Witam
Mam problem z wirusem Win32-Alureon-AZ (rtk). Co chwila avast pokazuje komunikat, że mam tego wirusa. Wciskam usuń ( w avast) a po paru minutach znów to samo. Wygooglowałem, że to niebezpieczny wirus, jak sobie z nim poradzić?
Proszę o pomoc
Witam
Mam problem z wirusem Win32-Alureon-AZ (rtk). Co chwila avast pokazuje komunikat, że mam tego wirusa. Wciskam usuń ( w avast) a po paru minutach znów to samo. Wygooglowałem, że to niebezpieczny wirus, jak sobie z nim poradzić?
Proszę o pomoc
oto mój log . co mam dalej zrobić?
ComboFix 09-05-29.01 - Krzysztof 2009-05-30 14:52.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1250.48.1045.18.1917.1476 [GMT 2:00]
Uruchomiony z: c:\documents and settings\Krzysztof\Pulpit\ComboFix.exe
AV: avast! antivirus 4.8.1335 [VPS 090529-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
.
((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\docume~1\KRZYSZ~1\USTAWI~1\Temp\4314141.dll
c:\docume~1\KRZYSZ~1\USTAWI~1\Temp\kungsftkbcjpkype.tmp
c:\documents and settings\Krzysztof\Ustawienia lokalne\Temp\4314141.dll
c:\documents and settings\Krzysztof\Ustawienia lokalne\Temp\kungsftkbcjpkype.tmp
.
((((((((((((((((((((((((( Pliki utworzone od 2009-04-28 do 2009-05-30 )))))))))))))))))))))))))))))))
.
2009-05-30 12:20 . 2009-05-30 11:19 10752 ----a-w c:\windows\system32\file32.18467.dll
2009-05-30 11:19 . 2009-05-30 11:19 61440 ----a-w c:\documents and settings\Krzysztof\crsscc.exe
2009-05-30 11:19 . 2009-05-30 11:19 10752 ----a-w c:\windows\system32\file32.41.dll
2009-05-30 08:38 . 2009-05-30 08:40 -------- d-----w c:\documents and settings\Piotrek\Dane aplikacji\Nowe Gadu-Gadu
2009-05-30 08:06 . 2009-05-30 08:06 -------- d-----w c:\documents and settings\Piotrek\Dane aplikacji\AdobeUM
2009-05-30 07:46 . 2009-05-30 07:46 -------- d-----w c:\documents and settings\Piotrek\Ustawienia lokalne\Dane aplikacji\Mozilla
2009-05-29 22:09 . 2009-05-29 22:09 -------- d-----w c:\documents and settings\Alina\Ustawienia lokalne\Dane aplikacji\Mozilla
2009-05-29 21:06 . 2009-05-29 21:06 42168 ----a-w c:\documents and settings\Krzysztof\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT
2009-05-29 21:05 . 2009-05-29 21:05 -------- d-----r c:\documents and settings\Krzysztof\Dane aplikacji\Brother
2009-05-29 20:50 . 2004-08-03 21:01 25856 -c--a-w c:\windows\system32\dllcache\usbprint.sys
2009-05-29 20:50 . 2004-08-03 21:01 25856 ----a-w c:\windows\system32\drivers\usbprint.sys
2009-05-29 20:50 . 2004-08-03 21:08 31616 -c--a-w c:\windows\system32\dllcache\usbccgp.sys
2009-05-29 20:50 . 2004-08-03 21:08 31616 ----a-w c:\windows\system32\drivers\usbccgp.sys
2009-05-29 20:44 . 2001-08-17 19:56 7552 -c--a-w c:\windows\system32\dllcache\sonypvu1.sys
2009-05-29 20:44 . 2001-08-17 19:56 7552 ----a-w c:\windows\system32\drivers\SONYPVU1.SYS
2009-05-29 20:21 . 2009-05-29 20:21 -------- d-----w c:\documents and settings\Krzysztof\Ustawienia lokalne\Dane aplikacji\Mozilla
2009-05-29 20:18 . 2004-08-03 21:08 26496 -c--a-w c:\windows\system32\dllcache\usbstor.sys
2009-05-29 19:39 . 2009-05-29 20:06 -------- d-----w c:\documents and settings\user\Dane aplikacji\Nowe Gadu-Gadu
2009-05-29 19:39 . 2009-05-29 19:39 -------- d-----w c:\program files\Nowe Gadu-Gadu
2009-05-29 19:30 . 2009-05-29 19:30 56 ---ha-w c:\windows\system32\ezsidmv.dat
2009-05-29 19:30 . 2009-05-29 19:30 -------- d-----w c:\documents and settings\user\Dane aplikacji\skypePM
2009-05-29 19:29 . 2009-05-29 19:32 -------- d-----w c:\documents and settings\user\Dane aplikacji\Skype
2009-05-29 19:29 . 2009-05-29 19:29 -------- d-----w c:\program files\Common Files\Skype
2009-05-29 19:29 . 2009-05-29 19:29 -------- d-----r c:\program files\Skype
2009-05-29 19:29 . 2009-05-29 19:29 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\Skype
.
(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-30 08:06 . 2009-05-29 11:34 -------- d-----w c:\program files\Common Files\Adobe
2009-05-30 07:49 . 2001-10-26 16:15 49712 ----a-w c:\windows\system32\perfc015.dat
2009-05-30 07:49 . 2001-10-26 16:15 355830 ----a-w c:\windows\system32\perfh015.dat
2009-05-29 17:25 . 2009-05-29 17:24 -------- d-----w c:\program files\Winamp
2009-05-29 17:23 . 2009-05-29 17:23 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\CyberLink
2009-05-29 17:23 . 2009-05-29 17:23 -------- d-----w c:\program files\CyberLink
2009-05-29 17:23 . 2009-05-29 16:48 -------- d--h--w c:\program files\InstallShield Installation Information
2009-05-29 17:23 . 2009-05-29 16:48 -------- d-----w c:\program files\Common Files\InstallShield
2009-05-29 17:23 . 2009-05-29 17:23 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\Ahead
2009-05-29 17:23 . 2009-05-29 17:23 -------- d-----w c:\program files\XviD
2009-05-29 17:23 . 2009-05-29 17:19 -------- d-----w c:\program files\Common Files\Ahead
2009-05-29 17:21 . 2009-05-29 17:21 -------- d-----w c:\program files\ffdshow
2009-05-29 17:20 . 2009-05-29 17:20 -------- d-----w c:\program files\DivX
2009-05-29 17:19 . 2009-05-29 17:19 -------- d-----w c:\program files\Nero
2009-05-29 17:19 . 2009-05-29 17:19 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\Nero
2009-05-29 17:19 . 2009-05-29 17:19 -------- d-----w c:\program files\The Playa
2009-05-29 17:19 . 2009-05-29 17:19 -------- d-----w c:\program files\3ivx
2009-05-29 17:18 . 2009-05-29 17:18 -------- d-----w c:\program files\MarBit
2009-05-29 17:11 . 2009-05-29 17:11 0 ----a-w c:\windows\nsreg.dat
2009-05-29 17:10 . 2009-05-29 17:10 -------- d-----w c:\program files\Alwil Software
2009-05-29 17:03 . 2009-05-29 17:03 -------- d-----w c:\program files\Microsoft.NET
2009-05-29 16:50 . 2009-05-29 16:50 -------- d-----w c:\documents and settings\user\Dane aplikacji\InstallShield
2009-05-29 16:48 . 2009-05-29 16:48 -------- d-----w c:\program files\Realtek
2009-05-29 16:48 . 2009-05-29 16:48 315392 ----a-w c:\windows\HideWin.exe
2009-05-29 16:40 . 2009-05-29 16:40 12328 ----a-w c:\documents and settings\user\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT
2009-05-29 16:32 . 2009-05-29 16:32 -------- d-----w c:\program files\microsoft frontpage
2009-05-29 16:31 . 2009-05-29 16:31 86327 ----a-w c:\windows\pchealth\helpctr\OfflineCache\index.dat
2009-05-29 16:31 . 2009-05-29 16:31 -------- d-----w c:\program files\Usługi online
2009-05-29 16:29 . 2009-05-29 16:29 21856 ----a-w c:\windows\system32\emptyregdb.dat
2009-05-29 11:32 . 2009-05-29 11:32 714 ----a-w c:\windows\unins000.dat
2009-05-29 11:30 . 2009-05-29 11:30 1181 ----a-w c:\windows\mozver.dat
2009-05-29 11:29 . 2009-05-29 17:16 -------- d---a-w c:\documents and settings\All Users\Dane aplikacji\TEMP
2009-05-28 09:23 . 2009-05-28 09:23 42088 ----a-w c:\documents and settings\user\Dane aplikacji\Nowe Gadu-Gadu\_userdata\ggbho.1.dll
2006-12-13 03:12 . 2009-05-29 17:10 66648 ----a-w c:\program files\mozilla firefox\components\jar50.dll
2006-12-13 03:12 . 2009-05-29 17:10 54352 ----a-w c:\program files\mozilla firefox\components\jsd3250.dll
2006-12-13 03:12 . 2009-05-29 17:10 34928 ----a-w c:\program files\mozilla firefox\components\myspell.dll
2006-12-13 03:12 . 2009-05-29 17:10 46696 ----a-w c:\program files\mozilla firefox\components\spellchk.dll
2006-12-13 03:12 . 2009-05-29 17:10 172120 ----a-w c:\program files\mozilla firefox\components\xpinstal.dll
.
((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-03 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-02 13529088]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-05-02 86016]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000]
"NeroFilterCheck"="c:\program files\Common Files\Ahead\Lib\NeroCheck.exe" [2007-03-01 153136]
"SecurDisc"="c:\program files\Nero\Nero 7\InCD\NBHGui.exe" [2007-05-15 1628208]
"InCD"="c:\program files\Nero\Nero 7\InCD\InCD.exe" [2007-05-15 1057328]
"WinampAgent"="c:\program files\Winamp\winampa.exe" [2003-12-13 33792]
"AudioMixer"="c:\windows\system32\file32.18467.dll" [2009-05-30 10752]
"SoundMixer"="c:\documents and settings\Krzysztof\crsscc.exe" [2009-05-30 61440]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2008-05-02 1630208]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2008-05-16 16862720]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Taskman"="c:\recycler\S-1-5-21-1566938194-2531947431-695866360-0649\hdav.exe"
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\file32.18467]
2009-05-30 11:19 10752 ----a-w c:\windows\system32\file32.18467.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\file32.41]
2009-05-30 11:19 10752 ----a-w c:\windows\system32\file32.41.dll
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"c:\\Program Files\\Nowe Gadu-Gadu\\gg.exe"=
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2009-05-29 114768]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2009-05-29 20560]
R3 NVHDA;Service for NVIDIA HDMI Audio Driver;c:\windows\system32\drivers\nvhda32.sys [2009-05-29 26272]
.
- - - - USUNIĘTO PUSTE WPISY - - - -
SafeBoot-procexp90.Sys
.
------- Skan uzupełniający -------
.
uInternet Connection Wizard,ShellNext = hxxp://incrates.com/traffic/go.php?sid=1
IE: E&ksport do programu Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\Krzysztof\Dane aplikacji\Mozilla\Firefox\Profiles\lj12b4lw.default\
FF - prefs.js: browser.startup.homepage - hxxp://pl.start.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:pl:official
FF - component: c:\progra~1\MOZILL~1\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll
FF - component: c:\program files\Mozilla Firefox\components\xpinstal.dll
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-30 14:53
Windows 5.1.2600 Dodatek Service Pack 2 NTFS
skanowanie ukrytych procesów ...
skanowanie ukrytych wpisów autostartu ...
skanowanie ukrytych plików ...
skanowanie pomyślnie ukończone
ukryte pliki: 0
**************************************************************************
.
Czas ukończenia: 2009-05-30 14:54
ComboFix-quarantined-files.txt 2009-05-30 12:54
Przed: 99 182 395 392 bajtów wolnych
Po: 99 275 415 552 bajtów wolnych
WindowsXP-KB310994-SP2-Pro-BootDisk-PLK.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
153
Otwórz Notatnik i wklej do niego:
File::
c:\windows\system32\file32.18467.dll
c:\documents and settings\Krzysztof\crsscc.exe
c:\windows\system32\file32.41.dll
Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Taskman"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\file32.18467]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\file32.41]
Plik zapisz jako CFScript.txt , najlepiej w tym samym folderze co Combofix.exe
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę Combofix.exe
Powinno się rozpocząć usuwanie.
Potem dajesz log z usuwania Combofix.
tak zrobiłem. poniżej log. I teraz już będzie ok?
ComboFix 09-05-29.01 - Krzysztof 2009-05-30 15:07.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1250.48.1045.18.1917.1434 [GMT 2:00]
Uruchomiony z: c:\documents and settings\Krzysztof\Pulpit\ComboFix.exe
Użyto następujących komend :: c:\documents and settings\Krzysztof\Pulpit\CFScript.txt
AV: avast! antivirus 4.8.1335 [VPS 090529-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
FILE ::
"c:\documents and settings\Krzysztof\crsscc.exe"
"c:\windows\system32\file32.18467.dll"
"c:\windows\system32\file32.41.dll"
.
((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\documents and settings\Krzysztof\crsscc.exe
c:\windows\system32\file32.18467.dll
c:\windows\system32\file32.41.dll
.
((((((((((((((((((((((((( Pliki utworzone od 2009-04-28 do 2009-05-30 )))))))))))))))))))))))))))))))
.
2009-05-30 08:38 . 2009-05-30 08:40 -------- d-----w c:\documents and settings\Piotrek\Dane aplikacji\Nowe Gadu-Gadu
2009-05-30 08:06 . 2009-05-30 08:06 -------- d-----w c:\documents and settings\Piotrek\Dane aplikacji\AdobeUM
2009-05-30 07:46 . 2009-05-30 07:46 -------- d-----w c:\documents and settings\Piotrek\Ustawienia lokalne\Dane aplikacji\Mozilla
2009-05-29 22:09 . 2009-05-29 22:09 -------- d-----w c:\documents and settings\Alina\Ustawienia lokalne\Dane aplikacji\Mozilla
2009-05-29 21:06 . 2009-05-29 21:06 42168 ----a-w c:\documents and settings\Krzysztof\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT
2009-05-29 21:05 . 2009-05-29 21:05 -------- d-----r c:\documents and settings\Krzysztof\Dane aplikacji\Brother
2009-05-29 20:50 . 2004-08-03 21:01 25856 -c--a-w c:\windows\system32\dllcache\usbprint.sys
2009-05-29 20:50 . 2004-08-03 21:01 25856 ----a-w c:\windows\system32\drivers\usbprint.sys
2009-05-29 20:50 . 2004-08-03 21:08 31616 -c--a-w c:\windows\system32\dllcache\usbccgp.sys
2009-05-29 20:50 . 2004-08-03 21:08 31616 ----a-w c:\windows\system32\drivers\usbccgp.sys
2009-05-29 20:44 . 2001-08-17 19:56 7552 -c--a-w c:\windows\system32\dllcache\sonypvu1.sys
2009-05-29 20:44 . 2001-08-17 19:56 7552 ----a-w c:\windows\system32\drivers\SONYPVU1.SYS
2009-05-29 20:21 . 2009-05-29 20:21 -------- d-----w c:\documents and settings\Krzysztof\Ustawienia lokalne\Dane aplikacji\Mozilla
2009-05-29 20:18 . 2004-08-03 21:08 26496 -c--a-w c:\windows\system32\dllcache\usbstor.sys
2009-05-29 19:39 . 2009-05-29 20:06 -------- d-----w c:\documents and settings\user\Dane aplikacji\Nowe Gadu-Gadu
2009-05-29 19:39 . 2009-05-29 19:39 -------- d-----w c:\program files\Nowe Gadu-Gadu
2009-05-29 19:30 . 2009-05-29 19:30 56 ---ha-w c:\windows\system32\ezsidmv.dat
2009-05-29 19:30 . 2009-05-29 19:30 -------- d-----w c:\documents and settings\user\Dane aplikacji\skypePM
2009-05-29 19:29 . 2009-05-29 19:32 -------- d-----w c:\documents and settings\user\Dane aplikacji\Skype
2009-05-29 19:29 . 2009-05-29 19:29 -------- d-----w c:\program files\Common Files\Skype
2009-05-29 19:29 . 2009-05-29 19:29 -------- d-----r c:\program files\Skype
2009-05-29 19:29 . 2009-05-29 19:29 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\Skype
.
(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-30 08:06 . 2009-05-29 11:34 -------- d-----w c:\program files\Common Files\Adobe
2009-05-30 07:49 . 2001-10-26 16:15 49712 ----a-w c:\windows\system32\perfc015.dat
2009-05-30 07:49 . 2001-10-26 16:15 355830 ----a-w c:\windows\system32\perfh015.dat
2009-05-29 17:25 . 2009-05-29 17:24 -------- d-----w c:\program files\Winamp
2009-05-29 17:23 . 2009-05-29 17:23 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\CyberLink
2009-05-29 17:23 . 2009-05-29 17:23 -------- d-----w c:\program files\CyberLink
2009-05-29 17:23 . 2009-05-29 16:48 -------- d--h--w c:\program files\InstallShield Installation Information
2009-05-29 17:23 . 2009-05-29 16:48 -------- d-----w c:\program files\Common Files\InstallShield
2009-05-29 17:23 . 2009-05-29 17:23 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\Ahead
2009-05-29 17:23 . 2009-05-29 17:23 -------- d-----w c:\program files\XviD
2009-05-29 17:23 . 2009-05-29 17:19 -------- d-----w c:\program files\Common Files\Ahead
2009-05-29 17:21 . 2009-05-29 17:21 -------- d-----w c:\program files\ffdshow
2009-05-29 17:20 . 2009-05-29 17:20 -------- d-----w c:\program files\DivX
2009-05-29 17:19 . 2009-05-29 17:19 -------- d-----w c:\program files\Nero
2009-05-29 17:19 . 2009-05-29 17:19 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\Nero
2009-05-29 17:19 . 2009-05-29 17:19 -------- d-----w c:\program files\The Playa
2009-05-29 17:19 . 2009-05-29 17:19 -------- d-----w c:\program files\3ivx
2009-05-29 17:18 . 2009-05-29 17:18 -------- d-----w c:\program files\MarBit
2009-05-29 17:11 . 2009-05-29 17:11 0 ----a-w c:\windows\nsreg.dat
2009-05-29 17:10 . 2009-05-29 17:10 -------- d-----w c:\program files\Alwil Software
2009-05-29 17:03 . 2009-05-29 17:03 -------- d-----w c:\program files\Microsoft.NET
2009-05-29 16:50 . 2009-05-29 16:50 -------- d-----w c:\documents and settings\user\Dane aplikacji\InstallShield
2009-05-29 16:48 . 2009-05-29 16:48 -------- d-----w c:\program files\Realtek
2009-05-29 16:48 . 2009-05-29 16:48 315392 ----a-w c:\windows\HideWin.exe
2009-05-29 16:40 . 2009-05-29 16:40 12328 ----a-w c:\documents and settings\user\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT
2009-05-29 16:32 . 2009-05-29 16:32 -------- d-----w c:\program files\microsoft frontpage
2009-05-29 16:31 . 2009-05-29 16:31 86327 ----a-w c:\windows\pchealth\helpctr\OfflineCache\index.dat
2009-05-29 16:31 . 2009-05-29 16:31 -------- d-----w c:\program files\Usługi online
2009-05-29 16:29 . 2009-05-29 16:29 21856 ----a-w c:\windows\system32\emptyregdb.dat
2009-05-29 11:32 . 2009-05-29 11:32 714 ----a-w c:\windows\unins000.dat
2009-05-29 11:30 . 2009-05-29 11:30 1181 ----a-w c:\windows\mozver.dat
2009-05-29 11:29 . 2009-05-29 17:16 -------- d---a-w c:\documents and settings\All Users\Dane aplikacji\TEMP
2009-05-28 09:23 . 2009-05-28 09:23 42088 ----a-w c:\documents and settings\user\Dane aplikacji\Nowe Gadu-Gadu\_userdata\ggbho.1.dll
2006-12-13 03:12 . 2009-05-29 17:10 66648 ----a-w c:\program files\mozilla firefox\components\jar50.dll
2006-12-13 03:12 . 2009-05-29 17:10 54352 ----a-w c:\program files\mozilla firefox\components\jsd3250.dll
2006-12-13 03:12 . 2009-05-29 17:10 34928 ----a-w c:\program files\mozilla firefox\components\myspell.dll
2006-12-13 03:12 . 2009-05-29 17:10 46696 ----a-w c:\program files\mozilla firefox\components\spellchk.dll
2006-12-13 03:12 . 2009-05-29 17:10 172120 ----a-w c:\program files\mozilla firefox\components\xpinstal.dll
.
((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-03 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-02 13529088]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-05-02 86016]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000]
"NeroFilterCheck"="c:\program files\Common Files\Ahead\Lib\NeroCheck.exe" [2007-03-01 153136]
"SecurDisc"="c:\program files\Nero\Nero 7\InCD\NBHGui.exe" [2007-05-15 1628208]
"InCD"="c:\program files\Nero\Nero 7\InCD\InCD.exe" [2007-05-15 1057328]
"WinampAgent"="c:\program files\Winamp\winampa.exe" [2003-12-13 33792]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2008-05-02 1630208]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2008-05-16 16862720]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"c:\\Program Files\\Nowe Gadu-Gadu\\gg.exe"=
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2009-05-29 114768]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2009-05-29 20560]
R3 NVHDA;Service for NVIDIA HDMI Audio Driver;c:\windows\system32\drivers\nvhda32.sys [2009-05-29 26272]
.
- - - - USUNIĘTO PUSTE WPISY - - - -
HKLM-Run-AudioMixer - c:\windows\system32\file32.18467.dll
HKLM-Run-SoundMixer - c:\documents and settings\Krzysztof\crsscc.exe
.
------- Skan uzupełniający -------
.
uInternet Connection Wizard,ShellNext = hxxp://incrates.com/traffic/go.php?sid=1
IE: E&ksport do programu Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\Krzysztof\Dane aplikacji\Mozilla\Firefox\Profiles\lj12b4lw.default\
FF - prefs.js: browser.startup.homepage - hxxp://pl.start.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:pl:official
FF - component: c:\progra~1\MOZILL~1\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll
FF - component: c:\program files\Mozilla Firefox\components\xpinstal.dll
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-30 15:08
Windows 5.1.2600 Dodatek Service Pack 2 NTFS
skanowanie ukrytych procesów ...
skanowanie ukrytych wpisów autostartu ...
skanowanie ukrytych plików ...
skanowanie pomyślnie ukończone
ukryte pliki: 0
**************************************************************************
.
Czas ukończenia: 2009-05-30 15:09
ComboFix-quarantined-files.txt 2009-05-30 13:09
ComboFix2.txt 2009-05-30 12:54
Przed: 99 285 536 768 bajtów wolnych
Po: 99 275 931 648 bajtów wolnych
141
Teraz już powinno być OK.
Log wygląda na czysty.
Menu Start -> Uruchom… -> Combofix.exe /u
Przeczyść system CCleanerem.
Powyłączaj zbędne usługi.
Wykonaj pełny skan Dr Web CureIt!.
Jeśli będą wirusy, to usuń je.