primerk utworzono 8 maja 2009 utworzono 8 maja 2009 Pomużcie mi to naprwić walcze tu już 3 dzień z tymi wirusami :/ nie otwieras mi sie menadżer zadań po naciśnięciu ctrl+alt+del. Nie moge wejść do rejestru pisze że zablokowane przez administratora. Nie moge zainstalować zadnego antywira! mam coś takiego jak AD-Aware ale też nie daje rady :/ co mam zrobić tu są moje logi z Hijack: Logfile of Trend Micro HijackThis v2.0.2Scan saved at 19:11:37, on 2009-05-08Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Boot mode: NormalRunning processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\Lavasoft\Ad-Aware\aawservice.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\system32\ctfmon.exeC:\WINDOWS\system32\nvsvc32.exeC:\Program Files\Lavasoft\Ad-Aware\Ad-Aware.exeC:\Program Files\Internet Explorer\iexplore.exeC:\WINDOWS\system32\wuauclt.exeC:\Program Files\Nowe Gadu-Gadu\gg.exeC:\Program Files\Nowe Gadu-Gadu\spellchecker_gg.exeC:\Program Files\Trend Micro\HijackThis\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.yahoo.comR0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.comR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = ŁączaO2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_6_0_1.dllO2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dllO3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_6_0_1.dllO4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXEO4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXEO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [nwiz] nwiz.exe /installO4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInitO4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exeO4 - HKCU\..\Run: [Nowe Gadu-Gadu] "C:\Program Files\Nowe Gadu-Gadu\gg.exe"O4 - HKCU\..\RunOnce: [WiseStubReboot] MSIEXEC /quiet SKIP_PPU_DRIVER_INSTALL=1 /I "C:\Program Files\Common Files\Wise Installation Wizard\WISDD1865F0AD7340FBB23E1822E02396FF_9_09_0203.MSI" TRANSFORMS="C:\Program Files\Common Files\Wise Installation Wizard\WISDD1865F0AD7340FBB23E1822E02396FF_9_09_0203.MST" WISE_SETUP_EXE_PATH="c:\nvidia\winxp\182.50\is\PhysX_9.09.0203_SystemSoftware.exe"O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1O8 - Extra context menu item: Dodaj do listy blokowanych banerów - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htmO9 - Extra button: Statystyki ochrony WWW - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dllO9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO17 - HKLM\System\CCS\Services\Tcpip\..\{E23446C0-C2CF-4977-AF19-4F1E647ABCC0}: NameServer = 194.204.159.1,194.204.152.34O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dllO23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exeO23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe--End of file - 4209 bytes
Gość komentarz 8 maja 2009 komentarz 8 maja 2009 W logu widać tylko zablokowany rejestr... Daj log z ComboFixa. .
primerk komentarz 8 maja 2009 Autor komentarz 8 maja 2009 ComboFix 09-05-07.A01 - zasw 2009-05-08 19:33.1 - NTFSx86Microsoft Windows XP Home Edition 5.1.2600.2.1250.48.1045.18.2046.937 [GMT 2:00]Uruchomiony z: c:\documents and settings\zasw\Pulpit\ComboFix.exeAV: Kaspersky Internet Security *On-access scanning disabled* (Updated)FW: Kaspersky Internet Security *disabled*UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !!.((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))..((((((((((((((((((((((((((((((((((((((( Sterowniki/Usługi ))))))))))))))))))))))))))))))))))))))))))))))))).-------\Legacy_DAC970NT-------\Service_dac970nt((((((((((((((((((((((((( Pliki utworzone od 2009-04-08 do 2009-05-08 ))))))))))))))))))))))))))))))).2009-05-08 17:11 . 2009-05-08 17:11 -------- d-----w c:\program files\Trend Micro2009-05-08 16:31 . 2009-05-08 16:31 -------- d-----w c:\program files\CCleaner2009-05-07 19:41 . 2009-05-07 19:41 -------- d-----w c:\program files\Lavasoft2009-05-07 19:41 . 2009-05-07 20:23 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\Lavasoft2009-05-07 19:29 . 2009-05-07 19:40 -------- d-----w c:\documents and settings\zasw\Dane aplikacji\Lavasoft2009-05-07 18:48 . 2009-05-07 18:59 89601 ----a-w c:\windows\system32\drivers\klick.dat2009-05-07 18:48 . 2009-05-07 18:59 101287 ----a-w c:\windows\system32\drivers\klin.dat2009-05-07 18:48 . 2009-05-07 18:48 32 --sha-w c:\windows\system32\drivers\fidbox.dat2009-05-07 18:48 . 2009-05-07 18:48 8160 --sha-w c:\windows\system32\drivers\fidbox2.dat2009-05-07 18:48 . 2009-05-07 18:48 -------- d-----w c:\program files\Kaspersky Lab2009-05-07 18:48 . 2009-05-07 19:12 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\Kaspersky Lab2009-05-07 18:44 . 2009-05-07 18:44 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\Kaspersky Lab Setup Files2009-05-07 18:14 . 2009-05-07 18:15 -------- d-----w c:\documents and settings\zasw\Dane aplikacji\Nowe Gadu-Gadu2009-05-07 18:13 . 2009-05-07 18:13 -------- d-----w c:\program files\Nowe Gadu-Gadu2009-05-07 18:06 . 2001-08-17 21:59 3072 ----a-w c:\windows\system32\drivers\audstub.sys2009-05-07 18:06 . 2004-08-03 23:01 25856 ----a-w c:\windows\system32\drivers\usbprint.sys2009-05-07 18:05 . 2004-08-04 00:35 58624 ----a-w c:\windows\system32\drivers\redbook.sys2009-05-07 18:05 . 2004-08-03 22:44 77312 -c--a-w c:\windows\system32\dllcache\usbui.dll2009-05-07 18:05 . 2004-08-03 22:44 77312 ----a-w c:\windows\system32\usbui.dll2009-05-07 18:03 . 2009-05-07 16:30 -------- d-----w c:\windows\system32\CatRoot2009-05-07 18:03 . 2009-05-08 17:33 -------- d-----w c:\windows\system32\CatRoot22009-05-07 18:03 . 2009-05-07 18:04 -------- d--h--r c:\documents and settings\Default User\Dane aplikacji2009-05-07 18:03 . 2009-05-07 19:41 -------- d--h--r c:\documents and settings\All Users\Dane aplikacji2009-05-07 18:03 . 2009-05-07 16:21 -------- d-----w C:\Documents and Settings2009-05-07 18:03 . 2009-05-07 16:16 -------- d-----w c:\documents and settings\All Users2009-05-07 18:03 . 2009-05-07 16:23 -------- d--h--w c:\documents and settings\Default User.(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))).2009-05-07 19:41 . 2009-05-07 17:20 -------- d-----w c:\program files\Common Files\Wise Installation Wizard2009-05-07 19:03 . 2009-05-07 17:52 -------- d-----w c:\program files\Common Files\Symantec Shared2009-05-07 19:01 . 2009-03-27 08:03 1735200 ----a-w c:\windows\system32\nwiz.exe2009-05-07 19:01 . 2009-05-07 16:28 143360 ------r c:\windows\Alcmtr.exe2009-05-07 18:59 . 2008-01-29 15:29 33808 ----a-w c:\windows\system32\drivers\klbg.sys2009-05-07 18:48 . 2009-05-07 18:48 728 --sha-w c:\windows\system32\drivers\fidbox2.idx2009-05-07 18:48 . 2009-05-07 18:48 32 --sha-w c:\windows\system32\drivers\fidbox.idx2009-05-07 17:55 . 2009-05-07 16:23 15600 ----a-w c:\windows\gdrv.sys2009-05-07 17:39 . 2009-05-07 16:16 76487 ----a-w c:\windows\pchealth\helpctr\OfflineCache\index.dat2009-05-07 17:38 . 2009-05-07 17:38 12328 ----a-w c:\documents and settings\zasw\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT2009-05-07 16:37 . 2004-08-04 12:00 49712 ----a-w c:\windows\system32\perfc015.dat2009-05-07 16:37 . 2004-08-04 12:00 355830 ----a-w c:\windows\system32\perfh015.dat2009-05-07 16:28 . 2009-05-07 16:27 -------- d-----w c:\program files\Realtek2009-05-07 16:28 . 2009-05-07 16:27 -------- d--h--w c:\program files\InstallShield Installation Information2009-05-07 16:28 . 2009-05-07 16:28 315392 ----a-w c:\windows\HideWin.exe2009-05-07 16:28 . 2009-05-07 16:28 -------- d-----w c:\program files\Common Files\InstallShield2009-05-07 16:24 . 2009-05-07 16:24 -------- d-----w c:\program files\Intel2009-05-07 16:23 . 2009-05-07 16:23 -------- d-----w c:\program files\Yahoo!2009-05-07 16:17 . 2009-05-07 16:17 -------- d-----w c:\program files\microsoft frontpage2009-05-07 16:17 . 2004-08-04 12:00 67 --sha-w c:\windows\Fonts\desktop.ini2009-05-07 16:16 . 2009-05-07 16:16 -------- d-----w c:\program files\Usługi online2009-05-07 16:15 . 2009-05-07 16:15 21856 ----a-w c:\windows\system32\emptyregdb.dat2009-03-27 06:14 . 2009-05-07 17:16 453152 ----a-w c:\windows\system32\NVUNINST.EXE.((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))..*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane REGEDIT4[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]"EnableLUA"= 0 (0x0)[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]"DisableTaskMgr"= 1 (0x1)"DisableRegistryTools"= 1 (0x1)[HKEY_LOCAL_MACHINE\software\microsoft\security center]"AntiVirusDisableNotify"=dword:00000001"UpdatesDisableNotify"=dword:00000001"AntiVirusOverride"=dword:00000001"FirewallOverride"=dword:00000001"UacDisableNotify"=dword:00000001[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]"DisableMonitoring"=dword:00000001[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]"AntiVirusOverride"=dword:00000001"AntiVirusDisableNotify"=dword:00000001"FirewallDisableNotify"=dword:00000001"FirewallOverride"=dword:00000001"UpdatesDisableNotify"=dword:00000001"UacDisableNotify"=dword:00000001[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]"EnableFirewall"= 0 (0x0)[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]"%windir%\\system32\\sessmgr.exe"="f:\\programy\\programy\\Eset 2.7\\nentplst.exe"="c:\\WINDOWS\\RTHDCPL.EXE"="c:\\WINDOWS\\ALCMTR.EXE"="c:\\WINDOWS\\system32\\nwiz.exe"="c:\\Program Files\\Kaspersky Lab\\Kaspersky Internet Security 2009\\avp.exe"="c:\\Program Files\\Nowe Gadu-Gadu\\spellchecker_gg.exe"=R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [2008-01-29 33808]R3 KLFLTDEV;Kaspersky Lab KLFltDev;c:\windows\system32\drivers\klfltdev.sys [2008-03-13 26640]R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [2008-04-30 24592]--- Inne Usługi/Sterowniki w Pamięci ---*NewlyCreated* - DAC970NT*Deregistered* - dac970nt..------- Skan uzupełniający -------.mStart Page = hxxp://www.yahoo.comIE: Dodaj do listy blokowanych banerów - c:\program files\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htmTCP: {E23446C0-C2CF-4977-AF19-4F1E647ABCC0} = 194.204.159.1,194.204.152.34.**************************************************************************catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.netRootkit scan 2009-05-08 19:35Windows 5.1.2600 Dodatek Service Pack 2 NTFSskanowanie ukrytych procesów ... skanowanie ukrytych wpisów autostartu ... skanowanie ukrytych plików ... skanowanie pomyślnie ukończoneukryte pliki: 0**************************************************************************.--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------- - - - - - - > 'explorer.exe'(1172)c:\windows\system32\browselc.dll.------------------------ Pozostałe uruchomione procesy ------------------------.c:\program files\Lavasoft\Ad-Aware\aawservice.exec:\windows\system32\nvsvc32.exec:\windows\RTHDCPL.exec:\windows\system32\rundll32.exec:\windows\system32\imapi.exe.**************************************************************************.Czas ukończenia: 2009-05-08 19:36 - komputer został uruchomiony ponownieComboFix-quarantined-files.txt 2009-05-08 17:36Przed: 10 025 852 928 bajtów wolnychPo: 10 062 204 928 bajtów wolnych147
Gość komentarz 8 maja 2009 komentarz 8 maja 2009 Wklej do Notatnika: Registry::[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]"DisableTaskMgr"=-"DisableRegistryTools"=-[HKEY_LOCAL_MACHINE\software\microsoft\security center]"AntiVirusDisableNotify"=dword:00000001"UpdatesDisableNotify"=dword:00000001"AntiVirusOverride"=dword:00000001"FirewallOverride"=dword:00000001"UacDisableNotify"=dword:00000001[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]"AntiVirusOverride"=dword:00000001"AntiVirusDisableNotify"=dword:00000001"FirewallDisableNotify"=dword:00000001"FirewallOverride"=dword:00000001"UpdatesDisableNotify"=dword:00000001"UacDisableNotify"=dword:00000001[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]"DisableTaskMgr"=dword:00000000"DisableRegistryTools"=dword:00000000 >>Plik>>Zapisz jako... >>> CFScript Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe --> Ma się rozpocząć usuwanie. (i powstanie log).Daj ten log, który powstanie w trakcie usuwania. Jeśli pójdzie dobrze, to: Po restarcie usuń ręcznie folder C:\Qoobox. .
primerk komentarz 8 maja 2009 Autor komentarz 8 maja 2009 To powstało po wrzuceniu tego na combo i usunołem outboxa ComboFix 09-05-07.A01 - zasw 2009-05-08 19:48.2 - NTFSx86Microsoft Windows XP Home Edition 5.1.2600.2.1250.48.1045.18.2046.1680 [GMT 2:00]Uruchomiony z: c:\documents and settings\zasw\Pulpit\ComboFix.exeUżyto następujących komend :: c:\documents and settings\zasw\Pulpit\CFScript.txt.txtAV: Kaspersky Internet Security *On-access scanning disabled* (Updated)FW: Kaspersky Internet Security *disabled*UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !!.((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))..((((((((((((((((((((((((((((((((((((((( Sterowniki/Usługi ))))))))))))))))))))))))))))))))))))))))))))))))).-------\Legacy_DAC970NT((((((((((((((((((((((((( Pliki utworzone od 2009-04-08 do 2009-05-08 ))))))))))))))))))))))))))))))).2009-05-08 17:11 . 2009-05-08 17:11 -------- d-----w c:\program files\Trend Micro2009-05-08 16:31 . 2009-05-08 16:31 -------- d-----w c:\program files\CCleaner2009-05-07 19:41 . 2009-05-07 19:41 -------- d-----w c:\program files\Lavasoft2009-05-07 19:41 . 2009-05-07 20:23 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\Lavasoft2009-05-07 19:29 . 2009-05-07 19:40 -------- d-----w c:\documents and settings\zasw\Dane aplikacji\Lavasoft2009-05-07 18:48 . 2009-05-07 18:59 89601 ----a-w c:\windows\system32\drivers\klick.dat2009-05-07 18:48 . 2009-05-07 18:59 101287 ----a-w c:\windows\system32\drivers\klin.dat2009-05-07 18:48 . 2009-05-07 18:48 32 --sha-w c:\windows\system32\drivers\fidbox.dat2009-05-07 18:48 . 2009-05-07 18:48 8160 --sha-w c:\windows\system32\drivers\fidbox2.dat2009-05-07 18:48 . 2009-05-07 18:48 -------- d-----w c:\program files\Kaspersky Lab2009-05-07 18:48 . 2009-05-07 19:12 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\Kaspersky Lab2009-05-07 18:44 . 2009-05-07 18:44 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\Kaspersky Lab Setup Files2009-05-07 18:14 . 2009-05-07 18:15 -------- d-----w c:\documents and settings\zasw\Dane aplikacji\Nowe Gadu-Gadu2009-05-07 18:13 . 2009-05-07 18:13 -------- d-----w c:\program files\Nowe Gadu-Gadu2009-05-07 18:06 . 2001-08-17 21:59 3072 ----a-w c:\windows\system32\drivers\audstub.sys2009-05-07 18:06 . 2004-08-03 23:01 25856 ----a-w c:\windows\system32\drivers\usbprint.sys2009-05-07 18:05 . 2004-08-04 00:35 58624 ----a-w c:\windows\system32\drivers\redbook.sys2009-05-07 18:05 . 2004-08-03 22:44 77312 -c--a-w c:\windows\system32\dllcache\usbui.dll2009-05-07 18:05 . 2004-08-03 22:44 77312 ----a-w c:\windows\system32\usbui.dll2009-05-07 18:03 . 2009-05-07 16:30 -------- d-----w c:\windows\system32\CatRoot2009-05-07 18:03 . 2009-05-08 17:47 -------- d-----w c:\windows\system32\CatRoot22009-05-07 18:03 . 2009-05-07 18:04 -------- d--h--r c:\documents and settings\Default User\Dane aplikacji2009-05-07 18:03 . 2009-05-07 19:41 -------- d--h--r c:\documents and settings\All Users\Dane aplikacji2009-05-07 18:03 . 2009-05-07 16:21 -------- d-----w C:\Documents and Settings2009-05-07 18:03 . 2009-05-07 16:16 -------- d-----w c:\documents and settings\All Users2009-05-07 18:03 . 2009-05-08 17:36 -------- d--h--w c:\documents and settings\Default User.(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))).2009-05-07 19:41 . 2009-05-07 17:20 -------- d-----w c:\program files\Common Files\Wise Installation Wizard2009-05-07 19:03 . 2009-05-07 17:52 -------- d-----w c:\program files\Common Files\Symantec Shared2009-05-07 19:01 . 2009-03-27 08:03 1735200 ----a-w c:\windows\system32\nwiz.exe2009-05-07 19:01 . 2009-05-07 16:28 143360 ------r c:\windows\Alcmtr.exe2009-05-07 18:59 . 2008-01-29 15:29 33808 ----a-w c:\windows\system32\drivers\klbg.sys2009-05-07 18:48 . 2009-05-07 18:48 728 --sha-w c:\windows\system32\drivers\fidbox2.idx2009-05-07 18:48 . 2009-05-07 18:48 32 --sha-w c:\windows\system32\drivers\fidbox.idx2009-05-07 17:55 . 2009-05-07 16:23 15600 ----a-w c:\windows\gdrv.sys2009-05-07 17:39 . 2009-05-07 16:16 76487 ----a-w c:\windows\pchealth\helpctr\OfflineCache\index.dat2009-05-07 17:38 . 2009-05-07 17:38 12328 ----a-w c:\documents and settings\zasw\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT2009-05-07 16:37 . 2004-08-04 12:00 49712 ----a-w c:\windows\system32\perfc015.dat2009-05-07 16:37 . 2004-08-04 12:00 355830 ----a-w c:\windows\system32\perfh015.dat2009-05-07 16:28 . 2009-05-07 16:27 -------- d-----w c:\program files\Realtek2009-05-07 16:28 . 2009-05-07 16:27 -------- d--h--w c:\program files\InstallShield Installation Information2009-05-07 16:28 . 2009-05-07 16:28 315392 ----a-w c:\windows\HideWin.exe2009-05-07 16:28 . 2009-05-07 16:28 -------- d-----w c:\program files\Common Files\InstallShield2009-05-07 16:24 . 2009-05-07 16:24 -------- d-----w c:\program files\Intel2009-05-07 16:23 . 2009-05-07 16:23 -------- d-----w c:\program files\Yahoo!2009-05-07 16:17 . 2009-05-07 16:17 -------- d-----w c:\program files\microsoft frontpage2009-05-07 16:17 . 2004-08-04 12:00 67 --sha-w c:\windows\Fonts\desktop.ini2009-05-07 16:16 . 2009-05-07 16:16 -------- d-----w c:\program files\Usługi online2009-05-07 16:15 . 2009-05-07 16:15 21856 ----a-w c:\windows\system32\emptyregdb.dat2009-03-27 06:14 . 2009-05-07 17:16 453152 ----a-w c:\windows\system32\NVUNINST.EXE.((((((((((((((((((((((((((((( SnapShot@2009-05-08_17.36.01 ))))))))))))))))))))))))))))))))))))))))).+ 2009-05-08 17:51 . 2009-05-08 17:51 16384 c:\windows\temp\Perflib_Perfdata_7f0.dat.((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))..*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane REGEDIT4[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]"EnableLUA"= 0 (0x0)[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]"DisableTaskMgr"= 1 (0x1)"DisableRegistryTools"= 1 (0x1)[HKEY_LOCAL_MACHINE\software\microsoft\security center]"AntiVirusDisableNotify"=dword:00000001"UpdatesDisableNotify"=dword:00000001"AntiVirusOverride"=dword:00000001"FirewallOverride"=dword:00000001"UacDisableNotify"=dword:00000001[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]"DisableMonitoring"=dword:00000001[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]"AntiVirusOverride"=dword:00000001"AntiVirusDisableNotify"=dword:00000001"FirewallDisableNotify"=dword:00000001"FirewallOverride"=dword:00000001"UpdatesDisableNotify"=dword:00000001"UacDisableNotify"=dword:00000001[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]"EnableFirewall"= 0 (0x0)[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]"%windir%\\system32\\sessmgr.exe"="f:\\programy\\programy\\Eset 2.7\\nentplst.exe"="c:\\WINDOWS\\RTHDCPL.EXE"="c:\\WINDOWS\\ALCMTR.EXE"="c:\\WINDOWS\\system32\\nwiz.exe"="c:\\Program Files\\Kaspersky Lab\\Kaspersky Internet Security 2009\\avp.exe"="c:\\Program Files\\Nowe Gadu-Gadu\\spellchecker_gg.exe"="c:\\WINDOWS\\system32\\CF8522.exe"=R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [2008-01-29 33808]R3 KLFLTDEV;Kaspersky Lab KLFltDev;c:\windows\system32\drivers\klfltdev.sys [2008-03-13 26640]R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [2008-04-30 24592]--- Inne Usługi/Sterowniki w Pamięci ---*NewlyCreated* - DAC970NT*Deregistered* - dac970nt..------- Skan uzupełniający -------.mStart Page = hxxp://www.yahoo.comIE: Dodaj do listy blokowanych banerów - c:\program files\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htmTCP: {E23446C0-C2CF-4977-AF19-4F1E647ABCC0} = 194.204.159.1,194.204.152.34.**************************************************************************catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.netRootkit scan 2009-05-08 19:51Windows 5.1.2600 Dodatek Service Pack 2 NTFSskanowanie ukrytych procesów ... skanowanie ukrytych wpisów autostartu ... skanowanie ukrytych plików ... skanowanie pomyślnie ukończoneukryte pliki: 0**************************************************************************.------------------------ Pozostałe uruchomione procesy ------------------------.c:\program files\Lavasoft\Ad-Aware\aawservice.exec:\windows\system32\nvsvc32.exec:\windows\RTHDCPL.exec:\windows\system32\rundll32.exec:\windows\system32\imapi.exe.**************************************************************************.Czas ukończenia: 2009-05-08 19:51 - komputer został uruchomiony ponownieComboFix-quarantined-files.txt 2009-05-08 17:51ComboFix2.txt 2009-05-08 17:36Przed: 9 975 431 168 bajtów wolnychPo: 9 964 429 312 bajtów wolnych149
Gość komentarz 8 maja 2009 komentarz 8 maja 2009 1. Wklej do Notatnika: Driver::DAC970NTdac970ntRegistry::[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]"DisableTaskMgr"=-"DisableRegistryTools"=-[HKEY_LOCAL_MACHINE\software\microsoft\security center]"AntiVirusDisableNotify"=dword:00000001"UpdatesDisableNotify"=dword:00000001"AntiVirusOverride"=dword:00000001"FirewallOverride"=dword:00000001"UacDisableNotify"=dword:00000001[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]"AntiVirusOverride"=dword:00000001"AntiVirusDisableNotify"=dword:00000001"FirewallDisableNotify"=dword:00000001"FirewallOverride"=dword:00000001"UpdatesDisableNotify"=dword:00000001"UacDisableNotify"=dword:00000001[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]"DisableTaskMgr"=dword:00000000"DisableRegistryTools"=dword:00000000 >>Plik>>Zapisz jako... >>> CFScript Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe --> Ma się rozpocząć usuwanie. (i powstanie log).Daj ten log, który powstanie w trakcie usuwania. Jeśli pójdzie dobrze, to: Po restarcie usuń ręcznie folder C:\Qoobox. 2. Użyj tego programu ---> Dr. Web CureIt!. .
primerk komentarz 8 maja 2009 Autor komentarz 8 maja 2009 ComboFix 09-05-07.A01 - zasw 2009-05-08 20:07.3 - NTFSx86Microsoft Windows XP Home Edition 5.1.2600.2.1250.48.1045.18.2046.1704 [GMT 2:00]Uruchomiony z: c:\documents and settings\zasw\Pulpit\ComboFix.exeUżyto następujących komend :: c:\documents and settings\zasw\Pulpit\CFScript.txtAV: Kaspersky Internet Security *On-access scanning disabled* (Updated)FW: Kaspersky Internet Security *disabled*UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !!.((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))..((((((((((((((((((((((((((((((((((((((( Sterowniki/Usługi ))))))))))))))))))))))))))))))))))))))))))))))))).-------\Legacy_DAC970NT-------\Service_dac970nt((((((((((((((((((((((((( Pliki utworzone od 2009-04-08 do 2009-05-08 ))))))))))))))))))))))))))))))).2009-05-08 17:11 . 2009-05-08 17:11 -------- d-----w c:\program files\Trend Micro2009-05-08 16:31 . 2009-05-08 16:31 -------- d-----w c:\program files\CCleaner2009-05-07 19:41 . 2009-05-07 19:41 -------- d-----w c:\program files\Lavasoft2009-05-07 19:41 . 2009-05-07 20:23 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\Lavasoft2009-05-07 19:29 . 2009-05-07 19:40 -------- d-----w c:\documents and settings\zasw\Dane aplikacji\Lavasoft2009-05-07 18:48 . 2009-05-07 18:59 89601 ----a-w c:\windows\system32\drivers\klick.dat2009-05-07 18:48 . 2009-05-07 18:59 101287 ----a-w c:\windows\system32\drivers\klin.dat2009-05-07 18:48 . 2009-05-07 18:48 32 --sha-w c:\windows\system32\drivers\fidbox.dat2009-05-07 18:48 . 2009-05-07 18:48 8160 --sha-w c:\windows\system32\drivers\fidbox2.dat2009-05-07 18:48 . 2009-05-07 18:48 -------- d-----w c:\program files\Kaspersky Lab2009-05-07 18:48 . 2009-05-07 19:12 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\Kaspersky Lab2009-05-07 18:44 . 2009-05-07 18:44 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\Kaspersky Lab Setup Files2009-05-07 18:14 . 2009-05-07 18:15 -------- d-----w c:\documents and settings\zasw\Dane aplikacji\Nowe Gadu-Gadu2009-05-07 18:13 . 2009-05-07 18:13 -------- d-----w c:\program files\Nowe Gadu-Gadu2009-05-07 18:06 . 2001-08-17 21:59 3072 ----a-w c:\windows\system32\drivers\audstub.sys2009-05-07 18:06 . 2004-08-03 23:01 25856 ----a-w c:\windows\system32\drivers\usbprint.sys2009-05-07 18:05 . 2004-08-04 00:35 58624 ----a-w c:\windows\system32\drivers\redbook.sys2009-05-07 18:05 . 2004-08-03 22:44 77312 -c--a-w c:\windows\system32\dllcache\usbui.dll2009-05-07 18:05 . 2004-08-03 22:44 77312 ----a-w c:\windows\system32\usbui.dll2009-05-07 18:03 . 2009-05-07 16:30 -------- d-----w c:\windows\system32\CatRoot2009-05-07 18:03 . 2009-05-08 18:06 -------- d-----w c:\windows\system32\CatRoot22009-05-07 18:03 . 2009-05-07 18:04 -------- d--h--r c:\documents and settings\Default User\Dane aplikacji2009-05-07 18:03 . 2009-05-07 19:41 -------- d--h--r c:\documents and settings\All Users\Dane aplikacji2009-05-07 18:03 . 2009-05-07 16:21 -------- d-----w C:\Documents and Settings2009-05-07 18:03 . 2009-05-07 16:16 -------- d-----w c:\documents and settings\All Users2009-05-07 18:03 . 2009-05-08 17:36 -------- d--h--w c:\documents and settings\Default User.(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))).2009-05-07 19:41 . 2009-05-07 17:20 -------- d-----w c:\program files\Common Files\Wise Installation Wizard2009-05-07 19:03 . 2009-05-07 17:52 -------- d-----w c:\program files\Common Files\Symantec Shared2009-05-07 19:01 . 2009-03-27 08:03 1735200 ----a-w c:\windows\system32\nwiz.exe2009-05-07 19:01 . 2009-05-07 16:28 143360 ------r c:\windows\Alcmtr.exe2009-05-07 18:59 . 2008-01-29 15:29 33808 ----a-w c:\windows\system32\drivers\klbg.sys2009-05-07 18:48 . 2009-05-07 18:48 728 --sha-w c:\windows\system32\drivers\fidbox2.idx2009-05-07 18:48 . 2009-05-07 18:48 32 --sha-w c:\windows\system32\drivers\fidbox.idx2009-05-07 17:55 . 2009-05-07 16:23 15600 ----a-w c:\windows\gdrv.sys2009-05-07 17:39 . 2009-05-07 16:16 76487 ----a-w c:\windows\pchealth\helpctr\OfflineCache\index.dat2009-05-07 17:38 . 2009-05-07 17:38 12328 ----a-w c:\documents and settings\zasw\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT2009-05-07 16:37 . 2004-08-04 12:00 49712 ----a-w c:\windows\system32\perfc015.dat2009-05-07 16:37 . 2004-08-04 12:00 355830 ----a-w c:\windows\system32\perfh015.dat2009-05-07 16:28 . 2009-05-07 16:27 -------- d-----w c:\program files\Realtek2009-05-07 16:28 . 2009-05-07 16:27 -------- d--h--w c:\program files\InstallShield Installation Information2009-05-07 16:28 . 2009-05-07 16:28 315392 ----a-w c:\windows\HideWin.exe2009-05-07 16:28 . 2009-05-07 16:28 -------- d-----w c:\program files\Common Files\InstallShield2009-05-07 16:24 . 2009-05-07 16:24 -------- d-----w c:\program files\Intel2009-05-07 16:23 . 2009-05-07 16:23 -------- d-----w c:\program files\Yahoo!2009-05-07 16:17 . 2009-05-07 16:17 -------- d-----w c:\program files\microsoft frontpage2009-05-07 16:17 . 2004-08-04 12:00 67 --sha-w c:\windows\Fonts\desktop.ini2009-05-07 16:16 . 2009-05-07 16:16 -------- d-----w c:\program files\Usługi online2009-05-07 16:15 . 2009-05-07 16:15 21856 ----a-w c:\windows\system32\emptyregdb.dat2009-03-27 06:14 . 2009-05-07 17:16 453152 ----a-w c:\windows\system32\NVUNINST.EXE.((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))..*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane REGEDIT4[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]"Nowe Gadu-Gadu"="c:\program files\Nowe Gadu-Gadu\gg.exe" [2009-04-20 9896552][HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]"WiseStubReboot"="MSIEXEC" [X][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-03-27 13684736]"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-03-27 86016]"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2007-04-12 16132608]"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2009-05-07 1735200][HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360][HKEY_LOCAL_MACHINE\software\microsoft\security center]"AntiVirusDisableNotify"=dword:00000001"UpdatesDisableNotify"=dword:00000001"AntiVirusOverride"=dword:00000001"FirewallOverride"=dword:00000001"UacDisableNotify"=dword:00000001[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]"DisableMonitoring"=dword:00000001[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]"AntiVirusOverride"=dword:00000001"AntiVirusDisableNotify"=dword:00000001"FirewallDisableNotify"=dword:00000001"FirewallOverride"=dword:00000001"UpdatesDisableNotify"=dword:00000001"UacDisableNotify"=dword:00000001[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]"EnableFirewall"= 0 (0x0)[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]"%windir%\\system32\\sessmgr.exe"="f:\\programy\\programy\\Eset 2.7\\nentplst.exe"="c:\\WINDOWS\\RTHDCPL.EXE"="c:\\WINDOWS\\ALCMTR.EXE"="c:\\WINDOWS\\system32\\nwiz.exe"="c:\\Program Files\\Kaspersky Lab\\Kaspersky Internet Security 2009\\avp.exe"="c:\\Program Files\\Nowe Gadu-Gadu\\spellchecker_gg.exe"=R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [2008-01-29 33808]R3 KLFLTDEV;Kaspersky Lab KLFltDev;c:\windows\system32\drivers\klfltdev.sys [2008-03-13 26640]R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [2008-04-30 24592]--- Inne Usługi/Sterowniki w Pamięci ---*NewlyCreated* - DAC970NT..------- Skan uzupełniający -------.mStart Page = hxxp://www.yahoo.comIE: Dodaj do listy blokowanych banerów - c:\program files\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htmTCP: {E23446C0-C2CF-4977-AF19-4F1E647ABCC0} = 194.204.159.1,194.204.152.34.**************************************************************************catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.netRootkit scan 2009-05-08 20:09Windows 5.1.2600 Dodatek Service Pack 2 NTFSskanowanie ukrytych procesów ... skanowanie ukrytych wpisów autostartu ... skanowanie ukrytych plików ... skanowanie pomyślnie ukończoneukryte pliki: 0**************************************************************************.------------------------ Pozostałe uruchomione procesy ------------------------.c:\program files\Lavasoft\Ad-Aware\aawservice.exec:\windows\system32\rundll32.exec:\windows\system32\nvsvc32.exec:\windows\system32\imapi.exe.**************************************************************************.Czas ukończenia: 2009-05-08 20:10 - komputer został uruchomiony ponownieComboFix-quarantined-files.txt 2009-05-08 18:10ComboFix2.txt 2009-05-08 17:51Przed: 9 842 589 696 bajtów wolnychPo: 9 789 333 504 bajtów wolnych150 a ten program cos nie moge go pobrac jeszcze raz spróbuje
primerk komentarz 9 maja 2009 Autor komentarz 9 maja 2009 (edytowane) Witam udalo mi sie odpalić tego dr. Weba pusciłem skaner jak się skonczy to napisze co dalej Tu są logi po doktorku: ComboFix 09-05-08.03 - zasw 2009-05-10 0:24.4 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1250.48.1045.18.2046.1730 [GMT 2:00] Uruchomiony z: D:\ComboFix.exe AV: Kaspersky Internet Security *On-access scanning disabled* (Updated) FW: Kaspersky Internet Security *disabled* UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !! . ((((((((((((((((((((((((((((((((((((((( Usunięto ))))))))))))))))))))))))))))))))))))))))))))))))) . . ((((((((((((((((((((((((((((((((((((((( Sterowniki/Usługi ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_DAC970NT -------\Service_dac970nt ((((((((((((((((((((((((( Pliki utworzone od 2009-04-09 do 2009-05-09 ))))))))))))))))))))))))))))))) . 2009-05-09 12:26 . 2009-05-09 17:37 -------- d-----w c:\documents and settings\zasw\DoctorWeb 2009-05-09 11:52 . 2004-08-03 21:08 26496 -c--a-w c:\windows\system32\dllcache\usbstor.sys 2009-05-08 18:20 . 2009-05-08 18:20 -------- d-----w c:\documents and settings\zasw\Ustawienia lokalne\Dane aplikacji\Help 2009-05-08 17:11 . 2009-05-08 17:11 -------- d-----w c:\program files\Trend Micro 2009-05-08 16:31 . 2009-05-08 16:31 -------- d-----w c:\program files\CCleaner 2009-05-07 19:41 . 2009-05-07 19:41 -------- d-----w c:\program files\Lavasoft 2009-05-07 19:41 . 2009-05-07 20:23 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\Lavasoft 2009-05-07 19:29 . 2009-05-07 19:40 -------- d-----w c:\documents and settings\zasw\Dane aplikacji\Lavasoft 2009-05-07 18:48 . 2009-05-07 18:59 89601 ----a-w c:\windows\system32\drivers\klick.dat 2009-05-07 18:48 . 2009-05-07 18:59 101287 ----a-w c:\windows\system32\drivers\klin.dat 2009-05-07 18:48 . 2009-05-07 18:48 32 --sha-w c:\windows\system32\drivers\fidbox.dat 2009-05-07 18:48 . 2009-05-07 18:48 8160 --sha-w c:\windows\system32\drivers\fidbox2.dat 2009-05-07 18:48 . 2009-05-07 18:48 -------- d-----w c:\program files\Kaspersky Lab 2009-05-07 18:48 . 2009-05-07 19:12 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\Kaspersky Lab 2009-05-07 18:44 . 2009-05-07 18:44 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\Kaspersky Lab Setup Files 2009-05-07 18:14 . 2009-05-07 18:15 -------- d-----w c:\documents and settings\zasw\Dane aplikacji\Nowe Gadu-Gadu 2009-05-07 18:13 . 2009-05-07 18:13 -------- d-----w c:\program files\Nowe Gadu-Gadu 2009-05-07 18:06 . 2001-08-17 21:59 3072 ----a-w c:\windows\system32\drivers\audstub.sys 2009-05-07 18:06 . 2004-08-03 23:01 25856 ----a-w c:\windows\system32\drivers\usbprint.sys 2009-05-07 18:05 . 2004-08-04 00:35 58624 ----a-w c:\windows\system32\drivers\redbook.sys 2009-05-07 18:05 . 2004-08-03 22:44 77312 -c--a-w c:\windows\system32\dllcache\usbui.dll 2009-05-07 18:05 . 2004-08-03 22:44 77312 ----a-w c:\windows\system32\usbui.dll 2009-05-07 18:03 . 2009-05-07 16:30 -------- d-----w c:\windows\system32\CatRoot 2009-05-07 18:03 . 2009-05-09 22:24 -------- d-----w c:\windows\system32\CatRoot2 2009-05-07 18:03 . 2009-05-07 18:04 -------- d--h--r c:\documents and settings\Default User\Dane aplikacji 2009-05-07 18:03 . 2009-05-07 19:41 -------- d--h--r c:\documents and settings\All Users\Dane aplikacji 2009-05-07 18:03 . 2009-05-07 16:21 -------- d-----w C:\Documents and Settings 2009-05-07 18:03 . 2009-05-07 16:16 -------- d-----w c:\documents and settings\All Users 2009-05-07 18:03 . 2009-05-08 17:36 -------- d--h--w c:\documents and settings\Default User . (((((((((((((((((((((((((((((((((((((((( Sekcja Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-05-07 19:41 . 2009-05-07 17:20 -------- d-----w c:\program files\Common Files\Wise Installation Wizard 2009-05-07 19:03 . 2009-05-07 17:52 -------- d-----w c:\program files\Common Files\Symantec Shared 2009-05-07 19:01 . 2009-05-07 16:28 139264 ------r c:\windows\Alcmtr.exe 2009-05-07 19:01 . 2009-03-27 08:03 1735200 ----a-w c:\windows\system32\nwiz.exe 2009-05-07 18:59 . 2008-01-29 15:29 33808 ----a-w c:\windows\system32\drivers\klbg.sys 2009-05-07 18:48 . 2009-05-07 18:48 728 --sha-w c:\windows\system32\drivers\fidbox2.idx 2009-05-07 18:48 . 2009-05-07 18:48 32 --sha-w c:\windows\system32\drivers\fidbox.idx 2009-05-07 17:55 . 2009-05-07 16:23 15600 ----a-w c:\windows\gdrv.sys 2009-05-07 17:39 . 2009-05-07 16:16 76487 ----a-w c:\windows\pchealth\helpctr\OfflineCache\index.dat 2009-05-07 17:38 . 2009-05-07 17:38 12328 ----a-w c:\documents and settings\zasw\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT 2009-05-07 16:37 . 2004-08-04 12:00 49712 ----a-w c:\windows\system32\perfc015.dat 2009-05-07 16:37 . 2004-08-04 12:00 355830 ----a-w c:\windows\system32\perfh015.dat 2009-05-07 16:28 . 2009-05-07 16:27 -------- d-----w c:\program files\Realtek 2009-05-07 16:28 . 2009-05-07 16:27 -------- d--h--w c:\program files\InstallShield Installation Information 2009-05-07 16:28 . 2009-05-07 16:28 315392 ----a-w c:\windows\HideWin.exe 2009-05-07 16:28 . 2009-05-07 16:28 -------- d-----w c:\program files\Common Files\InstallShield 2009-05-07 16:24 . 2009-05-07 16:24 -------- d-----w c:\program files\Intel 2009-05-07 16:23 . 2009-05-07 16:23 -------- d-----w c:\program files\Yahoo! 2009-05-07 16:17 . 2009-05-07 16:17 -------- d-----w c:\program files\microsoft frontpage 2009-05-07 16:17 . 2004-08-04 12:00 67 --sha-w c:\windows\Fonts\desktop.ini 2009-05-07 16:16 . 2009-05-07 16:16 -------- d-----w c:\program files\Usługi online 2009-05-07 16:15 . 2009-05-07 16:15 21856 ----a-w c:\windows\system32\emptyregdb.dat 2009-03-27 06:14 . 2009-05-07 17:16 453152 ----a-w c:\windows\system32\NVUNINST.EXE . ((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360] "Nowe Gadu-Gadu"="c:\program files\Nowe Gadu-Gadu\gg.exe" [2009-04-20 9966184] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] "WiseStubReboot"="MSIEXEC" [X] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-03-27 13684736] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-03-27 86016] "RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2007-04-12 16132608] "nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2009-05-07 1735200] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "EnableLUA"= 0 (0x0) [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system] "DisableTaskMgr"= 1 (0x1) "DisableRegistryTools"= 1 (0x1) [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 "UpdatesDisableNotify"=dword:00000001 "AntiVirusOverride"=dword:00000001 "FirewallOverride"=dword:00000001 "UacDisableNotify"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc] "AntiVirusOverride"=dword:00000001 "AntiVirusDisableNotify"=dword:00000001 "FirewallDisableNotify"=dword:00000001 "FirewallOverride"=dword:00000001 "UpdatesDisableNotify"=dword:00000001 "UacDisableNotify"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "f:\\programy\\programy\\Eset 2.7\\nentplst.exe"= "c:\\WINDOWS\\RTHDCPL.EXE"= "c:\\WINDOWS\\ALCMTR.EXE"= "c:\\WINDOWS\\system32\\nwiz.exe"= "c:\\Program Files\\Kaspersky Lab\\Kaspersky Internet Security 2009\\avp.exe"= "c:\\Program Files\\Nowe Gadu-Gadu\\spellchecker_gg.exe"= "c:\\WINDOWS\\system32\\CF16997.exe"= R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [2008-01-29 33808] R3 KLFLTDEV;Kaspersky Lab KLFltDev;c:\windows\system32\drivers\klfltdev.sys [2008-03-13 26640] R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [2008-04-30 24592] --- Inne Usługi/Sterowniki w Pamięci --- *NewlyCreated* - DAC970NT . . ------- Skan uzupełniający ------- . mStart Page = hxxp://www.yahoo.com IE: Dodaj do listy blokowanych banerów - c:\program files\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm TCP: {E23446C0-C2CF-4977-AF19-4F1E647ABCC0} = 194.204.159.1,194.204.152.34 . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-05-10 00:26 Windows 5.1.2600 Dodatek Service Pack 2 NTFS skanowanie ukrytych procesów ... skanowanie ukrytych wpisów autostartu ... skanowanie ukrytych plików ... skanowanie pomyślnie ukończone ukryte pliki: 0 ************************************************************************** . ------------------------ Pozostałe uruchomione procesy ------------------------ . c:\program files\Lavasoft\Ad-Aware\aawservice.exe c:\windows\system32\rundll32.exe c:\windows\system32\nvsvc32.exe c:\windows\system32\imapi.exe . ************************************************************************** . Czas ukończenia: 2009-05-09 0:27 - komputer został uruchomiony ponownie ComboFix-quarantined-files.txt 2009-05-09 22:27 ComboFix2.txt 2009-05-08 18:10 Przed: 9 352 200 192 bajtów wolnych Po: 9 348 386 816 bajtów wolnych 158
Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!
Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.