pliki zmieniają swoje miejsce, mam dziwne wpisy w AVG

przez **Gonzo46** » 22 Lis 2007, 15:21

Podałem wcześniej log z TijackThis, podaję również z Combo.
komp. fiksuje, pliki zmieniają swoje miejsce, mam dziwne wpisy w AVG których nie rozumię. change coś, change coś.....

ComboFix 07-11-19.3 - Wiesiek 2007-11-22 14:05:32.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.569 [GMT 1:00]
Running from: C:\Documents and Settings\Dorota\Ustawienia lokalne\Temporary Internet Files\Content.IE5\VADB769Y\ComboFix[1].exe
* Created a new restore point
.

((((((((((((((((((((((((( Files Created from 2007-10-22 to 2007-11-22 )))))))))))))))))))))))))))))))
.

2007-11-19 21:56 <DIR> d-------- C:\Documents and Settings\Dorota\Dane aplikacji\eMule
2007-11-18 18:49 <DIR> d-------- C:\Documents and Settings\Dorota\Dane aplikacji\Zylom
2007-11-17 20:18 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\SonyPicturesGames
2007-11-17 11:07 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\Trymedia
2007-11-17 11:07 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\HipSoft
2007-11-16 01:25 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\Yahoo! Companion
2007-11-16 00:37 <DIR> d-------- C:\Program Files\Yahoo!
2007-11-16 00:37 <DIR> d-------- C:\Program Files\CCleaner
2007-11-15 23:46 107,888 --a------ C:\WINDOWS\system32\CmdLineExt.dll
2007-11-15 23:28 <DIR> d--h----- C:\Program Files\Zero G Registry
2007-11-15 23:27 <DIR> d--h----- C:\Documents and Settings\Dorota\InstallAnywhere
2007-11-15 19:59 <DIR> d----c--- C:\WINDOWS\system32\DRVSTORE
2007-11-15 19:59 <DIR> d-------- C:\WINDOWS\system32\AGEIA
2007-11-15 19:59 <DIR> d-------- C:\Program Files\AGEIA Technologies
2007-11-15 19:58 <DIR> d-------- C:\Program Files\Common Files\Wise Installation Wizard
2007-11-15 16:57 <DIR> d-------- C:\Documents and Settings\Dorota\Dane aplikacji\Ankh - Heart of Osiris
2007-11-12 23:01 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\Zylom
2007-11-10 20:39 2,414,360 --a------ C:\WINDOWS\system32\d3dx9_31.dll
2007-11-10 20:39 2,297,552 --a------ C:\WINDOWS\system32\d3dx9_26.dll
2007-11-10 20:38 <DIR> d-------- C:\WINDOWS\system32\Adobe
2007-11-10 20:38 <DIR> d-------- C:\WINDOWS\Profiles
2007-11-10 20:36 <DIR> d-------- C:\Program Files\WMV9_VCM
2007-11-10 20:35 <DIR> d-------- C:\Program Files\ND Games
2007-11-10 20:31 <DIR> d-------- C:\Documents and Settings\Dorota\Dane aplikacji\InstallShield
2007-11-10 02:39 <DIR> d-------- C:\WINDOWS\Setup2K
2007-10-23 22:56 <DIR> d-------- C:\WINDOWS\system32\pl-pl
2007-10-23 22:52 6,058,496 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll
2007-10-23 22:52 2,455,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dat
2007-10-23 22:52 1,036,288 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll.mui
2007-10-23 22:52 383,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dll
2007-10-23 22:52 267,776 -----c--- C:\WINDOWS\system32\dllcache\iertutil.dll
2007-10-23 22:52 63,488 -----c--- C:\WINDOWS\system32\dllcache\icardie.dll

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-11-22 11:25 --------- d-----w C:\Documents and Settings\Dorota\Dane aplikacji\Skype
2007-11-22 08:08 --------- d-----w C:\Documents and Settings\Dorota\Dane aplikacji\AVG7
2007-11-21 17:01 --------- d-----w C:\Documents and Settings\Dorota\Dane aplikacji\BearShare
2007-11-20 01:32 --------- d-----w C:\Program Files\Kalendarz XP
2007-11-19 20:55 --------- d-----w C:\Program Files\eMule
2007-11-18 18:10 --------- d-----w C:\Program Files\Zylom Games
2007-11-16 19:29 --------- d-----w C:\Program Files\Lavasoft
2007-11-16 09:10 --------- d-----w C:\Documents and Settings\Dorota\Dane aplikacji\Lavasoft
2007-11-15 22:30 --------- d--h--w C:\Program Files\InstallShield Installation Information
2007-11-15 21:14 139,264 ------w C:\WINDOWS\system32\EAX.DLL
2007-11-14 19:14 --------- d-----w C:\Documents and Settings\Dorota\Dane aplikacji\Ahead
2007-11-10 19:38 --------- d-----w C:\Program Files\Common Files\Adobe
2007-11-10 01:39 --------- d-----w C:\Program Files\Java
2007-10-24 20:07 --------- d---a-w C:\Documents and Settings\All Users\Dane aplikacji\TEMP
2007-10-24 10:08 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\SugarGames
2007-10-21 15:06 --------- d-----w C:\Program Files\Ahead
2007-10-21 15:03 --------- d-----w C:\Program Files\Common Files\Nero
2007-10-21 15:00 --------- d-----w C:\Program Files\Common Files\Ahead
2007-10-21 15:00 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Ahead
2007-10-19 21:17 --------- d-----w C:\Program Files\Common Files\AVSMedia
2007-10-13 11:51 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\avg7
2007-10-12 20:00 4,587 ----a-w C:\WINDOWS\system32\drivers\fwdrv.err
2007-10-10 23:20 --------- d-----w C:\Program Files\MoleculeSoft
2007-10-02 05:08 --------- d-----w C:\Program Files\Winamp
2007-10-01 17:40 --------- d-----w C:\Program Files\Ares
2007-10-01 17:39 2,090,016 ----a-r C:\Program Files\aresregular209_installer.exe
2007-10-01 09:30 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\TERMINAL Studio
2007-10-01 09:29 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Friends Games
2007-09-30 19:48 --------- d-----w C:\Documents and Settings\Dorota\Dane aplikacji\iWin
2007-09-25 21:37 --------- d-----w C:\Program Files\MSXML 4.0
2007-08-25 14:46 229,732 ------w C:\WINDOWS\Burn4Free_Toolbar_Uninstaller_9687.exe
2007-08-25 14:38 499,712 ------w C:\WINDOWS\system32\msvcp71.dll
2007-08-25 14:38 348,160 ------w C:\WINDOWS\system32\msvcr71.dll
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-08-27 21:00]
"Gadu-Gadu"="C:\Program Files\Gadu-Gadu\gg.exe" [2007-07-09 08:39]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2004-10-27 14:21 C:\WINDOWS\system32\HdAShCut.exe]
"SoundMAXPnP"="C:\Program Files\Analog Devices\Core\smax4pnp.exe" [2005-05-20 02:11]
"SoundMAX"="C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" [2005-09-07 14:35]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2007-08-25 15:38]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 09:50]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"AVG7_Run"="C:\PROGRA~1\Grisoft\AVG7\avgw.exe" [2007-08-25 15:38]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Adobe Gamma Loader.lnk]
path=C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Adobe Gamma Loader.lnk
backup=C:\WINDOWS\pss\Adobe Gamma Loader.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Gadu-Gadu]
C:\Program Files\Gadu-Gadu\gg.exe /tray

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
C:\Program Files\Skype\Phone\Skype.exe /nosplash /minimized

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2007-08-25 15:40 77824 -r------- C:\Program Files\Java\jre1.6.0\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
2007-09-19 00:51 35328 -ra------ C:\Program Files\Winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"wscsvc"=2 (0x2)
"wuauserv"=2 (0x2)
"SharedAccess"=2 (0x2)
"ose"=3 (0x3)

R1 fwdrv;Firewall Driver;C:\WINDOWS\system32\drivers\fwdrv.sys
R3 AEAudioService;AEAudio Service;C:\WINDOWS\system32\drivers\AEAudio.sys

*Newly Created Service* - CATCHME
.
**************************************************************************

catchme 0.3.1262 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-11-22 14:06:46
Windows 5.1.2600 Dodatek Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-11-22 14:07:16
.
--- E O F ---

przez **pp3088** » 22 Lis 2007, 16:47

C:\WINDOWS\system32\drivers\fwdrv.err

Usuń ten plik. Skan programem antywirusowym, by się przydał.

przez **Gonzo46** » 22 Lis 2007, 18:10

dzięki, skanuje AVG 7.5 codziennie

przez **Gonzo46** » 23 Lis 2007, 15:08

AVG po scanowaniu przedstawia się tak:

File Result/Infection Path

karnel32.dll change C:\WINDOWS\system32\karnel32.dll
user32.dll change C:\WINDOWS\system32\user32\dll
shell32.dll change C:\WINDOWS\system32\shell32\dll
ntoskrnl.exe change C:\WINDOWS\system32\ntoskrnl.exe
host change C:\WINDOWS\system32\drivers\etc\host

tak jest po każdorazowym scanowaniu.
nie wiem czy te pliki są zarażone, czy przeniesione?
usunąć je czy nie? :059:

przez **pp3088** » 23 Lis 2007, 18:21

C:\WINDOWS\system32\karnel32.dll

To możesz usunąć.

C:\WINDOWS\system32\user32\dll
C:\WINDOWS\system32\shell32\dll

Jak to wygląda? Znaczy masz foldery shell32, czy tylko pliki?

przez **Gonzo46** » 23 Lis 2007, 19:21

user32.dll to plik z kolorowymi zębatkami
shell32.dll też

przez **Gonzo46** » 23 Lis 2007, 19:55

sory, pomyłka, powinno być (kernel.dll) a nie jak wpisałem (karnel.dll) i to też plik- usunąć :059:

przez **buzu** » 23 Lis 2007, 20:24

to w końcu karnel.dll czy kernel.dll czy kernel32.dll czy karnel32.dll ??
kernel32.dll zostawić .

przez **Gonzo46** » 23 Lis 2007, 21:58

kernel.dll
dzięki

pliki zmieniają swoje miejsce, mam dziwne wpisy w AVG

pliki zmieniają swoje miejsce, mam dziwne wpisy w AVG

Kto jest na forum