Witam mam ogromny problem z amvo0.dll POMOCTY


(Goldi 69) #1

Witam ostatnio zlapalem trojany na kompa nie moglem sobie dac rady sam to kumpek wziol i sformatowal mi obie partycje dysku i wgral na nowo system. po odpaleniu i instalacji avasta odrazu wykryl mi trojana amvo0.dll powiedzcie jak moge sie go pozbyc. za kazdym razem jak z mojego komputera chce otworzyc dysk c albo d to dostaje wiadomosc od avasta ze mam trojana. Prosze jak mozecie to pomozcie mi. ja bede staral sie odpisywac i wykonywac wasze polecenia jak naj szybciej jak moge pozdrawiam. Lukasz


(jessica) #2

“amvo” to infekcja z pendrive (lub z drugiego komputera połączonego razem w domu).

Daj log z ComboFix

Log wklej na http://wklej.org/, a w poście daj tylko link.(czyli skopiuj adres z paska adresów)

Uwaga: ComboFix powoduje utratę internetu. Trzeba po prostu zrestartować komputer.

jessi


(Goldi 69) #3

ComboFix 08-02-19.2 - Łukasz 2008-02-19 11:16:51.1 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.220 [GMT 1:00]

Running from: C:\Documents and Settings\Łukasz\Pulpit\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED!!

.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\Autorun.inf

C:\WINDOWS\OPTIONS\CABS_desktop.ini

C:\WINDOWS\system32\amvo.exe

D:\Autorun.inf

.

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

-------\nm

((((((((((((((((((((((((( Files Created from 2008-01-19 to 2008-02-19 )))))))))))))))))))))))))))))))

.

2008-02-19 10:41 . 2008-02-19 10:44

2008-02-19 10:26 . 2008-02-19 10:27

2008-02-18 23:35 . 2008-02-18 23:35 1,158 --a------ C:\WINDOWS\mozver.dat

2008-02-18 23:15 . 2008-02-18 23:15

2008-02-18 23:15 . 2008-02-18 23:15

2008-02-18 23:15 . 2008-02-18 23:15

2008-02-18 23:14 . 2008-02-18 23:14

2008-02-18 23:08 . 2007-12-04 15:53 23,152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys

2008-02-18 23:07 . 2008-02-18 23:07

2008-02-18 23:07 . 2003-03-18 21:20 1,060,864 --a------ C:\WINDOWS\system32\MFC71.dll

2008-02-18 23:07 . 2007-12-04 14:04 837,496 --a------ C:\WINDOWS\system32\aswBoot.exe

2008-02-18 23:07 . 2003-03-18 20:14 499,712 --a------ C:\WINDOWS\system32\MSVCP71.dll

2008-02-18 23:07 . 2004-01-09 10:13 380,928 --a------ C:\WINDOWS\system32\actskin4.ocx

2008-02-18 23:07 . 2003-02-21 04:42 348,160 --a------ C:\WINDOWS\system32\MSVCR71.dll

2008-02-18 23:07 . 2007-12-04 13:54 95,608 --a------ C:\WINDOWS\system32\AvastSS.scr

2008-02-18 23:07 . 2007-12-04 15:55 94,544 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys

2008-02-18 23:07 . 2007-12-04 15:56 93,264 --a------ C:\WINDOWS\system32\drivers\aswmon.sys

2008-02-18 23:07 . 2007-12-04 15:51 42,912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys

2008-02-18 23:07 . 2007-12-04 15:49 26,624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys

2008-02-18 23:01 . 2007-12-14 01:59 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl

2008-02-18 23:00 . 2008-02-18 23:01

2008-02-18 23:00 . 2008-02-18 23:00

2008-02-18 22:57 . 2008-02-18 22:57 0 --a------ C:\WINDOWS\nsreg.dat

2008-02-18 22:43 . 2008-02-18 22:43 427 --a------ C:\WINDOWS\ODBC.INI

2008-02-18 22:39 . 2008-02-18 22:41

2008-02-18 22:32 . 2008-02-18 22:32

2008-02-18 21:54 . 2008-02-03 19:11 103,870 -r-hs---- C:\8ng8w.com

2008-02-18 21:54 . 2008-02-03 19:11 103,870 -r-hs---- C:\2ifetri.cmd

2008-02-18 21:42 . 2003-01-15 16:05 41,984 --a------ C:\WINDOWS\system32\drivers\fetnd5b.sys

2008-02-18 21:24 . 2008-02-18 21:24

2008-02-18 21:24 . 2008-02-18 21:24

2008-02-18 21:08 . 2003-12-19 11:54 14,204,416 --a------ C:\WINDOWS\system32\ALSNDMGR.CPL

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-02-18 20:24 --------- d–h--w C:\Program Files\InstallShield Installation Information

2008-02-18 19:40 --------- d-----w C:\Program Files\Intel

2008-02-18 19:19 11,861 ----a-w C:\WINDOWS\system32\drivers\mdc8021x.sys

2008-02-18 19:19 --------- d-----w C:\Program Files\Gigabyte

2008-02-18 19:19 --------- d-----w C:\Program Files\Common Files\InstallShield

2008-02-18 19:11 --------- d-----w C:\Program Files\Sony Ericsson

2008-02-18 18:45 --------- d-----w C:\Program Files\microsoft frontpage

2008-02-18 18:42 --------- d-----w C:\Program Files\Usługi online

2007-12-14 10:32 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries legit default entries are not shown

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“ctfmon.exe”=“C:\WINDOWS\system32\ctfmon.exe” [2004-08-03 23:44 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“igfxtray”=“C:\WINDOWS\system32\igfxtray.exe” [2006-02-07 08:39 94208]

“igfxhkcmd”=“C:\WINDOWS\system32\hkcmd.exe” [2006-02-07 08:36 77824]

“igfxpers”=“C:\WINDOWS\system32\igfxpers.exe” [2006-02-07 08:40 118784]

“GCXX-Manager-Class”=“C:\Program Files\Sony Ericsson\Wireless Manager\GCXXManager.exe” [2004-11-24 04:06 802921]

“SoundMan”=“SOUNDMAN.EXE” [2003-12-19 11:53 65024 C:\WINDOWS\SOUNDMAN.EXE]

“SunJavaUpdateSched”=“C:\Program Files\Java\jre1.6.0_04\bin\jusched.exe” [2007-12-14 03:42 144784]

“avast!”=“C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe” [2007-12-04 14:00 79224]

“Adobe Reader Speed Launcher”=“C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe” [2008-01-11 22:16 39792]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

“CTFMON.EXE”=“C:\WINDOWS\system32\CTFMON.EXE” [2004-08-03 23:44 15360]

C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\

GN-WIKG Utility.lnk - C:\Program Files\Gigabyte\Gigabyte GN-WIKG Wireless Mini PCI Adapter\GbConfig.exe [2008-02-18 20:19:29 520192]

Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 10:01:04 83360]

R3 SEMWModem;Sony Ericsson SEMWModem;C:\WINDOWS\system32\DRIVERS\GCXX.sys [2004-11-05 12:08]

R3 SEMWWNIC;Sony Ericsson SEMWWNIC;C:\WINDOWS\system32\DRIVERS\GCXXNet.sys [2004-11-05 12:08]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{501c67f5-de52-11dc-89c7-aecd082c1b4e}]

\Shell\AutoRun\command - EXPLORER.EXE

\Shell\explore\Command - EXPLORER.EXE

\Shell\open\Command - EXPLORER.EXE

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{c7e8d790-decb-11dc-89cd-0040d069dfe6}]

\Shell\AutoRun\command - F:\xo8wr9.exe

\Shell\explore\Command - F:\xo8wr9.exe

\Shell\open\Command - F:\xo8wr9.exe

.

**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-02-19 11:19:21

Windows 5.1.2600 Dodatek Service Pack 2 NTFS

scanning hidden processes …

scanning hidden autostart entries …

scanning hidden files …

scan completed successfully

hidden files: 0

**************************************************************************

.

------------------------ Other Running Processes ------------------------

.

C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\wscntfy.exe

.

**************************************************************************

.

Completion time: 2008-02-19 11:20:16 - machine was rebooted

ComboFix-quarantined-files.txt 2008-02-19 10:20:05

chcialem byc madrzejszy i uruchomilem na wlasny rachunek combofixa

niby usunol mi wirusa bo po wlaczeniu spowrotem kompa nic mi avast nie wykryl moglem spokojnie uruchomic partycje z mojego komputera. podlaczylem swoj przenosny dysk 320gb i znow dostalem alert ze jest wuiec nie wiem co teraz i jak go usunac z przenosnego wrazie czego


(Goldi 69) #4

i pojawil sie teraz amvo1.dll o takiej nazwie


(Goldi 69) #5

ComboFix 08-02-19.2 - Łukasz 2008-02-19 11:47:52.2 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.305 [GMT 1:00]

Running from: C:\Documents and Settings\Łukasz\Pulpit\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED!!

.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\WINDOWS\system32\amvo.exe

C:\WINDOWS\system32\amvo0.dll

C:\WINDOWS\system32\amvo1.dll

F:\Autorun.inf

.

((((((((((((((((((((((((( Files Created from 2008-01-19 to 2008-02-19 )))))))))))))))))))))))))))))))

.

2008-02-19 10:41 . 2008-02-19 10:44

2008-02-19 10:26 . 2008-02-19 10:27

2008-02-18 23:35 . 2008-02-18 23:35 1,158 --a------ C:\WINDOWS\mozver.dat

2008-02-18 23:15 . 2008-02-18 23:15

2008-02-18 23:15 . 2008-02-18 23:15

2008-02-18 23:15 . 2008-02-18 23:15

2008-02-18 23:14 . 2008-02-18 23:14

2008-02-18 23:08 . 2007-12-04 15:53 23,152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys

2008-02-18 23:07 . 2008-02-18 23:07

2008-02-18 23:07 . 2003-03-18 21:20 1,060,864 --a------ C:\WINDOWS\system32\MFC71.dll

2008-02-18 23:07 . 2007-12-04 14:04 837,496 --a------ C:\WINDOWS\system32\aswBoot.exe

2008-02-18 23:07 . 2003-03-18 20:14 499,712 --a------ C:\WINDOWS\system32\MSVCP71.dll

2008-02-18 23:07 . 2004-01-09 10:13 380,928 --a------ C:\WINDOWS\system32\actskin4.ocx

2008-02-18 23:07 . 2003-02-21 04:42 348,160 --a------ C:\WINDOWS\system32\MSVCR71.dll

2008-02-18 23:07 . 2007-12-04 13:54 95,608 --a------ C:\WINDOWS\system32\AvastSS.scr

2008-02-18 23:07 . 2007-12-04 15:55 94,544 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys

2008-02-18 23:07 . 2007-12-04 15:56 93,264 --a------ C:\WINDOWS\system32\drivers\aswmon.sys

2008-02-18 23:07 . 2007-12-04 15:51 42,912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys

2008-02-18 23:07 . 2007-12-04 15:49 26,624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys

2008-02-18 23:01 . 2007-12-14 01:59 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl

2008-02-18 23:00 . 2008-02-18 23:01

2008-02-18 23:00 . 2008-02-18 23:00

2008-02-18 22:57 . 2008-02-18 22:57 0 --a------ C:\WINDOWS\nsreg.dat

2008-02-18 22:43 . 2008-02-18 22:43 427 --a------ C:\WINDOWS\ODBC.INI

2008-02-18 22:39 . 2008-02-18 22:41

2008-02-18 22:32 . 2008-02-18 22:32

2008-02-18 21:54 . 2008-02-03 19:11 103,870 -r-hs---- C:\8ng8w.com

2008-02-18 21:54 . 2008-02-03 19:11 103,870 -r-hs---- C:\2ifetri.cmd

2008-02-18 21:42 . 2003-01-15 16:05 41,984 --a------ C:\WINDOWS\system32\drivers\fetnd5b.sys

2008-02-18 21:24 . 2008-02-18 21:24

2008-02-18 21:24 . 2008-02-18 21:24

2008-02-18 21:08 . 2003-12-19 11:54 14,204,416 --a------ C:\WINDOWS\system32\ALSNDMGR.CPL

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-02-18 20:24 --------- d–h--w C:\Program Files\InstallShield Installation Information

2008-02-18 19:40 --------- d-----w C:\Program Files\Intel

2008-02-18 19:19 11,861 ----a-w C:\WINDOWS\system32\drivers\mdc8021x.sys

2008-02-18 19:19 --------- d-----w C:\Program Files\Gigabyte

2008-02-18 19:19 --------- d-----w C:\Program Files\Common Files\InstallShield

2008-02-18 19:13 --------- d-----w C:\Documents and Settings\Łukasz\Dane aplikacji\Sony Ericsson

2008-02-18 19:11 --------- d-----w C:\Program Files\Sony Ericsson

2008-02-18 18:45 --------- d-----w C:\Program Files\microsoft frontpage

2008-02-18 18:42 --------- d-----w C:\Program Files\Usługi online

2007-12-14 10:32 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries legit default entries are not shown

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“ctfmon.exe”=“C:\WINDOWS\system32\ctfmon.exe” [2004-08-03 23:44 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“igfxtray”=“C:\WINDOWS\system32\igfxtray.exe” [2006-02-07 08:39 94208]

“igfxhkcmd”=“C:\WINDOWS\system32\hkcmd.exe” [2006-02-07 08:36 77824]

“igfxpers”=“C:\WINDOWS\system32\igfxpers.exe” [2006-02-07 08:40 118784]

“GCXX-Manager-Class”=“C:\Program Files\Sony Ericsson\Wireless Manager\GCXXManager.exe” [2004-11-24 04:06 802921]

“SoundMan”=“SOUNDMAN.EXE” [2003-12-19 11:53 65024 C:\WINDOWS\SOUNDMAN.EXE]

“SunJavaUpdateSched”=“C:\Program Files\Java\jre1.6.0_04\bin\jusched.exe” [2007-12-14 03:42 144784]

“avast!”=“C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe” [2007-12-04 14:00 79224]

“Adobe Reader Speed Launcher”=“C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe” [2008-01-11 22:16 39792]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

“CTFMON.EXE”=“C:\WINDOWS\system32\CTFMON.EXE” [2004-08-03 23:44 15360]

C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\

GN-WIKG Utility.lnk - C:\Program Files\Gigabyte\Gigabyte GN-WIKG Wireless Mini PCI Adapter\GbConfig.exe [2008-02-18 20:19:29 520192]

Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 10:01:04 83360]

R3 SEMWModem;Sony Ericsson SEMWModem;C:\WINDOWS\system32\DRIVERS\GCXX.sys [2004-11-05 12:08]

R3 SEMWWNIC;Sony Ericsson SEMWWNIC;C:\WINDOWS\system32\DRIVERS\GCXXNet.sys [2004-11-05 12:08]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{501c67f5-de52-11dc-89c7-aecd082c1b4e}]

\Shell\AutoRun\command - EXPLORER.EXE

\Shell\explore\Command - EXPLORER.EXE

\Shell\open\Command - EXPLORER.EXE

*Newly Created Service* - ZXSDERFBUKJFYSHLH

.

**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-02-19 11:48:57

Windows 5.1.2600 Dodatek Service Pack 2 NTFS

scanning hidden processes …

scanning hidden autostart entries …

scanning hidden files …

scan completed successfully

hidden files: 0

**************************************************************************

.

Completion time: 2008-02-19 11:49:22

ComboFix-quarantined-files.txt 2008-02-19 10:49:14

ComboFix2.txt 2008-02-19 10:20:17

wkleilem jeszcze raz loga z combofixa bo zrobile caly proces jeszcze raz tym razem z przenosnym dyskiem wlaczonym i teraz jak odpalam to nic mi nie pokazuje ale nie jestem pewien czy to dobrze. jak mozecie to zobaczcie ja przeskanuje sobie avastem dysk dodatkowy. czekam na odpowiedzi i wasza pomoc


(jessica) #6

Wklej do Notatnika :

File::

C:\8ng8w.com

C:\2ifetri.cmd

C:\amvo.exe

F:\xo8wr9.exe

X:\amvo.exe

X:\Autorun.inf


Registry::

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{501c67f5-de52-11dc-89c7-aecd082c1b4e}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c7e8d790-decb-11dc-89cd-0040d069dfe6}]

Pod X podstaw literę pod jaką aktualnie będzie widziany pen (to się oczywiście zmienia przy podpinaniu).

>>Plik>>Zapisz jako… >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

– podobnie jak na tym obrazku –>88953CFScript-createdbyMiekiemoes.gif

Ma się rozpocząć usuwanie. (i powstanie log).

Daj ten log, który powstanie w trakcie usuwania.

Przy tej infekcji najskuteczniejszym sposobem jest wyrzucenie dysku przenośnego na śmietnik. Można też próbować go sformatować, ale to, wbrew pozorom, yeż nie zapewnia 100% skuteczności, bo podczas formatowania infekcja może się przedostać na dysk twardy i potem spowrotem na dysk przenośny, przy jakimś ponownym użyciu.

Przy innych infekcjach z pendrive można użyć –Flash Disinfector. (niżej na stronie linku) , ale on tej infekcji, która jest u Ciebie, chyba nie usuwa.

EDIT:

Przypominam: Log wklej na http://wklej.org/, a w poście daj tylko link.(czyli skopiuj adres z paska adresów)

jessi


(Goldi 69) #7

czyli jezeli przenosny dysk jest widziany jako f: to mam wpisac zamiast X F tak?? i wkleic to co napisalas do zwyklego notatnika i naniesc na combo czy wkleic do loga combo. sorry za te pytania ale jestem goly jezeli chodzi o taka wiedze


(jessica) #8

Tak, masz w takim przypadku wpisać zamiast “X” - “F”.

Wkleić do zwykłego Notatnika, zapisać jako “CFSript” i przeciągnąc ikonkę na ikonkę ComboFixa.

jessi


(Goldi 69) #9

ComboFix 08-02-19.2 - Łukasz 2008-02-19 13:07:45.3 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.250 [GMT 1:00]

Running from: C:\Documents and Settings\Łukasz\Pulpit\ComboFix.exe

Command switches used :: C:\Documents and Settings\Łukasz\Pulpit\CFScript.txt

* Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED!!

FILE ::

C:\2ifetri.cmd

C:\8ng8w.com

C:\amvo.exe

F:\amvo.exe

F:\Autorun.inf

F:\xo8wr9.exe

.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\2ifetri.cmd

C:\8ng8w.com

F:\xo8wr9.exe

.

((((((((((((((((((((((((( Files Created from 2008-01-19 to 2008-02-19 )))))))))))))))))))))))))))))))

.

2008-02-19 10:41 . 2008-02-19 10:44

2008-02-19 10:26 . 2008-02-19 10:27

2008-02-18 23:35 . 2008-02-18 23:35 1,158 --a------ C:\WINDOWS\mozver.dat

2008-02-18 23:15 . 2008-02-18 23:15

2008-02-18 23:15 . 2008-02-18 23:15

2008-02-18 23:15 . 2008-02-18 23:15

2008-02-18 23:14 . 2008-02-18 23:14

2008-02-18 23:08 . 2007-12-04 15:53 23,152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys

2008-02-18 23:07 . 2008-02-18 23:07

2008-02-18 23:07 . 2003-03-18 21:20 1,060,864 --a------ C:\WINDOWS\system32\MFC71.dll

2008-02-18 23:07 . 2007-12-04 14:04 837,496 --a------ C:\WINDOWS\system32\aswBoot.exe

2008-02-18 23:07 . 2003-03-18 20:14 499,712 --a------ C:\WINDOWS\system32\MSVCP71.dll

2008-02-18 23:07 . 2004-01-09 10:13 380,928 --a------ C:\WINDOWS\system32\actskin4.ocx

2008-02-18 23:07 . 2003-02-21 04:42 348,160 --a------ C:\WINDOWS\system32\MSVCR71.dll

2008-02-18 23:07 . 2007-12-04 13:54 95,608 --a------ C:\WINDOWS\system32\AvastSS.scr

2008-02-18 23:07 . 2007-12-04 15:55 94,544 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys

2008-02-18 23:07 . 2007-12-04 15:56 93,264 --a------ C:\WINDOWS\system32\drivers\aswmon.sys

2008-02-18 23:07 . 2007-12-04 15:51 42,912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys

2008-02-18 23:07 . 2007-12-04 15:49 26,624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys

2008-02-18 23:01 . 2007-12-14 01:59 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl

2008-02-18 23:00 . 2008-02-18 23:01

2008-02-18 23:00 . 2008-02-18 23:00

2008-02-18 22:57 . 2008-02-18 22:57 0 --a------ C:\WINDOWS\nsreg.dat

2008-02-18 22:43 . 2008-02-18 22:43 427 --a------ C:\WINDOWS\ODBC.INI

2008-02-18 22:39 . 2008-02-18 22:41

2008-02-18 22:32 . 2008-02-18 22:32

2008-02-18 21:42 . 2003-01-15 16:05 41,984 --a------ C:\WINDOWS\system32\drivers\fetnd5b.sys

2008-02-18 21:24 . 2008-02-18 21:24

2008-02-18 21:24 . 2008-02-18 21:24

2008-02-18 21:08 . 2003-12-19 11:54 14,204,416 --a------ C:\WINDOWS\system32\ALSNDMGR.CPL

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-02-18 20:24 --------- d–h--w C:\Program Files\InstallShield Installation Information

2008-02-18 19:40 --------- d-----w C:\Program Files\Intel

2008-02-18 19:19 11,861 ----a-w C:\WINDOWS\system32\drivers\mdc8021x.sys

2008-02-18 19:19 --------- d-----w C:\Program Files\Gigabyte

2008-02-18 19:19 --------- d-----w C:\Program Files\Common Files\InstallShield

2008-02-18 19:13 --------- d-----w C:\Documents and Settings\Łukasz\Dane aplikacji\Sony Ericsson

2008-02-18 19:11 --------- d-----w C:\Program Files\Sony Ericsson

2008-02-18 18:45 --------- d-----w C:\Program Files\microsoft frontpage

2008-02-18 18:42 --------- d-----w C:\Program Files\Usługi online

2007-12-14 10:32 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries legit default entries are not shown

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“ctfmon.exe”=“C:\WINDOWS\system32\ctfmon.exe” [2004-08-03 23:44 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“igfxtray”=“C:\WINDOWS\system32\igfxtray.exe” [2006-02-07 08:39 94208]

“igfxhkcmd”=“C:\WINDOWS\system32\hkcmd.exe” [2006-02-07 08:36 77824]

“igfxpers”=“C:\WINDOWS\system32\igfxpers.exe” [2006-02-07 08:40 118784]

“GCXX-Manager-Class”=“C:\Program Files\Sony Ericsson\Wireless Manager\GCXXManager.exe” [2004-11-24 04:06 802921]

“SoundMan”=“SOUNDMAN.EXE” [2003-12-19 11:53 65024 C:\WINDOWS\SOUNDMAN.EXE]

“SunJavaUpdateSched”=“C:\Program Files\Java\jre1.6.0_04\bin\jusched.exe” [2007-12-14 03:42 144784]

“avast!”=“C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe” [2007-12-04 14:00 79224]

“Adobe Reader Speed Launcher”=“C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe” [2008-01-11 22:16 39792]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

“CTFMON.EXE”=“C:\WINDOWS\system32\CTFMON.EXE” [2004-08-03 23:44 15360]

C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\

GN-WIKG Utility.lnk - C:\Program Files\Gigabyte\Gigabyte GN-WIKG Wireless Mini PCI Adapter\GbConfig.exe [2008-02-18 20:19:29 520192]

Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 10:01:04 83360]

R3 SEMWModem;Sony Ericsson SEMWModem;C:\WINDOWS\system32\DRIVERS\GCXX.sys [2004-11-05 12:08]

R3 SEMWWNIC;Sony Ericsson SEMWWNIC;C:\WINDOWS\system32\DRIVERS\GCXXNet.sys [2004-11-05 12:08]

.

**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-02-19 13:08:49

Windows 5.1.2600 Dodatek Service Pack 2 NTFS

scanning hidden processes …

scanning hidden autostart entries …

scanning hidden files …

scan completed successfully

hidden files: 0

**************************************************************************

.

Completion time: 2008-02-19 13:09:15

ComboFix-quarantined-files.txt 2008-02-19 12:09:07

ComboFix2.txt 2008-02-19 10:49:22

ComboFix3.txt 2008-02-19 10:20:17

czy o tochodzilo? niby avast mi nic nie wykrywa


(Goldi 69) #10

ja musze leciec na trening. dzieki za pomoc. napisz czy uwazasz ze jest wszystko ok czy nie bardzo. jka teraz przed owarciem reszty pendrive ktore mam przeskanuje je i moze sformatuje za wczasu i karty mmc nie wiem jak myslisz to dobry pomysl czy cos w combofixie nalezaloby zrobic. napisz pozdraiwam i do uslyszenia. bede pozniej musze teraz leciec.naprawde


(jessica) #11

Ja odpowiem tylko w sprawie logu: - jest czysty.

jessi


(Goldi 69) #12

dziekuje bardzo za pomoc mam nadzieje ze juz nie bede mial wiecej problemow z tym dziadostwem.pozdrawiam i jeszcze raz dziekuje