s.w.n.h utworzono 11 lipca 2009 utworzono 11 lipca 2009 Myślałam, że tego robactwa już nie ma, bo brat przeinstalował mi system, ale chciałam się właśnie zabrać za usuwanie tego wirusa z komórki i tak sobie przeskanowałam system ComboFixem i się troszkę zdziwiłam, bo wszystko działa normalnie. W życiu nie pomyślałabym że mam wirusa xD a tu się okazuje że się zadomowił u mnie na stałe :/ Da radę go wyrzucić? ComboFix 09-07-09.08 - Natalia 2009-07-11 9:47.1.2 - NTFSx86Microsoft Windows XP Professional 5.1.2600.2.1250.48.1045.18.2047.1677 [GMT 2:00]Uruchomiony z: c:\documents and settings\Natalia\Pulpit\ComboFix.exeAV: ESET NOD32 Antivirus 4.0 *On-access scanning disabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}.((((((((((((((((((((((((((((((((((((((( Usunięto ))))))))))))))))))))))))))))))))))))))))))))))))).c:\documents and settings\Natalia\Dane aplikacji\BITSc:\documents and settings\Natalia\Dane aplikacji\BITS\BITS.inic:\documents and settings\Natalia\Dane aplikacji\BITS\DHTTable.datc:\documents and settings\Natalia\Dane aplikacji\BITS\ProxyList.ini.((((((((((((((((((((((((( Pliki utworzone od 2009-06-11 do 2009-07-11 ))))))))))))))))))))))))))))))).2009-07-10 18:32 . 2009-07-10 18:32 -------- d-----w- c:\program files\ESET2009-07-10 18:32 . 2009-07-10 18:32 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\ESET2009-07-10 17:03 . 2009-07-10 17:03 -------- d-----w- c:\documents and settings\Natalia\Ustawienia lokalne\Dane aplikacji\Opera2009-07-10 10:24 . 2009-07-10 10:24 -------- d-----w- c:\documents and settings\Natalia\Dane aplikacji\Gadu-Gadu2009-07-10 10:23 . 2009-07-10 10:24 -------- d-----w- c:\documents and settings\Natalia\Gadu-Gadu2009-07-09 18:13 . 2009-07-09 18:13 -------- d--h--w- c:\windows\system32\GroupPolicy2009-07-09 12:07 . 2009-07-09 12:07 -------- d-----w- c:\documents and settings\Natalia\Dane aplikacji\Nowe Gadu-Gadu2009-07-09 12:06 . 2009-07-09 12:06 -------- d-----w- c:\program files\Opera2009-07-09 10:29 . 2009-07-09 10:29 1172 ----a-w- c:\windows\mozver.dat2009-07-09 10:18 . 2006-06-01 22:11 109568 ------w- c:\windows\system32\pxinsi64.exe2009-07-09 10:18 . 2006-06-01 22:11 108544 ------w- c:\windows\system32\pxcpyi64.exe2009-07-09 10:18 . 2009-07-09 10:18 -------- d-----w- c:\program files\DivX2009-07-09 10:16 . 2009-07-09 10:16 -------- d-----w- c:\documents and settings\Natalia\Dane aplikacji\BESTplayer2009-07-07 19:36 . 2009-07-07 19:36 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\nView_Profiles2009-07-07 09:36 . 2008-09-04 18:17 447752 ----a-r- c:\windows\system32\vp6vfw.dll2009-07-07 09:36 . 2009-07-07 09:36 10134 ----a-r- c:\documents and settings\Natalia\Dane aplikacji\Microsoft\Installer\{E3E71D07-CD27-46CB-8448-16D4FB29AA13}\ARPPRODUCTICON.exe2009-07-07 09:36 . 2009-07-07 09:36 -------- d-----w- c:\program files\Microsoft WSE2009-07-07 09:33 . 2006-09-28 14:05 2414360 ----a-w- c:\windows\system32\d3dx9_31.dll2009-07-07 09:33 . 2009-07-07 09:33 -------- d-----w- c:\windows\Logs2009-07-07 06:58 . 2009-07-07 07:32 -------- d-----w- c:\documents and settings\Natalia\Dane aplikacji\gtk-2.02009-07-07 06:58 . 2009-07-07 06:58 -------- d-----w- c:\documents and settings\Natalia\.thumbnails2009-07-07 06:56 . 2009-07-07 07:32 -------- d-----w- c:\documents and settings\Natalia\.gimp-2.42009-07-07 06:48 . 2009-07-07 06:48 -------- d-----w- c:\documents and settings\Natalia\Dane aplikacji\IrfanView2009-07-07 06:31 . 2009-07-07 06:31 -------- d-----w- c:\windows\ShellNew2009-07-07 06:29 . 2009-07-07 06:29 -------- d-----w- c:\documents and settings\Natalia\Dane aplikacji\Microsoft Web Folders2009-07-06 20:09 . 2009-07-06 20:09 -------- d-----w- c:\documents and settings\Natalia\Dane aplikacji\Malwarebytes2009-07-06 20:09 . 2009-05-26 11:20 40160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys2009-07-06 20:09 . 2009-07-06 20:09 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Malwarebytes2009-07-06 20:09 . 2009-05-26 11:19 19096 ----a-w- c:\windows\system32\drivers\mbam.sys2009-07-06 20:02 . 2009-07-06 20:02 -------- d-----w- c:\documents and settings\Natalia\Dane aplikacji\Talkback2009-07-06 20:02 . 2009-07-06 20:02 0 ----a-w- c:\windows\nsreg.dat2009-07-06 20:02 . 2009-07-06 20:02 -------- d-----w- c:\documents and settings\Natalia\Ustawienia lokalne\Dane aplikacji\Mozilla2009-07-06 19:56 . 2009-07-06 19:56 -------- d-----w- c:\documents and settings\Natalia\Ustawienia lokalne\Dane aplikacji\Ashampoo2009-07-06 19:55 . 2009-07-06 19:55 -------- d-----w- c:\program files\Ashampoo2009-07-06 19:53 . 2009-07-06 19:53 -------- d-----w- c:\program files\DAEMON Tools Toolbar2009-07-06 19:51 . 2009-07-06 19:51 717296 ----a-w- c:\windows\system32\drivers\sptd.sys2009-07-06 19:51 . 2009-07-06 19:51 -------- d-----w- c:\documents and settings\Natalia\Dane aplikacji\DAEMON Tools2009-07-06 19:50 . 2009-07-06 19:50 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\WinZip2009-07-06 17:12 . 2009-07-06 17:12 -------- d-----w- c:\documents and settings\Natalia\Ustawienia lokalne\Dane aplikacji\Identities.(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))).2009-07-08 13:32 . 2009-07-08 13:30 -------- d-----w- c:\documents and settings\Natalia\Dane aplikacji\Winamp2009-07-08 13:31 . 2009-07-08 13:30 -------- d-----w- c:\program files\Winamp2009-07-08 12:02 . 2009-07-06 08:26 -------- d-----w- c:\program files\Usługi online2009-07-08 11:56 . 2009-07-06 08:26 86327 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat2009-07-07 17:22 . 2004-07-17 09:36 12464 ----a-w- c:\windows\system32\drivers\secdrv.sys2009-07-07 09:35 . 2001-10-26 16:15 74450 ----a-w- c:\windows\system32\perfc015.dat2009-07-07 09:35 . 2001-10-26 16:15 448348 ----a-w- c:\windows\system32\perfh015.dat2009-07-07 09:27 . 2009-07-06 08:55 -------- d--h--w- c:\program files\InstallShield Installation Information2009-07-07 06:50 . 2009-07-06 08:51 16752 ----a-w- c:\documents and settings\Natalia\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT2009-07-06 09:21 . 2009-07-06 09:21 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Kaspersky Lab Setup Files2009-07-06 08:55 . 2009-07-06 08:55 -------- d-----w- c:\program files\Realtek2009-07-06 08:54 . 2009-07-06 08:54 315392 ----a-w- c:\windows\HideWin.exe2009-07-06 08:54 . 2009-07-06 08:48 -------- d-----w- c:\program files\Common Files\InstallShield2009-07-06 08:48 . 2009-07-06 08:48 766 ----a-r- c:\documents and settings\Natalia\Dane aplikacji\Microsoft\Installer\{D27BDB5D-3B4C-44F0-A648-BD00B0E79B39}\ARPPRODUCTICON.exe2009-07-06 08:48 . 2009-07-06 08:48 65536 ----a-r- c:\documents and settings\Natalia\Dane aplikacji\Microsoft\Installer\{D27BDB5D-3B4C-44F0-A648-BD00B0E79B39}\Shortcut0.C3A146F5_4B48_11D5_A819_00B0D0428C0C.exe2009-07-06 08:48 . 2009-07-06 08:48 40960 ----a-r- c:\documents and settings\Natalia\Dane aplikacji\Microsoft\Installer\{D27BDB5D-3B4C-44F0-A648-BD00B0E79B39}\Utility.exe2_D27BDB5D3B4C44F0A648BD00B0E79B39.exe2009-07-06 08:48 . 2009-07-06 08:48 40960 ----a-r- c:\documents and settings\Natalia\Dane aplikacji\Microsoft\Installer\{D27BDB5D-3B4C-44F0-A648-BD00B0E79B39}\Utility.exe1_D27BDB5D3B4C44F0A648BD00B0E79B39.exe2009-07-06 08:48 . 2009-07-06 08:48 40960 ----a-r- c:\documents and settings\Natalia\Dane aplikacji\Microsoft\Installer\{D27BDB5D-3B4C-44F0-A648-BD00B0E79B39}\Utility.exe_D27BDB5D3B4C44F0A648BD00B0E79B39.exe2009-07-06 08:48 . 2009-07-06 08:48 40960 ----a-r- c:\documents and settings\Natalia\Dane aplikacji\Microsoft\Installer\{D27BDB5D-3B4C-44F0-A648-BD00B0E79B39}\UNINST_Uninstall_VGA_D27BDB5D3B4C44F0A648BD00B0E79B39.exe2009-07-06 08:48 . 2009-07-06 08:48 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\InstallShield2009-07-06 08:48 . 2009-07-06 08:48 -------- d-----w- c:\program files\GIGABYTE2009-07-06 08:27 . 2009-07-06 08:27 -------- d-----w- c:\program files\microsoft frontpage2009-07-06 08:25 . 2009-07-06 08:25 21856 ----a-w- c:\windows\system32\emptyregdb.dat2009-05-28 09:23 . 2009-05-28 09:23 42088 ----a-w- c:\documents and settings\Natalia\Dane aplikacji\Nowe Gadu-Gadu\_userdata\ggbho.1.dll2009-05-14 13:49 . 2009-05-14 13:49 94360 ----a-w- c:\windows\system32\drivers\epfwtdir.sys2009-05-14 13:47 . 2009-05-14 13:47 107256 ----a-w- c:\windows\system32\drivers\ehdrv.sys2009-05-14 13:41 . 2009-05-14 13:41 114472 ----a-w- c:\windows\system32\drivers\eamon.sys2008-03-12 13:00 . 2009-07-06 20:02 67696 ----a-w- c:\program files\mozilla firefox\components\jar50.dll2008-03-12 13:00 . 2009-07-06 20:02 54376 ----a-w- c:\program files\mozilla firefox\components\jsd3250.dll2008-03-12 13:00 . 2009-07-06 20:02 34952 ----a-w- c:\program files\mozilla firefox\components\myspell.dll2008-03-12 13:00 . 2009-07-06 20:02 46720 ----a-w- c:\program files\mozilla firefox\components\spellchk.dll2008-03-12 13:00 . 2009-07-06 20:02 172144 ----a-w- c:\program files\mozilla firefox\components\xpinstal.dll.((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))..*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane REGEDIT4[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-03 15360]"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2004-08-03 1667584][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"ISUSPM Startup"="c:\program files\Common Files\InstallShield\UpdateService\ISUSPM.exe" [2005-08-11 249856]"ISUSScheduler"="c:\program files\Common Files\InstallShield\UpdateService\issch.exe" [2005-08-11 81920]"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-06-28 8466432]"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-06-28 81920]"RegProt"="d:\regprot\regprot.exe" [2001-09-13 19614]"Ashampoo FireWall"="c:\program files\Ashampoo\Ashampoo FireWall\FireWall.exe" [2007-04-05 3251800]"WinampAgent"="c:\program files\Winamp\winampa.exe" [2008-01-15 37376]"egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2009-05-14 2029640]"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2007-09-27 16844800]"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2007-06-28 1626112][HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360]c:\documents and settings\Natalia\Menu Start\Programy\Autostart\GIGABYTE VGA Utility.lnk - c:\documents and settings\Natalia\Dane aplikacji\Microsoft\Installer\{D27BDB5D-3B4C-44F0-A648-BD00B0E79B39}\Utility.exe2_D27BDB5D3B4C44F0A648BD00B0E79B39.exe [2009-7-6 40960]c:\documents and settings\All Users\Menu Start\Programy\Autostart\Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [2000-1-21 65588][HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]"%windir%\\system32\\sessmgr.exe"="c:\\Documents and Settings\\All Users\\Dane aplikacji\\Kaspersky Lab Setup Files\\Kaspersky Anti-Virus 7.0.1.325\\Polish\\setup.exe"="d:\\FlashGet universal\\FlashGet.exe"="d:\\Gadu-Gadu\\gg.exe"="d:\\eMule\\emule.exe"=R1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [2009-05-14 107256]R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [2009-05-14 94360]R2 ekrn;ESET Service;c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe [2009-05-14 731840]S3 SetupNTGLM7X;SetupNTGLM7X;\??\j:\ntglm7x.sys --> j:\NTGLM7X.sys [?]..------- Skan uzupełniający -------.IE: &Download All by FlashGet - d:\flashget universal\ComDlls\Bhoall.htmIE: &Download by FlashGet - d:\flashget universal\ComDlls\Bholink.htmLSP: c:\program files\Ashampoo\Ashampoo FireWall\spi.dllFF - ProfilePath - c:\documents and settings\Natalia\Dane aplikacji\Mozilla\Firefox\Profiles\sbniv6pi.default\FF - prefs.js: browser.startup.homepage - hxxp://www.onet.pl/FF - component: c:\program files\Mozilla Firefox\components\xpinstal.dllFF - component: c:\program files\Mozilla Firefox\extensions\talkback@mozilla.org\components\qfaservices.dll..------- Skojarzenia plików -------.VBSFile=.**************************************************************************catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.netRootkit scan 2009-07-11 09:48Windows 5.1.2600 Dodatek Service Pack 2 NTFSskanowanie ukrytych procesów ... skanowanie ukrytych wpisów autostartu ... skanowanie ukrytych plików ... skanowanie pomyślnie ukończoneukryte pliki: 0**************************************************************************[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ASFWHide]"ImagePath"="\??\c:\docume~1\Natalia\USTAWI~1\Temp\ASFWHide".--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------- - - - - - - > 'lsass.exe'(792)c:\program files\Ashampoo\Ashampoo FireWall\spi.dll.Czas ukończenia: 2009-07-11 9:48ComboFix-quarantined-files.txt 2009-07-11 07:48Przed: 13 686 964 224 bajtów wolnychPo: 13 712 789 504 bajtów wolnychWindowsXP-KB310994-SP2-Pro-BootDisk-PLK.exe[boot loader]timeout=2default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS[operating systems]c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdconsmulti(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect169
s.w.n.h komentarz 11 lipca 2009 Autor komentarz 11 lipca 2009 (edytowane) Z tego co napisałeś rozumiem, że ComboFix usunął infekcję. A teraz log po ponownym uruchomieniu komputera, nie sprawdzałam linijka po linijce, ale wydają się bardzo podobne, z tym że nie trzeba było już instalować konsoli odzyskiwania systemu. ComboFix 09-07-09.08 - Natalia 2009-07-11 14:28.2.2 - NTFSx86Microsoft Windows XP Professional 5.1.2600.2.1250.48.1045.18.2047.1605 [GMT 2:00]Uruchomiony z: c:\documents and settings\Natalia\Pulpit\ComboFix.exeAV: ESET NOD32 Antivirus 4.0 *On-access scanning disabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}.((((((((((((((((((((((((( Pliki utworzone od 2009-06-11 do 2009-07-11 ))))))))))))))))))))))))))))))).2009-07-10 18:32 . 2009-07-10 18:32 -------- d-----w- c:\program files\ESET2009-07-10 18:32 . 2009-07-10 18:32 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\ESET2009-07-10 17:03 . 2009-07-10 17:03 -------- d-----w- c:\documents and settings\Natalia\Ustawienia lokalne\Dane aplikacji\Opera2009-07-10 10:24 . 2009-07-10 10:24 -------- d-----w- c:\documents and settings\Natalia\Dane aplikacji\Gadu-Gadu2009-07-10 10:23 . 2009-07-10 10:24 -------- d-----w- c:\documents and settings\Natalia\Gadu-Gadu2009-07-09 18:13 . 2009-07-09 18:13 -------- d--h--w- c:\windows\system32\GroupPolicy2009-07-09 12:07 . 2009-07-09 12:07 -------- d-----w- c:\documents and settings\Natalia\Dane aplikacji\Nowe Gadu-Gadu2009-07-09 12:06 . 2009-07-09 12:06 -------- d-----w- c:\program files\Opera2009-07-09 10:29 . 2009-07-09 10:29 1172 ----a-w- c:\windows\mozver.dat2009-07-09 10:18 . 2006-06-01 22:11 109568 ------w- c:\windows\system32\pxinsi64.exe2009-07-09 10:18 . 2006-06-01 22:11 108544 ------w- c:\windows\system32\pxcpyi64.exe2009-07-09 10:18 . 2009-07-09 10:18 -------- d-----w- c:\program files\DivX2009-07-09 10:16 . 2009-07-09 10:16 -------- d-----w- c:\documents and settings\Natalia\Dane aplikacji\BESTplayer2009-07-07 19:36 . 2009-07-07 19:36 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\nView_Profiles2009-07-07 09:36 . 2008-09-04 18:17 447752 ----a-r- c:\windows\system32\vp6vfw.dll2009-07-07 09:36 . 2009-07-07 09:36 10134 ----a-r- c:\documents and settings\Natalia\Dane aplikacji\Microsoft\Installer\{E3E71D07-CD27-46CB-8448-16D4FB29AA13}\ARPPRODUCTICON.exe2009-07-07 09:36 . 2009-07-07 09:36 -------- d-----w- c:\program files\Microsoft WSE2009-07-07 09:33 . 2006-09-28 14:05 2414360 ----a-w- c:\windows\system32\d3dx9_31.dll2009-07-07 09:33 . 2009-07-07 09:33 -------- d-----w- c:\windows\Logs2009-07-07 06:58 . 2009-07-07 07:32 -------- d-----w- c:\documents and settings\Natalia\Dane aplikacji\gtk-2.02009-07-07 06:58 . 2009-07-07 06:58 -------- d-----w- c:\documents and settings\Natalia\.thumbnails2009-07-07 06:56 . 2009-07-07 07:32 -------- d-----w- c:\documents and settings\Natalia\.gimp-2.42009-07-07 06:48 . 2009-07-07 06:48 -------- d-----w- c:\documents and settings\Natalia\Dane aplikacji\IrfanView2009-07-07 06:31 . 2009-07-07 06:31 -------- d-----w- c:\windows\ShellNew2009-07-07 06:29 . 2009-07-07 06:29 -------- d-----w- c:\documents and settings\Natalia\Dane aplikacji\Microsoft Web Folders2009-07-06 20:09 . 2009-07-06 20:09 -------- d-----w- c:\documents and settings\Natalia\Dane aplikacji\Malwarebytes2009-07-06 20:09 . 2009-05-26 11:20 40160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys2009-07-06 20:09 . 2009-07-06 20:09 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Malwarebytes2009-07-06 20:09 . 2009-05-26 11:19 19096 ----a-w- c:\windows\system32\drivers\mbam.sys2009-07-06 20:02 . 2009-07-06 20:02 -------- d-----w- c:\documents and settings\Natalia\Dane aplikacji\Talkback2009-07-06 20:02 . 2009-07-06 20:02 0 ----a-w- c:\windows\nsreg.dat2009-07-06 20:02 . 2009-07-06 20:02 -------- d-----w- c:\documents and settings\Natalia\Ustawienia lokalne\Dane aplikacji\Mozilla2009-07-06 19:56 . 2009-07-06 19:56 -------- d-----w- c:\documents and settings\Natalia\Ustawienia lokalne\Dane aplikacji\Ashampoo2009-07-06 19:55 . 2009-07-06 19:55 -------- d-----w- c:\program files\Ashampoo2009-07-06 19:53 . 2009-07-06 19:53 -------- d-----w- c:\program files\DAEMON Tools Toolbar2009-07-06 19:51 . 2009-07-06 19:51 717296 ----a-w- c:\windows\system32\drivers\sptd.sys2009-07-06 19:51 . 2009-07-06 19:51 -------- d-----w- c:\documents and settings\Natalia\Dane aplikacji\DAEMON Tools2009-07-06 19:50 . 2009-07-06 19:50 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\WinZip2009-07-06 17:12 . 2009-07-06 17:12 -------- d-----w- c:\documents and settings\Natalia\Ustawienia lokalne\Dane aplikacji\Identities.(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))).2009-07-08 13:32 . 2009-07-08 13:30 -------- d-----w- c:\documents and settings\Natalia\Dane aplikacji\Winamp2009-07-08 13:31 . 2009-07-08 13:30 -------- d-----w- c:\program files\Winamp2009-07-08 12:02 . 2009-07-06 08:26 -------- d-----w- c:\program files\Usługi online2009-07-08 11:56 . 2009-07-06 08:26 86327 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat2009-07-07 17:22 . 2004-07-17 09:36 12464 ----a-w- c:\windows\system32\drivers\secdrv.sys2009-07-07 09:35 . 2001-10-26 16:15 74450 ----a-w- c:\windows\system32\perfc015.dat2009-07-07 09:35 . 2001-10-26 16:15 448348 ----a-w- c:\windows\system32\perfh015.dat2009-07-07 09:27 . 2009-07-06 08:55 -------- d--h--w- c:\program files\InstallShield Installation Information2009-07-07 06:50 . 2009-07-06 08:51 16752 ----a-w- c:\documents and settings\Natalia\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT2009-07-06 09:21 . 2009-07-06 09:21 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Kaspersky Lab Setup Files2009-07-06 08:55 . 2009-07-06 08:55 -------- d-----w- c:\program files\Realtek2009-07-06 08:54 . 2009-07-06 08:54 315392 ----a-w- c:\windows\HideWin.exe2009-07-06 08:54 . 2009-07-06 08:48 -------- d-----w- c:\program files\Common Files\InstallShield2009-07-06 08:48 . 2009-07-06 08:48 766 ----a-r- c:\documents and settings\Natalia\Dane aplikacji\Microsoft\Installer\{D27BDB5D-3B4C-44F0-A648-BD00B0E79B39}\ARPPRODUCTICON.exe2009-07-06 08:48 . 2009-07-06 08:48 65536 ----a-r- c:\documents and settings\Natalia\Dane aplikacji\Microsoft\Installer\{D27BDB5D-3B4C-44F0-A648-BD00B0E79B39}\Shortcut0.C3A146F5_4B48_11D5_A819_00B0D0428C0C.exe2009-07-06 08:48 . 2009-07-06 08:48 40960 ----a-r- c:\documents and settings\Natalia\Dane aplikacji\Microsoft\Installer\{D27BDB5D-3B4C-44F0-A648-BD00B0E79B39}\Utility.exe2_D27BDB5D3B4C44F0A648BD00B0E79B39.exe2009-07-06 08:48 . 2009-07-06 08:48 40960 ----a-r- c:\documents and settings\Natalia\Dane aplikacji\Microsoft\Installer\{D27BDB5D-3B4C-44F0-A648-BD00B0E79B39}\Utility.exe1_D27BDB5D3B4C44F0A648BD00B0E79B39.exe2009-07-06 08:48 . 2009-07-06 08:48 40960 ----a-r- c:\documents and settings\Natalia\Dane aplikacji\Microsoft\Installer\{D27BDB5D-3B4C-44F0-A648-BD00B0E79B39}\Utility.exe_D27BDB5D3B4C44F0A648BD00B0E79B39.exe2009-07-06 08:48 . 2009-07-06 08:48 40960 ----a-r- c:\documents and settings\Natalia\Dane aplikacji\Microsoft\Installer\{D27BDB5D-3B4C-44F0-A648-BD00B0E79B39}\UNINST_Uninstall_VGA_D27BDB5D3B4C44F0A648BD00B0E79B39.exe2009-07-06 08:48 . 2009-07-06 08:48 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\InstallShield2009-07-06 08:48 . 2009-07-06 08:48 -------- d-----w- c:\program files\GIGABYTE2009-07-06 08:27 . 2009-07-06 08:27 -------- d-----w- c:\program files\microsoft frontpage2009-07-06 08:25 . 2009-07-06 08:25 21856 ----a-w- c:\windows\system32\emptyregdb.dat2009-05-28 09:23 . 2009-05-28 09:23 42088 ----a-w- c:\documents and settings\Natalia\Dane aplikacji\Nowe Gadu-Gadu\_userdata\ggbho.1.dll2009-05-14 13:49 . 2009-05-14 13:49 94360 ----a-w- c:\windows\system32\drivers\epfwtdir.sys2009-05-14 13:47 . 2009-05-14 13:47 107256 ----a-w- c:\windows\system32\drivers\ehdrv.sys2009-05-14 13:41 . 2009-05-14 13:41 114472 ----a-w- c:\windows\system32\drivers\eamon.sys2008-03-12 13:00 . 2009-07-06 20:02 67696 ----a-w- c:\program files\mozilla firefox\components\jar50.dll2008-03-12 13:00 . 2009-07-06 20:02 54376 ----a-w- c:\program files\mozilla firefox\components\jsd3250.dll2008-03-12 13:00 . 2009-07-06 20:02 34952 ----a-w- c:\program files\mozilla firefox\components\myspell.dll2008-03-12 13:00 . 2009-07-06 20:02 46720 ----a-w- c:\program files\mozilla firefox\components\spellchk.dll2008-03-12 13:00 . 2009-07-06 20:02 172144 ----a-w- c:\program files\mozilla firefox\components\xpinstal.dll.((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))..*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane REGEDIT4[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-03 15360]"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2004-08-03 1667584][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"ISUSPM Startup"="c:\program files\Common Files\InstallShield\UpdateService\ISUSPM.exe" [2005-08-11 249856]"ISUSScheduler"="c:\program files\Common Files\InstallShield\UpdateService\issch.exe" [2005-08-11 81920]"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-06-28 8466432]"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-06-28 81920]"RegProt"="d:\regprot\regprot.exe" [2001-09-13 19614]"Ashampoo FireWall"="c:\program files\Ashampoo\Ashampoo FireWall\FireWall.exe" [2007-04-05 3251800]"WinampAgent"="c:\program files\Winamp\winampa.exe" [2008-01-15 37376]"egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2009-05-14 2029640]"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2007-09-27 16844800]"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2007-06-28 1626112][HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360]c:\documents and settings\Natalia\Menu Start\Programy\Autostart\GIGABYTE VGA Utility.lnk - c:\documents and settings\Natalia\Dane aplikacji\Microsoft\Installer\{D27BDB5D-3B4C-44F0-A648-BD00B0E79B39}\Utility.exe2_D27BDB5D3B4C44F0A648BD00B0E79B39.exe [2009-7-6 40960]c:\documents and settings\All Users\Menu Start\Programy\Autostart\Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [2000-1-21 65588][HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]"%windir%\\system32\\sessmgr.exe"="c:\\Documents and Settings\\All Users\\Dane aplikacji\\Kaspersky Lab Setup Files\\Kaspersky Anti-Virus 7.0.1.325\\Polish\\setup.exe"="d:\\FlashGet universal\\FlashGet.exe"="d:\\Gadu-Gadu\\gg.exe"="d:\\eMule\\emule.exe"=R1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [2009-05-14 107256]R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [2009-05-14 94360]R2 ekrn;ESET Service;c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe [2009-05-14 731840]S3 SetupNTGLM7X;SetupNTGLM7X;\??\j:\ntglm7x.sys --> j:\NTGLM7X.sys [?]..------- Skan uzupełniający -------.IE: &Download All by FlashGet - d:\flashget universal\ComDlls\Bhoall.htmIE: &Download by FlashGet - d:\flashget universal\ComDlls\Bholink.htmLSP: c:\program files\Ashampoo\Ashampoo FireWall\spi.dllFF - ProfilePath - c:\documents and settings\Natalia\Dane aplikacji\Mozilla\Firefox\Profiles\sbniv6pi.default\FF - prefs.js: browser.startup.homepage - hxxp://www.onet.pl/FF - component: c:\program files\Mozilla Firefox\components\xpinstal.dllFF - component: c:\program files\Mozilla Firefox\extensions\talkback@mozilla.org\components\qfaservices.dll..------- Skojarzenia plików -------.VBSFile=.**************************************************************************catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.netRootkit scan 2009-07-11 14:29Windows 5.1.2600 Dodatek Service Pack 2 NTFSskanowanie ukrytych procesów ... skanowanie ukrytych wpisów autostartu ... skanowanie ukrytych plików ... skanowanie pomyślnie ukończoneukryte pliki: 0**************************************************************************[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ASFWHide]"ImagePath"="\??\c:\docume~1\Natalia\USTAWI~1\Temp\ASFWHide".--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------- - - - - - - > 'lsass.exe'(792)c:\program files\Ashampoo\Ashampoo FireWall\spi.dll.Czas ukończenia: 2009-07-11 14:30ComboFix-quarantined-files.txt 2009-07-11 12:30ComboFix2.txt 2009-07-11 07:48Przed: 13 712 683 008 bajtów wolnychPo: 13 689 389 056 bajtów wolnych156 no i co z tym zrobić?
s.w.n.h komentarz 11 lipca 2009 Autor komentarz 11 lipca 2009 Ale nie jest ok po każdym restarcie jest to samo. Zobacz co znalazłam na innym forum, ten log jest bardzo podobny do mojego, może to ten MBR?? klik
Gość komentarz 11 lipca 2009 komentarz 11 lipca 2009 A gdzie widzisz tą infekcję MBR? 1. Do poczytania i wykonania: Usuwanie infekcji z pamięci przeńośnych. 2. Mówisz i masz, przeskanuj sobie tym: Usuwanie Rootkitów z MBR dysku. .
s.w.n.h komentarz 11 lipca 2009 Autor komentarz 11 lipca 2009 No nie wiem, ja się nie znam ale musisz przyznać że logi podobne. Wytłumacz mi coś jeszcze. Pisałeś, że jest czysto jak wklejam loga, ale z tego co ja się orientuje to w tym logu jest pokazane jak Combo usunął rootkita tak?
MarekM25 komentarz 11 lipca 2009 komentarz 11 lipca 2009 (edytowane) wykonaj log z GMERa i skąd wiesz, że to akurat ten wirus?? [edit]teraz przeczytałem tu: http://www.forumpc.pl/index.php?showtopic=115392 i już wiem o co chodzi:PP wystarczy użyć Flash DisInfector przed użyciem podłącz wszystkie media przenośne, czyli zarówno jak i tel i pendrive itp i czy problem nadal występuje??
s.w.n.h komentarz 12 lipca 2009 Autor komentarz 12 lipca 2009 (edytowane) Nie no teraz to już nie o media przenośne chodzi, walić telefon (a pendrive nie był mój ) chce żeby na komputerze było czysto. Tylko nie do końca Was rozumiem, bo jeśli na tych logach które wkleiłam ComboFix usuwa wirusa i po każdym restarcie log jest taki sam to znaczy, że wirus powraca, bo jeśli zostałby usunięty log wyglądałby zupełnie inaczej. Mam rację? A że to catchme wnioskuję z tego fragmentu loga catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.netRootkit scan 2009-07-11 14:29Windows 5.1.2600 Dodatek Service Pack 2 NTFS tutaj jest log z tego GMERa, coś króciótki GMER 1.0.15.14972 - http://www.gmer.netRootkit scan 2009-07-12 08:47:51Windows 5.1.2600 Dodatek Service Pack 2---- System - GMER 1.0.15 ----SSDT spcc.sys ZwEnumerateKey [0xBA6C6CA2]SSDT spcc.sys ZwEnumerateValueKey [0xBA6C7030]SSDT \??\C:\DOCUME~1\Natalia\USTAWI~1\Temp\ASFWHide ZwQuerySystemInformation [0xBAF79486]---- Devices - GMER 1.0.15 ----Device \FileSystem\Ntfs \Ntfs 89DE31F8AttachedDevice \FileSystem\Ntfs \Ntfs eamon.sys (Amon monitor/ESET)AttachedDevice \Driver\Tcpip \Device\Tcp epfwtdir.sys (ESET Antivirus Network Redirector/ESET)---- Threads - GMER 1.0.15 ----Thread System [4:436] 89462790---- EOF - GMER 1.0.15 ---- Gdybym miała coś powiedzieć na jego temat to powiedziałabym, że czysto Ale dlaczego ComboFiX tego catchme ciągle usuwa? Dobrze, że ktoś inny zajrzał do tego tematu bo Kamil już chyba nie miał na mnie sił A może chcesz jeszcze zobaczyć coś z tego GMERa? Np. załadowane moduły, ComboFix czasem usuwał coś z drivers. A może powiem jeszcze, że mam regprota zainstalowanego i dziś np. jak wyszła taka tabliczka z Update Manager programu InstallShield (przy okazji do czego to jest? ) to zaraz potem regprot mnie poinformował, że nastąpiła zmiana w rejestrze właśnie w kluczu od tego czegoś ISUSPM.exe, gdzie właściwie wszystko było ok tylko C:\ zostało zamienione na c:\, więc pomyślałam że to wirus bo on się bawi w takie zmienianie wielkich literek na małe i odwrotnie z tego co się orientuję po to żeby podpiąć się pod jakiś proces i uruchamiać się razem z nim, więc wdusiłam regprotowi żeby nie zezwolił na tą zmianę.
Gość komentarz 12 lipca 2009 komentarz 12 lipca 2009 Wszystkie logi potwierdzają = jest OK. ((((((((((((((((((((((((((((((((((((((( Usunięto ))))))))))))))))))))))))))))))))))))))))))))))))).c:\documents and settings\Natalia\Dane aplikacji\BITSc:\documents and settings\Natalia\Dane aplikacji\BITS\BITS.inic:\documents and settings\Natalia\Dane aplikacji\BITS\DHTTable.datc:\documents and settings\Natalia\Dane aplikacji\BITS\ProxyList.ini.((((((((((((((((((((((((( Pliki utworzone od 2009-06-11 do 2009-07-11 ))))))))))))))))))))))))))))))) Rozumiesz, że to jest śmietek a nie wirus? To nic poważnego, nie trzeba się tym przejmować.! Jeżeli log jest czysty, to oznacza, że komputer masz czysty.! Dla pewności: Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum. .
MarekM25 komentarz 12 lipca 2009 komentarz 12 lipca 2009 flash disinfector działa też na dyski twarde:PP
s.w.n.h komentarz 12 lipca 2009 Autor komentarz 12 lipca 2009 aaaaaaaaa ja Cię Kamil nie rozumiem Dlaczego w logu z ComboFixa pisze: catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.netRootkit scan 2009-07-11 14:29Windows 5.1.2600 Dodatek Service Pack 2 NTFS Kaspersky nic nie znalazł niby.. nie wiem już jak to jest z tymi wirusami, niby są a się okazuje że ich nie ma xD
MarekM25 komentarz 12 lipca 2009 komentarz 12 lipca 2009 catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.netRootkit scan 2009-07-11 14:29Windows 5.1.2600 Dodatek Service Pack 2 NTFS to jest w każdym logu combofix:PP już jest dobrze??
s.w.n.h komentarz 13 lipca 2009 Autor komentarz 13 lipca 2009 hahaha no bo Was.. to dlaczego od razu nie mówicie? A ja się tu martwię ojjj chłopaki dobra zamknijmy ten temat
Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!
Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.