Internet Secutiry\apvxdwin.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Video Access ActiveX Object\isamntr.exe
C:\Program Files\Video Access ActiveX Object\isamini.exe
D:\Gadu-Gadu\gg.exe
D:\Panda Internet Secutiry\SRVLOAD.EXE
d:\panda internet secutiry\WebProxy.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Novatel Wireless\MobiLink\MobiLink.exe
C:\PROGRA~1\NOVATE~1\MobiLink\Phoenix.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\Pliki Internetowe\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/
F2 - REG:system.ini: Shell=explorer.exe regchk.exe
O2 - BHO: (no name) - {A6ACAE64-F798-4930-AD86-BD3FB32038DB} - C:\Program Files\Video Access ActiveX Object\isadd.dll
O4 - HKCU…\Run: [Gadu-Gadu] “D:\Gadu-Gadu\gg.exe” /tray
O17 - HKLM\System\CCS\Services\Tcpip…{6CE5956E-F310-45E6-B134-9AA15882378F}: NameServer = 213.158.194.1 213.158.193.38
O17 - HKLM\System\CS1\Services\Tcpip…{6CE5956E-F310-45E6-B134-9AA15882378F}: NameServer = 213.158.194.1 213.158.193.38
O17 - HKLM\System\CS2\Services\Tcpip…{6CE5956E-F310-45E6-B134-9AA15882378F}: NameServer = 213.158.194.1 213.158.193.38
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - D:\Panda Internet Secutiry\PavFnSvr.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - D:\Panda Internet Secutiry\pavsrv51.exe
O23 - Service: Panda Antispam Engine (pmshellsrv) - Panda Software International - D:\Panda Internet Secutiry\AntiSpam\pskmssvc.exe
O23 - Service: Panda Network Manager (PNMSRV) - Panda Software International - d:\panda internet secutiry\firewall\PNMSRV.EXE
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software - D:\Panda Internet Secutiry\PsImSvc.exe
O23 - Service: Panda TPSrv (TPSrv) - Panda Software - D:\Panda Internet Secutiry\TPSrv.exe
A Silent Runner nie chce sie uruchomić.
Złączono Posta : 23.03.2007 (Pią) 16:22
a Unlocker nie działa… tzn niby wyłącza procesy ale one sie odnawiają ciągle. Niecałą sekundę po wyłączeniu jest respawn aplikacji. ciężki przypadek
Złączono Posta : 23.03.2007 (Pią) 16:50
no dobra udało mi się usunąć ten plik… ale to okienko ktore wyskakuje w prawym dolnym rogu ekranu jest dalej (patrz screen wyżej). Co mam z tym zrobić?
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
D:\Panda Internet Secutiry\pavsrv51.exe
D:\Panda Internet Secutiry\AVENGINE.EXE
C:\WINDOWS\system32\svchost.exe
D:\Panda Internet Secutiry\TPSrv.exe
d:\panda internet secutiry\firewall\PNMSRV.EXE
C:\WINDOWS\system32\spoolsv.exe
D:\Panda Internet Secutiry\PavFnSvr.exe
C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe
D:\Panda Internet Secutiry\AntiSpam\pskmssvc.exe
D:\Panda Internet Secutiry\PsImSvc.exe
C:\WINDOWS\System32\svchost.exe
D:\Panda Internet Secutiry\apvxdwin.exe
C:\WINDOWS\system32\Ati2evxx.exe
D:\Pliki Internetowe\Unlocker\UnlockerAssistant.exe
D:\Panda Internet Secutiry\SRVLOAD.EXE
d:\panda internet secutiry\WebProxy.exe
C:\Program Files\Novatel Wireless\MobiLink\MobiLink.exe
C:\PROGRA~1\NOVATE~1\MobiLink\Phoenix.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\explorer.exe
D:\Gadu-Gadu\gg.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\Pliki Internetowe\HijackThis.exe
C:\Program Files\Internet Explorer\iexplore.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/
F2 - REG:system.ini: Shell=explorer.exe regchk.exe
O2 - BHO: (no name) - {A6ACAE64-F798-4930-AD86-BD3FB32038DB} - C:\Program Files\Video Access ActiveX Object\isadd.dll (file missing)
O4 - HKLM…\Run: [unlockerAssistant] “D:\Pliki Internetowe\Unlocker\UnlockerAssistant.exe”
O4 - HKCU…\Run: [Gadu-Gadu] “D:\Gadu-Gadu\gg.exe” /tray
O17 - HKLM\System\CCS\Services\Tcpip…{6CE5956E-F310-45E6-B134-9AA15882378F}: NameServer = 213.158.194.1 213.158.193.38
O17 - HKLM\System\CS1\Services\Tcpip…{6CE5956E-F310-45E6-B134-9AA15882378F}: NameServer = 213.158.194.1 213.158.193.38
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - D:\Panda Internet Secutiry\PavFnSvr.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - D:\Panda Internet Secutiry\pavsrv51.exe
O23 - Service: Panda Antispam Engine (pmshellsrv) - Panda Software International - D:\Panda Internet Secutiry\AntiSpam\pskmssvc.exe
O23 - Service: Panda Network Manager (PNMSRV) - Panda Software International - d:\panda internet secutiry\firewall\PNMSRV.EXE
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software - D:\Panda Internet Secutiry\PsImSvc.exe
O23 - Service: Panda TPSrv (TPSrv) - Panda Software - D:\Panda Internet Secutiry\TPSrv.exe
to jest juz po skasowaniu folderu
Użyj narzędzia SmitFraudFix (wybierz opcję 2). Potem sprawdź co będzie z tego co wskazałem poniżej i usuń: (wszystko oczywiście robisz w trybie awaryjnym z wyłączonym przywracaniem systemu)
Plik usuń ręcznie jeśli będzie natomiast wpisy HijackThis.
Po wykonaniu pokaż nowy log z HijackThis, SilentRunners oraz zawartość pliku c:\rapport.txt
Blood9999
Przeczytaj tematy przyklejone w tym dziale i popraw posta - brak tagów.JNJN
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
D:\Panda Internet Secutiry\pavsrv51.exe
D:\Panda Internet Secutiry\AVENGINE.EXE
C:\WINDOWS\system32\svchost.exe
D:\Panda Internet Secutiry\TPSrv.exe
d:\panda internet secutiry\firewall\PNMSRV.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
D:\Panda Internet Secutiry\PavFnSvr.exe
C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe
D:\Panda Internet Secutiry\AntiSpam\pskmssvc.exe
D:\Panda Internet Secutiry\PsImSvc.exe
C:\WINDOWS\System32\svchost.exe
D:\Panda Internet Secutiry\apvxdwin.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\WgaTray.exe
C:\WINDOWS\explorer.exe
D:\Panda Internet Secutiry\SRVLOAD.EXE
d:\panda internet secutiry\WebProxy.exe
D:\Gadu-Gadu\gg.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Novatel Wireless\MobiLink\MobiLink.exe
C:\PROGRA~1\NOVATE~1\MobiLink\Phoenix.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\Pliki Internetowe\HijackThis.exe
F2 - REG:system.ini: Shell=explorer.exe regchk.exe
O4 - HKLM…\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU…\Run: [Gadu-Gadu] “D:\Gadu-Gadu\gg.exe” /tray
O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\MSMSGS.EXE” /background
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra ‘Tools’ menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O17 - HKLM\System\CCS\Services\Tcpip…{6CE5956E-F310-45E6-B134-9AA15882378F}: NameServer = 213.158.194.1 213.158.193.38
O17 - HKLM\System\CS1\Services\Tcpip…{6CE5956E-F310-45E6-B134-9AA15882378F}: NameServer = 213.158.194.1 213.158.193.38
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - D:\Panda Internet Secutiry\PavFnSvr.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - D:\Panda Internet Secutiry\pavsrv51.exe
O23 - Service: Panda Antispam Engine (pmshellsrv) - Panda Software International - D:\Panda Internet Secutiry\AntiSpam\pskmssvc.exe
O23 - Service: Panda Network Manager (PNMSRV) - Panda Software International - d:\panda internet secutiry\firewall\PNMSRV.EXE
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software - D:\Panda Internet Secutiry\PsImSvc.exe
O23 - Service: Panda TPSrv (TPSrv) - Panda Software - D:\Panda Internet Secutiry\TPSrv.exe
to jest hijack this a silent runners mi nie dziala
SmitFraudFix v2.153
Scan done at 17:57:15,89, 07-03-23
Run from D:\Sciagniete pliki\SmitfraudFix
OS: Microsoft Windows XP [Wersja 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
Plik usuń ręcznie będąc w trybie awaryjnym (jeśli będzie) natomiast wpis HJT.
Po wykonaniu możesz wkleić nowy log z HJT plus z SilentRunners.
tylko ze włąsnie tego pliku nie ma iw tym jest problem. przez to strasznie długo włącza mi sie profil. a juz po wejsciu wyskakuje mi komunikat ze tego pliku nie ma i mam go poszukac czy cos w tym stylu. co moge z tym zrobic?
Złączono Posta : 23.03.2007 (Pią) 19:49
aha i silent Runners nie chce mi sie uruchomić
Skoro nie możesz znaleźć tego pliku to usuń tylko wpis który podałem poprzez HijackThis.
O problemach z silentem poczytaj TUTAJ. Ewentualnie zamiast loga z silenta pokaż log z ComboFix.
tzn jak ja mam to usunąc?
Zaznaczasz okienko przy tym wpisie i klikasz “Fix checked”, koniecznie daj tego Silenta lub Combo…
ale nigdzie nie mgoe tego Combo znalezc. moze ktos zarzucic linkiem?
No przecież Adam podlinkował nazwę
daje to fix i nic sie nie dzieje …
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
D:\Panda Internet Secutiry\pavsrv51.exe
D:\Panda Internet Secutiry\AVENGINE.EXE
C:\WINDOWS\system32\svchost.exe
D:\Panda Internet Secutiry\TPSrv.exe
d:\panda internet secutiry\firewall\PNMSRV.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
D:\Panda Internet Secutiry\PavFnSvr.exe
C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe
D:\Panda Internet Secutiry\AntiSpam\pskmssvc.exe
D:\Panda Internet Secutiry\PsImSvc.exe
C:\WINDOWS\System32\svchost.exe
D:\Panda Internet Secutiry\apvxdwin.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\WgaTray.exe
C:\WINDOWS\explorer.exe
D:\Gadu-Gadu\gg.exe
D:\Panda Internet Secutiry\SRVLOAD.EXE
d:\panda internet secutiry\WebProxy.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Novatel Wireless\MobiLink\MobiLink.exe
C:\PROGRA~1\NOVATE~1\MobiLink\Phoenix.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\Panda Internet Secutiry\Upgrader.exe
D:\Pliki Internetowe\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/
F2 - REG:system.ini: Shell=explorer.exe regchk.exe
O4 - HKLM…\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM…\Run: [AceGain LiveUpdate] C:\Program Files\AceGain\LiveUpdate\LiveUpdate.exe
O4 - HKCU…\Run: [Gadu-Gadu] “D:\Gadu-Gadu\gg.exe” /tray
O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\MSMSGS.EXE” /background
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra ‘Tools’ menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O17 - HKLM\System\CCS\Services\Tcpip…{6CE5956E-F310-45E6-B134-9AA15882378F}: NameServer = 213.158.194.1 213.158.193.38
O17 - HKLM\System\CS1\Services\Tcpip…{6CE5956E-F310-45E6-B134-9AA15882378F}: NameServer = 213.158.194.1 213.158.193.38
O17 - HKLM\System\CS2\Services\Tcpip…{6CE5956E-F310-45E6-B134-9AA15882378F}: NameServer = 213.158.194.1 213.158.193.38
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - D:\Panda Internet Secutiry\PavFnSvr.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - D:\Panda Internet Secutiry\pavsrv51.exe
O23 - Service: Panda Antispam Engine (pmshellsrv) - Panda Software International - D:\Panda Internet Secutiry\AntiSpam\pskmssvc.exe
O23 - Service: Panda Network Manager (PNMSRV) - Panda Software International - d:\panda internet secutiry\firewall\PNMSRV.EXE
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software - D:\Panda Internet Secutiry\PsImSvc.exe
O23 - Service: Panda TPSrv (TPSrv) - Panda Software - D:\Panda Internet Secutiry\TPSrv.exe
a oto operacje jakie wykonywałem po skanie:
wcisnąłem fix checked:
po wciśnięciu tak:
a po nastepnym scanie:
bez zmian
Złączono Posta : 24.03.2007 (Sob) 17:24
i co mam teraz zrobić? a ten link od Adama nie dziala
Złączono Posta : 25.03.2007 (Nie) 8:52
Prosze niech mi ktos odpowie co mam teraz zrobic…
Złączono Posta : 25.03.2007 (Nie) 11:02
a oto scan z ComboFix:
2007-03-24 21:24
2007-03-24 21:24
2007-03-24 19:41
2007-03-24 19:38
2007-03-24 13:11
2007-03-24 13:08 729,088 --a------ C:\WINDOWS\iun6002.exe
2007-03-24 13:08 553 --a------ C:\WINDOWS\eReg.dat
2007-03-24 13:08
2007-03-24 12:55 593,408 --a------ C:\WINDOWS\system32\h323msp.dll
2007-03-24 12:55 549,888 --a------ C:\WINDOWS\system32\rtcdll.dll
2007-03-24 12:55 439,296 --a------ C:\WINDOWS\system32\ipnathlp.dll
2007-03-24 12:55 26,112 --a------ C:\WINDOWS\system32\xpsp1hfm.exe
2007-03-23 21:12
2007-03-23 18:56 718 --a------ C:\WINDOWS\system32\tmp.reg
2007-03-23 18:55 79,360 --a------ C:\WINDOWS\system32\swxcacls.exe
2007-03-23 18:55 53,248 --a------ C:\WINDOWS\system32\Process.exe
2007-03-23 18:55 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2007-03-23 18:55 40,960 --a------ C:\WINDOWS\system32\swsc.exe
2007-03-23 18:55 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2007-03-23 18:55 135,168 --a------ C:\WINDOWS\system32\swreg.exe
2007-03-23 18:48 262,144 --a------ C:\DOCUME~1\ALLUSE~1\ntuser.dat
2007-03-23 18:15 947,472 --a------ C:\WINDOWS\system32\msjava.dll
2007-03-23 18:15 63,248 --a------ C:\WINDOWS\system32\javaprxy.dll
2007-03-23 18:15 6,550 --a------ C:\WINDOWS\jautoexp.dat
2007-03-23 18:15 49,424 --a------ C:\WINDOWS\system32\clspack.exe
2007-03-23 18:15 46,352 --a------ C:\WINDOWS\setdebug.exe
2007-03-23 18:15 404,752 --a------ C:\WINDOWS\system32\javart.dll
2007-03-23 18:15 313,856 --a------ C:\WINDOWS\system32\dx3j.dll
2007-03-23 18:15 286,992 --a------ C:\WINDOWS\system32\vmhelper.dll
2007-03-23 18:15 21,264 --a------ C:\WINDOWS\system32\msjdbc10.dll
2007-03-23 18:15 187,152 --a------ C:\WINDOWS\system32\javacypt.dll
2007-03-23 18:15 172,304 --a------ C:\WINDOWS\system32\jview.exe
2007-03-23 18:15 171,792 --a------ C:\WINDOWS\system32\wjview.exe
2007-03-23 18:15 171,280 --a------ C:\WINDOWS\system32\jit.dll
2007-03-23 18:15 154,384 --a------ C:\WINDOWS\system32\msawt.dll
2007-03-23 18:15 15,120 --a------ C:\WINDOWS\system32\jdbgmgr.exe
2007-03-23 18:15 139,536 --a------ C:\WINDOWS\system32\javaee.dll
2007-03-23 18:15 113 --a------ C:\WINDOWS\system32\zonedon.reg
2007-03-23 18:15 113 --a------ C:\WINDOWS\system32\zonedoff.reg
2007-03-22 20:44
2007-03-22 20:20
2007-03-22 15:47 1,001,472 --a------ C:\WINDOWS\system32\esent.dll
2007-03-22 14:43 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe
2007-03-22 14:43
2007-03-22 14:43
2007-03-22 14:41
2007-03-21 16:51 664 --a------ C:\WINDOWS\system32\d3d9caps.dat
2007-03-21 16:51 552 --a------ C:\WINDOWS\system32\d3d8caps.dat
2007-03-21 16:41 9,216 --a------ C:\WINDOWS\system32\drivers\fnetmon.sys
2007-03-21 16:41 71,552 --a------ C:\WINDOWS\system32\drivers\pavdrv51.sys
2007-03-21 16:41 57,344 --a------ C:\WINDOWS\system32\pavipc.dll
2007-03-21 16:41 446,464 --a------ C:\WINDOWS\system32\HHActiveX.dll
2007-03-21 16:41 44,544 --a------ C:\WINDOWS\system32\drivers\APPFLT.SYS
2007-03-21 16:41 36,864 --a------ C:\WINDOWS\system32\drivers\dsaflt.sys
2007-03-21 16:41 245,760 --a------ C:\WINDOWS\system32\PavSHook.dll
2007-03-21 16:41 23,296 --a------ C:\WINDOWS\system32\drivers\smsflt.sys
2007-03-21 16:41 198,876 --a------ C:\WINDOWS\system32\drivers\APPFCONT.DAT
2007-03-21 16:41 185,472 --a------ C:\WINDOWS\system32\drivers\idsflt.sys
2007-03-21 16:41 16,640 --a------ C:\WINDOWS\system32\drivers\cpoint.sys
2007-03-21 16:41 16,256 --a------ C:\WINDOWS\system32\drivers\wnmflt.sys
2007-03-21 16:41 141,312 --a------ C:\WINDOWS\system32\drivers\netflt.sys
2007-03-21 16:41 139,264 --a------ C:\WINDOWS\system32\TpUtil.dll
2007-03-21 16:41 103,936 --a------ C:\WINDOWS\system32\drivers\netfltdi.sys
2007-03-21 16:41 101,888 --a------ C:\WINDOWS\system32\SYSTOOLS.DLL
2007-03-21 16:40 9,488 --a------ C:\WINDOWS\system32\sporder.dll
2007-03-21 16:40 45,056 --a------ C:\WINDOWS\system32\avldr.dll
2007-03-21 16:40
2007-03-21 16:16 26,752 --a------ C:\WINDOWS\system32\drivers\ShldDrv.sys
2007-03-21 16:16 165,120 --a------ C:\WINDOWS\system32\drivers\PavProc.sys
2007-03-21 16:16
2007-03-21 15:07 1,341 --a------ C:\WINDOWS\mozver.dat
2007-03-21 14:48 0 --a------ C:\WINDOWS\nsreg.dat
2007-03-21 14:48
2007-03-18 20:32 17,480 --a------ C:\WINDOWS\system32\drivers\hamachi.sys
2007-03-18 15:22 7,680 --------- C:\WINDOWS\system32\bitsprx2.dll
2007-03-18 15:22 7,168 --------- C:\WINDOWS\system32\bitsprx3.dll
2007-03-18 15:22 331,776 --a------ C:\WINDOWS\system32\winhttp.dll
2007-03-18 15:22 17,408 --a------ C:\WINDOWS\system32\qmgrprxy.dll
2007-03-18 14:54
2007-03-18 14:51
2007-03-18 14:50 466,200 --a------ C:\WINDOWS\system32\wuapi.dll
2007-03-18 14:50 41,240 --a------ C:\WINDOWS\system32\wups.dll
2007-03-18 14:50 195,352 --a------ C:\WINDOWS\system32\wuaueng1.dll
2007-03-18 14:50 175,384 --a------ C:\WINDOWS\system32\wuauclt1.exe
2007-03-18 14:50 173,536 --a------ C:\WINDOWS\system32\wuweb.dll
2007-03-18 14:50 128,280 --a------ C:\WINDOWS\system32\wucltui.dll
2007-03-15 11:56
2007-03-03 18:31
2007-03-03 10:30
2007-03-02 18:29
2007-03-02 18:21
2007-02-27 15:51
2007-02-26 17:51
(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))
2007-03-25 12:00 -------- d-------- C:\DOCUME~1\Daniel\DANEAP~1\utorrent
2007-03-25 09:00 74230 --a------ C:\WINDOWS\system32\perfc015.dat
2007-03-25 09:00 448004 --a------ C:\WINDOWS\system32\perfh015.dat
2007-03-24 19:11 -------- d–h----- C:\Program Files\installshield installation information
2007-03-24 13:24 -------- d-------- C:\DOCUME~1\Daniel\DANEAP~1\hamachi
2007-03-24 13:16 12400 --a------ C:\WINDOWS\system32\drivers\secdrv.sys
2007-03-24 13:08 -------- d-------- C:\Program Files\ea games
2007-03-24 10:52 -------- d—s---- C:\Program Files\xfire
2007-03-23 18:02 -------- d-------- C:\Program Files\messenger
2007-03-22 20:19 -------- d-------- C:\Program Files\lexmark 5200 series
2007-03-18 20:45 -------- d-------- C:\DOCUME~1\Daniel\DANEAP~1\skype
2007-03-18 14:50 -------- d–h----- C:\Program Files\windowsupdate
2007-03-02 15:17 -------- d-------- C:\Program Files\knightsandmerchants
2007-02-24 18:13 23600 --a------ C:\WINDOWS\system32\emptyregdb.dat
2007-02-22 15:55 -------- d-------- C:\Program Files\valve
2007-02-21 15:52 -------- d-------- C:\Program Files\Common Files\wise installation wizard
2007-02-21 15:50 -------- d-------- C:\Program Files\techsmith
2007-02-18 11:11 16 --a------ C:\WINDOWS\system32\datarnvx.dat
2007-02-11 12:26 -------- d-------- C:\Program Files\cfosspeed
2007-02-10 16:45 -------- dr-h----- C:\DOCUME~1\Daniel\DANEAP~1\securom
2007-02-10 14:06 -------- d-------- C:\DOCUME~1\Daniel\DANEAP~1\xfire
2007-02-09 21:54 0 -ra------ C:\logwmemory.bin
2007-02-09 15:45 -------- d-------- C:\Program Files\gamespy arcade
2007-02-09 15:42 -------- d-------- C:\Program Files\google
2007-02-09 15:42 -------- d-------- C:\Program Files\Common Files\installshield
2007-02-09 15:42 -------- d-------- C:\DOCUME~1\Daniel\DANEAP~1\google
2007-02-04 13:55 98304 --a------ C:\WINDOWS\system32cmdlineext.dll
2007-02-04 13:43 -------- d-------- C:\Program Files\atari
2007-02-03 22:43 -------- d-------- C:\DOCUME~1\Daniel\DANEAP~1\help
2007-02-03 21:51 62 --ahs---- C:\DOCUME~1\Daniel\DANEAP~1\desktop.ini
2007-02-03 13:47 -------- d-------- C:\Program Files\novatel wireless
2007-02-03 13:47 -------- d-------- C:\Program Files\Common Files\zeepe framework 7
2007-02-03 13:45 -------- d-------- C:\Program Files\cyberlink
2007-02-03 13:40 -------- d-------- C:\Program Files\nero
2007-02-03 13:17 -------- d-------- C:\Program Files\ati technologies
2007-02-03 13:08 -------- d-------- C:\Program Files\microsoft frontpage
2007-02-03 13:07 0 -rahs---- C:\MSDOS.SYS
2007-02-03 13:07 0 -rahs---- C:\IO.SYS
2007-02-03 13:07 0 --a------ C:\CONFIG.SYS
2007-02-03 13:07 0 --a------ C:\AUTOEXEC.BAT
2007-02-03 13:06 -------- d-------- C:\Program Files\usugi online
2007-02-03 13:06 -------- d-------- C:\Program Files\movie maker
2007-02-03 13:05 -------- d-------- C:\Program Files\Common Files\mssoap
2007-02-03 13:04 -------- d-------- C:\Program Files\windows nt
2007-02-03 13:04 -------- d-------- C:\Program Files\msn gaming zone
2007-02-03 12:59 -------- d-------- C:\Program Files\Common Files\speechengines
2007-02-03 12:59 -------- d-------- C:\Program Files\Common Files\odbc
(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))
*Note* empty entries legit default entries are not shown
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
“Gadu-Gadu”="“D:\Gadu-Gadu\gg.exe” /tray"
“MSMSGS”="“C:\Program Files\Messenger\MSMSGS.EXE” /background"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
“AceGain LiveUpdate”=“C:\Program Files\AceGain\LiveUpdate\LiveUpdate.exe”
“SunJavaUpdateSched”="“C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe”"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
“SecurityProviders”=“msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll”
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0
********************************************************************
catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006
scanning hidden processes …
scanning hidden services …
scanning hidden autostart entries …
scanning hidden files …
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0
********************************************************************
Completion time: 07-03-25 12:01:03