Pojawiające sie puste okienka IE - a co sie stało?

witam, wczoraj podczas skanowania skanerem online wyskoczyło mi duzo pustych okienek od IE, a nastepnie (podczas całego skanowania) wykryto łącznie trzy dialer.porno(niepamietam dokladnej i calej nazwy. ale po porno cos jeszcze bylo). Dzis gdy odpaliłem przeglądarke to znowu te puste okienka, dodam ze internet działa normalnie, tylko że jak kończyłem temat na IE to mi zamkneli okno i że wystąpił błąd dali. Nizej podaje log z hijacka, moge też zrobic combofixem jesli trzeba:

Logfile of HijackThis v1.99.1
Scan saved at 08:39:51, on 2008-07-04
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\PowerISO\PWRISOVM.EXE
C:\WINDOWS\28521.exe
C:\Program Files\Eset\nod32kui.exe
C:\PROGRA~1\MyPortal\Speed-X\SpeedX.exe
c:\program files\a-squared free\a2service.exe
C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Program Files\Eset\nod32krn.exe
C:\Program Files\Advanced Registry Doctor\RegManServ.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\Takie tam\Gadu-Gadu\gg.exe
D:\Takie tam\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\pchealth\helpctr\System\panels\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\pchealth\helpctr\System\panels\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O2 - BHO: Rmn plugin - {D9A7B3B6-1F8A-4cf9-A20C-BDF427DBDB4A} - jzcom32.dll (file missing)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Program Files\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [Windows Explorer] C:\WINDOWS\28521.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [SpeedX] C:\PROGRA~1\MyPortal\Speed-X\SpeedX.exe
O4 - HKCU\..\Run: [Gadu-Gadu] "D:\Takie tam\Gadu-Gadu\gg.exe" /tray
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - http://www.eset.eu/buxus/docs/OnlineScanner.cab
O16 - DPF: {5A09E43F-A0A7-4ABF-AF80-11367CF1DC8F} (MainControl Class) - http://mks.com.pl/skaner/SkanerOnline.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 6114378140
O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - c:\program files\a-squared free\a2service.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: Registry Management Service (RegManServ) - Unknown owner - C:\Program Files\Advanced Registry Doctor\RegManServ.exe

mógłby ktoś sie tej sprawie dokładniej przypatrzeć???

Fix w hijackthis:

O2 - BHO: Rmn plugin - {D9A7B3B6-1F8A-4cf9-A20C-BDF427DBDB4A} - jzcom32.dll (file missing)
O4 - HKLM\..\Run: [Windows Explorer] C:\WINDOWS\28521.exe

Pobierz ComboFix, ale nie uruchamiaj
Wklej do notatnika:

Kod:

File::
C:\WINDOWS\28521.exe


Plik zapisz jako CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu

Rozpocznie się usuwanie i powstanie log, daj ten log na forum.

Logi dajesz na http://www.wklej.eu/ a w poście dajesz tylko link

wszystko wykonane, teraz link z combofixem: http://www.wklejto.pl/4859 haslo: muuu

Log wyglada na czysty

usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.

Przeczyść komputer Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum

lub

Dr.WEB CureIt!

-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER REPORT
4 lipiec 2008 11:29:51
System operacyjny: Microsoft Windows XP Professional, Dodatek Service Pack 2 (Build 2600)
Kaspersky Online Scanner wersja: 5.0.98.0
Ostatnia aktualizacja Kaspersky Anti-Virus 4/07/2008
Liczba wpisów w bazie danych Kaspersky Anti-Virus912536
-------------------------------------------------------------------------------

Ustawienia skanowania:
Skanowanie przy użyciu następujących baz danych: rozszerzone
Skanuj archiwa: tak
Skanuj pocztowe bazy danych: tak

Obszar skanowania - Mój komputer:
A:\
C:\
D:\
E:\
F:\

Statystyki skanowania:
Liczba skanowanych obiektów: 44418
Liczba wykrytych wirusów: 3
Liczba zainfekowanych obiektów: 4
Liczba podejrzanych obiektów: 0
Czas trwania skanowania: 00:45:14

Nazwa zainfekowanego obiektu / Nazwa wirusa / Ostatnie działanie
C:\autorun.inf\lpt3.This folder was created by Flash_Disinfector Object is locked pominięty
C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Network\Downloader\qmgr0.dat Object is locked pominięty
C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Network\Downloader\qmgr1.dat Object is locked pominięty
C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked pominięty
C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked pominięty
C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked pominięty
C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty
C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty
C:\Documents and Settings\LocalService\Ustawienia lokalne\Historia\History.IE5\index.dat Object is locked pominięty
C:\Documents and Settings\LocalService\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat Object is locked pominięty
C:\Documents and Settings\Lukasz\Cookies\index.dat Object is locked pominięty
C:\Documents and Settings\Lukasz\Dane aplikacji\Mozilla\Firefox\Profiles\dlwbaktj.default\cert8.db Object is locked pominięty
C:\Documents and Settings\Lukasz\Dane aplikacji\Mozilla\Firefox\Profiles\dlwbaktj.default\history.dat Object is locked pominięty
C:\Documents and Settings\Lukasz\Dane aplikacji\Mozilla\Firefox\Profiles\dlwbaktj.default\key3.db Object is locked pominięty
C:\Documents and Settings\Lukasz\Dane aplikacji\Mozilla\Firefox\Profiles\dlwbaktj.default\parent.lock Object is locked pominięty
C:\Documents and Settings\Lukasz\Dane aplikacji\Mozilla\Firefox\Profiles\dlwbaktj.default\search.sqlite Object is locked pominięty
C:\Documents and Settings\Lukasz\Dane aplikacji\Mozilla\Firefox\Profiles\dlwbaktj.default\urlclassifier2.sqlite Object is locked pominięty
C:\Documents and Settings\Lukasz\Dane aplikacji\Sun\Java\Deployment\cache\javapi\v1.0\jar\pRT.jar-18efdb8f-6926b5f2.zip/HiPointInstallShieldRT.class Zainfekowanych: Trojan-Downloader.Java.OpenConnection.ap pominięty
C:\Documents and Settings\Lukasz\Dane aplikacji\Sun\Java\Deployment\cache\javapi\v1.0\jar\pRT.jar-18efdb8f-6926b5f2.zip ZIP: zainfekowany - 1 pominięty
C:\Documents and Settings\Lukasz\ntuser.dat Object is locked pominięty
C:\Documents and Settings\Lukasz\ntuser.dat.LOG Object is locked pominięty
C:\Documents and Settings\Lukasz\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty
C:\Documents and Settings\Lukasz\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty
C:\Documents and Settings\Lukasz\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\dlwbaktj.default\Cache\_CACHE_001_ Object is locked pominięty
C:\Documents and Settings\Lukasz\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\dlwbaktj.default\Cache\_CACHE_002_ Object is locked pominięty
C:\Documents and Settings\Lukasz\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\dlwbaktj.default\Cache\_CACHE_003_ Object is locked pominięty
C:\Documents and Settings\Lukasz\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\dlwbaktj.default\Cache\_CACHE_MAP_ Object is locked pominięty
C:\Documents and Settings\Lukasz\Ustawienia lokalne\Historia\History.IE5\index.dat Object is locked pominięty
C:\Documents and Settings\Lukasz\Ustawienia lokalne\Historia\History.IE5\MSHist012008070420080705\index.dat Object is locked pominięty
C:\Documents and Settings\Lukasz\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat Object is locked pominięty
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked pominięty
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked pominięty
C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty
C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty
C:\Program Files\ESET\cache\CACHE.NDB Object is locked pominięty
C:\Program Files\ESET\logs\virlog.dat Object is locked pominięty
C:\Program Files\ESET\logs\warnlog.dat Object is locked pominięty
C:\Program Files\MyPortal\Speed-X\uninstall.exe Zainfekowanych: not-a-virus:AdWare.Win32.BetterInternet.ih pominięty
C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked pominięty
C:\System Volume Information\_restore{BAABB5A6-0736-4CC3-9D62-D611947D3178}\RP451\A0247714.exe Zainfekowanych: Trojan-Downloader.Win32.Agent.vao pominięty
C:\System Volume Information\_restore{BAABB5A6-0736-4CC3-9D62-D611947D3178}\RP451\change.log Object is locked pominięty
C:\WINDOWS\Debug\PASSWD.LOG Object is locked pominięty
C:\WINDOWS\SchedLgU.Txt Object is locked pominięty
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked pominięty
C:\WINDOWS\Sti_Trace.log Object is locked pominięty
C:\WINDOWS\system32\CatRoot2\edb.log Object is locked pominięty
C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked pominięty
C:\WINDOWS\system32\config\ACEEvent.evt Object is locked pominięty
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked pominięty
C:\WINDOWS\system32\config\default Object is locked pominięty
C:\WINDOWS\system32\config\default.LOG Object is locked pominięty
C:\WINDOWS\system32\config\SAM Object is locked pominięty
C:\WINDOWS\system32\config\SAM.LOG Object is locked pominięty
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked pominięty
C:\WINDOWS\system32\config\SECURITY Object is locked pominięty
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked pominięty
C:\WINDOWS\system32\config\software Object is locked pominięty
C:\WINDOWS\system32\config\software.LOG Object is locked pominięty
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked pominięty
C:\WINDOWS\system32\config\system Object is locked pominięty
C:\WINDOWS\system32\config\system.LOG Object is locked pominięty
C:\WINDOWS\system32\drivers\sptd.sys Object is locked pominięty
C:\WINDOWS\system32\h323log.txt Object is locked pominięty
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked pominięty
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked pominięty
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked pominięty
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked pominięty
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked pominięty
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked pominięty
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked pominięty
C:\WINDOWS\wiadebug.log Object is locked pominięty
C:\WINDOWS\wiaservc.log Object is locked pominięty
C:\WINDOWS\WindowsUpdate.log Object is locked pominięty
D:\autorun.inf\lpt3.This folder was created by Flash_Disinfector Object is locked pominięty
D:\System Volume Information\_restore{BAABB5A6-0736-4CC3-9D62-D611947D3178}\RP451\change.log Object is locked pominięty

Proces skanowania został zakończony.

kazdy skaner o czym innym... ale ten juz przesadził. czy to naprawde możliwe???

Usuń to:

C:\Documents and Settings\Lukasz\Dane aplikacji\Sun\Java\Deployment\cache\javapi\v1.0\jar\pRT.jar-18efdb8f-6926b5f2.zip
C:\Program Files\MyPortal\Speed-X\uninstall.exe

Wyłącz i Włącz przywracanie systemu na wszystkich dyskach. Instrukcja

ooo przywracanie systemu przeoczylem widac, wiec sie zaraz tym zajme, a co do usuniecia tych plikow to nic nie mozna zrobic - "obiekt jest pominiety, poniewaz znajduje sie wewnatrz pliku zlozonego i zadne dzialanie nie mozne zostac podjete."

Spróbuj w trybie awaryjnym.

Możesz zawsze usunać plik nadrzędny w którym jest ten zainfekowany obiekt

tryb awaryjny raczej unikam, a jesli mowa o plikach nadrzednych yto ktore to sa??? wiem tragiczne pytanie - ale ciemny jestem w tych sprawach jak zawsze.


jakby było mało to dziś (10) po zamknieciu jednej strony w IE, zadna ikonka z pulpitu nie chciala ruszyc, to samo z paska zadan... po dluzszym czasie wszystko ruszylo i bylo ladnie do tej pory gdy oglądalem inną strone i najpierw pozamykalo mi wszystkie otwarte okienka a pozniej sam sie komputer wylaczyl... o co tu chodzi? czy to ma cos wspolnego z poprzednim problemem??? (jaby co to nie dotarlem do plikow nadrzednych z poprzedniej usterki)

Daj nowe logi z:
hijackthis
combofix
Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum

ogromnie dziekuje za powrot do tematu a teraz podaje log z hijacka:

Logfile of HijackThis v1.99.1
Scan saved at 13:17:09, on 2008-07-11
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
c:\program files\a-squared free\a2service.exe
C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Program Files\Eset\nod32krn.exe
C:\Program Files\Advanced Registry Doctor\RegManServ.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Eset\nod32kui.exe
C:\PROGRA~1\MyPortal\Speed-X\SpeedX.exe
D:\Takie tam\Gadu-Gadu\gg.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
D:\Takie tam\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\pchealth\helpctr\System\panels\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\pchealth\helpctr\System\panels\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O2 - BHO: Rmn plugin - {D9A7B3B6-1F8A-4cf9-A20C-BDF427DBDB4A} - jzcom32.dll (file missing)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [SpeedX] C:\PROGRA~1\MyPortal\Speed-X\SpeedX.exe
O4 - HKCU\..\Run: [Gadu-Gadu] "D:\Takie tam\Gadu-Gadu\gg.exe" /tray
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.pl/resources/virus ... nicode.cab
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - http://www.eset.eu/buxus/docs/OnlineScanner.cab
O16 - DPF: {5A09E43F-A0A7-4ABF-AF80-11367CF1DC8F} (MainControl Class) - http://mks.com.pl/skaner/SkanerOnline.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 6114378140
O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - c:\program files\a-squared free\a2service.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: Microsoft security update service (msupdate) - Unknown owner - c:\windows\system32\mssrv32.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: Registry Management Service (RegManServ) - Unknown owner - C:\Program Files\Advanced Registry Doctor\RegManServ.exe

oraz z combofixa:

ComboFix 08-07-10.1 - Lukasz 2008-07-11 13:21:51.4 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.251 [GMT 2:00]
Running from: C:\Documents and Settings\Lukasz\Pulpit\ComboFix.exe
* Created a new restore point
* Resident AV is active


WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\LocalService\Dane aplikacji\wsnpoem
C:\Documents and Settings\LocalService\Dane aplikacji\wsnpoem\audio.dll
C:\Documents and Settings\NetworkService\Dane aplikacji\wsnpoem
C:\Documents and Settings\NetworkService\Dane aplikacji\wsnpoem\audio.dll
C:\WINDOWS\system32\mssrv32.exe
C:\WINDOWS\system32\ps1.dat
C:\WINDOWS\system32\rc.dat
C:\WINDOWS\system32\wsnpoem\audio.dll
C:\WINDOWS\system32\wsnpoem\video.dll

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_MSUPDATE
-------\Legacy_{DEF85C80-216A-43AB-AF70-1665EDBE2780}
-------\Service_{DEF85C80-216A-43ab-AF70-1665EDBE2780}
-------\Service_msupdate


((((((((((((((((((((((((( Files Created from 2008-06-11 to 2008-07-11 )))))))))))))))))))))))))))))))
.

2008-07-11 13:26 . 2008-07-11 13:27 <DIR> d--hs---- C:\Documents and Settings\NetworkService\Dane aplikacji\wsnpoem
2008-07-11 13:26 . 2008-07-11 13:27 <DIR> d--hs---- C:\Documents and Settings\LocalService\Dane aplikacji\wsnpoem
2008-07-11 12:57 . 2008-07-11 12:57 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-07-11 12:57 . 2008-07-11 12:57 1,409 --a------ C:\WINDOWS\QTFont.for
2008-07-04 10:33 . 2008-07-04 10:33 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-07-04 10:33 . 2008-07-04 10:33 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab
2008-07-03 17:45 . 2008-07-03 17:45 502,208 --a------ C:\WINDOWS\system32\drivers\amon.sys
2008-07-03 17:45 . 2008-07-03 17:45 270,336 --a------ C:\WINDOWS\system32\imon.dll
2008-07-03 17:38 . 2008-07-10 11:03 45,056 --a------ C:\WINDOWS\system32\jzcom32.dll
2008-07-03 17:38 . 2008-07-10 11:20 12,997 --a------ C:\WINDOWS\system32\sklh.dat

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-10 17:40 --------- d-----w C:\Program Files\Winamp
2008-07-10 16:47 --------- d-----w C:\Program Files\ESET
2008-07-01 20:57 --------- d-----w C:\Program Files\Advanced Registry Doctor
2008-07-01 20:56 --------- d-----w C:\Program Files\a-squared Free
2008-06-30 13:03 --------- d---a-w C:\Documents and Settings\All Users\Dane aplikacji\TEMP
2008-06-07 14:27 --------- d-----w C:\Program Files\Delta Force Helikopter w Ogniu
2008-05-19 13:35 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-04-13 06:54 0 ----a-r C:\logwmemory.bin
2007-11-18 16:01 32 ----a-w C:\Documents and Settings\All Users\Dane aplikacji\ezsid.dat
2007-02-09 18:32 94,080 ----a-w C:\Documents and Settings\Lukasz\Dane aplikacji\ezplay.sys
2007-02-09 18:32 87,608 ----a-w C:\Documents and Settings\Lukasz\Dane aplikacji\ezpinst.exe
2007-02-09 18:32 47,360 ----a-w C:\Documents and Settings\Lukasz\Dane aplikacji\pcouffin.sys
2006-12-31 07:32 88 --sh--r C:\WINDOWS\system32\4751A5B21F.sys
2006-12-31 07:32 3,350 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((((((((((((((((((( AWF ))))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
----a-w 155,648 2001-07-09 09:50:42 C:\WINDOWS\system32\bak\NeroCheck.exe
----a-w 155,648 2001-07-09 10:50:42 C:\WINDOWS\system32\NeroCheck.exe

----a-w 65,664 2003-01-15 12:48:10 D:\Gry\Colin McRae Rally 3\Data\Boot\English\Bak\Copy001.dds
----a-w 65,664 2003-06-13 20:57:02 D:\Gry\Colin McRae Rally 3\Data\Boot\English\Copy001.dds

----a-w 65,664 2003-01-15 12:48:10 D:\Gry\Colin McRae Rally 3\Data\Boot\English\Bak\Copy002.dds
----a-w 65,664 2003-06-13 20:57:06 D:\Gry\Colin McRae Rally 3\Data\Boot\English\Copy002.dds

----a-w 65,664 2003-01-15 12:48:10 D:\Gry\Colin McRae Rally 3\Data\Boot\English\Bak\Copy003.dds
----a-w 65,664 2003-06-13 20:57:12 D:\Gry\Colin McRae Rally 3\Data\Boot\English\Copy003.dds

----a-w 80 2003-01-15 12:48:12 D:\Gry\Colin McRae Rally 3\Data\Boot\English\Bak\vssver.scc
----a-w 96 2003-01-15 12:48:10 D:\Gry\Colin McRae Rally 3\Data\Boot\English\vssver.scc

.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpeedX"="C:\PROGRA~1\MyPortal\Speed-X\SpeedX.exe" [2006-06-27 14:11 46718]
"Gadu-Gadu"="D:\Takie tam\Gadu-Gadu\gg.exe" [2005-03-31 11:18 790528]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 12:50 155648]
"nod32kui"="C:\Program Files\Eset\nod32kui.exe" [2008-07-03 17:45 917504]
"SoundMan"="SOUNDMAN.EXE" [2005-05-17 18:48 77824 C:\WINDOWS\SOUNDMAN.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 00:44 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\Currentversion\policies\explorer\Run]
"{2861E568-0686-1045-0729-040505030030}"="C:\Program Files\Spybot - Search & Destroy\Update.exe" [N/A]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,C:\\WINDOWS\\system32\\ntos.exe,"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.divxa32"= DivXa32.acm
"vidc.yv12"= yv12vfw.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MkS_Scan]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MkS_Scan\Service]
@=""

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Adobe Reader Speed Launch.lnk]
backup=C:\WINDOWS\pss\Adobe Reader Speed Launch.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^BlueSoleil.lnk]
path=C:\Documents and Settings\All Users\Menu Start\Programy\IVT BlueSoleil\BlueSoleil.lnk
backup=C:\WINDOWS\pss\BlueSoleil.lnkCommon Startup
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Spyware Doctor

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Bdbh]
--a------ 2004-08-04 00:44 515072 C:\WINDOWS\system32\logonui.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Firewall auto setup]
C:\DOCUME~1\Lukasz\USTAWI~1\Temp\winlogon.exe [N/A]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Gadu-Gadu]
--a------ 2005-03-31 11:18 790528 D:\Takie tam\Gadu-Gadu\gg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2004-08-04 00:55 1667584 C:\Program Files\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NVMixerTray]
--a------ 2004-06-03 20:51 131072 C:\Program Files\NVIDIA Corporation\NvMixer\NvMixerTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PWRISOVM.EXE]
--a------ 2008-03-15 01:50 233472 C:\Program Files\PowerISO\PWRISOVM.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RegDfrgSch]
--a------ 2006-06-11 13:57 569344 C:\Program Files\Advanced Registry Doctor\RegDfrgSch.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StartCCC]
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe [N/A]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2006-05-03 02:56 36975 C:\Program Files\Java\jre1.5.0_07\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TClock.exe]
C:\Program Files\TClock\tclock_install.exe [N/A]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UnlockerAssistant]
--a------ 2006-09-07 19:19 15872 C:\Program Files\Unlocker\UnlockerAssistant.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 2006-12-24 17:11 33792 C:\Program Files\Winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIPTA]
atiptaxx.exe [N/A]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\Program Files\\BearShare\\BearShare.exe"=
"C:\\Program Files\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
"D:\\Takie tam\\Gadu-Gadu\\gg.exe"=
"D:\\Gry\\NovaLogic\\Delta Force Xtreme\\dfx.exe"=
"C:\\Program Files\\Internet Explorer\\IEXPLORE.EXE"=

S0 FO_PAnt;FotoOffice VirtualDisc Driver;C:\WINDOWS\system32\Drivers\FO_PAnt.sys []

.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-11 13:27:30
Windows 5.1.2600 Dodatek Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...


C:\WINDOWS\system32\wsnpoem
C:\WINDOWS\system32\ntos.exe 437760 bytes executable


**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\lsass.exe
C:\Program Files\Eset\pr_imon.dll
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Program Files\Advanced Registry Doctor\RegManServ.exe
C:\WINDOWS\system32\wdfmgr.exe
.
**************************************************************************
.
Completion time: 2008-07-11 13:33:32 - machine was rebooted
ComboFix-quarantined-files.txt 2008-07-11 11:32:25
ComboFix2.txt 2008-07-04 07:37:45

Pre-Run: 2,186,543,104 bajtów wolnych
Post-Run: 2,215,854,080 bajt˘w wolnych

166

i jeszcze raport z kasperkyego:

-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER REPORT
11 lipiec 2008 14:33:21
System operacyjny: Microsoft Windows XP Professional, Dodatek Service Pack 2 (Build 2600)
Kaspersky Online Scanner wersja: 5.0.98.0
Ostatnia aktualizacja Kaspersky Anti-Virus11/07/2008
Liczba wpisów w bazie danych Kaspersky Anti-Virus941656
-------------------------------------------------------------------------------

Ustawienia skanowania:
Skanowanie przy użyciu następujących baz danych: rozszerzone
Skanuj archiwa: tak
Skanuj pocztowe bazy danych: tak

Obszar skanowania - Mój komputer:
A:\
C:\
D:\
E:\

Statystyki skanowania:
Liczba skanowanych obiektów: 44922
Liczba wykrytych wirusów: 4
Liczba zainfekowanych obiektów: 7
Liczba podejrzanych obiektów: 0
Czas trwania skanowania: 00:46:28

Nazwa zainfekowanego obiektu / Nazwa wirusa / Ostatnie działanie
C:\autorun.inf\lpt3.This folder was created by Flash_Disinfector Object is locked pominięty
C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Network\Downloader\qmgr0.dat Object is locked pominięty
C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Network\Downloader\qmgr1.dat Object is locked pominięty
C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked pominięty
C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked pominięty
C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked pominięty
C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty
C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty
C:\Documents and Settings\LocalService\Ustawienia lokalne\Historia\History.IE5\index.dat Object is locked pominięty
C:\Documents and Settings\LocalService\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat Object is locked pominięty
C:\Documents and Settings\Lukasz\Cookies\index.dat Object is locked pominięty
C:\Documents and Settings\Lukasz\Dane aplikacji\Sun\Java\Deployment\cache\javapi\v1.0\jar\pRT.jar-18efdb8f-6926b5f2.zip/HiPointInstallShieldRT.class Zainfekowanych: Trojan-Downloader.Java.OpenConnection.ap pominięty
C:\Documents and Settings\Lukasz\Dane aplikacji\Sun\Java\Deployment\cache\javapi\v1.0\jar\pRT.jar-18efdb8f-6926b5f2.zip ZIP: zainfekowany - 1 pominięty
C:\Documents and Settings\Lukasz\ntuser.dat Object is locked pominięty
C:\Documents and Settings\Lukasz\ntuser.dat.LOG Object is locked pominięty
C:\Documents and Settings\Lukasz\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty
C:\Documents and Settings\Lukasz\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty
C:\Documents and Settings\Lukasz\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\dlwbaktj.default\Cache\82EB975Fd01 Zainfekowanych: Backdoor.Win32.Sinowal.eh pominięty
C:\Documents and Settings\Lukasz\Ustawienia lokalne\Historia\History.IE5\index.dat Object is locked pominięty
C:\Documents and Settings\Lukasz\Ustawienia lokalne\Historia\History.IE5\MSHist012008071120080712\index.dat Object is locked pominięty
C:\Documents and Settings\Lukasz\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat Object is locked pominięty
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked pominięty
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked pominięty
C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty
C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty
C:\Program Files\ESET\cache\CACHE.NDB Object is locked pominięty
C:\Program Files\ESET\logs\virlog.dat Object is locked pominięty
C:\Program Files\ESET\logs\warnlog.dat Object is locked pominięty
C:\Program Files\MyPortal\Speed-X\uninstall.exe Zainfekowanych: not-a-virus:AdWare.Win32.BetterInternet.ih pominięty
C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked pominięty
C:\System Volume Information\_restore{BAABB5A6-0736-4CC3-9D62-D611947D3178}\RP451\A0247714.exe Zainfekowanych: Trojan-Downloader.Win32.Agent.vao pominięty
C:\System Volume Information\_restore{BAABB5A6-0736-4CC3-9D62-D611947D3178}\RP454\A0249049.exe Zainfekowanych: Backdoor.Win32.Sinowal.eh pominięty
C:\System Volume Information\_restore{BAABB5A6-0736-4CC3-9D62-D611947D3178}\RP455\A0252098.exe Zainfekowanych: Backdoor.Win32.Sinowal.eh pominięty
C:\System Volume Information\_restore{BAABB5A6-0736-4CC3-9D62-D611947D3178}\RP455\change.log Object is locked pominięty
C:\WINDOWS\Debug\PASSWD.LOG Object is locked pominięty
C:\WINDOWS\SchedLgU.Txt Object is locked pominięty
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked pominięty
C:\WINDOWS\Sti_Trace.log Object is locked pominięty
C:\WINDOWS\system32\config\ACEEvent.evt Object is locked pominięty
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked pominięty
C:\WINDOWS\system32\config\default Object is locked pominięty
C:\WINDOWS\system32\config\default.LOG Object is locked pominięty
C:\WINDOWS\system32\config\SAM Object is locked pominięty
C:\WINDOWS\system32\config\SAM.LOG Object is locked pominięty
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked pominięty
C:\WINDOWS\system32\config\SECURITY Object is locked pominięty
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked pominięty
C:\WINDOWS\system32\config\software Object is locked pominięty
C:\WINDOWS\system32\config\software.LOG Object is locked pominięty
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked pominięty
C:\WINDOWS\system32\config\system Object is locked pominięty
C:\WINDOWS\system32\config\system.LOG Object is locked pominięty
C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat Object is locked pominięty
C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Historia\History.IE5\index.dat Object is locked pominięty
C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat Object is locked pominięty
C:\WINDOWS\system32\drivers\sptd.sys Object is locked pominięty
C:\WINDOWS\system32\h323log.txt Object is locked pominięty
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked pominięty
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked pominięty
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked pominięty
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked pominięty
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked pominięty
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked pominięty
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked pominięty
C:\WINDOWS\TEMP\bca4e2da.$$$ Object is locked pominięty
C:\WINDOWS\TEMP\fa56d7ec.$$$ Object is locked pominięty
C:\WINDOWS\wiadebug.log Object is locked pominięty
C:\WINDOWS\wiaservc.log Object is locked pominięty
C:\WINDOWS\WindowsUpdate.log Object is locked pominięty
D:\autorun.inf\lpt3.This folder was created by Flash_Disinfector Object is locked pominięty

Proces skanowania został zakończony.

dodam tylko ze przy starcie systemu "zapraszamy" jest dluzej niz zwykle, to samo z zamykaniem systemu.

fix w hijackthis

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe
O2 - BHO: Rmn plugin - {D9A7B3B6-1F8A-4cf9-A20C-BDF427DBDB4A} - jzcom32.dll (file missing)

Pobierz ComboFix, ale nie uruchamiaj
Wklej do notatnika:

Kod:

File::
C:\WINDOWS\system32\ntos.exe
c:\windows\system32\mssrv32.exe
C:\Documents and Settings\Lukasz\Dane aplikacji\Sun\Java\Deployment\cache\javapi\v1.0\jar\pRT.jar-18efdb8f-6926b5f2.zip
C:\Documents and Settings\Lukasz\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\dlwbaktj.default\Cache\82EB975Fd01
C:\Program Files\MyPortal\Speed-X\uninstall.exe

Folder::
C:\System Volume Information\_restore{BAABB5A6-0736-4CC3-9D62-D611947D3178}\RP454\A0249049.exe
C:\System Volume Information\_restore{BAABB5A6-0736-4CC3-9D62-D611947D3178}\RP455

Driver::
Microsoft security update service

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"


Plik zapisz jako CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu

Rozpocznie się usuwanie i powstanie log, daj ten log na forum.

Logi dajesz na http://www.wkle.eu/ a w poście dajesz tylko link

http://www.wklejto.pl/txt5561 - z combofixa