Zainfekowany system wyświetla się dymek system alert

Donsowa · 29 Październik 2007 18:45

Witam złapałem jakiś syf proszę o pomoc

W pasku zadań pojawiała się tarcza która miga przemiennie raz czerwony krzyżyk raz niebieski znak zapytania co jakiś czas wyświetla się dymek z informacją że system ma aktywnego szpiega

Bardzo prosze o spr loga

Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:30:47, on 2007-10-29 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINNT\Explorer.EXE C:\WINNT\system32\spoolsv.exe C:\Program Files\Video Add-on\icthis.exe C:\Program Files\Video Add-on\isfmntr.exe C:\Program Files\Video Add-on\icmntr.exe C:\Program Files\VIAudioi\SBADeck\ADeck.exe C:\Program Files\Winamp\winampa.exe C:\WINNT\system32\RUNDLL32.EXE C:\Program Files\Video Add-on\isfmm.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\WINNT\system32\ctfmon.exe C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe C:\WINNT\system32\nvsvc32.exe C:\Program Files\Opera\Opera.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\WINNT\system32\wscntfy.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza R3 - URLSearchHook: free-downloads Toolbar - {d3e23b4b-f153-4687-82c2-816319dd3c5a} - C:\Program Files\free-downloads\tbfre1.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {B499D34E-58EF-4927-AB9F-7AF52B2C4C82} - C:\Program Files\Video Add-on\isfmdl.dll O2 - BHO: free-downloads Toolbar - {d3e23b4b-f153-4687-82c2-816319dd3c5a} - C:\Program Files\free-downloads\tbfre1.dll O3 - Toolbar: free-downloads Toolbar - {d3e23b4b-f153-4687-82c2-816319dd3c5a} - C:\Program Files\free-downloads\tbfre1.dll O3 - Toolbar: IE Custom Tools - {6CA49FDD-4AEB-4F08-A394-C0A1F82CAA16} - C:\Program Files\Video Add-on\ictmdl.dll O4 - HKLM…\Run: [synchronization Manager] mobsync.exe /logon O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup O4 - HKLM…\Run: [nwiz] nwiz.exe /install O4 - HKLM…\Run: [AudioDeck] C:\Program Files\VIAudioi\SBADeck\ADeck.exe 1 O4 - HKLM…\Run: [WinampAgent] “C:\Program Files\Winamp\winampa.exe” O4 - HKLM…\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM…\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKCU…\Run: [CTFMON.EXE] C:\WINNT\system32\ctfmon.exe O4 - HKLM…\Policies\Explorer\Run: [some] C:\Program Files\Video Add-on\icthis.exe O4 - HKLM…\Policies\Explorer\Run: [start] C:\Program Files\Video Add-on\isfmntr.exe O4 - HKUS\S-1-5-19…\Run: [internat.exe] internat.exe (User ‘USŁUGA LOKALNA’) O4 - HKUS\S-1-5-19…\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User ‘USŁUGA LOKALNA’) O4 - HKUS\S-1-5-20…\Run: [internat.exe] internat.exe (User ‘USŁUGA SIECIOWA’) O4 - HKUS\S-1-5-20…\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User ‘USŁUGA SIECIOWA’) O4 - HKUS\S-1-5-18…\Run: [internat.exe] internat.exe (User ‘SYSTEM’) O4 - HKUS\S-1-5-18…\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User ‘SYSTEM’) O4 - HKUS.DEFAULT…\Run: [internat.exe] internat.exe (User ‘Default user’) O4 - HKUS.DEFAULT…\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User ‘Default user’) O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip…{DE8A065D-E387-4DD7-87E7-6FFA5CCDAA83}: NameServer = 194.204.152.34,194.204.159.1 O22 - SharedTaskScheduler: boardwalk - {75a65a53-15c9-4a0c-bb40-a7ca8b24f544} - C:\WINNT\system32\ugbtna.dll O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe – End of file - 5278 bytes

asterisk · 29 Październik 2007 19:23

Czytałeś te wpisy?

Donsowa Proszę zastosować się do tego Tematu i zmienić

tytuł tematu na konkretny - inaczej KOSZ

bakos · 29 Październik 2007 20:27

Czy to są takie dymki?

Wcisnąłem continue i się porobiło nieciekawie

Jeśli tak to nie klikaj w nie bo sie popsuje wszystko.

Mój problem rozwiązała: jessica

http://forum.dobreprogramy.pl/viewtopic.php?t=196721

jessica · 29 Październik 2007 20:29

Użyj -->SmitfraudFix.

Użyj go z opcji “Clean”, czyli wpisz 2 i naciśnij ENTER.

Po jego użyciu może zajść potrzeba ustawiania od nowa tapety (czyli prawoklik na ekranie>>właściwości, itd. )

Daj z niego raport z C:\SmitfraudFix.txt

Instrukcja obsługi: 1. Zastartuj komputer do trybu awaryjnego co jest opisane TUTAJ. (można spróbować najpierw usuwać w Trybie Normalnym -często to się udaje) 2.Uruchom SmitfraudFix.exe ( podwójnie go kliknij) 3. Zainicjuje się linia komend i dostaniesz pierwszy z ekranów z prośbą o “wciśniecie jakiegokolwiek klawisza by kontynuować” więc z klawiatury ENTER: 4. Dostaniesz menu wyboru opcji na niebieskim ekranie: wpisz 2 i naciśnij ENTER 5. Zostanie uruchomione czyszczenie właściwe rozpoczęte od zabicia procesu explorer.exe (zniknie Pulpit i pasek zadań). Następnie padnie pytanie Do you want to clean the registry? - wpisz z klawiatury Y i ENTER, co zainicjuje usuwania kluczyków i restrykcji tapetek. 6.W dalszej kolejności narzędzie sprawdzi czy plik wininet.dll jest zainfekowany a jeśli tak, to może paść pytanie o podmianę pliku, o ile czystą kopię znaleziono: Replace infected file? = Y i ENTER. Jeśli „wininet” nie jest zarażony, to to zostanie pominięte. 7.Finalnie może być wymagany reset komputera by ukończyć sprzątanie.

Daj też log z ComboFix (na dole tej strony z linku) -

Log wklej na http://wklej.org/, a w poście daj tylko link.(czyli skopiuj adres z paska adresów) .

Zobaczymy, czy jeszcze coś zostanie do usuwania…

jessi

Donsowa · 29 Październik 2007 20:35

[C]

Złączono Posta : 29.10.2007 (Pon) 22:04

Niestety po wypakowaniu nie ma ikonki którą mogę odpalić SmitfraudFix.

Złączono Posta : 29.10.2007 (Pon) 23:12

SmitFraudFix v2.243 Scan done at 22:52:44,08, 2007-10-29 Run from C:\Program Files\vir\SmitfraudFix OS: Microsoft Windows XP [Wersja 5.1.2600] - Windows_NT The filesystem type is FAT32 Fix run in normal mode »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix !Attention, following keys are not inevitably infected! SrchSTS.exe by S!Ri Search SharedTaskScheduler’s .dll »»»»»»»»»»»»»»»»»»»»»»»» Killing process »»»»»»»»»»»»»»»»»»»»»»»» hosts »»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix S!Ri’s WS2Fix: LSP not Found. »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix GenericRenosFix by S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files Problem while deleting C:\Program Files\Video Add-on\ »»»»»»»»»»»»»»»»»»»»»»»» DNS Description: Karta Realtek RTL8029(AS) PCI Ethernet Adapter DNS Server Search Order: 194.204.152.34 DNS Server Search Order: 194.204.159.1 HKLM\SYSTEM\CCS\Services\Tcpip…{DE8A065D-E387-4DD7-87E7-6FFA5CCDAA83}: NameServer=194.204.152.34,194.204.159.1 HKLM\SYSTEM\CS1\Services\Tcpip…{DE8A065D-E387-4DD7-87E7-6FFA5CCDAA83}: NameServer=194.204.152.34,194.204.159.1 HKLM\SYSTEM\CS2\Services\Tcpip…{DE8A065D-E387-4DD7-87E7-6FFA5CCDAA83}: NameServer=194.204.152.34,194.204.159.1 »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System !Attention, following keys are not inevitably infected! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] “System”="" Złączono Posta: 29.10.2007 (Pon) 23:24 http://wklej.org/id/615c5653c5 Złączono Posta: 29.10.2007 (Pon) 23:28 Chyba wszystko zrobiłem jak napisała Jessica jednak w pasku zadań dalej jest ikonka (czerwona tarcza z X) i przy odpalaniu wyskakuje dymek “ten komputer może być zagrożony…” Złączono Posta: 29.10.2007 (Pon) 23:43 Sorki ale nie wyłączyłem przywracania systemu To jest właściwy raport SmitFraudFix v2.243 Scan done at 23:37:35,38, 2007-10-29 Run from C:\Program Files\vir\SmitfraudFix OS: Microsoft Windows XP [Wersja 5.1.2600] - Windows_NT The filesystem type is FAT32 Fix run in normal mode »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix !Attention, following keys are not inevitably infected! SrchSTS.exe by S!Ri Search SharedTaskScheduler’s .dll »»»»»»»»»»»»»»»»»»»»»»»» Killing process »»»»»»»»»»»»»»»»»»»»»»»» hosts 127.0.0.1 localhost »»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix S!Ri’s WS2Fix: LSP not Found. »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix GenericRenosFix by S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files C:\Program Files\Video Add-on\ Deleted »»»»»»»»»»»»»»»»»»»»»»»» DNS Description: Karta Realtek RTL8029(AS) PCI Ethernet Adapter DNS Server Search Order: 194.204.152.34 DNS Server Search Order: 194.204.159.1 HKLM\SYSTEM\CCS\Services\Tcpip…{DE8A065D-E387-4DD7-87E7-6FFA5CCDAA83}: NameServer=194.204.152.34,194.204.159.1 HKLM\SYSTEM\CS1\Services\Tcpip…{DE8A065D-E387-4DD7-87E7-6FFA5CCDAA83}: NameServer=194.204.152.34,194.204.159.1 HKLM\SYSTEM\CS2\Services\Tcpip…{DE8A065D-E387-4DD7-87E7-6FFA5CCDAA83}: NameServer=194.204.152.34,194.204.159.1 »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System !Attention, following keys are not inevitably infected! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] “System”="" »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning Registry Cleaning done. »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix !Attention, following keys are not inevitably infected! SrchSTS.exe by S!Ri Search SharedTaskScheduler’s .dll »»»»»»»»»»»»»»»»»»»»»»»» End Złączono Posta: 29.10.2007 (Pon) 23:50 http://wklej.org/id/1ade30b88e

Gutek · 30 Październik 2007 00:25

Pobierz program SDFix

Donsowa · 30 Październik 2007 19:42

Witam

Wykonałem wszystkie polecenia Gutka2222 i oto raport

SDFix: Version 1.112 Run by dm on 2007-10-30 at 20:31 Microsoft Windows XP [Wersja 5.1.2600] Running From: C:\SDFix Safe Mode: Checking Services: Restoring Windows Registry Values Restoring Windows Default Hosts File Rebooting… Normal Mode: Checking Files: No Trojan Files Found Removing Temp Files… ADS Check: C:\WINNT No streams found. C:\WINNT\system32 No streams found. C:\WINNT\system32\svchost.exe No streams found. C:\WINNT\system32\ntoskrnl.exe No streams found. Final Check: Remaining Services: ------------------ Authorized Application Key Export: [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] Remaining Files: --------------- Files with Hidden Attributes: Tue 16 Oct 2007 48 …SH. — “C:\WINNT\S8A67796B.tmp” Finished!

Pozdrawiam

jessica · 30 Październik 2007 21:26

Wklej do Notatnika :

File::

C:\WINNT\S8A67796B.tmp

>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku –>

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: ** Qoobox**.

jessi

Donsowa · 30 Październik 2007 21:44

Log powstały po zaleceniach Jessi

ComboFix 07-10-29.1** - dm 2007-10-30 22:38:16.3 - FAT32x86 Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.55 [GMT 1:00] Running from: C:\Program Files\ComboFix.exe Command switches used :: C:\Program Files\CFScript.txt * Created a new restore point FILE:: C:\WINNT\S8A67796B.tmp . ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINNT\S8A67796B.tmp . ((((((((((((((((((((((((( Files Created from 2007-09-28 to 2007-10-30 ))))))))))))))))))))))))))))))) . 2007-10-30 22:35 1,396,245 --a------ C:\Program Files\ComboFix.exe 2007-10-30 20:31 2007-10-30 19:03 2007-10-30 18:50 2007-10-29 23:15 51,200 --a------ C:\WINNT\NirCmd.exe 2007-10-29 22:52 1,130 --a------ C:\WINNT\system32\tmp.reg 2007-10-29 22:22 289,144 --a------ C:\WINNT\system32\VCCLSID.exe 2007-10-29 22:22 288,417 --a------ C:\WINNT\system32\SrchSTS.exe 2007-10-29 22:22 53,248 --a------ C:\WINNT\system32\Process.exe 2007-10-29 22:22 51,200 --a------ C:\WINNT\system32\dumphive.exe 2007-10-29 22:22 25,600 --a------ C:\WINNT\system32\WS2Fix.exe 2007-10-29 22:21 2007-10-29 22:09 966,744 --a------ C:\Program Files\SmitfraudFix.zip 2007-10-29 22:00 2007-10-29 19:29 2007-10-29 13:18 2007-10-29 13:18 2007-10-29 13:18 2007-10-24 20:20 2007-10-24 20:06 2007-10-24 20:06 2,293,712 --a------ C:\Program Files\FLV PlayerFCSetup.exe 2007-10-24 20:04 2007-10-24 20:01 2007-10-24 20:01 3,655,488 --a------ C:\Program Files\FLV PlayerRCATSetup.exe 2007-10-24 20:00 2007-10-24 20:00 411,248 --a------ C:\Program Files\FLV PlayerRCSetup.exe 2007-10-20 23:02 2007-10-19 13:23 2007-10-19 13:05 2007-10-19 13:05 592 --a------ C:\WINNT\chgkey.vbs 2007-10-18 20:13 2007-10-18 20:13 2007-10-18 20:13 2007-10-18 20:13 2007-10-18 20:13 2007-10-18 20:12 2007-10-18 20:12 2007-10-18 20:12 2007-10-18 20:12 2007-10-18 20:12 2007-10-18 20:12 2007-10-18 20:12 2007-10-18 20:07 221,184 --a------ C:\WINNT\system32\wmpns.dll 2007-10-18 20:04 2007-10-18 19:59 6,400 --a------ C:\WINNT\system32\drivers\splitter.sys 2007-10-18 19:57 19,017 --a------ C:\WINNT\system32\drivers\RTL8029.sys 2007-10-18 19:14 2007-10-18 19:14 24,661 --a------ C:\WINNT\system32\spxcoins.dll 2007-10-18 19:14 24,661 --a------ C:\WINNT\system32\dllcache\spxcoins.dll 2007-10-18 19:14 13,312 --a------ C:\WINNT\system32\irclass.dll 2007-10-18 19:14 13,312 --a------ C:\WINNT\system32\dllcache\irclass.dll 2007-10-18 19:14 11,264 --a------ C:\WINNT\system32\drivers\irenum.sys 2007-10-18 19:14 11,264 --a------ C:\WINNT\system32\dllcache\irenum.sys 2007-10-18 17:30 2007-10-18 11:52 2007-10-17 10:01 2007-10-16 13:34 2007-10-16 13:33 2007-10-16 13:28 2007-10-16 13:24 2007-10-16 13:19 171,792 --a------ C:\WINNT\system32\wjview.exe 2007-10-16 13:19 144,896 --a------ C:\WINNT\system32\dllcache\wmiprov.dll 2007-10-16 13:19 13,824 --a------ C:\WINNT\system32\dllcache\winmgmt.exe 2007-10-16 13:16 90,112 --a------ C:\WINNT\system32\mtxoci.dll 2007-10-16 13:16 90,112 --a------ C:\WINNT\system32\dllcache\mtxoci.dll 2007-10-16 13:16 20,480 --a------ C:\WINNT\system32\mtxdm.dll 2007-10-16 13:16 20,480 --a------ C:\WINNT\system32\dllcache\mtxdm.dll 2007-10-16 13:16 6,928 --------- C:\WINNT\system32\schmupd.exe 2007-10-16 13:13 678,400 --a------ C:\WINNT\system32\inetcomm.dll 2007-10-16 13:13 678,400 --a------ C:\WINNT\system32\dllcache\inetcomm.dll 2007-10-16 13:13 618,605 --a------ C:\WINNT\system32\dllcache\fp4autl.dll 2007-10-16 13:13 472,064 --a------ C:\WINNT\system32\dllcache\fastprox.dll 2007-10-16 13:13 349,696 --a------ C:\WINNT\system32\hypertrm.dll 2007-10-16 13:13 49,664 --a------ C:\WINNT\system32\inetres.dll 2007-10-16 13:13 49,664 --a------ C:\WINNT\system32\dllcache\inetres.dll 2007-10-16 13:11 67,584 --a------ C:\WINNT\system32\dllcache\acctres.dll 2007-10-16 13:11 67,584 --a------ C:\WINNT\system32\acctres.dll 2007-10-16 13:04 2007-10-16 12:18 2007-10-16 12:17 2007-10-16 12:17 2007-10-16 12:17 2007-10-16 10:51 2007-10-16 10:49 2007-10-16 10:44 2007-10-16 10:44 757,760 --------- C:\WINNT\Unnero.exe 2007-10-16 10:44 532,480 --------- C:\WINNT\system32\imagx5.dll 2007-10-16 10:44 507,904 --------- C:\WINNT\system32\imagr5.dll 2007-10-16 10:44 275,312 --------- C:\WINNT\system32\ImagXpr5.dll 2007-10-16 10:44 155,648 --------- C:\WINNT\system32\NeroCheck.exe 2007-10-16 10:44 106,496 --------- C:\WINNT\system32\TwnLib20.dll 2007-10-16 10:44 49,152 --------- C:\WINNT\system32\MultiSZ.dll 2007-10-16 10:44 35,328 --------- C:\WINNT\system32\picn20.dll 2007-10-16 10:37 2007-10-15 18:54 226,816 --a------ C:\WINNT\system32\dllcache\npdrmv2.dll 2007-10-15 18:54 10,240 --a------ C:\WINNT\system32\dllcache\npwmsdrm.dll 2007-10-15 18:48 2007-10-15 18:48 2007-10-15 18:29 2007-10-15 18:29 . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2007-10-30 21:36 31 ----a-w C:\Program Files\CFScript_used_2007-10-30@22.38.txt 2007-10-16 12:25 9,488 ----a-w C:\WINNT\AppPatch_STARTKY.DLL 2007-10-16 12:25 9,488 ----a-w C:\WINNT\AppPatch_PROFRQV.DLL 2007-10-16 12:25 9,488 ----a-w C:\WINNT\AppPatch_HNULLPR.DLL 2007-10-16 12:25 9,488 ----a-w C:\WINNT\AppPatch_FGDISPY.DLL 2007-10-16 12:25 9,488 ----a-w C:\WINNT\AppPatch_CDRSTOP.DLL 2007-10-16 12:25 8,976 ----a-w C:\WINNT\AppPatch_FDXSETP.DLL 2007-10-16 12:25 8,976 ----a-w C:\WINNT\AppPatch_DELFILE.DLL 2007-10-16 12:25 8,976 ----a-w C:\WINNT\AppPatch_DELAYSG.DLL 2007-10-16 12:25 8,464 ----a-w C:\WINNT\AppPatch_SYNCS32.DLL 2007-10-16 12:25 8,464 ----a-w C:\WINNT\AppPatch_SPAIAPA.DLL 2007-10-16 12:25 8,464 ----a-w C:\WINNT\AppPatch_SPAFTSL.DLL 2007-10-16 12:25 8,464 ----a-w C:\WINNT\AppPatch_DPEORDR.DLL 2007-10-16 12:25 8,464 ----a-w C:\WINNT\AppPatch_DINOACT.DLL 2007-10-16 12:25 7,952 ----a-w C:\WINNT\AppPatch_SACPROC.DLL 2007-10-16 12:25 7,952 ----a-w C:\WINNT\AppPatch_ROCDDIR.DLL 2007-10-16 12:25 7,952 ----a-w C:\WINNT\AppPatch_ILDLB.DLL 2007-10-16 12:25 7,952 ----a-w C:\WINNT\AppPatch_FWDTEXP.DLL 2007-10-16 12:25 7,952 ----a-w C:\WINNT\AppPatch_FOEBACK.DLL 2007-10-16 12:25 7,952 ----a-w C:\WINNT\AppPatch_DRANEXE.DLL 2007-10-16 12:25 7,952 ----a-w C:\WINNT\AppPatch_DNWODBS.DLL 2007-10-16 12:25 7,952 ----a-w C:\WINNT\AppPatch_DDWAIT.DLL 2007-10-16 12:25 7,952 ----a-w C:\WINNT\AppPatch_CDScrSv.DLL 2007-10-16 12:25 7,952 ----a-w C:\WINNT\AppPatch_BZONE01.DLL 2007-10-16 12:25 7,440 ----a-w C:\WINNT\AppPatch_USOCMAN.DLL 2007-10-16 12:25 7,440 ----a-w C:\WINNT\AppPatch_USNF97.DLL 2007-10-16 12:25 7,440 ----a-w C:\WINNT\AppPatch_ULTIMA9.DLL 2007-10-16 12:25 7,440 ----a-w C:\WINNT\AppPatch_LimFF.DLL 2007-10-16 12:25 7,440 ----a-w C:\WINNT\AppPatch_IALTTAB.DLL 2007-10-16 12:25 7,440 ----a-w C:\WINNT\AppPatch_FULLCMD.DLL 2007-10-16 12:25 7,440 ----a-w C:\WINNT\AppPatch_FSLRNUI.DLL 2007-10-16 12:25 7,440 ----a-w C:\WINNT\AppPatch_FREDRAW.DLL 2007-10-16 12:25 7,440 ----a-w C:\WINNT\AppPatch_FOCUSON.DLL 2007-10-16 12:25 7,440 ----a-w C:\WINNT\AppPatch_DXMUTEX.DLL 2007-10-16 12:25 7,440 ----a-w C:\WINNT\AppPatch_CMMANDO.DLL 2007-10-16 12:25 7,440 ----a-w C:\WINNT\AppPatch_CHKHEAP.DLL 2007-10-16 12:25 7,440 ----a-w C:\WINNT\AppPatch_CCV5.DLL 2007-10-16 12:25 7,440 ----a-w C:\WINNT\AppPatch_CCP16Bt.DLL 2007-10-16 12:25 7,440 ----a-w C:\WINNT\AppPatch_3DJNGTR.DLL 2007-10-16 12:25 6,928 ----a-w C:\WINNT\AppPatch_WRPRMDV.DLL 2007-10-16 12:25 6,928 ----a-w C:\WINNT\AppPatch_TEXTCOL.DLL 2007-10-16 12:25 6,928 ----a-w C:\WINNT\AppPatch_SWMSGBX.DLL 2007-10-16 12:25 6,928 ----a-w C:\WINNT\AppPatch_RIVEN00.DLL 2007-10-16 12:25 6,928 ----a-w C:\WINNT\AppPatch_RESTART.DLL 2007-10-16 12:25 6,928 ----a-w C:\WINNT\AppPatch_RCPYEXE.DLL 2007-10-16 12:25 6,928 ----a-w C:\WINNT\AppPatch_PROFENV.DLL 2007-10-16 12:25 6,928 ----a-w C:\WINNT\AppPatch_MAPID.DLL 2007-10-16 12:25 6,928 ----a-w C:\WINNT\AppPatch_IFRLIB.DLL 2007-10-16 12:25 6,928 ----a-w C:\WINNT\AppPatch_HIDERES.DLL 2007-10-16 12:25 6,928 ----a-w C:\WINNT\AppPatch_HBORD2K.DLL 2007-10-16 12:25 6,928 ----a-w C:\WINNT\AppPatch_FOROFIL.DLL 2007-10-16 12:25 6,928 ----a-w C:\WINNT\AppPatch_EXPNDSZ.DLL 2007-10-16 12:25 6,928 ----a-w C:\WINNT\AppPatch_DEWMMCB.DLL 2007-10-16 12:25 6,928 ----a-w C:\WINNT\AppPatch_CASINO4.DLL 2007-10-16 12:25 6,928 ----a-w C:\WINNT\AppPatch_APFOCUS.DLL 2007-10-16 12:25 6,928 ----a-w C:\WINNT\AppPatch_AMOVIEP.DLL 2007-10-16 12:25 6,416 ----a-w C:\WINNT\AppPatch_WMPAINT.DLL 2007-10-16 12:25 6,416 ----a-w C:\WINNT\AppPatch_WIR2Reg.dll 2007-10-16 12:25 6,416 ----a-w C:\WINNT\AppPatch_WIN95VL.DLL 2007-10-16 12:25 6,416 ----a-w C:\WINNT\AppPatch_WIN2KVL.DLL 2007-10-16 12:25 6,416 ----a-w C:\WINNT\AppPatch_WFAXP9.DLL 2007-10-16 12:25 6,416 ----a-w C:\WINNT\AppPatch_USR2COM.DLL 2007-10-16 12:25 6,416 ----a-w C:\WINNT\AppPatch_STATRSC.DLL 2007-10-16 12:25 6,416 ----a-w C:\WINNT\AppPatch_RMIMESS.DLL 2007-10-16 12:25 6,416 ----a-w C:\WINNT\AppPatch_PANZERC.DLL 2007-10-16 12:25 6,416 ----a-w C:\WINNT\AppPatch_IE5DOMS.DLL 2007-10-16 12:25 6,416 ----a-w C:\WINNT\AppPatch_HWVSPRX.DLL 2007-10-16 12:25 6,416 ----a-w C:\WINNT\AppPatch_GFAEXCP.DLL 2007-10-16 12:25 6,416 ----a-w C:\WINNT\AppPatch_FTMPMOD.DLL 2007-10-16 12:25 6,416 ----a-w C:\WINNT\AppPatch_FREHEAP.DLL 2007-10-16 12:25 6,416 ----a-w C:\WINNT\AppPatch_F18CARR.DLL 2007-10-16 12:25 6,416 ----a-w C:\WINNT\AppPatch_EXCRACE.DLL 2007-10-16 12:25 6,416 ----a-w C:\WINNT\AppPatch_DSYSPAL.DLL 2007-10-16 12:25 6,416 ----a-w C:\WINNT\AppPatch_DIRTTRA.DLL 2007-10-16 12:25 6,416 ----a-w C:\WINNT\AppPatch_DELFREE.DLL 2007-10-16 12:25 6,416 ----a-w C:\WINNT\AppPatch_CREVNAM.DLL 2007-10-16 12:25 6,416 ----a-w C:\WINNT\AppPatch_COMINIT.DLL 2007-10-16 12:25 6,416 ----a-w C:\WINNT\AppPatch_CJOYCAP.DLL 2007-10-16 12:25 6,416 ----a-w C:\WINNT\AppPatch_BLITZ01.DLL 2007-10-16 12:25 6,416 ----a-w C:\WINNT\AppPatch_BERP5.DLL 2007-10-16 12:25 6,416 ----a-w C:\WINNT\AppPatch_BATTLES.DLL 2007-10-16 12:25 6,416 ----a-w C:\WINNT\AppPatch_BADHOOK.DLL 2007-10-16 12:25 6,416 ----a-w C:\WINNT\AppPatch_AVIWIND.DLL 2007-10-16 12:25 6,416 ----a-w C:\WINNT\AppPatch_ACMSTRM.DLL 2007-10-16 12:25 6,416 ----a-w C:\WINNT\AppPatch_2GBFRSP.DLL 2007-10-16 12:25 5,904 ----a-w C:\WINNT\AppPatch_WOUPRDV.DLL 2007-10-16 12:25 5,904 ----a-w C:\WINNT\AppPatch_WINEDGE.DLL 2007-10-16 12:25 5,904 ----a-w C:\WINNT\AppPatch_WIN9XCD.DLL 2007-10-16 12:25 5,904 ----a-w C:\WINNT\AppPatch_WIN2SYS.DLL 2007-10-16 12:25 5,904 ----a-w C:\WINNT\AppPatch_VSASS.DLL 2007-10-16 12:25 5,904 ----a-w C:\WINNT\AppPatch_SYSCURS.DLL 2007-10-16 12:25 5,904 ----a-w C:\WINNT\AppPatch_SYSCOLO.DLL 2007-10-16 12:25 5,904 ----a-w C:\WINNT\AppPatch_SYNCMSG.DLL 2007-10-16 12:25 5,904 ----a-w C:\WINNT\AppPatch_SW99P.DLL 2007-10-16 12:25 5,904 ----a-w C:\WINNT\AppPatch_SPSOUND.DLL 2007-10-16 12:25 5,904 ----a-w C:\WINNT\AppPatch_SIMPWIN.DLL 2007-10-16 12:25 5,904 ----a-w C:\WINNT\AppPatch_SFNFIRQ.DLL 2007-10-16 12:25 5,904 ----a-w C:\WINNT\AppPatch_SANSHOW.DLL 2007-10-16 12:25 5,904 ----a-w C:\WINNT\AppPatch_RISKII.dll 2007-10-16 12:25 5,904 ----a-w C:\WINNT\AppPatch_RIFMICL.DLL . ((((((((((((((((((((((((((((( snapshot@2007-10-29_23.20.40.40 ))))))))))))))))))))))))))))))))))))))))) . + 2007-03-13 09:57:12 163,328 ----a-w C:\WINNT\erdnt\subs\F3M\ERDNT.EXE + 2007-10-25 08:52:30 163,328 ----a-w C:\WINNT\ERUNT\SDFIX\ERDNT.EXE + 2007-10-30 19:31:38 1,912,832 ----a-w C:\WINNT\ERUNT\SDFIX\Users\00000001\ntuser.dat + 2007-10-30 19:31:38 12,288 ----a-w C:\WINNT\ERUNT\SDFIX\Users\00000002\UsrClass.dat + 2007-10-25 08:52:30 163,328 ----a-w C:\WINNT\ERUNT\SDFIX_First_Run\ERDNT.EXE + 2007-10-30 19:31:28 1,912,832 ----a-w C:\WINNT\ERUNT\SDFIX_First_Run\Users\00000001\ntuser.dat + 2007-10-30 19:31:28 12,288 ----a-w C:\WINNT\ERUNT\SDFIX_First_Run\Users\00000002\UsrClass.dat + 2007-10-30 19:35:06 16,384 ----a-w C:\WINNT\Temp\Perflib_Perfdata_40c.dat . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE~\Browser Helper Objects{d3e23b4b-f153-4687-82c2-816319dd3c5a}] 2007-10-24 18:00 1453080 --a------ C:\Program Files\free-downloads\tbfre1.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] “{d3e23b4b-f153-4687-82c2-816319dd3c5a}”= C:\Program Files\free-downloads\tbfre1.dll [2007-10-24 18:00 1453080] [HKEY_CLASSES_ROOT\CLSID{d3e23b4b-f153-4687-82c2-816319dd3c5a}] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] “{D3E23B4B-F153-4687-82C2-816319DD3C5A}”= C:\Program Files\free-downloads\tbfre1.dll [2007-10-24 18:00 1453080] [HKEY_CLASSES_ROOT\CLSID{D3E23B4B-F153-4687-82C2-816319DD3C5A}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “Synchronization Manager”=“mobsync.exe” [2004-08-03 22:44 C:\WINNT\system32\mobsync.exe] “NvCplDaemon”=“C:\WINNT\system32\NvCpl.dll” [2006-10-22 12:22] “nwiz”=“nwiz.exe” [2006-10-22 12:22 C:\WINNT\system32\nwiz.exe] “AudioDeck”=“C:\Program Files\VIAudioi\SBADeck\ADeck.exe” [2004-07-13 14:43] “WinampAgent”=“C:\Program Files\Winamp\winampa.exe” [2007-10-10 07:28] “NeroCheck”=“C:\WINNT\system32\NeroCheck.exe” [2001-07-09 10:50] “NvMediaCenter”=“C:\WINNT\system32\NvMcTray.dll” [2006-10-22 12:22] “avast!”=“C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe” [2007-09-06 12:06] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “CTFMON.EXE”=“C:\WINNT\system32\ctfmon.exe” [2004-08-03 22:44] [HKEY_USERS.default\software\microsoft\windows\currentversion\runonce] “^SetupICWDesktop”=C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop “tscuninstall”=%systemroot%\system32\tscupgrd.exe [HKEY_USERS.default\software\microsoft\windows\currentversion\run] “internat.exe”=internat.exe [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sglfb.sys] @=“Driver” [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\tga.sys] @=“Driver” R3 rtl8029;Sterownik NT karty Realtek RTL8029(AS)-based PCI Ethernet;C:\WINNT\system32\DRIVERS\RTL8029.SYS S2 nvcap;nVidia WDM Video Capture (universal);C:\WINNT\system32\DRIVERS\nvcap.sys S2 nvTUNEP;nVidia WDM TVTuner;C:\WINNT\system32\DRIVERS\nvtunep.sys S2 nvtvSND;nVidia WDM TVAudio Crossbar;C:\WINNT\system32\DRIVERS\nvtvsnd.sys S2 NVXBAR;nVidia WDM A/V Crossbar;C:\WINNT\system32\DRIVERS\NVxbar.sys . ************************************************************************** catchme 0.3.1239 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-10-30 22:39:28 Windows 5.1.2600 Dodatek Service Pack 2 FAT NTAPI scanning hidden processes … scanning hidden autostart entries … scanning hidden files … scan completed successfully hidden files: 0 ************************************************************************** . Completion time: 2007-10-30 22:40:05 C:\ComboFix3.txt … 2007-10-29 23:21 C:\ComboFix2.txt … 2007-10-29 23:48 . — E O F —

jessica · 30 Październik 2007 21:52

Chyba jest OK, choć nie wiem, co to za pliki (jest ich więcej).

Znasz je?

jessi

Donsowa · 30 Październik 2007 22:10

Nie wiem co to jest

Ale wszystko wygląda OK

Myślę że już jest czysto