Usuwanie pliku


(Danio1) #1

Mam pewien problem. Wdarł mi sie jakoś na kompa wirus, ktorego folder jest na dysku C w program files. Objawia sie tym że strasznie laguje PC i w prawym dolnym rogu wyskakuje co chwilkę okienko. Wirus ten składa się z czterech aplikacji w menadżeże zadań. Nie da sie ich wyłaczyć --> przeskakują tylko w inne miejsce w liscie. Folderu z wirusem tez sie nie da usunąć ponieważ pisze, że pliki w nim są używane. Tak to wygląda: http://img233.imageshack.us/img233/7263/wirusre3.jpg


(Nowy10) #2

wklej logi z hijackthis i silent runners

do usunięcia plików użyj unlockera

lub killboxa

http://www.idg.pl/ftp/pc_8881/Pocket.Ki ... 0.473.html


(Danio1) #3

Hijack This:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

D:\Panda Internet Secutiry\pavsrv51.exe

D:\Panda Internet Secutiry\AVENGINE.EXE

C:\WINDOWS\system32\svchost.exe

D:\Panda Internet Secutiry\TPSrv.exe

d:\panda internet secutiry\firewall\PNMSRV.EXE

C:\WINDOWS\system32\spoolsv.exe

D:\Panda Internet Secutiry\PavFnSvr.exe

C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe

D:\Panda Internet Secutiry\AntiSpam\pskmssvc.exe

D:\Panda Internet Secutiry\PsImSvc.exe

C:\WINDOWS\System32\svchost.exe

D:\Panda Internet Secutiry\apvxdwin.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\explorer.exe

C:\Program Files\Video Access ActiveX Object\isamntr.exe

C:\Program Files\Video Access ActiveX Object\isamini.exe

D:\Gadu-Gadu\gg.exe

D:\Panda Internet Secutiry\SRVLOAD.EXE

d:\panda internet secutiry\WebProxy.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Program Files\Novatel Wireless\MobiLink\MobiLink.exe

C:\PROGRA~1\NOVATE~1\MobiLink\Phoenix.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Program Files\Internet Explorer\iexplore.exe

D:\Pliki Internetowe\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/

F2 - REG:system.ini: Shell=explorer.exe regchk.exe

O2 - BHO: (no name) - {A6ACAE64-F798-4930-AD86-BD3FB32038DB} - C:\Program Files\Video Access ActiveX Object\isadd.dll

O4 - HKCU..\Run: [Gadu-Gadu] "D:\Gadu-Gadu\gg.exe" /tray

O17 - HKLM\System\CCS\Services\Tcpip..{6CE5956E-F310-45E6-B134-9AA15882378F}: NameServer = 213.158.194.1 213.158.193.38

O17 - HKLM\System\CS1\Services\Tcpip..{6CE5956E-F310-45E6-B134-9AA15882378F}: NameServer = 213.158.194.1 213.158.193.38

O17 - HKLM\System\CS2\Services\Tcpip..{6CE5956E-F310-45E6-B134-9AA15882378F}: NameServer = 213.158.194.1 213.158.193.38

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - D:\Panda Internet Secutiry\PavFnSvr.exe

O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - D:\Panda Internet Secutiry\pavsrv51.exe

O23 - Service: Panda Antispam Engine (pmshellsrv) - Panda Software International - D:\Panda Internet Secutiry\AntiSpam\pskmssvc.exe

O23 - Service: Panda Network Manager (PNMSRV) - Panda Software International - d:\panda internet secutiry\firewall\PNMSRV.EXE

O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software - D:\Panda Internet Secutiry\PsImSvc.exe

O23 - Service: Panda TPSrv (TPSrv) - Panda Software - D:\Panda Internet Secutiry\TPSrv.exe

A Silent Runner nie chce sie uruchomić.

Złączono Posta : 23.03.2007 (Pią) 16:22

a Unlocker nie działa... tzn niby wyłącza procesy ale one sie odnawiają ciągle. Niecałą sekundę po wyłączeniu jest respawn aplikacji. :expressionless: ciężki przypadek

Złączono Posta : 23.03.2007 (Pią) 16:50

no dobra udało mi się usunąć ten plik... ale to okienko ktore wyskakuje w prawym dolnym rogu ekranu jest dalej (patrz screen wyżej). Co mam z tym zrobić?

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

D:\Panda Internet Secutiry\pavsrv51.exe

D:\Panda Internet Secutiry\AVENGINE.EXE

C:\WINDOWS\system32\svchost.exe

D:\Panda Internet Secutiry\TPSrv.exe

d:\panda internet secutiry\firewall\PNMSRV.EXE

C:\WINDOWS\system32\spoolsv.exe

D:\Panda Internet Secutiry\PavFnSvr.exe

C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe

D:\Panda Internet Secutiry\AntiSpam\pskmssvc.exe

D:\Panda Internet Secutiry\PsImSvc.exe

C:\WINDOWS\System32\svchost.exe

D:\Panda Internet Secutiry\apvxdwin.exe

C:\WINDOWS\system32\Ati2evxx.exe

D:\Pliki Internetowe\Unlocker\UnlockerAssistant.exe

D:\Panda Internet Secutiry\SRVLOAD.EXE

d:\panda internet secutiry\WebProxy.exe

C:\Program Files\Novatel Wireless\MobiLink\MobiLink.exe

C:\PROGRA~1\NOVATE~1\MobiLink\Phoenix.exe

C:\WINDOWS\System32\wuauclt.exe

C:\WINDOWS\explorer.exe

D:\Gadu-Gadu\gg.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\iexplore.exe

D:\Pliki Internetowe\HijackThis.exe

C:\Program Files\Internet Explorer\iexplore.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/

F2 - REG:system.ini: Shell=explorer.exe regchk.exe

O2 - BHO: (no name) - {A6ACAE64-F798-4930-AD86-BD3FB32038DB} - C:\Program Files\Video Access ActiveX Object\isadd.dll (file missing)

O4 - HKLM..\Run: [unlockerAssistant] "D:\Pliki Internetowe\Unlocker\UnlockerAssistant.exe"

O4 - HKCU..\Run: [Gadu-Gadu] "D:\Gadu-Gadu\gg.exe" /tray

O17 - HKLM\System\CCS\Services\Tcpip..{6CE5956E-F310-45E6-B134-9AA15882378F}: NameServer = 213.158.194.1 213.158.193.38

O17 - HKLM\System\CS1\Services\Tcpip..{6CE5956E-F310-45E6-B134-9AA15882378F}: NameServer = 213.158.194.1 213.158.193.38

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - D:\Panda Internet Secutiry\PavFnSvr.exe

O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - D:\Panda Internet Secutiry\pavsrv51.exe

O23 - Service: Panda Antispam Engine (pmshellsrv) - Panda Software International - D:\Panda Internet Secutiry\AntiSpam\pskmssvc.exe

O23 - Service: Panda Network Manager (PNMSRV) - Panda Software International - d:\panda internet secutiry\firewall\PNMSRV.EXE

O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software - D:\Panda Internet Secutiry\PsImSvc.exe

O23 - Service: Panda TPSrv (TPSrv) - Panda Software - D:\Panda Internet Secutiry\TPSrv.exe

to jest juz po skasowaniu folderu


(adam9870) #4

Użyj narzędzia SmitFraudFix (wybierz opcję 2). Potem sprawdź co będzie z tego co wskazałem poniżej i usuń: (wszystko oczywiście robisz w trybie awaryjnym z wyłączonym przywracaniem systemu)

Plik usuń ręcznie jeśli będzie natomiast wpisy HijackThis.

Po wykonaniu pokaż nowy log z HijackThis, SilentRunners oraz zawartość pliku c:\rapport.txt


(JNJN) #5

Blood9999

Przeczytaj tematy przyklejone w tym dziale i popraw posta - brak tagów.JNJN


(Danio1) #6

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

D:\Panda Internet Secutiry\pavsrv51.exe

D:\Panda Internet Secutiry\AVENGINE.EXE

C:\WINDOWS\system32\svchost.exe

D:\Panda Internet Secutiry\TPSrv.exe

d:\panda internet secutiry\firewall\PNMSRV.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe

D:\Panda Internet Secutiry\PavFnSvr.exe

C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe

D:\Panda Internet Secutiry\AntiSpam\pskmssvc.exe

D:\Panda Internet Secutiry\PsImSvc.exe

C:\WINDOWS\System32\svchost.exe

D:\Panda Internet Secutiry\apvxdwin.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\System32\WgaTray.exe

C:\WINDOWS\explorer.exe

D:\Panda Internet Secutiry\SRVLOAD.EXE

d:\panda internet secutiry\WebProxy.exe

D:\Gadu-Gadu\gg.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Program Files\Novatel Wireless\MobiLink\MobiLink.exe

C:\PROGRA~1\NOVATE~1\MobiLink\Phoenix.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Program Files\Internet Explorer\iexplore.exe

D:\Pliki Internetowe\HijackThis.exe

F2 - REG:system.ini: Shell=explorer.exe regchk.exe

O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU..\Run: [Gadu-Gadu] "D:\Gadu-Gadu\gg.exe" /tray

O4 - HKCU..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O17 - HKLM\System\CCS\Services\Tcpip..{6CE5956E-F310-45E6-B134-9AA15882378F}: NameServer = 213.158.194.1 213.158.193.38

O17 - HKLM\System\CS1\Services\Tcpip..{6CE5956E-F310-45E6-B134-9AA15882378F}: NameServer = 213.158.194.1 213.158.193.38

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - D:\Panda Internet Secutiry\PavFnSvr.exe

O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - D:\Panda Internet Secutiry\pavsrv51.exe

O23 - Service: Panda Antispam Engine (pmshellsrv) - Panda Software International - D:\Panda Internet Secutiry\AntiSpam\pskmssvc.exe

O23 - Service: Panda Network Manager (PNMSRV) - Panda Software International - d:\panda internet secutiry\firewall\PNMSRV.EXE

O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software - D:\Panda Internet Secutiry\PsImSvc.exe

O23 - Service: Panda TPSrv (TPSrv) - Panda Software - D:\Panda Internet Secutiry\TPSrv.exe

to jest hijack this a silent runners mi nie dziala

SmitFraudFix v2.153

Scan done at 17:57:15,89, 07-03-23

Run from D:\Sciagniete pliki\SmitfraudFix

OS: Microsoft Windows XP [Wersja 5.1.2600] - Windows_NT

The filesystem type is NTFS

Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix

!!


(adam9870) #7

Plik usuń ręcznie będąc w trybie awaryjnym (jeśli będzie) natomiast wpis HJT.

Po wykonaniu możesz wkleić nowy log z HJT plus z SilentRunners.


(Danio1) #8

tylko ze włąsnie tego pliku nie ma iw tym jest problem. przez to strasznie długo włącza mi sie profil. a juz po wejsciu wyskakuje mi komunikat ze tego pliku nie ma i mam go poszukac czy cos w tym stylu. co moge z tym zrobic?

Złączono Posta : 23.03.2007 (Pią) 19:49

aha i silent Runners nie chce mi sie uruchomić :expressionless:


(adam9870) #9

Skoro nie możesz znaleźć tego pliku to usuń tylko wpis który podałem poprzez HijackThis.

O problemach z silentem poczytaj TUTAJ. Ewentualnie zamiast loga z silenta pokaż log z ComboFix.


(Danio1) #10

tzn jak ja mam to usunąc?


(Joan Sunshine) #11

Zaznaczasz okienko przy tym wpisie i klikasz "Fix checked", koniecznie daj tego Silenta lub Combo...


(Danio1) #12

ale nigdzie nie mgoe tego Combo znalezc. moze ktos zarzucic linkiem?


(Joan Sunshine) #13

No przecież Adam podlinkował nazwę :wink:


(Danio1) #14

daje to fix i nic sie nie dzieje ...

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

D:\Panda Internet Secutiry\pavsrv51.exe

D:\Panda Internet Secutiry\AVENGINE.EXE

C:\WINDOWS\system32\svchost.exe

D:\Panda Internet Secutiry\TPSrv.exe

d:\panda internet secutiry\firewall\PNMSRV.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe

D:\Panda Internet Secutiry\PavFnSvr.exe

C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe

D:\Panda Internet Secutiry\AntiSpam\pskmssvc.exe

D:\Panda Internet Secutiry\PsImSvc.exe

C:\WINDOWS\System32\svchost.exe

D:\Panda Internet Secutiry\apvxdwin.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\System32\WgaTray.exe

C:\WINDOWS\explorer.exe

D:\Gadu-Gadu\gg.exe

D:\Panda Internet Secutiry\SRVLOAD.EXE

d:\panda internet secutiry\WebProxy.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Program Files\Novatel Wireless\MobiLink\MobiLink.exe

C:\PROGRA~1\NOVATE~1\MobiLink\Phoenix.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\iexplore.exe

D:\Panda Internet Secutiry\Upgrader.exe

D:\Pliki Internetowe\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/

F2 - REG:system.ini: Shell=explorer.exe regchk.exe

O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM..\Run: [AceGain LiveUpdate] C:\Program Files\AceGain\LiveUpdate\LiveUpdate.exe

O4 - HKCU..\Run: [Gadu-Gadu] "D:\Gadu-Gadu\gg.exe" /tray

O4 - HKCU..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O17 - HKLM\System\CCS\Services\Tcpip..{6CE5956E-F310-45E6-B134-9AA15882378F}: NameServer = 213.158.194.1 213.158.193.38

O17 - HKLM\System\CS1\Services\Tcpip..{6CE5956E-F310-45E6-B134-9AA15882378F}: NameServer = 213.158.194.1 213.158.193.38

O17 - HKLM\System\CS2\Services\Tcpip..{6CE5956E-F310-45E6-B134-9AA15882378F}: NameServer = 213.158.194.1 213.158.193.38

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - D:\Panda Internet Secutiry\PavFnSvr.exe

O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - D:\Panda Internet Secutiry\pavsrv51.exe

O23 - Service: Panda Antispam Engine (pmshellsrv) - Panda Software International - D:\Panda Internet Secutiry\AntiSpam\pskmssvc.exe

O23 - Service: Panda Network Manager (PNMSRV) - Panda Software International - d:\panda internet secutiry\firewall\PNMSRV.EXE

O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software - D:\Panda Internet Secutiry\PsImSvc.exe

O23 - Service: Panda TPSrv (TPSrv) - Panda Software - D:\Panda Internet Secutiry\TPSrv.exe

a oto operacje jakie wykonywałem po skanie:

plik1ao1.jpg

plik2aj7.jpg

wcisnąłem fix checked:

plik3np3.jpg

po wciśnięciu tak:

plik4ag2.jpg

a po nastepnym scanie:

plik5sl7.jpg

bez zmian :confused:

Złączono Posta : 24.03.2007 (Sob) 17:24

i co mam teraz zrobić? a ten link od Adama nie dziala :confused:

Złączono Posta : 25.03.2007 (Nie) 8:52

Prosze niech mi ktos odpowie co mam teraz zrobic...

Złączono Posta : 25.03.2007 (Nie) 11:02

a oto scan z ComboFix:

2007-03-24 21:24

2007-03-24 21:24

2007-03-24 19:41

2007-03-24 19:38

2007-03-24 13:11

2007-03-24 13:08 729,088 --a------ C:\WINDOWS\iun6002.exe

2007-03-24 13:08 553 --a------ C:\WINDOWS\eReg.dat

2007-03-24 13:08

2007-03-24 12:55 593,408 --a------ C:\WINDOWS\system32\h323msp.dll

2007-03-24 12:55 549,888 --a------ C:\WINDOWS\system32\rtcdll.dll

2007-03-24 12:55 439,296 --a------ C:\WINDOWS\system32\ipnathlp.dll

2007-03-24 12:55 26,112 --a------ C:\WINDOWS\system32\xpsp1hfm.exe

2007-03-23 21:12

2007-03-23 18:56 718 --a------ C:\WINDOWS\system32\tmp.reg

2007-03-23 18:55 79,360 --a------ C:\WINDOWS\system32\swxcacls.exe

2007-03-23 18:55 53,248 --a------ C:\WINDOWS\system32\Process.exe

2007-03-23 18:55 51,200 --a------ C:\WINDOWS\system32\dumphive.exe

2007-03-23 18:55 40,960 --a------ C:\WINDOWS\system32\swsc.exe

2007-03-23 18:55 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe

2007-03-23 18:55 135,168 --a------ C:\WINDOWS\system32\swreg.exe

2007-03-23 18:48 262,144 --a------ C:\DOCUME~1\ALLUSE~1\ntuser.dat

2007-03-23 18:15 947,472 --a------ C:\WINDOWS\system32\msjava.dll

2007-03-23 18:15 63,248 --a------ C:\WINDOWS\system32\javaprxy.dll

2007-03-23 18:15 6,550 --a------ C:\WINDOWS\jautoexp.dat

2007-03-23 18:15 49,424 --a------ C:\WINDOWS\system32\clspack.exe

2007-03-23 18:15 46,352 --a------ C:\WINDOWS\setdebug.exe

2007-03-23 18:15 404,752 --a------ C:\WINDOWS\system32\javart.dll

2007-03-23 18:15 313,856 --a------ C:\WINDOWS\system32\dx3j.dll

2007-03-23 18:15 286,992 --a------ C:\WINDOWS\system32\vmhelper.dll

2007-03-23 18:15 21,264 --a------ C:\WINDOWS\system32\msjdbc10.dll

2007-03-23 18:15 187,152 --a------ C:\WINDOWS\system32\javacypt.dll

2007-03-23 18:15 172,304 --a------ C:\WINDOWS\system32\jview.exe

2007-03-23 18:15 171,792 --a------ C:\WINDOWS\system32\wjview.exe

2007-03-23 18:15 171,280 --a------ C:\WINDOWS\system32\jit.dll

2007-03-23 18:15 154,384 --a------ C:\WINDOWS\system32\msawt.dll

2007-03-23 18:15 15,120 --a------ C:\WINDOWS\system32\jdbgmgr.exe

2007-03-23 18:15 139,536 --a------ C:\WINDOWS\system32\javaee.dll

2007-03-23 18:15 113 --a------ C:\WINDOWS\system32\zonedon.reg

2007-03-23 18:15 113 --a------ C:\WINDOWS\system32\zonedoff.reg

2007-03-22 20:44

2007-03-22 20:20

2007-03-22 15:47 1,001,472 --a------ C:\WINDOWS\system32\esent.dll

2007-03-22 14:43 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe

2007-03-22 14:43

2007-03-22 14:43

2007-03-22 14:41

2007-03-21 16:51 664 --a------ C:\WINDOWS\system32\d3d9caps.dat

2007-03-21 16:51 552 --a------ C:\WINDOWS\system32\d3d8caps.dat

2007-03-21 16:41 9,216 --a------ C:\WINDOWS\system32\drivers\fnetmon.sys

2007-03-21 16:41 71,552 --a------ C:\WINDOWS\system32\drivers\pavdrv51.sys

2007-03-21 16:41 57,344 --a------ C:\WINDOWS\system32\pavipc.dll

2007-03-21 16:41 446,464 --a------ C:\WINDOWS\system32\HHActiveX.dll

2007-03-21 16:41 44,544 --a------ C:\WINDOWS\system32\drivers\APPFLT.SYS

2007-03-21 16:41 36,864 --a------ C:\WINDOWS\system32\drivers\dsaflt.sys

2007-03-21 16:41 245,760 --a------ C:\WINDOWS\system32\PavSHook.dll

2007-03-21 16:41 23,296 --a------ C:\WINDOWS\system32\drivers\smsflt.sys

2007-03-21 16:41 198,876 --a------ C:\WINDOWS\system32\drivers\APPFCONT.DAT

2007-03-21 16:41 185,472 --a------ C:\WINDOWS\system32\drivers\idsflt.sys

2007-03-21 16:41 16,640 --a------ C:\WINDOWS\system32\drivers\cpoint.sys

2007-03-21 16:41 16,256 --a------ C:\WINDOWS\system32\drivers\wnmflt.sys

2007-03-21 16:41 141,312 --a------ C:\WINDOWS\system32\drivers\netflt.sys

2007-03-21 16:41 139,264 --a------ C:\WINDOWS\system32\TpUtil.dll

2007-03-21 16:41 103,936 --a------ C:\WINDOWS\system32\drivers\netfltdi.sys

2007-03-21 16:41 101,888 --a------ C:\WINDOWS\system32\SYSTOOLS.DLL

2007-03-21 16:40 9,488 --a------ C:\WINDOWS\system32\sporder.dll

2007-03-21 16:40 45,056 --a------ C:\WINDOWS\system32\avldr.dll

2007-03-21 16:40

2007-03-21 16:16 26,752 --a------ C:\WINDOWS\system32\drivers\ShldDrv.sys

2007-03-21 16:16 165,120 --a------ C:\WINDOWS\system32\drivers\PavProc.sys

2007-03-21 16:16

2007-03-21 15:07 1,341 --a------ C:\WINDOWS\mozver.dat

2007-03-21 14:48 0 --a------ C:\WINDOWS\nsreg.dat

2007-03-21 14:48

2007-03-18 20:32 17,480 --a------ C:\WINDOWS\system32\drivers\hamachi.sys

2007-03-18 15:22 7,680 --------- C:\WINDOWS\system32\bitsprx2.dll

2007-03-18 15:22 7,168 --------- C:\WINDOWS\system32\bitsprx3.dll

2007-03-18 15:22 331,776 --a------ C:\WINDOWS\system32\winhttp.dll

2007-03-18 15:22 17,408 --a------ C:\WINDOWS\system32\qmgrprxy.dll

2007-03-18 14:54

2007-03-18 14:51

2007-03-18 14:50 466,200 --a------ C:\WINDOWS\system32\wuapi.dll

2007-03-18 14:50 41,240 --a------ C:\WINDOWS\system32\wups.dll

2007-03-18 14:50 195,352 --a------ C:\WINDOWS\system32\wuaueng1.dll

2007-03-18 14:50 175,384 --a------ C:\WINDOWS\system32\wuauclt1.exe

2007-03-18 14:50 173,536 --a------ C:\WINDOWS\system32\wuweb.dll

2007-03-18 14:50 128,280 --a------ C:\WINDOWS\system32\wucltui.dll

2007-03-15 11:56

2007-03-03 18:31

2007-03-03 10:30

2007-03-02 18:29

2007-03-02 18:21

2007-02-27 15:51

2007-02-26 17:51

(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-03-25 12:00 -------- d-------- C:\DOCUME~1\Daniel\DANEAP~1\utorrent

2007-03-25 09:00 74230 --a------ C:\WINDOWS\system32\perfc015.dat

2007-03-25 09:00 448004 --a------ C:\WINDOWS\system32\perfh015.dat

2007-03-24 19:11 -------- d--h----- C:\Program Files\installshield installation information

2007-03-24 13:24 -------- d-------- C:\DOCUME~1\Daniel\DANEAP~1\hamachi

2007-03-24 13:16 12400 --a------ C:\WINDOWS\system32\drivers\secdrv.sys

2007-03-24 13:08 -------- d-------- C:\Program Files\ea games

2007-03-24 10:52 -------- d---s---- C:\Program Files\xfire

2007-03-23 18:02 -------- d-------- C:\Program Files\messenger

2007-03-22 20:19 -------- d-------- C:\Program Files\lexmark 5200 series

2007-03-18 20:45 -------- d-------- C:\DOCUME~1\Daniel\DANEAP~1\skype

2007-03-18 14:50 -------- d--h----- C:\Program Files\windowsupdate

2007-03-02 15:17 -------- d-------- C:\Program Files\knightsandmerchants

2007-02-24 18:13 23600 --a------ C:\WINDOWS\system32\emptyregdb.dat

2007-02-22 15:55 -------- d-------- C:\Program Files\valve

2007-02-21 15:52 -------- d-------- C:\Program Files\Common Files\wise installation wizard

2007-02-21 15:50 -------- d-------- C:\Program Files\techsmith

2007-02-18 11:11 16 --a------ C:\WINDOWS\system32\datarnvx.dat

2007-02-11 12:26 -------- d-------- C:\Program Files\cfosspeed

2007-02-10 16:45 -------- dr-h----- C:\DOCUME~1\Daniel\DANEAP~1\securom

2007-02-10 14:06 -------- d-------- C:\DOCUME~1\Daniel\DANEAP~1\xfire

2007-02-09 21:54 0 -ra------ C:\logwmemory.bin

2007-02-09 15:45 -------- d-------- C:\Program Files\gamespy arcade

2007-02-09 15:42 -------- d-------- C:\Program Files\google

2007-02-09 15:42 -------- d-------- C:\Program Files\Common Files\installshield

2007-02-09 15:42 -------- d-------- C:\DOCUME~1\Daniel\DANEAP~1\google

2007-02-04 13:55 98304 --a------ C:\WINDOWS\system32cmdlineext.dll

2007-02-04 13:43 -------- d-------- C:\Program Files\atari

2007-02-03 22:43 -------- d-------- C:\DOCUME~1\Daniel\DANEAP~1\help

2007-02-03 21:51 62 --ahs---- C:\DOCUME~1\Daniel\DANEAP~1\desktop.ini

2007-02-03 13:47 -------- d-------- C:\Program Files\novatel wireless

2007-02-03 13:47 -------- d-------- C:\Program Files\Common Files\zeepe framework 7

2007-02-03 13:45 -------- d-------- C:\Program Files\cyberlink

2007-02-03 13:40 -------- d-------- C:\Program Files\nero

2007-02-03 13:17 -------- d-------- C:\Program Files\ati technologies

2007-02-03 13:08 -------- d-------- C:\Program Files\microsoft frontpage

2007-02-03 13:07 0 -rahs---- C:\MSDOS.SYS

2007-02-03 13:07 0 -rahs---- C:\IO.SYS

2007-02-03 13:07 0 --a------ C:\CONFIG.SYS

2007-02-03 13:07 0 --a------ C:\AUTOEXEC.BAT

2007-02-03 13:06 -------- d-------- C:\Program Files\usugi online

2007-02-03 13:06 -------- d-------- C:\Program Files\movie maker

2007-02-03 13:05 -------- d-------- C:\Program Files\Common Files\mssoap

2007-02-03 13:04 -------- d-------- C:\Program Files\windows nt

2007-02-03 13:04 -------- d-------- C:\Program Files\msn gaming zone

2007-02-03 12:59 -------- d-------- C:\Program Files\Common Files\speechengines

2007-02-03 12:59 -------- d-------- C:\Program Files\Common Files\odbc

(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries legit default entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]

"Gadu-Gadu"="\"D:\Gadu-Gadu\gg.exe\" /tray"

"MSMSGS"="\"C:\Program Files\Messenger\MSMSGS.EXE\" /background"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]

"AceGain LiveUpdate"="C:\Program Files\AceGain\LiveUpdate\LiveUpdate.exe"

"SunJavaUpdateSched"="\"C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe\""

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]

"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]

LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0

NetworkService REG_MULTI_SZ DnsCache\0\0

rpcss REG_MULTI_SZ RpcSs\0\0

imgsvc REG_MULTI_SZ StiSvc\0\0

termsvcs REG_MULTI_SZ TermService\0\0

********************************************************************

catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006

http://www.gmer.net

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully

hidden processes: 0

hidden services: 0

hidden files: 0

********************************************************************

Completion time: 07-03-25 12:01:03