Wirus Win32-Alureon-AZ (rtk)

crimlee · 30 Maj 2009 12:37

Witam

Mam problem z wirusem Win32-Alureon-AZ (rtk). Co chwila avast pokazuje komunikat, że mam tego wirusa. Wciskam usuń ( w avast) a po paru minutach znów to samo. Wygooglowałem, że to niebezpieczny wirus, jak sobie z nim poradzić?

Proszę o pomoc

deFco247 · 30 Maj 2009 12:40

Potrzebny będzie log z Combofix.

crimlee · 30 Maj 2009 12:57

oto mój log . co mam dalej zrobić?

ComboFix 09-05-29.01 - Krzysztof 2009-05-30 14:52.1 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1250.48.1045.18.1917.1476 [GMT 2:00]

Uruchomiony z: c:\documents and settings\Krzysztof\Pulpit\ComboFix.exe

AV: avast! antivirus 4.8.1335 [VPS 090529-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}

.


((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))

.


c:\docume~1\KRZYSZ~1\USTAWI~1\Temp\4314141.dll

c:\docume~1\KRZYSZ~1\USTAWI~1\Temp\kungsftkbcjpkype.tmp

c:\documents and settings\Krzysztof\Ustawienia lokalne\Temp\4314141.dll

c:\documents and settings\Krzysztof\Ustawienia lokalne\Temp\kungsftkbcjpkype.tmp


.

((((((((((((((((((((((((( Pliki utworzone od 2009-04-28 do 2009-05-30 )))))))))))))))))))))))))))))))

.


2009-05-30 12:20 . 2009-05-30 11:19	10752	----a-w	c:\windows\system32\file32.18467.dll

2009-05-30 11:19 . 2009-05-30 11:19	61440	----a-w	c:\documents and settings\Krzysztof\crsscc.exe

2009-05-30 11:19 . 2009-05-30 11:19	10752	----a-w	c:\windows\system32\file32.41.dll

2009-05-30 08:38 . 2009-05-30 08:40	--------	d-----w	c:\documents and settings\Piotrek\Dane aplikacji\Nowe Gadu-Gadu

2009-05-30 08:06 . 2009-05-30 08:06	--------	d-----w	c:\documents and settings\Piotrek\Dane aplikacji\AdobeUM

2009-05-30 07:46 . 2009-05-30 07:46	--------	d-----w	c:\documents and settings\Piotrek\Ustawienia lokalne\Dane aplikacji\Mozilla

2009-05-29 22:09 . 2009-05-29 22:09	--------	d-----w	c:\documents and settings\Alina\Ustawienia lokalne\Dane aplikacji\Mozilla

2009-05-29 21:06 . 2009-05-29 21:06	42168	----a-w	c:\documents and settings\Krzysztof\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT

2009-05-29 21:05 . 2009-05-29 21:05	--------	d-----r	c:\documents and settings\Krzysztof\Dane aplikacji\Brother

2009-05-29 20:50 . 2004-08-03 21:01	25856	-c--a-w	c:\windows\system32\dllcache\usbprint.sys

2009-05-29 20:50 . 2004-08-03 21:01	25856	----a-w	c:\windows\system32\drivers\usbprint.sys

2009-05-29 20:50 . 2004-08-03 21:08	31616	-c--a-w	c:\windows\system32\dllcache\usbccgp.sys

2009-05-29 20:50 . 2004-08-03 21:08	31616	----a-w	c:\windows\system32\drivers\usbccgp.sys

2009-05-29 20:44 . 2001-08-17 19:56	7552	-c--a-w	c:\windows\system32\dllcache\sonypvu1.sys

2009-05-29 20:44 . 2001-08-17 19:56	7552	----a-w	c:\windows\system32\drivers\SONYPVU1.SYS

2009-05-29 20:21 . 2009-05-29 20:21	--------	d-----w	c:\documents and settings\Krzysztof\Ustawienia lokalne\Dane aplikacji\Mozilla

2009-05-29 20:18 . 2004-08-03 21:08	26496	-c--a-w	c:\windows\system32\dllcache\usbstor.sys

2009-05-29 19:39 . 2009-05-29 20:06	--------	d-----w	c:\documents and settings\user\Dane aplikacji\Nowe Gadu-Gadu

2009-05-29 19:39 . 2009-05-29 19:39	--------	d-----w	c:\program files\Nowe Gadu-Gadu

2009-05-29 19:30 . 2009-05-29 19:30	56	---ha-w	c:\windows\system32\ezsidmv.dat

2009-05-29 19:30 . 2009-05-29 19:30	--------	d-----w	c:\documents and settings\user\Dane aplikacji\skypePM

2009-05-29 19:29 . 2009-05-29 19:32	--------	d-----w	c:\documents and settings\user\Dane aplikacji\Skype

2009-05-29 19:29 . 2009-05-29 19:29	--------	d-----w	c:\program files\Common Files\Skype

2009-05-29 19:29 . 2009-05-29 19:29	--------	d-----r	c:\program files\Skype

2009-05-29 19:29 . 2009-05-29 19:29	--------	d-----w	c:\documents and settings\All Users\Dane aplikacji\Skype


.

(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-05-30 08:06 . 2009-05-29 11:34	--------	d-----w	c:\program files\Common Files\Adobe

2009-05-30 07:49 . 2001-10-26 16:15	49712	----a-w	c:\windows\system32\perfc015.dat

2009-05-30 07:49 . 2001-10-26 16:15 355830	----a-w	c:\windows\system32\perfh015.dat

2009-05-29 17:25 . 2009-05-29 17:24	--------	d-----w	c:\program files\Winamp

2009-05-29 17:23 . 2009-05-29 17:23	--------	d-----w	c:\documents and settings\All Users\Dane aplikacji\CyberLink

2009-05-29 17:23 . 2009-05-29 17:23	--------	d-----w	c:\program files\CyberLink

2009-05-29 17:23 . 2009-05-29 16:48	--------	d--h--w	c:\program files\InstallShield Installation Information

2009-05-29 17:23 . 2009-05-29 16:48	--------	d-----w	c:\program files\Common Files\InstallShield

2009-05-29 17:23 . 2009-05-29 17:23	--------	d-----w	c:\documents and settings\All Users\Dane aplikacji\Ahead

2009-05-29 17:23 . 2009-05-29 17:23	--------	d-----w	c:\program files\XviD

2009-05-29 17:23 . 2009-05-29 17:19	--------	d-----w	c:\program files\Common Files\Ahead

2009-05-29 17:21 . 2009-05-29 17:21	--------	d-----w	c:\program files\ffdshow

2009-05-29 17:20 . 2009-05-29 17:20	--------	d-----w	c:\program files\DivX

2009-05-29 17:19 . 2009-05-29 17:19	--------	d-----w	c:\program files\Nero

2009-05-29 17:19 . 2009-05-29 17:19	--------	d-----w	c:\documents and settings\All Users\Dane aplikacji\Nero

2009-05-29 17:19 . 2009-05-29 17:19	--------	d-----w	c:\program files\The Playa

2009-05-29 17:19 . 2009-05-29 17:19	--------	d-----w	c:\program files\3ivx

2009-05-29 17:18 . 2009-05-29 17:18	--------	d-----w	c:\program files\MarBit

2009-05-29 17:11 . 2009-05-29 17:11	0	----a-w	c:\windows\nsreg.dat

2009-05-29 17:10 . 2009-05-29 17:10	--------	d-----w	c:\program files\Alwil Software

2009-05-29 17:03 . 2009-05-29 17:03	--------	d-----w	c:\program files\Microsoft.NET

2009-05-29 16:50 . 2009-05-29 16:50	--------	d-----w	c:\documents and settings\user\Dane aplikacji\InstallShield

2009-05-29 16:48 . 2009-05-29 16:48	--------	d-----w	c:\program files\Realtek

2009-05-29 16:48 . 2009-05-29 16:48 315392	----a-w	c:\windows\HideWin.exe

2009-05-29 16:40 . 2009-05-29 16:40	12328	----a-w	c:\documents and settings\user\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT

2009-05-29 16:32 . 2009-05-29 16:32	--------	d-----w	c:\program files\microsoft frontpage

2009-05-29 16:31 . 2009-05-29 16:31	86327	----a-w	c:\windows\pchealth\helpctr\OfflineCache\index.dat

2009-05-29 16:31 . 2009-05-29 16:31	--------	d-----w	c:\program files\Usługi online

2009-05-29 16:29 . 2009-05-29 16:29	21856	----a-w	c:\windows\system32\emptyregdb.dat

2009-05-29 11:32 . 2009-05-29 11:32	714	----a-w	c:\windows\unins000.dat

2009-05-29 11:30 . 2009-05-29 11:30	1181	----a-w	c:\windows\mozver.dat

2009-05-29 11:29 . 2009-05-29 17:16	--------	d---a-w	c:\documents and settings\All Users\Dane aplikacji\TEMP

2009-05-28 09:23 . 2009-05-28 09:23	42088	----a-w	c:\documents and settings\user\Dane aplikacji\Nowe Gadu-Gadu\_userdata\ggbho.1.dll

2006-12-13 03:12 . 2009-05-29 17:10	66648	----a-w	c:\program files\mozilla firefox\components\jar50.dll

2006-12-13 03:12 . 2009-05-29 17:10	54352	----a-w	c:\program files\mozilla firefox\components\jsd3250.dll

2006-12-13 03:12 . 2009-05-29 17:10	34928	----a-w	c:\program files\mozilla firefox\components\myspell.dll

2006-12-13 03:12 . 2009-05-29 17:10	46696	----a-w	c:\program files\mozilla firefox\components\spellchk.dll

2006-12-13 03:12 . 2009-05-29 17:10	172120	----a-w	c:\program files\mozilla firefox\components\xpinstal.dll

.


((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane  

REGEDIT4


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-03 15360]


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-02 13529088]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-05-02 86016]

"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000]

"NeroFilterCheck"="c:\program files\Common Files\Ahead\Lib\NeroCheck.exe" [2007-03-01 153136]

"SecurDisc"="c:\program files\Nero\Nero 7\InCD\NBHGui.exe" [2007-05-15 1628208]

"InCD"="c:\program files\Nero\Nero 7\InCD\InCD.exe" [2007-05-15 1057328]

"WinampAgent"="c:\program files\Winamp\winampa.exe" [2003-12-13 33792]

"AudioMixer"="c:\windows\system32\file32.18467.dll" [2009-05-30 10752]

"SoundMixer"="c:\documents and settings\Krzysztof\crsscc.exe" [2009-05-30 61440]

"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2008-05-02 1630208]

"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2008-05-16 16862720]


[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360]


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]

"Taskman"="c:\recycler\S-1-5-21-1566938194-2531947431-695866360-0649\hdav.exe"


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\file32.18467]

2009-05-30 11:19	10752	----a-w	c:\windows\system32\file32.18467.dll


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\file32.41]

2009-05-30 11:19	10752	----a-w	c:\windows\system32\file32.41.dll


[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusDisableNotify"=dword:00000001

"UpdatesDisableNotify"=dword:00000001


[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

"c:\\Program Files\\Nowe Gadu-Gadu\\gg.exe"=


R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2009-05-29 114768]

R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2009-05-29 20560]

R3 NVHDA;Service for NVIDIA HDMI Audio Driver;c:\windows\system32\drivers\nvhda32.sys [2009-05-29 26272]

.

- - - - USUNIĘTO PUSTE WPISY - - - -


SafeBoot-procexp90.Sys



.

------- Skan uzupełniający -------

.

uInternet Connection Wizard,ShellNext = hxxp://incrates.com/traffic/go.php?sid=1

IE: E&ksport do programu Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

FF - ProfilePath - c:\documents and settings\Krzysztof\Dane aplikacji\Mozilla\Firefox\Profiles\lj12b4lw.default\

FF - prefs.js: browser.startup.homepage - hxxp://pl.start.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:pl:official

FF - component: c:\progra~1\MOZILL~1\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll

FF - component: c:\program files\Mozilla Firefox\components\xpinstal.dll

.


**************************************************************************


catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-05-30 14:53

Windows 5.1.2600 Dodatek Service Pack 2 NTFS


skanowanie ukrytych procesów ...  


skanowanie ukrytych wpisów autostartu ... 


skanowanie ukrytych plików ...  


skanowanie pomyślnie ukończone

ukryte pliki: 0


**************************************************************************

.

Czas ukończenia: 2009-05-30 14:54

ComboFix-quarantined-files.txt 2009-05-30 12:54


Przed: 99 182 395 392 bajtów wolnych

Po: 99 275 415 552 bajtów wolnych


WindowsXP-KB310994-SP2-Pro-BootDisk-PLK.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect


153

deFco247 · 30 Maj 2009 13:02

Otwórz Notatnik i wklej do niego:

File::

c:\windows\system32\file32.18467.dll

c:\documents and settings\Krzysztof\crsscc.exe

c:\windows\system32\file32.41.dll


Registry::

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]

"Taskman"=-


[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\file32.18467]

[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\file32.41]

Plik zapisz jako CFScript.txt , najlepiej w tym samym folderze co Combofix.exe

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę Combofix.exe

Powinno się rozpocząć usuwanie.

Potem dajesz log z usuwania Combofix.

crimlee · 30 Maj 2009 13:11

tak zrobiłem. poniżej log. I teraz już będzie ok?

ComboFix 09-05-29.01 - Krzysztof 2009-05-30 15:07.2 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1250.48.1045.18.1917.1434 [GMT 2:00]

Uruchomiony z: c:\documents and settings\Krzysztof\Pulpit\ComboFix.exe

Użyto następujących komend :: c:\documents and settings\Krzysztof\Pulpit\CFScript.txt

AV: avast! antivirus 4.8.1335 [VPS 090529-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}


FILE ::

"c:\documents and settings\Krzysztof\crsscc.exe"

"c:\windows\system32\file32.18467.dll"

"c:\windows\system32\file32.41.dll"

.


((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))

.


c:\documents and settings\Krzysztof\crsscc.exe

c:\windows\system32\file32.18467.dll

c:\windows\system32\file32.41.dll


.

((((((((((((((((((((((((( Pliki utworzone od 2009-04-28 do 2009-05-30 )))))))))))))))))))))))))))))))

.


2009-05-30 08:38 . 2009-05-30 08:40	--------	d-----w	c:\documents and settings\Piotrek\Dane aplikacji\Nowe Gadu-Gadu

2009-05-30 08:06 . 2009-05-30 08:06	--------	d-----w	c:\documents and settings\Piotrek\Dane aplikacji\AdobeUM

2009-05-30 07:46 . 2009-05-30 07:46	--------	d-----w	c:\documents and settings\Piotrek\Ustawienia lokalne\Dane aplikacji\Mozilla

2009-05-29 22:09 . 2009-05-29 22:09	--------	d-----w	c:\documents and settings\Alina\Ustawienia lokalne\Dane aplikacji\Mozilla

2009-05-29 21:06 . 2009-05-29 21:06	42168	----a-w	c:\documents and settings\Krzysztof\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT

2009-05-29 21:05 . 2009-05-29 21:05	--------	d-----r	c:\documents and settings\Krzysztof\Dane aplikacji\Brother

2009-05-29 20:50 . 2004-08-03 21:01	25856	-c--a-w	c:\windows\system32\dllcache\usbprint.sys

2009-05-29 20:50 . 2004-08-03 21:01	25856	----a-w	c:\windows\system32\drivers\usbprint.sys

2009-05-29 20:50 . 2004-08-03 21:08	31616	-c--a-w	c:\windows\system32\dllcache\usbccgp.sys

2009-05-29 20:50 . 2004-08-03 21:08	31616	----a-w	c:\windows\system32\drivers\usbccgp.sys

2009-05-29 20:44 . 2001-08-17 19:56	7552	-c--a-w	c:\windows\system32\dllcache\sonypvu1.sys

2009-05-29 20:44 . 2001-08-17 19:56	7552	----a-w	c:\windows\system32\drivers\SONYPVU1.SYS

2009-05-29 20:21 . 2009-05-29 20:21	--------	d-----w	c:\documents and settings\Krzysztof\Ustawienia lokalne\Dane aplikacji\Mozilla

2009-05-29 20:18 . 2004-08-03 21:08	26496	-c--a-w	c:\windows\system32\dllcache\usbstor.sys

2009-05-29 19:39 . 2009-05-29 20:06	--------	d-----w	c:\documents and settings\user\Dane aplikacji\Nowe Gadu-Gadu

2009-05-29 19:39 . 2009-05-29 19:39	--------	d-----w	c:\program files\Nowe Gadu-Gadu

2009-05-29 19:30 . 2009-05-29 19:30	56	---ha-w	c:\windows\system32\ezsidmv.dat

2009-05-29 19:30 . 2009-05-29 19:30	--------	d-----w	c:\documents and settings\user\Dane aplikacji\skypePM

2009-05-29 19:29 . 2009-05-29 19:32	--------	d-----w	c:\documents and settings\user\Dane aplikacji\Skype

2009-05-29 19:29 . 2009-05-29 19:29	--------	d-----w	c:\program files\Common Files\Skype

2009-05-29 19:29 . 2009-05-29 19:29	--------	d-----r	c:\program files\Skype

2009-05-29 19:29 . 2009-05-29 19:29	--------	d-----w	c:\documents and settings\All Users\Dane aplikacji\Skype


.

(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-05-30 08:06 . 2009-05-29 11:34	--------	d-----w	c:\program files\Common Files\Adobe

2009-05-30 07:49 . 2001-10-26 16:15	49712	----a-w	c:\windows\system32\perfc015.dat

2009-05-30 07:49 . 2001-10-26 16:15	355830	----a-w	c:\windows\system32\perfh015.dat

2009-05-29 17:25 . 2009-05-29 17:24	--------	d-----w	c:\program files\Winamp

2009-05-29 17:23 . 2009-05-29 17:23	--------	d-----w	c:\documents and settings\All Users\Dane aplikacji\CyberLink

2009-05-29 17:23 . 2009-05-29 17:23	--------	d-----w	c:\program files\CyberLink

2009-05-29 17:23 . 2009-05-29 16:48	--------	d--h--w	c:\program files\InstallShield Installation Information

2009-05-29 17:23 . 2009-05-29 16:48	--------	d-----w	c:\program files\Common Files\InstallShield

2009-05-29 17:23 . 2009-05-29 17:23	--------	d-----w	c:\documents and settings\All Users\Dane aplikacji\Ahead

2009-05-29 17:23 . 2009-05-29 17:23	--------	d-----w	c:\program files\XviD

2009-05-29 17:23 . 2009-05-29 17:19	--------	d-----w	c:\program files\Common Files\Ahead

2009-05-29 17:21 . 2009-05-29 17:21	--------	d-----w	c:\program files\ffdshow

2009-05-29 17:20 . 2009-05-29 17:20	--------	d-----w	c:\program files\DivX

2009-05-29 17:19 . 2009-05-29 17:19	--------	d-----w	c:\program files\Nero

2009-05-29 17:19 . 2009-05-29 17:19	--------	d-----w	c:\documents and settings\All Users\Dane aplikacji\Nero

2009-05-29 17:19 . 2009-05-29 17:19	--------	d-----w	c:\program files\The Playa

2009-05-29 17:19 . 2009-05-29 17:19	--------	d-----w	c:\program files\3ivx

2009-05-29 17:18 . 2009-05-29 17:18	--------	d-----w	c:\program files\MarBit

2009-05-29 17:11 . 2009-05-29 17:11	0	----a-w	c:\windows\nsreg.dat

2009-05-29 17:10 . 2009-05-29 17:10	--------	d-----w	c:\program files\Alwil Software

2009-05-29 17:03 . 2009-05-29 17:03	--------	d-----w	c:\program files\Microsoft.NET

2009-05-29 16:50 . 2009-05-29 16:50	--------	d-----w	c:\documents and settings\user\Dane aplikacji\InstallShield

2009-05-29 16:48 . 2009-05-29 16:48	--------	d-----w	c:\program files\Realtek

2009-05-29 16:48 . 2009-05-29 16:48	315392	----a-w	c:\windows\HideWin.exe

2009-05-29 16:40 . 2009-05-29 16:40	12328	----a-w	c:\documents and settings\user\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT

2009-05-29 16:32 . 2009-05-29 16:32	--------	d-----w	c:\program files\microsoft frontpage

2009-05-29 16:31 . 2009-05-29 16:31	86327	----a-w	c:\windows\pchealth\helpctr\OfflineCache\index.dat

2009-05-29 16:31 . 2009-05-29 16:31	--------	d-----w	c:\program files\Usługi online

2009-05-29 16:29 . 2009-05-29 16:29	21856	----a-w	c:\windows\system32\emptyregdb.dat

2009-05-29 11:32 . 2009-05-29 11:32	714	----a-w	c:\windows\unins000.dat

2009-05-29 11:30 . 2009-05-29 11:30	1181	----a-w	c:\windows\mozver.dat

2009-05-29 11:29 . 2009-05-29 17:16	--------	d---a-w	c:\documents and settings\All Users\Dane aplikacji\TEMP

2009-05-28 09:23 . 2009-05-28 09:23	42088	----a-w	c:\documents and settings\user\Dane aplikacji\Nowe Gadu-Gadu\_userdata\ggbho.1.dll

2006-12-13 03:12 . 2009-05-29 17:10	66648	----a-w	c:\program files\mozilla firefox\components\jar50.dll

2006-12-13 03:12 . 2009-05-29 17:10	54352	----a-w	c:\program files\mozilla firefox\components\jsd3250.dll

2006-12-13 03:12 . 2009-05-29 17:10	34928	----a-w	c:\program files\mozilla firefox\components\myspell.dll

2006-12-13 03:12 . 2009-05-29 17:10	46696	----a-w	c:\program files\mozilla firefox\components\spellchk.dll

2006-12-13 03:12 . 2009-05-29 17:10	172120	----a-w	c:\program files\mozilla firefox\components\xpinstal.dll

.


((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane  

REGEDIT4


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-03 15360]


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-02 13529088]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-05-02 86016]

"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000]

"NeroFilterCheck"="c:\program files\Common Files\Ahead\Lib\NeroCheck.exe" [2007-03-01 153136]

"SecurDisc"="c:\program files\Nero\Nero 7\InCD\NBHGui.exe" [2007-05-15 1628208]

"InCD"="c:\program files\Nero\Nero 7\InCD\InCD.exe" [2007-05-15 1057328]

"WinampAgent"="c:\program files\Winamp\winampa.exe" [2003-12-13 33792]

"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2008-05-02 1630208]

"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2008-05-16 16862720]


[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360]


[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusDisableNotify"=dword:00000001

"UpdatesDisableNotify"=dword:00000001


[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

"c:\\Program Files\\Nowe Gadu-Gadu\\gg.exe"=


R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2009-05-29 114768]

R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2009-05-29 20560]

R3 NVHDA;Service for NVIDIA HDMI Audio Driver;c:\windows\system32\drivers\nvhda32.sys [2009-05-29 26272]

.

- - - - USUNIĘTO PUSTE WPISY - - - -


HKLM-Run-AudioMixer - c:\windows\system32\file32.18467.dll

HKLM-Run-SoundMixer - c:\documents and settings\Krzysztof\crsscc.exe



.

------- Skan uzupełniający -------

.

uInternet Connection Wizard,ShellNext = hxxp://incrates.com/traffic/go.php?sid=1

IE: E&ksport do programu Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

FF - ProfilePath - c:\documents and settings\Krzysztof\Dane aplikacji\Mozilla\Firefox\Profiles\lj12b4lw.default\

FF - prefs.js: browser.startup.homepage - hxxp://pl.start.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:pl:official

FF - component: c:\progra~1\MOZILL~1\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll

FF - component: c:\program files\Mozilla Firefox\components\xpinstal.dll

.


**************************************************************************


catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-05-30 15:08

Windows 5.1.2600 Dodatek Service Pack 2 NTFS


skanowanie ukrytych procesów ...  


skanowanie ukrytych wpisów autostartu ... 


skanowanie ukrytych plików ...  


skanowanie pomyślnie ukończone

ukryte pliki: 0


**************************************************************************

.

Czas ukończenia: 2009-05-30 15:09

ComboFix-quarantined-files.txt 2009-05-30 13:09

ComboFix2.txt 2009-05-30 12:54


Przed: 99 285 536 768 bajtów wolnych

Po: 99 275 931 648 bajtów wolnych


141

deFco247 · 30 Maj 2009 13:13

Teraz już powinno być OK.

Log wygląda na czysty.

Menu Start -> Uruchom… -> Combofix.exe /u

Przeczyść system CCleanerem.

Powyłączaj zbędne usługi.

Wykonaj pełny skan Dr Web CureIt!.

Jeśli będą wirusy, to usuń je.