problem z trojanami, prosze o sprawdzenie loga

[semenfour]

Witam

Od pewnego czasu mam problem z trojanami, Kaspersky cos tam pokasowal, teraz pokazuje ze komp czysty, ale co jakis czas uruchamia mi sie iexplore.exe (nie otwieraja sie zadne okienka) i zaczyna pobierac pliki typu gif (np down.gif russ.gif) Kaspersky blokuje je ale nie lokalizuje przyczyny pojawiania sie tego. Do tego zrobilem format calego dysku, nic to nie dalo, objawy takie same jak przed formatem.

Log z HijackThis:

Kod: Zaznacz wszystko

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:57:05, on 2008-05-27
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\explorer.exe
C:\Kaspersky Internet Security 7.0\avp.exe
C:\Kaspersky Internet Security 7.0\avp.exe
C:\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AVP] "C:\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Dodaj do blokowanych banerów - C:\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O9 - Extra button: Statystyki dla ochrony WWW - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O20 - AppInit_DLLs: C:\KASPER~1.0\adialhk.dll
O21 - SSODL: JavaView - {DA191DE0-AA86-D04E-4B87-2A3D4928BE99} - C:\WINDOWS\AppPatch\Jview.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Kaspersky Internet Security 7.0\avp.exe

--
End of file - 3239 bytes


Log z ComboFix:

Kod: Zaznacz wszystko

ComboFix 08-05-26.2 - ati 2008-05-27 20:32:25.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1250.1.1045.18.299 [GMT 2:00]
Running from: C:\Documents and Settings\ati\Pulpit\ComboFix.exe
 * Created a new restore point

[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b][/color]
.

(((((((((((((((((((((((((((((((((((((((   Other Deletions   )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\ijatnaw.cfg
C:\WINDOWS\system32\ijatnaw.dll

.
(((((((((((((((((((((((((   Files Created from 2008-04-27 to 2008-05-27  )))))))))))))))))))))))))))))))
.

2008-05-27 20:22 . 2008-05-27 20:23   <DIR>   d--------   C:\HijackThis
2008-05-26 22:44 . 2008-05-26 22:44   <DIR>   d--------   C:\Reader 8.0
2008-05-26 22:44 . 2008-05-26 22:44   <DIR>   d--------   C:\Program Files\Common Files\Adobe
2008-05-26 21:40 . 2008-05-26 21:40   <DIR>   d--------   C:\Documents and Settings\ati\Dane aplikacji\Gadu-Gadu
2008-05-26 21:20 . 2008-05-26 21:20   <DIR>   d--------   C:\Documents and Settings\NetworkService\Dane aplikacji\Xfire
2008-05-26 21:19 . 2008-05-27 14:58   <DIR>   d--------   C:\Documents and Settings\ati\Dane aplikacji\Xfire
2008-05-26 21:18 . 2008-05-26 21:21   <DIR>   d--------   C:\Xfire
2008-05-26 20:57 . 2008-05-26 20:57   <DIR>   d--------   C:\Gadu-Gadu
2008-05-26 20:57 . 2008-05-26 21:40   <DIR>   d--------   C:\Documents and Settings\ati\Gadu-Gadu
2008-05-26 20:37 . 2008-05-26 20:37   0   --a------   C:\WINDOWS\ativpsrm.bin
2008-05-26 20:35 . 2004-08-04 00:44   130,048   --a------   C:\WINDOWS\system32\ksproxy.ax
2008-05-26 20:35 . 2004-08-04 00:44   130,048   --a--c---   C:\WINDOWS\system32\dllcache\ksproxy.ax
2008-05-26 20:35 . 2004-08-03 23:08   60,288   --a------   C:\WINDOWS\system32\drivers\drmk.sys
2008-05-26 20:35 . 2004-08-03 23:08   60,288   --a--c---   C:\WINDOWS\system32\dllcache\drmk.sys
2008-05-26 20:35 . 2004-11-18 10:42   22,752   --a------   C:\WINDOWS\system32\spupdsvc.exe
2008-05-26 20:35 . 2004-08-04 00:44   4,096   --a------   C:\WINDOWS\system32\ksuser.dll
2008-05-26 20:35 . 2004-08-04 00:44   4,096   --a--c---   C:\WINDOWS\system32\dllcache\ksuser.dll
2008-05-26 20:34 . 2008-05-26 20:34   <DIR>   d--------   C:\WinRAR
2008-05-26 20:26 . 2008-05-12 10:49   593,920   ---------   C:\WINDOWS\system32\ati2sgag.exe
2008-05-26 20:25 . 2008-05-26 20:25   <DIR>   d--h-----   C:\Program Files\InstallShield Installation Information
2008-05-26 20:24 . 2008-05-26 20:24   <DIR>   d--------   C:\Program Files\Common Files\InstallShield
2008-05-26 20:24 . 2008-05-26 20:24   <DIR>   d--------   C:\ATI
2008-05-26 20:18 . 2008-05-26 20:18   1,212   --a------   C:\WINDOWS\mozver.dat
2008-05-14 03:28 . 2008-05-14 03:28   41,296   --a------   C:\WINDOWS\system32\xfcodec.dll
2008-05-12 18:30 . 2008-05-12 18:30   3,007,488   --a------   C:\WINDOWS\system32\drivers\ati2mtag.sys
2008-05-12 18:30 . 2008-05-12 18:30   3,007,488   --a--c---   C:\WINDOWS\system32\dllcache\ati2mtag.sys
2008-05-12 17:56 . 2008-05-12 17:56   397,312   --a------   C:\WINDOWS\system32\ATIDEMGX.dll
2008-05-12 17:54 . 2008-05-12 17:54   305,152   --a--c---   C:\WINDOWS\system32\dllcache\ati2dvag.dll
2008-05-12 17:54 . 2008-05-12 17:54   305,152   --a------   C:\WINDOWS\system32\ati2dvag.dll
2008-05-12 17:53 . 2008-05-12 17:53   307,200   --a------   C:\WINDOWS\system32\atiiiexx.dll
2008-05-12 17:45 . 2008-05-12 17:45   180,224   --a------   C:\WINDOWS\system32\atipdlxx.dll
2008-05-12 17:45 . 2008-05-12 17:45   139,264   --a------   C:\WINDOWS\system32\Oemdspif.dll
2008-05-12 17:45 . 2008-05-12 17:45   43,520   --a------   C:\WINDOWS\system32\ati2edxx.dll
2008-05-12 17:45 . 2008-05-12 17:45   26,112   --a------   C:\WINDOWS\system32\Ati2mdxx.exe
2008-05-12 17:44 . 2008-05-12 17:44   139,264   --a------   C:\WINDOWS\system32\ati2evxx.dll
2008-05-12 17:43 . 2008-05-12 17:43   10,153,984   --a------   C:\WINDOWS\system32\atioglx2.dll
2008-05-12 17:43 . 2008-05-12 17:43   540,672   --a------   C:\WINDOWS\system32\ati2evxx.exe
2008-05-12 17:41 . 2008-05-12 17:41   53,248   --a------   C:\WINDOWS\system32\ATIDDC.DLL
2008-05-12 17:32 . 2008-05-12 17:32   3,203,168   --a--c---   C:\WINDOWS\system32\dllcache\ati3duag.dll
2008-05-12 17:32 . 2008-05-12 17:32   3,203,168   --a------   C:\WINDOWS\system32\ati3duag.dll
2008-05-12 17:22 . 2008-05-12 17:22   3,107,788   --a------   C:\WINDOWS\system32\ativvaxx.dat
2008-05-12 17:22 . 2008-05-12 17:22   3,107,788   --a------   C:\WINDOWS\system32\ativva5x.dat
2008-05-12 17:22 . 2008-05-12 17:22   1,999,616   --a--c---   C:\WINDOWS\system32\dllcache\ativvaxx.dll
2008-05-12 17:22 . 2008-05-12 17:22   1,999,616   --a------   C:\WINDOWS\system32\ativvaxx.dll
2008-05-12 17:22 . 2008-05-12 17:22   887,724   --a------   C:\WINDOWS\system32\ativva6x.dat
2008-05-12 17:09 . 2008-05-12 17:09   47,104   --a------   C:\WINDOWS\system32\amdpcom32.dll
2008-05-12 17:05 . 2008-05-12 17:05   5,439,488   --a------   C:\WINDOWS\system32\atioglxx.dll
2008-05-12 17:05 . 2008-05-12 17:05   327,680   --a------   C:\WINDOWS\system32\atikvmag.dll
2008-05-12 17:03 . 2008-05-12 17:03   19,968   --a------   C:\WINDOWS\system32\atiadlxx.dll
2008-05-12 17:03 . 2008-05-12 17:03   17,408   --a------   C:\WINDOWS\system32\atitvo32.dll
2008-05-12 17:02 . 2008-05-12 17:02   241,664   --a------   C:\WINDOWS\system32\atiok3x2.dll
2008-05-12 17:02 . 2008-05-12 17:02   49,152   --a------   C:\WINDOWS\system32\drivers\ati2erec.dll
2008-05-12 16:57 . 2008-05-12 16:57   548,864   --a--c---   C:\WINDOWS\system32\dllcache\ati2cqag.dll
2008-05-12 16:57 . 2008-05-12 16:57   548,864   --a------   C:\WINDOWS\system32\ati2cqag.dll

.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-27 18:34   648,736   --sha-w   C:\WINDOWS\system32\drivers\fidbox.dat
2008-05-27 18:34   27,424   --sha-w   C:\WINDOWS\system32\drivers\fidbox2.dat
2008-05-27 18:32   9,216   ----a-w   C:\WINDOWS\AppPatch\AcXtrnel.dll
2008-05-27 16:29   4,448   --sha-w   C:\WINDOWS\system32\drivers\fidbox2.idx
2008-05-27 16:29   13,412   --sha-w   C:\WINDOWS\system32\drivers\fidbox.idx
2008-05-27 15:29   ---------   d-----w   C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab
2008-05-26 17:36   ---------   d-----w   C:\Documents and Settings\ati\Dane aplikacji\Talkback
2008-05-26 16:58   96,645   ----a-w   C:\WINDOWS\system32\drivers\klin.dat
2008-05-26 16:58   87,941   ----a-w   C:\WINDOWS\system32\drivers\klick.dat
2008-05-26 16:36   ---------   d-----w   C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab Setup Files
2008-05-26 16:30   13,824   ----a-w   C:\WINDOWS\AppPatch\Jview.dll
2008-05-26 16:13   ---------   d-----w   C:\Program Files\microsoft frontpage
2008-05-26 16:08   ---------   d-----w   C:\Program Files\Usługi online
2004-08-03 22:44   32,024   --sh--w   C:\WINDOWS\system32\ghjkdr.dll
2004-08-03 22:44   9,216   --sha-w   C:\WINDOWS\system32\ghrst.dll
.

(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:44 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2005-01-07 17:07 61952 C:\WINDOWS\system32\HdAShCut.exe]
"Adobe Reader Speed Launcher"="C:\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 00:44 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"JavaView"= {DA191DE0-AA86-D04E-4B87-2A3D4928BE99} - C:\WINDOWS\AppPatch\Jview.dll [2008-05-26 18:30 13824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=C:\KASPER~1.0\adialhk.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.XFR1"= xfcodec.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=

R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-12-13 13:28]

*Newly Created Service* - CATCHME
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-27 20:34:49
Windows 5.1.2600 Dodatek Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2008-05-27 20:36:58
ComboFix-quarantined-files.txt  2008-05-27 18:36:55

Pre-Run: 7,594,827,776 bajtów wolnych
Post-Run: 7,594,557,440 bajtów wolnych

128


[zYGuś]

ja sie dopiero uczę ale dla mnie czysto.

[huber2t]

fix w hijackthis

O21 - SSODL: JavaView - {DA191DE0-AA86-D04E-4B87-2A3D4928BE99} - C:\WINDOWS\AppPatch\Jview.dll

Pobierz ComboFix, ale nie uruchamiaj
Wklej do notatnika:

Kod: Zaznacz wszystko

File::
C:\WINDOWS\AppPatch\Jview.dll


Plik zapisz jako CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu

Rozpocznie się usuwanie i powstanie log, daj ten log na forum.

Logi dajesz na http://www.wklej.org

[semenfour]

Zrobiłem jak kazałeś, oto logi:

HijackThis:

http://www.wklej.org/id/38167323e8

ComboFix:

http://www.wklej.org/id/37fa000bf5

[huber2t]

logi ok

Wyłącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum

Włącz przywracanie systemu.

[semenfour]

Przeskanowane, oto raport:

Kod: Zaznacz wszystko

-------------------------------------------------------------------------------
 KASPERSKY ONLINE SCANNER REPORT
 28 maj 2008 18:13:47
 System operacyjny: Microsoft Windows XP Professional, Dodatek Service Pack 2 (Build 2600)
 Kaspersky Online Scanner wersja: 5.0.98.0
 Ostatnia aktualizacja Kaspersky Anti-Virus28/05/2008
 Liczba wpisów w bazie danych Kaspersky Anti-Virus808519
-------------------------------------------------------------------------------

Ustawienia skanowania:
   Skanowanie przy użyciu następujących baz danych: rozszerzone
   Skanuj archiwa: tak
   Skanuj pocztowe bazy danych: tak

Obszar skanowania - Mój komputer:
   A:\
   C:\
   E:\
   F:\

Statystyki skanowania:
   Liczba skanowanych obiektów: 14963
   Liczba wykrytych wirusów: 0
   Liczba zainfekowanych obiektów: 0
   Liczba podejrzanych obiektów: 0
   Czas trwania skanowania: 00:11:21

Nazwa zainfekowanego obiektu / Nazwa wirusa / Ostatnie działanie
C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab\AVP7\Report\0184_File_Monitoring_eventlog.rpt   Object is locked   pominięty
C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab\AVP7\Report\0186_Web_Monitoring_eventlog.rpt   Object is locked   pominięty
C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab\AVP7\Report\018e_pdm_eventcritlog.rpt   Object is locked   pominięty
C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab\AVP7\Report\018e_pdm_eventlog.rpt   Object is locked   pominięty
C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab\AVP7\Report\018e_pdm_eventlog_reg.rpt   Object is locked   pominięty
C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab\AVP7\Report\detected.idx   Object is locked   pominięty
C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab\AVP7\Report\detected.rpt   Object is locked   pominięty
C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab\AVP7\Report\eventlog.rpt   Object is locked   pominięty
C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab\AVP7\Report\report.rpt   Object is locked   pominięty
C:\Documents and Settings\ati\Cookies\index.dat   Object is locked   pominięty
C:\Documents and Settings\ati\NTUSER.DAT   Object is locked   pominięty
C:\Documents and Settings\ati\ntuser.dat.LOG   Object is locked   pominięty
C:\Documents and Settings\ati\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat   Object is locked   pominięty
C:\Documents and Settings\ati\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG   Object is locked   pominięty
C:\Documents and Settings\ati\Ustawienia lokalne\Historia\History.IE5\index.dat   Object is locked   pominięty
C:\Documents and Settings\ati\Ustawienia lokalne\Historia\History.IE5\MSHist012008052820080529\index.dat   Object is locked   pominięty
C:\Documents and Settings\ati\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat   Object is locked   pominięty
C:\Documents and Settings\LocalService\Cookies\index.dat   Object is locked   pominięty
C:\Documents and Settings\LocalService\NTUSER.DAT   Object is locked   pominięty
C:\Documents and Settings\LocalService\ntuser.dat.LOG   Object is locked   pominięty
C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat   Object is locked   pominięty
C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG   Object is locked   pominięty
C:\Documents and Settings\LocalService\Ustawienia lokalne\Historia\History.IE5\index.dat   Object is locked   pominięty
C:\Documents and Settings\LocalService\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat   Object is locked   pominięty
C:\Documents and Settings\NetworkService\NTUSER.DAT   Object is locked   pominięty
C:\Documents and Settings\NetworkService\ntuser.dat.LOG   Object is locked   pominięty
C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat   Object is locked   pominięty
C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG   Object is locked   pominięty
C:\System Volume Information\MountPointManagerRemoteDatabase   Object is locked   pominięty
C:\WINDOWS\Debug\PASSWD.LOG   Object is locked   pominięty
C:\WINDOWS\SchedLgU.Txt   Object is locked   pominięty
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log   Object is locked   pominięty
C:\WINDOWS\system32\CatRoot2\edb.log   Object is locked   pominięty
C:\WINDOWS\system32\CatRoot2\tmp.edb   Object is locked   pominięty
C:\WINDOWS\system32\config\AppEvent.Evt   Object is locked   pominięty
C:\WINDOWS\system32\config\default   Object is locked   pominięty
C:\WINDOWS\system32\config\default.LOG   Object is locked   pominięty
C:\WINDOWS\system32\config\SAM   Object is locked   pominięty
C:\WINDOWS\system32\config\SAM.LOG   Object is locked   pominięty
C:\WINDOWS\system32\config\SecEvent.Evt   Object is locked   pominięty
C:\WINDOWS\system32\config\SECURITY   Object is locked   pominięty
C:\WINDOWS\system32\config\SECURITY.LOG   Object is locked   pominięty
C:\WINDOWS\system32\config\software   Object is locked   pominięty
C:\WINDOWS\system32\config\software.LOG   Object is locked   pominięty
C:\WINDOWS\system32\config\SysEvent.Evt   Object is locked   pominięty
C:\WINDOWS\system32\config\system   Object is locked   pominięty
C:\WINDOWS\system32\config\system.LOG   Object is locked   pominięty
C:\WINDOWS\system32\drivers\fidbox.dat   Object is locked   pominięty
C:\WINDOWS\system32\drivers\fidbox.idx   Object is locked   pominięty
C:\WINDOWS\system32\drivers\fidbox2.dat   Object is locked   pominięty
C:\WINDOWS\system32\drivers\fidbox2.idx   Object is locked   pominięty
C:\WINDOWS\system32\h323log.txt   Object is locked   pominięty
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR   Object is locked   pominięty
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP   Object is locked   pominięty
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER   Object is locked   pominięty
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP   Object is locked   pominięty
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP   Object is locked   pominięty
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA   Object is locked   pominięty
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP   Object is locked   pominięty
C:\WINDOWS\WindowsUpdate.log   Object is locked   pominięty
E:\System Volume Information\MountPointManagerRemoteDatabase   Object is locked   pominięty

Proces skanowania został zakończony.


[huber2t]

W raporcie czysto

Powinno być wszystko ok

[semenfour]

I chyba wszystko działa dobrze, jak na razie zero problemów.
Dzięki wielkie!

[semenfour]

Przepraszam że post pod postem, ale jednak coś dalej siedzi w systemie,
Kaspersky wykrywa wirusa Trojan-Downloader.Win32.Agent.qpv który próbje ściągać jakieś pliki. Podczas gdy pojawia sie komunikat o wirusie, na dysku C pojawiają sie te oto pliki:

http://img81.imageshack.us/img81/487/plikibq6.png

Czy mam jeszcze raz podać logi? Jeśli tak to czy mają one być z jakichś innych programów?

[huber2t]

Daj loga z combofix

[semenfour]

Oto log:

http://wklej.org/id/fb74a5fd53

[huber2t]

log ok

Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum

[semenfour]

Oto log:

Kod: Zaznacz wszystko

-------------------------------------------------------------------------------
 KASPERSKY ONLINE SCANNER REPORT
 29 maj 2008 18:45:50
 System operacyjny: Microsoft Windows XP Professional, Dodatek Service Pack 2 (Build 2600)
 Kaspersky Online Scanner wersja: 5.0.98.0
 Ostatnia aktualizacja Kaspersky Anti-Virus29/05/2008
 Liczba wpisów w bazie danych Kaspersky Anti-Virus812154
-------------------------------------------------------------------------------

Ustawienia skanowania:
   Skanowanie przy użyciu następujących baz danych: rozszerzone
   Skanuj archiwa: tak
   Skanuj pocztowe bazy danych: tak

Obszar skanowania - Mój komputer:
   A:\
   C:\
   E:\
   F:\

Statystyki skanowania:
   Liczba skanowanych obiektów: 18294
   Liczba wykrytych wirusów: 0
   Liczba zainfekowanych obiektów: 0
   Liczba podejrzanych obiektów: 0
   Czas trwania skanowania: 00:14:52

Nazwa zainfekowanego obiektu / Nazwa wirusa / Ostatnie działanie
C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab\AVP7\Report\0232_File_Monitoring_eventlog.rpt   Object is locked   pominięty
C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab\AVP7\Report\0235_Web_Monitoring_eventlog.rpt   Object is locked   pominięty
C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab\AVP7\Report\023b_pdm_eventcritlog.rpt   Object is locked   pominięty
C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab\AVP7\Report\023b_pdm_eventlog.rpt   Object is locked   pominięty
C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab\AVP7\Report\detected.idx   Object is locked   pominięty
C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab\AVP7\Report\detected.rpt   Object is locked   pominięty
C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab\AVP7\Report\eventlog.rpt   Object is locked   pominięty
C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab\AVP7\Report\report.rpt   Object is locked   pominięty
C:\Documents and Settings\ati\Cookies\index.dat   Object is locked   pominięty
C:\Documents and Settings\ati\Dane aplikacji\Mozilla\Firefox\Profiles\rivrvufs.default\cert8.db   Object is locked   pominięty
C:\Documents and Settings\ati\Dane aplikacji\Mozilla\Firefox\Profiles\rivrvufs.default\foxmarks.log   Object is locked   pominięty
C:\Documents and Settings\ati\Dane aplikacji\Mozilla\Firefox\Profiles\rivrvufs.default\history.dat   Object is locked   pominięty
C:\Documents and Settings\ati\Dane aplikacji\Mozilla\Firefox\Profiles\rivrvufs.default\key3.db   Object is locked   pominięty
C:\Documents and Settings\ati\Dane aplikacji\Mozilla\Firefox\Profiles\rivrvufs.default\parent.lock   Object is locked   pominięty
C:\Documents and Settings\ati\Dane aplikacji\Mozilla\Firefox\Profiles\rivrvufs.default\search.sqlite   Object is locked   pominięty
C:\Documents and Settings\ati\Dane aplikacji\Mozilla\Firefox\Profiles\rivrvufs.default\urlclassifier2.sqlite   Object is locked   pominięty
C:\Documents and Settings\ati\NTUSER.DAT   Object is locked   pominięty
C:\Documents and Settings\ati\ntuser.dat.LOG   Object is locked   pominięty
C:\Documents and Settings\ati\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat   Object is locked   pominięty
C:\Documents and Settings\ati\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG   Object is locked   pominięty
C:\Documents and Settings\ati\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\rivrvufs.default\Cache\_CACHE_001_   Object is locked   pominięty
C:\Documents and Settings\ati\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\rivrvufs.default\Cache\_CACHE_002_   Object is locked   pominięty
C:\Documents and Settings\ati\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\rivrvufs.default\Cache\_CACHE_003_   Object is locked   pominięty
C:\Documents and Settings\ati\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\rivrvufs.default\Cache\_CACHE_MAP_   Object is locked   pominięty
C:\Documents and Settings\ati\Ustawienia lokalne\Historia\History.IE5\index.dat   Object is locked   pominięty
C:\Documents and Settings\ati\Ustawienia lokalne\Historia\History.IE5\MSHist012008052920080530\index.dat   Object is locked   pominięty
C:\Documents and Settings\ati\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat   Object is locked   pominięty
C:\Documents and Settings\LocalService\Cookies\index.dat   Object is locked   pominięty
C:\Documents and Settings\LocalService\NTUSER.DAT   Object is locked   pominięty
C:\Documents and Settings\LocalService\ntuser.dat.LOG   Object is locked   pominięty
C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat   Object is locked   pominięty
C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG   Object is locked   pominięty
C:\Documents and Settings\LocalService\Ustawienia lokalne\Historia\History.IE5\index.dat   Object is locked   pominięty
C:\Documents and Settings\LocalService\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat   Object is locked   pominięty
C:\Documents and Settings\NetworkService\NTUSER.DAT   Object is locked   pominięty
C:\Documents and Settings\NetworkService\ntuser.dat.LOG   Object is locked   pominięty
C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat   Object is locked   pominięty
C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG   Object is locked   pominięty
C:\System Volume Information\MountPointManagerRemoteDatabase   Object is locked   pominięty
C:\System Volume Information\_restore{29E519AB-004F-4796-AA75-C4D607CAFF1A}\RP9\change.log   Object is locked   pominięty
C:\WINDOWS\Debug\PASSWD.LOG   Object is locked   pominięty
C:\WINDOWS\SchedLgU.Txt   Object is locked   pominięty
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log   Object is locked   pominięty
C:\WINDOWS\system32\CatRoot2\edb.log   Object is locked   pominięty
C:\WINDOWS\system32\CatRoot2\tmp.edb   Object is locked   pominięty
C:\WINDOWS\system32\config\AppEvent.Evt   Object is locked   pominięty
C:\WINDOWS\system32\config\default   Object is locked   pominięty
C:\WINDOWS\system32\config\default.LOG   Object is locked   pominięty
C:\WINDOWS\system32\config\SAM   Object is locked   pominięty
C:\WINDOWS\system32\config\SAM.LOG   Object is locked   pominięty
C:\WINDOWS\system32\config\SecEvent.Evt   Object is locked   pominięty
C:\WINDOWS\system32\config\SECURITY   Object is locked   pominięty
C:\WINDOWS\system32\config\SECURITY.LOG   Object is locked   pominięty
C:\WINDOWS\system32\config\software   Object is locked   pominięty
C:\WINDOWS\system32\config\software.LOG   Object is locked   pominięty
C:\WINDOWS\system32\config\SysEvent.Evt   Object is locked   pominięty
C:\WINDOWS\system32\config\system   Object is locked   pominięty
C:\WINDOWS\system32\config\system.LOG   Object is locked   pominięty
C:\WINDOWS\system32\drivers\fidbox.dat   Object is locked   pominięty
C:\WINDOWS\system32\drivers\fidbox.idx   Object is locked   pominięty
C:\WINDOWS\system32\drivers\fidbox2.dat   Object is locked   pominięty
C:\WINDOWS\system32\drivers\fidbox2.idx   Object is locked   pominięty
C:\WINDOWS\system32\h323log.txt   Object is locked   pominięty
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR   Object is locked   pominięty
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP   Object is locked   pominięty
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER   Object is locked   pominięty
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP   Object is locked   pominięty
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP   Object is locked   pominięty
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA   Object is locked   pominięty
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP   Object is locked   pominięty
C:\WINDOWS\TEMP\cch~1bea8edd4.htp   Object is locked   pominięty
C:\WINDOWS\TEMP\cch~1bea90317.htp   Object is locked   pominięty
C:\WINDOWS\WindowsUpdate.log   Object is locked   pominięty
E:\Steam\logs\connection_log.txt   Object is locked   pominięty
E:\Steam\Steam.log   Object is locked   pominięty
E:\Steam\steamapps\winui.gcf   Object is locked   pominięty
E:\System Volume Information\MountPointManagerRemoteDatabase   Object is locked   pominięty
E:\System Volume Information\_restore{29E519AB-004F-4796-AA75-C4D607CAFF1A}\RP9\change.log   Object is locked   pominięty

Proces skanowania został zakończony.


Ps: Przypuszczalnie źródłem ataków jest jeden z zainfekowanych komputerów w sieci osiedlowej do której należę. Jednak na razie od rana jest spokój, oby tylko tak pozostało.

[huber2t]

W raporcie czysto powinno byc ok

[semenfour]

Pisze dalej w tym temacie bo nie chce tworzyć nowego.
Dalej coś musiało siedzieć w systemie bo przeżyłem dziś istna plagę trojanów. Część z nich pousuwałem i nawet pokasowałem wpisy w HijackThis.
Jednak jest tam jeden wpis którego nie da się usunąć, po jego kasacji procesy svchost.exe i spoolsv.exe przywracaja wpis.

Oto log z HijackThis:

Kod: Zaznacz wszystko

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:27:44, on 2008-06-06
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Kaspersky Internet Security 7.0\avp.exe
C:\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Gadu-Gadu\gg.exe
C:\MOZILL~1\FIREFOX.EXE
C:\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [AVP] "C:\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Dodaj do blokowanych banerów - C:\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O9 - Extra button: Statystyki dla ochrony WWW - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O20 - AppInit_DLLs: ghrst.dll,ethyg.dll,gyjert.dll,tjdegtr.dll,fyhje.dll,hgnmjsdg.dll,uyjtd.dll,ukrth.dll,hjmh.dll,dhugtj.dll,ytjkyer.dll,dgrgfs.dll,gfcfg.dll,frntrn.dll,qrhhb.dll,drghszd.dll,fngn.dll,gnfctt.dll,xgnfn.dll,xfgnhcgfm.dll,serger.dll,bnxnb.dll,fxgnfx.dll,jzijj.dll,xfgnfx.dll,serghjm.dll,thsddh.dll,xbcvxb.dll,zfdzb.dll,xdndn.dll,xdfntt.dll,hgfhk.dll,dnteh.dll,xfng.dll,njritc.dll,chmfcmh.dll,jwlah.dll,gmnait.dll,hfjg.dll,thurh.dll,mgmgmm.dll,oqrthc.dll,gtujerg.dll,jyjlt.dll,ijatnaw.dll,sehhter.dll,fhjfg.dll,zdbdb.dll,ydgn.dll,dbfb.dll,fjnbv.dll,yuker.dll,setrhes.dll,cdxbfxdb.dll,xfgnxfn.dll,gjkhj.dll,xdhdg.dll,rhs.dll,mrjhtjd.dll,zdbfbd.dll,fjyjy.dll,fxnfnh.dll,bjrvm.dll,ektvm.dll,rdthr.dll,yjrfe.dll,dscef.dll,crugd.dll,lariytrz.dll,hjaiq.dll,kduy.dll,hkfgh.dll,awef.dll,dfhsh.dll,ethsh.dll,stehs.dll,sthth.dll,wfhyt.dll,rgghjj.dll,ghjkdr.dll,hfther.dll,
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Kaspersky Internet Security 7.0\avp.exe

--
End of file - 3908 bytes


Nie mogę usunąć tego oto wpisu:

Kod: Zaznacz wszystko

O20 - AppInit_DLLs: ghrst.dll,ethyg.dll,gyjert.dll,tjdegtr.dll,fyhje.dll,hgnmjsdg.dll,uyjtd.dll,ukrth.dll,hjmh.dll,dhugtj.dll,ytjkyer.dll,dgrgfs.dll,gfcfg.dll,frntrn.dll,qrhhb.dll,drghszd.dll,fngn.dll,gnfctt.dll,xgnfn.dll,xfgnhcgfm.dll,serger.dll,bnxnb.dll,fxgnfx.dll,jzijj.dll,xfgnfx.dll,serghjm.dll,thsddh.dll,xbcvxb.dll,zfdzb.dll,xdndn.dll,xdfntt.dll,hgfhk.dll,dnteh.dll,xfng.dll,njritc.dll,chmfcmh.dll,jwlah.dll,gmnait.dll,hfjg.dll,thurh.dll,mgmgmm.dll,oqrthc.dll,gtujerg.dll,jyjlt.dll,ijatnaw.dll,sehhter.dll,fhjfg.dll,zdbdb.dll,ydgn.dll,dbfb.dll,fjnbv.dll,yuker.dll,setrhes.dll,cdxbfxdb.dll,xfgnxfn.dll,gjkhj.dll,xdhdg.dll,rhs.dll,mrjhtjd.dll,zdbfbd.dll,fjyjy.dll,fxnfnh.dll,bjrvm.dll,ektvm.dll,rdthr.dll,yjrfe.dll,dscef.dll,crugd.dll,lariytrz.dll,hjaiq.dll,kduy.dll,hkfgh.dll,awef.dll,dfhsh.dll,ethsh.dll,stehs.dll,sthth.dll,wfhyt.dll,rgghjj.dll,ghjkdr.dll,hfther.dll,

Zaraz dodam log z ComboFix.

EDIT:

Oto Log z ComboFix:

Kod: Zaznacz wszystko

ComboFix 08-06-05.3 - ati 2008-06-06 13:37:59.4 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1250.1.1045.18.270 [GMT 2:00]
Running from: C:\Documents and Settings\ati\Pulpit\ComboFix.exe
 * Created a new restore point

[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b][/color]
.

(((((((((((((((((((((((((((((((((((((((   Other Deletions   )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\crugd.cfg
C:\WINDOWS\system32\fxwmbime.sys
C:\WINDOWS\system32\jashbbty.sys
C:\WINDOWS\system32\lariytrz.cfg
C:\WINDOWS\system32\njritc.cfg
C:\WINDOWS\system32\oqrthc.cfg
C:\WINDOWS\system32\pzwmaime.sys
C:\WINDOWS\system32\smmhbsrv.sys
C:\WINDOWS\system32\xfztbmsn.sys
C:\WINDOWS\system32\xzcsbhlp.sys

.
(((((((((((((((((((((((((   Files Created from 2008-05-06 to 2008-06-06  )))))))))))))))))))))))))))))))
.

2008-06-06 12:07 . 2008-06-06 12:07   144   ---hs----   C:\WINDOWS\system32\hgfhk.cfg
2008-06-06 12:07 . 2008-06-06 12:07   24   --a------   C:\WINDOWS\system32\ciwdaapi.sys
2008-06-06 12:06 . 2008-06-06 12:06   144   ---hs----   C:\WINDOWS\system32\ydgn.cfg
2008-06-06 12:05 . 2008-06-06 12:07   171   --a------   C:\WINDOWS\system32\winsYs.reg
2008-06-05 23:21 . 2008-06-05 23:21   <DIR>   d--------   C:\FileZillaPortable
2008-06-02 16:08 . 2004-06-24 11:00   6,656   --a------   C:\WINDOWS\system32\drivers\AsProbe.sys
2008-06-02 16:07 . 1997-04-22 10:16   6,272   --a------   C:\WINDOWS\system32\drivers\ASLM75.SYS
2008-06-02 16:06 . 1996-11-05 16:13   299,008   --a------   C:\WINDOWS\uninst.exe
2008-06-02 15:59 . 2005-05-02 21:15   36,484   --a------   C:\WINDOWS\system32\drivers\SMBios.sys
2008-06-01 15:10 . 2008-06-01 19:21   <DIR>   d--------   C:\Alcohol 52
2008-06-01 14:13 . 2008-06-01 14:13   <DIR>   d--------   C:\Documents and Settings\ati\Dane aplikacji\teamspeak2
2008-06-01 14:07 . 2003-08-19 19:36   65,536   --a--c---   C:\WINDOWS\system32\dllcache\a3d.dll
2008-06-01 14:07 . 2003-08-19 19:36   65,536   ---------   C:\WINDOWS\system32\a3d.dll
2008-06-01 14:07 . 2005-06-22 10:11   23,552   --a------   C:\WINDOWS\system32\PostProc.dll
2008-06-01 13:20 . 2008-06-01 13:40   139,264   --a------   C:\WINDOWS\War3Unin.exe
2008-06-01 13:20 . 2008-06-01 13:48   51,960   --a------   C:\WINDOWS\War3Unin.dat
2008-06-01 13:20 . 2008-06-01 13:40   2,829   --a------   C:\WINDOWS\War3Unin.pif
2008-06-01 12:59 . 2008-06-01 14:13   <DIR>   d--------   C:\Teamspeak2_RC2
2008-06-01 12:59 . 2008-06-01 12:59   34,064   --a------   C:\WINDOWS\system32\lhacm.acm
2008-06-01 12:58 . 2008-06-01 12:58   <DIR>   d--------   C:\DAEMON Tools Lite
2008-06-01 12:52 . 2008-06-01 12:52   <DIR>   d--------   C:\Documents and Settings\ati\Dane aplikacji\DAEMON Tools
2008-06-01 12:52 . 2008-06-01 12:52   717,296   --a------   C:\WINDOWS\system32\drivers\sptd.sys
2008-06-01 11:04 . 2008-06-06 09:59   <DIR>   d--------   C:\SpeedFan
2008-06-01 11:04 . 2008-06-01 11:04   45   --a------   C:\WINDOWS\system32\initdebug.nfo
2008-05-31 14:47 . 2008-05-31 14:47   <DIR>   d--------   C:\DivX
2008-05-31 11:27 . 2008-05-31 11:27   <DIR>   d--------   C:\Documents and Settings\ati\WINDOWS
2008-05-30 14:53 . 2008-05-30 14:53   <DIR>   d--------   C:\CCleaner
2008-05-29 22:16 . 2006-12-10 23:32   348,160   --a------   C:\WINDOWS\system32\msvcr71.dll
2008-05-29 22:10 . 2008-05-29 22:10   <DIR>   d--------   C:\ALLPlayer
2008-05-29 21:10 . 2004-08-03 23:08   26,496   --a--c---   C:\WINDOWS\system32\dllcache\usbstor.sys
2008-05-28 22:33 . 2008-05-28 22:33   <DIR>   d--------   C:\Program Files\3DO
2008-05-28 22:30 . 1998-10-07 12:54   327,168   --a------   C:\WINDOWS\IsUn0415.exe
2008-05-28 16:56 . 2008-05-28 16:56   <DIR>   d--------   C:\WINDOWS\system32\Kaspersky Lab
2008-05-27 20:22 . 2008-06-06 13:27   <DIR>   d--------   C:\HijackThis
2008-05-26 22:44 . 2008-05-26 22:44   <DIR>   d--------   C:\Reader 8.0
2008-05-26 22:44 . 2008-05-26 22:44   <DIR>   d--------   C:\Program Files\Common Files\Adobe
2008-05-26 21:40 . 2008-05-26 21:40   <DIR>   d--------   C:\Documents and Settings\ati\Dane aplikacji\Gadu-Gadu
2008-05-26 21:20 . 2008-05-26 21:20   <DIR>   d--------   C:\Documents and Settings\NetworkService\Dane aplikacji\Xfire
2008-05-26 21:19 . 2008-06-06 00:02   <DIR>   d--------   C:\Documents and Settings\ati\Dane aplikacji\Xfire
2008-05-26 21:18 . 2008-06-06 12:08   <DIR>   d--------   C:\Xfire
2008-05-26 20:57 . 2008-06-03 21:28   <DIR>   d--------   C:\Gadu-Gadu
2008-05-26 20:57 . 2008-05-26 21:40   <DIR>   d--------   C:\Documents and Settings\ati\Gadu-Gadu
2008-05-26 20:37 . 2008-05-26 20:37   0   --a------   C:\WINDOWS\ativpsrm.bin
2008-05-26 20:35 . 2004-08-04 00:44   130,048   --a------   C:\WINDOWS\system32\ksproxy.ax
2008-05-26 20:35 . 2004-08-04 00:44   130,048   --a--c---   C:\WINDOWS\system32\dllcache\ksproxy.ax
2008-05-26 20:35 . 2004-08-03 23:08   60,288   --a------   C:\WINDOWS\system32\drivers\drmk.sys
2008-05-26 20:35 . 2004-08-03 23:08   60,288   --a--c---   C:\WINDOWS\system32\dllcache\drmk.sys
2008-05-26 20:35 . 2004-11-18 10:42   22,752   --a------   C:\WINDOWS\system32\spupdsvc.exe
2008-05-26 20:35 . 2004-08-04 00:44   4,096   --a------   C:\WINDOWS\system32\ksuser.dll
2008-05-26 20:35 . 2004-08-04 00:44   4,096   --a--c---   C:\WINDOWS\system32\dllcache\ksuser.dll
2008-05-26 20:34 . 2008-05-26 20:34   <DIR>   d--------   C:\WinRAR
2008-05-26 20:26 . 2008-05-12 10:49   593,920   ---------   C:\WINDOWS\system32\ati2sgag.exe
2008-05-26 20:25 . 2008-06-01 14:08   <DIR>   d--h-----   C:\Program Files\InstallShield Installation Information
2008-05-26 20:24 . 2008-06-02 22:44   <DIR>   d--------   C:\Program Files\Common Files\InstallShield
2008-05-26 20:24 . 2008-05-26 20:24   <DIR>   d--------   C:\ATI
2008-05-26 20:18 . 2008-05-31 14:47   1,346   --a------   C:\WINDOWS\mozver.dat
2008-05-14 03:28 . 2008-05-14 03:28   41,296   --a------   C:\WINDOWS\system32\xfcodec.dll
2008-05-13 03:51 . 2008-05-13 03:51   1,044,480   --a------   C:\WINDOWS\system32\libdivx.dll
2008-05-13 03:51 . 2008-05-13 03:51   200,704   --a------   C:\WINDOWS\system32\ssldivx.dll
2008-05-12 18:30 . 2008-05-12 18:30   3,007,488   --a------   C:\WINDOWS\system32\drivers\ati2mtag.sys
2008-05-12 18:30 . 2008-05-12 18:30   3,007,488   --a--c---   C:\WINDOWS\system32\dllcache\ati2mtag.sys
2008-05-12 17:56 . 2008-05-12 17:56   397,312   --a------   C:\WINDOWS\system32\ATIDEMGX.dll
2008-05-12 17:54 . 2008-05-12 17:54   305,152   --a--c---   C:\WINDOWS\system32\dllcache\ati2dvag.dll
2008-05-12 17:54 . 2008-05-12 17:54   305,152   --a------   C:\WINDOWS\system32\ati2dvag.dll
2008-05-12 17:53 . 2008-05-12 17:53   307,200   --a------   C:\WINDOWS\system32\atiiiexx.dll
2008-05-12 17:45 . 2008-05-12 17:45   180,224   --a------   C:\WINDOWS\system32\atipdlxx.dll
2008-05-12 17:45 . 2008-05-12 17:45   139,264   --a------   C:\WINDOWS\system32\Oemdspif.dll
2008-05-12 17:45 . 2008-05-12 17:45   43,520   --a------   C:\WINDOWS\system32\ati2edxx.dll
2008-05-12 17:45 . 2008-05-12 17:45   26,112   --a------   C:\WINDOWS\system32\Ati2mdxx.exe
2008-05-12 17:44 . 2008-05-12 17:44   139,264   --a------   C:\WINDOWS\system32\ati2evxx.dll
2008-05-12 17:43 . 2008-05-12 17:43   10,153,984   --a------   C:\WINDOWS\system32\atioglx2.dll
2008-05-12 17:43 . 2008-05-12 17:43   540,672   --a------   C:\WINDOWS\system32\ati2evxx.exe
2008-05-12 17:41 . 2008-05-12 17:41   53,248   --a------   C:\WINDOWS\system32\ATIDDC.DLL
2008-05-12 17:32 . 2008-05-12 17:32   3,203,168   --a--c---   C:\WINDOWS\system32\dllcache\ati3duag.dll
2008-05-12 17:32 . 2008-05-12 17:32   3,203,168   --a------   C:\WINDOWS\system32\ati3duag.dll
2008-05-12 17:22 . 2008-05-12 17:22   3,107,788   --a------   C:\WINDOWS\system32\ativvaxx.dat
2008-05-12 17:22 . 2008-05-12 17:22   3,107,788   --a------   C:\WINDOWS\system32\ativva5x.dat
2008-05-12 17:22 . 2008-05-12 17:22   1,999,616   --a--c---   C:\WINDOWS\system32\dllcache\ativvaxx.dll
2008-05-12 17:22 . 2008-05-12 17:22   1,999,616   --a------   C:\WINDOWS\system32\ativvaxx.dll
2008-05-12 17:22 . 2008-05-12 17:22   887,724   --a------   C:\WINDOWS\system32\ativva6x.dat
2008-05-12 17:09 . 2008-05-12 17:09   47,104   --a------   C:\WINDOWS\system32\amdpcom32.dll
2008-05-12 17:05 . 2008-05-12 17:05   5,439,488   --a------   C:\WINDOWS\system32\atioglxx.dll
2008-05-12 17:05 . 2008-05-12 17:05   327,680   --a------   C:\WINDOWS\system32\atikvmag.dll
2008-05-12 17:03 . 2008-05-12 17:03   19,968   --a------   C:\WINDOWS\system32\atiadlxx.dll
2008-05-12 17:03 . 2008-05-12 17:03   17,408   --a------   C:\WINDOWS\system32\atitvo32.dll
2008-05-12 17:02 . 2008-05-12 17:02   241,664   --a------   C:\WINDOWS\system32\atiok3x2.dll
2008-05-12 17:02 . 2008-05-12 17:02   49,152   --a------   C:\WINDOWS\system32\drivers\ati2erec.dll
2008-05-12 16:57 . 2008-05-12 16:57   548,864   --a--c---   C:\WINDOWS\system32\dllcache\ati2cqag.dll
2008-05-12 16:57 . 2008-05-12 16:57   548,864   --a------   C:\WINDOWS\system32\ati2cqag.dll

.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-06 11:46   2,313,504   --sha-w   C:\WINDOWS\system32\drivers\fidbox.dat
2008-06-06 11:44   131,104   --sha-w   C:\WINDOWS\system32\drivers\fidbox2.dat
2008-06-06 11:43   36,188   --sha-w   C:\WINDOWS\system32\drivers\fidbox.idx
2008-06-06 11:43   14,360   --sha-w   C:\WINDOWS\system32\drivers\fidbox2.idx
2008-06-06 10:59   ---------   d-----w   C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab
2008-05-29 18:33   88,774   ----a-w   C:\WINDOWS\system32\drivers\klick.dat
2008-05-28 15:06   96,966   ----a-w   C:\WINDOWS\system32\drivers\klin.dat
2008-05-28 15:06   112,144   ----a-w   C:\WINDOWS\system32\drivers\kl1.sys
2008-05-26 17:36   ---------   d-----w   C:\Documents and Settings\ati\Dane aplikacji\Talkback
2008-05-26 16:36   ---------   d-----w   C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab Setup Files
2008-05-26 16:13   ---------   d-----w   C:\Program Files\microsoft frontpage
2008-05-26 16:08   ---------   d-----w   C:\Program Files\Usługi online
2004-08-08 10:05   520   --sh--w   C:\WINDOWS\system32\aoqnabib.sys
2004-08-08 10:05   520   --sh--w   C:\WINDOWS\system32\bcsxachu.sys
2004-08-03 22:44   9,216   --sha-w   C:\WINDOWS\system32\ethyg.dll
2004-08-08 10:07   520   --sh--w   C:\WINDOWS\system32\fassaplo.sys
2004-08-08 10:05   520   --sh--w   C:\WINDOWS\system32\fstlbsys.sys
2004-08-08 10:05   520   --sh--w   C:\WINDOWS\system32\fzptbjpg.sys
2004-08-03 22:44   32,024   --sh--w   C:\WINDOWS\system32\ghjkdr.dll
2004-08-03 22:44   9,216   --sha-w   C:\WINDOWS\system32\ghrst.dll
2004-08-08 10:05   520   --sh--w   C:\WINDOWS\system32\gpsgajba.sys
2004-08-08 10:05   520   --sh--w   C:\WINDOWS\system32\newxbttb.sys
2004-08-08 10:05   520   --sh--w   C:\WINDOWS\system32\rnmxajkl.sys
2004-08-08 10:05   520   --sh--w   C:\WINDOWS\system32\snfybbyt.sys
2004-08-08 10:07   520   --sh--w   C:\WINDOWS\system32\spwdbapi.sys
2004-08-08 10:05   520   --sh--w   C:\WINDOWS\system32\xsdjbbmp.sys
2004-08-08 10:05   520   --sh--w   C:\WINDOWS\system32\xzfhbjpg.sys
.

(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:44 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2005-01-07 17:07 61952 C:\WINDOWS\system32\HdAShCut.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 00:44 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.XFR1"= xfcodec.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=

R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-12-13 13:28]
S2 cdralw;NVIDIA Compatible Windows Miniport Driver;C:\WINDOWS\system32\DRIVERS\nvmini.sys []

.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-06 13:45:46
Windows 5.1.2600 Dodatek Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Completion time: 2008-06-06 13:52:12 - machine was rebooted
ComboFix-quarantined-files.txt  2008-06-06 11:52:04

Pre-Run: 6,813,835,264 bajtów wolnych
Post-Run: 6,773,952,512 bajt˘w wolnych

187