Chciałem sie dowiedzieć czy mogę jakos zaradzić wyskakującym oknach antywirusowych. Na stronie tej pisze rapid antivirus. Mam oprogramowanie antywirusowe NOD32 a to nie wiem dlaczego wyskakuje. Czy da sie temu zaroadzić jakoś? Aby to się nie otwierało???
Pobierz Combofix http://forum.dobreprogramy.pl/viewtopic.php?f=16&t=36654 przeskanuj system daj log
potem przeskanuj HijackThis 2.02 daj log
kolejność skanowania jak podałem
ComboFix 08-10-12.01 - 2008-10-14 8:24:05.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1250.1.1045.18.645 [GMT 2:00]
Uruchomiony z: C:\Documents and Settings \Pulpit\ComboFix.exe
* Utworzono nowy punkt przywracania
* Resident AV is active
UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA
.
((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\U.exe
C:\WINDOWS\pvpeformr.dll
C:\WINDOWS\system32\anedcvgo.dll
C:\WINDOWS\system32\awtsRhEU.dll
C:\WINDOWS\system32\bcardy.dll
C:\WINDOWS\system32\dsbqferc.dll
C:\WINDOWS\system32\efcCvVmK.dll
C:\WINDOWS\system32\emprqv.dll
C:\WINDOWS\system32\eyulvekr.dll
C:\WINDOWS\system32\jkkHWQGw.dll
C:\WINDOWS\system32\jxkwvn.dll
C:\WINDOWS\system32\ldridygy.dll
C:\WINDOWS\system32\nepqsjmf.dll
C:\WINDOWS\system32\nnnmlJbC.dll
C:\WINDOWS\system32\ogvcdena.ini
C:\WINDOWS\system32\pogoanmm.dll
C:\WINDOWS\system32\pwglqx.dll
C:\WINDOWS\system32\seleguyp.ini
C:\WINDOWS\system32\TDSSerrors.log
C:\WINDOWS\system32\tdssinit.dll
C:\WINDOWS\system32\tdssl.dll
C:\WINDOWS\system32\tdsslog.dll
C:\WINDOWS\system32\tdssmain.dll
C:\WINDOWS\system32\tdssserf.dll
C:\WINDOWS\system32\tdssservers.dat
C:\WINDOWS\system32\tmwnlihy.dll
C:\WINDOWS\system32\UEhRstwa.ini
C:\WINDOWS\system32\UEhRstwa.ini2
C:\WINDOWS\system32\winmyy32.dll
C:\WINDOWS\system32\wsvovn.dll
C:\WINDOWS\system32\yayyAtSM.dll
C:\WINDOWS\system32\ygydirdl.ini
C:\WINDOWS\system32\ytcatwyv.ini
.
((((((((((((((((((((((((( Pliki utworzone od 2008-09-14 do 2008-10-14 )))))))))))))))))))))))))))))))
.
2008-09-30 20:22 . 2008-09-30 20:22 2 --a------ C:\WINDOWS\pvpeformr.ocx
2008-09-18 14:56 . 2008-09-18 14:56
2008-09-18 14:56 . 2008-09-18 14:56 107,888 --a------ C:\WINDOWS\system32\CmdLineExt.dll
2008-09-18 14:37 . 2007-05-16 16:45 3,497,832 --a------ C:\WINDOWS\system32\d3dx9_34.dll
2008-09-18 14:37 . 2007-03-12 16:42 3,495,784 --a------ C:\WINDOWS\system32\d3dx9_33.dll
2008-09-18 14:37 . 2007-05-16 16:45 1,124,720 --a------ C:\WINDOWS\system32\D3DCompiler_34.dll
2008-09-18 14:37 . 2007-03-12 16:42 1,123,696 --a------ C:\WINDOWS\system32\D3DCompiler_33.dll
2008-09-18 14:37 . 2007-05-16 16:45 443,752 --a------ C:\WINDOWS\system32\d3dx10_34.dll
2008-09-18 14:37 . 2007-03-15 16:57 443,752 --a------ C:\WINDOWS\system32\d3dx10_33.dll
2008-09-18 14:37 . 2007-06-20 20:46 266,088 --a------ C:\WINDOWS\system32\xactengine2_8.dll
2008-09-18 14:37 . 2007-04-04 18:55 261,480 --a------ C:\WINDOWS\system32\xactengine2_7.dll
2008-09-18 14:37 . 2007-04-04 18:53 81,768 --a------ C:\WINDOWS\system32\xinput1_3.dll
2008-09-18 14:37 . 2007-06-20 20:45 18,280 --a------ C:\WINDOWS\system32\x3daudio1_2.dll
2008-09-18 14:36 . 2007-01-24 15:27 255,848 --a------ C:\WINDOWS\system32\xactengine2_6.dll
2008-09-18 14:36 . 2007-03-05 12:42 15,128 --a------ C:\WINDOWS\system32\x3daudio1_1.dll
2008-09-15 19:17 . 2008-09-30 18:31
2008-09-15 19:16 . 2008-09-24 17:23
2008-09-14 16:51 . 2008-09-14 16:51
2008-09-14 16:49 . 2008-09-14 16:49
2008-09-14 16:49 . 2008-09-14 16:49
2008-09-14 16:49 . 2008-06-10 02:32 73,728 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-09-14 16:45 . 2008-09-14 16:45
.
(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-14 06:28 --------- d-----w C:\Documents and Settings \Dane aplikacji\Skype
2008-10-14 06:04 --------- d-----w C:\Documents and Settings \Dane aplikacji\skypePM
2008-10-13 13:49 --------- d-----w C:\Program Files\Google
2008-10-03 16:02 --------- d-----w C:\Program Files\Common Files\Symantec Shared
2008-08-31 11:37 --------- d-----w C:\Program Files\Audacity
2008-08-31 11:31 --------- d—a-w C:\Documents and Settings\All Users\Dane aplikacji\TEMP
2008-08-22 18:18 --------- d–h--w C:\Program Files\InstallShield Installation Information
2008-08-14 15:04 --------- d-----w C:\Documents and Settings \Dane aplikacji\FarmingSimulator2008
2008-08-14 14:40 --------- d-----w C:\Program Files\Common Files\Wise Installation Wizard
2008-08-14 14:40 --------- d-----w C:\Program Files\AGEIA Technologies
2008-06-04 13:56 32 ----a-w C:\Documents and Settings\All Users\Dane aplikacji\ezsid.dat
.
((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“CTFMON.EXE”=“C:\WINDOWS\system32\ctfmon.exe” [2004-08-04 15360]
“swg”=“C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe” [2008-06-05 68856]
“Gadu-Gadu”=“C:\Program Files\Gadu-Gadu\gg.exe” [2007-11-14 2131392]
“Skype”=“C:\Program Files\Skype\Phone\Skype.exe” [2008-02-06 21898024]
“Creative WebCam Tray”=“C:\Program Files\Creative\Shared Files\CamTray.exe” [2005-10-27 299008]
“DAEMON Tools Lite”=“C:\Program Files\DAEMON Tools Lite\daemon.exe” [2008-07-17 490952]
“H/PC Connection Agent”=“C:\Program Files\Microsoft ActiveSync\wcescomm.exe” [2006-06-20 1207080]
“MSMSGS”=“C:\Program Files\Messenger\msmsgs.exe” [2004-08-04 1667584]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“nod32kui”=“C:\Program Files\Eset\nod32kui.exe” [2008-06-03 950664]
“NvCplDaemon”=“C:\WINDOWS\system32\NvCpl.dll” [2008-05-03 13529088]
“NvMediaCenter”=“C:\WINDOWS\system32\NvMcTray.dll” [2008-05-03 86016]
“GrooveMonitor”=“C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe” [2006-10-27 31016]
“OrderReminder”=“C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe” [2005-12-22 98304]
“HP OrderReminder Cleaner”=“C:\WINDOWS\hporclnr.exe” [2006-08-11 104960]
“TrojanScanner”=“C:\Program Files\Trojan Remover\Trjscan.exe” [2008-06-03 878672]
“TkBellExe”=“C:\Program Files\Common Files\Real\Update_OB\realsched.exe” [2008-07-16 185896]
“SunJavaUpdateSched”=“C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe” [2008-06-10 144784]
“RTHDCPL”=“RTHDCPL.EXE” [2007-05-10 C:\WINDOWS\RTHDCPL.EXE]
“nwiz”=“nwiz.exe” [2008-05-03 C:\WINDOWS\system32\nwiz.exe]
[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
“CTFMON.EXE”=“C:\WINDOWS\system32\CTFMON.EXE” [2004-08-04 15360]
C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\
Adobe Reader Speed Launch.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\wintfj32]
2008-07-10 21:46 33280 C:\WINDOWS\system32\wintfj32.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
“AppInit_DLLs”=wsvovn.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
“VIDC.YV12”= yv12vfw.dll
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
“AntiVirusDisableNotify”=dword:00000001
“UpdatesDisableNotify”=dword:00000001
[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
“%windir%\system32\sessmgr.exe”=
“C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE”=
“C:\Program Files\Microsoft Office\Office12\GROOVE.EXE”=
“C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE”=
“E:\Gry\Counter Strike 1.6\hl.exe”=
“E:\Gry\Counter Strike 1.6\hlds.exe”=
“E:\Gry\Counter Strike 1.6\hltv.exe”=
“C:\WINDOWS\system32\spool\drivers\w32x86\3\HP1005MC.EXE”=
“C:\Program Files\Gadu-Gadu\gg.exe”=
“C:\Documents and Settings\ \Dane aplikacji\PowerChallenge\PowerSoccer\PowerSoccer.exe”=
“C:\WINDOWS\system32\winver.exe”=
“D:\Program Files\Skype\Phone\Skype.exe”=
“E:\Różne\Free TV Online\TVOnline.exe”=
“C:\Program Files\Microsoft ActiveSync\rapimgr.exe”= C:\Program Files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
“C:\Program Files\Microsoft ActiveSync\wcescomm.exe”= C:\Program Files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
“C:\Program Files\Microsoft ActiveSync\WCESMgr.exe”= C:\Program Files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
“E:\Gry\007 James Bond nightfire\Nightfire\Bond.exe”=
“E:\Gry\MedalofHonorPA\mohpa.exe”=
“C:\Program Files\Skype\Phone\Skype.exe”=
[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
“26675:TCP”= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
“24730:TCP”= 24730:TCP:BitComet 24730 TCP
“24730:UDP”= 24730:UDP:BitComet 24730 UDP
R3 usbscan;Sterownik skanera USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 15104]
S3 SetupNTGLM7X;SetupNTGLM7X;F:\NTGLM7X.sys []
S3 USBSTOR;Sterownik magazynu masowego USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 26496]
S3 V0260VID;Live! Cam Vista IM;C:\WINDOWS\system32\DRIVERS\V0260Vid.sys [2006-11-04 178913]
.
-
-
-
- USUNIĘTO PUSTE WPISY - - - -
-
-
BHO-{1E7A9431-AA5A-48CE-A477-7FB3225003F4} - C:\WINDOWS\system32\awtsRhEU.dll
BHO-{998DAE3E-7D4F-4952-A71F-467D8FE64407} - C:\WINDOWS\system32\efcCvVmK.dll
BHO-{b34edb5d-a25a-4b51-974a-de216ffc9e87} - C:\WINDOWS\system32\wsvovn.dll
HKLM-Run-WinampAgent - D:\Program Files\Winamp\winampa.exe
HKLM-Run-04a58ecd - C:\WINDOWS\system32\anedcvgo.dll
ShellExecuteHooks-{998DAE3E-7D4F-4952-A71F-467D8FE64407} - C:\WINDOWS\system32\efcCvVmK.dll
.
------- Skan uzupełniający -------
.
R0 -: HKCU-Main,Start Page = hxxp://www.google.pl/
R0 -: HKCU-Main,Search Page = hxxp://www.google.com
R0 -: HKCU-Main,Search Bar = hxxp://www.google.com/ie
R0 -: HKLM-Main,Default_Search_URL = hxxp://www.google.com/ie
R0 -: HKCU-Search,SearchAssistant = hxxp://www.google.com/ie
R1 -: HKCU-SearchURL,(Default) = hxxp://www.google.com/search?q=%s
R0 -: HKLM-Search,SearchAssistant = hxxp://www.google.com/ie
O8 -: Eksportuj do programu Microsoft Excel - C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O16 -: {4BFD075D-C36E-4F28-BB0A-5D472795197A} - hxxp://powersoccer.minigry.pl/applet/PowerLoader.cab
C:\WINDOWS\Downloaded Program Files\PowerLoader.inf
C:\WINDOWS\Downloaded Program Files\PowerLoader.dll
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-14 08:28:29
Windows 5.1.2600 Dodatek Service Pack 2 NTFS
skanowanie ukrytych procesów …
skanowanie ukrytych wpisów autostartu …
skanowanie ukrytych plików …
skanowanie pomyślnie ukończone
ukryte pliki: 0
**************************************************************************
.
--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------
PROCES: C:\WINDOWS\system32\winlogon.exe
- C:\WINDOWS\system32\wintfj32.dll
.
------------------------ Pozostałe uruchomione procesy ------------------------
.
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\HP1005MC.EXE
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\Program Files\ESET\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wdfmgr.exe
.
**************************************************************************
.
Czas ukończenia: 2008-10-14 8:29:48 - komputer został uruchomiony ponownie
ComboFix-quarantined-files.txt 2008-10-14 06:29:45
Przed: 9 688 514 560 bajtów wolnych
Po: 10,093,486,080 bajtów wolnych
203
Logfile of HijackThis v1.99.1
Scan saved at 08:33:29, on 2008-10-14
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Eset\nod32kui.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe
C:\WINDOWS\hporclnr.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Program Files\Microsoft ActiveSync\wcescomm.exe
C:\Program Files\Messenger\msmsgs.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\internet explorer\iexplore.exe
C:\Documents and Settings \Pulpit\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM…\Run: [nod32kui] “C:\Program Files\Eset\nod32kui.exe” /WAITSERVICE
O4 - HKLM…\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM…\Run: [nwiz] nwiz.exe /install
O4 - HKLM…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM…\Run: [GrooveMonitor] “C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe”
O4 - HKLM…\Run: [OrderReminder] C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe
O4 - HKLM…\Run: [HP OrderReminder Cleaner] C:\WINDOWS\hporclnr.exe
O4 - HKLM…\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe
O4 - HKLM…\Run: [TkBellExe] “C:\Program Files\Common Files\Real\Update_OB\realsched.exe” -osboot
O4 - HKLM…\Run: [sunJavaUpdateSched] “C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe”
O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU…\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU…\Run: [Gadu-Gadu] “C:\Program Files\Gadu-Gadu\gg.exe” /tray
O4 - HKCU…\Run: [skype] “C:\Program Files\Skype\Phone\Skype.exe” /nosplash /minimized
O4 - HKCU…\Run: [Creative WebCam Tray] “C:\Program Files\Creative\Shared Files\CamTray.exe”
O4 - HKCU…\Run: [DAEMON Tools Lite] “C:\Program Files\DAEMON Tools Lite\daemon.exe” -autorun
O4 - HKCU…\Run: [H/PC Connection Agent] “C:\Program Files\Microsoft ActiveSync\wcescomm.exe”
O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Wyślij do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra ‘Tools’ menuitem: Wyślij &do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra ‘Tools’ menuitem: Create Mobile Favorite… - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {3FE16C08-D6A7-4133-84FC-D5BFB4F7D886} (WebGameLoader Class) - http://www.miniclip.com/games/ricochet- … Loader.cab
O16 - DPF: {4BFD075D-C36E-4F28-BB0A-5D472795197A} (PowerLoader Class) - http://powersoccer.minigry.pl/applet/PowerLoader.cab
O17 - HKLM\System\CCS\Services\Tcpip…{1F40C16F-D15F-4393-9E8F-98B7EF8F907A}: NameServer = 80.240.162.70 80.240.162.114
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - AppInit_DLLs: wsvovn.dll
O20 - Winlogon Notify: wintfj32 - C:\WINDOWS\SYSTEM32\wintfj32.dll
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
Usuń te wpisy w HJT
Uruchom HijackThis - Do a system scan only - w oknie programu pokaże się log - zaznacz kratki przy podanych wpisach - klikasz Fix checked
wklej do notatnika:
Zapisz plik jako CFScript.txt najlepiej aby ikonka tego pliku znajdowała się obok ikonki ComboFix.exe
Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe powinno rozpocząć się usuwanie po tym daj log na forum.
Loga wklej na http://www.wklejto.pl lub http://www.wklej.org/ a w poście daj linka
Nie za bardzo rozumiem instrukcji spandaupol. Zaznaczyłem wszystkie haczyki, bo zle zrozumiałem, a po wciśneiciu fix dopiero zrozumiałem, które mam tylko zaznaczyć. Jakie mogą być tego skutki, że zaznaczyłem wszystkie?
W HijackThis fixujesz wpisy które podałem tzn
Następnie wklejasz do notatnika poniższy tekst zapisujesz plik jako CFScript.txt i przeciągasz jego ikonkę na ikonkę Combofixa, powinien uruchomić się Combofix i usunąć co trzeba. Po zakończeniu pracy narzędzia pojawi się log, daj ten log na forum
ComboFix 08-10-12.01 - 2008-10-14 10:37:40.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1250.1.1045.18.671 [GMT 2:00]
Uruchomiony z: C:\Documents and Settings \Pulpit\ComboFix.exe
Użyto następujących komend :: C:\Documents and Settings \Pulpit\CFScript.txt
* Utworzono nowy punkt przywracania
* Resident AV is active
UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA
FILE ::
C:\WINDOWS\system32\wintfj32.dll
.
((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\system32\wintfj32.dll
.
((((((((((((((((((((((((((((((((((((((( Sterowniki/Usługi )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_SETUPNTGLM7X
-------\Service_SetupNTGLM7X
((((((((((((((((((((((((( Pliki utworzone od 2008-09-14 do 2008-10-14 )))))))))))))))))))))))))))))))
.
2008-09-30 20:22 . 2008-09-30 20:22 2 --a------ C:\WINDOWS\pvpeformr.ocx
2008-09-18 14:56 . 2008-09-18 14:56
2008-09-18 14:56 . 2008-09-18 14:56 107,888 --a------ C:\WINDOWS\system32\CmdLineExt.dll
2008-09-18 14:37 . 2007-05-16 16:45 3,497,832 --a------ C:\WINDOWS\system32\d3dx9_34.dll
2008-09-18 14:37 . 2007-03-12 16:42 3,495,784 --a------ C:\WINDOWS\system32\d3dx9_33.dll
2008-09-18 14:37 . 2007-05-16 16:45 1,124,720 --a------ C:\WINDOWS\system32\D3DCompiler_34.dll
2008-09-18 14:37 . 2007-03-12 16:42 1,123,696 --a------ C:\WINDOWS\system32\D3DCompiler_33.dll
2008-09-18 14:37 . 2007-05-16 16:45 443,752 --a------ C:\WINDOWS\system32\d3dx10_34.dll
2008-09-18 14:37 . 2007-03-15 16:57 443,752 --a------ C:\WINDOWS\system32\d3dx10_33.dll
2008-09-18 14:37 . 2007-06-20 20:46 266,088 --a------ C:\WINDOWS\system32\xactengine2_8.dll
2008-09-18 14:37 . 2007-04-04 18:55 261,480 --a------ C:\WINDOWS\system32\xactengine2_7.dll
2008-09-18 14:37 . 2007-04-04 18:53 81,768 --a------ C:\WINDOWS\system32\xinput1_3.dll
2008-09-18 14:37 . 2007-06-20 20:45 18,280 --a------ C:\WINDOWS\system32\x3daudio1_2.dll
2008-09-18 14:36 . 2007-01-24 15:27 255,848 --a------ C:\WINDOWS\system32\xactengine2_6.dll
2008-09-18 14:36 . 2007-03-05 12:42 15,128 --a------ C:\WINDOWS\system32\x3daudio1_1.dll
2008-09-15 19:17 . 2008-10-14 10:13
2008-09-15 19:16 . 2008-09-24 17:23
2008-09-14 16:51 . 2008-09-14 16:51
2008-09-14 16:49 . 2008-09-14 16:49
2008-09-14 16:49 . 2008-09-14 16:49
2008-09-14 16:49 . 2008-06-10 02:32 73,728 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-09-14 16:45 . 2008-09-14 16:45
.
(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-14 06:37 --------- d-----w C:\Documents and Settings \Dane aplikacji\Skype
2008-10-14 06:04 --------- d-----w C:\Documents and Settings \Dane aplikacji\skypePM
2008-10-13 13:49 --------- d-----w C:\Program Files\Google
2008-10-03 16:02 --------- d-----w C:\Program Files\Common Files\Symantec Shared
2008-08-31 11:37 --------- d-----w C:\Program Files\Audacity
2008-08-31 11:31 --------- d—a-w C:\Documents and Settings\All Users\Dane aplikacji\TEMP
2008-08-22 18:18 --------- d–h--w C:\Program Files\InstallShield Installation Information
2008-08-14 15:04 --------- d-----w C:\Documents and Settings \Dane aplikacji\FarmingSimulator2008
2008-08-14 14:40 --------- d-----w C:\Program Files\Common Files\Wise Installation Wizard
2008-08-14 14:40 --------- d-----w C:\Program Files\AGEIA Technologies
2008-06-04 13:56 32 ----a-w C:\Documents and Settings\All Users\Dane aplikacji\ezsid.dat
.
((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“ctfmon.exe”=“C:\WINDOWS\system32\ctfmon.exe” [2004-08-04 15360]
“Gadu-Gadu”=“C:\Program Files\Gadu-Gadu\gg.exe” [2007-11-14 2131392]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“NvCplDaemon”=“C:\WINDOWS\system32\NvCpl.dll” [2008-05-03 13529088]
[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
“CTFMON.EXE”=“C:\WINDOWS\system32\CTFMON.EXE” [2004-08-04 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
“VIDC.YV12”= yv12vfw.dll
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
“AntiVirusDisableNotify”=dword:00000001
“UpdatesDisableNotify”=dword:00000001
[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
“%windir%\system32\sessmgr.exe”=
“C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE”=
“C:\Program Files\Microsoft Office\Office12\GROOVE.EXE”=
“C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE”=
“E:\Gry\Counter Strike 1.6\hl.exe”=
“E:\Gry\Counter Strike 1.6\hlds.exe”=
“E:\Gry\Counter Strike 1.6\hltv.exe”=
“C:\WINDOWS\system32\spool\drivers\w32x86\3\HP1005MC.EXE”=
“C:\Program Files\Gadu-Gadu\gg.exe”=
“C:\Documents and Settings\ \Dane aplikacji\PowerChallenge\PowerSoccer\PowerSoccer.exe”=
“C:\WINDOWS\system32\winver.exe”=
“D:\Program Files\Skype\Phone\Skype.exe”=
“E:\Różne\Free TV Online\TVOnline.exe”=
“C:\Program Files\Microsoft ActiveSync\rapimgr.exe”= C:\Program Files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
“C:\Program Files\Microsoft ActiveSync\wcescomm.exe”= C:\Program Files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
“C:\Program Files\Microsoft ActiveSync\WCESMgr.exe”= C:\Program Files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
“E:\Gry\007 James Bond nightfire\Nightfire\Bond.exe”=
“E:\Gry\MedalofHonorPA\mohpa.exe”=
“C:\Program Files\Skype\Phone\Skype.exe”=
[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
“26675:TCP”= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
“24730:TCP”= 24730:TCP:BitComet 24730 TCP
“24730:UDP”= 24730:UDP:BitComet 24730 UDP
R3 usbscan;Sterownik skanera USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 15104]
S3 USBSTOR;Sterownik magazynu masowego USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 26496]
S3 V0260VID;Live! Cam Vista IM;C:\WINDOWS\system32\DRIVERS\V0260Vid.sys [2006-11-04 178913]
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-14 10:40:23
Windows 5.1.2600 Dodatek Service Pack 2 NTFS
skanowanie ukrytych procesów …
skanowanie ukrytych wpisów autostartu …
skanowanie ukrytych plików …
skanowanie pomyślnie ukończone
ukryte pliki: 0
**************************************************************************
.
------------------------ Pozostałe uruchomione procesy ------------------------
.
C:\WINDOWS\system32\savedump.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\HP1005MC.EXE
C:\Program Files\ESET\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wdfmgr.exe
.
**************************************************************************
.
Czas ukończenia: 2008-10-14 10:41:46 - komputer został uruchomiony ponownie
ComboFix-quarantined-files.txt 2008-10-14 08:41:43
ComboFix2.txt 2008-10-14 06:29:49
Przed: 10 043 342 848 bajtów wolnych
Po: 10,075,758,592 bajtów wolnych
128
Log wygląda na czysty.
usuń ręcznie folder C: \Qoobox oraz instalkę Combofix z dysku.
Przeczyść system oraz rejestr CCleaner
Wykonaj optymalizacje Autostartu
Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja
Przeskanuj obszar Mój komputer Kaspersky Online Scanner Uruchom pod IE daj raport na forum
lub Dr.WEB CureIt!
Cz te wszystkie zadania nie usuną mi zdjęc ani żadnych gier, dokumentów z dysku?
W żadnym razie chyba że te pliki są zainfekowane ale to skaner wykaże, wtedy trzeba będzie usunąć zainfekowane pliki.
Dr. Web nie wykrył żadnych infekcji
To powinno być Ok, ale ostatni raz napiszę - Zmiana zasad wklejania logów na forum - viewtopic.php?f=16&t=253052