x-kom hosting

Zablokowany rejestr i menadżer zadań

primerk
utworzono
utworzono

Pomużcie mi to naprwić walcze tu już 3 dzień z tymi wirusami :/ nie otwieras mi sie menadżer zadań po naciśnięciu ctrl+alt+del. Nie moge wejść do rejestru pisze że zablokowane przez administratora. Nie moge zainstalować zadnego antywira! mam coś takiego jak AD-Aware ale też nie daje rady :/ co mam zrobić :(:( tu są moje logi z Hijack:

Logfile of Trend Micro HijackThis v2.0.2Scan saved at 19:11:37, on 2009-05-08Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Boot mode: NormalRunning processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\Lavasoft\Ad-Aware\aawservice.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\system32\ctfmon.exeC:\WINDOWS\system32\nvsvc32.exeC:\Program Files\Lavasoft\Ad-Aware\Ad-Aware.exeC:\Program Files\Internet Explorer\iexplore.exeC:\WINDOWS\system32\wuauclt.exeC:\Program Files\Nowe Gadu-Gadu\gg.exeC:\Program Files\Nowe Gadu-Gadu\spellchecker_gg.exeC:\Program Files\Trend Micro\HijackThis\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.yahoo.comR0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.comR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = ŁączaO2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_6_0_1.dllO2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dllO3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_6_0_1.dllO4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXEO4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXEO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [nwiz] nwiz.exe /installO4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInitO4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exeO4 - HKCU\..\Run: [Nowe Gadu-Gadu] "C:\Program Files\Nowe Gadu-Gadu\gg.exe"O4 - HKCU\..\RunOnce: [WiseStubReboot] MSIEXEC /quiet SKIP_PPU_DRIVER_INSTALL=1 /I "C:\Program Files\Common Files\Wise Installation Wizard\WISDD1865F0AD7340FBB23E1822E02396FF_9_09_0203.MSI" TRANSFORMS="C:\Program Files\Common Files\Wise Installation Wizard\WISDD1865F0AD7340FBB23E1822E02396FF_9_09_0203.MST" WISE_SETUP_EXE_PATH="c:\nvidia\winxp\182.50\is\PhysX_9.09.0203_SystemSoftware.exe"O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1O8 - Extra context menu item: Dodaj do listy blokowanych banerów - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htmO9 - Extra button: Statystyki ochrony WWW - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dllO9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO17 - HKLM\System\CCS\Services\Tcpip\..\{E23446C0-C2CF-4977-AF19-4F1E647ABCC0}: NameServer = 194.204.159.1,194.204.152.34O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dllO23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exeO23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe--End of file - 4209 bytes

Gość
komentarz
komentarz

W logu widać tylko zablokowany rejestr...

Daj log z ComboFixa.

.

primerk
komentarz
komentarz
ComboFix 09-05-07.A01 - zasw 2009-05-08 19:33.1 - NTFSx86Microsoft Windows XP Home Edition  5.1.2600.2.1250.48.1045.18.2046.937 [GMT 2:00]Uruchomiony z: c:\documents and settings\zasw\Pulpit\ComboFix.exeAV: Kaspersky Internet Security *On-access scanning disabled* (Updated)FW: Kaspersky Internet Security *disabled*UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !!.(((((((((((((((((((((((((((((((((((((((   Usunięto   )))))))))))))))))))))))))))))))))))))))))))))))))..(((((((((((((((((((((((((((((((((((((((   Sterowniki/Usługi   ))))))))))))))))))))))))))))))))))))))))))))))))).-------\Legacy_DAC970NT-------\Service_dac970nt(((((((((((((((((((((((((   Pliki utworzone od 2009-04-08 do 2009-05-08  ))))))))))))))))))))))))))))))).2009-05-08 17:11 . 2009-05-08 17:11	--------	d-----w	c:\program files\Trend Micro2009-05-08 16:31 . 2009-05-08 16:31	--------	d-----w	c:\program files\CCleaner2009-05-07 19:41 . 2009-05-07 19:41	--------	d-----w	c:\program files\Lavasoft2009-05-07 19:41 . 2009-05-07 20:23	--------	d-----w	c:\documents and settings\All Users\Dane aplikacji\Lavasoft2009-05-07 19:29 . 2009-05-07 19:40	--------	d-----w	c:\documents and settings\zasw\Dane aplikacji\Lavasoft2009-05-07 18:48 . 2009-05-07 18:59	89601	----a-w	c:\windows\system32\drivers\klick.dat2009-05-07 18:48 . 2009-05-07 18:59	101287	----a-w	c:\windows\system32\drivers\klin.dat2009-05-07 18:48 . 2009-05-07 18:48	32	--sha-w	c:\windows\system32\drivers\fidbox.dat2009-05-07 18:48 . 2009-05-07 18:48	8160	--sha-w	c:\windows\system32\drivers\fidbox2.dat2009-05-07 18:48 . 2009-05-07 18:48	--------	d-----w	c:\program files\Kaspersky Lab2009-05-07 18:48 . 2009-05-07 19:12	--------	d-----w	c:\documents and settings\All Users\Dane aplikacji\Kaspersky Lab2009-05-07 18:44 . 2009-05-07 18:44	--------	d-----w	c:\documents and settings\All Users\Dane aplikacji\Kaspersky Lab Setup Files2009-05-07 18:14 . 2009-05-07 18:15	--------	d-----w	c:\documents and settings\zasw\Dane aplikacji\Nowe Gadu-Gadu2009-05-07 18:13 . 2009-05-07 18:13	--------	d-----w	c:\program files\Nowe Gadu-Gadu2009-05-07 18:06 . 2001-08-17 21:59	3072	----a-w	c:\windows\system32\drivers\audstub.sys2009-05-07 18:06 . 2004-08-03 23:01	25856	----a-w	c:\windows\system32\drivers\usbprint.sys2009-05-07 18:05 . 2004-08-04 00:35	58624	----a-w	c:\windows\system32\drivers\redbook.sys2009-05-07 18:05 . 2004-08-03 22:44	77312	-c--a-w	c:\windows\system32\dllcache\usbui.dll2009-05-07 18:05 . 2004-08-03 22:44	77312	----a-w	c:\windows\system32\usbui.dll2009-05-07 18:03 . 2009-05-07 16:30	--------	d-----w	c:\windows\system32\CatRoot2009-05-07 18:03 . 2009-05-08 17:33	--------	d-----w	c:\windows\system32\CatRoot22009-05-07 18:03 . 2009-05-07 18:04	--------	d--h--r	c:\documents and settings\Default User\Dane aplikacji2009-05-07 18:03 . 2009-05-07 19:41	--------	d--h--r	c:\documents and settings\All Users\Dane aplikacji2009-05-07 18:03 . 2009-05-07 16:21	--------	d-----w	C:\Documents and Settings2009-05-07 18:03 . 2009-05-07 16:16	--------	d-----w	c:\documents and settings\All Users2009-05-07 18:03 . 2009-05-07 16:23	--------	d--h--w	c:\documents and settings\Default User.((((((((((((((((((((((((((((((((((((((((   Sekcja Find3M   )))))))))))))))))))))))))))))))))))))))))))))))))))).2009-05-07 19:41 . 2009-05-07 17:20	--------	d-----w	c:\program files\Common Files\Wise Installation Wizard2009-05-07 19:03 . 2009-05-07 17:52	--------	d-----w	c:\program files\Common Files\Symantec Shared2009-05-07 19:01 . 2009-03-27 08:03	1735200	----a-w	c:\windows\system32\nwiz.exe2009-05-07 19:01 . 2009-05-07 16:28	143360	------r	c:\windows\Alcmtr.exe2009-05-07 18:59 . 2008-01-29 15:29	33808	----a-w	c:\windows\system32\drivers\klbg.sys2009-05-07 18:48 . 2009-05-07 18:48	728	--sha-w	c:\windows\system32\drivers\fidbox2.idx2009-05-07 18:48 . 2009-05-07 18:48	32	--sha-w	c:\windows\system32\drivers\fidbox.idx2009-05-07 17:55 . 2009-05-07 16:23	15600	----a-w	c:\windows\gdrv.sys2009-05-07 17:39 . 2009-05-07 16:16	76487	----a-w	c:\windows\pchealth\helpctr\OfflineCache\index.dat2009-05-07 17:38 . 2009-05-07 17:38	12328	----a-w	c:\documents and settings\zasw\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT2009-05-07 16:37 . 2004-08-04 12:00	49712	----a-w	c:\windows\system32\perfc015.dat2009-05-07 16:37 . 2004-08-04 12:00	355830	----a-w	c:\windows\system32\perfh015.dat2009-05-07 16:28 . 2009-05-07 16:27	--------	d-----w	c:\program files\Realtek2009-05-07 16:28 . 2009-05-07 16:27	--------	d--h--w	c:\program files\InstallShield Installation Information2009-05-07 16:28 . 2009-05-07 16:28	315392	----a-w	c:\windows\HideWin.exe2009-05-07 16:28 . 2009-05-07 16:28	--------	d-----w	c:\program files\Common Files\InstallShield2009-05-07 16:24 . 2009-05-07 16:24	--------	d-----w	c:\program files\Intel2009-05-07 16:23 . 2009-05-07 16:23	--------	d-----w	c:\program files\Yahoo!2009-05-07 16:17 . 2009-05-07 16:17	--------	d-----w	c:\program files\microsoft frontpage2009-05-07 16:17 . 2004-08-04 12:00	67	--sha-w	c:\windows\Fonts\desktop.ini2009-05-07 16:16 . 2009-05-07 16:16	--------	d-----w	c:\program files\Usługi online2009-05-07 16:15 . 2009-05-07 16:15	21856	----a-w	c:\windows\system32\emptyregdb.dat2009-03-27 06:14 . 2009-05-07 17:16	453152	----a-w	c:\windows\system32\NVUNINST.EXE.(((((((((((((((((((((((((((((((((((((   Wpisy startowe rejestru   ))))))))))))))))))))))))))))))))))))))))))))))))))..*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane  REGEDIT4[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]"EnableLUA"= 0 (0x0)[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]"DisableTaskMgr"= 1 (0x1)"DisableRegistryTools"= 1 (0x1)[HKEY_LOCAL_MACHINE\software\microsoft\security center]"AntiVirusDisableNotify"=dword:00000001"UpdatesDisableNotify"=dword:00000001"AntiVirusOverride"=dword:00000001"FirewallOverride"=dword:00000001"UacDisableNotify"=dword:00000001[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]"DisableMonitoring"=dword:00000001[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]"AntiVirusOverride"=dword:00000001"AntiVirusDisableNotify"=dword:00000001"FirewallDisableNotify"=dword:00000001"FirewallOverride"=dword:00000001"UpdatesDisableNotify"=dword:00000001"UacDisableNotify"=dword:00000001[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]"EnableFirewall"= 0 (0x0)[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]"%windir%\\system32\\sessmgr.exe"="f:\\programy\\programy\\Eset 2.7\\nentplst.exe"="c:\\WINDOWS\\RTHDCPL.EXE"="c:\\WINDOWS\\ALCMTR.EXE"="c:\\WINDOWS\\system32\\nwiz.exe"="c:\\Program Files\\Kaspersky Lab\\Kaspersky Internet Security 2009\\avp.exe"="c:\\Program Files\\Nowe Gadu-Gadu\\spellchecker_gg.exe"=R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [2008-01-29 33808]R3 KLFLTDEV;Kaspersky Lab KLFltDev;c:\windows\system32\drivers\klfltdev.sys [2008-03-13 26640]R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [2008-04-30 24592]--- Inne Usługi/Sterowniki w Pamięci ---*NewlyCreated* - DAC970NT*Deregistered* - dac970nt..------- Skan uzupełniający -------.mStart Page = hxxp://www.yahoo.comIE: Dodaj do listy blokowanych banerów - c:\program files\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htmTCP: {E23446C0-C2CF-4977-AF19-4F1E647ABCC0} = 194.204.159.1,194.204.152.34.**************************************************************************catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.netRootkit scan 2009-05-08 19:35Windows 5.1.2600 Dodatek Service Pack 2 NTFSskanowanie ukrytych procesów ...  skanowanie ukrytych wpisów autostartu ... skanowanie ukrytych plików ...  skanowanie pomyślnie ukończoneukryte pliki: 0**************************************************************************.--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------- - - - - - - > 'explorer.exe'(1172)c:\windows\system32\browselc.dll.------------------------ Pozostałe uruchomione procesy ------------------------.c:\program files\Lavasoft\Ad-Aware\aawservice.exec:\windows\system32\nvsvc32.exec:\windows\RTHDCPL.exec:\windows\system32\rundll32.exec:\windows\system32\imapi.exe.**************************************************************************.Czas ukończenia: 2009-05-08 19:36 - komputer został uruchomiony ponownieComboFix-quarantined-files.txt  2009-05-08 17:36Przed: 10 025 852 928 bajtów wolnychPo: 10 062 204 928 bajtów wolnych147
Gość
komentarz
komentarz

Wklej do Notatnika:

Registry::[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]"DisableTaskMgr"=-"DisableRegistryTools"=-[HKEY_LOCAL_MACHINE\software\microsoft\security center]"AntiVirusDisableNotify"=dword:00000001"UpdatesDisableNotify"=dword:00000001"AntiVirusOverride"=dword:00000001"FirewallOverride"=dword:00000001"UacDisableNotify"=dword:00000001[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]"AntiVirusOverride"=dword:00000001"AntiVirusDisableNotify"=dword:00000001"FirewallDisableNotify"=dword:00000001"FirewallOverride"=dword:00000001"UpdatesDisableNotify"=dword:00000001"UacDisableNotify"=dword:00000001[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]"DisableTaskMgr"=dword:00000000"DisableRegistryTools"=dword:00000000

>>Plik>>Zapisz jako... >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

-->cfscriptb5b4me3.gif

Ma się rozpocząć usuwanie. (i powstanie log).Daj ten log, który powstanie w trakcie usuwania.

Jeśli pójdzie dobrze, to: Po restarcie usuń ręcznie folder C:\Qoobox.

.

primerk
komentarz
komentarz

To powstało po wrzuceniu tego na combo i usunołem outboxa

ComboFix 09-05-07.A01 - zasw 2009-05-08 19:48.2 - NTFSx86Microsoft Windows XP Home Edition  5.1.2600.2.1250.48.1045.18.2046.1680 [GMT 2:00]Uruchomiony z: c:\documents and settings\zasw\Pulpit\ComboFix.exeUżyto następujących komend :: c:\documents and settings\zasw\Pulpit\CFScript.txt.txtAV: Kaspersky Internet Security *On-access scanning disabled* (Updated)FW: Kaspersky Internet Security *disabled*UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !!.(((((((((((((((((((((((((((((((((((((((   Usunięto   )))))))))))))))))))))))))))))))))))))))))))))))))..(((((((((((((((((((((((((((((((((((((((   Sterowniki/Usługi   ))))))))))))))))))))))))))))))))))))))))))))))))).-------\Legacy_DAC970NT(((((((((((((((((((((((((   Pliki utworzone od 2009-04-08 do 2009-05-08  ))))))))))))))))))))))))))))))).2009-05-08 17:11 . 2009-05-08 17:11	--------	d-----w	c:\program files\Trend Micro2009-05-08 16:31 . 2009-05-08 16:31	--------	d-----w	c:\program files\CCleaner2009-05-07 19:41 . 2009-05-07 19:41	--------	d-----w	c:\program files\Lavasoft2009-05-07 19:41 . 2009-05-07 20:23	--------	d-----w	c:\documents and settings\All Users\Dane aplikacji\Lavasoft2009-05-07 19:29 . 2009-05-07 19:40	--------	d-----w	c:\documents and settings\zasw\Dane aplikacji\Lavasoft2009-05-07 18:48 . 2009-05-07 18:59	89601	----a-w	c:\windows\system32\drivers\klick.dat2009-05-07 18:48 . 2009-05-07 18:59	101287	----a-w	c:\windows\system32\drivers\klin.dat2009-05-07 18:48 . 2009-05-07 18:48	32	--sha-w	c:\windows\system32\drivers\fidbox.dat2009-05-07 18:48 . 2009-05-07 18:48	8160	--sha-w	c:\windows\system32\drivers\fidbox2.dat2009-05-07 18:48 . 2009-05-07 18:48	--------	d-----w	c:\program files\Kaspersky Lab2009-05-07 18:48 . 2009-05-07 19:12	--------	d-----w	c:\documents and settings\All Users\Dane aplikacji\Kaspersky Lab2009-05-07 18:44 . 2009-05-07 18:44	--------	d-----w	c:\documents and settings\All Users\Dane aplikacji\Kaspersky Lab Setup Files2009-05-07 18:14 . 2009-05-07 18:15	--------	d-----w	c:\documents and settings\zasw\Dane aplikacji\Nowe Gadu-Gadu2009-05-07 18:13 . 2009-05-07 18:13	--------	d-----w	c:\program files\Nowe Gadu-Gadu2009-05-07 18:06 . 2001-08-17 21:59	3072	----a-w	c:\windows\system32\drivers\audstub.sys2009-05-07 18:06 . 2004-08-03 23:01	25856	----a-w	c:\windows\system32\drivers\usbprint.sys2009-05-07 18:05 . 2004-08-04 00:35	58624	----a-w	c:\windows\system32\drivers\redbook.sys2009-05-07 18:05 . 2004-08-03 22:44	77312	-c--a-w	c:\windows\system32\dllcache\usbui.dll2009-05-07 18:05 . 2004-08-03 22:44	77312	----a-w	c:\windows\system32\usbui.dll2009-05-07 18:03 . 2009-05-07 16:30	--------	d-----w	c:\windows\system32\CatRoot2009-05-07 18:03 . 2009-05-08 17:47	--------	d-----w	c:\windows\system32\CatRoot22009-05-07 18:03 . 2009-05-07 18:04	--------	d--h--r	c:\documents and settings\Default User\Dane aplikacji2009-05-07 18:03 . 2009-05-07 19:41	--------	d--h--r	c:\documents and settings\All Users\Dane aplikacji2009-05-07 18:03 . 2009-05-07 16:21	--------	d-----w	C:\Documents and Settings2009-05-07 18:03 . 2009-05-07 16:16	--------	d-----w	c:\documents and settings\All Users2009-05-07 18:03 . 2009-05-08 17:36	--------	d--h--w	c:\documents and settings\Default User.((((((((((((((((((((((((((((((((((((((((   Sekcja Find3M   )))))))))))))))))))))))))))))))))))))))))))))))))))).2009-05-07 19:41 . 2009-05-07 17:20	--------	d-----w	c:\program files\Common Files\Wise Installation Wizard2009-05-07 19:03 . 2009-05-07 17:52	--------	d-----w	c:\program files\Common Files\Symantec Shared2009-05-07 19:01 . 2009-03-27 08:03	1735200	----a-w	c:\windows\system32\nwiz.exe2009-05-07 19:01 . 2009-05-07 16:28	143360	------r	c:\windows\Alcmtr.exe2009-05-07 18:59 . 2008-01-29 15:29	33808	----a-w	c:\windows\system32\drivers\klbg.sys2009-05-07 18:48 . 2009-05-07 18:48	728	--sha-w	c:\windows\system32\drivers\fidbox2.idx2009-05-07 18:48 . 2009-05-07 18:48	32	--sha-w	c:\windows\system32\drivers\fidbox.idx2009-05-07 17:55 . 2009-05-07 16:23	15600	----a-w	c:\windows\gdrv.sys2009-05-07 17:39 . 2009-05-07 16:16	76487	----a-w	c:\windows\pchealth\helpctr\OfflineCache\index.dat2009-05-07 17:38 . 2009-05-07 17:38	12328	----a-w	c:\documents and settings\zasw\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT2009-05-07 16:37 . 2004-08-04 12:00	49712	----a-w	c:\windows\system32\perfc015.dat2009-05-07 16:37 . 2004-08-04 12:00	355830	----a-w	c:\windows\system32\perfh015.dat2009-05-07 16:28 . 2009-05-07 16:27	--------	d-----w	c:\program files\Realtek2009-05-07 16:28 . 2009-05-07 16:27	--------	d--h--w	c:\program files\InstallShield Installation Information2009-05-07 16:28 . 2009-05-07 16:28	315392	----a-w	c:\windows\HideWin.exe2009-05-07 16:28 . 2009-05-07 16:28	--------	d-----w	c:\program files\Common Files\InstallShield2009-05-07 16:24 . 2009-05-07 16:24	--------	d-----w	c:\program files\Intel2009-05-07 16:23 . 2009-05-07 16:23	--------	d-----w	c:\program files\Yahoo!2009-05-07 16:17 . 2009-05-07 16:17	--------	d-----w	c:\program files\microsoft frontpage2009-05-07 16:17 . 2004-08-04 12:00	67	--sha-w	c:\windows\Fonts\desktop.ini2009-05-07 16:16 . 2009-05-07 16:16	--------	d-----w	c:\program files\Usługi online2009-05-07 16:15 . 2009-05-07 16:15	21856	----a-w	c:\windows\system32\emptyregdb.dat2009-03-27 06:14 . 2009-05-07 17:16	453152	----a-w	c:\windows\system32\NVUNINST.EXE.(((((((((((((((((((((((((((((   SnapShot@2009-05-08_17.36.01   ))))))))))))))))))))))))))))))))))))))))).+ 2009-05-08 17:51 . 2009-05-08 17:51	16384			  c:\windows\temp\Perflib_Perfdata_7f0.dat.(((((((((((((((((((((((((((((((((((((   Wpisy startowe rejestru   ))))))))))))))))))))))))))))))))))))))))))))))))))..*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane  REGEDIT4[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]"EnableLUA"= 0 (0x0)[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]"DisableTaskMgr"= 1 (0x1)"DisableRegistryTools"= 1 (0x1)[HKEY_LOCAL_MACHINE\software\microsoft\security center]"AntiVirusDisableNotify"=dword:00000001"UpdatesDisableNotify"=dword:00000001"AntiVirusOverride"=dword:00000001"FirewallOverride"=dword:00000001"UacDisableNotify"=dword:00000001[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]"DisableMonitoring"=dword:00000001[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]"AntiVirusOverride"=dword:00000001"AntiVirusDisableNotify"=dword:00000001"FirewallDisableNotify"=dword:00000001"FirewallOverride"=dword:00000001"UpdatesDisableNotify"=dword:00000001"UacDisableNotify"=dword:00000001[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]"EnableFirewall"= 0 (0x0)[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]"%windir%\\system32\\sessmgr.exe"="f:\\programy\\programy\\Eset 2.7\\nentplst.exe"="c:\\WINDOWS\\RTHDCPL.EXE"="c:\\WINDOWS\\ALCMTR.EXE"="c:\\WINDOWS\\system32\\nwiz.exe"="c:\\Program Files\\Kaspersky Lab\\Kaspersky Internet Security 2009\\avp.exe"="c:\\Program Files\\Nowe Gadu-Gadu\\spellchecker_gg.exe"="c:\\WINDOWS\\system32\\CF8522.exe"=R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [2008-01-29 33808]R3 KLFLTDEV;Kaspersky Lab KLFltDev;c:\windows\system32\drivers\klfltdev.sys [2008-03-13 26640]R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [2008-04-30 24592]--- Inne Usługi/Sterowniki w Pamięci ---*NewlyCreated* - DAC970NT*Deregistered* - dac970nt..------- Skan uzupełniający -------.mStart Page = hxxp://www.yahoo.comIE: Dodaj do listy blokowanych banerów - c:\program files\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htmTCP: {E23446C0-C2CF-4977-AF19-4F1E647ABCC0} = 194.204.159.1,194.204.152.34.**************************************************************************catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.netRootkit scan 2009-05-08 19:51Windows 5.1.2600 Dodatek Service Pack 2 NTFSskanowanie ukrytych procesów ...  skanowanie ukrytych wpisów autostartu ... skanowanie ukrytych plików ...  skanowanie pomyślnie ukończoneukryte pliki: 0**************************************************************************.------------------------ Pozostałe uruchomione procesy ------------------------.c:\program files\Lavasoft\Ad-Aware\aawservice.exec:\windows\system32\nvsvc32.exec:\windows\RTHDCPL.exec:\windows\system32\rundll32.exec:\windows\system32\imapi.exe.**************************************************************************.Czas ukończenia: 2009-05-08 19:51 - komputer został uruchomiony ponownieComboFix-quarantined-files.txt  2009-05-08 17:51ComboFix2.txt  2009-05-08 17:36Przed: 9 975 431 168 bajtów wolnychPo: 9 964 429 312 bajtów wolnych149
Gość
komentarz
komentarz

1. Wklej do Notatnika:

Driver::DAC970NTdac970ntRegistry::[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]"DisableTaskMgr"=-"DisableRegistryTools"=-[HKEY_LOCAL_MACHINE\software\microsoft\security center]"AntiVirusDisableNotify"=dword:00000001"UpdatesDisableNotify"=dword:00000001"AntiVirusOverride"=dword:00000001"FirewallOverride"=dword:00000001"UacDisableNotify"=dword:00000001[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]"AntiVirusOverride"=dword:00000001"AntiVirusDisableNotify"=dword:00000001"FirewallDisableNotify"=dword:00000001"FirewallOverride"=dword:00000001"UpdatesDisableNotify"=dword:00000001"UacDisableNotify"=dword:00000001[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]"DisableTaskMgr"=dword:00000000"DisableRegistryTools"=dword:00000000

>>Plik>>Zapisz jako... >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

-->cfscriptb5b4me3.gif

Ma się rozpocząć usuwanie. (i powstanie log).Daj ten log, który powstanie w trakcie usuwania.

Jeśli pójdzie dobrze, to: Po restarcie usuń ręcznie folder C:\Qoobox.

2. Użyj tego programu ---> Dr. Web CureIt!.

.

primerk
komentarz
komentarz
ComboFix 09-05-07.A01 - zasw 2009-05-08 20:07.3 - NTFSx86Microsoft Windows XP Home Edition  5.1.2600.2.1250.48.1045.18.2046.1704 [GMT 2:00]Uruchomiony z: c:\documents and settings\zasw\Pulpit\ComboFix.exeUżyto następujących komend :: c:\documents and settings\zasw\Pulpit\CFScript.txtAV: Kaspersky Internet Security *On-access scanning disabled* (Updated)FW: Kaspersky Internet Security *disabled*UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !!.(((((((((((((((((((((((((((((((((((((((   Usunięto   )))))))))))))))))))))))))))))))))))))))))))))))))..(((((((((((((((((((((((((((((((((((((((   Sterowniki/Usługi   ))))))))))))))))))))))))))))))))))))))))))))))))).-------\Legacy_DAC970NT-------\Service_dac970nt(((((((((((((((((((((((((   Pliki utworzone od 2009-04-08 do 2009-05-08  ))))))))))))))))))))))))))))))).2009-05-08 17:11 . 2009-05-08 17:11	--------	d-----w	c:\program files\Trend Micro2009-05-08 16:31 . 2009-05-08 16:31	--------	d-----w	c:\program files\CCleaner2009-05-07 19:41 . 2009-05-07 19:41	--------	d-----w	c:\program files\Lavasoft2009-05-07 19:41 . 2009-05-07 20:23	--------	d-----w	c:\documents and settings\All Users\Dane aplikacji\Lavasoft2009-05-07 19:29 . 2009-05-07 19:40	--------	d-----w	c:\documents and settings\zasw\Dane aplikacji\Lavasoft2009-05-07 18:48 . 2009-05-07 18:59	89601	----a-w	c:\windows\system32\drivers\klick.dat2009-05-07 18:48 . 2009-05-07 18:59	101287	----a-w	c:\windows\system32\drivers\klin.dat2009-05-07 18:48 . 2009-05-07 18:48	32	--sha-w	c:\windows\system32\drivers\fidbox.dat2009-05-07 18:48 . 2009-05-07 18:48	8160	--sha-w	c:\windows\system32\drivers\fidbox2.dat2009-05-07 18:48 . 2009-05-07 18:48	--------	d-----w	c:\program files\Kaspersky Lab2009-05-07 18:48 . 2009-05-07 19:12	--------	d-----w	c:\documents and settings\All Users\Dane aplikacji\Kaspersky Lab2009-05-07 18:44 . 2009-05-07 18:44	--------	d-----w	c:\documents and settings\All Users\Dane aplikacji\Kaspersky Lab Setup Files2009-05-07 18:14 . 2009-05-07 18:15	--------	d-----w	c:\documents and settings\zasw\Dane aplikacji\Nowe Gadu-Gadu2009-05-07 18:13 . 2009-05-07 18:13	--------	d-----w	c:\program files\Nowe Gadu-Gadu2009-05-07 18:06 . 2001-08-17 21:59	3072	----a-w	c:\windows\system32\drivers\audstub.sys2009-05-07 18:06 . 2004-08-03 23:01	25856	----a-w	c:\windows\system32\drivers\usbprint.sys2009-05-07 18:05 . 2004-08-04 00:35	58624	----a-w	c:\windows\system32\drivers\redbook.sys2009-05-07 18:05 . 2004-08-03 22:44	77312	-c--a-w	c:\windows\system32\dllcache\usbui.dll2009-05-07 18:05 . 2004-08-03 22:44	77312	----a-w	c:\windows\system32\usbui.dll2009-05-07 18:03 . 2009-05-07 16:30	--------	d-----w	c:\windows\system32\CatRoot2009-05-07 18:03 . 2009-05-08 18:06	--------	d-----w	c:\windows\system32\CatRoot22009-05-07 18:03 . 2009-05-07 18:04	--------	d--h--r	c:\documents and settings\Default User\Dane aplikacji2009-05-07 18:03 . 2009-05-07 19:41	--------	d--h--r	c:\documents and settings\All Users\Dane aplikacji2009-05-07 18:03 . 2009-05-07 16:21	--------	d-----w	C:\Documents and Settings2009-05-07 18:03 . 2009-05-07 16:16	--------	d-----w	c:\documents and settings\All Users2009-05-07 18:03 . 2009-05-08 17:36	--------	d--h--w	c:\documents and settings\Default User.((((((((((((((((((((((((((((((((((((((((   Sekcja Find3M   )))))))))))))))))))))))))))))))))))))))))))))))))))).2009-05-07 19:41 . 2009-05-07 17:20	--------	d-----w	c:\program files\Common Files\Wise Installation Wizard2009-05-07 19:03 . 2009-05-07 17:52	--------	d-----w	c:\program files\Common Files\Symantec Shared2009-05-07 19:01 . 2009-03-27 08:03	1735200	----a-w	c:\windows\system32\nwiz.exe2009-05-07 19:01 . 2009-05-07 16:28	143360	------r	c:\windows\Alcmtr.exe2009-05-07 18:59 . 2008-01-29 15:29	33808	----a-w	c:\windows\system32\drivers\klbg.sys2009-05-07 18:48 . 2009-05-07 18:48	728	--sha-w	c:\windows\system32\drivers\fidbox2.idx2009-05-07 18:48 . 2009-05-07 18:48	32	--sha-w	c:\windows\system32\drivers\fidbox.idx2009-05-07 17:55 . 2009-05-07 16:23	15600	----a-w	c:\windows\gdrv.sys2009-05-07 17:39 . 2009-05-07 16:16	76487	----a-w	c:\windows\pchealth\helpctr\OfflineCache\index.dat2009-05-07 17:38 . 2009-05-07 17:38	12328	----a-w	c:\documents and settings\zasw\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT2009-05-07 16:37 . 2004-08-04 12:00	49712	----a-w	c:\windows\system32\perfc015.dat2009-05-07 16:37 . 2004-08-04 12:00	355830	----a-w	c:\windows\system32\perfh015.dat2009-05-07 16:28 . 2009-05-07 16:27	--------	d-----w	c:\program files\Realtek2009-05-07 16:28 . 2009-05-07 16:27	--------	d--h--w	c:\program files\InstallShield Installation Information2009-05-07 16:28 . 2009-05-07 16:28	315392	----a-w	c:\windows\HideWin.exe2009-05-07 16:28 . 2009-05-07 16:28	--------	d-----w	c:\program files\Common Files\InstallShield2009-05-07 16:24 . 2009-05-07 16:24	--------	d-----w	c:\program files\Intel2009-05-07 16:23 . 2009-05-07 16:23	--------	d-----w	c:\program files\Yahoo!2009-05-07 16:17 . 2009-05-07 16:17	--------	d-----w	c:\program files\microsoft frontpage2009-05-07 16:17 . 2004-08-04 12:00	67	--sha-w	c:\windows\Fonts\desktop.ini2009-05-07 16:16 . 2009-05-07 16:16	--------	d-----w	c:\program files\Usługi online2009-05-07 16:15 . 2009-05-07 16:15	21856	----a-w	c:\windows\system32\emptyregdb.dat2009-03-27 06:14 . 2009-05-07 17:16	453152	----a-w	c:\windows\system32\NVUNINST.EXE.(((((((((((((((((((((((((((((((((((((   Wpisy startowe rejestru   ))))))))))))))))))))))))))))))))))))))))))))))))))..*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane  REGEDIT4[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]"Nowe Gadu-Gadu"="c:\program files\Nowe Gadu-Gadu\gg.exe" [2009-04-20 9896552][HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]"WiseStubReboot"="MSIEXEC" [X][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-03-27 13684736]"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-03-27 86016]"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2007-04-12 16132608]"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2009-05-07 1735200][HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360][HKEY_LOCAL_MACHINE\software\microsoft\security center]"AntiVirusDisableNotify"=dword:00000001"UpdatesDisableNotify"=dword:00000001"AntiVirusOverride"=dword:00000001"FirewallOverride"=dword:00000001"UacDisableNotify"=dword:00000001[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]"DisableMonitoring"=dword:00000001[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]"AntiVirusOverride"=dword:00000001"AntiVirusDisableNotify"=dword:00000001"FirewallDisableNotify"=dword:00000001"FirewallOverride"=dword:00000001"UpdatesDisableNotify"=dword:00000001"UacDisableNotify"=dword:00000001[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]"EnableFirewall"= 0 (0x0)[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]"%windir%\\system32\\sessmgr.exe"="f:\\programy\\programy\\Eset 2.7\\nentplst.exe"="c:\\WINDOWS\\RTHDCPL.EXE"="c:\\WINDOWS\\ALCMTR.EXE"="c:\\WINDOWS\\system32\\nwiz.exe"="c:\\Program Files\\Kaspersky Lab\\Kaspersky Internet Security 2009\\avp.exe"="c:\\Program Files\\Nowe Gadu-Gadu\\spellchecker_gg.exe"=R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [2008-01-29 33808]R3 KLFLTDEV;Kaspersky Lab KLFltDev;c:\windows\system32\drivers\klfltdev.sys [2008-03-13 26640]R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [2008-04-30 24592]--- Inne Usługi/Sterowniki w Pamięci ---*NewlyCreated* - DAC970NT..------- Skan uzupełniający -------.mStart Page = hxxp://www.yahoo.comIE: Dodaj do listy blokowanych banerów - c:\program files\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htmTCP: {E23446C0-C2CF-4977-AF19-4F1E647ABCC0} = 194.204.159.1,194.204.152.34.**************************************************************************catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.netRootkit scan 2009-05-08 20:09Windows 5.1.2600 Dodatek Service Pack 2 NTFSskanowanie ukrytych procesów ...  skanowanie ukrytych wpisów autostartu ... skanowanie ukrytych plików ...  skanowanie pomyślnie ukończoneukryte pliki: 0**************************************************************************.------------------------ Pozostałe uruchomione procesy ------------------------.c:\program files\Lavasoft\Ad-Aware\aawservice.exec:\windows\system32\rundll32.exec:\windows\system32\nvsvc32.exec:\windows\system32\imapi.exe.**************************************************************************.Czas ukończenia: 2009-05-08 20:10 - komputer został uruchomiony ponownieComboFix-quarantined-files.txt  2009-05-08 18:10ComboFix2.txt  2009-05-08 17:51Przed: 9 842 589 696 bajtów wolnychPo: 9 789 333 504 bajtów wolnych150

a ten program cos nie moge go pobrac jeszcze raz spróbuje

Gość
komentarz
komentarz

Próbuj, próbuj. ;)

.

primerk
komentarz
komentarz (edytowane)

Witam udalo mi sie odpalić tego dr. Weba pusciłem skaner jak się skonczy to napisze co dalej

Tu są logi po doktorku:

ComboFix 09-05-08.03 - zasw 2009-05-10 0:24.4 - NTFSx86

Microsoft Windows XP Home Edition 5.1.2600.2.1250.48.1045.18.2046.1730 [GMT 2:00]

Uruchomiony z: D:\ComboFix.exe

AV: Kaspersky Internet Security *On-access scanning disabled* (Updated)

FW: Kaspersky Internet Security *disabled*

UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !!

.

((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

((((((((((((((((((((((((((((((((((((((( Sterowniki/Usługi )))))))))))))))))))))))))))))))))))))))))))))))))

.

-------\Legacy_DAC970NT

-------\Service_dac970nt

((((((((((((((((((((((((( Pliki utworzone od 2009-04-09 do 2009-05-09 )))))))))))))))))))))))))))))))

.

2009-05-09 12:26 . 2009-05-09 17:37 -------- d-----w c:\documents and settings\zasw\DoctorWeb

2009-05-09 11:52 . 2004-08-03 21:08 26496 -c--a-w c:\windows\system32\dllcache\usbstor.sys

2009-05-08 18:20 . 2009-05-08 18:20 -------- d-----w c:\documents and settings\zasw\Ustawienia lokalne\Dane aplikacji\Help

2009-05-08 17:11 . 2009-05-08 17:11 -------- d-----w c:\program files\Trend Micro

2009-05-08 16:31 . 2009-05-08 16:31 -------- d-----w c:\program files\CCleaner

2009-05-07 19:41 . 2009-05-07 19:41 -------- d-----w c:\program files\Lavasoft

2009-05-07 19:41 . 2009-05-07 20:23 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\Lavasoft

2009-05-07 19:29 . 2009-05-07 19:40 -------- d-----w c:\documents and settings\zasw\Dane aplikacji\Lavasoft

2009-05-07 18:48 . 2009-05-07 18:59 89601 ----a-w c:\windows\system32\drivers\klick.dat

2009-05-07 18:48 . 2009-05-07 18:59 101287 ----a-w c:\windows\system32\drivers\klin.dat

2009-05-07 18:48 . 2009-05-07 18:48 32 --sha-w c:\windows\system32\drivers\fidbox.dat

2009-05-07 18:48 . 2009-05-07 18:48 8160 --sha-w c:\windows\system32\drivers\fidbox2.dat

2009-05-07 18:48 . 2009-05-07 18:48 -------- d-----w c:\program files\Kaspersky Lab

2009-05-07 18:48 . 2009-05-07 19:12 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\Kaspersky Lab

2009-05-07 18:44 . 2009-05-07 18:44 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\Kaspersky Lab Setup Files

2009-05-07 18:14 . 2009-05-07 18:15 -------- d-----w c:\documents and settings\zasw\Dane aplikacji\Nowe Gadu-Gadu

2009-05-07 18:13 . 2009-05-07 18:13 -------- d-----w c:\program files\Nowe Gadu-Gadu

2009-05-07 18:06 . 2001-08-17 21:59 3072 ----a-w c:\windows\system32\drivers\audstub.sys

2009-05-07 18:06 . 2004-08-03 23:01 25856 ----a-w c:\windows\system32\drivers\usbprint.sys

2009-05-07 18:05 . 2004-08-04 00:35 58624 ----a-w c:\windows\system32\drivers\redbook.sys

2009-05-07 18:05 . 2004-08-03 22:44 77312 -c--a-w c:\windows\system32\dllcache\usbui.dll

2009-05-07 18:05 . 2004-08-03 22:44 77312 ----a-w c:\windows\system32\usbui.dll

2009-05-07 18:03 . 2009-05-07 16:30 -------- d-----w c:\windows\system32\CatRoot

2009-05-07 18:03 . 2009-05-09 22:24 -------- d-----w c:\windows\system32\CatRoot2

2009-05-07 18:03 . 2009-05-07 18:04 -------- d--h--r c:\documents and settings\Default User\Dane aplikacji

2009-05-07 18:03 . 2009-05-07 19:41 -------- d--h--r c:\documents and settings\All Users\Dane aplikacji

2009-05-07 18:03 . 2009-05-07 16:21 -------- d-----w C:\Documents and Settings

2009-05-07 18:03 . 2009-05-07 16:16 -------- d-----w c:\documents and settings\All Users

2009-05-07 18:03 . 2009-05-08 17:36 -------- d--h--w c:\documents and settings\Default User

.

(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-05-07 19:41 . 2009-05-07 17:20 -------- d-----w c:\program files\Common Files\Wise Installation Wizard

2009-05-07 19:03 . 2009-05-07 17:52 -------- d-----w c:\program files\Common Files\Symantec Shared

2009-05-07 19:01 . 2009-05-07 16:28 139264 ------r c:\windows\Alcmtr.exe

2009-05-07 19:01 . 2009-03-27 08:03 1735200 ----a-w c:\windows\system32\nwiz.exe

2009-05-07 18:59 . 2008-01-29 15:29 33808 ----a-w c:\windows\system32\drivers\klbg.sys

2009-05-07 18:48 . 2009-05-07 18:48 728 --sha-w c:\windows\system32\drivers\fidbox2.idx

2009-05-07 18:48 . 2009-05-07 18:48 32 --sha-w c:\windows\system32\drivers\fidbox.idx

2009-05-07 17:55 . 2009-05-07 16:23 15600 ----a-w c:\windows\gdrv.sys

2009-05-07 17:39 . 2009-05-07 16:16 76487 ----a-w c:\windows\pchealth\helpctr\OfflineCache\index.dat

2009-05-07 17:38 . 2009-05-07 17:38 12328 ----a-w c:\documents and settings\zasw\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT

2009-05-07 16:37 . 2004-08-04 12:00 49712 ----a-w c:\windows\system32\perfc015.dat

2009-05-07 16:37 . 2004-08-04 12:00 355830 ----a-w c:\windows\system32\perfh015.dat

2009-05-07 16:28 . 2009-05-07 16:27 -------- d-----w c:\program files\Realtek

2009-05-07 16:28 . 2009-05-07 16:27 -------- d--h--w c:\program files\InstallShield Installation Information

2009-05-07 16:28 . 2009-05-07 16:28 315392 ----a-w c:\windows\HideWin.exe

2009-05-07 16:28 . 2009-05-07 16:28 -------- d-----w c:\program files\Common Files\InstallShield

2009-05-07 16:24 . 2009-05-07 16:24 -------- d-----w c:\program files\Intel

2009-05-07 16:23 . 2009-05-07 16:23 -------- d-----w c:\program files\Yahoo!

2009-05-07 16:17 . 2009-05-07 16:17 -------- d-----w c:\program files\microsoft frontpage

2009-05-07 16:17 . 2004-08-04 12:00 67 --sha-w c:\windows\Fonts\desktop.ini

2009-05-07 16:16 . 2009-05-07 16:16 -------- d-----w c:\program files\Usługi online

2009-05-07 16:15 . 2009-05-07 16:15 21856 ----a-w c:\windows\system32\emptyregdb.dat

2009-03-27 06:14 . 2009-05-07 17:16 453152 ----a-w c:\windows\system32\NVUNINST.EXE

.

((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]

"Nowe Gadu-Gadu"="c:\program files\Nowe Gadu-Gadu\gg.exe" [2009-04-20 9966184]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

"WiseStubReboot"="MSIEXEC" [X]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-03-27 13684736]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-03-27 86016]

"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2007-04-12 16132608]

"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2009-05-07 1735200]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"EnableLUA"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]

"DisableTaskMgr"= 1 (0x1)

"DisableRegistryTools"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusDisableNotify"=dword:00000001

"UpdatesDisableNotify"=dword:00000001

"AntiVirusOverride"=dword:00000001

"FirewallOverride"=dword:00000001

"UacDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]

"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]

"AntiVirusOverride"=dword:00000001

"AntiVirusDisableNotify"=dword:00000001

"FirewallDisableNotify"=dword:00000001

"FirewallOverride"=dword:00000001

"UpdatesDisableNotify"=dword:00000001

"UacDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"f:\\programy\\programy\\Eset 2.7\\nentplst.exe"=

"c:\\WINDOWS\\RTHDCPL.EXE"=

"c:\\WINDOWS\\ALCMTR.EXE"=

"c:\\WINDOWS\\system32\\nwiz.exe"=

"c:\\Program Files\\Kaspersky Lab\\Kaspersky Internet Security 2009\\avp.exe"=

"c:\\Program Files\\Nowe Gadu-Gadu\\spellchecker_gg.exe"=

"c:\\WINDOWS\\system32\\CF16997.exe"=

R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [2008-01-29 33808]

R3 KLFLTDEV;Kaspersky Lab KLFltDev;c:\windows\system32\drivers\klfltdev.sys [2008-03-13 26640]

R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [2008-04-30 24592]

--- Inne Usługi/Sterowniki w Pamięci ---

*NewlyCreated* - DAC970NT

.

.

------- Skan uzupełniający -------

.

mStart Page = hxxp://www.yahoo.com

IE: Dodaj do listy blokowanych banerów - c:\program files\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm

TCP: {E23446C0-C2CF-4977-AF19-4F1E647ABCC0} = 194.204.159.1,194.204.152.34

.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-05-10 00:26

Windows 5.1.2600 Dodatek Service Pack 2 NTFS

skanowanie ukrytych procesów ...

skanowanie ukrytych wpisów autostartu ...

skanowanie ukrytych plików ...

skanowanie pomyślnie ukończone

ukryte pliki: 0

**************************************************************************

.

------------------------ Pozostałe uruchomione procesy ------------------------

.

c:\program files\Lavasoft\Ad-Aware\aawservice.exe

c:\windows\system32\rundll32.exe

c:\windows\system32\nvsvc32.exe

c:\windows\system32\imapi.exe

.

**************************************************************************

.

Czas ukończenia: 2009-05-09 0:27 - komputer został uruchomiony ponownie

ComboFix-quarantined-files.txt 2009-05-09 22:27

ComboFix2.txt 2009-05-08 18:10

Przed: 9 352 200 192 bajtów wolnych

Po: 9 348 386 816 bajtów wolnych

158

Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!

Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.

×
×
  • Dodaj nową pozycję...

Powiadomienie o plikach cookie

Strona wykorzystuje pliki cookies w celu prawidłowego świadczenia usług i wygody użytkowników. Warunki przechowywania i dostępu do plików cookies możesz zmienić w ustawieniach przeglądarki.