Wirusy w winxp po formacie wszystkich dyskow

mhm · 25 Kwiecień 2007 13:49

Witam,

zainstalowaly mi sie jakies wirusy na kompie, nie potrafilem ich usunac i sformatowalem wszystkie dyski, wyciagnalem baterie z biosa na 2 minuty (tak sie ponoc robi reset biosa;)

nagralem winXP

po wlaczenu netu z Netii (o ile to wazne skad?) wgrywaja mi sie wirusy typu

trojan downloader lub backdoor vanbot z roznymi kombinacjami, tworzace rozne pliki w windows/system32

gdzie moze “siedziec” ten wirus? w karcie graficznej? 4 dzien kombinuje co zrobic a nr seryjny z windy znam na pamiec pomocy

kaspersky ani norton sobie nie potrafia poradzic, adaware tez nie

Logfile of HijackThis v1.99.1 Scan saved at 15:47:17, on 2007-04-24 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Norton AntiVirus\navapsvc.exe C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE C:\WINDOWS\Explorer.EXE C:\Program Files\Common Files\Symantec Shared\ccApp.exe C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe C:\WINDOWS\System32\rundll32.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\Messenger\msmsgs.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\System32\taskmgr.exe C:\Documents and Settings\Marek\Ustawienia lokalne\Temp\Katalog tymczasowy 6 dla hijackthis1.99.1.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll O4 - HKLM…\Run: [ccApp] C:\Program Files\Common Files\Symantec Shared\ccApp.exe O4 - HKLM…\Run: [ccRegVfy] C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe O4 - HKLM…\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE O4 - HKLM…\Run: [speedTouch USB Diagnostics] “C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe” /icon O4 - HKLM…\Run: [WinDLL (wimimi.exe)] rundll32.exe C:\WINDOWS\System32\wimimi.exe,start O4 - HKLM…\Run: [Windows Logon Application] C:\WINDOWS\System32\winIogon.exe O4 - HKLM…\Run: [Advanced DHTML Enable] C:\WINDOWS\System32\fwyx.exe O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background O4 - HKCU…\Run: [Komunikator] C:\Program Files\Tlen.pl\tlen.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing) O9 - Extra ‘Tools’ menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing) O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab O17 - HKLM\System\CCS\Services\Tcpip…{8143F362-D0E3-4C8E-81E5-B984E67FC14F}: NameServer = 83.238.255.76 213.241.79.37 O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe O23 - Service: Network Service - Unknown owner - C:\WINDOWS\wcrss.exe (file missing) O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe

Gutek · 25 Kwiecień 2007 13:56

Zastosuj się do tego Tematu i zmień tytuł tematu na konkretny inaczej KOSZ

Pozdrawiam Gutek2222

usuń wpisy HJT,a pliki ręcznie, daj log z HJT + Silent

mhm · 25 Kwiecień 2007 14:38

Logfile of HijackThis v1.99.1 Scan saved at 16:29:22, on 2007-04-24 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Norton AntiVirus\navapsvc.exe C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE C:\WINDOWS\Explorer.EXE C:\Program Files\Common Files\Symantec Shared\ccApp.exe C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\Messenger\msmsgs.exe C:\Program Files\Tlen.pl\tlen.exe C:\WINDOWS\system32\cmd.exe C:\Documents and Settings\Marek\Ustawienia lokalne\Temp\Katalog tymczasowy 11 dla hijackthis1.99.1.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll O4 - HKLM…\Run: [ccApp] C:\Program Files\Common Files\Symantec Shared\ccApp.exe O4 - HKLM…\Run: [ccRegVfy] C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe O4 - HKLM…\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE O4 - HKLM…\Run: [speedTouch USB Diagnostics] “C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe” /icon O4 - HKLM…\Run: [Advanced DHTML Enable] C:\WINDOWS\System32\fwyx.exe O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background O4 - HKCU…\Run: [Komunikator] C:\Program Files\Tlen.pl\tlen.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing) O9 - Extra ‘Tools’ menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing) O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab O17 - HKLM\System\CCS\Services\Tcpip…{8143F362-D0E3-4C8E-81E5-B984E67FC14F}: NameServer = 83.238.255.76 213.241.79.37 O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe O23 - Service: Network Service - Unknown owner - C:\WINDOWS\wcrss.exe (file missing) O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe

Silent mi nie dziala:/

sproboje zalatwic inna plyte z XP i wtedy zobaczymy bo tak to to nie ma sensu sprawdzac logow bo problem tkwi w tym ze skads sie ten wirus musi brac w tym kompie

Uwaga: Jak wklejasz loga to obejmuj go znacznikiem (tagiem) CODE lub QUOTE

Pozdrawiam Gutek2222

Gutek · 25 Kwiecień 2007 14:57

usuń wpisy HJT oraz Start >>> Uruchom >>> services.msc >>> zatrzymaj i wyłącz Network Service

Hashi · 25 Kwiecień 2007 15:36

…a może jakiś Rootkit?

Proponuje wgrać też SP2.

Złączono Posta : 25.04.2007 (Sro) 17:38

przeszukaj tym: RootkitRevealer

mhm · 25 Kwiecień 2007 20:53

zaintalowalem system z nowej plytki i dalej to samo. gdzie ten wirus siedzi?

w jakichs elementach dyskow twardych nieformatowalnych?

nowy log:

Logfile of HijackThis v1.99.1 Scan saved at 22:51:08, on 2007-04-24 Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\instalki\Kaspersky Anti-Virus 6.0\avp.exe C:\WINDOWS\Explorer.EXE C:\Program Files\instalki\SpeedTouch USB\Dragdiag.exe C:\Program Files\instalki\Kaspersky Anti-Virus 6.0\avp.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\instalki\Mozilla Firefox\firefox.exe C:\Documents and Settings\Marek\Pulpit\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM…\Run: [speedTouch USB Diagnostics] “C:\Program Files\instalki\SpeedTouch USB\Dragdiag.exe” /icon O4 - HKLM…\Run: [Microsft Security Monitor Process] mssmpp.exe O4 - HKLM…\Run: [Windows Update] windowsupdats.exe O4 - HKLM…\Run: [Client Server Runtime Process] C:\WINDOWS\System32\csrs.exe O4 - HKLM…\Run: [spooler SubSystem App] C:\WINDOWS\System32\spooIsv.exe O4 - HKLM…\Run: [Advanced DHTML Enable] C:\WINDOWS\System32\disypyhx.exe O4 - HKLM…\Run: [AVP] “C:\Program Files\instalki\Kaspersky Anti-Virus 6.0\avp.exe” O4 - HKLM…\RunServices: [Microsft Security Monitor Process] mssmpp.exe O4 - HKLM…\RunServices: [Windows Update] windowsupdats.exe O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU…\Run: [Komunikator] C:\Program Files\instalki\Tlen.pl\tlen.exe O9 - Extra button: Statystyki ochrony WWW - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\instalki\Kaspersky Anti-Virus 6.0\scieplugin.dll O17 - HKLM\System\CCS\Services\Tcpip…{C70C6342-F9F7-40DE-8DDA-705926DC7C29}: NameServer = 83.238.255.76 213.241.79.37 O20 - Winlogon Notify: klogon - C:\WINDOWS\System32\klogon.dll O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Program Files\instalki\Kaspersky Anti-Virus 6.0\avp.exe

dzieki za pomoc

Gutek · 25 Kwiecień 2007 21:00

Coś ten format źle zrobiłes teraz masz takie pliki zbędne

Daj log z Combofix - http://download.bleepingcomputer.com/sUBs/ComboFix.exe

mhm · 25 Kwiecień 2007 21:11

to chyba dlatego ze ten wirus (gdziekolwiek siedzi) tworzy nowe pliki

ten DHTML byl przed formatem inny a teraz znowu inny. zaraz wrzuce logi

sproboj sie zastanowic (bo ja sie na tym nie znam) co moze powodowac te bledy. bo jezeli co format sa inne pliki to nie ma sensu ich blokowac tylko znalezc ich przyczyne, wywalic i tyle

adam9870 · 25 Kwiecień 2007 21:14

Poczytaj o prawidłowej instalacji systemu:

http://www.searchengines.pl/phpbb203/in … opic=12532

Proszę wkleić log z ComboFix’a, o który prosił Gutek.

mhm · 25 Kwiecień 2007 21:24

ok troche to trwalo, juz jest:

“Marek” - 07-04-24 23:03:09 Dodatek Service Pack. 1

ComboFix 07-04-25.4V - Running from: “C:\Program Files\instalki\Mozilla Firefox”

((((((((((((((((((((((((((((((( Files Created from 2007-03-24 to 2007-04-24 ))))))))))))))))))))))))))))))))))

2007-04-24 23:00 1,192 --a------ C:\WINDOWS\mozver.dat

2007-04-24 22:26 75,932 --a------ C:\WINDOWS\system32\drivers\klick.dat

2007-04-24 22:26 74,396 --a------ C:\WINDOWS\system32\drivers\klin.dat

2007-04-24 22:26 32 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat

2007-04-24 22:26 32 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat

2007-04-24 22:26

2007-04-24 22:16

2007-04-24 21:55

2007-04-24 21:49 402,432 -r-hs---- C:\WINDOWS\wcrss.exe

2007-04-24 21:48 0 --a------ C:\WINDOWS\nsreg.dat

2007-04-24 21:40 70,688 --a------ C:\WINDOWS\system32\drivers\alcaudsl.sys

2007-04-24 21:40 53,600 --a------ C:\WINDOWS\system32\drivers\alcan5wn.sys

2007-04-24 21:40 5,606 --a------ C:\WINDOWS\system32\stci.dll

2007-04-24 21:40 5,280 --a------ C:\WINDOWS\system32\drivers\alcawh.sys

2007-04-24 21:40 3,968 --a------ C:\WINDOWS\system32\drivers\alcacr.sys

2007-04-24 21:40

2007-04-24 21:38 786,432 --ah----- C:\DOCUME~1\Marek\NTUSER.DAT

2007-04-24 21:38 233,472 --ah----- C:\DOCUME~1\NETWOR~1\NTUSER.DAT

2007-04-24 21:38 233,472 --ah----- C:\DOCUME~1\LOCALS~1\NTUSER.DAT

2007-04-24 21:38

2007-04-24 21:32

2007-04-24 21:31 233,472 —h----- C:\DOCUME~1\DEFAUL~1\NTUSER.DAT

2007-04-24 21:31 112,128 --a------ C:\WINDOWS\system32\mapi32.dll

2007-04-24 21:31 0 -rahs---- C:\MSDOS.SYS

2007-04-24 21:31 0 -rahs---- C:\IO.SYS

2007-04-24 21:31 0 --a------ C:\CONFIG.SYS

2007-04-24 21:31 0 --a------ C:\AUTOEXEC.BAT

2007-04-24 21:31

2007-04-24 21:30 67,584 --a------ C:\WINDOWS\system32\acctres.dll

2007-04-24 21:30 40,960 --a------ C:\WINDOWS\system32\safrslv.dll

2007-04-24 21:30 39,424 --a------ C:\WINDOWS\system32\safrcdlg.dll

2007-04-24 21:30 33,792 --a------ C:\WINDOWS\system32\racpldlg.dll

2007-04-24 21:30 32,768 --a------ C:\WINDOWS\system32\mnmsrvc.exe

2007-04-24 21:30 28,672 --a------ C:\WINDOWS\system32\isrdbg32.dll

2007-04-24 21:30 26,624 --a------ C:\WINDOWS\system32\safrdm.dll

2007-04-24 21:30 12,288 --a------ C:\WINDOWS\system32\nmevtmsg.dll

2007-04-24 21:30 11,264 --a------ C:\WINDOWS\system32\atrace.dll

2007-04-24 21:30

2007-04-24 21:29 9,728 --a------ C:\WINDOWS\system32\mstinit.exe

2007-04-24 21:29 81,920 --a------ C:\WINDOWS\system32\isign32.dll

2007-04-24 21:29 81,408 --a------ C:\WINDOWS\system32\msoert2.dll

2007-04-24 21:29 73,728 --a------ C:\WINDOWS\system32\ils.dll

2007-04-24 21:29 69,632 --a------ C:\WINDOWS\system32\icwdial.dll

2007-04-24 21:29 69,248 --a------ C:\WINDOWS\system32\drivers\sr.sys

2007-04-24 21:29 65,536 --a------ C:\WINDOWS\system32\msconf.dll

2007-04-24 21:29 63,488 --a------ C:\WINDOWS\system32\srclient.dll

2007-04-24 21:29 61,440 --a------ C:\WINDOWS\system32\icwphbk.dll

2007-04-24 21:29 587,776 --a------ C:\WINDOWS\system32\inetcomm.dll

2007-04-24 21:29 49,152 --a------ C:\WINDOWS\system32\inetres.dll

2007-04-24 21:29 32,256 --a------ C:\WINDOWS\system32\mnmdd.dll

2007-04-24 21:29 270,336 --a------ C:\WINDOWS\system32\inetcfg.dll

2007-04-24 21:29 253,952 --a------ C:\WINDOWS\system32\mstask.dll

2007-04-24 21:29 24,576 --a------ C:\WINDOWS\system32\nmmkcert.dll

2007-04-24 21:29 228,864 --a------ C:\WINDOWS\system32\msoeacct.dll

2007-04-24 21:29 227,328 --a------ C:\WINDOWS\system32\srrstr.dll

2007-04-24 21:29 221,696 --a------ C:\WINDOWS\system32\qmgr.dll

2007-04-24 21:29 17,408 --a------ C:\WINDOWS\system32\qmgrprxy.dll

2007-04-24 21:29 160,256 --a------ C:\WINDOWS\system32\schedsvc.dll

2007-04-24 21:29 16,384 --a------ C:\WINDOWS\system32\icfgnt5.dll

2007-04-24 21:29 159,232 --a------ C:\WINDOWS\system32\srsvc.dll

2007-04-24 21:29

2007-04-24 21:28 99,328 --a------ C:\WINDOWS\system32\clipbrd.exe

2007-04-24 21:28 9,728 --a------ C:\WINDOWS\system32\xolehlp.dll

2007-04-24 21:28 9,728 --a------ C:\WINDOWS\system32\reset.exe

2007-04-24 21:28 9,216 --a------ C:\WINDOWS\system32\wuauserv.dll

2007-04-24 21:28 9,216 --a------ C:\WINDOWS\system32\icaapi.dll

2007-04-24 21:28 89,088 --a------ C:\WINDOWS\system32\tscfgwmi.dll

2007-04-24 21:28 869,376 --a------ C:\WINDOWS\system32\msdtctm.dll

2007-04-24 21:28 85,504 --a------ C:\WINDOWS\system32\catsrvps.dll

2007-04-24 21:28 83,968 --a------ C:\WINDOWS\system32\mtxoci.dll

2007-04-24 21:28 82,432 --a------ C:\WINDOWS\system32\comrepl.dll

2007-04-24 21:28 80,896 --a------ C:\WINDOWS\system32\charmap.exe

2007-04-24 21:28 75,912 --a------ C:\WINDOWS\system32\rdpwsx.dll

2007-04-24 21:28 73,216 --a------ C:\WINDOWS\system32\avwav.dll

2007-04-24 21:28 61,952 --a------ C:\WINDOWS\system32\rdshost.exe

2007-04-24 21:28 605,696 --a------ C:\WINDOWS\system32\getuname.dll

2007-04-24 21:28 6,144 --a------ C:\WINDOWS\system32\msdtc.exe

2007-04-24 21:28 598,016 --a------ C:\WINDOWS\system32\mstscax.dll

2007-04-24 21:28 582,656 --a------ C:\WINDOWS\system32\catsrvut.dll

2007-04-24 21:28 57,856 --a------ C:\WINDOWS\system32\licwmi.dll

2007-04-24 21:28 57,344 --a------ C:\WINDOWS\system32\sol.exe

2007-04-24 21:28 56,832 --a------ C:\WINDOWS\system32\remotepg.dll

2007-04-24 21:28 56,832 --a------ C:\WINDOWS\system32\colbact.dll

2007-04-24 21:28 55,808 --a------ C:\WINDOWS\system32\freecell.exe

2007-04-24 21:28 54,784 --a------ C:\WINDOWS\system32\msdtclog.dll

2007-04-24 21:28 54,272 --a------ C:\WINDOWS\system32\stclient.dll

2007-04-24 21:28 534,016 --a------ C:\WINDOWS\system32\spider.exe

2007-04-24 21:28 53,248 --a------ C:\WINDOWS\system32\servdeps.dll

2007-04-24 21:28 5,632 --a------ C:\WINDOWS\system32\write.exe

2007-04-24 21:28 5,120 --a------ C:\WINDOWS\system32\dcomcnfg.exe

2007-04-24 21:28 495,616 --a------ C:\WINDOWS\system32\comuid.dll

2007-04-24 21:28 494,592 --a------ C:\WINDOWS\system32\hypertrm.dll

2007-04-24 21:28 468,480 --a------ C:\WINDOWS\system32\clbcatq.dll

2007-04-24 21:28 44,544 --a------ C:\WINDOWS\system32\hticons.dll

2007-04-24 21:28 44,032 --a------ C:\WINDOWS\system32\rdpclip.exe

2007-04-24 21:28 40,960 --a------ C:\WINDOWS\system32\tscupgrd.exe

2007-04-24 21:28 4,608 --a------ C:\WINDOWS\system32\rdpcfgex.dll

2007-04-24 21:28 4,096 --a------ C:\WINDOWS\system32\mtxex.dll

2007-04-24 21:28 390,144 --a------ C:\WINDOWS\system32\mstsc.exe

2007-04-24 21:28 38,024 --a------ C:\WINDOWS\system32\drivers\termdd.sys

2007-04-24 21:28 359,936 --a------ C:\WINDOWS\system32\msdtcprx.dll

2007-04-24 21:28 35,328 --a------ C:\WINDOWS\system32\winchat.exe

2007-04-24 21:28 342,016 --a------ C:\WINDOWS\system32\mspaint.exe

2007-04-24 21:28 33,792 --a------ C:\WINDOWS\system32\regini.exe

2007-04-24 21:28 32,768 --a------ C:\WINDOWS\system32\cfgbkend.dll

2007-04-24 21:28 25,600 --a------ C:\WINDOWS\system32\comaddin.dll

2007-04-24 21:28 25,088 --a------ C:\WINDOWS\system32\mtxlegih.dll

2007-04-24 21:28 231,424 --a------ C:\WINDOWS\system32\avtapi.dll

2007-04-24 21:28 22,528 --a------ C:\WINDOWS\system32\qwinsta.exe

2007-04-24 21:28 22,528 --a------ C:\WINDOWS\system32\msg.exe

2007-04-24 21:28 215,040 --a------ C:\WINDOWS\system32\catsrv.dll

2007-04-24 21:28 21,856 --a------ C:\WINDOWS\system32\emptyregdb.dat

2007-04-24 21:28 201,216 --a------ C:\WINDOWS\system32\termsrv.dll

2007-04-24 21:28 20,480 --a------ C:\WINDOWS\system32\mtxdm.dll

2007-04-24 21:28 20,232 --a------ C:\WINDOWS\system32\drivers\tdtcp.sys

2007-04-24 21:28 19,456 --a------ C:\WINDOWS\system32\qprocess.exe

2007-04-24 21:28 189,440 --a------ C:\WINDOWS\system32\wuaueng.dll

2007-04-24 21:28 183,296 --a------ C:\WINDOWS\system32\accwiz.exe

2007-04-24 21:28 182,400 --a------ C:\WINDOWS\system32\drivers\rdpdr.sys

2007-04-24 21:28 177,152 --a------ C:\WINDOWS\system32\cmprops.dll

2007-04-24 21:28 17,920 --a------ C:\WINDOWS\system32\tsshutdn.exe

2007-04-24 21:28 17,408 --a------ C:\WINDOWS\system32\qappsrv.exe

2007-04-24 21:28 16,896 --a------ C:\WINDOWS\system32\mmfutil.dll

2007-04-24 21:28 16,384 --a------ C:\WINDOWS\system32\tskill.exe

2007-04-24 21:28 16,384 --a------ C:\WINDOWS\system32\rwinsta.exe

2007-04-24 21:28 16,384 --a------ C:\WINDOWS\system32\avmeter.dll

2007-04-24 21:28 151,040 --a------ C:\WINDOWS\system32\msdtcuiu.dll

2007-04-24 21:28 15,872 --a------ C:\WINDOWS\system32\logoff.exe

2007-04-24 21:28 15,872 --a------ C:\WINDOWS\system32\cdmodem.dll

2007-04-24 21:28 15,360 --a------ C:\WINDOWS\system32\tsdiscon.exe

2007-04-24 21:28 15,360 --a------ C:\WINDOWS\system32\tscon.exe

2007-04-24 21:28 15,360 --a------ C:\WINDOWS\system32\shadow.exe

2007-04-24 21:28 147,456 --a------ C:\WINDOWS\system32\comsnap.dll

2007-04-24 21:28 142,336 --a------ C:\WINDOWS\system32\wuauclt.exe

2007-04-24 21:28 14,848 --a------ C:\WINDOWS\system32\rdpsnd.dll

2007-04-24 21:28 139,264 --a------ C:\WINDOWS\system32\sndvol32.exe

2007-04-24 21:28 135,680 --a------ C:\WINDOWS\system32\rdchost.dll

2007-04-24 21:28 130,048 --a------ C:\WINDOWS\system32\sessmgr.exe

2007-04-24 21:28 128,000 --a------ C:\WINDOWS\system32\mshearts.exe

2007-04-24 21:28 125,440 --a------ C:\WINDOWS\system32\sndrec32.exe

2007-04-24 21:28 12,288 --a------ C:\WINDOWS\system32\rdsaddin.exe

2007-04-24 21:28 119,808 --a------ C:\WINDOWS\system32\winmine.exe

2007-04-24 21:28 118,272 --a------ C:\WINDOWS\system32\mplay32.exe

2007-04-24 21:28 115,976 --a------ C:\WINDOWS\system32\drivers\rdpwd.sys

2007-04-24 21:28 115,200 --a------ C:\WINDOWS\system32\calc.exe

2007-04-24 21:28 11,144 --a------ C:\WINDOWS\system32\drivers\tdpipe.sys

2007-04-24 21:28 100,864 --a------ C:\WINDOWS\system32\clbcatex.dll

2007-04-24 21:28 1,225 --a------ C:\WINDOWS\system32\usrlogon.cmd

2007-04-24 21:28 1,172,992 --a------ C:\WINDOWS\system32\comsvcs.dll

2007-04-24 21:28

2007-04-24 21:18 3,072 --a------ C:\WINDOWS\system32\drivers\audstub.sys

2007-04-24 21:17 57,856 --a------ C:\WINDOWS\system32\drivers\redbook.sys

2007-04-24 21:16 9,856 --a------ C:\WINDOWS\system32\drivers\gameenum.sys

2007-04-24 21:16 70,144 --a------ C:\WINDOWS\system32\usbui.dll

2007-04-24 21:16 6,144 -ra------ C:\WINDOWS\system32\kbdtuq.dll

2007-04-24 21:16 6,144 -ra------ C:\WINDOWS\system32\kbdtuf.dll

2007-04-24 21:16 5,632 -ra------ C:\WINDOWS\system32\kbdmon.dll

2007-04-24 21:16 5,632 -ra------ C:\WINDOWS\system32\kbdkyr.dll

2007-04-24 21:16 5,632 -ra------ C:\WINDOWS\system32\kbdazel.dll

2007-04-24 21:16 27,392 --a------ C:\WINDOWS\system32\drivers\VIAAGP.SYS

2007-04-24 21:16

2007-04-24 21:15 9,936 --a------ C:\WINDOWS\system\LZEXPAND.DLL

2007-04-24 21:15 9,168 --a------ C:\WINDOWS\system\VER.DLL

2007-04-24 21:15 85,532 --a------ C:\WINDOWS\system32\dgsetup.dll

2007-04-24 21:15 83,456 --a------ C:\WINDOWS\system\OLECLI.DLL

2007-04-24 21:15 8,192 -ra------ C:\WINDOWS\system32\kbdhept.dll

2007-04-24 21:15 72,192 --a------ C:\WINDOWS\system32\storprop.dll

2007-04-24 21:15 70,096 --a------ C:\WINDOWS\system\AVICAP.DLL

2007-04-24 21:15 7,168 --a------ C:\WINDOWS\system32\kbdcz.dll

2007-04-24 21:15 69,712 --a------ C:\WINDOWS\system\MMSYSTEM.DLL

2007-04-24 21:15 67,072 --a------ C:\WINDOWS\NOTEPAD.EXE

2007-04-24 21:15 6,656 -ra------ C:\WINDOWS\system32\kbdhela3.dll

2007-04-24 21:15 6,656 --a------ C:\WINDOWS\system32\kbdycl.dll

2007-04-24 21:15 6,656 --a------ C:\WINDOWS\system32\kbdsl1.dll

2007-04-24 21:15 6,656 --a------ C:\WINDOWS\system32\kbdsl.dll

2007-04-24 21:15 6,656 --a------ C:\WINDOWS\system32\kbdhu.dll

2007-04-24 21:15 6,656 --a------ C:\WINDOWS\system32\kbdcz2.dll

2007-04-24 21:15 6,656 --a------ C:\WINDOWS\system32\kbdcz1.dll

2007-04-24 21:15 6,656 --a------ C:\WINDOWS\system32\kbdcr.dll

2007-04-24 21:15 6,656 --a------ C:\WINDOWS\system32\KBDAL.DLL

2007-04-24 21:15 6,656 --a------ C:\WINDOWS\system32\batt.dll

2007-04-24 21:15 6,144 -ra------ C:\WINDOWS\system32\kbdlv1.dll

2007-04-24 21:15 6,144 -ra------ C:\WINDOWS\system32\kbdlv.dll

2007-04-24 21:15 6,144 -ra------ C:\WINDOWS\system32\kbdhela2.dll

2007-04-24 21:15 6,144 -ra------ C:\WINDOWS\system32\kbdgkl.dll

2007-04-24 21:15 6,144 -ra------ C:\WINDOWS\system32\kbdest.dll

2007-04-24 21:15 5,632 -ra------ C:\WINDOWS\system32\kbdlt1.dll

2007-04-24 21:15 5,632 -ra------ C:\WINDOWS\system32\kbdlt.dll

2007-04-24 21:15 5,632 -ra------ C:\WINDOWS\system32\kbdhe319.dll

2007-04-24 21:15 5,632 -ra------ C:\WINDOWS\system32\kbdhe220.dll

2007-04-24 21:15 5,632 -ra------ C:\WINDOWS\system32\kbdhe.dll

2007-04-24 21:15 5,632 --a------ C:\WINDOWS\system32\kbdro.dll

2007-04-24 21:15 5,632 --a------ C:\WINDOWS\system32\kbdhu1.dll

2007-04-24 21:15 5,120 --a------ C:\WINDOWS\system\SHELL.DLL

2007-04-24 21:15 33,376 --a------ C:\WINDOWS\system\COMMDLG.DLL

2007-04-24 21:15 24,661 --a------ C:\WINDOWS\system32\spxcoins.dll

2007-04-24 21:15 24,064 --a------ C:\WINDOWS\system\OLESVR.DLL

2007-04-24 21:15 19,200 --a------ C:\WINDOWS\system\TAPI.DLL

2007-04-24 21:15 176,157 --a------ C:\WINDOWS\system32\dgrpsetu.dll

2007-04-24 21:15 15,360 --a------ C:\WINDOWS\TASKMAN.EXE

2007-04-24 21:15 13,312 --a------ C:\WINDOWS\system32\irclass.dll

2007-04-24 21:15 127,008 --a------ C:\WINDOWS\system\MSVIDEO.DLL

2007-04-24 21:15 109,488 --a------ C:\WINDOWS\system\AVIFILE.DLL

2007-04-24 21:15 103,424 --a------ C:\WINDOWS\system32\EqnClass.Dll

2007-04-24 21:15 10,496 --a------ C:\WINDOWS\system32\drivers\irenum.sys

2007-04-24 21:15

2007-04-24 21:11

2007-04-24 21:10

2007-04-23 21:47 75,520 --a------ C:\WINDOWS\system32\drivers\Fasttrak.sys

(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-04-24 21:42 49712 --a------ C:\WINDOWS\system32\perfc015.dat

2007-04-24 21:42 355830 --a------ C:\WINDOWS\system32\perfh015.dat

2007-04-24 21:28 -------- d-------- C:\Program Files\usugi online

2007-04-24 21:15 62 --ahs---- C:\DOCUME~1\Marek\DANEAP~1\desktop.ini

2007-01-29 23:04 200768 --a------ C:\WINDOWS\system32\klogon.dll

(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]

“SpeedTouch USB Diagnostics”="“C:\Program Files\instalki\SpeedTouch USB\Dragdiag.exe” /icon"

“Microsft Security Monitor Process”=“mssmpp.exe”

“Windows Update”=“windowsupdats.exe”

“Client Server Runtime Process”=“C:\WINDOWS\System32\csrs.exe”

“Spooler SubSystem App”=“C:\WINDOWS\System32\spooIsv.exe”

“Advanced DHTML Enable”=“C:\WINDOWS\System32\disypyhx.exe”

“AVP”="“C:\Program Files\instalki\Kaspersky Anti-Virus 6.0\avp.exe”"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]

“CTFMON.EXE”=“C:\WINDOWS\System32\ctfmon.exe”

“Komunikator”=“C:\Program Files\instalki\Tlen.pl\tlen.exe”

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices]

“Microsft Security Monitor Process”=“mssmpp.exe”

“Windows Update”=“windowsupdats.exe”

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa

Authentication Packages REG_MULTI_SZ msv1_0\0\0

Security Packages REG_MULTI_SZ kerberos\0msv1_0\0schannel\0wdigest\0\0

Notification Packages REG_MULTI_SZ scecli\0\0

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]

LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0

NetworkService REG_MULTI_SZ DnsCache\0\0

rpcss REG_MULTI_SZ RpcSs\0\0

imgsvc REG_MULTI_SZ StiSvc\0\0

termsvcs REG_MULTI_SZ TermService\0\0

********************************************************************

catchme 0.3.660 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net

Rootkit scan 2007-04-24 23:12:48

Windows 5.1.2600 Dodatek Service Pack. 1 FAT

scanning hidden processes …

scanning hidden services …

scanning hidden autostart entries …

scanning hidden files …

scan completed successfully

hidden processes: 0

hidden services: 0

hidden files: 0

********************************************************************

Completion time: 07-04-24 23:12:50

C:\ComboFix-quarantined-files.txt … 07-04-24 23:12

adam9870 · 25 Kwiecień 2007 21:42

Sprawdź czy masz na dysku pliki:

a jeśli tak to je usuń ręcznie w trybie awaryjnym.

Otwórz Notatnik i wklej w nim to:

Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG >>> kliknij dwa razy na utworzony plik FIX.REG i potwierdź dodanie do rejestru >>> restart.

Po wykonaniu wklej nowy log z Combo.

mhm · 26 Kwiecień 2007 08:38

Logfile of HijackThis v1.99.1

Scan saved at 10:25, on 07-04-26

Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\instalki\Kaspersky Anti-Virus 6.0\avp.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\instalki\SpeedTouch USB\Dragdiag.exe

C:\Program Files\instalki\Kaspersky Anti-Virus 6.0\avp.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\instalki\Mozilla Firefox\firefox.exe

C:\Program Files\instalki\Tlen.pl\tlen.exe

C:\WINDOWS\system32\cmd.exe

C:\Documents and Settings\Marek\Pulpit\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = L1cza

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM…\Run: [speedTouch USB Diagnostics] “C:\Program Files\instalki\SpeedTouch USB\Dragdiag.exe” /icon

O4 - HKLM…\Run: [AVP] “C:\Program Files\instalki\Kaspersky Anti-Virus 6.0\avp.exe”

O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU…\Run: [Komunikator] C:\Program Files\instalki\Tlen.pl\tlen.exe

O9 - Extra button: Statystyki ochrony WWW - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\instalki\Kaspersky Anti-Virus 6.0\scieplugin.dll

O17 - HKLM\System\CCS\Services\Tcpip…{C70C6342-F9F7-40DE-8DDA-705926DC7C29}: NameServer = 83.238.255.76 213.241.79.37

O20 - Winlogon Notify: klogon - C:\WINDOWS\System32\klogon.dll

O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Program Files\instalki\Kaspersky Anti-Virus 6.0\avp.exe

“Marek” - 07-04-26 10:25:00 Dodatek Service Pack. 1

ComboFix 07-04-25.4V - Running from: “C:\Documents and Settings\Marek\Pulpit”

((((((((((((((((((((((((((((((( Files Created from 2007-03-26 to 2007-04-26 ))))))))))))))))))))))))))))))))))

2007-04-24 23:41

2007-04-24 23:18 233,472 --ah----- C:\DOCUME~1\ADMINI~1\NTUSER.DAT

2007-04-24 23:18

2007-04-24 23:12 49,152 --a------ C:\WINDOWS\nircmd.exe