helo utworzono 29 maja 2009 utworzono 29 maja 2009 Proszę o sprawdzenie:D Logfile of Trend Micro HijackThis v2.0.2Scan saved at 19:25:08, on 2009-05-29Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v7.00 (7.00.6000.20627)Boot mode: NormalRunning processes:D:\WINDOWS\System32\smss.exeD:\WINDOWS\system32\winlogon.exeD:\WINDOWS\system32\services.exeD:\WINDOWS\system32\lsass.exeD:\WINDOWS\System32\svchost.exeD:\WINDOWS\system32\svchost.exeD:\WINDOWS\system32\spoolsv.exeD:\WINDOWS\Explorer.EXED:\WINDOWS\system32\wscntfy.exeD:\WINDOWS\RTHDCPL.EXED:\WINDOWS\system32\CTFMON.EXED:\Program Files\Internet Explorer\iexplore.exeD:\Documents and Settings\Szef\Pulpit\HiJackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blankR1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - Default URLSearchHook is missingO4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXEO4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXEO4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exeO4 - HKCU\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs"O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'USŁUGA LOKALNA')O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'USŁUGA SIECIOWA')O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exeO9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe--End of file - 2833 bytes
helo komentarz 29 maja 2009 Autor komentarz 29 maja 2009 ComboFix 09-05-28.09 - Szef 2009-05-29 20:26.1 - NTFSx86Microsoft Windows XP Professional 5.1.2600.2.1250.48.1045.18.447.162 [GMT 2:00]Uruchomiony z: d:\documents and settings\Szef\Pulpit\ComboFix.exe.((((((((((((((((((((((((( Pliki utworzone od 2009-04-28 do 2009-05-29 ))))))))))))))))))))))))))))))).Nie utworzono żadnych nowych plików w tym okresie.(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))).2009-05-29 17:52 . 2009-05-29 17:52 -------- d-----w d:\documents and settings\Szef\Dane aplikacji\Gadu-Gadu2009-05-29 17:51 . 2009-05-29 17:50 -------- d-----w d:\program files\Common Files\Adobe2009-05-29 17:47 . 2009-05-29 17:47 -------- d-----w d:\program files\Gadu-Gadu2009-05-29 17:41 . 2009-05-29 17:41 -------- d-----w d:\program files\Alwil Software2009-05-29 17:14 . 2001-10-26 20:15 48118 ----a-w d:\windows\system32\perfc015.dat2009-05-29 17:14 . 2001-10-26 20:15 353114 ----a-w d:\windows\system32\perfh015.dat2009-05-29 16:59 . 2009-05-29 16:59 86327 ----a-w d:\windows\pchealth\helpctr\OfflineCache\index.dat2009-05-29 16:58 . 2009-05-29 16:58 -------- d-----w d:\program files\Usługi online2009-05-29 16:55 . 2009-05-29 16:55 21856 ----a-w d:\windows\system32\emptyregdb.dat2009-05-29 16:54 . 2009-05-29 16:54 -------- d-----w d:\program files\Windows Media Connect 2.------- Sigcheck -------[-] 2007-07-10 13:06 642560 CE594E18FE0D0AF804F1F3694921CE62 d:\windows\system32\user32.dll[-] 2007-07-13 22:56 814592 CE7193C5F7C01B19768E066087C1C919 d:\windows\system32\wininet.dll[-] 2007-10-15 23:19 360576 0FB6743E937C7BB248B2530A5A77ABC6 d:\windows\system32\drivers\tcpip.sys[-] 2007-10-18 22:19 2066816 9AA8AEEE2C77B68AF93691758EB0A78B d:\windows\system32\ntkrnlpa.exe[-] 2007-10-18 22:19 2189824 1AEB1A9AA55DE24BDA1D441989AE4492 d:\windows\system32\ntoskrnl.exe[-] 2007-10-17 19:30 974848 16DF8A100E8966E48BA00C86F6C89972 d:\windows\explorer.exe[-] 2007-10-17 19:32 104448 64AF31FD88F01255BD841AA9B2DD030F d:\windows\system32\wuauclt.exe[-] 2007-10-09 00:09 1548288 89878732D5EB0C845AD2356081142F2A d:\windows\system32\sfcfiles.dll.((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))..*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane REGEDIT4[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"CTFMON.EXE"="d:\windows\system32\ctfmon.exe" [2004-08-04 15360][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"avast!"="d:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2007-09-06 79224]"Adobe Reader Speed Launcher"="d:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 39792]"RTHDCPL"="RTHDCPL.EXE" - d:\windows\RTHDCPL.EXE [2007-10-17 16844800][HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]"CTFMON.EXE"="d:\windows\system32\CTFMON.EXE" [2004-08-04 15360][HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]"nltide_2"="shell32" [X]"nltide_3"="advpack.dll" - d:\windows\system32\advpack.dll [2007-10-09 124928][HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]"DisableStatusMessages"= 1 (0x1)[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]"NoSMMyPictures"= 1 (0x1)"NoSMConfigurePrograms"= 1 (0x1)"NoSMHelp"= 1 (0x1)[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]"NoSMMyPictures"= 1 (0x1)"NoSMConfigurePrograms"= 1 (0x1)"NoSMHelp"= 1 (0x1)[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]BootExecute REG_MULTI_SZ autocheck autochk *\[u]0[/u]aswBoot.exe /A:* /L:Polish[HKEY_LOCAL_MACHINE\software\microsoft\security center]"AntiVirusDisableNotify"=dword:00000001"AntiVirusOverride"=dword:00000001"FirewallOverride"=dword:00000001[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\system32\\sessmgr.exe"="d:\\Program Files\\Gadu-Gadu\\gg.exe"=R0 Si3112r;ATI-4379 Serial ATA Controller;d:\windows\system32\drivers\SI3112r.sys [2007-10-17 97920]--- Inne Usługi/Sterowniki w Pamięci ---*NewlyCreated* - BROWSER*NewlyCreated* - FASTUSERSWITCHINGCOMPATIBILITY*NewlyCreated* - FLTMGR*NewlyCreated* - HELPSVC*NewlyCreated* - IMAPISERVICE*NewlyCreated* - LANMANSERVER*NewlyCreated* - MSISERVER*NewlyCreated* - NDISUIO*NewlyCreated* - POLICYAGENT*NewlyCreated* - RASACD*NewlyCreated* - RASMAN*NewlyCreated* - RDPCDD*NewlyCreated* - RDPNP*NewlyCreated* - SCHEDULE*NewlyCreated* - SENS*NewlyCreated* - SHELLHWDETECTION*NewlyCreated* - SIFILTER*NewlyCreated* - SR*NewlyCreated* - SRSERVICE*NewlyCreated* - SRV*NewlyCreated* - SSDPSRV*NewlyCreated* - TERMSERVICE*NewlyCreated* - THEMES*NewlyCreated* - UPNPHOST*NewlyCreated* - WUAUSERV*NewlyCreated* - WZCSVC.- - - - USUNIĘTO PUSTE WPISY - - - -SafeBoot-procexp90.Sys.------- Skan uzupełniający -------.uStart Page = about:blank.**************************************************************************catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.netRootkit scan 2009-05-29 20:28Windows 5.1.2600 Dodatek Service Pack 2 NTFSskanowanie ukrytych procesów ... skanowanie ukrytych wpisów autostartu ... skanowanie ukrytych plików ... skanowanie pomyślnie ukończoneukryte pliki: 0**************************************************************************.--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------- - - - - - - > 'winlogon.exe'(676)d:\windows\system32\cscui.dll- - - - - - - > 'explorer.exe'(1264)d:\windows\system32\SHDOCVW.dlld:\windows\system32\msi.dlld:\windows\system32\ntshrui.dlld:\program files\Gadu-Gadu\ggwhook.dlld:\windows\system32\SETUPAPI.dlld:\windows\system32\NETSHELL.dlld:\windows\system32\credui.dlld:\windows\system32\stobject.dlld:\windows\system32\wpdshserviceobj.dlld:\windows\system32\portabledevicetypes.dlld:\windows\system32\portabledeviceapi.dll.Czas ukończenia: 2009-05-29 20:30ComboFix-quarantined-files.txt 2009-05-29 18:30Przed: 17 667 375 104 bajtów wolnychPo: 17 673 826 304 bajtów wolnychWindowsXP-KB310994-SP2-Pro-BootDisk-PLK.exe[boot loader]timeout=2default=multi(0)disk(0)rdisk(1)partition(1)\WINDOWS[operating systems]c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdconsmulti(0)disk(0)rdisk(1)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect141
Gość komentarz 30 maja 2009 komentarz 30 maja 2009 Czysto. 1. Posprzątaj po ComboFixie i różnych narzędziach >>> OTCleanIt. 2. Użyj programu Malwarebytes' Anti-Malware i daj z niego raport. .
helo komentarz 30 maja 2009 Autor komentarz 30 maja 2009 Malwarebytes' Anti-Malware 1.37Wersja bazy definicji: 2195Windows 5.1.2600 Dodatek Service Pack 22009-05-30 09:41:09mbam-log-2009-05-30 (09-41-05).txtTyp skanowania: Pełne skanowanie (C:\|D:\|)Przeskanowane obiekty: 85632Upłynęło: 15 minute(s), 46 second(s)Zainfekowane procesy w pamięci: 0Zainfekowane moduły pamięci: 0Zainfekowane klucze rejestru: 0Zainfekowane wartości rejestru: 0Zainfekowane pliki rejestru: 2Zainfekowane foldery: 0Zainfekowane pliki: 0Zainfekowane procesy w pamięci:(Nie wykryto groźnych plików)Zainfekowane moduły pamięci:(Nie wykryto groźnych plików)Zainfekowane klucze rejestru:(Nie wykryto groźnych plików)Zainfekowane wartości rejestru:(Nie wykryto groźnych plików)Zainfekowane pliki rejestru:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSMHelp (Hijack.Help) -> Bad: (1) Good: (0) -> No action taken.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.Zainfekowane foldery:(Nie wykryto groźnych plików)Zainfekowane pliki:(Nie wykryto groźnych plików)
helo komentarz 30 maja 2009 Autor komentarz 30 maja 2009 czyli przeciągnąć ten raport na ikonkę ComboFix??
Mateusz J. komentarz 30 maja 2009 komentarz 30 maja 2009 Witam czyli przeciągnąć ten raport na ikonkę ComboFix??biggrin.gifNie, masz wykonać:Jeśli będą zainfekowane pliki itp. to zaznaczamy i wciskamy "Usuń Zaznaczone" i jeśli będzie trzeba restartujemy komputer i dajemy raport na Forum. cwaniak.gif Pozdrawiam jesiona
kubassksiezpol komentarz 30 maja 2009 komentarz 30 maja 2009 (edytowane) nie. W MBAM po skanie jest przycisk usuń zaznaczone I wtedy ci samo usuwa
Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!
Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.