"Wystąpił problem z aplikacją(...)" i nie tylko


(Miodekopi) #1

Witam.

Ostatnio mam problemy z komputerem. Sądzę, że mam jakiegoś robaka, ale moja wiedza informatyczna jest niewystarczająca by się go pozbyć. Postaram się opisać objawy:

1. Zaczęło się, nie mogę uruchomić menedżera zadań. Pojawia się następujący komunikat:

meneder.jpg

Przecież, to ja jestem administratorem i niczego nie wyłączałem.

2. Wyczytałem gdzieś, że by usunąć problem nr. 1 trzeba pogrzebać w rejestrze. Tyle tylko, że gdy próbuję włączyć rejestr, dostaję prawie identyczną wiadomość:

rejestr.jpg

3. Kolejny problem (chyba najgorszy) jest taki, że nie mogę uruchomić praktycznie żadnej aplikacji, bo dostaję:

aplikacja.jpg

Dzieje się tak nawet, gdy chcę uruchomić "Microsoft Office Picture Manager".

4. Po uruchomieniu systemu i zalogowaniu się na swoje konto na "dzień dobry" dostaję taki miły szereg błędów:

start.th.jpg

To na razie byłoby tyle problemów... Błagam o pomoc, bo póki co na kompie działa mi tylko przeglądarka i Paint...

Proszę pisać w miarę możliwości "po polsku" :slight_smile:


(bober370) #2

linki jak odblokować rejestr ( polecam drugim link)

http://komputery.katalogi.pl/Edycja_rej ... 14716.html

viewtopic.php?t=223138


(Miodekopi) #3

Nie za bardzo mi te tematy pomogły... Trojan Remover natrafiając na niełatwe pliki po prostu wyświetla błąd i się zawiesza... Pomocy! :x


(Toffik325) #4
  1. Zaktualizuj system

  2. Dr. WEB CureIt!

  3. NOD32 4.0 + Zaktualizuj bazę i skan

Powodzenia życzę :slight_smile:


(Bedlam) #5

spybot s&d (search and destroy) automatycznie powinien to zalatwic, u mnie 2 problem usunal a jak widze reszte tez powinien :slight_smile: pozrawiam

jak cos pisz bedziemy myslec dalej


(Toffik325) #6

Ale skoro system nie jest aktualny i posiada dziury, to zaraz może być kolejny atak, radziłbym uaktualnić ;]


(Miodekopi) #7

Próbowałem już wszystkich porad i...

Programów Dr. WEB CureIt! i NOD32 4.0 nawet nie mogę pobrać. Próbowałem z różnych stron przez Mozillę Firefox i Interner Explorer ale przez około 20 minut które odczekałem, cały czas 0% albo napis "Rozpoczynanie..."

Spybot'a udało mi się pobrać i nawet zainstalować. Ale to co działo się później, to się chyba nawet fizjologom nie śniło... Za pierwszą próbą uruchomienia komputer po prostu się zresetował bez żadnych komunikatów, a po zalogowaniu dostałem około 30 razy wiadomość: "System Windows gotowy po poważnym błędzie" (czy jakoś tak). A gdy uruchamiam Spybot'a ponownie, to początkowo się ładuje, a potem przestaje, jakby jakaś obca siła go blokowała... Mam go widocznego tylko na pasku zadań (obok zegara) i jak nakieruje to jest napisane: "120476 procesy na czarnej liście; 283740 known ratings available". (Coś chyba za dużo)

System mam zaktualizowany

I tak czuję, że chyba bez formata się nie obejdzie... :frowning:


(Olixxx94) #8

Pedancik , daj log z Combofix.


(bober370) #9

Skopiuj ponizszy kod do notatnika i zapiszcie w formacie .inf

; Aby odblokować edytor Rejestru - Regedit należy zaznaczyć

; plik inf w eksploratorze, otworzyć menu kontekstowe pliku

; (prawy klawisz myszy lub Shift+F10)

; i wybrać opcję "Zainstaluj"

; © Copyright 2004

; by Piotr Palusiński

[version]

signature="$CHICAGO$"

[DefaultInstall]

DelReg = Del_DisableRegistryTools.Reg

[Del_DisableRegistryTools.Reg]

HKCU,%Location%,DisableRegistryTools

HKCU,%Location%,DisableRegedit

HKLM,%Location%,DisableRegistryTools

HKLM,%Location%,DisableRegedit

[strings]

Location="SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System"

Następnie na plik klinnij prawym przyciskiem myszki i naciśnij zainstaluj,

Edycja rejestru zostanie odblokowana


(Toffik325) #10

Mi to wygląda dziwnie. Objawy podobne jak Conficker - nie można wchodzić na www.eset.pl, www.microsoft.pl i inne przydatne strony. Czyżby nowa wersja ruszyła? Spróbuj wejść na www.microsoft.com


(Miodekopi) #11

Już lepiej... Problemy 1 i 2 usunięte.

loltoFFik - To chyba nie to, bo strony się bez problemu otwierają...

Olcia - Proszę:

ComboFix 09-04-29.01 - Maciek 2009-04-29 21:45.3 - NTFSx86

Microsoft Windows XP Home Edition 5.1.2600.2.1250.48.1045.18.511.256 [GMT 2:00]

Uruchomiony z: c:\documents and settings\Maciek\Pulpit\ComboFix.exe

AV: avast! antivirus 4.7.1043 [VPS 000783-1] *On-access scanning enabled* (Updated)

 * Utworzono nowy punkt przywracania

.


((((((((((((((((((((((((( Pliki utworzone od 2009-05-28 do 2009-4-29 )))))))))))))))))))))))))))))))

.


2009-04-29 16:51 . 2001-10-26 14:57	12160	----a-w	c:\windows\system32\drivers\mouhid.sys

2009-04-29 16:51 . 2001-08-17 20:02	9600	----a-w	c:\windows\system32\drivers\hidusb.sys

2009-04-28 18:04 . 2009-04-28 18:04	2	--shatr	c:\windows\winstart.bat

2009-04-28 17:37 . 1998-06-17 22:00	89360	----a-w	c:\windows\system32\VB5DB.DLL

2009-04-27 19:02 . 2009-04-27 19:08	--------	d-----w	c:\documents and settings\Maciek\Ustawienia lokalne\Dane aplikacji\Promosoft Corporation

2009-04-27 13:26 . 2009-04-27 13:26	--------	d-----w	c:\documents and settings\Maciek\WapSter

2009-04-26 17:05 . 2009-04-26 17:05	--------	d-----w	c:\documents and settings\All Users\Dane aplikacji\Tlen.pl

2009-04-26 15:23 . 2009-04-26 15:23	7168	----a-w	c:\windows\system32\~.exe.vir

2009-04-22 17:08 . 2009-04-22 17:08	--------	d-----w	c:\program files\iPod

2009-04-22 17:08 . 2009-04-22 17:08	--------	d-----w	c:\documents and settings\All Users\Dane aplikacji\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906}

2009-04-22 17:08 . 2009-04-22 17:08	--------	d-----w	c:\program files\iTunes

2009-04-22 17:07 . 2009-04-22 17:07	--------	d-----w	c:\program files\Bonjour

2009-04-22 17:05 . 2009-04-22 17:05	--------	d-----w	c:\program files\Common Files\Apple

2009-04-22 17:02 . 2009-04-22 17:02	--------	d-----w	c:\program files\Apple Software Update

2009-04-22 17:02 . 2009-04-22 17:02	--------	d-----w	c:\documents and settings\All Users\Dane aplikacji\Apple

2009-04-10 12:44 . 2009-04-10 13:03	--------	d-----w	c:\windows\system32\CatRoot_bak

2009-04-10 12:43 . 2008-06-14 18:01	273024	-c----w	c:\windows\system32\dllcache\bthport.sys

2009-04-10 12:43 . 2008-06-14 18:01	273024	------w	c:\windows\system32\drivers\bthport.sys

2009-04-06 18:55 . 2009-04-10 06:32	110321	--sh--r	C:\1ogf.exe

2009-04-06 09:23 . 2009-04-06 09:23	--------	d-----w	c:\documents and settings\Maciek\Dane aplikacji\GetRightToGo

2009-04-02 17:45 . 2009-04-03 19:32	110157	--sh--r	C:\cqxj.exe

2009-04-01 15:30 . 2009-04-02 10:24	108083	------w	C:\o3n9k.com


.

(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-04-29 10:57 . 2006-05-27 16:46	22824	-c--a-w	c:\documents and settings\Maciek\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT

2009-04-29 06:38 . 2006-05-11 19:03	288	----a-w	c:\windows\system32\DVCStateBkp-{00000002-00000000-00000002-00001102-00000002-100A1102}.dat

2009-04-29 06:38 . 2006-05-11 19:03	288	----a-w	c:\windows\system32\DVCState-{00000002-00000000-00000002-00001102-00000002-100A1102}.dat

2009-04-28 18:09 . 2006-05-11 18:58	--------	d-----w	c:\program files\ScannerU

2009-04-26 17:11 . 2006-05-11 20:24	--------	d-----w	c:\program files\Tlen.pl

2009-04-25 12:58 . 2008-02-10 16:05	138384	----a-w	c:\windows\system32\drivers\PnkBstrK.sys

2009-04-25 12:57 . 2008-02-10 16:05	187536	----a-w	c:\windows\system32\PnkBstrB.exe

2009-04-16 12:17 . 2004-08-04 12:00	80444	----a-w	c:\windows\system32\perfc015.dat

2009-04-16 12:17 . 2004-08-04 12:00	460894	----a-w	c:\windows\system32\perfh015.dat

2009-04-09 13:52 . 2009-01-01 17:18	85504	--sh--r	c:\windows\system32\vbsdfe1.dll

2009-03-31 14:31 . 2009-03-29 07:11	108693	----a-w	C:\[u]0[/u]bcobed.exe.vir

2009-03-18 13:51 . 2009-03-18 13:51	110053	--sh--r	C:\q0dhfjf.exe

2009-03-16 13:59 . 2009-03-16 12:58	111363	--sh--r	C:\luk1ylq.com

2009-03-13 11:41 . 2009-03-12 15:33	108968	--sh--r	C:\xdw.com

2009-03-11 19:04 . 2009-03-11 12:22	107190	--sh--r	C:\cb.exe

2009-03-07 17:24 . 2009-03-07 17:24	108446	--sh--r	C:\i.com

2009-03-06 14:47 . 2004-08-04 12:00	285184	----a-w	c:\windows\system32\pdh.dll

2009-03-03 00:10 . 2004-08-04 12:00	826368	----a-w	c:\windows\system32\wininet.dll

2009-02-28 11:04 . 2009-02-27 16:17	108843	--sh--r	C:\gi2ky.exe

2009-02-26 09:58 . 2009-02-26 09:44	103663	--sh--r	C:\wx8o0bt1.com

2009-02-20 17:13 . 2004-08-04 12:00	78336	----a-w	c:\windows\system32\ieencode.dll

2009-02-20 13:22 . 2009-02-20 13:21	106970	--sh--r	C:\w2.com

2009-02-17 15:03 . 2009-02-17 09:26	107564	--sh--r	C:\hyetn1i.exe

2009-02-15 10:58 . 2009-02-15 10:58	106803	--sh--r	C:\qphdin.com

2009-02-14 21:12 . 2009-02-12 17:46	107898	--sh--r	C:\ur0.com

2009-02-13 14:37 . 2009-02-13 14:37	968021	----a-w	c:\windows\system32\1.scr

2009-02-12 10:44 . 2009-02-10 14:56	108067	--sh--r	C:\opgde.exe

2009-02-09 14:19 . 2004-08-04 12:00	1846528	----a-w	c:\windows\system32\win32k.sys

2009-02-09 11:52 . 2004-08-04 00:39	2017280	----a-w	c:\windows\system32\ntkrnlpa.exe

2009-02-09 11:52 . 2004-08-04 12:00	2137600	----a-w	c:\windows\system32\ntoskrnl.exe

2009-02-09 10:22 . 2004-08-04 12:00	725504	----a-w	c:\windows\system32\lsasrv.dll

2009-02-09 10:22 . 2004-08-04 12:00	686080	----a-w	c:\windows\system32\advapi32.dll

2009-02-09 10:22 . 2004-08-04 12:00	399360	----a-w	c:\windows\system32\rpcss.dll

2009-02-09 10:22 . 2004-08-04 12:00	722944	----a-w	c:\windows\system32\ntdll.dll

2009-02-09 10:10 . 2004-08-04 12:00	111104	----a-w	c:\windows\system32\services.exe

2009-02-06 16:54 . 2004-08-04 12:00	35328	----a-w	c:\windows\system32\sc.exe

2009-02-03 20:11 . 2004-08-04 12:00	55808	----a-w	c:\windows\system32\secur32.dll

2009-01-31 15:17 . 2009-01-31 15:18	109930	--sh--r	C:\a2h2.com

2009-01-30 16:39 . 2009-01-30 16:24	109127	--sh--r	C:\hl80c6b1.com

2007-03-19 18:13 . 2007-04-08 16:59	6492243	-c--a-w	c:\program files\frostwire-4.13.1.6.windows.exe

2008-12-30 15:45 . 2008-12-30 15:45	0	--sh--w	c:\windows\SE22104F4.tmp

2008-09-07 15:34 . 2008-09-07 15:34	84992	--sh--r	c:\windows\system32\amvo3.dll

2008-11-25 21:05 . 2008-11-25 21:05	85504	--sh--r	c:\windows\system32\gasretyw3.dll

2008-12-23 23:39 . 2008-12-19 21:47	85504	--sh--r	c:\windows\system32\vbsdfe2.dll

.


((((((((((((((((((((((((((((( SnapShot@2009-04-28_17.56.24 )))))))))))))))))))))))))))))))))))))))))

.

+ 2007-07-04 17:25 . 2009-04-29 19:45	3400 c:\windows\wt\wtupdates\wtupdater\appinfo.dat

- 2007-07-04 17:25 . 2009-04-28 17:54	3400 c:\windows\wt\wtupdates\wtupdater\appinfo.dat

+ 2006-05-11 19:33 . 2009-04-29 06:15	123728 c:\windows\system32\FNTCACHE.DAT

+ 2007-02-05 18:15 . 2006-10-10 12:44	635392 c:\windows\network diagnostic\xpnetdiag.exe

.

((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane  

REGEDIT4


[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0579B4B1-0293-4d73-B02D-5EBB0BA0F0A2}]

2008-03-09 04:06	66912	----a-w	c:\program files\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]

"AQQ"="d:\progra~1\WapSter\WAPSTE~1\AQQ.exe" [2009-02-25 4879360]

"SpybotSD TeaTimer"="d:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2008-07-07 2234192]

"PC Suite Tray"="d:\program files\Nokia\Nokia PC Suite 6\PCSuite.exe" [2007-12-10 765440]


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Jet Detection"="c:\program files\Creative\SBLive\PROGRAM\ADGJDet.exe" [2001-11-28 28672]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-10-07 13574144]

"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 83608]

"wcmdmgr"="c:\windows\wt\updater\wcmdmgrl.exe" [2003-09-23 20480]

"avast!"="d:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2007-09-06 79224]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-10-07 86016]

"CloneCDTray"="c:\program files\SlySoft\CloneCD\CloneCDTray.exe" [2003-10-26 131072]

"VirtualCloneDrive"="c:\program files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" [2006-04-29 94208]

"QuickTime Task"="d:\program files\K-Lite Codec Pack\QuickTime\QTTask.exe" [2009-01-05 491520]

"CTHelper"="CTHELPER.EXE" - c:\windows\system32\CTHELPER.EXE [2003-08-28 24576]

"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2006-03-09 1589248]


[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

"Nokia.PCSync"="d:\program files\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-11-07 1372160]


c:\documents and settings\All Users\Menu Start\Programy\Autostart\

Adobe Gamma Loader.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2006-9-15 187392]

Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-23 29696]


[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\system]

"DisableTaskMgr"= 1 (0x1)

"DisableRegistryTools"= 1 (0x1)


[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusDisableNotify"=dword:00000001

"UpdatesDisableNotify"=dword:00000001

"AntiVirusOverride"=dword:00000001

"FirewallOverride"=dword:00000001

"UacDisableNotify"=dword:00000001


[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]

"AntiVirusOverride"=dword:00000001

"AntiVirusDisableNotify"=dword:00000001

"FirewallDisableNotify"=dword:00000001

"FirewallOverride"=dword:00000001

"UpdatesDisableNotify"=dword:00000001

"UacDisableNotify"=dword:00000001


[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)


[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\eMule\\emule.exe"=

"c:\\Program Files\\Tlen.pl\\tlen.exe"=

"d:\\Program Files\\Activision\\Call of Duty 2\\CoD2MP_s.exe"=

"c:\\Program Files\\GameSpy Arcade\\Aphex.exe"=

"d:\\Program Files\\Call of Duty\\CoDUOMP.exe"=

"d:\\Program Files\\Xfire\\Xfire.exe"=

"d:\\Program Files\\Call of Duty\\CoDMP.exe"=

"d:\\Program Files\\The All-Seeing Eye\\eye.exe"=

"d:\\Program Files\\GameSpy Arcade\\Aphex.exe"=

"d:\\eMule 0.47a\\emule.exe"=

"d:\\Program Files\\eMule\\emule.exe"=

"d:\\Program Files\\Nowy folder\\eMule\\emule.exe"=

"d:\\Gadu-Gadu\\gg.exe"=

"d:\\Program Files\\KONAMI\\Pro Evolution Soccer 6\\PES6.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=

"d:\\Program Files\\SopCast\\SopCast.exe"=

"c:\\Documents and Settings\\Maciek\\Dane aplikacji\\SopCast\\adv\\SopAdver.exe"=

"d:\\Program Files\\Torrent Searcher 4.0\\giFT\\giFTl.exe"=

"d:\\Program Files\\KONAMI\\Pro Evolution Soccer 5\\PES5.exe"=

"d:\\Program Files\\Team 17\\Worms Armageddon\\wa.exe"=

"d:\\Program Files\\3D Billiards\\billiard.exe"=

"d:\\Program Files\\Activision\\Call of Duty 2\\pb\\PnkBstrA.exe"=

"d:\\Program Files\\Activision\\Call of Duty 2\\pb\\PnkBstrB.exe"=

"c:\\WINDOWS\\system32\\PnkBstrA.exe"=

"c:\\WINDOWS\\system32\\PnkBstrB.exe"=

"d:\\Program Files\\Activision\\Call of Duty 2\\pb\\PnkBstrK.sys"=

"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=

"d:\\Program Files\\Mozilla Firefox\\firefox.exe"=

"c:\\Program Files\\PC Connectivity Solution\\ServiceLayer.exe"=

"c:\\WINDOWS\\system32\\CTHELPER.EXE"=

"c:\\Program Files\\Adobe\\Acrobat 7.0\\Reader\\reader_sl.exe"=

"c:\\Program Files\\PC Connectivity Solution\\Transports\\NclMSBTSrv.exe"=

"d:\\PROGRA~1\\WapSter\\WAPSTE~1\\AQQ.exe"=

"c:\\Program Files\\Elaborate Bytes\\VirtualCloneDrive\\VCDDaemon.exe"=

"c:\\Program Files\\Common Files\\Adobe\\Calibration\\Adobe Gamma Loader.exe"=

"c:\\Program Files\\Microsoft Office\\OFFICE11\\WINWORD.EXE"=

"c:\\WINDOWS\\wt\\updater\\wcmdmgr.exe"=

"c:\\Program Files\\PC Connectivity Solution\\NclInstaller.exe"=

"d:\\Program Files\\Nokia\\Nokia PC Suite 6\\PCSuite.exe"=

"c:\\Program Files\\mozilla.org\\Mozilla\\mozilla.exe"=


R3 ASPI;Advanced SCSI Programming Interface Driver;c:\windows\System32\DRIVERS\ASPI32.sys [2002-07-17 16512]

R3 ATE_PROCMON;ATE_PROCMON; [x]

R3 EverestDriver;Lavalys EVEREST Kernel Driver;d:\program files\Lavalys\EVEREST Home Edition\kerneld.wnt [2005-08-17 7168]

R3 GT72NDISIPXP;GT 72 IP NDIS;c:\windows\system32\DRIVERS\Gt51Ip.sys [2007-11-13 95744]

R3 GT72UBUS;GT 72 U BUS;c:\windows\system32\DRIVERS\gt72ubus.sys [2007-11-13 51968]

R3 GTPTSER;GT PT SER;c:\windows\system32\DRIVERS\gtptser.sys [2007-11-13 8064]

S3 abp470n5;abp470n5; [x]



[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4295ee74-f299-11dc-af8f-000d874cd12b}]

\Shell\AutoRun\command - F:\m9ma.exe

\Shell\explore\Command - F:\m9ma.exe

\Shell\open\Command - F:\m9ma.exe


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{50899c8c-edfd-11dd-b379-000d874cd12b}]

\Shell\AutoRun\command - F:\iqe68o.bat

\Shell\explore\Command - F:\iqe68o.bat

\Shell\open\Command - F:\iqe68o.bat


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7ae2f2ac-a11a-11dc-ae5d-000d874cd12b}]

\Shell\AutoRun\command - H:\ranvrgn.exe

\Shell\explore\Command - H:\ranvrgn.exe

\Shell\open\Command - H:\ranvrgn.exe


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{86d83ed7-f5d0-11dc-af9c-000d874cd12b}]

\Shell\AutoRun\command - H:\abk.bat

\Shell\explore\Command - H:\abk.bat

\Shell\open\Command - H:\abk.bat


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9ac7ef59-eb81-11dc-af77-000d874cd12b}]

\Shell\AutoRun\command - F:\m9ma.exe

\Shell\explore\Command - F:\m9ma.exe

\Shell\open\Command - F:\m9ma.exe


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a123922e-e31a-11da-a6f8-000d874cd12b}]

\Shell\AutoRun\command - H:\m9ma.exe

\Shell\explore\Command - H:\m9ma.exe

\Shell\open\Command - H:\m9ma.exe


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b0481850-f453-11dc-af97-000d874cd12b}]

\Shell\AutoRun\command - F:\1ogf.exe

\Shell\open\Command - F:\1ogf.exe


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c81a99eb-9dbf-11db-aa42-000d874cd12b}]

\Shell\AutoRun\command - F:\startupcheck.exe


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c9232614-cf8e-11dd-b2a0-000d874cd12b}]

\Shell\AutoRun\command - H:\AutoRunCardDetector.exe


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{dd9c9b5d-8c82-11dc-adeb-000d874cd12b}]

\Shell\AutoRun\command - H:\qquq.bat

\Shell\explore\Command - H:\qquq.bat

\Shell\open\Command - H:\qquq.bat

.

Zawartość folderu 'Zaplanowane zadania'


2009-04-28 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

.

- - - - USUNIĘTO PUSTE WPISY - - - -


HKLM-Run-AT-Watch - (no file)



.

------- Skan uzupełniający -------

.

uStart Page = hxxp://www.google.pl/

uInternet Settings,ProxyServer = 128.176.49.12:8080

uSearchURL,(Default) = hxxp://www.searchgateway.net/search/%s

IE: &Winamp Search - c:\documents and settings\All Users\Dane aplikacji\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html

IE: E&ksport do programu Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

IE: {{C5428486-50A0-4a02-9D20-520B59A9F9B3} - {A16AD1E9-F69A-45af-9462-B1C286708842} -

DPF: RaptisoftGameLoader - hxxp://www.miniclip.com/haphazard/raptisoftgameloader.cab

DPF: {083048AE-EECD-4CC5-90A3-BD9B7073BE87} - hxxp://melo.pl/dmanager/launcher.cab

FF - ProfilePath - c:\documents and settings\Maciek\Dane aplikacji\Mozilla\Firefox\Profiles\bguqqmgq.default\

FF - prefs.js: browser.startup.homepage - google.pl

FF - component: c:\documents and settings\Maciek\Dane aplikacji\Mozilla\Firefox\Profiles\bguqqmgq.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f}\components\WinampTBPlayer.dll

FF - plugin: d:\program files\DivX\DivX Web Player\npdivx32.dll

FF - plugin: d:\program files\K-Lite Codec Pack\QuickTime\Plugins\npqtplugin.dll

FF - plugin: d:\program files\K-Lite Codec Pack\QuickTime\Plugins\npqtplugin2.dll

FF - plugin: d:\program files\K-Lite Codec Pack\QuickTime\Plugins\npqtplugin3.dll

FF - plugin: d:\program files\K-Lite Codec Pack\QuickTime\Plugins\npqtplugin4.dll

FF - plugin: d:\program files\K-Lite Codec Pack\QuickTime\Plugins\npqtplugin5.dll

FF - plugin: d:\program files\K-Lite Codec Pack\QuickTime\Plugins\npqtplugin6.dll

FF - plugin: d:\program files\K-Lite Codec Pack\QuickTime\Plugins\npqtplugin7.dll

FF - plugin: d:\program files\K-Lite Codec Pack\QuickTime\Plugins\npqtplugin8.dll

FF - plugin: d:\program files\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll

FF - plugin: d:\program files\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll

FF - plugin: d:\program files\Mozilla Firefox\plugins\npganymedenet.dll

.


**************************************************************************


catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-04-29 21:47

Windows 5.1.2600 Dodatek Service Pack 2 NTFS


skanowanie ukrytych procesów ...  


skanowanie ukrytych wpisów autostartu ... 


skanowanie ukrytych plików ...  


skanowanie pomyślnie ukończone

ukryte pliki: 0


**************************************************************************

.

--------------------- ZABLOKOWANE KLUCZE REJESTRU ---------------------


[HKEY_USERS\S-1-5-21-789336058-764733703-682003330-1006\Software\Microsoft\SystemCertificates\AddressBook*]

@Allowed: (Read) (RestrictedCode)

@Allowed: (Read) (RestrictedCode)

.

--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------


- - - - - - - > 'explorer.exe'(5604)

c:\progra~1\WINDOW~2\wmpband.dll

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll


- - - - - - - > 'explorer.exe'(5440)

c:\windows\system32\WPDShServiceObj.dll

d:\program files\Nokia\Nokia PC Suite 6\phonebrowser.dll

d:\program files\Nokia\Nokia PC Suite 6\PCSCM.dll

d:\program files\Nokia\Nokia PC Suite 6\Lang\PhoneBrowser_pol.nlr

d:\program files\Nokia\Nokia PC Suite 6\Resource\PhoneBrowser_Nokia.ngr

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

.

Czas ukończenia: 2009-04-29 21:50

ComboFix-quarantined-files.txt 2009-04-29 19:49

ComboFix2.txt 2009-04-28 17:58

ComboFix3.txt 2009-04-10 12:29


Przed: 850 010 112 bajtów wolnych

Po: 747 958 272 bajtów wolnych


WindowsXP-KB310994-SP2-Home-BootDisk-PLK.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect


296	--- E O F ---	2009-04-19 14:22

(Leon$) #12

Wyłącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

Wylecz pendriva lub kartę pamięci http://www.softpedia.com/get/Security/S ... Tool.shtml

Flash Disinfector http://www.searchengines.pl/index.php?s ... ntry369724

lub format

zastosuj ATF Cleaner http://cybertrash.pl/images/tata/ATF/ATF.html

Otwórz notatnik i wklej

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

Powinno rozpocząć się usuwanie

Potem log z usuwania Combofix

:slight_smile:


(Miodekopi) #13

Pisałem, że problemy 1 i 2 usunąłem. Niestety tylko na chwilę. Dzisiaj znowu mam zablokowanego Menadżera zdań i edycję rejestru, a gdy próbuje go odblokować tym plikiem w formacie .inf to dzieje się to tylko na chwilę.

Leon$ - Zrobiłem to wszystko. Ale tak jak pisałem wyżej zablokowana edycja rejestru blokuje prace ComboFix'a i Flash Disinfector'a.

Dodatkowo, gdy uda mi się szybko wejść w edycję rejestru, to stosując się do

http://forum.idg.pl/bezpieczenstwo_komputera_i_sieci-f84-menedzer_zadan-t31432.html#entry308633

plik DisableTaskMgr zmienia się na "0" ale tylko do momentu zamknięcia okna "Edytowanie wartości DWORD" - potem znów jest na "1".

Więc... znalazłem się punkcie wyjścia...


(Chillout) #14

Daj log z usuwania Combofix.


(Miodekopi) #15
ComboFix 09-04-29.01 - Maciek 2009-04-30 11:50.4 - NTFSx86

Microsoft Windows XP Home Edition 5.1.2600.2.1250.48.1045.18.511.171 [GMT 2:00]

Uruchomiony z: c:\documents and settings\Maciek\Pulpit\ComboFix.exe

Użyto następujących komend :: c:\documents and settings\Maciek\Pulpit\CFScript.txt

AV: avast! antivirus 4.7.1043 [VPS 000783-1] *On-access scanning enabled* (Updated)

 * Utworzono nowy punkt przywracania


FILE ::

C:\[u]0[/u]bcobed.exe.vir

C:\1ogf.exe

C:\a2h2.com

C:\cb.exe

C:\cqxj.exe

C:\gi2ky.exe

C:\hl80c6b1.com

C:\hyetn1i.exe

C:\i.com

C:\luk1ylq.com

C:\o3n9k.com

C:\opgde.exe

C:\q0dhfjf.exe

C:\qphdin.com

C:\ur0.com

C:\w2.com

c:\windows\SE22104F4.tmp

c:\windows\system32\~.exe.vir

c:\windows\system32\amvo3.dll

c:\windows\system32\gasretyw3.dll

c:\windows\system32\vbsdfe1.dll

c:\windows\system32\vbsdfe2.dll

C:\wx8o0bt1.com

C:\xdw.com

F:\1ogf.exe

F:\iqe68o.bat

F:\m9ma.exe

H:\abk.bat

H:\m9ma.exe

H:\qquq.bat

H:\ranvrgn.exe

.


((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))

.


C:\[u]0[/u]bcobed.exe.vir

C:\1ogf.exe

C:\a2h2.com

C:\cb.exe

C:\cqxj.exe

C:\gi2ky.exe

C:\hl80c6b1.com

C:\hyetn1i.exe

C:\i.com

C:\luk1ylq.com

C:\o3n9k.com

C:\opgde.exe

c:\program files\AskSBar

c:\program files\AskSBar\bar\1.bin\A2FFXTBR.JAR

c:\program files\AskSBar\bar\1.bin\A2FFXTBR.MANIFEST

c:\program files\AskSBar\bar\1.bin\A2HIGHIN.EXE

c:\program files\AskSBar\bar\1.bin\A2NTSTBR.JAR

c:\program files\AskSBar\bar\1.bin\A2NTSTBR.MANIFEST

c:\program files\AskSBar\bar\1.bin\A2PLUGIN.DLL

c:\program files\AskSBar\bar\1.bin\ASKSBAR.DLL

c:\program files\AskSBar\bar\1.bin\NPASKSBR.DLL

c:\program files\AskSBar\bar\Cache\[u]0[/u]001DFDB

c:\program files\AskSBar\bar\Cache\[u]0[/u]001ED87

c:\program files\AskSBar\bar\Cache\[u]0[/u]00506CD

c:\program files\AskSBar\bar\Cache\[u]0[/u]006CC1C

c:\program files\AskSBar\bar\Cache\[u]0[/u]00825E0.bin

c:\program files\AskSBar\bar\Cache\[u]0[/u]0082728.bin

c:\program files\AskSBar\bar\Cache\[u]0[/u]0082841.bin

c:\program files\AskSBar\bar\Cache\[u]0[/u]00F74F8

c:\program files\AskSBar\bar\Cache\[u]0[/u]01CCA1E

c:\program files\AskSBar\bar\Cache\[u]0[/u]0260C1C

c:\program files\AskSBar\bar\Cache\[u]0[/u]066C0EE

c:\program files\AskSBar\bar\Cache\[u]0[/u]1DE8CAA

c:\program files\AskSBar\bar\Cache\files.ini

c:\program files\AskSBar\bar\History\search2

c:\program files\AskSBar\bar\Settings\prevcfg2.htm

c:\program files\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL

C:\q0dhfjf.exe

C:\qphdin.com

C:\ur0.com

C:\w2.com

c:\windows\system32\~.exe.vir

c:\windows\system32\amvo3.dll

c:\windows\system32\gasretyw3.dll

c:\windows\system32\vbsdfe1.dll

c:\windows\system32\vbsdfe2.dll

C:\wx8o0bt1.com

C:\xdw.com

c:\windows\SE22104F4.tmp . . . . nie udało się usunąć


.

((((((((((((((((((((((((((((((((((((((( Sterowniki/Usługi )))))))))))))))))))))))))))))))))))))))))))))))))

.


-------\Legacy_ABP470N5



((((((((((((((((((((((((( Pliki utworzone od 2009-05-28 do 2009-4-30 )))))))))))))))))))))))))))))))

.


2009-04-29 16:51 . 2001-10-26 14:57	12160	----a-w	c:\windows\system32\drivers\mouhid.sys

2009-04-29 16:51 . 2001-08-17 20:02	9600	----a-w	c:\windows\system32\drivers\hidusb.sys

2009-04-28 18:04 . 2009-04-28 18:04	2	--shatr	c:\windows\winstart.bat

2009-04-28 17:37 . 1998-06-17 22:00	89360	----a-w	c:\windows\system32\VB5DB.DLL

2009-04-27 19:02 . 2009-04-27 19:08	--------	d-----w	c:\documents and settings\Maciek\Ustawienia lokalne\Dane aplikacji\Promosoft Corporation

2009-04-27 13:26 . 2009-04-27 13:26	--------	d-----w	c:\documents and settings\Maciek\WapSter

2009-04-26 17:05 . 2009-04-26 17:05	--------	d-----w	c:\documents and settings\All Users\Dane aplikacji\Tlen.pl

2009-04-22 17:08 . 2009-04-22 17:08	--------	d-----w	c:\program files\iPod

2009-04-22 17:08 . 2009-04-22 17:08	--------	d-----w	c:\documents and settings\All Users\Dane aplikacji\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906}

2009-04-22 17:08 . 2009-04-22 17:08	--------	d-----w	c:\program files\iTunes

2009-04-22 17:07 . 2009-04-22 17:07	--------	d-----w	c:\program files\Bonjour

2009-04-22 17:05 . 2009-04-22 17:05	--------	d-----w	c:\program files\Common Files\Apple

2009-04-22 17:02 . 2009-04-22 17:02	--------	d-----w	c:\program files\Apple Software Update

2009-04-22 17:02 . 2009-04-22 17:02	--------	d-----w	c:\documents and settings\All Users\Dane aplikacji\Apple

2009-04-10 12:44 . 2009-04-10 13:03	--------	d-----w	c:\windows\system32\CatRoot_bak

2009-04-10 12:43 . 2008-06-14 18:01	273024	-c----w	c:\windows\system32\dllcache\bthport.sys

2009-04-10 12:43 . 2008-06-14 18:01	273024	------w	c:\windows\system32\drivers\bthport.sys

2009-04-06 09:23 . 2009-04-06 09:23	--------	d-----w	c:\documents and settings\Maciek\Dane aplikacji\GetRightToGo


.

(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-04-30 09:54 . 2008-12-30 15:45	0	------w	c:\windows\SE22104F4.tmp

2009-04-30 09:53 . 2006-05-11 19:03	288	----a-w	c:\windows\system32\DVCStateBkp-{00000002-00000000-00000002-00001102-00000002-100A1102}.dat

2009-04-30 09:53 . 2006-05-11 19:03	288	----a-w	c:\windows\system32\DVCState-{00000002-00000000-00000002-00001102-00000002-100A1102}.dat

2009-04-29 10:57 . 2006-05-27 16:46	22824	-c--a-w	c:\documents and settings\Maciek\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT

2009-04-28 18:09 . 2006-05-11 18:58	--------	d-----w	c:\program files\ScannerU

2009-04-26 17:11 . 2006-05-11 20:24	--------	d-----w	c:\program files\Tlen.pl

2009-04-25 12:58 . 2008-02-10 16:05	138384	----a-w	c:\windows\system32\drivers\PnkBstrK.sys

2009-04-25 12:57 . 2008-02-10 16:05	187536	----a-w	c:\windows\system32\PnkBstrB.exe

2009-04-16 12:17 . 2004-08-04 12:00	80444	----a-w	c:\windows\system32\perfc015.dat

2009-04-16 12:17 . 2004-08-04 12:00	460894	----a-w	c:\windows\system32\perfh015.dat

2009-03-06 14:47 . 2004-08-04 12:00	285184	----a-w	c:\windows\system32\pdh.dll

2009-03-03 00:10 . 2004-08-04 12:00	826368	----a-w	c:\windows\system32\wininet.dll

2009-02-20 17:13 . 2004-08-04 12:00	78336	----a-w	c:\windows\system32\ieencode.dll

2009-02-13 14:37 . 2009-02-13 14:37	968021	----a-w	c:\windows\system32\1.scr

2009-02-09 14:19 . 2004-08-04 12:00	1846528	----a-w	c:\windows\system32\win32k.sys

2009-02-09 11:52 . 2004-08-04 00:39	2017280	----a-w	c:\windows\system32\ntkrnlpa.exe

2009-02-09 11:52 . 2004-08-04 12:00	2137600	----a-w	c:\windows\system32\ntoskrnl.exe

2009-02-09 10:22 . 2004-08-04 12:00	725504	----a-w	c:\windows\system32\lsasrv.dll

2009-02-09 10:22 . 2004-08-04 12:00	686080	----a-w	c:\windows\system32\advapi32.dll

2009-02-09 10:22 . 2004-08-04 12:00	399360	----a-w	c:\windows\system32\rpcss.dll

2009-02-09 10:22 . 2004-08-04 12:00	722944	----a-w	c:\windows\system32\ntdll.dll

2009-02-09 10:10 . 2004-08-04 12:00	111104	----a-w	c:\windows\system32\services.exe

2009-02-06 16:54 . 2004-08-04 12:00	35328	----a-w	c:\windows\system32\sc.exe

2009-02-03 20:11 . 2004-08-04 12:00	55808	----a-w	c:\windows\system32\secur32.dll

2007-03-19 18:13 . 2007-04-08 16:59	6492243	-c--a-w	c:\program files\frostwire-4.13.1.6.windows.exe

.


((((((((((((((((((((((((((((( SnapShot@2009-04-28_17.56.24 )))))))))))))))))))))))))))))))))))))))))

.

+ 2009-04-30 09:53 . 2009-04-30 09:53	16384 c:\windows\temp\Perflib_Perfdata_f38.dat

+ 2009-04-30 09:55 . 2009-04-30 09:55	16384 c:\windows\temp\Perflib_Perfdata_56c.dat

+ 2007-07-04 17:25 . 2009-04-30 09:52	3400 c:\windows\wt\wtupdates\wtupdater\appinfo.dat

- 2007-07-04 17:25 . 2009-04-28 17:54	3400 c:\windows\wt\wtupdates\wtupdater\appinfo.dat

+ 2006-05-11 19:33 . 2009-04-29 06:15	123728 c:\windows\system32\FNTCACHE.DAT

+ 2007-02-05 18:15 . 2006-10-10 12:44	635392 c:\windows\network diagnostic\xpnetdiag.exe

.

((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane  

REGEDIT4


[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

"Nokia.PCSync"="d:\program files\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-11-07 1372160]


c:\documents and settings\All Users\Menu Start\Programy\Autostart\

Adobe Gamma Loader.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2006-9-15 187392]

Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-23 29696]


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]

"DisableTaskMgr"= 1 (0x1)


[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusDisableNotify"=dword:00000001

"FirewallDisableNotify"=dword:00000001

"UpdatesDisableNotify"=dword:00000001

"AntiVirusOverride"=dword:00000001

"FirewallOverride"=dword:00000001

"UacDisableNotify"=dword:00000001


[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]

"AntiVirusOverride"=dword:00000001

"AntiVirusDisableNotify"=dword:00000001

"FirewallDisableNotify"=dword:00000001

"FirewallOverride"=dword:00000001

"UpdatesDisableNotify"=dword:00000001

"UacDisableNotify"=dword:00000001


[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)


[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\eMule\\emule.exe"=

"c:\\Program Files\\Tlen.pl\\tlen.exe"=

"d:\\Program Files\\Activision\\Call of Duty 2\\CoD2MP_s.exe"=

"c:\\Program Files\\GameSpy Arcade\\Aphex.exe"=

"d:\\Program Files\\Call of Duty\\CoDUOMP.exe"=

"d:\\Program Files\\Xfire\\Xfire.exe"=

"d:\\Program Files\\Call of Duty\\CoDMP.exe"=

"d:\\Program Files\\The All-Seeing Eye\\eye.exe"=

"d:\\Program Files\\GameSpy Arcade\\Aphex.exe"=

"d:\\eMule 0.47a\\emule.exe"=

"d:\\Program Files\\eMule\\emule.exe"=

"d:\\Program Files\\Nowy folder\\eMule\\emule.exe"=

"d:\\Gadu-Gadu\\gg.exe"=

"d:\\Program Files\\KONAMI\\Pro Evolution Soccer 6\\PES6.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=

"d:\\Program Files\\SopCast\\SopCast.exe"=

"c:\\Documents and Settings\\Maciek\\Dane aplikacji\\SopCast\\adv\\SopAdver.exe"=

"d:\\Program Files\\Torrent Searcher 4.0\\giFT\\giFTl.exe"=

"d:\\Program Files\\KONAMI\\Pro Evolution Soccer 5\\PES5.exe"=

"d:\\Program Files\\Team 17\\Worms Armageddon\\wa.exe"=

"d:\\Program Files\\3D Billiards\\billiard.exe"=

"d:\\Program Files\\Activision\\Call of Duty 2\\pb\\PnkBstrA.exe"=

"d:\\Program Files\\Activision\\Call of Duty 2\\pb\\PnkBstrB.exe"=

"c:\\WINDOWS\\system32\\PnkBstrA.exe"=

"c:\\WINDOWS\\system32\\PnkBstrB.exe"=

"d:\\Program Files\\Activision\\Call of Duty 2\\pb\\PnkBstrK.sys"=

"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=

"d:\\Program Files\\Mozilla Firefox\\firefox.exe"=

"c:\\Program Files\\PC Connectivity Solution\\ServiceLayer.exe"=

"c:\\WINDOWS\\system32\\CTHELPER.EXE"=

"c:\\Program Files\\Adobe\\Acrobat 7.0\\Reader\\reader_sl.exe"=

"c:\\Program Files\\PC Connectivity Solution\\Transports\\NclMSBTSrv.exe"=

"d:\\PROGRA~1\\WapSter\\WAPSTE~1\\AQQ.exe"=

"c:\\Program Files\\Elaborate Bytes\\VirtualCloneDrive\\VCDDaemon.exe"=

"c:\\Program Files\\Common Files\\Adobe\\Calibration\\Adobe Gamma Loader.exe"=

"c:\\Program Files\\Microsoft Office\\OFFICE11\\WINWORD.EXE"=

"c:\\WINDOWS\\wt\\updater\\wcmdmgr.exe"=

"c:\\Program Files\\PC Connectivity Solution\\NclInstaller.exe"=

"d:\\Program Files\\Nokia\\Nokia PC Suite 6\\PCSuite.exe"=

"c:\\Program Files\\mozilla.org\\Mozilla\\mozilla.exe"=

"d:\\Program Files\\K-Lite Codec Pack\\QuickTime\\QTTask.exe"=

"c:\\DOCUME~1\\Maciek\\USTAWI~1\\Temp\\winjmjl.exe"=

"c:\\DOCUME~1\\Maciek\\USTAWI~1\\Temp\\winahxuls.exe"=


R3 ASPI;Advanced SCSI Programming Interface Driver;c:\windows\System32\DRIVERS\ASPI32.sys [2002-07-17 16512]

R3 ATE_PROCMON;ATE_PROCMON; [x]

R3 EverestDriver;Lavalys EVEREST Kernel Driver;d:\program files\Lavalys\EVEREST Home Edition\kerneld.wnt [2005-08-17 7168]

R3 GT72NDISIPXP;GT 72 IP NDIS;c:\windows\system32\DRIVERS\Gt51Ip.sys [2007-11-13 95744]

R3 GT72UBUS;GT 72 U BUS;c:\windows\system32\DRIVERS\gt72ubus.sys [2007-11-13 51968]

R3 GTPTSER;GT PT SER;c:\windows\system32\DRIVERS\gtptser.sys [2007-11-13 8064]



--- Inne Usługi/Sterowniki w Pamięci ---


*NewlyCreated* - ABP470N5

*NewlyCreated* - IPFILTERDRIVER

.

Zawartość folderu 'Zaplanowane zadania'


2009-04-28 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

.

- - - - USUNIĘTO PUSTE WPISY - - - -


BHO-{0579B4B1-0293-4d73-B02D-5EBB0BA0F0A2} - c:\program files\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL



.

------- Skan uzupełniający -------

.

uStart Page = hxxp://www.google.pl/

uInternet Settings,ProxyServer = 128.176.49.12:8080

uSearchURL,(Default) = hxxp://www.searchgateway.net/search/%s

IE: &Winamp Search - c:\documents and settings\All Users\Dane aplikacji\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html

IE: E&ksport do programu Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

IE: {{C5428486-50A0-4a02-9D20-520B59A9F9B3} - {A16AD1E9-F69A-45af-9462-B1C286708842} -

DPF: RaptisoftGameLoader - hxxp://www.miniclip.com/haphazard/raptisoftgameloader.cab

DPF: {083048AE-EECD-4CC5-90A3-BD9B7073BE87} - hxxp://melo.pl/dmanager/launcher.cab

FF - ProfilePath - c:\documents and settings\Maciek\Dane aplikacji\Mozilla\Firefox\Profiles\bguqqmgq.default\

FF - prefs.js: browser.startup.homepage - google.pl

FF - component: c:\documents and settings\Maciek\Dane aplikacji\Mozilla\Firefox\Profiles\bguqqmgq.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f}\components\WinampTBPlayer.dll

FF - plugin: d:\program files\DivX\DivX Web Player\npdivx32.dll

FF - plugin: d:\program files\K-Lite Codec Pack\QuickTime\Plugins\npqtplugin.dll

FF - plugin: d:\program files\K-Lite Codec Pack\QuickTime\Plugins\npqtplugin2.dll

FF - plugin: d:\program files\K-Lite Codec Pack\QuickTime\Plugins\npqtplugin3.dll

FF - plugin: d:\program files\K-Lite Codec Pack\QuickTime\Plugins\npqtplugin4.dll

FF - plugin: d:\program files\K-Lite Codec Pack\QuickTime\Plugins\npqtplugin5.dll

FF - plugin: d:\program files\K-Lite Codec Pack\QuickTime\Plugins\npqtplugin6.dll

FF - plugin: d:\program files\K-Lite Codec Pack\QuickTime\Plugins\npqtplugin7.dll

FF - plugin: d:\program files\K-Lite Codec Pack\QuickTime\Plugins\npqtplugin8.dll

FF - plugin: d:\program files\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll

FF - plugin: d:\program files\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll

FF - plugin: d:\program files\Mozilla Firefox\plugins\npganymedenet.dll

.


**************************************************************************


catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-04-30 11:56

Windows 5.1.2600 Dodatek Service Pack 2 NTFS


skanowanie ukrytych procesów ...  


skanowanie ukrytych wpisów autostartu ... 


skanowanie ukrytych plików ...  


skanowanie pomyślnie ukończone

ukryte pliki: 0


**************************************************************************

.

--------------------- ZABLOKOWANE KLUCZE REJESTRU ---------------------


[HKEY_USERS\S-1-5-21-789336058-764733703-682003330-1006\Software\Microsoft\SystemCertificates\AddressBook*]

@Allowed: (Read) (RestrictedCode)

@Allowed: (Read) (RestrictedCode)

.

--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------


- - - - - - - > 'explorer.exe'(3320)

c:\progra~1\WINDOW~2\wmpband.dll

c:\windows\system32\WPDShServiceObj.dll

d:\program files\Nokia\Nokia PC Suite 6\phonebrowser.dll

d:\program files\Nokia\Nokia PC Suite 6\PCSCM.dll

d:\program files\Nokia\Nokia PC Suite 6\Lang\PhoneBrowser_pol.nlr

d:\program files\Nokia\Nokia PC Suite 6\Resource\PhoneBrowser_Nokia.ngr

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

.

------------------------ Pozostałe uruchomione procesy ------------------------

.

c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

c:\program files\Bonjour\mDNSResponder.exe

c:\windows\system32\CTSVCCDA.EXE

c:\program files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

c:\windows\system32\nvsvc32.exe

c:\windows\system32\PnkBstrA.exe

c:\windows\system32\PnkBstrB.exe

d:\program files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

c:\windows\system32\MsPMSPSv.exe

c:\program files\Java\jre1.6.0_01\bin\jusched.exe

c:\windows\wt\updater\wcmdmgr.exe

c:\windows\system32\rundll32.exe

c:\program files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe

d:\program files\Spybot - Search & Destroy\TeaTimer.exe

d:\program files\Nokia\Nokia PC Suite 6\PCSuite.exe

c:\program files\PC Connectivity Solution\ServiceLayer.exe

c:\program files\PC Connectivity Solution\Transports\NclMSBTSrv.exe

c:\program files\PC Connectivity Solution\Transports\NclUSBSrv.exe

c:\program files\PC Connectivity Solution\Transports\NclRSSrv.exe

c:\docume~1\Maciek\USTAWI~1\temp\winjmjl.exe

c:\docume~1\Maciek\USTAWI~1\temp\winahxuls.exe

.

**************************************************************************

.

Czas ukończenia: 2009-04-30 12:01 - komputer został uruchomiony ponownie

ComboFix-quarantined-files.txt 2009-04-30 10:01

ComboFix2.txt 2009-04-29 19:50

ComboFix3.txt 2009-04-28 17:58

ComboFix4.txt 2009-04-10 12:29


Przed: 1 469 300 736 bajtów wolnych

Po: 1 042 317 312 bajtów wolnych


330	--- E O F ---	2009-04-19 14:22

(system) #16

W logu:

To działająca usługa wirusa Sality, który infekuje wszystkie pliki exe i dll.

Poczytaj i podejmij decyzję, czy walczyć, czy formatować cały dysk.


(koleś git) #17

skoro blokuje ci strony o bezpieczeństwie możesz mieć również robaka kido

http://viruslist.pl/encyclopedia.html?c ... d=5323&o=2


(Leon$) #18

Otwórz notatnik i wklej

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

Powinno rozpocząć się usuwanie

Potem log z usuwania Combofix

potem skan Kaspersky Virus Removal Tool http://www.searchengines.pl/index.php?s ... ntry354381

lub format

:slight_smile:


(Miodekopi) #19
ComboFix 09-04-29.07 - Maciek 2009-04-30 18:13.5 - NTFSx86

Microsoft Windows XP Home Edition 5.1.2600.2.1250.48.1045.18.511.165 [GMT 2:00]

Uruchomiony z: c:\documents and settings\Maciek\Pulpit\ComboFix.exe

Użyto następujących komend :: c:\documents and settings\Maciek\Pulpit\CFScript.txt

AV: avast! antivirus 4.7.1043 [VPS 000783-1] *On-access scanning enabled* (Updated)

 * Utworzono nowy punkt przywracania


FILE ::

c:\docume~1\Maciek\USTAWI~1\temp\winahxuls.exe

c:\docume~1\Maciek\USTAWI~1\temp\winjmjl.exe

c:\windows\SE22104F4.tmp

.


((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))

.


c:\windows\SE22104F4.tmp . . . . nie udało się usunąć


.

((((((((((((((((((((((((((((((((((((((( Sterowniki/Usługi )))))))))))))))))))))))))))))))))))))))))))))))))

.


-------\Legacy_ABP470N5



((((((((((((((((((((((((( Pliki utworzone od 2009-05-28 do 2009-4-30 )))))))))))))))))))))))))))))))

.


2009-04-29 16:51 . 2001-10-26 14:57	12160	----a-w	c:\windows\system32\drivers\mouhid.sys

2009-04-29 16:51 . 2001-08-17 20:02	9600	----a-w	c:\windows\system32\drivers\hidusb.sys

2009-04-28 18:04 . 2009-04-28 18:04	2	--shatr	c:\windows\winstart.bat

2009-04-28 17:37 . 1998-06-17 22:00	89360	----a-w	c:\windows\system32\VB5DB.DLL

2009-04-27 19:02 . 2009-04-27 19:08	--------	d-----w	c:\documents and settings\Maciek\Ustawienia lokalne\Dane aplikacji\Promosoft Corporation

2009-04-27 13:26 . 2009-04-27 13:26	--------	d-----w	c:\documents and settings\Maciek\WapSter

2009-04-26 17:05 . 2009-04-26 17:05	--------	d-----w	c:\documents and settings\All Users\Dane aplikacji\Tlen.pl

2009-04-22 17:08 . 2009-04-22 17:08	--------	d-----w	c:\program files\iPod

2009-04-22 17:08 . 2009-04-22 17:08	--------	d-----w	c:\documents and settings\All Users\Dane aplikacji\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906}

2009-04-22 17:08 . 2009-04-22 17:08	--------	d-----w	c:\program files\iTunes

2009-04-22 17:07 . 2009-04-22 17:07	--------	d-----w	c:\program files\Bonjour

2009-04-22 17:05 . 2009-04-22 17:05	--------	d-----w	c:\program files\Common Files\Apple

2009-04-22 17:02 . 2009-04-22 17:02	--------	d-----w	c:\program files\Apple Software Update

2009-04-22 17:02 . 2009-04-22 17:02	--------	d-----w	c:\documents and settings\All Users\Dane aplikacji\Apple

2009-04-10 12:44 . 2009-04-10 13:03	--------	d-----w	c:\windows\system32\CatRoot_bak

2009-04-10 12:43 . 2008-06-14 18:01	273024	-c----w	c:\windows\system32\dllcache\bthport.sys

2009-04-10 12:43 . 2008-06-14 18:01	273024	------w	c:\windows\system32\drivers\bthport.sys

2009-04-06 09:23 . 2009-04-06 09:23	--------	d-----w	c:\documents and settings\Maciek\Dane aplikacji\GetRightToGo


.

(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-04-30 16:17 . 2009-04-30 16:17	0	------w	c:\windows\SE22104F4.tmp

2009-04-30 16:16 . 2006-05-11 19:03	288	----a-w	c:\windows\system32\DVCStateBkp-{00000002-00000000-00000002-00001102-00000002-100A1102}.dat

2009-04-30 16:16 . 2006-05-11 19:03	288	----a-w	c:\windows\system32\DVCState-{00000002-00000000-00000002-00001102-00000002-100A1102}.dat

2009-04-29 10:57 . 2006-05-27 16:46	22824	-c--a-w	c:\documents and settings\Maciek\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT

2009-04-28 18:09 . 2006-05-11 18:58	--------	d-----w	c:\program files\ScannerU

2009-04-26 17:11 . 2006-05-11 20:24	--------	d-----w	c:\program files\Tlen.pl

2009-04-25 12:58 . 2008-02-10 16:05	138384	----a-w	c:\windows\system32\drivers\PnkBstrK.sys

2009-04-25 12:57 . 2008-02-10 16:05	187536	----a-w	c:\windows\system32\PnkBstrB.exe

2009-04-16 12:17 . 2004-08-04 12:00	80444	----a-w	c:\windows\system32\perfc015.dat

2009-04-16 12:17 . 2004-08-04 12:00	460894	----a-w	c:\windows\system32\perfh015.dat

2009-03-06 14:47 . 2004-08-04 12:00	285184	----a-w	c:\windows\system32\pdh.dll

2009-03-03 00:10 . 2004-08-04 12:00	826368	----a-w	c:\windows\system32\wininet.dll

2009-02-20 17:13 . 2004-08-04 12:00	78336	----a-w	c:\windows\system32\ieencode.dll

2009-02-13 14:37 . 2009-02-13 14:37	968021	----a-w	c:\windows\system32\1.scr

2009-02-09 14:19 . 2004-08-04 12:00	1846528	----a-w	c:\windows\system32\win32k.sys

2009-02-09 11:52 . 2004-08-04 00:39	2017280	----a-w	c:\windows\system32\ntkrnlpa.exe

2009-02-09 11:52 . 2004-08-04 12:00	2137600	----a-w	c:\windows\system32\ntoskrnl.exe

2009-02-09 10:22 . 2004-08-04 12:00	725504	----a-w	c:\windows\system32\lsasrv.dll

2009-02-09 10:22 . 2004-08-04 12:00	686080	----a-w	c:\windows\system32\advapi32.dll

2009-02-09 10:22 . 2004-08-04 12:00	399360	----a-w	c:\windows\system32\rpcss.dll

2009-02-09 10:22 . 2004-08-04 12:00	722944	----a-w	c:\windows\system32\ntdll.dll

2009-02-09 10:10 . 2004-08-04 12:00	111104	----a-w	c:\windows\system32\services.exe

2009-02-06 16:54 . 2004-08-04 12:00	35328	----a-w	c:\windows\system32\sc.exe

2009-02-03 20:11 . 2004-08-04 12:00	55808	----a-w	c:\windows\system32\secur32.dll

2007-03-19 18:13 . 2007-04-08 16:59	6492243	-c--a-w	c:\program files\frostwire-4.13.1.6.windows.exe

.


((((((((((((((((((((((((((((( SnapShot@2009-04-28_17.56.24 )))))))))))))))))))))))))))))))))))))))))

.

+ 2009-04-30 16:18 . 2009-04-30 16:18	16384 c:\windows\temp\Perflib_Perfdata_d0.dat

+ 2007-07-04 17:25 . 2009-04-30 16:11	3400 c:\windows\wt\wtupdates\wtupdater\appinfo.dat

- 2007-07-04 17:25 . 2009-04-28 17:54	3400 c:\windows\wt\wtupdates\wtupdater\appinfo.dat

+ 2006-05-11 19:33 . 2009-04-29 06:15	123728 c:\windows\system32\FNTCACHE.DAT

+ 2007-02-05 18:15 . 2006-10-10 12:44	635392 c:\windows\network diagnostic\xpnetdiag.exe

.

((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane  

REGEDIT4


c:\documents and settings\All Users\Menu Start\Programy\Autostart\

Adobe Gamma Loader.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2006-9-15 187392]

Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-23 29696]


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]

"DisableTaskMgr"= 1 (0x1)

"DisableRegistryTools"= 1 (0x1)


[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusDisableNotify"=dword:00000001

"FirewallDisableNotify"=dword:00000001

"UpdatesDisableNotify"=dword:00000001

"AntiVirusOverride"=dword:00000001

"FirewallOverride"=dword:00000001

"UacDisableNotify"=dword:00000001


[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]

"AntiVirusOverride"=dword:00000001

"AntiVirusDisableNotify"=dword:00000001

"FirewallDisableNotify"=dword:00000001

"FirewallOverride"=dword:00000001

"UpdatesDisableNotify"=dword:00000001

"UacDisableNotify"=dword:00000001


[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)


[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\eMule\\emule.exe"=

"c:\\Program Files\\Tlen.pl\\tlen.exe"=

"d:\\Program Files\\Activision\\Call of Duty 2\\CoD2MP_s.exe"=

"c:\\Program Files\\GameSpy Arcade\\Aphex.exe"=

"d:\\Program Files\\Call of Duty\\CoDUOMP.exe"=

"d:\\Program Files\\Xfire\\Xfire.exe"=

"d:\\Program Files\\Call of Duty\\CoDMP.exe"=

"d:\\Program Files\\The All-Seeing Eye\\eye.exe"=

"d:\\Program Files\\GameSpy Arcade\\Aphex.exe"=

"d:\\eMule 0.47a\\emule.exe"=

"d:\\Program Files\\eMule\\emule.exe"=

"d:\\Program Files\\Nowy folder\\eMule\\emule.exe"=

"d:\\Gadu-Gadu\\gg.exe"=

"d:\\Program Files\\KONAMI\\Pro Evolution Soccer 6\\PES6.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=

"d:\\Program Files\\SopCast\\SopCast.exe"=

"c:\\Documents and Settings\\Maciek\\Dane aplikacji\\SopCast\\adv\\SopAdver.exe"=

"d:\\Program Files\\Torrent Searcher 4.0\\giFT\\giFTl.exe"=

"d:\\Program Files\\KONAMI\\Pro Evolution Soccer 5\\PES5.exe"=

"d:\\Program Files\\Team 17\\Worms Armageddon\\wa.exe"=

"d:\\Program Files\\3D Billiards\\billiard.exe"=

"d:\\Program Files\\Activision\\Call of Duty 2\\pb\\PnkBstrA.exe"=

"d:\\Program Files\\Activision\\Call of Duty 2\\pb\\PnkBstrB.exe"=

"c:\\WINDOWS\\system32\\PnkBstrA.exe"=

"c:\\WINDOWS\\system32\\PnkBstrB.exe"=

"d:\\Program Files\\Activision\\Call of Duty 2\\pb\\PnkBstrK.sys"=

"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=

"d:\\Program Files\\Mozilla Firefox\\firefox.exe"=

"c:\\Program Files\\PC Connectivity Solution\\ServiceLayer.exe"=

"c:\\WINDOWS\\system32\\CTHELPER.EXE"=

"c:\\Program Files\\Adobe\\Acrobat 7.0\\Reader\\reader_sl.exe"=

"c:\\Program Files\\PC Connectivity Solution\\Transports\\NclMSBTSrv.exe"=

"d:\\PROGRA~1\\WapSter\\WAPSTE~1\\AQQ.exe"=

"c:\\Program Files\\Elaborate Bytes\\VirtualCloneDrive\\VCDDaemon.exe"=

"c:\\Program Files\\Common Files\\Adobe\\Calibration\\Adobe Gamma Loader.exe"=

"c:\\Program Files\\Microsoft Office\\OFFICE11\\WINWORD.EXE"=

"c:\\WINDOWS\\wt\\updater\\wcmdmgr.exe"=

"c:\\Program Files\\PC Connectivity Solution\\NclInstaller.exe"=

"d:\\Program Files\\Nokia\\Nokia PC Suite 6\\PCSuite.exe"=

"c:\\Program Files\\mozilla.org\\Mozilla\\mozilla.exe"=

"d:\\Program Files\\K-Lite Codec Pack\\QuickTime\\QTTask.exe"=

"c:\\Program Files\\Java\\jre1.6.0_01\\bin\\jusched.exe"=

"c:\\DOCUME~1\\Maciek\\USTAWI~1\\Temp\\winegrq.exe"=

"c:\\DOCUME~1\\Maciek\\USTAWI~1\\Temp\\winswkyx.exe"=


R3 ASPI;Advanced SCSI Programming Interface Driver;c:\windows\System32\DRIVERS\ASPI32.sys [2002-07-17 16512]

R3 ATE_PROCMON;ATE_PROCMON; [x]

R3 EverestDriver;Lavalys EVEREST Kernel Driver;d:\program files\Lavalys\EVEREST Home Edition\kerneld.wnt [2005-08-17 7168]

R3 GT72NDISIPXP;GT 72 IP NDIS;c:\windows\system32\DRIVERS\Gt51Ip.sys [2007-11-13 95744]

R3 GT72UBUS;GT 72 U BUS;c:\windows\system32\DRIVERS\gt72ubus.sys [2007-11-13 51968]

R3 GTPTSER;GT PT SER;c:\windows\system32\DRIVERS\gtptser.sys [2007-11-13 8064]



--- Inne Usługi/Sterowniki w Pamięci ---


*NewlyCreated* - ABP470N5

*NewlyCreated* - IPFILTERDRIVER

.

Zawartość folderu 'Zaplanowane zadania'


2009-04-28 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

.

.

------- Skan uzupełniający -------

.

uStart Page = hxxp://www.google.pl/

uInternet Settings,ProxyServer = 128.176.49.12:8080

uSearchURL,(Default) = hxxp://www.searchgateway.net/search/%s

IE: &Winamp Search - c:\documents and settings\All Users\Dane aplikacji\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html

IE: E&ksport do programu Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

IE: {{C5428486-50A0-4a02-9D20-520B59A9F9B3} - {A16AD1E9-F69A-45af-9462-B1C286708842} -

DPF: RaptisoftGameLoader - hxxp://www.miniclip.com/haphazard/raptisoftgameloader.cab

DPF: {083048AE-EECD-4CC5-90A3-BD9B7073BE87} - hxxp://melo.pl/dmanager/launcher.cab

FF - ProfilePath - c:\documents and settings\Maciek\Dane aplikacji\Mozilla\Firefox\Profiles\bguqqmgq.default\

FF - prefs.js: browser.startup.homepage - google.pl

FF - component: c:\documents and settings\Maciek\Dane aplikacji\Mozilla\Firefox\Profiles\bguqqmgq.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f}\components\WinampTBPlayer.dll

FF - plugin: d:\program files\DivX\DivX Web Player\npdivx32.dll

FF - plugin: d:\program files\K-Lite Codec Pack\QuickTime\Plugins\npqtplugin.dll

FF - plugin: d:\program files\K-Lite Codec Pack\QuickTime\Plugins\npqtplugin2.dll

FF - plugin: d:\program files\K-Lite Codec Pack\QuickTime\Plugins\npqtplugin3.dll

FF - plugin: d:\program files\K-Lite Codec Pack\QuickTime\Plugins\npqtplugin4.dll

FF - plugin: d:\program files\K-Lite Codec Pack\QuickTime\Plugins\npqtplugin5.dll

FF - plugin: d:\program files\K-Lite Codec Pack\QuickTime\Plugins\npqtplugin6.dll

FF - plugin: d:\program files\K-Lite Codec Pack\QuickTime\Plugins\npqtplugin7.dll

FF - plugin: d:\program files\K-Lite Codec Pack\QuickTime\Plugins\npqtplugin8.dll

FF - plugin: d:\program files\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll

FF - plugin: d:\program files\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll

FF - plugin: d:\program files\Mozilla Firefox\plugins\npganymedenet.dll

.


**************************************************************************


catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-04-30 18:18

Windows 5.1.2600 Dodatek Service Pack 2 NTFS


skanowanie ukrytych procesów ...  


skanowanie ukrytych wpisów autostartu ... 


skanowanie ukrytych plików ...  


skanowanie pomyślnie ukończone

ukryte pliki: 0


**************************************************************************

.

--------------------- ZABLOKOWANE KLUCZE REJESTRU ---------------------


[HKEY_USERS\S-1-5-21-789336058-764733703-682003330-1006\Software\Microsoft\SystemCertificates\AddressBook*]

@Allowed: (Read) (RestrictedCode)

@Allowed: (Read) (RestrictedCode)

.

--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------


- - - - - - - > 'explorer.exe'(3384)

c:\progra~1\WINDOW~2\wmpband.dll

c:\windows\system32\WPDShServiceObj.dll

d:\program files\Nokia\Nokia PC Suite 6\phonebrowser.dll

d:\program files\Nokia\Nokia PC Suite 6\PCSCM.dll

d:\program files\Nokia\Nokia PC Suite 6\Lang\PhoneBrowser_pol.nlr

d:\program files\Nokia\Nokia PC Suite 6\Resource\PhoneBrowser_Nokia.ngr

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

.

------------------------ Pozostałe uruchomione procesy ------------------------

.

c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

c:\program files\Bonjour\mDNSResponder.exe

c:\windows\system32\CTSVCCDA.EXE

c:\program files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

c:\windows\system32\nvsvc32.exe

c:\windows\system32\PnkBstrA.exe

c:\windows\system32\PnkBstrB.exe

d:\program files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

c:\windows\system32\MsPMSPSv.exe

c:\program files\Java\jre1.6.0_01\bin\jusched.exe

c:\windows\wt\updater\wcmdmgr.exe

c:\windows\system32\rundll32.exe

c:\program files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe

d:\program files\Spybot - Search & Destroy\TeaTimer.exe

d:\program files\Nokia\Nokia PC Suite 6\PCSuite.exe

c:\program files\PC Connectivity Solution\ServiceLayer.exe

c:\program files\PC Connectivity Solution\Transports\NclMSBTSrv.exe

c:\program files\PC Connectivity Solution\Transports\NclUSBSrv.exe

c:\program files\PC Connectivity Solution\Transports\NclRSSrv.exe

c:\docume~1\Maciek\USTAWI~1\temp\winegrq.exe

c:\docume~1\Maciek\USTAWI~1\temp\winswkyx.exe

.

**************************************************************************

.

Czas ukończenia: 2009-04-30 18:24 - komputer został uruchomiony ponownie

ComboFix-quarantined-files.txt 2009-04-30 16:24

ComboFix2.txt 2009-04-30 10:01

ComboFix3.txt 2009-04-29 19:50

ComboFix4.txt 2009-04-28 17:58

ComboFix5.txt 2009-04-30 16:11


Przed: 449 437 696 bajtów wolnych

Po: 349 937 664 bajtów wolnych


251	--- E O F ---	2009-04-19 14:22

Programu Kaspersky Virus Removal Tool nie mogę pobrać, podejrzewam, że ten wirus blokuje. Spróbuje wieczorem, jak będę miał dostęp do drugiego komputera.


(Leon$) #20

widzę że nic z tego nie wychodzi

1.format wszystkich dysków i partycji bez wyjątku

2.instalacja nowego systemu nie wolno stosować instalek i sterowników będących wcześniej na zainfekowanym dysku

3.instalacja dobrego antywirusa np.Kaspersky Anti-Virus http://www.kaspersky.pl/download.html?s=trial

:slight_smile: