sachmet utworzono 15 czerwca 2009 utworzono 15 czerwca 2009 Witam. Mam następujący problem. Korzystam z Avasta! Do niedawna wszystko było w porządku ale nagle Avast! odmówił posłuszeństwa. - przy starcie systemu nie włącza mi się Avast! w tray'u... w ogóle się gówniarz nie włącza -.-' w sumie - po wejściu w oprogramowanie przez Start widać, że ochrona rezydenta sama się wyłącza - podczas uruchamiania programu wyskakuje błąd, który mówi, że używanie tego oprogramowania kiedy system jest zakażony jest bardzo niebezpieczne i proponuje mi skanowanie przy rozruchu - za to przy rozruchu skasowałam już kilkadziesiąt plików Temp... czy coś w tym rodzaju, dziwię się, że w ogóle jeszcze tu jestem - notorycznie pojawiają się errory które mówią, że jakaś aplikacja nie działa (error pojawia się seriami oczywiście) przy okazji natychmiast wzrasta użycie pliku stronnicowego Bardzo proszę, powiedzcie mi co mam zrobić. Najlepiej jakimś prostym językiem, nie wiem co się dzieje, kompletnie nie znam się na komputerach.
sachmet komentarz 15 czerwca 2009 Autor komentarz 15 czerwca 2009 (edytowane) Przeskanuj combofixem i wrzuć log ComboFix 09-06-15.04 - Sachmet 2009-06-16 1:20.1 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.3.1250.48.1045.18.511.227 [GMT 2:00] Uruchomiony z: c:\documents and settings\Sonia\Moje dokumenty\Downloads\ComboFix.exe AV: avast! antivirus 4.8.1335 [VPS 090602-0] *On-access scanning enabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D} . ((((((((((((((((((((((((((((((((((((((( Usunięto ))))))))))))))))))))))))))))))))))))))))))))))))) . c:\documents and settings\Sonia\Dane aplikacji\.# c:\documents and settings\Sonia\Dane aplikacji\EurekaLog c:\documents and settings\LocalService\oashdihasidhasuidhiasdhiashdiuasdhasd c:\documents and settings\Sonia\Dane aplikacji\EurekaLog\EurekaLog.ini c:\documents and settings\Sonia\Dane aplikacji\wiaserva.log c:\documents and settings\Sonia\oashdihasidhasuidhiasdhiashdiuasdhasd c:\windows\system32\drivers\acpi32.sys c:\windows\system32\drivers\fips32cup.sys c:\windows\system32\drivers\netsik.sys c:\windows\system32\drivers\port135sik.sys c:\windows\system32\drivers\systemntmi.sys . ((((((((((((((((((((((((((((((((((((((( Sterowniki/Usługi ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_ACPI32 -------\Legacy_ATI64SI -------\Legacy_FIPS32CUP -------\Legacy_NETSIK -------\Legacy_PORT135SIK -------\Legacy_SYSTEMNTMI -------\Service_fips32cup -------\Service_glaide32 -------\Service_netsik ((((((((((((((((((((((((( Pliki utworzone od 2009-05-15 do 2009-06-15 ))))))))))))))))))))))))))))))) . 2009-06-15 12:08 . 2009-06-15 12:08 21090 ---h--w- c:\documents and settings\Sonia\Sonia.exe 2009-06-14 10:14 . 2009-06-14 10:15 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Electronic Arts 2009-06-14 10:13 . 2009-06-14 10:13 10134 ----a-r- c:\documents and settings\Sonia\Dane aplikacji\Microsoft\Installer\{E3E71D07-CD27-46CB-8448-16D4FB29AA13}\ARPPRODUCTICON.exe 2009-06-14 10:13 . 2009-06-14 10:13 -------- d-----w- c:\program files\Microsoft WSE 2009-06-13 22:47 . 2009-06-13 22:49 -------- d-----w- c:\documents and settings\Sonia\Dane aplikacji\Nowe Gadu-Gadu 2009-06-13 22:47 . 2009-06-13 22:48 -------- d-----w- c:\program files\Nowe Gadu-Gadu 2009-06-02 22:26 . 2009-06-03 14:19 32 --s-a-w- c:\windows\system32\3026856737.dat 2009-05-31 10:40 . 2009-05-31 11:22 -------- d-----w- C:\Z dysku D 2009-05-28 13:16 . 2009-03-19 14:32 23400 ----a-w- c:\windows\system32\drivers\GEARAspiWDM.sys 2009-05-28 13:16 . 2008-04-17 10:12 107368 ----a-w- c:\windows\system32\GEARAspi.dll 2009-05-28 13:15 . 2009-05-28 13:16 -------- d-----w- c:\program files\iTunes 2009-05-28 13:15 . 2009-05-28 13:16 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906} 2009-05-28 13:15 . 2009-05-28 13:15 -------- d-----w- c:\program files\Bonjour 2009-05-28 13:08 . 2009-05-28 13:08 75048 ----a-w- c:\documents and settings\All Users\Dane aplikacji\Apple Computer\Installer Cache\iTunes 8.1.1.10\SetupAdmin.exe 2009-05-28 09:23 . 2009-05-28 09:23 42088 ----a-w- c:\documents and settings\Sonia\Dane aplikacji\Nowe Gadu-Gadu\_userdata\ggbho.1.dll . (((((((((((((((((((((((((((((((((((((((( Sekcja Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-06-15 23:27 . 2009-01-21 22:29 -------- d-----w- c:\program files\AutoConnect 2009-06-15 22:49 . 2009-01-21 22:50 -------- d-----w- c:\program files\Mozilla Thunderbird 2009-06-14 10:13 . 2009-01-21 22:42 -------- d-----w- c:\program files\Electronic Arts 2009-06-14 10:07 . 2009-01-21 22:47 -------- d--h--w- c:\program files\InstallShield Installation Information 2009-06-13 20:38 . 2009-01-21 22:18 -------- d-----w- c:\documents and settings\Sonia\Dane aplikacji\uTorrent 2009-06-13 16:41 . 2009-05-08 20:23 -------- d-----w- c:\documents and settings\Sonia\Dane aplikacji\Sony 2009-06-13 16:28 . 2009-01-21 22:31 -------- d-----w- c:\program files\EA GAMES 2009-06-10 17:37 . 2009-01-21 22:16 -------- d-----w- c:\documents and settings\Sonia\Dane aplikacji\Skype 2009-06-10 16:57 . 2009-01-21 22:16 -------- d-----w- c:\documents and settings\Sonia\Dane aplikacji\skypePM 2009-05-28 13:15 . 2009-01-21 22:47 -------- d-----w- c:\program files\iPod 2009-05-28 13:15 . 2009-01-21 22:30 -------- d-----w- c:\program files\Common Files\Apple 2009-05-08 20:23 . 2009-05-08 20:23 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Sony 2009-05-07 15:34 . 2009-01-21 22:11 347648 ----a-w- c:\windows\system32\localspl.dll 2009-05-03 21:04 . 2009-01-21 22:49 -------- d-----w- c:\program files\Liquid Crystals Puzzle 2009-04-29 04:35 . 2009-01-21 22:12 669184 ----a-w- c:\windows\system32\wininet.dll 2009-04-29 04:35 . 2009-01-21 22:11 81920 ----a-w- c:\windows\system32\ieencode.dll 2009-04-23 15:03 . 2009-01-21 22:48 -------- d-----w- c:\program files\Java 2009-04-23 15:02 . 2009-04-23 15:02 152576 ----a-w- c:\documents and settings\Sonia\Dane aplikacji\Sun\Java\jre1.6.0_13\lzma.dll 2009-04-21 11:43 . 2009-01-21 22:50 -------- d-----w- c:\program files\Neostrada TP 2009-04-19 19:51 . 2009-01-21 22:12 1847424 ----a-w- c:\windows\system32\win32k.sys 2009-04-16 11:24 . 2009-01-21 22:11 82422 ----a-w- c:\windows\system32\perfc015.dat 2009-04-16 11:24 . 2009-01-21 22:11 467068 ----a-w- c:\windows\system32\perfh015.dat 2009-04-15 14:54 . 2009-01-21 22:11 585216 ----a-w- c:\windows\system32\rpcrt4.dll 2009-04-03 14:14 . 2009-04-03 14:14 56 ---ha-w- c:\windows\system32\ezsidmv.dat 2009-03-19 14:32 . 2009-03-19 14:32 23400 ----a-w- c:\documents and settings\All Users\Dane aplikacji\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906}\x86\x86\GEARAspiWDM.sys 2006-12-04 19:48 . 2009-01-21 22:11 88 --sha-r- c:\windows\system32\C412ED68A6.sys 2006-12-04 19:48 . 2009-01-21 22:11 3350 --sha-w- c:\windows\system32\KGyGaAvL.sys . ((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Google Update"="c:\documents and settings\Sonia\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe" [2008-12-15 133104] "DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" [2008-12-29 687560] "AutoConnect"="c:\program files\AutoConnect\AutoConnect.exe" [2006-12-02 310784] "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360] "EA Core"="c:\program files\Electronic Arts\EADM\Core.exe" [2009-04-29 3338240] "Sonia"="c:\documents and settings\Sonia\Sonia.exe" [2009-06-15 21090] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "UserFaultCheck"="c:\windows\system32\dumprep 0 -u" [X] "NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648] "WooCnxMon"="c:\progra~1\NEOSTR~1\CnxMon.exe" [2003-10-16 24576] "SpeedTouch USB Diagnostics"="c:\program files\Thomson\SpeedTouch USB\Dragdiag.exe" [2004-01-26 866816] "WOOWATCH"="c:\progra~1\NEOSTR~1\Watch.exe" [2003-10-16 20480] "WOOTASKBARICON"="c:\progra~1\NEOSTR~1\TaskbarIcon.exe" [2003-10-16 53248] "avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000] "AppleSyncNotifier"="c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-11-07 111936] "QuickTime Task"="c:\program files\K-Lite Codec Pack\QuickTime\QTTask.exe" [2009-01-05 413696] "HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2004-02-12 49152] "SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-03-09 148888] "iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-04-02 342312] "SoundMan"="SOUNDMAN.EXE" - c:\windows\soundman.exe [2006-03-01 577536] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] "Sonia"="c:\documents and settings\Sonia\Sonia.exe" [2009-06-15 21090] c:\documents and settings\All Users\Menu Start\Programy\Autostart\ Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2009-1-22 29696] HP Digital Imaging Monitor.lnk - c:\program files\HP\digital imaging\bin\hpqtra08.exe [2004-5-28 241664] PowerMenu.lnk - c:\program files\PowerMenu\PowerMenu.exe [2009-1-22 57344] [HKLM\~\startupfolder\C:^Documents and Settings^Sonia^Menu Start^Programy^Autostart^Adobe Gamma.lnk] path=c:\documents and settings\Sonia\Menu Start\Programy\Autostart\Adobe Gamma.lnk backup=c:\windows\pss\Adobe Gamma.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "gusvc"=3 (0x3) "Bonjour Service"=2 (0x2) [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 "UpdatesDisableNotify"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Program Files\\uTorrent\\utorrent.exe"= "c:\\WINDOWS\\system32\\dplaysvr.exe"= "c:\\Program Files\\Electronic Arts\\EADM\\Core.exe"= "c:\\Program Files\\Wapster\\WapSter AQQ\\AQQ.exe"= "c:\\Program Files\\Bonjour\\mDNSResponder.exe"= "c:\\Program Files\\iTunes\\iTunes.exe"= "c:\\Program Files\\Skype\\Phone\\Skype.exe"= "c:\\Program Files\\Nowe Gadu-Gadu\\gg.exe"= "c:\\WINDOWS\\system32\\Ati2evxx.exe"= R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2009-01-22 114768] R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2009-01-22 20560] R2 BT878;BtCap, WDM Video Capture;c:\windows\system32\drivers\BT878.SYS [2009-01-22 100092] R2 BTTUNER;BtTuner, WDM TV Tuner;c:\windows\system32\drivers\BTTUNER.SYS [2009-01-22 28127] R2 BTXBAR;BtXBar, WDM Crossbar;c:\windows\system32\drivers\BTXBAR.SYS [2009-01-22 8301] S1 SysTool;SysTool Overclocking Utility;c:\windows\system32\drivers\SysTool.sys [2009-01-22 24064] . Zawartość folderu 'Zaplanowane zadania' 2009-06-11 c:\windows\Tasks\AppleSoftwareUpdate.job - c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34] 2009-06-15 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1757981266-1078145449-682003330-1004.job - c:\documents and settings\Sonia\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe [2009-01-21 20:58] . - - - - USUNIĘTO PUSTE WPISY - - - - HKCU-Run-RocketDock - c:\windows\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe HKLM-Run-HP Component Manager - c:\program files\HP\hpcoretech\hpcmpmgr.exe HKLM-Run-DrvIcon - c:\program files\Vista Drive Icon\DrvIcon.exe HKU-Default-Run-Picasa Media Detector - c:\program files\Picasa2\PicasaMediaDetector.exe . ------- Skan uzupełniający ------- . uStart Page = hxxp://start.icq.com/ uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8 uDefault_Search_URL = hxxp://www.google.com/ie uInternet Connection Wizard,ShellNext = iexplore uSearchURL,(Default) = hxxp://us.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://www.yahoo.com IE: E&ksport do programu Microsoft Excel - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 IE: { - c:\program files\Messenger\msmsgs.exe TCP: {52D567D2-E54B-45F4-BB5D-CD3D0F368349} = 194.204.152.34,194.204.159.1 TCP: {EFE13F38-F309-4B65-AA03-B77835AA6858} = 194.204.159.1 217.98.63.164 . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-06-16 01:26 Windows 5.1.2600 Dodatek Service Pack 3 NTFS skanowanie ukrytych procesów ... skanowanie ukrytych wpisów autostartu ... skanowanie ukrytych plików ... c:\windows\TEMP\_avast4_\unp143938695.tmp 1848832 bytes executable c:\windows\TEMP\_avast4_\unp146631529.tmp 1848832 bytes executable c:\windows\TEMP\_avast4_\unp173824995.tmp 1295360 bytes executable c:\windows\TEMP\_av_proI.tm~a03072\setup.lok 0 bytes skanowanie pomyślnie ukończone ukryte pliki: 4 ************************************************************************** . --------------------- Pliki DLL ładowane pod uruchomionymi procesami --------------------- - - - - - - - > 'winlogon.exe'(540) c:\windows\system32\Ati2evxx.dll - - - - - - - > 'explorer.exe'(1608) c:\program files\PowerMenu\PowerMenuHook.dll c:\windows\system32\WPDShServiceObj.dll c:\windows\system32\PortableDeviceTypes.dll c:\windows\system32\PortableDeviceApi.dll . ------------------------ Pozostałe uruchomione procesy ------------------------ . c:\windows\system32\ati2evxx.exe c:\program files\Alwil Software\Avast4\aswUpdSv.exe c:\program files\Alwil Software\Avast4\ashServ.exe c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe c:\program files\Bonjour\mDNSResponder.exe c:\program files\Java\jre6\bin\jqs.exe c:\program files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE c:\program files\Alcohol Soft\Alcohol 52\StarWind\StarWindService.exe c:\windows\system32\wdfmgr.exe c:\windows\system32\ati2evxx.exe c:\program files\Alwil Software\Avast4\ashMaiSv.exe c:\program files\Alwil Software\Avast4\ashWebSv.exe c:\program files\iPod\bin\iPodService.exe . ************************************************************************** . Czas ukończenia: 2009-06-15 1:32 - komputer został uruchomiony ponownie ComboFix-quarantined-files.txt 2009-06-15 23:32 Przed: 16 011 128 832 bajtów wolnych Po: 16 705 875 968 bajtów wolnych WindowsXP-KB310994-SP2-Home-BootDisk-PLK.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptOut Current=5 Default=5 Failed=0 LastKnownGood=8 Sets=1,2,3,4,5,6,7,8 217 --- E O F --- 2009-06-14 10:01 Jak dla mnie to równie dobrze mogłoby to być po chińsku. Po przejściu przez cały ten proces usuwania itd. pojawił się Avast!, który teraz nieustannie informuje o wirusach (między innymi: C:\WINDOWS\TEMP\BN13.tmp) jenak dalej pojawia się błąd tej aplikacji, która w sumie wygląda też jak wirus. //Kolory zarezerwowane są tylko dla ekipy moderującej //Taguję loga //Michał Paluch
qnick komentarz 16 czerwca 2009 komentarz 16 czerwca 2009 (edytowane) Zaczekaj do jutra na Kamila. Log jest zasyfiony, ale ja nie za bardzo umiem jeszcze pisać skrypty i mogę bardziej zaszkodzić niż pomóc //Jak nie masz nic do powiedzenia, co wniosłoby do tematu, to nie pisz zbędnych postów. //Następnym razem będzie warn 20% //Michał Paluch
sachmet komentarz 16 czerwca 2009 Autor komentarz 16 czerwca 2009 Będę czekać z niecierpliwością... nic innego mi nie pozostało.
Mateusz J. komentarz 16 czerwca 2009 komentarz 16 czerwca 2009 2009-06-15 12:08 . 2009-06-15 12:08 21090 ---h--w- c:\documents and settings\Sonia\Sonia.exe To Twój plik? Tworzyłaś jakiś program? Jeśli nie znasz tego pliku przeskanuj go na www.virustotal.com Prócz tego pliku nie widzę niczego groźnego, usuń folder c:\QooBox. Następnie wykonaj: http://www.forumpc.pl/index.php?showtopic=107753 (raport na forum).
sachmet komentarz 16 czerwca 2009 Autor komentarz 16 czerwca 2009 (edytowane) 2009-06-15 12:08 . 2009-06-15 12:08 21090 ---h--w- c:\documents and settings\Sonia\Sonia.exe To Twój plik? Tworzyłaś jakiś program? Jeśli nie znasz tego pliku przeskanuj go na www.virustotal.com Prócz tego pliku nie widzę niczego groźnego, usuń folder c:\QooBox. Następnie wykonaj: http://www.forumpc.pl/index.php?showtopic=107753 (raport na forum). Właśnie! Niczego takiego nigdy nie miałam i to z tej aplikacji pojawiał mi się błąd który zawala cały komputer, bo wzrasta użycie pliku stron. Pojawiają się tez alerty, że jakaś "pamięć nie może być written" ale już nie w takich ilościach. Przy Errorze Sonia.exe dochodziło do otwarcia 500 procesów. Chętnie jeszcze coś pousuwam jeśli się da... <_< Robię skan zgodnie z instrukcjami.
Mateusz J. komentarz 16 czerwca 2009 komentarz 16 czerwca 2009 Do notatnika wklej: File::c:\documents and settings\Sonia\Sonia.exeRegistry::[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"Sonia"=-[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]"Sonia"=- W notatniku zakladka Plik ==> Zapisz jako ==> zapisz pod nazwą CFScript.txt i zapisz go w tym katalogu co ściągnięty i zapisany został combofix Na ikonę ComboFix przeciągasz zrobiony plik CFScript.txt Tak jak na obrazku: Rozpocznie się usuwanie i powstanie log , który pokazujesz na forum. Wykonaj: http://www.forumpc.pl/index.php?showtopic=107753 (raport na forum, konieczne)
sachmet komentarz 16 czerwca 2009 Autor komentarz 16 czerwca 2009 ComboFix 09-06-16.01 - Sachmet 2009-06-16 22:38.2 - NTFSx86Microsoft Windows XP Home Edition 5.1.2600.3.1250.48.1045.18.511.158 [GMT 2:00]Uruchomiony z: c:\documents and settings\Sonia\Moje dokumenty\Downloads\ComboFix.exeUżyto następujących komend :: c:\documents and settings\Sonia\Moje dokumenty\Downloads\CFScript.txtAV: avast! antivirus 4.8.1335 [VPS 090616-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}FILE ::"c:\documents and settings\Sonia\Sonia.exe""c:\windows\system32\3026856737.dat".((((((((((((((((((((((((((((((((((((((( Usunięto ))))))))))))))))))))))))))))))))))))))))))))))))).c:\documents and settings\Sonia\oashdihasidhasuidhiasdhiashdiuasdhasdc:\documents and settings\Sonia\Sonia.exec:\windows\system32\3026856737.dat.((((((((((((((((((((((((((((((((((((((( Sterowniki/Usługi ))))))))))))))))))))))))))))))))))))))))))))))))).-------\Legacy_ACPI32-------\Legacy_ATI64SI-------\Legacy_FIPS32CUP-------\Legacy_NETSIK-------\Legacy_PORT135SIK-------\Legacy_SYSTEMNTMI((((((((((((((((((((((((( Pliki utworzone od 2009-05-16 do 2009-06-16 ))))))))))))))))))))))))))))))).2009-06-14 10:14 . 2009-06-14 10:15 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Electronic Arts2009-06-14 10:13 . 2009-06-14 10:13 10134 ----a-r- c:\documents and settings\Sonia\Dane aplikacji\Microsoft\Installer\{E3E71D07-CD27-46CB-8448-16D4FB29AA13}\ARPPRODUCTICON.exe2009-06-14 10:13 . 2009-06-14 10:13 -------- d-----w- c:\program files\Microsoft WSE2009-06-13 22:47 . 2009-06-13 22:49 -------- d-----w- c:\documents and settings\Sonia\Dane aplikacji\Nowe Gadu-Gadu2009-06-13 22:47 . 2009-06-13 22:48 -------- d-----w- c:\program files\Nowe Gadu-Gadu2009-05-31 10:40 . 2009-05-31 11:22 -------- d-----w- C:\Z dysku D2009-05-28 13:16 . 2009-03-19 14:32 23400 ----a-w- c:\windows\system32\drivers\GEARAspiWDM.sys2009-05-28 13:16 . 2008-04-17 10:12 107368 ----a-w- c:\windows\system32\GEARAspi.dll2009-05-28 13:15 . 2009-05-28 13:16 -------- d-----w- c:\program files\iTunes2009-05-28 13:15 . 2009-05-28 13:16 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906}2009-05-28 13:15 . 2009-05-28 13:15 -------- d-----w- c:\program files\Bonjour2009-05-28 13:08 . 2009-05-28 13:08 75048 ----a-w- c:\documents and settings\All Users\Dane aplikacji\Apple Computer\Installer Cache\iTunes 8.1.1.10\SetupAdmin.exe2009-05-28 09:23 . 2009-05-28 09:23 42088 ----a-w- c:\documents and settings\Sonia\Dane aplikacji\Nowe Gadu-Gadu\_userdata\ggbho.1.dll.(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))).2009-06-16 20:46 . 2009-01-21 22:29 -------- d-----w- c:\program files\AutoConnect2009-06-16 20:09 . 2009-01-21 22:50 -------- d-----w- c:\program files\Mozilla Thunderbird2009-06-14 10:13 . 2009-01-21 22:42 -------- d-----w- c:\program files\Electronic Arts2009-06-14 10:07 . 2009-01-21 22:47 -------- d--h--w- c:\program files\InstallShield Installation Information2009-06-13 20:38 . 2009-01-21 22:18 -------- d-----w- c:\documents and settings\Sonia\Dane aplikacji\uTorrent2009-06-13 16:41 . 2009-05-08 20:23 -------- d-----w- c:\documents and settings\Sonia\Dane aplikacji\Sony2009-06-13 16:28 . 2009-01-21 22:31 -------- d-----w- c:\program files\EA GAMES2009-06-10 17:37 . 2009-01-21 22:16 -------- d-----w- c:\documents and settings\Sonia\Dane aplikacji\Skype2009-06-10 16:57 . 2009-01-21 22:16 -------- d-----w- c:\documents and settings\Sonia\Dane aplikacji\skypePM2009-05-28 13:15 . 2009-01-21 22:47 -------- d-----w- c:\program files\iPod2009-05-28 13:15 . 2009-01-21 22:30 -------- d-----w- c:\program files\Common Files\Apple2009-05-08 20:23 . 2009-05-08 20:23 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Sony2009-05-07 15:34 . 2009-01-21 22:11 347648 ----a-w- c:\windows\system32\localspl.dll2009-05-03 21:04 . 2009-01-21 22:49 -------- d-----w- c:\program files\Liquid Crystals Puzzle2009-04-29 04:35 . 2009-01-21 22:12 669184 ----a-w- c:\windows\system32\wininet.dll2009-04-29 04:35 . 2009-01-21 22:11 81920 ----a-w- c:\windows\system32\ieencode.dll2009-04-23 15:03 . 2009-01-21 22:48 -------- d-----w- c:\program files\Java2009-04-23 15:02 . 2009-04-23 15:02 152576 ----a-w- c:\documents and settings\Sonia\Dane aplikacji\Sun\Java\jre1.6.0_13\lzma.dll2009-04-21 11:43 . 2009-01-21 22:50 -------- d-----w- c:\program files\Neostrada TP2009-04-19 19:51 . 2009-01-21 22:12 1847424 ----a-w- c:\windows\system32\win32k.sys2009-04-16 11:24 . 2009-01-21 22:11 82422 ----a-w- c:\windows\system32\perfc015.dat2009-04-16 11:24 . 2009-01-21 22:11 467068 ----a-w- c:\windows\system32\perfh015.dat2009-04-15 14:54 . 2009-01-21 22:11 585216 ----a-w- c:\windows\system32\rpcrt4.dll2009-04-03 14:14 . 2009-04-03 14:14 56 ---ha-w- c:\windows\system32\ezsidmv.dat2009-03-19 14:32 . 2009-03-19 14:32 23400 ----a-w- c:\documents and settings\All Users\Dane aplikacji\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906}\x86\x86\GEARAspiWDM.sys2006-12-04 19:48 . 2009-01-21 22:11 88 --sha-r- c:\windows\system32\C412ED68A6.sys2006-12-04 19:48 . 2009-01-21 22:11 3350 --sha-w- c:\windows\system32\KGyGaAvL.sys.((((((((((((((((((((((((((((( SnapShot@2009-06-15_23.26.36 ))))))))))))))))))))))))))))))))))))))))).+ 2009-06-16 20:44 . 2009-06-16 20:44 16384 c:\windows\Temp\Perflib_Perfdata_608.dat+ 2009-06-16 20:43 . 2009-06-16 20:43 16384 c:\windows\Temp\Perflib_Perfdata_490.dat+ 2009-06-16 20:37 . 2009-06-16 20:36 396288 c:\windows\system32\CF2400.exe.((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))..*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane REGEDIT4[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"Google Update"="c:\documents and settings\Sonia\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe" [2008-12-15 133104]"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" [2008-12-29 687560]"AutoConnect"="c:\program files\AutoConnect\AutoConnect.exe" [2006-12-02 310784]"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]"EA Core"="c:\program files\Electronic Arts\EADM\Core.exe" [2009-04-29 3338240][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"UserFaultCheck"="c:\windows\system32\dumprep 0 -u" [X]"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]"WooCnxMon"="c:\progra~1\NEOSTR~1\CnxMon.exe" [2003-10-16 24576]"SpeedTouch USB Diagnostics"="c:\program files\Thomson\SpeedTouch USB\Dragdiag.exe" [2004-01-26 866816]"WOOWATCH"="c:\progra~1\NEOSTR~1\Watch.exe" [2003-10-16 20480]"WOOTASKBARICON"="c:\progra~1\NEOSTR~1\TaskbarIcon.exe" [2003-10-16 53248]"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000]"AppleSyncNotifier"="c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-11-07 111936]"QuickTime Task"="c:\program files\K-Lite Codec Pack\QuickTime\QTTask.exe" [2009-01-05 413696]"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2004-02-12 49152]"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-03-09 148888]"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-04-02 342312]"SoundMan"="SOUNDMAN.EXE" - c:\windows\soundman.exe [2006-03-01 577536][HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]c:\documents and settings\All Users\Menu Start\Programy\Autostart\Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2009-1-22 29696]HP Digital Imaging Monitor.lnk - c:\program files\HP\digital imaging\bin\hpqtra08.exe [2004-5-28 241664]PowerMenu.lnk - c:\program files\PowerMenu\PowerMenu.exe [2009-1-22 57344][HKLM\~\startupfolder\C:^Documents and Settings^Sonia^Menu Start^Programy^Autostart^Adobe Gamma.lnk]path=c:\documents and settings\Sonia\Menu Start\Programy\Autostart\Adobe Gamma.lnkbackup=c:\windows\pss\Adobe Gamma.lnkStartup[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]"gusvc"=3 (0x3)"Bonjour Service"=2 (0x2)[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]"%windir%\\system32\\sessmgr.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe"="c:\\Program Files\\uTorrent\\utorrent.exe"="c:\\WINDOWS\\system32\\dplaysvr.exe"="c:\\Program Files\\Electronic Arts\\EADM\\Core.exe"="c:\\Program Files\\Wapster\\WapSter AQQ\\AQQ.exe"="c:\\Program Files\\Bonjour\\mDNSResponder.exe"="c:\\Program Files\\iTunes\\iTunes.exe"="c:\\Program Files\\Skype\\Phone\\Skype.exe"="c:\\Program Files\\Nowe Gadu-Gadu\\gg.exe"="c:\\WINDOWS\\system32\\Ati2evxx.exe"=R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2009-01-22 114768]R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2009-01-22 20560]R2 BT878;BtCap, WDM Video Capture;c:\windows\system32\drivers\BT878.SYS [2009-01-22 100092]R2 BTTUNER;BtTuner, WDM TV Tuner;c:\windows\system32\drivers\BTTUNER.SYS [2009-01-22 28127]R2 BTXBAR;BtXBar, WDM Crossbar;c:\windows\system32\drivers\BTXBAR.SYS [2009-01-22 8301]S1 SysTool;SysTool Overclocking Utility;c:\windows\system32\drivers\SysTool.sys [2009-01-22 24064].Zawartość folderu 'Zaplanowane zadania'2009-06-11 c:\windows\Tasks\AppleSoftwareUpdate.job- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]2009-06-15 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1757981266-1078145449-682003330-1004.job- c:\documents and settings\Sonia\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe [2009-01-21 20:58].- - - - USUNIĘTO PUSTE WPISY - - - -HKCU-Run-Sonia - c:\documents and settings\Sonia\Sonia.exeHKU-Default-Run-Sonia - c:\documents and settings\Sonia\Sonia.exe.------- Skan uzupełniający -------.uStart Page = hxxp://start.icq.com/uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8uDefault_Search_URL = hxxp://www.google.com/ieuInternet Connection Wizard,ShellNext = iexploreuSearchURL,(Default) = hxxp://us.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://www.yahoo.comIE: E&ksport do programu Microsoft Excel - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000IE: { - c:\program files\Messenger\msmsgs.exeTCP: {52D567D2-E54B-45F4-BB5D-CD3D0F368349} = 194.204.152.34,194.204.159.1TCP: {EFE13F38-F309-4B65-AA03-B77835AA6858} = 194.204.159.1 217.98.63.164.**************************************************************************catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.netRootkit scan 2009-06-16 22:46Windows 5.1.2600 Dodatek Service Pack 3 NTFSskanowanie ukrytych procesów ... skanowanie ukrytych wpisów autostartu ... skanowanie ukrytych plików ... skanowanie pomyślnie ukończoneukryte pliki: 0**************************************************************************.--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------- - - - - - - > 'winlogon.exe'(540)c:\windows\system32\Ati2evxx.dll- - - - - - - > 'explorer.exe'(1836)c:\program files\PowerMenu\PowerMenuHook.dllc:\windows\system32\WPDShServiceObj.dllc:\windows\system32\PortableDeviceTypes.dllc:\windows\system32\PortableDeviceApi.dllc:\program files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dllc:\program files\Multi_Media\tbMul1.dllc:\program files\Microsoft Office\OFFICE11\msohev.dllc:\program files\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll.------------------------ Pozostałe uruchomione procesy ------------------------.c:\windows\system32\ati2evxx.exec:\program files\Alwil Software\Avast4\aswUpdSv.exec:\program files\Alwil Software\Avast4\ashServ.exec:\program files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exec:\program files\Bonjour\mDNSResponder.exec:\program files\Java\jre6\bin\jqs.exec:\program files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXEc:\program files\Alcohol Soft\Alcohol 52\StarWind\StarWindService.exec:\windows\system32\wdfmgr.exec:\program files\Alwil Software\Avast4\ashMaiSv.exec:\program files\Alwil Software\Avast4\ashWebSv.exec:\windows\system32\ati2evxx.exec:\windows\system32\CF2400.exec:\program files\iPod\bin\iPodService.exe.**************************************************************************.Czas ukończenia: 2009-06-16 22:49 - komputer został uruchomiony ponownieComboFix-quarantined-files.txt 2009-06-16 20:49ComboFix2.txt 2009-06-15 23:33Przed: 16 653 070 336 bajtów wolnychPo: 16 660 148 224 bajtów wolnychCurrent=5 Default=5 Failed=0 LastKnownGood=8 Sets=1,2,3,4,5,6,7,8202 --- E O F --- 2009-06-14 10:01 Tak by to wyglądało na obecną chwilę.
Mateusz J. komentarz 16 czerwca 2009 komentarz 16 czerwca 2009 Wykonaj: http://www.forumpc.pl/index.php?showtopic=107753 (raport na forum, konieczne)
sachmet komentarz 16 czerwca 2009 Autor komentarz 16 czerwca 2009 (edytowane) Jestem w trakcie, to chyba nieco potrwa... Malwarebytes' Anti-Malware 1.37Wersja bazy definicji: 2290Windows 5.1.2600 Dodatek Service Pack 32009-06-17 07:25:28mbam-log-2009-06-17 (07-25-28).txtTyp skanowania: Pełne skanowanie (C:\|D:\|)Przeskanowane obiekty: 184026Upłynęło: 1 hour(s), 12 minute(s), 32 second(s)Zainfekowane procesy w pamięci: 0Zainfekowane moduły pamięci: 0Zainfekowane klucze rejestru: 2Zainfekowane wartości rejestru: 0Zainfekowane pliki rejestru: 0Zainfekowane foldery: 0Zainfekowane pliki: 10Zainfekowane procesy w pamięci:(Nie wykryto groźnych plików)Zainfekowane moduły pamięci:(Nie wykryto groźnych plików)Zainfekowane klucze rejestru:HKEY_CLASSES_ROOT\popcaploader.popcaploaderctrl2 (Adware.PopCap) -> Quarantined and deleted successfully.HKEY_CLASSES_ROOT\popcaploader.popcaploaderctrl2.1 (Adware.PopCap) -> Quarantined and deleted successfully.Zainfekowane wartości rejestru:(Nie wykryto groźnych plików)Zainfekowane pliki rejestru:(Nie wykryto groźnych plików)Zainfekowane foldery:(Nie wykryto groźnych plików)Zainfekowane pliki:c:\recycler\s-1-5-21-1757981266-1078145449-682003330-1004\dc1\quarantine\c\windows\system32\drivers\acpi32.sys.vir (Rootkit.Agent) -> Quarantined and deleted successfully.c:\recycler\s-1-5-21-1757981266-1078145449-682003330-1004\dc1\quarantine\c\windows\system32\drivers\fips32cup.sys.vir (Rootkit.Agent) -> Quarantined and deleted successfully.c:\recycler\s-1-5-21-1757981266-1078145449-682003330-1004\dc1\quarantine\c\windows\system32\drivers\netsik.sys.vir (Rootkit.Agent) -> Quarantined and deleted successfully.c:\recycler\s-1-5-21-1757981266-1078145449-682003330-1004\dc1\quarantine\c\windows\system32\drivers\port135sik.sys.vir (Rootkit.Agent) -> Quarantined and deleted successfully.c:\recycler\s-1-5-21-1757981266-1078145449-682003330-1004\dc1\quarantine\c\windows\system32\drivers\systemntmi.sys.vir (Rootkit.Agent) -> Quarantined and deleted successfully.c:\system volume information\_restore{2ac5b208-bbb4-48b9-b593-1f7de771e3f1}\rp110\A0049823.sys (Rootkit.Agent) -> Quarantined and deleted successfully.c:\system volume information\_restore{2ac5b208-bbb4-48b9-b593-1f7de771e3f1}\rp110\A0049965.sys (Rootkit.Agent) -> Quarantined and deleted successfully.c:\system volume information\_restore{2ac5b208-bbb4-48b9-b593-1f7de771e3f1}\rp110\A0050046.sys (Rootkit.Agent) -> Quarantined and deleted successfully.c:\system volume information\_restore{2ac5b208-bbb4-48b9-b593-1f7de771e3f1}\rp110\A0050047.sys (Rootkit.Agent) -> Quarantined and deleted successfully.c:\system volume information\_restore{2ac5b208-bbb4-48b9-b593-1f7de771e3f1}\rp110\A0050048.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
Gość komentarz 17 czerwca 2009 komentarz 17 czerwca 2009 Posprzątaj po ComboFixie i różnych narzędziach >>> OTCleanIt. I to na tyle. Dodatkowo opróżnij kosz. .
Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!
Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.