WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
ADS - explorer.exe: deleted 88 bytes in 2 streams.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\autorun.inf
C:\WINDOWS\system32\autorun.ini
C:\WINDOWS\system32\x64
D:\Autorun.inf
.
((((((((((((((((((((((((( Files Created from 2008-05-10 to 2008-06-10 )))))))))))))))))))))))))))))))
.
2008-05-22 19:13 . 2008-05-22 19:13 <DIR> d-------- C:\Program Files\PDFCreator Toolbar
2008-05-22 19:13 . 2008-05-22 19:13 <DIR> d-------- C:\Program Files\PDFCreator
2008-05-22 19:13 . 2004-03-09 00:00 662,288 --a------ C:\WINDOWS\system32\MSCOMCT2.OCX
2008-05-22 19:13 . 2008-05-22 19:13 253,116 --a------ C:\WINDOWS\PDFCreator_Toolbar_Uninstaller_8109.exe
2008-05-22 19:13 . 2005-10-15 12:32 196,608 --a------ C:\WINDOWS\system32\pdfcmnnt.dll
2008-05-22 19:13 . 1998-06-24 00:00 137,000 --a------ C:\WINDOWS\system32\MSMAPI32.OCX
2008-05-22 19:13 . 1998-07-06 00:00 23,552 --a------ C:\WINDOWS\system32\MSMPIDE.DLL
2008-05-22 19:13 . 2008-05-22 19:13 14,290 --a------ C:\Program Files\settings.dat
2008-05-20 09:29 . 2008-05-20 09:29 <DIR> d-------- C:\Program Files\Winamp Toolbar
2008-05-20 09:29 . 2008-05-20 09:29 <DIR> d-------- C:\Program Files\Winamp Remote
2008-05-20 09:29 . 2008-05-20 09:29 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\Winamp Toolbar
2008-05-20 09:29 . 2008-05-20 09:35 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\OrbNetworks
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-10 22:36 --------- d---a-w C:\Documents and Settings\All Users\Dane aplikacji\TEMP
2008-06-06 15:01 --------- d-----w C:\Program Files\DC++
2008-05-22 17:53 --------- d-----w C:\Program Files\SkanerOnline
2008-05-20 20:17 1,034,752 ----a-w C:\WINDOWS\explorer.exe
2008-05-20 07:35 --------- d-----w C:\Program Files\Winamp
2008-05-20 07:27 --------- d-----w C:\Documents and Settings\Paulina\Dane aplikacji\Winamp
2008-05-14 14:11 --------- d-----w C:\Program Files\Konnekt
2008-05-10 17:14 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\stamina
2008-05-10 17:13 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-05-09 21:00 --------- d-----w C:\Program Files\Launch Manager
2008-05-06 20:25 --------- d-----w C:\Program Files\illiminable
2008-04-26 19:34 --------- d-----w C:\Program Files\Gadu-Gadu
2008-04-26 11:28 --------- d-----w C:\Program Files\metin 2 !!!!!!!!!!!!!!!!!!!!!!!
2008-04-18 20:10 --------- d-----w C:\Program Files\SAGEM
2008-04-11 18:32 --------- d-----w C:\Program Files\Neostrada TP
2008-03-25 04:52 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll
2008-03-25 04:52 178,976 ----a-w C:\WINDOWS\system32\msjint40.dll
2008-03-20 08:09 1,845,504 ----a-w C:\WINDOWS\system32\win32k.sys
2008-01-20 15:37 14,365,520 -c--a-w C:\Program Files\avinstall.exe
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{25CEE8EC-5730-41bc-8B58-22DDC8AB8C20}]
2008-03-20 00:36 1267040 --a------ C:\Program Files\Winamp Toolbar\winamptb.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}"= "C:\Program Files\Winamp Toolbar\winamptb.dll" [2008-03-20 00:36 1267040]
[HKEY_CLASSES_ROOT\clsid\{ebf2ba02-9094-4c5a-858b-bb198f3d8de2}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand.1]
[HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}"= C:\Program Files\Winamp Toolbar\winamptb.dll [2008-03-20 00:36 1267040]
[HKEY_CLASSES_ROOT\clsid\{ebf2ba02-9094-4c5a-858b-bb198f3d8de2}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand.1]
[HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]
"EPSON Stylus DX4400 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICAE.exe" [2007-03-01 08:01 180736]
"Konnekt"="C:\Program Files\Konnekt\konnekt.exe" [2005-05-24 23:41 503808]
"Orb"="C:\Program Files\Winamp Remote\bin\OrbTray.exe" [2008-04-01 03:54 507904]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SkyTel"="SkyTel.EXE" [2006-05-16 18:04 2879488 C:\WINDOWS\SkyTel.exe]
"AzMixerSel"="C:\Program Files\Realtek\InstallShield\AzMixerSel.exe" [2005-12-21 15:02 53248]
"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2006-03-03 07:07 761946]
"WinampAgent"="C:\Program Files\Winamp\winampa.exe" [2008-04-01 20:49 36352]
"LManager"="C:\PROGRA~1\LAUNCH~1\LManager.exe" [2006-07-20 16:15 593920]
"Broadcom Wireless Manager UI"="C:\WINDOWS\system32\WLTRAY.exe" [2007-10-01 20:17 1236992]
"BroadcomWireless"="C:\Program Files\Broadcom\Wireless\Utility\WlanUtil.exe" [ ]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 15:00 79224]
"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2006-10-06 06:11 98304]
"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2006-10-06 06:13 114688]
"Persistence"="C:\WINDOWS\system32\igfxpers.exe" [2006-10-06 06:10 94208]
"RTHDCPL"="RTHDCPL.EXE" [2007-02-26 09:03 16125440 C:\WINDOWS\RTHDCPL.EXE]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 14:00 15360]
C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\
Adobe Reader Speed Launch.lnk - C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe [2006-10-23 02:48:00 40048]
Adobe Reader Synchronizer.lnk - C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe [2006-10-23 01:01:00 734872]
BTTray.lnk - C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe [2006-01-17 10:45:32 618557]
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Gadu-Gadu\\gg.exe"=
"C:\\Program Files\\Winamp Remote\\bin\\Orb.exe"=
"C:\\Program Files\\Winamp Remote\\bin\\OrbTray.exe"=
"C:\\Program Files\\Winamp Remote\\bin\\OrbStreamerClient.exe"=
S3 btwaudio;Urządzenie dźwiękowe Bluetooth;C:\WINDOWS\system32\drivers\btwaudio.sys [2006-11-06 11:37]
S3 btwavdt;Bluetooth AVDT;C:\WINDOWS\system32\drivers\btwavdt.sys [2006-11-06 09:13]
S3 ZDCndis5;ZDCndis5 Protocol Driver;C:\WINDOWS\system32\ZDCndis5.SYS []
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
\Shell\AutoRun\command - D:\awda2.exe
\Shell\explore\Command - D:\awda2.exe
\Shell\open\Command - D:\awda2.exe
*Newly Created Service* - CATCHME
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-11 00:39:06
Windows 5.1.2600 Dodatek Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
prosze o sprawdzenie loga
Regulamin forum
1. Każdy temat powinien odzwierciedlać treść wątku.
2. W przypadku wklejania logów; należy je wykonać od razu przynajmniej z dwóch narzędzi: FRST oraz z GMER
3. Wszelkie logi proszę publikować na przeznaczonych do tego stronach a w poście wklejać tylko link.
4. Nie wskazane jest skracanie logów, należy wkleić cały - od początku, do końca.
5. Nie wskazane jest podczepianie się do tematów innych użytkowników - proszę założyć nowy temat w dziale Bezpieczeństwo, ułatwi to pomoc sprawdzającemu.
6. Osoby nie posiadające odpowiedniej wiedzy, nie powinny sprawdzać logów, ponieważ grozi to poważnym uszkodzeniem systemu lub aplikacji zainstalowanych na komputerze.
7. Należy dokładnie opisać problem, występujące objawy oraz wszelkie podjęte działania.
8. Każdy skrypt jest unikatowy, napisany dla każdego przypadku z osobna, więc nie może być stosowany przez innych.
9. W przypadku zamieszczenia zrzutu ekranu (screenshot'a) proszę korzystać z zewnętrznego serwisu oferującego hosting zdjęć.
1. Każdy temat powinien odzwierciedlać treść wątku.
2. W przypadku wklejania logów; należy je wykonać od razu przynajmniej z dwóch narzędzi: FRST oraz z GMER
3. Wszelkie logi proszę publikować na przeznaczonych do tego stronach a w poście wklejać tylko link.
4. Nie wskazane jest skracanie logów, należy wkleić cały - od początku, do końca.
5. Nie wskazane jest podczepianie się do tematów innych użytkowników - proszę założyć nowy temat w dziale Bezpieczeństwo, ułatwi to pomoc sprawdzającemu.
6. Osoby nie posiadające odpowiedniej wiedzy, nie powinny sprawdzać logów, ponieważ grozi to poważnym uszkodzeniem systemu lub aplikacji zainstalowanych na komputerze.
7. Należy dokładnie opisać problem, występujące objawy oraz wszelkie podjęte działania.
8. Każdy skrypt jest unikatowy, napisany dla każdego przypadku z osobna, więc nie może być stosowany przez innych.
9. W przypadku zamieszczenia zrzutu ekranu (screenshot'a) proszę korzystać z zewnętrznego serwisu oferującego hosting zdjęć.
5 posty(ów)
• Strona 1 z 1
przez huber2t » 11 Cze 2008, 05:57
UA:
podłącz pendrive i wykonaj to:
Pobierz ComboFix, ale nie uruchamiaj
Wklej do notatnika:
Plik
zapisz jako CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu
Rozpocznie się usuwanie i powstanie log, daj ten log na forum.
Pobierz ComboFix, ale nie uruchamiaj
Wklej do notatnika:
- Kod: Zaznacz wszystko
File::
D:\awda2.exe
Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
Plik
zapisz jako CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu
Rozpocznie się usuwanie i powstanie log, daj ten log na forum.
-
huber2t - Zasłużony działacz forum
- Posty: 2798
- Dołączenie: 21 Mar 2008, 10:07
- Pochwały: 42
przez paulis_ka » 11 Cze 2008, 13:21
UA:
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
FILE ::
D:\awda2.exe
.
((((((((((((((((((((((((( Files Created from 2008-05-11 to 2008-06-11 )))))))))))))))))))))))))))))))
.
2008-05-22 19:13 . 2008-05-22 19:13 <DIR> d-------- C:\Program Files\PDFCreator Toolbar
2008-05-22 19:13 . 2008-05-22 19:13 <DIR> d-------- C:\Program Files\PDFCreator
2008-05-22 19:13 . 2004-03-09 00:00 662,288 --a------ C:\WINDOWS\system32\MSCOMCT2.OCX
2008-05-22 19:13 . 2008-05-22 19:13 253,116 --a------ C:\WINDOWS\PDFCreator_Toolbar_Uninstaller_8109.exe
2008-05-22 19:13 . 2005-10-15 12:32 196,608 --a------ C:\WINDOWS\system32\pdfcmnnt.dll
2008-05-22 19:13 . 1998-06-24 00:00 137,000 --a------ C:\WINDOWS\system32\MSMAPI32.OCX
2008-05-22 19:13 . 1998-07-06 00:00 23,552 --a------ C:\WINDOWS\system32\MSMPIDE.DLL
2008-05-22 19:13 . 2008-05-22 19:13 14,290 --a------ C:\Program Files\settings.dat
2008-05-20 09:29 . 2008-05-20 09:29 <DIR> d-------- C:\Program Files\Winamp Toolbar
2008-05-20 09:29 . 2008-05-20 09:29 <DIR> d-------- C:\Program Files\Winamp Remote
2008-05-20 09:29 . 2008-05-20 09:29 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\Winamp Toolbar
2008-05-20 09:29 . 2008-05-20 09:35 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\OrbNetworks
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-10 22:36 --------- d---a-w C:\Documents and Settings\All Users\Dane aplikacji\TEMP
2008-06-06 15:01 --------- d-----w C:\Program Files\DC++
2008-05-22 17:53 --------- d-----w C:\Program Files\SkanerOnline
2008-05-20 20:17 1,034,752 ----a-w C:\WINDOWS\explorer.exe
2008-05-20 07:35 --------- d-----w C:\Program Files\Winamp
2008-05-20 07:27 --------- d-----w C:\Documents and Settings\Paulina\Dane aplikacji\Winamp
2008-05-14 14:11 --------- d-----w C:\Program Files\Konnekt
2008-05-10 17:14 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\stamina
2008-05-10 17:13 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-05-09 21:00 --------- d-----w C:\Program Files\Launch Manager
2008-05-06 20:25 --------- d-----w C:\Program Files\illiminable
2008-04-26 19:34 --------- d-----w C:\Program Files\Gadu-Gadu
2008-04-26 11:28 --------- d-----w C:\Program Files\metin 2 !!!!!!!!!!!!!!!!!!!!!!!
2008-04-18 20:10 --------- d-----w C:\Program Files\SAGEM
2008-04-11 18:32 --------- d-----w C:\Program Files\Neostrada TP
2008-03-25 04:52 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll
2008-03-25 04:52 178,976 ----a-w C:\WINDOWS\system32\msjint40.dll
2008-03-20 08:09 1,845,504 ----a-w C:\WINDOWS\system32\win32k.sys
2008-01-20 15:37 14,365,520 -c--a-w C:\Program Files\avinstall.exe
.
((((((((((((((((((((((((((((( snapshot@2008-06-11_ 0.39.37,28 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-06-10 20:31:39 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-06-11 08:44:05 2,048 --s-a-w C:\WINDOWS\bootstat.dat
- 2008-06-10 20:36:24 60,958 ----a-w C:\WINDOWS\system32\perfc009.dat
+ 2008-06-11 08:49:50 60,958 ----a-w C:\WINDOWS\system32\perfc009.dat
- 2008-06-10 20:36:24 77,882 ----a-w C:\WINDOWS\system32\perfc015.dat
+ 2008-06-11 08:49:50 77,882 ----a-w C:\WINDOWS\system32\perfc015.dat
- 2008-06-10 20:36:24 400,798 ----a-w C:\WINDOWS\system32\perfh009.dat
+ 2008-06-11 08:49:50 400,798 ----a-w C:\WINDOWS\system32\perfh009.dat
- 2008-06-10 20:36:24 457,976 ----a-w C:\WINDOWS\system32\perfh015.dat
+ 2008-06-11 08:49:50 457,976 ----a-w C:\WINDOWS\system32\perfh015.dat
+ 2008-06-11 08:44:17 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_7d0.dat
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{25CEE8EC-5730-41bc-8B58-22DDC8AB8C20}]
2008-03-20 00:36 1267040 --a------ C:\Program Files\Winamp Toolbar\winamptb.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}"= "C:\Program Files\Winamp Toolbar\winamptb.dll" [2008-03-20 00:36 1267040]
[HKEY_CLASSES_ROOT\clsid\{ebf2ba02-9094-4c5a-858b-bb198f3d8de2}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand.1]
[HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}"= C:\Program Files\Winamp Toolbar\winamptb.dll [2008-03-20 00:36 1267040]
[HKEY_CLASSES_ROOT\clsid\{ebf2ba02-9094-4c5a-858b-bb198f3d8de2}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand.1]
[HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]
"EPSON Stylus DX4400 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICAE.exe" [2007-03-01 08:01 180736]
"Konnekt"="C:\Program Files\Konnekt\konnekt.exe" [2005-05-24 23:41 503808]
"Orb"="C:\Program Files\Winamp Remote\bin\OrbTray.exe" [2008-04-01 03:54 507904]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SkyTel"="SkyTel.EXE" [2006-05-16 18:04 2879488 C:\WINDOWS\SkyTel.exe]
"AzMixerSel"="C:\Program Files\Realtek\InstallShield\AzMixerSel.exe" [2005-12-21 15:02 53248]
"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2006-03-03 07:07 761946]
"WinampAgent"="C:\Program Files\Winamp\winampa.exe" [2008-04-01 20:49 36352]
"LManager"="C:\PROGRA~1\LAUNCH~1\LManager.exe" [2006-07-20 16:15 593920]
"Broadcom Wireless Manager UI"="C:\WINDOWS\system32\WLTRAY.exe" [2007-10-01 20:17 1236992]
"BroadcomWireless"="C:\Program Files\Broadcom\Wireless\Utility\WlanUtil.exe" [ ]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 15:00 79224]
"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2006-10-06 06:11 98304]
"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2006-10-06 06:13 114688]
"Persistence"="C:\WINDOWS\system32\igfxpers.exe" [2006-10-06 06:10 94208]
"RTHDCPL"="RTHDCPL.EXE" [2007-02-26 09:03 16125440 C:\WINDOWS\RTHDCPL.EXE]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 14:00 15360]
C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\
Adobe Reader Speed Launch.lnk - C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe [2006-10-23 02:48:00 40048]
Adobe Reader Synchronizer.lnk - C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe [2006-10-23 01:01:00 734872]
BTTray.lnk - C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe [2006-01-17 10:45:32 618557]
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Gadu-Gadu\\gg.exe"=
"C:\\Program Files\\Winamp Remote\\bin\\Orb.exe"=
"C:\\Program Files\\Winamp Remote\\bin\\OrbTray.exe"=
"C:\\Program Files\\Winamp Remote\\bin\\OrbStreamerClient.exe"=
S3 btwaudio;Urządzenie dźwiękowe Bluetooth;C:\WINDOWS\system32\drivers\btwaudio.sys [2006-11-06 11:37]
S3 btwavdt;Bluetooth AVDT;C:\WINDOWS\system32\drivers\btwavdt.sys [2006-11-06 09:13]
S3 ZDCndis5;ZDCndis5 Protocol Driver;C:\WINDOWS\system32\ZDCndis5.SYS []
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-11 11:50:24
Windows 5.1.2600 Dodatek Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
Completion time: 2008-06-11 11:51:06
ComboFix-quarantined-files.txt 2008-06-11 09:51:02
ComboFix2.txt 2008-06-10 22:39:51
FILE ::
D:\awda2.exe
.
((((((((((((((((((((((((( Files Created from 2008-05-11 to 2008-06-11 )))))))))))))))))))))))))))))))
.
2008-05-22 19:13 . 2008-05-22 19:13 <DIR> d-------- C:\Program Files\PDFCreator Toolbar
2008-05-22 19:13 . 2008-05-22 19:13 <DIR> d-------- C:\Program Files\PDFCreator
2008-05-22 19:13 . 2004-03-09 00:00 662,288 --a------ C:\WINDOWS\system32\MSCOMCT2.OCX
2008-05-22 19:13 . 2008-05-22 19:13 253,116 --a------ C:\WINDOWS\PDFCreator_Toolbar_Uninstaller_8109.exe
2008-05-22 19:13 . 2005-10-15 12:32 196,608 --a------ C:\WINDOWS\system32\pdfcmnnt.dll
2008-05-22 19:13 . 1998-06-24 00:00 137,000 --a------ C:\WINDOWS\system32\MSMAPI32.OCX
2008-05-22 19:13 . 1998-07-06 00:00 23,552 --a------ C:\WINDOWS\system32\MSMPIDE.DLL
2008-05-22 19:13 . 2008-05-22 19:13 14,290 --a------ C:\Program Files\settings.dat
2008-05-20 09:29 . 2008-05-20 09:29 <DIR> d-------- C:\Program Files\Winamp Toolbar
2008-05-20 09:29 . 2008-05-20 09:29 <DIR> d-------- C:\Program Files\Winamp Remote
2008-05-20 09:29 . 2008-05-20 09:29 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\Winamp Toolbar
2008-05-20 09:29 . 2008-05-20 09:35 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\OrbNetworks
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-10 22:36 --------- d---a-w C:\Documents and Settings\All Users\Dane aplikacji\TEMP
2008-06-06 15:01 --------- d-----w C:\Program Files\DC++
2008-05-22 17:53 --------- d-----w C:\Program Files\SkanerOnline
2008-05-20 20:17 1,034,752 ----a-w C:\WINDOWS\explorer.exe
2008-05-20 07:35 --------- d-----w C:\Program Files\Winamp
2008-05-20 07:27 --------- d-----w C:\Documents and Settings\Paulina\Dane aplikacji\Winamp
2008-05-14 14:11 --------- d-----w C:\Program Files\Konnekt
2008-05-10 17:14 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\stamina
2008-05-10 17:13 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-05-09 21:00 --------- d-----w C:\Program Files\Launch Manager
2008-05-06 20:25 --------- d-----w C:\Program Files\illiminable
2008-04-26 19:34 --------- d-----w C:\Program Files\Gadu-Gadu
2008-04-26 11:28 --------- d-----w C:\Program Files\metin 2 !!!!!!!!!!!!!!!!!!!!!!!
2008-04-18 20:10 --------- d-----w C:\Program Files\SAGEM
2008-04-11 18:32 --------- d-----w C:\Program Files\Neostrada TP
2008-03-25 04:52 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll
2008-03-25 04:52 178,976 ----a-w C:\WINDOWS\system32\msjint40.dll
2008-03-20 08:09 1,845,504 ----a-w C:\WINDOWS\system32\win32k.sys
2008-01-20 15:37 14,365,520 -c--a-w C:\Program Files\avinstall.exe
.
((((((((((((((((((((((((((((( snapshot@2008-06-11_ 0.39.37,28 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-06-10 20:31:39 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-06-11 08:44:05 2,048 --s-a-w C:\WINDOWS\bootstat.dat
- 2008-06-10 20:36:24 60,958 ----a-w C:\WINDOWS\system32\perfc009.dat
+ 2008-06-11 08:49:50 60,958 ----a-w C:\WINDOWS\system32\perfc009.dat
- 2008-06-10 20:36:24 77,882 ----a-w C:\WINDOWS\system32\perfc015.dat
+ 2008-06-11 08:49:50 77,882 ----a-w C:\WINDOWS\system32\perfc015.dat
- 2008-06-10 20:36:24 400,798 ----a-w C:\WINDOWS\system32\perfh009.dat
+ 2008-06-11 08:49:50 400,798 ----a-w C:\WINDOWS\system32\perfh009.dat
- 2008-06-10 20:36:24 457,976 ----a-w C:\WINDOWS\system32\perfh015.dat
+ 2008-06-11 08:49:50 457,976 ----a-w C:\WINDOWS\system32\perfh015.dat
+ 2008-06-11 08:44:17 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_7d0.dat
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{25CEE8EC-5730-41bc-8B58-22DDC8AB8C20}]
2008-03-20 00:36 1267040 --a------ C:\Program Files\Winamp Toolbar\winamptb.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}"= "C:\Program Files\Winamp Toolbar\winamptb.dll" [2008-03-20 00:36 1267040]
[HKEY_CLASSES_ROOT\clsid\{ebf2ba02-9094-4c5a-858b-bb198f3d8de2}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand.1]
[HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}"= C:\Program Files\Winamp Toolbar\winamptb.dll [2008-03-20 00:36 1267040]
[HKEY_CLASSES_ROOT\clsid\{ebf2ba02-9094-4c5a-858b-bb198f3d8de2}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand.1]
[HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]
"EPSON Stylus DX4400 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICAE.exe" [2007-03-01 08:01 180736]
"Konnekt"="C:\Program Files\Konnekt\konnekt.exe" [2005-05-24 23:41 503808]
"Orb"="C:\Program Files\Winamp Remote\bin\OrbTray.exe" [2008-04-01 03:54 507904]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SkyTel"="SkyTel.EXE" [2006-05-16 18:04 2879488 C:\WINDOWS\SkyTel.exe]
"AzMixerSel"="C:\Program Files\Realtek\InstallShield\AzMixerSel.exe" [2005-12-21 15:02 53248]
"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2006-03-03 07:07 761946]
"WinampAgent"="C:\Program Files\Winamp\winampa.exe" [2008-04-01 20:49 36352]
"LManager"="C:\PROGRA~1\LAUNCH~1\LManager.exe" [2006-07-20 16:15 593920]
"Broadcom Wireless Manager UI"="C:\WINDOWS\system32\WLTRAY.exe" [2007-10-01 20:17 1236992]
"BroadcomWireless"="C:\Program Files\Broadcom\Wireless\Utility\WlanUtil.exe" [ ]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 15:00 79224]
"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2006-10-06 06:11 98304]
"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2006-10-06 06:13 114688]
"Persistence"="C:\WINDOWS\system32\igfxpers.exe" [2006-10-06 06:10 94208]
"RTHDCPL"="RTHDCPL.EXE" [2007-02-26 09:03 16125440 C:\WINDOWS\RTHDCPL.EXE]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 14:00 15360]
C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\
Adobe Reader Speed Launch.lnk - C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe [2006-10-23 02:48:00 40048]
Adobe Reader Synchronizer.lnk - C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe [2006-10-23 01:01:00 734872]
BTTray.lnk - C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe [2006-01-17 10:45:32 618557]
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Gadu-Gadu\\gg.exe"=
"C:\\Program Files\\Winamp Remote\\bin\\Orb.exe"=
"C:\\Program Files\\Winamp Remote\\bin\\OrbTray.exe"=
"C:\\Program Files\\Winamp Remote\\bin\\OrbStreamerClient.exe"=
S3 btwaudio;Urządzenie dźwiękowe Bluetooth;C:\WINDOWS\system32\drivers\btwaudio.sys [2006-11-06 11:37]
S3 btwavdt;Bluetooth AVDT;C:\WINDOWS\system32\drivers\btwavdt.sys [2006-11-06 09:13]
S3 ZDCndis5;ZDCndis5 Protocol Driver;C:\WINDOWS\system32\ZDCndis5.SYS []
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-11 11:50:24
Windows 5.1.2600 Dodatek Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
Completion time: 2008-06-11 11:51:06
ComboFix-quarantined-files.txt 2008-06-11 09:51:02
ComboFix2.txt 2008-06-10 22:39:51
Paulina
- paulis_ka
- Forumowicz
- Posty: 3
- Dołączenie: 11 Cze 2008, 00:49
- Miejscowość: Lca
przez huber2t » 11 Cze 2008, 13:34
UA:
log ok
Wyłącz przywracanie systemu na wszystkich dyskach. Instrukcja
Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum
Włącz przywracanie systemu.
Wyłącz przywracanie systemu na wszystkich dyskach. Instrukcja
Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum
Włącz przywracanie systemu.
-
huber2t - Zasłużony działacz forum
- Posty: 2798
- Dołączenie: 21 Mar 2008, 10:07
- Pochwały: 42
5 posty(ów)
• Strona 1 z 1
Kto jest na forum
Zarejestrowani użytkownicy: Brak zarejestrowanych użytkowników