spinesi utworzono 29 marca 2009 utworzono 29 marca 2009 Logfile of HijackThis v1.99.1Scan saved at 12:21:32, on 2009-03-29 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe D:\Programy\Nero 6\InCD\InCDsrv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Analog Devices\Core\smax4pnp.exe C:\Program Files\Analog Devices\SoundMAX\Smax4.exe C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe D:\Programy\Nero 6\InCD\InCD.exe C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe C:\WINDOWS\system32\ctfmon.exe D:\Programy\DAEMON Tools Lite\daemon.exe D:\Programy\Gadu-Gadu\gg.exe C:\Program Files\Common Files\LightScribe\LSSrvc.exe C:\WINDOWS\system32\wuauclt.exe D:\Programy\FireFox\firefox.exe C:\DOCUME~1\UKASZ~1\USTAWI~1\Temp\winydtxh.exe C:\DOCUME~1\UKASZ~1\USTAWI~1\Temp\winimdps.exe D:\Programy\HJT\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ingbank.pl/u235/navi/73/ O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll O4 - HKLM\..\Run: [startCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun O4 - HKLM\..\Run: [soundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe O4 - HKLM\..\Run: [soundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [inCD] D:\Programy\Nero 6\InCD\InCD.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programy\Adobe Acrobat Reader\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [iSUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup O4 - HKLM\..\Run: [iSUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] D:\Programy\CorelDRAW Graphics Suite 12\Languages\PL\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=040609 serial=DR12WCX-1314285-UQC lang=PL O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [DAEMON Tools Lite] "D:\Programy\DAEMON Tools Lite\daemon.exe" -autorun O4 - HKCU\..\Run: [Gadu-Gadu] "D:\Programy\Gadu-Gadu\gg.exe" /tray O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: InCD Helper (InCDsrv) - Nero AG - D:\Programy\Nero 6\InCD\InCDsrv.exe O23 - Service: InCD Helper (read only) (InCDsrvR) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe Nikt nie pomoże, wszystko ok?
spinesi komentarz 30 marca 2009 Autor komentarz 30 marca 2009 Proszę mi tylko powiedziec czy te dwa pliki: C:\DOCUME~1\UKASZ~1\USTAWI~1\Temp\winydtxh.exeC:\DOCUME~1\UKASZ~1\USTAWI~1\Temp\winimdps.exe to jakies niechciane typki
Gość komentarz 30 marca 2009 komentarz 30 marca 2009 Tak, to są trojany, dlatego @jesionka prosił Cię o log z ComboFixa. .
spinesi komentarz 30 marca 2009 Autor komentarz 30 marca 2009 oto log z ComboFix'a ComboFix 09-03-29.04 - Łukasz 2009-03-30 15:49:45.1 - NTFSx86Microsoft Windows XP Home Edition 5.1.2600.2.1250.1.1045.18.2047.1603 [GMT 2:00] Uruchomiony z: e:\combofix\ComboFix.exe * Utworzono nowy punkt przywracania UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !! . ((((((((((((((((((((((((((((((((((((((( Usunięto ))))))))))))))))))))))))))))))))))))))))))))))))) . C:\Autorun.inf c:\windows\system32\_000003_.tmp.dll c:\windows\system32\_000005_.tmp.dll c:\windows\system32\_000006_.tmp.dll c:\windows\system32\_000007_.tmp.dll c:\windows\system32\_000008_.tmp.dll c:\windows\system32\_000009_.tmp.dll c:\windows\system32\_000010_.tmp.dll c:\windows\system32\_000011_.tmp.dll c:\windows\system32\_000012_.tmp.dll c:\windows\system32\AutoRun.inf . ((((((((((((((((((((((((( Pliki utworzone od 2009-02-28 do 2009-03-30 ))))))))))))))))))))))))))))))) . 2009-03-28 21:28 . 2009-03-28 21:28 <DIR> d-------- c:\program files\7-Zip 2009-02-24 21:00 . 2009-02-24 21:00 0 --a------ c:\windows\BarCode.INI 2009-02-24 20:55 . 2009-02-24 20:55 394 --a------ c:\windows\capture.ini 2009-02-22 12:57 . 2009-02-22 12:57 <DIR> d-------- c:\program files\MSXML 4.0 2009-02-21 12:48 . 2009-03-30 13:37 21 ---hs---- C:\date.bin 2009-02-20 19:14 . 2009-03-30 14:22 8,272 ---hs---- c:\windows\system32\`.vbe 2009-02-20 19:14 . 2009-03-30 14:22 8,272 ---hs---- c:\windows\`.vbe 2009-02-20 19:14 . 2009-03-03 22:55 8,272 ---hs---- C:\`.vbs 2009-02-20 17:06 . 2009-02-20 19:01 105,312 --a------ c:\windows\FontData.fdb 2009-02-20 17:04 . 2009-02-20 17:04 <DIR> d-------- c:\documents and settings\All Users\Dane aplikacji\InstallShield . (((((((((((((((((((((((((((((((((((((((( Sekcja Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-03-27 14:27 --------- d--h--w c:\program files\InstallShield Installation Information 2009-02-20 15:05 --------- d-----w c:\documents and settings\Łukasz\Dane aplikacji\Corel 2009-02-20 15:03 --------- d-----w c:\program files\Common Files\InstallShield 2009-02-09 14:19 1,846,528 ----a-w c:\windows\system32\win32k.sys 2008-12-05 07:14 144,896 ----a-w c:\windows\system32\schannel.dll 2006-06-23 06:48 32,768 ------w c:\windows\inf\UpdateUSB.exe . ((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2006-03-02 15360] "DAEMON Tools Lite"="d:\programy\DAEMON Tools Lite\daemon.exe" [2008-07-24 490952] "Gadu-Gadu"="d:\programy\Gadu-Gadu\gg.exe" [2008-09-15 2130071] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-09-13 991806] "SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2008-03-16 1040384] "Easy-PrintToolBox"="c:\program files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE" [2004-01-14 487424] "SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-09-15 147553] "NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 225280] "InCD"="d:\programy\Nero 6\InCD\InCD.exe" [2005-01-27 1381376] "Adobe Reader Speed Launcher"="d:\programy\Adobe Acrobat Reader\Reader\Reader_sl.exe" [2008-09-02 856961] "ISUSPM Startup"="c:\progra~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-06-16 299008] "ISUSScheduler"="c:\program files\Common Files\InstallShield\UpdateService\issch.exe" [2004-06-16 81920] "CorelDRAW Graphics Suite 11b"="d:\programy\CorelDRAW Graphics Suite 12\Languages\PL\Programs\Registration.exe" [2009-02-20 823296] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2006-03-02 15360] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system] "DisableTaskMgr"= 1 (0x1) "DisableRegistryTools"= 1 (0x1) [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Gadu-Gadu] --a------ 2008-09-15 17:49 2130071 d:\programy\Gadu-Gadu\gg.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Six Engine] --a------ 2008-09-17 12:07 5966936 c:\program files\ASUS\Six Engine\SixEngine.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent] --a------ 2008-09-02 15:32 118784 d:\programy\Winamp\winampa.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 "UpdatesDisableNotify"=dword:00000001 "AntiVirusOverride"=dword:00000001 "FirewallOverride"=dword:00000001 "UacDisableNotify"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc] "AntiVirusOverride"=dword:00000001 "AntiVirusDisableNotify"=dword:00000001 "FirewallDisableNotify"=dword:00000001 "FirewallOverride"=dword:00000001 "UpdatesDisableNotify"=dword:00000001 "UacDisableNotify"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "d:\\Programy\\RivChat\\RivChat2\\RivChat.exe"= "e:\\PES 2009\\pes2009.exe"= "d:\\Programy\\Gadu-Gadu\\gg.exe"= "e:\\PES 2009\\kitserver\\setup.exe"= "c:\\WINDOWS\\System32\\WScript.exe"= "c:\\PROGRA~1\\COMMON~1\\INSTAL~1\\UPDATE~1\\ISUSPM.exe"= "c:\\Program Files\\ATI Technologies\\ATI.ACE\\Core-Static\\MOM.exe"= "c:\\WINDOWS\\system32\\NeroCheck.exe"= "c:\\Program Files\\Canon\\Easy-PrintToolBox\\BJPSMAIN.EXE"= "c:\\Program Files\\Analog Devices\\SoundMAX\\Smax4.exe"= "c:\\Program Files\\ATI Technologies\\ATI.ACE\\Core-Static\\ccc.exe"= R0 mv61xx;mv61xx;c:\windows\system32\drivers\mv61xx.sys [2008-09-13 150568] R3 abp470n5;abp470n5;\??\c:\windows\system32\drivers\lhihqm.sys --> c:\windows\system32\drivers\lhihqm.sys [?] R3 AtiHdmiService;ATI Function Driver for HDMI Service;c:\windows\system32\drivers\AtiHdmi.sys [2008-09-13 84992] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5bc5edfc-96c4-11dd-9c6d-00221563cff7}] \Shell\AutoRun\command - WScript.exe .\`.vbs \Shell\open\Command - WScript.exe .\`.vbs [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{714653f8-16d8-11de-9d62-0010a707ee39}] \Shell\AutoRun\command - WScript.exe .\`.vbs \Shell\open\Command - WScript.exe .\`.vbs [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e038d388-07ee-11de-9d4a-0010a707ee39}] \Shell\AutoRun\command - I:\gi2ky.exe \Shell\open\Command - I:\gi2ky.exe . . ------- Skan uzupełniający ------- . uStart Page = hxxp://www.ingbank.pl/u235/navi/73/ . ************************************************************************** catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-03-30 15:50:16 Windows 5.1.2600 Dodatek Service Pack 2 NTFS skanowanie ukrytych procesów ... skanowanie ukrytych wpisów autostartu ... skanowanie ukrytych plików ... skanowanie pomyślnie ukończone ukryte pliki: 0 ************************************************************************** . --------------------- Pliki DLL ładowane pod uruchomionymi procesami --------------------- - - - - - - - > 'winlogon.exe'(540) c:\windows\system32\Ati2evxx.dll . Czas ukończenia: 2009-03-30 15:52:04 ComboFix-quarantined-files.txt 2009-03-30 13:52:03 Przed: 20 698 095 616 bajtów wolnych Po: 20,783,423,488 bajtów wolnych 138 --- E O F --- 2009-03-14 17:00:17
Gość komentarz 30 marca 2009 komentarz 30 marca 2009 R3 abp470n5;abp470n5;\??\c:\windows\system32\drivers\lhihqm.sys --> c:\windows\system32\drivers\lhihqm.sys [?] SALITY?? Przeskanuj tym: Dr.WEB CureIt!. .
spinesi komentarz 30 marca 2009 Autor komentarz 30 marca 2009 kurde nie moge go ściagnac, chyba cos na stronie u nich. coś jeszcze jest do fixowania?
Gość komentarz 30 marca 2009 komentarz 30 marca 2009 Tak trochę jest, ale najważniejszy jest narazie ta usługa. .
spinesi komentarz 30 marca 2009 Autor komentarz 30 marca 2009 (edytowane) to narazie usunmy to co da sie za pomocą combofixa
Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!
Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.