Regulamin forum
1. Każdy temat powinien odzwierciedlać treść wątku.2. W przypadku wklejania logów; należy je wykonać od razu przynajmniej z dwóch narzędzi: FRST oraz z GMER
3. Wszelkie logi proszę publikować na przeznaczonych do tego stronach a w poście wklejać tylko link.
4. Nie wskazane jest skracanie logów, należy wkleić cały - od początku, do końca.
5. Nie wskazane jest podczepianie się do tematów innych użytkowników - proszę założyć nowy temat w dziale Bezpieczeństwo, ułatwi to pomoc sprawdzającemu.
6. Osoby nie posiadające odpowiedniej wiedzy, nie powinny sprawdzać logów, ponieważ grozi to poważnym uszkodzeniem systemu lub aplikacji zainstalowanych na komputerze.
7. Należy dokładnie opisać problem, występujące objawy oraz wszelkie podjęte działania.
8. Każdy skrypt jest unikatowy, napisany dla każdego przypadku z osobna, więc nie może być stosowany przez innych.
9. W przypadku zamieszczenia zrzutu ekranu (screenshot'a) proszę korzystać z zewnętrznego serwisu oferującego hosting zdjęć.
worm
21 Cze 2008, 12:54
hey ja też mam ten sam problem. Tyle że jestem kompletnie zielony jeśli chodzi o usuwanie trudniejszych wirusuó więc proszę o tłumaczenie prostsze niż skróty myślowe ale loga już mogę dać
z HijackThis:
Logfile of HijackThis v1.99.1
Scan saved at 12:51: VIRUS ALERT!, on 2008-06-21
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Program Files\Ahead\InCD\InCDsrv.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\Program Files\ArcaBit\Common\ArcaBit.Core.Configurator2.exe
D:\Program Files\ArcaBit\ArcaUpdate\update.exe
D:\WINDOWS\System32\FTRTSVC.exe
D:\WINDOWS\system32\nvsvc32.exe
D:\WINDOWS\system32\svchost.exe
D:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
D:\Program Files\ArcaBit\ArcaVir\FileMonSV.exe
D:\Program Files\ArcaBit\ArcaVir\NetMonSV.exe
D:\Program Files\ArcaBit\Common\TaskScheduler.exe
D:\WINDOWS\RTHDCPL.EXE
D:\WINDOWS\system32\RUNDLL32.EXE
D:\Program Files\PowerISO\PWRISOVM.EXE
D:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
D:\Program Files\Ahead\InCD\InCD.exe
D:\Program Files\lg_fwupdate\fwupdate.exe
D:\Program Files\ArcaBit\ArcaVir\AVMenu.exe
D:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
D:\WINDOWS\system32\temp1.exe
D:\PROGRA~1\NEOSTR~1\TaskBarIcon.exe
D:\Program Files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe
D:\Program Files\Winamp\winampa.exe
D:\WINDOWS\System32\WScript.exe
D:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
D:\Program Files\WinFast\WFDTV\DTVSchdl.exe
D:\Program Files\WinFast\WFTVFM\WFWIZ.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
D:\WINDOWS\system32\wscntfy.exe
D:\Program Files\SpyGuarder\SpyGuarder.exe
D:\Documents and Settings\All Users\Dane aplikacji\ADSL Software Ltd\WinSpywareProtect\winspywareprotect.exe
D:\Program Files\neostrada tp\neostradatp.exe
D:\Program Files\neostrada tp\ComComp.exe
D:\PROGRA~1\NEOSTR~1\Toaster.exe
D:\PROGRA~1\NEOSTR~1\Inactivity.exe
D:\PROGRA~1\NEOSTR~1\PollingModule.exe
D:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
D:\Program Files\neostrada tp\Watch.exe
D:\Program Files\Mozilla Firefox\firefox.exe
D:\DOCUME~1\justyna\USTAWI~1\Temp\Rar$EX06.843\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wm ... Ojg5&lid=2
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - D:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL
F3 - REG:win.ini: load=D:\WINDOWS\svchost.exe
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AbsoluteTransfer module - {18CB1A7B-94CD-4582-8022-ADA16851E44B} - D:\Program Files\AbsoluteTransfer\AbsoluteTransfer.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - D:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Winamp Toolbar BHO - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - D:\Program Files\Winamp Toolbar\winamptb.dll
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - D:\Program Files\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - D:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: (no name) - {83798BB2-00CD-4CF4-84CC-D814DC7A510F} - D:\Program Files\SpyGuarder\redir.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - D:\Program Files\Google\GoogleToolbarNotifier\3.0.1225.9868\swg.dll
O2 - BHO: QXK Olive - {E4DCBEAD-D329-4EAB-9C5D-09DACE8CA679} - D:\WINDOWS\ksendlbtvnl.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\program files\google\googletoolbar2.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - D:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - D:\Program Files\Winamp Toolbar\winamptb.dll
O3 - Toolbar: vrmdtneg - {860E2925-FAD4-4BE9-848C-E96B52A41351} - D:\WINDOWS\vrmdtneg.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [WOOWATCH] D:\PROGRA~1\NEOSTR~1\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] D:\PROGRA~1\NEOSTR~1\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [PWRISOVM.EXE] D:\Program Files\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [RemoteControl] "D:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [InCD] D:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LGODDFU] "D:\Program Files\lg_fwupdate\fwupdate.exe" blrun
O4 - HKLM\..\Run: [ABRegmon] D:\Program Files\ArcaBit\ArcaVir\ABregmon.exe
O4 - HKLM\..\Run: [ArcaCheck] D:\Program Files\ArcaBit\ArcaVir\ArcaCheck.exe /startup
O4 - HKLM\..\Run: [AvMenu] D:\Program Files\ArcaBit\ArcaVir\AVMenu.exe
O4 - HKLM\..\Run: [GrooveMonitor] "D:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [SSBkgdUpdate] "D:\Program Files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [OpwareSE4] "D:\Program Files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe"
O4 - HKLM\..\Run: [WinampAgent] "D:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [MSRegInfo] D:\WINDOWS\pagefile.sys.vbs
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "D:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [WinFastDTV] D:\Program Files\WinFast\WFDTV\DTVSchdl.exe
O4 - HKLM\..\Run: [WinFast Schedule] D:\Program Files\WinFast\WFTVFM\WFWIZ.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] D:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [antivirus-2008pro.exe] D:\Program Files\Antivirus 2008 PRO\antivirus-2008pro.exe
O4 - HKCU\..\Run: [SpyGuarder] D:\Program Files\SpyGuarder\SpyGuarder.exe
O4 - HKCU\..\Run: [WinSpywareProtect] "D:\Documents and Settings\All Users\Dane aplikacji\ADSL Software Ltd\WinSpywareProtect\winspywareprotect.exe" /autorun
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: &Winamp Toolbar Search - D:\Documents and Settings\All Users\Dane aplikacji\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://D:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint – Dodaj do listy drukowania - res://D:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint – Drukuj - res://D:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint – Drukuj z dużą szybkością - res://D:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint – Podgląd - res://D:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Wyślij do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: Wyślij &do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - D:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{4E19EB32-06A3-4076-9214-CA1F68D356A9}: NameServer = 194.204.159.1 217.98.63.164
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - D:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - D:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - D:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - D:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - AppInit_DLLs: d:\program files\permissionresearch\prai.dll
O20 - Winlogon Notify: TS_LogonListener - D:\WINDOWS\SYSTEM32\TS_LogonListener.dll
O20 - Winlogon Notify: WgaLogon - D:\WINDOWS\
O21 - SSODL: wpvmqosg - {56A63D88-0997-4527-88EF-D2176BF50FD3} - D:\WINDOWS\wpvmqosg.dll
O21 - SSODL: xvorfwbd - {BC261F0D-96DE-48E0-930B-697DBDE71C11} - D:\WINDOWS\xvorfwbd.dll
O23 - Service: ArcaBit FileMonitor (ABFileMon) - ArcaBit - D:\Program Files\ArcaBit\ArcaVir\FileMonSV.exe
O23 - Service: ArcaBit NetMonitor (ABNetMon) - ArcaBit - D:\Program Files\ArcaBit\ArcaVir\NetMonSV.exe
O23 - Service: ArcaBit.Core.Configurator - ArcaBit - D:\Program Files\ArcaBit\Common\ArcaBit.Core.Configurator2.exe
O23 - Service: ArcaBit.Core.LoggingService - ArcaBit - D:\Program Files\ArcaBit\Common\ArcaBit.Core.LoggingService.exe
O23 - Service: ArcaBit.TaskScheduler - ArcaBit sp. z o.o. - D:\Program Files\ArcaBit\Common\TaskScheduler.exe
O23 - Service: ArcaBit Update Service (AVUpdate) - ArcaBit - D:\Program Files\ArcaBit\ArcaUpdate\update.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - D:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - D:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - D:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - D:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
z HijackThis:
Logfile of HijackThis v1.99.1
Scan saved at 12:51: VIRUS ALERT!, on 2008-06-21
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Program Files\Ahead\InCD\InCDsrv.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\Program Files\ArcaBit\Common\ArcaBit.Core.Configurator2.exe
D:\Program Files\ArcaBit\ArcaUpdate\update.exe
D:\WINDOWS\System32\FTRTSVC.exe
D:\WINDOWS\system32\nvsvc32.exe
D:\WINDOWS\system32\svchost.exe
D:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
D:\Program Files\ArcaBit\ArcaVir\FileMonSV.exe
D:\Program Files\ArcaBit\ArcaVir\NetMonSV.exe
D:\Program Files\ArcaBit\Common\TaskScheduler.exe
D:\WINDOWS\RTHDCPL.EXE
D:\WINDOWS\system32\RUNDLL32.EXE
D:\Program Files\PowerISO\PWRISOVM.EXE
D:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
D:\Program Files\Ahead\InCD\InCD.exe
D:\Program Files\lg_fwupdate\fwupdate.exe
D:\Program Files\ArcaBit\ArcaVir\AVMenu.exe
D:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
D:\WINDOWS\system32\temp1.exe
D:\PROGRA~1\NEOSTR~1\TaskBarIcon.exe
D:\Program Files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe
D:\Program Files\Winamp\winampa.exe
D:\WINDOWS\System32\WScript.exe
D:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
D:\Program Files\WinFast\WFDTV\DTVSchdl.exe
D:\Program Files\WinFast\WFTVFM\WFWIZ.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
D:\WINDOWS\system32\wscntfy.exe
D:\Program Files\SpyGuarder\SpyGuarder.exe
D:\Documents and Settings\All Users\Dane aplikacji\ADSL Software Ltd\WinSpywareProtect\winspywareprotect.exe
D:\Program Files\neostrada tp\neostradatp.exe
D:\Program Files\neostrada tp\ComComp.exe
D:\PROGRA~1\NEOSTR~1\Toaster.exe
D:\PROGRA~1\NEOSTR~1\Inactivity.exe
D:\PROGRA~1\NEOSTR~1\PollingModule.exe
D:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
D:\Program Files\neostrada tp\Watch.exe
D:\Program Files\Mozilla Firefox\firefox.exe
D:\DOCUME~1\justyna\USTAWI~1\Temp\Rar$EX06.843\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wm ... Ojg5&lid=2
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - D:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL
F3 - REG:win.ini: load=D:\WINDOWS\svchost.exe
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AbsoluteTransfer module - {18CB1A7B-94CD-4582-8022-ADA16851E44B} - D:\Program Files\AbsoluteTransfer\AbsoluteTransfer.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - D:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Winamp Toolbar BHO - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - D:\Program Files\Winamp Toolbar\winamptb.dll
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - D:\Program Files\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - D:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: (no name) - {83798BB2-00CD-4CF4-84CC-D814DC7A510F} - D:\Program Files\SpyGuarder\redir.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - D:\Program Files\Google\GoogleToolbarNotifier\3.0.1225.9868\swg.dll
O2 - BHO: QXK Olive - {E4DCBEAD-D329-4EAB-9C5D-09DACE8CA679} - D:\WINDOWS\ksendlbtvnl.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\program files\google\googletoolbar2.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - D:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - D:\Program Files\Winamp Toolbar\winamptb.dll
O3 - Toolbar: vrmdtneg - {860E2925-FAD4-4BE9-848C-E96B52A41351} - D:\WINDOWS\vrmdtneg.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [WOOWATCH] D:\PROGRA~1\NEOSTR~1\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] D:\PROGRA~1\NEOSTR~1\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [PWRISOVM.EXE] D:\Program Files\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [RemoteControl] "D:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [InCD] D:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LGODDFU] "D:\Program Files\lg_fwupdate\fwupdate.exe" blrun
O4 - HKLM\..\Run: [ABRegmon] D:\Program Files\ArcaBit\ArcaVir\ABregmon.exe
O4 - HKLM\..\Run: [ArcaCheck] D:\Program Files\ArcaBit\ArcaVir\ArcaCheck.exe /startup
O4 - HKLM\..\Run: [AvMenu] D:\Program Files\ArcaBit\ArcaVir\AVMenu.exe
O4 - HKLM\..\Run: [GrooveMonitor] "D:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [SSBkgdUpdate] "D:\Program Files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [OpwareSE4] "D:\Program Files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe"
O4 - HKLM\..\Run: [WinampAgent] "D:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [MSRegInfo] D:\WINDOWS\pagefile.sys.vbs
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "D:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [WinFastDTV] D:\Program Files\WinFast\WFDTV\DTVSchdl.exe
O4 - HKLM\..\Run: [WinFast Schedule] D:\Program Files\WinFast\WFTVFM\WFWIZ.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] D:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [antivirus-2008pro.exe] D:\Program Files\Antivirus 2008 PRO\antivirus-2008pro.exe
O4 - HKCU\..\Run: [SpyGuarder] D:\Program Files\SpyGuarder\SpyGuarder.exe
O4 - HKCU\..\Run: [WinSpywareProtect] "D:\Documents and Settings\All Users\Dane aplikacji\ADSL Software Ltd\WinSpywareProtect\winspywareprotect.exe" /autorun
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: &Winamp Toolbar Search - D:\Documents and Settings\All Users\Dane aplikacji\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://D:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint – Dodaj do listy drukowania - res://D:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint – Drukuj - res://D:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint – Drukuj z dużą szybkością - res://D:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint – Podgląd - res://D:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Wyślij do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: Wyślij &do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - D:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{4E19EB32-06A3-4076-9214-CA1F68D356A9}: NameServer = 194.204.159.1 217.98.63.164
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - D:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - D:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - D:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - D:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - AppInit_DLLs: d:\program files\permissionresearch\prai.dll
O20 - Winlogon Notify: TS_LogonListener - D:\WINDOWS\SYSTEM32\TS_LogonListener.dll
O20 - Winlogon Notify: WgaLogon - D:\WINDOWS\
O21 - SSODL: wpvmqosg - {56A63D88-0997-4527-88EF-D2176BF50FD3} - D:\WINDOWS\wpvmqosg.dll
O21 - SSODL: xvorfwbd - {BC261F0D-96DE-48E0-930B-697DBDE71C11} - D:\WINDOWS\xvorfwbd.dll
O23 - Service: ArcaBit FileMonitor (ABFileMon) - ArcaBit - D:\Program Files\ArcaBit\ArcaVir\FileMonSV.exe
O23 - Service: ArcaBit NetMonitor (ABNetMon) - ArcaBit - D:\Program Files\ArcaBit\ArcaVir\NetMonSV.exe
O23 - Service: ArcaBit.Core.Configurator - ArcaBit - D:\Program Files\ArcaBit\Common\ArcaBit.Core.Configurator2.exe
O23 - Service: ArcaBit.Core.LoggingService - ArcaBit - D:\Program Files\ArcaBit\Common\ArcaBit.Core.LoggingService.exe
O23 - Service: ArcaBit.TaskScheduler - ArcaBit sp. z o.o. - D:\Program Files\ArcaBit\Common\TaskScheduler.exe
O23 - Service: ArcaBit Update Service (AVUpdate) - ArcaBit - D:\Program Files\ArcaBit\ArcaUpdate\update.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - D:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - D:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - D:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - D:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
21 Cze 2008, 13:09
fix w hijackthis
Pobierz ComboFix, ale nie uruchamiaj
Wklej do notatnika:
Plik
zapisz jako CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu
Rozpocznie się usuwanie i powstanie log, daj ten log na forum.
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wm ... Ojg5&lid=2
F3 - REG:win.ini: load=D:\WINDOWS\svchost.exe
O2 - BHO: QXK Olive - {E4DCBEAD-D329-4EAB-9C5D-09DACE8CA679} - D:\WINDOWS\ksendlbtvnl.dll
O3 - Toolbar: vrmdtneg - {860E2925-FAD4-4BE9-848C-E96B52A41351} - D:\WINDOWS\vrmdtneg.dll
O4 - HKLM\..\Run: [MSRegInfo] D:\WINDOWS\pagefile.sys.vbs
O4 - HKCU\..\Run: [antivirus-2008pro.exe] D:\Program Files\Antivirus 2008 PRO\antivirus-2008pro.exe
O2 - BHO: (no name) - {83798BB2-00CD-4CF4-84CC-D814DC7A510F} - D:\Program Files\SpyGuarder\redir.dll
O4 - HKCU\..\Run: [SpyGuarder] D:\Program Files\SpyGuarder\SpyGuarder.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O20 - AppInit_DLLs: d:\program files\permissionresearch\prai.dll
O20 - Winlogon Notify: TS_LogonListener - D:\WINDOWS\SYSTEM32\TS_LogonListener.dll
O20 - Winlogon Notify: WgaLogon - D:\WINDOWS\
O21 - SSODL: wpvmqosg - {56A63D88-0997-4527-88EF-D2176BF50FD3} - D:\WINDOWS\wpvmqosg.dll
O21 - SSODL: xvorfwbd - {BC261F0D-96DE-48E0-930B-697DBDE71C11} - D:\WINDOWS\xvorfwbd.dll
Pobierz ComboFix, ale nie uruchamiaj
Wklej do notatnika:
- Kod:
File::
D:\WINDOWS\svchost.exe
D:\WINDOWS\pagefile.sys.vbs
D:\WINDOWS\xvorfwbd.dll
D:\WINDOWS\wpvmqosg.dll
D:\WINDOWS\ksendlbtvnl.dll
D:\WINDOWS\vrmdtneg.dll
Folder::
D:\Program Files\Antivirus 2008 PRO
D:\Program Files\SpyGuarder
Plik
zapisz jako CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu
Rozpocznie się usuwanie i powstanie log, daj ten log na forum.
combo
21 Cze 2008, 13:30
log z combo fixa
ComboFix 08-06-20.4 - justyna 2008-06-21 13:24:20.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.628 [GMT 2:00]
Running from: D:\Documents and Settings\justyna\Pulpit\ComboFix.exe
Command switches used :: D:\Documents and Settings\justyna\Pulpit\CFScript.txt
* Created a new restore point
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\copy.exe
C:\host.exe
D:\autorun.inf
D:\Documents and Settings\justyna\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Antivirus-2008pro.lnk
D:\Documents and Settings\justyna\Dane aplikacji\SpyGuarder
D:\Documents and Settings\justyna\Dane aplikacji\SpyGuarder\base.dat
D:\Documents and Settings\justyna\Dane aplikacji\SpyGuarder\base2.dat
D:\Documents and Settings\justyna\Dane aplikacji\SpyGuarder\Desc.dat
D:\Documents and Settings\justyna\Dane aplikacji\SpyGuarder\spline.dat
D:\Documents and Settings\justyna\Dane aplikacji\SpyGuarder\SpyGuarder.ini
D:\Documents and Settings\justyna\Menu Start\Programy\Antivirus 2008 PRO
D:\Documents and Settings\justyna\Menu Start\Programy\Antivirus 2008 PRO\antivirus-2008pro.lnk
D:\Documents and Settings\justyna\Pulpit\Error Cleaner.url
D:\Documents and Settings\justyna\Pulpit\Privacy Protector.url
D:\Documents and Settings\justyna\Pulpit\Spyware&Malware Protection.url
D:\Documents and Settings\justyna\Ulubione\Error Cleaner.url
D:\Documents and Settings\justyna\Ulubione\Privacy Protector.url
D:\Documents and Settings\justyna\Ulubione\Spyware&Malware Protection.url
D:\Program Files\Antivirus 2008 PRO
D:\Program Files\Antivirus 2008 PRO\antivirus-2008pro.exe
D:\Program Files\Antivirus 2008 PRO\vscan.tsi
D:\Program Files\Antivirus 2008 PRO\zlib.dll
D:\Program Files\SpyGuarder
D:\Program Files\SpyGuarder\Buy.url
D:\Program Files\SpyGuarder\Help.url
D:\Program Files\SpyGuarder\HowToBuy.txt
D:\Program Files\SpyGuarder\License.txt
D:\Program Files\SpyGuarder\SpyGuarder.exe
D:\Program Files\SpyGuarder\Uninstall.exe
D:\WINDOWS\autorun.inf
D:\WINDOWS\eson.exe
D:\WINDOWS\privacy_danger
D:\WINDOWS\privacy_danger\images\capt.gif
D:\WINDOWS\privacy_danger\images\danger.jpg
D:\WINDOWS\privacy_danger\images\down.gif
D:\WINDOWS\privacy_danger\images\spacer.gif
D:\WINDOWS\privacy_danger\index.htm
D:\WINDOWS\svchost.exe
D:\WINDOWS\system32\Dvbpws.dll
D:\WINDOWS\system32\temp1.exe
D:\WINDOWS\system32\temp2.exe
D:\WINDOWS\vrmdtneg.dll
D:\WINDOWS\wpvmqosg.dll
D:\WINDOWS\xcopy.exe
D:\WINDOWS\xvorfwbd.dll
.
((((((((((((((((((((((((( Files Created from 2008-05-21 to 2008-06-21 )))))))))))))))))))))))))))))))
.
2008-06-20 22:16 . 2008-06-20 22:16 670,720 --a------ D:\Documents and Settings\justyna\Dane aplikacji\spyguarder.exe
2008-06-20 22:09 . 2008-06-20 22:09 <DIR> d-------- D:\!KillBox
2008-06-20 21:53 . 2008-06-20 21:53 <DIR> d-------- D:\Program Files\AbsoluteTransfer
2008-06-20 21:19 . 2008-06-21 13:22 3,478 -rahs---- D:\pagefile.sys.vbs
2008-06-20 20:52 . 2008-06-20 20:52 <DIR> d-------- D:\Documents and Settings\All Users\Dane aplikacji\ADSL Software Ltd
2008-06-20 20:52 . 2008-06-20 13:44 81,920 --a------ D:\WINDOWS\neltabxw.exe
2008-06-18 18:05 . 2008-06-18 18:05 <DIR> d-------- D:\Program Files\AutoCAD 2004
2008-06-18 17:55 . 2008-06-18 18:03 <DIR> d-------- D:\AutoCAD 2004
2008-06-17 23:42 . 2008-03-05 15:56 3,786,760 --a------ D:\WINDOWS\system32\D3DX9_37.dll
2008-06-17 23:42 . 2008-03-05 15:56 1,420,824 --a------ D:\WINDOWS\system32\D3DCompiler_37.dll
2008-06-17 23:42 . 2008-03-05 16:03 479,752 --a------ D:\WINDOWS\system32\XAudio2_0.dll
2008-06-17 23:42 . 2008-02-05 23:07 462,864 --a------ D:\WINDOWS\system32\d3dx10_37.dll
2008-06-17 23:42 . 2008-03-05 16:03 238,088 --a------ D:\WINDOWS\system32\xactengine3_0.dll
2008-06-17 23:42 . 2008-03-05 16:00 25,608 --a------ D:\WINDOWS\system32\X3DAudio1_3.dll
2008-06-11 20:08 . 2008-06-11 20:08 360,064 --a------ D:\WINDOWS\system32\drivers\TCPIP.SYS.ORIGINAL
2008-06-11 17:28 . 2008-06-11 17:28 <DIR> d-------- D:\Documents and Settings\justyna\Dane aplikacji\GrabIt
2008-06-10 21:21 . 2008-06-11 17:18 <DIR> d-------- D:\Documents and Settings\justyna\Dane aplikacji\UseNeXT
2008-06-09 22:10 . 2008-06-09 22:10 <DIR> d-------- D:\Program Files\WinISD
2008-05-25 22:17 . 2001-12-19 15:47 49,152 --a------ D:\WINDOWS\system32\TempDel.EXE
2008-05-25 22:17 . 2005-01-06 16:55 9,446 --a------ D:\WINDOWS\system32\drivers\WFIOCTL.sys
2008-05-25 22:13 . 2008-05-25 22:13 <DIR> d-------- D:\WINDOWS\system32\DX9
2008-05-25 22:13 . 2006-04-20 14:50 59,776 --a------ D:\WINDOWS\system32\drivers\wf2kvcap.sys
2008-05-25 22:13 . 2006-04-20 15:20 19,456 --a------ D:\WINDOWS\system32\drivers\wf2ktunr.sys
2008-05-25 22:13 . 2006-04-20 14:49 9,600 --a------ D:\WINDOWS\system32\drivers\wf2kXbar.sys
2008-05-25 22:13 . 2002-06-03 22:52 2,238 --a------ D:\WINDOWS\system32\WFDRV.ico
2008-05-25 21:43 . 2008-05-25 22:18 <DIR> d-------- D:\WFDB
2008-05-25 21:43 . 2008-05-25 21:43 <DIR> d-------- D:\Program Files\WinFast
2008-05-25 21:36 . 2008-05-25 21:36 <DIR> d-------- D:\WINDOWS\WinFast
2008-05-25 21:26 . 2008-05-25 21:26 <DIR> d-------- D:\Program Files\VIA
2008-05-25 13:58 . 2004-12-23 17:27 27,392 --a------ D:\WINDOWS\system32\drivers\ULCDRHlp.sys
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-21 11:22 3,478 --sha-r D:\WINDOWS\pagefile.sys.vbs
2008-06-21 11:22 --------- d-----w D:\Program Files\neostrada tp
2008-06-21 10:45 --------- d-----w D:\Program Files\lg_fwupdate
2008-06-18 16:15 --------- d-----w D:\Program Files\eMule
2008-06-16 16:41 --------- d-----w D:\Documents and Settings\justyna\Dane aplikacji\uTorrent
2008-06-11 18:08 360,064 ----a-w D:\WINDOWS\system32\drivers\TCPIP.SYS
2008-05-30 20:18 --------- d-----w D:\Documents and Settings\justyna\Dane aplikacji\Winamp
2008-05-26 18:32 --------- d-----w D:\Documents and Settings\justyna\Dane aplikacji\Skype
2008-05-25 20:13 --------- d--h--w D:\Program Files\InstallShield Installation Information
2008-05-20 19:28 --------- d-----w D:\Documents and Settings\justyna\Dane aplikacji\Touchstone
2008-05-20 18:39 --------- d-----w D:\Program Files\Common Files\Wise Installation Wizard
2008-05-20 18:39 --------- d-----w D:\Program Files\AGEIA Technologies
2008-05-16 15:01 --------- d-----w D:\Program Files\Winamp
2008-05-11 14:16 --------- d-----w D:\Program Files\SopCast
2008-05-05 21:32 --------- d-----w D:\Documents and Settings\All Users\Dane aplikacji\Microsoft Help
2008-04-27 14:57 --------- d-----w D:\Program Files\Sony Ericsson
2008-04-27 14:54 0 ---ha-w D:\WINDOWS\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf
2008-04-27 14:54 0 ---ha-w D:\WINDOWS\system32\drivers\Msft_Kernel_ggsemc_01005.Wdf
2008-04-27 14:43 20,520 ----a-w D:\WINDOWS\system32\drivers\ggsemc.sys
2008-04-27 14:43 13,352 ----a-w D:\WINDOWS\system32\drivers\ggflt.sys
2008-04-27 14:43 1,419,232 ----a-w D:\WINDOWS\system32\wdfcoinstaller01005.dll
2008-04-27 14:43 --------- d-----w D:\Documents and Settings\All Users\Dane aplikacji\Sony Ericsson
2008-04-25 12:44 --------- d-----w D:\Documents and Settings\All Users\Dane aplikacji\TrackMania
2008-03-25 04:52 621,344 ----a-w D:\WINDOWS\system32\mswstr10.dll
2008-03-25 04:52 178,976 ----a-w D:\WINDOWS\system32\msjint40.dll
2008-03-23 11:06 103,736 ----a-w D:\WINDOWS\system32\PnkBstrB.exe
2008-03-21 20:30 200,704 ----a-w D:\WINDOWS\system32\ssldivx.dll
2008-03-21 20:30 1,044,480 ----a-w D:\WINDOWS\system32\libdivx.dll
2007-12-22 21:34 22,328 ----a-w D:\Documents and Settings\justyna\Dane aplikacji\PnkBstrK.sys
2004-10-01 14:00 40,960 ----a-w D:\Program Files\Uninstall_CDS.exe
.
------- Sigcheck -------
2006-04-20 14:18 360576 b2220c618b42a2212a59d91ebd6fc4b4 D:\WINDOWS\$hf_mig$\KB917953\SP2QFE\tcpip.sys
2007-10-30 18:53 360832 64798ecfa43d78c7178375fcdd16d8c8 D:\WINDOWS\$hf_mig$\KB941644\SP2QFE\tcpip.sys
2004-08-03 23:14 359040 9f4b36614a0fc234525ba224957de55c D:\WINDOWS\$NtUninstallKB917953$\tcpip.sys
2006-04-20 13:51 359808 1dbf125862891817f374f407626967f4 D:\WINDOWS\$NtUninstallKB941644$\tcpip.sys
2008-06-11 20:08 360064 482ab7f9cd41702e8f856c11cfefb02d D:\WINDOWS\system32\dllcache\TCPIP.SYS
2008-06-11 20:08 360064 482ab7f9cd41702e8f856c11cfefb02d D:\WINDOWS\system32\drivers\TCPIP.SYS
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{25CEE8EC-5730-41bc-8B58-22DDC8AB8C20}]
2007-12-13 18:49 1185120 --a------ D:\Program Files\Winamp Toolbar\winamptb.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}"= "D:\Program Files\Winamp Toolbar\winamptb.dll" [2007-12-13 18:49 1185120]
[HKEY_CLASSES_ROOT\clsid\{ebf2ba02-9094-4c5a-858b-bb198f3d8de2}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand.1]
[HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}"= D:\Program Files\Winamp Toolbar\winamptb.dll [2007-12-13 18:49 1185120]
[HKEY_CLASSES_ROOT\clsid\{ebf2ba02-9094-4c5a-858b-bb198f3d8de2}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand.1]
[HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="D:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:44 15360]
"swg"="D:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-04-05 11:27 68856]
"WinSpywareProtect"="D:\Documents and Settings\All Users\Dane aplikacji\ADSL Software Ltd\WinSpywareProtect\winspywareprotect.exe" [2008-06-20 20:53 1159680]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2006-04-17 09:34 16143872 D:\WINDOWS\RTHDCPL.exe]
"WOOWATCH"="D:\PROGRA~1\NEOSTR~1\Watch.exe" [2004-08-23 15:49 20480]
"WOOTASKBARICON"="D:\PROGRA~1\NEOSTR~1\GestMaj.exe" [2004-10-14 17:55 32768]
"NvCplDaemon"="D:\WINDOWS\system32\NvCpl.dll" [2007-10-04 18:14 8491008]
"nwiz"="nwiz.exe" [2007-10-04 18:14 1626112 D:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="D:\WINDOWS\system32\NvMcTray.dll" [2007-10-04 18:14 81920]
"PWRISOVM.EXE"="D:\Program Files\PowerISO\PWRISOVM.EXE" [2007-08-07 02:05 200704]
"RemoteControl"="D:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" [2004-11-02 21:24 32768]
"InCD"="D:\Program Files\Ahead\InCD\InCD.exe" [2006-03-14 04:06 1397760]
"NeroFilterCheck"="D:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"LGODDFU"="D:\Program Files\lg_fwupdate\fwupdate.exe" [2007-12-13 23:59 249856]
"ABRegmon"="D:\Program Files\ArcaBit\ArcaVir\ABregmon.exe" [2007-07-12 10:40 303104]
"ArcaCheck"="D:\Program Files\ArcaBit\ArcaVir\ArcaCheck.exe" [2007-07-27 13:57 836912]
"AvMenu"="D:\Program Files\ArcaBit\ArcaVir\AVMenu.exe" [2008-01-30 19:27 481800]
"GrooveMonitor"="D:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 01:47 31016]
"SSBkgdUpdate"="D:\Program Files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-09-30 01:14 155648]
"OpwareSE4"="D:\Program Files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe" [2006-03-21 14:19 69632]
"WinampAgent"="D:\Program Files\Winamp\winampa.exe" [2007-12-20 17:16 37376]
"Adobe Reader Speed Launcher"="D:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
"Adobe Photo Downloader"="D:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [2005-06-07 00:46 57344]
"WinFastDTV"="D:\Program Files\WinFast\WFDTV\DTVSchdl.exe" [2007-12-21 13:34 90112]
"WinFast Schedule"="D:\Program Files\WinFast\WFTVFM\WFWIZ.exe" [2006-04-27 16:18 344064]
"MSRegInfo"="D:\WINDOWS\pagefile.sys.vbs" [2008-06-21 13:22 3478]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="D:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 00:44 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"xvorfwbd"= {CEF9797F-3753-4C93-989A-022A7DD5C132} - D:\WINDOWS\xvorfwbd.dll [ ]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.X264"= x264vfw.dll
"VIDC.3iv2"= 3ivxVfWCodec.dll
"VIDC.VP31"= vp31vfw.dll
"msacm.l3fhg"= mp3fhg.acm
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"D:\\Program Files\\SopCast\\adv\\SopAdver.exe"=
"D:\\Program Files\\SopCast\\SopCast.exe"=
"C:\\PES2008\\PES2008.exe"=
"D:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"D:\\Program Files\\Microsoft Office\\Office12\\GROOVE.EXE"=
"D:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"D:\\Program Files\\Gadu-Gadu\\gg.exe"=
"D:\\WINDOWS\\system32\\PnkBstrA.exe"=
"D:\\WINDOWS\\system32\\PnkBstrB.exe"=
"D:\\Program Files\\eMule\\emule.exe"=
"D:\\Documents and Settings\\justyna\\Pulpit\\utorrent.exe"=
"C:\\TmNationsForever\\TmForever.exe"=
"D:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"C:\\Turok\\Binaries\\TurokGame.exe"=
"D:\\Program Files\\Skype\\Phone\\Skype.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"14736:TCP"= 14736:TCP:BitComet 14736 TCP
"14736:UDP"= 14736:UDP:BitComet 14736 UDP
R1 ABTDI;ABTDI;D:\Program Files\ArcaBit\ArcaVir\ABTDI.sys [2007-05-08 15:45]
R2 ABFileMon;ArcaBit FileMonitor;"D:\Program Files\ArcaBit\ArcaVir\FileMonSV.exe" [2007-10-09 12:10]
R2 ArcaBit.TaskScheduler;ArcaBit.TaskScheduler;"D:\Program Files\ArcaBit\Common\TaskScheduler.exe" [2007-01-12 17:42]
R2 AVUpdate;ArcaBit Update Service;D:\Program Files\ArcaBit\ArcaUpdate\update.exe [2007-02-26 17:04]
R2 BT848;WinFast TV2000 XP WDM Video Capture;D:\WINDOWS\system32\drivers\wf2kvcap.sys [2006-04-20 14:50]
R2 tv2ktunr;WinFast TV2000 XP WDM TVTuner;D:\WINDOWS\system32\drivers\wf2ktunr.sys [2006-04-20 15:20]
R2 Tv2kXbar;WinFast TV2000 XP WDM Crossbar;D:\WINDOWS\system32\drivers\wf2kxbar.sys [2006-04-20 14:49]
R3 ABFLT;ArcaBit File Monitor Driver;D:\PROGRA~1\ArcaBit\ArcaVir\ABFLT.sys [2007-09-12 14:37]
R3 ArcaBit.Core.Configurator;ArcaBit.Core.Configurator;"D:\Program Files\ArcaBit\Common\ArcaBit.Core.Configurator2.exe" [2007-01-11 17:01]
R3 e4usbaw;USB ADSL2 WAN Adapter;D:\WINDOWS\system32\DRIVERS\e4usbaw.sys [2006-09-19 12:03]
R3 WFIOCTL;WFIOCTL;D:\Program Files\WinFast\WFTVFM\WFIOCTL.SYS [2005-01-06 16:55]
S2 IKANLOADER2;General Purpose USB Driver (e4ldr.sys);D:\WINDOWS\system32\Drivers\e4ldr.sys [2006-09-15 12:07]
S3 ArcaBit.Core.LoggingService;ArcaBit.Core.LoggingService;"D:\Program Files\ArcaBit\Common\ArcaBit.Core.LoggingService.exe" [2007-01-11 17:03]
S3 ggflt;SEMC USB Flash Driver Filter;D:\WINDOWS\system32\DRIVERS\ggflt.sys [2008-04-27 16:43]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c25dd7cb-f03c-11dc-96bc-4d6564696130}]
\Shell\AutoRun\command - D:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe pagefile.sys.vbs
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c9f2e358-2050-11dd-9799-4d6564696130}]
\Shell\AutoRun\command - D:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe pagefile.sys.vbs
*Newly Created Service* - CATCHME
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-21 13:25:46
Windows 5.1.2600 Dodatek Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
Completion time: 2008-06-21 13:26:46
ComboFix-quarantined-files.txt 2008-06-21 11:26:42
Pre-Run: 13,472,940,032 bajtów wolnych
Post-Run: 13,671,555,072 bajtów wolnych
242 --- E O F --- 2008-05-14 13:24:00
Dzięki za pomoc
ComboFix 08-06-20.4 - justyna 2008-06-21 13:24:20.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.628 [GMT 2:00]
Running from: D:\Documents and Settings\justyna\Pulpit\ComboFix.exe
Command switches used :: D:\Documents and Settings\justyna\Pulpit\CFScript.txt
* Created a new restore point
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\copy.exe
C:\host.exe
D:\autorun.inf
D:\Documents and Settings\justyna\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Antivirus-2008pro.lnk
D:\Documents and Settings\justyna\Dane aplikacji\SpyGuarder
D:\Documents and Settings\justyna\Dane aplikacji\SpyGuarder\base.dat
D:\Documents and Settings\justyna\Dane aplikacji\SpyGuarder\base2.dat
D:\Documents and Settings\justyna\Dane aplikacji\SpyGuarder\Desc.dat
D:\Documents and Settings\justyna\Dane aplikacji\SpyGuarder\spline.dat
D:\Documents and Settings\justyna\Dane aplikacji\SpyGuarder\SpyGuarder.ini
D:\Documents and Settings\justyna\Menu Start\Programy\Antivirus 2008 PRO
D:\Documents and Settings\justyna\Menu Start\Programy\Antivirus 2008 PRO\antivirus-2008pro.lnk
D:\Documents and Settings\justyna\Pulpit\Error Cleaner.url
D:\Documents and Settings\justyna\Pulpit\Privacy Protector.url
D:\Documents and Settings\justyna\Pulpit\Spyware&Malware Protection.url
D:\Documents and Settings\justyna\Ulubione\Error Cleaner.url
D:\Documents and Settings\justyna\Ulubione\Privacy Protector.url
D:\Documents and Settings\justyna\Ulubione\Spyware&Malware Protection.url
D:\Program Files\Antivirus 2008 PRO
D:\Program Files\Antivirus 2008 PRO\antivirus-2008pro.exe
D:\Program Files\Antivirus 2008 PRO\vscan.tsi
D:\Program Files\Antivirus 2008 PRO\zlib.dll
D:\Program Files\SpyGuarder
D:\Program Files\SpyGuarder\Buy.url
D:\Program Files\SpyGuarder\Help.url
D:\Program Files\SpyGuarder\HowToBuy.txt
D:\Program Files\SpyGuarder\License.txt
D:\Program Files\SpyGuarder\SpyGuarder.exe
D:\Program Files\SpyGuarder\Uninstall.exe
D:\WINDOWS\autorun.inf
D:\WINDOWS\eson.exe
D:\WINDOWS\privacy_danger
D:\WINDOWS\privacy_danger\images\capt.gif
D:\WINDOWS\privacy_danger\images\danger.jpg
D:\WINDOWS\privacy_danger\images\down.gif
D:\WINDOWS\privacy_danger\images\spacer.gif
D:\WINDOWS\privacy_danger\index.htm
D:\WINDOWS\svchost.exe
D:\WINDOWS\system32\Dvbpws.dll
D:\WINDOWS\system32\temp1.exe
D:\WINDOWS\system32\temp2.exe
D:\WINDOWS\vrmdtneg.dll
D:\WINDOWS\wpvmqosg.dll
D:\WINDOWS\xcopy.exe
D:\WINDOWS\xvorfwbd.dll
.
((((((((((((((((((((((((( Files Created from 2008-05-21 to 2008-06-21 )))))))))))))))))))))))))))))))
.
2008-06-20 22:16 . 2008-06-20 22:16 670,720 --a------ D:\Documents and Settings\justyna\Dane aplikacji\spyguarder.exe
2008-06-20 22:09 . 2008-06-20 22:09 <DIR> d-------- D:\!KillBox
2008-06-20 21:53 . 2008-06-20 21:53 <DIR> d-------- D:\Program Files\AbsoluteTransfer
2008-06-20 21:19 . 2008-06-21 13:22 3,478 -rahs---- D:\pagefile.sys.vbs
2008-06-20 20:52 . 2008-06-20 20:52 <DIR> d-------- D:\Documents and Settings\All Users\Dane aplikacji\ADSL Software Ltd
2008-06-20 20:52 . 2008-06-20 13:44 81,920 --a------ D:\WINDOWS\neltabxw.exe
2008-06-18 18:05 . 2008-06-18 18:05 <DIR> d-------- D:\Program Files\AutoCAD 2004
2008-06-18 17:55 . 2008-06-18 18:03 <DIR> d-------- D:\AutoCAD 2004
2008-06-17 23:42 . 2008-03-05 15:56 3,786,760 --a------ D:\WINDOWS\system32\D3DX9_37.dll
2008-06-17 23:42 . 2008-03-05 15:56 1,420,824 --a------ D:\WINDOWS\system32\D3DCompiler_37.dll
2008-06-17 23:42 . 2008-03-05 16:03 479,752 --a------ D:\WINDOWS\system32\XAudio2_0.dll
2008-06-17 23:42 . 2008-02-05 23:07 462,864 --a------ D:\WINDOWS\system32\d3dx10_37.dll
2008-06-17 23:42 . 2008-03-05 16:03 238,088 --a------ D:\WINDOWS\system32\xactengine3_0.dll
2008-06-17 23:42 . 2008-03-05 16:00 25,608 --a------ D:\WINDOWS\system32\X3DAudio1_3.dll
2008-06-11 20:08 . 2008-06-11 20:08 360,064 --a------ D:\WINDOWS\system32\drivers\TCPIP.SYS.ORIGINAL
2008-06-11 17:28 . 2008-06-11 17:28 <DIR> d-------- D:\Documents and Settings\justyna\Dane aplikacji\GrabIt
2008-06-10 21:21 . 2008-06-11 17:18 <DIR> d-------- D:\Documents and Settings\justyna\Dane aplikacji\UseNeXT
2008-06-09 22:10 . 2008-06-09 22:10 <DIR> d-------- D:\Program Files\WinISD
2008-05-25 22:17 . 2001-12-19 15:47 49,152 --a------ D:\WINDOWS\system32\TempDel.EXE
2008-05-25 22:17 . 2005-01-06 16:55 9,446 --a------ D:\WINDOWS\system32\drivers\WFIOCTL.sys
2008-05-25 22:13 . 2008-05-25 22:13 <DIR> d-------- D:\WINDOWS\system32\DX9
2008-05-25 22:13 . 2006-04-20 14:50 59,776 --a------ D:\WINDOWS\system32\drivers\wf2kvcap.sys
2008-05-25 22:13 . 2006-04-20 15:20 19,456 --a------ D:\WINDOWS\system32\drivers\wf2ktunr.sys
2008-05-25 22:13 . 2006-04-20 14:49 9,600 --a------ D:\WINDOWS\system32\drivers\wf2kXbar.sys
2008-05-25 22:13 . 2002-06-03 22:52 2,238 --a------ D:\WINDOWS\system32\WFDRV.ico
2008-05-25 21:43 . 2008-05-25 22:18 <DIR> d-------- D:\WFDB
2008-05-25 21:43 . 2008-05-25 21:43 <DIR> d-------- D:\Program Files\WinFast
2008-05-25 21:36 . 2008-05-25 21:36 <DIR> d-------- D:\WINDOWS\WinFast
2008-05-25 21:26 . 2008-05-25 21:26 <DIR> d-------- D:\Program Files\VIA
2008-05-25 13:58 . 2004-12-23 17:27 27,392 --a------ D:\WINDOWS\system32\drivers\ULCDRHlp.sys
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-21 11:22 3,478 --sha-r D:\WINDOWS\pagefile.sys.vbs
2008-06-21 11:22 --------- d-----w D:\Program Files\neostrada tp
2008-06-21 10:45 --------- d-----w D:\Program Files\lg_fwupdate
2008-06-18 16:15 --------- d-----w D:\Program Files\eMule
2008-06-16 16:41 --------- d-----w D:\Documents and Settings\justyna\Dane aplikacji\uTorrent
2008-06-11 18:08 360,064 ----a-w D:\WINDOWS\system32\drivers\TCPIP.SYS
2008-05-30 20:18 --------- d-----w D:\Documents and Settings\justyna\Dane aplikacji\Winamp
2008-05-26 18:32 --------- d-----w D:\Documents and Settings\justyna\Dane aplikacji\Skype
2008-05-25 20:13 --------- d--h--w D:\Program Files\InstallShield Installation Information
2008-05-20 19:28 --------- d-----w D:\Documents and Settings\justyna\Dane aplikacji\Touchstone
2008-05-20 18:39 --------- d-----w D:\Program Files\Common Files\Wise Installation Wizard
2008-05-20 18:39 --------- d-----w D:\Program Files\AGEIA Technologies
2008-05-16 15:01 --------- d-----w D:\Program Files\Winamp
2008-05-11 14:16 --------- d-----w D:\Program Files\SopCast
2008-05-05 21:32 --------- d-----w D:\Documents and Settings\All Users\Dane aplikacji\Microsoft Help
2008-04-27 14:57 --------- d-----w D:\Program Files\Sony Ericsson
2008-04-27 14:54 0 ---ha-w D:\WINDOWS\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf
2008-04-27 14:54 0 ---ha-w D:\WINDOWS\system32\drivers\Msft_Kernel_ggsemc_01005.Wdf
2008-04-27 14:43 20,520 ----a-w D:\WINDOWS\system32\drivers\ggsemc.sys
2008-04-27 14:43 13,352 ----a-w D:\WINDOWS\system32\drivers\ggflt.sys
2008-04-27 14:43 1,419,232 ----a-w D:\WINDOWS\system32\wdfcoinstaller01005.dll
2008-04-27 14:43 --------- d-----w D:\Documents and Settings\All Users\Dane aplikacji\Sony Ericsson
2008-04-25 12:44 --------- d-----w D:\Documents and Settings\All Users\Dane aplikacji\TrackMania
2008-03-25 04:52 621,344 ----a-w D:\WINDOWS\system32\mswstr10.dll
2008-03-25 04:52 178,976 ----a-w D:\WINDOWS\system32\msjint40.dll
2008-03-23 11:06 103,736 ----a-w D:\WINDOWS\system32\PnkBstrB.exe
2008-03-21 20:30 200,704 ----a-w D:\WINDOWS\system32\ssldivx.dll
2008-03-21 20:30 1,044,480 ----a-w D:\WINDOWS\system32\libdivx.dll
2007-12-22 21:34 22,328 ----a-w D:\Documents and Settings\justyna\Dane aplikacji\PnkBstrK.sys
2004-10-01 14:00 40,960 ----a-w D:\Program Files\Uninstall_CDS.exe
.
------- Sigcheck -------
2006-04-20 14:18 360576 b2220c618b42a2212a59d91ebd6fc4b4 D:\WINDOWS\$hf_mig$\KB917953\SP2QFE\tcpip.sys
2007-10-30 18:53 360832 64798ecfa43d78c7178375fcdd16d8c8 D:\WINDOWS\$hf_mig$\KB941644\SP2QFE\tcpip.sys
2004-08-03 23:14 359040 9f4b36614a0fc234525ba224957de55c D:\WINDOWS\$NtUninstallKB917953$\tcpip.sys
2006-04-20 13:51 359808 1dbf125862891817f374f407626967f4 D:\WINDOWS\$NtUninstallKB941644$\tcpip.sys
2008-06-11 20:08 360064 482ab7f9cd41702e8f856c11cfefb02d D:\WINDOWS\system32\dllcache\TCPIP.SYS
2008-06-11 20:08 360064 482ab7f9cd41702e8f856c11cfefb02d D:\WINDOWS\system32\drivers\TCPIP.SYS
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{25CEE8EC-5730-41bc-8B58-22DDC8AB8C20}]
2007-12-13 18:49 1185120 --a------ D:\Program Files\Winamp Toolbar\winamptb.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}"= "D:\Program Files\Winamp Toolbar\winamptb.dll" [2007-12-13 18:49 1185120]
[HKEY_CLASSES_ROOT\clsid\{ebf2ba02-9094-4c5a-858b-bb198f3d8de2}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand.1]
[HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}"= D:\Program Files\Winamp Toolbar\winamptb.dll [2007-12-13 18:49 1185120]
[HKEY_CLASSES_ROOT\clsid\{ebf2ba02-9094-4c5a-858b-bb198f3d8de2}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand.1]
[HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="D:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:44 15360]
"swg"="D:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-04-05 11:27 68856]
"WinSpywareProtect"="D:\Documents and Settings\All Users\Dane aplikacji\ADSL Software Ltd\WinSpywareProtect\winspywareprotect.exe" [2008-06-20 20:53 1159680]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2006-04-17 09:34 16143872 D:\WINDOWS\RTHDCPL.exe]
"WOOWATCH"="D:\PROGRA~1\NEOSTR~1\Watch.exe" [2004-08-23 15:49 20480]
"WOOTASKBARICON"="D:\PROGRA~1\NEOSTR~1\GestMaj.exe" [2004-10-14 17:55 32768]
"NvCplDaemon"="D:\WINDOWS\system32\NvCpl.dll" [2007-10-04 18:14 8491008]
"nwiz"="nwiz.exe" [2007-10-04 18:14 1626112 D:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="D:\WINDOWS\system32\NvMcTray.dll" [2007-10-04 18:14 81920]
"PWRISOVM.EXE"="D:\Program Files\PowerISO\PWRISOVM.EXE" [2007-08-07 02:05 200704]
"RemoteControl"="D:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" [2004-11-02 21:24 32768]
"InCD"="D:\Program Files\Ahead\InCD\InCD.exe" [2006-03-14 04:06 1397760]
"NeroFilterCheck"="D:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"LGODDFU"="D:\Program Files\lg_fwupdate\fwupdate.exe" [2007-12-13 23:59 249856]
"ABRegmon"="D:\Program Files\ArcaBit\ArcaVir\ABregmon.exe" [2007-07-12 10:40 303104]
"ArcaCheck"="D:\Program Files\ArcaBit\ArcaVir\ArcaCheck.exe" [2007-07-27 13:57 836912]
"AvMenu"="D:\Program Files\ArcaBit\ArcaVir\AVMenu.exe" [2008-01-30 19:27 481800]
"GrooveMonitor"="D:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 01:47 31016]
"SSBkgdUpdate"="D:\Program Files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-09-30 01:14 155648]
"OpwareSE4"="D:\Program Files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe" [2006-03-21 14:19 69632]
"WinampAgent"="D:\Program Files\Winamp\winampa.exe" [2007-12-20 17:16 37376]
"Adobe Reader Speed Launcher"="D:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
"Adobe Photo Downloader"="D:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [2005-06-07 00:46 57344]
"WinFastDTV"="D:\Program Files\WinFast\WFDTV\DTVSchdl.exe" [2007-12-21 13:34 90112]
"WinFast Schedule"="D:\Program Files\WinFast\WFTVFM\WFWIZ.exe" [2006-04-27 16:18 344064]
"MSRegInfo"="D:\WINDOWS\pagefile.sys.vbs" [2008-06-21 13:22 3478]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="D:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 00:44 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"xvorfwbd"= {CEF9797F-3753-4C93-989A-022A7DD5C132} - D:\WINDOWS\xvorfwbd.dll [ ]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.X264"= x264vfw.dll
"VIDC.3iv2"= 3ivxVfWCodec.dll
"VIDC.VP31"= vp31vfw.dll
"msacm.l3fhg"= mp3fhg.acm
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"D:\\Program Files\\SopCast\\adv\\SopAdver.exe"=
"D:\\Program Files\\SopCast\\SopCast.exe"=
"C:\\PES2008\\PES2008.exe"=
"D:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"D:\\Program Files\\Microsoft Office\\Office12\\GROOVE.EXE"=
"D:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"D:\\Program Files\\Gadu-Gadu\\gg.exe"=
"D:\\WINDOWS\\system32\\PnkBstrA.exe"=
"D:\\WINDOWS\\system32\\PnkBstrB.exe"=
"D:\\Program Files\\eMule\\emule.exe"=
"D:\\Documents and Settings\\justyna\\Pulpit\\utorrent.exe"=
"C:\\TmNationsForever\\TmForever.exe"=
"D:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"C:\\Turok\\Binaries\\TurokGame.exe"=
"D:\\Program Files\\Skype\\Phone\\Skype.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"14736:TCP"= 14736:TCP:BitComet 14736 TCP
"14736:UDP"= 14736:UDP:BitComet 14736 UDP
R1 ABTDI;ABTDI;D:\Program Files\ArcaBit\ArcaVir\ABTDI.sys [2007-05-08 15:45]
R2 ABFileMon;ArcaBit FileMonitor;"D:\Program Files\ArcaBit\ArcaVir\FileMonSV.exe" [2007-10-09 12:10]
R2 ArcaBit.TaskScheduler;ArcaBit.TaskScheduler;"D:\Program Files\ArcaBit\Common\TaskScheduler.exe" [2007-01-12 17:42]
R2 AVUpdate;ArcaBit Update Service;D:\Program Files\ArcaBit\ArcaUpdate\update.exe [2007-02-26 17:04]
R2 BT848;WinFast TV2000 XP WDM Video Capture;D:\WINDOWS\system32\drivers\wf2kvcap.sys [2006-04-20 14:50]
R2 tv2ktunr;WinFast TV2000 XP WDM TVTuner;D:\WINDOWS\system32\drivers\wf2ktunr.sys [2006-04-20 15:20]
R2 Tv2kXbar;WinFast TV2000 XP WDM Crossbar;D:\WINDOWS\system32\drivers\wf2kxbar.sys [2006-04-20 14:49]
R3 ABFLT;ArcaBit File Monitor Driver;D:\PROGRA~1\ArcaBit\ArcaVir\ABFLT.sys [2007-09-12 14:37]
R3 ArcaBit.Core.Configurator;ArcaBit.Core.Configurator;"D:\Program Files\ArcaBit\Common\ArcaBit.Core.Configurator2.exe" [2007-01-11 17:01]
R3 e4usbaw;USB ADSL2 WAN Adapter;D:\WINDOWS\system32\DRIVERS\e4usbaw.sys [2006-09-19 12:03]
R3 WFIOCTL;WFIOCTL;D:\Program Files\WinFast\WFTVFM\WFIOCTL.SYS [2005-01-06 16:55]
S2 IKANLOADER2;General Purpose USB Driver (e4ldr.sys);D:\WINDOWS\system32\Drivers\e4ldr.sys [2006-09-15 12:07]
S3 ArcaBit.Core.LoggingService;ArcaBit.Core.LoggingService;"D:\Program Files\ArcaBit\Common\ArcaBit.Core.LoggingService.exe" [2007-01-11 17:03]
S3 ggflt;SEMC USB Flash Driver Filter;D:\WINDOWS\system32\DRIVERS\ggflt.sys [2008-04-27 16:43]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c25dd7cb-f03c-11dc-96bc-4d6564696130}]
\Shell\AutoRun\command - D:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe pagefile.sys.vbs
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c9f2e358-2050-11dd-9799-4d6564696130}]
\Shell\AutoRun\command - D:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe pagefile.sys.vbs
*Newly Created Service* - CATCHME
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-21 13:25:46
Windows 5.1.2600 Dodatek Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
Completion time: 2008-06-21 13:26:46
ComboFix-quarantined-files.txt 2008-06-21 11:26:42
Pre-Run: 13,472,940,032 bajtów wolnych
Post-Run: 13,671,555,072 bajtów wolnych
242 --- E O F --- 2008-05-14 13:24:00
Dzięki za pomoc
21 Cze 2008, 13:38
Pobierz ComboFix, ale nie uruchamiaj
Wklej do notatnika:
Plik zapisz jako CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu
Rozpocznie się usuwanie i powstanie log, daj ten log na forum.
Logi dajesz na http://www.wklej.org a w poście dajesz tylko link
Wklej do notatnika:
- Kod:
File::
D:\pagefile.sys.vbs
Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c25dd7cb-f03c-11dc-96bc-4d6564696130}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c9f2e358-2050-11dd-9799-4d6564696130}]
Plik
zapisz jako CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu
Rozpocznie się usuwanie i powstanie log, daj ten log na forum.
Logi dajesz na http://www.wklej.org a w poście dajesz tylko link
worm
21 Cze 2008, 13:47
ok zrobiłem jak kazałeś i sorki za wklejanie logów
log z combofixa:
http://www.wklej.org/id/b494f68085
log z combofixa:
http://www.wklej.org/id/b494f68085
worm
21 Cze 2008, 13:51
myślałem że jest ok ale ciągle mi wyskakuje komunikat że mój komp jest zagrożony przez wirus więc...........
21 Cze 2008, 13:55
nic się nie stało, tylko tak jest lepiej przeglądać
Pobierz ComboFix, ale nie uruchamiaj
Wklej do notatnika:
Plik zapisz jako CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu
Rozpocznie się usuwanie i powstanie log, daj ten log na forum.
Logi dajesz na http://www.wklej.org a w poście dajesz tylko link
Pobierz ComboFix, ale nie uruchamiaj
Wklej do notatnika:
- Kod:
File::
D:\WINDOWS\pagefile.sys.vbs
D:\WINDOWS\xvorfwbd.dll
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSRegInfo"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"xvorfwbd"=-
Plik
zapisz jako CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu
Rozpocznie się usuwanie i powstanie log, daj ten log na forum.
Logi dajesz na http://www.wklej.org a w poście dajesz tylko link
zasrany worm
21 Cze 2008, 14:04
oto log:
http://www.wklej.org/id/4c51486b26
jeszcze raz dzieki za pomoc. Mam nadzieje ze ktos Ci za to placi heh
http://www.wklej.org/id/4c51486b26
jeszcze raz dzieki za pomoc. Mam nadzieje ze ktos Ci za to placi heh
21 Cze 2008, 14:31
nikt nie płaci niestety
Pobierz ComboFix, ale nie uruchamiaj
Wklej do notatnika:
Plik zapisz jako CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu
Rozpocznie się usuwanie i powstanie log, daj ten log na forum.
Logi dajesz na http://www.wklej.org a w poście dajesz tylko link
Pobierz ComboFix, ale nie uruchamiaj
Wklej do notatnika:
- Kod:
File::
D:\WINDOWS\neltabxw.exe
Plik
zapisz jako CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu
Rozpocznie się usuwanie i powstanie log, daj ten log na forum.
Logi dajesz na http://www.wklej.org a w poście dajesz tylko link
21 Cze 2008, 14:56
Log wyglada na czysty
usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.
Przeczyść komputer Ccleanerem
Wykonaj optymalizację autostartu
Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja
Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum
lub
Dr.WEB CureIt!
usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.
Przeczyść komputer Ccleanerem
Wykonaj optymalizację autostartu
Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja
Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum
lub
Dr.WEB CureIt!
web
21 Cze 2008, 17:31
scanuje kompa Dr.Web'em i pyta o niektore pliki czy przenosic czy usuwac
co robic??
co robic??
21 Cze 2008, 17:34
Usuwaj
dr.web
21 Cze 2008, 17:45
kurde a ja już przeniosłem 
czyli tych plików nie da się "wyleczyć ??
będe musiał chyba zrobić jeszcze raz scana
czyli tych plików nie da się "wyleczyć ??
będe musiał chyba zrobić jeszcze raz scana
21 Cze 2008, 18:01
Będziesz mógł usunąć, wyleczyć raczej nie