x-kom hosting

Logi

Demonrex
utworzono
utworzono (edytowane)

Witam. Dzis zrobilem sobie profilaktycznie logi, zeby sprawdzic czy jest cos nie tak. Patrze w logi, coś mi nie pasuje. Jakis Hattric i proces smss.exe NIE POCHODZACY Z FOLDERU system32(tylko windows/system32/hattric/smss.exe).

Logfile of Trend Micro HijackThis v2.0.2Scan saved at 13:25:05, on 2009-05-09Platform: Windows XP Dodatek SP3 (WinNT 5.01.2600)MSIE: Internet Explorer v7.00 (7.00.6000.16827)Boot mode: NormalRunning processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\Ati2evxx.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\Ati2evxx.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\RTHDCPL.EXEC:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exeC:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXEC:\PROGRA~1\AVG\AVG8\avgtray.exeC:\WINDOWS\system32\ctfmon.exeC:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exeC:\WINDOWS\system32\hattric\smss.exeC:\PROGRA~1\AVG\AVG8\avgwdsvc.exec:\xampp\filezillaftp\filezillaserver.exeC:\PROGRA~1\AVG\AVG8\avgrsx.exeC:\WINDOWS\system32\PnkBstrA.exeC:\WINDOWS\system32\svchost.exeC:\PROGRA~1\AVG\AVG8\avgemc.exeC:\Program Files\AVG\AVG8\avgcsrvx.exeC:\PROGRA~1\AVG\AVG8\avgnsx.exeC:\Program Files\Nowe Gadu-Gadu\gg.exeC:\Program Files\Nowe Gadu-Gadu\spellchecker_gg.exeC:\Program Files\Trend Micro\HijackThis\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ask.com/?o=13928&l=disR1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = ŁączaO2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dllO4 - HKLM\..\Run: [startCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRunO4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXEO4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800"O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exeO4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exeO4 - HKCU\..\Run: [Hattric] C:\WINDOWS\system32\hattric\smss.exeO4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exeO9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exeO9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dllO20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dllO23 - Service: Apache2.2 - Apache Software Foundation - c:\xampp\apache\bin\apache.exeO23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exeO23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exeO23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exeO23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exeO23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - c:\xampp\filezillaftp\filezillaserver.exeO23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exeO23 - Service: mysql - Unknown owner - c:\xampp\mysql\bin\mysqld-nt.exeO23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exeO23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe--End of file - 4689 bytes

Zaraz edytne i dam logi z ComboFix'a.

@edit

ComboFix 09-05-08.03 - Admin 2009-05-09 13:32.3 - NTFSx86Microsoft Windows XP Professional  5.1.2600.3.1250.48.1045.18.2046.1566 [GMT 2:00]Uruchomiony z: c:\documents and settings\Admin\Pulpit\ComboFix.exeAV: AVG Anti-Virus Free *On-access scanning enabled* (Updated)UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !!.(((((((((((((((((((((((((   Pliki utworzone od 2009-04-09 do 2009-05-09  ))))))))))))))))))))))))))))))).2009-05-09 10:16 . 2009-05-09 10:16	--------	d-----w	c:\documents and settings\Admin\Dane aplikacji\Microsoft Games2009-05-09 10:16 . 2009-05-09 10:16	--------	d-----w	c:\documents and settings\All Users\Dane aplikacji\Microsoft Games2009-05-09 10:16 . 2009-05-09 10:20	--------	d-----w	c:\windows\LastGood2009-05-08 19:32 . 2009-05-08 20:07	--------	d-----w	c:\documents and settings\Admin\Dane aplikacji\uTorrent2009-05-08 14:07 . 2009-05-08 14:21	--------	d-----w	c:\program files\Tibia 7.922009-05-08 13:40 . 2009-05-08 13:40	138944	----a-w	c:\windows\system32\drivers\PnkBstrK.sys2009-05-08 13:39 . 2009-05-08 13:39	189784	----a-w	c:\windows\system32\PnkBstrB.exe2009-05-08 13:39 . 2009-05-08 13:39	75064	----a-w	c:\windows\system32\PnkBstrA.exe2009-05-08 09:59 . 2009-05-08 09:59	--------	d-----w	c:\documents and settings\Admin\Dane aplikacji\EPSON2009-05-07 15:25 . 2009-05-08 14:55	--------	d-----w	C:\xampp2009-05-07 10:44 . 2009-05-07 10:44	--------	d-----w	c:\documents and settings\Admin\Dane aplikacji\Chasm2009-05-06 16:29 . 2009-05-06 16:29	--------	d-----w	c:\program files\CCleaner2009-05-06 15:29 . 2009-05-08 18:21	--------	d--h--w	C:\$AVG8.VAULT$2009-05-06 15:26 . 2009-05-06 15:26	11952	----a-w	c:\windows\system32\avgrsstx.dll2009-05-06 15:26 . 2009-05-06 15:26	108552	----a-w	c:\windows\system32\drivers\avgtdix.sys2009-05-06 15:25 . 2009-05-06 15:25	325896	----a-w	c:\windows\system32\drivers\avgldx86.sys2009-05-06 15:25 . 2009-05-08 16:06	--------	d-----w	c:\windows\system32\drivers\Avg2009-05-06 15:25 . 2009-05-06 15:25	--------	d-----w	c:\program files\AVG2009-05-06 15:25 . 2009-05-06 15:25	--------	d-----w	c:\documents and settings\All Users\Dane aplikacji\avg82009-05-06 14:49 . 2009-05-06 14:49	--------	d-----w	c:\documents and settings\Admin\Ustawienia lokalne\Dane aplikacji\ESET2009-05-06 14:31 . 2009-05-06 14:31	--------	d-----w	c:\documents and settings\Admin\Dane aplikacji\Uniblue2009-05-05 18:54 . 2009-05-05 18:54	--------	d-----w	c:\program files\TibiaBot NG2009-05-05 18:54 . 2009-05-05 18:54	--------	d-----w	c:\windows\system32\hattric2009-05-05 18:18 . 2009-05-05 18:27	--------	d-----w	c:\documents and settings\Admin\Dane aplikacji\Tibia2009-05-05 18:17 . 2009-05-05 18:17	--------	d-----w	c:\program files\Tibia 8.422009-05-05 18:11 . 2009-05-08 14:55	--------	d-----w	c:\program files\Nbot8.422009-05-03 12:48 . 2009-05-03 12:48	--------	d-----w	c:\documents and settings\Admin\Dane aplikacji\F-Secure2009-05-03 12:45 . 2009-05-03 12:45	--------	d-----w	c:\documents and settings\NetworkService\Ustawienia lokalne\Dane aplikacji\F-Secure2009-05-03 12:44 . 2009-05-03 12:44	--------	d-----w	c:\program files\mmp2009-05-03 12:44 . 2009-05-03 12:44	--------	d-----w	c:\documents and settings\All Users\Dane aplikacji\fssg2009-05-03 12:43 . 2009-05-06 14:40	--------	d-----w	c:\documents and settings\All Users\Dane aplikacji\f-secure2009-05-01 18:56 . 2009-05-01 18:56	--------	d-----w	c:\documents and settings\All Users\Dane aplikacji\ESET2009-05-01 14:46 . 2009-05-01 14:46	767328	----a-w	c:\windows\system32\kdfinj.dll2009-05-01 14:46 . 2008-10-17 08:50	131072	----a-w	c:\windows\system32\drivers\Mkd2kfNT.sys2009-05-01 14:46 . 2008-10-17 08:50	79104	----a-w	c:\windows\system32\drivers\Mkd2Nadr.sys2009-05-01 14:44 . 2009-05-01 14:44	--------	d-----w	c:\program files\AhnLab2009-05-01 11:35 . 2006-06-26 00:49	1867776	----a-w	c:\windows\system\python24.dll2009-05-01 11:21 . 2009-05-01 14:22	--------	d-----w	c:\program files\Tibia Auto2009-04-30 16:05 . 2009-05-05 18:18	--------	d-----w	c:\program files\Nbot2009-04-30 14:39 . 2009-04-30 14:39	--------	d-----w	c:\documents and settings\Admin\.mysqlcc2009-04-30 14:31 . 2009-05-01 14:23	--------	d-----w	c:\program files\WebServ2009-04-30 14:25 . 2009-04-30 14:25	--------	d-----w	c:\program files\Trend Micro2009-04-29 11:38 . 2009-04-29 11:38	--------	d-----w	C:\Nexon2009-04-29 11:38 . 2009-04-30 14:04	421888	----a-w	c:\windows\NEXON_EU_DownloaderUpdater.exe2009-04-28 16:03 . 2009-04-28 16:10	--------	d-----w	c:\program files\Goobers2009-04-27 13:38 . 2005-01-22 19:12	679936	----a-w	c:\windows\system32\D3DX81ab.dll2009-04-27 13:35 . 2009-04-27 13:35	--------	d-----w	c:\program files\WinPcap2009-04-27 13:34 . 2009-04-30 14:17	--------	d-----w	c:\program files\WC3Banlist2009-04-26 14:27 . 2009-04-26 14:27	--------	d-----w	c:\program files\Remere's Map Editor2009-04-26 13:27 . 2009-04-26 13:27	--------	d-----w	c:\documents and settings\All Users\Dane aplikacji\UDL2009-04-26 13:24 . 2004-09-10 21:12	49152	----a-w	c:\windows\system32\E_DCINST.DLL2009-04-26 13:24 . 2000-06-07 02:01	34304	----a-w	c:\windows\system32\E_FBCHACE.DLL2009-04-26 13:24 . 2003-05-21 03:27	64000	----a-w	c:\windows\system32\E_FBCBACE.DLL2009-04-26 13:24 . 2004-11-25 05:07	79679	----a-w	c:\windows\system32\E_FLMACE.DLL2009-04-26 13:24 . 2008-04-13 22:17	25856	-c--a-w	c:\windows\system32\dllcache\usbprint.sys2009-04-26 13:24 . 2008-04-13 22:17	25856	----a-w	c:\windows\system32\drivers\usbprint.sys2009-04-26 13:24 . 2008-04-13 22:15	15104	-c--a-w	c:\windows\system32\dllcache\usbscan.sys2009-04-26 13:24 . 2008-04-13 22:15	15104	----a-w	c:\windows\system32\drivers\usbscan.sys2009-04-26 13:23 . 2009-04-26 13:25	--------	d-----w	c:\program files\epson2009-04-26 13:23 . 2005-02-24 22:00	22016	----a-w	c:\windows\system32\esccmd.dll2009-04-26 13:23 . 2005-02-24 22:00	46080	----a-w	c:\windows\system32\escimgd.dll2009-04-26 13:23 . 2005-02-24 22:00	29696	----a-w	c:\windows\system32\escwiad.dll2009-04-25 16:24 . 2009-04-30 14:00	--------	d-----w	c:\documents and settings\Admin\Dane aplikacji\sqlitestudio2009-04-21 16:08 . 2009-04-21 16:08	--------	d-----w	c:\documents and settings\Admin\Ustawienia lokalne\Dane aplikacji\PunkBuster2009-04-21 15:50 . 2009-04-21 15:50	--------	d-----w	c:\documents and settings\Admin\Dane aplikacji\id Software2009-04-21 15:49 . 2009-04-21 15:49	22328	----a-w	c:\documents and settings\Admin\Dane aplikacji\PnkBstrK.sys2009-04-21 15:49 . 2009-04-21 15:49	--------	d-----w	c:\windows\system32\LogFiles2009-04-21 15:49 . 2009-04-21 15:49	--------	d-----w	c:\documents and settings\All Users\Dane aplikacji\id Software2009-04-21 14:16 . 2006-06-26 00:49	1867776	----a-w	c:\windows\system32\python24.dll2009-04-21 13:06 . 2009-05-05 18:55	--------	d---a-w	c:\documents and settings\All Users\Dane aplikacji\TEMP2009-04-17 13:55 . 2009-04-17 13:55	--------	d-----w	c:\documents and settings\Admin\Dane aplikacji\Remere's Map Editor2009-04-16 14:27 . 2009-04-16 14:27	--------	d-----w	c:\documents and settings\All Users\Dane aplikacji\ipla2009-04-16 14:27 . 2009-04-30 06:01	--------	d-----w	c:\documents and settings\Admin\Dane aplikacji\ipla2009-04-16 14:27 . 2009-04-16 14:27	--------	d-----w	c:\program files\ipla2009-04-16 14:27 . 2009-04-16 14:27	1700352	----a-w	c:\windows\system32\gdiplus.dll2009-04-16 13:45 . 2003-03-18 19:20	1060864	----a-w	c:\windows\system32\MFC71.dll2009-04-16 13:45 . 2003-03-18 18:14	499712	----a-w	c:\windows\system32\MSVCP71.dll2009-04-16 13:45 . 2003-02-21 02:42	348160	----a-w	c:\windows\system32\MSVCR71.dll2009-04-16 13:45 . 2009-04-16 13:45	--------	d-----w	c:\program files\Alwil Software2009-04-14 18:20 . 2009-04-14 18:20	--------	d-----w	c:\documents and settings\Admin\Ustawienia lokalne\Dane aplikacji\Opera2009-04-14 18:20 . 2009-04-14 18:20	--------	d-----w	c:\program files\Opera2009-04-14 15:55 . 2009-04-14 15:55	107888	----a-w	c:\windows\system32\CmdLineExt.dll2009-04-14 13:34 . 2008-06-14 17:36	273024	-c----w	c:\windows\system32\dllcache\bthport.sys2009-04-14 13:34 . 2008-06-14 17:36	273024	------w	c:\windows\system32\drivers\bthport.sys2009-04-14 13:32 . 2009-02-09 11:26	2146816	-c----w	c:\windows\system32\dllcache\ntkrnlmp.exe2009-04-14 13:32 . 2009-02-10 17:09	2067328	-c----w	c:\windows\system32\dllcache\ntkrnlpa.exe2009-04-14 13:32 . 2009-02-09 11:26	2025472	-c----w	c:\windows\system32\dllcache\ntkrpamp.exe2009-04-14 13:32 . 2009-02-09 11:26	2190336	-c----w	c:\windows\system32\dllcache\ntoskrnl.exe2009-04-14 13:31 . 2008-10-24 11:21	455296	-c----w	c:\windows\system32\dllcache\mrxsmb.sys2009-04-14 13:25 . 2008-07-09 07:57	26488	----a-w	c:\windows\system32\spupdsvc.exe.((((((((((((((((((((((((((((((((((((((((   Sekcja Find3M   )))))))))))))))))))))))))))))))))))))))))))))))))))).2009-05-09 10:23 . 2009-04-13 13:24	--------	d--h--w	c:\program files\InstallShield Installation Information2009-05-06 14:40 . 2001-10-26 16:15	76878	----a-w	c:\windows\system32\perfc015.dat2009-05-06 14:40 . 2001-10-26 16:15	453580	----a-w	c:\windows\system32\perfh015.dat2009-05-01 18:51 . 2009-04-13 13:17	86327	----a-w	c:\windows\pchealth\helpctr\OfflineCache\index.dat2009-04-26 13:28 . 2009-04-13 13:23	--------	d-----w	c:\program files\Common Files\InstallShield2009-04-13 19:39 . 2009-04-13 14:14	--------	d-----w	c:\program files\Nowe Gadu-Gadu2009-04-13 15:14 . 2009-04-13 14:54	62521	----a-w	c:\windows\War3Unin.dat2009-04-13 14:59 . 2009-04-13 14:54	2829	----a-w	c:\windows\War3Unin.pif2009-04-13 14:59 . 2009-04-13 14:54	139264	----a-w	c:\windows\War3Unin.exe2009-04-13 13:47 . 2009-04-13 13:47	0	----a-w	c:\windows\nsreg.dat2009-04-13 13:36 . 2009-04-13 13:34	--------	d-----w	c:\program files\Realtek2009-04-13 13:36 . 2009-04-13 13:32	16608	----a-w	c:\windows\gdrv.sys2009-04-13 13:34 . 2009-04-13 13:34	315392	----a-w	c:\windows\HideWin.exe2009-04-13 13:33 . 2009-04-13 13:33	--------	d-----w	c:\program files\Intel2009-04-13 13:31 . 2009-04-13 13:31	12328	----a-w	c:\documents and settings\Admin\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT2009-04-13 13:30 . 2009-04-13 13:30	0	----a-w	c:\windows\ativpsrm.bin2009-04-13 13:28 . 2009-04-13 13:24	--------	d-----w	c:\program files\ATI Technologies2009-04-13 13:27 . 2009-04-13 13:27	--------	d-----w	c:\program files\Common Files\ATI Technologies2009-04-13 13:18 . 2009-04-13 13:18	--------	d-----w	c:\program files\microsoft frontpage2009-04-13 13:17 . 2001-07-21 22:36	67	--sha-w	c:\windows\Fonts\desktop.ini2009-04-13 13:16 . 2009-04-13 13:16	--------	d-----w	c:\program files\Usługi online2009-04-13 13:14 . 2009-04-13 13:14	21856	----a-w	c:\windows\system32\emptyregdb.dat2009-04-13 13:14 . 2009-04-13 13:14	--------	d-----w	c:\program files\Windows Media Connect 22009-03-06 14:22 . 2008-04-14 20:50	285696	----a-w	c:\windows\system32\pdh.dll2009-03-03 00:10 . 2008-05-08 18:01	826368	----a-w	c:\windows\system32\wininet.dll2009-02-20 17:13 . 2008-05-08 18:01	78336	----a-w	c:\windows\system32\ieencode.dll2009-02-09 14:07 . 2008-04-14 19:35	1847040	----a-w	c:\windows\system32\win32k.sys2009-02-09 11:26 . 2008-04-14 21:59	2025472	----a-w	c:\windows\system32\ntkrnlpa.exe2009-02-09 11:26 . 2008-04-14 19:59	2146816	----a-w	c:\windows\system32\ntoskrnl.exe2009-02-09 11:25 . 2008-04-14 20:51	111104	----a-w	c:\windows\system32\services.exe2009-02-09 10:53 . 2008-04-14 20:50	401408	----a-w	c:\windows\system32\rpcss.dll2009-02-09 10:53 . 2008-04-14 20:50	731136	----a-w	c:\windows\system32\lsasrv.dll2009-02-09 10:53 . 2008-04-14 20:50	686592	----a-w	c:\windows\system32\advapi32.dll2009-02-09 10:53 . 2008-04-14 20:49	722944	----a-w	c:\windows\system32\ntdll.dll.------- Sigcheck -------[-] 2008-05-08 18:02	1571840	9F02C1CF7C3100E4AEA7DD8B6A86A01B	c:\windows\system32\sfcfiles.dll.(((((((((((((((((((((((((((((((((((((   Wpisy startowe rejestru   ))))))))))))))))))))))))))))))))))))))))))))))))))..*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane  REGEDIT4[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]"Hattric"="c:\windows\system32\hattric\smss.exe" [2009-04-25 565782][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 61440]"EPSON Stylus DX3800 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE" [2005-02-08 98304]"AVG8_TRAY"="c:\progra~1\AVG\AVG8\avgtray.exe" [2009-05-06 1947928]"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2008-02-13 16857600][HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360][HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]"nltide_2"="shell32" [X][HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]2009-05-06 15:26	11952	----a-w	c:\windows\system32\avgrsstx.dll[HKEY_LOCAL_MACHINE\software\microsoft\security center]"AntiVirusOverride"=dword:00000001[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\system32\\sessmgr.exe"="c:\\Documents and Settings\\All Users\\Dane aplikacji\\Kaspersky Lab Setup Files\\Kaspersky Internet Security 2009\\Polish\\setup.exe"="c:\\Nexon\\NEXON_EU_Downloader\\NEXON_EU_Downloader_Engine.exe"="d:\\Warcraft III\\war3.exe"="c:\\Program Files\\AVG\\AVG8\\avgemc.exe"="c:\\Program Files\\AVG\\AVG8\\avgupd.exe"="c:\\Program Files\\AVG\\AVG8\\avgnsx.exe"="c:\\xampp\\apache\\bin\\apache.exe"="c:\\Program Files\\Mozilla Firefox\\firefox.exe"="d:\\Zoo Tycoon 2\\zt.exe"=R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [2009-05-06 325896]R1 AvgTdiX;AVG Free8 Network Redirector;c:\windows\system32\drivers\avgtdix.sys [2009-05-06 108552]R2 avg8emc;AVG Free8 E-mail Scanner;c:\progra~1\AVG\AVG8\avgemc.exe [2009-05-06 908568]R2 avg8wd;AVG Free8 WatchDog;c:\progra~1\AVG\AVG8\avgwdsvc.exe [2009-05-06 298776]R3 AtiHdmiService;ATI Function Driver for HDMI Service;c:\windows\system32\drivers\AtiHdmi.sys [2009-04-13 93696]R3 Mkd2Nadr;Mkd2Nadr;c:\windows\system32\drivers\Mkd2Nadr.sys [2009-05-01 79104]R3 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [2005-08-02 32512]S2 Apache2.2;Apache2.2;c:\xampp\apache\bin\apache.exe [2008-06-14 17408]S3 Mkd2kfNt;Mkd2kfNt;c:\windows\system32\drivers\Mkd2kfNT.sys [2009-05-01 131072]--- Inne Usługi/Sterowniki w Pamięci ---*NewlyCreated* - IDRIVERT*NewlyCreated* - SECDRV..------- Skan uzupełniający -------.uStart Page = hxxp://www.ask.com/?o=13928&l=disFF - ProfilePath - c:\documents and settings\Admin\Dane aplikacji\Mozilla\Firefox\Profiles\wjwa3w68.default\FF - prefs.js: browser.search.selectedEngine - AskFF - prefs.js: browser.startup.homepage - hxxp://www.ask.com/?o=13928&l=disFF - prefs.js: keyword.URL - hxxp://toolbar.ask.com/toolbarv/askRedirect?o=13925&gct=&gc=1&q=FF - component: c:\program files\AVG\AVG8\Firefox\components\avgssff.dllFF - plugin: c:\documents and settings\All Users\Dane aplikacji\id Software\QuakeLive\npquakezero.dllFF - plugin: c:\program files\AhnLab\ASP\MyKeyDefense 2.5\npmkd25aos.dll.**************************************************************************catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.netRootkit scan 2009-05-09 13:33Windows 5.1.2600 Dodatek Service Pack 3 NTFSskanowanie ukrytych procesów ...  skanowanie ukrytych wpisów autostartu ... skanowanie ukrytych plików ...  skanowanie pomyślnie ukończoneukryte pliki: 0**************************************************************************.--------------------- ZABLOKOWANE KLUCZE REJESTRU ---------------------[HKEY_USERS\S-1-5-21-1123561945-1177238915-682003330-1003\Software\SecuROM\License information*]"datasecu"=hex:55,4a,7a,54,2b,82,cd,49,f9,f1,04,6b,93,63,02,18,19,97,4a,cc,69,   8a,bc,b2,01,49,98,81,ed,66,fa,71,1e,b0,6d,8a,3d,31,f6,3e,48,ec,23,96,0a,fd,\"rkeysecu"=hex:67,e2,dc,d8,9b,e1,4e,75,28,4b,22,0b,75,77,9e,d3.--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------- - - - - - - > 'winlogon.exe'(756)c:\windows\system32\Ati2evxx.dll- - - - - - - > 'explorer.exe'(564)c:\windows\system32\wpdshserviceobj.dllc:\windows\system32\portabledevicetypes.dllc:\windows\system32\portabledeviceapi.dll.Czas ukończenia: 2009-05-09 13:33ComboFix-quarantined-files.txt  2009-05-09 11:33Przed: 45 587 677 184 bajtów wolnychPo: 45 583 646 720 bajtów wolnych226	--- E O F ---	2009-04-16 13:32

Gość
komentarz
komentarz

Tibia = "hattric"...

1. Wklej do Notatnika:

Folder::c:\windows\system32\hattricRegistry::[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"Hattric"=-

>>Plik>>Zapisz jako... >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

-->cfscriptb5b4me3.gif

Ma się rozpocząć usuwanie. (i powstanie log).Daj ten log, który powstanie w trakcie usuwania.

Jeśli pójdzie dobrze, to: Po restarcie usuń ręcznie folder C:\Qoobox.

2.

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ask.com/?o=13928&l=dis

>>Hijack>>scan(Do a system scan only)>>zaznacz>>Fix checked.

Poza tym - w logach nic nie ma.

.

Demonrex
komentarz
komentarz (edytowane)

Tibia="hattric"...

Nie rozumiem tego? Czy Tibia to wirus(lol?)? Mógłbyś mi to wyjaśnić? Zaraz dam edita z logiem z combo.

@edit

ComboFix 09-05-08.03 - Admin 2009-05-09 16:07.4 - NTFSx86Microsoft Windows XP Professional  5.1.2600.3.1250.48.1045.18.2046.1486 [GMT 2:00]Uruchomiony z: c:\documents and settings\Admin\Pulpit\ComboFix.exeUżyto następujących komend :: c:\documents and settings\Admin\Pulpit\CFScript.txtAV: AVG Anti-Virus Free *On-access scanning enabled* (Updated)UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !!.(((((((((((((((((((((((((((((((((((((((   Usunięto   ))))))))))))))))))))))))))))))))))))))))))))))))).c:\windows\system32\hattricc:\windows\system32\hattric\smss.exe.(((((((((((((((((((((((((   Pliki utworzone od 2009-04-09 do 2009-05-09  ))))))))))))))))))))))))))))))).2009-05-09 10:16 . 2009-05-09 10:16	--------	d-----w	c:\documents and settings\Admin\Dane aplikacji\Microsoft Games2009-05-09 10:16 . 2009-05-09 10:16	--------	d-----w	c:\documents and settings\All Users\Dane aplikacji\Microsoft Games2009-05-09 10:16 . 2009-05-09 10:20	--------	d-----w	c:\windows\LastGood2009-05-08 19:32 . 2009-05-08 20:07	--------	d-----w	c:\documents and settings\Admin\Dane aplikacji\uTorrent2009-05-08 14:07 . 2009-05-08 14:21	--------	d-----w	c:\program files\Tibia 7.922009-05-08 13:40 . 2009-05-08 13:40	138944	----a-w	c:\windows\system32\drivers\PnkBstrK.sys2009-05-08 13:39 . 2009-05-08 13:39	189784	----a-w	c:\windows\system32\PnkBstrB.exe2009-05-08 13:39 . 2009-05-08 13:39	75064	----a-w	c:\windows\system32\PnkBstrA.exe2009-05-08 09:59 . 2009-05-08 09:59	--------	d-----w	c:\documents and settings\Admin\Dane aplikacji\EPSON2009-05-07 15:25 . 2009-05-08 14:55	--------	d-----w	C:\xampp2009-05-07 10:44 . 2009-05-07 10:44	--------	d-----w	c:\documents and settings\Admin\Dane aplikacji\Chasm2009-05-06 16:29 . 2009-05-06 16:29	--------	d-----w	c:\program files\CCleaner2009-05-06 15:29 . 2009-05-08 18:21	--------	d--h--w	C:\$AVG8.VAULT$2009-05-06 15:26 . 2009-05-06 15:26	11952	----a-w	c:\windows\system32\avgrsstx.dll2009-05-06 15:26 . 2009-05-06 15:26	108552	----a-w	c:\windows\system32\drivers\avgtdix.sys2009-05-06 15:25 . 2009-05-06 15:25	325896	----a-w	c:\windows\system32\drivers\avgldx86.sys2009-05-06 15:25 . 2009-05-08 16:06	--------	d-----w	c:\windows\system32\drivers\Avg2009-05-06 15:25 . 2009-05-06 15:25	--------	d-----w	c:\program files\AVG2009-05-06 15:25 . 2009-05-06 15:25	--------	d-----w	c:\documents and settings\All Users\Dane aplikacji\avg82009-05-06 14:49 . 2009-05-06 14:49	--------	d-----w	c:\documents and settings\Admin\Ustawienia lokalne\Dane aplikacji\ESET2009-05-06 14:31 . 2009-05-06 14:31	--------	d-----w	c:\documents and settings\Admin\Dane aplikacji\Uniblue2009-05-05 18:54 . 2009-05-05 18:54	--------	d-----w	c:\program files\TibiaBot NG2009-05-05 18:18 . 2009-05-05 18:27	--------	d-----w	c:\documents and settings\Admin\Dane aplikacji\Tibia2009-05-05 18:17 . 2009-05-05 18:17	--------	d-----w	c:\program files\Tibia 8.422009-05-05 18:11 . 2009-05-08 14:55	--------	d-----w	c:\program files\Nbot8.422009-05-03 12:48 . 2009-05-03 12:48	--------	d-----w	c:\documents and settings\Admin\Dane aplikacji\F-Secure2009-05-03 12:45 . 2009-05-03 12:45	--------	d-----w	c:\documents and settings\NetworkService\Ustawienia lokalne\Dane aplikacji\F-Secure2009-05-03 12:44 . 2009-05-03 12:44	--------	d-----w	c:\program files\mmp2009-05-03 12:44 . 2009-05-03 12:44	--------	d-----w	c:\documents and settings\All Users\Dane aplikacji\fssg2009-05-03 12:43 . 2009-05-06 14:40	--------	d-----w	c:\documents and settings\All Users\Dane aplikacji\f-secure2009-05-01 18:56 . 2009-05-01 18:56	--------	d-----w	c:\documents and settings\All Users\Dane aplikacji\ESET2009-05-01 14:46 . 2009-05-01 14:46	767328	----a-w	c:\windows\system32\kdfinj.dll2009-05-01 14:46 . 2008-10-17 08:50	131072	----a-w	c:\windows\system32\drivers\Mkd2kfNT.sys2009-05-01 14:46 . 2008-10-17 08:50	79104	----a-w	c:\windows\system32\drivers\Mkd2Nadr.sys2009-05-01 14:44 . 2009-05-01 14:44	--------	d-----w	c:\program files\AhnLab2009-05-01 11:35 . 2006-06-26 00:49	1867776	----a-w	c:\windows\system\python24.dll2009-05-01 11:21 . 2009-05-01 14:22	--------	d-----w	c:\program files\Tibia Auto2009-04-30 16:05 . 2009-05-05 18:18	--------	d-----w	c:\program files\Nbot2009-04-30 14:39 . 2009-04-30 14:39	--------	d-----w	c:\documents and settings\Admin\.mysqlcc2009-04-30 14:31 . 2009-05-01 14:23	--------	d-----w	c:\program files\WebServ2009-04-30 14:25 . 2009-04-30 14:25	--------	d-----w	c:\program files\Trend Micro2009-04-29 11:38 . 2009-04-29 11:38	--------	d-----w	C:\Nexon2009-04-29 11:38 . 2009-04-30 14:04	421888	----a-w	c:\windows\NEXON_EU_DownloaderUpdater.exe2009-04-28 16:03 . 2009-04-28 16:10	--------	d-----w	c:\program files\Goobers2009-04-27 13:38 . 2005-01-22 19:12	679936	----a-w	c:\windows\system32\D3DX81ab.dll2009-04-27 13:35 . 2009-04-27 13:35	--------	d-----w	c:\program files\WinPcap2009-04-27 13:34 . 2009-04-30 14:17	--------	d-----w	c:\program files\WC3Banlist2009-04-26 14:27 . 2009-04-26 14:27	--------	d-----w	c:\program files\Remere's Map Editor2009-04-26 13:27 . 2009-04-26 13:27	--------	d-----w	c:\documents and settings\All Users\Dane aplikacji\UDL2009-04-26 13:24 . 2004-09-10 21:12	49152	----a-w	c:\windows\system32\E_DCINST.DLL2009-04-26 13:24 . 2000-06-07 02:01	34304	----a-w	c:\windows\system32\E_FBCHACE.DLL2009-04-26 13:24 . 2003-05-21 03:27	64000	----a-w	c:\windows\system32\E_FBCBACE.DLL2009-04-26 13:24 . 2004-11-25 05:07	79679	----a-w	c:\windows\system32\E_FLMACE.DLL2009-04-26 13:24 . 2008-04-13 22:17	25856	-c--a-w	c:\windows\system32\dllcache\usbprint.sys2009-04-26 13:24 . 2008-04-13 22:17	25856	----a-w	c:\windows\system32\drivers\usbprint.sys2009-04-26 13:24 . 2008-04-13 22:15	15104	-c--a-w	c:\windows\system32\dllcache\usbscan.sys2009-04-26 13:24 . 2008-04-13 22:15	15104	----a-w	c:\windows\system32\drivers\usbscan.sys2009-04-26 13:23 . 2009-04-26 13:25	--------	d-----w	c:\program files\epson2009-04-26 13:23 . 2005-02-24 22:00	22016	----a-w	c:\windows\system32\esccmd.dll2009-04-26 13:23 . 2005-02-24 22:00	46080	----a-w	c:\windows\system32\escimgd.dll2009-04-26 13:23 . 2005-02-24 22:00	29696	----a-w	c:\windows\system32\escwiad.dll2009-04-25 16:24 . 2009-04-30 14:00	--------	d-----w	c:\documents and settings\Admin\Dane aplikacji\sqlitestudio2009-04-21 16:08 . 2009-04-21 16:08	--------	d-----w	c:\documents and settings\Admin\Ustawienia lokalne\Dane aplikacji\PunkBuster2009-04-21 15:50 . 2009-04-21 15:50	--------	d-----w	c:\documents and settings\Admin\Dane aplikacji\id Software2009-04-21 15:49 . 2009-04-21 15:49	22328	----a-w	c:\documents and settings\Admin\Dane aplikacji\PnkBstrK.sys2009-04-21 15:49 . 2009-04-21 15:49	--------	d-----w	c:\windows\system32\LogFiles2009-04-21 15:49 . 2009-04-21 15:49	--------	d-----w	c:\documents and settings\All Users\Dane aplikacji\id Software2009-04-21 14:16 . 2006-06-26 00:49	1867776	----a-w	c:\windows\system32\python24.dll2009-04-21 13:06 . 2009-05-05 18:55	--------	d---a-w	c:\documents and settings\All Users\Dane aplikacji\TEMP2009-04-17 13:55 . 2009-04-17 13:55	--------	d-----w	c:\documents and settings\Admin\Dane aplikacji\Remere's Map Editor2009-04-16 14:27 . 2009-04-16 14:27	--------	d-----w	c:\documents and settings\All Users\Dane aplikacji\ipla2009-04-16 14:27 . 2009-04-30 06:01	--------	d-----w	c:\documents and settings\Admin\Dane aplikacji\ipla2009-04-16 14:27 . 2009-04-16 14:27	--------	d-----w	c:\program files\ipla2009-04-16 14:27 . 2009-04-16 14:27	1700352	----a-w	c:\windows\system32\gdiplus.dll2009-04-16 13:45 . 2003-03-18 19:20	1060864	----a-w	c:\windows\system32\MFC71.dll2009-04-16 13:45 . 2003-03-18 18:14	499712	----a-w	c:\windows\system32\MSVCP71.dll2009-04-16 13:45 . 2003-02-21 02:42	348160	----a-w	c:\windows\system32\MSVCR71.dll2009-04-16 13:45 . 2009-04-16 13:45	--------	d-----w	c:\program files\Alwil Software2009-04-14 18:20 . 2009-04-14 18:20	--------	d-----w	c:\documents and settings\Admin\Ustawienia lokalne\Dane aplikacji\Opera2009-04-14 18:20 . 2009-04-14 18:20	--------	d-----w	c:\program files\Opera2009-04-14 15:55 . 2009-04-14 15:55	107888	----a-w	c:\windows\system32\CmdLineExt.dll2009-04-14 13:34 . 2008-06-14 17:36	273024	-c----w	c:\windows\system32\dllcache\bthport.sys2009-04-14 13:34 . 2008-06-14 17:36	273024	------w	c:\windows\system32\drivers\bthport.sys2009-04-14 13:32 . 2009-02-09 11:26	2146816	-c----w	c:\windows\system32\dllcache\ntkrnlmp.exe2009-04-14 13:32 . 2009-02-10 17:09	2067328	-c----w	c:\windows\system32\dllcache\ntkrnlpa.exe2009-04-14 13:32 . 2009-02-09 11:26	2025472	-c----w	c:\windows\system32\dllcache\ntkrpamp.exe2009-04-14 13:32 . 2009-02-09 11:26	2190336	-c----w	c:\windows\system32\dllcache\ntoskrnl.exe2009-04-14 13:31 . 2008-10-24 11:21	455296	-c----w	c:\windows\system32\dllcache\mrxsmb.sys2009-04-14 13:25 . 2008-07-09 07:57	26488	----a-w	c:\windows\system32\spupdsvc.exe.((((((((((((((((((((((((((((((((((((((((   Sekcja Find3M   )))))))))))))))))))))))))))))))))))))))))))))))))))).2009-05-09 10:23 . 2009-04-13 13:24	--------	d--h--w	c:\program files\InstallShield Installation Information2009-05-06 14:40 . 2001-10-26 16:15	76878	----a-w	c:\windows\system32\perfc015.dat2009-05-06 14:40 . 2001-10-26 16:15	453580	----a-w	c:\windows\system32\perfh015.dat2009-05-01 18:51 . 2009-04-13 13:17	86327	----a-w	c:\windows\pchealth\helpctr\OfflineCache\index.dat2009-04-26 13:28 . 2009-04-13 13:23	--------	d-----w	c:\program files\Common Files\InstallShield2009-04-13 19:39 . 2009-04-13 14:14	--------	d-----w	c:\program files\Nowe Gadu-Gadu2009-04-13 15:14 . 2009-04-13 14:54	62521	----a-w	c:\windows\War3Unin.dat2009-04-13 14:59 . 2009-04-13 14:54	2829	----a-w	c:\windows\War3Unin.pif2009-04-13 14:59 . 2009-04-13 14:54	139264	----a-w	c:\windows\War3Unin.exe2009-04-13 13:47 . 2009-04-13 13:47	0	----a-w	c:\windows\nsreg.dat2009-04-13 13:36 . 2009-04-13 13:34	--------	d-----w	c:\program files\Realtek2009-04-13 13:36 . 2009-04-13 13:32	16608	----a-w	c:\windows\gdrv.sys2009-04-13 13:34 . 2009-04-13 13:34	315392	----a-w	c:\windows\HideWin.exe2009-04-13 13:33 . 2009-04-13 13:33	--------	d-----w	c:\program files\Intel2009-04-13 13:31 . 2009-04-13 13:31	12328	----a-w	c:\documents and settings\Admin\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT2009-04-13 13:30 . 2009-04-13 13:30	0	----a-w	c:\windows\ativpsrm.bin2009-04-13 13:28 . 2009-04-13 13:24	--------	d-----w	c:\program files\ATI Technologies2009-04-13 13:27 . 2009-04-13 13:27	--------	d-----w	c:\program files\Common Files\ATI Technologies2009-04-13 13:18 . 2009-04-13 13:18	--------	d-----w	c:\program files\microsoft frontpage2009-04-13 13:17 . 2001-07-21 22:36	67	--sha-w	c:\windows\Fonts\desktop.ini2009-04-13 13:16 . 2009-04-13 13:16	--------	d-----w	c:\program files\Usługi online2009-04-13 13:14 . 2009-04-13 13:14	21856	----a-w	c:\windows\system32\emptyregdb.dat2009-04-13 13:14 . 2009-04-13 13:14	--------	d-----w	c:\program files\Windows Media Connect 22009-03-06 14:22 . 2008-04-14 20:50	285696	----a-w	c:\windows\system32\pdh.dll2009-03-03 00:10 . 2008-05-08 18:01	826368	----a-w	c:\windows\system32\wininet.dll2009-02-20 17:13 . 2008-05-08 18:01	78336	----a-w	c:\windows\system32\ieencode.dll2009-02-09 14:07 . 2008-04-14 19:35	1847040	----a-w	c:\windows\system32\win32k.sys2009-02-09 11:26 . 2008-04-14 21:59	2025472	----a-w	c:\windows\system32\ntkrnlpa.exe2009-02-09 11:26 . 2008-04-14 19:59	2146816	----a-w	c:\windows\system32\ntoskrnl.exe2009-02-09 11:25 . 2008-04-14 20:51	111104	----a-w	c:\windows\system32\services.exe2009-02-09 10:53 . 2008-04-14 20:50	401408	----a-w	c:\windows\system32\rpcss.dll2009-02-09 10:53 . 2008-04-14 20:50	731136	----a-w	c:\windows\system32\lsasrv.dll2009-02-09 10:53 . 2008-04-14 20:50	686592	----a-w	c:\windows\system32\advapi32.dll2009-02-09 10:53 . 2008-04-14 20:49	722944	----a-w	c:\windows\system32\ntdll.dll.------- Sigcheck -------[-] 2008-05-08 18:02	1571840	9F02C1CF7C3100E4AEA7DD8B6A86A01B	c:\windows\system32\sfcfiles.dll.(((((((((((((((((((((((((((((((((((((   Wpisy startowe rejestru   ))))))))))))))))))))))))))))))))))))))))))))))))))..*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane  REGEDIT4[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 61440]"EPSON Stylus DX3800 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE" [2005-02-08 98304]"AVG8_TRAY"="c:\progra~1\AVG\AVG8\avgtray.exe" [2009-05-06 1947928]"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2008-02-13 16857600][HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360][HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]"nltide_2"="shell32" [X][HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]2009-05-06 15:26	11952	----a-w	c:\windows\system32\avgrsstx.dll[HKEY_LOCAL_MACHINE\software\microsoft\security center]"AntiVirusOverride"=dword:00000001[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\system32\\sessmgr.exe"="c:\\Documents and Settings\\All Users\\Dane aplikacji\\Kaspersky Lab Setup Files\\Kaspersky Internet Security 2009\\Polish\\setup.exe"="c:\\Nexon\\NEXON_EU_Downloader\\NEXON_EU_Downloader_Engine.exe"="d:\\Warcraft III\\war3.exe"="c:\\Program Files\\AVG\\AVG8\\avgemc.exe"="c:\\Program Files\\AVG\\AVG8\\avgupd.exe"="c:\\Program Files\\AVG\\AVG8\\avgnsx.exe"="c:\\xampp\\apache\\bin\\apache.exe"="c:\\Program Files\\Mozilla Firefox\\firefox.exe"="d:\\Zoo Tycoon 2\\zt.exe"=R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [2009-05-06 325896]R1 AvgTdiX;AVG Free8 Network Redirector;c:\windows\system32\drivers\avgtdix.sys [2009-05-06 108552]R2 avg8emc;AVG Free8 E-mail Scanner;c:\progra~1\AVG\AVG8\avgemc.exe [2009-05-06 908568]R2 avg8wd;AVG Free8 WatchDog;c:\progra~1\AVG\AVG8\avgwdsvc.exe [2009-05-06 298776]R3 AtiHdmiService;ATI Function Driver for HDMI Service;c:\windows\system32\drivers\AtiHdmi.sys [2009-04-13 93696]R3 Mkd2Nadr;Mkd2Nadr;c:\windows\system32\drivers\Mkd2Nadr.sys [2009-05-01 79104]R3 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [2005-08-02 32512]S2 Apache2.2;Apache2.2;c:\xampp\apache\bin\apache.exe [2008-06-14 17408]S3 Mkd2kfNt;Mkd2kfNt;c:\windows\system32\drivers\Mkd2kfNT.sys [2009-05-01 131072]--- Inne Usługi/Sterowniki w Pamięci ---*NewlyCreated* - IDRIVERT*NewlyCreated* - SECDRV..------- Skan uzupełniający -------.uStart Page = hxxp://www.ask.com/?o=13928&l=disFF - ProfilePath - c:\documents and settings\Admin\Dane aplikacji\Mozilla\Firefox\Profiles\wjwa3w68.default\FF - prefs.js: browser.search.selectedEngine - AskFF - prefs.js: browser.startup.homepage - hxxp://www.ask.com/?o=13928&l=disFF - prefs.js: keyword.URL - hxxp://toolbar.ask.com/toolbarv/askRedirect?o=13925&gct=&gc=1&q=FF - component: c:\program files\AVG\AVG8\Firefox\components\avgssff.dllFF - plugin: c:\documents and settings\All Users\Dane aplikacji\id Software\QuakeLive\npquakezero.dllFF - plugin: c:\program files\AhnLab\ASP\MyKeyDefense 2.5\npmkd25aos.dll.**************************************************************************catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.netRootkit scan 2009-05-09 16:08Windows 5.1.2600 Dodatek Service Pack 3 NTFSskanowanie ukrytych procesów ...  skanowanie ukrytych wpisów autostartu ... skanowanie ukrytych plików ...  skanowanie pomyślnie ukończoneukryte pliki: 0**************************************************************************.--------------------- ZABLOKOWANE KLUCZE REJESTRU ---------------------[HKEY_USERS\S-1-5-21-1123561945-1177238915-682003330-1003\Software\SecuROM\License information*]"datasecu"=hex:55,4a,7a,54,2b,82,cd,49,f9,f1,04,6b,93,63,02,18,19,97,4a,cc,69,   8a,bc,b2,01,49,98,81,ed,66,fa,71,1e,b0,6d,8a,3d,31,f6,3e,48,ec,23,96,0a,fd,\"rkeysecu"=hex:67,e2,dc,d8,9b,e1,4e,75,28,4b,22,0b,75,77,9e,d3.--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------- - - - - - - > 'winlogon.exe'(756)c:\windows\system32\Ati2evxx.dll.Czas ukończenia: 2009-05-09 16:08ComboFix-quarantined-files.txt  2009-05-09 14:08ComboFix2.txt  2009-05-09 11:33Przed: 45 548 011 520 bajtów wolnychPo: 45 536 149 504 bajtów wolnych227	--- E O F ---	2009-04-16 13:32
Gość
komentarz
komentarz

Log jest czysty.

'Dzięki TIBII' miałeś tego trojana...

1. Posprzątaj po ComboFixie i różnych narzędziach >>> OTCleanIt.

2. Z folderu "System Volume Information" usuniesz poprzez chwilowe wyłączenie "Przywracania Systemu":

>Panel Sterowania>System>Przywracanie Systemu>>zaznacz w okienku przy "Wyłącz przywracanie na wszystkich dyskach">Zastosuj>OK.

Potem możesz powrócić do poprzedniego ustawienia (czyli usunąć zaznaczenie z okienka).

3. Wykonaj optymalizację systemu

4.Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum.

.

Demonrex
komentarz
komentarz

Zrobilem to. Wszystko czysto. Teraz robie kolejne logi dla sprawdzenia czy znowu nic nie "przylazło". A jednak. Nie jestem pewien, czy smss.com to wirus? Daje logi z HiJacka narazie. Jesli bedzie potrzeba dam z Combo.

Logfile of Trend Micro HijackThis v2.0.2Scan saved at 18:40:05, on 2009-05-09Platform: Windows XP Dodatek SP3 (WinNT 5.01.2600)MSIE: Internet Explorer v7.00 (7.00.6000.16827)Boot mode: NormalRunning processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\Ati2evxx.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\Ati2evxx.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\RTHDCPL.EXEC:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exeC:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXEC:\WINDOWS\system32\ctfmon.exeC:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exeC:\PROGRA~1\AVG\AVG8\avgwdsvc.exec:\xampp\filezillaftp\filezillaserver.exeC:\PROGRA~1\AVG\AVG8\avgrsx.exeC:\WINDOWS\system32\PnkBstrA.exeC:\WINDOWS\system32\svchost.exeC:\PROGRA~1\AVG\AVG8\avgemc.exeC:\Program Files\AVG\AVG8\avgcsrvx.exeC:\PROGRA~1\AVG\AVG8\avgnsx.exeC:\Program Files\AVG\AVG8\avgtray.exeC:\WINDOWS\explorer.exeC:\WINDOWS\smss.comC:\WINDOWS\system32\wuauclt.exeC:\Program Files\Trend Micro\HijackThis\HijackThis.exeR1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = ŁączaO2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dllO4 - HKLM\..\Run: [startCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRunO4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXEO4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800"O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exeO4 - HKLM\..\Run: [sessionManagerSubsystem] C:\WINDOWS\smss.comO4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exeO4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exeO9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exeO9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dllO20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dllO23 - Service: Apache2.2 - Apache Software Foundation - c:\xampp\apache\bin\apache.exeO23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exeO23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exeO23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exeO23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exeO23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - c:\xampp\filezillaftp\filezillaserver.exeO23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exeO23 - Service: mysql - Unknown owner - c:\xampp\mysql\bin\mysqld-nt.exeO23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exeO23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe--End of file - 4516 bytes
Gość
komentarz
komentarz

Widzę, że lubisz grać w Tibię. Nie graj w Tibię bo cały czas będziesz miał wirusy, kolejny się odrodził:

O4 - HKLM\..\Run: [sessionManagerSubsystem] C:\WINDOWS\smss.com

Usuń ten plik i Fixnij ten wpis.

.

Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!

Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.

×
×
  • Dodaj nową pozycję...

Powiadomienie o plikach cookie

Strona wykorzystuje pliki cookies w celu prawidłowego świadczenia usług i wygody użytkowników. Warunki przechowywania i dostępu do plików cookies możesz zmienić w ustawieniach przeglądarki.