Wyskakujące okienka Internet Explorer


(Barthezz93) #1

Chciałem sie dowiedzieć czy mogę jakos zaradzić wyskakującym oknach antywirusowych. Na stronie tej pisze rapid antivirus. Mam oprogramowanie antywirusowe NOD32 a to nie wiem dlaczego wyskakuje. Czy da sie temu zaroadzić jakoś? Aby to się nie otwierało???


(Leon$) #2

Pobierz Combofix http://forum.dobreprogramy.pl/viewtopic.php?f=16&t=36654 przeskanuj system daj log

potem przeskanuj HijackThis 2.02 daj log

kolejność skanowania jak podałem

:slight_smile:


(Barthezz93) #3

ComboFix 08-10-12.01 -   2008-10-14 8:24:05.1 - NTFSx86

Microsoft Windows XP Home Edition 5.1.2600.2.1250.1.1045.18.645 [GMT 2:00]

Uruchomiony z: C:\Documents and Settings\ \Pulpit\ComboFix.exe

* Utworzono nowy punkt przywracania

* Resident AV is active

UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA!!

.

((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\U.exe

C:\WINDOWS\pvpeformr.dll

C:\WINDOWS\system32\anedcvgo.dll

C:\WINDOWS\system32\awtsRhEU.dll

C:\WINDOWS\system32\bcardy.dll

C:\WINDOWS\system32\dsbqferc.dll

C:\WINDOWS\system32\efcCvVmK.dll

C:\WINDOWS\system32\emprqv.dll

C:\WINDOWS\system32\eyulvekr.dll

C:\WINDOWS\system32\jkkHWQGw.dll

C:\WINDOWS\system32\jxkwvn.dll

C:\WINDOWS\system32\ldridygy.dll

C:\WINDOWS\system32\nepqsjmf.dll

C:\WINDOWS\system32\nnnmlJbC.dll

C:\WINDOWS\system32\ogvcdena.ini

C:\WINDOWS\system32\pogoanmm.dll

C:\WINDOWS\system32\pwglqx.dll

C:\WINDOWS\system32\seleguyp.ini

C:\WINDOWS\system32\TDSSerrors.log

C:\WINDOWS\system32\tdssinit.dll

C:\WINDOWS\system32\tdssl.dll

C:\WINDOWS\system32\tdsslog.dll

C:\WINDOWS\system32\tdssmain.dll

C:\WINDOWS\system32\tdssserf.dll

C:\WINDOWS\system32\tdssservers.dat

C:\WINDOWS\system32\tmwnlihy.dll

C:\WINDOWS\system32\UEhRstwa.ini

C:\WINDOWS\system32\UEhRstwa.ini2

C:\WINDOWS\system32\winmyy32.dll

C:\WINDOWS\system32\wsvovn.dll

C:\WINDOWS\system32\yayyAtSM.dll

C:\WINDOWS\system32\ygydirdl.ini

C:\WINDOWS\system32\ytcatwyv.ini

.

((((((((((((((((((((((((( Pliki utworzone od 2008-09-14 do 2008-10-14 )))))))))))))))))))))))))))))))

.

2008-09-30 20:22 . 2008-09-30 20:22 2 --a------ C:\WINDOWS\pvpeformr.ocx

2008-09-18 14:56 . 2008-09-18 14:56

2008-09-18 14:56 . 2008-09-18 14:56 107,888 --a------ C:\WINDOWS\system32\CmdLineExt.dll

2008-09-18 14:37 . 2007-05-16 16:45 3,497,832 --a------ C:\WINDOWS\system32\d3dx9_34.dll

2008-09-18 14:37 . 2007-03-12 16:42 3,495,784 --a------ C:\WINDOWS\system32\d3dx9_33.dll

2008-09-18 14:37 . 2007-05-16 16:45 1,124,720 --a------ C:\WINDOWS\system32\D3DCompiler_34.dll

2008-09-18 14:37 . 2007-03-12 16:42 1,123,696 --a------ C:\WINDOWS\system32\D3DCompiler_33.dll

2008-09-18 14:37 . 2007-05-16 16:45 443,752 --a------ C:\WINDOWS\system32\d3dx10_34.dll

2008-09-18 14:37 . 2007-03-15 16:57 443,752 --a------ C:\WINDOWS\system32\d3dx10_33.dll

2008-09-18 14:37 . 2007-06-20 20:46 266,088 --a------ C:\WINDOWS\system32\xactengine2_8.dll

2008-09-18 14:37 . 2007-04-04 18:55 261,480 --a------ C:\WINDOWS\system32\xactengine2_7.dll

2008-09-18 14:37 . 2007-04-04 18:53 81,768 --a------ C:\WINDOWS\system32\xinput1_3.dll

2008-09-18 14:37 . 2007-06-20 20:45 18,280 --a------ C:\WINDOWS\system32\x3daudio1_2.dll

2008-09-18 14:36 . 2007-01-24 15:27 255,848 --a------ C:\WINDOWS\system32\xactengine2_6.dll

2008-09-18 14:36 . 2007-03-05 12:42 15,128 --a------ C:\WINDOWS\system32\x3daudio1_1.dll

2008-09-15 19:17 . 2008-09-30 18:31

2008-09-15 19:16 . 2008-09-24 17:23

2008-09-14 16:51 . 2008-09-14 16:51

2008-09-14 16:49 . 2008-09-14 16:49

2008-09-14 16:49 . 2008-09-14 16:49

2008-09-14 16:49 . 2008-06-10 02:32 73,728 --a------ C:\WINDOWS\system32\javacpl.cpl

2008-09-14 16:45 . 2008-09-14 16:45

.

(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-10-14 06:28 --------- d-----w C:\Documents and Settings\ \Dane aplikacji\Skype

2008-10-14 06:04 --------- d-----w C:\Documents and Settings\ \Dane aplikacji\skypePM

2008-10-13 13:49 --------- d-----w C:\Program Files\Google

2008-10-03 16:02 --------- d-----w C:\Program Files\Common Files\Symantec Shared

2008-08-31 11:37 --------- d-----w C:\Program Files\Audacity

2008-08-31 11:31 --------- d---a-w C:\Documents and Settings\All Users\Dane aplikacji\TEMP

2008-08-22 18:18 --------- d--h--w C:\Program Files\InstallShield Installation Information

2008-08-14 15:04 --------- d-----w C:\Documents and Settings\ \Dane aplikacji\FarmingSimulator2008

2008-08-14 14:40 --------- d-----w C:\Program Files\Common Files\Wise Installation Wizard

2008-08-14 14:40 --------- d-----w C:\Program Files\AGEIA Technologies

2008-06-04 13:56 32 ----a-w C:\Documents and Settings\All Users\Dane aplikacji\ezsid.dat

.

((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]

"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-06-05 68856]

"Gadu-Gadu"="C:\Program Files\Gadu-Gadu\gg.exe" [2007-11-14 2131392]

"Skype"="C:\Program Files\Skype\Phone\Skype.exe" [2008-02-06 21898024]

"Creative WebCam Tray"="C:\Program Files\Creative\Shared Files\CamTray.exe" [2005-10-27 299008]

"DAEMON Tools Lite"="C:\Program Files\DAEMON Tools Lite\daemon.exe" [2008-07-17 490952]

"H/PC Connection Agent"="C:\Program Files\Microsoft ActiveSync\wcescomm.exe" [2006-06-20 1207080]

"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-08-04 1667584]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"nod32kui"="C:\Program Files\Eset\nod32kui.exe" [2008-06-03 950664]

"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2008-05-03 13529088]

"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2008-05-03 86016]

"GrooveMonitor"="C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 31016]

"OrderReminder"="C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe" [2005-12-22 98304]

"HP OrderReminder Cleaner"="C:\WINDOWS\hporclnr.exe" [2006-08-11 104960]

"TrojanScanner"="C:\Program Files\Trojan Remover\Trjscan.exe" [2008-06-03 878672]

"TkBellExe"="C:\Program Files\Common Files\Real\Update_OB\realsched.exe" [2008-07-16 185896]

"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]

"RTHDCPL"="RTHDCPL.EXE" [2007-05-10 C:\WINDOWS\RTHDCPL.EXE]

"nwiz"="nwiz.exe" [2008-05-03 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360]

C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\

Adobe Reader Speed Launch.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\wintfj32]

2008-07-10 21:46 33280 C:\WINDOWS\system32\wintfj32.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

"AppInit_DLLs"=wsvovn.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"VIDC.YV12"= yv12vfw.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusDisableNotify"=dword:00000001

"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\system32\sessmgr.exe"=

"C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE"=

"C:\Program Files\Microsoft Office\Office12\GROOVE.EXE"=

"C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE"=

"E:\Gry\Counter Strike 1.6\hl.exe"=

"E:\Gry\Counter Strike 1.6\hlds.exe"=

"E:\Gry\Counter Strike 1.6\hltv.exe"=

"C:\WINDOWS\system32\spool\drivers\w32x86\3\HP1005MC.EXE"=

"C:\Program Files\Gadu-Gadu\gg.exe"=

"C:\Documents and Settings\ \Dane aplikacji\PowerChallenge\PowerSoccer\PowerSoccer.exe"=

"C:\WINDOWS\system32\winver.exe"=

"D:\Program Files\Skype\Phone\Skype.exe"=

"E:\Różne\Free TV Online\TVOnline.exe"=

"C:\Program Files\Microsoft ActiveSync\rapimgr.exe"= C:\Program Files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager

"C:\Program Files\Microsoft ActiveSync\wcescomm.exe"= C:\Program Files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager

"C:\Program Files\Microsoft ActiveSync\WCESMgr.exe"= C:\Program Files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application

"E:\Gry\007 James Bond nightfire\Nightfire\Bond.exe"=

"E:\Gry\MedalofHonorPA\mohpa.exe"=

"C:\Program Files\Skype\Phone\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

"24730:TCP"= 24730:TCP:BitComet 24730 TCP

"24730:UDP"= 24730:UDP:BitComet 24730 UDP

R3 usbscan;Sterownik skanera USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 15104]

S3 SetupNTGLM7X;SetupNTGLM7X;F:\NTGLM7X.sys []

S3 USBSTOR;Sterownik magazynu masowego USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 26496]

S3 V0260VID;Live! Cam Vista IM;C:\WINDOWS\system32\DRIVERS\V0260Vid.sys [2006-11-04 178913]

.

  • USUNIĘTO PUSTE WPISY - - - -

BHO-{1E7A9431-AA5A-48CE-A477-7FB3225003F4} - C:\WINDOWS\system32\awtsRhEU.dll

BHO-{998DAE3E-7D4F-4952-A71F-467D8FE64407} - C:\WINDOWS\system32\efcCvVmK.dll

BHO-{b34edb5d-a25a-4b51-974a-de216ffc9e87} - C:\WINDOWS\system32\wsvovn.dll

HKLM-Run-WinampAgent - D:\Program Files\Winamp\winampa.exe

HKLM-Run-04a58ecd - C:\WINDOWS\system32\anedcvgo.dll

ShellExecuteHooks-{998DAE3E-7D4F-4952-A71F-467D8FE64407} - C:\WINDOWS\system32\efcCvVmK.dll

.

------- Skan uzupełniający -------

.

R0 -: HKCU-Main,Start Page = hxxp://www.google.pl/

R0 -: HKCU-Main,Search Page = hxxp://www.google.com

R0 -: HKCU-Main,Search Bar = hxxp://www.google.com/ie

R0 -: HKLM-Main,Default_Search_URL = hxxp://www.google.com/ie

R0 -: HKCU-Search,SearchAssistant = hxxp://www.google.com/ie

R1 -: HKCU-SearchURL,(Default) = hxxp://www.google.com/search?q=%s

R0 -: HKLM-Search,SearchAssistant = hxxp://www.google.com/ie

O8 -: Eksportuj do programu Microsoft Excel - C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O16 -: {4BFD075D-C36E-4F28-BB0A-5D472795197A} - hxxp://powersoccer.minigry.pl/applet/PowerLoader.cab

C:\WINDOWS\Downloaded Program Files\PowerLoader.inf

C:\WINDOWS\Downloaded Program Files\PowerLoader.dll

.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-10-14 08:28:29

Windows 5.1.2600 Dodatek Service Pack 2 NTFS

skanowanie ukrytych procesów ...

skanowanie ukrytych wpisów autostartu ...

skanowanie ukrytych plików ...

skanowanie pomyślnie ukończone

ukryte pliki: 0

**************************************************************************

.

--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------

PROCES: C:\WINDOWS\system32\winlogon.exe

  • C:\WINDOWS\system32\wintfj32.dll

.

------------------------ Pozostałe uruchomione procesy ------------------------

.

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\spool\drivers\w32x86\3\HP1005MC.EXE

C:\PROGRA~1\MI3AA1~1\rapimgr.exe

C:\Program Files\Skype\Plugin Manager\skypePM.exe

C:\Program Files\ESET\nod32krn.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\wdfmgr.exe

.

**************************************************************************

.

Czas ukończenia: 2008-10-14 8:29:48 - komputer został uruchomiony ponownie

ComboFix-quarantined-files.txt 2008-10-14 06:29:45

Przed: 9 688 514 560 bajtów wolnych

Po: 10,093,486,080 bajtów wolnych

203


(Barthezz93) #4

Logfile of HijackThis v1.99.1

Scan saved at 08:33:29, on 2008-10-14

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Eset\nod32kui.exe

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe

C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe

C:\WINDOWS\hporclnr.exe

C:\Program Files\Common Files\Real\Update_OB\realsched.exe

C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\Program Files\DAEMON Tools Lite\daemon.exe

C:\Program Files\Microsoft ActiveSync\wcescomm.exe

C:\Program Files\Messenger\msmsgs.exe

C:\PROGRA~1\MI3AA1~1\rapimgr.exe

C:\Program Files\Skype\Plugin Manager\skypePM.exe

C:\Program Files\Eset\nod32krn.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\internet explorer\iexplore.exe

C:\Documents and Settings\ \Pulpit\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM..\Run: [nwiz] nwiz.exe /install

O4 - HKLM..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM..\Run: [OrderReminder] C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe

O4 - HKLM..\Run: [HP OrderReminder Cleaner] C:\WINDOWS\hporclnr.exe

O4 - HKLM..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe

O4 - HKLM..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKCU..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray

O4 - HKCU..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU..\Run: [Creative WebCam Tray] "C:\Program Files\Creative\Shared Files\CamTray.exe"

O4 - HKCU..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun

O4 - HKCU..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"

O4 - HKCU..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: Wyślij do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: Wyślij &do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll

O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {3FE16C08-D6A7-4133-84FC-D5BFB4F7D886} (WebGameLoader Class) - http://www.miniclip.com/games/ricochet- ... Loader.cab

O16 - DPF: {4BFD075D-C36E-4F28-BB0A-5D472795197A} (PowerLoader Class) - http://powersoccer.minigry.pl/applet/PowerLoader.cab

O17 - HKLM\System\CCS\Services\Tcpip..{1F40C16F-D15F-4393-9E8F-98B7EF8F907A}: NameServer = 80.240.162.70 80.240.162.114

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O20 - AppInit_DLLs: wsvovn.dll

O20 - Winlogon Notify: wintfj32 - C:\WINDOWS\SYSTEM32\wintfj32.dll

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe


(Spandau) #5

Usuń te wpisy w HJT

Uruchom HijackThis - Do a system scan only - w oknie programu pokaże się log - zaznacz kratki przy podanych wpisach - klikasz Fix checked

wklej do notatnika:

Zapisz plik jako CFScript.txt najlepiej aby ikonka tego pliku znajdowała się obok ikonki ComboFix.exe

Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe powinno rozpocząć się usuwanie po tym daj log na forum.

Loga wklej na http://www.wklejto.pl lub http://www.wklej.org/ a w poście daj linka


(Gutek) #6

Zmiana zasad wklejania logów na forum - viewtopic.php?f=16&t=213350


(Barthezz93) #7

Nie za bardzo rozumiem instrukcji spandaupol. Zaznaczyłem wszystkie haczyki, bo zle zrozumiałem, a po wciśneiciu fix dopiero zrozumiałem, które mam tylko zaznaczyć. :frowning: Jakie mogą być tego skutki, że zaznaczyłem wszystkie?


(Spandau) #8

W HijackThis fixujesz wpisy które podałem tzn

Następnie wklejasz do notatnika poniższy tekst zapisujesz plik jako CFScript.txt i przeciągasz jego ikonkę na ikonkę Combofixa, powinien uruchomić się Combofix i usunąć co trzeba. Po zakończeniu pracy narzędzia pojawi się log, daj ten log na forum


(Barthezz93) #9

ComboFix 08-10-12.01 -   2008-10-14 10:37:40.2 - NTFSx86

Microsoft Windows XP Home Edition 5.1.2600.2.1250.1.1045.18.671 [GMT 2:00]

Uruchomiony z: C:\Documents and Settings\ \Pulpit\ComboFix.exe

Użyto następujących komend :: C:\Documents and Settings\ \Pulpit\CFScript.txt

* Utworzono nowy punkt przywracania

* Resident AV is active

UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA!!

FILE ::

C:\WINDOWS\system32\wintfj32.dll

.

((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\WINDOWS\system32\wintfj32.dll

.

((((((((((((((((((((((((((((((((((((((( Sterowniki/Usługi )))))))))))))))))))))))))))))))))))))))))))))))))

.

-------\Legacy_SETUPNTGLM7X

-------\Service_SetupNTGLM7X

((((((((((((((((((((((((( Pliki utworzone od 2008-09-14 do 2008-10-14 )))))))))))))))))))))))))))))))

.

2008-09-30 20:22 . 2008-09-30 20:22 2 --a------ C:\WINDOWS\pvpeformr.ocx

2008-09-18 14:56 . 2008-09-18 14:56

2008-09-18 14:56 . 2008-09-18 14:56 107,888 --a------ C:\WINDOWS\system32\CmdLineExt.dll

2008-09-18 14:37 . 2007-05-16 16:45 3,497,832 --a------ C:\WINDOWS\system32\d3dx9_34.dll

2008-09-18 14:37 . 2007-03-12 16:42 3,495,784 --a------ C:\WINDOWS\system32\d3dx9_33.dll

2008-09-18 14:37 . 2007-05-16 16:45 1,124,720 --a------ C:\WINDOWS\system32\D3DCompiler_34.dll

2008-09-18 14:37 . 2007-03-12 16:42 1,123,696 --a------ C:\WINDOWS\system32\D3DCompiler_33.dll

2008-09-18 14:37 . 2007-05-16 16:45 443,752 --a------ C:\WINDOWS\system32\d3dx10_34.dll

2008-09-18 14:37 . 2007-03-15 16:57 443,752 --a------ C:\WINDOWS\system32\d3dx10_33.dll

2008-09-18 14:37 . 2007-06-20 20:46 266,088 --a------ C:\WINDOWS\system32\xactengine2_8.dll

2008-09-18 14:37 . 2007-04-04 18:55 261,480 --a------ C:\WINDOWS\system32\xactengine2_7.dll

2008-09-18 14:37 . 2007-04-04 18:53 81,768 --a------ C:\WINDOWS\system32\xinput1_3.dll

2008-09-18 14:37 . 2007-06-20 20:45 18,280 --a------ C:\WINDOWS\system32\x3daudio1_2.dll

2008-09-18 14:36 . 2007-01-24 15:27 255,848 --a------ C:\WINDOWS\system32\xactengine2_6.dll

2008-09-18 14:36 . 2007-03-05 12:42 15,128 --a------ C:\WINDOWS\system32\x3daudio1_1.dll

2008-09-15 19:17 . 2008-10-14 10:13

2008-09-15 19:16 . 2008-09-24 17:23

2008-09-14 16:51 . 2008-09-14 16:51

2008-09-14 16:49 . 2008-09-14 16:49

2008-09-14 16:49 . 2008-09-14 16:49

2008-09-14 16:49 . 2008-06-10 02:32 73,728 --a------ C:\WINDOWS\system32\javacpl.cpl

2008-09-14 16:45 . 2008-09-14 16:45

.

(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-10-14 06:37 --------- d-----w C:\Documents and Settings\ \Dane aplikacji\Skype

2008-10-14 06:04 --------- d-----w C:\Documents and Settings\ \Dane aplikacji\skypePM

2008-10-13 13:49 --------- d-----w C:\Program Files\Google

2008-10-03 16:02 --------- d-----w C:\Program Files\Common Files\Symantec Shared

2008-08-31 11:37 --------- d-----w C:\Program Files\Audacity

2008-08-31 11:31 --------- d---a-w C:\Documents and Settings\All Users\Dane aplikacji\TEMP

2008-08-22 18:18 --------- d--h--w C:\Program Files\InstallShield Installation Information

2008-08-14 15:04 --------- d-----w C:\Documents and Settings\ \Dane aplikacji\FarmingSimulator2008

2008-08-14 14:40 --------- d-----w C:\Program Files\Common Files\Wise Installation Wizard

2008-08-14 14:40 --------- d-----w C:\Program Files\AGEIA Technologies

2008-06-04 13:56 32 ----a-w C:\Documents and Settings\All Users\Dane aplikacji\ezsid.dat

.

((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]

"Gadu-Gadu"="C:\Program Files\Gadu-Gadu\gg.exe" [2007-11-14 2131392]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2008-05-03 13529088]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"VIDC.YV12"= yv12vfw.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusDisableNotify"=dword:00000001

"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\system32\sessmgr.exe"=

"C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE"=

"C:\Program Files\Microsoft Office\Office12\GROOVE.EXE"=

"C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE"=

"E:\Gry\Counter Strike 1.6\hl.exe"=

"E:\Gry\Counter Strike 1.6\hlds.exe"=

"E:\Gry\Counter Strike 1.6\hltv.exe"=

"C:\WINDOWS\system32\spool\drivers\w32x86\3\HP1005MC.EXE"=

"C:\Program Files\Gadu-Gadu\gg.exe"=

"C:\Documents and Settings\ \Dane aplikacji\PowerChallenge\PowerSoccer\PowerSoccer.exe"=

"C:\WINDOWS\system32\winver.exe"=

"D:\Program Files\Skype\Phone\Skype.exe"=

"E:\Różne\Free TV Online\TVOnline.exe"=

"C:\Program Files\Microsoft ActiveSync\rapimgr.exe"= C:\Program Files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager

"C:\Program Files\Microsoft ActiveSync\wcescomm.exe"= C:\Program Files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager

"C:\Program Files\Microsoft ActiveSync\WCESMgr.exe"= C:\Program Files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application

"E:\Gry\007 James Bond nightfire\Nightfire\Bond.exe"=

"E:\Gry\MedalofHonorPA\mohpa.exe"=

"C:\Program Files\Skype\Phone\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

"24730:TCP"= 24730:TCP:BitComet 24730 TCP

"24730:UDP"= 24730:UDP:BitComet 24730 UDP

R3 usbscan;Sterownik skanera USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 15104]

S3 USBSTOR;Sterownik magazynu masowego USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 26496]

S3 V0260VID;Live! Cam Vista IM;C:\WINDOWS\system32\DRIVERS\V0260Vid.sys [2006-11-04 178913]

.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-10-14 10:40:23

Windows 5.1.2600 Dodatek Service Pack 2 NTFS

skanowanie ukrytych procesów ...

skanowanie ukrytych wpisów autostartu ...

skanowanie ukrytych plików ...

skanowanie pomyślnie ukończone

ukryte pliki: 0

**************************************************************************

.

------------------------ Pozostałe uruchomione procesy ------------------------

.

C:\WINDOWS\system32\savedump.exe

C:\WINDOWS\system32\spool\drivers\w32x86\3\HP1005MC.EXE

C:\Program Files\ESET\nod32krn.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\wdfmgr.exe

.

**************************************************************************

.

Czas ukończenia: 2008-10-14 10:41:46 - komputer został uruchomiony ponownie

ComboFix-quarantined-files.txt 2008-10-14 08:41:43

ComboFix2.txt 2008-10-14 06:29:49

Przed: 10 043 342 848 bajtów wolnych

Po: 10,075,758,592 bajtów wolnych

128


(Spandau) #10

Log wygląda na czysty.

usuń ręcznie folder C: \Qoobox oraz instalkę Combofix z dysku.

Przeczyść system oraz rejestr CCleaner

Wykonaj optymalizacje Autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar Mój komputer Kaspersky Online Scanner Uruchom pod IE daj raport na forum

lub Dr.WEB CureIt!


(Barthezz93) #11

Cz te wszystkie zadania nie usuną mi zdjęc ani żadnych gier, dokumentów z dysku?


(Spandau) #12

W żadnym razie chyba że te pliki są zainfekowane ale to skaner wykaże, wtedy trzeba będzie usunąć zainfekowane pliki.


(Barthezz93) #13

Dr. Web nie wykrył żadnych infekcji


(Gutek) #14

To powinno być Ok, ale ostatni raz napiszę - Zmiana zasad wklejania logów na forum - viewtopic.php?f=16&t=253052