Regulamin forum
1. Każdy temat powinien odzwierciedlać treść wątku.2. W przypadku wklejania logów; należy je wykonać od razu przynajmniej z dwóch narzędzi: FRST oraz z GMER
3. Wszelkie logi proszę publikować na przeznaczonych do tego stronach a w poście wklejać tylko link.
4. Nie wskazane jest skracanie logów, należy wkleić cały - od początku, do końca.
5. Nie wskazane jest podczepianie się do tematów innych użytkowników - proszę założyć nowy temat w dziale Bezpieczeństwo, ułatwi to pomoc sprawdzającemu.
6. Osoby nie posiadające odpowiedniej wiedzy, nie powinny sprawdzać logów, ponieważ grozi to poważnym uszkodzeniem systemu lub aplikacji zainstalowanych na komputerze.
7. Należy dokładnie opisać problem, występujące objawy oraz wszelkie podjęte działania.
8. Każdy skrypt jest unikatowy, napisany dla każdego przypadku z osobna, więc nie może być stosowany przez innych.
9. W przypadku zamieszczenia zrzutu ekranu (screenshot'a) proszę korzystać z zewnętrznego serwisu oferującego hosting zdjęć.
Proszę o sprawdzenie loga
30 Lip 2007, 17:55
Chciałbym sie upewnić czy wszystko jest dobrze z pecetem
Logfile of HijackThis v1.99.1
Scan saved at 17:54:47, on 2007-07-30
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\downloaded program files\googletoolbar_pl_4.0.1601-big.dll
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O8 - Extra context menu item: Dodaj do blokowanych banerów - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\ie_banner_deny.htm
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://d:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Statystyki ochrony WWW - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - d:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O16 - DPF: {CAFEEFAC-0014-0000-0003-ABCDEFFEDCBA} (Java Runtime Environment 1.4.0_03) -
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\System32\klogon.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
Logfile of HijackThis v1.99.1
Scan saved at 17:54:47, on 2007-07-30
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\downloaded program files\googletoolbar_pl_4.0.1601-big.dll
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O8 - Extra context menu item: Dodaj do blokowanych banerów - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\ie_banner_deny.htm
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://d:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Statystyki ochrony WWW - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - d:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O16 - DPF: {CAFEEFAC-0014-0000-0003-ABCDEFFEDCBA} (Java Runtime Environment 1.4.0_03) -
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\System32\klogon.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
30 Lip 2007, 18:30
Czysto.
Pokaż log z Silent Runners i ComboFix.
Pokaż log z Silent Runners i ComboFix.
30 Lip 2007, 20:15
ComboFix 07-07-30.2 - "1" 2007-07-30 20:08:34.3 [GMT 2:00] - FAT32
Microsoft Windows XP Professional 5.1.2600.1.1250.1.1045.18.Prawda
((((((((((((((((((((((((( Files Created from 2007-06-28 to 2007-07-30 )))))))))))))))))))))))))))))))
2007-07-30 19:51 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-07-30 17:36 <DIR> d-------- C:\DOCUME~1\1\DANEAP~1\Apple Computer
2007-07-30 17:32 <DIR> d-------- C:\Program Files\Apple Software Update
2007-07-30 17:32 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\DANEAP~1\Apple Computer
2007-07-30 17:32 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\DANEAP~1\Apple
2007-07-23 11:28 2,855 --a------ C:\WINDOWS\system32\mem.PIF
2007-07-20 16:56 19,018 -ra------ C:\WINDOWS\system32\drivers\KS-959.sys
2007-07-18 09:31 69,120 --a------ C:\WINDOWS\system32\olecli32.dll
2007-07-18 09:31 34,304 --a------ C:\WINDOWS\system32\olecnv32.dll
2007-07-18 09:31 263,680 --a------ C:\WINDOWS\system32\rpcss.dll
2007-07-18 09:31 1,183,744 --a------ C:\WINDOWS\system32\ole32.dll
2007-07-10 11:38 <DIR> d-------- C:\Program Files\Lavalys
2007-07-07 21:39 <DIR> d-------- C:\KAV
2007-06-27 03:59 344,064 --a------ C:\WINDOWS\system32\ATIDEMGX.dll
2007-06-27 03:44 8,232,960 --a------ C:\WINDOWS\system32\atioglx2.dll
2007-06-27 03:17 266,240 --a------ C:\WINDOWS\system32\atikvmag.dll
2007-06-27 03:15 49,152 --a------ C:\WINDOWS\system32\drivers\ati2erec.dll
2007-06-27 03:14 176,128 --a------ C:\WINDOWS\system32\atiok3x2.dll
2007-06-25 14:52 1,028,608 --a------ C:\WINDOWS\system32\esent.dll
2007-06-24 00:43 <DIR> d--hs---- C:\FOUND.042
2007-06-23 20:53 <DIR> d--hs---- C:\FOUND.041
2007-06-23 10:35 2,815 --a------ C:\WINDOWS\unins000.dat
2007-06-22 20:47 <DIR> d--hs---- C:\FOUND.040
2007-06-21 14:47 <DIR> d-------- C:\WINDOWS\Prefetch
2007-06-21 13:52 31,104 --a------ C:\WINDOWS\system32\drivers\ShlDrv51.sys
2007-06-21 13:52 <DIR> d-------- C:\Program Files\Common Files\Panda Software
2007-06-20 08:23 271,224 --a------ C:\WINDOWS\system32\mucltui.dll
2007-06-18 12:13 <DIR> d-------- C:\DOCUME~1\1\Gadu-Gadu
2007-06-14 18:00 <DIR> d--hs---- C:\FOUND.039
2007-06-13 20:57 972,072 --a------ C:\WINDOWS\system32\ativva6x.dat
2007-06-13 20:57 3,107,788 --a------ C:\WINDOWS\system32\ativva5x.dat
2007-06-09 17:32 524,288 --ah----- C:\DOCUME~1\ADMINI~1\ntuser.dat
2007-06-09 17:32 <DIR> dr-h----- C:\DOCUME~1\ADMINI~1\Dane aplikacji
2007-06-09 17:32 <DIR> dr------- C:\DOCUME~1\ADMINI~1\Menu Start
2007-06-09 17:32 <DIR> d--h----- C:\DOCUME~1\ADMINI~1\Ustawienia lokalne
2007-06-09 17:32 <DIR> d--h----- C:\DOCUME~1\ADMINI~1\Szablony
2007-06-09 17:32 <DIR> d-------- C:\DOCUME~1\ADMINI~1\Ulubione
2007-06-09 17:32 <DIR> d-------- C:\DOCUME~1\ADMINI~1\Pulpit
2007-06-09 17:32 <DIR> d-------- C:\DOCUME~1\ADMINI~1\Moje dokumenty
2007-06-07 13:00 <DIR> d-------- C:\Program Files\Google
2007-06-07 00:06 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll
2007-06-06 22:53 <DIR> d-------- C:\WINDOWS\system32\SoftwareDistribution
2007-06-05 19:40 149,278 --a------ C:\WINDOWS\system32\atiicdxx.dat
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
2060-08-18 19:02 1496064 --------- C:\WINDOWS\system32\CC3250MT.DLL
2060-08-18 18:40 909824 --------- C:\WINDOWS\system32\cp3245mt.dll
2060-08-18 18:40 24064 --------- C:\WINDOWS\system32\borlndmm.dll
2007-07-30 18:37 3932 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx
2007-07-30 18:37 32540 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2007-07-30 18:37 30496 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2007-07-30 18:37 2801664 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2007-07-30 16:34 10 --a------ C:\WINDOWS\popcinfo.dat
2007-06-27 04:27 44240 --a------ C:\WINDOWS\system32\drivers\ativvpxx.vp
2007-06-26 15:41 98304 --a------ C:\WINDOWS\system32\CmdLineExt.dll
2007-06-08 09:02 3680 --a------ C:\WINDOWS\mozver.dat
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
*Note* empty entries & legit default entries are not shown
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVP"="C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" [2007-01-29 23:02]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"appinit_dlls"=C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^InterVideo WinCinema Manager.lnk]
path=C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\InterVideo WinCinema Manager.lnk
backup=C:\WINDOWS\pss\InterVideo WinCinema Manager.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDElbyCDFL]
"d:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray]
"d:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Device Detector]
"C:\Program Files\Common Files\ACD Systems\EN\DevDetect.exe" -autorun
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
"C:\Program Files\Messenger\MSMSGS.EXE" /background
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\WINDOWS\system32\NeroCheck.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"C:\Program Files\QuickTime\qttask.exe" -atboottime
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Smapp]
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
d:\Program Files\Winamp\winampa.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"PSIMSVC"=2 (0x2)
"wuauserv"=2 (0x2)
R0 prohlp02;StarForce Protection Helper Driver v2;C:\WINDOWS\System32\drivers\prohlp02.sys
R0 prosync1;StarForce Protection Synchronization Driver v1;C:\WINDOWS\System32\drivers\prosync1.sys
R0 sfhlp01;StarForce Protection Helper Driver;C:\WINDOWS\System32\drivers\sfhlp01.sys
R1 prodrv06;StarForce Protection Environment Driver v6;C:\WINDOWS\System32\drivers\prodrv06.sys
R1 SSHDRV76;SSHDRV76;\??\C:\WINDOWS\System32\drivers\SSHDRV76.sys
R1 SSHDRV79;SSHDRV79;\??\C:\WINDOWS\System32\drivers\SSHDRV79.sys
R2 ElbyCDIO;ElbyCDIO Driver;C:\WINDOWS\System32\Drivers\ElbyCDIO.sys
R2 GDTdiInterceptor;GDTdiInterceptor;\??\C:\WINDOWS\System32\drivers\GDTdiIcpt.sys
R2 SoundMAX Agent Service (default);SoundMAX Agent Service;C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
R3 adiusbaw;USB ADSL WAN Adapter;C:\WINDOWS\System32\DRIVERS\adiusbaw.sys
R3 ElbyCDFL;ElbyCDFL;C:\WINDOWS\System32\Drivers\ElbyCDFL.sys
S2 ADILOADER;General Purpose USB Driver (adildr.sys);C:\WINDOWS\System32\Drivers\adildr.sys
S3 adxapie;adxapie;\??\C:\DOCUME~1\1\USTAWI~1\Temp\adxapie.sys
S3 ASUSHWIO;ASUSHWIO;\??\C:\WINDOWS\System32\drivers\ASUSHWIO.sys
S3 dtscsi;dtscsi;C:\WINDOWS\System32\Drivers\dtscsi.sys
S3 EGATHDRV;IBM Access Support;\??\C:\WINDOWS\Downloaded Program Files\EGATHDRV.SYS
S3 FETNDIS;Sterownik NT karty VIA PCI 10/100Mb Fast Ethernet;C:\WINDOWS\System32\DRIVERS\fetnd5.sys
S3 FETNDISB;VIA Rhine Family Fast Ethernet Adapter Driver Service;C:\WINDOWS\System32\DRIVERS\fetnd5b.sys
S3 hidgame;WˆĄcznik Microsoft HID do portu joysticka;C:\WINDOWS\System32\DRIVERS\hidgame.sys
S3 Ip6FwHlp;Zapora poˆĄczenia internetowego IPv6;C:\WINDOWS\System32\svchost.exe -k netsvcs
S3 KS-959;Kingsun KS-959 USB Infrared Adapter;C:\WINDOWS\System32\DRIVERS\KS-959.sys
S3 MSIRCOMM;Microsoft IR Communications Driver;C:\WINDOWS\System32\DRIVERS\MSIRCOMM.sys
S3 NTSIM;NTSIM;\??\C:\WINDOWS\System32\ntsim.sys
Contents of the 'Scheduled Tasks' folder
2007-07-30 15:32:18 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job - C:\Program Files\Apple Software Update\SoftwareUpdate.exe
**************************************************************************
catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-07-30 20:11:19
Windows 5.1.2600 Dodatek Service Pack. 1 FAT NTAPI
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
Completion time: 2007-07-30 20:12:39
--- E O F ---
Microsoft Windows XP Professional 5.1.2600.1.1250.1.1045.18.Prawda
((((((((((((((((((((((((( Files Created from 2007-06-28 to 2007-07-30 )))))))))))))))))))))))))))))))
2007-07-30 19:51 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-07-30 17:36 <DIR> d-------- C:\DOCUME~1\1\DANEAP~1\Apple Computer
2007-07-30 17:32 <DIR> d-------- C:\Program Files\Apple Software Update
2007-07-30 17:32 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\DANEAP~1\Apple Computer
2007-07-30 17:32 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\DANEAP~1\Apple
2007-07-23 11:28 2,855 --a------ C:\WINDOWS\system32\mem.PIF
2007-07-20 16:56 19,018 -ra------ C:\WINDOWS\system32\drivers\KS-959.sys
2007-07-18 09:31 69,120 --a------ C:\WINDOWS\system32\olecli32.dll
2007-07-18 09:31 34,304 --a------ C:\WINDOWS\system32\olecnv32.dll
2007-07-18 09:31 263,680 --a------ C:\WINDOWS\system32\rpcss.dll
2007-07-18 09:31 1,183,744 --a------ C:\WINDOWS\system32\ole32.dll
2007-07-10 11:38 <DIR> d-------- C:\Program Files\Lavalys
2007-07-07 21:39 <DIR> d-------- C:\KAV
2007-06-27 03:59 344,064 --a------ C:\WINDOWS\system32\ATIDEMGX.dll
2007-06-27 03:44 8,232,960 --a------ C:\WINDOWS\system32\atioglx2.dll
2007-06-27 03:17 266,240 --a------ C:\WINDOWS\system32\atikvmag.dll
2007-06-27 03:15 49,152 --a------ C:\WINDOWS\system32\drivers\ati2erec.dll
2007-06-27 03:14 176,128 --a------ C:\WINDOWS\system32\atiok3x2.dll
2007-06-25 14:52 1,028,608 --a------ C:\WINDOWS\system32\esent.dll
2007-06-24 00:43 <DIR> d--hs---- C:\FOUND.042
2007-06-23 20:53 <DIR> d--hs---- C:\FOUND.041
2007-06-23 10:35 2,815 --a------ C:\WINDOWS\unins000.dat
2007-06-22 20:47 <DIR> d--hs---- C:\FOUND.040
2007-06-21 14:47 <DIR> d-------- C:\WINDOWS\Prefetch
2007-06-21 13:52 31,104 --a------ C:\WINDOWS\system32\drivers\ShlDrv51.sys
2007-06-21 13:52 <DIR> d-------- C:\Program Files\Common Files\Panda Software
2007-06-20 08:23 271,224 --a------ C:\WINDOWS\system32\mucltui.dll
2007-06-18 12:13 <DIR> d-------- C:\DOCUME~1\1\Gadu-Gadu
2007-06-14 18:00 <DIR> d--hs---- C:\FOUND.039
2007-06-13 20:57 972,072 --a------ C:\WINDOWS\system32\ativva6x.dat
2007-06-13 20:57 3,107,788 --a------ C:\WINDOWS\system32\ativva5x.dat
2007-06-09 17:32 524,288 --ah----- C:\DOCUME~1\ADMINI~1\ntuser.dat
2007-06-09 17:32 <DIR> dr-h----- C:\DOCUME~1\ADMINI~1\Dane aplikacji
2007-06-09 17:32 <DIR> dr------- C:\DOCUME~1\ADMINI~1\Menu Start
2007-06-09 17:32 <DIR> d--h----- C:\DOCUME~1\ADMINI~1\Ustawienia lokalne
2007-06-09 17:32 <DIR> d--h----- C:\DOCUME~1\ADMINI~1\Szablony
2007-06-09 17:32 <DIR> d-------- C:\DOCUME~1\ADMINI~1\Ulubione
2007-06-09 17:32 <DIR> d-------- C:\DOCUME~1\ADMINI~1\Pulpit
2007-06-09 17:32 <DIR> d-------- C:\DOCUME~1\ADMINI~1\Moje dokumenty
2007-06-07 13:00 <DIR> d-------- C:\Program Files\Google
2007-06-07 00:06 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll
2007-06-06 22:53 <DIR> d-------- C:\WINDOWS\system32\SoftwareDistribution
2007-06-05 19:40 149,278 --a------ C:\WINDOWS\system32\atiicdxx.dat
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
2060-08-18 19:02 1496064 --------- C:\WINDOWS\system32\CC3250MT.DLL
2060-08-18 18:40 909824 --------- C:\WINDOWS\system32\cp3245mt.dll
2060-08-18 18:40 24064 --------- C:\WINDOWS\system32\borlndmm.dll
2007-07-30 18:37 3932 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx
2007-07-30 18:37 32540 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2007-07-30 18:37 30496 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2007-07-30 18:37 2801664 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2007-07-30 16:34 10 --a------ C:\WINDOWS\popcinfo.dat
2007-06-27 04:27 44240 --a------ C:\WINDOWS\system32\drivers\ativvpxx.vp
2007-06-26 15:41 98304 --a------ C:\WINDOWS\system32\CmdLineExt.dll
2007-06-08 09:02 3680 --a------ C:\WINDOWS\mozver.dat
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
*Note* empty entries & legit default entries are not shown
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVP"="C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" [2007-01-29 23:02]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"appinit_dlls"=C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^InterVideo WinCinema Manager.lnk]
path=C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\InterVideo WinCinema Manager.lnk
backup=C:\WINDOWS\pss\InterVideo WinCinema Manager.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDElbyCDFL]
"d:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray]
"d:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Device Detector]
"C:\Program Files\Common Files\ACD Systems\EN\DevDetect.exe" -autorun
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
"C:\Program Files\Messenger\MSMSGS.EXE" /background
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\WINDOWS\system32\NeroCheck.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"C:\Program Files\QuickTime\qttask.exe" -atboottime
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Smapp]
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
d:\Program Files\Winamp\winampa.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"PSIMSVC"=2 (0x2)
"wuauserv"=2 (0x2)
R0 prohlp02;StarForce Protection Helper Driver v2;C:\WINDOWS\System32\drivers\prohlp02.sys
R0 prosync1;StarForce Protection Synchronization Driver v1;C:\WINDOWS\System32\drivers\prosync1.sys
R0 sfhlp01;StarForce Protection Helper Driver;C:\WINDOWS\System32\drivers\sfhlp01.sys
R1 prodrv06;StarForce Protection Environment Driver v6;C:\WINDOWS\System32\drivers\prodrv06.sys
R1 SSHDRV76;SSHDRV76;\??\C:\WINDOWS\System32\drivers\SSHDRV76.sys
R1 SSHDRV79;SSHDRV79;\??\C:\WINDOWS\System32\drivers\SSHDRV79.sys
R2 ElbyCDIO;ElbyCDIO Driver;C:\WINDOWS\System32\Drivers\ElbyCDIO.sys
R2 GDTdiInterceptor;GDTdiInterceptor;\??\C:\WINDOWS\System32\drivers\GDTdiIcpt.sys
R2 SoundMAX Agent Service (default);SoundMAX Agent Service;C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
R3 adiusbaw;USB ADSL WAN Adapter;C:\WINDOWS\System32\DRIVERS\adiusbaw.sys
R3 ElbyCDFL;ElbyCDFL;C:\WINDOWS\System32\Drivers\ElbyCDFL.sys
S2 ADILOADER;General Purpose USB Driver (adildr.sys);C:\WINDOWS\System32\Drivers\adildr.sys
S3 adxapie;adxapie;\??\C:\DOCUME~1\1\USTAWI~1\Temp\adxapie.sys
S3 ASUSHWIO;ASUSHWIO;\??\C:\WINDOWS\System32\drivers\ASUSHWIO.sys
S3 dtscsi;dtscsi;C:\WINDOWS\System32\Drivers\dtscsi.sys
S3 EGATHDRV;IBM Access Support;\??\C:\WINDOWS\Downloaded Program Files\EGATHDRV.SYS
S3 FETNDIS;Sterownik NT karty VIA PCI 10/100Mb Fast Ethernet;C:\WINDOWS\System32\DRIVERS\fetnd5.sys
S3 FETNDISB;VIA Rhine Family Fast Ethernet Adapter Driver Service;C:\WINDOWS\System32\DRIVERS\fetnd5b.sys
S3 hidgame;WˆĄcznik Microsoft HID do portu joysticka;C:\WINDOWS\System32\DRIVERS\hidgame.sys
S3 Ip6FwHlp;Zapora poˆĄczenia internetowego IPv6;C:\WINDOWS\System32\svchost.exe -k netsvcs
S3 KS-959;Kingsun KS-959 USB Infrared Adapter;C:\WINDOWS\System32\DRIVERS\KS-959.sys
S3 MSIRCOMM;Microsoft IR Communications Driver;C:\WINDOWS\System32\DRIVERS\MSIRCOMM.sys
S3 NTSIM;NTSIM;\??\C:\WINDOWS\System32\ntsim.sys
Contents of the 'Scheduled Tasks' folder
2007-07-30 15:32:18 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job - C:\Program Files\Apple Software Update\SoftwareUpdate.exe
**************************************************************************
catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-07-30 20:11:19
Windows 5.1.2600 Dodatek Service Pack. 1 FAT NTAPI
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
Completion time: 2007-07-30 20:12:39
--- E O F ---
30 Lip 2007, 21:27
Czysto 
Pokaż jeszcze tylko log z Silent Runners.
Pokaż jeszcze tylko log z Silent Runners.
30 Lip 2007, 21:35
Hej slake pojawiły mi się dwie nazwy usług: Usługa znajdowania numeru seryjnego multimediów przenośnych. Jedna należy pod svchost a druga jest zupełnie pusta. Jak ja usunąć??
30 Lip 2007, 22:17
Usługa znajdowania numeru seryjnego multimediów przenośnych- odczytuje numery seryjne kart pamięci i samych odtwarzaczy plików multimedialnych.
Niepotrzebne usługi można usunąć na dwa sposoby:
Start-> Uruchom-> wpisz services.msc-> kliknij prawym przyciskiem myszy na wybraną usługę-> Właściwości-> w polu Typ uruchomienia zaznacz Wyłączony.
Druga metoda to:
Start-> Uruchom-> wpisz cmd-> wpisz poniższe komendy i każdą z nich zatwierdź Enter'em:
Niepotrzebne usługi można usunąć na dwa sposoby:
Start-> Uruchom-> wpisz services.msc-> kliknij prawym przyciskiem myszy na wybraną usługę-> Właściwości-> w polu Typ uruchomienia zaznacz Wyłączony.
Druga metoda to:
Start-> Uruchom-> wpisz cmd-> wpisz poniższe komendy i każdą z nich zatwierdź Enter'em:
sc stop "nazwa_usługi"
sc delete "nazwa usługi"
01 Sie 2007, 10:54
Dobra dzięki za wszystko!! Niestety ComboFix troszkę mi namieszał i pozmieniał nazwy niektórych usług na angielskie. No trudno, dzięki za sprawdzenie logów. Nie chce mi sie sprawdzać Silentem, może później.
Teraz wyskakuje mi taki błąd w dzienniku zdarzeń:
Nie można uruchomić usługi Usługa numeru seryjnego multimediów przenośnych z powodu następującego błędu:
Program wykonywalny, w którym ta usługa (zgodnie z jej konfiguracją) ma być uruchomiona, nie implementuje usługi.
IDENTYFIKATOR ZDARZENIA: 7000
Ja wyłączyłem tą usługę i nie ma komunikatów, ale wolałbym zeby działała tak jak dwa dni temu!
Teraz wyskakuje mi taki błąd w dzienniku zdarzeń:
Nie można uruchomić usługi Usługa numeru seryjnego multimediów przenośnych z powodu następującego błędu:
Program wykonywalny, w którym ta usługa (zgodnie z jej konfiguracją) ma być uruchomiona, nie implementuje usługi.
IDENTYFIKATOR ZDARZENIA: 7000
Ja wyłączyłem tą usługę i nie ma komunikatów, ale wolałbym zeby działała tak jak dwa dni temu!
01 Sie 2007, 17:39
Czy problem występuje na koncie administratora bądź z uprawnieniami administratorskimi?
01 Sie 2007, 21:31
Na koncie admina.
01 Sie 2007, 21:50
Nie wiem czy pomoże:
Start-> Uruchom-> wpisz regsvr32 vbscript.dll i wciśnij Enter.
Następnie: Start->Uruchom-> wpisz regsvr32 jscript.dll.
Start-> Uruchom-> wpisz regsvr32 vbscript.dll i wciśnij Enter.
Następnie: Start->Uruchom-> wpisz regsvr32 jscript.dll.
02 Sie 2007, 11:39
Nie pomogło
02 Sie 2007, 12:40
Próbowałeś ponownie włączyć wyłączoną usługę?
02 Sie 2007, 12:48
Tak, próbowałem nawet kilka razy
04 Sie 2007, 00:35
Wszystko OK zainstalowałem SP2 i wszytko działa lepiej niz przed tem!! Wielkie dzieki slake za fatygę i pomoc 
POZDRO
POZDRO