dawidafc utworzono 13 czerwca 2009 utworzono 13 czerwca 2009 (edytowane) Mam dwie prosby, zeby ktos sprawdzil logi z hijacka i mam problem z plikiem smss.exe, wiem ze jest to plik systemowy ktory znajduje sie w C/windows/system32 a jak ma sie taki plik w komputerze w innej lokalizacji to moze byc to wirus :/ jak wpisuje w wyszukiwanie smss.exe znajduje ten z system32 i drugi w C/windows/ServicePackFiles/i386 tez zajmuje 50kb, czy moze byc to wirus ? :/ Logfile of Trend Micro HijackThis v2.0.2Scan saved at 11:42:08, on 2009-06-13Platform: Windows XP Dodatek SP3 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)Boot mode: NormalRunning processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exeC:\Program Files\Bonjour\mDNSResponder.exeC:\WINDOWS\system32\nvsvc32.exeC:\WINDOWS\system32\PnkBstrB.exeC:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\EXPLORER.EXEC:\WINDOWS\RTHDCPL.EXEC:\WINDOWS\system32\RUNDLL32.EXEC:\Program Files\Winamp\winampa.exeC:\Program Files\Canon\MyPrinter\BJMyPrt.exeC:\Program Files\Java\jre1.6.0_05\bin\jusched.exeC:\Program Files\iTunes\iTunesHelper.exeC:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exeC:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exeC:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exeC:\WINDOWS\system32\ctfmon.exeC:\Program Files\Nowe Gadu-Gadu\gg.exeC:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exeC:\Program Files\Nikon\PictureProject\NkbMonitor.exeC:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exeC:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exeC:\Program Files\iPod\bin\iPodService.exeC:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exeC:\Program Files\Nowe Gadu-Gadu\spellchecker_gg.exeC:\Program Files\Mozilla Firefox\firefox.exeC:\Program Files\Winamp\winamp.exeC:\Program Files\Trend Micro\HijackThis\HijackThis.exeR1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.yahoo.comR0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.comR1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.localR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = ŁączaR3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL (file missing)F2 - REG:system.ini: UserInit=userinit.exe,EXPLORER.EXEO2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_6_0_1.dllO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dllO2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dllO2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dllO2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dllO2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dllO3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_6_0_1.dllO3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dllO4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXEO4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXEO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [nwiz] nwiz.exe /installO4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInitO4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Program Files\Canon\SolutionMenu\CNSLMAIN.exe /logonO4 - HKLM\..\Run: [CanonMyPrinter] C:\Program Files\Canon\MyPrinter\BJMyPrt.exe /logonO4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exeO4 - HKLM\..\Run: [sSBkgdUpdate] "C:\Program Files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -bootO4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"O4 - HKLM\..\Run: [bearShare] "C:\Program Files\BearShare\BearShare.exe" /pauseO4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottimeO4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exeO4 - HKCU\..\Run: [RocketDock] "C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe"O4 - HKCU\..\Run: [iPLA!] C:\Program Files\ipla\ipla.exe /autorunO4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exeO4 - HKCU\..\Run: [Nowe Gadu-Gadu] "C:\Program Files\Nowe Gadu-Gadu\gg.exe"O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exeO4 - Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exeO4 - Startup: Tworzenie wycinków ekranu i uruchamianie programu OneNote 2007.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXEO4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exeO4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exeO4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exeO4 - Global Startup: NkbMonitor.exe.lnk = C:\Program Files\Nikon\PictureProject\NkbMonitor.exeO8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dllO9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dllO9 - Extra button: Wyślij do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dllO9 - Extra 'Tools' menuitem: Wyślij &do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dllO9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLLO9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exeO9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exeO9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exeO23 - Service: Bonjour Service - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exeO23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exeO23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exeO23 - Service: Usługa iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exeO23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exeO23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exeO23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exeO23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exeO23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe--End of file - 8784 bytes
dawidafc komentarz 13 czerwca 2009 Autor komentarz 13 czerwca 2009 a co z tym plikiem smss.exe ? napisalem o tym na poczatku pierwszego posta. ponizej logi z combofix ComboFix 09-06-12.03 - Arsenal 2009-06-13 13:22.1 - NTFSx86Microsoft Windows XP Home Edition 5.1.2600.3.1250.48.1045.18.2046.1015 [GMT 2:00]Uruchomiony z: c:\documents and settings\Arsenal\Moje dokumenty\ComboFix.exeUWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !!.((((((((((((((((((((((((((((((((((((((( Usunięto ))))))))))))))))))))))))))))))))))))))))))))))))).c:\docume~1\Arsenal\USTAWI~1\Temp\np26.tmpc:\docume~1\Arsenal\USTAWI~1\Temp\np27.tmpc:\docume~1\Arsenal\USTAWI~1\Temp\np28.tmpc:\docume~1\Arsenal\USTAWI~1\Temp\np29.tmpc:\docume~1\Arsenal\USTAWI~1\Temp\np2A.tmpc:\docume~1\Arsenal\USTAWI~1\Temp\np2B.tmpc:\docume~1\Arsenal\USTAWI~1\Temp\np2C.tmpc:\docume~1\Arsenal\USTAWI~1\Temp\np2D.tmpc:\documents and settings\Arsenal\Ustawienia lokalne\Temp\np26.tmpc:\documents and settings\Arsenal\Ustawienia lokalne\Temp\np27.tmpc:\documents and settings\Arsenal\Ustawienia lokalne\Temp\np28.tmpc:\documents and settings\Arsenal\Ustawienia lokalne\Temp\np29.tmpc:\documents and settings\Arsenal\Ustawienia lokalne\Temp\np2A.tmpc:\documents and settings\Arsenal\Ustawienia lokalne\Temp\np2B.tmpc:\documents and settings\Arsenal\Ustawienia lokalne\Temp\np2C.tmpc:\documents and settings\Arsenal\Ustawienia lokalne\Temp\np2D.tmpc:\recycled\RecycledC:\autorun.infc:\documents and settings\Arsenal\Arsenal.exec:\documents and settings\Arsenal\Dane aplikacji\wiaserva.logc:\recycled\Recycled\ctfmon.exec:\windows\services.exec:\windows\system32\amvo0.dllc:\windows\system32\crypts.dllc:\windows\system32\digiwet.dllE:\Autorun.infF:\Autorun.inf.((((((((((((((((((((((((((((((((((((((( Sterowniki/Usługi ))))))))))))))))))))))))))))))))))))))))))))))))).-------\Legacy_WS2_32SIK((((((((((((((((((((((((( Pliki utworzone od 2009-05-13 do 2009-06-13 ))))))))))))))))))))))))))))))).2009-06-11 09:46 . 2009-06-11 09:53 -------- d-----w- C:\!KillBox.(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))).2009-06-13 11:30 . 2008-12-23 15:22 -------- d-----w- c:\documents and settings\Arsenal\Dane aplikacji\ipla2009-05-31 21:18 . 2007-12-21 13:11 -------- d-----w- c:\program files\NAPI-PROJEKT2009-05-31 21:17 . 2007-11-05 19:39 -------- d-----w- c:\documents and settings\Arsenal\Dane aplikacji\Hamachi2009-05-12 13:32 . 2008-12-23 15:22 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Dane aplikacji\ipla2009-05-07 15:34 . 2006-03-02 12:00 347648 ----a-w- c:\windows\system32\localspl.dll2009-05-04 19:41 . 2008-02-05 18:43 -------- d-----w- c:\documents and settings\Arsenal\Dane aplikacji\GanymedeNet2009-05-04 16:02 . 2009-05-04 16:02 390664 ----a-w- c:\documents and settings\Arsenal\Dane aplikacji\Real\RealPlayer\Update\RealPlayer11.exe2009-04-29 04:35 . 2006-03-02 12:00 81920 ----a-w- c:\windows\system32\ieencode.dll2009-04-29 04:35 . 2006-03-02 12:00 669184 ----a-w- c:\windows\system32\wininet.dll2009-04-28 18:31 . 2008-11-01 14:15 -------- d-----w- c:\program files\TVAnts2009-04-21 18:14 . 2008-08-30 01:55 -------- d-----w- c:\program files\Nowe Gadu-Gadu2009-04-19 19:51 . 2006-03-02 12:00 1847424 ----a-w- c:\windows\system32\win32k.sys2009-04-19 13:05 . 2008-02-13 14:44 -------- d-----w- c:\program files\Ganymede2009-04-16 04:41 . 2006-03-02 12:00 81584 ----a-w- c:\windows\system32\perfc015.dat2009-04-16 04:41 . 2006-03-02 12:00 463748 ----a-w- c:\windows\system32\perfh015.dat2009-04-15 14:54 . 2006-03-02 12:00 585216 ----a-w- c:\windows\system32\rpcrt4.dll2009-03-27 06:33 . 2007-10-27 12:48 33344 ----a-w- c:\documents and settings\Arsenal\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT.------- Sigcheck -------[-] 2008-04-14 17:21 977408 F042E3426D45D86D9BB55F6A79AB441A c:\windows\explorer.exe[-] 2007-06-13 13:12 1034752 8DB0650B211425B9CDB7D1C4A8F6B482 c:\windows\$hf_mig$\KB938828\SP2QFE\explorer.exe[-] 2007-06-13 13:23 976896 E74EF52C79F3347A0B105B0B92BFED38 c:\windows\$NtServicePackUninstall$\explorer.exe[7] 2006-03-02 12:00 1033728 379098A96E6C165B659DE7E4328010EA c:\windows\$NtUninstallKB938828$\explorer.exe[-] 2008-04-14 17:21 977408 F042E3426D45D86D9BB55F6A79AB441A c:\windows\ServicePackFiles\i386\explorer.exe.((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))..*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane REGEDIT4[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Common Files\Ahead\Lib\NMBgMonitor.exe" [2006-12-23 143360]"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-11-30 68856]"RocketDock"="c:\windows\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe" [2007-03-18 630784]"IPLA!"="c:\program files\ipla\ipla.exe" [2009-05-08 3953496]"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]"Nowe Gadu-Gadu"="c:\program files\Nowe Gadu-Gadu\gg.exe" [2009-04-10 9818728][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-05-10 8429568]"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-05-10 81920]"WinampAgent"="c:\program files\Winamp\winampa.exe" [2008-04-01 36352]"CanonSolutionMenu"="c:\program files\Canon\SolutionMenu\CNSLMAIN.exe" [2007-04-03 644696]"CanonMyPrinter"="c:\program files\Canon\MyPrinter\BJMyPrt.exe" [2007-04-03 1603152]"NeroFilterCheck"="c:\program files\Common Files\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]"SSBkgdUpdate"="c:\program files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-10-25 210472]"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 144784]"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-01-05 413696]"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-01-06 290088]"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2007-04-12 16132608]"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2007-05-10 1626112][HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]c:\documents and settings\Arsenal\Menu Start\Programy\Autostart\RocketDock.lnk - c:\windows\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe [2007-3-19 630784]TransBar.lnk - c:\windows\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe [2005-6-1 65536]Tworzenie wycink˘w ekranu i uruchamianie programu OneNote 2007.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2006-10-26 98632]UberIcon.lnk - c:\windows\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe [2006-5-21 180224]Y'z Shadow.lnk - c:\windows\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe [2006-5-21 155648]c:\documents and settings\All Users.WINDOWS\Menu Start\Programy\Autostart\Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]NkbMonitor.exe.lnk - c:\program files\Nikon\PictureProject\NkbMonitor.exe [2008-7-30 118784][HKEY_LOCAL_MACHINE\software\microsoft\security center]"FirewallOverride"=dword:00000001[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]"%windir%\\system32\\sessmgr.exe"="c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"="c:\\Program Files\\SopCast\\SopCast.exe"="c:\\Documents and Settings\\Arsenal\\Dane aplikacji\\SopCast\\adv\\SopAdver.exe"="c:\\Program Files\\Real\\RealPlayer\\realplay.exe"="c:\\Program Files\\SopCast\\adv\\SopAdver.exe"="f:\\cabal\\CABAL Online (Europe)\\launcher\\update\\ESTdnheadless.exe"="c:\\Program Files\\Nowe Gadu-Gadu\\gg.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe"="c:\\Program Files\\TVUPlayer\\TVUPlayer.exe"="c:\\Program Files\\TVAnts\\Tvants.exe"="f:\\Heroes III\\Heroes 3,5\\Heroes3.exe"="c:\\WINDOWS\\system32\\dplaysvr.exe"="e:\\cabal\\CABAL Online\\launcher\\update\\ESTdnheadless.exe"="f:\\fifa09full\\FIFA09.exe"="c:\\Program Files\\Bonjour\\mDNSResponder.exe"="c:\\Program Files\\iTunes\\iTunes.exe"="f:\\far cry\\Far Cry 2\\bin\\FarCry2.exe"="f:\\far cry\\Far Cry 2\\bin\\FC2Launcher.exe"="f:\\far cry\\Far Cry 2\\bin\\FC2Editor.exe"="c:\\WINDOWS\\system32\\PnkBstrA.exe"="c:\\WINDOWS\\system32\\PnkBstrB.exe"=R3 SG762_XP;SAGEM 802.11g XG762 1211B Driver;c:\windows\system32\drivers\WlanBZXP.sys [2008-10-20 450560]S3 axskbus;axskbus;c:\windows\system32\DRIVERS\axskbus.sys --> c:\windows\system32\DRIVERS\axskbus.sys [?]S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?]S3 ZDCndis5;ZDCndis5 Protocol Driver;\??\c:\windows\system32\ZDCndis5.SYS --> c:\windows\system32\ZDCndis5.SYS [?].- - - - USUNIĘTO PUSTE WPISY - - - -HKLM-Run-BearShare - c:\program files\BearShare\BearShare.exe.------- Skan uzupełniający -------.uSearch Page = hxxp://www.google.comuSearch Bar = hxxp://www.google.com/iemDefault_Search_URL = hxxp://www.google.com/iemStart Page = hxxp://www.yahoo.comuInternet Settings,ProxyOverride = *.localuSearchAssistant = hxxp://www.google.com/ieuSearchURL,(Default) = hxxp://www.google.com/search?q=%smSearchAssistant = hxxp://www.google.com/ieIE: E&ksportuj do programu Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000FF - ProfilePath - .**************************************************************************catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.netRootkit scan 2009-06-13 13:30Windows 5.1.2600 Dodatek Service Pack 3 NTFSskanowanie ukrytych procesów ... skanowanie ukrytych wpisów autostartu ... skanowanie ukrytych plików ... skanowanie pomyślnie ukończoneukryte pliki: 0**************************************************************************[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\npggsvc]"ImagePath"="c:\windows\system32\GameMon.des -service".--------------------- ZABLOKOWANE KLUCZE REJESTRU ---------------------[HKEY_USERS\S-1-5-21-1993962763-1220945662-839522115-1004\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]"??"=hex:e3,b7,e6,84,83,1a,da,19,42,56,90,2b,fc,dc,8e,f9,9b,f0,05,df,f5,9b,56, 91,35,d5,78,ea,f5,ca,1e,a3,41,c7,15,5a,3b,50,55,14,da,9f,23,0d,18,7e,33,4a,\"??"=hex:69,3e,43,58,9f,64,ba,75,fe,6b,77,07,2a,78,dd,74[HKEY_USERS\S-1-5-21-1993962763-1220945662-839522115-1004\Software\SecuROM\License information*]"datasecu"=hex:bb,91,cc,27,05,79,84,34,47,df,40,26,10,fa,bd,9d,92,e0,59,88,07, b1,c2,12,4f,ce,4f,51,b4,87,17,c1,ba,27,1a,f5,4f,b2,35,2b,20,fb,d2,5e,fb,b7,\"rkeysecu"=hex:29,23,be,84,e1,6c,d6,ae,52,90,49,f1,f1,bb,e9,eb.--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------- - - - - - - > 'explorer.exe'(1852)c:\windows\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.dllc:\windows\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.dllc:\windows\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon.dllc:\windows\system32\ntshrui.dllc:\windows\system32\NETSHELL.dllc:\windows\system32\credui.dllc:\program files\Adobe\Acrobat 7.0\ActiveX\PDFShell.dllc:\program files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll.------------------------ Pozostałe uruchomione procesy ------------------------.c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exec:\program files\Bonjour\mDNSResponder.exec:\windows\system32\nvsvc32.exec:\windows\system32\PnkBstrB.exec:\program files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exec:\windows\system32\wdfmgr.exec:\windows\system32\wscntfy.exec:\windows\system32\CF30033.exec:\windows\system32\rundll32.exec:\program files\Common Files\Ahead\Lib\NMIndexStoreSvr.exec:\program files\iPod\bin\iPodService.exec:\program files\Common Files\Ahead\Lib\NMIndexingService.exec:\program files\Mozilla Firefox\firefox.exe.**************************************************************************.Czas ukończenia: 2009-06-13 13:32 - komputer został uruchomiony ponownieComboFix-quarantined-files.txt 2009-06-13 11:32Przed: 10 706 423 808 bajtów wolnychPo: 12 046 438 400 bajtów wolnych207 --- E O F --- 2009-06-10 22:24
Gość komentarz 13 czerwca 2009 komentarz 13 czerwca 2009 Log jest czysty. smss.exe - masz wszystko w porządku. ((((((((((((((((((((((((((((((((((((((( Usunięto ))))))))))))))))))))))))))))))))))))))))))))))))).c:\docume~1\Arsenal\USTAWI~1\Temp\np26.tmpc:\docume~1\Arsenal\USTAWI~1\Temp\np27.tmpc:\docume~1\Arsenal\USTAWI~1\Temp\np28.tmpc:\docume~1\Arsenal\USTAWI~1\Temp\np29.tmpc:\docume~1\Arsenal\USTAWI~1\Temp\np2A.tmpc:\docume~1\Arsenal\USTAWI~1\Temp\np2B.tmpc:\docume~1\Arsenal\USTAWI~1\Temp\np2C.tmpc:\docume~1\Arsenal\USTAWI~1\Temp\np2D.tmpc:\documents and settings\Arsenal\Ustawienia lokalne\Temp\np26.tmpc:\documents and settings\Arsenal\Ustawienia lokalne\Temp\np27.tmpc:\documents and settings\Arsenal\Ustawienia lokalne\Temp\np28.tmpc:\documents and settings\Arsenal\Ustawienia lokalne\Temp\np29.tmpc:\documents and settings\Arsenal\Ustawienia lokalne\Temp\np2A.tmpc:\documents and settings\Arsenal\Ustawienia lokalne\Temp\np2B.tmpc:\documents and settings\Arsenal\Ustawienia lokalne\Temp\np2C.tmpc:\documents and settings\Arsenal\Ustawienia lokalne\Temp\np2D.tmpc:\recycled\RecycledC:\autorun.infc:\documents and settings\Arsenal\Arsenal.exec:\documents and settings\Arsenal\Dane aplikacji\wiaserva.logc:\recycled\Recycled\ctfmon.exec:\windows\services.exec:\windows\system32\amvo0.dllc:\windows\system32\crypts.dllc:\windows\system32\digiwet.dllE:\Autorun.infF:\Autorun.inf Niezły rój robaków + trojanów... [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Common Files\Ahead\Lib\NMBgMonitor.exe" [2006-12-23 143360]"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-11-30 68856]"RocketDock"="c:\windows\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe" [2007-03-18 630784]"IPLA!"="c:\program files\ipla\ipla.exe" [2009-05-08 3953496]"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]"Nowe Gadu-Gadu"="c:\program files\Nowe Gadu-Gadu\gg.exe" [2009-04-10 9818728][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-05-10 8429568]"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-05-10 81920]"WinampAgent"="c:\program files\Winamp\winampa.exe" [2008-04-01 36352]"CanonSolutionMenu"="c:\program files\Canon\SolutionMenu\CNSLMAIN.exe" [2007-04-03 644696]"CanonMyPrinter"="c:\program files\Canon\MyPrinter\BJMyPrt.exe" [2007-04-03 1603152]"NeroFilterCheck"="c:\program files\Common Files\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]"SSBkgdUpdate"="c:\program files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-10-25 210472]"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 144784]"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-01-05 413696]"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-01-06 290088]"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2007-04-12 16132608]"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2007-05-10 1626112] Wstydź się takiego Autostartu. ******************************************************************* 1. Do notatnika wklej: Windows Registry Editor Version 5.00[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"=-"swg"=-"RocketDock"=-"IPLA!"=-"Nowe Gadu-Gadu"=-[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"NvCplDaemon"=-"NvMediaCenter"=-"WinampAgent"=-"NeroFilterCheck"=-"SSBkgdUpdate"=-"SunJavaUpdateSched"-"QuickTime Task"=-"iTunesHelper"=-"RTHDCPL"=-"nwiz"=-[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\npggsvc] Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na: "Wszystkie pliki" >>> Zapisz jako FIX.REG>>> plik uruchom (dwuklik i OK- zgódź się na dodanie do Rejestru). Zrestartuj komputer. 2. Posprzątaj po ComboFixie i różnych narzędziach >>> OTCleanIt. 3. Użyj programu Malwarebytes. Wciskamy Skanuj, wybieramy dyski do skanowania i Rozpoczynamy skanowanie, na końcu wciskamy Usuń zaznaczone jak będą i Ok. Wrzuć wygenerowany raport po usuwaniu MBAMem. .
dawidafc komentarz 13 czerwca 2009 Autor komentarz 13 czerwca 2009 Czyli ten cały rój robaków i trojanów usunąl się? A ten plik smss.exe co jest w C/windows/ServicePackFiles/i386 można usunąć? Bo i tak mnie jakoś niepokoi :/ Czytałem, że jak smss.exe jest gdzie indziej niż w C/windows/system32 to to jest wirus. ;/ // Pisz ładniej i wyraźniej. // Błędy poprawiam. // drezz
Gość komentarz 13 czerwca 2009 komentarz 13 czerwca 2009 Boshe... Zostaw ten plik w spokoju... W Hijacku widzę, że SP3. Logfile of Trend Micro HijackThis v2.0.2Scan saved at 11:42:08, on 2009-06-13Platform: Windows XP Dodatek SP3 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)Boot mode: Normal ******************************************************************* Właśnie ten SP3 zrobił ten plik, jest on w porządku. Jeśli chcesz się upewnić i mi nie wierzysz i czujesz dalej niepokój... Sprawdź go na ---> VIRUSTOTAL. .
dawidafc komentarz 13 czerwca 2009 Autor komentarz 13 czerwca 2009 (edytowane) log z mbam, w kwarantannie jest 5 plikow i 3 klucze rejestru Malwarebytes' Anti-Malware 1.37Wersja bazy definicji: 2271Windows 5.1.2600 Dodatek Service Pack 32009-06-13 14:27:05mbam-log-2009-06-13 (14-27-05).txtTyp skanowania: Pełne skanowanie (C:\|E:\|F:\|)Przeskanowane obiekty: 209458Upłynęło: 24 minute(s), 52 second(s)Zainfekowane procesy w pamięci: 0Zainfekowane moduły pamięci: 0Zainfekowane klucze rejestru: 3Zainfekowane wartości rejestru: 0Zainfekowane pliki rejestru: 0Zainfekowane foldery: 0Zainfekowane pliki: 5Zainfekowane procesy w pamięci:(Nie wykryto groźnych plików)Zainfekowane moduły pamięci:(Nie wykryto groźnych plików)Zainfekowane klucze rejestru:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{37b85a21-692b-4205-9cad-2626e4993404} (Adware.MyWebSearch) -> Quarantined and deleted successfully.HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{37b85a29-692b-4205-9cad-2626e4993404} (Adware.MyWebSearch) -> Quarantined and deleted successfully.HKEY_LOCAL_MACHINE\SOFTWARE\MyGlobalSearch (Adware.BookedSpace) -> Quarantined and deleted successfully.Zainfekowane wartości rejestru:(Nie wykryto groźnych plików)Zainfekowane pliki rejestru:(Nie wykryto groźnych plików)Zainfekowane foldery:(Nie wykryto groźnych plików)Zainfekowane pliki:c:\documents and settings\Arsenal\moje dokumenty\SopCast\Setup-SopCast-3.0.3-2008-4-30.exe (Rogue.Installer) -> Quarantined and deleted successfully.c:\documents and settings\Arsenal\moje dokumenty\twwnvf6@neostrada.pl\alcohol 120% v1.9.6.5429-by_ser\Alcohol.exe (Trojan.Agent) -> Quarantined and deleted successfully.c:\system volume information\_restore{e5941abc-60b5-464b-b9d0-f744bf972a0c}\RP486\A0139570.dll (Trojan.Dropper) -> Quarantined and deleted successfully.c:\system volume information\_restore{e5941abc-60b5-464b-b9d0-f744bf972a0c}\RP535\A0154349.dll (Trojan.BHO) -> Quarantined and deleted successfully.c:\system volume information\_restore{e5941abc-60b5-464b-b9d0-f744bf972a0c}\RP535\A0154350.dll (Trojan.BHO) -> Quarantined and deleted successfully.
Gość komentarz 13 czerwca 2009 komentarz 13 czerwca 2009 W takim razie - powinno być już OK, komputer masz czysty. P.S - zainstaluj Avirę + Comodo Firewall'a. .
dawidafc komentarz 13 czerwca 2009 Autor komentarz 13 czerwca 2009 (edytowane) czyli to ( log z combofix) : c:\docume~1\Arsenal\USTAWI~1\Temp\np26.tmpc:\docume~1\Arsenal\USTAWI~1\Temp\np27.tmpc:\docume~1\Arsenal\USTAWI~1\Temp\np28.tmpc:\docume~1\Arsenal\USTAWI~1\Temp\np29.tmpc:\docume~1\Arsenal\USTAWI~1\Temp\np2A.tmpc:\docume~1\Arsenal\USTAWI~1\Temp\np2B.tmpc:\docume~1\Arsenal\USTAWI~1\Temp\np2C.tmpc:\docume~1\Arsenal\USTAWI~1\Temp\np2D.tmpc:\documents and settings\Arsenal\Ustawienia lokalne\Temp\np26.tmpc:\documents and settings\Arsenal\Ustawienia lokalne\Temp\np27.tmpc:\documents and settings\Arsenal\Ustawienia lokalne\Temp\np28.tmpc:\documents and settings\Arsenal\Ustawienia lokalne\Temp\np29.tmpc:\documents and settings\Arsenal\Ustawienia lokalne\Temp\np2A.tmpc:\documents and settings\Arsenal\Ustawienia lokalne\Temp\np2B.tmpc:\documents and settings\Arsenal\Ustawienia lokalne\Temp\np2C.tmpc:\documents and settings\Arsenal\Ustawienia lokalne\Temp\np2D.tmpc:\recycled\RecycledC:\autorun.infc:\documents and settings\Arsenal\Arsenal.exec:\documents and settings\Arsenal\Dane aplikacji\wiaserva.logc:\recycled\Recycled\ctfmon.exec:\windows\services.exec:\windows\system32\amvo0.dllc:\windows\system32\crypts.dllc:\windows\system32\digiwet.dllE:\Autorun.infF:\Autorun.inf i to co wykrylo mbam juz jest calkiem usuniete z kompa ?
Gość komentarz 13 czerwca 2009 komentarz 13 czerwca 2009 czyli to : c:\docume~1\Arsenal\USTAWI~1\Temp\np26.tmpc:\docume~1\Arsenal\USTAWI~1\Temp\np27.tmpc:\docume~1\Arsenal\USTAWI~1\Temp\np28.tmpc:\docume~1\Arsenal\USTAWI~1\Temp\np29.tmpc:\docume~1\Arsenal\USTAWI~1\Temp\np2A.tmpc:\docume~1\Arsenal\USTAWI~1\Temp\np2B.tmpc:\docume~1\Arsenal\USTAWI~1\Temp\np2C.tmpc:\docume~1\Arsenal\USTAWI~1\Temp\np2D.tmpc:\documents and settings\Arsenal\Ustawienia lokalne\Temp\np26.tmpc:\documents and settings\Arsenal\Ustawienia lokalne\Temp\np27.tmpc:\documents and settings\Arsenal\Ustawienia lokalne\Temp\np28.tmpc:\documents and settings\Arsenal\Ustawienia lokalne\Temp\np29.tmpc:\documents and settings\Arsenal\Ustawienia lokalne\Temp\np2A.tmpc:\documents and settings\Arsenal\Ustawienia lokalne\Temp\np2B.tmpc:\documents and settings\Arsenal\Ustawienia lokalne\Temp\np2C.tmpc:\documents and settings\Arsenal\Ustawienia lokalne\Temp\np2D.tmpc:\recycled\RecycledC:\autorun.infc:\documents and settings\Arsenal\Arsenal.exec:\documents and settings\Arsenal\Dane aplikacji\wiaserva.logc:\recycled\Recycled\ctfmon.exec:\windows\services.exec:\windows\system32\amvo0.dllc:\windows\system32\crypts.dllc:\windows\system32\digiwet.dllE:\Autorun.infF:\Autorun.inf i to co wykrylo mbam juz jest calkiem usuniete z kompa ? Dokładnie tak, już tego nie ma. .
dawidafc komentarz 13 czerwca 2009 Autor komentarz 13 czerwca 2009 A ta Avira i Firewall sa skuteczne ? I nie zamulają za bardzo kompa ?
Gość komentarz 13 czerwca 2009 komentarz 13 czerwca 2009 Są bardzo skuteczne. Czy zamulają komputer? Testowałem i nie zamulał mi jakoś... .
dawidafc komentarz 13 czerwca 2009 Autor komentarz 13 czerwca 2009 Firewalla juz sciagnalem, zaraz ściągne Avire, te dwa programy maja byc wlaczone jednoczesnie ?
Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!
Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.