Demonrex utworzono 9 maja 2009 utworzono 9 maja 2009 (edytowane) Witam. Dzis zrobilem sobie profilaktycznie logi, zeby sprawdzic czy jest cos nie tak. Patrze w logi, coś mi nie pasuje. Jakis Hattric i proces smss.exe NIE POCHODZACY Z FOLDERU system32(tylko windows/system32/hattric/smss.exe). Logfile of Trend Micro HijackThis v2.0.2Scan saved at 13:25:05, on 2009-05-09Platform: Windows XP Dodatek SP3 (WinNT 5.01.2600)MSIE: Internet Explorer v7.00 (7.00.6000.16827)Boot mode: NormalRunning processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\Ati2evxx.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\Ati2evxx.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\RTHDCPL.EXEC:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exeC:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXEC:\PROGRA~1\AVG\AVG8\avgtray.exeC:\WINDOWS\system32\ctfmon.exeC:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exeC:\WINDOWS\system32\hattric\smss.exeC:\PROGRA~1\AVG\AVG8\avgwdsvc.exec:\xampp\filezillaftp\filezillaserver.exeC:\PROGRA~1\AVG\AVG8\avgrsx.exeC:\WINDOWS\system32\PnkBstrA.exeC:\WINDOWS\system32\svchost.exeC:\PROGRA~1\AVG\AVG8\avgemc.exeC:\Program Files\AVG\AVG8\avgcsrvx.exeC:\PROGRA~1\AVG\AVG8\avgnsx.exeC:\Program Files\Nowe Gadu-Gadu\gg.exeC:\Program Files\Nowe Gadu-Gadu\spellchecker_gg.exeC:\Program Files\Trend Micro\HijackThis\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ask.com/?o=13928&l=disR1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = ŁączaO2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dllO4 - HKLM\..\Run: [startCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRunO4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXEO4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800"O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exeO4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exeO4 - HKCU\..\Run: [Hattric] C:\WINDOWS\system32\hattric\smss.exeO4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exeO9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exeO9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dllO20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dllO23 - Service: Apache2.2 - Apache Software Foundation - c:\xampp\apache\bin\apache.exeO23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exeO23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exeO23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exeO23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exeO23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - c:\xampp\filezillaftp\filezillaserver.exeO23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exeO23 - Service: mysql - Unknown owner - c:\xampp\mysql\bin\mysqld-nt.exeO23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exeO23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe--End of file - 4689 bytes Zaraz edytne i dam logi z ComboFix'a. @edit ComboFix 09-05-08.03 - Admin 2009-05-09 13:32.3 - NTFSx86Microsoft Windows XP Professional 5.1.2600.3.1250.48.1045.18.2046.1566 [GMT 2:00]Uruchomiony z: c:\documents and settings\Admin\Pulpit\ComboFix.exeAV: AVG Anti-Virus Free *On-access scanning enabled* (Updated)UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !!.((((((((((((((((((((((((( Pliki utworzone od 2009-04-09 do 2009-05-09 ))))))))))))))))))))))))))))))).2009-05-09 10:16 . 2009-05-09 10:16 -------- d-----w c:\documents and settings\Admin\Dane aplikacji\Microsoft Games2009-05-09 10:16 . 2009-05-09 10:16 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\Microsoft Games2009-05-09 10:16 . 2009-05-09 10:20 -------- d-----w c:\windows\LastGood2009-05-08 19:32 . 2009-05-08 20:07 -------- d-----w c:\documents and settings\Admin\Dane aplikacji\uTorrent2009-05-08 14:07 . 2009-05-08 14:21 -------- d-----w c:\program files\Tibia 7.922009-05-08 13:40 . 2009-05-08 13:40 138944 ----a-w c:\windows\system32\drivers\PnkBstrK.sys2009-05-08 13:39 . 2009-05-08 13:39 189784 ----a-w c:\windows\system32\PnkBstrB.exe2009-05-08 13:39 . 2009-05-08 13:39 75064 ----a-w c:\windows\system32\PnkBstrA.exe2009-05-08 09:59 . 2009-05-08 09:59 -------- d-----w c:\documents and settings\Admin\Dane aplikacji\EPSON2009-05-07 15:25 . 2009-05-08 14:55 -------- d-----w C:\xampp2009-05-07 10:44 . 2009-05-07 10:44 -------- d-----w c:\documents and settings\Admin\Dane aplikacji\Chasm2009-05-06 16:29 . 2009-05-06 16:29 -------- d-----w c:\program files\CCleaner2009-05-06 15:29 . 2009-05-08 18:21 -------- d--h--w C:\$AVG8.VAULT$2009-05-06 15:26 . 2009-05-06 15:26 11952 ----a-w c:\windows\system32\avgrsstx.dll2009-05-06 15:26 . 2009-05-06 15:26 108552 ----a-w c:\windows\system32\drivers\avgtdix.sys2009-05-06 15:25 . 2009-05-06 15:25 325896 ----a-w c:\windows\system32\drivers\avgldx86.sys2009-05-06 15:25 . 2009-05-08 16:06 -------- d-----w c:\windows\system32\drivers\Avg2009-05-06 15:25 . 2009-05-06 15:25 -------- d-----w c:\program files\AVG2009-05-06 15:25 . 2009-05-06 15:25 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\avg82009-05-06 14:49 . 2009-05-06 14:49 -------- d-----w c:\documents and settings\Admin\Ustawienia lokalne\Dane aplikacji\ESET2009-05-06 14:31 . 2009-05-06 14:31 -------- d-----w c:\documents and settings\Admin\Dane aplikacji\Uniblue2009-05-05 18:54 . 2009-05-05 18:54 -------- d-----w c:\program files\TibiaBot NG2009-05-05 18:54 . 2009-05-05 18:54 -------- d-----w c:\windows\system32\hattric2009-05-05 18:18 . 2009-05-05 18:27 -------- d-----w c:\documents and settings\Admin\Dane aplikacji\Tibia2009-05-05 18:17 . 2009-05-05 18:17 -------- d-----w c:\program files\Tibia 8.422009-05-05 18:11 . 2009-05-08 14:55 -------- d-----w c:\program files\Nbot8.422009-05-03 12:48 . 2009-05-03 12:48 -------- d-----w c:\documents and settings\Admin\Dane aplikacji\F-Secure2009-05-03 12:45 . 2009-05-03 12:45 -------- d-----w c:\documents and settings\NetworkService\Ustawienia lokalne\Dane aplikacji\F-Secure2009-05-03 12:44 . 2009-05-03 12:44 -------- d-----w c:\program files\mmp2009-05-03 12:44 . 2009-05-03 12:44 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\fssg2009-05-03 12:43 . 2009-05-06 14:40 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\f-secure2009-05-01 18:56 . 2009-05-01 18:56 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\ESET2009-05-01 14:46 . 2009-05-01 14:46 767328 ----a-w c:\windows\system32\kdfinj.dll2009-05-01 14:46 . 2008-10-17 08:50 131072 ----a-w c:\windows\system32\drivers\Mkd2kfNT.sys2009-05-01 14:46 . 2008-10-17 08:50 79104 ----a-w c:\windows\system32\drivers\Mkd2Nadr.sys2009-05-01 14:44 . 2009-05-01 14:44 -------- d-----w c:\program files\AhnLab2009-05-01 11:35 . 2006-06-26 00:49 1867776 ----a-w c:\windows\system\python24.dll2009-05-01 11:21 . 2009-05-01 14:22 -------- d-----w c:\program files\Tibia Auto2009-04-30 16:05 . 2009-05-05 18:18 -------- d-----w c:\program files\Nbot2009-04-30 14:39 . 2009-04-30 14:39 -------- d-----w c:\documents and settings\Admin\.mysqlcc2009-04-30 14:31 . 2009-05-01 14:23 -------- d-----w c:\program files\WebServ2009-04-30 14:25 . 2009-04-30 14:25 -------- d-----w c:\program files\Trend Micro2009-04-29 11:38 . 2009-04-29 11:38 -------- d-----w C:\Nexon2009-04-29 11:38 . 2009-04-30 14:04 421888 ----a-w c:\windows\NEXON_EU_DownloaderUpdater.exe2009-04-28 16:03 . 2009-04-28 16:10 -------- d-----w c:\program files\Goobers2009-04-27 13:38 . 2005-01-22 19:12 679936 ----a-w c:\windows\system32\D3DX81ab.dll2009-04-27 13:35 . 2009-04-27 13:35 -------- d-----w c:\program files\WinPcap2009-04-27 13:34 . 2009-04-30 14:17 -------- d-----w c:\program files\WC3Banlist2009-04-26 14:27 . 2009-04-26 14:27 -------- d-----w c:\program files\Remere's Map Editor2009-04-26 13:27 . 2009-04-26 13:27 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\UDL2009-04-26 13:24 . 2004-09-10 21:12 49152 ----a-w c:\windows\system32\E_DCINST.DLL2009-04-26 13:24 . 2000-06-07 02:01 34304 ----a-w c:\windows\system32\E_FBCHACE.DLL2009-04-26 13:24 . 2003-05-21 03:27 64000 ----a-w c:\windows\system32\E_FBCBACE.DLL2009-04-26 13:24 . 2004-11-25 05:07 79679 ----a-w c:\windows\system32\E_FLMACE.DLL2009-04-26 13:24 . 2008-04-13 22:17 25856 -c--a-w c:\windows\system32\dllcache\usbprint.sys2009-04-26 13:24 . 2008-04-13 22:17 25856 ----a-w c:\windows\system32\drivers\usbprint.sys2009-04-26 13:24 . 2008-04-13 22:15 15104 -c--a-w c:\windows\system32\dllcache\usbscan.sys2009-04-26 13:24 . 2008-04-13 22:15 15104 ----a-w c:\windows\system32\drivers\usbscan.sys2009-04-26 13:23 . 2009-04-26 13:25 -------- d-----w c:\program files\epson2009-04-26 13:23 . 2005-02-24 22:00 22016 ----a-w c:\windows\system32\esccmd.dll2009-04-26 13:23 . 2005-02-24 22:00 46080 ----a-w c:\windows\system32\escimgd.dll2009-04-26 13:23 . 2005-02-24 22:00 29696 ----a-w c:\windows\system32\escwiad.dll2009-04-25 16:24 . 2009-04-30 14:00 -------- d-----w c:\documents and settings\Admin\Dane aplikacji\sqlitestudio2009-04-21 16:08 . 2009-04-21 16:08 -------- d-----w c:\documents and settings\Admin\Ustawienia lokalne\Dane aplikacji\PunkBuster2009-04-21 15:50 . 2009-04-21 15:50 -------- d-----w c:\documents and settings\Admin\Dane aplikacji\id Software2009-04-21 15:49 . 2009-04-21 15:49 22328 ----a-w c:\documents and settings\Admin\Dane aplikacji\PnkBstrK.sys2009-04-21 15:49 . 2009-04-21 15:49 -------- d-----w c:\windows\system32\LogFiles2009-04-21 15:49 . 2009-04-21 15:49 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\id Software2009-04-21 14:16 . 2006-06-26 00:49 1867776 ----a-w c:\windows\system32\python24.dll2009-04-21 13:06 . 2009-05-05 18:55 -------- d---a-w c:\documents and settings\All Users\Dane aplikacji\TEMP2009-04-17 13:55 . 2009-04-17 13:55 -------- d-----w c:\documents and settings\Admin\Dane aplikacji\Remere's Map Editor2009-04-16 14:27 . 2009-04-16 14:27 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\ipla2009-04-16 14:27 . 2009-04-30 06:01 -------- d-----w c:\documents and settings\Admin\Dane aplikacji\ipla2009-04-16 14:27 . 2009-04-16 14:27 -------- d-----w c:\program files\ipla2009-04-16 14:27 . 2009-04-16 14:27 1700352 ----a-w c:\windows\system32\gdiplus.dll2009-04-16 13:45 . 2003-03-18 19:20 1060864 ----a-w c:\windows\system32\MFC71.dll2009-04-16 13:45 . 2003-03-18 18:14 499712 ----a-w c:\windows\system32\MSVCP71.dll2009-04-16 13:45 . 2003-02-21 02:42 348160 ----a-w c:\windows\system32\MSVCR71.dll2009-04-16 13:45 . 2009-04-16 13:45 -------- d-----w c:\program files\Alwil Software2009-04-14 18:20 . 2009-04-14 18:20 -------- d-----w c:\documents and settings\Admin\Ustawienia lokalne\Dane aplikacji\Opera2009-04-14 18:20 . 2009-04-14 18:20 -------- d-----w c:\program files\Opera2009-04-14 15:55 . 2009-04-14 15:55 107888 ----a-w c:\windows\system32\CmdLineExt.dll2009-04-14 13:34 . 2008-06-14 17:36 273024 -c----w c:\windows\system32\dllcache\bthport.sys2009-04-14 13:34 . 2008-06-14 17:36 273024 ------w c:\windows\system32\drivers\bthport.sys2009-04-14 13:32 . 2009-02-09 11:26 2146816 -c----w c:\windows\system32\dllcache\ntkrnlmp.exe2009-04-14 13:32 . 2009-02-10 17:09 2067328 -c----w c:\windows\system32\dllcache\ntkrnlpa.exe2009-04-14 13:32 . 2009-02-09 11:26 2025472 -c----w c:\windows\system32\dllcache\ntkrpamp.exe2009-04-14 13:32 . 2009-02-09 11:26 2190336 -c----w c:\windows\system32\dllcache\ntoskrnl.exe2009-04-14 13:31 . 2008-10-24 11:21 455296 -c----w c:\windows\system32\dllcache\mrxsmb.sys2009-04-14 13:25 . 2008-07-09 07:57 26488 ----a-w c:\windows\system32\spupdsvc.exe.(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))).2009-05-09 10:23 . 2009-04-13 13:24 -------- d--h--w c:\program files\InstallShield Installation Information2009-05-06 14:40 . 2001-10-26 16:15 76878 ----a-w c:\windows\system32\perfc015.dat2009-05-06 14:40 . 2001-10-26 16:15 453580 ----a-w c:\windows\system32\perfh015.dat2009-05-01 18:51 . 2009-04-13 13:17 86327 ----a-w c:\windows\pchealth\helpctr\OfflineCache\index.dat2009-04-26 13:28 . 2009-04-13 13:23 -------- d-----w c:\program files\Common Files\InstallShield2009-04-13 19:39 . 2009-04-13 14:14 -------- d-----w c:\program files\Nowe Gadu-Gadu2009-04-13 15:14 . 2009-04-13 14:54 62521 ----a-w c:\windows\War3Unin.dat2009-04-13 14:59 . 2009-04-13 14:54 2829 ----a-w c:\windows\War3Unin.pif2009-04-13 14:59 . 2009-04-13 14:54 139264 ----a-w c:\windows\War3Unin.exe2009-04-13 13:47 . 2009-04-13 13:47 0 ----a-w c:\windows\nsreg.dat2009-04-13 13:36 . 2009-04-13 13:34 -------- d-----w c:\program files\Realtek2009-04-13 13:36 . 2009-04-13 13:32 16608 ----a-w c:\windows\gdrv.sys2009-04-13 13:34 . 2009-04-13 13:34 315392 ----a-w c:\windows\HideWin.exe2009-04-13 13:33 . 2009-04-13 13:33 -------- d-----w c:\program files\Intel2009-04-13 13:31 . 2009-04-13 13:31 12328 ----a-w c:\documents and settings\Admin\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT2009-04-13 13:30 . 2009-04-13 13:30 0 ----a-w c:\windows\ativpsrm.bin2009-04-13 13:28 . 2009-04-13 13:24 -------- d-----w c:\program files\ATI Technologies2009-04-13 13:27 . 2009-04-13 13:27 -------- d-----w c:\program files\Common Files\ATI Technologies2009-04-13 13:18 . 2009-04-13 13:18 -------- d-----w c:\program files\microsoft frontpage2009-04-13 13:17 . 2001-07-21 22:36 67 --sha-w c:\windows\Fonts\desktop.ini2009-04-13 13:16 . 2009-04-13 13:16 -------- d-----w c:\program files\Usługi online2009-04-13 13:14 . 2009-04-13 13:14 21856 ----a-w c:\windows\system32\emptyregdb.dat2009-04-13 13:14 . 2009-04-13 13:14 -------- d-----w c:\program files\Windows Media Connect 22009-03-06 14:22 . 2008-04-14 20:50 285696 ----a-w c:\windows\system32\pdh.dll2009-03-03 00:10 . 2008-05-08 18:01 826368 ----a-w c:\windows\system32\wininet.dll2009-02-20 17:13 . 2008-05-08 18:01 78336 ----a-w c:\windows\system32\ieencode.dll2009-02-09 14:07 . 2008-04-14 19:35 1847040 ----a-w c:\windows\system32\win32k.sys2009-02-09 11:26 . 2008-04-14 21:59 2025472 ----a-w c:\windows\system32\ntkrnlpa.exe2009-02-09 11:26 . 2008-04-14 19:59 2146816 ----a-w c:\windows\system32\ntoskrnl.exe2009-02-09 11:25 . 2008-04-14 20:51 111104 ----a-w c:\windows\system32\services.exe2009-02-09 10:53 . 2008-04-14 20:50 401408 ----a-w c:\windows\system32\rpcss.dll2009-02-09 10:53 . 2008-04-14 20:50 731136 ----a-w c:\windows\system32\lsasrv.dll2009-02-09 10:53 . 2008-04-14 20:50 686592 ----a-w c:\windows\system32\advapi32.dll2009-02-09 10:53 . 2008-04-14 20:49 722944 ----a-w c:\windows\system32\ntdll.dll.------- Sigcheck -------[-] 2008-05-08 18:02 1571840 9F02C1CF7C3100E4AEA7DD8B6A86A01B c:\windows\system32\sfcfiles.dll.((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))..*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane REGEDIT4[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]"Hattric"="c:\windows\system32\hattric\smss.exe" [2009-04-25 565782][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 61440]"EPSON Stylus DX3800 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE" [2005-02-08 98304]"AVG8_TRAY"="c:\progra~1\AVG\AVG8\avgtray.exe" [2009-05-06 1947928]"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2008-02-13 16857600][HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360][HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]"nltide_2"="shell32" [X][HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]2009-05-06 15:26 11952 ----a-w c:\windows\system32\avgrsstx.dll[HKEY_LOCAL_MACHINE\software\microsoft\security center]"AntiVirusOverride"=dword:00000001[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\system32\\sessmgr.exe"="c:\\Documents and Settings\\All Users\\Dane aplikacji\\Kaspersky Lab Setup Files\\Kaspersky Internet Security 2009\\Polish\\setup.exe"="c:\\Nexon\\NEXON_EU_Downloader\\NEXON_EU_Downloader_Engine.exe"="d:\\Warcraft III\\war3.exe"="c:\\Program Files\\AVG\\AVG8\\avgemc.exe"="c:\\Program Files\\AVG\\AVG8\\avgupd.exe"="c:\\Program Files\\AVG\\AVG8\\avgnsx.exe"="c:\\xampp\\apache\\bin\\apache.exe"="c:\\Program Files\\Mozilla Firefox\\firefox.exe"="d:\\Zoo Tycoon 2\\zt.exe"=R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [2009-05-06 325896]R1 AvgTdiX;AVG Free8 Network Redirector;c:\windows\system32\drivers\avgtdix.sys [2009-05-06 108552]R2 avg8emc;AVG Free8 E-mail Scanner;c:\progra~1\AVG\AVG8\avgemc.exe [2009-05-06 908568]R2 avg8wd;AVG Free8 WatchDog;c:\progra~1\AVG\AVG8\avgwdsvc.exe [2009-05-06 298776]R3 AtiHdmiService;ATI Function Driver for HDMI Service;c:\windows\system32\drivers\AtiHdmi.sys [2009-04-13 93696]R3 Mkd2Nadr;Mkd2Nadr;c:\windows\system32\drivers\Mkd2Nadr.sys [2009-05-01 79104]R3 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [2005-08-02 32512]S2 Apache2.2;Apache2.2;c:\xampp\apache\bin\apache.exe [2008-06-14 17408]S3 Mkd2kfNt;Mkd2kfNt;c:\windows\system32\drivers\Mkd2kfNT.sys [2009-05-01 131072]--- Inne Usługi/Sterowniki w Pamięci ---*NewlyCreated* - IDRIVERT*NewlyCreated* - SECDRV..------- Skan uzupełniający -------.uStart Page = hxxp://www.ask.com/?o=13928&l=disFF - ProfilePath - c:\documents and settings\Admin\Dane aplikacji\Mozilla\Firefox\Profiles\wjwa3w68.default\FF - prefs.js: browser.search.selectedEngine - AskFF - prefs.js: browser.startup.homepage - hxxp://www.ask.com/?o=13928&l=disFF - prefs.js: keyword.URL - hxxp://toolbar.ask.com/toolbarv/askRedirect?o=13925&gct=&gc=1&q=FF - component: c:\program files\AVG\AVG8\Firefox\components\avgssff.dllFF - plugin: c:\documents and settings\All Users\Dane aplikacji\id Software\QuakeLive\npquakezero.dllFF - plugin: c:\program files\AhnLab\ASP\MyKeyDefense 2.5\npmkd25aos.dll.**************************************************************************catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.netRootkit scan 2009-05-09 13:33Windows 5.1.2600 Dodatek Service Pack 3 NTFSskanowanie ukrytych procesów ... skanowanie ukrytych wpisów autostartu ... skanowanie ukrytych plików ... skanowanie pomyślnie ukończoneukryte pliki: 0**************************************************************************.--------------------- ZABLOKOWANE KLUCZE REJESTRU ---------------------[HKEY_USERS\S-1-5-21-1123561945-1177238915-682003330-1003\Software\SecuROM\License information*]"datasecu"=hex:55,4a,7a,54,2b,82,cd,49,f9,f1,04,6b,93,63,02,18,19,97,4a,cc,69, 8a,bc,b2,01,49,98,81,ed,66,fa,71,1e,b0,6d,8a,3d,31,f6,3e,48,ec,23,96,0a,fd,\"rkeysecu"=hex:67,e2,dc,d8,9b,e1,4e,75,28,4b,22,0b,75,77,9e,d3.--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------- - - - - - - > 'winlogon.exe'(756)c:\windows\system32\Ati2evxx.dll- - - - - - - > 'explorer.exe'(564)c:\windows\system32\wpdshserviceobj.dllc:\windows\system32\portabledevicetypes.dllc:\windows\system32\portabledeviceapi.dll.Czas ukończenia: 2009-05-09 13:33ComboFix-quarantined-files.txt 2009-05-09 11:33Przed: 45 587 677 184 bajtów wolnychPo: 45 583 646 720 bajtów wolnych226 --- E O F --- 2009-04-16 13:32
Gość komentarz 9 maja 2009 komentarz 9 maja 2009 Tibia = "hattric"... 1. Wklej do Notatnika: Folder::c:\windows\system32\hattricRegistry::[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"Hattric"=- >>Plik>>Zapisz jako... >>> CFScript Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe --> Ma się rozpocząć usuwanie. (i powstanie log).Daj ten log, który powstanie w trakcie usuwania. Jeśli pójdzie dobrze, to: Po restarcie usuń ręcznie folder C:\Qoobox. 2. R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ask.com/?o=13928&l=dis >>Hijack>>scan(Do a system scan only)>>zaznacz>>Fix checked. Poza tym - w logach nic nie ma. .
Demonrex komentarz 9 maja 2009 Autor komentarz 9 maja 2009 (edytowane) Tibia="hattric"... Nie rozumiem tego? Czy Tibia to wirus(lol?)? Mógłbyś mi to wyjaśnić? Zaraz dam edita z logiem z combo. @edit ComboFix 09-05-08.03 - Admin 2009-05-09 16:07.4 - NTFSx86Microsoft Windows XP Professional 5.1.2600.3.1250.48.1045.18.2046.1486 [GMT 2:00]Uruchomiony z: c:\documents and settings\Admin\Pulpit\ComboFix.exeUżyto następujących komend :: c:\documents and settings\Admin\Pulpit\CFScript.txtAV: AVG Anti-Virus Free *On-access scanning enabled* (Updated)UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !!.((((((((((((((((((((((((((((((((((((((( Usunięto ))))))))))))))))))))))))))))))))))))))))))))))))).c:\windows\system32\hattricc:\windows\system32\hattric\smss.exe.((((((((((((((((((((((((( Pliki utworzone od 2009-04-09 do 2009-05-09 ))))))))))))))))))))))))))))))).2009-05-09 10:16 . 2009-05-09 10:16 -------- d-----w c:\documents and settings\Admin\Dane aplikacji\Microsoft Games2009-05-09 10:16 . 2009-05-09 10:16 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\Microsoft Games2009-05-09 10:16 . 2009-05-09 10:20 -------- d-----w c:\windows\LastGood2009-05-08 19:32 . 2009-05-08 20:07 -------- d-----w c:\documents and settings\Admin\Dane aplikacji\uTorrent2009-05-08 14:07 . 2009-05-08 14:21 -------- d-----w c:\program files\Tibia 7.922009-05-08 13:40 . 2009-05-08 13:40 138944 ----a-w c:\windows\system32\drivers\PnkBstrK.sys2009-05-08 13:39 . 2009-05-08 13:39 189784 ----a-w c:\windows\system32\PnkBstrB.exe2009-05-08 13:39 . 2009-05-08 13:39 75064 ----a-w c:\windows\system32\PnkBstrA.exe2009-05-08 09:59 . 2009-05-08 09:59 -------- d-----w c:\documents and settings\Admin\Dane aplikacji\EPSON2009-05-07 15:25 . 2009-05-08 14:55 -------- d-----w C:\xampp2009-05-07 10:44 . 2009-05-07 10:44 -------- d-----w c:\documents and settings\Admin\Dane aplikacji\Chasm2009-05-06 16:29 . 2009-05-06 16:29 -------- d-----w c:\program files\CCleaner2009-05-06 15:29 . 2009-05-08 18:21 -------- d--h--w C:\$AVG8.VAULT$2009-05-06 15:26 . 2009-05-06 15:26 11952 ----a-w c:\windows\system32\avgrsstx.dll2009-05-06 15:26 . 2009-05-06 15:26 108552 ----a-w c:\windows\system32\drivers\avgtdix.sys2009-05-06 15:25 . 2009-05-06 15:25 325896 ----a-w c:\windows\system32\drivers\avgldx86.sys2009-05-06 15:25 . 2009-05-08 16:06 -------- d-----w c:\windows\system32\drivers\Avg2009-05-06 15:25 . 2009-05-06 15:25 -------- d-----w c:\program files\AVG2009-05-06 15:25 . 2009-05-06 15:25 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\avg82009-05-06 14:49 . 2009-05-06 14:49 -------- d-----w c:\documents and settings\Admin\Ustawienia lokalne\Dane aplikacji\ESET2009-05-06 14:31 . 2009-05-06 14:31 -------- d-----w c:\documents and settings\Admin\Dane aplikacji\Uniblue2009-05-05 18:54 . 2009-05-05 18:54 -------- d-----w c:\program files\TibiaBot NG2009-05-05 18:18 . 2009-05-05 18:27 -------- d-----w c:\documents and settings\Admin\Dane aplikacji\Tibia2009-05-05 18:17 . 2009-05-05 18:17 -------- d-----w c:\program files\Tibia 8.422009-05-05 18:11 . 2009-05-08 14:55 -------- d-----w c:\program files\Nbot8.422009-05-03 12:48 . 2009-05-03 12:48 -------- d-----w c:\documents and settings\Admin\Dane aplikacji\F-Secure2009-05-03 12:45 . 2009-05-03 12:45 -------- d-----w c:\documents and settings\NetworkService\Ustawienia lokalne\Dane aplikacji\F-Secure2009-05-03 12:44 . 2009-05-03 12:44 -------- d-----w c:\program files\mmp2009-05-03 12:44 . 2009-05-03 12:44 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\fssg2009-05-03 12:43 . 2009-05-06 14:40 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\f-secure2009-05-01 18:56 . 2009-05-01 18:56 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\ESET2009-05-01 14:46 . 2009-05-01 14:46 767328 ----a-w c:\windows\system32\kdfinj.dll2009-05-01 14:46 . 2008-10-17 08:50 131072 ----a-w c:\windows\system32\drivers\Mkd2kfNT.sys2009-05-01 14:46 . 2008-10-17 08:50 79104 ----a-w c:\windows\system32\drivers\Mkd2Nadr.sys2009-05-01 14:44 . 2009-05-01 14:44 -------- d-----w c:\program files\AhnLab2009-05-01 11:35 . 2006-06-26 00:49 1867776 ----a-w c:\windows\system\python24.dll2009-05-01 11:21 . 2009-05-01 14:22 -------- d-----w c:\program files\Tibia Auto2009-04-30 16:05 . 2009-05-05 18:18 -------- d-----w c:\program files\Nbot2009-04-30 14:39 . 2009-04-30 14:39 -------- d-----w c:\documents and settings\Admin\.mysqlcc2009-04-30 14:31 . 2009-05-01 14:23 -------- d-----w c:\program files\WebServ2009-04-30 14:25 . 2009-04-30 14:25 -------- d-----w c:\program files\Trend Micro2009-04-29 11:38 . 2009-04-29 11:38 -------- d-----w C:\Nexon2009-04-29 11:38 . 2009-04-30 14:04 421888 ----a-w c:\windows\NEXON_EU_DownloaderUpdater.exe2009-04-28 16:03 . 2009-04-28 16:10 -------- d-----w c:\program files\Goobers2009-04-27 13:38 . 2005-01-22 19:12 679936 ----a-w c:\windows\system32\D3DX81ab.dll2009-04-27 13:35 . 2009-04-27 13:35 -------- d-----w c:\program files\WinPcap2009-04-27 13:34 . 2009-04-30 14:17 -------- d-----w c:\program files\WC3Banlist2009-04-26 14:27 . 2009-04-26 14:27 -------- d-----w c:\program files\Remere's Map Editor2009-04-26 13:27 . 2009-04-26 13:27 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\UDL2009-04-26 13:24 . 2004-09-10 21:12 49152 ----a-w c:\windows\system32\E_DCINST.DLL2009-04-26 13:24 . 2000-06-07 02:01 34304 ----a-w c:\windows\system32\E_FBCHACE.DLL2009-04-26 13:24 . 2003-05-21 03:27 64000 ----a-w c:\windows\system32\E_FBCBACE.DLL2009-04-26 13:24 . 2004-11-25 05:07 79679 ----a-w c:\windows\system32\E_FLMACE.DLL2009-04-26 13:24 . 2008-04-13 22:17 25856 -c--a-w c:\windows\system32\dllcache\usbprint.sys2009-04-26 13:24 . 2008-04-13 22:17 25856 ----a-w c:\windows\system32\drivers\usbprint.sys2009-04-26 13:24 . 2008-04-13 22:15 15104 -c--a-w c:\windows\system32\dllcache\usbscan.sys2009-04-26 13:24 . 2008-04-13 22:15 15104 ----a-w c:\windows\system32\drivers\usbscan.sys2009-04-26 13:23 . 2009-04-26 13:25 -------- d-----w c:\program files\epson2009-04-26 13:23 . 2005-02-24 22:00 22016 ----a-w c:\windows\system32\esccmd.dll2009-04-26 13:23 . 2005-02-24 22:00 46080 ----a-w c:\windows\system32\escimgd.dll2009-04-26 13:23 . 2005-02-24 22:00 29696 ----a-w c:\windows\system32\escwiad.dll2009-04-25 16:24 . 2009-04-30 14:00 -------- d-----w c:\documents and settings\Admin\Dane aplikacji\sqlitestudio2009-04-21 16:08 . 2009-04-21 16:08 -------- d-----w c:\documents and settings\Admin\Ustawienia lokalne\Dane aplikacji\PunkBuster2009-04-21 15:50 . 2009-04-21 15:50 -------- d-----w c:\documents and settings\Admin\Dane aplikacji\id Software2009-04-21 15:49 . 2009-04-21 15:49 22328 ----a-w c:\documents and settings\Admin\Dane aplikacji\PnkBstrK.sys2009-04-21 15:49 . 2009-04-21 15:49 -------- d-----w c:\windows\system32\LogFiles2009-04-21 15:49 . 2009-04-21 15:49 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\id Software2009-04-21 14:16 . 2006-06-26 00:49 1867776 ----a-w c:\windows\system32\python24.dll2009-04-21 13:06 . 2009-05-05 18:55 -------- d---a-w c:\documents and settings\All Users\Dane aplikacji\TEMP2009-04-17 13:55 . 2009-04-17 13:55 -------- d-----w c:\documents and settings\Admin\Dane aplikacji\Remere's Map Editor2009-04-16 14:27 . 2009-04-16 14:27 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\ipla2009-04-16 14:27 . 2009-04-30 06:01 -------- d-----w c:\documents and settings\Admin\Dane aplikacji\ipla2009-04-16 14:27 . 2009-04-16 14:27 -------- d-----w c:\program files\ipla2009-04-16 14:27 . 2009-04-16 14:27 1700352 ----a-w c:\windows\system32\gdiplus.dll2009-04-16 13:45 . 2003-03-18 19:20 1060864 ----a-w c:\windows\system32\MFC71.dll2009-04-16 13:45 . 2003-03-18 18:14 499712 ----a-w c:\windows\system32\MSVCP71.dll2009-04-16 13:45 . 2003-02-21 02:42 348160 ----a-w c:\windows\system32\MSVCR71.dll2009-04-16 13:45 . 2009-04-16 13:45 -------- d-----w c:\program files\Alwil Software2009-04-14 18:20 . 2009-04-14 18:20 -------- d-----w c:\documents and settings\Admin\Ustawienia lokalne\Dane aplikacji\Opera2009-04-14 18:20 . 2009-04-14 18:20 -------- d-----w c:\program files\Opera2009-04-14 15:55 . 2009-04-14 15:55 107888 ----a-w c:\windows\system32\CmdLineExt.dll2009-04-14 13:34 . 2008-06-14 17:36 273024 -c----w c:\windows\system32\dllcache\bthport.sys2009-04-14 13:34 . 2008-06-14 17:36 273024 ------w c:\windows\system32\drivers\bthport.sys2009-04-14 13:32 . 2009-02-09 11:26 2146816 -c----w c:\windows\system32\dllcache\ntkrnlmp.exe2009-04-14 13:32 . 2009-02-10 17:09 2067328 -c----w c:\windows\system32\dllcache\ntkrnlpa.exe2009-04-14 13:32 . 2009-02-09 11:26 2025472 -c----w c:\windows\system32\dllcache\ntkrpamp.exe2009-04-14 13:32 . 2009-02-09 11:26 2190336 -c----w c:\windows\system32\dllcache\ntoskrnl.exe2009-04-14 13:31 . 2008-10-24 11:21 455296 -c----w c:\windows\system32\dllcache\mrxsmb.sys2009-04-14 13:25 . 2008-07-09 07:57 26488 ----a-w c:\windows\system32\spupdsvc.exe.(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))).2009-05-09 10:23 . 2009-04-13 13:24 -------- d--h--w c:\program files\InstallShield Installation Information2009-05-06 14:40 . 2001-10-26 16:15 76878 ----a-w c:\windows\system32\perfc015.dat2009-05-06 14:40 . 2001-10-26 16:15 453580 ----a-w c:\windows\system32\perfh015.dat2009-05-01 18:51 . 2009-04-13 13:17 86327 ----a-w c:\windows\pchealth\helpctr\OfflineCache\index.dat2009-04-26 13:28 . 2009-04-13 13:23 -------- d-----w c:\program files\Common Files\InstallShield2009-04-13 19:39 . 2009-04-13 14:14 -------- d-----w c:\program files\Nowe Gadu-Gadu2009-04-13 15:14 . 2009-04-13 14:54 62521 ----a-w c:\windows\War3Unin.dat2009-04-13 14:59 . 2009-04-13 14:54 2829 ----a-w c:\windows\War3Unin.pif2009-04-13 14:59 . 2009-04-13 14:54 139264 ----a-w c:\windows\War3Unin.exe2009-04-13 13:47 . 2009-04-13 13:47 0 ----a-w c:\windows\nsreg.dat2009-04-13 13:36 . 2009-04-13 13:34 -------- d-----w c:\program files\Realtek2009-04-13 13:36 . 2009-04-13 13:32 16608 ----a-w c:\windows\gdrv.sys2009-04-13 13:34 . 2009-04-13 13:34 315392 ----a-w c:\windows\HideWin.exe2009-04-13 13:33 . 2009-04-13 13:33 -------- d-----w c:\program files\Intel2009-04-13 13:31 . 2009-04-13 13:31 12328 ----a-w c:\documents and settings\Admin\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT2009-04-13 13:30 . 2009-04-13 13:30 0 ----a-w c:\windows\ativpsrm.bin2009-04-13 13:28 . 2009-04-13 13:24 -------- d-----w c:\program files\ATI Technologies2009-04-13 13:27 . 2009-04-13 13:27 -------- d-----w c:\program files\Common Files\ATI Technologies2009-04-13 13:18 . 2009-04-13 13:18 -------- d-----w c:\program files\microsoft frontpage2009-04-13 13:17 . 2001-07-21 22:36 67 --sha-w c:\windows\Fonts\desktop.ini2009-04-13 13:16 . 2009-04-13 13:16 -------- d-----w c:\program files\Usługi online2009-04-13 13:14 . 2009-04-13 13:14 21856 ----a-w c:\windows\system32\emptyregdb.dat2009-04-13 13:14 . 2009-04-13 13:14 -------- d-----w c:\program files\Windows Media Connect 22009-03-06 14:22 . 2008-04-14 20:50 285696 ----a-w c:\windows\system32\pdh.dll2009-03-03 00:10 . 2008-05-08 18:01 826368 ----a-w c:\windows\system32\wininet.dll2009-02-20 17:13 . 2008-05-08 18:01 78336 ----a-w c:\windows\system32\ieencode.dll2009-02-09 14:07 . 2008-04-14 19:35 1847040 ----a-w c:\windows\system32\win32k.sys2009-02-09 11:26 . 2008-04-14 21:59 2025472 ----a-w c:\windows\system32\ntkrnlpa.exe2009-02-09 11:26 . 2008-04-14 19:59 2146816 ----a-w c:\windows\system32\ntoskrnl.exe2009-02-09 11:25 . 2008-04-14 20:51 111104 ----a-w c:\windows\system32\services.exe2009-02-09 10:53 . 2008-04-14 20:50 401408 ----a-w c:\windows\system32\rpcss.dll2009-02-09 10:53 . 2008-04-14 20:50 731136 ----a-w c:\windows\system32\lsasrv.dll2009-02-09 10:53 . 2008-04-14 20:50 686592 ----a-w c:\windows\system32\advapi32.dll2009-02-09 10:53 . 2008-04-14 20:49 722944 ----a-w c:\windows\system32\ntdll.dll.------- Sigcheck -------[-] 2008-05-08 18:02 1571840 9F02C1CF7C3100E4AEA7DD8B6A86A01B c:\windows\system32\sfcfiles.dll.((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))..*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane REGEDIT4[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 61440]"EPSON Stylus DX3800 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE" [2005-02-08 98304]"AVG8_TRAY"="c:\progra~1\AVG\AVG8\avgtray.exe" [2009-05-06 1947928]"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2008-02-13 16857600][HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360][HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]"nltide_2"="shell32" [X][HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]2009-05-06 15:26 11952 ----a-w c:\windows\system32\avgrsstx.dll[HKEY_LOCAL_MACHINE\software\microsoft\security center]"AntiVirusOverride"=dword:00000001[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\system32\\sessmgr.exe"="c:\\Documents and Settings\\All Users\\Dane aplikacji\\Kaspersky Lab Setup Files\\Kaspersky Internet Security 2009\\Polish\\setup.exe"="c:\\Nexon\\NEXON_EU_Downloader\\NEXON_EU_Downloader_Engine.exe"="d:\\Warcraft III\\war3.exe"="c:\\Program Files\\AVG\\AVG8\\avgemc.exe"="c:\\Program Files\\AVG\\AVG8\\avgupd.exe"="c:\\Program Files\\AVG\\AVG8\\avgnsx.exe"="c:\\xampp\\apache\\bin\\apache.exe"="c:\\Program Files\\Mozilla Firefox\\firefox.exe"="d:\\Zoo Tycoon 2\\zt.exe"=R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [2009-05-06 325896]R1 AvgTdiX;AVG Free8 Network Redirector;c:\windows\system32\drivers\avgtdix.sys [2009-05-06 108552]R2 avg8emc;AVG Free8 E-mail Scanner;c:\progra~1\AVG\AVG8\avgemc.exe [2009-05-06 908568]R2 avg8wd;AVG Free8 WatchDog;c:\progra~1\AVG\AVG8\avgwdsvc.exe [2009-05-06 298776]R3 AtiHdmiService;ATI Function Driver for HDMI Service;c:\windows\system32\drivers\AtiHdmi.sys [2009-04-13 93696]R3 Mkd2Nadr;Mkd2Nadr;c:\windows\system32\drivers\Mkd2Nadr.sys [2009-05-01 79104]R3 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [2005-08-02 32512]S2 Apache2.2;Apache2.2;c:\xampp\apache\bin\apache.exe [2008-06-14 17408]S3 Mkd2kfNt;Mkd2kfNt;c:\windows\system32\drivers\Mkd2kfNT.sys [2009-05-01 131072]--- Inne Usługi/Sterowniki w Pamięci ---*NewlyCreated* - IDRIVERT*NewlyCreated* - SECDRV..------- Skan uzupełniający -------.uStart Page = hxxp://www.ask.com/?o=13928&l=disFF - ProfilePath - c:\documents and settings\Admin\Dane aplikacji\Mozilla\Firefox\Profiles\wjwa3w68.default\FF - prefs.js: browser.search.selectedEngine - AskFF - prefs.js: browser.startup.homepage - hxxp://www.ask.com/?o=13928&l=disFF - prefs.js: keyword.URL - hxxp://toolbar.ask.com/toolbarv/askRedirect?o=13925&gct=&gc=1&q=FF - component: c:\program files\AVG\AVG8\Firefox\components\avgssff.dllFF - plugin: c:\documents and settings\All Users\Dane aplikacji\id Software\QuakeLive\npquakezero.dllFF - plugin: c:\program files\AhnLab\ASP\MyKeyDefense 2.5\npmkd25aos.dll.**************************************************************************catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.netRootkit scan 2009-05-09 16:08Windows 5.1.2600 Dodatek Service Pack 3 NTFSskanowanie ukrytych procesów ... skanowanie ukrytych wpisów autostartu ... skanowanie ukrytych plików ... skanowanie pomyślnie ukończoneukryte pliki: 0**************************************************************************.--------------------- ZABLOKOWANE KLUCZE REJESTRU ---------------------[HKEY_USERS\S-1-5-21-1123561945-1177238915-682003330-1003\Software\SecuROM\License information*]"datasecu"=hex:55,4a,7a,54,2b,82,cd,49,f9,f1,04,6b,93,63,02,18,19,97,4a,cc,69, 8a,bc,b2,01,49,98,81,ed,66,fa,71,1e,b0,6d,8a,3d,31,f6,3e,48,ec,23,96,0a,fd,\"rkeysecu"=hex:67,e2,dc,d8,9b,e1,4e,75,28,4b,22,0b,75,77,9e,d3.--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------- - - - - - - > 'winlogon.exe'(756)c:\windows\system32\Ati2evxx.dll.Czas ukończenia: 2009-05-09 16:08ComboFix-quarantined-files.txt 2009-05-09 14:08ComboFix2.txt 2009-05-09 11:33Przed: 45 548 011 520 bajtów wolnychPo: 45 536 149 504 bajtów wolnych227 --- E O F --- 2009-04-16 13:32
Gość komentarz 9 maja 2009 komentarz 9 maja 2009 Log jest czysty. 'Dzięki TIBII' miałeś tego trojana... 1. Posprzątaj po ComboFixie i różnych narzędziach >>> OTCleanIt. 2. Z folderu "System Volume Information" usuniesz poprzez chwilowe wyłączenie "Przywracania Systemu": >Panel Sterowania>System>Przywracanie Systemu>>zaznacz w okienku przy "Wyłącz przywracanie na wszystkich dyskach">Zastosuj>OK.Potem możesz powrócić do poprzedniego ustawienia (czyli usunąć zaznaczenie z okienka). 3. Wykonaj optymalizację systemu 4.Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum. .
Demonrex komentarz 9 maja 2009 Autor komentarz 9 maja 2009 Zrobilem to. Wszystko czysto. Teraz robie kolejne logi dla sprawdzenia czy znowu nic nie "przylazło". A jednak. Nie jestem pewien, czy smss.com to wirus? Daje logi z HiJacka narazie. Jesli bedzie potrzeba dam z Combo. Logfile of Trend Micro HijackThis v2.0.2Scan saved at 18:40:05, on 2009-05-09Platform: Windows XP Dodatek SP3 (WinNT 5.01.2600)MSIE: Internet Explorer v7.00 (7.00.6000.16827)Boot mode: NormalRunning processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\Ati2evxx.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\Ati2evxx.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\RTHDCPL.EXEC:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exeC:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXEC:\WINDOWS\system32\ctfmon.exeC:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exeC:\PROGRA~1\AVG\AVG8\avgwdsvc.exec:\xampp\filezillaftp\filezillaserver.exeC:\PROGRA~1\AVG\AVG8\avgrsx.exeC:\WINDOWS\system32\PnkBstrA.exeC:\WINDOWS\system32\svchost.exeC:\PROGRA~1\AVG\AVG8\avgemc.exeC:\Program Files\AVG\AVG8\avgcsrvx.exeC:\PROGRA~1\AVG\AVG8\avgnsx.exeC:\Program Files\AVG\AVG8\avgtray.exeC:\WINDOWS\explorer.exeC:\WINDOWS\smss.comC:\WINDOWS\system32\wuauclt.exeC:\Program Files\Trend Micro\HijackThis\HijackThis.exeR1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = ŁączaO2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dllO4 - HKLM\..\Run: [startCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRunO4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXEO4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800"O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exeO4 - HKLM\..\Run: [sessionManagerSubsystem] C:\WINDOWS\smss.comO4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exeO4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exeO9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exeO9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dllO20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dllO23 - Service: Apache2.2 - Apache Software Foundation - c:\xampp\apache\bin\apache.exeO23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exeO23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exeO23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exeO23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exeO23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - c:\xampp\filezillaftp\filezillaserver.exeO23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exeO23 - Service: mysql - Unknown owner - c:\xampp\mysql\bin\mysqld-nt.exeO23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exeO23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe--End of file - 4516 bytes
Gość komentarz 9 maja 2009 komentarz 9 maja 2009 Widzę, że lubisz grać w Tibię. Nie graj w Tibię bo cały czas będziesz miał wirusy, kolejny się odrodził: O4 - HKLM\..\Run: [sessionManagerSubsystem] C:\WINDOWS\smss.com Usuń ten plik i Fixnij ten wpis. .
Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!
Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.