szakal87 utworzono 27 maja 2009 utworzono 27 maja 2009 Witam, Chciałbym poprosić o sprawdzenie mojego log'a. >>> Log z ComboFix'a ComboFix 09-05-22.01 - sztylka 2009-05-22 20:15.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.3.1250.48.1045.18.502.252 [GMT 2:00] Uruchomiony z: d:\\downloads\\ComboFix.exe AV: ESET NOD32 Antivirus 3.0 *On-access scanning disabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0} . ((((((((((((((((((((((((((((((((((((((( Usunięto ))))))))))))))))))))))))))))))))))))))))))))))))) . c:\\recycler\\S-1-5-21-1482476501-1644491937-682003330-1013 c:\\recycler\\S-1-5-21-1482476501-1644491937-682003330-1013\\Desktop.ini c:\\winnt\\AhnRpta.exe c:\\winnt\\expiorer.exe . ((((((((((((((((((((((((( Pliki utworzone od 2009-04-22 do 2009-05-22 ))))))))))))))))))))))))))))))) . 2009-05-22 17:30 . 2009-05-22 17:30 -------- d-----w c:\\documents and settings\\LocalService\\Ustawienia lokalne\\Dane aplikacji\\ESET 2009-05-22 15:14 . 2009-05-22 15:14 -------- d-----w c:\\documents and settings\\sztylka\\Ustawienia lokalne\\Dane aplikacji\\ESET 2009-05-22 15:08 . 2009-05-22 15:08 -------- d-----w c:\\winnt\\LastGood 2009-05-22 15:07 . 2009-05-22 15:07 -------- d-----w c:\\documents and settings\\All Users\\Dane aplikacji\\ESET 2009-05-20 13:21 . 2009-05-20 13:21 -------- d-----w c:\\program files\\Real Alternative 2009-05-19 19:22 . 2009-05-19 19:22 -------- d-----w C:\\Programme . (((((((((((((((((((((((((((((((((((((((( Sekcja Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-05-22 15:07 . 2008-11-11 20:38 -------- d-----w c:\\program files\\ESET 2009-05-21 22:34 . 2009-02-07 22:33 -------- d-----w c:\\documents and settings\\sztylka\\Dane aplikacji\\Skype 2009-05-21 21:34 . 2009-02-07 22:34 -------- d-----w c:\\documents and settings\\sztylka\\Dane aplikacji\\skypePM 2009-05-19 19:22 . 2008-09-03 20:13 -------- d--h--w c:\\program files\\InstallShield Installation Information 2009-04-26 23:41 . 2008-11-02 21:37 -------- d-----w c:\\documents and settings\\sztylka\\Dane aplikacji\\Autodesk 2009-04-26 16:52 . 2008-11-06 20:00 -------- d-----w c:\\documents and settings\\sztylka\\Dane aplikacji\\SolidWorks 2009-04-22 17:58 . 2009-04-22 17:58 -------- d-----w c:\\documents and settings\\sztylka\\Dane aplikacji\\PTC 2009-04-22 17:38 . 2009-04-22 17:32 -------- d-----w c:\\program files\\proeWildfire 4.0 2009-04-18 16:35 . 2009-02-15 00:24 -------- d-----w c:\\program files\\WFlip050-1 2009-04-15 16:32 . 2001-10-26 18:15 79606 ----a-w c:\\winnt\\system32\\perfc015.dat 2009-04-15 16:32 . 2001-10-26 18:15 458260 ----a-w c:\\winnt\\system32\\perfh015.dat 2009-04-12 20:08 . 2009-01-16 13:14 -------- d-----w c:\\program files\\PokerStars 2009-04-04 12:32 . 2008-09-04 18:16 -------- d-----w c:\\program files\\Gadu-Gadu 2009-04-02 21:49 . 2009-04-02 21:49 98304 ----a-w c:\\winnt\\system32\\CmdLineExt.dll 2009-04-01 15:02 . 2008-09-17 22:41 -------- d-----w c:\\program files\\SkanerOnline 2009-04-01 14:10 . 2009-02-07 13:20 -------- d-----w c:\\documents and settings\\All Users\\Dane aplikacji\\Spybot - Search & Destroy 2009-04-01 13:50 . 2009-04-01 13:50 -------- d-----w c:\\program files\\AVG 2009-04-01 12:15 . 2009-02-07 13:20 -------- d-----w c:\\program files\\Spybot - Search & Destroy 2009-03-27 15:52 . 2009-03-27 13:52 -------- d-----w c:\\documents and settings\\All Users\\Dane aplikacji\\NFS Underground 2009-03-27 13:15 . 2009-03-27 13:15 -------- d-----w c:\\program files\\EA GAMES 2009-03-22 11:01 . 2008-09-07 13:36 74792 ----a-w c:\\documents and settings\\sztylka\\Ustawienia lokalne\\Dane aplikacji\\GDIPFONTCACHEV1.DAT 2009-03-07 13:58 . 2009-03-07 13:58 152576 ----a-w c:\\documents and settings\\sztylka\\Dane aplikacji\\Sun\\Java\\jre1.6.0_11\\lzma.dll 2009-03-06 14:22 . 2004-08-04 00:44 285696 ----a-w c:\\winnt\\system32\\pdh.dll 2009-01-20 14:19 . 2009-01-20 14:19 14290 ----a-w c:\\program files\\settings.dat . ((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane REGEDIT4 [HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run] \"CTFMON.EXE\"=\"c:\\winnt\\system32\\ctfmon.exe\" [2008-04-14 15360] \"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}\"=\"c:\\program files\\Common Files\\Nero\\Lib\\NMBgMonitor.exe\" [2007-09-20 202024] \"Google Update\"=\"c:\\documents and settings\\sztylka\\Ustawienia lokalne\\Dane aplikacji\\Google\\Update\\GoogleUpdate.exe\" [2008-09-04 133104] \"SpybotSD TeaTimer\"=\"c:\\program files\\Spybot - Search & Destroy\\TeaTimer.exe\" [2009-03-05 2260480] \"RocketDock\"=\"c:\\program files\\RocketDock\\RocketDock.exe\" [2007-09-02 495616] [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run] \"SynTPLpr\"=\"c:\\program files\\Synaptics\\SynTP\\SynTPLpr.exe\" [2005-01-07 102491] \"SynTPEnh\"=\"c:\\program files\\Synaptics\\SynTP\\SynTPEnh.exe\" [2005-01-07 692315] \"ACU\"=\"c:\\program files\\Atheros\\ACU.exe\" [2005-01-31 253952] \"ADMTray.exe\"=\"c:\\acer\\Empowering Technology\\admtray.exe\" [2005-10-24 2462208] \"EPM-DM\"=\"c:\\acer\\Empowering Technology\\ePower\\epm-dm.exe\" [2005-11-25 212992] \"Acer ePower Management\"=\"c:\\acer\\Empowering Technology\\ePower\\Acer ePower Management.exe\" [2005-11-09 3084288] \"Hidder\"=\"c:\\progra~1\\GDATAS~1\\SEKRET~1\\Hidder.exe\" [2002-06-03 565248] \"IgfxTray\"=\"c:\\winnt\\system32\\igfxtray.exe\" [2007-01-13 131072] \"HotKeysCmds\"=\"c:\\winnt\\system32\\hkcmd.exe\" [2007-01-13 163840] \"Persistence\"=\"c:\\winnt\\system32\\igfxpers.exe\" [2007-01-13 135168] \"egui\"=\"c:\\program files\\ESET\\ESET NOD32 Antivirus\\egui.exe\" [2008-06-10 1447168] \"RTHDCPL\"=\"RTHDCPL.EXE\" - c:\\winnt\\RTHDCPL.exe [2005-11-17 15600128] [HKEY_USERS\\.DEFAULT\\Software\\Microsoft\\Windows\\CurrentVersion\\Run] \"CTFMON.EXE\"=\"c:\\winnt\\system32\\CTFMON.EXE\" [2008-04-14 15360] c:\\documents and settings\\sztylka\\Menu Start\\Programy\\Autostart\\ TransBar.lnk - c:\\winnt\\BricoPacks\\Vista Inspirat 2\\TransBar\\TransBar.exe [2005-6-1 65536] UberIcon.lnk - c:\\winnt\\BricoPacks\\Vista Inspirat 2\\UberIcon\\UberIcon Manager.exe [2006-5-21 180224] c:\\documents and settings\\All Users\\Menu Start\\Programy\\Autostart\\ BTTray.lnk - c:\\program files\\WIDCOMM\\Bluetooth Software\\BTTray.exe [2005-10-9 610365] [HKLM\\~\\startupfolder\\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^BTTray.lnk] path=c:\\documents and settings\\All Users\\Menu Start\\Programy\\Autostart\\BTTray.lnk backup=c:\\winnt\\pss\\BTTray.lnkCommon Startup [HKLM\\~\\startupfolder\\C:^Documents and Settings^sztylka^Menu Start^Programy^Autostart^Adobe Gamma.lnk] path=c:\\documents and settings\\sztylka\\Menu Start\\Programy\\Autostart\\Adobe Gamma.lnk backup=c:\\winnt\\pss\\Adobe Gamma.lnkStartup [HKLM\\~\\startupfolder\\C:^Documents and Settings^sztylka^Menu Start^Programy^Autostart^RocketDock.lnk] path=c:\\documents and settings\\sztylka\\Menu Start\\Programy\\Autostart\\RocketDock.lnk backup=c:\\winnt\\pss\\RocketDock.lnkStartup [HKLM\\~\\services\\sharedaccess\\parameters\\firewallpolicy\\standardprofile\\AuthorizedApplications\\List] \"%windir%\\\\system32\\\\sessmgr.exe\"= \"c:\\\\Program Files\\\\Gadu-Gadu\\\\gg.exe\"= \"%windir%\\\\Network Diagnostic\\\\xpnetdiag.exe\"= \"c:\\\\Program Files\\\\Valve\\\\valve\\\\hl.exe\"= \"c:\\\\Program Files\\\\Opera\\\\opera.exe\"= \"c:\\\\Program Files\\\\SopCast\\\\adv\\\\SopAdver.exe\"= \"c:\\\\Program Files\\\\SopCast\\\\SopCast.exe\"= \"c:\\\\Program Files\\\\Messenger\\\\msmsgs.exe\"= \"c:\\\\Documents and Settings\\\\sztylka\\\\temp\\\\TeamViewer\\\\Version4\\\\TeamViewer.exe\"= \"c:\\\\Program Files\\\\EA GAMES\\\\Need For Speed Underground\\\\Speed.exe\"= \"c:\\\\Program Files\\\\Skype\\\\Phone\\\\Skype.exe\"= R0 AFPAnsi;G-DATA UkrywaczAnsi;c:\\winnt\\system32\\drivers\\AFPAnsi.sys [2008-10-22 31776] R1 epfwtdir;epfwtdir;c:\\winnt\\system32\\drivers\\epfwtdir.sys [2008-06-10 34312] R2 ekrn;Eset Service;c:\\program files\\ESET\\ESET NOD32 Antivirus\\ekrn.exe [2008-06-10 468224] R4 AvgRkx86;avgrkx86.sys;c:\\winnt\\system32\\Drivers\\avgrkx86.sys --> c:\\winnt\\system32\\Drivers\\avgrkx86.sys [?] R4 AvgTdiX;AVG8 Network Redirector;c:\\winnt\\system32\\Drivers\\avgtdix.sys --> c:\\winnt\\system32\\Drivers\\avgtdix.sys [?] --- Inne Usługi/Sterowniki w Pamięci --- *NewlyCreated* - EAMON *NewlyCreated* - EASDRV *NewlyCreated* - EKRN *NewlyCreated* - EPFWTDIR *Deregistered* - AvgLdx86 . Zawartość folderu \'Zaplanowane zadania\' 2009-05-22 c:\\winnt\\Tasks\\GoogleUpdateTaskUserS-1-5-21-1275210071-1958367476-725345543-1003.job - c:\\documents and settings\\sztylka\\Ustawienia lokalne\\Dane aplikacji\\Google\\Update\\GoogleUpdate.exe [2008-09-04 17:44] 2009-05-22 c:\\winnt\\Tasks\\WGASetup.job - c:\\winnt\\system32\\KB905474\\wgasetup.exe [2009-04-22 20:18] . - - - - USUNIĘTO PUSTE WPISY - - - - HKCU-Run-HEXelon MAX - c:\\documents and settings\\sztylka\\Pulpit\\HEXelonMAX6\\hexelon.exe HKCU-Run-vamsoft - c:\\winnt\\system32\\vamsoft.exe HKLM-Run-NBKeyScan - c:\\program files\\Nero\\Nero8\\Nero BackItUp\\NBKeyScan.exe . ------- Skan uzupełniający ------- . uStart Page = hxxp://www.dziekanat.wip.pw.edu.pl/ IE: c:\\program files\\WIDCOMM\\Bluetooth Software\\btsendto_ie_ctx.htm IE: E&ksport do programu Microsoft Excel - c:\\progra~1\\MICROS~1\\OFFICE11\\EXCEL.EXE/3000 DPF: {68282C51-9459-467B-95BF-3C0E89627E55} - hxxp://www.mks.com.pl/skaner/SkanerOnline.cab . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-05-22 20:17 Windows 5.1.2600 Dodatek Service Pack 3 NTFS skanowanie ukrytych procesów ... skanowanie ukrytych wpisów autostartu ... skanowanie ukrytych plików ... c:\\winnt\\hide.conf 44 bytes skanowanie pomyślnie ukończone ukryte pliki: 1 ************************************************************************** . --------------------- ZABLOKOWANE KLUCZE REJESTRU --------------------- [HKEY_USERS\\S-1-5-21-1275210071-1958367476-725345543-1003\\Software\\SecuROM\\!CAUTION! NEVER A OR CHANGE ANY KEY*] \"??\"=hex:6f,a0,d3,8b,98,fd,e1,fa,e1,e0,8a,f6,74,2d,97,31,48,c4,31,49,6c,8d,28, da,35,33,ef,51,2c,8f,11,80,78,da,d9,a3,8d,bf,75,e9,3b,4f,ae,07,8f,72,c2,26,\\ \"??\"=hex:29,60,27,7f,a3,22,91,74,6b,15,1b,e8,13,4e,18,37 . Czas ukończenia: 2009-05-22 20:20 ComboFix-quarantined-files.txt 2009-05-22 18:20 Przed: 2 451 968 000 bajtów wolnych Po: 2 535 493 632 bajtów wolnych WindowsXP-KB310994-SP2-Pro-BootDisk-PLK.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\\WINNT [operating systems] c:\\cmdcons\\BOOTSECT.DAT=\"Microsoft Windows Recovery Console\" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\\WINNT=\"Microsoft Windows XP Professional\" /noexecute=optin /fastdetect 159 --- E O F --- 2009-05-14 09:02 OPIS PROBLEMU Problem jest dość skomplikowany. Zacznę od początku i pokoleii: 1)zaczęło się ze nie mogłem wyświetlić ukrytych plików.(Oczywiście wchodziłem w narzędzia>opcje folderów>widok itd) 2)wyskakiwał virus WINNT\system32\afmain0.dll - wirus Win32/Heur i obcobed.exe. Zainstalowałem avire, która w znacznym stopniu odwirusowała kompa, ale zobaczylem że nie moge jej uaktualnić i tak też było z innymi antyvirusami(oczywiście kosowałem antywira przed zainstalowaniem następnego). Kiedy juz mogłem zaktualnić to po restarcie kompa otwierał sie windows z paskiem startu ale nie ładowały sie ikonki na nim i ogolnie komp nie reagował na nic - nawet na ctrl+alt+del. 3)Zainstalowałem wesję trialową AVG i komputer walczył dośc długo i potem mogłem aktualizować AVG i sie nie wieszał komp przy włączeniu, ale nie miałem dostępu do dysku C: i innych pratycji. Musiałem wchodzić przez "eksploruj" 4)Wczoraj zainstalowałem Nod32 i zrobiłem scana ComboFixem. Komputer śmigał, aż miło i nawet dysk c sie otwierał. 5) Dzisiaj chce odpalic kompa i znów sie pojawiła sytuacja co w pkt 1 czyli otwiera sie windows z pulpitem ale bez ikonek na pasku startu, tylko klepsydra sie obraca i komp nie reaguje na nic. Jednak po 20min myślenia windows się załadował i komputer już nie odmawia współpracy. Dysk C się też już otwiera. Ukryte pliki też widać. Tylko nie wiem co z tymi virusami, bo Nod32 nic nie wykrywa. Teraz chciałbym prosić o interpretacje logów czy jest wszystko ok, czy jeszcze coś zostało do naprawy?! Też chciałbym się zapytać, co mam zrobić z PenDrive'ami ?! Przeczyszczenie ich przez "Wylecz pendriva lub kartę pamięci p://www.softpedia.com/get/Security/S ... Tool.shtml Flash Disinfector http://www.searchengines.pl/index.php?s ... ntry369724" jest wystarczającym ratunkiem czy jeszcze coś trzeba z nimi zrobić? Bo słyszałem, że jak będę używał ComboFix'a to też je mam wcisnąć do USB. Dzięki z góry!!
ZooMpl komentarz 27 maja 2009 komentarz 27 maja 2009 5) Dzisiaj chce odpalic kompa i znów sie pojawiła sytuacja co w pkt 1 czyli otwiera sie windows z pulpitem ale bez ikonek na pasku startu, tylko klepsydra sie obraca i komp nie reaguje na nic. Jednak po 20min myślenia windows się załadował i komputer już nie odmawia współpracy. Też tak u siebie mam na PC drugim PC. Nie mam pojęcia czym to jest spowodowane.. ale spróbuj : 1. Przeczyścić rejestr jak i pc CCleanerem(http://www.filehippo.com/download_ccleaner/) 2. Start>Uruchom>msconfig>Uruchamianie - Po odznaczaj Co nie potrzebne
Gość komentarz 27 maja 2009 komentarz 27 maja 2009 1. Posprzątaj po ComboFixie i różnych narzędziach >>> OTCleanIt. 2. Zajmij się penem: http://www.forumpc.pl/index.php?showtopic=99378&hl= 3. Użyj programu Malwarebytes' Anti-Malware i daj z niego raport. .
szakal87 komentarz 28 maja 2009 Autor komentarz 28 maja 2009 Pytanie 1 Czy to znaczy, że mój log z ComboFixa jest "czysty" (jeżeli można użyć takiego określenia)? 1. Posprzątałem po ComboFixie używając - OTCleanIt. 2. Czyściłem 3 peny przez: * ComboFix - tylko combofixa puściłem mając jedynie jednego pena wciśniętego do USB(potem zrobiłem jeszcze raz pkt pierwszy) * Flash Disinfector - użyłem 3 razy wciskając peny po kolei jeden po drugim Pytanie 2.. Czy to już wszystko co trzeba zrobić z penami by nie przenieść virusów na inny komputer? Bo mam w domu nowy i nie chciałbym od razu go zawirusowywać. Oczywiście za każdym razem skanuje peny czy nic się nowego nie przypałętało. 3. Użyłem programu Malwarebytes' Anti-Malware i raport znajduje się http://www.wklejto.pl/34562 Przy skanowaniu Malwarebytes' Anti-Malware miałem włączonego Nod32 i wykrył 14 ataków. W opisie było, że Malwarebytes' Anti-Malware chciał otworzyć niebezpieczne pliki, ale Nod32 zablokował to działanie. Pytanie 3. Mam powtórzyć skanowanie Malwarebytes' Anti-Malware przy wyłączonym Nod32? Na koniec podniosło mi się ciśnienie kiedy po restarcie po skanowaniu Malwarebytes' Anti-Malware załadowała mi się tylko str "tytułowa" kompa ACER i dalej nic się nie działało przez dłuuugie 3min, nawet procesor nie dawał znaków pracy. Ale później wszystko się ładnie załadowało Pytanie 4. W kwarantannie Nod32 mam naście pozycji czy jak je zaznaczam > prawym klawiszem myszy > usuń to znaczy, że: a)usuwam je z kompa b)usuwam je z kwarantanny i wracają na dysk
Gość komentarz 28 maja 2009 komentarz 28 maja 2009 Pytanie 1 Czy to znaczy, że mój log z ComboFixa jest "czysty" (jeżeli można użyć takiego określenia)? To znaczy, że masz czysty komputer. Pytanie 2.. Czy to już wszystko co trzeba zrobić z penami by nie przenieść virusów na inny komputer? Jeśli NOD już nic nie wykrywa to to już wszystko. Pytanie 3. Mam powtórzyć skanowanie Malwarebytes' Anti-Malware przy wyłączonym Nod32? Nie musisz. Pytanie 4. W kwarantannie Nod32 mam naście pozycji czy jak je zaznaczam > prawym klawiszem myszy > usuń to znaczy, że: Usuwasz je z dysku. Na koniec (podłącz wszystkie peny itd.) : Przeskanuj obszar swojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum. .
Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!
Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.