Pedancik
28 Kwiecień 2009 11:47
#1
Witam.
Ostatnio mam problemy z komputerem. Sądzę, że mam jakiegoś robaka, ale moja wiedza informatyczna jest niewystarczająca by się go pozbyć. Postaram się opisać objawy:
1. Zaczęło się, nie mogę uruchomić menedżera zadań. Pojawia się następujący komunikat:
Przecież, to ja jestem administratorem i niczego nie wyłączałem.
2. Wyczytałem gdzieś, że by usunąć problem nr. 1 trzeba pogrzebać w rejestrze. Tyle tylko, że gdy próbuję włączyć rejestr, dostaję prawie identyczną wiadomość:
3. Kolejny problem (chyba najgorszy) jest taki, że nie mogę uruchomić praktycznie żadnej aplikacji, bo dostaję:
Dzieje się tak nawet, gdy chcę uruchomić “Microsoft Office Picture Manager”.
4. Po uruchomieniu systemu i zalogowaniu się na swoje konto na “dzień dobry” dostaję taki miły szereg błędów:
To na razie byłoby tyle problemów… Błagam o pomoc, bo póki co na kompie działa mi tylko przeglądarka i Paint…
Proszę pisać w miarę możliwości “po polsku”
bober370
28 Kwiecień 2009 11:58
#2
Pedancik
28 Kwiecień 2009 18:23
#3
Nie za bardzo mi te tematy pomogły… Trojan Remover natrafiając na niełatwe pliki po prostu wyświetla błąd i się zawiesza… Pomocy! :x
Bedlam85
28 Kwiecień 2009 18:39
#5
spybot s&d (search and destroy) automatycznie powinien to zalatwic, u mnie 2 problem usunal a jak widze reszte tez powinien
jak cos pisz bedziemy myslec dalej
loltoFFik
28 Kwiecień 2009 19:01
#6
Ale skoro system nie jest aktualny i posiada dziury, to zaraz może być kolejny atak, radziłbym uaktualnić ;]
Pedancik
29 Kwiecień 2009 11:38
#7
Próbowałem już wszystkich porad i…
Programów Dr. WEB CureIt! i NOD32 4.0 nawet nie mogę pobrać. Próbowałem z różnych stron przez Mozillę Firefox i Interner Explorer ale przez około 20 minut które odczekałem, cały czas 0% albo napis “Rozpoczynanie…”
Spybot’a udało mi się pobrać i nawet zainstalować. Ale to co działo się później, to się chyba nawet fizjologom nie śniło… Za pierwszą próbą uruchomienia komputer po prostu się zresetował bez żadnych komunikatów, a po zalogowaniu dostałem około 30 razy wiadomość: “System Windows gotowy po poważnym błędzie” (czy jakoś tak). A gdy uruchamiam Spybot’a ponownie, to początkowo się ładuje, a potem przestaje, jakby jakaś obca siła go blokowała… Mam go widocznego tylko na pasku zadań (obok zegara) i jak nakieruje to jest napisane: “120476 procesy na czarnej liście; 283740 known ratings available”. (Coś chyba za dużo)
System mam zaktualizowany
I tak czuję, że chyba bez formata się nie obejdzie…
Olcia
29 Kwiecień 2009 13:35
#8
Pedancik , daj log z Combofix.
bober370
29 Kwiecień 2009 16:16
#9
Skopiuj ponizszy kod do notatnika i zapiszcie w formacie .inf
; Aby odblokować edytor Rejestru - Regedit należy zaznaczyć
; plik inf w eksploratorze, otworzyć menu kontekstowe pliku
; (prawy klawisz myszy lub Shift+F10)
; i wybrać opcję "Zainstaluj"
; © Copyright 2004
; by Piotr Palusiński
[version]
signature="$CHICAGO$"
[DefaultInstall]
DelReg = Del_DisableRegistryTools.Reg
[Del_DisableRegistryTools.Reg]
HKCU,%Location%,DisableRegistryTools
HKCU,%Location%,DisableRegedit
HKLM,%Location%,DisableRegistryTools
HKLM,%Location%,DisableRegedit
[strings]
Location="SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System"
Następnie na plik klinnij prawym przyciskiem myszki i naciśnij zainstaluj,
Edycja rejestru zostanie odblokowana
loltoFFik
29 Kwiecień 2009 17:42
#10
Mi to wygląda dziwnie. Objawy podobne jak Conficker - nie można wchodzić na www.eset.pl , www.microsoft.pl i inne przydatne strony. Czyżby nowa wersja ruszyła? Spróbuj wejść na www.microsoft.com
Pedancik
29 Kwiecień 2009 19:59
#11
Już lepiej… Problemy 1 i 2 usunięte.
loltoFFik - To chyba nie to, bo strony się bez problemu otwierają…
Olcia - Proszę:
ComboFix 09-04-29.01 - Maciek 2009-04-29 21:45.3 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1250.48.1045.18.511.256 [GMT 2:00]
Uruchomiony z: c:\documents and settings\Maciek\Pulpit\ComboFix.exe
AV: avast! antivirus 4.7.1043 [VPS 000783-1] *On-access scanning enabled* (Updated)
* Utworzono nowy punkt przywracania
.
((((((((((((((((((((((((( Pliki utworzone od 2009-05-28 do 2009-4-29 )))))))))))))))))))))))))))))))
.
2009-04-29 16:51 . 2001-10-26 14:57 12160 ----a-w c:\windows\system32\drivers\mouhid.sys
2009-04-29 16:51 . 2001-08-17 20:02 9600 ----a-w c:\windows\system32\drivers\hidusb.sys
2009-04-28 18:04 . 2009-04-28 18:04 2 --shatr c:\windows\winstart.bat
2009-04-28 17:37 . 1998-06-17 22:00 89360 ----a-w c:\windows\system32\VB5DB.DLL
2009-04-27 19:02 . 2009-04-27 19:08 -------- d-----w c:\documents and settings\Maciek\Ustawienia lokalne\Dane aplikacji\Promosoft Corporation
2009-04-27 13:26 . 2009-04-27 13:26 -------- d-----w c:\documents and settings\Maciek\WapSter
2009-04-26 17:05 . 2009-04-26 17:05 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\Tlen.pl
2009-04-26 15:23 . 2009-04-26 15:23 7168 ----a-w c:\windows\system32\~.exe.vir
2009-04-22 17:08 . 2009-04-22 17:08 -------- d-----w c:\program files\iPod
2009-04-22 17:08 . 2009-04-22 17:08 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906}
2009-04-22 17:08 . 2009-04-22 17:08 -------- d-----w c:\program files\iTunes
2009-04-22 17:07 . 2009-04-22 17:07 -------- d-----w c:\program files\Bonjour
2009-04-22 17:05 . 2009-04-22 17:05 -------- d-----w c:\program files\Common Files\Apple
2009-04-22 17:02 . 2009-04-22 17:02 -------- d-----w c:\program files\Apple Software Update
2009-04-22 17:02 . 2009-04-22 17:02 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\Apple
2009-04-10 12:44 . 2009-04-10 13:03 -------- d-----w c:\windows\system32\CatRoot_bak
2009-04-10 12:43 . 2008-06-14 18:01 273024 -c----w c:\windows\system32\dllcache\bthport.sys
2009-04-10 12:43 . 2008-06-14 18:01 273024 ------w c:\windows\system32\drivers\bthport.sys
2009-04-06 18:55 . 2009-04-10 06:32 110321 --sh--r C:\1ogf.exe
2009-04-06 09:23 . 2009-04-06 09:23 -------- d-----w c:\documents and settings\Maciek\Dane aplikacji\GetRightToGo
2009-04-02 17:45 . 2009-04-03 19:32 110157 --sh--r C:\cqxj.exe
2009-04-01 15:30 . 2009-04-02 10:24 108083 ------w C:\o3n9k.com
.
(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-29 10:57 . 2006-05-27 16:46 22824 -c--a-w c:\documents and settings\Maciek\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT
2009-04-29 06:38 . 2006-05-11 19:03 288 ----a-w c:\windows\system32\DVCStateBkp-{00000002-00000000-00000002-00001102-00000002-100A1102}.dat
2009-04-29 06:38 . 2006-05-11 19:03 288 ----a-w c:\windows\system32\DVCState-{00000002-00000000-00000002-00001102-00000002-100A1102}.dat
2009-04-28 18:09 . 2006-05-11 18:58 -------- d-----w c:\program files\ScannerU
2009-04-26 17:11 . 2006-05-11 20:24 -------- d-----w c:\program files\Tlen.pl
2009-04-25 12:58 . 2008-02-10 16:05 138384 ----a-w c:\windows\system32\drivers\PnkBstrK.sys
2009-04-25 12:57 . 2008-02-10 16:05 187536 ----a-w c:\windows\system32\PnkBstrB.exe
2009-04-16 12:17 . 2004-08-04 12:00 80444 ----a-w c:\windows\system32\perfc015.dat
2009-04-16 12:17 . 2004-08-04 12:00 460894 ----a-w c:\windows\system32\perfh015.dat
2009-04-09 13:52 . 2009-01-01 17:18 85504 --sh--r c:\windows\system32\vbsdfe1.dll
2009-03-31 14:31 . 2009-03-29 07:11 108693 ----a-w C:\[u]0[/u]bcobed.exe.vir
2009-03-18 13:51 . 2009-03-18 13:51 110053 --sh--r C:\q0dhfjf.exe
2009-03-16 13:59 . 2009-03-16 12:58 111363 --sh--r C:\luk1ylq.com
2009-03-13 11:41 . 2009-03-12 15:33 108968 --sh--r C:\xdw.com
2009-03-11 19:04 . 2009-03-11 12:22 107190 --sh--r C:\cb.exe
2009-03-07 17:24 . 2009-03-07 17:24 108446 --sh--r C:\i.com
2009-03-06 14:47 . 2004-08-04 12:00 285184 ----a-w c:\windows\system32\pdh.dll
2009-03-03 00:10 . 2004-08-04 12:00 826368 ----a-w c:\windows\system32\wininet.dll
2009-02-28 11:04 . 2009-02-27 16:17 108843 --sh--r C:\gi2ky.exe
2009-02-26 09:58 . 2009-02-26 09:44 103663 --sh--r C:\wx8o0bt1.com
2009-02-20 17:13 . 2004-08-04 12:00 78336 ----a-w c:\windows\system32\ieencode.dll
2009-02-20 13:22 . 2009-02-20 13:21 106970 --sh--r C:\w2.com
2009-02-17 15:03 . 2009-02-17 09:26 107564 --sh--r C:\hyetn1i.exe
2009-02-15 10:58 . 2009-02-15 10:58 106803 --sh--r C:\qphdin.com
2009-02-14 21:12 . 2009-02-12 17:46 107898 --sh--r C:\ur0.com
2009-02-13 14:37 . 2009-02-13 14:37 968021 ----a-w c:\windows\system32\1.scr
2009-02-12 10:44 . 2009-02-10 14:56 108067 --sh--r C:\opgde.exe
2009-02-09 14:19 . 2004-08-04 12:00 1846528 ----a-w c:\windows\system32\win32k.sys
2009-02-09 11:52 . 2004-08-04 00:39 2017280 ----a-w c:\windows\system32\ntkrnlpa.exe
2009-02-09 11:52 . 2004-08-04 12:00 2137600 ----a-w c:\windows\system32\ntoskrnl.exe
2009-02-09 10:22 . 2004-08-04 12:00 725504 ----a-w c:\windows\system32\lsasrv.dll
2009-02-09 10:22 . 2004-08-04 12:00 686080 ----a-w c:\windows\system32\advapi32.dll
2009-02-09 10:22 . 2004-08-04 12:00 399360 ----a-w c:\windows\system32\rpcss.dll
2009-02-09 10:22 . 2004-08-04 12:00 722944 ----a-w c:\windows\system32\ntdll.dll
2009-02-09 10:10 . 2004-08-04 12:00 111104 ----a-w c:\windows\system32\services.exe
2009-02-06 16:54 . 2004-08-04 12:00 35328 ----a-w c:\windows\system32\sc.exe
2009-02-03 20:11 . 2004-08-04 12:00 55808 ----a-w c:\windows\system32\secur32.dll
2009-01-31 15:17 . 2009-01-31 15:18 109930 --sh--r C:\a2h2.com
2009-01-30 16:39 . 2009-01-30 16:24 109127 --sh--r C:\hl80c6b1.com
2007-03-19 18:13 . 2007-04-08 16:59 6492243 -c--a-w c:\program files\frostwire-4.13.1.6.windows.exe
2008-12-30 15:45 . 2008-12-30 15:45 0 --sh--w c:\windows\SE22104F4.tmp
2008-09-07 15:34 . 2008-09-07 15:34 84992 --sh--r c:\windows\system32\amvo3.dll
2008-11-25 21:05 . 2008-11-25 21:05 85504 --sh--r c:\windows\system32\gasretyw3.dll
2008-12-23 23:39 . 2008-12-19 21:47 85504 --sh--r c:\windows\system32\vbsdfe2.dll
.
((((((((((((((((((((((((((((( SnapShot@2009-04-28_17.56.24 )))))))))))))))))))))))))))))))))))))))))
.
+ 2007-07-04 17:25 . 2009-04-29 19:45 3400 c:\windows\wt\wtupdates\wtupdater\appinfo.dat
- 2007-07-04 17:25 . 2009-04-28 17:54 3400 c:\windows\wt\wtupdates\wtupdater\appinfo.dat
+ 2006-05-11 19:33 . 2009-04-29 06:15 123728 c:\windows\system32\FNTCACHE.DAT
+ 2007-02-05 18:15 . 2006-10-10 12:44 635392 c:\windows\network diagnostic\xpnetdiag.exe
.
((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0579B4B1-0293-4d73-B02D-5EBB0BA0F0A2}]
2008-03-09 04:06 66912 ----a-w c:\program files\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]
"AQQ"="d:\progra~1\WapSter\WAPSTE~1\AQQ.exe" [2009-02-25 4879360]
"SpybotSD TeaTimer"="d:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2008-07-07 2234192]
"PC Suite Tray"="d:\program files\Nokia\Nokia PC Suite 6\PCSuite.exe" [2007-12-10 765440]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Jet Detection"="c:\program files\Creative\SBLive\PROGRAM\ADGJDet.exe" [2001-11-28 28672]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-10-07 13574144]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 83608]
"wcmdmgr"="c:\windows\wt\updater\wcmdmgrl.exe" [2003-09-23 20480]
"avast!"="d:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2007-09-06 79224]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-10-07 86016]
"CloneCDTray"="c:\program files\SlySoft\CloneCD\CloneCDTray.exe" [2003-10-26 131072]
"VirtualCloneDrive"="c:\program files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" [2006-04-29 94208]
"QuickTime Task"="d:\program files\K-Lite Codec Pack\QuickTime\QTTask.exe" [2009-01-05 491520]
"CTHelper"="CTHELPER.EXE" - c:\windows\system32\CTHELPER.EXE [2003-08-28 24576]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2006-03-09 1589248]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]
"Nokia.PCSync"="d:\program files\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-11-07 1372160]
c:\documents and settings\All Users\Menu Start\Programy\Autostart\
Adobe Gamma Loader.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2006-9-15 187392]
Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-23 29696]
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\system]
"DisableTaskMgr"= 1 (0x1)
"DisableRegistryTools"= 1 (0x1)
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
"UacDisableNotify"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"AntiVirusOverride"=dword:00000001
"AntiVirusDisableNotify"=dword:00000001
"FirewallDisableNotify"=dword:00000001
"FirewallOverride"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"UacDisableNotify"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
"c:\\Program Files\\Tlen.pl\\tlen.exe"=
"d:\\Program Files\\Activision\\Call of Duty 2\\CoD2MP_s.exe"=
"c:\\Program Files\\GameSpy Arcade\\Aphex.exe"=
"d:\\Program Files\\Call of Duty\\CoDUOMP.exe"=
"d:\\Program Files\\Xfire\\Xfire.exe"=
"d:\\Program Files\\Call of Duty\\CoDMP.exe"=
"d:\\Program Files\\The All-Seeing Eye\\eye.exe"=
"d:\\Program Files\\GameSpy Arcade\\Aphex.exe"=
"d:\\eMule 0.47a\\emule.exe"=
"d:\\Program Files\\eMule\\emule.exe"=
"d:\\Program Files\\Nowy folder\\eMule\\emule.exe"=
"d:\\Gadu-Gadu\\gg.exe"=
"d:\\Program Files\\KONAMI\\Pro Evolution Soccer 6\\PES6.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"d:\\Program Files\\SopCast\\SopCast.exe"=
"c:\\Documents and Settings\\Maciek\\Dane aplikacji\\SopCast\\adv\\SopAdver.exe"=
"d:\\Program Files\\Torrent Searcher 4.0\\giFT\\giFTl.exe"=
"d:\\Program Files\\KONAMI\\Pro Evolution Soccer 5\\PES5.exe"=
"d:\\Program Files\\Team 17\\Worms Armageddon\\wa.exe"=
"d:\\Program Files\\3D Billiards\\billiard.exe"=
"d:\\Program Files\\Activision\\Call of Duty 2\\pb\\PnkBstrA.exe"=
"d:\\Program Files\\Activision\\Call of Duty 2\\pb\\PnkBstrB.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"d:\\Program Files\\Activision\\Call of Duty 2\\pb\\PnkBstrK.sys"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"d:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"c:\\Program Files\\PC Connectivity Solution\\ServiceLayer.exe"=
"c:\\WINDOWS\\system32\\CTHELPER.EXE"=
"c:\\Program Files\\Adobe\\Acrobat 7.0\\Reader\\reader_sl.exe"=
"c:\\Program Files\\PC Connectivity Solution\\Transports\\NclMSBTSrv.exe"=
"d:\\PROGRA~1\\WapSter\\WAPSTE~1\\AQQ.exe"=
"c:\\Program Files\\Elaborate Bytes\\VirtualCloneDrive\\VCDDaemon.exe"=
"c:\\Program Files\\Common Files\\Adobe\\Calibration\\Adobe Gamma Loader.exe"=
"c:\\Program Files\\Microsoft Office\\OFFICE11\\WINWORD.EXE"=
"c:\\WINDOWS\\wt\\updater\\wcmdmgr.exe"=
"c:\\Program Files\\PC Connectivity Solution\\NclInstaller.exe"=
"d:\\Program Files\\Nokia\\Nokia PC Suite 6\\PCSuite.exe"=
"c:\\Program Files\\mozilla.org\\Mozilla\\mozilla.exe"=
R3 ASPI;Advanced SCSI Programming Interface Driver;c:\windows\System32\DRIVERS\ASPI32.sys [2002-07-17 16512]
R3 ATE_PROCMON;ATE_PROCMON; [x]
R3 EverestDriver;Lavalys EVEREST Kernel Driver;d:\program files\Lavalys\EVEREST Home Edition\kerneld.wnt [2005-08-17 7168]
R3 GT72NDISIPXP;GT 72 IP NDIS;c:\windows\system32\DRIVERS\Gt51Ip.sys [2007-11-13 95744]
R3 GT72UBUS;GT 72 U BUS;c:\windows\system32\DRIVERS\gt72ubus.sys [2007-11-13 51968]
R3 GTPTSER;GT PT SER;c:\windows\system32\DRIVERS\gtptser.sys [2007-11-13 8064]
S3 abp470n5;abp470n5; [x]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4295ee74-f299-11dc-af8f-000d874cd12b}]
\Shell\AutoRun\command - F:\m9ma.exe
\Shell\explore\Command - F:\m9ma.exe
\Shell\open\Command - F:\m9ma.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{50899c8c-edfd-11dd-b379-000d874cd12b}]
\Shell\AutoRun\command - F:\iqe68o.bat
\Shell\explore\Command - F:\iqe68o.bat
\Shell\open\Command - F:\iqe68o.bat
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7ae2f2ac-a11a-11dc-ae5d-000d874cd12b}]
\Shell\AutoRun\command - H:\ranvrgn.exe
\Shell\explore\Command - H:\ranvrgn.exe
\Shell\open\Command - H:\ranvrgn.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{86d83ed7-f5d0-11dc-af9c-000d874cd12b}]
\Shell\AutoRun\command - H:\abk.bat
\Shell\explore\Command - H:\abk.bat
\Shell\open\Command - H:\abk.bat
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9ac7ef59-eb81-11dc-af77-000d874cd12b}]
\Shell\AutoRun\command - F:\m9ma.exe
\Shell\explore\Command - F:\m9ma.exe
\Shell\open\Command - F:\m9ma.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a123922e-e31a-11da-a6f8-000d874cd12b}]
\Shell\AutoRun\command - H:\m9ma.exe
\Shell\explore\Command - H:\m9ma.exe
\Shell\open\Command - H:\m9ma.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b0481850-f453-11dc-af97-000d874cd12b}]
\Shell\AutoRun\command - F:\1ogf.exe
\Shell\open\Command - F:\1ogf.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c81a99eb-9dbf-11db-aa42-000d874cd12b}]
\Shell\AutoRun\command - F:\startupcheck.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c9232614-cf8e-11dd-b2a0-000d874cd12b}]
\Shell\AutoRun\command - H:\AutoRunCardDetector.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{dd9c9b5d-8c82-11dc-adeb-000d874cd12b}]
\Shell\AutoRun\command - H:\qquq.bat
\Shell\explore\Command - H:\qquq.bat
\Shell\open\Command - H:\qquq.bat
.
Zawartość folderu 'Zaplanowane zadania'
2009-04-28 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
.
- - - - USUNIĘTO PUSTE WPISY - - - -
HKLM-Run-AT-Watch - (no file)
.
------- Skan uzupełniający -------
.
uStart Page = hxxp://www.google.pl/
uInternet Settings,ProxyServer = 128.176.49.12:8080
uSearchURL,(Default) = hxxp://www.searchgateway.net/search/%s
IE: &Winamp Search - c:\documents and settings\All Users\Dane aplikacji\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
IE: E&ksport do programu Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: {{C5428486-50A0-4a02-9D20-520B59A9F9B3} - {A16AD1E9-F69A-45af-9462-B1C286708842} -
DPF: RaptisoftGameLoader - hxxp://www.miniclip.com/haphazard/raptisoftgameloader.cab
DPF: {083048AE-EECD-4CC5-90A3-BD9B7073BE87} - hxxp://melo.pl/dmanager/launcher.cab
FF - ProfilePath - c:\documents and settings\Maciek\Dane aplikacji\Mozilla\Firefox\Profiles\bguqqmgq.default\
FF - prefs.js: browser.startup.homepage - google.pl
FF - component: c:\documents and settings\Maciek\Dane aplikacji\Mozilla\Firefox\Profiles\bguqqmgq.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f}\components\WinampTBPlayer.dll
FF - plugin: d:\program files\DivX\DivX Web Player\npdivx32.dll
FF - plugin: d:\program files\K-Lite Codec Pack\QuickTime\Plugins\npqtplugin.dll
FF - plugin: d:\program files\K-Lite Codec Pack\QuickTime\Plugins\npqtplugin2.dll
FF - plugin: d:\program files\K-Lite Codec Pack\QuickTime\Plugins\npqtplugin3.dll
FF - plugin: d:\program files\K-Lite Codec Pack\QuickTime\Plugins\npqtplugin4.dll
FF - plugin: d:\program files\K-Lite Codec Pack\QuickTime\Plugins\npqtplugin5.dll
FF - plugin: d:\program files\K-Lite Codec Pack\QuickTime\Plugins\npqtplugin6.dll
FF - plugin: d:\program files\K-Lite Codec Pack\QuickTime\Plugins\npqtplugin7.dll
FF - plugin: d:\program files\K-Lite Codec Pack\QuickTime\Plugins\npqtplugin8.dll
FF - plugin: d:\program files\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll
FF - plugin: d:\program files\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll
FF - plugin: d:\program files\Mozilla Firefox\plugins\npganymedenet.dll
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-29 21:47
Windows 5.1.2600 Dodatek Service Pack 2 NTFS
skanowanie ukrytych procesów ...
skanowanie ukrytych wpisów autostartu ...
skanowanie ukrytych plików ...
skanowanie pomyślnie ukończone
ukryte pliki: 0
**************************************************************************
.
--------------------- ZABLOKOWANE KLUCZE REJESTRU ---------------------
[HKEY_USERS\S-1-5-21-789336058-764733703-682003330-1006\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------
- - - - - - - > 'explorer.exe'(5604)
c:\progra~1\WINDOW~2\wmpband.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
- - - - - - - > 'explorer.exe'(5440)
c:\windows\system32\WPDShServiceObj.dll
d:\program files\Nokia\Nokia PC Suite 6\phonebrowser.dll
d:\program files\Nokia\Nokia PC Suite 6\PCSCM.dll
d:\program files\Nokia\Nokia PC Suite 6\Lang\PhoneBrowser_pol.nlr
d:\program files\Nokia\Nokia PC Suite 6\Resource\PhoneBrowser_Nokia.ngr
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Czas ukończenia: 2009-04-29 21:50
ComboFix-quarantined-files.txt 2009-04-29 19:49
ComboFix2.txt 2009-04-28 17:58
ComboFix3.txt 2009-04-10 12:29
Przed: 850 010 112 bajtów wolnych
Po: 747 958 272 bajtów wolnych
WindowsXP-KB310994-SP2-Home-BootDisk-PLK.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
296 --- E O F --- 2009-04-19 14:22
Leon1
29 Kwiecień 2009 20:22
#12
Wyłącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl
Wylecz pendriva lub kartę pamięci http://www.softpedia.com/get/Security/S … Tool.shtml
Flash Disinfector http://www.searchengines.pl/index.php?s … ntry369724
lub format
zastosuj ATF Cleaner http://cybertrash.pl/images/tata/ATF/ATF.html
Otwórz notatnik i wklej
zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe
Powinno rozpocząć się usuwanie
Potem log z usuwania Combofix
Pedancik
30 Kwiecień 2009 10:21
#13
Pisałem, że problemy 1 i 2 usunąłem. Niestety tylko na chwilę. Dzisiaj znowu mam zablokowanego Menadżera zdań i edycję rejestru, a gdy próbuje go odblokować tym plikiem w formacie .inf to dzieje się to tylko na chwilę.
Leon$ - Zrobiłem to wszystko. Ale tak jak pisałem wyżej zablokowana edycja rejestru blokuje prace ComboFix’a i Flash Disinfector’a.
Dodatkowo, gdy uda mi się szybko wejść w edycję rejestru, to stosując się do
http://forum.idg.pl/bezpieczenstwo_komputera_i_sieci-f84-menedzer_zadan-t31432.html#entry308633
plik DisableTaskMgr zmienia się na “0” ale tylko do momentu zamknięcia okna “Edytowanie wartości DWORD” - potem znów jest na “1”.
Więc… znalazłem się punkcie wyjścia…
Chillout
30 Kwiecień 2009 11:03
#14
Daj log z usuwania Combofix.
Pedancik
30 Kwiecień 2009 11:11
#15
ComboFix 09-04-29.01 - Maciek 2009-04-30 11:50.4 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1250.48.1045.18.511.171 [GMT 2:00]
Uruchomiony z: c:\documents and settings\Maciek\Pulpit\ComboFix.exe
Użyto następujących komend :: c:\documents and settings\Maciek\Pulpit\CFScript.txt
AV: avast! antivirus 4.7.1043 [VPS 000783-1] *On-access scanning enabled* (Updated)
* Utworzono nowy punkt przywracania
FILE ::
C:\[u]0[/u]bcobed.exe.vir
C:\1ogf.exe
C:\a2h2.com
C:\cb.exe
C:\cqxj.exe
C:\gi2ky.exe
C:\hl80c6b1.com
C:\hyetn1i.exe
C:\i.com
C:\luk1ylq.com
C:\o3n9k.com
C:\opgde.exe
C:\q0dhfjf.exe
C:\qphdin.com
C:\ur0.com
C:\w2.com
c:\windows\SE22104F4.tmp
c:\windows\system32\~.exe.vir
c:\windows\system32\amvo3.dll
c:\windows\system32\gasretyw3.dll
c:\windows\system32\vbsdfe1.dll
c:\windows\system32\vbsdfe2.dll
C:\wx8o0bt1.com
C:\xdw.com
F:\1ogf.exe
F:\iqe68o.bat
F:\m9ma.exe
H:\abk.bat
H:\m9ma.exe
H:\qquq.bat
H:\ranvrgn.exe
.
((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\[u]0[/u]bcobed.exe.vir
C:\1ogf.exe
C:\a2h2.com
C:\cb.exe
C:\cqxj.exe
C:\gi2ky.exe
C:\hl80c6b1.com
C:\hyetn1i.exe
C:\i.com
C:\luk1ylq.com
C:\o3n9k.com
C:\opgde.exe
c:\program files\AskSBar
c:\program files\AskSBar\bar\1.bin\A2FFXTBR.JAR
c:\program files\AskSBar\bar\1.bin\A2FFXTBR.MANIFEST
c:\program files\AskSBar\bar\1.bin\A2HIGHIN.EXE
c:\program files\AskSBar\bar\1.bin\A2NTSTBR.JAR
c:\program files\AskSBar\bar\1.bin\A2NTSTBR.MANIFEST
c:\program files\AskSBar\bar\1.bin\A2PLUGIN.DLL
c:\program files\AskSBar\bar\1.bin\ASKSBAR.DLL
c:\program files\AskSBar\bar\1.bin\NPASKSBR.DLL
c:\program files\AskSBar\bar\Cache\[u]0[/u]001DFDB
c:\program files\AskSBar\bar\Cache\[u]0[/u]001ED87
c:\program files\AskSBar\bar\Cache\[u]0[/u]00506CD
c:\program files\AskSBar\bar\Cache\[u]0[/u]006CC1C
c:\program files\AskSBar\bar\Cache\[u]0[/u]00825E0.bin
c:\program files\AskSBar\bar\Cache\[u]0[/u]0082728.bin
c:\program files\AskSBar\bar\Cache\[u]0[/u]0082841.bin
c:\program files\AskSBar\bar\Cache\[u]0[/u]00F74F8
c:\program files\AskSBar\bar\Cache\[u]0[/u]01CCA1E
c:\program files\AskSBar\bar\Cache\[u]0[/u]0260C1C
c:\program files\AskSBar\bar\Cache\[u]0[/u]066C0EE
c:\program files\AskSBar\bar\Cache\[u]0[/u]1DE8CAA
c:\program files\AskSBar\bar\Cache\files.ini
c:\program files\AskSBar\bar\History\search2
c:\program files\AskSBar\bar\Settings\prevcfg2.htm
c:\program files\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL
C:\q0dhfjf.exe
C:\qphdin.com
C:\ur0.com
C:\w2.com
c:\windows\system32\~.exe.vir
c:\windows\system32\amvo3.dll
c:\windows\system32\gasretyw3.dll
c:\windows\system32\vbsdfe1.dll
c:\windows\system32\vbsdfe2.dll
C:\wx8o0bt1.com
C:\xdw.com
c:\windows\SE22104F4.tmp . . . . nie udało się usunąć
.
((((((((((((((((((((((((((((((((((((((( Sterowniki/Usługi )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_ABP470N5
((((((((((((((((((((((((( Pliki utworzone od 2009-05-28 do 2009-4-30 )))))))))))))))))))))))))))))))
.
2009-04-29 16:51 . 2001-10-26 14:57 12160 ----a-w c:\windows\system32\drivers\mouhid.sys
2009-04-29 16:51 . 2001-08-17 20:02 9600 ----a-w c:\windows\system32\drivers\hidusb.sys
2009-04-28 18:04 . 2009-04-28 18:04 2 --shatr c:\windows\winstart.bat
2009-04-28 17:37 . 1998-06-17 22:00 89360 ----a-w c:\windows\system32\VB5DB.DLL
2009-04-27 19:02 . 2009-04-27 19:08 -------- d-----w c:\documents and settings\Maciek\Ustawienia lokalne\Dane aplikacji\Promosoft Corporation
2009-04-27 13:26 . 2009-04-27 13:26 -------- d-----w c:\documents and settings\Maciek\WapSter
2009-04-26 17:05 . 2009-04-26 17:05 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\Tlen.pl
2009-04-22 17:08 . 2009-04-22 17:08 -------- d-----w c:\program files\iPod
2009-04-22 17:08 . 2009-04-22 17:08 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906}
2009-04-22 17:08 . 2009-04-22 17:08 -------- d-----w c:\program files\iTunes
2009-04-22 17:07 . 2009-04-22 17:07 -------- d-----w c:\program files\Bonjour
2009-04-22 17:05 . 2009-04-22 17:05 -------- d-----w c:\program files\Common Files\Apple
2009-04-22 17:02 . 2009-04-22 17:02 -------- d-----w c:\program files\Apple Software Update
2009-04-22 17:02 . 2009-04-22 17:02 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\Apple
2009-04-10 12:44 . 2009-04-10 13:03 -------- d-----w c:\windows\system32\CatRoot_bak
2009-04-10 12:43 . 2008-06-14 18:01 273024 -c----w c:\windows\system32\dllcache\bthport.sys
2009-04-10 12:43 . 2008-06-14 18:01 273024 ------w c:\windows\system32\drivers\bthport.sys
2009-04-06 09:23 . 2009-04-06 09:23 -------- d-----w c:\documents and settings\Maciek\Dane aplikacji\GetRightToGo
.
(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-30 09:54 . 2008-12-30 15:45 0 ------w c:\windows\SE22104F4.tmp
2009-04-30 09:53 . 2006-05-11 19:03 288 ----a-w c:\windows\system32\DVCStateBkp-{00000002-00000000-00000002-00001102-00000002-100A1102}.dat
2009-04-30 09:53 . 2006-05-11 19:03 288 ----a-w c:\windows\system32\DVCState-{00000002-00000000-00000002-00001102-00000002-100A1102}.dat
2009-04-29 10:57 . 2006-05-27 16:46 22824 -c--a-w c:\documents and settings\Maciek\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT
2009-04-28 18:09 . 2006-05-11 18:58 -------- d-----w c:\program files\ScannerU
2009-04-26 17:11 . 2006-05-11 20:24 -------- d-----w c:\program files\Tlen.pl
2009-04-25 12:58 . 2008-02-10 16:05 138384 ----a-w c:\windows\system32\drivers\PnkBstrK.sys
2009-04-25 12:57 . 2008-02-10 16:05 187536 ----a-w c:\windows\system32\PnkBstrB.exe
2009-04-16 12:17 . 2004-08-04 12:00 80444 ----a-w c:\windows\system32\perfc015.dat
2009-04-16 12:17 . 2004-08-04 12:00 460894 ----a-w c:\windows\system32\perfh015.dat
2009-03-06 14:47 . 2004-08-04 12:00 285184 ----a-w c:\windows\system32\pdh.dll
2009-03-03 00:10 . 2004-08-04 12:00 826368 ----a-w c:\windows\system32\wininet.dll
2009-02-20 17:13 . 2004-08-04 12:00 78336 ----a-w c:\windows\system32\ieencode.dll
2009-02-13 14:37 . 2009-02-13 14:37 968021 ----a-w c:\windows\system32\1.scr
2009-02-09 14:19 . 2004-08-04 12:00 1846528 ----a-w c:\windows\system32\win32k.sys
2009-02-09 11:52 . 2004-08-04 00:39 2017280 ----a-w c:\windows\system32\ntkrnlpa.exe
2009-02-09 11:52 . 2004-08-04 12:00 2137600 ----a-w c:\windows\system32\ntoskrnl.exe
2009-02-09 10:22 . 2004-08-04 12:00 725504 ----a-w c:\windows\system32\lsasrv.dll
2009-02-09 10:22 . 2004-08-04 12:00 686080 ----a-w c:\windows\system32\advapi32.dll
2009-02-09 10:22 . 2004-08-04 12:00 399360 ----a-w c:\windows\system32\rpcss.dll
2009-02-09 10:22 . 2004-08-04 12:00 722944 ----a-w c:\windows\system32\ntdll.dll
2009-02-09 10:10 . 2004-08-04 12:00 111104 ----a-w c:\windows\system32\services.exe
2009-02-06 16:54 . 2004-08-04 12:00 35328 ----a-w c:\windows\system32\sc.exe
2009-02-03 20:11 . 2004-08-04 12:00 55808 ----a-w c:\windows\system32\secur32.dll
2007-03-19 18:13 . 2007-04-08 16:59 6492243 -c--a-w c:\program files\frostwire-4.13.1.6.windows.exe
.
((((((((((((((((((((((((((((( SnapShot@2009-04-28_17.56.24 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-04-30 09:53 . 2009-04-30 09:53 16384 c:\windows\temp\Perflib_Perfdata_f38.dat
+ 2009-04-30 09:55 . 2009-04-30 09:55 16384 c:\windows\temp\Perflib_Perfdata_56c.dat
+ 2007-07-04 17:25 . 2009-04-30 09:52 3400 c:\windows\wt\wtupdates\wtupdater\appinfo.dat
- 2007-07-04 17:25 . 2009-04-28 17:54 3400 c:\windows\wt\wtupdates\wtupdater\appinfo.dat
+ 2006-05-11 19:33 . 2009-04-29 06:15 123728 c:\windows\system32\FNTCACHE.DAT
+ 2007-02-05 18:15 . 2006-10-10 12:44 635392 c:\windows\network diagnostic\xpnetdiag.exe
.
((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]
"Nokia.PCSync"="d:\program files\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-11-07 1372160]
c:\documents and settings\All Users\Menu Start\Programy\Autostart\
Adobe Gamma Loader.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2006-9-15 187392]
Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-23 29696]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableTaskMgr"= 1 (0x1)
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"FirewallDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
"UacDisableNotify"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"AntiVirusOverride"=dword:00000001
"AntiVirusDisableNotify"=dword:00000001
"FirewallDisableNotify"=dword:00000001
"FirewallOverride"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"UacDisableNotify"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
"c:\\Program Files\\Tlen.pl\\tlen.exe"=
"d:\\Program Files\\Activision\\Call of Duty 2\\CoD2MP_s.exe"=
"c:\\Program Files\\GameSpy Arcade\\Aphex.exe"=
"d:\\Program Files\\Call of Duty\\CoDUOMP.exe"=
"d:\\Program Files\\Xfire\\Xfire.exe"=
"d:\\Program Files\\Call of Duty\\CoDMP.exe"=
"d:\\Program Files\\The All-Seeing Eye\\eye.exe"=
"d:\\Program Files\\GameSpy Arcade\\Aphex.exe"=
"d:\\eMule 0.47a\\emule.exe"=
"d:\\Program Files\\eMule\\emule.exe"=
"d:\\Program Files\\Nowy folder\\eMule\\emule.exe"=
"d:\\Gadu-Gadu\\gg.exe"=
"d:\\Program Files\\KONAMI\\Pro Evolution Soccer 6\\PES6.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"d:\\Program Files\\SopCast\\SopCast.exe"=
"c:\\Documents and Settings\\Maciek\\Dane aplikacji\\SopCast\\adv\\SopAdver.exe"=
"d:\\Program Files\\Torrent Searcher 4.0\\giFT\\giFTl.exe"=
"d:\\Program Files\\KONAMI\\Pro Evolution Soccer 5\\PES5.exe"=
"d:\\Program Files\\Team 17\\Worms Armageddon\\wa.exe"=
"d:\\Program Files\\3D Billiards\\billiard.exe"=
"d:\\Program Files\\Activision\\Call of Duty 2\\pb\\PnkBstrA.exe"=
"d:\\Program Files\\Activision\\Call of Duty 2\\pb\\PnkBstrB.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"d:\\Program Files\\Activision\\Call of Duty 2\\pb\\PnkBstrK.sys"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"d:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"c:\\Program Files\\PC Connectivity Solution\\ServiceLayer.exe"=
"c:\\WINDOWS\\system32\\CTHELPER.EXE"=
"c:\\Program Files\\Adobe\\Acrobat 7.0\\Reader\\reader_sl.exe"=
"c:\\Program Files\\PC Connectivity Solution\\Transports\\NclMSBTSrv.exe"=
"d:\\PROGRA~1\\WapSter\\WAPSTE~1\\AQQ.exe"=
"c:\\Program Files\\Elaborate Bytes\\VirtualCloneDrive\\VCDDaemon.exe"=
"c:\\Program Files\\Common Files\\Adobe\\Calibration\\Adobe Gamma Loader.exe"=
"c:\\Program Files\\Microsoft Office\\OFFICE11\\WINWORD.EXE"=
"c:\\WINDOWS\\wt\\updater\\wcmdmgr.exe"=
"c:\\Program Files\\PC Connectivity Solution\\NclInstaller.exe"=
"d:\\Program Files\\Nokia\\Nokia PC Suite 6\\PCSuite.exe"=
"c:\\Program Files\\mozilla.org\\Mozilla\\mozilla.exe"=
"d:\\Program Files\\K-Lite Codec Pack\\QuickTime\\QTTask.exe"=
"c:\\DOCUME~1\\Maciek\\USTAWI~1\\Temp\\winjmjl.exe"=
"c:\\DOCUME~1\\Maciek\\USTAWI~1\\Temp\\winahxuls.exe"=
R3 ASPI;Advanced SCSI Programming Interface Driver;c:\windows\System32\DRIVERS\ASPI32.sys [2002-07-17 16512]
R3 ATE_PROCMON;ATE_PROCMON; [x]
R3 EverestDriver;Lavalys EVEREST Kernel Driver;d:\program files\Lavalys\EVEREST Home Edition\kerneld.wnt [2005-08-17 7168]
R3 GT72NDISIPXP;GT 72 IP NDIS;c:\windows\system32\DRIVERS\Gt51Ip.sys [2007-11-13 95744]
R3 GT72UBUS;GT 72 U BUS;c:\windows\system32\DRIVERS\gt72ubus.sys [2007-11-13 51968]
R3 GTPTSER;GT PT SER;c:\windows\system32\DRIVERS\gtptser.sys [2007-11-13 8064]
--- Inne Usługi/Sterowniki w Pamięci ---
*NewlyCreated* - ABP470N5
*NewlyCreated* - IPFILTERDRIVER
.
Zawartość folderu 'Zaplanowane zadania'
2009-04-28 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
.
- - - - USUNIĘTO PUSTE WPISY - - - -
BHO-{0579B4B1-0293-4d73-B02D-5EBB0BA0F0A2} - c:\program files\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL
.
------- Skan uzupełniający -------
.
uStart Page = hxxp://www.google.pl/
uInternet Settings,ProxyServer = 128.176.49.12:8080
uSearchURL,(Default) = hxxp://www.searchgateway.net/search/%s
IE: &Winamp Search - c:\documents and settings\All Users\Dane aplikacji\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
IE: E&ksport do programu Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: {{C5428486-50A0-4a02-9D20-520B59A9F9B3} - {A16AD1E9-F69A-45af-9462-B1C286708842} -
DPF: RaptisoftGameLoader - hxxp://www.miniclip.com/haphazard/raptisoftgameloader.cab
DPF: {083048AE-EECD-4CC5-90A3-BD9B7073BE87} - hxxp://melo.pl/dmanager/launcher.cab
FF - ProfilePath - c:\documents and settings\Maciek\Dane aplikacji\Mozilla\Firefox\Profiles\bguqqmgq.default\
FF - prefs.js: browser.startup.homepage - google.pl
FF - component: c:\documents and settings\Maciek\Dane aplikacji\Mozilla\Firefox\Profiles\bguqqmgq.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f}\components\WinampTBPlayer.dll
FF - plugin: d:\program files\DivX\DivX Web Player\npdivx32.dll
FF - plugin: d:\program files\K-Lite Codec Pack\QuickTime\Plugins\npqtplugin.dll
FF - plugin: d:\program files\K-Lite Codec Pack\QuickTime\Plugins\npqtplugin2.dll
FF - plugin: d:\program files\K-Lite Codec Pack\QuickTime\Plugins\npqtplugin3.dll
FF - plugin: d:\program files\K-Lite Codec Pack\QuickTime\Plugins\npqtplugin4.dll
FF - plugin: d:\program files\K-Lite Codec Pack\QuickTime\Plugins\npqtplugin5.dll
FF - plugin: d:\program files\K-Lite Codec Pack\QuickTime\Plugins\npqtplugin6.dll
FF - plugin: d:\program files\K-Lite Codec Pack\QuickTime\Plugins\npqtplugin7.dll
FF - plugin: d:\program files\K-Lite Codec Pack\QuickTime\Plugins\npqtplugin8.dll
FF - plugin: d:\program files\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll
FF - plugin: d:\program files\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll
FF - plugin: d:\program files\Mozilla Firefox\plugins\npganymedenet.dll
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-30 11:56
Windows 5.1.2600 Dodatek Service Pack 2 NTFS
skanowanie ukrytych procesów ...
skanowanie ukrytych wpisów autostartu ...
skanowanie ukrytych plików ...
skanowanie pomyślnie ukończone
ukryte pliki: 0
**************************************************************************
.
--------------------- ZABLOKOWANE KLUCZE REJESTRU ---------------------
[HKEY_USERS\S-1-5-21-789336058-764733703-682003330-1006\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------
- - - - - - - > 'explorer.exe'(3320)
c:\progra~1\WINDOW~2\wmpband.dll
c:\windows\system32\WPDShServiceObj.dll
d:\program files\Nokia\Nokia PC Suite 6\phonebrowser.dll
d:\program files\Nokia\Nokia PC Suite 6\PCSCM.dll
d:\program files\Nokia\Nokia PC Suite 6\Lang\PhoneBrowser_pol.nlr
d:\program files\Nokia\Nokia PC Suite 6\Resource\PhoneBrowser_Nokia.ngr
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Pozostałe uruchomione procesy ------------------------
.
c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\windows\system32\CTSVCCDA.EXE
c:\program files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\system32\nvsvc32.exe
c:\windows\system32\PnkBstrA.exe
c:\windows\system32\PnkBstrB.exe
d:\program files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
c:\windows\system32\MsPMSPSv.exe
c:\program files\Java\jre1.6.0_01\bin\jusched.exe
c:\windows\wt\updater\wcmdmgr.exe
c:\windows\system32\rundll32.exe
c:\program files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
d:\program files\Spybot - Search & Destroy\TeaTimer.exe
d:\program files\Nokia\Nokia PC Suite 6\PCSuite.exe
c:\program files\PC Connectivity Solution\ServiceLayer.exe
c:\program files\PC Connectivity Solution\Transports\NclMSBTSrv.exe
c:\program files\PC Connectivity Solution\Transports\NclUSBSrv.exe
c:\program files\PC Connectivity Solution\Transports\NclRSSrv.exe
c:\docume~1\Maciek\USTAWI~1\temp\winjmjl.exe
c:\docume~1\Maciek\USTAWI~1\temp\winahxuls.exe
.
**************************************************************************
.
Czas ukończenia: 2009-04-30 12:01 - komputer został uruchomiony ponownie
ComboFix-quarantined-files.txt 2009-04-30 10:01
ComboFix2.txt 2009-04-29 19:50
ComboFix3.txt 2009-04-28 17:58
ComboFix4.txt 2009-04-10 12:29
Przed: 1 469 300 736 bajtów wolnych
Po: 1 042 317 312 bajtów wolnych
330 --- E O F --- 2009-04-19 14:22
system
30 Kwiecień 2009 13:48
#16
W logu:
To działająca usługa wirusa Sality, który infekuje wszystkie pliki exe i dll.
Poczytaj
koles_git
30 Kwiecień 2009 14:07
#17
skoro blokuje ci strony o bezpieczeństwie możesz mieć również robaka kido
http://viruslist.pl/encyclopedia.html?c … d=5323&o=2
Leon1
30 Kwiecień 2009 15:02
#18
Otwórz notatnik i wklej
zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe
Powinno rozpocząć się usuwanie
Potem log z usuwania Combofix
potem skan Kaspersky Virus Removal Tool http://www.searchengines.pl/index.php?s … ntry354381
lub format
Pedancik
30 Kwiecień 2009 16:37
#19
ComboFix 09-04-29.07 - Maciek 2009-04-30 18:13.5 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1250.48.1045.18.511.165 [GMT 2:00]
Uruchomiony z: c:\documents and settings\Maciek\Pulpit\ComboFix.exe
Użyto następujących komend :: c:\documents and settings\Maciek\Pulpit\CFScript.txt
AV: avast! antivirus 4.7.1043 [VPS 000783-1] *On-access scanning enabled* (Updated)
* Utworzono nowy punkt przywracania
FILE ::
c:\docume~1\Maciek\USTAWI~1\temp\winahxuls.exe
c:\docume~1\Maciek\USTAWI~1\temp\winjmjl.exe
c:\windows\SE22104F4.tmp
.
((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\SE22104F4.tmp . . . . nie udało się usunąć
.
((((((((((((((((((((((((((((((((((((((( Sterowniki/Usługi )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_ABP470N5
((((((((((((((((((((((((( Pliki utworzone od 2009-05-28 do 2009-4-30 )))))))))))))))))))))))))))))))
.
2009-04-29 16:51 . 2001-10-26 14:57 12160 ----a-w c:\windows\system32\drivers\mouhid.sys
2009-04-29 16:51 . 2001-08-17 20:02 9600 ----a-w c:\windows\system32\drivers\hidusb.sys
2009-04-28 18:04 . 2009-04-28 18:04 2 --shatr c:\windows\winstart.bat
2009-04-28 17:37 . 1998-06-17 22:00 89360 ----a-w c:\windows\system32\VB5DB.DLL
2009-04-27 19:02 . 2009-04-27 19:08 -------- d-----w c:\documents and settings\Maciek\Ustawienia lokalne\Dane aplikacji\Promosoft Corporation
2009-04-27 13:26 . 2009-04-27 13:26 -------- d-----w c:\documents and settings\Maciek\WapSter
2009-04-26 17:05 . 2009-04-26 17:05 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\Tlen.pl
2009-04-22 17:08 . 2009-04-22 17:08 -------- d-----w c:\program files\iPod
2009-04-22 17:08 . 2009-04-22 17:08 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906}
2009-04-22 17:08 . 2009-04-22 17:08 -------- d-----w c:\program files\iTunes
2009-04-22 17:07 . 2009-04-22 17:07 -------- d-----w c:\program files\Bonjour
2009-04-22 17:05 . 2009-04-22 17:05 -------- d-----w c:\program files\Common Files\Apple
2009-04-22 17:02 . 2009-04-22 17:02 -------- d-----w c:\program files\Apple Software Update
2009-04-22 17:02 . 2009-04-22 17:02 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\Apple
2009-04-10 12:44 . 2009-04-10 13:03 -------- d-----w c:\windows\system32\CatRoot_bak
2009-04-10 12:43 . 2008-06-14 18:01 273024 -c----w c:\windows\system32\dllcache\bthport.sys
2009-04-10 12:43 . 2008-06-14 18:01 273024 ------w c:\windows\system32\drivers\bthport.sys
2009-04-06 09:23 . 2009-04-06 09:23 -------- d-----w c:\documents and settings\Maciek\Dane aplikacji\GetRightToGo
.
(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-30 16:17 . 2009-04-30 16:17 0 ------w c:\windows\SE22104F4.tmp
2009-04-30 16:16 . 2006-05-11 19:03 288 ----a-w c:\windows\system32\DVCStateBkp-{00000002-00000000-00000002-00001102-00000002-100A1102}.dat
2009-04-30 16:16 . 2006-05-11 19:03 288 ----a-w c:\windows\system32\DVCState-{00000002-00000000-00000002-00001102-00000002-100A1102}.dat
2009-04-29 10:57 . 2006-05-27 16:46 22824 -c--a-w c:\documents and settings\Maciek\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT
2009-04-28 18:09 . 2006-05-11 18:58 -------- d-----w c:\program files\ScannerU
2009-04-26 17:11 . 2006-05-11 20:24 -------- d-----w c:\program files\Tlen.pl
2009-04-25 12:58 . 2008-02-10 16:05 138384 ----a-w c:\windows\system32\drivers\PnkBstrK.sys
2009-04-25 12:57 . 2008-02-10 16:05 187536 ----a-w c:\windows\system32\PnkBstrB.exe
2009-04-16 12:17 . 2004-08-04 12:00 80444 ----a-w c:\windows\system32\perfc015.dat
2009-04-16 12:17 . 2004-08-04 12:00 460894 ----a-w c:\windows\system32\perfh015.dat
2009-03-06 14:47 . 2004-08-04 12:00 285184 ----a-w c:\windows\system32\pdh.dll
2009-03-03 00:10 . 2004-08-04 12:00 826368 ----a-w c:\windows\system32\wininet.dll
2009-02-20 17:13 . 2004-08-04 12:00 78336 ----a-w c:\windows\system32\ieencode.dll
2009-02-13 14:37 . 2009-02-13 14:37 968021 ----a-w c:\windows\system32\1.scr
2009-02-09 14:19 . 2004-08-04 12:00 1846528 ----a-w c:\windows\system32\win32k.sys
2009-02-09 11:52 . 2004-08-04 00:39 2017280 ----a-w c:\windows\system32\ntkrnlpa.exe
2009-02-09 11:52 . 2004-08-04 12:00 2137600 ----a-w c:\windows\system32\ntoskrnl.exe
2009-02-09 10:22 . 2004-08-04 12:00 725504 ----a-w c:\windows\system32\lsasrv.dll
2009-02-09 10:22 . 2004-08-04 12:00 686080 ----a-w c:\windows\system32\advapi32.dll
2009-02-09 10:22 . 2004-08-04 12:00 399360 ----a-w c:\windows\system32\rpcss.dll
2009-02-09 10:22 . 2004-08-04 12:00 722944 ----a-w c:\windows\system32\ntdll.dll
2009-02-09 10:10 . 2004-08-04 12:00 111104 ----a-w c:\windows\system32\services.exe
2009-02-06 16:54 . 2004-08-04 12:00 35328 ----a-w c:\windows\system32\sc.exe
2009-02-03 20:11 . 2004-08-04 12:00 55808 ----a-w c:\windows\system32\secur32.dll
2007-03-19 18:13 . 2007-04-08 16:59 6492243 -c--a-w c:\program files\frostwire-4.13.1.6.windows.exe
.
((((((((((((((((((((((((((((( SnapShot@2009-04-28_17.56.24 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-04-30 16:18 . 2009-04-30 16:18 16384 c:\windows\temp\Perflib_Perfdata_d0.dat
+ 2007-07-04 17:25 . 2009-04-30 16:11 3400 c:\windows\wt\wtupdates\wtupdater\appinfo.dat
- 2007-07-04 17:25 . 2009-04-28 17:54 3400 c:\windows\wt\wtupdates\wtupdater\appinfo.dat
+ 2006-05-11 19:33 . 2009-04-29 06:15 123728 c:\windows\system32\FNTCACHE.DAT
+ 2007-02-05 18:15 . 2006-10-10 12:44 635392 c:\windows\network diagnostic\xpnetdiag.exe
.
((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4
c:\documents and settings\All Users\Menu Start\Programy\Autostart\
Adobe Gamma Loader.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2006-9-15 187392]
Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-23 29696]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableTaskMgr"= 1 (0x1)
"DisableRegistryTools"= 1 (0x1)
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"FirewallDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
"UacDisableNotify"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"AntiVirusOverride"=dword:00000001
"AntiVirusDisableNotify"=dword:00000001
"FirewallDisableNotify"=dword:00000001
"FirewallOverride"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"UacDisableNotify"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
"c:\\Program Files\\Tlen.pl\\tlen.exe"=
"d:\\Program Files\\Activision\\Call of Duty 2\\CoD2MP_s.exe"=
"c:\\Program Files\\GameSpy Arcade\\Aphex.exe"=
"d:\\Program Files\\Call of Duty\\CoDUOMP.exe"=
"d:\\Program Files\\Xfire\\Xfire.exe"=
"d:\\Program Files\\Call of Duty\\CoDMP.exe"=
"d:\\Program Files\\The All-Seeing Eye\\eye.exe"=
"d:\\Program Files\\GameSpy Arcade\\Aphex.exe"=
"d:\\eMule 0.47a\\emule.exe"=
"d:\\Program Files\\eMule\\emule.exe"=
"d:\\Program Files\\Nowy folder\\eMule\\emule.exe"=
"d:\\Gadu-Gadu\\gg.exe"=
"d:\\Program Files\\KONAMI\\Pro Evolution Soccer 6\\PES6.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"d:\\Program Files\\SopCast\\SopCast.exe"=
"c:\\Documents and Settings\\Maciek\\Dane aplikacji\\SopCast\\adv\\SopAdver.exe"=
"d:\\Program Files\\Torrent Searcher 4.0\\giFT\\giFTl.exe"=
"d:\\Program Files\\KONAMI\\Pro Evolution Soccer 5\\PES5.exe"=
"d:\\Program Files\\Team 17\\Worms Armageddon\\wa.exe"=
"d:\\Program Files\\3D Billiards\\billiard.exe"=
"d:\\Program Files\\Activision\\Call of Duty 2\\pb\\PnkBstrA.exe"=
"d:\\Program Files\\Activision\\Call of Duty 2\\pb\\PnkBstrB.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"d:\\Program Files\\Activision\\Call of Duty 2\\pb\\PnkBstrK.sys"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"d:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"c:\\Program Files\\PC Connectivity Solution\\ServiceLayer.exe"=
"c:\\WINDOWS\\system32\\CTHELPER.EXE"=
"c:\\Program Files\\Adobe\\Acrobat 7.0\\Reader\\reader_sl.exe"=
"c:\\Program Files\\PC Connectivity Solution\\Transports\\NclMSBTSrv.exe"=
"d:\\PROGRA~1\\WapSter\\WAPSTE~1\\AQQ.exe"=
"c:\\Program Files\\Elaborate Bytes\\VirtualCloneDrive\\VCDDaemon.exe"=
"c:\\Program Files\\Common Files\\Adobe\\Calibration\\Adobe Gamma Loader.exe"=
"c:\\Program Files\\Microsoft Office\\OFFICE11\\WINWORD.EXE"=
"c:\\WINDOWS\\wt\\updater\\wcmdmgr.exe"=
"c:\\Program Files\\PC Connectivity Solution\\NclInstaller.exe"=
"d:\\Program Files\\Nokia\\Nokia PC Suite 6\\PCSuite.exe"=
"c:\\Program Files\\mozilla.org\\Mozilla\\mozilla.exe"=
"d:\\Program Files\\K-Lite Codec Pack\\QuickTime\\QTTask.exe"=
"c:\\Program Files\\Java\\jre1.6.0_01\\bin\\jusched.exe"=
"c:\\DOCUME~1\\Maciek\\USTAWI~1\\Temp\\winegrq.exe"=
"c:\\DOCUME~1\\Maciek\\USTAWI~1\\Temp\\winswkyx.exe"=
R3 ASPI;Advanced SCSI Programming Interface Driver;c:\windows\System32\DRIVERS\ASPI32.sys [2002-07-17 16512]
R3 ATE_PROCMON;ATE_PROCMON; [x]
R3 EverestDriver;Lavalys EVEREST Kernel Driver;d:\program files\Lavalys\EVEREST Home Edition\kerneld.wnt [2005-08-17 7168]
R3 GT72NDISIPXP;GT 72 IP NDIS;c:\windows\system32\DRIVERS\Gt51Ip.sys [2007-11-13 95744]
R3 GT72UBUS;GT 72 U BUS;c:\windows\system32\DRIVERS\gt72ubus.sys [2007-11-13 51968]
R3 GTPTSER;GT PT SER;c:\windows\system32\DRIVERS\gtptser.sys [2007-11-13 8064]
--- Inne Usługi/Sterowniki w Pamięci ---
*NewlyCreated* - ABP470N5
*NewlyCreated* - IPFILTERDRIVER
.
Zawartość folderu 'Zaplanowane zadania'
2009-04-28 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
.
.
------- Skan uzupełniający -------
.
uStart Page = hxxp://www.google.pl/
uInternet Settings,ProxyServer = 128.176.49.12:8080
uSearchURL,(Default) = hxxp://www.searchgateway.net/search/%s
IE: &Winamp Search - c:\documents and settings\All Users\Dane aplikacji\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
IE: E&ksport do programu Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: {{C5428486-50A0-4a02-9D20-520B59A9F9B3} - {A16AD1E9-F69A-45af-9462-B1C286708842} -
DPF: RaptisoftGameLoader - hxxp://www.miniclip.com/haphazard/raptisoftgameloader.cab
DPF: {083048AE-EECD-4CC5-90A3-BD9B7073BE87} - hxxp://melo.pl/dmanager/launcher.cab
FF - ProfilePath - c:\documents and settings\Maciek\Dane aplikacji\Mozilla\Firefox\Profiles\bguqqmgq.default\
FF - prefs.js: browser.startup.homepage - google.pl
FF - component: c:\documents and settings\Maciek\Dane aplikacji\Mozilla\Firefox\Profiles\bguqqmgq.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f}\components\WinampTBPlayer.dll
FF - plugin: d:\program files\DivX\DivX Web Player\npdivx32.dll
FF - plugin: d:\program files\K-Lite Codec Pack\QuickTime\Plugins\npqtplugin.dll
FF - plugin: d:\program files\K-Lite Codec Pack\QuickTime\Plugins\npqtplugin2.dll
FF - plugin: d:\program files\K-Lite Codec Pack\QuickTime\Plugins\npqtplugin3.dll
FF - plugin: d:\program files\K-Lite Codec Pack\QuickTime\Plugins\npqtplugin4.dll
FF - plugin: d:\program files\K-Lite Codec Pack\QuickTime\Plugins\npqtplugin5.dll
FF - plugin: d:\program files\K-Lite Codec Pack\QuickTime\Plugins\npqtplugin6.dll
FF - plugin: d:\program files\K-Lite Codec Pack\QuickTime\Plugins\npqtplugin7.dll
FF - plugin: d:\program files\K-Lite Codec Pack\QuickTime\Plugins\npqtplugin8.dll
FF - plugin: d:\program files\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll
FF - plugin: d:\program files\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll
FF - plugin: d:\program files\Mozilla Firefox\plugins\npganymedenet.dll
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-30 18:18
Windows 5.1.2600 Dodatek Service Pack 2 NTFS
skanowanie ukrytych procesów ...
skanowanie ukrytych wpisów autostartu ...
skanowanie ukrytych plików ...
skanowanie pomyślnie ukończone
ukryte pliki: 0
**************************************************************************
.
--------------------- ZABLOKOWANE KLUCZE REJESTRU ---------------------
[HKEY_USERS\S-1-5-21-789336058-764733703-682003330-1006\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------
- - - - - - - > 'explorer.exe'(3384)
c:\progra~1\WINDOW~2\wmpband.dll
c:\windows\system32\WPDShServiceObj.dll
d:\program files\Nokia\Nokia PC Suite 6\phonebrowser.dll
d:\program files\Nokia\Nokia PC Suite 6\PCSCM.dll
d:\program files\Nokia\Nokia PC Suite 6\Lang\PhoneBrowser_pol.nlr
d:\program files\Nokia\Nokia PC Suite 6\Resource\PhoneBrowser_Nokia.ngr
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Pozostałe uruchomione procesy ------------------------
.
c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\windows\system32\CTSVCCDA.EXE
c:\program files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\system32\nvsvc32.exe
c:\windows\system32\PnkBstrA.exe
c:\windows\system32\PnkBstrB.exe
d:\program files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
c:\windows\system32\MsPMSPSv.exe
c:\program files\Java\jre1.6.0_01\bin\jusched.exe
c:\windows\wt\updater\wcmdmgr.exe
c:\windows\system32\rundll32.exe
c:\program files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
d:\program files\Spybot - Search & Destroy\TeaTimer.exe
d:\program files\Nokia\Nokia PC Suite 6\PCSuite.exe
c:\program files\PC Connectivity Solution\ServiceLayer.exe
c:\program files\PC Connectivity Solution\Transports\NclMSBTSrv.exe
c:\program files\PC Connectivity Solution\Transports\NclUSBSrv.exe
c:\program files\PC Connectivity Solution\Transports\NclRSSrv.exe
c:\docume~1\Maciek\USTAWI~1\temp\winegrq.exe
c:\docume~1\Maciek\USTAWI~1\temp\winswkyx.exe
.
**************************************************************************
.
Czas ukończenia: 2009-04-30 18:24 - komputer został uruchomiony ponownie
ComboFix-quarantined-files.txt 2009-04-30 16:24
ComboFix2.txt 2009-04-30 10:01
ComboFix3.txt 2009-04-29 19:50
ComboFix4.txt 2009-04-28 17:58
ComboFix5.txt 2009-04-30 16:11
Przed: 449 437 696 bajtów wolnych
Po: 349 937 664 bajtów wolnych
251 --- E O F --- 2009-04-19 14:22
Programu Kaspersky Virus Removal Tool nie mogę pobrać, podejrzewam, że ten wirus blokuje. Spróbuje wieczorem, jak będę miał dostęp do drugiego komputera.
Leon1
30 Kwiecień 2009 19:39
#20
widzę że nic z tego nie wychodzi
1.format wszystkich dysków i partycji bez wyjątku
2.instalacja nowego systemu nie wolno stosować instalek i sterowników będących wcześniej na zainfekowanym dysku
3.instalacja dobrego antywirusa np.Kaspersky Anti-Virus http://www.kaspersky.pl/download.html?s=trial
