Regulamin forum
1. Każdy temat powinien odzwierciedlać treść wątku.2. W przypadku wklejania logów; należy je wykonać od razu przynajmniej z dwóch narzędzi: FRST oraz z GMER
3. Wszelkie logi proszę publikować na przeznaczonych do tego stronach a w poście wklejać tylko link.
4. Nie wskazane jest skracanie logów, należy wkleić cały - od początku, do końca.
5. Nie wskazane jest podczepianie się do tematów innych użytkowników - proszę założyć nowy temat w dziale Bezpieczeństwo, ułatwi to pomoc sprawdzającemu.
6. Osoby nie posiadające odpowiedniej wiedzy, nie powinny sprawdzać logów, ponieważ grozi to poważnym uszkodzeniem systemu lub aplikacji zainstalowanych na komputerze.
7. Należy dokładnie opisać problem, występujące objawy oraz wszelkie podjęte działania.
8. Każdy skrypt jest unikatowy, napisany dla każdego przypadku z osobna, więc nie może być stosowany przez innych.
9. W przypadku zamieszczenia zrzutu ekranu (screenshot'a) proszę korzystać z zewnętrznego serwisu oferującego hosting zdjęć.
error
05 Mar 2008, 14:02
Od jakiegoś czasu odczuwam dużą zmianę wydajności komputera. Dziwne rzeczy się z nim dzieją. Ale mnie chodzi o wyskakujące komunikaty, których nie jestem w stanie rozszyfrować, a idąc dalej usunąć. Dodam, że jeden wyskakuje mi przy uruchomieniu komputera (pulpitu). Treść odnosi się do systemu (jeżeli to pomoże to zrobię zrzut). A na razie mam inny zrzut komunikatu.
05 Mar 2008, 14:25
05 Mar 2008, 14:46
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:42:39, on 2008-03-05
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\bgsvcgen.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\mrofinu1535.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\b153.exe
C:\Program Files\nvcoi\nvcoi.exe
C:\Program Files\Internet Explorer\iexplore.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada TP
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL
F2 - REG:system.ini: UserInit=userinit.exe,
O4 - HKLM\..\Run: [runner1] C:\WINDOWS\mrofinu1535.exe 61A847B5BBF7281337983D466188719AB689201522886B092CBD44BD8689220221DD3257
O4 - HKCU\..\Run: [ares] "C:\Program Files\Ares 2.0.9\Ares.exe" -h
O4 - HKCU\..\Run: [nvcoi] C:\Program Files\nvcoi\nvcoi.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA SIECIOWA')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{7AF6389B-38F4-4A58-8854-D0D8F6AE944F}: NameServer = 194.204.159.1 217.98.63.164
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Program Files\Ares 2.0.9\chatServer.exe
O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINDOWS\system32\bgsvcgen.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
--
End of file - 2723 bytes
Scan saved at 13:42:39, on 2008-03-05
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\bgsvcgen.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\mrofinu1535.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\b153.exe
C:\Program Files\nvcoi\nvcoi.exe
C:\Program Files\Internet Explorer\iexplore.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada TP
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL
F2 - REG:system.ini: UserInit=userinit.exe,
O4 - HKLM\..\Run: [runner1] C:\WINDOWS\mrofinu1535.exe 61A847B5BBF7281337983D466188719AB689201522886B092CBD44BD8689220221DD3257
O4 - HKCU\..\Run: [ares] "C:\Program Files\Ares 2.0.9\Ares.exe" -h
O4 - HKCU\..\Run: [nvcoi] C:\Program Files\nvcoi\nvcoi.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA SIECIOWA')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{7AF6389B-38F4-4A58-8854-D0D8F6AE944F}: NameServer = 194.204.159.1 217.98.63.164
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Program Files\Ares 2.0.9\chatServer.exe
O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINDOWS\system32\bgsvcgen.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
--
End of file - 2723 bytes
05 Mar 2008, 16:02
Coś krótki ten log daj jeszcze z Combo Fixa, przy ty z Hijacka sfixuj te wpisy
- Kod:
C:\WINDOWS\mrofinu1535.exe
O4 - HKLM\..\Run: [runner1] C:\WINDOWS\mrofinu1535.exe 61A847B5BBF7281337983D466188719AB689201522886B092CBD44BD8689220221DD3257
05 Mar 2008, 16:34
coś takiego mi sie pojawia i nie tylko
05 Mar 2008, 16:36
Wrzuć komplet logów, przyjdzie pp3088 i zobaczy co Ci siedzi na tym komputerze
05 Mar 2008, 19:18
Zapodaj jeszcze logi z ComboFix i Silent Runners.
Widać na pulpicie jakiś syf... Panel Sterowania
Dodaj/usuń programy i powinno być coś z tego: NoWayVirus, AntiVirusIn..., Help and Support, Windows Update (lub zobaczyć też na google jak usunąć [NoWayVirus Removal])
Usuń np. za pomocą Pocket killbox te pliki:
C:\WINDOWS\b153.exe
C:\Program Files\nvcoi\nvcoi.exe
C:\WINDOWS\mrofinu1535.exe
Przeskanuj kompa jakimś skanerem online np. MKS
PS. Jak zrobisz log ComboFix to pewnie wiecej zdziałamy
Widać na pulpicie jakiś syf... Panel Sterowania
Dodaj/usuń programy i powinno być coś z tego: NoWayVirus, AntiVirusIn..., Help and Support, Windows Update (lub zobaczyć też na google jak usunąć [NoWayVirus Removal])
Usuń np. za pomocą Pocket killbox te pliki:
C:\WINDOWS\b153.exe
C:\Program Files\nvcoi\nvcoi.exe
C:\WINDOWS\mrofinu1535.exe
Przeskanuj kompa jakimś skanerem online np. MKS
PS. Jak zrobisz log ComboFix to pewnie wiecej zdziałamy
06 Mar 2008, 15:26
Dodam, że na dysku C pojawiają się podejrzane skróty, a przy każdym włączeniu komputera namnażają się, także wczoraj miałem tego 6000. Część usunąłem ale zostało z 1500 (nie można usunąć, ponieważ pliki są aktualnie używane). A te ikonki na pulpicie nie mają znaczenia bo Microsoft sam się pyta cały czas czy chce pobrać aplikacje do naprawy systemu. Pobrałem kilka ale to i tak nic nie daje, bo albo nic nie wykrywa, albo jak już wykryje to za usunięcie trzeba zapłacić <lol3>. Gdzieś obiło się słowo MALWARE. Może tym tropem trzeba iść? Jakiś program to usuwania tego gówna? A i jeszcze jedno. W menadżerze zadań, w procesach raz pojawił się proces windows (wcześniej nigdy go nie było). Niby nic w tym dziwnego ale użycie pamięci miało aż 174000, dla porównania szczytowo przeglądarka bierze max 65000! Podam jeszcze raz log z HJ i z innego programu.
06 Mar 2008, 15:59
Po tym skanowaniu ComboFix z dysku C usunięto te wszystkie pliku. Ale w procesach cały czas jakieś gówna są. Oto log z C_F:
ComboFix 08-03-05.3 - Admin 2008-03-06 14:40:47.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.69 [GMT 1:00]
Running from: C:\Documents and Settings\Admin\Pulpit\ComboFix.exe
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Program Files\NoDNS
C:\Program Files\Temporary
C:\Program Files\Temporary\InsiDERInst.exe
C:\WINDOWS\BMff146fe3.xml
C:\WINDOWS\hosts
C:\WINDOWS\pskt.ini
C:\WINDOWS\regedit.com
C:\WINDOWS\system32\abehspig.dll
C:\WINDOWS\system32\byxxv.dll
C:\WINDOWS\system32\cirasyvl.dll
C:\WINDOWS\system32\drivers\symavc32.sys
C:\WINDOWS\system32\fccccda.dll
C:\WINDOWS\system32\hpkoodeq.dll
C:\WINDOWS\system32\mmttkpfk.dll
C:\WINDOWS\system32\qomjggd.dll
C:\WINDOWS\system32\taskmgr.com
C:\WINDOWS\system32\tuqdcjsx.ini
C:\WINDOWS\system32\vxxyb.ini
C:\WINDOWS\system32\vxxyb.ini2
C:\WINDOWS\system32\windows
C:\WINDOWS\system32\wpioedpn.dll
C:\WINDOWS\system32\xsjcdqut.dll
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\LEGACY_DHLP
-------\LEGACY_MHIW57
((((((((((((((((((((((((( Files Created from 2008-02-06 to 2008-03-06 )))))))))))))))))))))))))))))))
.
2008-03-06 14:16 . 2008-03-06 14:16 56,576 --a------ C:\WINDOWS\system32\drivers\nkv2.sys
2008-03-05 18:46 . 2008-03-05 18:46 190,728 --a------ C:\Documents and Settings\Admin\Dane aplikacji\install_en[1].exe
2008-03-05 18:45 . 2008-03-06 14:16 11,776 --a------ C:\WINDOWS\system32\WLCtrl32.dl_
2008-03-05 14:51 . 2008-03-05 14:51 <DIR> d--hs---- C:\NoWayVirus
2008-03-05 14:47 . 2008-03-05 14:47 <DIR> d-------- C:\Documents and Settings\Admin\Dane aplikacji\NoWayVirus
2008-03-05 14:42 . 2004-10-07 13:39 1,060,864 --a------ C:\WINDOWS\system32\mfc71.dll
2008-03-05 14:42 . 2004-10-07 13:39 499,712 --a------ C:\WINDOWS\system32\msvcp71.dll
2008-03-05 14:42 . 2004-10-07 13:39 348,160 --a------ C:\WINDOWS\system32\msvcr71.dll
2008-03-05 14:42 . 2004-10-07 13:39 89,088 --a------ C:\WINDOWS\system32\atl71.dll
2008-03-05 14:42 . 2001-03-08 18:30 24,064 --a------ C:\WINDOWS\system32\msxml3a.dll
2008-03-05 14:27 . 2008-03-06 14:36 28,612 ---hs---- C:\WINDOWS\system32\mmttkpfk.dllbox
2008-03-05 13:42 . 2008-03-05 13:42 <DIR> d-------- C:\Program Files\Trend Micro
2008-03-05 12:25 . 2008-03-05 12:25 <DIR> d-------- C:\Documents and Settings\Admin\Dane aplikacji\OczyszczaczKomputerza
2008-03-05 12:20 . 2008-03-05 12:20 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\OczyszczaczKomputerza
2008-03-05 10:22 . 2008-03-05 13:17 20,612 ---hs---- C:\WINDOWS\system32\wvxozjrw.dllbox
2008-03-04 22:09 . 2008-03-04 22:09 29 --a------ C:\WINDOWS\system32\eppdorru.tmp
2008-03-04 22:08 . 2008-03-04 22:08 167,936 --a------ C:\WINDOWS\system32\drivers\Mhiw57.sys
2008-03-04 22:07 . 2008-03-06 14:16 26,496 --a------ C:\WINDOWS\system32\drivers\Esy40.sys
2008-03-04 22:07 . 2008-03-04 22:07 26,240 --a------ C:\WINDOWS\system32\drivers\Esy40(4).sys
2008-03-04 22:07 . 2008-03-05 07:45 26,240 --a------ C:\WINDOWS\system32\drivers\Esy40(3).sys
2008-03-04 22:07 . 2008-03-05 08:42 26,240 --a------ C:\WINDOWS\system32\drivers\Esy40(2).sys
2008-03-04 22:07 . 2008-03-06 14:51 11,776 --a------ C:\WINDOWS\system32\WLCtrl32.dll
2008-03-04 22:06 . 2008-03-04 22:06 37,376 --a------ C:\WINDOWS\mrofinu1535.exe.tmp
2008-03-04 22:06 . 2008-03-04 22:08 37,376 --a------ C:\WINDOWS\mrofinu1535.exe
2008-03-04 21:02 . 2008-03-04 21:16 <DIR> d-------- C:\Babcia
2008-03-02 17:26 . 2008-03-02 15:26 73,728 --a------ C:\WINDOWS\b153.exe
2008-03-02 14:03 . 2008-03-02 14:03 26,752 --a------ C:\Documents and Settings\Admin\Dane aplikacji\GDIPFONTCACHEV1.DAT
2008-03-01 21:20 . 2008-03-01 21:20 118,784 --a------ C:\WINDOWS\SeaMonkeyUninstall.exe
2008-03-01 21:19 . 2008-03-01 21:20 <DIR> d-------- C:\Program Files\SeaMonkey
2008-03-01 21:19 . 2008-03-01 21:19 <DIR> d-------- C:\Program Files\Common Files\mozilla.org
2008-03-01 21:19 . 2008-03-01 21:19 118,784 --a------ C:\WINDOWS\GREUninstall.exe
2008-03-01 21:19 . 2008-03-01 21:20 7,457 --a------ C:\WINDOWS\mozver.dat
2008-02-25 16:00 . 2008-02-25 14:00 81,920 --a------ C:\WINDOWS\b154.exe
2008-02-24 20:09 . 2008-02-24 20:09 230 --a------ C:\WINDOWS\system32\spupdsvc.inf
2008-02-24 12:46 . 2008-02-24 12:48 <DIR> d-------- C:\Program Files\Ad-Aware SE Personal
2008-02-23 21:39 . 2000-07-14 23:00 101,888 --a------ C:\WINDOWS\system32\VB6STKIT.DLL
2008-02-21 10:17 . 2008-02-24 14:02 <DIR> d-------- C:\Program Files\Soldat+
2008-02-21 02:57 . 2008-02-21 02:57 54,608 --a------ C:\WINDOWS\system32\xfcodec.dll
2008-02-20 17:05 . 2008-02-20 17:06 <DIR> d-------- C:\Documents and Settings\Admin\Dane aplikacji\REAPER
2008-02-20 14:15 . 2004-08-04 00:44 4,274,816 --a------ C:\WINDOWS\system32\drivers\nv4_disp.dll
2008-02-20 14:15 . 2001-10-26 17:29 1,738,496 --a------ C:\WINDOWS\system32\drivers\nv4.dll
2008-02-17 16:02 . 2008-02-17 16:02 <DIR> d-------- C:\Documents and Settings\Admin\Contacts
2008-02-17 15:43 . 2008-02-17 16:01 <DIR> d-------- C:\Program Files\MSN Messenger
2008-02-13 21:23 . 2008-03-01 21:20 335 --a------ C:\WINDOWS\nsreg.dat
2008-02-10 15:56 . 2008-02-24 20:11 <DIR> d-------- C:\WINDOWS\system32\pl-pl
2008-02-10 15:53 . 2001-10-30 13:00 68,608 --a------ C:\WINDOWS\system32\plugin.ocx
2008-02-10 15:53 . 2001-10-30 13:00 68,608 --a------ C:\WINDOWS\system32\dllcache\plugin.ocx
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-05 12:20 --------- d-----w C:\Program Files\Trojan Remover
2008-03-05 12:18 --------- d-----w C:\Documents and Settings\Admin\Dane aplikacji\uTorrent
2008-03-04 21:11 --------- d---a-w C:\Documents and Settings\All Users\Dane aplikacji\TEMP
2008-03-02 20:00 --------- d-----w C:\Program Files\uTorrent
2008-02-27 15:37 --------- d-----w C:\Program Files\Common Files\Teleca Shared
2008-02-27 14:14 --------- d-----w C:\Program Files\Xfire
2008-02-26 20:00 --------- d-----w C:\Documents and Settings\Admin\Dane aplikacji\mIRC
2008-02-26 19:59 --------- d-----w C:\Documents and Settings\Admin\Dane aplikacji\Xfire
2008-02-26 15:52 --------- d-----w C:\Program Files\mIRC
2008-02-24 19:15 --------- d-----w C:\Program Files\Avast4
2008-02-24 19:07 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy
2008-02-24 12:37 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-02-24 11:47 --------- d-----w C:\Documents and Settings\Admin\Dane aplikacji\Lavasoft
2008-02-20 17:47 --------- d-----w C:\Program Files\FinePixViewer
2008-02-20 16:08 --------- d-----w C:\Program Files\Winamp 5.52
2008-02-13 20:34 --------- d-----w C:\Program Files\Gadu-Gadu
2008-02-12 11:52 --------- d-----w C:\Program Files\The GodFather
2008-02-02 15:49 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Simply Super Software
2008-02-02 15:49 --------- d-----w C:\Documents and Settings\Admin\Dane aplikacji\Simply Super Software
2008-02-01 21:31 --------- d-----w C:\Program Files\Neostrada TP
2008-02-01 20:38 --------- d-----w C:\Documents and Settings\Admin\Dane aplikacji\teamspeak2
2008-01-28 16:52 --------- d-----w C:\Program Files\MagicISO
2008-01-27 18:28 --------- d-----w C:\Program Files\McFunSoft Video Solution
2008-01-25 23:18 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Lavasoft
2008-01-20 11:12 --------- d-----w C:\Documents and Settings\Admin\Dane aplikacji\WebCompiler3
2008-01-20 10:26 --------- d-----w C:\Documents and Settings\Admin\Dane aplikacji\Winamp 5.52
2008-01-08 17:33 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Bluetooth
2008-01-08 17:25 --------- d-----w C:\Program Files\IVT Corporation
2008-01-08 17:04 --------- d--h--r C:\Documents and Settings\Admin\Dane aplikacji\SecuROM
2007-11-10 14:13 81,920 ----a-w C:\Documents and Settings\Admin\Dane aplikacji\ezpinst.exe
2007-11-10 14:13 47,360 ----a-w C:\Documents and Settings\Admin\Dane aplikacji\pcouffin.sys
2001-01-11 14:02 794,624 ----a-w C:\WINDOWS\inf\OTHER\audio3d.dll
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2fc5363f-63fd-4fc5-938a-d887d8f26373}]
C:\WINDOWS\system32\abehspig.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{76B84644-34A1-42E8-9159-5CE5C6B0F12C}]
C:\WINDOWS\system32\byxxv.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"fc275c7f"="C:\WINDOWS\system32\xsjcdqut.dll" [ ]
"cwriter"="C:\Program Files\StorageProtector\ucookw.exe" [ ]
"BMff146fe3"="C:\WINDOWS\system32\hpkoodeq.dll" [ ]
"combofix"="C:\WINDOWS\system32\CF16013.exe" [2004-08-04 00:44 395776]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:44 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="userinit.exe,"
"UIHost"="logonui.exe"
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\mmttkpfk]
mmttkpfk.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WLCtrl32]
WLCtrl32.dll 2008-03-06 14:51 11776 C:\WINDOWS\system32\WLCtrl32.dll
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Aktywacja Testera.lnk]
backup=C:\WINDOWS\pss\Aktywacja Testera.lnkCommon Startup
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^BlueSoleil.lnk]
path=C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\BlueSoleil.lnk
backup=C:\WINDOWS\pss\BlueSoleil.lnkCommon Startup
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^DSLMON.lnk]
backup=C:\WINDOWS\pss\DSLMON.lnkCommon Startup
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^ExifLauncher2.lnk]
backup=C:\WINDOWS\pss\ExifLauncher2.lnkCommon Startup
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Microsoft Office.lnk]
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ares]
--a------ 2007-05-04 01:32 961024 C:\Program Files\Ares 2.0.9\Ares.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avast!]
C:\PROGRA~1\Avast4\ashDisp.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
--a------ 2007-10-23 14:18 202024 C:\Program Files\Common Files\Nero\Lib\NMBgMonitor.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BluetoothAuthenticationAgent]
--a------ 2004-08-04 00:44 110592 C:\WINDOWS\system32\bthprops.cpl
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
--a------ 2004-08-04 00:44 15360 C:\WINDOWS\System32\ctfmon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EPSON Stylus D88 Series]
--a------ 2005-01-27 14:00 98304 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIABE.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
C:\WINDOWS\system32\dumprep 0 -k
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2004-08-04 00:44 1667584 C:\Program Files\Messenger\msmsgs.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBKeyScan]
--a------ 2007-09-20 08:51 1836328 C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2007-03-01 14:57 153136 C:\Program Files\Common Files\Nero\Lib\NeroCheck.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
C:\QTTask.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\REGSHAVE]
--------- 2002-02-04 22:32 53248 C:\Program Files\REGSHAVE\REGSHAVE.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SIGKreator]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite]
C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TrojanScanner]
--a------ 2008-02-01 14:42 743504 C:\Program Files\Trojan Remover\Trjscan.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WooCnxMon]
--a------ 2003-10-16 19:07 24576 C:\PROGRA~1\NEOSTR~1\CnxMon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WOOTASKBARICON]
--------- 2003-10-16 19:07 53248 C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WOOWATCH]
--------- 2003-10-16 19:07 20480 C:\PROGRA~1\NEOSTR~1\Watch.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"wuauserv"=2 (0x2)
"wscsvc"=2 (0x2)
"BthServ"=2 (0x2)
"BlueSoleil Hid Service"=2 (0x2)
"avast! Web Scanner"=3 (0x3)
"avast! Mail Scanner"=3 (0x3)
"avast! Antivirus"=2 (0x2)
"aswUpdSv"=2 (0x2)
"aspnet_state"=3 (0x3)
"aawservice"=2 (0x2)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\Program Files\\Gadu-Gadu\\gg.exe"=
"C:\\WINDOWS\\system32\\sessmgr.exe"=
"C:\\Program Files\\Xfire\\xfire.exe"=
"C:\\Program Files\\Ares 2.0.9\\Ares.exe"=
"C:\\Program Files\\mIRC\\mirc.exe"=
"C:\\Program Files\\uTorrent\\uTorrent.exe"=
"C:\\Program Files\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"C:\\Program Files\\MSN Messenger\\livecall.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
R0 Esy40;Esy40;C:\WINDOWS\system32\Drivers\Esy40.sys [2008-03-06 14:16]
S3 s115bus;Sony Ericsson Device 115 driver (WDM);C:\WINDOWS\system32\DRIVERS\s115bus.sys [2007-04-23 15:54]
S3 s115mdfl;Sony Ericsson Device 115 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\s115mdfl.sys [2007-04-23 15:54]
S3 s115mdm;Sony Ericsson Device 115 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\s115mdm.sys [2007-04-23 15:54]
S3 s115mgmt;Sony Ericsson Device 115 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\s115mgmt.sys [2007-04-23 15:54]
S3 s115obex;Sony Ericsson Device 115 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\s115obex.sys [2007-04-23 15:54]
S3 USB2_04;USB2_04 driver;C:\WINDOWS\system32\drivers\nkv2.sys [2008-03-06 14:16]
.
Contents of the 'Scheduled Tasks' folder
"2008-02-28 16:45:28 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************
catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-06 14:52:50
Windows 5.1.2600 Dodatek Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\yutsubk]
"ImagePath"="\??\C:\WINDOWS\inf\yutsubk.cat"
.
--------------------- DLLs Loaded Under Running Processes ---------------------
PROCESS: C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\WLCtrl32.dll
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\bgsvcgen.exe
.
**************************************************************************
.
Completion time: 2008-03-06 14:55:46 - machine was rebooted
ComboFix-quarantined-files.txt 2008-03-06 13:55:23
.
2007-12-10 16:33:04 --- E O F ---
ComboFix 08-03-05.3 - Admin 2008-03-06 14:40:47.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.69 [GMT 1:00]
Running from: C:\Documents and Settings\Admin\Pulpit\ComboFix.exe
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Program Files\NoDNS
C:\Program Files\Temporary
C:\Program Files\Temporary\InsiDERInst.exe
C:\WINDOWS\BMff146fe3.xml
C:\WINDOWS\hosts
C:\WINDOWS\pskt.ini
C:\WINDOWS\regedit.com
C:\WINDOWS\system32\abehspig.dll
C:\WINDOWS\system32\byxxv.dll
C:\WINDOWS\system32\cirasyvl.dll
C:\WINDOWS\system32\drivers\symavc32.sys
C:\WINDOWS\system32\fccccda.dll
C:\WINDOWS\system32\hpkoodeq.dll
C:\WINDOWS\system32\mmttkpfk.dll
C:\WINDOWS\system32\qomjggd.dll
C:\WINDOWS\system32\taskmgr.com
C:\WINDOWS\system32\tuqdcjsx.ini
C:\WINDOWS\system32\vxxyb.ini
C:\WINDOWS\system32\vxxyb.ini2
C:\WINDOWS\system32\windows
C:\WINDOWS\system32\wpioedpn.dll
C:\WINDOWS\system32\xsjcdqut.dll
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\LEGACY_DHLP
-------\LEGACY_MHIW57
((((((((((((((((((((((((( Files Created from 2008-02-06 to 2008-03-06 )))))))))))))))))))))))))))))))
.
2008-03-06 14:16 . 2008-03-06 14:16 56,576 --a------ C:\WINDOWS\system32\drivers\nkv2.sys
2008-03-05 18:46 . 2008-03-05 18:46 190,728 --a------ C:\Documents and Settings\Admin\Dane aplikacji\install_en[1].exe
2008-03-05 18:45 . 2008-03-06 14:16 11,776 --a------ C:\WINDOWS\system32\WLCtrl32.dl_
2008-03-05 14:51 . 2008-03-05 14:51 <DIR> d--hs---- C:\NoWayVirus
2008-03-05 14:47 . 2008-03-05 14:47 <DIR> d-------- C:\Documents and Settings\Admin\Dane aplikacji\NoWayVirus
2008-03-05 14:42 . 2004-10-07 13:39 1,060,864 --a------ C:\WINDOWS\system32\mfc71.dll
2008-03-05 14:42 . 2004-10-07 13:39 499,712 --a------ C:\WINDOWS\system32\msvcp71.dll
2008-03-05 14:42 . 2004-10-07 13:39 348,160 --a------ C:\WINDOWS\system32\msvcr71.dll
2008-03-05 14:42 . 2004-10-07 13:39 89,088 --a------ C:\WINDOWS\system32\atl71.dll
2008-03-05 14:42 . 2001-03-08 18:30 24,064 --a------ C:\WINDOWS\system32\msxml3a.dll
2008-03-05 14:27 . 2008-03-06 14:36 28,612 ---hs---- C:\WINDOWS\system32\mmttkpfk.dllbox
2008-03-05 13:42 . 2008-03-05 13:42 <DIR> d-------- C:\Program Files\Trend Micro
2008-03-05 12:25 . 2008-03-05 12:25 <DIR> d-------- C:\Documents and Settings\Admin\Dane aplikacji\OczyszczaczKomputerza
2008-03-05 12:20 . 2008-03-05 12:20 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\OczyszczaczKomputerza
2008-03-05 10:22 . 2008-03-05 13:17 20,612 ---hs---- C:\WINDOWS\system32\wvxozjrw.dllbox
2008-03-04 22:09 . 2008-03-04 22:09 29 --a------ C:\WINDOWS\system32\eppdorru.tmp
2008-03-04 22:08 . 2008-03-04 22:08 167,936 --a------ C:\WINDOWS\system32\drivers\Mhiw57.sys
2008-03-04 22:07 . 2008-03-06 14:16 26,496 --a------ C:\WINDOWS\system32\drivers\Esy40.sys
2008-03-04 22:07 . 2008-03-04 22:07 26,240 --a------ C:\WINDOWS\system32\drivers\Esy40(4).sys
2008-03-04 22:07 . 2008-03-05 07:45 26,240 --a------ C:\WINDOWS\system32\drivers\Esy40(3).sys
2008-03-04 22:07 . 2008-03-05 08:42 26,240 --a------ C:\WINDOWS\system32\drivers\Esy40(2).sys
2008-03-04 22:07 . 2008-03-06 14:51 11,776 --a------ C:\WINDOWS\system32\WLCtrl32.dll
2008-03-04 22:06 . 2008-03-04 22:06 37,376 --a------ C:\WINDOWS\mrofinu1535.exe.tmp
2008-03-04 22:06 . 2008-03-04 22:08 37,376 --a------ C:\WINDOWS\mrofinu1535.exe
2008-03-04 21:02 . 2008-03-04 21:16 <DIR> d-------- C:\Babcia
2008-03-02 17:26 . 2008-03-02 15:26 73,728 --a------ C:\WINDOWS\b153.exe
2008-03-02 14:03 . 2008-03-02 14:03 26,752 --a------ C:\Documents and Settings\Admin\Dane aplikacji\GDIPFONTCACHEV1.DAT
2008-03-01 21:20 . 2008-03-01 21:20 118,784 --a------ C:\WINDOWS\SeaMonkeyUninstall.exe
2008-03-01 21:19 . 2008-03-01 21:20 <DIR> d-------- C:\Program Files\SeaMonkey
2008-03-01 21:19 . 2008-03-01 21:19 <DIR> d-------- C:\Program Files\Common Files\mozilla.org
2008-03-01 21:19 . 2008-03-01 21:19 118,784 --a------ C:\WINDOWS\GREUninstall.exe
2008-03-01 21:19 . 2008-03-01 21:20 7,457 --a------ C:\WINDOWS\mozver.dat
2008-02-25 16:00 . 2008-02-25 14:00 81,920 --a------ C:\WINDOWS\b154.exe
2008-02-24 20:09 . 2008-02-24 20:09 230 --a------ C:\WINDOWS\system32\spupdsvc.inf
2008-02-24 12:46 . 2008-02-24 12:48 <DIR> d-------- C:\Program Files\Ad-Aware SE Personal
2008-02-23 21:39 . 2000-07-14 23:00 101,888 --a------ C:\WINDOWS\system32\VB6STKIT.DLL
2008-02-21 10:17 . 2008-02-24 14:02 <DIR> d-------- C:\Program Files\Soldat+
2008-02-21 02:57 . 2008-02-21 02:57 54,608 --a------ C:\WINDOWS\system32\xfcodec.dll
2008-02-20 17:05 . 2008-02-20 17:06 <DIR> d-------- C:\Documents and Settings\Admin\Dane aplikacji\REAPER
2008-02-20 14:15 . 2004-08-04 00:44 4,274,816 --a------ C:\WINDOWS\system32\drivers\nv4_disp.dll
2008-02-20 14:15 . 2001-10-26 17:29 1,738,496 --a------ C:\WINDOWS\system32\drivers\nv4.dll
2008-02-17 16:02 . 2008-02-17 16:02 <DIR> d-------- C:\Documents and Settings\Admin\Contacts
2008-02-17 15:43 . 2008-02-17 16:01 <DIR> d-------- C:\Program Files\MSN Messenger
2008-02-13 21:23 . 2008-03-01 21:20 335 --a------ C:\WINDOWS\nsreg.dat
2008-02-10 15:56 . 2008-02-24 20:11 <DIR> d-------- C:\WINDOWS\system32\pl-pl
2008-02-10 15:53 . 2001-10-30 13:00 68,608 --a------ C:\WINDOWS\system32\plugin.ocx
2008-02-10 15:53 . 2001-10-30 13:00 68,608 --a------ C:\WINDOWS\system32\dllcache\plugin.ocx
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-05 12:20 --------- d-----w C:\Program Files\Trojan Remover
2008-03-05 12:18 --------- d-----w C:\Documents and Settings\Admin\Dane aplikacji\uTorrent
2008-03-04 21:11 --------- d---a-w C:\Documents and Settings\All Users\Dane aplikacji\TEMP
2008-03-02 20:00 --------- d-----w C:\Program Files\uTorrent
2008-02-27 15:37 --------- d-----w C:\Program Files\Common Files\Teleca Shared
2008-02-27 14:14 --------- d-----w C:\Program Files\Xfire
2008-02-26 20:00 --------- d-----w C:\Documents and Settings\Admin\Dane aplikacji\mIRC
2008-02-26 19:59 --------- d-----w C:\Documents and Settings\Admin\Dane aplikacji\Xfire
2008-02-26 15:52 --------- d-----w C:\Program Files\mIRC
2008-02-24 19:15 --------- d-----w C:\Program Files\Avast4
2008-02-24 19:07 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy
2008-02-24 12:37 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-02-24 11:47 --------- d-----w C:\Documents and Settings\Admin\Dane aplikacji\Lavasoft
2008-02-20 17:47 --------- d-----w C:\Program Files\FinePixViewer
2008-02-20 16:08 --------- d-----w C:\Program Files\Winamp 5.52
2008-02-13 20:34 --------- d-----w C:\Program Files\Gadu-Gadu
2008-02-12 11:52 --------- d-----w C:\Program Files\The GodFather
2008-02-02 15:49 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Simply Super Software
2008-02-02 15:49 --------- d-----w C:\Documents and Settings\Admin\Dane aplikacji\Simply Super Software
2008-02-01 21:31 --------- d-----w C:\Program Files\Neostrada TP
2008-02-01 20:38 --------- d-----w C:\Documents and Settings\Admin\Dane aplikacji\teamspeak2
2008-01-28 16:52 --------- d-----w C:\Program Files\MagicISO
2008-01-27 18:28 --------- d-----w C:\Program Files\McFunSoft Video Solution
2008-01-25 23:18 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Lavasoft
2008-01-20 11:12 --------- d-----w C:\Documents and Settings\Admin\Dane aplikacji\WebCompiler3
2008-01-20 10:26 --------- d-----w C:\Documents and Settings\Admin\Dane aplikacji\Winamp 5.52
2008-01-08 17:33 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Bluetooth
2008-01-08 17:25 --------- d-----w C:\Program Files\IVT Corporation
2008-01-08 17:04 --------- d--h--r C:\Documents and Settings\Admin\Dane aplikacji\SecuROM
2007-11-10 14:13 81,920 ----a-w C:\Documents and Settings\Admin\Dane aplikacji\ezpinst.exe
2007-11-10 14:13 47,360 ----a-w C:\Documents and Settings\Admin\Dane aplikacji\pcouffin.sys
2001-01-11 14:02 794,624 ----a-w C:\WINDOWS\inf\OTHER\audio3d.dll
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2fc5363f-63fd-4fc5-938a-d887d8f26373}]
C:\WINDOWS\system32\abehspig.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{76B84644-34A1-42E8-9159-5CE5C6B0F12C}]
C:\WINDOWS\system32\byxxv.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"fc275c7f"="C:\WINDOWS\system32\xsjcdqut.dll" [ ]
"cwriter"="C:\Program Files\StorageProtector\ucookw.exe" [ ]
"BMff146fe3"="C:\WINDOWS\system32\hpkoodeq.dll" [ ]
"combofix"="C:\WINDOWS\system32\CF16013.exe" [2004-08-04 00:44 395776]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:44 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="userinit.exe,"
"UIHost"="logonui.exe"
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\mmttkpfk]
mmttkpfk.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WLCtrl32]
WLCtrl32.dll 2008-03-06 14:51 11776 C:\WINDOWS\system32\WLCtrl32.dll
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Aktywacja Testera.lnk]
backup=C:\WINDOWS\pss\Aktywacja Testera.lnkCommon Startup
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^BlueSoleil.lnk]
path=C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\BlueSoleil.lnk
backup=C:\WINDOWS\pss\BlueSoleil.lnkCommon Startup
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^DSLMON.lnk]
backup=C:\WINDOWS\pss\DSLMON.lnkCommon Startup
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^ExifLauncher2.lnk]
backup=C:\WINDOWS\pss\ExifLauncher2.lnkCommon Startup
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Microsoft Office.lnk]
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ares]
--a------ 2007-05-04 01:32 961024 C:\Program Files\Ares 2.0.9\Ares.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avast!]
C:\PROGRA~1\Avast4\ashDisp.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
--a------ 2007-10-23 14:18 202024 C:\Program Files\Common Files\Nero\Lib\NMBgMonitor.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BluetoothAuthenticationAgent]
--a------ 2004-08-04 00:44 110592 C:\WINDOWS\system32\bthprops.cpl
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
--a------ 2004-08-04 00:44 15360 C:\WINDOWS\System32\ctfmon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EPSON Stylus D88 Series]
--a------ 2005-01-27 14:00 98304 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIABE.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
C:\WINDOWS\system32\dumprep 0 -k
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2004-08-04 00:44 1667584 C:\Program Files\Messenger\msmsgs.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBKeyScan]
--a------ 2007-09-20 08:51 1836328 C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2007-03-01 14:57 153136 C:\Program Files\Common Files\Nero\Lib\NeroCheck.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
C:\QTTask.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\REGSHAVE]
--------- 2002-02-04 22:32 53248 C:\Program Files\REGSHAVE\REGSHAVE.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SIGKreator]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite]
C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TrojanScanner]
--a------ 2008-02-01 14:42 743504 C:\Program Files\Trojan Remover\Trjscan.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WooCnxMon]
--a------ 2003-10-16 19:07 24576 C:\PROGRA~1\NEOSTR~1\CnxMon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WOOTASKBARICON]
--------- 2003-10-16 19:07 53248 C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WOOWATCH]
--------- 2003-10-16 19:07 20480 C:\PROGRA~1\NEOSTR~1\Watch.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"wuauserv"=2 (0x2)
"wscsvc"=2 (0x2)
"BthServ"=2 (0x2)
"BlueSoleil Hid Service"=2 (0x2)
"avast! Web Scanner"=3 (0x3)
"avast! Mail Scanner"=3 (0x3)
"avast! Antivirus"=2 (0x2)
"aswUpdSv"=2 (0x2)
"aspnet_state"=3 (0x3)
"aawservice"=2 (0x2)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\Program Files\\Gadu-Gadu\\gg.exe"=
"C:\\WINDOWS\\system32\\sessmgr.exe"=
"C:\\Program Files\\Xfire\\xfire.exe"=
"C:\\Program Files\\Ares 2.0.9\\Ares.exe"=
"C:\\Program Files\\mIRC\\mirc.exe"=
"C:\\Program Files\\uTorrent\\uTorrent.exe"=
"C:\\Program Files\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"C:\\Program Files\\MSN Messenger\\livecall.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
R0 Esy40;Esy40;C:\WINDOWS\system32\Drivers\Esy40.sys [2008-03-06 14:16]
S3 s115bus;Sony Ericsson Device 115 driver (WDM);C:\WINDOWS\system32\DRIVERS\s115bus.sys [2007-04-23 15:54]
S3 s115mdfl;Sony Ericsson Device 115 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\s115mdfl.sys [2007-04-23 15:54]
S3 s115mdm;Sony Ericsson Device 115 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\s115mdm.sys [2007-04-23 15:54]
S3 s115mgmt;Sony Ericsson Device 115 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\s115mgmt.sys [2007-04-23 15:54]
S3 s115obex;Sony Ericsson Device 115 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\s115obex.sys [2007-04-23 15:54]
S3 USB2_04;USB2_04 driver;C:\WINDOWS\system32\drivers\nkv2.sys [2008-03-06 14:16]
.
Contents of the 'Scheduled Tasks' folder
"2008-02-28 16:45:28 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************
catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-06 14:52:50
Windows 5.1.2600 Dodatek Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\yutsubk]
"ImagePath"="\??\C:\WINDOWS\inf\yutsubk.cat"
.
--------------------- DLLs Loaded Under Running Processes ---------------------
PROCESS: C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\WLCtrl32.dll
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\bgsvcgen.exe
.
**************************************************************************
.
Completion time: 2008-03-06 14:55:46 - machine was rebooted
ComboFix-quarantined-files.txt 2008-03-06 13:55:23
.
2007-12-10 16:33:04 --- E O F ---
06 Mar 2008, 16:35
A te ikonki na pulpicie nie mają znaczenia bo Microsoft sam się pyta cały czas czy chce pobrać aplikacje do naprawy systemu. Pobrałem kilka ale to i tak nic nie daje, bo albo nic nie wykrywa, albo jak już wykryje to za usunięcie trzeba zapłacić <lol3>.
I te programy to są właśnie Wirusy/Spyware! A ty jeszcze następne instalujesz...
Zastosuj się do porad pp: http://instalki.pl/forum/viewtopic.php?p=40230#40230
Wklej do Notatnika:
File::
C:\Documents and Settings\Admin\Dane aplikacji\install_en[1].exe
C:\WINDOWS\system32\eppdorru.tmp
C:\WINDOWS\mrofinu1535.exe.tmp
C:\WINDOWS\mrofinu1535.exe
C:\WINDOWS\b154.exe
C:\WINDOWS\system32\WLCtrl32.dll
C:\Program Files\StorageProtector\ucookw.exe
Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WLCtrl32]
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{76B84644-34A1-42E8-9159-5CE5C6B0F12C}]
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2fc5363f-63fd-4fc5-938a-d887d8f26373}]
>>Plik>>Zapisz jako... >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe)
– podobnie jak na tym obrazku -->
(jeśli pojawi się pytanie "1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)
Po restarcie usuń ręcznie folder C: \Qoobox.
Po tym nowy log z Combofix.
PS. Więc zastosuj się do moich poraw w 1 poście jeszcze... Ja niestety nie jestem dobry z CoboFixa i nie podałem tam wszystkich plików.
06 Mar 2008, 20:10
Przeskanowałem - problem częściowo zniknął. Po kliku minutach znów wróciłem do punktu wyjścia. Niekończące się wyskakujące komunikaty, np. "Your computer might be at risk". Użyłem skanera Prevx CSI i nawet sporo wykrył (malwery, rootkity, trojany), tylko żeby usunąć pliki potrzebny klucz licencyjny za który trzeba zapłacić. Można zna ktoś DARMOWY program tego rodzaju do usuwania takich samych plików. Jeżeli tak to proszę o linki. Zapamiętałem też kilka wirusów, m.in.: Win32.Trojandownloader.Zlob; Virtumonde, BN5 - tego skanowanie nie usunęło i wszystko wróciło do przeszłości.
06 Mar 2008, 21:19
No to po kolei:
Antywir: Kaspersky lub NOD32
Antyspyware: Ad-aware lub Spybot
W razie czego: WWDC - zmieniasz "pycki" na zielone
Spróbuj jeszcze Szczepoinki
Użyj jeszcze programu Vundo z topiku pp: http://instalki.pl/forum/viewtopic.php?p=40230#40230
Daj też nowe logi z HijackThis i ComboFix
PS. wykonałeś wcześniejsze porady?
Antywir: Kaspersky lub NOD32
Antyspyware: Ad-aware lub Spybot
W razie czego: WWDC - zmieniasz "pycki" na zielone
Spróbuj jeszcze Szczepoinki
Użyj jeszcze programu Vundo z topiku pp: http://instalki.pl/forum/viewtopic.php?p=40230#40230
Daj też nowe logi z HijackThis i ComboFix
PS. wykonałeś wcześniejsze porady?
08 Mar 2008, 09:11
ok już wszystko gra, użyłem opcji Windowsa. Zamykam temat.