Regulamin forum
1. Każdy temat powinien odzwierciedlać treść wątku.2. W przypadku wklejania logów; należy je wykonać od razu przynajmniej z dwóch narzędzi: FRST oraz z GMER
3. Wszelkie logi proszę publikować na przeznaczonych do tego stronach a w poście wklejać tylko link.
4. Nie wskazane jest skracanie logów, należy wkleić cały - od początku, do końca.
5. Nie wskazane jest podczepianie się do tematów innych użytkowników - proszę założyć nowy temat w dziale Bezpieczeństwo, ułatwi to pomoc sprawdzającemu.
6. Osoby nie posiadające odpowiedniej wiedzy, nie powinny sprawdzać logów, ponieważ grozi to poważnym uszkodzeniem systemu lub aplikacji zainstalowanych na komputerze.
7. Należy dokładnie opisać problem, występujące objawy oraz wszelkie podjęte działania.
8. Każdy skrypt jest unikatowy, napisany dla każdego przypadku z osobna, więc nie może być stosowany przez innych.
9. W przypadku zamieszczenia zrzutu ekranu (screenshot'a) proszę korzystać z zewnętrznego serwisu oferującego hosting zdjęć.
HACKED BY GODZILLA, VBS.SOLOW prosz o sprawdzenie loga
19 Sty 2008, 18:39
Witam!
Na wstępie powiem że jestem całkowicie ciemna w tych tematach i prosze o jak najdokładniejsze wytłumaczenie co i jak- z góry dzieki:)
Tak więc nie mogłam wejść w normalny sposób na poszczgólne partycje tylko przez eksploruj, a w wyszukiwarce w górynym pasku widniał napis HACKED BY GODZILLA. Avast wykrył wirusa VBS.SOLOW, ale nie dał sobie z nim rady, więc zrobiłam tak jak pisało na forum, czyli loga przez combofixa. Niby teraz jest wszystko ok, ale nie wiem czy trzeba coś jeszcze zrobić
? może usunąc jakies pliki? Prosze o pomoc 
ComboFix 08-01-18.5 - Bramkarz 2008-01-19 17:17:13.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1250.1.1045.18.687 [GMT 1:00]
Running from: C:\Documents and Settings\Bramkarz\Pulpit\ComboFix.exe
* Created a new restore point
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\autorun.inf
C:\Program Files\myglobalsearch
C:\Program Files\myglobalsearch\bar\1.bin\M9FFXTBR.JAR
C:\Program Files\myglobalsearch\bar\1.bin\M9FFXTBR.MANIFEST
C:\Program Files\myglobalsearch\bar\1.bin\M9NTSTBR.JAR
C:\Program Files\myglobalsearch\bar\1.bin\M9NTSTBR.MANIFEST
C:\Program Files\myglobalsearch\bar\1.bin\M9PLUGIN.DLL
C:\Program Files\myglobalsearch\bar\1.bin\MGSBAR.DLL
C:\Program Files\myglobalsearch\bar\1.bin\NPMYGLSH.DLL
C:\Program Files\myglobalsearch\bar\Cache\005CCBEB
C:\Program Files\myglobalsearch\bar\Cache\005CCDFE
C:\Program Files\myglobalsearch\bar\Cache\005CCF56.bin
C:\Program Files\myglobalsearch\bar\Cache\005CE5EB.bin
C:\Program Files\myglobalsearch\bar\Cache\005CEE0A.bin
C:\Program Files\myglobalsearch\bar\Cache\files.ini
C:\Program Files\myglobalsearch\bar\History\search
C:\Program Files\myglobalsearch\bar\Settings\prevcfg.htm
C:\WINDOWS\system32\winsys.exe
D:\Autorun.inf
D:\MS32DLL.dll.vbs
E:\Autorun.inf
.
((((((((((((((((((((((((( Files Created from 2007-12-19 to 2008-01-19 )))))))))))))))))))))))))))))))
.
2008-01-19 17:16 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-18 15:58 . 2008-01-18 15:58 <DIR> d-------- C:\Documents and Settings\Bramkarz\Dane aplikacji\Gadu-Gadu
2008-01-18 15:14 . 2008-01-18 15:14 <DIR> d-------- C:\Program Files\Gadu-Gadu
2008-01-18 15:14 . 2008-01-18 15:15 <DIR> d-------- C:\Documents and Settings\Bramkarz\Gadu-Gadu
2008-01-18 14:17 . 2008-01-18 14:17 <DIR> dr-h----- C:\Documents and Settings\Basia\Dane aplikacji\SecuROM
2008-01-18 14:12 . 2008-01-18 14:12 <DIR> d---s---- C:\Documents and Settings\Basia\UserData
2008-01-16 23:07 . 2008-01-16 23:07 <DIR> d-------- C:\Program Files\MSXML 4.0
2008-01-16 18:52 . 2008-01-16 18:52 <DIR> d---s---- C:\Documents and Settings\Bramkarz\UserData
2008-01-16 11:57 . 2008-01-16 11:57 <DIR> d-------- C:\Program Files\Asprate
2008-01-16 11:42 . 2008-01-17 21:32 <DIR> d-------- C:\Program Files\Tibia
2008-01-16 11:31 . 2008-01-16 11:31 <DIR> d-------- C:\Program Files\BearShare
2008-01-16 11:31 . 2008-01-18 17:26 <DIR> d-------- C:\My Downloads
2008-01-16 11:20 . 2008-01-16 11:28 <DIR> d-------- C:\Program Files\DC++
2008-01-16 11:06 . 2008-01-16 11:06 <DIR> d-------- C:\Program Files\BearShare Applications
2008-01-16 11:06 . 2006-11-12 11:39 483,328 --a------ C:\WINDOWS\system32\actskn45.ocx
2008-01-16 10:05 . 2008-01-16 10:05 <DIR> d-------- C:\Program Files\Alwil Software
2008-01-16 10:05 . 2007-12-04 14:04 837,496 --a------ C:\WINDOWS\system32\aswBoot.exe
2008-01-16 10:05 . 2004-01-09 10:13 380,928 --a------ C:\WINDOWS\system32\actskin4.ocx
2008-01-16 10:05 . 2007-12-04 13:54 95,608 --a------ C:\WINDOWS\system32\AvastSS.scr
2008-01-16 10:05 . 2007-12-04 15:55 94,544 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
2008-01-16 10:05 . 2007-12-04 15:56 93,264 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
2008-01-16 10:05 . 2007-12-04 15:51 42,912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
2008-01-16 10:05 . 2007-12-04 15:49 26,624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
2008-01-16 10:05 . 2007-12-04 15:53 23,152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
2008-01-15 13:32 . 2008-01-15 13:32 272,359 --a------ C:\AnalysisLog.sr0
2008-01-13 16:04 . 2008-01-13 16:04 <DIR> d-------- C:\Documents and Settings\Bramkarz\Dane aplikacji\DAEMON Tools
2008-01-13 16:03 . 2008-01-13 17:05 <DIR> d-------- C:\Program Files\DAEMON Tools Lite
2008-01-13 16:01 . 2008-01-13 16:01 715,248 --a------ C:\WINDOWS\system32\drivers\sptd.sys
2008-01-12 13:05 . 2008-01-12 13:05 <DIR> dr-h----- C:\Documents and Settings\Hajer przodowy\Dane aplikacji\SecuROM
2008-01-11 18:57 . 2008-01-11 18:57 <DIR> dr-h----- C:\Documents and Settings\Bramkarz\Dane aplikacji\SecuROM
2008-01-02 19:32 . 2006-11-29 13:06 3,426,072 --a------ C:\WINDOWS\system32\d3dx9_32.dll
2008-01-02 19:32 . 2006-12-08 12:02 251,672 --a------ C:\WINDOWS\system32\xactengine2_5.dll
2007-12-24 20:30 . 2007-12-30 12:54 239 --a------ C:\WINDOWS\Mikolaj.iix
2007-12-19 16:25 . 2007-12-19 16:25 <DIR> d-------- C:\Program Files\Team6 game studios
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-11 17:55 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-01-11 16:11 --------- d-----w C:\Program Files\Championship Manager 2006 Demo
2008-01-10 15:35 --------- d-----w C:\Documents and Settings\Basia\Dane aplikacji\Canon
2008-01-06 09:56 --------- d-----w C:\Program Files\Football Deluxe
2008-01-06 09:52 --------- d-----w C:\Program Files\Red Shark II
2008-01-01 11:09 --------- d-----w C:\Program Files\Moto Racer 3 Gold Edition
2007-12-20 15:37 --------- d-----w C:\Program Files\Tennis Elbow 2005
2007-12-18 11:24 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Komputerowa Gratka
2007-12-18 11:05 --------- d-----w C:\Program Files\Ice Cream Tycoon Deluxe
2007-12-15 12:40 60 ----a-w C:\Program Files\path5.ini
2007-12-14 17:39 --------- d-----w C:\Documents and Settings\Kacperek\Dane aplikacji\Championship Manager 2006 Demo
2007-12-13 14:12 --------- d-----w C:\Program Files\Batman SPW
2007-12-09 16:06 626,688 ----a-w C:\WINDOWS\FIFA 06.scr
2007-12-09 16:05 12,288 ----a-w C:\WINDOWS\impborl.dll
2007-12-09 15:53 --------- d-----w C:\Program Files\Emergency 2
2007-12-08 16:11 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\The Learning Company
2007-12-08 15:41 --------- d-----w C:\Program Files\Incadia
2007-12-07 15:08 --------- d-----w C:\Program Files\Dexter
2007-12-03 14:58 --------- d-----w C:\Program Files\Metropolis Software
2007-12-02 10:18 --------- d-----w C:\Program Files\3do
2007-11-30 15:39 --------- d-----w C:\Documents and Settings\Kacperek\Dane aplikacji\InstallShield
2007-11-30 15:34 --------- d-----w C:\Documents and Settings\Kacperek\Dane aplikacji\InstallShield Installation Information
2007-11-29 09:44 --------- d-----w C:\Program Files\Misja_Bakolandia - Gra
2007-11-28 09:57 --------- d-----w C:\Program Files\Scooby-Doo (TM) i Miasto Duchów (TM)
2007-11-21 16:33 --------- d-----w C:\Program Files\Ubisoft
2007-11-21 16:27 --------- d-----w C:\Program Files\AidemMedia
2007-11-07 09:29 723,968 ----a-w C:\WINDOWS\system32\lsasrv.dll
2007-10-29 22:44 1,291,264 ----a-w C:\WINDOWS\system32\quartz.dll
2007-10-25 09:00 230,912 ----a-w C:\WINDOWS\system32\wmasf.dll
2007-10-21 07:44 36,734 ----a-w C:\WINDOWS\system32\OggDSuninst.exe
2007-09-11 15:31 1,686 ----a-w C:\Program Files\ImageMixer VCD DVD2 for OLYMPUS 2.0.lnk
2007-09-11 15:27 730 ----a-w C:\Program Files\QuickTime Player.lnk
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{74322BF9-DF26-493f-B0DA-6D2FC5E6429E}]
2007-12-02 15:13 394680 --a------ C:\Program Files\BearShare Applications\BearShare MediaBar\BearShareIEHelper.dll
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"OM_Monitor"="C:\Program Files\OLYMPUS\OLYMPUS Master\Monitor.exe" [2005-11-29 18:19 57344]
"DAEMON Tools Lite"="C:\Program Files\DAEMON Tools Lite\daemon.exe" [2007-12-29 13:05 486856]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAX"="C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" [2006-04-10 08:19 729088]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-03-08 00:24 7557120]
"nwiz"="nwiz.exe" [2006-03-08 00:24 1519616 C:\WINDOWS\system32\nwiz.exe]
"SW20"="C:\WINDOWS\system32\sw20.exe" [2006-02-22 07:46 208896]
"SW24"="C:\WINDOWS\system32\sw24.exe" [2006-02-22 07:46 69632]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-03-08 00:24 86016]
"OpwareSE2"="C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe" [2003-05-08 10:00 49152]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-09-11 16:27 77824]
"OM_Monitor"="C:\Program Files\OLYMPUS\OLYMPUS Master\FirstStart.exe" [2005-11-29 18:19 40960]
"SoundMAXPnP"="C:\Program Files\Analog Devices\Core\smax4pnp.exe" [2006-05-01 03:07 843776]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224]
"BearShare"="C:\Program Files\BearShare\BearShare.exe" [2006-08-01 17:04 3313664]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-03-02 13:00 15360]
S3 Asushwio;Asushwio;C:\WINDOWS\system32\drivers\Asushwio.sys [2004-04-27 08:26]
*Newly Created Service* - PROCEXP90
.
**************************************************************************
catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-19 17:22:43
Windows 5.1.2600 Dodatek Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
Completion time: 2008-01-19 17:23:03
ComboFix-quarantined-files.txt 2008-01-19 16:22:56
.
2008-01-18 13:33:07 --- E O F ---
Na wstępie powiem że jestem całkowicie ciemna w tych tematach i prosze o jak najdokładniejsze wytłumaczenie co i jak- z góry dzieki:)
Tak więc nie mogłam wejść w normalny sposób na poszczgólne partycje tylko przez eksploruj, a w wyszukiwarce w górynym pasku widniał napis HACKED BY GODZILLA. Avast wykrył wirusa VBS.SOLOW, ale nie dał sobie z nim rady, więc zrobiłam tak jak pisało na forum, czyli loga przez combofixa. Niby teraz jest wszystko ok, ale nie wiem czy trzeba coś jeszcze zrobić
? może usunąc jakies pliki? Prosze o pomoc
ComboFix 08-01-18.5 - Bramkarz 2008-01-19 17:17:13.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1250.1.1045.18.687 [GMT 1:00]
Running from: C:\Documents and Settings\Bramkarz\Pulpit\ComboFix.exe
* Created a new restore point
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\autorun.inf
C:\Program Files\myglobalsearch
C:\Program Files\myglobalsearch\bar\1.bin\M9FFXTBR.JAR
C:\Program Files\myglobalsearch\bar\1.bin\M9FFXTBR.MANIFEST
C:\Program Files\myglobalsearch\bar\1.bin\M9NTSTBR.JAR
C:\Program Files\myglobalsearch\bar\1.bin\M9NTSTBR.MANIFEST
C:\Program Files\myglobalsearch\bar\1.bin\M9PLUGIN.DLL
C:\Program Files\myglobalsearch\bar\1.bin\MGSBAR.DLL
C:\Program Files\myglobalsearch\bar\1.bin\NPMYGLSH.DLL
C:\Program Files\myglobalsearch\bar\Cache\005CCBEB
C:\Program Files\myglobalsearch\bar\Cache\005CCDFE
C:\Program Files\myglobalsearch\bar\Cache\005CCF56.bin
C:\Program Files\myglobalsearch\bar\Cache\005CE5EB.bin
C:\Program Files\myglobalsearch\bar\Cache\005CEE0A.bin
C:\Program Files\myglobalsearch\bar\Cache\files.ini
C:\Program Files\myglobalsearch\bar\History\search
C:\Program Files\myglobalsearch\bar\Settings\prevcfg.htm
C:\WINDOWS\system32\winsys.exe
D:\Autorun.inf
D:\MS32DLL.dll.vbs
E:\Autorun.inf
.
((((((((((((((((((((((((( Files Created from 2007-12-19 to 2008-01-19 )))))))))))))))))))))))))))))))
.
2008-01-19 17:16 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-18 15:58 . 2008-01-18 15:58 <DIR> d-------- C:\Documents and Settings\Bramkarz\Dane aplikacji\Gadu-Gadu
2008-01-18 15:14 . 2008-01-18 15:14 <DIR> d-------- C:\Program Files\Gadu-Gadu
2008-01-18 15:14 . 2008-01-18 15:15 <DIR> d-------- C:\Documents and Settings\Bramkarz\Gadu-Gadu
2008-01-18 14:17 . 2008-01-18 14:17 <DIR> dr-h----- C:\Documents and Settings\Basia\Dane aplikacji\SecuROM
2008-01-18 14:12 . 2008-01-18 14:12 <DIR> d---s---- C:\Documents and Settings\Basia\UserData
2008-01-16 23:07 . 2008-01-16 23:07 <DIR> d-------- C:\Program Files\MSXML 4.0
2008-01-16 18:52 . 2008-01-16 18:52 <DIR> d---s---- C:\Documents and Settings\Bramkarz\UserData
2008-01-16 11:57 . 2008-01-16 11:57 <DIR> d-------- C:\Program Files\Asprate
2008-01-16 11:42 . 2008-01-17 21:32 <DIR> d-------- C:\Program Files\Tibia
2008-01-16 11:31 . 2008-01-16 11:31 <DIR> d-------- C:\Program Files\BearShare
2008-01-16 11:31 . 2008-01-18 17:26 <DIR> d-------- C:\My Downloads
2008-01-16 11:20 . 2008-01-16 11:28 <DIR> d-------- C:\Program Files\DC++
2008-01-16 11:06 . 2008-01-16 11:06 <DIR> d-------- C:\Program Files\BearShare Applications
2008-01-16 11:06 . 2006-11-12 11:39 483,328 --a------ C:\WINDOWS\system32\actskn45.ocx
2008-01-16 10:05 . 2008-01-16 10:05 <DIR> d-------- C:\Program Files\Alwil Software
2008-01-16 10:05 . 2007-12-04 14:04 837,496 --a------ C:\WINDOWS\system32\aswBoot.exe
2008-01-16 10:05 . 2004-01-09 10:13 380,928 --a------ C:\WINDOWS\system32\actskin4.ocx
2008-01-16 10:05 . 2007-12-04 13:54 95,608 --a------ C:\WINDOWS\system32\AvastSS.scr
2008-01-16 10:05 . 2007-12-04 15:55 94,544 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
2008-01-16 10:05 . 2007-12-04 15:56 93,264 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
2008-01-16 10:05 . 2007-12-04 15:51 42,912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
2008-01-16 10:05 . 2007-12-04 15:49 26,624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
2008-01-16 10:05 . 2007-12-04 15:53 23,152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
2008-01-15 13:32 . 2008-01-15 13:32 272,359 --a------ C:\AnalysisLog.sr0
2008-01-13 16:04 . 2008-01-13 16:04 <DIR> d-------- C:\Documents and Settings\Bramkarz\Dane aplikacji\DAEMON Tools
2008-01-13 16:03 . 2008-01-13 17:05 <DIR> d-------- C:\Program Files\DAEMON Tools Lite
2008-01-13 16:01 . 2008-01-13 16:01 715,248 --a------ C:\WINDOWS\system32\drivers\sptd.sys
2008-01-12 13:05 . 2008-01-12 13:05 <DIR> dr-h----- C:\Documents and Settings\Hajer przodowy\Dane aplikacji\SecuROM
2008-01-11 18:57 . 2008-01-11 18:57 <DIR> dr-h----- C:\Documents and Settings\Bramkarz\Dane aplikacji\SecuROM
2008-01-02 19:32 . 2006-11-29 13:06 3,426,072 --a------ C:\WINDOWS\system32\d3dx9_32.dll
2008-01-02 19:32 . 2006-12-08 12:02 251,672 --a------ C:\WINDOWS\system32\xactengine2_5.dll
2007-12-24 20:30 . 2007-12-30 12:54 239 --a------ C:\WINDOWS\Mikolaj.iix
2007-12-19 16:25 . 2007-12-19 16:25 <DIR> d-------- C:\Program Files\Team6 game studios
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-11 17:55 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-01-11 16:11 --------- d-----w C:\Program Files\Championship Manager 2006 Demo
2008-01-10 15:35 --------- d-----w C:\Documents and Settings\Basia\Dane aplikacji\Canon
2008-01-06 09:56 --------- d-----w C:\Program Files\Football Deluxe
2008-01-06 09:52 --------- d-----w C:\Program Files\Red Shark II
2008-01-01 11:09 --------- d-----w C:\Program Files\Moto Racer 3 Gold Edition
2007-12-20 15:37 --------- d-----w C:\Program Files\Tennis Elbow 2005
2007-12-18 11:24 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Komputerowa Gratka
2007-12-18 11:05 --------- d-----w C:\Program Files\Ice Cream Tycoon Deluxe
2007-12-15 12:40 60 ----a-w C:\Program Files\path5.ini
2007-12-14 17:39 --------- d-----w C:\Documents and Settings\Kacperek\Dane aplikacji\Championship Manager 2006 Demo
2007-12-13 14:12 --------- d-----w C:\Program Files\Batman SPW
2007-12-09 16:06 626,688 ----a-w C:\WINDOWS\FIFA 06.scr
2007-12-09 16:05 12,288 ----a-w C:\WINDOWS\impborl.dll
2007-12-09 15:53 --------- d-----w C:\Program Files\Emergency 2
2007-12-08 16:11 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\The Learning Company
2007-12-08 15:41 --------- d-----w C:\Program Files\Incadia
2007-12-07 15:08 --------- d-----w C:\Program Files\Dexter
2007-12-03 14:58 --------- d-----w C:\Program Files\Metropolis Software
2007-12-02 10:18 --------- d-----w C:\Program Files\3do
2007-11-30 15:39 --------- d-----w C:\Documents and Settings\Kacperek\Dane aplikacji\InstallShield
2007-11-30 15:34 --------- d-----w C:\Documents and Settings\Kacperek\Dane aplikacji\InstallShield Installation Information
2007-11-29 09:44 --------- d-----w C:\Program Files\Misja_Bakolandia - Gra
2007-11-28 09:57 --------- d-----w C:\Program Files\Scooby-Doo (TM) i Miasto Duchów (TM)
2007-11-21 16:33 --------- d-----w C:\Program Files\Ubisoft
2007-11-21 16:27 --------- d-----w C:\Program Files\AidemMedia
2007-11-07 09:29 723,968 ----a-w C:\WINDOWS\system32\lsasrv.dll
2007-10-29 22:44 1,291,264 ----a-w C:\WINDOWS\system32\quartz.dll
2007-10-25 09:00 230,912 ----a-w C:\WINDOWS\system32\wmasf.dll
2007-10-21 07:44 36,734 ----a-w C:\WINDOWS\system32\OggDSuninst.exe
2007-09-11 15:31 1,686 ----a-w C:\Program Files\ImageMixer VCD DVD2 for OLYMPUS 2.0.lnk
2007-09-11 15:27 730 ----a-w C:\Program Files\QuickTime Player.lnk
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{74322BF9-DF26-493f-B0DA-6D2FC5E6429E}]
2007-12-02 15:13 394680 --a------ C:\Program Files\BearShare Applications\BearShare MediaBar\BearShareIEHelper.dll
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"OM_Monitor"="C:\Program Files\OLYMPUS\OLYMPUS Master\Monitor.exe" [2005-11-29 18:19 57344]
"DAEMON Tools Lite"="C:\Program Files\DAEMON Tools Lite\daemon.exe" [2007-12-29 13:05 486856]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAX"="C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" [2006-04-10 08:19 729088]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-03-08 00:24 7557120]
"nwiz"="nwiz.exe" [2006-03-08 00:24 1519616 C:\WINDOWS\system32\nwiz.exe]
"SW20"="C:\WINDOWS\system32\sw20.exe" [2006-02-22 07:46 208896]
"SW24"="C:\WINDOWS\system32\sw24.exe" [2006-02-22 07:46 69632]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-03-08 00:24 86016]
"OpwareSE2"="C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe" [2003-05-08 10:00 49152]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-09-11 16:27 77824]
"OM_Monitor"="C:\Program Files\OLYMPUS\OLYMPUS Master\FirstStart.exe" [2005-11-29 18:19 40960]
"SoundMAXPnP"="C:\Program Files\Analog Devices\Core\smax4pnp.exe" [2006-05-01 03:07 843776]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224]
"BearShare"="C:\Program Files\BearShare\BearShare.exe" [2006-08-01 17:04 3313664]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-03-02 13:00 15360]
S3 Asushwio;Asushwio;C:\WINDOWS\system32\drivers\Asushwio.sys [2004-04-27 08:26]
*Newly Created Service* - PROCEXP90
.
**************************************************************************
catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-19 17:22:43
Windows 5.1.2600 Dodatek Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
Completion time: 2008-01-19 17:23:03
ComboFix-quarantined-files.txt 2008-01-19 16:22:56
.
2008-01-18 13:33:07 --- E O F ---
19 Sty 2008, 20:41
"Prawdopodobnie" ComboFix usuną już tego wirka. Własnie chyba wczoraj czytałem o takich wirkach, które tworzą w dyskach pliki Autorun
Zastosuj sie do tych porad:
Do Notatnika wklej:
Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG >>>
plik uruchom (dwuklik i OK).
Zrestartuj komputer.
Sprawdź też, czy nie masz na dysku pliku "MS32DLL.dll.vbs" - jeśli jest, to go usuń. Sprawdź na dyskach C:\MS32DLL.dll.vbs ; C:\WINDOWS\MS32DLL.dll.vbs lub D:\MS32DLL.dll.vbs
Sprawdź też >>>TUTAJ<<<
(znalezione na idg.pl i searchengines.pl
)
Widze ze masz chyba jescze troche innego syfu... Pokaż tez log z >>>HijackThis<<<
Zastosuj sie do tych porad:
Do Notatnika wklej:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a638d8d5-3374-11dc-967d-0050fcce0230}]
Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG >>>
plik uruchom (dwuklik i OK).
Zrestartuj komputer.
Sprawdź też, czy nie masz na dysku pliku "MS32DLL.dll.vbs" - jeśli jest, to go usuń. Sprawdź na dyskach C:\MS32DLL.dll.vbs ; C:\WINDOWS\MS32DLL.dll.vbs lub D:\MS32DLL.dll.vbs
Sprawdź też >>>TUTAJ<<<
(znalezione na idg.pl i searchengines.pl
)
Widze ze masz chyba jescze troche innego syfu... Pokaż tez log z >>>HijackThis<<<
20 Sty 2008, 17:15
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:13:48, on 2008-01-20
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\BearShare\BearShare.exe
C:\Program Files\OLYMPUS\OLYMPUS Master\Monitor.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=7261
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: UrlHelper Class - {74322BF9-DF26-493f-B0DA-6D2FC5E6429E} - C:\Program Files\BearShare Applications\BearShare MediaBar\BearShareIEHelper.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: BearShare MediaBar - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - C:\Program Files\BearShare Applications\BearShare MediaBar\BearShareMediaBar.dll
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\system32\sw20.exe
O4 - HKLM\..\Run: [SW24] C:\WINDOWS\system32\sw24.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [OpwareSE2] "C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [OM_Monitor] C:\Program Files\OLYMPUS\OLYMPUS Master\FirstStart.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [BearShare] "C:\Program Files\BearShare\BearShare.exe" /pause
O4 - HKCU\..\Run: [OM_Monitor] C:\Program Files\OLYMPUS\OLYMPUS Master\Monitor.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Add to AMV Converter... - D:\Program Files\MP3 Player Utilities 4.17\AMVConverter\grab.html
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
--
End of file - 4899 bytes
Scan saved at 16:13:48, on 2008-01-20
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\BearShare\BearShare.exe
C:\Program Files\OLYMPUS\OLYMPUS Master\Monitor.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=7261
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: UrlHelper Class - {74322BF9-DF26-493f-B0DA-6D2FC5E6429E} - C:\Program Files\BearShare Applications\BearShare MediaBar\BearShareIEHelper.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: BearShare MediaBar - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - C:\Program Files\BearShare Applications\BearShare MediaBar\BearShareMediaBar.dll
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\system32\sw20.exe
O4 - HKLM\..\Run: [SW24] C:\WINDOWS\system32\sw24.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [OpwareSE2] "C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [OM_Monitor] C:\Program Files\OLYMPUS\OLYMPUS Master\FirstStart.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [BearShare] "C:\Program Files\BearShare\BearShare.exe" /pause
O4 - HKCU\..\Run: [OM_Monitor] C:\Program Files\OLYMPUS\OLYMPUS Master\Monitor.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Add to AMV Converter... - D:\Program Files\MP3 Player Utilities 4.17\AMVConverter\grab.html
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
--
End of file - 4899 bytes
21 Sty 2008, 01:59
O2 - BHO: UrlHelper Class - {74322BF9-DF26-493f-B0DA-6D2FC5E6429E} - C:\Program Files\BearShare Applications\BearShare MediaBar\BearShareIEHelper.dll
O3 - Toolbar: BearShare MediaBar - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - C:\Program Files\BearShare Applications\BearShare MediaBar\BearShareMediaBar.dll
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\system32\sw20.exe
O4 - HKLM\..\Run: [SW24] C:\WINDOWS\system32\sw24.exe [/quote]
To do usunięcia w HJT.
Otwórz notatnik i wklej
zapisz jako CFScript (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe
http://img.wklej.org/images/88953CFScri ... iemoes.gif
na pytanie "1 or 2" - to wpisz 1 i naciśnij ENTER
Powinno rozpocząć się usuwanie
Potem log z usuwania
O3 - Toolbar: BearShare MediaBar - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - C:\Program Files\BearShare Applications\BearShare MediaBar\BearShareMediaBar.dll
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\system32\sw20.exe
O4 - HKLM\..\Run: [SW24] C:\WINDOWS\system32\sw24.exe [/quote]
To do usunięcia w HJT.
Otwórz notatnik i wklej
File::
C:\WINDOWS\system32\sw24.exe
C:\WINDOWS\system32\sw20.exe
C:\WINDOWS\Mikolaj.iix
C:\WINDOWS\impborl.dll
C:\Program Files\path5.ini
zapisz jako CFScript (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe
http://img.wklej.org/images/88953CFScri ... iemoes.gif
na pytanie "1 or 2" - to wpisz 1 i naciśnij ENTER
Powinno rozpocząć się usuwanie
Potem log z usuwania