Witam ostatnio zlapalem trojany na kompa nie moglem sobie dac rady sam to kumpek wziol i sformatowal mi obie partycje dysku i wgral na nowo system. po odpaleniu i instalacji avasta odrazu wykryl mi trojana amvo0.dll powiedzcie jak moge sie go pozbyc. za kazdym razem jak z mojego komputera chce otworzyc dysk c albo d to dostaje wiadomosc od avasta ze mam trojana. Prosze jak mozecie to pomozcie mi. ja bede staral sie odpisywac i wykonywac wasze polecenia jak naj szybciej jak moge pozdrawiam. Lukasz

“amvo” to infekcja z pendrive (lub z drugiego komputera połączonego razem w domu).

Daj log z ComboFix

Log wklej na http://wklej.org/, a w poście daj tylko link.(czyli skopiuj adres z paska adresów)

Uwaga: ComboFix powoduje utratę internetu. Trzeba po prostu zrestartować komputer.

jessi

ComboFix 08-02-19.2 - Łukasz 2008-02-19 11:16:51.1 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.220 [GMT 1:00]

Running from: C:\Documents and Settings\Łukasz\Pulpit\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED

.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\Autorun.inf

C:\WINDOWS\OPTIONS\CABS_desktop.ini

C:\WINDOWS\system32\amvo.exe

D:\Autorun.inf

.

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

-------\nm

((((((((((((((((((((((((( Files Created from 2008-01-19 to 2008-02-19 )))))))))))))))))))))))))))))))

.

2008-02-19 10:41 . 2008-02-19 10:44

2008-02-19 10:26 . 2008-02-19 10:27

2008-02-18 23:35 . 2008-02-18 23:35 1,158 --a------ C:\WINDOWS\mozver.dat

2008-02-18 23:15 . 2008-02-18 23:15

2008-02-18 23:15 . 2008-02-18 23:15

2008-02-18 23:15 . 2008-02-18 23:15

2008-02-18 23:14 . 2008-02-18 23:14

2008-02-18 23:08 . 2007-12-04 15:53 23,152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys

2008-02-18 23:07 . 2008-02-18 23:07

2008-02-18 23:07 . 2003-03-18 21:20 1,060,864 --a------ C:\WINDOWS\system32\MFC71.dll

2008-02-18 23:07 . 2007-12-04 14:04 837,496 --a------ C:\WINDOWS\system32\aswBoot.exe

2008-02-18 23:07 . 2003-03-18 20:14 499,712 --a------ C:\WINDOWS\system32\MSVCP71.dll

2008-02-18 23:07 . 2004-01-09 10:13 380,928 --a------ C:\WINDOWS\system32\actskin4.ocx

2008-02-18 23:07 . 2003-02-21 04:42 348,160 --a------ C:\WINDOWS\system32\MSVCR71.dll

2008-02-18 23:07 . 2007-12-04 13:54 95,608 --a------ C:\WINDOWS\system32\AvastSS.scr

2008-02-18 23:07 . 2007-12-04 15:55 94,544 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys

2008-02-18 23:07 . 2007-12-04 15:56 93,264 --a------ C:\WINDOWS\system32\drivers\aswmon.sys

2008-02-18 23:07 . 2007-12-04 15:51 42,912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys

2008-02-18 23:07 . 2007-12-04 15:49 26,624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys

2008-02-18 23:01 . 2007-12-14 01:59 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl

2008-02-18 23:00 . 2008-02-18 23:01

2008-02-18 23:00 . 2008-02-18 23:00

2008-02-18 22:57 . 2008-02-18 22:57 0 --a------ C:\WINDOWS\nsreg.dat

2008-02-18 22:43 . 2008-02-18 22:43 427 --a------ C:\WINDOWS\ODBC.INI

2008-02-18 22:39 . 2008-02-18 22:41

2008-02-18 22:32 . 2008-02-18 22:32

2008-02-18 21:54 . 2008-02-03 19:11 103,870 -r-hs---- C:\8ng8w.com

2008-02-18 21:54 . 2008-02-03 19:11 103,870 -r-hs---- C:\2ifetri.cmd

2008-02-18 21:42 . 2003-01-15 16:05 41,984 --a------ C:\WINDOWS\system32\drivers\fetnd5b.sys

2008-02-18 21:24 . 2008-02-18 21:24

2008-02-18 21:24 . 2008-02-18 21:24

2008-02-18 21:08 . 2003-12-19 11:54 14,204,416 --a------ C:\WINDOWS\system32\ALSNDMGR.CPL

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-02-18 20:24 --------- d–h--w C:\Program Files\InstallShield Installation Information

2008-02-18 19:40 --------- d-----w C:\Program Files\Intel

2008-02-18 19:19 11,861 ----a-w C:\WINDOWS\system32\drivers\mdc8021x.sys

2008-02-18 19:19 --------- d-----w C:\Program Files\Gigabyte

2008-02-18 19:19 --------- d-----w C:\Program Files\Common Files\InstallShield

2008-02-18 19:11 --------- d-----w C:\Program Files\Sony Ericsson

2008-02-18 18:45 --------- d-----w C:\Program Files\microsoft frontpage

2008-02-18 18:42 --------- d-----w C:\Program Files\Usługi online

2007-12-14 10:32 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries legit default entries are not shown

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“ctfmon.exe”=“C:\WINDOWS\system32\ctfmon.exe” [2004-08-03 23:44 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“igfxtray”=“C:\WINDOWS\system32\igfxtray.exe” [2006-02-07 08:39 94208]

“igfxhkcmd”=“C:\WINDOWS\system32\hkcmd.exe” [2006-02-07 08:36 77824]

“igfxpers”=“C:\WINDOWS\system32\igfxpers.exe” [2006-02-07 08:40 118784]

“GCXX-Manager-Class”=“C:\Program Files\Sony Ericsson\Wireless Manager\GCXXManager.exe” [2004-11-24 04:06 802921]

“SoundMan”=“SOUNDMAN.EXE” [2003-12-19 11:53 65024 C:\WINDOWS\SOUNDMAN.EXE]

“SunJavaUpdateSched”=“C:\Program Files\Java\jre1.6.0_04\bin\jusched.exe” [2007-12-14 03:42 144784]

“avast!”=“C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe” [2007-12-04 14:00 79224]

“Adobe Reader Speed Launcher”=“C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe” [2008-01-11 22:16 39792]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

“CTFMON.EXE”=“C:\WINDOWS\system32\CTFMON.EXE” [2004-08-03 23:44 15360]

C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\

GN-WIKG Utility.lnk - C:\Program Files\Gigabyte\Gigabyte GN-WIKG Wireless Mini PCI Adapter\GbConfig.exe [2008-02-18 20:19:29 520192]

Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 10:01:04 83360]

R3 SEMWModem;Sony Ericsson SEMWModem;C:\WINDOWS\system32\DRIVERS\GCXX.sys [2004-11-05 12:08]

R3 SEMWWNIC;Sony Ericsson SEMWWNIC;C:\WINDOWS\system32\DRIVERS\GCXXNet.sys [2004-11-05 12:08]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{501c67f5-de52-11dc-89c7-aecd082c1b4e}]

\Shell\AutoRun\command - EXPLORER.EXE

\Shell\explore\Command - EXPLORER.EXE

\Shell\open\Command - EXPLORER.EXE

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{c7e8d790-decb-11dc-89cd-0040d069dfe6}]

\Shell\AutoRun\command - F:\xo8wr9.exe

\Shell\explore\Command - F:\xo8wr9.exe

\Shell\open\Command - F:\xo8wr9.exe

.

**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-02-19 11:19:21

Windows 5.1.2600 Dodatek Service Pack 2 NTFS

scanning hidden processes …

scanning hidden autostart entries …

scanning hidden files …

scan completed successfully

hidden files: 0

**************************************************************************

.

------------------------ Other Running Processes ------------------------

.

C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\wscntfy.exe

.

**************************************************************************

.

Completion time: 2008-02-19 11:20:16 - machine was rebooted

ComboFix-quarantined-files.txt 2008-02-19 10:20:05

chcialem byc madrzejszy i uruchomilem na wlasny rachunek combofixa

niby usunol mi wirusa bo po wlaczeniu spowrotem kompa nic mi avast nie wykryl moglem spokojnie uruchomic partycje z mojego komputera. podlaczylem swoj przenosny dysk 320gb i znow dostalem alert ze jest wuiec nie wiem co teraz i jak go usunac z przenosnego wrazie czego

i pojawil sie teraz amvo1.dll o takiej nazwie

ComboFix 08-02-19.2 - Łukasz 2008-02-19 11:47:52.2 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.305 [GMT 1:00]

Running from: C:\Documents and Settings\Łukasz\Pulpit\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED

.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\WINDOWS\system32\amvo.exe

C:\WINDOWS\system32\amvo0.dll

C:\WINDOWS\system32\amvo1.dll

F:\Autorun.inf

.

((((((((((((((((((((((((( Files Created from 2008-01-19 to 2008-02-19 )))))))))))))))))))))))))))))))

.

2008-02-19 10:41 . 2008-02-19 10:44

2008-02-19 10:26 . 2008-02-19 10:27

2008-02-18 23:35 . 2008-02-18 23:35 1,158 --a------ C:\WINDOWS\mozver.dat

2008-02-18 23:15 . 2008-02-18 23:15

2008-02-18 23:15 . 2008-02-18 23:15

2008-02-18 23:15 . 2008-02-18 23:15

2008-02-18 23:14 . 2008-02-18 23:14

2008-02-18 23:08 . 2007-12-04 15:53 23,152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys

2008-02-18 23:07 . 2008-02-18 23:07

2008-02-18 23:07 . 2003-03-18 21:20 1,060,864 --a------ C:\WINDOWS\system32\MFC71.dll

2008-02-18 23:07 . 2007-12-04 14:04 837,496 --a------ C:\WINDOWS\system32\aswBoot.exe

2008-02-18 23:07 . 2003-03-18 20:14 499,712 --a------ C:\WINDOWS\system32\MSVCP71.dll

2008-02-18 23:07 . 2004-01-09 10:13 380,928 --a------ C:\WINDOWS\system32\actskin4.ocx

2008-02-18 23:07 . 2003-02-21 04:42 348,160 --a------ C:\WINDOWS\system32\MSVCR71.dll

2008-02-18 23:07 . 2007-12-04 13:54 95,608 --a------ C:\WINDOWS\system32\AvastSS.scr

2008-02-18 23:07 . 2007-12-04 15:55 94,544 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys

2008-02-18 23:07 . 2007-12-04 15:56 93,264 --a------ C:\WINDOWS\system32\drivers\aswmon.sys

2008-02-18 23:07 . 2007-12-04 15:51 42,912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys

2008-02-18 23:07 . 2007-12-04 15:49 26,624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys

2008-02-18 23:01 . 2007-12-14 01:59 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl

2008-02-18 23:00 . 2008-02-18 23:01

2008-02-18 23:00 . 2008-02-18 23:00

2008-02-18 22:57 . 2008-02-18 22:57 0 --a------ C:\WINDOWS\nsreg.dat

2008-02-18 22:43 . 2008-02-18 22:43 427 --a------ C:\WINDOWS\ODBC.INI

2008-02-18 22:39 . 2008-02-18 22:41

2008-02-18 22:32 . 2008-02-18 22:32

2008-02-18 21:54 . 2008-02-03 19:11 103,870 -r-hs---- C:\8ng8w.com

2008-02-18 21:54 . 2008-02-03 19:11 103,870 -r-hs---- C:\2ifetri.cmd

2008-02-18 21:42 . 2003-01-15 16:05 41,984 --a------ C:\WINDOWS\system32\drivers\fetnd5b.sys

2008-02-18 21:24 . 2008-02-18 21:24

2008-02-18 21:24 . 2008-02-18 21:24

2008-02-18 21:08 . 2003-12-19 11:54 14,204,416 --a------ C:\WINDOWS\system32\ALSNDMGR.CPL

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-02-18 20:24 --------- d–h--w C:\Program Files\InstallShield Installation Information

2008-02-18 19:40 --------- d-----w C:\Program Files\Intel

2008-02-18 19:19 11,861 ----a-w C:\WINDOWS\system32\drivers\mdc8021x.sys

2008-02-18 19:19 --------- d-----w C:\Program Files\Gigabyte

2008-02-18 19:19 --------- d-----w C:\Program Files\Common Files\InstallShield

2008-02-18 19:13 --------- d-----w C:\Documents and Settings\Łukasz\Dane aplikacji\Sony Ericsson

2008-02-18 19:11 --------- d-----w C:\Program Files\Sony Ericsson

2008-02-18 18:45 --------- d-----w C:\Program Files\microsoft frontpage

2008-02-18 18:42 --------- d-----w C:\Program Files\Usługi online

2007-12-14 10:32 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries legit default entries are not shown

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“ctfmon.exe”=“C:\WINDOWS\system32\ctfmon.exe” [2004-08-03 23:44 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“igfxtray”=“C:\WINDOWS\system32\igfxtray.exe” [2006-02-07 08:39 94208]

“igfxhkcmd”=“C:\WINDOWS\system32\hkcmd.exe” [2006-02-07 08:36 77824]

“igfxpers”=“C:\WINDOWS\system32\igfxpers.exe” [2006-02-07 08:40 118784]

“GCXX-Manager-Class”=“C:\Program Files\Sony Ericsson\Wireless Manager\GCXXManager.exe” [2004-11-24 04:06 802921]

“SoundMan”=“SOUNDMAN.EXE” [2003-12-19 11:53 65024 C:\WINDOWS\SOUNDMAN.EXE]

“SunJavaUpdateSched”=“C:\Program Files\Java\jre1.6.0_04\bin\jusched.exe” [2007-12-14 03:42 144784]

“avast!”=“C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe” [2007-12-04 14:00 79224]

“Adobe Reader Speed Launcher”=“C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe” [2008-01-11 22:16 39792]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

“CTFMON.EXE”=“C:\WINDOWS\system32\CTFMON.EXE” [2004-08-03 23:44 15360]

C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\

GN-WIKG Utility.lnk - C:\Program Files\Gigabyte\Gigabyte GN-WIKG Wireless Mini PCI Adapter\GbConfig.exe [2008-02-18 20:19:29 520192]

Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 10:01:04 83360]

R3 SEMWModem;Sony Ericsson SEMWModem;C:\WINDOWS\system32\DRIVERS\GCXX.sys [2004-11-05 12:08]

R3 SEMWWNIC;Sony Ericsson SEMWWNIC;C:\WINDOWS\system32\DRIVERS\GCXXNet.sys [2004-11-05 12:08]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{501c67f5-de52-11dc-89c7-aecd082c1b4e}]

\Shell\AutoRun\command - EXPLORER.EXE

\Shell\explore\Command - EXPLORER.EXE

\Shell\open\Command - EXPLORER.EXE

*Newly Created Service* - ZXSDERFBUKJFYSHLH

.

**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-02-19 11:48:57

Windows 5.1.2600 Dodatek Service Pack 2 NTFS

scanning hidden processes …

scanning hidden autostart entries …

scanning hidden files …

scan completed successfully

hidden files: 0

**************************************************************************

.

Completion time: 2008-02-19 11:49:22

ComboFix-quarantined-files.txt 2008-02-19 10:49:14

ComboFix2.txt 2008-02-19 10:20:17

wkleilem jeszcze raz loga z combofixa bo zrobile caly proces jeszcze raz tym razem z przenosnym dyskiem wlaczonym i teraz jak odpalam to nic mi nie pokazuje ale nie jestem pewien czy to dobrze. jak mozecie to zobaczcie ja przeskanuje sobie avastem dysk dodatkowy. czekam na odpowiedzi i wasza pomoc

Wklej do Notatnika :

File::

C:\8ng8w.com

C:\2ifetri.cmd

C:\amvo.exe

F:\xo8wr9.exe

X:\amvo.exe

X:\Autorun.inf


Registry::

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{501c67f5-de52-11dc-89c7-aecd082c1b4e}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c7e8d790-decb-11dc-89cd-0040d069dfe6}]

Pod X podstaw literę pod jaką aktualnie będzie widziany pen (to się oczywiście zmienia przy podpinaniu).

>>Plik>>Zapisz jako… >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

– podobnie jak na tym obrazku –>

Ma się rozpocząć usuwanie. (i powstanie log).

Daj ten log, który powstanie w trakcie usuwania.

Przy tej infekcji najskuteczniejszym sposobem jest wyrzucenie dysku przenośnego na śmietnik. Można też próbować go sformatować, ale to, wbrew pozorom, yeż nie zapewnia 100% skuteczności, bo podczas formatowania infekcja może się przedostać na dysk twardy i potem spowrotem na dysk przenośny, przy jakimś ponownym użyciu.

Przy innych infekcjach z pendrive można użyć –Flash Disinfector. (niżej na stronie linku) , ale on tej infekcji, która jest u Ciebie, chyba nie usuwa.

EDIT:

Przypominam: Log wklej na http://wklej.org/, a w poście daj tylko link.(czyli skopiuj adres z paska adresów)

jessi

czyli jezeli przenosny dysk jest widziany jako f: to mam wpisac zamiast X F tak?? i wkleic to co napisalas do zwyklego notatnika i naniesc na combo czy wkleic do loga combo. sorry za te pytania ale jestem goly jezeli chodzi o taka wiedze

Tak, masz w takim przypadku wpisać zamiast “X” - “F”.

Wkleić do zwykłego Notatnika, zapisać jako “CFSript” i przeciągnąc ikonkę na ikonkę ComboFixa.

jessi

ComboFix 08-02-19.2 - Łukasz 2008-02-19 13:07:45.3 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.250 [GMT 1:00]

Running from: C:\Documents and Settings\Łukasz\Pulpit\ComboFix.exe

Command switches used :: C:\Documents and Settings\Łukasz\Pulpit\CFScript.txt

* Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED

FILE ::

C:\2ifetri.cmd

C:\8ng8w.com

C:\amvo.exe

F:\amvo.exe

F:\Autorun.inf

F:\xo8wr9.exe

.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\2ifetri.cmd

C:\8ng8w.com

F:\xo8wr9.exe

.

((((((((((((((((((((((((( Files Created from 2008-01-19 to 2008-02-19 )))))))))))))))))))))))))))))))

.

2008-02-19 10:41 . 2008-02-19 10:44

2008-02-19 10:26 . 2008-02-19 10:27

2008-02-18 23:35 . 2008-02-18 23:35 1,158 --a------ C:\WINDOWS\mozver.dat

2008-02-18 23:15 . 2008-02-18 23:15

2008-02-18 23:15 . 2008-02-18 23:15

2008-02-18 23:15 . 2008-02-18 23:15

2008-02-18 23:14 . 2008-02-18 23:14

2008-02-18 23:08 . 2007-12-04 15:53 23,152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys

2008-02-18 23:07 . 2008-02-18 23:07

2008-02-18 23:07 . 2003-03-18 21:20 1,060,864 --a------ C:\WINDOWS\system32\MFC71.dll

2008-02-18 23:07 . 2007-12-04 14:04 837,496 --a------ C:\WINDOWS\system32\aswBoot.exe

2008-02-18 23:07 . 2003-03-18 20:14 499,712 --a------ C:\WINDOWS\system32\MSVCP71.dll

2008-02-18 23:07 . 2004-01-09 10:13 380,928 --a------ C:\WINDOWS\system32\actskin4.ocx

2008-02-18 23:07 . 2003-02-21 04:42 348,160 --a------ C:\WINDOWS\system32\MSVCR71.dll

2008-02-18 23:07 . 2007-12-04 13:54 95,608 --a------ C:\WINDOWS\system32\AvastSS.scr

2008-02-18 23:07 . 2007-12-04 15:55 94,544 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys

2008-02-18 23:07 . 2007-12-04 15:56 93,264 --a------ C:\WINDOWS\system32\drivers\aswmon.sys

2008-02-18 23:07 . 2007-12-04 15:51 42,912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys

2008-02-18 23:07 . 2007-12-04 15:49 26,624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys

2008-02-18 23:01 . 2007-12-14 01:59 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl

2008-02-18 23:00 . 2008-02-18 23:01

2008-02-18 23:00 . 2008-02-18 23:00

2008-02-18 22:57 . 2008-02-18 22:57 0 --a------ C:\WINDOWS\nsreg.dat

2008-02-18 22:43 . 2008-02-18 22:43 427 --a------ C:\WINDOWS\ODBC.INI

2008-02-18 22:39 . 2008-02-18 22:41

2008-02-18 22:32 . 2008-02-18 22:32

2008-02-18 21:42 . 2003-01-15 16:05 41,984 --a------ C:\WINDOWS\system32\drivers\fetnd5b.sys

2008-02-18 21:24 . 2008-02-18 21:24

2008-02-18 21:24 . 2008-02-18 21:24

2008-02-18 21:08 . 2003-12-19 11:54 14,204,416 --a------ C:\WINDOWS\system32\ALSNDMGR.CPL

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-02-18 20:24 --------- d–h--w C:\Program Files\InstallShield Installation Information

2008-02-18 19:40 --------- d-----w C:\Program Files\Intel

2008-02-18 19:19 11,861 ----a-w C:\WINDOWS\system32\drivers\mdc8021x.sys

2008-02-18 19:19 --------- d-----w C:\Program Files\Gigabyte

2008-02-18 19:19 --------- d-----w C:\Program Files\Common Files\InstallShield

2008-02-18 19:13 --------- d-----w C:\Documents and Settings\Łukasz\Dane aplikacji\Sony Ericsson

2008-02-18 19:11 --------- d-----w C:\Program Files\Sony Ericsson

2008-02-18 18:45 --------- d-----w C:\Program Files\microsoft frontpage

2008-02-18 18:42 --------- d-----w C:\Program Files\Usługi online

2007-12-14 10:32 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries legit default entries are not shown

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“ctfmon.exe”=“C:\WINDOWS\system32\ctfmon.exe” [2004-08-03 23:44 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“igfxtray”=“C:\WINDOWS\system32\igfxtray.exe” [2006-02-07 08:39 94208]

“igfxhkcmd”=“C:\WINDOWS\system32\hkcmd.exe” [2006-02-07 08:36 77824]

“igfxpers”=“C:\WINDOWS\system32\igfxpers.exe” [2006-02-07 08:40 118784]

“GCXX-Manager-Class”=“C:\Program Files\Sony Ericsson\Wireless Manager\GCXXManager.exe” [2004-11-24 04:06 802921]

“SoundMan”=“SOUNDMAN.EXE” [2003-12-19 11:53 65024 C:\WINDOWS\SOUNDMAN.EXE]

“SunJavaUpdateSched”=“C:\Program Files\Java\jre1.6.0_04\bin\jusched.exe” [2007-12-14 03:42 144784]

“avast!”=“C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe” [2007-12-04 14:00 79224]

“Adobe Reader Speed Launcher”=“C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe” [2008-01-11 22:16 39792]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

“CTFMON.EXE”=“C:\WINDOWS\system32\CTFMON.EXE” [2004-08-03 23:44 15360]

C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\

GN-WIKG Utility.lnk - C:\Program Files\Gigabyte\Gigabyte GN-WIKG Wireless Mini PCI Adapter\GbConfig.exe [2008-02-18 20:19:29 520192]

Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 10:01:04 83360]

R3 SEMWModem;Sony Ericsson SEMWModem;C:\WINDOWS\system32\DRIVERS\GCXX.sys [2004-11-05 12:08]

R3 SEMWWNIC;Sony Ericsson SEMWWNIC;C:\WINDOWS\system32\DRIVERS\GCXXNet.sys [2004-11-05 12:08]

.

**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-02-19 13:08:49

Windows 5.1.2600 Dodatek Service Pack 2 NTFS

scanning hidden processes …

scanning hidden autostart entries …

scanning hidden files …

scan completed successfully

hidden files: 0

**************************************************************************

.

Completion time: 2008-02-19 13:09:15

ComboFix-quarantined-files.txt 2008-02-19 12:09:07

ComboFix2.txt 2008-02-19 10:49:22

ComboFix3.txt 2008-02-19 10:20:17

czy o tochodzilo? niby avast mi nic nie wykrywa

ja musze leciec na trening. dzieki za pomoc. napisz czy uwazasz ze jest wszystko ok czy nie bardzo. jka teraz przed owarciem reszty pendrive ktore mam przeskanuje je i moze sformatuje za wczasu i karty mmc nie wiem jak myslisz to dobry pomysl czy cos w combofixie nalezaloby zrobic. napisz pozdraiwam i do uslyszenia. bede pozniej musze teraz leciec.naprawde

Ja odpowiem tylko w sprawie logu: - jest czysty.

jessi

dziekuje bardzo za pomoc mam nadzieje ze juz nie bede mial wiecej problemow z tym dziadostwem.pozdrawiam i jeszcze raz dziekuje