karaska utworzono 7 czerwca 2007 utworzono 7 czerwca 2007 nie wiem o co chodzi z moim antywirusem od 2 dni nie moge go uruchomic wyskakuje mi jakis blad ze byc moze zostal on zainfekowany jakims wirusem i mam go na nowo zainstalowac ale nie moge go w zaden sposob usunac juz 2 razy formatowalam dysk i niestety problem pojawia sie po ponownym zainstalowaniu tej aplikacji sciagalam go z oficjalnej strony wiec chyba powinno byc wszystko ok obecnie moj komp jest bez jakiejkolwiek ochrony wiec prosze o jakies rady wklejam log z hijacka moze sie przyda tylko prosze o uzywanie prostych sformulowan Logfile of HijackThis v1.99.1Scan saved at 19:43:16, on 2007-06-07Platform: Windows XP (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 (6.00.2600.0000)Running processes:C:WINDOWSSystem32smss.exeC:WINDOWSsystem32winlogon.exeC:WINDOWSsystem32services.exeC:WINDOWSsystem32lsass.exeC:WINDOWSsystem32svchost.exeC:WINDOWSSystem32svchost.exeC:WINDOWSsystem32spoolsv.exeC:WINDOWSSystem32Ati2evxx.exeC:WINDOWSExplorer.EXEC:Program FilesATI TechnologiesATI Control Panelatiptaxx.exeC:Program FilesJavajre1.6.0_01binjusched.exeC:WINDOWSSystem32ipmon.exeC:WINDOWSSystem32ipmon.exeC:WINDOWSSystem32ctfmon.exeC:Program FilesMessengermsmsgs.exeC:Program FilesGadu-Gadugg.exeC:Program FileseMuleemule.exeC:Program FilesMozilla Firefoxfirefox.exeC:WINDOWSSystem32svchost.exeC:WINDOWSSystem32wuauclt.exeC:Program FilesHijackThis.exeR0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.google.pl/R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = ŁączaO2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:Program FilesJavajre1.6.0_01binssv.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:WINDOWSSystem32msdxm.ocxO4 - HKLM..Run: [avgnt] "C:Program FilesAntiVir PersonalEdition Classicavgnt.exe" /minO4 - HKLM..Run: [ATIPTA] C:Program FilesATI TechnologiesATI Control Panelatiptaxx.exeO4 - HKLM..Run: [sunJavaUpdateSched] "C:Program FilesJavajre1.6.0_01binjusched.exe"O4 - HKLM..Run: [ipmon] ipmon.exeO4 - HKCU..Run: [CTFMON.EXE] C:WINDOWSSystem32ctfmon.exeO4 - HKCU..Run: [MSMSGS] "C:Program FilesMessengermsmsgs.exe" /backgroundO4 - HKCU..Run: [Gadu-Gadu] "C:Program FilesGadu-Gadugg.exe" /trayO4 - HKCU..Run: [eMuleAutoStart] C:Program FileseMuleemule.exe -AutoStartO9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.6.0_01binnpjpi160_01.dllO9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.6.0_01binnpjpi160_01.dllO9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:WINDOWSwebrelated.htmO9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:WINDOWSwebrelated.htmO16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1181167119717O20 - AppInit_DLLs: C:WINDOWSSystem32tmp_505.dllO23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Unknown owner - C:Program FilesAntiVir PersonalEdition Classicsched.exe (file missing)O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Unknown owner - C:Program FilesAntiVir PersonalEdition Classicavguard.exe (file missing)O23 - Service: Ati HotKey Poller - Unknown owner - C:WINDOWSSystem32Ati2evxx.exeO23 - Service: ATI Smart - Unknown owner - C:WINDOWSsystem32ati2sgag.exe
GoBi komentarz 7 czerwca 2007 komentarz 7 czerwca 2007 Usuń: O20 - AppInit_DLLs: C:WINDOWSSystem32tmp_505.dllO4 - HKLM..Run: [ipmon] ipmon.exeC:WINDOWSSystem32ipmon.exeC:WINDOWSSystem32ipmon.exe
CatchMe komentarz 8 czerwca 2007 komentarz 8 czerwca 2007 Pobierz i uruchom narzędzie : The Avenger Zaznacz opcję Input script manually i kliknij na Lupkę z prawej strony. W okienku, które się otworzy wklejasz: Files to delete:C:WINDOWSSystem32ipmon.exe C:WINDOWSSystem32tmp_505.dll C:WINDOWSwebrelated.htm Klikasz Done, a następnie zielone światełko i zgadzasz się na restart klikając OK. Po restarcie w HijackThis usuwasz wpis/wpisy: C:WINDOWSSystem32ipmon.exe C:WINDOWSSystem32ipmon.exe O4 - HKLM..Run: [ipmon] ipmon.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:WINDOWSwebrelated.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:WINDOWSwebrelated.htm O20 - AppInit_DLLs: C:WINDOWSSystem32tmp_505.dll Kasujesz ręcznie z dysku plik: C:Avengerbackup.zip i wklejasz na forum raport: C:avenger.txt + log z HijackThis + log z Silent Runners + log z ComboFix
karaska komentarz 8 czerwca 2007 Autor komentarz 8 czerwca 2007 a wiec sytuacja jest taka po raz kolejny sformatowalam dysk avengera sciagnelam i nie moge go uruchomic bo wyskakuje mi powiadomienie ze moze byc zainfekowany sprobuje jeszcze raz go sciagnac na inna partycje dysku i tam go rozpakowac ale nie widze tego zbyt rozowo co do antyvira rowniez wyskakuje podobne powiadomienie ze nie mozna uruchomic aplikacji bo C:/program files/ antivir personal edition classic/avcenter.exe mogl zostac zmodyfikowany badz zniszczory prawdopodobnie przez wirusa oto kolejny log z hijacka blagam pomozcie mi cos z tym zrobic :| Logfile of HijackThis v1.99.1 Scan saved at 14:59:09, on 2007-06-08 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:WINDOWSSystem32smss.exe C:WINDOWSsystem32winlogon.exe C:WINDOWSsystem32services.exe C:WINDOWSsystem32lsass.exe C:WINDOWSsystem32svchost.exe C:WINDOWSSystem32svchost.exe C:WINDOWSsystem32spoolsv.exe C:WINDOWSExplorer.EXE C:WINDOWSSystem32CTFMON.EXE C:Program FilesMessengermsmsgs.exe C:Program FilesAntiVir PersonalEdition Classicsched.exe C:Program FilesAntiVir PersonalEdition Classicavguard.exe C:Program FilesAntiVir PersonalEdition Classicavgnt.exe C:WINDOWSSystem32wininet.exe C:Program FileshijackHijackThis.exe R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Łącza O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:WINDOWSSystem32msdxm.ocx O4 - HKLM..Run: [avgnt] "C:Program FilesAntiVir PersonalEdition Classicavgnt.exe" /min O4 - HKCU..Run: [CTFMON.EXE] C:WINDOWSSystem32ctfmon.exe O4 - HKCU..Run: [MSMSGS] "C:Program FilesMessengermsmsgs.exe" /background O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:WINDOWSwebrelated.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:WINDOWSwebrelated.htm O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - C:WINDOWSSystem32svshost.dll O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:Program FilesAntiVir PersonalEdition Classicsched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:Program FilesAntiVir PersonalEdition Classicavguard.exe [ Dodano: 2007-06-08, 15:35 ] a i tu jest log z silent runnersa "Silent Runners.vbs", revision R50, http://www.silentrunners.org/ Operating System: Windows XP Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCUSoftwareMicrosoftWindowsCurrentVersionRun {++} "CTFMON.EXE" = "C:WINDOWSSystem32ctfmon.exe" [MS] "MSMSGS" = ""C:Program FilesMessengermsmsgs.exe" /background" [MS] HKLMSoftwareMicrosoftWindowsCurrentVersionRun {++} "avgnt" = ""C:Program FilesAntiVir PersonalEdition Classicavgnt.exe" /min" ["Avira GmbH"] HKLMSoftwareMicrosoftWindowsCurrentVersionShell ExtensionsApproved "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Rozszerzenie CPL kadrowania wyświetlania" -> {HKLM...CLSID} = "Rozszerzenie CPL kadrowania wyświetlania" InProcServer32(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Rozszerzenie ikony HyperTerminalu" -> {HKLM...CLSID} = "HyperTerminal Icon Ext" InProcServer32(Default) = "C:WINDOWSSystem32hticons.dll" ["Hilgraeve, Inc."] "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" InProcServer32(Default) = "C:Program FilesAntiVir PersonalEdition Classicshlext.dll" ["Avira GmbH"] "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension" -> {HKLM...CLSID} = "WinRAR" InProcServer32(Default) = "C:Program FilesWinRARrarext.dll" [null data] HKLMSoftwareMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad "SysRun" = "{D7FFD784-5276-42D1-887B-00267870A4C7}" -> {HKLM...CLSID} = (no title provided) InProcServer32(Default) = "C:WINDOWSSystem32svshost.dll" [null data] HKLMSystemCurrentControlSetControlWOW <<!>> "cmdline" = "C:WINDOWSsystem32ntvdm.exe" [MS] <<!>> "wowcmdline" = "C:WINDOWSsystem32ntvdm.exe -a C:WINDOWSsystem32krnl386" [MS] HKLMSoftwareClasses*shellexContextMenuHandlers Shell Extension for Malware scanning(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" InProcServer32(Default) = "C:Program FilesAntiVir PersonalEdition Classicshlext.dll" ["Avira GmbH"] WinRAR(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" InProcServer32(Default) = "C:Program FilesWinRARrarext.dll" [null data] HKLMSoftwareClassesDirectoryshellexContextMenuHandlers WinRAR(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" InProcServer32(Default) = "C:Program FilesWinRARrarext.dll" [null data] HKLMSoftwareClassesFoldershellexContextMenuHandlers Shell Extension for Malware scanning(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" InProcServer32(Default) = "C:Program FilesAntiVir PersonalEdition Classicshlext.dll" ["Avira GmbH"] WinRAR(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" InProcServer32(Default) = "C:Program FilesWinRARrarext.dll" [null data] Group Policies {GPedit.msc branch and setting}: ----------------------------------------------- Note: detected settings may not have any effect. HKLMSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem "shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Shutdown: Allow system to be shut down without having to log on} "undockwithoutlogon" = (REG_DWORD) hex:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Devices: Allow undock without having to log on} Active Desktop and Wallpaper: ----------------------------- Active Desktop may be disabled at this entry: HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerShellState Displayed if Active Desktop enabled and wallpaper not set by Group Policy: HKCUSoftwareMicrosoftInternet ExplorerDesktopGeneral "Wallpaper" = "C:WINDOWSwebwallpaperIdylla.bmp" Displayed if Active Desktop disabled and wallpaper not set by Group Policy: HKCUControl PanelDesktop "Wallpaper" = "C:WINDOWSwebwallpaperIdylla.bmp" Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLMSystemCurrentControlSetServicesWinsock2ParametersNameSpace_Catalog5Catalog_E tries {++} 000000000001LibraryPath = "%SystemRoot%System32mswsock.dll" [file not found] 000000000002LibraryPath = "%SystemRoot%System32winrnr.dll" [file not found] 000000000003LibraryPath = "%SystemRoot%System32mswsock.dll" [file not found] Transport Service Providers HKLMSystemCurrentControlSetServicesWinsock2ParametersProtocol_Catalog9Catalog_En ries {++} 0000000000##PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%system32mswsock.dll [file not found], 01 - 03, 06 - 13 %SystemRoot%system32rsvpsp.dll [file not found], 04 - 05 i combofixa ComboFix 07-06-3B - Running from: "D:" ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) C:WINDOWSsystem32xpdx.sys ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) -------xpdx ((((((((((((((((((((((((( Files Created from 2007-05-08 to 2007-06-08 ))))))))))))))))))))))))))))))) 2007-06-08 16:16 <DIR> dr-hsc--- C:WINDOWSsystem32dllcache 2007-06-08 16:16 <DIR> dr--s---- C:WINDOWSFonts 2007-06-08 16:16 <DIR> dr------- C:WINDOWSWeb 2007-06-08 16:16 <DIR> d--h----- C:WINDOWSinf 2007-06-08 16:16 <DIR> d-------- C:WINDOWSWinSxS 2007-06-08 16:16 <DIR> d-------- C:WINDOWStwain_32 2007-06-08 16:16 <DIR> d-------- C:WINDOWSsystem32wins 2007-06-08 16:16 <DIR> d-------- C:WINDOWSsystem32wbem 2007-06-08 16:16 <DIR> d-------- C:WINDOWSsystem32usmt 2007-06-08 16:16 <DIR> d-------- C:WINDOWSsystem32spool 2007-06-08 16:16 <DIR> d-------- C:WINDOWSsystem32ShellExt 2007-06-08 16:16 <DIR> d-------- C:WINDOWSsystem32Setup 2007-06-08 16:16 <DIR> d-------- C:WINDOWSsystem32ras 2007-06-08 16:16 <DIR> d-------- C:WINDOWSsystem32oobe 2007-06-08 16:16 <DIR> d-------- C:WINDOWSsystem32npp 2007-06-08 16:16 <DIR> d-------- C:WINDOWSsystem32mui 2007-06-08 16:16 <DIR> d-------- C:WINDOWSsystem32inetsrv 2007-06-08 16:16 <DIR> d-------- C:WINDOWSsystem32IME 2007-06-08 16:16 <DIR> d-------- C:WINDOWSsystem32icsxml 2007-06-08 16:16 <DIR> d-------- C:WINDOWSsystem32ias 2007-06-08 16:16 <DIR> d-------- C:WINDOWSsystem32export 2007-06-08 16:16 <DIR> d-------- C:WINDOWSsystem32driversetc 2007-06-08 16:16 <DIR> d-------- C:WINDOWSsystem32driversdisdn 2007-06-08 16:16 <DIR> d-------- C:WINDOWSsystem32drivers 2007-06-08 16:16 <DIR> d-------- C:WINDOWSsystem32dhcp 2007-06-08 16:16 <DIR> d-------- C:WINDOWSsystem32config 2007-06-08 16:16 <DIR> d-------- C:WINDOWSsystem323com_dmi 2007-06-08 16:16 <DIR> d-------- C:WINDOWSsystem323076 2007-06-08 16:16 <DIR> d-------- C:WINDOWSsystem322052 2007-06-08 16:16 <DIR> d-------- C:WINDOWSsystem321054 2007-06-08 16:16 <DIR> d-------- C:WINDOWSsystem321045 2007-06-08 16:16 <DIR> d-------- C:WINDOWSsystem321042 2007-06-08 16:16 <DIR> d-------- C:WINDOWSsystem321041 2007-06-08 16:16 <DIR> d-------- C:WINDOWSsystem321037 2007-06-08 16:16 <DIR> d-------- C:WINDOWSsystem321033 2007-06-08 16:16 <DIR> d-------- C:WINDOWSsystem321031 2007-06-08 16:16 <DIR> d-------- C:WINDOWSsystem321028 2007-06-08 16:16 <DIR> d-------- C:WINDOWSsystem321025 2007-06-08 16:16 <DIR> d-------- C:WINDOWSsystem32 2007-06-08 16:16 <DIR> d-------- C:WINDOWSsystem 2007-06-08 16:16 <DIR> d-------- C:WINDOWSsecurity 2007-06-08 16:16 <DIR> d-------- C:WINDOWSResources 2007-06-08 16:16 <DIR> d-------- C:WINDOWSrepair 2007-06-08 16:16 <DIR> d-------- C:WINDOWSmui 2007-06-08 16:16 <DIR> d-------- C:WINDOWSmsapps 2007-06-08 16:16 <DIR> d-------- C:WINDOWSmsagent 2007-06-08 16:16 <DIR> d-------- C:WINDOWSMedia 2007-06-08 16:16 <DIR> d-------- C:WINDOWSime 2007-06-08 16:16 <DIR> d-------- C:WINDOWSHelp 2007-06-08 16:16 <DIR> d-------- C:WINDOWSDriver Cache 2007-06-08 16:16 <DIR> d-------- C:WINDOWSDebug 2007-06-08 16:16 <DIR> d-------- C:WINDOWSCursors 2007-06-08 16:16 <DIR> d-------- C:WINDOWSConnection Wizard 2007-06-08 16:16 <DIR> d-------- C:WINDOWSConfig 2007-06-08 16:16 <DIR> d-------- C:WINDOWSAppPatch 2007-06-08 16:16 <DIR> d-------- C:WINDOWSaddins 2007-06-08 16:16 <DIR> d-------- C:WINDOWS 2007-06-08 15:29 <DIR> d-------- C:Avenger 2007-06-08 15:24 3,072 --a------ C:WINDOWSsystem32driversaudstub.sys 2007-06-08 15:23 70,144 --a------ C:WINDOWSsystem32usbui.dll 2007-06-08 15:23 57,088 --a------ C:WINDOWSsystem32driversredbook.sys 2007-06-08 15:23 27,165 --a------ C:WINDOWSsystem32driversfetnd5.sys 2007-06-08 15:22 8,192 -ra------ C:WINDOWSsystem32kbdhept.dll 2007-06-08 15:22 6,656 -ra------ C:WINDOWSsystem32kbdhela3.dll 2007-06-08 15:22 6,144 -ra------ C:WINDOWSsystem32kbdtuq.dll 2007-06-08 15:22 6,144 -ra------ C:WINDOWSsystem32kbdtuf.dll 2007-06-08 15:22 6,144 -ra------ C:WINDOWSsystem32kbdlv1.dll 2007-06-08 15:22 6,144 -ra------ C:WINDOWSsystem32kbdlv.dll 2007-06-08 15:22 6,144 -ra------ C:WINDOWSsystem32kbdhela2.dll 2007-06-08 15:22 6,144 -ra------ C:WINDOWSsystem32kbdgkl.dll 2007-06-08 15:22 6,144 -ra------ C:WINDOWSsystem32kbdest.dll 2007-06-08 15:22 5,632 -ra------ C:WINDOWSsystem32kbdmon.dll 2007-06-08 15:22 5,632 -ra------ C:WINDOWSsystem32kbdlt1.dll 2007-06-08 15:22 5,632 -ra------ C:WINDOWSsystem32kbdlt.dll 2007-06-08 15:22 5,632 -ra------ C:WINDOWSsystem32kbdkyr.dll 2007-06-08 15:22 5,632 -ra------ C:WINDOWSsystem32kbdhe319.dll 2007-06-08 15:22 5,632 -ra------ C:WINDOWSsystem32kbdhe220.dll 2007-06-08 15:22 5,632 -ra------ C:WINDOWSsystem32kbdhe.dll 2007-06-08 15:22 5,632 -ra------ C:WINDOWSsystem32kbdazel.dll 2007-06-08 15:22 <DIR> dr------- C:Program Files 2007-06-08 15:22 <DIR> d-------- C:Program FilesCommon FilesSpeechEngines 2007-06-08 15:22 <DIR> d-------- C:Program FilesCommon FilesODBC 2007-06-08 15:21 9,936 --a------ C:WINDOWSsystemLZEXPAND.DLL 2007-06-08 15:21 9,168 --a------ C:WINDOWSsystemVER.DLL 2007-06-08 15:21 85,532 --a------ C:WINDOWSsystem32dgsetup.dll 2007-06-08 15:21 83,456 --a------ C:WINDOWSsystemOLECLI.DLL 2007-06-08 15:21 71,680 --a------ C:WINDOWSsystem32storprop.dll 2007-06-08 15:21 70,096 --a------ C:WINDOWSsystemAVICAP.DLL 2007-06-08 15:21 7,168 --a------ C:WINDOWSsystem32kbdcz.dll 2007-06-08 15:21 69,712 --a------ C:WINDOWSsystemMMSYSTEM.DLL 2007-06-08 15:21 67,072 --a------ C:WINDOWSNOTEPAD.EXE 2007-06-08 15:21 6,656 --a------ C:WINDOWSsystem32kbdycl.dll 2007-06-08 15:21 6,656 --a------ C:WINDOWSsystem32kbdsl1.dll 2007-06-08 15:21 6,656 --a------ C:WINDOWSsystem32kbdsl.dll 2007-06-08 15:21 6,656 --a------ C:WINDOWSsystem32kbdhu.dll 2007-06-08 15:21 6,656 --a------ C:WINDOWSsystem32kbdcz2.dll 2007-06-08 15:21 6,656 --a------ C:WINDOWSsystem32kbdcz1.dll 2007-06-08 15:21 6,656 --a------ C:WINDOWSsystem32kbdcr.dll 2007-06-08 15:21 6,656 --a------ C:WINDOWSsystem32KBDAL.DLL 2007-06-08 15:21 6,656 --a------ C:WINDOWSsystem32batt.dll (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-06-08 12:40:47 49,492 ----a-w C:WINDOWSsystem32perfc015.dat 2007-06-08 12:40:47 355,486 ----a-w C:WINDOWSsystem32perfh015.dat 2007-06-08 12:29:03 -------- d-----w C:Program FilesUsługi online ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun] "avgnt"="C:Program FilesAntiVir PersonalEdition Classicavgnt.exe" [2007-04-02 10:35] [HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun] "CTFMON.EXE"="C:WINDOWSSystem32ctfmon.exe" [2001-10-26 19:29] "MSMSGS"="C:Program FilesMessengermsmsgs.exe" [2001-08-02 07:14] [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionShellServiceObjectDelay oad] "{D7FFD784-5276-42D1-887B-00267870A4C7}"="C:WINDOWSSystem32svshost.dll" [2007-06-08 14:56] HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversionsvchost *netsvcs* ************************************************************************** catchme 0.3.692 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net Rootkit scan 2007-06-08 15:30:16 Windows 5.1.2600 NTFS detected NTDLL code modification: ZwOpenFile scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... ************************************************************************** Completion time: 2007-06-08 15:31:15 - machine was rebooted C:ComboFix-quarantined-files.txt ... 2007-06-08 15:30 --- E O F ---
CatchMe komentarz 8 czerwca 2007 komentarz 8 czerwca 2007 Syf.. Syf... 1. Ściągnij: WWDC - Zmień wszystkie opcje z disable na enable i uruchom ponownie komputer. - Prawidłowy układ portów przedstawia zdjęcie: http://www.firewallleaktester.com/images_site/wwdc.jpg * NetBIOS może być żółty. Pobierz i uruchom narzędzie : The Avenger Zaznacz opcję Input script manually i kliknij na Lupkę z prawej strony. W okienku, które się otworzy wklejasz: Files to delete:C:WINDOWSSystem32wininet.exe C:WINDOWSSystem32svshost.dll Klikasz Done, a następnie zielone światełko i zgadzasz się na restart klikając OK. Po restarcie w HijackThis usuwasz wpis/wpisy: O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - C:WINDOWSSystem32svshost.dll Otwórz Notatnik i wklej w nim to: Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionShellServiceObjectDelay oad "SysRun"=- [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionShellServiceObjectDelay oad] "{D7FFD784-5276-42D1-887B-00267870A4C7}"=- Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG >>> Uruchom plik FIX.REG w trybie awaryjnym >>> Uruchom ponownie komputer. Użyj: SmitFraudFix z opcji 2 w trybie awaryjnym. - Log z pracy programu znajduje się tutaj: C:raport.txt - wklej go na forum. Kasujesz ręcznie z dysku plik: C:Avengerbackup.zip i wklejasz na forum raport: C:avenger.txt + log z HijackThis + log z Silent Runners + log z ComboFix - co do Aviry - radzę zmienić na inny antywirus. Nigdy nie polecałem tego produktu.
karaska komentarz 8 czerwca 2007 Autor komentarz 8 czerwca 2007 upnp (port 5000) jest niedostepny nie moge go zmienic a avenger tak jak nie chcial sie uruchomic tak nie chce i jeszcze na dodatek kaspersky okresla go jako zarazonego Virus.Win32.Virut.e i co?
CatchMe komentarz 9 czerwca 2007 komentarz 9 czerwca 2007 No to widać czemu się nie chce uruchomić... Kacpra wyłączyć albo dodać avangera do zaufanych programów. ps. Żaden w podanych przeze mnie programów nie zawiera wirusów!
karaska komentarz 9 czerwca 2007 Autor komentarz 9 czerwca 2007 to byl skaner on- line i caly czas nie moge go uruchomic :/
CatchMe komentarz 9 czerwca 2007 komentarz 9 czerwca 2007 Ściagnij: Gmer`a - i wypakuj na pulpit. 1. Utwórz dwa pliki: Wklej do Notatnika: gmer -del file C:WINDOWSSystem32wininet.exegmer -del file C:WINDOWSSystem32svshost.dll gmer -reboot Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.BAT Wklej do Notatnika: Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionShellServiceObjectDelay oad "SysRun"=- [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionShellServiceObjectDelay oad] "{D7FFD784-5276-42D1-887B-00267870A4C7}"=- Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG 2. Uruchamiasz Gmera i w zakładce Procesy wybierasz opcję Gmer Awaryjny. Komputer ma się zresetować i zainicjować na nowo Gmera. W zakładce Procesy na dole w Poleceniu przez 3 kropki wskaż plik FIX.BAT i go uruchom. Komputer ma się samoczynnie zresetować. Po resecie uruchamiasz przez dwuklik plik FIX.REG i zatwierdzasz import do rejestru. - Następnie wklej nowy komplet logów.
karaska komentarz 10 czerwca 2007 Autor komentarz 10 czerwca 2007 powiedzmy ze troche mnie to juz draznilo nie rozumiem tego mojego kompa ja tak o niego dbam a przynajmniej sie staram na miare swoich mozliwosci a on mi takie cuda wyczynia no ale nie o tym mialam pisac wiec tak jako zdesperowany i niedoswiadczony jeszcze uzytkownik pc po raz kolejny wykonalam format partycji systemowej i tak jak radziles zmienilam avire na avasta z ktorego nie wiadomo dlaczego zrezygnowalam kiedys tam jak na razie wyglada to chyba dobrze chociaz proba przeskanowania kompa na mks vir nie powiodla sie ale ze jest pozno to sprobuje jeszcze jutro w kazdym razie zalaczam log z hijacka troszke poszperalam w necie o tych wszystkich procesach itp no i nie wyglada to zle ale i tak wolalabym zebys na to zerknal Logfile of HijackThis v1.99.1 Scan saved at 02:26:56, on 2007-06-10 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:WINDOWSSystem32smss.exe C:WINDOWSsystem32winlogon.exe C:WINDOWSsystem32services.exe C:WINDOWSsystem32lsass.exe C:WINDOWSsystem32svchost.exe C:WINDOWSSystem32svchost.exe C:WINDOWSExplorer.EXE C:Program FilesAlwil SoftwareAvast4aswUpdSv.exe C:Program FilesAlwil SoftwareAvast4ashServ.exe C:PROGRA~1ALWILS~1Avast4ashDisp.exe C:WINDOWSSystem32ctfmon.exe C:Program FilesMessengermsmsgs.exe C:WINDOWSsystem32spoolsv.exe C:Program FilesMozilla Firefoxfirefox.exe C:Program FilesAlwil SoftwareAvast4ashWebSv.exe C:Program FilesAlwil SoftwareAvast4ashMaiSv.exe C:Program FilesInternet Exploreriexplore.exe C:Program FilesHijackThis.exe R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Łącza O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:WINDOWSSystem32msdxm.ocx O4 - HKLM..Run: [avast!] C:PROGRA~1ALWILS~1Avast4ashDisp.exe O4 - HKLM..Run: [KernelFaultCheck] %systemroot%system32dumprep 0 -k O4 - HKCU..Run: [CTFMON.EXE] C:WINDOWSSystem32ctfmon.exe O4 - HKCU..Run: [MSMSGS] "C:Program FilesMessengermsmsgs.exe" /background O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:WINDOWSwebrelated.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:WINDOWSwebrelated.htm O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:Program FilesAlwil SoftwareAvast4aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:Program FilesAlwil SoftwareAvast4ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:Program FilesAlwil SoftwareAvast4ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:Program FilesAlwil SoftwareAvast4ashWebSv.exe" /service (file missing)
CatchMe komentarz 10 czerwca 2007 komentarz 10 czerwca 2007 Log czysty. Pamiętaj o WWDC + antyvirus + firewall. Szkoda, że nie powalczyliśmy. Pozdro.
karaska komentarz 10 czerwca 2007 Autor komentarz 10 czerwca 2007 jeszcze nie koniec niestety :placz: po kazdorazowym uruchomieniu kompa avast prosi o restart systemu i nie robi po tym nawet skanu zastanawiam sie nad kilkoma rzeczami na dysku d gdzie mam jakies pliki filmy i instalki programow (wieksza czesc sciagana z dobrych programow lub stron producentow) pojawil sie folder o nazwie system volume information ktorego nie moge zlokalizowac w kazdym razie pojawia sie podczas skanowania i ma jakies kosmicznie dlugie nazwy wirusy zauwazylam glownie trojany win 32 small eks, agent gsa, i mojego satrego znajomego viruta-c staram sie zrobic skan na mks ale mi przerwalo wczoraj i dzis tez wwdc to caly czas ten port 5000 jest niedostepny mam nadzieje ze wreszcie cos zdzialam bo zamiast uczyc sie do egz siedze calymi dniami przy kompie standardowo kolejne logi log z silent runnera "Silent Runners.vbs", revision R50, http://www.silentrunners.org/Operating System: Windows XP Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCUSoftwareMicrosoftWindowsCurrentVersionRun {++} "CTFMON.EXE" = "C:WINDOWSSystem32ctfmon.exe" [MS] "MSMSGS" = ""C:Program FilesMessengermsmsgs.exe" /background" [MS] HKLMSoftwareMicrosoftWindowsCurrentVersionRun {++} "avast!" = "C:PROGRA~1ALWILS~1Avast4ashDisp.exe" ["ALWIL Software"] "KernelFaultCheck" = "C:WINDOWSsystem32dumprep 0 -k" HKLMSoftwareMicrosoftWindowsCurrentVersionShell ExtensionsApproved "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Rozszerzenie CPL kadrowania wyświetlania" -> {HKLM...CLSID} = "Rozszerzenie CPL kadrowania wyświetlania" InProcServer32(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Rozszerzenie ikony HyperTerminalu" -> {HKLM...CLSID} = "HyperTerminal Icon Ext" InProcServer32(Default) = "C:WINDOWSSystem32hticons.dll" ["Hilgraeve, Inc."] "{472083B0-C522-11CF-8763-00608CC02F24}" = "avast" -> {HKLM...CLSID} = "avast" InProcServer32(Default) = "C:Program FilesAlwil SoftwareAvast4ashShell.dll" ["ALWIL Software"] "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension" -> {HKLM...CLSID} = "WinRAR" InProcServer32(Default) = "C:Program FilesWinRARrarext.dll" [null data] HKLMSoftwareClasses*shellexContextMenuHandlers avast(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}" -> {HKLM...CLSID} = "avast" InProcServer32(Default) = "C:Program FilesAlwil SoftwareAvast4ashShell.dll" ["ALWIL Software"] WinRAR(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" InProcServer32(Default) = "C:Program FilesWinRARrarext.dll" [null data] HKLMSoftwareClassesDirectoryshellexContextMenuHandlers WinRAR(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" InProcServer32(Default) = "C:Program FilesWinRARrarext.dll" [null data] HKLMSoftwareClassesFoldershellexContextMenuHandlers avast(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}" -> {HKLM...CLSID} = "avast" InProcServer32(Default) = "C:Program FilesAlwil SoftwareAvast4ashShell.dll" ["ALWIL Software"] WinRAR(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" InProcServer32(Default) = "C:Program FilesWinRARrarext.dll" [null data] Group Policies {GPedit.msc branch and setting}: ----------------------------------------------- Note: detected settings may not have any effect. HKLMSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem "shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Shutdown: Allow system to be shut down without having to log on} "undockwithoutlogon" = (REG_DWORD) hex:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Devices: Allow undock without having to log on} Active Desktop and Wallpaper: ----------------------------- Active Desktop may be disabled at this entry: HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerShellState Displayed if Active Desktop enabled and wallpaper not set by Group Policy: HKCUSoftwareMicrosoftInternet ExplorerDesktopGeneral "Wallpaper" = "C:WINDOWSwebwallpaperIdylla.bmp" Displayed if Active Desktop disabled and wallpaper not set by Group Policy: HKCUControl PanelDesktop "Wallpaper" = "C:WINDOWSwebwallpaperIdylla.bmp" Enabled Screen Saver: --------------------- HKCUControl PanelDesktop "SCRNSAVE.EXE" = "C:WINDOWSSystem32logon.scr" [file not found] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLMSystemCurrentControlSetServicesWinsock2ParametersNameSpace_Catalog5Catalog_E tries {++} 000000000001LibraryPath = "%SystemRoot%System32mswsock.dll" [MS] 000000000002LibraryPath = "%SystemRoot%System32winrnr.dll" [MS] 000000000003LibraryPath = "%SystemRoot%System32mswsock.dll" [MS] Transport Service Providers HKLMSystemCurrentControlSetServicesWinsock2ParametersProtocol_Catalog9Catalog_En ries {++} 0000000000##PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%system32mswsock.dll [MS], 01 - 03, 06 - 13 %SystemRoot%system32rsvpsp.dll [MS], 04 - 05 Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ avast! Antivirus, avast! Antivirus, ""C:Program FilesAlwil SoftwareAvast4ashServ.exe"" ["ALWIL Software"] avast! iAVS4 Control Service, aswUpdSv, ""C:Program FilesAlwil SoftwareAvast4aswUpdSv.exe"" ["ALWIL Software"] avast! Mail Scanner, avast! Mail Scanner, ""C:Program FilesAlwil SoftwareAvast4ashMaiSv.exe" /service" ["ALWIL Software"] avast! Web Scanner, avast! Web Scanner, ""C:Program FilesAlwil SoftwareAvast4ashWebSv.exe" /service" ["ALWIL Software"] ---------- + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + To search all directories of local fixed drives for DESKTOP.INI DLL launch points, use the -supp parameter or answer "No" at the first message box and "Yes" at the second message box. ---------- (total run time: 99 seconds, including 3 seconds for message boxes) log z hijacka Logfile of HijackThis v1.99.1Scan saved at 14:05:10, on 2007-06-10 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:WINDOWSSystem32smss.exe C:WINDOWSsystem32winlogon.exe C:WINDOWSsystem32services.exe C:WINDOWSsystem32lsass.exe C:WINDOWSsystem32svchost.exe C:WINDOWSSystem32svchost.exe C:Program FilesAlwil SoftwareAvast4aswUpdSv.exe C:Program FilesAlwil SoftwareAvast4ashServ.exe C:WINDOWSExplorer.EXE C:PROGRA~1ALWILS~1Avast4ashDisp.exe C:WINDOWSSystem32ctfmon.exe C:Program FilesMessengermsmsgs.exe C:WINDOWSsystem32spoolsv.exe C:PROGRA~1MOZILL~1FIREFOX.EXE C:Program FilesAlwil SoftwareAvast4ashWebSv.exe C:Program FilesAlwil SoftwareAvast4ashMaiSv.exe D:wwdc.exe C:WINDOWSsystem32NOTEPAD.EXE C:Program FilesHijackThis.exe R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Łącza O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:WINDOWSSystem32msdxm.ocx O4 - HKLM..Run: [avast!] C:PROGRA~1ALWILS~1Avast4ashDisp.exe O4 - HKLM..Run: [KernelFaultCheck] %systemroot%system32dumprep 0 -k O4 - HKCU..Run: [CTFMON.EXE] C:WINDOWSSystem32ctfmon.exe O4 - HKCU..Run: [MSMSGS] "C:Program FilesMessengermsmsgs.exe" /background O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:WINDOWSwebrelated.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:WINDOWSwebrelated.htm O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:Program FilesAlwil SoftwareAvast4aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:Program FilesAlwil SoftwareAvast4ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:Program FilesAlwil SoftwareAvast4ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:Program FilesAlwil SoftwareAvast4ashWebSv.exe" /service (file missing) ComboFix 07-06-3B - Running from: "D:"((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) -------xpdx ((((((((((((((((((((((((( Files Created from 2007-05-10 to 2007-06-10 ))))))))))))))))))))))))))))))) 2007-06-10 10:09 11,264 --a------ C:lbajka.exe 2007-06-10 03:32 <DIR> d--hs---- C:RECYCLER 2007-06-10 03:04 62,350 --a------ C:WINDOWSsystem32xpdx.sys 2007-06-10 03:02 11,264 --a------ C:tgmvmjba.exe 2007-06-10 02:26 227,840 --a------ C:Program FilesHijackThis.exe 2007-06-10 02:21 <DIR> d-------- C:Program FilesSkanerOnline 2007-06-09 16:26 <DIR> dr-hsc--- C:WINDOWSsystem32dllcache 2007-06-09 16:26 <DIR> dr--s---- C:WINDOWSFonts 2007-06-09 16:26 <DIR> dr------- C:WINDOWSWeb 2007-06-09 16:26 <DIR> d--h----- C:WINDOWSinf 2007-06-09 16:26 <DIR> d-------- C:WINDOWSWinSxS 2007-06-09 16:26 <DIR> d-------- C:WINDOWStwain_32 2007-06-09 16:26 <DIR> d-------- C:WINDOWSsystem32wins 2007-06-09 16:26 <DIR> d-------- C:WINDOWSsystem32wbem 2007-06-09 16:26 <DIR> d-------- C:WINDOWSsystem32usmt 2007-06-09 16:26 <DIR> d-------- C:WINDOWSsystem32spool 2007-06-09 16:26 <DIR> d-------- C:WINDOWSsystem32ShellExt 2007-06-09 16:26 <DIR> d-------- C:WINDOWSsystem32Setup 2007-06-09 16:26 <DIR> d-------- C:WINDOWSsystem32ras 2007-06-09 16:26 <DIR> d-------- C:WINDOWSsystem32oobe 2007-06-09 16:26 <DIR> d-------- C:WINDOWSsystem32npp 2007-06-09 16:26 <DIR> d-------- C:WINDOWSsystem32mui 2007-06-09 16:26 <DIR> d-------- C:WINDOWSsystem32inetsrv 2007-06-09 16:26 <DIR> d-------- C:WINDOWSsystem32IME 2007-06-09 16:26 <DIR> d-------- C:WINDOWSsystem32icsxml 2007-06-09 16:26 <DIR> d-------- C:WINDOWSsystem32ias 2007-06-09 16:26 <DIR> d-------- C:WINDOWSsystem32export 2007-06-09 16:26 <DIR> d-------- C:WINDOWSsystem32driversetc 2007-06-09 16:26 <DIR> d-------- C:WINDOWSsystem32driversdisdn 2007-06-09 16:26 <DIR> d-------- C:WINDOWSsystem32drivers 2007-06-09 16:26 <DIR> d-------- C:WINDOWSsystem32dhcp 2007-06-09 16:26 <DIR> d-------- C:WINDOWSsystem32config 2007-06-09 16:26 <DIR> d-------- C:WINDOWSsystem323com_dmi 2007-06-09 16:26 <DIR> d-------- C:WINDOWSsystem323076 2007-06-09 16:26 <DIR> d-------- C:WINDOWSsystem322052 2007-06-09 16:26 <DIR> d-------- C:WINDOWSsystem321054 2007-06-09 16:26 <DIR> d-------- C:WINDOWSsystem321045 2007-06-09 16:26 <DIR> d-------- C:WINDOWSsystem321042 2007-06-09 16:26 <DIR> d-------- C:WINDOWSsystem321041 2007-06-09 16:26 <DIR> d-------- C:WINDOWSsystem321037 2007-06-09 16:26 <DIR> d-------- C:WINDOWSsystem321033 2007-06-09 16:26 <DIR> d-------- C:WINDOWSsystem321031 2007-06-09 16:26 <DIR> d-------- C:WINDOWSsystem321028 2007-06-09 16:26 <DIR> d-------- C:WINDOWSsystem321025 2007-06-09 16:26 <DIR> d-------- C:WINDOWSsystem32 2007-06-09 16:26 <DIR> d-------- C:WINDOWSsystem 2007-06-09 16:26 <DIR> d-------- C:WINDOWSsecurity 2007-06-09 16:26 <DIR> d-------- C:WINDOWSResources 2007-06-09 16:26 <DIR> d-------- C:WINDOWSrepair 2007-06-09 16:26 <DIR> d-------- C:WINDOWSmui 2007-06-09 16:26 <DIR> d-------- C:WINDOWSmsapps 2007-06-09 16:26 <DIR> d-------- C:WINDOWSmsagent 2007-06-09 16:26 <DIR> d-------- C:WINDOWSMedia 2007-06-09 16:26 <DIR> d-------- C:WINDOWSime 2007-06-09 16:26 <DIR> d-------- C:WINDOWSHelp 2007-06-09 16:26 <DIR> d-------- C:WINDOWSDriver Cache 2007-06-09 16:26 <DIR> d-------- C:WINDOWSDebug 2007-06-09 16:26 <DIR> d-------- C:WINDOWSCursors 2007-06-09 16:26 <DIR> d-------- C:WINDOWSConnection Wizard 2007-06-09 16:26 <DIR> d-------- C:WINDOWSConfig 2007-06-09 16:26 <DIR> d-------- C:WINDOWSAppPatch 2007-06-09 16:26 <DIR> d-------- C:WINDOWSaddins 2007-06-09 16:26 <DIR> d-------- C:WINDOWS 2007-06-09 15:33 70,144 --a------ C:WINDOWSsystem32usbui.dll 2007-06-09 15:33 57,088 --a------ C:WINDOWSsystem32driversredbook.sys 2007-06-09 15:33 3,072 --a------ C:WINDOWSsystem32driversaudstub.sys 2007-06-09 15:33 27,165 --a------ C:WINDOWSsystem32driversfetnd5.sys 2007-06-09 15:32 <DIR> d-------- C:Program FilesCommon FilesODBC 2007-06-09 15:31 9,936 --a------ C:WINDOWSsystemLZEXPAND.DLL 2007-06-09 15:31 9,168 --a------ C:WINDOWSsystemVER.DLL 2007-06-09 15:31 85,532 --a------ C:WINDOWSsystem32dgsetup.dll 2007-06-09 15:31 83,456 --a------ C:WINDOWSsystemOLECLI.DLL 2007-06-09 15:31 8,192 -ra------ C:WINDOWSsystem32kbdhept.dll 2007-06-09 15:31 76,800 --a------ C:WINDOWSNOTEPAD.EXE 2007-06-09 15:31 71,680 --a------ C:WINDOWSsystem32storprop.dll 2007-06-09 15:31 70,096 --a------ C:WINDOWSsystemAVICAP.DLL 2007-06-09 15:31 7,168 --a------ C:WINDOWSsystem32kbdcz.dll 2007-06-09 15:31 69,712 --a------ C:WINDOWSsystemMMSYSTEM.DLL 2007-06-09 15:31 6,656 -ra------ C:WINDOWSsystem32kbdhela3.dll 2007-06-09 15:31 6,656 --a------ C:WINDOWSsystem32kbdycl.dll 2007-06-09 15:31 6,656 --a------ C:WINDOWSsystem32kbdsl1.dll 2007-06-09 15:31 6,656 --a------ C:WINDOWSsystem32kbdsl.dll 2007-06-09 15:31 6,656 --a------ C:WINDOWSsystem32kbdhu.dll 2007-06-09 15:31 6,656 --a------ C:WINDOWSsystem32kbdcz2.dll 2007-06-09 15:31 6,656 --a------ C:WINDOWSsystem32kbdcz1.dll 2007-06-09 15:31 6,656 --a------ C:WINDOWSsystem32kbdcr.dll 2007-06-09 15:31 6,656 --a------ C:WINDOWSsystem32KBDAL.DLL 2007-06-09 15:31 6,656 --a------ C:WINDOWSsystem32batt.dll 2007-06-09 15:31 6,144 -ra------ C:WINDOWSsystem32kbdtuq.dll 2007-06-09 15:31 6,144 -ra------ C:WINDOWSsystem32kbdtuf.dll 2007-06-09 15:31 6,144 -ra------ C:WINDOWSsystem32kbdlv1.dll 2007-06-09 15:31 6,144 -ra------ C:WINDOWSsystem32kbdlv.dll 2007-06-09 15:31 6,144 -ra------ C:WINDOWSsystem32kbdhela2.dll 2007-06-09 15:31 6,144 -ra------ C:WINDOWSsystem32kbdgkl.dll 2007-06-09 15:31 6,144 -ra------ C:WINDOWSsystem32kbdest.dll 2007-06-09 15:31 5,632 -ra------ C:WINDOWSsystem32kbdmon.dll 2007-06-09 15:31 5,632 -ra------ C:WINDOWSsystem32kbdlt1.dll 2007-06-09 15:31 5,632 -ra------ C:WINDOWSsystem32kbdlt.dll 2007-06-09 15:31 5,632 -ra------ C:WINDOWSsystem32kbdkyr.dll 2007-06-09 15:31 5,632 -ra------ C:WINDOWSsystem32kbdhe319.dll (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-06-10 00:09:23 49,492 ----a-w C:WINDOWSsystem32perfc015.dat 2007-06-10 00:09:23 355,486 ----a-w C:WINDOWSsystem32perfh015.dat 2007-06-09 12:39:57 -------- d-----w C:Program FilesUsługi online 2007-03-15 10:00:36 466,432 ----a-w C:WINDOWSsystem32SkanerOnline.dll ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun] "avast!"="C:PROGRA~1ALWILS~1Avast4ashDisp.exe" [2007-04-30 17:42] [HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun] "CTFMON.EXE"="C:WINDOWSSystem32ctfmon.exe" [2001-10-26 19:29] "MSMSGS"="C:Program FilesMessengermsmsgs.exe" [2001-08-02 07:14] HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversionsvchost *netsvcs* ************************************************************************** catchme 0.3.692 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net Rootkit scan 2007-06-10 14:09:34 Windows 5.1.2600 NTFS detected NTDLL code modification: ZwOpenFile scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** Completion time: 2007-06-10 14:10:15 C:ComboFix-quarantined-files.txt ... 2007-06-10 14:10 --- E O F --- [ Dodano: 2007-06-10, 14:18 ] co do firewalla to co radzisz? uzywalam zon alarm ale z tego co pamietam mialam problem ze skonfigurowaniem go i cos sie blokowalo
CatchMe komentarz 10 czerwca 2007 komentarz 10 czerwca 2007 Znów masz syf jak cholera... Pobierz i uruchom narzędzie : The Avenger Zaznacz opcję Input script manually i kliknij na Lupkę z prawej strony. W okienku, które się otworzy wklejasz: Files to delete:C:WINDOWSwebrelated.htm C:lbajka.exe C:WINDOWSsystem32xpdx.sys C:tgmvmjba.exe Klikasz Done, a następnie zielone światełko i zgadzasz się na restart klikając OK. Po restarcie w HijackThis usuwasz wpis/wpisy: O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:WINDOWSwebrelated.htmO9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:WINDOWSwebrelated.htm Kasujesz ręcznie z dysku plik: C:Avengerbackup.zip i wklejasz na forum raport: C:avenger.txt + log z HijackThis + log z Silent Runners + log z ComboFix + GMER: Ściagnij: Gmer`a * Rootkit >>> zaznaczone Pokaż wszystko >>> wskazane tylko Usługi >>> Szukaj >>> Kopiuj >>> CTRL+V na www.wklej.org * Rootkit >>> odznaczone Pokaż wszystko >>> wskazane wszystkie obiekty do skanu >>> Szukaj>>> Kopiuj >>> CTRL+V na www.wklej.org - W rezultacie otrzymujemy 2 logi, które wklejamy na www.wklej.org a linki podajemy na forum. - Specjalnie dla Ciebie: http://www.forumpc.pl/viewtopic.php?p=72673#72673
karaska komentarz 10 czerwca 2007 Autor komentarz 10 czerwca 2007 o jaaaa kasperski wyktyl 1510 zarazonych plikow lacznie z C:WINDOWSsystem32Kaspersky LabKaspersky Online Scannerkavuninstall.exe [ Dodano: 2007-06-10, 19:33 ] http://www.wklej.org/id/ddf622325e same uslugi http://www.wklej.org/id/b9d31dc768 no i wszystko ps co do avengera to nie moge go uruchomic!!! wyskakuje ze inicjacja niewlasciwie zainicjowana i jakies zera i piatki nie wiem moze musze to rozpakowac w jakims specjalnie stworzonym do tego folderze albo inne czary w kazdym razie bede probowac dalej a i dzieki za firewalla zaznajomie sie z nim we wtorek bo teraz udaje ze sie ucze :lol: ty chyba nie czytasz tych logow co?
CatchMe komentarz 10 czerwca 2007 komentarz 10 czerwca 2007 Jak bym nie czytał to bym nic nie umiał zrobić... Ściągnij OTMoveIt * Do pola Paste List of Files/Folders to be Moved wklej poniższe ścieżki: C:WINDOWSwebrelated.htm C:lbajka.exe C:WINDOWSsystem32xpdx.sys C:tgmvmjba.exe # Następnie wciśnij przycisk MoveIt! # Wyskoczy komunikat, że jest potrzebny restart do usunięcia podanych plików/folderów - wciśnij Yes. # Po restarcie usuń ręcznie folder C:_OTMoveIt (Prawoklik >>> Usuń >>> Opróżnij Kosz). - Następnie daj nowe logi. Poza tym widzę, że nie umiesz ustawić Kacpra. W takim razie polecam AV dla początkujących: AVG.
karaska komentarz 10 czerwca 2007 Autor komentarz 10 czerwca 2007 nie chce restartu! kacper jest on- line tam chyba nie trzeba niczego ustawiac? [ Dodano: 2007-06-10, 20:14 ] ale w results ze zostaly usuniete
karaska komentarz 10 czerwca 2007 Autor komentarz 10 czerwca 2007 jeszcze usune recznie ten plik (prawoklik itp) i zaraz bede wklejac ale tak dla sprawdzenia zrestartowalam kompa i sytuacja sie powtarza tzn caly czas wyskakuja wirusy itp a co z tym kacprem? [ Dodano: 2007-06-10, 20:36 ] silent: http://www.wklej.org/id/e538b732fa combofix: http://www.wklej.org/id/1fad55f18c hijack: http://www.wklej.org/id/07e9cb4bf7 gmera tez?
CatchMe komentarz 10 czerwca 2007 komentarz 10 czerwca 2007 Nie wiem co Ty robisz... masz WWDC? Do wywalenia: C:WINDOWSlsasshole.exe C:tgmvmjba.exe - GMER KONIECZNY !
karaska komentarz 10 czerwca 2007 Autor komentarz 10 czerwca 2007 pytasz co robie? ucze sie o walach metakarpackich termicznych porach roku...komp jest wlaczony ale nie korzystam z niego niczego nie sciagam jedyne co jest wlaczone to forum tak jak mowilam wwdc jest wlaczony ale nie mam aktywnego portu upnp 5000 bo jak juz pisalam nie chce sie uruchomic a oprocz tego avast i zone alarm pro (ale zmienie na to o czym pisales tylko ze we wtorek) http://www.wklej.org/id/9699d73ef9 http://www.wklej.org/id/39da0f07ec http://www.wklej.org/id/93ad4ec616 http://www.wklej.org/id/bab7555365 http://www.wklej.org/id/4415ee3dc8
karaska komentarz 11 czerwca 2007 Autor komentarz 11 czerwca 2007 ale caly czas dzieja sie jakies dziwne rzeczy za blokuje aplikacje ktore chca sie polaczyc z internetem o dziwnych nazwach np fxspyhps.exe, tgmvmjba.exe tvuynuup.exe noi przy wlaczaniu kompa najpierw musze wrzucic do kwarantanny ze 20 plikow
CatchMe komentarz 11 czerwca 2007 komentarz 11 czerwca 2007 To jest to, że porty nie są poblokowane! Koniecznie WWDC + http://marmro.homeip.net/SeconfigXP.zip Logi też są konieczne bo nie jestem jasnowidzem.
karaska komentarz 12 czerwca 2007 Autor komentarz 12 czerwca 2007 error wyskakuje mi umowa licencyjna naciskam tak i nic sie nie dzieje znaczy sie znowu wyskakuje umowa i tak w kolko logi: http://wklej.org/id/bf13005f96 http://wklej.org/id/3d5a8a2141 http://wklej.org/id/008e19283e http://wklej.org/id/ade173ed80 http://wklej.org/id/665f8704a1
CatchMe komentarz 13 czerwca 2007 komentarz 13 czerwca 2007 Otwórz Notatnik i wklej w nim to: Windows Registry Editor Version 5.00[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun] "idlesam"=- [HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun] "idlesam"=- "WindowsHive"=- "ipmon"=- Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG >>> Uruchom plik FIX.REG w trybie awaryjnym >>> Uruchom ponownie komputer. Pobierz i uruchom narzędzie : The Avenger Zaznacz opcję Input script manually i kliknij na Lupkę z prawej strony. W okienku, które się otworzy wklejasz: Files to delete:C:WINDOWSsystem32rpcc.exe C:WINDOWSwpcjmd.log C:tgmvmjba.exe C:WINDOWSdsfrertr.exe C:WINDOWSnircmd.exe C:WINDOWSsystem32autxnfcv.exe~ C:WINDOWSsystem32fxspyhps.exe~ Klikasz Done, a następnie zielone światełko i zgadzasz się na restart klikając OK. Kasujesz ręcznie z dysku plik: C:Avengerbackup.zip i wklejasz na forum raport: C:avenger.txt + log z HijackThis + log z Silent Runners + log z ComboFix.
Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!
Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.