x-kom hosting

AVAST! - ochrona rezydenta/zawirusowany system

sachmet
utworzono
utworzono

Witam.

Mam następujący problem. Korzystam z Avasta! Do niedawna wszystko było w porządku ale nagle Avast! odmówił posłuszeństwa.

- przy starcie systemu nie włącza mi się Avast! w tray'u... w ogóle się gówniarz nie włącza -.-' w sumie

- po wejściu w oprogramowanie przez Start widać, że ochrona rezydenta sama się wyłącza

- podczas uruchamiania programu wyskakuje błąd, który mówi, że używanie tego oprogramowania kiedy system jest zakażony jest bardzo niebezpieczne i proponuje mi skanowanie przy rozruchu

- za to przy rozruchu skasowałam już kilkadziesiąt plików Temp... czy coś w tym rodzaju, dziwię się, że w ogóle jeszcze tu jestem

- notorycznie pojawiają się errory które mówią, że jakaś aplikacja nie działa (error pojawia się seriami oczywiście) przy okazji natychmiast wzrasta użycie pliku stronnicowego

Bardzo proszę, powiedzcie mi co mam zrobić. Najlepiej jakimś prostym językiem, nie wiem co się dzieje, kompletnie nie znam się na komputerach.

qnick
komentarz
komentarz

Przeskanuj combofixem i wrzuć log

sachmet
komentarz
komentarz (edytowane)
Przeskanuj combofixem i wrzuć log
  ComboFix 09-06-15.04 - Sachmet 2009-06-16  1:20.1 - NTFSx86  Microsoft Windows XP Home Edition  5.1.2600.3.1250.48.1045.18.511.227 [GMT 2:00]  Uruchomiony z: c:\documents and settings\Sonia\Moje dokumenty\Downloads\ComboFix.exe  AV: avast! antivirus 4.8.1335 [VPS 090602-0] *On-access scanning enabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}  .  (((((((((((((((((((((((((((((((((((((((   Usunięto   )))))))))))))))))))))))))))))))))))))))))))))))))  .  c:\documents and settings\Sonia\Dane aplikacji\.#  c:\documents and settings\Sonia\Dane aplikacji\EurekaLog  c:\documents and settings\LocalService\oashdihasidhasuidhiasdhiashdiuasdhasd  c:\documents and settings\Sonia\Dane aplikacji\EurekaLog\EurekaLog.ini  c:\documents and settings\Sonia\Dane aplikacji\wiaserva.log  c:\documents and settings\Sonia\oashdihasidhasuidhiasdhiashdiuasdhasd  c:\windows\system32\drivers\acpi32.sys  c:\windows\system32\drivers\fips32cup.sys  c:\windows\system32\drivers\netsik.sys  c:\windows\system32\drivers\port135sik.sys  c:\windows\system32\drivers\systemntmi.sys  .  (((((((((((((((((((((((((((((((((((((((   Sterowniki/Usługi   )))))))))))))))))))))))))))))))))))))))))))))))))  .  -------\Legacy_ACPI32  -------\Legacy_ATI64SI  -------\Legacy_FIPS32CUP  -------\Legacy_NETSIK  -------\Legacy_PORT135SIK  -------\Legacy_SYSTEMNTMI  -------\Service_fips32cup  -------\Service_glaide32  -------\Service_netsik  (((((((((((((((((((((((((   Pliki utworzone od 2009-05-15 do 2009-06-15  )))))))))))))))))))))))))))))))  .  2009-06-15 12:08 . 2009-06-15 12:08	21090	---h--w-	c:\documents and settings\Sonia\Sonia.exe  2009-06-14 10:14 . 2009-06-14 10:15	--------	d-----w-	c:\documents and settings\All Users\Dane aplikacji\Electronic Arts  2009-06-14 10:13 . 2009-06-14 10:13 10134 ----a-r- c:\documents and settings\Sonia\Dane aplikacji\Microsoft\Installer\{E3E71D07-CD27-46CB-8448-16D4FB29AA13}\ARPPRODUCTICON.exe  2009-06-14 10:13 . 2009-06-14 10:13	--------	d-----w-	c:\program files\Microsoft WSE  2009-06-13 22:47 . 2009-06-13 22:49	--------	d-----w-	c:\documents and settings\Sonia\Dane aplikacji\Nowe Gadu-Gadu  2009-06-13 22:47 . 2009-06-13 22:48	--------	d-----w-	c:\program files\Nowe Gadu-Gadu  2009-06-02 22:26 . 2009-06-03 14:19	32	--s-a-w-	c:\windows\system32\3026856737.dat  2009-05-31 10:40 . 2009-05-31 11:22	--------	d-----w-	C:\Z dysku D  2009-05-28 13:16 . 2009-03-19 14:32	23400	----a-w-	c:\windows\system32\drivers\GEARAspiWDM.sys  2009-05-28 13:16 . 2008-04-17 10:12	107368	----a-w-	c:\windows\system32\GEARAspi.dll  2009-05-28 13:15 . 2009-05-28 13:16	--------	d-----w-	c:\program files\iTunes  2009-05-28 13:15 . 2009-05-28 13:16 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906}  2009-05-28 13:15 . 2009-05-28 13:15	--------	d-----w-	c:\program files\Bonjour  2009-05-28 13:08 . 2009-05-28 13:08 75048 ----a-w- c:\documents and settings\All Users\Dane aplikacji\Apple Computer\Installer Cache\iTunes 8.1.1.10\SetupAdmin.exe  2009-05-28 09:23 . 2009-05-28 09:23 42088 ----a-w- c:\documents and settings\Sonia\Dane aplikacji\Nowe Gadu-Gadu\_userdata\ggbho.1.dll  .  ((((((((((((((((((((((((((((((((((((((((   Sekcja Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))))))  .  2009-06-15 23:27 . 2009-01-21 22:29	--------	d-----w-	c:\program files\AutoConnect  2009-06-15 22:49 . 2009-01-21 22:50	--------	d-----w-	c:\program files\Mozilla Thunderbird  2009-06-14 10:13 . 2009-01-21 22:42	--------	d-----w-	c:\program files\Electronic Arts  2009-06-14 10:07 . 2009-01-21 22:47	--------	d--h--w-	c:\program files\InstallShield Installation Information  2009-06-13 20:38 . 2009-01-21 22:18	--------	d-----w-	c:\documents and settings\Sonia\Dane aplikacji\uTorrent  2009-06-13 16:41 . 2009-05-08 20:23	--------	d-----w-	c:\documents and settings\Sonia\Dane aplikacji\Sony  2009-06-13 16:28 . 2009-01-21 22:31	--------	d-----w-	c:\program files\EA GAMES  2009-06-10 17:37 . 2009-01-21 22:16	--------	d-----w-	c:\documents and settings\Sonia\Dane aplikacji\Skype  2009-06-10 16:57 . 2009-01-21 22:16	--------	d-----w-	c:\documents and settings\Sonia\Dane aplikacji\skypePM  2009-05-28 13:15 . 2009-01-21 22:47	--------	d-----w-	c:\program files\iPod  2009-05-28 13:15 . 2009-01-21 22:30	--------	d-----w-	c:\program files\Common Files\Apple  2009-05-08 20:23 . 2009-05-08 20:23	--------	d-----w-	c:\documents and settings\All Users\Dane aplikacji\Sony  2009-05-07 15:34 . 2009-01-21 22:11	347648	----a-w-	c:\windows\system32\localspl.dll  2009-05-03 21:04 . 2009-01-21 22:49	--------	d-----w-	c:\program files\Liquid Crystals Puzzle  2009-04-29 04:35 . 2009-01-21 22:12	669184	----a-w-	c:\windows\system32\wininet.dll  2009-04-29 04:35 . 2009-01-21 22:11	81920	----a-w-	c:\windows\system32\ieencode.dll  2009-04-23 15:03 . 2009-01-21 22:48	--------	d-----w-	c:\program files\Java  2009-04-23 15:02 . 2009-04-23 15:02	152576	----a-w-	c:\documents and settings\Sonia\Dane aplikacji\Sun\Java\jre1.6.0_13\lzma.dll  2009-04-21 11:43 . 2009-01-21 22:50	--------	d-----w-	c:\program files\Neostrada TP  2009-04-19 19:51 . 2009-01-21 22:12	1847424	----a-w-	c:\windows\system32\win32k.sys  2009-04-16 11:24 . 2009-01-21 22:11	82422	----a-w-	c:\windows\system32\perfc015.dat  2009-04-16 11:24 . 2009-01-21 22:11	467068	----a-w-	c:\windows\system32\perfh015.dat  2009-04-15 14:54 . 2009-01-21 22:11	585216	----a-w-	c:\windows\system32\rpcrt4.dll  2009-04-03 14:14 . 2009-04-03 14:14	56	---ha-w-	c:\windows\system32\ezsidmv.dat  2009-03-19 14:32 . 2009-03-19 14:32 23400 ----a-w- c:\documents and settings\All Users\Dane aplikacji\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906}\x86\x86\GEARAspiWDM.sys  2006-12-04 19:48 . 2009-01-21 22:11	88	--sha-r-	c:\windows\system32\C412ED68A6.sys  2006-12-04 19:48 . 2009-01-21 22:11	3350	--sha-w-	c:\windows\system32\KGyGaAvL.sys  .  (((((((((((((((((((((((((((((((((((((   Wpisy startowe rejestru   ))))))))))))))))))))))))))))))))))))))))))))))))))  .  .  *Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane    REGEDIT4  [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]  "Google Update"="c:\documents and settings\Sonia\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe" [2008-12-15 133104]  "DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" [2008-12-29 687560]  "AutoConnect"="c:\program files\AutoConnect\AutoConnect.exe" [2006-12-02 310784]  "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]  "EA Core"="c:\program files\Electronic Arts\EADM\Core.exe" [2009-04-29 3338240]  "Sonia"="c:\documents and settings\Sonia\Sonia.exe" [2009-06-15 21090]  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]  "UserFaultCheck"="c:\windows\system32\dumprep 0 -u" [X]  "NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]  "WooCnxMon"="c:\progra~1\NEOSTR~1\CnxMon.exe" [2003-10-16 24576]  "SpeedTouch USB Diagnostics"="c:\program files\Thomson\SpeedTouch USB\Dragdiag.exe" [2004-01-26 866816]  "WOOWATCH"="c:\progra~1\NEOSTR~1\Watch.exe" [2003-10-16 20480]  "WOOTASKBARICON"="c:\progra~1\NEOSTR~1\TaskbarIcon.exe" [2003-10-16 53248]  "avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000]  "AppleSyncNotifier"="c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-11-07 111936]  "QuickTime Task"="c:\program files\K-Lite Codec Pack\QuickTime\QTTask.exe" [2009-01-05 413696]  "HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2004-02-12 49152]  "SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-03-09 148888]  "iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-04-02 342312]  "SoundMan"="SOUNDMAN.EXE" - c:\windows\soundman.exe [2006-03-01 577536]  [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]  "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]  "Sonia"="c:\documents and settings\Sonia\Sonia.exe" [2009-06-15 21090]  c:\documents and settings\All Users\Menu Start\Programy\Autostart\  Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2009-1-22 29696]  HP Digital Imaging Monitor.lnk - c:\program files\HP\digital imaging\bin\hpqtra08.exe [2004-5-28 241664]  PowerMenu.lnk - c:\program files\PowerMenu\PowerMenu.exe [2009-1-22 57344]  [HKLM\~\startupfolder\C:^Documents and Settings^Sonia^Menu Start^Programy^Autostart^Adobe Gamma.lnk]  path=c:\documents and settings\Sonia\Menu Start\Programy\Autostart\Adobe Gamma.lnk  backup=c:\windows\pss\Adobe Gamma.lnkStartup  [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]  "gusvc"=3 (0x3)  "Bonjour Service"=2 (0x2)  [HKEY_LOCAL_MACHINE\software\microsoft\security center]  "AntiVirusDisableNotify"=dword:00000001  "UpdatesDisableNotify"=dword:00000001  [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]  "%windir%\\system32\\sessmgr.exe"=  "%windir%\\Network Diagnostic\\xpnetdiag.exe"=  "c:\\Program Files\\uTorrent\\utorrent.exe"=  "c:\\WINDOWS\\system32\\dplaysvr.exe"=  "c:\\Program Files\\Electronic Arts\\EADM\\Core.exe"=  "c:\\Program Files\\Wapster\\WapSter AQQ\\AQQ.exe"=  "c:\\Program Files\\Bonjour\\mDNSResponder.exe"=  "c:\\Program Files\\iTunes\\iTunes.exe"=  "c:\\Program Files\\Skype\\Phone\\Skype.exe"=  "c:\\Program Files\\Nowe Gadu-Gadu\\gg.exe"=  "c:\\WINDOWS\\system32\\Ati2evxx.exe"=  R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2009-01-22 114768]  R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2009-01-22 20560]  R2 BT878;BtCap, WDM Video Capture;c:\windows\system32\drivers\BT878.SYS [2009-01-22 100092]  R2 BTTUNER;BtTuner, WDM TV Tuner;c:\windows\system32\drivers\BTTUNER.SYS [2009-01-22 28127]  R2 BTXBAR;BtXBar, WDM Crossbar;c:\windows\system32\drivers\BTXBAR.SYS [2009-01-22 8301]  S1 SysTool;SysTool Overclocking Utility;c:\windows\system32\drivers\SysTool.sys [2009-01-22 24064]  .  Zawartość folderu 'Zaplanowane zadania'  2009-06-11 c:\windows\Tasks\AppleSoftwareUpdate.job  - c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]  2009-06-15 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1757981266-1078145449-682003330-1004.job  - c:\documents and settings\Sonia\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe [2009-01-21 20:58]  .  - - - - USUNIĘTO PUSTE WPISY - - - -  HKCU-Run-RocketDock - c:\windows\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe  HKLM-Run-HP Component Manager - c:\program files\HP\hpcoretech\hpcmpmgr.exe  HKLM-Run-DrvIcon - c:\program files\Vista Drive Icon\DrvIcon.exe  HKU-Default-Run-Picasa Media Detector - c:\program files\Picasa2\PicasaMediaDetector.exe  .  ------- Skan uzupełniający -------  .  uStart Page = hxxp://start.icq.com/  uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8  uDefault_Search_URL = hxxp://www.google.com/ie  uInternet Connection Wizard,ShellNext = iexplore  uSearchURL,(Default) = hxxp://us.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://www.yahoo.com  IE: E&ksport do programu Microsoft Excel - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000  IE: { - c:\program files\Messenger\msmsgs.exe  TCP: {52D567D2-E54B-45F4-BB5D-CD3D0F368349} = 194.204.152.34,194.204.159.1  TCP: {EFE13F38-F309-4B65-AA03-B77835AA6858} = 194.204.159.1 217.98.63.164  .  **************************************************************************  catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net  Rootkit scan 2009-06-16 01:26  Windows 5.1.2600 Dodatek Service Pack 3 NTFS  skanowanie ukrytych procesów ...    skanowanie ukrytych wpisów autostartu ...   skanowanie ukrytych plików ...    c:\windows\TEMP\_avast4_\unp143938695.tmp 1848832 bytes executable  c:\windows\TEMP\_avast4_\unp146631529.tmp 1848832 bytes executable  c:\windows\TEMP\_avast4_\unp173824995.tmp 1295360 bytes executable  c:\windows\TEMP\_av_proI.tm~a03072\setup.lok 0 bytes  skanowanie pomyślnie ukończone  ukryte pliki: 4  **************************************************************************  .  --------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------  - - - - - - - > 'winlogon.exe'(540)  c:\windows\system32\Ati2evxx.dll  - - - - - - - > 'explorer.exe'(1608)  c:\program files\PowerMenu\PowerMenuHook.dll  c:\windows\system32\WPDShServiceObj.dll  c:\windows\system32\PortableDeviceTypes.dll  c:\windows\system32\PortableDeviceApi.dll  .  ------------------------ Pozostałe uruchomione procesy ------------------------  .  c:\windows\system32\ati2evxx.exe  c:\program files\Alwil Software\Avast4\aswUpdSv.exe  c:\program files\Alwil Software\Avast4\ashServ.exe  c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe  c:\program files\Bonjour\mDNSResponder.exe  c:\program files\Java\jre6\bin\jqs.exe  c:\program files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE  c:\program files\Alcohol Soft\Alcohol 52\StarWind\StarWindService.exe  c:\windows\system32\wdfmgr.exe  c:\windows\system32\ati2evxx.exe  c:\program files\Alwil Software\Avast4\ashMaiSv.exe  c:\program files\Alwil Software\Avast4\ashWebSv.exe  c:\program files\iPod\bin\iPodService.exe  .  **************************************************************************  .  Czas ukończenia: 2009-06-15  1:32 - komputer został uruchomiony ponownie  ComboFix-quarantined-files.txt  2009-06-15 23:32  Przed: 16 011 128 832 bajtów wolnych  Po: 16 705 875 968 bajtów wolnych  WindowsXP-KB310994-SP2-Home-BootDisk-PLK.exe  [boot loader]  timeout=2  default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS  [operating systems]  c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons  multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptOut  Current=5 Default=5 Failed=0 LastKnownGood=8 Sets=1,2,3,4,5,6,7,8  217	--- E O F ---	2009-06-14 10:01

Jak dla mnie to równie dobrze mogłoby to być po chińsku.

Po przejściu przez cały ten proces usuwania itd. pojawił się Avast!, który teraz nieustannie informuje o wirusach (między innymi: C:\WINDOWS\TEMP\BN13.tmp) jenak dalej pojawia się błąd tej aplikacji, która w sumie wygląda też jak wirus.

//Kolory zarezerwowane są tylko dla ekipy moderującej

//Taguję loga

//Michał Paluch

qnick
komentarz
komentarz (edytowane)

Zaczekaj do jutra na Kamila. Log jest zasyfiony, ale ja nie za bardzo umiem jeszcze pisać skrypty i mogę bardziej zaszkodzić niż pomóc

//Jak nie masz nic do powiedzenia, co wniosłoby do tematu, to nie pisz zbędnych postów.

//Następnym razem będzie warn 20%

//Michał Paluch

sachmet
komentarz
komentarz

Będę czekać z niecierpliwością... nic innego mi nie pozostało. :(

Mateusz J.
komentarz
komentarz
2009-06-15 12:08 . 2009-06-15 12:08	21090	---h--w-	c:\documents and settings\Sonia\Sonia.exe

To Twój plik? Tworzyłaś jakiś program?

Jeśli nie znasz tego pliku przeskanuj go na www.virustotal.com

Prócz tego pliku nie widzę niczego groźnego, usuń folder c:\QooBox.

Następnie wykonaj: http://www.forumpc.pl/index.php?showtopic=107753 (raport na forum).

sachmet
komentarz
komentarz (edytowane)
2009-06-15 12:08 . 2009-06-15 12:08	21090	---h--w-	c:\documents and settings\Sonia\Sonia.exe

To Twój plik? Tworzyłaś jakiś program?

Jeśli nie znasz tego pliku przeskanuj go na www.virustotal.com

Prócz tego pliku nie widzę niczego groźnego, usuń folder c:\QooBox.

Następnie wykonaj: http://www.forumpc.pl/index.php?showtopic=107753 (raport na forum).

Właśnie! Niczego takiego nigdy nie miałam i to z tej aplikacji pojawiał mi się błąd który zawala cały komputer, bo wzrasta użycie pliku stron. Pojawiają się tez alerty, że jakaś "pamięć nie może być written" ale już nie w takich ilościach. Przy Errorze Sonia.exe dochodziło do otwarcia 500 procesów. Chętnie jeszcze coś pousuwam jeśli się da... <_<

Robię skan zgodnie z instrukcjami.

Mateusz J.
komentarz
komentarz

Do notatnika wklej:

File::c:\documents and settings\Sonia\Sonia.exeRegistry::[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"Sonia"=-[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]"Sonia"=-

W notatniku zakladka Plik ==> Zapisz jako ==> zapisz pod nazwą CFScript.txt i zapisz go w tym katalogu co ściągnięty i zapisany został combofix

Na ikonę ComboFix przeciągasz zrobiony plik CFScript.txt Tak jak na obrazku:

cfscript10uc2su5.gif

Rozpocznie się usuwanie i powstanie log , który pokazujesz na forum.

Wykonaj: http://www.forumpc.pl/index.php?showtopic=107753 (raport na forum, konieczne)

sachmet
komentarz
komentarz
ComboFix 09-06-16.01 - Sachmet 2009-06-16 22:38.2 - NTFSx86Microsoft Windows XP Home Edition  5.1.2600.3.1250.48.1045.18.511.158 [GMT 2:00]Uruchomiony z: c:\documents and settings\Sonia\Moje dokumenty\Downloads\ComboFix.exeUżyto następujących komend :: c:\documents and settings\Sonia\Moje dokumenty\Downloads\CFScript.txtAV: avast! antivirus 4.8.1335 [VPS 090616-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}FILE ::"c:\documents and settings\Sonia\Sonia.exe""c:\windows\system32\3026856737.dat".(((((((((((((((((((((((((((((((((((((((   Usunięto   ))))))))))))))))))))))))))))))))))))))))))))))))).c:\documents and settings\Sonia\oashdihasidhasuidhiasdhiashdiuasdhasdc:\documents and settings\Sonia\Sonia.exec:\windows\system32\3026856737.dat.(((((((((((((((((((((((((((((((((((((((   Sterowniki/Usługi   ))))))))))))))))))))))))))))))))))))))))))))))))).-------\Legacy_ACPI32-------\Legacy_ATI64SI-------\Legacy_FIPS32CUP-------\Legacy_NETSIK-------\Legacy_PORT135SIK-------\Legacy_SYSTEMNTMI(((((((((((((((((((((((((   Pliki utworzone od 2009-05-16 do 2009-06-16  ))))))))))))))))))))))))))))))).2009-06-14 10:14 . 2009-06-14 10:15	--------	d-----w-	c:\documents and settings\All Users\Dane aplikacji\Electronic Arts2009-06-14 10:13 . 2009-06-14 10:13	10134	----a-r-	c:\documents and settings\Sonia\Dane aplikacji\Microsoft\Installer\{E3E71D07-CD27-46CB-8448-16D4FB29AA13}\ARPPRODUCTICON.exe2009-06-14 10:13 . 2009-06-14 10:13	--------	d-----w-	c:\program files\Microsoft WSE2009-06-13 22:47 . 2009-06-13 22:49	--------	d-----w-	c:\documents and settings\Sonia\Dane aplikacji\Nowe Gadu-Gadu2009-06-13 22:47 . 2009-06-13 22:48	--------	d-----w-	c:\program files\Nowe Gadu-Gadu2009-05-31 10:40 . 2009-05-31 11:22	--------	d-----w-	C:\Z dysku D2009-05-28 13:16 . 2009-03-19 14:32	23400	----a-w-	c:\windows\system32\drivers\GEARAspiWDM.sys2009-05-28 13:16 . 2008-04-17 10:12	107368	----a-w-	c:\windows\system32\GEARAspi.dll2009-05-28 13:15 . 2009-05-28 13:16	--------	d-----w-	c:\program files\iTunes2009-05-28 13:15 . 2009-05-28 13:16	--------	d-----w-	c:\documents and settings\All Users\Dane aplikacji\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906}2009-05-28 13:15 . 2009-05-28 13:15	--------	d-----w-	c:\program files\Bonjour2009-05-28 13:08 . 2009-05-28 13:08	75048	----a-w-	c:\documents and settings\All Users\Dane aplikacji\Apple Computer\Installer Cache\iTunes 8.1.1.10\SetupAdmin.exe2009-05-28 09:23 . 2009-05-28 09:23	42088	----a-w-	c:\documents and settings\Sonia\Dane aplikacji\Nowe Gadu-Gadu\_userdata\ggbho.1.dll.((((((((((((((((((((((((((((((((((((((((   Sekcja Find3M   )))))))))))))))))))))))))))))))))))))))))))))))))))).2009-06-16 20:46 . 2009-01-21 22:29	--------	d-----w-	c:\program files\AutoConnect2009-06-16 20:09 . 2009-01-21 22:50	--------	d-----w-	c:\program files\Mozilla Thunderbird2009-06-14 10:13 . 2009-01-21 22:42	--------	d-----w-	c:\program files\Electronic Arts2009-06-14 10:07 . 2009-01-21 22:47	--------	d--h--w-	c:\program files\InstallShield Installation Information2009-06-13 20:38 . 2009-01-21 22:18	--------	d-----w-	c:\documents and settings\Sonia\Dane aplikacji\uTorrent2009-06-13 16:41 . 2009-05-08 20:23	--------	d-----w-	c:\documents and settings\Sonia\Dane aplikacji\Sony2009-06-13 16:28 . 2009-01-21 22:31	--------	d-----w-	c:\program files\EA GAMES2009-06-10 17:37 . 2009-01-21 22:16	--------	d-----w-	c:\documents and settings\Sonia\Dane aplikacji\Skype2009-06-10 16:57 . 2009-01-21 22:16	--------	d-----w-	c:\documents and settings\Sonia\Dane aplikacji\skypePM2009-05-28 13:15 . 2009-01-21 22:47	--------	d-----w-	c:\program files\iPod2009-05-28 13:15 . 2009-01-21 22:30	--------	d-----w-	c:\program files\Common Files\Apple2009-05-08 20:23 . 2009-05-08 20:23	--------	d-----w-	c:\documents and settings\All Users\Dane aplikacji\Sony2009-05-07 15:34 . 2009-01-21 22:11	347648	----a-w-	c:\windows\system32\localspl.dll2009-05-03 21:04 . 2009-01-21 22:49	--------	d-----w-	c:\program files\Liquid Crystals Puzzle2009-04-29 04:35 . 2009-01-21 22:12	669184	----a-w-	c:\windows\system32\wininet.dll2009-04-29 04:35 . 2009-01-21 22:11	81920	----a-w-	c:\windows\system32\ieencode.dll2009-04-23 15:03 . 2009-01-21 22:48	--------	d-----w-	c:\program files\Java2009-04-23 15:02 . 2009-04-23 15:02	152576	----a-w-	c:\documents and settings\Sonia\Dane aplikacji\Sun\Java\jre1.6.0_13\lzma.dll2009-04-21 11:43 . 2009-01-21 22:50	--------	d-----w-	c:\program files\Neostrada TP2009-04-19 19:51 . 2009-01-21 22:12	1847424	----a-w-	c:\windows\system32\win32k.sys2009-04-16 11:24 . 2009-01-21 22:11	82422	----a-w-	c:\windows\system32\perfc015.dat2009-04-16 11:24 . 2009-01-21 22:11	467068	----a-w-	c:\windows\system32\perfh015.dat2009-04-15 14:54 . 2009-01-21 22:11	585216	----a-w-	c:\windows\system32\rpcrt4.dll2009-04-03 14:14 . 2009-04-03 14:14	56	---ha-w-	c:\windows\system32\ezsidmv.dat2009-03-19 14:32 . 2009-03-19 14:32	23400	----a-w-	c:\documents and settings\All Users\Dane aplikacji\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906}\x86\x86\GEARAspiWDM.sys2006-12-04 19:48 . 2009-01-21 22:11	88	--sha-r-	c:\windows\system32\C412ED68A6.sys2006-12-04 19:48 . 2009-01-21 22:11	3350	--sha-w-	c:\windows\system32\KGyGaAvL.sys.(((((((((((((((((((((((((((((   SnapShot@2009-06-15_23.26.36   ))))))))))))))))))))))))))))))))))))))))).+ 2009-06-16 20:44 . 2009-06-16 20:44	16384			  c:\windows\Temp\Perflib_Perfdata_608.dat+ 2009-06-16 20:43 . 2009-06-16 20:43	16384			  c:\windows\Temp\Perflib_Perfdata_490.dat+ 2009-06-16 20:37 . 2009-06-16 20:36	396288			  c:\windows\system32\CF2400.exe.(((((((((((((((((((((((((((((((((((((   Wpisy startowe rejestru   ))))))))))))))))))))))))))))))))))))))))))))))))))..*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane  REGEDIT4[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"Google Update"="c:\documents and settings\Sonia\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe" [2008-12-15 133104]"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" [2008-12-29 687560]"AutoConnect"="c:\program files\AutoConnect\AutoConnect.exe" [2006-12-02 310784]"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]"EA Core"="c:\program files\Electronic Arts\EADM\Core.exe" [2009-04-29 3338240][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"UserFaultCheck"="c:\windows\system32\dumprep 0 -u" [X]"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]"WooCnxMon"="c:\progra~1\NEOSTR~1\CnxMon.exe" [2003-10-16 24576]"SpeedTouch USB Diagnostics"="c:\program files\Thomson\SpeedTouch USB\Dragdiag.exe" [2004-01-26 866816]"WOOWATCH"="c:\progra~1\NEOSTR~1\Watch.exe" [2003-10-16 20480]"WOOTASKBARICON"="c:\progra~1\NEOSTR~1\TaskbarIcon.exe" [2003-10-16 53248]"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000]"AppleSyncNotifier"="c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-11-07 111936]"QuickTime Task"="c:\program files\K-Lite Codec Pack\QuickTime\QTTask.exe" [2009-01-05 413696]"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2004-02-12 49152]"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-03-09 148888]"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-04-02 342312]"SoundMan"="SOUNDMAN.EXE" - c:\windows\soundman.exe [2006-03-01 577536][HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]c:\documents and settings\All Users\Menu Start\Programy\Autostart\Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2009-1-22 29696]HP Digital Imaging Monitor.lnk - c:\program files\HP\digital imaging\bin\hpqtra08.exe [2004-5-28 241664]PowerMenu.lnk - c:\program files\PowerMenu\PowerMenu.exe [2009-1-22 57344][HKLM\~\startupfolder\C:^Documents and Settings^Sonia^Menu Start^Programy^Autostart^Adobe Gamma.lnk]path=c:\documents and settings\Sonia\Menu Start\Programy\Autostart\Adobe Gamma.lnkbackup=c:\windows\pss\Adobe Gamma.lnkStartup[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]"gusvc"=3 (0x3)"Bonjour Service"=2 (0x2)[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]"%windir%\\system32\\sessmgr.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe"="c:\\Program Files\\uTorrent\\utorrent.exe"="c:\\WINDOWS\\system32\\dplaysvr.exe"="c:\\Program Files\\Electronic Arts\\EADM\\Core.exe"="c:\\Program Files\\Wapster\\WapSter AQQ\\AQQ.exe"="c:\\Program Files\\Bonjour\\mDNSResponder.exe"="c:\\Program Files\\iTunes\\iTunes.exe"="c:\\Program Files\\Skype\\Phone\\Skype.exe"="c:\\Program Files\\Nowe Gadu-Gadu\\gg.exe"="c:\\WINDOWS\\system32\\Ati2evxx.exe"=R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2009-01-22 114768]R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2009-01-22 20560]R2 BT878;BtCap, WDM Video Capture;c:\windows\system32\drivers\BT878.SYS [2009-01-22 100092]R2 BTTUNER;BtTuner, WDM TV Tuner;c:\windows\system32\drivers\BTTUNER.SYS [2009-01-22 28127]R2 BTXBAR;BtXBar, WDM Crossbar;c:\windows\system32\drivers\BTXBAR.SYS [2009-01-22 8301]S1 SysTool;SysTool Overclocking Utility;c:\windows\system32\drivers\SysTool.sys [2009-01-22 24064].Zawartość folderu 'Zaplanowane zadania'2009-06-11 c:\windows\Tasks\AppleSoftwareUpdate.job- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]2009-06-15 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1757981266-1078145449-682003330-1004.job- c:\documents and settings\Sonia\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe [2009-01-21 20:58].- - - - USUNIĘTO PUSTE WPISY - - - -HKCU-Run-Sonia - c:\documents and settings\Sonia\Sonia.exeHKU-Default-Run-Sonia - c:\documents and settings\Sonia\Sonia.exe.------- Skan uzupełniający -------.uStart Page = hxxp://start.icq.com/uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8uDefault_Search_URL = hxxp://www.google.com/ieuInternet Connection Wizard,ShellNext = iexploreuSearchURL,(Default) = hxxp://us.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://www.yahoo.comIE: E&ksport do programu Microsoft Excel - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000IE: { - c:\program files\Messenger\msmsgs.exeTCP: {52D567D2-E54B-45F4-BB5D-CD3D0F368349} = 194.204.152.34,194.204.159.1TCP: {EFE13F38-F309-4B65-AA03-B77835AA6858} = 194.204.159.1 217.98.63.164.**************************************************************************catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.netRootkit scan 2009-06-16 22:46Windows 5.1.2600 Dodatek Service Pack 3 NTFSskanowanie ukrytych procesów ...  skanowanie ukrytych wpisów autostartu ... skanowanie ukrytych plików ...  skanowanie pomyślnie ukończoneukryte pliki: 0**************************************************************************.--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------- - - - - - - > 'winlogon.exe'(540)c:\windows\system32\Ati2evxx.dll- - - - - - - > 'explorer.exe'(1836)c:\program files\PowerMenu\PowerMenuHook.dllc:\windows\system32\WPDShServiceObj.dllc:\windows\system32\PortableDeviceTypes.dllc:\windows\system32\PortableDeviceApi.dllc:\program files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dllc:\program files\Multi_Media\tbMul1.dllc:\program files\Microsoft Office\OFFICE11\msohev.dllc:\program files\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll.------------------------ Pozostałe uruchomione procesy ------------------------.c:\windows\system32\ati2evxx.exec:\program files\Alwil Software\Avast4\aswUpdSv.exec:\program files\Alwil Software\Avast4\ashServ.exec:\program files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exec:\program files\Bonjour\mDNSResponder.exec:\program files\Java\jre6\bin\jqs.exec:\program files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXEc:\program files\Alcohol Soft\Alcohol 52\StarWind\StarWindService.exec:\windows\system32\wdfmgr.exec:\program files\Alwil Software\Avast4\ashMaiSv.exec:\program files\Alwil Software\Avast4\ashWebSv.exec:\windows\system32\ati2evxx.exec:\windows\system32\CF2400.exec:\program files\iPod\bin\iPodService.exe.**************************************************************************.Czas ukończenia: 2009-06-16 22:49 - komputer został uruchomiony ponownieComboFix-quarantined-files.txt  2009-06-16 20:49ComboFix2.txt  2009-06-15 23:33Przed: 16 653 070 336 bajtów wolnychPo: 16 660 148 224 bajtów wolnychCurrent=5 Default=5 Failed=0 LastKnownGood=8 Sets=1,2,3,4,5,6,7,8202	--- E O F ---	2009-06-14 10:01

Tak by to wyglądało na obecną chwilę.

sachmet
komentarz
komentarz (edytowane)

Jestem w trakcie, to chyba nieco potrwa...

Malwarebytes' Anti-Malware 1.37Wersja bazy definicji: 2290Windows 5.1.2600 Dodatek Service Pack 32009-06-17 07:25:28mbam-log-2009-06-17 (07-25-28).txtTyp skanowania: Pełne skanowanie (C:\|D:\|)Przeskanowane obiekty: 184026Upłynęło: 1 hour(s), 12 minute(s), 32 second(s)Zainfekowane procesy w pamięci: 0Zainfekowane moduły pamięci: 0Zainfekowane klucze rejestru: 2Zainfekowane wartości rejestru: 0Zainfekowane pliki rejestru: 0Zainfekowane foldery: 0Zainfekowane pliki: 10Zainfekowane procesy w pamięci:(Nie wykryto groźnych plików)Zainfekowane moduły pamięci:(Nie wykryto groźnych plików)Zainfekowane klucze rejestru:HKEY_CLASSES_ROOT\popcaploader.popcaploaderctrl2 (Adware.PopCap) -> Quarantined and deleted successfully.HKEY_CLASSES_ROOT\popcaploader.popcaploaderctrl2.1 (Adware.PopCap) -> Quarantined and deleted successfully.Zainfekowane wartości rejestru:(Nie wykryto groźnych plików)Zainfekowane pliki rejestru:(Nie wykryto groźnych plików)Zainfekowane foldery:(Nie wykryto groźnych plików)Zainfekowane pliki:c:\recycler\s-1-5-21-1757981266-1078145449-682003330-1004\dc1\quarantine\c\windows\system32\drivers\acpi32.sys.vir (Rootkit.Agent) -> Quarantined and deleted successfully.c:\recycler\s-1-5-21-1757981266-1078145449-682003330-1004\dc1\quarantine\c\windows\system32\drivers\fips32cup.sys.vir (Rootkit.Agent) -> Quarantined and deleted successfully.c:\recycler\s-1-5-21-1757981266-1078145449-682003330-1004\dc1\quarantine\c\windows\system32\drivers\netsik.sys.vir (Rootkit.Agent) -> Quarantined and deleted successfully.c:\recycler\s-1-5-21-1757981266-1078145449-682003330-1004\dc1\quarantine\c\windows\system32\drivers\port135sik.sys.vir (Rootkit.Agent) -> Quarantined and deleted successfully.c:\recycler\s-1-5-21-1757981266-1078145449-682003330-1004\dc1\quarantine\c\windows\system32\drivers\systemntmi.sys.vir (Rootkit.Agent) -> Quarantined and deleted successfully.c:\system volume information\_restore{2ac5b208-bbb4-48b9-b593-1f7de771e3f1}\rp110\A0049823.sys (Rootkit.Agent) -> Quarantined and deleted successfully.c:\system volume information\_restore{2ac5b208-bbb4-48b9-b593-1f7de771e3f1}\rp110\A0049965.sys (Rootkit.Agent) -> Quarantined and deleted successfully.c:\system volume information\_restore{2ac5b208-bbb4-48b9-b593-1f7de771e3f1}\rp110\A0050046.sys (Rootkit.Agent) -> Quarantined and deleted successfully.c:\system volume information\_restore{2ac5b208-bbb4-48b9-b593-1f7de771e3f1}\rp110\A0050047.sys (Rootkit.Agent) -> Quarantined and deleted successfully.c:\system volume information\_restore{2ac5b208-bbb4-48b9-b593-1f7de771e3f1}\rp110\A0050048.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
Gość
komentarz
komentarz

Posprzątaj po ComboFixie i różnych narzędziach >>> OTCleanIt.

I to na tyle. ;]

Dodatkowo opróżnij kosz. :)

.

sachmet
komentarz
komentarz

Ok.. Dzięki bardzo wszystkim : )

Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!

Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.

×
×
  • Dodaj nową pozycję...

Powiadomienie o plikach cookie

Strona wykorzystuje pliki cookies w celu prawidłowego świadczenia usług i wygody użytkowników. Warunki przechowywania i dostępu do plików cookies możesz zmienić w ustawieniach przeglądarki.