Pyra
(Pyra20)
21 Październik 2007 14:27
#1
Logfile of HijackThis v1.99.1 Scan saved at 16:28:38, on 2007-10-21 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programy\Smart Guardian\ITESMART.exe C:\Program Files\Eset\nod32kui.exe C:\Programy\HACE\Mmm\Mmm.exe C:\Programy\AVG Anti-Spyware 7.5\guard.exe C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe C:\Program Files\Eset\nod32krn.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe C:\Programy\FireFox\firefox.exe C:\Programy\foobar2000\foobar2000.exe C:\Programy\Konnekt\konnekt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programy\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe C:\DOCUME~1\PYRAAK~1\USTAWI~1\Temp\bmxknd.exe C:\DOCUME~1\PYRAAK~1\USTAWI~1\Temp\bmxknd.exe C:\DOCUME~1\PYRAAK~1\USTAWI~1\Temp\bmxknd.exe C:\DOCUME~1\PYRAAK~1\USTAWI~1\Temp\bmxknd.exe C:\Programy\Ad-Aware SE Personal\Ad-Aware.exe D:\Programy inst\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.windowsxlive.net R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll O3 - Toolbar: StylerToolBar - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - C:\Program Files\Styler\TB\StylerTB.dll O4 - HKLM…\Run: [smartGuardian] C:\Programy\Smart Guardian\ITESMART.exe O4 - HKLM…\Run: [nod32kui] “C:\Program Files\Eset\nod32kui.exe” /WAITSERVICE O4 - HKLM…\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU…\Run: [Mmm] “C:\Programy\HACE\Mmm\Mmm.exe” O4 - HKCU…\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O8 - Extra context menu item: Download all by Free Download Manager - file://C:\Programy\Free Download Manager\dlall.htm O8 - Extra context menu item: Download by Free Download Manager - file://C:\Programy\Free Download Manager\dllink.htm O8 - Extra context menu item: Download selected by Free Download Manager - file://C:\Programy\Free Download Manager\dlselected.htm O8 - Extra context menu item: Download web site by Free Download Manager - file://C:\Programy\Free Download Manager\dlpage.htm O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll O9 - Extra button: Wyślij do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra ‘Tools’ menuitem: Wyślij &do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programy\AVG Anti-Spyware 7.5\guard.exe O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programy\DiskeeperLite\DKService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programy\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
Komp włącza się tydzień, wiesz się często zaraz po włączeniu, nie da sięruszyć myszka ani nic zrobić, muzyka gra ale wszystko inne jet martwe, sam zablokował się menadżer zadań.
LostWorld
(LostWorld)
21 Październik 2007 16:02
#2
Znasz to?
http://www.pcworld.pl/news/76005.html
Bo tak to log wygląda na czysty.Nie wiem co to za pliki , google też mało mówią…
Pobierz program SDFix
Opis programu
Pyra
(Pyra20)
21 Październik 2007 16:41
#3
no więc tak:
Nie.
Menadżer sam się naprawił.
Nie mogę ściągnąć, wywala jakieś błędy.
Strona nie działa, więc wklejam tu całość.
ComboFix 07-10-21.1** - Pyra aka RMX!~ 2007-10-21 18:32:21.2 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.640 [GMT 2:00] Running from: C:\Documents and Settings\Pyra aka RMX!~\Pulpit\ComboFix.exe . ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) . C:\Documents and Settings\All Users\Dane aplikacji.\jcrcbihg.dll C:\Program Files\outlook C:\Program Files\VideoAccessCodec C:\Program Files\VideoAccessCodec\Uninstall.exe C:\WINDOWS\system32\driver C:\WINDOWS\system32\driver\btcusb.inf C:\WINDOWS\system32\driver\EPIUSB.INF C:\WINDOWS\system32\driver\EPIUSB.SYS C:\WINDOWS\system32\pskill.exe . ((((((((((((((((((((((((( Files Created from 2007-09-21 to 2007-10-21 ))))))))))))))))))))))))))))))) . 2007-10-21 18:32 2007-10-21 18:26 51,200 --a------ C:\WINDOWS\NirCmd.exe 2007-10-21 18:21 323,584 --a------ C:\WINDOWS\hstsys.dll 2007-10-21 18:21 278,528 --a------ C:\WINDOWS\ntspkfxt.dll 2007-10-21 18:21 258,048 --a------ C:\WINDOWS\hostctrl.dll 2007-10-21 18:21 109,568 --a------ C:\WINDOWS\nmcuninstall.exe 2007-10-21 18:21 79,872 --a------ C:\WINDOWS\htunistock.dll 2007-10-20 14:01 2007-10-20 14:01 2007-10-20 14:01 2007-10-09 19:05 2007-10-09 19:05 2007-10-02 15:40 174,592 --a------ C:\WINDOWS\system32\framedyn.dll 2007-10-02 15:38 5,632 --a------ C:\WINDOWS\system32\drivers\StarOpen.sys 2007-10-02 15:27 2007-10-02 15:27 . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2007-10-21 16:30 --------- d-----w C:\Documents and Settings\Pyra aka RMX!~\Dane aplikacji\foobar2000 2007-10-20 17:08 --------- d-----w C:\Documents and Settings\Pyra aka RMX!~\Dane aplikacji\Skype 2007-10-20 13:13 --------- d-----w C:\Documents and Settings\Pyra aka RMX!~\Dane aplikacji\Free Download Manager 2007-10-02 13:38 --------- d–h--w C:\Program Files\InstallShield Installation Information 2007-10-02 13:20 --------- d-----w C:\Program Files\Common Files\Adobe 2007-09-11 13:46 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Test Drive Unlimited 2007-09-09 10:42 107,888 ----a-w C:\WINDOWS\system32\CmdLineExt.dll 2007-09-09 10:42 --------- d–h--r C:\Documents and Settings\Pyra aka RMX!~\Dane aplikacji\SecuROM 2007-09-08 10:02 512,096 ----a-w C:\WINDOWS\system32\drivers\amon.sys 2007-09-08 10:02 299,392 ----a-w C:\WINDOWS\system32\imon.dll 2007-09-08 10:02 15,424 ----a-w C:\WINDOWS\system32\drivers\nod32drv.sys 2007-09-03 10:59 --------- d-----w C:\Program Files\Vista Sidebar 2007-09-03 10:52 --------- d-----w C:\Program Files\ViStart 2007-09-03 10:50 219,648 ----a-w C:\WINDOWS\system32\uxtheme.dll 2007-09-03 10:49 --------- d-----w C:\Documents and Settings\Pyra aka RMX!~\Dane aplikacji\ViStart 2007-09-03 09:53 --------- d-----w C:\Program Files\VisualTooltip 2007-09-03 09:53 --------- d-----w C:\Program Files\ViOrb 2007-09-03 09:53 --------- d-----w C:\Program Files\Styler 2007-09-03 09:53 --------- d-----w C:\Program Files\LClock 2007-08-26 12:57 40,960 ----a-w C:\WINDOWS\BMW 3 Series Touring.dll 2007-08-26 12:57 302,244 ----a-w C:\WINDOWS\BMW 3 Series Touring.scr 2007-08-26 12:57 1,549,154 ----a-w C:\WINDOWS\BMW 3 Series Touring.exe 2007-08-24 18:20 --------- d-----w C:\Program Files\Common Files\Vbox . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE~\Browser Helper Objects{4E2039AB-318D-79EB-FD19-0A4143B43DD8}] 2007-10-21 18:32 102400 --a------ C:\Program Files\btfwkmab\pmbuawkf.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] “{C58A4487-4C2E-45E4-9E3A-52B3A23CC396}”= C:\WINDOWS\htunistock.dll [2007-10-20 16:32 79872] [HKEY_CLASSES_ROOT\CLSID{C58A4487-4C2E-45E4-9E3A-52B3A23CC396}] [HKEY_CLASSES_ROOT\htunistock.ToolBar.1] [HKEY_CLASSES_ROOT\TypeLib{84C94803-B5EC-4491-B2BE-7B113E013B77}] [HKEY_CLASSES_ROOT\htunistock.ToolBar] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “SmartGuardian”=“C:\Programy\Smart Guardian\ITESMART.exe” [2006-01-18 10:36] “nod32kui”=“C:\Program Files\Eset\nod32kui.exe” [2007-09-08 12:02] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “Mmm”=“C:\Programy\HACE\Mmm\Mmm.exe” [2006-01-11 18:28] “ctfmon.exe”=“C:\WINDOWS\system32\ctfmon.exe” [2004-08-04 00:44] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer] “NoSMHelp”=1 (0x1) [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] “NoSMBalloonTip”=0 (0x0) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] “hostctrl”= {424A9D0C-765B-4F7D-8C66-4028B9D706F4} - C:\WINDOWS\hostctrl.dll [2007-10-20 16:32 258048] “hstsys”= {76544CFB-EA17-466C-B3EF-74A3BF642F4F} - C:\WINDOWS\hstsys.dll [2007-10-20 16:32 323584] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^Pyra aka RMX!~^Menu Start^Programy^Autostart^Tworzenie wycinków ekranu i uruchamianie programu OneNote 2007.lnk] backup=C:\WINDOWS\pss\Tworzenie wycinków ekranu i uruchamianie programu OneNote 2007.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg!AVG Anti-Spyware] “C:\Programy\AVG Anti-Spyware 7.5\avgas.exe” /minimized [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher] “C:\Programy\Adobe\Reader 8.0\Reader\Reader_sl.exe” [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BearShare] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools-1033] “C:\Programy\D-Tools\daemon.exe” -lang 1033 [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Gadu-Gadu] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck] %systemroot%\system32\dumprep 0 -k [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Konnekt] “C:\Programy\Konnekt\konnekt.exe” /autostart [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LClock] C:\Program Files\LClock\LClock.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz] nwiz.exe /install [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\outlook] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RivaTuner] “C:\Programy\RivaTuner v2.0 Final Release\RivaTuner.exe” /T [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan] SOUNDMAN.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Vista Sidebar] C:\Program Files\Vista Sidebar\sidebar.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ViStart] C:\Program Files\ViStart\ViStart.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VisualTooltip] C:\Program Files\VisualTooltip\VisualToolTip.exe R0 nvcchflt;NVIDIA Disk Cache Filter Driver;C:\WINDOWS\system32\DRIVERS\nvcchflt.sys R1 fwdrv;Firewall Driver;C:\WINDOWS\system32\drivers\fwdrv.sys R1 khips;Kerio HIPS Driver;C:\WINDOWS\system32\drivers\khips.sys R3 AmdTools;AMD Special Tools Driver;C:\WINDOWS\system32\DRIVERS\AmdTools.sys S3 RivaTuner32;RivaTuner32;??\C:\Programy\RivaTuner v2.0 Final Release\RivaTuner32.sys . Contents of the ‘Scheduled Tasks’ folder “2007-10-19 15:15:00 C:\WINDOWS\Tasks\1-Click Maintenance.job” - C:\Programy\TuneUp Utilities 2006\SystemOptimizer.exe . ************************************************************************** catchme 0.3.1232 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-10-21 18:37:05 Windows 5.1.2600 Dodatek Service Pack 2 NTFS scanning hidden processes … scanning hidden autostart entries … scanning hidden files … scan completed successfully hidden files: 0 ************************************************************************** . Completion time: 2007-10-21 18:40:39 - machine was rebooted . — E O F —
Dodatkowo cały czas wywala mi jakieś komunikaty że Dysk A nie jest gotowy do użycia a ja nawet nie mam dyskietki, dodtego komputer pomimo optymalizacji włącza się bardzo długo i długo się wyłącza
Nod też wywala komunikaty o jakichś wirusach w danej aplikacji ;X
Złączono Posta : 21.10.2007 (Nie) 18:53
ojojojo po skanie tym programem cały windows się sypie ! Jak włączam kompa pokazuje się na cały ekran strona powitalna z napisem Welcome (nakładka wista na xp) i zostaje jako tapeta, na dole pokazuje się tray, nie da się zminimalizować fire foxa nie wiem co mam robić;/
LostWorld
(LostWorld)
21 Październik 2007 17:41
#4
Jakie błędy?Dobrze by było gdyby udało ci się przelecieć SDFixem , bo syfu trochę masz.
Pobierz : SmitFraudFix
Tryb numer 2 i wklejasz raport **(C:\SmitfraudFix.txt).**Oczywiście w trybie awaryjnym.
Pyra
(Pyra20)
21 Październik 2007 19:36
#5
No więc tak:
jak chce zassać sdfix’a to:
Wszedłem do wwdc i wyskoczył mi komunikat że mój komputer prawdopodobnie jest zainfekowany, zamknąłem 1 port który był otwarty i jest coś lepiej al,e dalej jest źle :x
SmitFraudFix v2.240 Scan done at 21:33:29,96, 2007-10-21 Run from C:\Documents and Settings\Pyra aka RMX!~\Pulpit\SmitfraudFix OS: Microsoft Windows XP [Wersja 5.1.2600] - Windows_NT The filesystem type is NTFS Fix run in safe mode »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix !Attention, following keys are not inevitably infected! SrchSTS.exe by S!Ri Search SharedTaskScheduler’s .dll »»»»»»»»»»»»»»»»»»»»»»»» Killing process »»»»»»»»»»»»»»»»»»»»»»»» hosts 127.0.0.1 localhost »»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix S!Ri’s WS2Fix: LSP not Found. »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix GenericRenosFix by S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files »»»»»»»»»»»»»»»»»»»»»»»» DNS HKLM\SYSTEM\CCS\Services\Tcpip…{72605869-88B1-4261-841C-A375AD9AF3AA}: DhcpNameServer=10.0.0.1 194.204.159.1 194.204.152.34 HKLM\SYSTEM\CCS\Services\Tcpip…{FC7FB1AC-73B6-41B9-96AB-C9D104EF62BD}: DhcpNameServer=10.0.0.1 194.204.159.1 194.204.152.34 HKLM\SYSTEM\CS1\Services\Tcpip…{72605869-88B1-4261-841C-A375AD9AF3AA}: DhcpNameServer=10.0.0.1 194.204.159.1 194.204.152.34 HKLM\SYSTEM\CS1\Services\Tcpip…{FC7FB1AC-73B6-41B9-96AB-C9D104EF62BD}: DhcpNameServer=10.0.0.1 194.204.159.1 194.204.152.34 HKLM\SYSTEM\CS2\Services\Tcpip…{72605869-88B1-4261-841C-A375AD9AF3AA}: DhcpNameServer=10.0.0.1 194.204.159.1 194.204.152.34 HKLM\SYSTEM\CS2\Services\Tcpip…{FC7FB1AC-73B6-41B9-96AB-C9D104EF62BD}: DhcpNameServer=10.0.0.1 194.204.159.1 194.204.152.34 HKLM\SYSTEM\CS3\Services\Tcpip…{72605869-88B1-4261-841C-A375AD9AF3AA}: DhcpNameServer=10.0.0.1 194.204.159.1 194.204.152.34 HKLM\SYSTEM\CS3\Services\Tcpip…{FC7FB1AC-73B6-41B9-96AB-C9D104EF62BD}: DhcpNameServer=10.0.0.1 194.204.159.1 194.204.152.34 HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=10.0.0.1 194.204.159.1 194.204.152.34 HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=10.0.0.1 194.204.159.1 194.204.152.34 HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=10.0.0.1 194.204.159.1 194.204.152.34 HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=10.0.0.1 194.204.159.1 194.204.152.34 »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System !Attention, following keys are not inevitably infected! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] “System”="" »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning Registry Cleaning done. »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix !Attention, following keys are not inevitably infected! SrchSTS.exe by S!Ri Search SharedTaskScheduler’s .dll »»»»»»»»»»»»»»»»»»»»»»»» End
jessica
(jessica)
21 Październik 2007 23:02
#6
Wklej do Notatnika :
File::
C:\Program Files\btfwkmab\pmbuawkf.dll
C:\WINDOWS\hstsys.dll
C:\WINDOWS\ntspkfxt.dll
C:\WINDOWS\hostctrl.dll
C:\WINDOWS\nmcuninstall.exe
C:\WINDOWS\htunistock.dll
Folder::
C:\Program Files\btfwkmab
Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{4E2039AB-318D-79EB-FD19-0A4143B43DD8}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{C58A4487-4C2E-45E4-9E3A-52B3A23CC396}"=-
[-HKEY_CLASSES_ROOT\CLSID\{C58A4487-4C2E-45E4-9E3A-52B3A23CC396}]
[-HKEY_CLASSES_ROOT\htunistock.ToolBar.1]
[-HKEY_CLASSES_ROOT\htunistock.ToolBar]
[-HKEY_CLASSES_ROOT\TypeLib\{84C94803-B5EC-4491-B2BE-7B113E013B77}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"hostctrl"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"hstsys"=-
>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )
– podobnie jak na tym obrazku –>
(jeśli pojawi się pytanie " 1 or 2 " - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)
Po restarcie usuń ręcznie folder C: * * Qoobox**.
Daj ten log z ComboFixa.
jessi
Pyra
(Pyra20)
22 Październik 2007 05:41
#7
ale mi się dziś schizy porobiły, włączyłem kompa a tu czerwona tapeta że komp został zainfekowany i żebym jakieś programy ściągnął ale zrobiłem z tym notatnikiem i combofixem i pomogło…
ComboFix 07-10-21.1** - Pyra aka RMX!~ 2007-10-22 7:36:10.3 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.618 [GMT 2:00] Running from: D:\ComboFix.exe Command switches used :: D:\CFScript.txt * Created a new restore point FILE:: C:\Program Files\btfwkmab\pmbuawkf.dll C:\WINDOWS\hostctrl.dll C:\WINDOWS\hstsys.dll C:\WINDOWS\htunistock.dll C:\WINDOWS\nmcuninstall.exe C:\WINDOWS\ntspkfxt.dll . ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) . C:\Documents and Settings\Pyra aka RMX!~\Pulpit\Error Cleaner.url C:\Documents and Settings\Pyra aka RMX!~\Pulpit\Privacy Protector.url C:\Documents and Settings\Pyra aka RMX!~\Pulpit\Spyware&Malware Protection.url C:\Documents and Settings\Pyra aka RMX!~\Ulubione\Error Cleaner.url C:\Documents and Settings\Pyra aka RMX!~\Ulubione\Privacy Protector.url C:\Documents and Settings\Pyra aka RMX!~\Ulubione\Spyware&Malware Protection.url C:\Program Files\btfwkmab C:\Program Files\btfwkmab\pmbuawkf.dll C:\WINDOWS\hostctrl.dll C:\WINDOWS\hstsys.dll C:\WINDOWS\htunistock.dll C:\WINDOWS\nmcuninstall.exe C:\WINDOWS\ntspkfxt.dll C:\WINDOWS\privacy_danger C:\WINDOWS\privacy_danger\images\capt.gif C:\WINDOWS\privacy_danger\images\danger.jpg C:\WINDOWS\privacy_danger\images\down.gif C:\WINDOWS\privacy_danger\images\spacer.gif C:\WINDOWS\privacy_danger\index.htm . ((((((((((((((((((((((((( Files Created from 2007-09-22 to 2007-10-22 ))))))))))))))))))))))))))))))) . 2007-10-21 21:33 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe 2007-10-21 21:33 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe 2007-10-21 21:33 53,248 --a------ C:\WINDOWS\system32\Process.exe 2007-10-21 21:33 51,200 --a------ C:\WINDOWS\system32\dumphive.exe 2007-10-21 21:33 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe 2007-10-21 21:33 2,074 --a------ C:\WINDOWS\system32\tmp.reg 2007-10-21 18:26 51,200 --a------ C:\WINDOWS\NirCmd.exe 2007-10-20 14:01 2007-10-20 14:01 2007-10-20 14:01 2007-10-09 19:05 2007-10-09 19:05 2007-10-02 15:40 174,592 --a------ C:\WINDOWS\system32\framedyn.dll 2007-10-02 15:38 5,632 --a------ C:\WINDOWS\system32\drivers\StarOpen.sys 2007-10-02 15:27 2007-10-02 15:27 . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2007-10-21 20:35 --------- d-----w C:\Documents and Settings\Pyra aka RMX!~\Dane aplikacji\foobar2000 2007-10-21 19:32 167 ----a-w C:\WINDOWS\system32\drivers\fwdrv.err 2007-10-20 17:08 --------- d-----w C:\Documents and Settings\Pyra aka RMX!~\Dane aplikacji\Skype 2007-10-20 13:13 --------- d-----w C:\Documents and Settings\Pyra aka RMX!~\Dane aplikacji\Free Download Manager 2007-10-02 13:38 --------- d–h--w C:\Program Files\InstallShield Installation Information 2007-10-02 13:20 --------- d-----w C:\Program Files\Common Files\Adobe 2007-09-11 13:46 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Test Drive Unlimited 2007-09-09 10:42 107,888 ----a-w C:\WINDOWS\system32\CmdLineExt.dll 2007-09-09 10:42 --------- d–h--r C:\Documents and Settings\Pyra aka RMX!~\Dane aplikacji\SecuROM 2007-09-08 10:02 512,096 ----a-w C:\WINDOWS\system32\drivers\amon.sys 2007-09-08 10:02 299,392 ----a-w C:\WINDOWS\system32\imon.dll 2007-09-08 10:02 15,424 ----a-w C:\WINDOWS\system32\drivers\nod32drv.sys 2007-09-03 10:59 --------- d-----w C:\Program Files\Vista Sidebar 2007-09-03 10:52 --------- d-----w C:\Program Files\ViStart 2007-09-03 10:50 219,648 ----a-w C:\WINDOWS\system32\uxtheme.dll 2007-09-03 10:49 --------- d-----w C:\Documents and Settings\Pyra aka RMX!~\Dane aplikacji\ViStart 2007-09-03 09:53 --------- d-----w C:\Program Files\VisualTooltip 2007-09-03 09:53 --------- d-----w C:\Program Files\ViOrb 2007-09-03 09:53 --------- d-----w C:\Program Files\Styler 2007-09-03 09:53 --------- d-----w C:\Program Files\LClock 2007-08-26 12:57 40,960 ----a-w C:\WINDOWS\BMW 3 Series Touring.dll 2007-08-26 12:57 302,244 ----a-w C:\WINDOWS\BMW 3 Series Touring.scr 2007-08-26 12:57 1,549,154 ----a-w C:\WINDOWS\BMW 3 Series Touring.exe 2007-08-24 18:20 --------- d-----w C:\Program Files\Common Files\Vbox . ((((((((((((((((((((((((((((( snapshot@2007-10-21_18.39.57.29 ))))))))))))))))))))))))))))))))))))))))) . + 2007-10-21 19:39:47 34,308 ----a-w C:\WINDOWS\system32\BASSMOD.dll - 2007-10-20 20:28:49 70,806 ----a-w C:\WINDOWS\system32\perfc009.dat + 2007-10-21 16:41:00 70,806 ----a-w C:\WINDOWS\system32\perfc009.dat - 2007-10-20 20:28:49 89,988 ----a-w C:\WINDOWS\system32\perfc015.dat + 2007-10-21 16:41:00 89,988 ----a-w C:\WINDOWS\system32\perfc015.dat - 2007-10-20 20:28:49 434,676 ----a-w C:\WINDOWS\system32\perfh009.dat + 2007-10-21 16:41:00 434,676 ----a-w C:\WINDOWS\system32\perfh009.dat - 2007-10-20 20:28:49 492,878 ----a-w C:\WINDOWS\system32\perfh015.dat + 2007-10-21 16:41:00 492,878 ----a-w C:\WINDOWS\system32\perfh015.dat . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “SmartGuardian”=“C:\Programy\Smart Guardian\ITESMART.exe” [2006-01-18 10:36] “nod32kui”=“C:\Program Files\Eset\nod32kui.exe” [2007-09-08 12:02] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “Mmm”=“C:\Programy\HACE\Mmm\Mmm.exe” [2006-01-11 18:28] “ctfmon.exe”=“C:\WINDOWS\system32\ctfmon.exe” [2004-08-04 00:44] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer] “NoSMHelp”=1 (0x1) [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] “NoSMBalloonTip”=0 (0x0) [HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0] Source= file:///C:\WINDOWS\privacy_danger\index.htm FriendlyName= Privacy Protection [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^Pyra aka RMX!~^Menu Start^Programy^Autostart^Tworzenie wycinków ekranu i uruchamianie programu OneNote 2007.lnk] backup=C:\WINDOWS\pss\Tworzenie wycinków ekranu i uruchamianie programu OneNote 2007.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg!AVG Anti-Spyware] “C:\Programy\AVG Anti-Spyware 7.5\avgas.exe” /minimized [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher] “C:\Programy\Adobe\Reader 8.0\Reader\Reader_sl.exe” [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BearShare] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools-1033] “C:\Programy\D-Tools\daemon.exe” -lang 1033 [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Gadu-Gadu] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck] %systemroot%\system32\dumprep 0 -k [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Konnekt] “C:\Programy\Konnekt\konnekt.exe” /autostart [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LClock] C:\Program Files\LClock\LClock.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz] nwiz.exe /install [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\outlook] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RivaTuner] “C:\Programy\RivaTuner v2.0 Final Release\RivaTuner.exe” /T [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan] SOUNDMAN.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Vista Sidebar] C:\Program Files\Vista Sidebar\sidebar.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ViStart] C:\Program Files\ViStart\ViStart.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VisualTooltip] C:\Program Files\VisualTooltip\VisualToolTip.exe R0 nvcchflt;NVIDIA Disk Cache Filter Driver;C:\WINDOWS\system32\DRIVERS\nvcchflt.sys R1 fwdrv;Firewall Driver;C:\WINDOWS\system32\drivers\fwdrv.sys R1 khips;Kerio HIPS Driver;C:\WINDOWS\system32\drivers\khips.sys R3 AmdTools;AMD Special Tools Driver;C:\WINDOWS\system32\DRIVERS\AmdTools.sys S3 RivaTuner32;RivaTuner32;??\C:\Programy\RivaTuner v2.0 Final Release\RivaTuner32.sys *Newly Created Service* - ZNTPORT . Contents of the ‘Scheduled Tasks’ folder “2007-10-19 15:15:00 C:\WINDOWS\Tasks\1-Click Maintenance.job” - C:\Programy\TuneUp Utilities 2006\SystemOptimizer.exe . ************************************************************************** catchme 0.3.1232 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-10-22 07:41:07 Windows 5.1.2600 Dodatek Service Pack 2 NTFS scanning hidden processes … scanning hidden autostart entries … scanning hidden files … scan completed successfully hidden files: 0 ************************************************************************** . Completion time: 2007-10-22 7:42:32 - machine was rebooted . — E O F —
Złączono Posta : 22.10.2007 (Pon) 7:42
chociaż nie do końca bo zamiast tapety mam białe tło, nie mogę wejść do właściwości
jessica
(jessica)
22 Październik 2007 07:05
#8
Na to Ci chyba nie jestem w stanie pomóc.
Ale masz do zrobienia jeszcze jedno:
Wklej do Notatnika :
Registry::
[-HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
>>Plik>>Zapisz jako… >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
– podobnie jak na tym obrazku –>
Ma się rozpocząć usuwanie. (i powstanie log)
Po restarcie usuń ręcznie folder C: * * Qoobox**.
Daj ten log do kontroli i napisz, czy poprawiło to sytuację z tapetą.
jessi
jessica
(jessica)
22 Październik 2007 12:58
#10
Wg mnie - jest OK.
Nie napisałeś, czy poprawiło to sytuację?
jessi
Pyra
(Pyra20)
22 Październik 2007 14:28
#11
jak narazie niby wszystko ok…
dzieki wielkie za pomoc