Regulamin forum
1. Każdy temat powinien odzwierciedlać treść wątku.2. W przypadku wklejania logów; należy je wykonać od razu przynajmniej z dwóch narzędzi: FRST oraz z GMER
3. Wszelkie logi proszę publikować na przeznaczonych do tego stronach a w poście wklejać tylko link.
4. Nie wskazane jest skracanie logów, należy wkleić cały - od początku, do końca.
5. Nie wskazane jest podczepianie się do tematów innych użytkowników - proszę założyć nowy temat w dziale Bezpieczeństwo, ułatwi to pomoc sprawdzającemu.
6. Osoby nie posiadające odpowiedniej wiedzy, nie powinny sprawdzać logów, ponieważ grozi to poważnym uszkodzeniem systemu lub aplikacji zainstalowanych na komputerze.
7. Należy dokładnie opisać problem, występujące objawy oraz wszelkie podjęte działania.
8. Każdy skrypt jest unikatowy, napisany dla każdego przypadku z osobna, więc nie może być stosowany przez innych.
9. W przypadku zamieszczenia zrzutu ekranu (screenshot'a) proszę korzystać z zewnętrznego serwisu oferującego hosting zdjęć.
Prośba o sprawdzenie loga- Trojan.Win32.Agent.vkw
20 Lip 2008, 23:07
Witam.
Prośba o sprawdzenie loga- mam ww śmiecia, a kto wie co jeszcze:
i
Z góry dziękuję za wszelką pomoc. Pozdrawiam. Wlos;)
Prośba o sprawdzenie loga- mam ww śmiecia, a kto wie co jeszcze:
- Kod:
ComboFix 08-07-20.2 - użytkownik 2008-07-20 22:40:36.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1250.1.1045.18.2454 [GMT 2:00]
Running from: C:\Instalki\ComboFix.exe
* Created a new restore point
* Resident AV is active
[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b][/color]
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\autorun.inf
C:\explore.exe
C:\WINDOWS\system\mmtaskclean.log
C:\WINDOWS\system\svchost.exe
C:\WINDOWS\system\win32in.dll
C:\WINDOWS\system\win32out.dll
C:\WINDOWS\system32\explorxp.exe
C:\WINDOWS\system32\Panel sterowania.{21EC2020-3AEA-1069-A2DD-08002B30309D}
C:\WINDOWS\system32\Panel sterowania.{21EC2020-3AEA-1069-A2DD-08002B30309D}\winlogon.dll
C:\WINDOWS\system32\settings.dll
C:\WINDOWS\system32\uninstall.exe
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_CREATEPROCESS
-------\Service_CreateProcess
((((((((((((((((((((((((( Files Created from 2008-06-20 to 2008-07-20 )))))))))))))))))))))))))))))))
.
2008-07-15 17:51 . 2008-07-15 17:51 <DIR> d-------- C:\Program Files\Easy Video Joiner
2008-07-14 18:23 . 2008-07-14 18:23 <DIR> d-------- C:\Program Files\WinAVIVideoConverter
2008-07-14 18:11 . 2008-07-15 18:16 <DIR> d-------- C:\Nowy folder
2008-07-03 23:58 . 2008-07-03 23:58 <DIR> d-------- C:\Orion
2008-07-03 23:58 . 2008-07-03 23:58 106,496 --a------ C:\WINDOWS\system32\WMPBTRemote.dll
2008-06-29 20:27 . 2008-06-29 20:27 <DIR> d--h----- C:\WINDOWS\PIF
2008-06-29 10:24 . 2008-06-29 10:24 <DIR> d-------- C:\Program Files\Real Alternative
2008-06-29 10:24 . 2003-03-19 05:14 499,712 --a------ C:\WINDOWS\system32\msvcp71.dll
2008-06-29 09:10 . 2008-06-29 09:10 <DIR> d-------- C:\Program Files\MoorHunt 5.03
2008-06-22 20:35 . 2008-07-15 17:55 38 --a------ C:\WINDOWS\avisplitter.INI
2008-06-22 17:34 . 2008-06-22 17:34 <DIR> d-------- C:\Program Files\id Software
2008-06-22 17:32 . 2008-06-22 17:32 <DIR> d--hs---- C:\WINDOWS\ftpcache
2008-06-21 22:31 . 2008-06-21 22:31 98,304 --a------ C:\WINDOWS\system32\CmdLineExt.dll
2008-06-21 22:22 . 2006-10-18 12:01 313,951,298 --a------ C:\fear_update_pl_100-107_108.exe
2008-06-21 21:41 . 2008-06-21 21:41 <DIR> d-------- C:\Program Files\Sierra
2008-06-21 20:34 . 2008-06-21 20:42 <DIR> d-------- C:\WINDOWS\NV12763616.TMP
2008-06-21 20:34 . 2008-04-13 15:20 425,984 --a------ C:\WINDOWS\system32\keystone.exe
2008-06-21 20:34 . 2008-04-13 15:20 290,816 --a------ C:\WINDOWS\system32\nvwrsth.dll
2008-06-21 20:34 . 2008-04-13 15:20 253,952 --a------ C:\WINDOWS\system32\nvrsth.dll
2008-06-21 20:34 . 2008-04-13 15:20 147,456 --a------ C:\WINDOWS\system32\nvcolor.exe
2008-06-21 20:34 . 2008-04-13 15:20 45,056 --a------ C:\WINDOWS\system32\nvmccsrs.dll
2008-06-21 20:30 . 2008-04-13 15:20 1,126,400 --a------ C:\WINDOWS\system32\nvcuda.dll
2008-06-21 20:30 . 2008-04-13 15:20 286,720 --a------ C:\WINDOWS\system32\nvnt4cpl.dll
2008-06-21 20:30 . 2008-04-13 15:20 229,376 --a------ C:\WINDOWS\system32\nvmccs.dll
2008-06-21 20:29 . 2008-06-21 20:30 <DIR> d-------- C:\Nvidia
2008-06-20 19:48 . 2008-06-20 19:48 246,784 -----c--- C:\WINDOWS\system32\dllcache\mswsock.dll
2008-06-20 19:48 . 2008-06-20 19:48 147,968 -----c--- C:\WINDOWS\system32\dllcache\dnsapi.dll
2008-06-20 13:51 . 2008-06-20 13:51 361,600 -----c--- C:\WINDOWS\system32\dllcache\tcpip.sys
2008-06-20 13:40 . 2008-06-20 13:40 138,496 -----c--- C:\WINDOWS\system32\dllcache\afd.sys
2008-06-20 13:08 . 2008-06-20 13:08 225,856 -----c--- C:\WINDOWS\system32\dllcache\tcpip6.sys
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-20 20:53 7,951,136 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-07-20 20:52 387,616 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat
2008-07-20 20:51 37,364 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx
2008-07-20 20:51 107,252 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-07-20 19:37 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab
2008-07-13 19:48 --------- d-----w C:\Program Files\Java
2008-07-10 19:04 --------- d-----w C:\Program Files\Common Files\Adobe
2008-06-29 18:29 --------- d-----w C:\Program Files\MoorHunt
2008-06-22 15:42 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-06-20 17:48 246,784 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-06-20 11:51 361,600 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 11:40 138,496 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 11:08 225,856 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-17 20:18 --------- d-----w C:\Program Files\Trust
2008-06-14 17:36 273,024 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-06-03 19:11 --------- d-----w C:\Program Files\Wireless Console 2
2008-06-01 16:59 --------- d-----w C:\Program Files\Bluetooth Remote Control
2008-06-01 12:31 --------- d-----w C:\Program Files\z2 Remote2PC
2008-06-01 12:13 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\z2 Remote2PC
2008-06-01 11:49 --------- d-----w C:\Program Files\Toshiba
2008-06-01 11:43 --------- d-----w C:\Program Files\ASUS
2008-06-01 08:51 --------- d-----w C:\Program Files\Reference Assemblies
2008-06-01 08:51 --------- d-----w C:\Program Files\MSBuild
2008-06-01 06:33 --------- d-----w C:\Program Files\Microsoft ActiveSync
2008-06-01 06:02 20,747 ----a-w C:\WINDOWS\system32\drivers\AegisP.sys
2008-06-01 06:02 --------- d-----w C:\Program Files\RALINK
2008-05-29 19:39 88,774 ----a-w C:\WINDOWS\system32\drivers\klick.dat
2008-05-28 19:13 96,966 ----a-w C:\WINDOWS\system32\drivers\klin.dat
2008-05-28 19:13 112,144 ----a-w C:\WINDOWS\system32\drivers\kl1.sys
2008-05-26 10:45 --------- d-----w C:\Program Files\Wirtualna Polska
2008-05-25 19:33 --------- d-----w C:\Program Files\Doom 3
2008-05-25 19:09 --------- d-----w C:\Program Files\Common Files\InstallShield
2008-05-25 18:52 --------- d-----w C:\Program Files\Ganymede
2008-05-25 18:51 --------- d-----w C:\Program Files\GIMP-2.0
2008-05-25 18:49 --------- d-----w C:\Program Files\NAPI-PROJEKT
2008-05-25 18:34 --------- d-----w C:\Program Files\Peer2Mail
2008-05-25 18:22 --------- d-----w C:\Program Files\DVD Shrink
2008-05-25 18:22 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\DVD Shrink
2008-05-25 18:21 --------- d-----w C:\Program Files\DVD Decrypter
2008-05-25 18:02 --------- d-----w C:\Program Files\OpenOffice.ux.pl 2.4.0
2008-05-25 18:02 --------- d-----w C:\Program Files\Common Files\Java
2008-05-25 17:57 --------- d-----w C:\Program Files\Common Files\Ahead
2008-05-25 17:55 --------- d-----w C:\Program Files\Nero
2008-05-25 12:26 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\nView_Profiles
2008-05-23 20:54 --------- d-----w C:\Program Files\K-Lite Codec Pack
2008-05-23 20:45 --------- d-----w C:\Program Files\SubEdit-Player
2008-05-23 20:08 --------- d-----w C:\Program Files\Kaspersky Lab
2008-05-23 19:47 --------- d-----w C:\Program Files\Synaptics
2008-05-23 19:28 --------- d-----w C:\Program Files\Genesys PC Camera Device
2008-05-23 19:27 --------- d-----w C:\Program Files\Motorola
2008-05-23 19:25 --------- d-----w C:\Program Files\Realtek
2008-05-23 19:22 315,392 ----a-w C:\WINDOWS\HideWin.exe
2008-05-23 19:14 --------- d-----w C:\Program Files\Intel
2008-05-23 14:07 --------- d-----w C:\Program Files\microsoft frontpage
2008-05-23 14:06 --------- d-----w C:\Program Files\Usługi online
2008-05-09 10:56 90,112 ----a-w C:\WINDOWS\system32\wshext.dll
2008-05-09 10:56 430,080 ----a-w C:\WINDOWS\system32\vbscript.dll
2008-05-09 10:56 180,224 ----a-w C:\WINDOWS\system32\scrobj.dll
2008-05-09 10:56 172,032 ----a-w C:\WINDOWS\system32\scrrun.dll
2008-05-08 11:24 155,648 ----a-w C:\WINDOWS\system32\wscript.exe
2008-05-07 09:07 135,168 ----a-w C:\WINDOWS\system32\cscript.exe
2008-05-07 05:12 1,291,776 ----a-w C:\WINDOWS\system32\quartz.dll
2008-04-23 07:20 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2006-06-23 06:48 32,768 ----a-r C:\WINDOWS\inf\UpdateUSB.exe
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 22:51 15360]
"H/PC Connection Agent"="C:\Program Files\Microsoft ActiveSync\Wcescomm.exe" [2006-11-13 15:57 1289000]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2008-04-14 22:51 1695232]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HControl"="C:\WINDOWS\ATK0100\HControl.exe" [2006-10-14 11:37 110592]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2008-04-13 15:20 13529088]
"SMSERIAL"="C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe" [2007-01-29 12:22 638976]
"GenePccMon"="C:\Program Files\Genesys PC Camera Device\GenePccMon.exe" [2007-02-13 11:21 36864]
"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2006-05-25 14:02 786521]
"NeroFilterCheck"="C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe" [2006-01-12 16:40 155648]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 04:27 144784]
"Wireless Console 2"="C:\Program Files\Wireless Console 2\wcourier.exe" [2006-11-29 11:00 1011712]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2008-04-13 15:20 86016]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"nwiz"="nwiz.exe" [2008-04-13 15:20 1630208 C:\WINDOWS\system32\nwiz.exe]
"RTHDCPL"="RTHDCPL.EXE" [2007-03-08 10:21 16125952 C:\WINDOWS\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2006-05-16 12:04 2879488 C:\WINDOWS\SkyTel.exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 22:51 15360]
C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\
Bluetooth Manager.lnk - C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe [2006-05-16 11:42:52 1777664]
Ralink Wireless Utility.lnk - C:\Program Files\RALINK\Common\RaUI.exe [2008-06-01 08:04:19 593920]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.YV12"= yv12vfw.dll
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\Program Files\Microsoft ActiveSync\rapimgr.exe"= C:\Program Files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"C:\Program Files\Microsoft ActiveSync\wcescomm.exe"= C:\Program Files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"C:\Program Files\Microsoft ActiveSync\WCESMgr.exe"= C:\Program Files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"C:\\Program Files\\z2 Remote2PC\\R2PCServ.exe"=
"C:\\Program Files\\Sierra\\FEAR\\FEAR.exe"=
"C:\\Program Files\\Sierra\\FEAR\\FEARMP.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
R3 DCamUSBGene;USB2.0 2M PC Cam;C:\WINDOWS\system32\DRIVERS\usbgene.sys [2006-10-23 04:37]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-04-04 14:58]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9991b798-3fbf-11dd-bce1-001d6068f132}]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL explore.exe
.
.
------- Supplementary Scan -------
.
R0 -: HKCU-Main,Start Page = hxxp://www.wp.pl/
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-20 22:53:20
Windows 5.1.2600 Dodatek Service Pack 3 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\MICROS~2\rapimgr.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHSP.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
.
**************************************************************************
.
Completion time: 2008-07-20 22:56:18 - machine was rebooted
ComboFix-quarantined-files.txt 2008-07-20 20:56:13
Pre-Run: 140,784,250,880 bajtów wolnych
Post-Run: 141,497,372,672 bajt˘w wolnych
206 --- E O F --- 2008-07-09 19:36:26
i
- Kod:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:02:38, on 2008-07-20
Platform: Windows XP Dodatek SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\ATK0100\HControl.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
C:\Program Files\Genesys PC Camera Device\GenePccMon.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\Wireless Console 2\wcourier.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Microsoft ActiveSync\Wcescomm.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\PROGRA~1\MICROS~2\rapimgr.exe
C:\Program Files\RALINK\Common\RaUI.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Instalki\HiJackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [SMSERIAL] C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
O4 - HKLM\..\Run: [GenePccMon] C:\Program Files\Genesys PC Camera Device\GenePccMon.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [Wireless Console 2] C:\Program Files\Wireless Console 2\wcourier.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\Wcescomm.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Bluetooth Manager.lnk = ?
O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Program Files\RALINK\Common\RaUI.exe
O8 - Extra context menu item: Dodaj do blokowanych banerów - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Statystyki dla ochrony WWW - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra 'Tools' menuitem: Utwórz Ulubione dla urządzenia przenośnego... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: Kaspersky Internet Security Home Edition 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
--
End of file - 5960 bytes
Z góry dziękuję za wszelką pomoc. Pozdrawiam. Wlos;)
20 Lip 2008, 23:10
Log z hijacka czysty z groźnych rzeczy. Na sprawdzenie tego pierwszego czekaj do pojawienia się huberta.
Co do trojana - Kaspersky Ci nie chce go wywalić czy jak? Jak wykrył to powinien usunąć...
Co do trojana - Kaspersky Ci nie chce go wywalić czy jak? Jak wykrył to powinien usunąć...
20 Lip 2008, 23:24
Witam.
Dzięki za tak szybką odpowiedź.
Owszem, Kaspersky wykrywał i usuwał śmiecia, ale po restarcie problem wracał- widocznie była jakaś dodatkowa "instalka", którą (jak mi się wydaje) usunął Combofix:)
Jeszcze raz dziękuję. Pozdrawiam. Wlos.
Dzięki za tak szybką odpowiedź.
Owszem, Kaspersky wykrywał i usuwał śmiecia, ale po restarcie problem wracał- widocznie była jakaś dodatkowa "instalka", którą (jak mi się wydaje) usunął Combofix:)
Jeszcze raz dziękuję. Pozdrawiam. Wlos.
21 Lip 2008, 05:38
otwórz notatnik i wklej
Z menu Notatnika
Plik Zapisz jako Zmień rozszerzenie z .txt na wszystkie pliki zapisz pod nazwą Fix.reg
Uruchom ten plik, uruchom ponownie komputer
usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.
Przeczyść komputer Ccleanerem
Wykonaj optymalizację autostartu
Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja
Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum
lub
Dr.WEB CureIt!
Windows Registry Editor Version 5.00
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9991b798-3fbf-11dd-bce1-001d6068f132}]
Z menu Notatnika
Plik Zapisz jako Zmień rozszerzenie z .txt na wszystkie pliki zapisz pod nazwą Fix.reg
Uruchom ten plik, uruchom ponownie komputer
usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.
Przeczyść komputer Ccleanerem
Wykonaj optymalizację autostartu
Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja
Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum
lub
Dr.WEB CureIt!
21 Lip 2008, 21:18
Witam.
Oto raport ze skanu:
Jeszcze raz wielkie dzięki za pomoc.
Pozdrawaim. Wlos.
Oto raport ze skanu:
- Kod:
------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER REPORT
21 lipiec 2008 19:57:51
System operacyjny: Microsoft Windows XP Home Edition, Dodatek Service Pack 3 (Build 2600)
Kaspersky Online Scanner wersja: 5.0.98.0
Ostatnia aktualizacja Kaspersky Anti-Virus21/07/2008
Liczba wpisów w bazie danych Kaspersky Anti-Virus981105
-------------------------------------------------------------------------------
Ustawienia skanowania:
Skanowanie przy użyciu następujących baz danych: rozszerzone
Skanuj archiwa: tak
Skanuj pocztowe bazy danych: tak
Obszar skanowania - Mój komputer:
C:\
D:\
E:\
Statystyki skanowania:
Liczba skanowanych obiektów: 36162
Liczba wykrytych wirusów: 0
Liczba zainfekowanych obiektów: 0
Liczba podejrzanych obiektów: 0
Czas trwania skanowania: 00:36:25
Nazwa zainfekowanego obiektu / Nazwa wirusa / Ostatnie działanie
C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab\AVP7\Report\12ce_File_Monitoring_eventlog.rpt Object is locked pominięty
C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab\AVP7\Report\12d1_Web_Monitoring_eventlog.rpt Object is locked pominięty
C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab\AVP7\Report\12d3_AdBlocker_eventcritlog.rpt Object is locked pominięty
C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab\AVP7\Report\12d3_AdBlocker_eventlog.rpt Object is locked pominięty
C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab\AVP7\Report\detected.idx Object is locked pominięty
C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab\AVP7\Report\detected.rpt Object is locked pominięty
C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab\AVP7\Report\eventlog.rpt Object is locked pominięty
C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab\AVP7\Report\report.rpt Object is locked pominięty
C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked pominięty
C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked pominięty
C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked pominięty
C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty
C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty
C:\Documents and Settings\LocalService\Ustawienia lokalne\Historia\History.IE5\index.dat Object is locked pominięty
C:\Documents and Settings\LocalService\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat Object is locked pominięty
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked pominięty
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked pominięty
C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty
C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty
C:\Documents and Settings\użytkownik\Cookies\index.dat Object is locked pominięty
C:\Documents and Settings\użytkownik\Dane aplikacji\$_hpcst$.hpc Object is locked pominięty
C:\Documents and Settings\użytkownik\NTUSER.DAT Object is locked pominięty
C:\Documents and Settings\użytkownik\ntuser.dat.LOG Object is locked pominięty
C:\Documents and Settings\użytkownik\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty
C:\Documents and Settings\użytkownik\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty
C:\Documents and Settings\użytkownik\Ustawienia lokalne\Historia\History.IE5\index.dat Object is locked pominięty
C:\Documents and Settings\użytkownik\Ustawienia lokalne\Temp\Perflib_Perfdata_350.dat Object is locked pominięty
C:\Documents and Settings\użytkownik\Ustawienia lokalne\Temp\WCESLog.log Object is locked pominięty
C:\Documents and Settings\użytkownik\Ustawienia lokalne\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Object is locked pominięty
C:\Documents and Settings\użytkownik\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat Object is locked pominięty
C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked pominięty
C:\System Volume Information\_restore{79E59453-155A-4872-9947-B129C7EEF225}\RP76\change.log Object is locked pominięty
C:\WINDOWS\Debug\PASSWD.LOG Object is locked pominięty
C:\WINDOWS\SchedLgU.Txt Object is locked pominięty
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked pominięty
C:\WINDOWS\Sti_Trace.log Object is locked pominięty
C:\WINDOWS\system32\CatRoot2\edb.log Object is locked pominięty
C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked pominięty
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked pominięty
C:\WINDOWS\system32\config\default Object is locked pominięty
C:\WINDOWS\system32\config\default.LOG Object is locked pominięty
C:\WINDOWS\system32\config\Internet.evt Object is locked pominięty
C:\WINDOWS\system32\config\SAM Object is locked pominięty
C:\WINDOWS\system32\config\SAM.LOG Object is locked pominięty
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked pominięty
C:\WINDOWS\system32\config\SECURITY Object is locked pominięty
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked pominięty
C:\WINDOWS\system32\config\software Object is locked pominięty
C:\WINDOWS\system32\config\software.LOG Object is locked pominięty
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked pominięty
C:\WINDOWS\system32\config\system Object is locked pominięty
C:\WINDOWS\system32\config\system.LOG Object is locked pominięty
C:\WINDOWS\system32\drivers\fidbox.dat Object is locked pominięty
C:\WINDOWS\system32\drivers\fidbox.idx Object is locked pominięty
C:\WINDOWS\system32\drivers\fidbox2.dat Object is locked pominięty
C:\WINDOWS\system32\drivers\fidbox2.idx Object is locked pominięty
C:\WINDOWS\system32\h323log.txt Object is locked pominięty
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked pominięty
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked pominięty
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked pominięty
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked pominięty
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked pominięty
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked pominięty
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked pominięty
C:\WINDOWS\wiadebug.log Object is locked pominięty
C:\WINDOWS\wiaservc.log Object is locked pominięty
C:\WINDOWS\WindowsUpdate.log Object is locked pominięty
Proces skanowania został zakończony.
Jeszcze raz wielkie dzięki za pomoc.
Pozdrawaim. Wlos.
21 Lip 2008, 21:32
Czysto
Powinno być ok
Powinno być ok
22 Lip 2008, 09:10
Wielkie dzięki.
"+" oczywiście poleciał;)
Pozdrawiam.
Wlos.
"+" oczywiście poleciał;)
Pozdrawiam.
Wlos.