Wirus zmienia zakończenia .exe


(Sandra19a) #1

Witam, od jakiegoś czasu mam złożony nowy komputer i juz 3 razy stawiałam od nowa system ponieważ 'cos' mi zmieniało zakonczenia exe i przez to nie działał mi żaden program. Zrobiłam skanowanie HijackThis i chciałam poprosić o sprawdzenie czy nie mam zadnego ukrytego wirusa .

Czy powinnam coś usunąć , zmienić ????

Logfile of HijackThis v1.99.1

Scan saved at 02:07:35, on 2007-03-27

Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)


Running processes:

C:\WINXP\System32\smss.exe

C:\WINXP\system32\winlogon.exe

C:\WINXP\system32\services.exe

C:\WINXP\system32\lsass.exe

C:\WINXP\system32\svchost.exe

C:\WINXP\System32\svchost.exe

C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe

C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

C:\WINXP\Explorer.EXE

C:\WINXP\system32\spoolsv.exe

C:\Program Files\Symantec AntiVirus\DefWatch.exe

C:\WINXP\System32\RunDLL32.exe

C:\Program Files\GigaByte\VGA Utility Manager\G-VGA.exe

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

C:\Program Files\Common Files\Symantec Shared\ccApp.exe

C:\PROGRA~1\SYMANT~1\VPTray.exe

C:\WINXP\RTHDCPL.EXE

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\WINXP\System32\ctfmon.exe

C:\WINXP\System32\nvsvc32.exe

C:\Program Files\Symantec AntiVirus\Rtvscan.exe

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe

C:\PROGRA~1\MOZILL~1\FIREFOX.EXE

C:\Program Files\Tlen.pl\tlen.exe

D:\HijackThis.exe


R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.yahoo.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.slizone.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_6_0_1.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_6_0_1.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINXP\System32\msdxm.ocx

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINXP\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [VGAUtil] C:\Program Files\GigaByte\VGA Utility Manager\G-VGA.exe

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINXP\system32\NeroCheck.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP\System32\ctfmon.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINXP\web\related.htm (file missing)

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINXP\web\related.htm (file missing)

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.pl/resources/virusscanner/kavwebscan_unicode.cab

O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O20 - Winlogon Notify: NavLogon - C:\WINXP\System32\NavLogon.dll

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe

O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe

O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINXP\System32\nvsvc32.exe

O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe

O23 - Service: Pomocnik karty inteligentnej (SCardDrv) - Unknown owner - (no file)

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe

(JNJN) #2

Przeczytaj tematy przyklejone w tym dziale i popraw posta.JNJN


(Joan Sunshine) #3

usuń plik z dysku, zafixuj wpisy w Hijacku, daj jeszcze loga z SilentRunners :slight_smile:


(Sandra19a) #4

ALCMTR.EXE ten plik to jest zdaje sie sterownik od dźwięku , mam go napewno usunąć ???? Chciałam sie jeszcze dowiedzieć dlaczego w HijackThis jest mniej procesów widocznych niż w windowsie po wcisnięciu alt+ctrl+delete ? Tam mam 31 procesów pokazanych , to nie za dużo ??

Złączono Posta : 27.03.2007 (Wto) 11:49

Usunełam i teraz wygląda to następująco :

Logfile of HijackThis v1.99.1

Scan saved at 11:47:44, on 2007-03-27

Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)


Running processes:

C:\WINXP\System32\smss.exe

C:\WINXP\system32\winlogon.exe

C:\WINXP\system32\services.exe

C:\WINXP\system32\lsass.exe

C:\WINXP\system32\svchost.exe

C:\WINXP\System32\svchost.exe

C:\WINXP\Explorer.EXE

C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe

C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

C:\WINXP\system32\spoolsv.exe

C:\WINXP\System32\RunDLL32.exe

C:\Program Files\GigaByte\VGA Utility Manager\G-VGA.exe

C:\Program Files\Common Files\Symantec Shared\ccApp.exe

C:\PROGRA~1\SYMANT~1\VPTray.exe

C:\WINXP\RTHDCPL.EXE

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\WINXP\System32\ctfmon.exe

C:\Program Files\Symantec AntiVirus\DefWatch.exe

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

C:\WINXP\System32\nvsvc32.exe

C:\Program Files\Symantec AntiVirus\Rtvscan.exe

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe

C:\PROGRA~1\MOZILL~1\FIREFOX.EXE

D:\HijackThis.exe


R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.yahoo.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.slizone.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_6_0_1.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_6_0_1.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINXP\System32\msdxm.ocx

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINXP\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [VGAUtil] C:\Program Files\GigaByte\VGA Utility Manager\G-VGA.exe

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINXP\system32\NeroCheck.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP\System32\ctfmon.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.pl/resources/virusscanner/kavwebscan_unicode.cab

O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O20 - Winlogon Notify: NavLogon - C:\WINXP\System32\NavLogon.dll

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe

O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe

O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINXP\System32\nvsvc32.exe

O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe

O23 - Service: Pomocnik karty inteligentnej (SCardDrv) - Unknown owner - (no file)

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe

Złączono Posta : 27.03.2007 (Wto) 12:13Tutaj dodaje loga z Silent Runners , coś jeszcze powinnam usunąć ??

"Silent Runners.vbs", revision R50, http://www.silentrunners.org/

Operating System: Windows XP

Output limited to non-default values, except where indicated by "{++}"



Startup items buried in registry:

---------------------------------


HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}

"CTFMON.EXE" = "C:\WINXP\System32\ctfmon.exe" [MS]


HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}

"NvCplDaemon" = "RUNDLL32.EXE C:\WINXP\System32\NvCpl.dll,NvStartup" [MS]

"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]

"NvMediaCenter" = "RunDLL32.exe NvMCTray.dll,NvTaskbarInit" [MS]

"VGAUtil" = "C:\Program Files\GigaByte\VGA Utility Manager\G-VGA.exe" [empty string]

"ccApp" = ""C:\Program Files\Common Files\Symantec Shared\ccApp.exe"" ["Symantec Corporation"]

"vptray" = "C:\PROGRA~1\SYMANT~1\VPTray.exe" ["Symantec Corporation"]

"RTHDCPL" = "RTHDCPL.EXE" ["Realtek Semiconductor Corp."]

"SkyTel" = "SkyTel.EXE" ["Realtek Semiconductor Corp."]

"NeroFilterCheck" = "C:\WINXP\system32\NeroCheck.exe" ["Ahead Software Gmbh"]

"SunJavaUpdateSched" = "C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe" ["Sun Microsystems, Inc."]

"WMC_AutoUpdate" = "(empty string)" [file not found]


HKLM\Software\Microsoft\Active Setup\Installed Components\

{6BF52A52-394A-11d3-B153-00C04F79FAA6}\(Default) = "Microsoft Windows Media Player"

                                       \StubPath = "rundll32.exe advpack.dll,LaunchINFSection C:\WINXP\INF\wmp.inf,PerUserStub" [MS]


HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\

{02478D38-C3F9-4efb-9B51-7695ECA05670}\(Default) = (no title provided)

  -> {HKLM...CLSID} = "Yahoo! Companion BHO"

                   \InProcServer32\(Default) = "C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_6_0_1.dll" ["Yahoo! Inc."]

{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)

  -> {HKLM...CLSID} = "SSVHelper Class"

                   \InProcServer32\(Default) = "C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."]


HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\

"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Rozszerzenie CPL kadrowania wyświetlania"

  -> {HKLM...CLSID} = "Rozszerzenie CPL kadrowania wyświetlania"

                   \InProcServer32\(Default) = "deskpan.dll" [file not found]

"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"

  -> {HKLM...CLSID} = "DesktopContext Class"

                   \InProcServer32\(Default) = "C:\WINXP\System32\nvcpl.dll" ["NVIDIA Corporation"]

"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"

  -> {HKLM...CLSID} = "NVIDIA CPL Extension"

                   \InProcServer32\(Default) = "C:\WINXP\System32\nvcpl.dll" ["NVIDIA Corporation"]

"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"

  -> {HKLM...CLSID} = "Desktop Explorer"

                   \InProcServer32\(Default) = "C:\WINXP\System32\nvshell.dll" ["NVIDIA Corporation"]

"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"

  -> {HKLM...CLSID} = (no title provided)

                   \InProcServer32\(Default) = "C:\WINXP\System32\nvshell.dll" ["NVIDIA Corporation"]

"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"

  -> {HKLM...CLSID} = "nView Desktop Context Menu"

                   \InProcServer32\(Default) = "C:\WINXP\System32\nvshell.dll" ["NVIDIA Corporation"]

"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"

  -> {HKLM...CLSID} = "WinRAR"

                   \InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]

"{BDA77241-42F6-11d0-85E2-00AA001FE28C}" = "LDVP Shell Extensions"

  -> {HKLM...CLSID} = "VpshellEx Class"

                   \InProcServer32\(Default) = "C:\Program Files\Common Files\Symantec Shared\SSC\vpshell2.dll" ["Symantec Corporation"]


HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\

<> NavLogon\DLLName = "C:\WINXP\System32\NavLogon.dll" ["Symantec Corporation"]


HKLM\Software\Classes\*\shellex\ContextMenuHandlers\

LDVPMenu\(Default) = "{BDA77241-42F6-11d0-85E2-00AA001FE28C}"

  -> {HKLM...CLSID} = "VpshellEx Class"

                   \InProcServer32\(Default) = "C:\Program Files\Common Files\Symantec Shared\SSC\vpshell2.dll" ["Symantec Corporation"]

WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

  -> {HKLM...CLSID} = "WinRAR"

                   \InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]


HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\

WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

  -> {HKLM...CLSID} = "WinRAR"

                   \InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]


HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\

LDVPMenu\(Default) = "{BDA77241-42F6-11d0-85E2-00AA001FE28C}"

  -> {HKLM...CLSID} = "VpshellEx Class"

                   \InProcServer32\(Default) = "C:\Program Files\Common Files\Symantec Shared\SSC\vpshell2.dll" ["Symantec Corporation"]

WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

  -> {HKLM...CLSID} = "WinRAR"

                   \InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]



Group Policies {GPedit.msc branch and setting}:

-----------------------------------------------


Note: detected settings may not have any effect.


HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\


"NoSMHelp" = (REG_DWORD) hex:0x00000001

{User Configuration|Administrative Templates|Start Menu and Taskbar|

Remove Help menu from Start Menu}


HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\


"NoDesktopCleanupWizard" = (REG_DWORD) hex:0x00000001

{unrecognized setting}


HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\


"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001

{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|

Shutdown: Allow system to be shut down without having to log on}


"undockwithoutlogon" = (REG_DWORD) hex:0x00000001

{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|

Devices: Allow undock without having to log on}



Active Desktop and Wallpaper:

-----------------------------


Active Desktop may be disabled at this entry:

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState


Displayed if Active Desktop enabled and wallpaper not set by Group Policy:

HKCU\Software\Microsoft\Internet Explorer\Desktop\General\

"Wallpaper" = "E:\DokumentySandi\xnview wallpaper.bmp"


Displayed if Active Desktop disabled and wallpaper not set by Group Policy:

HKCU\Control Panel\Desktop\

"Wallpaper" = "E:\DokumentySandi\xnview wallpaper.bmp"



Enabled Screen Saver:

---------------------


HKCU\Control Panel\Desktop\

"SCRNSAVE.EXE" = "C:\WINXP\System32\logon.scr" [file not found]



Startup items in "Administrator" & "All Users" startup folders:

---------------------------------------------------------------


C:\Documents and Settings\All Users\Menu Start\Programy\Autostart

"Adobe Gamma Loader" -> shortcut to: "C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe" ["Adobe Systems, Inc."]



Winsock2 Service Provider DLLs:

-------------------------------


Namespace Service Providers


HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}

000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]

000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]


Transport Service Providers


HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}

0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:

%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 13

%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05



Toolbars, Explorer Bars, Extensions:

------------------------------------


Toolbars


HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\

"{EF99BD32-C1FB-11D2-892F-0090271D4F88}"

  -> {HKLM...CLSID} = "&Yahoo! Companion"

                   \InProcServer32\(Default) = "C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_6_0_1.dll" ["Yahoo! Inc."]


HKLM\Software\Microsoft\Internet Explorer\Toolbar\

"{EF99BD32-C1FB-11D2-892F-0090271D4F88}" = (no title provided)

  -> {HKLM...CLSID} = "&Yahoo! Companion"

                   \InProcServer32\(Default) = "C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_6_0_1.dll" ["Yahoo! Inc."]


Extensions (Tools menu items, main toolbar menu buttons)


HKLM\Software\Microsoft\Internet Explorer\Extensions\

{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\

"MenuText" = "Sun Java Console"

"CLSIDExtension" = "{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBC}"

  -> {HKCU...CLSID} = "Java Plug-in"

                   \InProcServer32\(Default) = "C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."]

  -> {HKLM...CLSID} = "Java Plug-in 1.5.0_06"

                   \InProcServer32\(Default) = "C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll" ["Sun Microsystems, Inc."]



Running Services (Display Name, Service Name, Path {Service DLL}):

------------------------------------------------------------------


NVIDIA Display Driver Service, NVSvc, "C:\WINXP\System32\nvsvc32.exe" ["NVIDIA Corporation"]

Sunbelt Kerio Personal Firewall 4, KPF4, "C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe" ["Sunbelt Software"]

Symantec AntiVirus, Symantec AntiVirus, ""C:\Program Files\Symantec AntiVirus\Rtvscan.exe"" ["Symantec Corporation"]

Symantec AntiVirus Definition Watcher, DefWatch, ""C:\Program Files\Symantec AntiVirus\DefWatch.exe"" ["Symantec Corporation"]

Symantec Event Manager, ccEvtMgr, ""C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe"" ["Symantec Corporation"]

Symantec Settings Manager, ccSetMgr, ""C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe"" ["Symantec Corporation"]

Windows User Mode Driver Framework, UMWdf, "C:\WINXP\System32\wdfmgr.exe" [MS]



----------

<>: Suspicious data at a malware launch point.


+ This report excludes default entries except where indicated.

+ To see *everywhere* the script checks and *everything* it finds,

  launch it from a command prompt or a shortcut with the -all parameter.

+ To search all directories of local fixed drives for DESKTOP.INI

  DLL launch points, use the -supp parameter or answer "No" at the

  first message box and "Yes" at the second message box.

---------- (total run time: 244 seconds, including 23 seconds for message boxes)

(Joan Sunshine) #5

heh ja też mam 31 procesów :stuck_out_tongue: Wszystko jest ok :slight_smile:

Ten plik to legalny spyware od realteka, niepotrzebny do działania sterownika od dźwięku. Przeczyść rejestr – użyj do tego jv16 PowerTools 2006 1.5.2.344.


(Sandra19a) #6

No to super, ktoś mi powiedział ze powinno być góra 28 procesów :? , a dlaczego tak sie dzieje ze hijackthis pokazuje mniej procesów niż jest ich rzeczywiście ? czy mi sie tak tylko wydaje ?? :oops:

Log z silent runners wyszedł pozytywnie ?

A wogóle to mks onlinne nie znajduje żadnego wirusa , natomiast kaspersky znajduje pełno 'czegoś' .Który skaner jest wiarygodniejszy ??

Pozdrawiam :slight_smile:


(Joan Sunshine) #7

no to komuś się coś pomieszało, przecież jeśli uruchamiasz nowy program, to od razu wskakują procesy od niego, nie ma złotej reguły.

Hijack pokazuje dobrze > zsumuj "running processes" i autostart, wpisy 04 :wink:

silent ok, przeczyść tylko rejestr tak jak pisałam

wklej raport ze skanera kacperka.


(Sandra19a) #8

Wklejam raport kacperka i zaraz zrobie czyszczenie rejestru :slight_smile:

To co wykrył kacperek to wirusy które da sie usunąć ? Naprawde tego sporo sie u niego znalazło .....

:o

Nazwa zainfekowanego obiektu Nazwa wirusa Ostatnie działanie

C:\Documents and Settings\Administrator\Cookies\index.dat Object is locked pominięty

C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\6egkufmm.default\cert8.db Object is locked pominięty

C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\6egkufmm.default\formhistory.dat Object is locked pominięty

C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\6egkufmm.default\history.dat Object is locked pominięty

C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\6egkufmm.default\key3.db Object is locked pominięty

C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\6egkufmm.default\parent.lock Object is locked pominięty

C:\Documents and Settings\Administrator\NTUSER.DAT Object is locked pominięty

C:\Documents and Settings\Administrator\ntuser.dat.LOG Object is locked pominięty

C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty

C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty

C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\6egkufmm.default\Cache_CACHE_001_ Object is locked pominięty

C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\6egkufmm.default\Cache_CACHE_002_ Object is locked pominięty

C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\6egkufmm.default\Cache_CACHE_003_ Object is locked pominięty

C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\6egkufmm.default\Cache_CACHE_MAP_ Object is locked pominięty

C:\Documents and Settings\Administrator\Ustawienia lokalne\Historia\History.IE5\index.dat Object is locked pominięty

C:\Documents and Settings\Administrator\Ustawienia lokalne\Historia\History.IE5\MSHist012007032020070321\index.dat Object is locked pominięty

C:\Documents and Settings\Administrator\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat Object is locked pominięty

C:\Documents and Settings\All Users\Dane aplikacji\Symantec\Common Client\settings.dat Object is locked pominięty

C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked pominięty

C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked pominięty

C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked pominięty

C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty

C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty

C:\Documents and Settings\LocalService\Ustawienia lokalne\Historia\History.IE5\index.dat Object is locked pominięty

C:\Documents and Settings\LocalService\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat Object is locked pominięty

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked pominięty

C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked pominięty

C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty

C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty

C:\Program Files\Sunbelt Software\Personal Firewall\logs\debug.log Object is locked pominięty

C:\Program Files\Sunbelt Software\Personal Firewall\logs\debug.log.idx Object is locked pominięty

C:\Program Files\Sunbelt Software\Personal Firewall\logs\error.log Object is locked pominięty

C:\Program Files\Sunbelt Software\Personal Firewall\logs\error.log.idx Object is locked pominięty

C:\Program Files\Sunbelt Software\Personal Firewall\logs\hips.log Object is locked pominięty

C:\Program Files\Sunbelt Software\Personal Firewall\logs\hips.log.idx Object is locked pominięty

C:\Program Files\Sunbelt Software\Personal Firewall\logs\ids.log Object is locked pominięty

C:\Program Files\Sunbelt Software\Personal Firewall\logs\ids.log.idx Object is locked pominięty

C:\Program Files\Sunbelt Software\Personal Firewall\logs\network.log Object is locked pominięty

C:\Program Files\Sunbelt Software\Personal Firewall\logs\network.log.idx Object is locked pominięty

C:\Program Files\Sunbelt Software\Personal Firewall\logs\system.log Object is locked pominięty

C:\Program Files\Sunbelt Software\Personal Firewall\logs\system.log.idx Object is locked pominięty

C:\Program Files\Sunbelt Software\Personal Firewall\logs\warning.log Object is locked pominięty

C:\Program Files\Sunbelt Software\Personal Firewall\logs\warning.log.idx Object is locked pominięty

C:\Program Files\Sunbelt Software\Personal Firewall\logs\web.log Object is locked pominięty

C:\Program Files\Sunbelt Software\Personal Firewall\logs\web.log.idx Object is locked pominięty

C:\System Volume Information_restore{C751E115-7901-4B2B-A62D-67EB2520C660}\RP15\change.log Object is locked pominięty

C:\WINXP\Debug\oakley.log Object is locked pominięty

C:\WINXP\Debug\PASSWD.LOG Object is locked pominięty

C:\WINXP\SchedLgU.Txt Object is locked pominięty

C:\WINXP\system32\config\AppEvent.Evt Object is locked pominięty

C:\WINXP\system32\config\default Object is locked pominięty

C:\WINXP\system32\config\default.LOG Object is locked pominięty

C:\WINXP\system32\config\SAM Object is locked pominięty

C:\WINXP\system32\config\SAM.LOG Object is locked pominięty

C:\WINXP\system32\config\SecEvent.Evt Object is locked pominięty

C:\WINXP\system32\config\SECURITY Object is locked pominięty

C:\WINXP\system32\config\SECURITY.LOG Object is locked pominięty

C:\WINXP\system32\config\software Object is locked pominięty

C:\WINXP\system32\config\software.LOG Object is locked pominięty

C:\WINXP\system32\config\SysEvent.Evt Object is locked pominięty

C:\WINXP\system32\config\system Object is locked pominięty

C:\WINXP\system32\config\system.LOG Object is locked pominięty

C:\WINXP\system32\h323log.txt Object is locked pominięty

C:\WINXP\system32\wbem\Repository\FS\INDEX.BTR Object is locked pominięty

C:\WINXP\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked pominięty

D:\System Volume Information_restore{C751E115-7901-4B2B-A62D-67EB2520C660}\RP15\change.log Object is locked pominięty

E:\System Volume Information_restore{C751E115-7901-4B2B-A62D-67EB2520C660}\RP11\A0000544.exe/data0012 Zainfekowanych: not-a-virus:AdWare.Win32.Doza.a pominięty

E:\System Volume Information_restore{C751E115-7901-4B2B-A62D-67EB2520C660}\RP11\A0000544.exe NSIS: zainfekowany - 1 pominięty

E:\System Volume Information_restore{C751E115-7901-4B2B-A62D-67EB2520C660}\RP11\A0000546.exe/data0013 Zainfekowanych: not-a-virus:AdWare.Win32.Doza.a pominięty

E:\System Volume Information_restore{C751E115-7901-4B2B-A62D-67EB2520C660}\RP11\A0000546.exe NSIS: zainfekowany - 1 pominięty

E:\System Volume Information_restore{C751E115-7901-4B2B-A62D-67EB2520C660}\RP11\A0000547.exe/data0020 Zainfekowanych: not-a-virus:AdWare.Win32.Doza.a pominięty

E:\System Volume Information_restore{C751E115-7901-4B2B-A62D-67EB2520C660}\RP11\A0000547.exe NSIS: zainfekowany - 1 pominięty

E:\System Volume Information_restore{C751E115-7901-4B2B-A62D-67EB2520C660}\RP11\A0000547.exe UPX: zainfekowany - 1 pominięty

E:\System Volume Information_restore{C751E115-7901-4B2B-A62D-67EB2520C660}\RP11\A0000554.exe/WISE0046.BIN Zainfekowanych: not-a-virus:AdTool.Win32.WhenU.a pominięty

E:\System Volume Information_restore{C751E115-7901-4B2B-A62D-67EB2520C660}\RP11\A0000554.exe/WISE0047.BIN Zainfekowanych: not-a-virus:AdWare.Win32.NewDotNet pominięty

E:\System Volume Information_restore{C751E115-7901-4B2B-A62D-67EB2520C660}\RP11\A0000554.exe/WISE0048.BIN/data.rar/whAgent.exe Zainfekowanych: not-a-virus:AdWare.Win32.WebHancer.351 pominięty

E:\System Volume Information_restore{C751E115-7901-4B2B-A62D-67EB2520C660}\RP11\A0000554.exe/WISE0048.BIN/data.rar/whInstaller.exe Zainfekowanych: not-a-virus:AdWare.Win32.WebHancer.381 pominięty

E:\System Volume Information_restore{C751E115-7901-4B2B-A62D-67EB2520C660}\RP11\A0000554.exe/WISE0048.BIN/data.rar/whSurvey.exe Zainfekowanych: not-a-virus:AdWare.Win32.WebHancer pominięty

E:\System Volume Information_restore{C751E115-7901-4B2B-A62D-67EB2520C660}\RP11\A0000554.exe/WISE0048.BIN/data.rar/webhdll.dll Zainfekowanych: not-a-virus:AdWare.Win32.WebHancer.370 pominięty

E:\System Volume Information_restore{C751E115-7901-4B2B-A62D-67EB2520C660}\RP11\A0000554.exe/WISE0048.BIN/data.rar/whiehlpr.dll Zainfekowanych: not-a-virus:AdWare.Win32.WebHancer pominięty

E:\System Volume Information_restore{C751E115-7901-4B2B-A62D-67EB2520C660}\RP11\A0000554.exe/WISE0048.BIN/data.rar Zainfekowanych: not-a-virus:AdWare.Win32.WebHancer pominięty

E:\System Volume Information_restore{C751E115-7901-4B2B-A62D-67EB2520C660}\RP11\A0000554.exe/WISE0048.BIN Zainfekowanych: not-a-virus:AdWare.Win32.WebHancer pominięty

E:\System Volume Information_restore{C751E115-7901-4B2B-A62D-67EB2520C660}\RP11\A0000554.exe/WISE0049.BIN Zainfekowanych: not-a-virus:AdWare.Win32.Relevant.a pominięty

E:\System Volume Information_restore{C751E115-7901-4B2B-A62D-67EB2520C660}\RP11\A0000554.exe WiseSFX: zainfekowany - 10 pominięty

E:\System Volume Information_restore{C751E115-7901-4B2B-A62D-67EB2520C660}\RP11\A0000554.exe WiseSFX Dropper: zainfekowany - 10 pominięty

E:\System Volume Information_restore{C751E115-7901-4B2B-A62D-67EB2520C660}\RP11\A0000555.exe/WISE0046.BIN Zainfekowanych: not-a-virus:AdTool.Win32.WhenU.a pominięty

E:\System Volume Information_restore{C751E115-7901-4B2B-A62D-67EB2520C660}\RP11\A0000555.exe/WISE0047.BIN Zainfekowanych: not-a-virus:AdWare.Win32.NewDotNet pominięty

E:\System Volume Information_restore{C751E115-7901-4B2B-A62D-67EB2520C660}\RP11\A0000555.exe/WISE0048.BIN/data.rar/whAgent.exe Zainfekowanych: not-a-virus:AdWare.Win32.WebHancer.351 pominięty

E:\System Volume Information_restore{C751E115-7901-4B2B-A62D-67EB2520C660}\RP11\A0000555.exe/WISE0048.BIN/data.rar/whInstaller.exe Zainfekowanych: not-a-virus:AdWare.Win32.WebHancer.381 pominięty

E:\System Volume Information_restore{C751E115-7901-4B2B-A62D-67EB2520C660}\RP11\A0000555.exe/WISE0048.BIN/data.rar/whSurvey.exe Zainfekowanych: not-a-virus:AdWare.Win32.WebHancer pominięty

E:\System Volume Information_restore{C751E115-7901-4B2B-A62D-67EB2520C660}\RP11\A0000555.exe/WISE0048.BIN/data.rar/webhdll.dll Zainfekowanych: not-a-virus:AdWare.Win32.WebHancer.370 pominięty

E:\System Volume Information_restore{C751E115-7901-4B2B-A62D-67EB2520C660}\RP11\A0000555.exe/WISE0048.BIN/data.rar/whiehlpr.dll Zainfekowanych: not-a-virus:AdWare.Win32.WebHancer pominięty

E:\System Volume Information_restore{C751E115-7901-4B2B-A62D-67EB2520C660}\RP11\A0000555.exe/WISE0048.BIN/data.rar Zainfekowanych: not-a-virus:AdWare.Win32.WebHancer pominięty

E:\System Volume Information_restore{C751E115-7901-4B2B-A62D-67EB2520C660}\RP11\A0000555.exe/WISE0048.BIN Zainfekowanych: not-a-virus:AdWare.Win32.WebHancer pominięty

E:\System Volume Information_restore{C751E115-7901-4B2B-A62D-67EB2520C660}\RP11\A0000555.exe/WISE0049.BIN Zainfekowanych: not-a-virus:AdWare.Win32.Relevant.a pominięty

E:\System Volume Information_restore{C751E115-7901-4B2B-A62D-67EB2520C660}\RP11\A0000555.exe WiseSFX: zainfekowany - 10 pominięty

E:\System Volume Information_restore{C751E115-7901-4B2B-A62D-67EB2520C660}\RP11\A0000555.exe WiseSFX Dropper: zainfekowany - 10 pominięty

E:\System Volume Information_restore{C751E115-7901-4B2B-A62D-67EB2520C660}\RP15\change.log Object is locked pominięty

Proces skanowania został zakończony.

Złączono Posta : 27.03.2007 (Wto) 13:13

Zrobiłam czyszczenie rejestru tym programem i to wszystko co on mi znalazł mam zaznaczyć i usunąć ???? Pierwszy raz uzywam tego programu :shock:


(Joan Sunshine) #9

tam gdzie pisze "Object is locked pominięty " to jest ok, tak ma być

wszystko z _restore to foldery przywracania systemu, wyłączasz na chwilę przywracanie systemu (Panel sterowania -> System -> Przywracanie systemu -> zaznaczasz „Wyłącz przywracanie systemu” ).


(Sandra19a) #10

Czyli to co znalazł kacper to nie są zadne trojany ani wirusy ?? To po co on wogóle mi to pokazuje i wprowadza w stres? :stuck_out_tongue: Mks jest lepszy czy jednak kacper ?


(Joan Sunshine) #11

Kacper znalazł dobrze, w folderach przywracania masz pliki syfów, które kiedyś były na kompie...


(Sandra19a) #12

Czyli musze jednak wylączyc przywracanie systemu , to konieczne? A jak bedzie potrzeba wlasnie przywrócenia systemu to co sie wtedy zrobi??

Złączono Posta : 27.03.2007 (Wto) 13:24

Juz zrobiłam na chwile na tym dysku E to wyłączenie przywracania systemu , ciekawe czy teraz kacperek nic nie wykryje :slight_smile:

A te pliki w oczyszczeniu rejestru mam wszystkie usunąć ?


(squeet) #13

sandis proszę zrobić to, o co byłaś proszona przez kolegę JNJN.

:arrow: http://forum.dobreprogramy.pl/viewtopic.php?t=66889

:arrow: http://forum.dobreprogramy.pl/viewtopic.php?t=36654


(Sandra19a) #14

nie poprawiłam posta ??


(Joan Sunshine) #15

zrób kopię rejestru przed usunięciem wpisów

postów NIE poprawiłaś > logi mają być w tagach


(Sandra19a) #16

NOOO, a czy teraz juz jest wszystko ok ???? Poprawiłam sie ?? :stuck_out_tongue:

Joan wiesz może jaki wirus zmienia zakończenia exe przez co cały windows siada bo nie widzi żadnego programu?? to jest dziwna sprawa, miałam zainstalowanego ad watcha (teraz boje sie go zainstalować) i nagle wyskoczyło naraz kilka komunikatów o zmianie w rejestrze i bum -wszystko przestało działać .