x-kom hosting

Prośba o sprawdzenie logów

Phoenix332
utworzono
utworzono (edytowane)

Hijack.

Logfile of Trend Micro HijackThis v2.0.2Scan saved at 11:58:37, on 2009-07-12Platform: Windows XP Dodatek SP3 (WinNT 5.01.2600)MSIE: Internet Explorer v8.00 (8.00.6001.18702)Boot mode: NormalRunning processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\system32\spoolsv.exeC:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exeC:\Program Files\A4Tech\Mouse\Amoumain.exeC:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exeC:\WINDOWS\system32\ctfmon.exeC:\Program Files\Messenger\msmsgs.exeC:\Program Files\Nowe Gadu-Gadu\gg.exeC:\Program Files\Nowe Gadu-Gadu\spellchecker_gg.exeC:\WINDOWS\system32\sistray.exeC:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exeC:\Program Files\Bonjour\mDNSResponder.exeC:\WINDOWS\system32\dlg.exeC:\Program Files\Java\jre6\bin\jqs.exeC:\WINDOWS\system32\wbem\wmiapsrv.exeC:\Program Files\Winamp\winamp.exeC:\Program Files\Mozilla Firefox\firefox.exeC:\Program Files\Trend Micro\HijackThis\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.localR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = ŁączaR3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dllO2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dllO2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dllO2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet\tools\BitCometBHO_1.3.3.2.dllO2 - BHO: Idea2 SidebarBrowserMonitor Class - {45AD732C-2CE2-4666-B366-B2214AD57A49} - E:\sbin\Profiles\Phoenix332\sbhelp.dllO2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dllO2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dllO2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dllO2 - BHO: JQSIEStartDetectorImpl Class - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dllO2 - BHO: IEPluginBHO - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Documents and Settings\Danonek\Dane aplikacji\Nowe Gadu-Gadu\_userdata\ggbho.1.dllO3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dllO4 - HKLM\..\Run: [WheelMouse] C:\Program Files\A4Tech\Mouse\Amoumain.exeO4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"O4 - HKLM\..\Run: [siSPower] Rundll32.exe SiSPower.dll,ModeAgentO4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /minO4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exeO4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /backgroundO4 - HKCU\..\Run: [Nowe Gadu-Gadu] "C:\Program Files\Nowe Gadu-Gadu\gg.exe"O4 - HKCU\..\Run: [steam] "e:\program files\valve\steam\steam.exe" -silentO4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exeO4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exeO8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000O8 - Extra context menu item: Pobierz wszystkie VIdeo za pomocą BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htmO8 - Extra context menu item: Pobierz wszystko za pomocą BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htmO8 - Extra context menu item: Pobierz za pomocą BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htmO9 - Extra button: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - E:\sbin\Profiles\Phoenix332\sbhelp.dllO9 - Extra 'Tools' menuitem: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - E:\sbin\Profiles\Phoenix332\sbhelp.dllO9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dllO9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dllO9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exeO9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exeO9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dllO16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Program Files\Yahoo!\Common\Yinsthelper200711281.dllO16 - DPF: {6824D897-F7E1-4E41-B84B-B1D3FA4BF1BD} (PCPitstop AntiVirus) - http://utilities.pcpitstop.com/Exterminate...opAntiVirus.dllO16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cabO17 - HKLM\System\CCS\Services\Tcpip\..\{F3DF6086-8717-4DCE-9748-412DD1920E35}: NameServer = 192.168.1.2O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exeO23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exeO23 - Service: Apache2.2 - Unknown owner - E:\xampp\apache\bin\apache.exe (file missing)O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exeO23 - Service: dlgx1 - Unknown owner - C:\WINDOWS\system32\dlg.exeO23 - Service: Eset HTTP Server (EhttpSrv) - Unknown owner - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe (file missing)O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exeO23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exeO23 - Service: mysql - Unknown owner - E:\xampp\mysql\bin\mysqld-nt.exe (file missing)--End of file - 7781 bytes

Combofix

ComboFix 09-07-09.08 - Danonek 2009-07-10 19:26.2.1 - NTFSx86Microsoft Windows XP Home Edition  5.1.2600.3.1250.48.1045.18.1917.1224 [GMT 2:00]Uruchomiony z: c:\documents and settings\Danonek\Pulpit\ComboFix.exeAV:  3.0 *On-access scanning disabled* (Outdated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}FW: Zapora osobista *enabled* {E5E70D32-0101-4340-86A3-A7B0F1C8FFE0}.(((((((((((((((((((((((((((((((((((((((   Usunięto   ))))))))))))))))))))))))))))))))))))))))))))))))).c:\windows\Installer\4f659.msic:\windows\Installer\5c45d3.msic:\windows\Installer\5c45d6.msic:\windows\Installer\86c91.msic:\windows\system32\comglt32a.dllc:\windows\system32\Ijl11.dllZainfekowana kopia c:\windows\system32\ws2_32.dll została znaleziona. Problem naprawiono Plik odzyskano z - c:\windows\ServicePackFiles\i386\ws2_32.dll.(((((((((((((((((((((((((   Pliki utworzone od 2009-06-10 do 2009-07-10  ))))))))))))))))))))))))))))))).2009-07-10 12:57 . 2009-07-10 14:14	--------	d-----w-	c:\documents and settings\Danonek\Dane aplikacji\Tibia2009-07-10 10:03 . 2008-05-09 11:15	45376	----a-w-	c:\windows\system32\drivers\avgntdd.sys2009-07-10 10:03 . 2008-01-21 16:11	22336	----a-w-	c:\windows\system32\drivers\avgntmgr.sys2009-07-10 10:03 . 2009-07-10 10:12	75096	----a-w-	c:\windows\system32\drivers\avipbb.sys2009-07-10 10:03 . 2009-07-10 10:03	--------	d-----w-	c:\program files\Avira2009-07-07 10:30 . 2009-07-10 09:39	--------	d-----w-	C:\10052009-07-06 23:11 . 2009-07-06 23:11	--------	d-----w-	C:\free10072009-07-06 23:01 . 2006-08-29 16:36	--------	d---a-w-	C:\czyste2009-07-06 21:08 . 2009-07-06 21:08	--------	d-----w-	C:\Joomla_1.5.12-Stable-Full_Package2009-07-06 17:36 . 2009-07-06 17:36	--------	d-----w-	c:\program files\Binboy2009-07-05 23:24 . 2009-07-05 23:24	--------	d-----w-	C:\info-male[major.unl.pl]2009-07-05 19:46 . 2009-07-05 19:46	--------	d-----w-	c:\program files\Ventrilo2009-07-05 19:45 . 2009-07-05 19:45	--------	d-----w-	c:\program files\Common Files\Wise Installation Wizard2009-07-05 18:54 . 2009-07-05 18:54	256000	----a-w-	c:\windows\system32\dlg.exe2009-07-05 18:54 . 2009-07-05 18:54	128000	----a-w-	c:\windows\system32\dlg.dll2009-07-05 11:07 . 2009-07-04 15:35	12800	----a-w-	c:\windows\system32\sknc.dll2009-07-04 21:32 . 2009-07-04 21:32	--------	d-----w-	c:\program files\N.S.C Studio2009-07-04 20:33 . 2009-07-06 17:40	--------	d-----w-	C:\maqq[t] && major [major.unl.pl]2009-07-03 21:56 . 2009-07-03 21:56	--------	d-----w-	C:\kyrtap_major[major.unl.pl]2009-07-02 10:42 . 2009-07-02 10:42	--------	d-----w-	C:\fist2009-07-02 10:36 . 2009-07-02 10:36	--------	d-----w-	C:\darmowy102009-06-24 10:49 . 2009-06-24 10:49	--------	d-----w-	c:\windows\SIS2009-06-24 10:49 . 2008-03-20 16:58	65536	------w-	c:\windows\system32\SiSHook.dll2009-06-24 10:49 . 2008-03-20 16:57	110592	------w-	c:\windows\system32\TVMode.dll2009-06-24 10:49 . 2008-03-20 16:55	135168	------w-	c:\windows\system32\SiSApCom.dll2009-06-24 10:49 . 2008-03-20 16:57	262144	----a-w-	c:\windows\system32\sistray.exe2009-06-24 10:49 . 2008-03-20 16:58	53248	----a-w-	c:\windows\system32\SiSPower.dll2009-06-24 10:49 . 2008-03-20 16:56	12288	----a-w-	c:\windows\InstFunc.dll2009-06-24 10:49 . 2006-04-28 07:56	49152	----a-w-	c:\windows\InstFunc.exe2009-06-24 10:49 . 2006-04-12 17:35	208896	----a-w-	c:\windows\Progress.exe2009-06-23 12:00 . 2009-06-23 12:00	--------	d-----w-	c:\program files\MSXML 4.02009-06-23 09:54 . 2009-06-23 09:54	--------	d-----w-	C:\176-Shoutbox-2.0.12009-06-23 09:50 . 2009-06-23 09:50	8644	----a-w-	C:\176-Shoutbox-2.0.1.zip2009-06-22 16:01 . 2009-06-22 16:01	--------	d-----w-	c:\program files\Bonjour2009-06-22 15:38 . 2009-06-22 15:38	--------	d-----w-	c:\program files\Common Files\Macrovision Shared2009-06-22 15:07 . 2009-06-22 15:15	--------	d-----w-	c:\program files\WebSite X5 Smart2009-06-22 15:02 . 2009-06-22 15:02	--------	d-----w-	C:\MyWebSite2009-06-22 14:49 . 2009-06-22 14:49	803	----a-w-	c:\windows\system32\unins000.dat2009-06-22 14:49 . 2009-06-22 14:49	--------	d-----w-	c:\documents and settings\Danonek\Dane aplikacji\think32009-06-22 14:48 . 2006-02-22 21:40	1060864	------r-	c:\windows\system32\mfc71.dll2009-06-22 14:48 . 2006-02-22 21:40	89088	------r-	c:\windows\system32\atl71.dll2009-06-22 14:48 . 2006-02-22 21:40	86016	------r-	c:\windows\system32\MSADDNDR.DLL2009-06-22 11:51 . 2009-06-22 11:51	15872	----a-r-	c:\documents and settings\Danonek\Dane aplikacji\Microsoft\Installer\{048298C9-A4D3-490B-9FF9-AB023A9238F3}\Icon048298C9.exe2009-06-22 11:16 . 1997-11-11 14:10	28160	----a-w-	c:\windows\system32\ATX32OLE.DLL2009-06-22 11:16 . 1997-10-24 14:19	78336	----a-w-	c:\windows\system32\ATX32PIC.DLL2009-06-22 11:16 . 1997-03-21 08:51	346112	----a-w-	c:\windows\system32\PPRO100.DLL2009-06-22 11:13 . 2007-03-28 16:43	181760	----a-w-	c:\windows\system32\iwpsetup.exe2009-06-22 11:13 . 1998-03-04 19:32	237568	----a-w-	c:\windows\system32\CompPl32.dll2009-06-22 11:13 . 1997-01-15 22:00	29696	----a-w-	c:\windows\system32\VB5STKIT.DLL2009-06-20 21:32 . 2009-07-09 13:37	--------	d-----w-	c:\documents and settings\All Users\Dane aplikacji\OpenFM2009-06-20 21:32 . 2009-06-20 21:32	--------	d-----w-	c:\documents and settings\Danonek\Dane aplikacji\OpenFM2009-06-20 21:27 . 2009-06-20 21:28	--------	d-----w-	c:\program files\Nowe Gadu-Gadu2009-06-14 15:13 . 2009-06-14 15:21	--------	d-----w-	c:\program files\SiS VGA Utilities V3.832009-06-14 14:55 . 2008-03-20 17:00	323072	-c--a-w-	c:\windows\system32\dllcache\sisgrp.sys2009-06-14 14:55 . 2008-03-20 17:00	323072	----a-w-	c:\windows\system32\drivers\sisgrp.sys2009-06-14 13:47 . 2009-06-14 13:47	--------	d-----w-	c:\documents and settings\Danonek\Ustawienia lokalne\Dane aplikacji\PC_Drivers_Headquarters2009-06-14 12:27 . 2003-06-12 20:50	13459	----a-w-	c:\windows\system32\drivers\VLATENCY.SYS2009-06-12 22:26 . 2009-06-12 22:26	--------	d-----w-	c:\program files\TibiaBot NG2009-06-11 06:50 . 2009-04-30 21:17	12800	-c----w-	c:\windows\system32\dllcache\xpshims.dll2009-06-11 06:50 . 2009-04-30 21:17	246272	-c----w-	c:\windows\system32\dllcache\ieproxy.dll.((((((((((((((((((((((((((((((((((((((((   Sekcja Find3M   )))))))))))))))))))))))))))))))))))))))))))))))))))).2009-07-10 17:20 . 2008-11-22 20:22	--------	d-----w-	c:\documents and settings\All Users\Dane aplikacji\Spybot - Search & Destroy2009-07-10 10:03 . 2009-01-18 00:54	--------	d-----w-	c:\documents and settings\All Users\Dane aplikacji\Avira2009-07-10 09:41 . 2008-10-07 17:20	--------	d--h--w-	c:\program files\InstallShield Installation Information2009-07-10 09:40 . 2009-05-05 21:45	--------	d-----w-	c:\program files\CoolMon2009-07-09 17:39 . 2009-02-20 21:05	--------	d-----w-	c:\documents and settings\Danonek\Dane aplikacji\foobar20002009-06-24 16:27 . 2004-08-04 12:00	74648	----a-w-	c:\windows\system32\perfc015.dat2009-06-24 16:27 . 2004-08-04 12:00	448586	----a-w-	c:\windows\system32\perfh015.dat2009-06-24 10:49 . 2009-06-24 10:49	--------	d-----w-	c:\program files\SiS VGA Utilities V3.842009-06-24 10:49 . 2009-06-24 10:48	--------	d-----w-	c:\program files\sisagp2009-06-23 16:08 . 2009-03-10 21:23	--------	d-----w-	c:\program files\BitComet2009-06-22 20:47 . 2009-05-14 10:50	--------	d-----w-	c:\documents and settings\Danonek\Dane aplikacji\FileZilla2009-06-22 16:01 . 2008-11-07 16:09	--------	d-----w-	c:\program files\Common Files\Adobe2009-06-22 11:28 . 2008-10-01 21:16	66672	----a-w-	c:\documents and settings\Danonek\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT2009-06-11 20:47 . 2009-05-01 15:00	--------	d-----w-	c:\documents and settings\Danonek\Dane aplikacji\Hamachi2009-06-11 20:45 . 2009-04-07 13:36	--------	d-----w-	c:\documents and settings\Danonek\Dane aplikacji\Dev-Cpp2009-06-09 19:11 . 2009-04-16 19:16	--------	d-----w-	c:\documents and settings\Danonek\Dane aplikacji\Wypas2009-06-05 20:11 . 2009-06-05 20:11	0	----a-w-	c:\documents and settings\Danonek\ntuser.tmp2009-05-31 10:13 . 2009-05-31 10:11	--------	d-----w-	c:\program files\NG2009-05-31 10:12 . 2008-11-15 20:12	--------	d---a-w-	c:\documents and settings\All Users\Dane aplikacji\TEMP2009-05-28 09:23 . 2009-05-28 09:23	42088	----a-w-	c:\documents and settings\Danonek\Dane aplikacji\Nowe Gadu-Gadu\_userdata\ggbho.1.dll2009-05-28 08:34 . 2009-05-28 08:34	11264	----a-w-	c:\documents and settings\Danonek\Dane aplikacji\Nowe Gadu-Gadu\_userdata\npgg.1.dll2009-05-26 21:42 . 2009-05-05 22:01	--------	d-----w-	c:\documents and settings\Danonek\Dane aplikacji\Desktop Sidebar2009-05-25 19:13 . 2009-01-28 10:33	--------	d-----w-	c:\program files\Tibia2009-05-24 07:55 . 2009-05-23 16:30	--------	d-----w-	c:\program files\Hotspot_Shield2009-05-23 16:30 . 2009-05-23 16:30	--------	d-----w-	c:\program files\Conduit2009-05-15 14:56 . 2009-04-11 14:36	--------	d-----w-	c:\documents and settings\Danonek\Dane aplikacji\TortoiseSVN2009-05-14 18:08 . 2009-05-14 18:08	27136	----a-w-	c:\windows\system32\drivers\tapvpn.sys2009-05-14 10:50 . 2009-05-14 10:49	--------	d-----w-	c:\program files\FileZilla FTP Client2009-05-13 05:06 . 2004-08-04 12:00	915456	----a-w-	c:\windows\system32\wininet.dll2009-05-12 19:24 . 2008-11-11 23:21	270678	----a-w-	c:\documents and settings\Danonek\Ustawienia lokalne\Dane aplikacji\Menu.exe2009-05-12 19:24 . 2008-11-11 23:21	133246	----a-w-	c:\documents and settings\Danonek\Ustawienia lokalne\Dane aplikacji\FullVersion.exe2009-05-12 19:24 . 2008-11-11 23:21	132718	----a-w-	c:\documents and settings\Danonek\Ustawienia lokalne\Dane aplikacji\FastStart.exe2009-05-07 15:34 . 2004-08-04 12:00	347648	----a-w-	c:\windows\system32\localspl.dll2009-05-01 15:00 . 2009-05-01 15:00	25280	----a-w-	c:\windows\system32\drivers\hamachi.sys2009-04-19 19:51 . 2004-08-04 12:00	1847424	----a-w-	c:\windows\system32\win32k.sys2009-04-15 14:54 . 2004-08-04 12:00	585216	----a-w-	c:\windows\system32\rpcrt4.dll.(((((((((((((((((((((((((((((((((((((   Wpisy startowe rejestru   ))))))))))))))))))))))))))))))))))))))))))))))))))..*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane  REGEDIT4[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-14 1695232]"Nowe Gadu-Gadu"="c:\program files\Nowe Gadu-Gadu\gg.exe" [2009-05-28 10486376]"Steam"="e:\program files\valve\steam\steam.exe" [2009-06-24 1217784][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"WheelMouse"="c:\program files\A4Tech\Mouse\Amoumain.exe" [2007-05-15 204800]"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]"SiSPower"="SiSPower.dll" - c:\windows\system32\SiSPower.dll [2008-03-20 53248][HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]c:\documents and settings\All Users\Menu Start\Programy\Autostart\Adobe Gamma Loader.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2008-11-7 113664]Utility Tray.lnk - c:\windows\system32\sistray.exe [2009-6-24 262144][HKLM\~\startupfolder\C:^Documents and Settings^Danonek^Menu Start^Programy^Autostart^hamachi.lnk]path=c:\documents and settings\Danonek\Menu Start\Programy\Autostart\hamachi.lnkbackup=c:\windows\pss\hamachi.lnkStartup[HKEY_LOCAL_MACHINE\software\microsoft\security center]"AntiVirusOverride"=dword:00000001[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]"EnableFirewall"= 0 (0x0)[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]"%windir%\\system32\\sessmgr.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe"="c:\\Program Files\\Gadu-Gadu\\gg.exe"="c:\\WINDOWS\\Help\\UNDEAD REBIRTH.EXE"="c:\\Program Files\\Bonjour\\mDNSResponder.exe"=[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]"12423:TCP"= 12423:TCP:BitComet 12423 TCP"12423:UDP"= 12423:UDP:BitComet 12423 UDP"9549:TCP"= 9549:TCP:BitComet 9549 TCP"9549:UDP"= 9549:UDP:BitComet 9549 UDP"8803:TCP"= 8803:TCP:BitComet 8803 TCP"8803:UDP"= 8803:UDP:BitComet 8803 UDP"10354:TCP"= 10354:TCP:BitComet 10354 TCP"10354:UDP"= 10354:UDP:BitComet 10354 UDP"20332:TCP"= 20332:TCP:BitComet 20332 TCP"20332:UDP"= 20332:UDP:BitComet 20332 UDP"21463:TCP"= 21463:TCP:BitComet 21463 TCP"21463:UDP"= 21463:UDP:BitComet 21463 UDP"18993:TCP"= 18993:TCP:BitComet 18993 TCP"18993:UDP"= 18993:UDP:BitComet 18993 UDP"21571:TCP"= 21571:TCP:BitComet 21571 TCP"21571:UDP"= 21571:UDP:BitComet 21571 UDP"10364:TCP"= 10364:TCP:BitComet 10364 TCP"10364:UDP"= 10364:UDP:BitComet 10364 UDP"11591:TCP"= 11591:TCP:BitComet 11591 TCP"11591:UDP"= 11591:UDP:BitComet 11591 UDP"16515:TCP"= 16515:TCP:BitComet 16515 TCP"16515:UDP"= 16515:UDP:BitComet 16515 UDP"26593:TCP"= 26593:TCP:BitComet 26593 TCP"26593:UDP"= 26593:UDP:BitComet 26593 UDP"15325:TCP"= 15325:TCP:BitComet 15325 TCP"15325:UDP"= 15325:UDP:BitComet 15325 UDP"22178:TCP"= 22178:TCP:BitComet 22178 TCP"22178:UDP"= 22178:UDP:BitComet 22178 UDP"24518:TCP"= 24518:TCP:BitComet 24518 TCP"24518:UDP"= 24518:UDP:BitComet 24518 UDP"25504:TCP"= 25504:TCP:BitComet 25504 TCP"25504:UDP"= 25504:UDP:BitComet 25504 UDP"15496:TCP"= 15496:TCP:BitComet 15496 TCP"15496:UDP"= 15496:UDP:BitComet 15496 UDP"19806:TCP"= 19806:TCP:BitComet 19806 TCP"19806:UDP"= 19806:UDP:BitComet 19806 UDP"22486:TCP"= 22486:TCP:BitComet 22486 TCP"22486:UDP"= 22486:UDP:BitComet 22486 UDP"15890:TCP"= 15890:TCP:BitComet 15890 TCP"15890:UDP"= 15890:UDP:BitComet 15890 UDP"11266:TCP"= 11266:TCP:BitComet 11266 TCP"11266:UDP"= 11266:UDP:BitComet 11266 UDP"18413:TCP"= 18413:TCP:BitComet 18413 TCP"18413:UDP"= 18413:UDP:BitComet 18413 UDP"7759:TCP"= 7759:TCP:BitComet 7759 TCP"7759:UDP"= 7759:UDP:BitComet 7759 UDP"25393:TCP"= 25393:TCP:BitComet 25393 TCP"25393:UDP"= 25393:UDP:BitComet 25393 UDPR1 VLATENCY;VLATENCY;c:\windows\system32\drivers\VLATENCY.SYS [2009-06-14 13459]R2 dlgx1;dlgx1;c:\windows\system32\dlg.exe [2009-07-05 256000]R2 NwSapAgent;Agent SAP;c:\windows\system32\svchost.exe -k netsvcs [2004-08-04 14336]S2 Apache2.2;Apache2.2;"e:\xampp\apache\bin\apache.exe" -k runservice --> e:\xampp\apache\bin\apache.exe [?]S3 ATE_PROCMON;ATE_PROCMON;\??\c:\program files\Anti Trojan Elite\ATEPMon.sys --> c:\program files\Anti Trojan Elite\ATEPMon.sys [?]--- Inne Usługi/Sterowniki w Pamięci ---*NewlyCreated* - SSMDRV[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP..------- Skan uzupełniający -------.uStart Page = hxxp://www.google.pl/uInternet Settings,ProxyOverride = *.localIE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000IE: Pobierz wszystkie VIdeo za pomocą BitComet - c:\program files\BitComet\BitComet.exe/AddVideo.htmIE: Pobierz wszystko za pomocą BitComet - c:\program files\BitComet\BitComet.exe/AddAllLink.htmIE: Pobierz za pomocą BitComet - c:\program files\BitComet\BitComet.exe/AddLink.htmIE: Ściągnij przez IDMIE: Ściągnij wszystkie linki przez IDMIE: Ściągnij zawartość wideo FLV przez IDMTCP: {F3DF6086-8717-4DCE-9748-412DD1920E35} = 192.168.1.2DPF: {6824D897-F7E1-4E41-B84B-B1D3FA4BF1BD} - hxxp://utilities.pcpitstop.com/Exterminate2/pcpitstopAntiVirus.dllFF - ProfilePath - c:\documents and settings\Danonek\Dane aplikacji\Mozilla\Firefox\Profiles\m3je9uxs.default\FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT1561552&SearchSource=3&q=FF - prefs.js: browser.search.selectedEngine - AllegroFF - prefs.js: keyword.URL - hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampab&query=FF - component: c:\documents and settings\Danonek\Dane aplikacji\Mozilla\Firefox\Profiles\m3je9uxs.default\extensions\{B042753D-F57E-4e8e-A01B-7379A6D4CEFB}\components\IBitCometExtension.dllFF - component: c:\documents and settings\Danonek\Dane aplikacji\Mozilla\Firefox\Profiles\m3je9uxs.default\extensions\{c95a4e8e-816d-4655-8c79-d736da1adb6d}\components\FFAlert.dllFF - plugin: c:\documents and settings\Danonek\Dane aplikacji\Nowe Gadu-Gadu\_userdata\npgg.1.dllFF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dllFF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dllFF - plugin: c:\program files\Mozilla Firefox\plugins\npdjvu.dll.**************************************************************************catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.netRootkit scan 2009-07-10 19:29Windows 5.1.2600 Dodatek Service Pack 3 NTFSskanowanie ukrytych procesów ...  skanowanie ukrytych wpisów autostartu ... skanowanie ukrytych plików ...  skanowanie pomyślnie ukończoneukryte pliki: 0**************************************************************************[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ASFWHide]"ImagePath"="\??\c:\docume~1\Danonek\USTAWI~1\Temp\ASFWHide".--------------------- ZABLOKOWANE KLUCZE REJESTRU ---------------------[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{287ea971-fee3-4e05-b84e-73ed5b54c5c3}]@Denied: (Full) (Everyone)"Model"=dword:00000054"Therad"=dword:00000015[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{5ED60779-4DE2-4E07-B862-974CA4FF2E9C}]@Denied: (Full) (Everyone)"scansk"=hex(0):E4,c6,b5,7b,65,ff,23,ca,5c,eb,8e,d3,b8,d1,cc,42,a2,fe,94,08,00,   6c,d2,5e,64,b7,89,2d,03,8c,b3,d3,71,55,ac,6a,f9,12,4c,95,00,00,00,00,00,00,\.--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------- - - - - - - > 'explorer.exe'(3808)c:\windows\system32\WININET.dllc:\windows\system32\wpdshext.dllc:\windows\system32\PortableDeviceApi.dllc:\windows\system32\Audiodev.dllc:\windows\system32\WMVCore.DLLc:\windows\system32\WMASF.DLLc:\windows\system32\webcheck.dllc:\windows\system32\WPDShServiceObj.dllc:\windows\system32\PortableDeviceTypes.dlle:\sbin\Profiles\Phoenix332\sbhelp.dllc:\program files\Spybot - Search & Destroy\SDHelper.dll.------------------------ Pozostałe uruchomione procesy ------------------------.c:\program files\Avira\AntiVir PersonalEdition Classic\sched.exec:\program files\Avira\AntiVir PersonalEdition Classic\avguard.exec:\program files\Bonjour\mDNSResponder.exec:\program files\Java\jre6\bin\jqs.exec:\program files\Nowe Gadu-Gadu\spellchecker_gg.exec:\windows\system32\wbem\wmiapsrv.exec:\program files\Mozilla Firefox\firefox.exe.**************************************************************************.Czas ukończenia: 2009-07-10 19:33 - komputer został uruchomiony ponownieComboFix-quarantined-files.txt  2009-07-10 17:32Przed: 2 245 197 824 bajtów wolnychPo: 2 207 965 184 bajtów wolnychWindowsXP-KB310994-SP2-Home-BootDisk-PLK.exe[boot loader]timeout=2default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS[operating systems]c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdconsmulti(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect297	--- E O F ---	2009-06-23 12:00

Proszę o sprawdzenie.

Odświeżam...

Sprawdzi ktoś czy nie?

Gość
komentarz
komentarz

Miałeś pliki Vundo + kilka trojanów + zainfekowany plik systemowy:

Zainfekowana kopia c:\windows\system32\ws2_32.dll została znaleziona. Problem naprawiono Plik odzyskano z - c:\windows\ServicePackFiles\i386\ws2_32.dll

ComboFix ,,niby" to podmienił.

Jest OK w logach.

********************************************************************************************

1. Posprzątaj po ComboFixie >>> OTCleanIt.

2. Użyj programu Malwarebytes.

Wciskamy Skanuj, wybieramy dyski do skanowania i Rozpoczynamy skanowanie, na końcu wciskamy Usuń zaznaczone jak będą i Ok.

Wrzuć wygenerowany raport po usuwaniu MBAMem.

3. Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum.

.

Phoenix332
komentarz
komentarz (edytowane)
Malwarebytes' Anti-Malware 1.39Wersja bazy definicji: 2431Windows 5.1.2600 Dodatek Service Pack 32009-07-15 01:15:40mbam-log-2009-07-15 (01-15-40).txtTyp skanowania: Pełne skanowanie (C:\|D:\|E:\|)Przeskanowane obiekty: 156394Upłynęło: 1 hour(s), 24 minute(s), 58 second(s)Zainfekowane procesy w pamięci: 0Zainfekowane moduły pamięci: 0Zainfekowane klucze rejestru: 0Zainfekowane wartości rejestru: 0Zainfekowane pliki rejestru: 0Zainfekowane foldery: 0Zainfekowane pliki: 5Zainfekowane procesy w pamięci:(Nie wykryto groźnych plików)Zainfekowane moduły pamięci:(Nie wykryto groźnych plików)Zainfekowane klucze rejestru:(Nie wykryto groźnych plików)Zainfekowane wartości rejestru:(Nie wykryto groźnych plików)Zainfekowane pliki rejestru:(Nie wykryto groźnych plików)Zainfekowane foldery:(Nie wykryto groźnych plików)Zainfekowane pliki:c:\program files\trend micro\hijackthis\backups\backup-20090526-220203-609-smgr32.exe (Trojan.Agent) -> Quarantined and deleted successfully.c:\WINDOWS\Help\OTSERV TRUNK.EXE (Adware.Agent) -> Quarantined and deleted successfully.c:\WINDOWS\Help\UNDEAD REBIRTH.EXE (Adware.Agent) -> Quarantined and deleted successfully.C:\WINDOWS\system32\zlib4.dll (Trojan.Agent) -> Quarantined and deleted successfully.c:\WINDOWS\explorer.vbk (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.

Z kasperskiego dodam jutro bo trochę długo się aktualizuje baza danych, a dziś nie mam czasu idę spać.

edit@

--------------------------------------------------------------------------------RAPORT KASPERSKY ONLINE SCANNER 7.0 środa, 15 lipiec 2009 System operacyjny: Microsoft Windows XP Home Edition Dodatek Service Pack 3 (build 2600) Wersja Kaspersky Online Scanner: 7.0.26.12 Data ostatniej aktualizacji bazy danych: Wednesday, July 15, 2009 13:17:34 Liczba wpisów: 2471059--------------------------------------------------------------------------------Ustawienia skanowania:	Typ bazy danych użytej do skanowania: rozszerzona	Skanuj archiwa: tak	Skanuj pocztowe bazy danych: takObszar skanowania - Mój komputer:	C:\	D:\	E:\	F:\	G:\Statystyki skanowania:	Przeskanowanych plików: 81201	Nazwa zagrożenia: 3	Zainfekowanych obiektów: 4	Podejrzanych obiektów: 0	Czas skanowania: 01:57:41Nazwa pliku / Nazwa zagrożenia / Liczba zagrożeńC:\Documents and Settings\Danonek\Moje dokumenty\cryingdamson3gui.7z	Zainfekowany: Trojan.Win32.Delf.lpp	1C:\Documents and Settings\Danonek\Moje dokumenty\cryingdamson4console.7z	Zainfekowany: Trojan.Win32.Delf.miv	1D:\botng\bot ng\setup-4.8.6.exe	Zainfekowany: Trojan.Win32.Pasta.als	1E:\botng.rar	Zainfekowany: Trojan.Win32.Pasta.als	1Wybrany obszar został przeskanowany.
Gość
komentarz
komentarz

Jest OK. :)

.

Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!

Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.

×
×
  • Dodaj nową pozycję...

Powiadomienie o plikach cookie

Strona wykorzystuje pliki cookies w celu prawidłowego świadczenia usług i wygody użytkowników. Warunki przechowywania i dostępu do plików cookies możesz zmienić w ustawieniach przeglądarki.