Phoenix332 utworzono 13 lipca 2009 utworzono 13 lipca 2009 (edytowane) Hijack. Logfile of Trend Micro HijackThis v2.0.2Scan saved at 11:58:37, on 2009-07-12Platform: Windows XP Dodatek SP3 (WinNT 5.01.2600)MSIE: Internet Explorer v8.00 (8.00.6001.18702)Boot mode: NormalRunning processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\system32\spoolsv.exeC:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exeC:\Program Files\A4Tech\Mouse\Amoumain.exeC:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exeC:\WINDOWS\system32\ctfmon.exeC:\Program Files\Messenger\msmsgs.exeC:\Program Files\Nowe Gadu-Gadu\gg.exeC:\Program Files\Nowe Gadu-Gadu\spellchecker_gg.exeC:\WINDOWS\system32\sistray.exeC:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exeC:\Program Files\Bonjour\mDNSResponder.exeC:\WINDOWS\system32\dlg.exeC:\Program Files\Java\jre6\bin\jqs.exeC:\WINDOWS\system32\wbem\wmiapsrv.exeC:\Program Files\Winamp\winamp.exeC:\Program Files\Mozilla Firefox\firefox.exeC:\Program Files\Trend Micro\HijackThis\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.localR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = ŁączaR3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dllO2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dllO2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dllO2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet\tools\BitCometBHO_1.3.3.2.dllO2 - BHO: Idea2 SidebarBrowserMonitor Class - {45AD732C-2CE2-4666-B366-B2214AD57A49} - E:\sbin\Profiles\Phoenix332\sbhelp.dllO2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dllO2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dllO2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dllO2 - BHO: JQSIEStartDetectorImpl Class - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dllO2 - BHO: IEPluginBHO - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Documents and Settings\Danonek\Dane aplikacji\Nowe Gadu-Gadu\_userdata\ggbho.1.dllO3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dllO4 - HKLM\..\Run: [WheelMouse] C:\Program Files\A4Tech\Mouse\Amoumain.exeO4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"O4 - HKLM\..\Run: [siSPower] Rundll32.exe SiSPower.dll,ModeAgentO4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /minO4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exeO4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /backgroundO4 - HKCU\..\Run: [Nowe Gadu-Gadu] "C:\Program Files\Nowe Gadu-Gadu\gg.exe"O4 - HKCU\..\Run: [steam] "e:\program files\valve\steam\steam.exe" -silentO4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exeO4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exeO8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000O8 - Extra context menu item: Pobierz wszystkie VIdeo za pomocą BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htmO8 - Extra context menu item: Pobierz wszystko za pomocą BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htmO8 - Extra context menu item: Pobierz za pomocą BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htmO9 - Extra button: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - E:\sbin\Profiles\Phoenix332\sbhelp.dllO9 - Extra 'Tools' menuitem: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - E:\sbin\Profiles\Phoenix332\sbhelp.dllO9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dllO9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dllO9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exeO9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exeO9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dllO16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Program Files\Yahoo!\Common\Yinsthelper200711281.dllO16 - DPF: {6824D897-F7E1-4E41-B84B-B1D3FA4BF1BD} (PCPitstop AntiVirus) - http://utilities.pcpitstop.com/Exterminate...opAntiVirus.dllO16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cabO17 - HKLM\System\CCS\Services\Tcpip\..\{F3DF6086-8717-4DCE-9748-412DD1920E35}: NameServer = 192.168.1.2O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exeO23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exeO23 - Service: Apache2.2 - Unknown owner - E:\xampp\apache\bin\apache.exe (file missing)O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exeO23 - Service: dlgx1 - Unknown owner - C:\WINDOWS\system32\dlg.exeO23 - Service: Eset HTTP Server (EhttpSrv) - Unknown owner - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe (file missing)O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exeO23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exeO23 - Service: mysql - Unknown owner - E:\xampp\mysql\bin\mysqld-nt.exe (file missing)--End of file - 7781 bytes Combofix ComboFix 09-07-09.08 - Danonek 2009-07-10 19:26.2.1 - NTFSx86Microsoft Windows XP Home Edition 5.1.2600.3.1250.48.1045.18.1917.1224 [GMT 2:00]Uruchomiony z: c:\documents and settings\Danonek\Pulpit\ComboFix.exeAV: 3.0 *On-access scanning disabled* (Outdated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}FW: Zapora osobista *enabled* {E5E70D32-0101-4340-86A3-A7B0F1C8FFE0}.((((((((((((((((((((((((((((((((((((((( Usunięto ))))))))))))))))))))))))))))))))))))))))))))))))).c:\windows\Installer\4f659.msic:\windows\Installer\5c45d3.msic:\windows\Installer\5c45d6.msic:\windows\Installer\86c91.msic:\windows\system32\comglt32a.dllc:\windows\system32\Ijl11.dllZainfekowana kopia c:\windows\system32\ws2_32.dll została znaleziona. Problem naprawiono Plik odzyskano z - c:\windows\ServicePackFiles\i386\ws2_32.dll.((((((((((((((((((((((((( Pliki utworzone od 2009-06-10 do 2009-07-10 ))))))))))))))))))))))))))))))).2009-07-10 12:57 . 2009-07-10 14:14 -------- d-----w- c:\documents and settings\Danonek\Dane aplikacji\Tibia2009-07-10 10:03 . 2008-05-09 11:15 45376 ----a-w- c:\windows\system32\drivers\avgntdd.sys2009-07-10 10:03 . 2008-01-21 16:11 22336 ----a-w- c:\windows\system32\drivers\avgntmgr.sys2009-07-10 10:03 . 2009-07-10 10:12 75096 ----a-w- c:\windows\system32\drivers\avipbb.sys2009-07-10 10:03 . 2009-07-10 10:03 -------- d-----w- c:\program files\Avira2009-07-07 10:30 . 2009-07-10 09:39 -------- d-----w- C:\10052009-07-06 23:11 . 2009-07-06 23:11 -------- d-----w- C:\free10072009-07-06 23:01 . 2006-08-29 16:36 -------- d---a-w- C:\czyste2009-07-06 21:08 . 2009-07-06 21:08 -------- d-----w- C:\Joomla_1.5.12-Stable-Full_Package2009-07-06 17:36 . 2009-07-06 17:36 -------- d-----w- c:\program files\Binboy2009-07-05 23:24 . 2009-07-05 23:24 -------- d-----w- C:\info-male[major.unl.pl]2009-07-05 19:46 . 2009-07-05 19:46 -------- d-----w- c:\program files\Ventrilo2009-07-05 19:45 . 2009-07-05 19:45 -------- d-----w- c:\program files\Common Files\Wise Installation Wizard2009-07-05 18:54 . 2009-07-05 18:54 256000 ----a-w- c:\windows\system32\dlg.exe2009-07-05 18:54 . 2009-07-05 18:54 128000 ----a-w- c:\windows\system32\dlg.dll2009-07-05 11:07 . 2009-07-04 15:35 12800 ----a-w- c:\windows\system32\sknc.dll2009-07-04 21:32 . 2009-07-04 21:32 -------- d-----w- c:\program files\N.S.C Studio2009-07-04 20:33 . 2009-07-06 17:40 -------- d-----w- C:\maqq[t] && major [major.unl.pl]2009-07-03 21:56 . 2009-07-03 21:56 -------- d-----w- C:\kyrtap_major[major.unl.pl]2009-07-02 10:42 . 2009-07-02 10:42 -------- d-----w- C:\fist2009-07-02 10:36 . 2009-07-02 10:36 -------- d-----w- C:\darmowy102009-06-24 10:49 . 2009-06-24 10:49 -------- d-----w- c:\windows\SIS2009-06-24 10:49 . 2008-03-20 16:58 65536 ------w- c:\windows\system32\SiSHook.dll2009-06-24 10:49 . 2008-03-20 16:57 110592 ------w- c:\windows\system32\TVMode.dll2009-06-24 10:49 . 2008-03-20 16:55 135168 ------w- c:\windows\system32\SiSApCom.dll2009-06-24 10:49 . 2008-03-20 16:57 262144 ----a-w- c:\windows\system32\sistray.exe2009-06-24 10:49 . 2008-03-20 16:58 53248 ----a-w- c:\windows\system32\SiSPower.dll2009-06-24 10:49 . 2008-03-20 16:56 12288 ----a-w- c:\windows\InstFunc.dll2009-06-24 10:49 . 2006-04-28 07:56 49152 ----a-w- c:\windows\InstFunc.exe2009-06-24 10:49 . 2006-04-12 17:35 208896 ----a-w- c:\windows\Progress.exe2009-06-23 12:00 . 2009-06-23 12:00 -------- d-----w- c:\program files\MSXML 4.02009-06-23 09:54 . 2009-06-23 09:54 -------- d-----w- C:\176-Shoutbox-2.0.12009-06-23 09:50 . 2009-06-23 09:50 8644 ----a-w- C:\176-Shoutbox-2.0.1.zip2009-06-22 16:01 . 2009-06-22 16:01 -------- d-----w- c:\program files\Bonjour2009-06-22 15:38 . 2009-06-22 15:38 -------- d-----w- c:\program files\Common Files\Macrovision Shared2009-06-22 15:07 . 2009-06-22 15:15 -------- d-----w- c:\program files\WebSite X5 Smart2009-06-22 15:02 . 2009-06-22 15:02 -------- d-----w- C:\MyWebSite2009-06-22 14:49 . 2009-06-22 14:49 803 ----a-w- c:\windows\system32\unins000.dat2009-06-22 14:49 . 2009-06-22 14:49 -------- d-----w- c:\documents and settings\Danonek\Dane aplikacji\think32009-06-22 14:48 . 2006-02-22 21:40 1060864 ------r- c:\windows\system32\mfc71.dll2009-06-22 14:48 . 2006-02-22 21:40 89088 ------r- c:\windows\system32\atl71.dll2009-06-22 14:48 . 2006-02-22 21:40 86016 ------r- c:\windows\system32\MSADDNDR.DLL2009-06-22 11:51 . 2009-06-22 11:51 15872 ----a-r- c:\documents and settings\Danonek\Dane aplikacji\Microsoft\Installer\{048298C9-A4D3-490B-9FF9-AB023A9238F3}\Icon048298C9.exe2009-06-22 11:16 . 1997-11-11 14:10 28160 ----a-w- c:\windows\system32\ATX32OLE.DLL2009-06-22 11:16 . 1997-10-24 14:19 78336 ----a-w- c:\windows\system32\ATX32PIC.DLL2009-06-22 11:16 . 1997-03-21 08:51 346112 ----a-w- c:\windows\system32\PPRO100.DLL2009-06-22 11:13 . 2007-03-28 16:43 181760 ----a-w- c:\windows\system32\iwpsetup.exe2009-06-22 11:13 . 1998-03-04 19:32 237568 ----a-w- c:\windows\system32\CompPl32.dll2009-06-22 11:13 . 1997-01-15 22:00 29696 ----a-w- c:\windows\system32\VB5STKIT.DLL2009-06-20 21:32 . 2009-07-09 13:37 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\OpenFM2009-06-20 21:32 . 2009-06-20 21:32 -------- d-----w- c:\documents and settings\Danonek\Dane aplikacji\OpenFM2009-06-20 21:27 . 2009-06-20 21:28 -------- d-----w- c:\program files\Nowe Gadu-Gadu2009-06-14 15:13 . 2009-06-14 15:21 -------- d-----w- c:\program files\SiS VGA Utilities V3.832009-06-14 14:55 . 2008-03-20 17:00 323072 -c--a-w- c:\windows\system32\dllcache\sisgrp.sys2009-06-14 14:55 . 2008-03-20 17:00 323072 ----a-w- c:\windows\system32\drivers\sisgrp.sys2009-06-14 13:47 . 2009-06-14 13:47 -------- d-----w- c:\documents and settings\Danonek\Ustawienia lokalne\Dane aplikacji\PC_Drivers_Headquarters2009-06-14 12:27 . 2003-06-12 20:50 13459 ----a-w- c:\windows\system32\drivers\VLATENCY.SYS2009-06-12 22:26 . 2009-06-12 22:26 -------- d-----w- c:\program files\TibiaBot NG2009-06-11 06:50 . 2009-04-30 21:17 12800 -c----w- c:\windows\system32\dllcache\xpshims.dll2009-06-11 06:50 . 2009-04-30 21:17 246272 -c----w- c:\windows\system32\dllcache\ieproxy.dll.(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))).2009-07-10 17:20 . 2008-11-22 20:22 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Spybot - Search & Destroy2009-07-10 10:03 . 2009-01-18 00:54 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Avira2009-07-10 09:41 . 2008-10-07 17:20 -------- d--h--w- c:\program files\InstallShield Installation Information2009-07-10 09:40 . 2009-05-05 21:45 -------- d-----w- c:\program files\CoolMon2009-07-09 17:39 . 2009-02-20 21:05 -------- d-----w- c:\documents and settings\Danonek\Dane aplikacji\foobar20002009-06-24 16:27 . 2004-08-04 12:00 74648 ----a-w- c:\windows\system32\perfc015.dat2009-06-24 16:27 . 2004-08-04 12:00 448586 ----a-w- c:\windows\system32\perfh015.dat2009-06-24 10:49 . 2009-06-24 10:49 -------- d-----w- c:\program files\SiS VGA Utilities V3.842009-06-24 10:49 . 2009-06-24 10:48 -------- d-----w- c:\program files\sisagp2009-06-23 16:08 . 2009-03-10 21:23 -------- d-----w- c:\program files\BitComet2009-06-22 20:47 . 2009-05-14 10:50 -------- d-----w- c:\documents and settings\Danonek\Dane aplikacji\FileZilla2009-06-22 16:01 . 2008-11-07 16:09 -------- d-----w- c:\program files\Common Files\Adobe2009-06-22 11:28 . 2008-10-01 21:16 66672 ----a-w- c:\documents and settings\Danonek\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT2009-06-11 20:47 . 2009-05-01 15:00 -------- d-----w- c:\documents and settings\Danonek\Dane aplikacji\Hamachi2009-06-11 20:45 . 2009-04-07 13:36 -------- d-----w- c:\documents and settings\Danonek\Dane aplikacji\Dev-Cpp2009-06-09 19:11 . 2009-04-16 19:16 -------- d-----w- c:\documents and settings\Danonek\Dane aplikacji\Wypas2009-06-05 20:11 . 2009-06-05 20:11 0 ----a-w- c:\documents and settings\Danonek\ntuser.tmp2009-05-31 10:13 . 2009-05-31 10:11 -------- d-----w- c:\program files\NG2009-05-31 10:12 . 2008-11-15 20:12 -------- d---a-w- c:\documents and settings\All Users\Dane aplikacji\TEMP2009-05-28 09:23 . 2009-05-28 09:23 42088 ----a-w- c:\documents and settings\Danonek\Dane aplikacji\Nowe Gadu-Gadu\_userdata\ggbho.1.dll2009-05-28 08:34 . 2009-05-28 08:34 11264 ----a-w- c:\documents and settings\Danonek\Dane aplikacji\Nowe Gadu-Gadu\_userdata\npgg.1.dll2009-05-26 21:42 . 2009-05-05 22:01 -------- d-----w- c:\documents and settings\Danonek\Dane aplikacji\Desktop Sidebar2009-05-25 19:13 . 2009-01-28 10:33 -------- d-----w- c:\program files\Tibia2009-05-24 07:55 . 2009-05-23 16:30 -------- d-----w- c:\program files\Hotspot_Shield2009-05-23 16:30 . 2009-05-23 16:30 -------- d-----w- c:\program files\Conduit2009-05-15 14:56 . 2009-04-11 14:36 -------- d-----w- c:\documents and settings\Danonek\Dane aplikacji\TortoiseSVN2009-05-14 18:08 . 2009-05-14 18:08 27136 ----a-w- c:\windows\system32\drivers\tapvpn.sys2009-05-14 10:50 . 2009-05-14 10:49 -------- d-----w- c:\program files\FileZilla FTP Client2009-05-13 05:06 . 2004-08-04 12:00 915456 ----a-w- c:\windows\system32\wininet.dll2009-05-12 19:24 . 2008-11-11 23:21 270678 ----a-w- c:\documents and settings\Danonek\Ustawienia lokalne\Dane aplikacji\Menu.exe2009-05-12 19:24 . 2008-11-11 23:21 133246 ----a-w- c:\documents and settings\Danonek\Ustawienia lokalne\Dane aplikacji\FullVersion.exe2009-05-12 19:24 . 2008-11-11 23:21 132718 ----a-w- c:\documents and settings\Danonek\Ustawienia lokalne\Dane aplikacji\FastStart.exe2009-05-07 15:34 . 2004-08-04 12:00 347648 ----a-w- c:\windows\system32\localspl.dll2009-05-01 15:00 . 2009-05-01 15:00 25280 ----a-w- c:\windows\system32\drivers\hamachi.sys2009-04-19 19:51 . 2004-08-04 12:00 1847424 ----a-w- c:\windows\system32\win32k.sys2009-04-15 14:54 . 2004-08-04 12:00 585216 ----a-w- c:\windows\system32\rpcrt4.dll.((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))..*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane REGEDIT4[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-14 1695232]"Nowe Gadu-Gadu"="c:\program files\Nowe Gadu-Gadu\gg.exe" [2009-05-28 10486376]"Steam"="e:\program files\valve\steam\steam.exe" [2009-06-24 1217784][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"WheelMouse"="c:\program files\A4Tech\Mouse\Amoumain.exe" [2007-05-15 204800]"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]"SiSPower"="SiSPower.dll" - c:\windows\system32\SiSPower.dll [2008-03-20 53248][HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]c:\documents and settings\All Users\Menu Start\Programy\Autostart\Adobe Gamma Loader.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2008-11-7 113664]Utility Tray.lnk - c:\windows\system32\sistray.exe [2009-6-24 262144][HKLM\~\startupfolder\C:^Documents and Settings^Danonek^Menu Start^Programy^Autostart^hamachi.lnk]path=c:\documents and settings\Danonek\Menu Start\Programy\Autostart\hamachi.lnkbackup=c:\windows\pss\hamachi.lnkStartup[HKEY_LOCAL_MACHINE\software\microsoft\security center]"AntiVirusOverride"=dword:00000001[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]"EnableFirewall"= 0 (0x0)[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]"%windir%\\system32\\sessmgr.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe"="c:\\Program Files\\Gadu-Gadu\\gg.exe"="c:\\WINDOWS\\Help\\UNDEAD REBIRTH.EXE"="c:\\Program Files\\Bonjour\\mDNSResponder.exe"=[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]"12423:TCP"= 12423:TCP:BitComet 12423 TCP"12423:UDP"= 12423:UDP:BitComet 12423 UDP"9549:TCP"= 9549:TCP:BitComet 9549 TCP"9549:UDP"= 9549:UDP:BitComet 9549 UDP"8803:TCP"= 8803:TCP:BitComet 8803 TCP"8803:UDP"= 8803:UDP:BitComet 8803 UDP"10354:TCP"= 10354:TCP:BitComet 10354 TCP"10354:UDP"= 10354:UDP:BitComet 10354 UDP"20332:TCP"= 20332:TCP:BitComet 20332 TCP"20332:UDP"= 20332:UDP:BitComet 20332 UDP"21463:TCP"= 21463:TCP:BitComet 21463 TCP"21463:UDP"= 21463:UDP:BitComet 21463 UDP"18993:TCP"= 18993:TCP:BitComet 18993 TCP"18993:UDP"= 18993:UDP:BitComet 18993 UDP"21571:TCP"= 21571:TCP:BitComet 21571 TCP"21571:UDP"= 21571:UDP:BitComet 21571 UDP"10364:TCP"= 10364:TCP:BitComet 10364 TCP"10364:UDP"= 10364:UDP:BitComet 10364 UDP"11591:TCP"= 11591:TCP:BitComet 11591 TCP"11591:UDP"= 11591:UDP:BitComet 11591 UDP"16515:TCP"= 16515:TCP:BitComet 16515 TCP"16515:UDP"= 16515:UDP:BitComet 16515 UDP"26593:TCP"= 26593:TCP:BitComet 26593 TCP"26593:UDP"= 26593:UDP:BitComet 26593 UDP"15325:TCP"= 15325:TCP:BitComet 15325 TCP"15325:UDP"= 15325:UDP:BitComet 15325 UDP"22178:TCP"= 22178:TCP:BitComet 22178 TCP"22178:UDP"= 22178:UDP:BitComet 22178 UDP"24518:TCP"= 24518:TCP:BitComet 24518 TCP"24518:UDP"= 24518:UDP:BitComet 24518 UDP"25504:TCP"= 25504:TCP:BitComet 25504 TCP"25504:UDP"= 25504:UDP:BitComet 25504 UDP"15496:TCP"= 15496:TCP:BitComet 15496 TCP"15496:UDP"= 15496:UDP:BitComet 15496 UDP"19806:TCP"= 19806:TCP:BitComet 19806 TCP"19806:UDP"= 19806:UDP:BitComet 19806 UDP"22486:TCP"= 22486:TCP:BitComet 22486 TCP"22486:UDP"= 22486:UDP:BitComet 22486 UDP"15890:TCP"= 15890:TCP:BitComet 15890 TCP"15890:UDP"= 15890:UDP:BitComet 15890 UDP"11266:TCP"= 11266:TCP:BitComet 11266 TCP"11266:UDP"= 11266:UDP:BitComet 11266 UDP"18413:TCP"= 18413:TCP:BitComet 18413 TCP"18413:UDP"= 18413:UDP:BitComet 18413 UDP"7759:TCP"= 7759:TCP:BitComet 7759 TCP"7759:UDP"= 7759:UDP:BitComet 7759 UDP"25393:TCP"= 25393:TCP:BitComet 25393 TCP"25393:UDP"= 25393:UDP:BitComet 25393 UDPR1 VLATENCY;VLATENCY;c:\windows\system32\drivers\VLATENCY.SYS [2009-06-14 13459]R2 dlgx1;dlgx1;c:\windows\system32\dlg.exe [2009-07-05 256000]R2 NwSapAgent;Agent SAP;c:\windows\system32\svchost.exe -k netsvcs [2004-08-04 14336]S2 Apache2.2;Apache2.2;"e:\xampp\apache\bin\apache.exe" -k runservice --> e:\xampp\apache\bin\apache.exe [?]S3 ATE_PROCMON;ATE_PROCMON;\??\c:\program files\Anti Trojan Elite\ATEPMon.sys --> c:\program files\Anti Trojan Elite\ATEPMon.sys [?]--- Inne Usługi/Sterowniki w Pamięci ---*NewlyCreated* - SSMDRV[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP..------- Skan uzupełniający -------.uStart Page = hxxp://www.google.pl/uInternet Settings,ProxyOverride = *.localIE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000IE: Pobierz wszystkie VIdeo za pomocą BitComet - c:\program files\BitComet\BitComet.exe/AddVideo.htmIE: Pobierz wszystko za pomocą BitComet - c:\program files\BitComet\BitComet.exe/AddAllLink.htmIE: Pobierz za pomocą BitComet - c:\program files\BitComet\BitComet.exe/AddLink.htmIE: Ściągnij przez IDMIE: Ściągnij wszystkie linki przez IDMIE: Ściągnij zawartość wideo FLV przez IDMTCP: {F3DF6086-8717-4DCE-9748-412DD1920E35} = 192.168.1.2DPF: {6824D897-F7E1-4E41-B84B-B1D3FA4BF1BD} - hxxp://utilities.pcpitstop.com/Exterminate2/pcpitstopAntiVirus.dllFF - ProfilePath - c:\documents and settings\Danonek\Dane aplikacji\Mozilla\Firefox\Profiles\m3je9uxs.default\FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT1561552&SearchSource=3&q=FF - prefs.js: browser.search.selectedEngine - AllegroFF - prefs.js: keyword.URL - hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampab&query=FF - component: c:\documents and settings\Danonek\Dane aplikacji\Mozilla\Firefox\Profiles\m3je9uxs.default\extensions\{B042753D-F57E-4e8e-A01B-7379A6D4CEFB}\components\IBitCometExtension.dllFF - component: c:\documents and settings\Danonek\Dane aplikacji\Mozilla\Firefox\Profiles\m3je9uxs.default\extensions\{c95a4e8e-816d-4655-8c79-d736da1adb6d}\components\FFAlert.dllFF - plugin: c:\documents and settings\Danonek\Dane aplikacji\Nowe Gadu-Gadu\_userdata\npgg.1.dllFF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dllFF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dllFF - plugin: c:\program files\Mozilla Firefox\plugins\npdjvu.dll.**************************************************************************catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.netRootkit scan 2009-07-10 19:29Windows 5.1.2600 Dodatek Service Pack 3 NTFSskanowanie ukrytych procesów ... skanowanie ukrytych wpisów autostartu ... skanowanie ukrytych plików ... skanowanie pomyślnie ukończoneukryte pliki: 0**************************************************************************[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ASFWHide]"ImagePath"="\??\c:\docume~1\Danonek\USTAWI~1\Temp\ASFWHide".--------------------- ZABLOKOWANE KLUCZE REJESTRU ---------------------[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{287ea971-fee3-4e05-b84e-73ed5b54c5c3}]@Denied: (Full) (Everyone)"Model"=dword:00000054"Therad"=dword:00000015[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{5ED60779-4DE2-4E07-B862-974CA4FF2E9C}]@Denied: (Full) (Everyone)"scansk"=hex(0):E4,c6,b5,7b,65,ff,23,ca,5c,eb,8e,d3,b8,d1,cc,42,a2,fe,94,08,00, 6c,d2,5e,64,b7,89,2d,03,8c,b3,d3,71,55,ac,6a,f9,12,4c,95,00,00,00,00,00,00,\.--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------- - - - - - - > 'explorer.exe'(3808)c:\windows\system32\WININET.dllc:\windows\system32\wpdshext.dllc:\windows\system32\PortableDeviceApi.dllc:\windows\system32\Audiodev.dllc:\windows\system32\WMVCore.DLLc:\windows\system32\WMASF.DLLc:\windows\system32\webcheck.dllc:\windows\system32\WPDShServiceObj.dllc:\windows\system32\PortableDeviceTypes.dlle:\sbin\Profiles\Phoenix332\sbhelp.dllc:\program files\Spybot - Search & Destroy\SDHelper.dll.------------------------ Pozostałe uruchomione procesy ------------------------.c:\program files\Avira\AntiVir PersonalEdition Classic\sched.exec:\program files\Avira\AntiVir PersonalEdition Classic\avguard.exec:\program files\Bonjour\mDNSResponder.exec:\program files\Java\jre6\bin\jqs.exec:\program files\Nowe Gadu-Gadu\spellchecker_gg.exec:\windows\system32\wbem\wmiapsrv.exec:\program files\Mozilla Firefox\firefox.exe.**************************************************************************.Czas ukończenia: 2009-07-10 19:33 - komputer został uruchomiony ponownieComboFix-quarantined-files.txt 2009-07-10 17:32Przed: 2 245 197 824 bajtów wolnychPo: 2 207 965 184 bajtów wolnychWindowsXP-KB310994-SP2-Home-BootDisk-PLK.exe[boot loader]timeout=2default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS[operating systems]c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdconsmulti(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect297 --- E O F --- 2009-06-23 12:00 Proszę o sprawdzenie. Odświeżam... Sprawdzi ktoś czy nie?
Gość komentarz 14 lipca 2009 komentarz 14 lipca 2009 Miałeś pliki Vundo + kilka trojanów + zainfekowany plik systemowy: Zainfekowana kopia c:\windows\system32\ws2_32.dll została znaleziona. Problem naprawiono Plik odzyskano z - c:\windows\ServicePackFiles\i386\ws2_32.dll ComboFix ,,niby" to podmienił. Jest OK w logach. ******************************************************************************************** 1. Posprzątaj po ComboFixie >>> OTCleanIt. 2. Użyj programu Malwarebytes. Wciskamy Skanuj, wybieramy dyski do skanowania i Rozpoczynamy skanowanie, na końcu wciskamy Usuń zaznaczone jak będą i Ok. Wrzuć wygenerowany raport po usuwaniu MBAMem. 3. Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum. .
Phoenix332 komentarz 14 lipca 2009 Autor komentarz 14 lipca 2009 (edytowane) Malwarebytes' Anti-Malware 1.39Wersja bazy definicji: 2431Windows 5.1.2600 Dodatek Service Pack 32009-07-15 01:15:40mbam-log-2009-07-15 (01-15-40).txtTyp skanowania: Pełne skanowanie (C:\|D:\|E:\|)Przeskanowane obiekty: 156394Upłynęło: 1 hour(s), 24 minute(s), 58 second(s)Zainfekowane procesy w pamięci: 0Zainfekowane moduły pamięci: 0Zainfekowane klucze rejestru: 0Zainfekowane wartości rejestru: 0Zainfekowane pliki rejestru: 0Zainfekowane foldery: 0Zainfekowane pliki: 5Zainfekowane procesy w pamięci:(Nie wykryto groźnych plików)Zainfekowane moduły pamięci:(Nie wykryto groźnych plików)Zainfekowane klucze rejestru:(Nie wykryto groźnych plików)Zainfekowane wartości rejestru:(Nie wykryto groźnych plików)Zainfekowane pliki rejestru:(Nie wykryto groźnych plików)Zainfekowane foldery:(Nie wykryto groźnych plików)Zainfekowane pliki:c:\program files\trend micro\hijackthis\backups\backup-20090526-220203-609-smgr32.exe (Trojan.Agent) -> Quarantined and deleted successfully.c:\WINDOWS\Help\OTSERV TRUNK.EXE (Adware.Agent) -> Quarantined and deleted successfully.c:\WINDOWS\Help\UNDEAD REBIRTH.EXE (Adware.Agent) -> Quarantined and deleted successfully.C:\WINDOWS\system32\zlib4.dll (Trojan.Agent) -> Quarantined and deleted successfully.c:\WINDOWS\explorer.vbk (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully. Z kasperskiego dodam jutro bo trochę długo się aktualizuje baza danych, a dziś nie mam czasu idę spać. edit@ --------------------------------------------------------------------------------RAPORT KASPERSKY ONLINE SCANNER 7.0 środa, 15 lipiec 2009 System operacyjny: Microsoft Windows XP Home Edition Dodatek Service Pack 3 (build 2600) Wersja Kaspersky Online Scanner: 7.0.26.12 Data ostatniej aktualizacji bazy danych: Wednesday, July 15, 2009 13:17:34 Liczba wpisów: 2471059--------------------------------------------------------------------------------Ustawienia skanowania: Typ bazy danych użytej do skanowania: rozszerzona Skanuj archiwa: tak Skanuj pocztowe bazy danych: takObszar skanowania - Mój komputer: C:\ D:\ E:\ F:\ G:\Statystyki skanowania: Przeskanowanych plików: 81201 Nazwa zagrożenia: 3 Zainfekowanych obiektów: 4 Podejrzanych obiektów: 0 Czas skanowania: 01:57:41Nazwa pliku / Nazwa zagrożenia / Liczba zagrożeńC:\Documents and Settings\Danonek\Moje dokumenty\cryingdamson3gui.7z Zainfekowany: Trojan.Win32.Delf.lpp 1C:\Documents and Settings\Danonek\Moje dokumenty\cryingdamson4console.7z Zainfekowany: Trojan.Win32.Delf.miv 1D:\botng\bot ng\setup-4.8.6.exe Zainfekowany: Trojan.Win32.Pasta.als 1E:\botng.rar Zainfekowany: Trojan.Win32.Pasta.als 1Wybrany obszar został przeskanowany.
Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!
Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.