Regulamin forum
1. Każdy temat powinien odzwierciedlać treść wątku.2. W przypadku wklejania logów; należy je wykonać od razu przynajmniej z dwóch narzędzi: FRST oraz z GMER
3. Wszelkie logi proszę publikować na przeznaczonych do tego stronach a w poście wklejać tylko link.
4. Nie wskazane jest skracanie logów, należy wkleić cały - od początku, do końca.
5. Nie wskazane jest podczepianie się do tematów innych użytkowników - proszę założyć nowy temat w dziale Bezpieczeństwo, ułatwi to pomoc sprawdzającemu.
6. Osoby nie posiadające odpowiedniej wiedzy, nie powinny sprawdzać logów, ponieważ grozi to poważnym uszkodzeniem systemu lub aplikacji zainstalowanych na komputerze.
7. Należy dokładnie opisać problem, występujące objawy oraz wszelkie podjęte działania.
8. Każdy skrypt jest unikatowy, napisany dla każdego przypadku z osobna, więc nie może być stosowany przez innych.
9. W przypadku zamieszczenia zrzutu ekranu (screenshot'a) proszę korzystać z zewnętrznego serwisu oferującego hosting zdjęć.
Nie można znaleźć pliku skryptu F:\WIN31.dll.vbs - logi
25 Sie 2008, 11:51
Logi wklejam ponieważ nie wiem czy nie mam zainfekowanego komputera 
Myślę że jest czysty ale pewnośći nie mam.
Druga sprawa to taka że kiedy podłączam aparat cyfrowy do komputera wykrywa mi jakiegoś wirusa.Antywirus to avast.Nie mogę przeglądać zdjęć bezpośrednio przez Mój komputer -----> dysk F ale mogę poprez TotalComandera albo inne programy.Podczas wchodzenia na dysk F wyskakuje komunikat o nazwie Host skryptów systemu Windows a w nim:Nie można znaleźć pliku skryptu F:\WIN31.dll.vbs Proszę o pomoc i sprawdzenie logów. Oto logi
Hijackthis :
[*]Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:45:44, on 2008-08-25
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe
C:\Program Files\Sony\Sony Picture Utility\PMBCore\SPUVolumeWatcher.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\Opera\Opera.exe
C:\Program Files\Gadu-Gadu\gg.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [CTSyncU.exe] "C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Picture Motion Browser Media Check Tool.lnk = C:\Program Files\Sony\Sony Picture Utility\PMBCore\SPUVolumeWatcher.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
--
End of file - 5249 bytes
[*]
Combo fix :
[*]ComboFix 08-08-24.02 - Krzysztof 2008-08-25 11:09:06.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.558 [GMT 2:00]
Running from: C:\Documents and Settings\Krzysztof\Pulpit\Downloads\ComboFix.exe
* Created a new restore point
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Documents and Settings\Krzysztof\Cookies\krzysztof@tradedoubler[1].txt
C:\WINDOWS\system32\Cfx32.lic
C:\WINDOWS\system32\cfx32.ocx
C:\WINDOWS\system32\ispnet.dll
C:\WINDOWS\temp\perflib_perfdata_1cc.dat
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_NPF
((((((((((((((((((((((((( Files Created from 2008-07-25 to 2008-08-25 )))))))))))))))))))))))))))))))
.
2008-08-06 13:33 . 2008-08-06 13:34 <DIR> d-------- C:\Program Files\Winamp
2008-08-06 13:33 . 2008-08-06 13:54 <DIR> d-------- C:\Documents and Settings\Krzysztof\Dane aplikacji\Winamp
2008-08-04 18:00 . 2008-08-04 18:00 <DIR> d-------- C:\Documents and Settings\Krzysztof\WINDOWS
2008-08-04 18:00 . 1998-07-30 17:43 305,664 --a------ C:\WINDOWS\IsUn0415.exe
2008-08-03 14:21 . 2008-08-03 14:21 <DIR> d-------- C:\Documents and Settings\Krzysztof\Dane aplikacji\Apple Computer
2008-08-03 14:20 . 2008-08-03 14:20 <DIR> d-------- C:\Program Files\QuickTime
2008-08-03 14:20 . 2008-08-03 14:20 <DIR> d-------- C:\Program Files\iTunes
2008-08-03 14:19 . 2008-08-03 14:20 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\Apple Computer
2008-08-03 14:19 . 2004-12-18 20:32 38,229 --------- C:\WINDOWS\system32\drivers\StMp3Rec.sys
2008-08-03 14:18 . 2008-08-03 14:18 <DIR> d-------- C:\Program Files\iPod
2008-08-03 14:15 . 2008-08-03 14:19 <DIR> d-------- C:\WINDOWS\Downloaded Installations
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-24 11:57 --------- d-----w C:\Documents and Settings\Krzysztof\Dane aplikacji\Skype
2008-08-24 10:50 --------- d-----w C:\Documents and Settings\Krzysztof\Dane aplikacji\skypePM
2008-08-06 08:12 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-08-06 08:12 --------- d-----w C:\Program Files\Webteh
2008-08-06 08:12 --------- d-----w C:\Documents and Settings\Krzysztof\Dane aplikacji\BSplayer
2008-08-03 17:28 --------- d-----w C:\Program Files\MoorHunt
2008-08-03 12:15 --------- d-----w C:\Program Files\Common Files\InstallShield
2008-07-18 17:22 --------- d-----w C:\Documents and Settings\Krzysztof\Dane aplikacji\gtk-2.0
2008-07-18 16:42 --------- d-----w C:\Program Files\Common Files\GTK
2008-07-18 16:40 --------- d-----w C:\Program Files\GIMP-2.0
2008-07-09 13:10 --------- d-----w C:\Documents and Settings\Krzysztof\Dane aplikacji\Hamachi
2008-07-04 19:06 --------- d-----w C:\Documents and Settings\Krzysztof\Dane aplikacji\Uniblue
2008-07-03 15:31 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\avg8
2008-01-20 16:29 32 ----a-w C:\Documents and Settings\All Users\Dane aplikacji\ezsid.dat
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208]
"CTSyncU.exe"="C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe" [2006-08-07 11:06 700416]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-08-16 09:35 7630848]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-08-16 09:35 86016]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 12:50 155648]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2005-09-16 08:43 274432]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2008-08-03 14:20 155648]
"nwiz"="nwiz.exe" [2006-08-16 09:35 1617920 C:\WINDOWS\system32\nwiz.exe]
"SkyTel"="SkyTel.EXE" [2006-05-16 19:04 2879488 C:\WINDOWS\SkyTel.exe]
"RTHDCPL"="RTHDCPL.EXE" [2006-08-14 15:00 16050176 C:\WINDOWS\RTHDCPL.exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 00:44 15360]
C:\Documents and Settings\Krzysztof\Menu Start\Programy\Autostart\
Picture Motion Browser Media Check Tool.lnk - C:\Program Files\Sony\Sony Picture Utility\PMBCore\SPUVolumeWatcher.exe [2008-06-02 23:05:10 385024]
C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\
Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office\OSA9.EXE [1999-02-17 20:05:56 65588]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Gadu-Gadu\\gg.exe"=
"C:\\Program Files\\CounterPath\\X-Lite\\x-lite.exe"=
"D:\\Steam\\SteamApps\\dziobak8811\\counter-strike\\hl.exe"=
"D:\\tlen\\Tlen.pl\\tlen.exe"=
"D:\\Steam\\SteamApps\\dziobak8811\\ricochet\\hl.exe"=
"D:\\Steam\\SteamApps\\dziobak8811\\condition zero\\hl.exe"=
"C:\\Program Files\\WapSter\\AQQ\\AQQ.exe"=
"C:\\PROGRA~1\\WapSter\\AQQ\\AQQ.exe"=
"C:\\Program Files\\iTunes\\iTunes.exe"=
"C:\\Program Files\\Skype\\Phone\\Skype.exe"=
R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 16:35]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 16:37]
.
- - - - ORPHANS REMOVED - - - -
HKCU-Run-Vidalia - C:\Program Files\Vidalia Bundle\Vidalia\vidalia.exe
HKLM-Run-WinampAgent - C:\Program Files\Winamp\winampa.exe
.
------- Supplementary Scan -------
.
FireFox -: Profile - C:\Documents and Settings\Krzysztof\Dane aplikacji\Mozilla\Firefox\Profiles\ny7edydx.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.onet.pl
FF -: plugin - C:\Program Files\DivX\DivX Content Uploader\npUpload.dll
FF -: plugin - C:\Program Files\Mozilla Firefox\plugins\npdjvu.dll
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-25 11:12:57
Windows 5.1.2600 Dodatek Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\CTSVCCDA.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\iPod\bin\iPodService.exe
.
**************************************************************************
.
Completion time: 2008-08-25 11:15:03 - machine was rebooted [Krzysztof]
ComboFix-quarantined-files.txt 2008-08-25 09:15:00
Pre-Run: 31,536,779,264 bajtów wolnych
Post-Run: 32,866,320,384 bajt˘w wolnych
128 --- E O F --- 2008-08-13 03:35:52
[*]
Krzysztof
Myślę że jest czysty ale pewnośći nie mam.Druga sprawa to taka że kiedy podłączam aparat cyfrowy do komputera wykrywa mi jakiegoś wirusa.Antywirus to avast.Nie mogę przeglądać zdjęć bezpośrednio przez Mój komputer -----> dysk F ale mogę poprez TotalComandera albo inne programy.Podczas wchodzenia na dysk F wyskakuje komunikat o nazwie Host skryptów systemu Windows a w nim:Nie można znaleźć pliku skryptu F:\WIN31.dll.vbs Proszę o pomoc i sprawdzenie logów. Oto logi
Hijackthis :
[*]Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:45:44, on 2008-08-25
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe
C:\Program Files\Sony\Sony Picture Utility\PMBCore\SPUVolumeWatcher.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\Opera\Opera.exe
C:\Program Files\Gadu-Gadu\gg.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [CTSyncU.exe] "C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Picture Motion Browser Media Check Tool.lnk = C:\Program Files\Sony\Sony Picture Utility\PMBCore\SPUVolumeWatcher.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
--
End of file - 5249 bytes
[*]
Combo fix :
[*]ComboFix 08-08-24.02 - Krzysztof 2008-08-25 11:09:06.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.558 [GMT 2:00]
Running from: C:\Documents and Settings\Krzysztof\Pulpit\Downloads\ComboFix.exe
* Created a new restore point
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Documents and Settings\Krzysztof\Cookies\krzysztof@tradedoubler[1].txt
C:\WINDOWS\system32\Cfx32.lic
C:\WINDOWS\system32\cfx32.ocx
C:\WINDOWS\system32\ispnet.dll
C:\WINDOWS\temp\perflib_perfdata_1cc.dat
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_NPF
((((((((((((((((((((((((( Files Created from 2008-07-25 to 2008-08-25 )))))))))))))))))))))))))))))))
.
2008-08-06 13:33 . 2008-08-06 13:34 <DIR> d-------- C:\Program Files\Winamp
2008-08-06 13:33 . 2008-08-06 13:54 <DIR> d-------- C:\Documents and Settings\Krzysztof\Dane aplikacji\Winamp
2008-08-04 18:00 . 2008-08-04 18:00 <DIR> d-------- C:\Documents and Settings\Krzysztof\WINDOWS
2008-08-04 18:00 . 1998-07-30 17:43 305,664 --a------ C:\WINDOWS\IsUn0415.exe
2008-08-03 14:21 . 2008-08-03 14:21 <DIR> d-------- C:\Documents and Settings\Krzysztof\Dane aplikacji\Apple Computer
2008-08-03 14:20 . 2008-08-03 14:20 <DIR> d-------- C:\Program Files\QuickTime
2008-08-03 14:20 . 2008-08-03 14:20 <DIR> d-------- C:\Program Files\iTunes
2008-08-03 14:19 . 2008-08-03 14:20 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\Apple Computer
2008-08-03 14:19 . 2004-12-18 20:32 38,229 --------- C:\WINDOWS\system32\drivers\StMp3Rec.sys
2008-08-03 14:18 . 2008-08-03 14:18 <DIR> d-------- C:\Program Files\iPod
2008-08-03 14:15 . 2008-08-03 14:19 <DIR> d-------- C:\WINDOWS\Downloaded Installations
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-24 11:57 --------- d-----w C:\Documents and Settings\Krzysztof\Dane aplikacji\Skype
2008-08-24 10:50 --------- d-----w C:\Documents and Settings\Krzysztof\Dane aplikacji\skypePM
2008-08-06 08:12 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-08-06 08:12 --------- d-----w C:\Program Files\Webteh
2008-08-06 08:12 --------- d-----w C:\Documents and Settings\Krzysztof\Dane aplikacji\BSplayer
2008-08-03 17:28 --------- d-----w C:\Program Files\MoorHunt
2008-08-03 12:15 --------- d-----w C:\Program Files\Common Files\InstallShield
2008-07-18 17:22 --------- d-----w C:\Documents and Settings\Krzysztof\Dane aplikacji\gtk-2.0
2008-07-18 16:42 --------- d-----w C:\Program Files\Common Files\GTK
2008-07-18 16:40 --------- d-----w C:\Program Files\GIMP-2.0
2008-07-09 13:10 --------- d-----w C:\Documents and Settings\Krzysztof\Dane aplikacji\Hamachi
2008-07-04 19:06 --------- d-----w C:\Documents and Settings\Krzysztof\Dane aplikacji\Uniblue
2008-07-03 15:31 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\avg8
2008-01-20 16:29 32 ----a-w C:\Documents and Settings\All Users\Dane aplikacji\ezsid.dat
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208]
"CTSyncU.exe"="C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe" [2006-08-07 11:06 700416]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-08-16 09:35 7630848]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-08-16 09:35 86016]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 12:50 155648]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2005-09-16 08:43 274432]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2008-08-03 14:20 155648]
"nwiz"="nwiz.exe" [2006-08-16 09:35 1617920 C:\WINDOWS\system32\nwiz.exe]
"SkyTel"="SkyTel.EXE" [2006-05-16 19:04 2879488 C:\WINDOWS\SkyTel.exe]
"RTHDCPL"="RTHDCPL.EXE" [2006-08-14 15:00 16050176 C:\WINDOWS\RTHDCPL.exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 00:44 15360]
C:\Documents and Settings\Krzysztof\Menu Start\Programy\Autostart\
Picture Motion Browser Media Check Tool.lnk - C:\Program Files\Sony\Sony Picture Utility\PMBCore\SPUVolumeWatcher.exe [2008-06-02 23:05:10 385024]
C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\
Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office\OSA9.EXE [1999-02-17 20:05:56 65588]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Gadu-Gadu\\gg.exe"=
"C:\\Program Files\\CounterPath\\X-Lite\\x-lite.exe"=
"D:\\Steam\\SteamApps\\dziobak8811\\counter-strike\\hl.exe"=
"D:\\tlen\\Tlen.pl\\tlen.exe"=
"D:\\Steam\\SteamApps\\dziobak8811\\ricochet\\hl.exe"=
"D:\\Steam\\SteamApps\\dziobak8811\\condition zero\\hl.exe"=
"C:\\Program Files\\WapSter\\AQQ\\AQQ.exe"=
"C:\\PROGRA~1\\WapSter\\AQQ\\AQQ.exe"=
"C:\\Program Files\\iTunes\\iTunes.exe"=
"C:\\Program Files\\Skype\\Phone\\Skype.exe"=
R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 16:35]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 16:37]
.
- - - - ORPHANS REMOVED - - - -
HKCU-Run-Vidalia - C:\Program Files\Vidalia Bundle\Vidalia\vidalia.exe
HKLM-Run-WinampAgent - C:\Program Files\Winamp\winampa.exe
.
------- Supplementary Scan -------
.
FireFox -: Profile - C:\Documents and Settings\Krzysztof\Dane aplikacji\Mozilla\Firefox\Profiles\ny7edydx.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.onet.pl
FF -: plugin - C:\Program Files\DivX\DivX Content Uploader\npUpload.dll
FF -: plugin - C:\Program Files\Mozilla Firefox\plugins\npdjvu.dll
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-25 11:12:57
Windows 5.1.2600 Dodatek Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\CTSVCCDA.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\iPod\bin\iPodService.exe
.
**************************************************************************
.
Completion time: 2008-08-25 11:15:03 - machine was rebooted [Krzysztof]
ComboFix-quarantined-files.txt 2008-08-25 09:15:00
Pre-Run: 31,536,779,264 bajtów wolnych
Post-Run: 32,866,320,384 bajt˘w wolnych
128 --- E O F --- 2008-08-13 03:35:52
[*]
Krzysztof
Re: Proszę o sprawdzenie Logów z Hijackthis i Combo Fix
25 Sie 2008, 12:01
Do wyleczenia pendrive z wirusów użyj
Perlovga Removal Tool
Flash Disinfector
lub format
otwórz notatnik i wklej
Z menu Notatnika
Plik Zapisz jako Zmień rozszerzenie z .txt na wszystkie pliki zapisz pod nazwą Fix.reg
Uruchom ten plik, uruchom ponownie komputer
usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.
Przeczyść komputer Ccleanerem
Wykonaj optymalizację autostartu
Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja
Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum
lub
Dr.WEB CureIt!
Perlovga Removal Tool
Flash Disinfector
lub format
otwórz notatnik i wklej
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"=-
"Adobe Reader Speed Launcher"=-
"iTunesHelper"=-
"QuickTime Task"=-
"nwiz"=-
"SkyTel"=-
Z menu Notatnika
Plik Zapisz jako Zmień rozszerzenie z .txt na wszystkie pliki zapisz pod nazwą Fix.reg Uruchom ten plik, uruchom ponownie komputer
usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.
Przeczyść komputer Ccleanerem
Wykonaj optymalizację autostartu
Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja
Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum
lub
Dr.WEB CureIt!
Re: Proszę o sprawdzenie Logów z Hijackthis i Combo Fix
25 Sie 2008, 18:12
Dzięki wielkie tylko mam problem z usunięciem tego z aparatu ;/ Ściągnołem PRT uruchomiłem zaznaczyłem te na czerwono podświetlone i cały czas mam dymek że malware detected i jakąś czerwoną kropke w oknie programu przy R-Media Malware ;/ Nie wiem co robić , zacz usuwanie reszty właśnie się zabieram
Re: Proszę o sprawdzenie Logów z Hijackthis i Combo Fix
25 Sie 2008, 19:43
Użyj drugiego programu
Re: Proszę o sprawdzenie Logów z Hijackthis i Combo Fix
25 Sie 2008, 20:23
Dzięki bardzo 
Hubert2t doskonała rada Super to opisałeś !!! Jesteś wielki. To po kolei. Ściągnołem ten 1 i troche słabawy ale 2 poprostu super łatwy w obsłudze i odrazu usunął problem Fix.reg użyłem i pomogło ! QooBox i to co miałem usunąć usunołem Nie przeczyściłem kompa CCleanerem bo link nie działa wogule na innych stronach też wygasł ale poczeakm może odnowią 
Opytmalizację wykonałem uruchaminaia bo zamykania wydaje mi się że nie potrzebna bo wolno nie chodzi Przywracania też nie robiłem Jeśli mam zrobić to napisz i po co to wogule 
Prosiłeś o link -raport ze skanera więc proszę : oj 
Po restarcie kompa plik zniknął ale powiem ci że wykrył tylko w D:/SystemVolume.... coś tam jakiegoś robaka ale tego chyba nie da się usumąć ?
A więć dzięki za wszystko 
Wszystko działa i komputer czysty Aha i takie mam pytanie czemu przystarcie komputera fire wall mi się wyłącza ? Może to przez robaka ktoy był na pendriv Jak bedzie sie to powtarzało to napisze Dzięki wielkie 
Nie mogę sie wysłowić 
Dziękuje 
Hubert2t doskonała rada Super to opisałeś !!! Jesteś wielki. To po kolei. Ściągnołem ten 1 i troche słabawy ale 2 poprostu super łatwy w obsłudze i odrazu usunął problem Fix.reg użyłem i pomogło ! QooBox i to co miałem usunąć usunołem Nie przeczyściłem kompa CCleanerem bo link nie działa wogule na innych stronach też wygasł ale poczeakm może odnowią Opytmalizację wykonałem uruchaminaia bo zamykania wydaje mi się że nie potrzebna bo wolno nie chodzi Przywracania też nie robiłem Jeśli mam zrobić to napisz i po co to wogule Prosiłeś o link -raport ze skanera więc proszę : oj Po restarcie kompa plik zniknął ale powiem ci że wykrył tylko w D:/SystemVolume.... coś tam jakiegoś robaka ale tego chyba nie da się usumąć ? A więć dzięki za wszystko
Wszystko działa i komputer czysty Aha i takie mam pytanie czemu przystarcie komputera fire wall mi się wyłącza ? Może to przez robaka ktoy był na pendriv Jak bedzie sie to powtarzało to napisze Dzięki wielkie Nie mogę sie wysłowić Dziękuje
Re: Proszę o sprawdzenie Logów z Hijackthis i Combo Fix
25 Sie 2008, 20:38
Sprawdź w autostarcie czy go nie odznaczyłeś, jeśli nie to go przeinstaluj