oolleekk
(Olekd5)
22 Kwiecień 2009 10:01
#1
Witam
Mam pewien problem.
Od dłuższego czasu po odczkaniu około 10 min zurzycie procka skacze mi na 100%
najwięcej zabiera mi proces winlogon.exe bo ok. 98 %
bardzo prosze o pomoc bo męcze się z tym już 2 dni
mój log:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:59:36, on 2009-04-21
Platform: Windows XP Dodatek SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal
Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\spoolsv.exe
F:\nod\ekrn.exe
H:\Program Files\IR Server Suite\Input Service\Input Service.exe
H:\Program Files\Java\jre6\bin\jqs.exe
H:\WINDOWS\Explorer.EXE
H:\WINDOWS\system32\wuauclt.exe
H:\WINDOWS\SOUNDMAN.EXE
H:\Program Files\SyncroSoft\Pos\H2O\cledx.exe
H:\WINDOWS\winlogon.exe
H:\Program Files\Java\jre6\bin\jusched.exe
F:\nod\egui.exe
H:\WINDOWS\system32\ctfmon.exe
H:\Program Files\Messenger\msmsgs.exe
H:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
H:\Program Files\Internet Explorer\iexplore.exe
H:\Program Files\Trend Micro\HijackThis\HijackThis.exe
H:\WINDOWS\system32\taskmgr.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\a d\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - H:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - H:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - H:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - H:\Program Files\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - H:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - H:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - H:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [H2O] H:\Program Files\SyncroSoft\Pos\H2O\cledx.exe
O4 - HKLM\..\Run: [winlogon] H:\WINDOWS\winlogon.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "H:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] H:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [egui] "F:\nod\egui.exe" /hide /waitservice
O4 - HKCU\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [cdoosoft] H:\WINDOWS\system32\olhrwef.exe
O4 - HKCU\..\Run: [Nowe Gadu-Gadu] "F:\gg\Nowe Gadu-Gadu\gg.exe"
O4 - HKCU\..\Run: [ares destiny] "C:\Program Files\Ares Destiny\Ares.exe" -h
O4 - HKCU\..\Run: [MSMSGS] "H:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [uTorrent] "F:\u\uTorrent.exe"
O4 - HKCU\..\Run: [Skype] "H:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [swg] H:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'USŁUGA SIECIOWA')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = F:\office\Office10\OSA.EXE
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://F:\office\Office10\EXCEL.EXE/3000
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1240153745687
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/aol/unagi/ampx_en_dl.cab
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - F:\nod\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - F:\nod\ekrn.exe
O23 - Service: Google Updater Service (gusvc) - Google - H:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Input Service (InputService) - and-81 - H:\Program Files\IR Server Suite\Input Service\Input Service.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - H:\Program Files\Java\jre6\bin\jqs.exe
--
End of file - 5453 bytes
adii_22
(adii_22)
22 Kwiecień 2009 11:35
#2
Spróbuj wyłączyć ten proces-zobacz czy się da i czy nie włącza się od nowa. Spróbuj przywrócić system do stanu sprzed 2 dni.
oolleekk
(Olekd5)
22 Kwiecień 2009 15:44
#3
Procesu nieda się wyłączyć, po przywracaniu to samo.
adii_22
(adii_22)
22 Kwiecień 2009 15:51
#4
Coś widzę, że przydało by się przeskanować to skanerem on-line. trochę to trwa, ale może dać to konkretne rezultaty. Zobacz, czy dzieje się tak w trybie awaryjnym
system
(system)
22 Kwiecień 2009 16:09
#5
Masz infekcję z pendriva. Przeskanuj system za pomocą ComboFix i daj log (przeczytaj instrukcję obsługi narzędzia).
oolleekk
(Olekd5)
22 Kwiecień 2009 19:06
#6
ComboFix rozwiązało problem
dziękuje wszystkim
system
(system)
22 Kwiecień 2009 20:35
#7
ComboFix nie usuwa w 100% tej infekcji, więc Twoja radość jest przedwczesna.
oolleekk
(Olekd5)
23 Kwiecień 2009 08:02
#8
To co muszę jeszcze zrobić ?
ComboFix 09-04-23.02 - momo 2009-04-21 19:58.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1250.48.1045.18.511.266 [GMT 2:00]
Uruchomiony z: h:\documents and settings\momo\Pulpit\ComboFix.exe
Użyto następujących komend :: h:\documents and settings\momo\Pulpit\WindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe
AV: ESET NOD32 Antivirus 4.0 *On-access scanning disabled* (Updated)
* Utworzono nowy punkt przywracania
.
((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\1utbfd.bat
C:\2.bat
C:\2fiy.bat
C:\a1agmur.cmd
C:\Autorun.inf
C:\cv22.cmd
C:\dbrxubcw.com
C:\ej10fkdo.bat
C:\em8tqm.cmd
C:\i.cmd
C:\i6g6x.cmd
C:\jm3cx96.bat
C:\m0vnonh.bat
C:\minm.cmd
C:\pook.com
C:\qxty9be.cmd
C:\u.com
C:\upw.bat
C:\uxkl0apt.bat
C:\xsia.bat
C:\yh.cmd
D:\1utbfd.bat
D:\2.bat
D:\2fiy.bat
D:\8.bat
D:\a1agmur.cmd
D:\Autorun.inf
D:\cv22.cmd
D:\dbrxubcw.com
D:\ej10fkdo.bat
D:\em8tqm.cmd
D:\i.cmd
D:\i6g6x.cmd
D:\iq.bat
D:\jm3cx96.bat
D:\m0vnonh.bat
D:\minm.cmd
D:\pook.com
D:\qoes.bat
D:\qxty9be.cmd
D:\r8.bat
D:\sq.com
D:\u.com
D:\upw.bat
D:\uvsqfgwd.cmd
D:\uxkl0apt.bat
D:\x0.com
D:\x2tpc.cmd
D:\xcisvxl.com
D:\xsia.bat
D:\yb12j.cmd
D:\yh.cmd
E:\1utbfd.bat
E:\2.bat
E:\2fiy.bat
E:\8.bat
E:\a1agmur.cmd
E:\Autorun.inf
E:\cv22.cmd
E:\dbrxubcw.com
E:\ej10fkdo.bat
E:\em8tqm.cmd
E:\i.cmd
E:\i6g6x.cmd
E:\iq.bat
E:\jm3cx96.bat
E:\m0vnonh.bat
E:\minm.cmd
E:\pook.com
E:\qoes.bat
E:\qxty9be.cmd
E:\r8.bat
E:\sq.com
E:\u.com
E:\upw.bat
E:\uvsqfgwd.cmd
E:\uxkl0apt.bat
E:\x0.com
E:\x2tpc.cmd
E:\xcisvxl.com
E:\xsia.bat
E:\yb12j.cmd
E:\yh.cmd
F:\1utbfd.bat
F:\2.bat
F:\2fiy.bat
F:\8.bat
F:\a1agmur.cmd
F:\Autorun.inf
F:\cv22.cmd
F:\dbrxubcw.com
F:\ej10fkdo.bat
F:\em8tqm.cmd
F:\i.cmd
F:\i6g6x.cmd
F:\iq.bat
F:\jm3cx96.bat
F:\m0vnonh.bat
F:\minm.cmd
F:\pook.com
F:\qoes.bat
F:\qxty9be.cmd
F:\r8.bat
F:\sq.com
F:\u.com
F:\upw.bat
F:\uvsqfgwd.cmd
F:\uxkl0apt.bat
F:\x0.com
F:\x2tpc.cmd
F:\xcisvxl.com
F:\xsia.bat
F:\yb12j.cmd
F:\yh.cmd
G:\1utbfd.bat
G:\2.bat
G:\2fiy.bat
G:\8.bat
G:\a1agmur.cmd
G:\Autorun.inf
G:\cv22.cmd
G:\dbrxubcw.com
G:\ej10fkdo.bat
G:\em8tqm.cmd
G:\i.cmd
G:\i6g6x.cmd
G:\iq.bat
G:\jm3cx96.bat
G:\m0vnonh.bat
G:\minm.cmd
G:\pook.com
G:\qoes.bat
G:\qxty9be.cmd
G:\r8.bat
G:\sq.com
G:\u.com
G:\upw.bat
G:\uvsqfgwd.cmd
G:\uxkl0apt.bat
G:\x0.com
G:\x2tpc.cmd
G:\xcisvxl.com
G:\xsia.bat
G:\yb12j.cmd
G:\yh.cmd
H:\autorun.inf
H:\ej10fkdo.bat
H:\em8tqm.cmd
H:\i.cmd
H:\jm3cx96.bat
H:\minm.cmd
H:\u.com
H:\upw.bat
H:\uxkl0apt.bat
h:\windows\system32\msvcsv60.dll
h:\windows\system32\nmdfgds0.dll
h:\windows\system32\nmdfgds1.dll
h:\windows\system32\olhrwef.exe
h:\windows\winlogon.exe
H:\xsia.bat
H:\yh.cmd
I:\Autorun.inf
I:\ej10fkdo.bat
I:\em8tqm.cmd
I:\i.cmd
I:\jm3cx96.bat
I:\minm.cmd
I:\u.com
I:\upw.bat
I:\uxkl0apt.bat
I:\xsia.bat
I:\yh.cmd
Z:\Autorun.inf
Z:\ej10fkdo.bat
.
((((((((((((((((((((((((( Pliki utworzone od 2009-03-23 do 2009-04-23 )))))))))))))))))))))))))))))))
.
2009-04-22 08:16 . 2008-04-14 22:51 510464 ------w h:\windows\system32\winlogon.exe
2009-04-21 12:33 . 2009-04-21 12:33 -------- d-----w h:\documents and settings\momo\Dane aplikacji\Media Player Classic
2009-04-21 11:13 . 2009-04-21 11:13 -------- d-----w h:\documents and settings\momo\Dane aplikacji\DivX
2009-04-21 11:12 . 2009-04-21 11:12 -------- d-----w h:\documents and settings\momo\Ustawienia lokalne\Dane aplikacji\ESET
2009-04-21 11:12 . 2009-04-21 11:12 18248 ----a-w h:\documents and settings\momo\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT
2009-04-21 11:10 . 2009-04-21 11:10 -------- d-----w h:\documents and settings\momo\Ustawienia lokalne\Dane aplikacji\Native Instruments
2009-04-21 11:08 . 2009-04-21 11:13 -------- d-----w h:\documents and settings\momo\Dane aplikacji\Steinberg
2009-04-21 10:59 . 2009-04-21 11:00 -------- d-----w h:\documents and settings\momo\Ustawienia lokalne\Dane aplikacji\Google
2009-04-21 10:56 . 2008-04-14 20:51 221184 ----a-w h:\windows\system32\wmpns.dll
2009-04-21 09:29 . 2009-04-21 09:30 -------- d-----w h:\documents and settings\All Users\Dane aplikacji\SecTaskMan
2009-04-20 16:14 . 2009-04-21 15:34 109601 --sh--r H:\g1ljsm.com
2009-04-19 15:10 . 2008-10-16 12:09 43544 ----a-w h:\windows\system32\wups2.dll
2009-04-19 15:10 . 2008-10-16 12:08 35864 ----a-w h:\windows\system32\wucltui.dll.mui
2009-04-19 15:10 . 2008-10-16 12:07 19480 ----a-w h:\windows\system32\wuaueng.dll.mui
2009-04-19 15:09 . 2008-10-16 12:08 27672 ----a-w h:\windows\system32\wuaucpl.cpl.mui
2009-04-19 15:09 . 2008-10-16 12:08 27672 ----a-w h:\windows\system32\wuapi.dll.mui
2009-04-18 12:18 . 2009-04-18 12:18 -------- d-----w h:\documents and settings\ddd\Ustawienia lokalne\Dane aplikacji\ESET
2009-04-18 12:16 . 2009-04-18 12:16 -------- d-----w h:\documents and settings\All Users\Dane aplikacji\ESET
2009-04-18 09:08 . 2009-04-18 11:12 -------- d-----w h:\windows\KConvert Logs
2009-04-18 09:08 . 2009-04-18 09:08 -------- d-----w h:\windows\KConvert Temp
2009-04-17 18:34 . 2009-04-21 16:47 116 ----a-w h:\windows\NeroDigital.ini
2009-04-17 16:04 . 2009-04-17 17:48 -------- d-----w h:\documents and settings\ddd\Dane aplikacji\Winamp
2009-04-17 16:03 . 2005-06-07 09:40 49655 ------w h:\windows\UNNMP.cfg
2009-04-17 16:03 . 2005-02-08 12:12 2670592 ------w h:\windows\UNNMP.exe
2009-04-17 16:01 . 2001-07-09 09:50 155648 ----a-w h:\windows\system32\NeroCheck.exe
2009-04-17 16:01 . 2005-06-07 09:40 154855 ------w h:\windows\UNNeroVision.cfg
2009-04-17 16:01 . 2005-04-20 11:32 2916352 ------w h:\windows\UNNeroVision.exe
2009-04-17 16:01 . 2001-03-08 17:30 24064 ------w h:\windows\system32\msxml3a.dll
2009-04-17 16:00 . 2009-04-17 16:00 -------- d-----w h:\documents and settings\All Users\Dane aplikacji\Ahead
2009-04-17 16:00 . 2004-07-26 15:16 476320 ------w h:\windows\system32\ImagXpr7.dll
2009-04-17 16:00 . 2004-07-26 15:16 471040 ------w h:\windows\system32\ImagXRA7.dll
2009-04-17 16:00 . 2004-07-26 15:16 262144 ------w h:\windows\system32\ImagXR7.dll
2009-04-17 16:00 . 2004-07-09 07:43 364544 ------w h:\windows\system32\TwnLib4.dll
2009-04-17 16:00 . 2004-07-26 15:16 1568768 ------w h:\windows\system32\ImagX7.dll
2009-04-17 16:00 . 2001-06-26 06:15 38912 ------w h:\windows\system32\picn20.dll
2009-04-17 16:00 . 2000-06-26 09:45 106496 ----a-w h:\windows\system32\TwnLib20.dll
2009-04-17 07:23 . 2009-04-17 07:23 -------- d-----w h:\documents and settings\ddd\Ustawienia lokalne\Dane aplikacji\Help
2009-04-16 05:02 . 2009-04-16 05:02 108169 --sh--r H:\husyu8n.exe
2009-04-14 14:07 . 2009-04-21 11:09 16 ----a-w h:\windows\system32\w3data.vss
2009-04-14 14:07 . 2009-04-21 11:09 16 ----a-w h:\windows\msocreg32.dat
2009-04-14 14:06 . 2009-04-14 14:06 -------- d-----w h:\documents and settings\ddd\Dane aplikacji\InstallShield
2009-04-14 06:30 . 2009-04-14 06:29 108514 --sh--r H:\[u]0[/u]xuc.com
2009-04-13 07:44 . 2005-02-01 03:34 700416 ----a-w h:\windows\system32\SYNSOACC.dll
2009-04-12 19:42 . 2009-04-12 19:42 109163 --sh--r H:\qwtb.com
2009-04-11 18:22 . 2009-04-11 18:22 -------- d-----w h:\documents and settings\ddd\Ustawienia lokalne\Dane aplikacji\Google
2009-04-11 16:17 . 2009-04-21 15:49 -------- d-----w h:\documents and settings\ddd\Dane aplikacji\Skype
2009-04-11 16:16 . 2009-04-11 16:16 -------- d-----w h:\documents and settings\All Users\Dane aplikacji\Skype
2009-04-11 13:38 . 2009-04-11 13:38 73728 ----a-w h:\windows\system32\javacpl.cpl
2009-04-11 13:38 . 2009-04-11 13:38 410984 ----a-w h:\windows\system32\deploytk.dll
2009-04-11 09:52 . 2009-04-11 09:52 -------- d-----w h:\documents and settings\ddd\Ustawienia lokalne\Dane aplikacji\{3248F0A6-6813-11D6-A77B-00B0D0150010}
2009-04-08 06:55 . 2009-04-08 20:04 110321 --sh--r H:\1ogf.exe
2009-04-01 19:03 . 2009-04-02 17:53 110157 --sh--r H:\cqxj.exe
2009-04-01 04:52 . 2009-04-01 04:51 108083 --sh--r H:\o3n9k.com
2009-03-30 14:34 . 2005-01-12 20:18 163840 ----a-w h:\windows\system32\ArtFfct.dll
2009-03-29 06:08 . 2009-03-29 06:08 427 ----a-w h:\windows\ODBC.INI
2009-03-29 06:07 . 2009-03-29 06:08 -------- d-----w h:\windows\ShellNew
2009-03-28 11:28 . 2009-03-31 06:01 108693 --sh--r H:\[u]0[/u]bcobed.exe
2009-03-26 23:24 . 2009-04-04 12:22 38 ----a-w h:\windows\AviSplitter.INI
2009-03-26 10:49 . 2007-05-17 16:30 318976 ----a-w h:\windows\system32\avisynth.dll
2009-03-26 10:49 . 2007-05-14 14:24 394240 ----a-w h:\windows\system32\Smab.dll
2009-03-26 10:49 . 2006-10-07 16:43 502784 ----a-w h:\windows\x2.64.exe
2009-03-26 10:49 . 2006-04-12 08:47 217073 ----a-w h:\windows\meta4.exe
2009-03-26 10:49 . 2006-04-05 07:09 66560 ----a-w h:\windows\MOTA113.exe
2009-03-26 10:49 . 2005-07-14 11:31 27648 ----a-w h:\windows\system32\AVSredirect.dll
2009-03-26 10:49 . 2005-02-28 12:16 240128 ----a-w h:\windows\system32\x.264.exe
2009-03-26 10:49 . 2004-02-22 09:11 719872 ----a-w h:\windows\system32\devil.dll
2009-03-26 10:49 . 2004-01-24 23:00 70656 ----a-w h:\windows\system32\i420vfw.dll
2009-03-25 10:43 . 2009-04-21 15:49 -------- d-----w h:\documents and settings\ddd\Dane aplikacji\uTorrent
.
(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-23 18:02 . 2009-03-09 15:39 127 ----a-w H:\MicrosoftMceTransceiver_DriverXP.log
2009-04-21 09:29 . 2009-04-21 09:29 -------- d-----w h:\program files\Security Task Manager
2009-04-21 08:53 . 2009-04-21 08:53 -------- d-----w h:\program files\Trend Micro
2009-04-17 16:04 . 2009-04-17 16:04 -------- d-----w h:\program files\Winamp
2009-04-17 16:01 . 2009-04-17 16:01 -------- d-----w h:\program files\Common Files\Nero
2009-04-17 16:00 . 2009-04-17 16:00 -------- d-----w h:\program files\Common Files\Ahead
2009-04-16 13:28 . 2009-04-16 13:28 -------- d-----w h:\program files\Audacity
2009-04-14 14:06 . 2009-03-08 17:47 -------- d--h--w h:\program files\InstallShield Installation Information
2009-04-14 14:06 . 2009-04-14 14:06 -------- d-----w h:\program files\IK Multimedia
2009-04-13 07:45 . 2009-04-13 07:45 -------- d-----w h:\program files\Common Files\Digidesign
2009-04-11 16:17 . 2009-04-11 16:16 -------- d-----w h:\program files\Google
2009-04-11 16:16 . 2009-04-11 16:16 -------- d-----r h:\program files\Skype
2009-04-11 13:38 . 2009-04-11 13:19 -------- d-----w h:\program files\Java
2009-04-11 13:19 . 2009-04-11 13:19 -------- d-----w h:\program files\Common Files\Java
2009-04-08 20:28 . 2009-04-08 20:28 -------- d-----w h:\program files\Switch Off
2009-04-01 16:01 . 2009-03-08 22:10 18248 ----a-w h:\documents and settings\ddd\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT
2009-03-29 14:04 . 2001-10-26 16:15 83988 ----a-w h:\windows\system32\perfc015.dat
2009-03-29 14:04 . 2001-10-26 16:15 490808 ----a-w h:\windows\system32\perfh015.dat
2009-03-28 11:29 . 2009-03-08 20:01 -------- d-----w h:\documents and settings\ddd\Dane aplikacji\Nowe Gadu-Gadu
2009-03-28 09:22 . 2009-03-08 14:35 -------- d-----w h:\program files\microsoft frontpage
2009-03-26 10:49 . 2009-03-26 10:49 -------- d-----w h:\program files\AviSynth 2.5
2009-03-23 11:55 . 2009-03-08 18:05 -------- d-----w h:\program files\Common Files\Native Instruments
2009-03-23 11:32 . 2009-03-22 18:52 -------- d-----w h:\program files\Native Instruments
2009-03-23 10:10 . 2009-03-23 10:10 1700352 ----a-w h:\windows\system32\gdiplus.dll
2009-03-22 16:30 . 2009-03-16 19:07 -------- d-----w h:\documents and settings\ddd\Dane aplikacji\Steinberg
2009-03-22 16:23 . 2009-03-22 16:23 -------- d-----w h:\program files\Syncrosoft
2009-03-22 09:30 . 2009-03-08 17:59 -------- d-----w h:\documents and settings\ddd\Dane aplikacji\Propellerhead Software
2009-03-22 09:19 . 2009-03-22 09:06 -------- d-----w h:\program files\Recycle
2009-03-22 09:16 . 2009-03-22 09:07 -------- d-----w h:\program files\Propellerhead
2009-03-22 08:49 . 2009-03-22 08:49 -------- d-----w h:\program files\Common Files\NSV
2009-03-22 08:49 . 2009-03-22 08:49 -------- d-----w h:\program files\Common Files\Nullsoft
2009-03-20 17:27 . 2009-03-08 17:59 -------- d-----w h:\documents and settings\All Users\Dane aplikacji\Propellerhead Software
2009-03-18 18:14 . 2009-03-18 18:14 -------- d-----w h:\documents and settings\ddd\Dane aplikacji\Waves Preferences
2009-03-18 17:57 . 2009-03-18 17:57 -------- d-----w h:\documents and settings\ddd\Dane aplikacji\Moyea
2009-03-17 16:51 . 2009-03-17 16:51 -------- d-----w h:\documents and settings\ddd\Dane aplikacji\Media Player Classic
2009-03-17 15:22 . 2009-03-17 15:23 110053 --sh--r H:\q0dhfjf.exe
2009-03-16 07:07 . 2009-03-08 19:52 -------- d-----w h:\program files\Common Files\Adobe
2009-03-16 06:59 . 2009-03-15 06:18 111435 --sh--r H:\luk1ylq.com
2009-03-13 16:08 . 2009-03-13 16:08 -------- d-----w h:\program files\Ares
2009-03-11 20:42 . 2009-03-11 20:41 -------- d-----w h:\program files\K-Lite Codec Pack
2009-03-11 16:35 . 2009-03-11 16:36 108968 --sh--r H:\xdw.com
2009-03-09 17:54 . 2009-03-09 17:54 108313 --sh--r H:\cb.exe
2009-03-09 15:39 . 2009-03-09 15:39 -------- d-----w h:\documents and settings\All Users\Dane aplikacji\MediaPortal
2009-03-09 15:39 . 2009-03-09 15:39 -------- d-----w h:\program files\IR Server Suite
2009-03-09 15:39 . 2009-03-09 15:39 -------- d-----w h:\program files\Team MediaPortal
2009-03-09 15:39 . 2009-03-09 15:39 -------- d-----w h:\documents and settings\All Users\Dane aplikacji\IR Server Suite
2009-03-09 10:14 . 2009-03-09 10:14 -------- d-----w h:\program files\ASIO4ALL v2
2009-03-09 10:14 . 2009-03-09 10:14 -------- d-----w h:\program files\Outsim
2009-03-08 22:07 . 2009-03-08 22:07 64200 ----a-w h:\documents and settings\LocalService\Ustawienia lokalne\Dane aplikacji\FontCache3.0.0.0.dat
2009-03-08 22:07 . 2009-03-08 22:07 -------- d-----w h:\program files\MSBuild
2009-03-08 22:07 . 2009-03-08 22:07 -------- d-----w h:\program files\Reference Assemblies
2009-03-08 20:59 . 2009-03-08 20:59 368640 ----a-w h:\windows\system32\ReWire.dll
2009-03-08 17:47 . 2009-03-08 17:47 -------- d-----w h:\program files\Realtek Sound Manager
2009-03-08 17:47 . 2009-03-08 17:47 -------- d-----w h:\program files\AvRack
2009-03-08 17:47 . 2009-03-08 17:42 -------- d-----w h:\program files\Common Files\InstallShield
2009-03-08 17:42 . 2009-03-08 14:33 86327 ----a-w h:\windows\pchealth\helpctr\OfflineCache\index.dat
2009-03-08 17:41 . 2009-03-08 14:33 -------- d-----w h:\program files\Usługi online
2009-03-08 14:31 . 2009-03-08 14:31 21856 ----a-w h:\windows\system32\emptyregdb.dat
2009-03-08 14:31 . 2009-03-08 14:31 -------- d-----w h:\program files\Windows Media Connect 2
2009-03-08 12:06 . 2009-03-08 14:39 108664 --sh--r H:\i.com
2009-02-09 18:56 . 2008-12-17 17:22 67584 ----a-w h:\windows\system32\ff_vfw.dll
2006-05-03 09:06 . 2009-03-26 10:48 163328 --sh--r h:\windows\system32\flvDX.dll
2007-02-21 10:47 . 2009-03-26 10:48 31232 --sh--r h:\windows\system32\msfDX.dll
.
------- Sigcheck -------
[-] 2008-05-08 18:02 361344 ACCF5A9A1FFAA490F33DBA1C632B95E1 h:\windows\system32\drivers\tcpip.sys
[-] 2008-05-08 18:02 1571840 9F02C1CF7C3100E4AEA7DD8B6A86A01B h:\windows\system32\sfcfiles.dll
.
((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="h:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"swg"="h:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-04-11 39408]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"H2O"="h:\program files\SyncroSoft\Pos\H2O\cledx.exe" [2005-05-11 200069]
"SunJavaUpdateSched"="h:\program files\Java\jre6\bin\jusched.exe" [2009-04-11 148888]
"NeroFilterCheck"="h:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"egui"="f:\nod\egui.exe" [2009-02-06 2021400]
"SoundMan"="SOUNDMAN.EXE" - h:\windows\SOUNDMAN.EXE [2005-01-20 77824]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="h:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_2"="shell32" [X]
h:\documents and settings\All Users\Menu Start\Programy\Autostart\
Microsoft Office.lnk - f:\office\Office10\OSA.EXE [2001-2-13 83360]
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32
"MIDI1"= myokent.dll
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"h:\\Program Files\\Ares\\Ares.exe"=
"f:\\u\\uTorrent.exe"=
"h:\\Program Files\\Skype\\Phone\\Skype.exe"=
S1 ehdrv;ehdrv;h:\windows\system32\DRIVERS\ehdrv.sys [2009-02-06 106208]
S1 epfwtdir;epfwtdir;h:\windows\system32\DRIVERS\epfwtdir.sys [2009-02-06 93336]
S2 ekrn;ESET Service;f:\nod\ekrn.exe [2009-02-06 727720]
S2 InputService;Input Service;h:\program files\IR Server Suite\Input Service\Input Service.exe [2007-12-17 40960]
S3 3xHybrid;TV-Station DVR service;h:\windows\system32\DRIVERS\3xHybrid.sys [2006-11-22 1121536]
S3 CLEDX;Team H2O CLEDX service;h:\windows\system32\DRIVERS\cledx.sys [2005-05-09 33792]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{18B0E5C2-99CB-11CF-AYX5-00401C648513}]
c:\recycler\S-1-5-21-1482476501-1644491937-682003330-1013\iuhi64.exe
.
- - - - USUNIĘTO PUSTE WPISY - - - -
HKCU-Run-cdoosoft - h:\windows\system32\olhrwef.exe
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-23 20:06
Windows 5.1.2600 Dodatek Service Pack 3 NTFS
skanowanie ukrytych procesów ...
skanowanie ukrytych wpisów autostartu ...
skanowanie ukrytych plików ...
skanowanie pomyślnie ukończone
ukryte pliki: 0
**************************************************************************
.
--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------
- - - - - - - > 'winlogon.exe'(788)
h:\windows\system32\myokent.dll
- - - - - - - > 'lsass.exe'(844)
h:\windows\system32\myokent.dll
- - - - - - - > 'explorer.exe'(1116)
h:\windows\system32\myokent.dll
h:\windows\system32\ieframe.dll
h:\windows\system32\wpdshserviceobj.dll
h:\windows\system32\portabledevicetypes.dll
h:\windows\system32\portabledeviceapi.dll
.
------------------------ Pozostałe uruchomione procesy ------------------------
.
h:\program files\Java\jre6\bin\jqs.exe
h:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Czas ukończenia: 2009-04-23 20:07 - komputer został uruchomiony ponownie
ComboFix-quarantined-files.txt 2009-04-23 18:07
Przed: 365 129 728 bajtów wolnych
Po: 974 692 352 bajtów wolnych
WindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(6)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(6)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Windows XP Media Center Edition" /noexecute=optin /fastdetect
multi(0)disk(0)rdisk(0)partition(7)\WINDOWS="windows przeruba" /noexecute=optin /fastdetect
409
Przeskanuj tym skanerem online http://www.kaspersky.pl/virusscanner.html/ i daj log na forum.
system
(system)
23 Kwiecień 2009 14:09
#10
Skopiuj i wklej do notatnika:
File::
H:\g1ljsm.com
H:\husyu8n.exe
H:\[u]0[/u]xuc.com
H:\qwtb.com
H:\1ogf.exe
H:\cqxj.exe
H:\o3n9k.com
H:\[u]0[/u]bcobed.exe
H:\q0dhfjf.exe
H:\luk1ylq.com
H:\xdw.com
H:\cb.exe
H:\i.com
Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{18B0E5C2-99CB-11CF-AYX5-00401C648513}]
zapisz jako CFScript.txt (zapisz tak, by ikonka CFScript.txt była obok ikonki ComboFix.exe) następnie przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe
Rozpocznie się usuwanie, potem dajesz log z usuwania Combofix
W logu jeszcze to:
Bardzo nie podoba mi się data utworzenia jak i wielkość pliku winlogon.exe.
Przeskanuj plik winlogon.exe na VirusTotal i podaj wyniki skanowania, ponieważ istnieje duże prawdopodobieństwo, że winlogon.exe jest zainfekowany.