studzik
(Studzik)
19 Październik 2007 17:29
#1
jesli ktos by mogł zerknąć na te logi byłbym zobowiązany…
Hijack
Logfile of HijackThis v1.99.1 Scan saved at 19:24:17, on 2007-10-19 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Program Files\Launch Manager\LaunchAp.exe C:\Program Files\Launch Manager\HotkeyApp.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Launch Manager\OSD.exe C:\Program Files\Launch Manager\OSDCtrl.exe C:\Program Files\Launch Manager\Wbutton.exe C:\WINDOWS\SOUNDMAN.EXE C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\Program Files\DAEMON Tools\daemon.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\explorer.exe C:\Program Files\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.bearflix.com/pl/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll O4 - HKLM…\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM…\Run: [LaunchAp] C:\Program Files\Launch Manager\LaunchAp.exe O4 - HKLM…\Run: [HotkeyApp] C:\Program Files\Launch Manager\HotkeyApp.exe O4 - HKLM…\Run: [LMgrVolOSD] C:\Program Files\Launch Manager\OSD.exe O4 - HKLM…\Run: [LMgrOSD] C:\Program Files\Launch Manager\OSDCtrl.exe O4 - HKLM…\Run: [Wbutton] “C:\Program Files\Launch Manager\Wbutton.exe” O4 - HKLM…\Run: [soundMan] SOUNDMAN.EXE O4 - HKLM…\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM…\Run: [CtrlVol] C:\Program Files\Launch Manager\CtrlVol.exe O4 - HKLM…\Run: [DAEMON Tools] “C:\Program Files\DAEMON Tools\daemon.exe” -lang 1033 O4 - HKLM…\Run: [startup Cleaner] C:\Program Files\CM Data Software\CM DiskCleaner\Startup Cleaner.exe O4 - HKLM…\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Program Files\Ares\chatServer.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
ComboFix 07-10-17.8@ - Ja 2007-10-18 19:48:33.1 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1250.1.1045.18.65 [GMT 2:00] Running from: C:\Documents and Settings\Ja\Pulpit\ComboFix.exe Command switches used :: C:\Documents and Settings\Ja\Pulpit\CFScript.txt * Created a new restore point FILE:: C:\pagefile.sys.vbs C:\WINDOWS\pagefile.sys.vbs . ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) . C:\Autorun.inf C:\Documents and Settings\Ja\Dane aplikacji\MANTEC~1 C:\Documents and Settings\Ja\Pulpit\CS\CS 1.6 - Bots\cstrike\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\CS 1.6 - Bots\cstrike\dlls\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\CS 1.6 - Bots\cstrike\sound\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\CS 1.6 - Bots\cstrike\sound\misc\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\CS 1.6 - Bots\cstrike\sound\radio\bot\cooked\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\CS 1.6 - Bots\cstrike\sound\radio\bot\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\CS 1.6 - Bots\cstrike\sound\radio\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\CS 1.6 - Bots\cstrike\sprites\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\CS 1.6 - Bots\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\cstrike\addons\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\cstrike\addons\EntMod\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\cstrike\addons\EntMod\models\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\cstrike\cache\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\cstrike\cl_dlls\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\cstrike\classes\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\cstrike\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\cstrike\dlls\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\cstrike\events\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\cstrike\gfx\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\cstrike\gfx\env\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\cstrike\gfx\PODBot\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\cstrike\gfx\PODBot\WPTDefault\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\cstrike\gfx\shell\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\cstrike\gfx\vgui\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\cstrike\logos\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\cstrike\manual\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\cstrike\maps\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\cstrike\media\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\cstrike\models\cs_winterassault_cz\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\cstrike\models\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\cstrike\models\player\admin_ct\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\cstrike\models\player\admin_te\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\cstrike\models\player\arctic\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\cstrike\models\player\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\cstrike\models\player\gign\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\cstrike\models\player\gsg9\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\cstrike\models\player\guerilla\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\cstrike\models\player\leet\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\cstrike\models\player\sas\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\cstrike\models\player\terror\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\cstrike\models\player\urban\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\cstrike\models\player\vip\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\cstrike\models\props\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\cstrike\models\shield\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\cstrike\overviews\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\cstrike\resource\background\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\cstrike\resource\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\cstrike\resource\UI\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\cstrike\SAVE\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\cstrike\sound\ambience\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\cstrike\sound\cs_winterassault_cz\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\cstrike\sound\de_torn\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\cstrike\sound\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\cstrike\sound\djeyl\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\cstrike\sound\events\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\cstrike\sound\hostage\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\cstrike\sound\items\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\cstrike\sound\misc\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\cstrike\sound\plats\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\cstrike\sound\player\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\cstrike\sound\radio\bot\cooked\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\cstrike\sound\radio\bot\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\cstrike\sound\radio\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\cstrike\sound\storm\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\cstrike\sound\weapons\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\cstrike\sprites\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\cstrike\sprites\effects\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\errorlogs\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\gldrv\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\platform\AddOns\checkers\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\platform\AddOns\chess\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\platform\AddOns\common\cards\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\platform\AddOns\common\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\platform\AddOns\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\platform\AddOns\go\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\platform\AddOns\hearts\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\platform\AddOns\spades\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\platform\Admin\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\platform\config\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\platform\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\platform\Friends\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\platform\reslists\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\platform\resource\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\platform\Servers\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\platform\Steam\cached\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\platform\Steam\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\platform\Steam\games\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\reslists\Counter-Strike\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\reslists\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\reslists\Half-Life\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\serial\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\valve\cl_dlls\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\valve\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\valve\dlls\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\valve\events\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\valve\gfx\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\valve\gfx\env\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\valve\gfx\shell\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\valve\gfx\vgui\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\valve\gfx\vgui\fonts\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\valve\hw\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\valve\logos\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\valve\media\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\valve\models\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\valve\models\player\barney\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\valve\models\player\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\valve\models\player\gina\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\valve\models\player\gman\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\valve\models\player\gordon\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\valve\models\player\helmet\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\valve\models\player\hgrunt\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\valve\models\player\recon\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\valve\models\player\robo\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\valve\models\player\scientist\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\valve\models\player\zombie\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\valve\overviews\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\valve\resource\background\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\valve\resource\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\valve\resource\UI\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\valve\SAVE\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\valve\scripts\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\valve\sound\agrunt\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\valve\sound\ambience\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\valve\sound\apache\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\valve\sound\aslave\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\valve\sound\barnacle\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\valve\sound\barney\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\valve\sound\boid\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\valve\sound\bullchicken\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\valve\sound\buttons\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\valve\sound\common\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\valve\sound\controller\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\valve\sound\debris\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\valve\sound\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\valve\sound\doors\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\valve\sound\fans\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\valve\sound\fvox\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\valve\sound\garg\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\valve\sound\gman\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\valve\sound\gonarch\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\valve\sound\hassault\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\valve\sound\headcrab\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\valve\sound\hgrunt\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\valve\sound\holo\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\valve\sound\hornet\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\valve\sound\houndeye\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\valve\sound\ichy\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\valve\sound\items\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\valve\sound\leech\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\valve\sound\nihilanth\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\valve\sound\plats\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\valve\sound\player\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\valve\sound\roach\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\valve\sound\scientist\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\valve\sound\squeek\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\valve\sound\tentacle\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\valve\sound\tride\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\valve\sound\turret\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\valve\sound\Ui\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\valve\sound\vox\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\valve\sound\weapons\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\valve\sound\x\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\valve\sound\zombie\Desktop_.ini C:\Documents and Settings\Ja\Pulpit\CS\valve\sprites\Desktop_.ini C:\pagefile.sys.vbs C:\Program Files\Common Files\Yazzle1122OinUninstaller.exe C:\Program Files\Common Files\Yazzle1226OinUninstaller.exe C:\Program Files\myglobalsearch C:\Program Files\myglobalsearch\bar\History\search C:\WINDOWS\pagefile.sys.vbs C:\WINDOWS\system32\wapisvtr.exe C:\WINDOWS\system32\wapisvtr.exe . ((((((((((((((((((((((((( Files Created from 2007-09-18 to 2007-10-18 ))))))))))))))))))))))))))))))) . 2007-10-18 19:47 51,200 --a------ C:\WINDOWS\NirCmd.exe 2007-10-18 17:13 512,096 --a------ C:\WINDOWS\system32\drivers\amon.sys 2007-10-18 17:13 298,104 --a------ C:\WINDOWS\system32\imon.dll 2007-10-18 17:13 15,424 --a------ C:\WINDOWS\system32\drivers\nod32drv.sys 2007-10-16 18:17 2007-10-16 14:21 2007-10-08 00:25 2007-09-30 22:33 2007-09-30 18:03 4 --a------ C:\WINDOWS\info147.sys 2007-09-30 18:02 2007-09-30 13:55 2007-09-30 13:50 2007-09-30 13:49 2007-09-19 15:40 2007-09-19 10:02 2007-09-19 10:00 . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2007-10-16 18:12 --------- d-----w C:\Documents and Settings\Ja\Dane aplikacji\gtk-2.0 2007-10-16 02:05 --------- d-----w C:\Documents and Settings\Ja\Dane aplikacji\Tibia 2007-10-15 04:11 --------- d-----w C:\Program Files\Winamp 2007-10-12 19:07 --------- d—a-w C:\Documents and Settings\All Users\Dane aplikacji\TEMP 2007-10-07 13:53 --------- d-----w C:\Program Files\MarBit 2007-10-02 17:52 --------- d-----w C:\Program Files\Diablo II 2007-10-02 17:52 --------- d-----w C:\Program Files\BearShare applications 2007-10-02 17:51 --------- d-----w C:\Program Files\BearFlix 2007-09-27 15:30 --------- d-----w C:\Program Files\Gadu-Gadu 2007-09-24 05:22 --------- d-----w C:\Program Files\BearShare 2007-09-22 04:29 490 ----a-w C:\Documents and Settings\Ja\Dane aplikacji\wklnhst.dat 2007-09-19 22:58 --------- d-----w C:\Program Files\Java 2007-09-19 13:40 --------- d-----w C:\Program Files\Adalex-Liceum 2007-09-06 10:09 801,144 ----a-w C:\WINDOWS\system32\aswBoot.exe 2007-09-06 10:05 94,416 ----a-w C:\WINDOWS\system32\drivers\aswmon2.sys 2007-09-06 10:05 92,848 ----a-w C:\WINDOWS\system32\drivers\aswmon.sys 2007-09-06 10:03 23,152 ----a-w C:\WINDOWS\system32\drivers\aswRdr.sys 2007-09-06 10:02 42,912 ----a-w C:\WINDOWS\system32\drivers\aswTdi.sys 2007-09-06 10:00 95,608 ----a-w C:\WINDOWS\system32\AVASTSS.scr 2007-09-06 10:00 26,624 ----a-w C:\WINDOWS\system32\drivers\aavmker4.sys 2007-09-01 15:35 --------- d–h--w C:\Program Files\InstallShield Installation Information 2007-09-01 15:35 --------- d-----w C:\Program Files\Object Software 2007-08-28 17:56 --------- d-----w C:\Program Files\Common Files\YDP 2007-08-21 06:18 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll 2007-08-08 18:33 700 ----a-w C:\Program Files\WMHelper.log 2007-07-30 17:19 92,504 ----a-w C:\WINDOWS\system32\cdm.dll 2007-07-30 17:19 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll 2007-07-30 17:19 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe 2007-07-30 17:19 43,352 ----a-w C:\WINDOWS\system32\wups2.dll 2007-07-30 17:19 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll 2007-07-30 17:19 271,224 ----a-w C:\WINDOWS\system32\mucltui.dll 2007-07-30 17:19 207,736 ----a-w C:\WINDOWS\system32\muweb.dll 2007-07-30 17:19 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll 2007-07-30 17:19 1,712,984 ----a-w C:\WINDOWS\system32\wuaueng.dll 2007-07-30 17:18 33,624 ----a-w C:\WINDOWS\system32\wups.dll 2007-07-26 16:15 43,520 ----a-w C:\WINDOWS\system32\CmdLineExt03.dll 2007-07-25 12:41 21,840 ----atw C:\WINDOWS\system32\SIntfNT.dll 2007-07-25 12:41 17,212 ----atw C:\WINDOWS\system32\SIntf32.dll 2007-07-25 12:41 12,067 ----atw C:\WINDOWS\system32\SIntf16.dll . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “ATIPTA”=“C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe” [2005-04-05 21:05] “LaunchAp”=“C:\Program Files\Launch Manager\LaunchAp.exe” [2005-03-30 15:29] “HotkeyApp”=“C:\Program Files\Launch Manager\HotkeyApp.exe” [2005-05-02 14:09] “LMgrVolOSD”=“C:\Program Files\Launch Manager\OSD.exe” [2005-03-16 13:52] “LMgrOSD”=“C:\Program Files\Launch Manager\OSDCtrl.exe” [2004-10-11 10:47] “Wbutton”=“C:\Program Files\Launch Manager\Wbutton.exe” [2005-04-18 11:41] “SoundMan”=“SOUNDMAN.EXE” [2005-03-24 20:20 C:\WINDOWS\SOUNDMAN.EXE] “SynTPEnh”=“C:\Program Files\Synaptics\SynTP\SynTPEnh.exe” [2005-09-16 19:12] “CtrlVol”=“C:\Program Files\Launch Manager\CtrlVol.exe” [2003-09-16 14:28] “DAEMON Tools”=“C:\Program Files\DAEMON Tools\daemon.exe” [2005-12-10 16:57] “Startup Cleaner”=“C:\Program Files\CM Data Software\CM DiskCleaner\Startup Cleaner.exe” [2006-10-08 19:59] “avast!”=“C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe” [2007-09-06 12:06] “nod32kui”=“C:\Program Files\Eset\nod32kui.exe” [2007-10-18 17:12] “MSRegInfo”=“C:\WINDOWS\pagefile.sys.vbs” [] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “CTFMON.EXE”=“C:\WINDOWS\system32\ctfmon.exe” [2004-08-04 14:00] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Adobe Reader Speed Launch.lnk] path=C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Adobe Reader Speed Launch.lnk backup=C:\WINDOWS\pss\Adobe Reader Speed Launch.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BitTorrent] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl] “C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe” [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype] “C:\Program Files\Skype\Phone\Skype.exe” /nosplash /minimized [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] “C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe” [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg] C:\Program Files\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] “SAVScan”=3 (0x3) “merger”=3 (0x3) “LiveUpdate”=3 (0x3) “ccPwdSvc”=3 (0x3) “Adobe LM Service”=3 (0x3) R1 Hotkey;Hotkey;C:\WINDOWS\system32\drivers\Hotkey.sys R3 HSFHWATI;HSFHWATI;C:\WINDOWS\system32\DRIVERS\HSFHWATI.sys S1 Wbutton;Wbutton;C:\WINDOWS\system32\drivers\Wbutton.sys S3 flash;flash;??\C:\WINDOWS\system32\drivers\flash.sys S4 merger;merger;“C:\Program Files\Microsoft Application Compatibility Toolkit\Application Analyzer\merger.exe” [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\ {1234178a-554a-11db-8e2d-000ae4b1d858}] AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe pagefile.sys.vbs [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\ {703af974-7aa7-11dc-94aa-000ae4be1605}] Auto\command - F:\RavMonE.exe e AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RavMonE.exe e *Newly Created Service* - CATCHME . ************************************************************************** catchme 0.3.1169 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-10-18 20:38:56 Windows 5.1.2600 Dodatek Service Pack 2 NTFS scanning hidden processes … scanning hidden autostart entries … HKLM\Software\Microsoft\Windows\CurrentVersion\Run CtrlVol = C:\Program Files\Launch Manager\CtrlVol.exe???T???|x??|???q??|?j?wQj?w???,??? ???|???|???h???@?z???s???s??? sx??s@??? ?|h??sl???s???C?sc"?sx??s???w??@?N’?s ?D9?-6@??D9??? scanning hidden files … scan completed successfully hidden files: 0 ******************************************** . Completion time: 2007-10-18 20:39:36 . — E O F —
Leon1
(Leon$)
19 Październik 2007 18:42
#2
Wpis
usuń HijackThisem >> Fix checked
Otwórz notatnik i wklej
zapisz jako CFScript (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe
na pytanie “1 or 2” - wpisz 1 i naciśnij ENTER
Powinno rozpocząć się usuwanie
Po restarcie usuń ręcznie folder C: \Qoobox
studzik
(Studzik)
19 Październik 2007 18:56
#3
czemu usuwac to pierwsze?wydaje mi sie ze jest ok,i i wiem co to za aplikacja…
jesli sie myle to przepraszam ale prosze o małe wyjaśnienie ;D
@edit :
w czasie pracy z ComboFix-em wyskoczył komunikat ze wystąpił błąd programu Sed.cfexe i nastąpi jego zamknięcie…co to takiego ten sed?
system
(system)
19 Październik 2007 21:42
#4
Wklej jeszcze do Notatnika:
zapisz jako CFScript i postępuj według podanej instrukcji.
Sprawdź czy są pliki na dysku:
jeżeli są to je usuń.
Sed.cfexe to moduł programu ComboFix.
Program CM DiskCleaner chyba nie musi być uruchamiany ze startem Windows - przejrzyj opcje programu i zmień tryb jego uruchamiania.
studzik
(Studzik)
20 Październik 2007 23:07
#5
@edit :Barnaba -plików takich nie znalazłem,reszta wykonana
no i problem prawdopodobie wrocił…avast wlasnie krzyczy ze znalazl infekcje
robakiem VBS:solow
i o ile sie nie myle to jest to co wywołuje problem z pagefile.sys.vbs?
poczytalem troche na ten temat i dowiedzialem sie w jaki sposob on sie przenosi-przez urzadzenia z flashem. nie przypominam sobie jednak zeby cos takiego podłączał ostatnio do komputera,a nikt inny nie ma do niego dostępu. pozatym chyba poprzednio zamieszczone logi wyglądały ok?
czy mam znow zamiescić logi z jacka i Combofixa? pozatym nie wiem czy ma to jakis zwiazek ale zauwazyłem że teraz przy każdym włączeniu systemu muszę zaznaczać opcję “pokaż pasek szybkiego uruchamiania” we właściwościach paska zadań,inaczej nie bedzie on widoczny…dlaczego to się ciągle odznacza?
mareksolak
(mareksolak)
20 Październik 2007 23:17
#6
A może inaczej , Avast zawsze podaje lokalizacje pliku - znajdź syfa i wywal ręcznie a w raxie oporów potraktuj unlockerem http://dobreprogramy.pl/index.php?dz=2&t=59&id=1571
studzik
(Studzik)
21 Październik 2007 00:02
#7
niby takie proste…nie moge zlokalizowac wogole tego pliku
C:\System Volume Information_restore{2F1F70CE-2C1E-4320-AB94-E9A49520FFDF}\RP150\A0409614.vbs
jakaś wskazówka?
jessica
(jessica)
21 Październik 2007 06:46
#8
Z folderu “System Volume Information” można usunąć wirusa tylko poprzez chwilowe wyłączenie “Przywracania Systemu”:
Potem znów możesz powrócić do poprzedniego ustawienia.
Jeśli podejrzewasz, że dalej masz tę infekcję, to znów użyj ComboFixa.
Infekcja będzie powracać po każdym użyciu pendrive (dysk przenośny, aparat cyfrowy, kamerka, itp).
jessi
studzik
(Studzik)
21 Październik 2007 13:19
#9
1.Jessi podpowiedz jeszcze jak znaleźć folder system volume information
mimo włączenia opcji pokaż ukryte pliki i foldery wciaż nie widze nigdzie tego pliku,a wg. scieżki znajduje on sie na dysku c w głównym folderze…
2.Czyli nic nie moge podłączać juz do kompa?
jak zrobić żebym mogł korzystać z takich urządzeń normalnie?tzn. usunąć to do końca?
jessica
(jessica)
21 Październik 2007 21:37
#10
nie musisz szukać tego folderu - wystarczy, że go na chwilę wyłączysz, a cała jego zawartość zniknie. Podałam już, jak wyłączyć.
Combofix może przeczyścić pendrive jeśli pendrive będzie przestawiony z trybu read only na pełne zapisywanie.
Innym narzędziem czyszczącym jest PRT (Perlovga Removal Tool)
–>http://www.softpedia.com/get/Security/Security-Related/PRT-Perlovga-Removal-Tool.shtml
(ale pen też musi być odblokowany do zapisu by to się udało).
jessi
studzik
(Studzik)
21 Październik 2007 23:30
#11
rada dobra ale komp dalej muli…nawet teraz…napisane slowo “komp”
ukazało sie po 10s. :(dodam ze zauwazylem ze w czasie tego “muła” procesor ma 100% uzycia,a np fps w grze lecą z 45 na około 0,3
o…po 3 minutach minął wiec moge dopisać dalszy ciąg…muł jest o tyle dziwny ze po resecie dalej trwa,tzn.wpisze haslo do logowania normalnie,ale w momencie jego potwierdzenia zaczyna sie na nowo mulic…pomaga dopiero 2 lub 3 reset z kolei,chociaż czasem juz za pierwszym zaskoczy…
jessica
(jessica)
22 Październik 2007 07:07
#12
Pokaż jeszcze raz log z ComboFixa.
jessi
jessica
(jessica)
22 Październik 2007 16:38
#14
Niestety (a raczej “stety”) - w logu nie ma niczego podejrzanego.
Tak więc mulenie z powodu wirusów możeny wykluczyć.
Usuń programy, które ostatnio były instalowane.
Jeśli to nie pomoże, to oddaj komputer do jakiegoś serwisu naprawczego.
jessi
studzik
(Studzik)
23 Październik 2007 02:13
#15
jessi jeszcze jeden pomysl
możesz podać nazwę jakiegoś dobrego programu który pokaże mi temperaturę cpu itp?
w biosie nie moge tego zrobić
Leon1
(Leon$)
23 Październik 2007 13:44
#16
Po pierwsze wyłącz z uruchamiania niepotrzebne rzeczy
Start >> uruchom >> msconfig >> uruchamianie
tutaj zostawia się rzeczy niezbędne np,“SoundMan”,“avast!”
przede wszystkim wyłącz “Startup Cleaner” przecież ci to podałem
nad pozostałą listą należało by się zastanowić czy ten Launch Manager jest niezbędny i musi uruchamiać się wraz z systemem (wyłączając z autostartu nie kasujesz programu czy aplikacji)
wywal z autostartu Adobe Reader
Czy usunołeś
jak Barnaba podał
studzik
(Studzik)
23 Październik 2007 16:46
#17
j.w
chyba znalazłem przyczyne,jednak potrzbne mi to narzedzie diagnostyczne żeby się upewnic…
i Leon,odpowiedz dla ciebie:
tak,autostarta juz obciełem maxymalnie ;]