Regulamin forum
1. Każdy temat powinien odzwierciedlać treść wątku.2. W przypadku wklejania logów; należy je wykonać od razu przynajmniej z dwóch narzędzi: FRST oraz z GMER
3. Wszelkie logi proszę publikować na przeznaczonych do tego stronach a w poście wklejać tylko link.
4. Nie wskazane jest skracanie logów, należy wkleić cały - od początku, do końca.
5. Nie wskazane jest podczepianie się do tematów innych użytkowników - proszę założyć nowy temat w dziale Bezpieczeństwo, ułatwi to pomoc sprawdzającemu.
6. Osoby nie posiadające odpowiedniej wiedzy, nie powinny sprawdzać logów, ponieważ grozi to poważnym uszkodzeniem systemu lub aplikacji zainstalowanych na komputerze.
7. Należy dokładnie opisać problem, występujące objawy oraz wszelkie podjęte działania.
8. Każdy skrypt jest unikatowy, napisany dla każdego przypadku z osobna, więc nie może być stosowany przez innych.
9. W przypadku zamieszczenia zrzutu ekranu (screenshot'a) proszę korzystać z zewnętrznego serwisu oferującego hosting zdjęć.
amvo jak usunąć z pena
25 Maj 2008, 23:37
Witam serdecznie,
Ostatnio w pracy zawirusowało wszystkie kompy czymś co przenosi się przez pen-drive. W związku z tym jako, że i tak planowałam przeinstalowanie systemu to tak też uczyniłam, jak i zmieniłam partycję czyli wykasowałam wszystko. Zainstalowalam na kompie Norton Internet Security. Niestety po niecałym dniu użytkowania i jednorazowym włożeniu pena (i sformatowaniu) przy uruchamianiu kompa zaczął pojawiać się komunikat o błędzie amvo.exe i braku możliwości czytania.
Po przeczytaniu paru informacji na forum sciągnęłam ComboFix. Po pierwszym uruchomieniu otrzymałam następującego loga:
ComboFix 08-05-25.3 - Ja 2008-05-25 22:48:04.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1250.1.1045.18.605 [GMT 2:00]
Running from: D:\programy\ComboFix.exe
* Created a new restore point
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\autorun.inf
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\amvo0.dll
D:\Autorun.inf
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_NWSAPAGENT
-------\Service_NwSapAgent
((((((((((((((((((((((((( Files Created from 2008-04-25 to 2008-05-25 )))))))))))))))))))))))))))))))
.
2008-05-25 21:31 . 2008-05-25 21:31 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\InstallShield
2008-05-25 21:20 . 2008-05-25 21:20 <DIR> d-------- C:\Program Files\GALA-NET
2008-05-25 21:20 . 2005-08-11 15:29 73,728 --a------ C:\WINDOWS\system32\ISUSPM.cpl
2008-05-25 19:28 . 2008-05-25 19:28 <DIR> d-------- C:\Program Files\SubEdit-Player
2008-05-25 18:31 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll
2008-05-25 18:31 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui
2008-05-25 18:06 . 2008-05-25 18:06 <DIR> d-------- C:\Documents and Settings\Ja\Dane aplikacji\teamspeak2
2008-05-25 18:06 . 2008-05-25 18:06 34,064 --a------ C:\WINDOWS\system32\lhacm.acm
2008-05-25 18:05 . 2008-05-25 18:06 <DIR> d-------- C:\Program Files\Teamspeak2_RC2
2008-05-25 17:09 . 2008-05-25 17:09 <DIR> d-------- C:\Program Files\Common Files\Adobe
2008-05-25 16:29 . 2008-05-25 16:29 <DIR> d-------- C:\Program Files\Windows Media Connect 2
2008-05-25 16:27 . 2008-05-25 16:27 <DIR> d-------- C:\WINDOWS\system32\LogFiles
2008-05-25 16:27 . 2008-05-25 16:28 <DIR> d-------- C:\WINDOWS\system32\drivers\UMDF
2008-05-25 15:36 . 2008-05-25 15:36 <DIR> d-------- C:\WINDOWS\system32\pl
2008-05-25 15:36 . 2008-05-25 15:36 <DIR> d-------- C:\WINDOWS\system32\bits
2008-05-25 15:36 . 2008-05-25 15:36 <DIR> d-------- C:\WINDOWS\l2schemas
2008-05-25 15:33 . 2008-05-25 15:36 <DIR> d-------- C:\WINDOWS\ServicePackFiles
2008-05-25 15:24 . 2008-05-25 15:24 <DIR> d-------- C:\WINDOWS\EHome
2008-05-25 15:15 . 2004-08-03 22:29 1,897,408 --------- C:\WINDOWS\system32\drivers\nv4_mini.sys
2008-05-25 15:13 . 2004-08-04 00:35 701,440 --------- C:\WINDOWS\system32\drivers\ati2mtag.sys
2008-05-25 14:51 . 2008-05-25 14:51 <DIR> d-------- C:\Intel
2008-05-25 14:51 . 2005-03-22 13:58 167,936 --a------ C:\WINDOWS\system32\igfxres.dll
2008-05-25 14:33 . 2008-03-01 15:02 6,066,176 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll
2008-05-25 14:33 . 2007-04-17 11:32 2,455,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dat
2008-05-25 14:33 . 2007-03-08 07:11 1,036,288 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll.mui
2008-05-25 14:33 . 2008-03-01 15:02 459,264 -----c--- C:\WINDOWS\system32\dllcache\msfeeds.dll
2008-05-25 14:33 . 2008-03-01 15:02 383,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dll
2008-05-25 14:33 . 2008-03-01 15:02 267,776 -----c--- C:\WINDOWS\system32\dllcache\iertutil.dll
2008-05-25 14:33 . 2008-03-01 15:02 63,488 -----c--- C:\WINDOWS\system32\dllcache\icardie.dll
2008-05-25 14:33 . 2008-03-01 15:02 52,224 -----c--- C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2008-05-25 14:33 . 2008-02-22 12:00 13,824 -----c--- C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-05-25 14:31 . 2008-05-25 15:36 <DIR> d-------- C:\WINDOWS\system32\pl-pl
2008-05-25 14:15 . 2008-05-25 14:15 <DIR> d-------- C:\WINDOWS\tiinst
2008-05-25 14:10 . 2008-05-25 14:10 <DIR> d-------- C:\Program Files\Analog Devices
2008-05-25 14:10 . 2004-12-08 17:16 49,152 --a------ C:\WINDOWS\system32\DSndUp.exe
2008-05-25 14:10 . 2002-04-17 15:05 45,056 --a------ C:\WINDOWS\system32\CleanUp.exe
2008-05-25 14:08 . 2008-04-14 19:21 129,536 --a------ C:\WINDOWS\system32\ksproxy.ax
2008-05-25 14:08 . 2008-04-13 20:45 60,160 --a------ C:\WINDOWS\system32\drivers\drmk.sys
2008-05-25 14:08 . 2007-08-10 20:53 26,488 --a------ C:\WINDOWS\system32\spupdsvc.exe
2008-05-25 14:08 . 2008-04-14 19:20 4,096 --a------ C:\WINDOWS\system32\ksuser.dll
2008-05-25 14:07 . 2005-04-25 15:09 135,168 --a------ C:\WINDOWS\system32\drivers\ADIHdAud.sys
2008-05-25 14:06 . 2008-05-25 14:06 <DIR> d-------- C:\WINDOWS\OPTIONS
2008-05-25 14:06 . 2005-03-04 11:10 74,496 --a------ C:\WINDOWS\system32\drivers\Rtlnicxp.sys
2008-05-25 14:03 . 2008-05-25 14:35 <DIR> d--h----- C:\WINDOWS\$hf_mig$
2008-05-25 14:03 . 2008-05-25 12:11 107,792 -r-hs---- C:\qa8sywva.cmd
2008-05-25 13:59 . 2008-05-25 21:20 <DIR> d--h----- C:\Program Files\InstallShield Installation Information
2008-05-25 13:59 . 2008-05-25 21:20 <DIR> d-------- C:\Program Files\Common Files\InstallShield
2008-05-25 13:56 . 2008-05-25 13:56 <DIR> d-------- C:\fsc.tmp
2008-05-25 13:54 . 2008-05-25 13:54 421 --a------ C:\WINDOWS\ODBC.INI
2008-05-25 13:53 . 2007-04-09 13:23 28,040 --a------ C:\WINDOWS\system32\mdimon.dll
2008-05-25 13:52 . 2008-05-25 13:53 <DIR> d-------- C:\WINDOWS\SHELLNEW
2008-05-25 13:52 . 2008-05-25 16:24 <DIR> d-------- C:\Program Files\Microsoft Works
2008-05-25 13:45 . 2008-05-25 13:45 13,646 --a------ C:\WINDOWS\system32\wpa.bak
2008-05-25 13:30 . 2008-05-25 22:47 <DIR> d-------- C:\Program Files\FlashGet
2008-05-25 13:30 . 2004-08-04 14:00 359,040 --a------ C:\WINDOWS\system32\drivers\tcpip.sys.flg
2008-05-25 13:25 . 2008-05-25 13:25 <DIR> d--hs---- C:\Documents and Settings\Ja\UserData
2008-05-25 13:22 . 2008-05-25 14:00 <DIR> d-------- C:\Program Files\Intel
2008-05-25 13:22 . 2005-09-12 00:00 3,298,432 --a------ C:\WINDOWS\system32\drivers\w29n51.sys
2008-05-25 13:22 . 2005-09-12 00:00 1,671,168 --a------ C:\WINDOWS\system32\w29mlres.dll
2008-05-25 13:22 . 2005-09-12 00:00 466,944 --a------ C:\WINDOWS\system32\w29NCPA.dll
2008-05-25 13:22 . 2005-09-12 00:00 23 --a------ C:\WINDOWS\system32\drivers\verfile.tic
2008-05-25 13:21 . 2008-05-25 13:21 <DIR> d-------- C:\Program Files\IZArc
2008-05-24 08:55 . 2001-10-26 16:57 12,160 --a------ C:\WINDOWS\system32\drivers\mouhid.sys
2008-05-24 08:55 . 2001-10-26 16:57 12,160 --a--c--- C:\WINDOWS\system32\dllcache\mouhid.sys
2008-05-24 08:55 . 2008-04-13 20:45 10,368 --a------ C:\WINDOWS\system32\drivers\hidusb.sys
2008-05-22 16:15 . 2008-05-22 16:15 <DIR> d-------- C:\Documents and Settings\Ja\Dane aplikacji\Symantec
2008-05-22 16:13 . 2008-05-22 16:13 <DIR> d-------- C:\Program Files\Windows Sidebar
2008-05-22 16:13 . 2008-05-25 13:38 <DIR> d-------- C:\Program Files\Norton Internet Security
2008-05-22 16:12 . 2008-05-25 13:31 <DIR> d-------- C:\Program Files\Symantec
2008-05-22 16:12 . 2008-05-25 22:40 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\Symantec
2008-05-22 16:12 . 2008-05-25 13:31 123,952 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.SYS
2008-05-22 16:12 . 2008-05-25 13:31 60,800 --a------ C:\WINDOWS\system32\S32EVNT1.DLL
2008-05-22 16:12 . 2008-05-25 13:31 10,740 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.CAT
2008-05-22 16:12 . 2008-05-25 13:31 805 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.INF
2008-05-22 16:11 . 2008-05-25 21:43 <DIR> d-------- C:\Program Files\Common Files\Symantec Shared
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-22 13:32 --------- d-----w C:\Program Files\microsoft frontpage
2008-05-22 13:30 --------- d-----w C:\Program Files\Usługi online
2008-04-14 17:22 40,840 ----a-w C:\WINDOWS\system32\drivers\termdd.sys
2008-04-14 17:22 21,896 ----a-w C:\WINDOWS\system32\drivers\tdtcp.sys
2008-04-14 17:22 139,656 ----a-w C:\WINDOWS\system32\drivers\rdpwd.sys
2008-04-14 17:22 12,040 ----a-w C:\WINDOWS\system32\drivers\tdpipe.sys
2008-04-14 17:21 769,024 ----a-w C:\WINDOWS\pchealth\helpctr\binaries\helpctr.exe
2008-04-14 17:21 744,448 ----a-w C:\WINDOWS\pchealth\helpctr\binaries\helpsvc.exe
2008-04-14 17:21 70,144 ----a-w C:\WINDOWS\notepad.exe
2008-04-14 17:21 32,866 ------w C:\WINDOWS\slrundll.exe
2008-04-14 17:21 285,696 ----a-w C:\WINDOWS\winhlp32.exe
2008-04-14 17:21 18,432 ----a-w C:\WINDOWS\pchealth\helpctr\binaries\hscupd.exe
2008-04-14 17:21 171,520 ----a-w C:\WINDOWS\pchealth\helpctr\binaries\msconfig.exe
2008-04-14 17:21 149,504 ----a-w C:\WINDOWS\regedit.exe
2008-04-14 17:21 10,752 ----a-w C:\WINDOWS\hh.exe
2008-04-14 17:21 1,035,264 ----a-w C:\WINDOWS\explorer.exe
2008-04-14 17:19 451,072 ----a-w C:\WINDOWS\AppPatch\aclayers.dll
2008-04-14 17:19 4,255 ------w C:\WINDOWS\system32\drivers\adv01nt5.dll
2008-04-14 17:19 39,424 ------w C:\WINDOWS\AppPatch\acadproc.dll
2008-04-14 17:19 3,967 ------w C:\WINDOWS\system32\drivers\adv02nt5.dll
2008-04-14 17:19 3,775 ------w C:\WINDOWS\system32\drivers\adv11nt5.dll
2008-04-14 17:19 3,711 ------w C:\WINDOWS\system32\drivers\adv09nt5.dll
2008-04-14 17:19 3,647 ------w C:\WINDOWS\system32\drivers\adv07nt5.dll
2008-04-14 17:19 3,615 ------w C:\WINDOWS\system32\drivers\adv05nt5.dll
2008-04-14 17:19 3,135 ------w C:\WINDOWS\system32\drivers\adv08nt5.dll
2008-04-14 17:19 245,248 ----a-w C:\WINDOWS\AppPatch\acspecfc.dll
2008-04-14 17:19 141,312 ----a-w C:\WINDOWS\AppPatch\aclua.dll
2008-04-14 17:19 116,224 ----a-w C:\WINDOWS\AppPatch\acxtrnal.dll
2008-04-14 17:19 1,852,928 ----a-w C:\WINDOWS\AppPatch\acgenral.dll
2008-04-14 16:34 73,472 ----a-w C:\WINDOWS\system32\drivers\sr.sys
2008-04-14 16:33 80,256 ----a-w C:\WINDOWS\system32\drivers\parport.sys
2008-04-14 16:33 68,608 ----a-w C:\WINDOWS\system32\drivers\pci.sys
2008-04-14 16:33 120,320 ----a-w C:\WINDOWS\system32\drivers\pcmcia.sys
2008-04-14 16:32 46,848 ----a-w C:\WINDOWS\system32\drivers\p3.sys
2008-04-14 16:22 800,000 ----a-w C:\WINDOWS\system32\drivers\dmboot.sys
2008-04-14 16:22 153,856 ----a-w C:\WINDOWS\system32\drivers\dmio.sys
2008-04-14 16:20 24,960 ----a-w C:\WINDOWS\system32\drivers\kbdclass.sys
2008-04-14 16:18 37,632 ----a-w C:\WINDOWS\system32\drivers\isapnp.sys
2008-04-14 16:17 40,832 ----a-w C:\WINDOWS\system32\drivers\crusoe.sys
2008-04-14 16:16 5,504 ----a-w C:\WINDOWS\system32\drivers\intelide.sys
2008-04-14 16:16 40,448 ----a-w C:\WINDOWS\system32\drivers\intelppm.sys
2008-04-14 16:11 65,280 ----a-w C:\WINDOWS\system32\drivers\serial.sys
2008-04-14 16:11 53,248 ----a-w C:\WINDOWS\system32\drivers\i8042prt.sys
2008-04-14 16:09 25,728 ------w C:\WINDOWS\system32\drivers\hidbth.sys
2008-04-14 16:05 58,880 ----a-w C:\WINDOWS\system32\drivers\redbook.sys
2008-04-14 16:05 273,920 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-04-14 16:03 44,672 ----a-w C:\WINDOWS\system32\drivers\fips.sys
2008-04-14 16:01 52,864 ----a-w C:\WINDOWS\system32\drivers\volsnap.sys
2008-04-14 16:00 39,936 ----a-w C:\WINDOWS\system32\drivers\processr.sys
2008-04-14 15:58 41,856 ----a-w C:\WINDOWS\system32\drivers\amdk7.sys
2008-04-14 15:58 41,472 ----a-w C:\WINDOWS\system32\drivers\amdk6.sys
2008-04-14 15:55 23,296 ----a-w C:\WINDOWS\system32\drivers\mouclass.sys
2008-04-14 15:54 30,208 ----a-w C:\WINDOWS\system32\drivers\modem.sys
2008-04-14 15:54 188,544 ----a-w C:\WINDOWS\system32\drivers\acpi.sys
2008-04-13 19:28 175,744 ----a-w C:\WINDOWS\system32\drivers\rdbss.sys
2008-04-13 19:21 162,816 ----a-w C:\WINDOWS\system32\drivers\netbt.sys
2008-04-13 19:20 91,520 ----a-w C:\WINDOWS\system32\drivers\ndiswan.sys
2008-04-13 19:20 361,344 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-04-13 19:20 182,656 ----a-w C:\WINDOWS\system32\drivers\ndis.sys
2008-04-13 19:19 75,264 ----a-w C:\WINDOWS\system32\drivers\ipsec.sys
2008-04-13 19:19 51,328 ----a-w C:\WINDOWS\system32\drivers\rasl2tp.sys
2008-04-13 19:19 48,384 ----a-w C:\WINDOWS\system32\drivers\raspptp.sys
2008-04-13 19:19 146,048 ----a-w C:\WINDOWS\system32\drivers\portcls.sys
2008-04-13 19:19 138,112 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-04-13 19:17 83,072 ----a-w C:\WINDOWS\system32\drivers\wdmaud.sys
2008-04-13 19:17 456,576 ----a-w C:\WINDOWS\system32\drivers\mrxsmb.sys
2008-04-13 19:17 105,344 ----a-w C:\WINDOWS\system32\drivers\mup.sys
2008-04-13 19:16 49,536 ----a-w C:\WINDOWS\system32\drivers\classpnp.sys
2008-04-13 19:16 141,056 ----a-w C:\WINDOWS\system32\drivers\ks.sys
2008-04-13 19:15 60,800 ----a-w C:\WINDOWS\system32\drivers\sysaudio.sys
2008-04-13 19:15 574,976 ----a-w C:\WINDOWS\system32\drivers\ntfs.sys
2008-04-13 19:15 334,848 ----a-w C:\WINDOWS\system32\drivers\srv.sys
2008-04-13 19:14 63,744 ----a-w C:\WINDOWS\system32\drivers\cdfs.sys
2008-04-13 19:14 143,744 ----a-w C:\WINDOWS\system32\drivers\fastfat.sys
2008-04-13 19:00 225,664 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-04-13 19:00 19,072 ----a-w C:\WINDOWS\system32\drivers\tdi.sys
2008-04-13 18:57 41,472 ----a-w C:\WINDOWS\system32\drivers\raspppoe.sys
2008-04-13 18:57 40,576 ----a-w C:\WINDOWS\system32\drivers\ndproxy.sys
2008-04-13 18:57 34,560 ----a-w C:\WINDOWS\system32\drivers\wanarp.sys
2008-04-13 18:57 20,864 ----a-w C:\WINDOWS\system32\drivers\ipinip.sys
2008-04-13 18:57 152,832 ----a-w C:\WINDOWS\system32\drivers\ipnat.sys
2008-04-13 18:57 14,336 ----a-w C:\WINDOWS\system32\drivers\asyncmac.sys
2008-04-13 18:57 10,112 ----a-w C:\WINDOWS\system32\drivers\ndistapi.sys
2008-04-13 18:56 88,320 ----a-w C:\WINDOWS\system32\drivers\nwlnkipx.sys
2008-04-13 18:56 69,120 ----a-w C:\WINDOWS\system32\drivers\psched.sys
2008-04-13 18:56 35,072 ----a-w C:\WINDOWS\system32\drivers\msgpc.sys
2008-04-13 18:56 34,688 ----a-w C:\WINDOWS\system32\drivers\netbios.sys
2008-04-13 18:56 30,592 ----a-w C:\WINDOWS\system32\drivers\rndismp.sys
2008-04-13 18:56 30,592 ------w C:\WINDOWS\system32\drivers\rndismpx.sys
2008-04-13 18:56 12,800 ----a-w C:\WINDOWS\system32\drivers\usb8023.sys
2008-04-13 18:56 12,800 ------w C:\WINDOWS\system32\drivers\usb8023x.sys
2008-04-13 18:56 12,288 ----a-w C:\WINDOWS\system32\drivers\tunmp.sys
2008-04-13 18:55 202,624 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys
2008-04-13 18:55 14,592 ----a-w C:\WINDOWS\system32\drivers\ndisuio.sys
2008-04-13 18:54 11,264 ----a-w C:\WINDOWS\system32\drivers\irenum.sys
2008-04-13 18:53 71,552 ----a-w C:\WINDOWS\system32\drivers\bridge.sys
2008-04-13 18:53 40,320 ----a-w C:\WINDOWS\system32\drivers\nmnt.sys
2008-04-13 18:53 36,608 ----a-w C:\WINDOWS\system32\drivers\ip6fw.sys
2008-04-13 18:53 264,832 ----a-w C:\WINDOWS\system32\drivers\http.sys
2008-04-13 18:51 61,824 ----a-w C:\WINDOWS\system32\drivers\nic1394.sys
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{602ADB0E-4AFF-4217-8AA1-95DAC4DFA408}]
2007-08-24 21:51 316784 --a------ C:\Program Files\Common Files\Symantec Shared\coShared\Browser\2.0\coIEPlg.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6D53EC84-6AAE-4787-AEEE-F4628F01010C}]
2008-05-25 13:29 116088 --a------ C:\PROGRA~1\COMMON~1\SYMANT~1\IDS\IPSBHO.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA}"= "C:\Program Files\Common Files\Symantec Shared\coShared\Browser\2.0\CoIEPlg.dll" [2007-08-24 21:51 316784]
[HKEY_CLASSES_ROOT\clsid\{7febefe3-6b19-4349-98d2-ffb09d4b49ca}]
[HKEY_CLASSES_ROOT\CoIEPlg.CoToolbar.1]
[HKEY_CLASSES_ROOT\CoIEPlg.CoToolbar]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA}"= C:\Program Files\Common Files\Symantec Shared\coShared\Browser\2.0\CoIEPlg.dll [2007-08-24 21:51 316784]
[HKEY_CLASSES_ROOT\clsid\{7febefe3-6b19-4349-98d2-ffb09d4b49ca}]
[HKEY_CLASSES_ROOT\CoIEPlg.CoToolbar.1]
[HKEY_CLASSES_ROOT\CoIEPlg.CoToolbar]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 19:21 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ccApp"="C:\Program Files\Common Files\Symantec Shared\ccApp.exe" [2008-02-14 11:01 51048]
"osCheck"="C:\Program Files\Norton Internet Security\osCheck.exe" [2007-08-24 22:53 714608]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2005-01-07 17:07 61952 C:\WINDOWS\system32\HdAShCut.exe]
"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2005-03-22 13:57 155648]
"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2005-03-22 13:53 126976]
"SMSERIAL"="sm56hlpr.exe" [2005-04-26 11:15 544768 C:\WINDOWS\sm56hlpr.exe]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 19:21 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\FlashGet\\flashget.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
R2 LiveUpdate Notice;LiveUpdate Notice;"C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe" /h ccCommon []
S3 COH_Mon;COH_Mon;C:\WINDOWS\system32\Drivers\COH_Mon.sys [2008-03-06 21:32]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a0b34b2e-2a4c-11dd-9163-8a00cbbe4121}]
\Shell\AutoRun\command - F:\qa8sywva.cmd
\Shell\explore\Command - F:\qa8sywva.cmd
\Shell\open\Command - F:\qa8sywva.cmd
*Newly Created Service* - COMHOST
.
Contents of the 'Scheduled Tasks' folder
"2008-05-22 14:16:53 C:\WINDOWS\Tasks\Norton Internet Security - Uruchom pełne skanowanie systemu - Ja.job"
Następnie według rady ad usuwania amvo usunęłam klucz MountPoints2 i ponownie uruchomiłam ComboFix. Otrzymałam następującego loga:
ComboFix 08-05-25.3 - Ja 2008-05-25 23:08:20.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1250.1.1045.18.673 [GMT 2:00]
Running from: D:\programy\ComboFix.exe
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Previous Run -------
.
C:\autorun.inf
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\amvo0.dll
D:\Autorun.inf
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_NWSAPAGENT
-------\Service_NwSapAgent
((((((((((((((((((((((((( Files Created from 2008-04-25 to 2008-05-25 )))))))))))))))))))))))))))))))
.
2008-05-25 21:31 . 2008-05-25 21:31 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\InstallShield
2008-05-25 21:20 . 2008-05-25 21:20 <DIR> d-------- C:\Program Files\GALA-NET
2008-05-25 21:20 . 2005-08-11 15:29 73,728 --a------ C:\WINDOWS\system32\ISUSPM.cpl
2008-05-25 19:28 . 2008-05-25 19:28 <DIR> d-------- C:\Program Files\SubEdit-Player
2008-05-25 18:31 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll
2008-05-25 18:31 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui
2008-05-25 18:06 . 2008-05-25 18:06 <DIR> d-------- C:\Documents and Settings\Ja\Dane aplikacji\teamspeak2
2008-05-25 18:06 . 2008-05-25 18:06 34,064 --a------ C:\WINDOWS\system32\lhacm.acm
2008-05-25 18:05 . 2008-05-25 18:06 <DIR> d-------- C:\Program Files\Teamspeak2_RC2
2008-05-25 17:09 . 2008-05-25 17:09 <DIR> d-------- C:\Program Files\Common Files\Adobe
2008-05-25 16:29 . 2008-05-25 16:29 <DIR> d-------- C:\Program Files\Windows Media Connect 2
2008-05-25 16:27 . 2008-05-25 16:27 <DIR> d-------- C:\WINDOWS\system32\LogFiles
2008-05-25 16:27 . 2008-05-25 16:28 <DIR> d-------- C:\WINDOWS\system32\drivers\UMDF
2008-05-25 15:36 . 2008-05-25 15:36 <DIR> d-------- C:\WINDOWS\system32\pl
2008-05-25 15:36 . 2008-05-25 15:36 <DIR> d-------- C:\WINDOWS\system32\bits
2008-05-25 15:36 . 2008-05-25 15:36 <DIR> d-------- C:\WINDOWS\l2schemas
2008-05-25 15:33 . 2008-05-25 15:36 <DIR> d-------- C:\WINDOWS\ServicePackFiles
2008-05-25 15:24 . 2008-05-25 15:24 <DIR> d-------- C:\WINDOWS\EHome
2008-05-25 15:15 . 2004-08-03 22:29 1,897,408 --------- C:\WINDOWS\system32\drivers\nv4_mini.sys
2008-05-25 15:13 . 2004-08-04 00:35 701,440 --------- C:\WINDOWS\system32\drivers\ati2mtag.sys
2008-05-25 14:51 . 2008-05-25 14:51 <DIR> d-------- C:\Intel
2008-05-25 14:51 . 2005-03-22 13:58 167,936 --a------ C:\WINDOWS\system32\igfxres.dll
2008-05-25 14:33 . 2008-03-01 15:02 6,066,176 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll
2008-05-25 14:33 . 2007-04-17 11:32 2,455,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dat
2008-05-25 14:33 . 2007-03-08 07:11 1,036,288 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll.mui
2008-05-25 14:33 . 2008-03-01 15:02 459,264 -----c--- C:\WINDOWS\system32\dllcache\msfeeds.dll
2008-05-25 14:33 . 2008-03-01 15:02 383,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dll
2008-05-25 14:33 . 2008-03-01 15:02 267,776 -----c--- C:\WINDOWS\system32\dllcache\iertutil.dll
2008-05-25 14:33 . 2008-03-01 15:02 63,488 -----c--- C:\WINDOWS\system32\dllcache\icardie.dll
2008-05-25 14:33 . 2008-03-01 15:02 52,224 -----c--- C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2008-05-25 14:33 . 2008-02-22 12:00 13,824 -----c--- C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-05-25 14:31 . 2008-05-25 15:36 <DIR> d-------- C:\WINDOWS\system32\pl-pl
2008-05-25 14:15 . 2008-05-25 14:15 <DIR> d-------- C:\WINDOWS\tiinst
2008-05-25 14:10 . 2008-05-25 14:10 <DIR> d-------- C:\Program Files\Analog Devices
2008-05-25 14:10 . 2004-12-08 17:16 49,152 --a------ C:\WINDOWS\system32\DSndUp.exe
2008-05-25 14:10 . 2002-04-17 15:05 45,056 --a------ C:\WINDOWS\system32\CleanUp.exe
2008-05-25 14:08 . 2008-04-14 19:21 129,536 --a------ C:\WINDOWS\system32\ksproxy.ax
2008-05-25 14:08 . 2008-04-13 20:45 60,160 --a------ C:\WINDOWS\system32\drivers\drmk.sys
2008-05-25 14:08 . 2007-08-10 20:53 26,488 --a------ C:\WINDOWS\system32\spupdsvc.exe
2008-05-25 14:08 . 2008-04-14 19:20 4,096 --a------ C:\WINDOWS\system32\ksuser.dll
2008-05-25 14:07 . 2005-04-25 15:09 135,168 --a------ C:\WINDOWS\system32\drivers\ADIHdAud.sys
2008-05-25 14:06 . 2008-05-25 14:06 <DIR> d-------- C:\WINDOWS\OPTIONS
2008-05-25 14:06 . 2005-03-04 11:10 74,496 --a------ C:\WINDOWS\system32\drivers\Rtlnicxp.sys
2008-05-25 14:03 . 2008-05-25 14:35 <DIR> d--h----- C:\WINDOWS\$hf_mig$
2008-05-25 14:03 . 2008-05-25 12:11 107,792 -r-hs---- C:\qa8sywva.cmd
2008-05-25 13:59 . 2008-05-25 21:20 <DIR> d--h----- C:\Program Files\InstallShield Installation Information
2008-05-25 13:59 . 2008-05-25 21:20 <DIR> d-------- C:\Program Files\Common Files\InstallShield
2008-05-25 13:56 . 2008-05-25 13:56 <DIR> d-------- C:\fsc.tmp
2008-05-25 13:54 . 2008-05-25 13:54 421 --a------ C:\WINDOWS\ODBC.INI
2008-05-25 13:53 . 2007-04-09 13:23 28,040 --a------ C:\WINDOWS\system32\mdimon.dll
2008-05-25 13:52 . 2008-05-25 13:53 <DIR> d-------- C:\WINDOWS\SHELLNEW
2008-05-25 13:52 . 2008-05-25 16:24 <DIR> d-------- C:\Program Files\Microsoft Works
2008-05-25 13:45 . 2008-05-25 13:45 13,646 --a------ C:\WINDOWS\system32\wpa.bak
2008-05-25 13:30 . 2008-05-25 22:47 <DIR> d-------- C:\Program Files\FlashGet
2008-05-25 13:30 . 2004-08-04 14:00 359,040 --a------ C:\WINDOWS\system32\drivers\tcpip.sys.flg
2008-05-25 13:25 . 2008-05-25 13:25 <DIR> d--hs---- C:\Documents and Settings\Ja\UserData
2008-05-25 13:22 . 2008-05-25 14:00 <DIR> d-------- C:\Program Files\Intel
2008-05-25 13:22 . 2005-09-12 00:00 3,298,432 --a------ C:\WINDOWS\system32\drivers\w29n51.sys
2008-05-25 13:22 . 2005-09-12 00:00 1,671,168 --a------ C:\WINDOWS\system32\w29mlres.dll
2008-05-25 13:22 . 2005-09-12 00:00 466,944 --a------ C:\WINDOWS\system32\w29NCPA.dll
2008-05-25 13:22 . 2005-09-12 00:00 23 --a------ C:\WINDOWS\system32\drivers\verfile.tic
2008-05-25 13:21 . 2008-05-25 13:21 <DIR> d-------- C:\Program Files\IZArc
2008-05-24 08:55 . 2001-10-26 16:57 12,160 --a------ C:\WINDOWS\system32\drivers\mouhid.sys
2008-05-24 08:55 . 2001-10-26 16:57 12,160 --a--c--- C:\WINDOWS\system32\dllcache\mouhid.sys
2008-05-24 08:55 . 2008-04-13 20:45 10,368 --a------ C:\WINDOWS\system32\drivers\hidusb.sys
2008-05-22 16:15 . 2008-05-22 16:15 <DIR> d-------- C:\Documents and Settings\Ja\Dane aplikacji\Symantec
2008-05-22 16:13 . 2008-05-22 16:13 <DIR> d-------- C:\Program Files\Windows Sidebar
2008-05-22 16:13 . 2008-05-25 13:38 <DIR> d-------- C:\Program Files\Norton Internet Security
2008-05-22 16:12 . 2008-05-25 13:31 <DIR> d-------- C:\Program Files\Symantec
2008-05-22 16:12 . 2008-05-25 22:40 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\Symantec
2008-05-22 16:12 . 2008-05-25 13:31 123,952 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.SYS
2008-05-22 16:12 . 2008-05-25 13:31 60,800 --a------ C:\WINDOWS\system32\S32EVNT1.DLL
2008-05-22 16:12 . 2008-05-25 13:31 10,740 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.CAT
2008-05-22 16:12 . 2008-05-25 13:31 805 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.INF
2008-05-22 16:11 . 2008-05-25 23:09 <DIR> d-------- C:\Program Files\Common Files\Symantec Shared
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-22 13:32 --------- d-----w C:\Program Files\microsoft frontpage
2008-05-22 13:30 --------- d-----w C:\Program Files\Usługi online
2008-04-14 20:51 11,264 ----a-w C:\WINDOWS\system32\spnpinst.exe
2008-04-14 20:50 997,888 ----a-w C:\WINDOWS\system32\setupapi.dll
2008-04-14 20:50 424,960 ----a-w C:\WINDOWS\system32\licdll.dll
2008-04-14 17:46 1,804 ----a-w C:\WINDOWS\system32\dcache.bin
2008-04-14 17:26 332,288 ----a-w C:\WINDOWS\system32\netsetup.exe
2008-04-14 17:22 92,424 ----a-w C:\WINDOWS\system32\rdpdd.dll
2008-04-14 17:22 87,176 ----a-w C:\WINDOWS\system32\rdpwsx.dll
2008-04-14 17:22 40,840 ----a-w C:\WINDOWS\system32\drivers\termdd.sys
2008-04-14 17:22 299,520 ----a-w C:\WINDOWS\system32\drmclien.dll
2008-04-14 17:22 21,896 ----a-w C:\WINDOWS\system32\drivers\tdtcp.sys
2008-04-14 17:22 139,656 ----a-w C:\WINDOWS\system32\drivers\rdpwd.sys
2008-04-14 17:22 12,168 ----a-w C:\WINDOWS\system32\tsddd.dll
2008-04-14 17:22 12,040 ----a-w C:\WINDOWS\system32\drivers\tdpipe.sys
2008-04-14 17:20 999,936 ----a-w C:\WINDOWS\system32\syssetup.dll
2008-04-14 17:19 98,304 ----a-w C:\WINDOWS\system32\actxprxy.dll
2008-04-14 17:18 5,632 ----a-w C:\WINDOWS\system32\wmi.dll
2008-04-14 17:18 1,449,472 ----a-w C:\WINDOWS\system32\winntbbu.dll
2008-04-14 17:17 57,375 ----a-w C:\WINDOWS\system32\odbcji32.dll
2008-04-14 17:13 4,126 ----a-w C:\WINDOWS\system32\msdxmlc.dll
2008-04-14 17:12 3,584 ----a-w C:\WINDOWS\system32\msafd.dll
2008-04-14 17:06 3,584 ----a-w C:\WINDOWS\system32\icmp.dll
2008-04-14 17:05 9,344 ----a-w C:\WINDOWS\system32\framebuf.dll
2008-04-14 17:03 3,072 ----a-w C:\WINDOWS\system32\dpnlobby.dll
2008-04-14 17:03 3,072 ----a-w C:\WINDOWS\system32\dpnaddr.dll
2008-04-14 17:01 16,896 ----a-w C:\WINDOWS\system32\cfgmgr32.dll
2008-04-14 17:00 285,696 ----a-w C:\WINDOWS\system32\atmfd.dll
2008-04-14 16:34 73,472 ----a-w C:\WINDOWS\system32\drivers\sr.sys
2008-04-14 16:33 80,256 ----a-w C:\WINDOWS\system32\drivers\parport.sys
2008-04-14 16:33 68,608 ----a-w C:\WINDOWS\system32\drivers\pci.sys
2008-04-14 16:33 120,320 ----a-w C:\WINDOWS\system32\drivers\pcmcia.sys
2008-04-14 16:32 46,848 ----a-w C:\WINDOWS\system32\drivers\p3.sys
2008-04-14 16:30 2,190,336 ----a-w C:\WINDOWS\system32\ntoskrnl.exe
2008-04-14 16:29 2,067,200 ----a-w C:\WINDOWS\system32\ntkrnlpa.exe
2008-04-14 16:25 4,096 ----a-w C:\WINDOWS\system32\dsprpres.dll
2008-04-14 16:22 89,600 ------w C:\WINDOWS\system32\msxml6r.dll
2008-04-14 16:22 800,000 ----a-w C:\WINDOWS\system32\drivers\dmboot.sys
2008-04-14 16:22 153,856 ----a-w C:\WINDOWS\system32\drivers\dmio.sys
2008-04-14 16:20 80,896 ------w C:\WINDOWS\system32\msshavmsg.dll
2008-04-14 16:20 24,960 ----a-w C:\WINDOWS\system32\drivers\kbdclass.sys
2008-04-14 16:18 37,632 ----a-w C:\WINDOWS\system32\drivers\isapnp.sys
2008-04-14 16:17 40,832 ----a-w C:\WINDOWS\system32\drivers\crusoe.sys
2008-04-14 16:16 5,504 ----a-w C:\WINDOWS\system32\drivers\intelide.sys
2008-04-14 16:16 40,448 ----a-w C:\WINDOWS\system32\drivers\intelppm.sys
2008-04-14 16:15 49,664 ----a-w C:\WINDOWS\system32\inetres.dll
2008-04-14 16:13 563,200 ----a-w C:\WINDOWS\system32\shdoclc.dll
2008-04-14 16:11 65,280 ----a-w C:\WINDOWS\system32\drivers\serial.sys
2008-04-14 16:11 53,248 ----a-w C:\WINDOWS\system32\drivers\i8042prt.sys
2008-04-14 16:09 25,728 ------w C:\WINDOWS\system32\drivers\hidbth.sys
2008-04-14 16:07 10,240 ----a-w C:\WINDOWS\system32\gpkrsrc.dll
2008-04-14 16:05 67,584 ----a-w C:\WINDOWS\system32\browselc.dll
2008-04-14 16:05 58,880 ----a-w C:\WINDOWS\system32\drivers\redbook.sys
2008-04-14 16:05 273,920 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-04-14 16:05 1,845,888 ----a-w C:\WINDOWS\system32\win32k.sys
2008-04-14 16:03 44,672 ----a-w C:\WINDOWS\system32\drivers\fips.sys
2008-04-14 16:01 52,864 ----a-w C:\WINDOWS\system32\drivers\volsnap.sys
2008-04-14 16:00 39,936 ----a-w C:\WINDOWS\system32\drivers\processr.sys
2008-04-14 15:59 103,936 ----a-w C:\WINDOWS\system32\dpcdll.dll
2008-04-14 15:58 41,856 ----a-w C:\WINDOWS\system32\drivers\amdk7.sys
2008-04-14 15:58 41,472 ----a-w C:\WINDOWS\system32\drivers\amdk6.sys
2008-04-14 15:55 23,296 ----a-w C:\WINDOWS\system32\drivers\mouclass.sys
2008-04-14 15:54 30,208 ----a-w C:\WINDOWS\system32\drivers\modem.sys
2008-04-14 15:54 188,544 ----a-w C:\WINDOWS\system32\drivers\acpi.sys
2008-04-13 19:28 175,744 ----a-w C:\WINDOWS\system32\drivers\rdbss.sys
2008-04-13 19:21 162,816 ----a-w C:\WINDOWS\system32\drivers\netbt.sys
2008-04-13 19:20 91,520 ----a-w C:\WINDOWS\system32\drivers\ndiswan.sys
2008-04-13 19:20 361,344 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-04-13 19:20 182,656 ----a-w C:\WINDOWS\system32\drivers\ndis.sys
2008-04-13 19:19 75,264 ----a-w C:\WINDOWS\system32\drivers\ipsec.sys
2008-04-13 19:19 51,328 ----a-w C:\WINDOWS\system32\drivers\rasl2tp.sys
2008-04-13 19:19 48,384 ----a-w C:\WINDOWS\system32\drivers\raspptp.sys
2008-04-13 19:19 146,048 ----a-w C:\WINDOWS\system32\drivers\portcls.sys
2008-04-13 19:19 138,112 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-04-13 19:17 83,072 ----a-w C:\WINDOWS\system32\drivers\wdmaud.sys
2008-04-13 19:17 456,576 ----a-w C:\WINDOWS\system32\drivers\mrxsmb.sys
2008-04-13 19:17 105,344 ----a-w C:\WINDOWS\system32\drivers\mup.sys
2008-04-13 19:16 49,536 ----a-w C:\WINDOWS\system32\drivers\classpnp.sys
2008-04-13 19:16 141,056 ----a-w C:\WINDOWS\system32\drivers\ks.sys
2008-04-13 19:15 60,800 ----a-w C:\WINDOWS\system32\drivers\sysaudio.sys
2008-04-13 19:15 574,976 ----a-w C:\WINDOWS\system32\drivers\ntfs.sys
2008-04-13 19:15 334,848 ----a-w C:\WINDOWS\system32\drivers\srv.sys
2008-04-13 19:14 63,744 ----a-w C:\WINDOWS\system32\drivers\cdfs.sys
2008-04-13 19:14 143,744 ----a-w C:\WINDOWS\system32\drivers\fastfat.sys
2008-04-13 19:00 225,664 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-04-13 19:00 19,072 ----a-w C:\WINDOWS\system32\drivers\tdi.sys
2008-04-13 18:57 41,472 ----a-w C:\WINDOWS\system32\drivers\raspppoe.sys
2008-04-13 18:57 40,576 ----a-w C:\WINDOWS\system32\drivers\ndproxy.sys
2008-04-13 18:57 34,560 ----a-w C:\WINDOWS\system32\drivers\wanarp.sys
2008-04-13 18:57 20,864 ----a-w C:\WINDOWS\system32\drivers\ipinip.sys
2008-04-13 18:57 152,832 ----a-w C:\WINDOWS\system32\drivers\ipnat.sys
2008-04-13 18:57 14,336 ----a-w C:\WINDOWS\system32\drivers\asyncmac.sys
2008-04-13 18:57 10,112 ----a-w C:\WINDOWS\system32\drivers\ndistapi.sys
2008-04-13 18:56 88,320 ----a-w C:\WINDOWS\system32\drivers\nwlnkipx.sys
2008-04-13 18:56 69,120 ----a-w C:\WINDOWS\system32\drivers\psched.sys
2008-04-13 18:56 35,072 ----a-w C:\WINDOWS\system32\drivers\msgpc.sys
2008-04-13 18:56 34,688 ----a-w C:\WINDOWS\system32\drivers\netbios.sys
2008-04-13 18:56 30,592 ----a-w C:\WINDOWS\system32\drivers\rndismp.sys
2008-04-13 18:56 30,592 ------w C:\WINDOWS\system32\drivers\rndismpx.sys
2008-04-13 18:56 12,800 ----a-w C:\WINDOWS\system32\drivers\usb8023.sys
.
((((((((((((((((((((((((((((( snapshot@2008-05-25_22.53.16.95 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-05-25 20:51:28 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-05-25 21:06:12 2,048 --s-a-w C:\WINDOWS\bootstat.dat
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{602ADB0E-4AFF-4217-8AA1-95DAC4DFA408}]
2007-08-24 21:51 316784 --a------ C:\Program Files\Common Files\Symantec Shared\coShared\Browser\2.0\coIEPlg.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6D53EC84-6AAE-4787-AEEE-F4628F01010C}]
2008-05-25 13:29 116088 --a------ C:\PROGRA~1\COMMON~1\SYMANT~1\IDS\IPSBHO.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA}"= "C:\Program Files\Common Files\Symantec Shared\coShared\Browser\2.0\CoIEPlg.dll" [2007-08-24 21:51 316784]
[HKEY_CLASSES_ROOT\clsid\{7febefe3-6b19-4349-98d2-ffb09d4b49ca}]
[HKEY_CLASSES_ROOT\CoIEPlg.CoToolbar.1]
[HKEY_CLASSES_ROOT\CoIEPlg.CoToolbar]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA}"= C:\Program Files\Common Files\Symantec Shared\coShared\Browser\2.0\CoIEPlg.dll [2007-08-24 21:51 316784]
[HKEY_CLASSES_ROOT\clsid\{7febefe3-6b19-4349-98d2-ffb09d4b49ca}]
[HKEY_CLASSES_ROOT\CoIEPlg.CoToolbar.1]
[HKEY_CLASSES_ROOT\CoIEPlg.CoToolbar]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 19:21 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ccApp"="C:\Program Files\Common Files\Symantec Shared\ccApp.exe" [2008-02-14 11:01 51048]
"osCheck"="C:\Program Files\Norton Internet Security\osCheck.exe" [2007-08-24 22:53 714608]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2005-01-07 17:07 61952 C:\WINDOWS\system32\HdAShCut.exe]
"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2005-03-22 13:57 155648]
"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2005-03-22 13:53 126976]
"SMSERIAL"="sm56hlpr.exe" [2005-04-26 11:15 544768 C:\WINDOWS\sm56hlpr.exe]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 19:21 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\FlashGet\\flashget.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
R2 LiveUpdate Notice;LiveUpdate Notice;"C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe" /h ccCommon []
R3 COH_Mon;COH_Mon;C:\WINDOWS\system32\Drivers\COH_Mon.sys [2008-03-06 21:32]
*Newly Created Service* - COMHOST
.
Contents of the 'Scheduled Tasks' folder
"2008-05-22 14:16:53 C:\WINDOWS\Tasks\Norton Internet Security - Uruchom pełne skanowanie systemu - Ja.job"
- C:\Program Files\Norton Internet Security\Norton AntiVirus\Navw32.exef/TASK:
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-25 23:09:53
Windows 5.1.2600 Dodatek Service Pack 3 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
Completion time: 2008-05-25 23:10:35
ComboFix-quarantined-files.txt 2008-05-25 21:10:25
Pre-Run: 8,356,089,856 bajtów wolnych
Post-Run: 8,341,671,936 bajtów wolnych
271 --- E O F --- 2008-05-25 14:06:16
Czy dobrze rozumiem, że komputer powinien być już czysty. Obawiam się niestety również innych wirusów po tym co słyszałam jakie problemy mieli koledzy.
Moim drugim pytaniem jest jak pozbyć się tego wirusa z pena???
I co robić aby uniknąć ponownego złapania tego wirusa.
Z góry dziękuję za pomoc:)
Ostatnio w pracy zawirusowało wszystkie kompy czymś co przenosi się przez pen-drive. W związku z tym jako, że i tak planowałam przeinstalowanie systemu to tak też uczyniłam, jak i zmieniłam partycję czyli wykasowałam wszystko. Zainstalowalam na kompie Norton Internet Security. Niestety po niecałym dniu użytkowania i jednorazowym włożeniu pena (i sformatowaniu) przy uruchamianiu kompa zaczął pojawiać się komunikat o błędzie amvo.exe i braku możliwości czytania.
Po przeczytaniu paru informacji na forum sciągnęłam ComboFix. Po pierwszym uruchomieniu otrzymałam następującego loga:
ComboFix 08-05-25.3 - Ja 2008-05-25 22:48:04.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1250.1.1045.18.605 [GMT 2:00]
Running from: D:\programy\ComboFix.exe
* Created a new restore point
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\autorun.inf
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\amvo0.dll
D:\Autorun.inf
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_NWSAPAGENT
-------\Service_NwSapAgent
((((((((((((((((((((((((( Files Created from 2008-04-25 to 2008-05-25 )))))))))))))))))))))))))))))))
.
2008-05-25 21:31 . 2008-05-25 21:31 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\InstallShield
2008-05-25 21:20 . 2008-05-25 21:20 <DIR> d-------- C:\Program Files\GALA-NET
2008-05-25 21:20 . 2005-08-11 15:29 73,728 --a------ C:\WINDOWS\system32\ISUSPM.cpl
2008-05-25 19:28 . 2008-05-25 19:28 <DIR> d-------- C:\Program Files\SubEdit-Player
2008-05-25 18:31 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll
2008-05-25 18:31 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui
2008-05-25 18:06 . 2008-05-25 18:06 <DIR> d-------- C:\Documents and Settings\Ja\Dane aplikacji\teamspeak2
2008-05-25 18:06 . 2008-05-25 18:06 34,064 --a------ C:\WINDOWS\system32\lhacm.acm
2008-05-25 18:05 . 2008-05-25 18:06 <DIR> d-------- C:\Program Files\Teamspeak2_RC2
2008-05-25 17:09 . 2008-05-25 17:09 <DIR> d-------- C:\Program Files\Common Files\Adobe
2008-05-25 16:29 . 2008-05-25 16:29 <DIR> d-------- C:\Program Files\Windows Media Connect 2
2008-05-25 16:27 . 2008-05-25 16:27 <DIR> d-------- C:\WINDOWS\system32\LogFiles
2008-05-25 16:27 . 2008-05-25 16:28 <DIR> d-------- C:\WINDOWS\system32\drivers\UMDF
2008-05-25 15:36 . 2008-05-25 15:36 <DIR> d-------- C:\WINDOWS\system32\pl
2008-05-25 15:36 . 2008-05-25 15:36 <DIR> d-------- C:\WINDOWS\system32\bits
2008-05-25 15:36 . 2008-05-25 15:36 <DIR> d-------- C:\WINDOWS\l2schemas
2008-05-25 15:33 . 2008-05-25 15:36 <DIR> d-------- C:\WINDOWS\ServicePackFiles
2008-05-25 15:24 . 2008-05-25 15:24 <DIR> d-------- C:\WINDOWS\EHome
2008-05-25 15:15 . 2004-08-03 22:29 1,897,408 --------- C:\WINDOWS\system32\drivers\nv4_mini.sys
2008-05-25 15:13 . 2004-08-04 00:35 701,440 --------- C:\WINDOWS\system32\drivers\ati2mtag.sys
2008-05-25 14:51 . 2008-05-25 14:51 <DIR> d-------- C:\Intel
2008-05-25 14:51 . 2005-03-22 13:58 167,936 --a------ C:\WINDOWS\system32\igfxres.dll
2008-05-25 14:33 . 2008-03-01 15:02 6,066,176 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll
2008-05-25 14:33 . 2007-04-17 11:32 2,455,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dat
2008-05-25 14:33 . 2007-03-08 07:11 1,036,288 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll.mui
2008-05-25 14:33 . 2008-03-01 15:02 459,264 -----c--- C:\WINDOWS\system32\dllcache\msfeeds.dll
2008-05-25 14:33 . 2008-03-01 15:02 383,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dll
2008-05-25 14:33 . 2008-03-01 15:02 267,776 -----c--- C:\WINDOWS\system32\dllcache\iertutil.dll
2008-05-25 14:33 . 2008-03-01 15:02 63,488 -----c--- C:\WINDOWS\system32\dllcache\icardie.dll
2008-05-25 14:33 . 2008-03-01 15:02 52,224 -----c--- C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2008-05-25 14:33 . 2008-02-22 12:00 13,824 -----c--- C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-05-25 14:31 . 2008-05-25 15:36 <DIR> d-------- C:\WINDOWS\system32\pl-pl
2008-05-25 14:15 . 2008-05-25 14:15 <DIR> d-------- C:\WINDOWS\tiinst
2008-05-25 14:10 . 2008-05-25 14:10 <DIR> d-------- C:\Program Files\Analog Devices
2008-05-25 14:10 . 2004-12-08 17:16 49,152 --a------ C:\WINDOWS\system32\DSndUp.exe
2008-05-25 14:10 . 2002-04-17 15:05 45,056 --a------ C:\WINDOWS\system32\CleanUp.exe
2008-05-25 14:08 . 2008-04-14 19:21 129,536 --a------ C:\WINDOWS\system32\ksproxy.ax
2008-05-25 14:08 . 2008-04-13 20:45 60,160 --a------ C:\WINDOWS\system32\drivers\drmk.sys
2008-05-25 14:08 . 2007-08-10 20:53 26,488 --a------ C:\WINDOWS\system32\spupdsvc.exe
2008-05-25 14:08 . 2008-04-14 19:20 4,096 --a------ C:\WINDOWS\system32\ksuser.dll
2008-05-25 14:07 . 2005-04-25 15:09 135,168 --a------ C:\WINDOWS\system32\drivers\ADIHdAud.sys
2008-05-25 14:06 . 2008-05-25 14:06 <DIR> d-------- C:\WINDOWS\OPTIONS
2008-05-25 14:06 . 2005-03-04 11:10 74,496 --a------ C:\WINDOWS\system32\drivers\Rtlnicxp.sys
2008-05-25 14:03 . 2008-05-25 14:35 <DIR> d--h----- C:\WINDOWS\$hf_mig$
2008-05-25 14:03 . 2008-05-25 12:11 107,792 -r-hs---- C:\qa8sywva.cmd
2008-05-25 13:59 . 2008-05-25 21:20 <DIR> d--h----- C:\Program Files\InstallShield Installation Information
2008-05-25 13:59 . 2008-05-25 21:20 <DIR> d-------- C:\Program Files\Common Files\InstallShield
2008-05-25 13:56 . 2008-05-25 13:56 <DIR> d-------- C:\fsc.tmp
2008-05-25 13:54 . 2008-05-25 13:54 421 --a------ C:\WINDOWS\ODBC.INI
2008-05-25 13:53 . 2007-04-09 13:23 28,040 --a------ C:\WINDOWS\system32\mdimon.dll
2008-05-25 13:52 . 2008-05-25 13:53 <DIR> d-------- C:\WINDOWS\SHELLNEW
2008-05-25 13:52 . 2008-05-25 16:24 <DIR> d-------- C:\Program Files\Microsoft Works
2008-05-25 13:45 . 2008-05-25 13:45 13,646 --a------ C:\WINDOWS\system32\wpa.bak
2008-05-25 13:30 . 2008-05-25 22:47 <DIR> d-------- C:\Program Files\FlashGet
2008-05-25 13:30 . 2004-08-04 14:00 359,040 --a------ C:\WINDOWS\system32\drivers\tcpip.sys.flg
2008-05-25 13:25 . 2008-05-25 13:25 <DIR> d--hs---- C:\Documents and Settings\Ja\UserData
2008-05-25 13:22 . 2008-05-25 14:00 <DIR> d-------- C:\Program Files\Intel
2008-05-25 13:22 . 2005-09-12 00:00 3,298,432 --a------ C:\WINDOWS\system32\drivers\w29n51.sys
2008-05-25 13:22 . 2005-09-12 00:00 1,671,168 --a------ C:\WINDOWS\system32\w29mlres.dll
2008-05-25 13:22 . 2005-09-12 00:00 466,944 --a------ C:\WINDOWS\system32\w29NCPA.dll
2008-05-25 13:22 . 2005-09-12 00:00 23 --a------ C:\WINDOWS\system32\drivers\verfile.tic
2008-05-25 13:21 . 2008-05-25 13:21 <DIR> d-------- C:\Program Files\IZArc
2008-05-24 08:55 . 2001-10-26 16:57 12,160 --a------ C:\WINDOWS\system32\drivers\mouhid.sys
2008-05-24 08:55 . 2001-10-26 16:57 12,160 --a--c--- C:\WINDOWS\system32\dllcache\mouhid.sys
2008-05-24 08:55 . 2008-04-13 20:45 10,368 --a------ C:\WINDOWS\system32\drivers\hidusb.sys
2008-05-22 16:15 . 2008-05-22 16:15 <DIR> d-------- C:\Documents and Settings\Ja\Dane aplikacji\Symantec
2008-05-22 16:13 . 2008-05-22 16:13 <DIR> d-------- C:\Program Files\Windows Sidebar
2008-05-22 16:13 . 2008-05-25 13:38 <DIR> d-------- C:\Program Files\Norton Internet Security
2008-05-22 16:12 . 2008-05-25 13:31 <DIR> d-------- C:\Program Files\Symantec
2008-05-22 16:12 . 2008-05-25 22:40 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\Symantec
2008-05-22 16:12 . 2008-05-25 13:31 123,952 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.SYS
2008-05-22 16:12 . 2008-05-25 13:31 60,800 --a------ C:\WINDOWS\system32\S32EVNT1.DLL
2008-05-22 16:12 . 2008-05-25 13:31 10,740 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.CAT
2008-05-22 16:12 . 2008-05-25 13:31 805 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.INF
2008-05-22 16:11 . 2008-05-25 21:43 <DIR> d-------- C:\Program Files\Common Files\Symantec Shared
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-22 13:32 --------- d-----w C:\Program Files\microsoft frontpage
2008-05-22 13:30 --------- d-----w C:\Program Files\Usługi online
2008-04-14 17:22 40,840 ----a-w C:\WINDOWS\system32\drivers\termdd.sys
2008-04-14 17:22 21,896 ----a-w C:\WINDOWS\system32\drivers\tdtcp.sys
2008-04-14 17:22 139,656 ----a-w C:\WINDOWS\system32\drivers\rdpwd.sys
2008-04-14 17:22 12,040 ----a-w C:\WINDOWS\system32\drivers\tdpipe.sys
2008-04-14 17:21 769,024 ----a-w C:\WINDOWS\pchealth\helpctr\binaries\helpctr.exe
2008-04-14 17:21 744,448 ----a-w C:\WINDOWS\pchealth\helpctr\binaries\helpsvc.exe
2008-04-14 17:21 70,144 ----a-w C:\WINDOWS\notepad.exe
2008-04-14 17:21 32,866 ------w C:\WINDOWS\slrundll.exe
2008-04-14 17:21 285,696 ----a-w C:\WINDOWS\winhlp32.exe
2008-04-14 17:21 18,432 ----a-w C:\WINDOWS\pchealth\helpctr\binaries\hscupd.exe
2008-04-14 17:21 171,520 ----a-w C:\WINDOWS\pchealth\helpctr\binaries\msconfig.exe
2008-04-14 17:21 149,504 ----a-w C:\WINDOWS\regedit.exe
2008-04-14 17:21 10,752 ----a-w C:\WINDOWS\hh.exe
2008-04-14 17:21 1,035,264 ----a-w C:\WINDOWS\explorer.exe
2008-04-14 17:19 451,072 ----a-w C:\WINDOWS\AppPatch\aclayers.dll
2008-04-14 17:19 4,255 ------w C:\WINDOWS\system32\drivers\adv01nt5.dll
2008-04-14 17:19 39,424 ------w C:\WINDOWS\AppPatch\acadproc.dll
2008-04-14 17:19 3,967 ------w C:\WINDOWS\system32\drivers\adv02nt5.dll
2008-04-14 17:19 3,775 ------w C:\WINDOWS\system32\drivers\adv11nt5.dll
2008-04-14 17:19 3,711 ------w C:\WINDOWS\system32\drivers\adv09nt5.dll
2008-04-14 17:19 3,647 ------w C:\WINDOWS\system32\drivers\adv07nt5.dll
2008-04-14 17:19 3,615 ------w C:\WINDOWS\system32\drivers\adv05nt5.dll
2008-04-14 17:19 3,135 ------w C:\WINDOWS\system32\drivers\adv08nt5.dll
2008-04-14 17:19 245,248 ----a-w C:\WINDOWS\AppPatch\acspecfc.dll
2008-04-14 17:19 141,312 ----a-w C:\WINDOWS\AppPatch\aclua.dll
2008-04-14 17:19 116,224 ----a-w C:\WINDOWS\AppPatch\acxtrnal.dll
2008-04-14 17:19 1,852,928 ----a-w C:\WINDOWS\AppPatch\acgenral.dll
2008-04-14 16:34 73,472 ----a-w C:\WINDOWS\system32\drivers\sr.sys
2008-04-14 16:33 80,256 ----a-w C:\WINDOWS\system32\drivers\parport.sys
2008-04-14 16:33 68,608 ----a-w C:\WINDOWS\system32\drivers\pci.sys
2008-04-14 16:33 120,320 ----a-w C:\WINDOWS\system32\drivers\pcmcia.sys
2008-04-14 16:32 46,848 ----a-w C:\WINDOWS\system32\drivers\p3.sys
2008-04-14 16:22 800,000 ----a-w C:\WINDOWS\system32\drivers\dmboot.sys
2008-04-14 16:22 153,856 ----a-w C:\WINDOWS\system32\drivers\dmio.sys
2008-04-14 16:20 24,960 ----a-w C:\WINDOWS\system32\drivers\kbdclass.sys
2008-04-14 16:18 37,632 ----a-w C:\WINDOWS\system32\drivers\isapnp.sys
2008-04-14 16:17 40,832 ----a-w C:\WINDOWS\system32\drivers\crusoe.sys
2008-04-14 16:16 5,504 ----a-w C:\WINDOWS\system32\drivers\intelide.sys
2008-04-14 16:16 40,448 ----a-w C:\WINDOWS\system32\drivers\intelppm.sys
2008-04-14 16:11 65,280 ----a-w C:\WINDOWS\system32\drivers\serial.sys
2008-04-14 16:11 53,248 ----a-w C:\WINDOWS\system32\drivers\i8042prt.sys
2008-04-14 16:09 25,728 ------w C:\WINDOWS\system32\drivers\hidbth.sys
2008-04-14 16:05 58,880 ----a-w C:\WINDOWS\system32\drivers\redbook.sys
2008-04-14 16:05 273,920 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-04-14 16:03 44,672 ----a-w C:\WINDOWS\system32\drivers\fips.sys
2008-04-14 16:01 52,864 ----a-w C:\WINDOWS\system32\drivers\volsnap.sys
2008-04-14 16:00 39,936 ----a-w C:\WINDOWS\system32\drivers\processr.sys
2008-04-14 15:58 41,856 ----a-w C:\WINDOWS\system32\drivers\amdk7.sys
2008-04-14 15:58 41,472 ----a-w C:\WINDOWS\system32\drivers\amdk6.sys
2008-04-14 15:55 23,296 ----a-w C:\WINDOWS\system32\drivers\mouclass.sys
2008-04-14 15:54 30,208 ----a-w C:\WINDOWS\system32\drivers\modem.sys
2008-04-14 15:54 188,544 ----a-w C:\WINDOWS\system32\drivers\acpi.sys
2008-04-13 19:28 175,744 ----a-w C:\WINDOWS\system32\drivers\rdbss.sys
2008-04-13 19:21 162,816 ----a-w C:\WINDOWS\system32\drivers\netbt.sys
2008-04-13 19:20 91,520 ----a-w C:\WINDOWS\system32\drivers\ndiswan.sys
2008-04-13 19:20 361,344 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-04-13 19:20 182,656 ----a-w C:\WINDOWS\system32\drivers\ndis.sys
2008-04-13 19:19 75,264 ----a-w C:\WINDOWS\system32\drivers\ipsec.sys
2008-04-13 19:19 51,328 ----a-w C:\WINDOWS\system32\drivers\rasl2tp.sys
2008-04-13 19:19 48,384 ----a-w C:\WINDOWS\system32\drivers\raspptp.sys
2008-04-13 19:19 146,048 ----a-w C:\WINDOWS\system32\drivers\portcls.sys
2008-04-13 19:19 138,112 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-04-13 19:17 83,072 ----a-w C:\WINDOWS\system32\drivers\wdmaud.sys
2008-04-13 19:17 456,576 ----a-w C:\WINDOWS\system32\drivers\mrxsmb.sys
2008-04-13 19:17 105,344 ----a-w C:\WINDOWS\system32\drivers\mup.sys
2008-04-13 19:16 49,536 ----a-w C:\WINDOWS\system32\drivers\classpnp.sys
2008-04-13 19:16 141,056 ----a-w C:\WINDOWS\system32\drivers\ks.sys
2008-04-13 19:15 60,800 ----a-w C:\WINDOWS\system32\drivers\sysaudio.sys
2008-04-13 19:15 574,976 ----a-w C:\WINDOWS\system32\drivers\ntfs.sys
2008-04-13 19:15 334,848 ----a-w C:\WINDOWS\system32\drivers\srv.sys
2008-04-13 19:14 63,744 ----a-w C:\WINDOWS\system32\drivers\cdfs.sys
2008-04-13 19:14 143,744 ----a-w C:\WINDOWS\system32\drivers\fastfat.sys
2008-04-13 19:00 225,664 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-04-13 19:00 19,072 ----a-w C:\WINDOWS\system32\drivers\tdi.sys
2008-04-13 18:57 41,472 ----a-w C:\WINDOWS\system32\drivers\raspppoe.sys
2008-04-13 18:57 40,576 ----a-w C:\WINDOWS\system32\drivers\ndproxy.sys
2008-04-13 18:57 34,560 ----a-w C:\WINDOWS\system32\drivers\wanarp.sys
2008-04-13 18:57 20,864 ----a-w C:\WINDOWS\system32\drivers\ipinip.sys
2008-04-13 18:57 152,832 ----a-w C:\WINDOWS\system32\drivers\ipnat.sys
2008-04-13 18:57 14,336 ----a-w C:\WINDOWS\system32\drivers\asyncmac.sys
2008-04-13 18:57 10,112 ----a-w C:\WINDOWS\system32\drivers\ndistapi.sys
2008-04-13 18:56 88,320 ----a-w C:\WINDOWS\system32\drivers\nwlnkipx.sys
2008-04-13 18:56 69,120 ----a-w C:\WINDOWS\system32\drivers\psched.sys
2008-04-13 18:56 35,072 ----a-w C:\WINDOWS\system32\drivers\msgpc.sys
2008-04-13 18:56 34,688 ----a-w C:\WINDOWS\system32\drivers\netbios.sys
2008-04-13 18:56 30,592 ----a-w C:\WINDOWS\system32\drivers\rndismp.sys
2008-04-13 18:56 30,592 ------w C:\WINDOWS\system32\drivers\rndismpx.sys
2008-04-13 18:56 12,800 ----a-w C:\WINDOWS\system32\drivers\usb8023.sys
2008-04-13 18:56 12,800 ------w C:\WINDOWS\system32\drivers\usb8023x.sys
2008-04-13 18:56 12,288 ----a-w C:\WINDOWS\system32\drivers\tunmp.sys
2008-04-13 18:55 202,624 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys
2008-04-13 18:55 14,592 ----a-w C:\WINDOWS\system32\drivers\ndisuio.sys
2008-04-13 18:54 11,264 ----a-w C:\WINDOWS\system32\drivers\irenum.sys
2008-04-13 18:53 71,552 ----a-w C:\WINDOWS\system32\drivers\bridge.sys
2008-04-13 18:53 40,320 ----a-w C:\WINDOWS\system32\drivers\nmnt.sys
2008-04-13 18:53 36,608 ----a-w C:\WINDOWS\system32\drivers\ip6fw.sys
2008-04-13 18:53 264,832 ----a-w C:\WINDOWS\system32\drivers\http.sys
2008-04-13 18:51 61,824 ----a-w C:\WINDOWS\system32\drivers\nic1394.sys
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{602ADB0E-4AFF-4217-8AA1-95DAC4DFA408}]
2007-08-24 21:51 316784 --a------ C:\Program Files\Common Files\Symantec Shared\coShared\Browser\2.0\coIEPlg.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6D53EC84-6AAE-4787-AEEE-F4628F01010C}]
2008-05-25 13:29 116088 --a------ C:\PROGRA~1\COMMON~1\SYMANT~1\IDS\IPSBHO.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA}"= "C:\Program Files\Common Files\Symantec Shared\coShared\Browser\2.0\CoIEPlg.dll" [2007-08-24 21:51 316784]
[HKEY_CLASSES_ROOT\clsid\{7febefe3-6b19-4349-98d2-ffb09d4b49ca}]
[HKEY_CLASSES_ROOT\CoIEPlg.CoToolbar.1]
[HKEY_CLASSES_ROOT\CoIEPlg.CoToolbar]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA}"= C:\Program Files\Common Files\Symantec Shared\coShared\Browser\2.0\CoIEPlg.dll [2007-08-24 21:51 316784]
[HKEY_CLASSES_ROOT\clsid\{7febefe3-6b19-4349-98d2-ffb09d4b49ca}]
[HKEY_CLASSES_ROOT\CoIEPlg.CoToolbar.1]
[HKEY_CLASSES_ROOT\CoIEPlg.CoToolbar]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 19:21 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ccApp"="C:\Program Files\Common Files\Symantec Shared\ccApp.exe" [2008-02-14 11:01 51048]
"osCheck"="C:\Program Files\Norton Internet Security\osCheck.exe" [2007-08-24 22:53 714608]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2005-01-07 17:07 61952 C:\WINDOWS\system32\HdAShCut.exe]
"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2005-03-22 13:57 155648]
"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2005-03-22 13:53 126976]
"SMSERIAL"="sm56hlpr.exe" [2005-04-26 11:15 544768 C:\WINDOWS\sm56hlpr.exe]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 19:21 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\FlashGet\\flashget.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
R2 LiveUpdate Notice;LiveUpdate Notice;"C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe" /h ccCommon []
S3 COH_Mon;COH_Mon;C:\WINDOWS\system32\Drivers\COH_Mon.sys [2008-03-06 21:32]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a0b34b2e-2a4c-11dd-9163-8a00cbbe4121}]
\Shell\AutoRun\command - F:\qa8sywva.cmd
\Shell\explore\Command - F:\qa8sywva.cmd
\Shell\open\Command - F:\qa8sywva.cmd
*Newly Created Service* - COMHOST
.
Contents of the 'Scheduled Tasks' folder
"2008-05-22 14:16:53 C:\WINDOWS\Tasks\Norton Internet Security - Uruchom pełne skanowanie systemu - Ja.job"
Następnie według rady ad usuwania amvo usunęłam klucz MountPoints2 i ponownie uruchomiłam ComboFix. Otrzymałam następującego loga:
ComboFix 08-05-25.3 - Ja 2008-05-25 23:08:20.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1250.1.1045.18.673 [GMT 2:00]
Running from: D:\programy\ComboFix.exe
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Previous Run -------
.
C:\autorun.inf
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\amvo0.dll
D:\Autorun.inf
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_NWSAPAGENT
-------\Service_NwSapAgent
((((((((((((((((((((((((( Files Created from 2008-04-25 to 2008-05-25 )))))))))))))))))))))))))))))))
.
2008-05-25 21:31 . 2008-05-25 21:31 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\InstallShield
2008-05-25 21:20 . 2008-05-25 21:20 <DIR> d-------- C:\Program Files\GALA-NET
2008-05-25 21:20 . 2005-08-11 15:29 73,728 --a------ C:\WINDOWS\system32\ISUSPM.cpl
2008-05-25 19:28 . 2008-05-25 19:28 <DIR> d-------- C:\Program Files\SubEdit-Player
2008-05-25 18:31 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll
2008-05-25 18:31 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui
2008-05-25 18:06 . 2008-05-25 18:06 <DIR> d-------- C:\Documents and Settings\Ja\Dane aplikacji\teamspeak2
2008-05-25 18:06 . 2008-05-25 18:06 34,064 --a------ C:\WINDOWS\system32\lhacm.acm
2008-05-25 18:05 . 2008-05-25 18:06 <DIR> d-------- C:\Program Files\Teamspeak2_RC2
2008-05-25 17:09 . 2008-05-25 17:09 <DIR> d-------- C:\Program Files\Common Files\Adobe
2008-05-25 16:29 . 2008-05-25 16:29 <DIR> d-------- C:\Program Files\Windows Media Connect 2
2008-05-25 16:27 . 2008-05-25 16:27 <DIR> d-------- C:\WINDOWS\system32\LogFiles
2008-05-25 16:27 . 2008-05-25 16:28 <DIR> d-------- C:\WINDOWS\system32\drivers\UMDF
2008-05-25 15:36 . 2008-05-25 15:36 <DIR> d-------- C:\WINDOWS\system32\pl
2008-05-25 15:36 . 2008-05-25 15:36 <DIR> d-------- C:\WINDOWS\system32\bits
2008-05-25 15:36 . 2008-05-25 15:36 <DIR> d-------- C:\WINDOWS\l2schemas
2008-05-25 15:33 . 2008-05-25 15:36 <DIR> d-------- C:\WINDOWS\ServicePackFiles
2008-05-25 15:24 . 2008-05-25 15:24 <DIR> d-------- C:\WINDOWS\EHome
2008-05-25 15:15 . 2004-08-03 22:29 1,897,408 --------- C:\WINDOWS\system32\drivers\nv4_mini.sys
2008-05-25 15:13 . 2004-08-04 00:35 701,440 --------- C:\WINDOWS\system32\drivers\ati2mtag.sys
2008-05-25 14:51 . 2008-05-25 14:51 <DIR> d-------- C:\Intel
2008-05-25 14:51 . 2005-03-22 13:58 167,936 --a------ C:\WINDOWS\system32\igfxres.dll
2008-05-25 14:33 . 2008-03-01 15:02 6,066,176 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll
2008-05-25 14:33 . 2007-04-17 11:32 2,455,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dat
2008-05-25 14:33 . 2007-03-08 07:11 1,036,288 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll.mui
2008-05-25 14:33 . 2008-03-01 15:02 459,264 -----c--- C:\WINDOWS\system32\dllcache\msfeeds.dll
2008-05-25 14:33 . 2008-03-01 15:02 383,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dll
2008-05-25 14:33 . 2008-03-01 15:02 267,776 -----c--- C:\WINDOWS\system32\dllcache\iertutil.dll
2008-05-25 14:33 . 2008-03-01 15:02 63,488 -----c--- C:\WINDOWS\system32\dllcache\icardie.dll
2008-05-25 14:33 . 2008-03-01 15:02 52,224 -----c--- C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2008-05-25 14:33 . 2008-02-22 12:00 13,824 -----c--- C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-05-25 14:31 . 2008-05-25 15:36 <DIR> d-------- C:\WINDOWS\system32\pl-pl
2008-05-25 14:15 . 2008-05-25 14:15 <DIR> d-------- C:\WINDOWS\tiinst
2008-05-25 14:10 . 2008-05-25 14:10 <DIR> d-------- C:\Program Files\Analog Devices
2008-05-25 14:10 . 2004-12-08 17:16 49,152 --a------ C:\WINDOWS\system32\DSndUp.exe
2008-05-25 14:10 . 2002-04-17 15:05 45,056 --a------ C:\WINDOWS\system32\CleanUp.exe
2008-05-25 14:08 . 2008-04-14 19:21 129,536 --a------ C:\WINDOWS\system32\ksproxy.ax
2008-05-25 14:08 . 2008-04-13 20:45 60,160 --a------ C:\WINDOWS\system32\drivers\drmk.sys
2008-05-25 14:08 . 2007-08-10 20:53 26,488 --a------ C:\WINDOWS\system32\spupdsvc.exe
2008-05-25 14:08 . 2008-04-14 19:20 4,096 --a------ C:\WINDOWS\system32\ksuser.dll
2008-05-25 14:07 . 2005-04-25 15:09 135,168 --a------ C:\WINDOWS\system32\drivers\ADIHdAud.sys
2008-05-25 14:06 . 2008-05-25 14:06 <DIR> d-------- C:\WINDOWS\OPTIONS
2008-05-25 14:06 . 2005-03-04 11:10 74,496 --a------ C:\WINDOWS\system32\drivers\Rtlnicxp.sys
2008-05-25 14:03 . 2008-05-25 14:35 <DIR> d--h----- C:\WINDOWS\$hf_mig$
2008-05-25 14:03 . 2008-05-25 12:11 107,792 -r-hs---- C:\qa8sywva.cmd
2008-05-25 13:59 . 2008-05-25 21:20 <DIR> d--h----- C:\Program Files\InstallShield Installation Information
2008-05-25 13:59 . 2008-05-25 21:20 <DIR> d-------- C:\Program Files\Common Files\InstallShield
2008-05-25 13:56 . 2008-05-25 13:56 <DIR> d-------- C:\fsc.tmp
2008-05-25 13:54 . 2008-05-25 13:54 421 --a------ C:\WINDOWS\ODBC.INI
2008-05-25 13:53 . 2007-04-09 13:23 28,040 --a------ C:\WINDOWS\system32\mdimon.dll
2008-05-25 13:52 . 2008-05-25 13:53 <DIR> d-------- C:\WINDOWS\SHELLNEW
2008-05-25 13:52 . 2008-05-25 16:24 <DIR> d-------- C:\Program Files\Microsoft Works
2008-05-25 13:45 . 2008-05-25 13:45 13,646 --a------ C:\WINDOWS\system32\wpa.bak
2008-05-25 13:30 . 2008-05-25 22:47 <DIR> d-------- C:\Program Files\FlashGet
2008-05-25 13:30 . 2004-08-04 14:00 359,040 --a------ C:\WINDOWS\system32\drivers\tcpip.sys.flg
2008-05-25 13:25 . 2008-05-25 13:25 <DIR> d--hs---- C:\Documents and Settings\Ja\UserData
2008-05-25 13:22 . 2008-05-25 14:00 <DIR> d-------- C:\Program Files\Intel
2008-05-25 13:22 . 2005-09-12 00:00 3,298,432 --a------ C:\WINDOWS\system32\drivers\w29n51.sys
2008-05-25 13:22 . 2005-09-12 00:00 1,671,168 --a------ C:\WINDOWS\system32\w29mlres.dll
2008-05-25 13:22 . 2005-09-12 00:00 466,944 --a------ C:\WINDOWS\system32\w29NCPA.dll
2008-05-25 13:22 . 2005-09-12 00:00 23 --a------ C:\WINDOWS\system32\drivers\verfile.tic
2008-05-25 13:21 . 2008-05-25 13:21 <DIR> d-------- C:\Program Files\IZArc
2008-05-24 08:55 . 2001-10-26 16:57 12,160 --a------ C:\WINDOWS\system32\drivers\mouhid.sys
2008-05-24 08:55 . 2001-10-26 16:57 12,160 --a--c--- C:\WINDOWS\system32\dllcache\mouhid.sys
2008-05-24 08:55 . 2008-04-13 20:45 10,368 --a------ C:\WINDOWS\system32\drivers\hidusb.sys
2008-05-22 16:15 . 2008-05-22 16:15 <DIR> d-------- C:\Documents and Settings\Ja\Dane aplikacji\Symantec
2008-05-22 16:13 . 2008-05-22 16:13 <DIR> d-------- C:\Program Files\Windows Sidebar
2008-05-22 16:13 . 2008-05-25 13:38 <DIR> d-------- C:\Program Files\Norton Internet Security
2008-05-22 16:12 . 2008-05-25 13:31 <DIR> d-------- C:\Program Files\Symantec
2008-05-22 16:12 . 2008-05-25 22:40 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\Symantec
2008-05-22 16:12 . 2008-05-25 13:31 123,952 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.SYS
2008-05-22 16:12 . 2008-05-25 13:31 60,800 --a------ C:\WINDOWS\system32\S32EVNT1.DLL
2008-05-22 16:12 . 2008-05-25 13:31 10,740 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.CAT
2008-05-22 16:12 . 2008-05-25 13:31 805 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.INF
2008-05-22 16:11 . 2008-05-25 23:09 <DIR> d-------- C:\Program Files\Common Files\Symantec Shared
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-22 13:32 --------- d-----w C:\Program Files\microsoft frontpage
2008-05-22 13:30 --------- d-----w C:\Program Files\Usługi online
2008-04-14 20:51 11,264 ----a-w C:\WINDOWS\system32\spnpinst.exe
2008-04-14 20:50 997,888 ----a-w C:\WINDOWS\system32\setupapi.dll
2008-04-14 20:50 424,960 ----a-w C:\WINDOWS\system32\licdll.dll
2008-04-14 17:46 1,804 ----a-w C:\WINDOWS\system32\dcache.bin
2008-04-14 17:26 332,288 ----a-w C:\WINDOWS\system32\netsetup.exe
2008-04-14 17:22 92,424 ----a-w C:\WINDOWS\system32\rdpdd.dll
2008-04-14 17:22 87,176 ----a-w C:\WINDOWS\system32\rdpwsx.dll
2008-04-14 17:22 40,840 ----a-w C:\WINDOWS\system32\drivers\termdd.sys
2008-04-14 17:22 299,520 ----a-w C:\WINDOWS\system32\drmclien.dll
2008-04-14 17:22 21,896 ----a-w C:\WINDOWS\system32\drivers\tdtcp.sys
2008-04-14 17:22 139,656 ----a-w C:\WINDOWS\system32\drivers\rdpwd.sys
2008-04-14 17:22 12,168 ----a-w C:\WINDOWS\system32\tsddd.dll
2008-04-14 17:22 12,040 ----a-w C:\WINDOWS\system32\drivers\tdpipe.sys
2008-04-14 17:20 999,936 ----a-w C:\WINDOWS\system32\syssetup.dll
2008-04-14 17:19 98,304 ----a-w C:\WINDOWS\system32\actxprxy.dll
2008-04-14 17:18 5,632 ----a-w C:\WINDOWS\system32\wmi.dll
2008-04-14 17:18 1,449,472 ----a-w C:\WINDOWS\system32\winntbbu.dll
2008-04-14 17:17 57,375 ----a-w C:\WINDOWS\system32\odbcji32.dll
2008-04-14 17:13 4,126 ----a-w C:\WINDOWS\system32\msdxmlc.dll
2008-04-14 17:12 3,584 ----a-w C:\WINDOWS\system32\msafd.dll
2008-04-14 17:06 3,584 ----a-w C:\WINDOWS\system32\icmp.dll
2008-04-14 17:05 9,344 ----a-w C:\WINDOWS\system32\framebuf.dll
2008-04-14 17:03 3,072 ----a-w C:\WINDOWS\system32\dpnlobby.dll
2008-04-14 17:03 3,072 ----a-w C:\WINDOWS\system32\dpnaddr.dll
2008-04-14 17:01 16,896 ----a-w C:\WINDOWS\system32\cfgmgr32.dll
2008-04-14 17:00 285,696 ----a-w C:\WINDOWS\system32\atmfd.dll
2008-04-14 16:34 73,472 ----a-w C:\WINDOWS\system32\drivers\sr.sys
2008-04-14 16:33 80,256 ----a-w C:\WINDOWS\system32\drivers\parport.sys
2008-04-14 16:33 68,608 ----a-w C:\WINDOWS\system32\drivers\pci.sys
2008-04-14 16:33 120,320 ----a-w C:\WINDOWS\system32\drivers\pcmcia.sys
2008-04-14 16:32 46,848 ----a-w C:\WINDOWS\system32\drivers\p3.sys
2008-04-14 16:30 2,190,336 ----a-w C:\WINDOWS\system32\ntoskrnl.exe
2008-04-14 16:29 2,067,200 ----a-w C:\WINDOWS\system32\ntkrnlpa.exe
2008-04-14 16:25 4,096 ----a-w C:\WINDOWS\system32\dsprpres.dll
2008-04-14 16:22 89,600 ------w C:\WINDOWS\system32\msxml6r.dll
2008-04-14 16:22 800,000 ----a-w C:\WINDOWS\system32\drivers\dmboot.sys
2008-04-14 16:22 153,856 ----a-w C:\WINDOWS\system32\drivers\dmio.sys
2008-04-14 16:20 80,896 ------w C:\WINDOWS\system32\msshavmsg.dll
2008-04-14 16:20 24,960 ----a-w C:\WINDOWS\system32\drivers\kbdclass.sys
2008-04-14 16:18 37,632 ----a-w C:\WINDOWS\system32\drivers\isapnp.sys
2008-04-14 16:17 40,832 ----a-w C:\WINDOWS\system32\drivers\crusoe.sys
2008-04-14 16:16 5,504 ----a-w C:\WINDOWS\system32\drivers\intelide.sys
2008-04-14 16:16 40,448 ----a-w C:\WINDOWS\system32\drivers\intelppm.sys
2008-04-14 16:15 49,664 ----a-w C:\WINDOWS\system32\inetres.dll
2008-04-14 16:13 563,200 ----a-w C:\WINDOWS\system32\shdoclc.dll
2008-04-14 16:11 65,280 ----a-w C:\WINDOWS\system32\drivers\serial.sys
2008-04-14 16:11 53,248 ----a-w C:\WINDOWS\system32\drivers\i8042prt.sys
2008-04-14 16:09 25,728 ------w C:\WINDOWS\system32\drivers\hidbth.sys
2008-04-14 16:07 10,240 ----a-w C:\WINDOWS\system32\gpkrsrc.dll
2008-04-14 16:05 67,584 ----a-w C:\WINDOWS\system32\browselc.dll
2008-04-14 16:05 58,880 ----a-w C:\WINDOWS\system32\drivers\redbook.sys
2008-04-14 16:05 273,920 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-04-14 16:05 1,845,888 ----a-w C:\WINDOWS\system32\win32k.sys
2008-04-14 16:03 44,672 ----a-w C:\WINDOWS\system32\drivers\fips.sys
2008-04-14 16:01 52,864 ----a-w C:\WINDOWS\system32\drivers\volsnap.sys
2008-04-14 16:00 39,936 ----a-w C:\WINDOWS\system32\drivers\processr.sys
2008-04-14 15:59 103,936 ----a-w C:\WINDOWS\system32\dpcdll.dll
2008-04-14 15:58 41,856 ----a-w C:\WINDOWS\system32\drivers\amdk7.sys
2008-04-14 15:58 41,472 ----a-w C:\WINDOWS\system32\drivers\amdk6.sys
2008-04-14 15:55 23,296 ----a-w C:\WINDOWS\system32\drivers\mouclass.sys
2008-04-14 15:54 30,208 ----a-w C:\WINDOWS\system32\drivers\modem.sys
2008-04-14 15:54 188,544 ----a-w C:\WINDOWS\system32\drivers\acpi.sys
2008-04-13 19:28 175,744 ----a-w C:\WINDOWS\system32\drivers\rdbss.sys
2008-04-13 19:21 162,816 ----a-w C:\WINDOWS\system32\drivers\netbt.sys
2008-04-13 19:20 91,520 ----a-w C:\WINDOWS\system32\drivers\ndiswan.sys
2008-04-13 19:20 361,344 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-04-13 19:20 182,656 ----a-w C:\WINDOWS\system32\drivers\ndis.sys
2008-04-13 19:19 75,264 ----a-w C:\WINDOWS\system32\drivers\ipsec.sys
2008-04-13 19:19 51,328 ----a-w C:\WINDOWS\system32\drivers\rasl2tp.sys
2008-04-13 19:19 48,384 ----a-w C:\WINDOWS\system32\drivers\raspptp.sys
2008-04-13 19:19 146,048 ----a-w C:\WINDOWS\system32\drivers\portcls.sys
2008-04-13 19:19 138,112 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-04-13 19:17 83,072 ----a-w C:\WINDOWS\system32\drivers\wdmaud.sys
2008-04-13 19:17 456,576 ----a-w C:\WINDOWS\system32\drivers\mrxsmb.sys
2008-04-13 19:17 105,344 ----a-w C:\WINDOWS\system32\drivers\mup.sys
2008-04-13 19:16 49,536 ----a-w C:\WINDOWS\system32\drivers\classpnp.sys
2008-04-13 19:16 141,056 ----a-w C:\WINDOWS\system32\drivers\ks.sys
2008-04-13 19:15 60,800 ----a-w C:\WINDOWS\system32\drivers\sysaudio.sys
2008-04-13 19:15 574,976 ----a-w C:\WINDOWS\system32\drivers\ntfs.sys
2008-04-13 19:15 334,848 ----a-w C:\WINDOWS\system32\drivers\srv.sys
2008-04-13 19:14 63,744 ----a-w C:\WINDOWS\system32\drivers\cdfs.sys
2008-04-13 19:14 143,744 ----a-w C:\WINDOWS\system32\drivers\fastfat.sys
2008-04-13 19:00 225,664 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-04-13 19:00 19,072 ----a-w C:\WINDOWS\system32\drivers\tdi.sys
2008-04-13 18:57 41,472 ----a-w C:\WINDOWS\system32\drivers\raspppoe.sys
2008-04-13 18:57 40,576 ----a-w C:\WINDOWS\system32\drivers\ndproxy.sys
2008-04-13 18:57 34,560 ----a-w C:\WINDOWS\system32\drivers\wanarp.sys
2008-04-13 18:57 20,864 ----a-w C:\WINDOWS\system32\drivers\ipinip.sys
2008-04-13 18:57 152,832 ----a-w C:\WINDOWS\system32\drivers\ipnat.sys
2008-04-13 18:57 14,336 ----a-w C:\WINDOWS\system32\drivers\asyncmac.sys
2008-04-13 18:57 10,112 ----a-w C:\WINDOWS\system32\drivers\ndistapi.sys
2008-04-13 18:56 88,320 ----a-w C:\WINDOWS\system32\drivers\nwlnkipx.sys
2008-04-13 18:56 69,120 ----a-w C:\WINDOWS\system32\drivers\psched.sys
2008-04-13 18:56 35,072 ----a-w C:\WINDOWS\system32\drivers\msgpc.sys
2008-04-13 18:56 34,688 ----a-w C:\WINDOWS\system32\drivers\netbios.sys
2008-04-13 18:56 30,592 ----a-w C:\WINDOWS\system32\drivers\rndismp.sys
2008-04-13 18:56 30,592 ------w C:\WINDOWS\system32\drivers\rndismpx.sys
2008-04-13 18:56 12,800 ----a-w C:\WINDOWS\system32\drivers\usb8023.sys
.
((((((((((((((((((((((((((((( snapshot@2008-05-25_22.53.16.95 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-05-25 20:51:28 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-05-25 21:06:12 2,048 --s-a-w C:\WINDOWS\bootstat.dat
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{602ADB0E-4AFF-4217-8AA1-95DAC4DFA408}]
2007-08-24 21:51 316784 --a------ C:\Program Files\Common Files\Symantec Shared\coShared\Browser\2.0\coIEPlg.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6D53EC84-6AAE-4787-AEEE-F4628F01010C}]
2008-05-25 13:29 116088 --a------ C:\PROGRA~1\COMMON~1\SYMANT~1\IDS\IPSBHO.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA}"= "C:\Program Files\Common Files\Symantec Shared\coShared\Browser\2.0\CoIEPlg.dll" [2007-08-24 21:51 316784]
[HKEY_CLASSES_ROOT\clsid\{7febefe3-6b19-4349-98d2-ffb09d4b49ca}]
[HKEY_CLASSES_ROOT\CoIEPlg.CoToolbar.1]
[HKEY_CLASSES_ROOT\CoIEPlg.CoToolbar]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA}"= C:\Program Files\Common Files\Symantec Shared\coShared\Browser\2.0\CoIEPlg.dll [2007-08-24 21:51 316784]
[HKEY_CLASSES_ROOT\clsid\{7febefe3-6b19-4349-98d2-ffb09d4b49ca}]
[HKEY_CLASSES_ROOT\CoIEPlg.CoToolbar.1]
[HKEY_CLASSES_ROOT\CoIEPlg.CoToolbar]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 19:21 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ccApp"="C:\Program Files\Common Files\Symantec Shared\ccApp.exe" [2008-02-14 11:01 51048]
"osCheck"="C:\Program Files\Norton Internet Security\osCheck.exe" [2007-08-24 22:53 714608]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2005-01-07 17:07 61952 C:\WINDOWS\system32\HdAShCut.exe]
"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2005-03-22 13:57 155648]
"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2005-03-22 13:53 126976]
"SMSERIAL"="sm56hlpr.exe" [2005-04-26 11:15 544768 C:\WINDOWS\sm56hlpr.exe]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 19:21 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\FlashGet\\flashget.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
R2 LiveUpdate Notice;LiveUpdate Notice;"C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe" /h ccCommon []
R3 COH_Mon;COH_Mon;C:\WINDOWS\system32\Drivers\COH_Mon.sys [2008-03-06 21:32]
*Newly Created Service* - COMHOST
.
Contents of the 'Scheduled Tasks' folder
"2008-05-22 14:16:53 C:\WINDOWS\Tasks\Norton Internet Security - Uruchom pełne skanowanie systemu - Ja.job"
- C:\Program Files\Norton Internet Security\Norton AntiVirus\Navw32.exef/TASK:
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-25 23:09:53
Windows 5.1.2600 Dodatek Service Pack 3 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
Completion time: 2008-05-25 23:10:35
ComboFix-quarantined-files.txt 2008-05-25 21:10:25
Pre-Run: 8,356,089,856 bajtów wolnych
Post-Run: 8,341,671,936 bajtów wolnych
271 --- E O F --- 2008-05-25 14:06:16
Czy dobrze rozumiem, że komputer powinien być już czysty. Obawiam się niestety również innych wirusów po tym co słyszałam jakie problemy mieli koledzy.
Moim drugim pytaniem jest jak pozbyć się tego wirusa z pena???
I co robić aby uniknąć ponownego złapania tego wirusa.
Z góry dziękuję za pomoc:)
25 Maj 2008, 23:46
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\
Wyżej wymieniony klucz informujący o infekcji zniknął więc komputer powinien być czysty, teraz pozostaje sprawa wyczyszczenie pendriva.
26 Maj 2008, 05:39
Klucz zniknał ale się moze odnowić gdy pendrive zostanie podpięte
Podłącz pendrive do komputera
Pobierz ComboFix, ale nie uruchamiaj
Wklej do notatnika:
Plik
zapisz jako CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu
Rozpocznie się usuwanie i powstanie log, daj ten log na forum.
Logi dajesz na http://www.wklej.eu/
Podłącz pendrive do komputera
Pobierz ComboFix, ale nie uruchamiaj
Wklej do notatnika:
- Kod:
File::
C:\qa8sywva.cmd
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SMSERIAL"=-
"Adobe Reader Speed Launcher"=-
Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
Plik
zapisz jako CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu
Rozpocznie się usuwanie i powstanie log, daj ten log na forum.
Logi dajesz na http://www.wklej.eu/
26 Maj 2008, 17:49
Dziękuję za odpowiedź, postąpiłam według instrukcji i otrzymałam następujący log:
http://wklej.org/txt/57314b85af
Pena sformatowałam już wcześniej więc chyba powinien być czysty, ale zrobiłam i mam nadzieję, że jest ok.
Chciałam się jeszcze zapytać jak najlepiej uchronić się od zarażenia z innych penów. Jak najlepiej je sprawdzić (skoro mo antywirus tego nie rozpoznaje) i jak zapobiec temu że wirus zainstaluje się zaraz po włożeniu? Pytam bo zapewne w pracy będę musiała to zrobic:(
http://wklej.org/txt/57314b85af
Pena sformatowałam już wcześniej więc chyba powinien być czysty, ale zrobiłam i mam nadzieję, że jest ok.
Chciałam się jeszcze zapytać jak najlepiej uchronić się od zarażenia z innych penów. Jak najlepiej je sprawdzić (skoro mo antywirus tego nie rozpoznaje) i jak zapobiec temu że wirus zainstaluje się zaraz po włożeniu? Pytam bo zapewne w pracy będę musiała to zrobic:(
26 Maj 2008, 17:53
Log ok
Musisz komputer w pracy przeczyścić tak jak ten przeczyściłaś wtedy infekcja sie juz nie pojawi
Musisz komputer w pracy przeczyścić tak jak ten przeczyściłaś wtedy infekcja sie juz nie pojawi
26 Maj 2008, 21:46
No właśnie problem w tym, że tych zawirusowanych komputerów jest dużo i ja do większości nie mam dostępu i każdy sobie...
Rozumiem więc, że jażeli antywirus nie wykryje to nie ma innej możliwości sprawdzenia tego dopóki nie wyjdzie że coś jest nie tak:( Dobrze myślę??
Rozumiem więc, że jażeli antywirus nie wykryje to nie ma innej możliwości sprawdzenia tego dopóki nie wyjdzie że coś jest nie tak:( Dobrze myślę??