x-kom hosting

problem z antivirem?

karaska

karaska

utworzono
utworzono

nie wiem o co chodzi z moim antywirusem od 2 dni nie moge go uruchomic wyskakuje mi jakis blad ze byc moze zostal on zainfekowany jakims wirusem i mam go na nowo zainstalowac ale nie moge go w zaden sposob usunac juz 2 razy formatowalam dysk i niestety problem pojawia sie po ponownym zainstalowaniu tej aplikacji sciagalam go z oficjalnej strony wiec chyba powinno byc wszystko ok obecnie moj komp jest bez jakiejkolwiek ochrony wiec prosze o jakies rady wklejam log z hijacka moze sie przyda tylko prosze o uzywanie prostych sformulowan 

Logfile of HijackThis v1.99.1Scan saved at 19:43:16, on 2007-06-07Platform: Windows XP  (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 (6.00.2600.0000)Running processes:C:WINDOWSSystem32smss.exeC:WINDOWSsystem32winlogon.exeC:WINDOWSsystem32services.exeC:WINDOWSsystem32lsass.exeC:WINDOWSsystem32svchost.exeC:WINDOWSSystem32svchost.exeC:WINDOWSsystem32spoolsv.exeC:WINDOWSSystem32Ati2evxx.exeC:WINDOWSExplorer.EXEC:Program FilesATI TechnologiesATI Control Panelatiptaxx.exeC:Program FilesJavajre1.6.0_01binjusched.exeC:WINDOWSSystem32ipmon.exeC:WINDOWSSystem32ipmon.exeC:WINDOWSSystem32ctfmon.exeC:Program FilesMessengermsmsgs.exeC:Program FilesGadu-Gadugg.exeC:Program FileseMuleemule.exeC:Program FilesMozilla Firefoxfirefox.exeC:WINDOWSSystem32svchost.exeC:WINDOWSSystem32wuauclt.exeC:Program FilesHijackThis.exeR0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.google.pl/R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = ŁączaO2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:Program FilesJavajre1.6.0_01binssv.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:WINDOWSSystem32msdxm.ocxO4 - HKLM..Run: [avgnt] "C:Program FilesAntiVir PersonalEdition Classicavgnt.exe" /minO4 - HKLM..Run: [ATIPTA] C:Program FilesATI TechnologiesATI Control Panelatiptaxx.exeO4 - HKLM..Run: [sunJavaUpdateSched] "C:Program FilesJavajre1.6.0_01binjusched.exe"O4 - HKLM..Run: [ipmon] ipmon.exeO4 - HKCU..Run: [CTFMON.EXE] C:WINDOWSSystem32ctfmon.exeO4 - HKCU..Run: [MSMSGS] "C:Program FilesMessengermsmsgs.exe" /backgroundO4 - HKCU..Run: [Gadu-Gadu] "C:Program FilesGadu-Gadugg.exe" /trayO4 - HKCU..Run: [eMuleAutoStart] C:Program FileseMuleemule.exe -AutoStartO9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.6.0_01binnpjpi160_01.dllO9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.6.0_01binnpjpi160_01.dllO9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:WINDOWSwebrelated.htmO9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:WINDOWSwebrelated.htmO16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1181167119717O20 - AppInit_DLLs: C:WINDOWSSystem32tmp_505.dllO23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Unknown owner - C:Program FilesAntiVir PersonalEdition Classicsched.exe (file missing)O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Unknown owner - C:Program FilesAntiVir PersonalEdition Classicavguard.exe (file missing)O23 - Service: Ati HotKey Poller - Unknown owner - C:WINDOWSSystem32Ati2evxx.exeO23 - Service: ATI Smart - Unknown owner - C:WINDOWSsystem32ati2sgag.exe

GoBi

GoBi

komentarz
komentarz

Usuń:

O20 - AppInit_DLLs: C:WINDOWSSystem32tmp_505.dllO4 - HKLM..Run: [ipmon] ipmon.exeC:WINDOWSSystem32ipmon.exeC:WINDOWSSystem32ipmon.exe
CatchMe

CatchMe

komentarz
komentarz

Pobierz i uruchom narzędzie : The Avenger

Zaznacz opcję Input script manually i kliknij na Lupkę z prawej strony. W okienku, które się otworzy wklejasz:

Files to delete:

C:WINDOWSSystem32ipmon.exe

C:WINDOWSSystem32tmp_505.dll

C:WINDOWSwebrelated.htm

Klikasz Done, a następnie zielone światełko i zgadzasz się na restart klikając OK.

Po restarcie w HijackThis usuwasz wpis/wpisy:

C:WINDOWSSystem32ipmon.exe

C:WINDOWSSystem32ipmon.exe

O4 - HKLM..Run: [ipmon] ipmon.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:WINDOWSwebrelated.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:WINDOWSwebrelated.htm

O20 - AppInit_DLLs: C:WINDOWSSystem32tmp_505.dll

Kasujesz ręcznie z dysku plik: C:Avengerbackup.zip i wklejasz na forum raport: C:avenger.txt + log z HijackThis + log z Silent Runners + log z ComboFix

karaska

karaska

komentarz
  • Autor
komentarz

a wiec sytuacja jest taka po raz kolejny sformatowalam dysk avengera sciagnelam i nie moge go uruchomic bo wyskakuje mi powiadomienie ze moze byc zainfekowany sprobuje jeszcze raz go sciagnac na inna partycje dysku i tam go rozpakowac ale nie widze tego zbyt rozowo co do antyvira rowniez wyskakuje podobne powiadomienie ze nie mozna uruchomic aplikacji bo C:/program files/ antivir personal edition classic/avcenter.exe mogl zostac zmodyfikowany badz zniszczory prawdopodobnie przez wirusa oto kolejny log z hijacka blagam pomozcie mi cos z tym zrobic :|

Logfile of HijackThis v1.99.1

Scan saved at 14:59:09, on 2007-06-08

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:WINDOWSSystem32smss.exe

C:WINDOWSsystem32winlogon.exe

C:WINDOWSsystem32services.exe

C:WINDOWSsystem32lsass.exe

C:WINDOWSsystem32svchost.exe

C:WINDOWSSystem32svchost.exe

C:WINDOWSsystem32spoolsv.exe

C:WINDOWSExplorer.EXE

C:WINDOWSSystem32CTFMON.EXE

C:Program FilesMessengermsmsgs.exe

C:Program FilesAntiVir PersonalEdition Classicsched.exe

C:Program FilesAntiVir PersonalEdition Classicavguard.exe

C:Program FilesAntiVir PersonalEdition Classicavgnt.exe

C:WINDOWSSystem32wininet.exe

C:Program FileshijackHijackThis.exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Łącza

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:WINDOWSSystem32msdxm.ocx

O4 - HKLM..Run: [avgnt] "C:Program FilesAntiVir PersonalEdition Classicavgnt.exe" /min

O4 - HKCU..Run: [CTFMON.EXE] C:WINDOWSSystem32ctfmon.exe

O4 - HKCU..Run: [MSMSGS] "C:Program FilesMessengermsmsgs.exe" /background

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:WINDOWSwebrelated.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:WINDOWSwebrelated.htm

O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - C:WINDOWSSystem32svshost.dll

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:Program FilesAntiVir PersonalEdition Classicsched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:Program FilesAntiVir PersonalEdition Classicavguard.exe

[ Dodano: 2007-06-08, 15:35 ]

a i tu jest log z silent runnersa

"Silent Runners.vbs", revision R50, http://www.silentrunners.org/

Operating System: Windows XP

Output limited to non-default values, except where indicated by "{++}"

Startup items buried in registry:

---------------------------------

HKCUSoftwareMicrosoftWindowsCurrentVersionRun {++}

"CTFMON.EXE" = "C:WINDOWSSystem32ctfmon.exe" [MS]

"MSMSGS" = ""C:Program FilesMessengermsmsgs.exe" /background" [MS]

HKLMSoftwareMicrosoftWindowsCurrentVersionRun {++}

"avgnt" = ""C:Program FilesAntiVir PersonalEdition Classicavgnt.exe" /min" ["Avira GmbH"]

HKLMSoftwareMicrosoftWindowsCurrentVersionShell ExtensionsApproved

"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Rozszerzenie CPL kadrowania wyświetlania"

-> {HKLM...CLSID} = "Rozszerzenie CPL kadrowania wyświetlania"

InProcServer32(Default) = "deskpan.dll" [file not found]

"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Rozszerzenie ikony HyperTerminalu"

-> {HKLM...CLSID} = "HyperTerminal Icon Ext"

InProcServer32(Default) = "C:WINDOWSSystem32hticons.dll" ["Hilgraeve, Inc."]

"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"

-> {HKLM...CLSID} = "Shell Extension for Malware scanning"

InProcServer32(Default) = "C:Program FilesAntiVir PersonalEdition Classicshlext.dll" ["Avira GmbH"]

"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"

-> {HKLM...CLSID} = "WinRAR"

InProcServer32(Default) = "C:Program FilesWinRARrarext.dll" [null data]

HKLMSoftwareMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad

"SysRun" = "{D7FFD784-5276-42D1-887B-00267870A4C7}"

-> {HKLM...CLSID} = (no title provided)

InProcServer32(Default) = "C:WINDOWSSystem32svshost.dll" [null data]

HKLMSystemCurrentControlSetControlWOW

<<!>> "cmdline" = "C:WINDOWSsystem32ntvdm.exe" [MS]

<<!>> "wowcmdline" = "C:WINDOWSsystem32ntvdm.exe -a C:WINDOWSsystem32krnl386" [MS]

HKLMSoftwareClasses*shellexContextMenuHandlers

Shell Extension for Malware scanning(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"

-> {HKLM...CLSID} = "Shell Extension for Malware scanning"

InProcServer32(Default) = "C:Program FilesAntiVir PersonalEdition Classicshlext.dll" ["Avira GmbH"]

WinRAR(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

-> {HKLM...CLSID} = "WinRAR"

InProcServer32(Default) = "C:Program FilesWinRARrarext.dll" [null data]

HKLMSoftwareClassesDirectoryshellexContextMenuHandlers

WinRAR(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

-> {HKLM...CLSID} = "WinRAR"

InProcServer32(Default) = "C:Program FilesWinRARrarext.dll" [null data]

HKLMSoftwareClassesFoldershellexContextMenuHandlers

Shell Extension for Malware scanning(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"

-> {HKLM...CLSID} = "Shell Extension for Malware scanning"

InProcServer32(Default) = "C:Program FilesAntiVir PersonalEdition Classicshlext.dll" ["Avira GmbH"]

WinRAR(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

-> {HKLM...CLSID} = "WinRAR"

InProcServer32(Default) = "C:Program FilesWinRARrarext.dll" [null data]

Group Policies {GPedit.msc branch and setting}:

-----------------------------------------------

Note: detected settings may not have any effect.

HKLMSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001

{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|

Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001

{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|

Devices: Allow undock without having to log on}

Active Desktop and Wallpaper:

-----------------------------

Active Desktop may be disabled at this entry:

HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:

HKCUSoftwareMicrosoftInternet ExplorerDesktopGeneral

"Wallpaper" = "C:WINDOWSwebwallpaperIdylla.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:

HKCUControl PanelDesktop

"Wallpaper" = "C:WINDOWSwebwallpaperIdylla.bmp"

Winsock2 Service Provider DLLs:

-------------------------------

Namespace Service Providers

HKLMSystemCurrentControlSetServicesWinsock2ParametersNameSpace_Catalog5Catalog_E

tries {++}

000000000001LibraryPath = "%SystemRoot%System32mswsock.dll" [file not found]

000000000002LibraryPath = "%SystemRoot%System32winrnr.dll" [file not found]

000000000003LibraryPath = "%SystemRoot%System32mswsock.dll" [file not found]

Transport Service Providers

HKLMSystemCurrentControlSetServicesWinsock2ParametersProtocol_Catalog9Catalog_En

ries {++}

0000000000##PackedCatalogItem (contains) DLL [Company Name], (at) ## range:

%SystemRoot%system32mswsock.dll [file not found], 01 - 03, 06 - 13

%SystemRoot%system32rsvpsp.dll [file not found], 04 - 05

i combofixa

ComboFix 07-06-3B - Running from: "D:"

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

C:WINDOWSsystem32xpdx.sys

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

-------xpdx

((((((((((((((((((((((((( Files Created from 2007-05-08 to 2007-06-08 )))))))))))))))))))))))))))))))

2007-06-08 16:16 <DIR> dr-hsc--- C:WINDOWSsystem32dllcache

2007-06-08 16:16 <DIR> dr--s---- C:WINDOWSFonts

2007-06-08 16:16 <DIR> dr------- C:WINDOWSWeb

2007-06-08 16:16 <DIR> d--h----- C:WINDOWSinf

2007-06-08 16:16 <DIR> d-------- C:WINDOWSWinSxS

2007-06-08 16:16 <DIR> d-------- C:WINDOWStwain_32

2007-06-08 16:16 <DIR> d-------- C:WINDOWSsystem32wins

2007-06-08 16:16 <DIR> d-------- C:WINDOWSsystem32wbem

2007-06-08 16:16 <DIR> d-------- C:WINDOWSsystem32usmt

2007-06-08 16:16 <DIR> d-------- C:WINDOWSsystem32spool

2007-06-08 16:16 <DIR> d-------- C:WINDOWSsystem32ShellExt

2007-06-08 16:16 <DIR> d-------- C:WINDOWSsystem32Setup

2007-06-08 16:16 <DIR> d-------- C:WINDOWSsystem32ras

2007-06-08 16:16 <DIR> d-------- C:WINDOWSsystem32oobe

2007-06-08 16:16 <DIR> d-------- C:WINDOWSsystem32npp

2007-06-08 16:16 <DIR> d-------- C:WINDOWSsystem32mui

2007-06-08 16:16 <DIR> d-------- C:WINDOWSsystem32inetsrv

2007-06-08 16:16 <DIR> d-------- C:WINDOWSsystem32IME

2007-06-08 16:16 <DIR> d-------- C:WINDOWSsystem32icsxml

2007-06-08 16:16 <DIR> d-------- C:WINDOWSsystem32ias

2007-06-08 16:16 <DIR> d-------- C:WINDOWSsystem32export

2007-06-08 16:16 <DIR> d-------- C:WINDOWSsystem32driversetc

2007-06-08 16:16 <DIR> d-------- C:WINDOWSsystem32driversdisdn

2007-06-08 16:16 <DIR> d-------- C:WINDOWSsystem32drivers

2007-06-08 16:16 <DIR> d-------- C:WINDOWSsystem32dhcp

2007-06-08 16:16 <DIR> d-------- C:WINDOWSsystem32config

2007-06-08 16:16 <DIR> d-------- C:WINDOWSsystem323com_dmi

2007-06-08 16:16 <DIR> d-------- C:WINDOWSsystem323076

2007-06-08 16:16 <DIR> d-------- C:WINDOWSsystem322052

2007-06-08 16:16 <DIR> d-------- C:WINDOWSsystem321054

2007-06-08 16:16 <DIR> d-------- C:WINDOWSsystem321045

2007-06-08 16:16 <DIR> d-------- C:WINDOWSsystem321042

2007-06-08 16:16 <DIR> d-------- C:WINDOWSsystem321041

2007-06-08 16:16 <DIR> d-------- C:WINDOWSsystem321037

2007-06-08 16:16 <DIR> d-------- C:WINDOWSsystem321033

2007-06-08 16:16 <DIR> d-------- C:WINDOWSsystem321031

2007-06-08 16:16 <DIR> d-------- C:WINDOWSsystem321028

2007-06-08 16:16 <DIR> d-------- C:WINDOWSsystem321025

2007-06-08 16:16 <DIR> d-------- C:WINDOWSsystem32

2007-06-08 16:16 <DIR> d-------- C:WINDOWSsystem

2007-06-08 16:16 <DIR> d-------- C:WINDOWSsecurity

2007-06-08 16:16 <DIR> d-------- C:WINDOWSResources

2007-06-08 16:16 <DIR> d-------- C:WINDOWSrepair

2007-06-08 16:16 <DIR> d-------- C:WINDOWSmui

2007-06-08 16:16 <DIR> d-------- C:WINDOWSmsapps

2007-06-08 16:16 <DIR> d-------- C:WINDOWSmsagent

2007-06-08 16:16 <DIR> d-------- C:WINDOWSMedia

2007-06-08 16:16 <DIR> d-------- C:WINDOWSime

2007-06-08 16:16 <DIR> d-------- C:WINDOWSHelp

2007-06-08 16:16 <DIR> d-------- C:WINDOWSDriver Cache

2007-06-08 16:16 <DIR> d-------- C:WINDOWSDebug

2007-06-08 16:16 <DIR> d-------- C:WINDOWSCursors

2007-06-08 16:16 <DIR> d-------- C:WINDOWSConnection Wizard

2007-06-08 16:16 <DIR> d-------- C:WINDOWSConfig

2007-06-08 16:16 <DIR> d-------- C:WINDOWSAppPatch

2007-06-08 16:16 <DIR> d-------- C:WINDOWSaddins

2007-06-08 16:16 <DIR> d-------- C:WINDOWS

2007-06-08 15:29 <DIR> d-------- C:Avenger

2007-06-08 15:24 3,072 --a------ C:WINDOWSsystem32driversaudstub.sys

2007-06-08 15:23 70,144 --a------ C:WINDOWSsystem32usbui.dll

2007-06-08 15:23 57,088 --a------ C:WINDOWSsystem32driversredbook.sys

2007-06-08 15:23 27,165 --a------ C:WINDOWSsystem32driversfetnd5.sys

2007-06-08 15:22 8,192 -ra------ C:WINDOWSsystem32kbdhept.dll

2007-06-08 15:22 6,656 -ra------ C:WINDOWSsystem32kbdhela3.dll

2007-06-08 15:22 6,144 -ra------ C:WINDOWSsystem32kbdtuq.dll

2007-06-08 15:22 6,144 -ra------ C:WINDOWSsystem32kbdtuf.dll

2007-06-08 15:22 6,144 -ra------ C:WINDOWSsystem32kbdlv1.dll

2007-06-08 15:22 6,144 -ra------ C:WINDOWSsystem32kbdlv.dll

2007-06-08 15:22 6,144 -ra------ C:WINDOWSsystem32kbdhela2.dll

2007-06-08 15:22 6,144 -ra------ C:WINDOWSsystem32kbdgkl.dll

2007-06-08 15:22 6,144 -ra------ C:WINDOWSsystem32kbdest.dll

2007-06-08 15:22 5,632 -ra------ C:WINDOWSsystem32kbdmon.dll

2007-06-08 15:22 5,632 -ra------ C:WINDOWSsystem32kbdlt1.dll

2007-06-08 15:22 5,632 -ra------ C:WINDOWSsystem32kbdlt.dll

2007-06-08 15:22 5,632 -ra------ C:WINDOWSsystem32kbdkyr.dll

2007-06-08 15:22 5,632 -ra------ C:WINDOWSsystem32kbdhe319.dll

2007-06-08 15:22 5,632 -ra------ C:WINDOWSsystem32kbdhe220.dll

2007-06-08 15:22 5,632 -ra------ C:WINDOWSsystem32kbdhe.dll

2007-06-08 15:22 5,632 -ra------ C:WINDOWSsystem32kbdazel.dll

2007-06-08 15:22 <DIR> dr------- C:Program Files

2007-06-08 15:22 <DIR> d-------- C:Program FilesCommon FilesSpeechEngines

2007-06-08 15:22 <DIR> d-------- C:Program FilesCommon FilesODBC

2007-06-08 15:21 9,936 --a------ C:WINDOWSsystemLZEXPAND.DLL

2007-06-08 15:21 9,168 --a------ C:WINDOWSsystemVER.DLL

2007-06-08 15:21 85,532 --a------ C:WINDOWSsystem32dgsetup.dll

2007-06-08 15:21 83,456 --a------ C:WINDOWSsystemOLECLI.DLL

2007-06-08 15:21 71,680 --a------ C:WINDOWSsystem32storprop.dll

2007-06-08 15:21 70,096 --a------ C:WINDOWSsystemAVICAP.DLL

2007-06-08 15:21 7,168 --a------ C:WINDOWSsystem32kbdcz.dll

2007-06-08 15:21 69,712 --a------ C:WINDOWSsystemMMSYSTEM.DLL

2007-06-08 15:21 67,072 --a------ C:WINDOWSNOTEPAD.EXE

2007-06-08 15:21 6,656 --a------ C:WINDOWSsystem32kbdycl.dll

2007-06-08 15:21 6,656 --a------ C:WINDOWSsystem32kbdsl1.dll

2007-06-08 15:21 6,656 --a------ C:WINDOWSsystem32kbdsl.dll

2007-06-08 15:21 6,656 --a------ C:WINDOWSsystem32kbdhu.dll

2007-06-08 15:21 6,656 --a------ C:WINDOWSsystem32kbdcz2.dll

2007-06-08 15:21 6,656 --a------ C:WINDOWSsystem32kbdcz1.dll

2007-06-08 15:21 6,656 --a------ C:WINDOWSsystem32kbdcr.dll

2007-06-08 15:21 6,656 --a------ C:WINDOWSsystem32KBDAL.DLL

2007-06-08 15:21 6,656 --a------ C:WINDOWSsystem32batt.dll

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-06-08 12:40:47 49,492 ----a-w C:WINDOWSsystem32perfc015.dat

2007-06-08 12:40:47 355,486 ----a-w C:WINDOWSsystem32perfh015.dat

2007-06-08 12:29:03 -------- d-----w C:Program FilesUsługi online

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]

"avgnt"="C:Program FilesAntiVir PersonalEdition Classicavgnt.exe" [2007-04-02 10:35]

[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]

"CTFMON.EXE"="C:WINDOWSSystem32ctfmon.exe" [2001-10-26 19:29]

"MSMSGS"="C:Program FilesMessengermsmsgs.exe" [2001-08-02 07:14]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionShellServiceObjectDelay

oad]

"{D7FFD784-5276-42D1-887B-00267870A4C7}"="C:WINDOWSSystem32svshost.dll" [2007-06-08 14:56]

HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversionsvchost *netsvcs*

**************************************************************************

catchme 0.3.692 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net

Rootkit scan 2007-06-08 15:30:16

Windows 5.1.2600 NTFS

detected NTDLL code modification:

ZwOpenFile

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

**************************************************************************

Completion time: 2007-06-08 15:31:15 - machine was rebooted

C:ComboFix-quarantined-files.txt ... 2007-06-08 15:30

--- E O F ---

CatchMe

CatchMe

komentarz
komentarz

Syf.. Syf...

1. Ściągnij: WWDC

- Zmień wszystkie opcje z disable na enable i uruchom ponownie komputer.

- Prawidłowy układ portów przedstawia zdjęcie:

http://www.firewallleaktester.com/images_site/wwdc.jpg

* NetBIOS może być żółty.

Pobierz i uruchom narzędzie : The Avenger

Zaznacz opcję Input script manually i kliknij na Lupkę z prawej strony. W okienku, które się otworzy wklejasz:

Files to delete:

C:WINDOWSSystem32wininet.exe

C:WINDOWSSystem32svshost.dll

Klikasz Done, a następnie zielone światełko i zgadzasz się na restart klikając OK.

Po restarcie w HijackThis usuwasz wpis/wpisy:

O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - C:WINDOWSSystem32svshost.dll

Otwórz Notatnik i wklej w nim to:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionShellServiceObjectDelay

oad

"SysRun"=-

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionShellServiceObjectDelay

oad]

"{D7FFD784-5276-42D1-887B-00267870A4C7}"=-

Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG >>> Uruchom plik FIX.REG w trybie awaryjnym >>> Uruchom ponownie komputer.

Użyj: SmitFraudFix z opcji 2 w trybie awaryjnym.

- Log z pracy programu znajduje się tutaj: C:raport.txt - wklej go na forum.

Kasujesz ręcznie z dysku plik: C:Avengerbackup.zip i wklejasz na forum raport: C:avenger.txt + log z HijackThis + log z Silent Runners + log z ComboFix

- co do Aviry - radzę zmienić na inny antywirus. Nigdy nie polecałem tego produktu. :)

karaska

karaska

komentarz
  • Autor
komentarz

upnp (port 5000) jest niedostepny nie moge go zmienic a avenger tak jak nie chcial sie uruchomic tak nie chce i jeszcze na dodatek kaspersky okresla go jako zarazonego Virus.Win32.Virut.e i co?

CatchMe

CatchMe

komentarz
komentarz

No to widać czemu się nie chce uruchomić... Kacpra wyłączyć albo dodać avangera do zaufanych programów.

ps. Żaden w podanych przeze mnie programów nie zawiera wirusów!

karaska

karaska

komentarz
  • Autor
komentarz

to byl skaner on- line i caly czas nie moge go uruchomic :/

CatchMe

CatchMe

komentarz
komentarz

Ściagnij: Gmer`a - i wypakuj na pulpit.

1. Utwórz dwa pliki:

Wklej do Notatnika:

gmer -del file C:WINDOWSSystem32wininet.exe

gmer -del file C:WINDOWSSystem32svshost.dll

gmer -reboot

Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.BAT

Wklej do Notatnika:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionShellServiceObjectDelay

oad

"SysRun"=-

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionShellServiceObjectDelay

oad]

"{D7FFD784-5276-42D1-887B-00267870A4C7}"=-

Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG

2. Uruchamiasz Gmera i w zakładce Procesy wybierasz opcję Gmer Awaryjny. Komputer ma się zresetować i zainicjować na nowo Gmera. W zakładce Procesy na dole w Poleceniu przez 3 kropki wskaż plik FIX.BAT i go uruchom. Komputer ma się samoczynnie zresetować. Po resecie uruchamiasz przez dwuklik plik FIX.REG i zatwierdzasz import do rejestru.

- Następnie wklej nowy komplet logów.

karaska

karaska

komentarz
  • Autor
komentarz

powiedzmy ze troche mnie to juz draznilo nie rozumiem tego mojego kompa ja tak o niego dbam a przynajmniej sie staram na miare swoich mozliwosci a on mi takie cuda wyczynia no ale nie o tym mialam pisac wiec tak jako zdesperowany i niedoswiadczony jeszcze uzytkownik pc po raz kolejny wykonalam format partycji systemowej i tak jak radziles zmienilam avire na avasta z ktorego nie wiadomo dlaczego zrezygnowalam kiedys tam jak na razie wyglada to chyba dobrze chociaz proba przeskanowania kompa na mks vir nie powiodla sie ale ze jest pozno to sprobuje jeszcze jutro w kazdym razie zalaczam log z hijacka troszke poszperalam w necie o tych wszystkich procesach itp no i nie wyglada to zle ale i tak wolalabym zebys na to zerknal

Logfile of HijackThis v1.99.1

Scan saved at 02:26:56, on 2007-06-10

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:WINDOWSSystem32smss.exe

C:WINDOWSsystem32winlogon.exe

C:WINDOWSsystem32services.exe

C:WINDOWSsystem32lsass.exe

C:WINDOWSsystem32svchost.exe

C:WINDOWSSystem32svchost.exe

C:WINDOWSExplorer.EXE

C:Program FilesAlwil SoftwareAvast4aswUpdSv.exe

C:Program FilesAlwil SoftwareAvast4ashServ.exe

C:PROGRA~1ALWILS~1Avast4ashDisp.exe

C:WINDOWSSystem32ctfmon.exe

C:Program FilesMessengermsmsgs.exe

C:WINDOWSsystem32spoolsv.exe

C:Program FilesMozilla Firefoxfirefox.exe

C:Program FilesAlwil SoftwareAvast4ashWebSv.exe

C:Program FilesAlwil SoftwareAvast4ashMaiSv.exe

C:Program FilesInternet Exploreriexplore.exe

C:Program FilesHijackThis.exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Łącza

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:WINDOWSSystem32msdxm.ocx

O4 - HKLM..Run: [avast!] C:PROGRA~1ALWILS~1Avast4ashDisp.exe

O4 - HKLM..Run: [KernelFaultCheck] %systemroot%system32dumprep 0 -k

O4 - HKCU..Run: [CTFMON.EXE] C:WINDOWSSystem32ctfmon.exe

O4 - HKCU..Run: [MSMSGS] "C:Program FilesMessengermsmsgs.exe" /background

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:WINDOWSwebrelated.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:WINDOWSwebrelated.htm

O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:Program FilesAlwil SoftwareAvast4aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:Program FilesAlwil SoftwareAvast4ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:Program FilesAlwil SoftwareAvast4ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:Program FilesAlwil SoftwareAvast4ashWebSv.exe" /service (file missing)

CatchMe

CatchMe

komentarz
komentarz

Log czysty. Pamiętaj o WWDC + antyvirus + firewall. Szkoda, że nie powalczyliśmy. Pozdro.

karaska

karaska

komentarz
  • Autor
komentarz

jeszcze nie koniec

niestety :placz:

po kazdorazowym uruchomieniu kompa avast prosi o restart systemu i nie robi po tym nawet skanu

zastanawiam sie nad kilkoma rzeczami na dysku d gdzie mam jakies pliki filmy i instalki programow (wieksza czesc sciagana z dobrych programow lub stron producentow) pojawil sie folder o nazwie system volume information ktorego nie moge zlokalizowac w kazdym razie pojawia sie podczas skanowania i ma jakies kosmicznie dlugie nazwy

wirusy zauwazylam glownie trojany win 32 small eks, agent gsa, i mojego satrego znajomego viruta-c staram sie zrobic skan na mks ale mi przerwalo wczoraj i dzis tez

wwdc to caly czas ten port 5000 jest niedostepny

mam nadzieje ze wreszcie cos zdzialam bo zamiast uczyc sie do egz siedze calymi dniami przy kompie

standardowo kolejne logi

log z silent runnera

"Silent Runners.vbs", revision R50, http://www.silentrunners.org/

Operating System: Windows XP

Output limited to non-default values, except where indicated by "{++}"

Startup items buried in registry:

---------------------------------

HKCUSoftwareMicrosoftWindowsCurrentVersionRun {++}

"CTFMON.EXE" = "C:WINDOWSSystem32ctfmon.exe" [MS]

"MSMSGS" = ""C:Program FilesMessengermsmsgs.exe" /background" [MS]

HKLMSoftwareMicrosoftWindowsCurrentVersionRun {++}

"avast!" = "C:PROGRA~1ALWILS~1Avast4ashDisp.exe" ["ALWIL Software"]

"KernelFaultCheck" = "C:WINDOWSsystem32dumprep 0 -k"

HKLMSoftwareMicrosoftWindowsCurrentVersionShell ExtensionsApproved

"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Rozszerzenie CPL kadrowania wyświetlania"

-> {HKLM...CLSID} = "Rozszerzenie CPL kadrowania wyświetlania"

InProcServer32(Default) = "deskpan.dll" [file not found]

"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Rozszerzenie ikony HyperTerminalu"

-> {HKLM...CLSID} = "HyperTerminal Icon Ext"

InProcServer32(Default) = "C:WINDOWSSystem32hticons.dll" ["Hilgraeve, Inc."]

"{472083B0-C522-11CF-8763-00608CC02F24}" = "avast"

-> {HKLM...CLSID} = "avast"

InProcServer32(Default) = "C:Program FilesAlwil SoftwareAvast4ashShell.dll" ["ALWIL Software"]

"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"

-> {HKLM...CLSID} = "WinRAR"

InProcServer32(Default) = "C:Program FilesWinRARrarext.dll" [null data]

HKLMSoftwareClasses*shellexContextMenuHandlers

avast(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}"

-> {HKLM...CLSID} = "avast"

InProcServer32(Default) = "C:Program FilesAlwil SoftwareAvast4ashShell.dll" ["ALWIL Software"]

WinRAR(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

-> {HKLM...CLSID} = "WinRAR"

InProcServer32(Default) = "C:Program FilesWinRARrarext.dll" [null data]

HKLMSoftwareClassesDirectoryshellexContextMenuHandlers

WinRAR(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

-> {HKLM...CLSID} = "WinRAR"

InProcServer32(Default) = "C:Program FilesWinRARrarext.dll" [null data]

HKLMSoftwareClassesFoldershellexContextMenuHandlers

avast(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}"

-> {HKLM...CLSID} = "avast"

InProcServer32(Default) = "C:Program FilesAlwil SoftwareAvast4ashShell.dll" ["ALWIL Software"]

WinRAR(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

-> {HKLM...CLSID} = "WinRAR"

InProcServer32(Default) = "C:Program FilesWinRARrarext.dll" [null data]

Group Policies {GPedit.msc branch and setting}:

-----------------------------------------------

Note: detected settings may not have any effect.

HKLMSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001

{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|

Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001

{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|

Devices: Allow undock without having to log on}

Active Desktop and Wallpaper:

-----------------------------

Active Desktop may be disabled at this entry:

HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:

HKCUSoftwareMicrosoftInternet ExplorerDesktopGeneral

"Wallpaper" = "C:WINDOWSwebwallpaperIdylla.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:

HKCUControl PanelDesktop

"Wallpaper" = "C:WINDOWSwebwallpaperIdylla.bmp"

Enabled Screen Saver:

---------------------

HKCUControl PanelDesktop

"SCRNSAVE.EXE" = "C:WINDOWSSystem32logon.scr" [file not found]

Winsock2 Service Provider DLLs:

-------------------------------

Namespace Service Providers

HKLMSystemCurrentControlSetServicesWinsock2ParametersNameSpace_Catalog5Catalog_E

tries {++}

000000000001LibraryPath = "%SystemRoot%System32mswsock.dll" [MS]

000000000002LibraryPath = "%SystemRoot%System32winrnr.dll" [MS]

000000000003LibraryPath = "%SystemRoot%System32mswsock.dll" [MS]

Transport Service Providers

HKLMSystemCurrentControlSetServicesWinsock2ParametersProtocol_Catalog9Catalog_En

ries {++}

0000000000##PackedCatalogItem (contains) DLL [Company Name], (at) ## range:

%SystemRoot%system32mswsock.dll [MS], 01 - 03, 06 - 13

%SystemRoot%system32rsvpsp.dll [MS], 04 - 05

Running Services (Display Name, Service Name, Path {Service DLL}):

------------------------------------------------------------------

avast! Antivirus, avast! Antivirus, ""C:Program FilesAlwil SoftwareAvast4ashServ.exe"" ["ALWIL Software"]

avast! iAVS4 Control Service, aswUpdSv, ""C:Program FilesAlwil SoftwareAvast4aswUpdSv.exe"" ["ALWIL Software"]

avast! Mail Scanner, avast! Mail Scanner, ""C:Program FilesAlwil SoftwareAvast4ashMaiSv.exe" /service" ["ALWIL Software"]

avast! Web Scanner, avast! Web Scanner, ""C:Program FilesAlwil SoftwareAvast4ashWebSv.exe" /service" ["ALWIL Software"]

----------

+ This report excludes default entries except where indicated.

+ To see *everywhere* the script checks and *everything* it finds,

launch it from a command prompt or a shortcut with the -all parameter.

+ To search all directories of local fixed drives for DESKTOP.INI

DLL launch points, use the -supp parameter or answer "No" at the

first message box and "Yes" at the second message box.

---------- (total run time: 99 seconds, including 3 seconds for message boxes)

log z hijacka

Logfile of HijackThis v1.99.1

Scan saved at 14:05:10, on 2007-06-10

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:WINDOWSSystem32smss.exe

C:WINDOWSsystem32winlogon.exe

C:WINDOWSsystem32services.exe

C:WINDOWSsystem32lsass.exe

C:WINDOWSsystem32svchost.exe

C:WINDOWSSystem32svchost.exe

C:Program FilesAlwil SoftwareAvast4aswUpdSv.exe

C:Program FilesAlwil SoftwareAvast4ashServ.exe

C:WINDOWSExplorer.EXE

C:PROGRA~1ALWILS~1Avast4ashDisp.exe

C:WINDOWSSystem32ctfmon.exe

C:Program FilesMessengermsmsgs.exe

C:WINDOWSsystem32spoolsv.exe

C:PROGRA~1MOZILL~1FIREFOX.EXE

C:Program FilesAlwil SoftwareAvast4ashWebSv.exe

C:Program FilesAlwil SoftwareAvast4ashMaiSv.exe

D:wwdc.exe

C:WINDOWSsystem32NOTEPAD.EXE

C:Program FilesHijackThis.exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Łącza

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:WINDOWSSystem32msdxm.ocx

O4 - HKLM..Run: [avast!] C:PROGRA~1ALWILS~1Avast4ashDisp.exe

O4 - HKLM..Run: [KernelFaultCheck] %systemroot%system32dumprep 0 -k

O4 - HKCU..Run: [CTFMON.EXE] C:WINDOWSSystem32ctfmon.exe

O4 - HKCU..Run: [MSMSGS] "C:Program FilesMessengermsmsgs.exe" /background

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:WINDOWSwebrelated.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:WINDOWSwebrelated.htm

O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:Program FilesAlwil SoftwareAvast4aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:Program FilesAlwil SoftwareAvast4ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:Program FilesAlwil SoftwareAvast4ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:Program FilesAlwil SoftwareAvast4ashWebSv.exe" /service (file missing)

ComboFix 07-06-3B - Running from: "D:"

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

-------xpdx

((((((((((((((((((((((((( Files Created from 2007-05-10 to 2007-06-10 )))))))))))))))))))))))))))))))

2007-06-10 10:09 11,264 --a------ C:lbajka.exe

2007-06-10 03:32 <DIR> d--hs---- C:RECYCLER

2007-06-10 03:04 62,350 --a------ C:WINDOWSsystem32xpdx.sys

2007-06-10 03:02 11,264 --a------ C:tgmvmjba.exe

2007-06-10 02:26 227,840 --a------ C:Program FilesHijackThis.exe

2007-06-10 02:21 <DIR> d-------- C:Program FilesSkanerOnline

2007-06-09 16:26 <DIR> dr-hsc--- C:WINDOWSsystem32dllcache

2007-06-09 16:26 <DIR> dr--s---- C:WINDOWSFonts

2007-06-09 16:26 <DIR> dr------- C:WINDOWSWeb

2007-06-09 16:26 <DIR> d--h----- C:WINDOWSinf

2007-06-09 16:26 <DIR> d-------- C:WINDOWSWinSxS

2007-06-09 16:26 <DIR> d-------- C:WINDOWStwain_32

2007-06-09 16:26 <DIR> d-------- C:WINDOWSsystem32wins

2007-06-09 16:26 <DIR> d-------- C:WINDOWSsystem32wbem

2007-06-09 16:26 <DIR> d-------- C:WINDOWSsystem32usmt

2007-06-09 16:26 <DIR> d-------- C:WINDOWSsystem32spool

2007-06-09 16:26 <DIR> d-------- C:WINDOWSsystem32ShellExt

2007-06-09 16:26 <DIR> d-------- C:WINDOWSsystem32Setup

2007-06-09 16:26 <DIR> d-------- C:WINDOWSsystem32ras

2007-06-09 16:26 <DIR> d-------- C:WINDOWSsystem32oobe

2007-06-09 16:26 <DIR> d-------- C:WINDOWSsystem32npp

2007-06-09 16:26 <DIR> d-------- C:WINDOWSsystem32mui

2007-06-09 16:26 <DIR> d-------- C:WINDOWSsystem32inetsrv

2007-06-09 16:26 <DIR> d-------- C:WINDOWSsystem32IME

2007-06-09 16:26 <DIR> d-------- C:WINDOWSsystem32icsxml

2007-06-09 16:26 <DIR> d-------- C:WINDOWSsystem32ias

2007-06-09 16:26 <DIR> d-------- C:WINDOWSsystem32export

2007-06-09 16:26 <DIR> d-------- C:WINDOWSsystem32driversetc

2007-06-09 16:26 <DIR> d-------- C:WINDOWSsystem32driversdisdn

2007-06-09 16:26 <DIR> d-------- C:WINDOWSsystem32drivers

2007-06-09 16:26 <DIR> d-------- C:WINDOWSsystem32dhcp

2007-06-09 16:26 <DIR> d-------- C:WINDOWSsystem32config

2007-06-09 16:26 <DIR> d-------- C:WINDOWSsystem323com_dmi

2007-06-09 16:26 <DIR> d-------- C:WINDOWSsystem323076

2007-06-09 16:26 <DIR> d-------- C:WINDOWSsystem322052

2007-06-09 16:26 <DIR> d-------- C:WINDOWSsystem321054

2007-06-09 16:26 <DIR> d-------- C:WINDOWSsystem321045

2007-06-09 16:26 <DIR> d-------- C:WINDOWSsystem321042

2007-06-09 16:26 <DIR> d-------- C:WINDOWSsystem321041

2007-06-09 16:26 <DIR> d-------- C:WINDOWSsystem321037

2007-06-09 16:26 <DIR> d-------- C:WINDOWSsystem321033

2007-06-09 16:26 <DIR> d-------- C:WINDOWSsystem321031

2007-06-09 16:26 <DIR> d-------- C:WINDOWSsystem321028

2007-06-09 16:26 <DIR> d-------- C:WINDOWSsystem321025

2007-06-09 16:26 <DIR> d-------- C:WINDOWSsystem32

2007-06-09 16:26 <DIR> d-------- C:WINDOWSsystem

2007-06-09 16:26 <DIR> d-------- C:WINDOWSsecurity

2007-06-09 16:26 <DIR> d-------- C:WINDOWSResources

2007-06-09 16:26 <DIR> d-------- C:WINDOWSrepair

2007-06-09 16:26 <DIR> d-------- C:WINDOWSmui

2007-06-09 16:26 <DIR> d-------- C:WINDOWSmsapps

2007-06-09 16:26 <DIR> d-------- C:WINDOWSmsagent

2007-06-09 16:26 <DIR> d-------- C:WINDOWSMedia

2007-06-09 16:26 <DIR> d-------- C:WINDOWSime

2007-06-09 16:26 <DIR> d-------- C:WINDOWSHelp

2007-06-09 16:26 <DIR> d-------- C:WINDOWSDriver Cache

2007-06-09 16:26 <DIR> d-------- C:WINDOWSDebug

2007-06-09 16:26 <DIR> d-------- C:WINDOWSCursors

2007-06-09 16:26 <DIR> d-------- C:WINDOWSConnection Wizard

2007-06-09 16:26 <DIR> d-------- C:WINDOWSConfig

2007-06-09 16:26 <DIR> d-------- C:WINDOWSAppPatch

2007-06-09 16:26 <DIR> d-------- C:WINDOWSaddins

2007-06-09 16:26 <DIR> d-------- C:WINDOWS

2007-06-09 15:33 70,144 --a------ C:WINDOWSsystem32usbui.dll

2007-06-09 15:33 57,088 --a------ C:WINDOWSsystem32driversredbook.sys

2007-06-09 15:33 3,072 --a------ C:WINDOWSsystem32driversaudstub.sys

2007-06-09 15:33 27,165 --a------ C:WINDOWSsystem32driversfetnd5.sys

2007-06-09 15:32 <DIR> d-------- C:Program FilesCommon FilesODBC

2007-06-09 15:31 9,936 --a------ C:WINDOWSsystemLZEXPAND.DLL

2007-06-09 15:31 9,168 --a------ C:WINDOWSsystemVER.DLL

2007-06-09 15:31 85,532 --a------ C:WINDOWSsystem32dgsetup.dll

2007-06-09 15:31 83,456 --a------ C:WINDOWSsystemOLECLI.DLL

2007-06-09 15:31 8,192 -ra------ C:WINDOWSsystem32kbdhept.dll

2007-06-09 15:31 76,800 --a------ C:WINDOWSNOTEPAD.EXE

2007-06-09 15:31 71,680 --a------ C:WINDOWSsystem32storprop.dll

2007-06-09 15:31 70,096 --a------ C:WINDOWSsystemAVICAP.DLL

2007-06-09 15:31 7,168 --a------ C:WINDOWSsystem32kbdcz.dll

2007-06-09 15:31 69,712 --a------ C:WINDOWSsystemMMSYSTEM.DLL

2007-06-09 15:31 6,656 -ra------ C:WINDOWSsystem32kbdhela3.dll

2007-06-09 15:31 6,656 --a------ C:WINDOWSsystem32kbdycl.dll

2007-06-09 15:31 6,656 --a------ C:WINDOWSsystem32kbdsl1.dll

2007-06-09 15:31 6,656 --a------ C:WINDOWSsystem32kbdsl.dll

2007-06-09 15:31 6,656 --a------ C:WINDOWSsystem32kbdhu.dll

2007-06-09 15:31 6,656 --a------ C:WINDOWSsystem32kbdcz2.dll

2007-06-09 15:31 6,656 --a------ C:WINDOWSsystem32kbdcz1.dll

2007-06-09 15:31 6,656 --a------ C:WINDOWSsystem32kbdcr.dll

2007-06-09 15:31 6,656 --a------ C:WINDOWSsystem32KBDAL.DLL

2007-06-09 15:31 6,656 --a------ C:WINDOWSsystem32batt.dll

2007-06-09 15:31 6,144 -ra------ C:WINDOWSsystem32kbdtuq.dll

2007-06-09 15:31 6,144 -ra------ C:WINDOWSsystem32kbdtuf.dll

2007-06-09 15:31 6,144 -ra------ C:WINDOWSsystem32kbdlv1.dll

2007-06-09 15:31 6,144 -ra------ C:WINDOWSsystem32kbdlv.dll

2007-06-09 15:31 6,144 -ra------ C:WINDOWSsystem32kbdhela2.dll

2007-06-09 15:31 6,144 -ra------ C:WINDOWSsystem32kbdgkl.dll

2007-06-09 15:31 6,144 -ra------ C:WINDOWSsystem32kbdest.dll

2007-06-09 15:31 5,632 -ra------ C:WINDOWSsystem32kbdmon.dll

2007-06-09 15:31 5,632 -ra------ C:WINDOWSsystem32kbdlt1.dll

2007-06-09 15:31 5,632 -ra------ C:WINDOWSsystem32kbdlt.dll

2007-06-09 15:31 5,632 -ra------ C:WINDOWSsystem32kbdkyr.dll

2007-06-09 15:31 5,632 -ra------ C:WINDOWSsystem32kbdhe319.dll

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-06-10 00:09:23 49,492 ----a-w C:WINDOWSsystem32perfc015.dat

2007-06-10 00:09:23 355,486 ----a-w C:WINDOWSsystem32perfh015.dat

2007-06-09 12:39:57 -------- d-----w C:Program FilesUsługi online

2007-03-15 10:00:36 466,432 ----a-w C:WINDOWSsystem32SkanerOnline.dll

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]

"avast!"="C:PROGRA~1ALWILS~1Avast4ashDisp.exe" [2007-04-30 17:42]

[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]

"CTFMON.EXE"="C:WINDOWSSystem32ctfmon.exe" [2001-10-26 19:29]

"MSMSGS"="C:Program FilesMessengermsmsgs.exe" [2001-08-02 07:14]

HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversionsvchost *netsvcs*

**************************************************************************

catchme 0.3.692 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net

Rootkit scan 2007-06-10 14:09:34

Windows 5.1.2600 NTFS

detected NTDLL code modification:

ZwOpenFile

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully

hidden files: 0

**************************************************************************

Completion time: 2007-06-10 14:10:15

C:ComboFix-quarantined-files.txt ... 2007-06-10 14:10

--- E O F ---

[ Dodano: 2007-06-10, 14:18 ]

co do firewalla to co radzisz? uzywalam zon alarm ale z tego co pamietam mialam problem ze skonfigurowaniem go i cos sie blokowalo

CatchMe

CatchMe

komentarz
komentarz

Znów masz syf jak cholera...

Pobierz i uruchom narzędzie : The Avenger

Zaznacz opcję Input script manually i kliknij na Lupkę z prawej strony. W okienku, które się otworzy wklejasz:

Files to delete:

C:WINDOWSwebrelated.htm

C:lbajka.exe

C:WINDOWSsystem32xpdx.sys

C:tgmvmjba.exe

Klikasz Done, a następnie zielone światełko i zgadzasz się na restart klikając OK.

Po restarcie w HijackThis usuwasz wpis/wpisy:

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:WINDOWSwebrelated.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:WINDOWSwebrelated.htm

Kasujesz ręcznie z dysku plik: C:Avengerbackup.zip i wklejasz na forum raport: C:avenger.txt + log z HijackThis + log z Silent Runners + log z ComboFix + GMER:

Ściagnij: Gmer`a

* Rootkit >>> zaznaczone Pokaż wszystko >>> wskazane tylko Usługi >>> Szukaj >>> Kopiuj >>> CTRL+V na www.wklej.org

* Rootkit >>> odznaczone Pokaż wszystko >>> wskazane wszystkie obiekty do skanu >>> Szukaj>>> Kopiuj >>> CTRL+V na www.wklej.org

- W rezultacie otrzymujemy 2 logi, które wklejamy na www.wklej.org a linki podajemy na forum.

- Specjalnie dla Ciebie: :Dhttp://www.forumpc.pl/viewtopic.php?p=72673#72673

karaska

karaska

komentarz
  • Autor
komentarz

o jaaaa kasperski wyktyl 1510 zarazonych plikow lacznie z C:WINDOWSsystem32Kaspersky LabKaspersky Online Scannerkavuninstall.exe

[ Dodano: 2007-06-10, 19:33 ]

http://www.wklej.org/id/ddf622325e same uslugi

http://www.wklej.org/id/b9d31dc768 no i wszystko

ps co do avengera to nie moge go uruchomic!!! wyskakuje ze inicjacja niewlasciwie zainicjowana i jakies zera i piatki nie wiem moze musze to rozpakowac w jakims specjalnie stworzonym do tego folderze albo inne czary w kazdym razie bede probowac dalej

a i dzieki za firewalla zaznajomie sie z nim we wtorek bo teraz udaje ze sie ucze :lol:

ty chyba nie czytasz tych logow co?

CatchMe

CatchMe

komentarz
komentarz

Jak bym nie czytał to bym nic nie umiał zrobić...

Ściągnij OTMoveIt

* Do pola Paste List of Files/Folders to be Moved wklej poniższe ścieżki:

C:WINDOWSwebrelated.htm

C:lbajka.exe

C:WINDOWSsystem32xpdx.sys

C:tgmvmjba.exe

# Następnie wciśnij przycisk MoveIt!

# Wyskoczy komunikat, że jest potrzebny restart do usunięcia podanych plików/folderów - wciśnij Yes.

# Po restarcie usuń ręcznie folder C:_OTMoveIt (Prawoklik >>> Usuń >>> Opróżnij Kosz).

- Następnie daj nowe logi. Poza tym widzę, że nie umiesz ustawić Kacpra. W takim razie polecam AV dla początkujących: AVG.

karaska

karaska

komentarz
  • Autor
komentarz

nie chce restartu!

kacper jest on- line tam chyba nie trzeba niczego ustawiac?

[ Dodano: 2007-06-10, 20:14 ]

ale w results ze zostaly usuniete

CatchMe

CatchMe

komentarz
komentarz

Dawaj logi :D

karaska

karaska

komentarz
  • Autor
komentarz

jeszcze usune recznie ten plik (prawoklik itp) :) i zaraz bede wklejac ale tak dla sprawdzenia zrestartowalam kompa i sytuacja sie powtarza tzn caly czas wyskakuja wirusy itp a co z tym kacprem?

[ Dodano: 2007-06-10, 20:36 ]

silent: http://www.wklej.org/id/e538b732fa

combofix: http://www.wklej.org/id/1fad55f18c

hijack: http://www.wklej.org/id/07e9cb4bf7

gmera tez?

CatchMe

CatchMe

komentarz
komentarz

Nie wiem co Ty robisz... masz WWDC? Do wywalenia:

C:WINDOWSlsasshole.exe

C:tgmvmjba.exe

- GMER KONIECZNY !

karaska

karaska

komentarz
  • Autor
komentarz

pytasz co robie? ucze sie o walach metakarpackich termicznych porach roku...komp jest wlaczony ale nie korzystam z niego niczego nie sciagam jedyne co jest wlaczone to forum

tak jak mowilam wwdc jest wlaczony ale nie mam aktywnego portu upnp 5000 bo jak juz pisalam nie chce sie uruchomic a oprocz tego avast i zone alarm pro (ale zmienie na to o czym pisales tylko ze we wtorek)

http://www.wklej.org/id/9699d73ef9

http://www.wklej.org/id/39da0f07ec

http://www.wklej.org/id/93ad4ec616

http://www.wklej.org/id/bab7555365

http://www.wklej.org/id/4415ee3dc8

CatchMe

CatchMe

komentarz
komentarz

Logi są ok.

karaska

karaska

komentarz
  • Autor
komentarz

ale caly czas dzieja sie jakies dziwne rzeczy za blokuje aplikacje ktore chca sie polaczyc z internetem o dziwnych nazwach np fxspyhps.exe, tgmvmjba.exe tvuynuup.exe noi przy wlaczaniu kompa najpierw musze wrzucic do kwarantanny ze 20 plikow

CatchMe

CatchMe

komentarz
komentarz

:evil: To jest to, że porty nie są poblokowane!

Koniecznie WWDC + http://marmro.homeip.net/SeconfigXP.zip

Logi też są konieczne bo nie jestem jasnowidzem. :D

CatchMe

CatchMe

komentarz
komentarz

Otwórz Notatnik i wklej w nim to:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]

"idlesam"=-

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]

"idlesam"=-

"WindowsHive"=-

"ipmon"=-

Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG >>> Uruchom plik FIX.REG w trybie awaryjnym >>> Uruchom ponownie komputer.

Pobierz i uruchom narzędzie : The Avenger

Zaznacz opcję Input script manually i kliknij na Lupkę z prawej strony. W okienku, które się otworzy wklejasz:

Files to delete:

C:WINDOWSsystem32rpcc.exe

C:WINDOWSwpcjmd.log

C:tgmvmjba.exe

C:WINDOWSdsfrertr.exe

C:WINDOWSnircmd.exe

C:WINDOWSsystem32autxnfcv.exe~

C:WINDOWSsystem32fxspyhps.exe~

Klikasz Done, a następnie zielone światełko i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:Avengerbackup.zip i wklejasz na forum raport: C:avenger.txt + log z HijackThis + log z Silent Runners + log z ComboFix.

Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!

Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.

Zadaj pytanie bez logowania
Przejdź do listy tematów
×
×
  • Dodaj nową pozycję...

Powiadomienie o plikach cookie

Strona wykorzystuje pliki cookies w celu prawidłowego świadczenia usług i wygody użytkowników. Warunki przechowywania i dostępu do plików cookies możesz zmienić w ustawieniach przeglądarki.

  Akceptuję