Regulamin forum
1. Każdy temat powinien odzwierciedlać treść wątku.2. W przypadku wklejania logów; należy je wykonać od razu przynajmniej z dwóch narzędzi: FRST oraz z GMER
3. Wszelkie logi proszę publikować na przeznaczonych do tego stronach a w poście wklejać tylko link.
4. Nie wskazane jest skracanie logów, należy wkleić cały - od początku, do końca.
5. Nie wskazane jest podczepianie się do tematów innych użytkowników - proszę założyć nowy temat w dziale Bezpieczeństwo, ułatwi to pomoc sprawdzającemu.
6. Osoby nie posiadające odpowiedniej wiedzy, nie powinny sprawdzać logów, ponieważ grozi to poważnym uszkodzeniem systemu lub aplikacji zainstalowanych na komputerze.
7. Należy dokładnie opisać problem, występujące objawy oraz wszelkie podjęte działania.
8. Każdy skrypt jest unikatowy, napisany dla każdego przypadku z osobna, więc nie może być stosowany przez innych.
9. W przypadku zamieszczenia zrzutu ekranu (screenshot'a) proszę korzystać z zewnętrznego serwisu oferującego hosting zdjęć.
błąd explorer.exe
25 Lip 2008, 23:28
Mam taki problem, kiedy wchodzę na mój komputer czy do jakiego kolwiek folderu to wyskakuje mi błąd "Wystąpił błąd z aplikacją explorer.exe i zostanie ona zamknięta. Przepraszamy za kłopot" więc klikam nie wysyłaj wtedy wszystkie ikonki pulpitu znikają i po chwili się pojawiają a folder który miałem otwarty znika z paska start. Szczegółowy raport o błędach zawiera mniejwiecej coś takiego: AppName: explorer.exe AppVer: 6.02.2900.3156 ModName: unkown ModVer: 0.0.0.0 Offset: 011c1945.
Zrobiłem skan HiJackiem i oto log (proszę o przeanalizowanie go)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:11:23, on 2008-07-25
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Softwin\BitDefender8\bdnagent.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
D:\Programy\Winamp\winampa.exe
C:\WINDOWS\system32\rundll32.exe
D:\Programy\DAEMON Tools Pro\DTProAgent.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Program Files\Borland\InterBase\bin\ibguard.exe
c:\usr\MYSQL\bin\mysqld.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Program Files\Common Files\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Common Files\Softwin\BitDefender Scan Server\bdss.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Borland\InterBase\bin\ibserver.exe
D:\Programy\Gadu-Gadu\gg.exe
C:\WINDOWS\system32\CTFMON.EXE
C:\WINDOWS\explorer.exe
D:\Programy\Unlocker\UnlockerAssistant.exe
C:\Documents and Settings\Stubby\Pulpit\HiJackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [BDMCon] "C:\Program Files\Softwin\BitDefender8\bdmcon.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "C:\Program Files\Softwin\BitDefender8\bdnagent.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WinampAgent] D:\Programy\Winamp\winampa.exe
O4 - HKLM\..\Run: [UnlockerAssistant] "D:\Programy\Unlocker\UnlockerAssistant.exe"
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\Run: [DAEMON Tools Pro Agent] "D:\Programy\DAEMON Tools Pro\DTProAgent.exe"
O4 - HKCU\..\Run: [Gadu-Gadu] "D:\Programy\Gadu-Gadu\gg.exe" /tray
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://D:\Programy\Office\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\Programy\Office\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {82202BE7-C56A-487E-9E55-D84BDC1A5776} (AnarkClient Class) - http://install.anark.com/client/version ... Client.cab
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Common Files\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: InterBase Guardian (InterBaseGuardian) - Borland Software Corporation - C:\Program Files\Borland\InterBase\bin\ibguard.exe
O23 - Service: InterBase Server (InterBaseServer) - Borland Software Corporation - C:\Program Files\Borland\InterBase\bin\ibserver.exe
O23 - Service: MySql - Unknown owner - c:\usr/MYSQL/bin/mysqld.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Program Files\Common Files\Softwin\BitDefender Communicator\xcommsvr.exe
--
End of file - 5667 bytes
Jeśli ktoś ma pomysł jak ten problem zwalczyć i co może byc jego przyczyną to z góry dziekuję za pomoc. A i jeszcze jedno komputer skanowałem arcamicroscan i BitDefenderem i nic nieznalazły (w obu programach tez kilka razy wystapił mi błąd)
Zrobiłem skan HiJackiem i oto log (proszę o przeanalizowanie go)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:11:23, on 2008-07-25
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Softwin\BitDefender8\bdnagent.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
D:\Programy\Winamp\winampa.exe
C:\WINDOWS\system32\rundll32.exe
D:\Programy\DAEMON Tools Pro\DTProAgent.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Program Files\Borland\InterBase\bin\ibguard.exe
c:\usr\MYSQL\bin\mysqld.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Program Files\Common Files\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Common Files\Softwin\BitDefender Scan Server\bdss.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Borland\InterBase\bin\ibserver.exe
D:\Programy\Gadu-Gadu\gg.exe
C:\WINDOWS\system32\CTFMON.EXE
C:\WINDOWS\explorer.exe
D:\Programy\Unlocker\UnlockerAssistant.exe
C:\Documents and Settings\Stubby\Pulpit\HiJackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [BDMCon] "C:\Program Files\Softwin\BitDefender8\bdmcon.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "C:\Program Files\Softwin\BitDefender8\bdnagent.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WinampAgent] D:\Programy\Winamp\winampa.exe
O4 - HKLM\..\Run: [UnlockerAssistant] "D:\Programy\Unlocker\UnlockerAssistant.exe"
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\Run: [DAEMON Tools Pro Agent] "D:\Programy\DAEMON Tools Pro\DTProAgent.exe"
O4 - HKCU\..\Run: [Gadu-Gadu] "D:\Programy\Gadu-Gadu\gg.exe" /tray
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://D:\Programy\Office\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\Programy\Office\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {82202BE7-C56A-487E-9E55-D84BDC1A5776} (AnarkClient Class) - http://install.anark.com/client/version ... Client.cab
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Common Files\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: InterBase Guardian (InterBaseGuardian) - Borland Software Corporation - C:\Program Files\Borland\InterBase\bin\ibguard.exe
O23 - Service: InterBase Server (InterBaseServer) - Borland Software Corporation - C:\Program Files\Borland\InterBase\bin\ibserver.exe
O23 - Service: MySql - Unknown owner - c:\usr/MYSQL/bin/mysqld.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Program Files\Common Files\Softwin\BitDefender Communicator\xcommsvr.exe
--
End of file - 5667 bytes
Jeśli ktoś ma pomysł jak ten problem zwalczyć i co może byc jego przyczyną to z góry dziekuję za pomoc. A i jeszcze jedno komputer skanowałem arcamicroscan i BitDefenderem i nic nieznalazły (w obu programach tez kilka razy wystapił mi błąd)
25 Lip 2008, 23:44
Jeszcze chciałem dodać ze za każdym razem jak wyskakuje błąd explorer.exe to ta częsc Offset z raportu sie zmmienia za każdym razem jest inny numer. I chciałem dodać, że rozwiazania problemu szukałem po necie juz od czwartku i nie znalazłem (a to co znalazłem niedało wystarczajacej odpowiedzi lub niepasowało do mojego problemu).
26 Lip 2008, 05:28
Log ok
Podaj log z Combofix
Podmień plik explorer.exe w konsoli odzyskiwania
http://www.pcformat.pl/forum/showthread.php?tid=9395
Podaj log z Combofix
Podmień plik explorer.exe w konsoli odzyskiwania
http://www.pcformat.pl/forum/showthread.php?tid=9395
26 Lip 2008, 09:16
A próbowałeś przywrócić ostatnie poprawnie działające ustawienia?? Jak nie to zajrzyj tutaj
http://instalki.pl/forum/viewtopic.php? ... highlight=
http://instalki.pl/forum/viewtopic.php? ... highlight=
27 Lip 2008, 17:13
wklejam log z combofix-a
ComboFix 08-07-26.1 - Stubby 2008-07-27 17:06:29.4 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.585 [GMT 2:00]
Running from: C:\Documents and Settings\Stubby\Pulpit\ComboFix.exe
* Created a new restore point
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
((((((((((((((((((((((((( Files Created from 2008-06-27 to 2008-07-27 )))))))))))))))))))))))))))))))
.
2008-07-24 23:23 . 2008-07-24 23:23 <DIR> d-------- C:\Documents and Settings\Stubby\Dane aplikacji\Gadu-Gadu
2008-07-18 23:39 . 2008-07-18 23:39 <DIR> d-------- C:\usr
2008-07-11 12:58 . 2008-07-11 12:58 0 --a------ C:\t9peum02.exe
2008-07-11 12:21 . 2008-07-11 12:21 <DIR> d--h----- C:\WINDOWS\system32\GroupPolicy
2008-07-03 12:14 . 2008-07-03 12:14 <DIR> d-------- C:\Documents and Settings\Stubby\WINDOWS
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-27 14:41 14 ----a-w C:\Documents and Settings\Stubby\getfile.dat
2008-07-23 09:50 --------- d-----w C:\Program Files\Java
2008-07-18 10:11 --------- d-----w C:\Program Files\Betsson Poker
2008-06-13 11:14 --------- d-----w C:\Program Files\AWS
2008-06-13 11:14 --------- d-----w C:\Documents and Settings\Stubby\Dane aplikacji\ArcaBit
2008-06-10 21:49 --------- d---a-w C:\Documents and Settings\All Users\Dane aplikacji\TEMP
2008-06-01 17:58 --------- d-----w C:\Documents and Settings\Stubby\Dane aplikacji\Autodesk
2008-06-01 17:56 54,784 ----a-w C:\WINDOWS\system32\drivers\CDAC11BA.EXE
2008-06-01 17:56 12,464 ----a-w C:\WINDOWS\system32\drivers\CDAC15BA.SYS
2008-06-01 17:56 --------- d-----w C:\Program Files\Common Files\Macrovision Shared
2008-06-01 17:56 --------- d-----w C:\Program Files\Autodesk
2008-06-01 17:55 --------- d-----w C:\Program Files\Common Files\Autodesk Shared
2008-06-01 17:55 --------- d-----w C:\Program Files\AnswerWorks 4.0
2008-06-01 17:54 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Autodesk
2008-03-30 21:15 22,328 ----a-w C:\Documents and Settings\Stubby\Dane aplikacji\PnkBstrK.sys
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"updateMgr"="C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 17:45 313472]
"DAEMON Tools Pro Agent"="D:\Programy\DAEMON Tools Pro\DTProAgent.exe" [2007-09-06 15:08 136136]
"Gadu-Gadu"="D:\Programy\Gadu-Gadu\gg.exe" [2008-07-25 23:57 2130434]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BDMCon"="C:\Program Files\Softwin\BitDefender8\bdmcon.exe" [2008-06-11 14:56 430450]
"BDNewsAgent"="C:\Program Files\Softwin\BitDefender8\bdnagent.exe" [2005-05-09 12:19 8192]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 02:41 8523776]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 04:27 144784]
"NeroCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 12:50 155648]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2008-03-15 00:37 295300]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 02:41 81920]
"WinampAgent"="D:\Programy\Winamp\winampa.exe" [2008-01-16 00:54 37376]
"UnlockerAssistant"="D:\Programy\Unlocker\UnlockerAssistant.exe" [2008-05-06 22:13 24434]
"RTHDCPL"="RTHDCPL.EXE" [2007-02-26 15:03 16125440 C:\WINDOWS\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2006-05-16 18:04 2879488 C:\WINDOWS\SkyTel.exe]
"nwiz"="nwiz.exe" [2007-12-05 02:41 1626112 C:\WINDOWS\system32\nwiz.exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 01:44 15360]
C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\
Adobe Reader Speed Launch.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 23:05:26 38519]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.YV12"= yv12vfw.dll
"msacm.divxa32"= divxa32.acm
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"D:\\Programy\\Gadu-Gadu\\gg.exe"=
"D:\\Programy\\RivChat2\\RivChat.exe"=
"D:\\Programy\\strong dc\\StrongDC.exe"=
"D:\\Programy\\wincmd\\WINCMD32.EXE"=
"D:\\Programy\\SopCast\\SopCast.exe"=
"C:\\WINDOWS\\system32\\dplaysvr.exe"=
"E:\\Supreme Commander\\Supreme Commander\\bin\\SupremeCommander.exe"=
"E:\\Supreme Commander\\GPGNet\\GPG.Multiplayer.Client.exe"=
"C:\\Program Files\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"C:\\WINDOWS\\system32\\PnkBstrA.exe"=
"C:\\WINDOWS\\system32\\PnkBstrB.exe"=
"D:\\Programy\\SopCast\\adv\\SopAdver.exe"=
"C:\\usr\\apache\\Apache.exe"=
"C:\\usr\\SMTP Server\\localsrv.exe"=
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{20f42138-41ee-11dd-8c04-00044b072639}]
\Shell\AutoRun\command - I:\6x8be16.cmd
\Shell\explore\Command - I:\6x8be16.cmd
\Shell\open\Command - I:\6x8be16.cmd
.
Contents of the 'Scheduled Tasks' folder
2008-06-24 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job - s!+:C:\Program Files\Apple Software Update\SoftwareUpdate.exe-taskSYSTEM0+ []
.
.
------- Supplementary Scan -------
.
R0 -: HKCU-Main,Start Page = hxxp://www.google.pl/
O8 -: E&ksport do programu Microsoft Excel - D:\Programy\Office\OFFICE11\EXCEL.EXE/3000
O16 -: {82202BE7-C56A-487E-9E55-D84BDC1A5776} - hxxp://install.anark.com/client/version ... Client.cab
C:\WINDOWS\Downloaded Program Files\InstallClient.inf
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-27 17:07:25
Windows 5.1.2600 Dodatek Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\MySql]
"ImagePath"="c:\usr/MYSQL/bin/mysqld.exe"
.
Completion time: 2008-07-27 17:07:49
ComboFix-quarantined-files.txt 2008-07-27 15:07:46
ComboFix2.txt 2008-07-24 21:57:36
ComboFix3.txt 2008-06-11 15:35:58
Pre-Run: 22,085,050,368 bajtów wolnych
Post-Run: 22,130,302,976 bajtów wolnych
111 --- E O F --- 2007-12-16 11:06:43
ComboFix 08-07-26.1 - Stubby 2008-07-27 17:06:29.4 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.585 [GMT 2:00]
Running from: C:\Documents and Settings\Stubby\Pulpit\ComboFix.exe
* Created a new restore point
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
((((((((((((((((((((((((( Files Created from 2008-06-27 to 2008-07-27 )))))))))))))))))))))))))))))))
.
2008-07-24 23:23 . 2008-07-24 23:23 <DIR> d-------- C:\Documents and Settings\Stubby\Dane aplikacji\Gadu-Gadu
2008-07-18 23:39 . 2008-07-18 23:39 <DIR> d-------- C:\usr
2008-07-11 12:58 . 2008-07-11 12:58 0 --a------ C:\t9peum02.exe
2008-07-11 12:21 . 2008-07-11 12:21 <DIR> d--h----- C:\WINDOWS\system32\GroupPolicy
2008-07-03 12:14 . 2008-07-03 12:14 <DIR> d-------- C:\Documents and Settings\Stubby\WINDOWS
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-27 14:41 14 ----a-w C:\Documents and Settings\Stubby\getfile.dat
2008-07-23 09:50 --------- d-----w C:\Program Files\Java
2008-07-18 10:11 --------- d-----w C:\Program Files\Betsson Poker
2008-06-13 11:14 --------- d-----w C:\Program Files\AWS
2008-06-13 11:14 --------- d-----w C:\Documents and Settings\Stubby\Dane aplikacji\ArcaBit
2008-06-10 21:49 --------- d---a-w C:\Documents and Settings\All Users\Dane aplikacji\TEMP
2008-06-01 17:58 --------- d-----w C:\Documents and Settings\Stubby\Dane aplikacji\Autodesk
2008-06-01 17:56 54,784 ----a-w C:\WINDOWS\system32\drivers\CDAC11BA.EXE
2008-06-01 17:56 12,464 ----a-w C:\WINDOWS\system32\drivers\CDAC15BA.SYS
2008-06-01 17:56 --------- d-----w C:\Program Files\Common Files\Macrovision Shared
2008-06-01 17:56 --------- d-----w C:\Program Files\Autodesk
2008-06-01 17:55 --------- d-----w C:\Program Files\Common Files\Autodesk Shared
2008-06-01 17:55 --------- d-----w C:\Program Files\AnswerWorks 4.0
2008-06-01 17:54 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Autodesk
2008-03-30 21:15 22,328 ----a-w C:\Documents and Settings\Stubby\Dane aplikacji\PnkBstrK.sys
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"updateMgr"="C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 17:45 313472]
"DAEMON Tools Pro Agent"="D:\Programy\DAEMON Tools Pro\DTProAgent.exe" [2007-09-06 15:08 136136]
"Gadu-Gadu"="D:\Programy\Gadu-Gadu\gg.exe" [2008-07-25 23:57 2130434]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BDMCon"="C:\Program Files\Softwin\BitDefender8\bdmcon.exe" [2008-06-11 14:56 430450]
"BDNewsAgent"="C:\Program Files\Softwin\BitDefender8\bdnagent.exe" [2005-05-09 12:19 8192]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 02:41 8523776]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 04:27 144784]
"NeroCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 12:50 155648]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2008-03-15 00:37 295300]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 02:41 81920]
"WinampAgent"="D:\Programy\Winamp\winampa.exe" [2008-01-16 00:54 37376]
"UnlockerAssistant"="D:\Programy\Unlocker\UnlockerAssistant.exe" [2008-05-06 22:13 24434]
"RTHDCPL"="RTHDCPL.EXE" [2007-02-26 15:03 16125440 C:\WINDOWS\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2006-05-16 18:04 2879488 C:\WINDOWS\SkyTel.exe]
"nwiz"="nwiz.exe" [2007-12-05 02:41 1626112 C:\WINDOWS\system32\nwiz.exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 01:44 15360]
C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\
Adobe Reader Speed Launch.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 23:05:26 38519]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.YV12"= yv12vfw.dll
"msacm.divxa32"= divxa32.acm
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"D:\\Programy\\Gadu-Gadu\\gg.exe"=
"D:\\Programy\\RivChat2\\RivChat.exe"=
"D:\\Programy\\strong dc\\StrongDC.exe"=
"D:\\Programy\\wincmd\\WINCMD32.EXE"=
"D:\\Programy\\SopCast\\SopCast.exe"=
"C:\\WINDOWS\\system32\\dplaysvr.exe"=
"E:\\Supreme Commander\\Supreme Commander\\bin\\SupremeCommander.exe"=
"E:\\Supreme Commander\\GPGNet\\GPG.Multiplayer.Client.exe"=
"C:\\Program Files\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"C:\\WINDOWS\\system32\\PnkBstrA.exe"=
"C:\\WINDOWS\\system32\\PnkBstrB.exe"=
"D:\\Programy\\SopCast\\adv\\SopAdver.exe"=
"C:\\usr\\apache\\Apache.exe"=
"C:\\usr\\SMTP Server\\localsrv.exe"=
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{20f42138-41ee-11dd-8c04-00044b072639}]
\Shell\AutoRun\command - I:\6x8be16.cmd
\Shell\explore\Command - I:\6x8be16.cmd
\Shell\open\Command - I:\6x8be16.cmd
.
Contents of the 'Scheduled Tasks' folder
2008-06-24 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job - s!+:C:\Program Files\Apple Software Update\SoftwareUpdate.exe-taskSYSTEM0+ []
.
.
------- Supplementary Scan -------
.
R0 -: HKCU-Main,Start Page = hxxp://www.google.pl/
O8 -: E&ksport do programu Microsoft Excel - D:\Programy\Office\OFFICE11\EXCEL.EXE/3000
O16 -: {82202BE7-C56A-487E-9E55-D84BDC1A5776} - hxxp://install.anark.com/client/version ... Client.cab
C:\WINDOWS\Downloaded Program Files\InstallClient.inf
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-27 17:07:25
Windows 5.1.2600 Dodatek Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\MySql]
"ImagePath"="c:\usr/MYSQL/bin/mysqld.exe"
.
Completion time: 2008-07-27 17:07:49
ComboFix-quarantined-files.txt 2008-07-27 15:07:46
ComboFix2.txt 2008-07-24 21:57:36
ComboFix3.txt 2008-06-11 15:35:58
Pre-Run: 22,085,050,368 bajtów wolnych
Post-Run: 22,130,302,976 bajtów wolnych
111 --- E O F --- 2007-12-16 11:06:43
27 Lip 2008, 17:44
Do wyleczenia pendrive z wirusów użyj
Perlovga Removal Tool
Flash Disinfector
lub format
Pobierz ComboFix, ale nie uruchamiaj
Wklej do notatnika:
Plik
zapisz jako CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu
Rozpocznie się usuwanie i powstanie log, daj ten log na forum.
Logi dajesz na http://www.wklej.eu/ a w poście dajesz tylko link
Perlovga Removal Tool
Flash Disinfector
lub format
Pobierz ComboFix, ale nie uruchamiaj
Wklej do notatnika:
- Kod:
File::
C:\t9peum02.exe
Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{20f42138-41ee-11dd-8c04-00044b072639}]
Plik
zapisz jako CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu
Rozpocznie się usuwanie i powstanie log, daj ten log na forum.
Logi dajesz na http://www.wklej.eu/ a w poście dajesz tylko link
30 Lip 2008, 21:41
Zainstalowałem program AVG znalazł pełno wirusow które wywaliłem z kompa ale system nadawał sie juz tylko do reinstalacji. Dzięki wszystkim za pomoc 