maniaczekkk utworzono 13 września 2008 utworzono 13 września 2008 Grałem sobie w nfs'a spojżałem w procesy po zminimalizowaniu a tu patrze proces iexplore.exe z 20 razy Może to jakiś syf Log z Hijacka Logfile of Trend Micro HijackThis v2.0.2Scan saved at 20:23:38, on 2008-09-13Platform: Windows XP Dodatek SP3 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)Boot mode: NormalRunning processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\system32\nvsvc32.exeC:\WINDOWS\system32\PnkBstrA.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\services.exeC:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICDE.EXEC:\Program Files\Internet Explorer\iexplore.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Documents and Settings\user\Pulpit\GammaAdjuster.exeD:\Program Files\Teamspeak2_RC2\TeamSpeak.exeC:\WINDOWS\system32\taskmgr.exeD:\Program Files\Mozilla Firefox\firefox.exeC:\Program Files\Trend Micro\HijackThis\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.comR1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.yahoo.comR0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.comR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = ŁączaO4 - HKLM\..\Run: [skyTel] SkyTel.EXEO4 - HKLM\..\Run: [Windows] C:\WINDOWS\services.exeO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartupO4 - HKCU\..\Run: [Gadu-Gadu] "D:\Program Files\Gadu-Gadu\gg.exe" /trayO4 - HKCU\..\Run: [EPSON Stylus DX7400 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICDE.EXE /FU "C:\WINDOWS\TEMP\E_SA3.tmp" /EF "HKCU"O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exeO9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exeO9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exeO23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exeO23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exeO23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe--End of file - 3884 bytes
Mateusz J. komentarz 13 września 2008 komentarz 13 września 2008 Pobierz program ComboFix. Do notatnika wklej: File::C:\WINDOWS\services.exeRegistry::[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"SkyTel"=- W notatniku zakladka Plik ==> Zapisz jako ==> zapisz pod nazwą CFScript.txt i zapisz go w tym katalogu co ściągnięty i zapisany został combofix Na ikonę ComboFix przeciągasz zrobiony plik CFScript.txt Tak jak na obrazku: Rozpocznie się usuwanie i powstanie log , który pokazujesz na forum.
maniaczekkk komentarz 13 września 2008 Autor komentarz 13 września 2008 ComboFix 08-09-13.03 - user 2008-09-13 22:43:13.1 - NTFSx86Microsoft Windows XP Professional 5.1.2600.3.1250.1.1045.18.2628 [GMT 2:00]Uruchomiony z: C:\Documents and Settings\user\Moje dokumenty\combofix\ComboFix.exe * Utworzono nowy punkt przywracaniaUWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !!.((((((((((((((((((((((((((((((((((((((( Usunięto ))))))))))))))))))))))))))))))))))))))))))))))))).C:\WINDOWS\services.exeE:\install.exe.((((((((((((((((((((((((( Pliki utworzone od 2008-08-13 do 2008-09-13 ))))))))))))))))))))))))))))))).2008-09-13 20:23 . 2008-09-13 20:23 <DIR> d-------- C:\Program Files\Trend Micro2008-09-13 13:55 . 2008-09-13 13:55 <DIR> d-------- C:\vcs5BGEffects2008-09-13 13:54 . 2008-09-13 13:55 <DIR> d-------- C:\Program Files\AV Vcs 6.0 DIAMOND2008-09-13 10:15 . 2008-09-13 10:16 <DIR> d-------- C:\Program Files\Tibia 8.112008-09-13 10:09 . 2008-09-13 10:09 <DIR> d-------- C:\Program Files\Asprate2008-09-11 21:44 . 2008-09-11 21:44 <DIR> d-------- C:\Program Files\K-Lite Codec Pack2008-09-11 21:35 . 2008-09-11 21:43 69 --a------ C:\WINDOWS\NeroDigital.ini2008-09-11 21:26 . 2008-09-11 21:29 <DIR> d-------- C:\Program Files\HyCam22008-09-08 20:20 . 2008-09-08 20:20 <DIR> d-------- C:\Program Files\TibiaCam TV Lite2008-09-07 17:05 . 2008-09-07 18:02 <DIR> d-------- C:\Documents and Settings\user\Dane aplikacji\Ventrilo2008-09-07 17:02 . 2008-09-07 17:02 <DIR> d-------- C:\Program Files\Ventrilo2008-09-07 16:48 . 2008-09-07 18:54 <DIR> d-------- C:\Program Files\VentSrv2008-09-06 23:23 . 2008-09-06 23:23 <DIR> d-------- C:\Program Files\Winamp2008-09-06 23:23 . 2008-09-06 23:29 <DIR> d-------- C:\Documents and Settings\user\Dane aplikacji\Winamp2008-09-06 19:57 . 2008-09-06 19:57 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\Avg82008-09-06 19:51 . 2008-09-06 19:51 <DIR> d-------- C:\Program Files\inKline Global2008-09-06 19:37 . 2008-09-06 19:37 <DIR> d-------- C:\Program Files\CCleaner2008-09-06 16:20 . 2008-09-06 16:20 <DIR> d-------- C:\Program Files\Lavasoft2008-09-06 16:20 . 2008-09-07 17:02 <DIR> d-------- C:\Program Files\Common Files\Wise Installation Wizard2008-09-06 16:20 . 2008-09-06 16:22 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\Lavasoft2008-09-06 11:24 . 2008-04-14 00:15 15,104 --a------ C:\WINDOWS\system32\drivers\usbscan.sys2008-09-06 11:24 . 2008-04-14 00:15 15,104 --a--c--- C:\WINDOWS\system32\dllcache\usbscan.sys2008-09-06 09:44 . 2008-09-06 09:46 <DIR> d-------- C:\WINDOWS\NV2440828.TMP2008-09-06 09:43 . 2008-09-06 09:43 <DIR> d-------- C:\NVIDIA2008-09-05 23:52 . 2008-09-05 23:53 162,816 --a------ C:\WINDOWS\system32\fmod.dll2008-09-05 23:38 . 2008-09-05 23:38 <DIR> d-------- C:\WINDOWS\system32\URTTemp2008-09-05 23:38 . 2008-09-05 23:56 <DIR> d-------- C:\Program Files\Advanced Registry Fix2008-09-05 23:09 . 2008-04-14 22:51 294,912 -----c--- C:\WINDOWS\system32\dllcache\dlimport.exe2008-09-05 22:49 . 2008-09-05 22:49 <DIR> d-------- C:\Documents and Settings\user\Dane aplikacji\FindeXer2008-09-05 22:46 . 2008-09-05 22:53 <DIR> d-------- C:\Program Files\YzShadow2008-09-05 22:46 . 2008-09-05 22:53 <DIR> d-------- C:\Program Files\UberIcon2008-09-05 22:46 . 2008-09-05 22:53 <DIR> d-------- C:\Program Files\TrueTransparency2008-09-05 22:46 . 2008-09-05 22:53 <DIR> d-------- C:\Program Files\tclock2_1202008-09-05 22:46 . 2008-09-05 22:46 <DIR> d-------- C:\Program Files\RK Launcher2008-09-05 22:46 . 2008-09-05 22:53 <DIR> d-------- C:\Program Files\MacSearch_v.1.4.32008-09-05 22:46 . 2008-09-05 22:53 <DIR> d-------- C:\Program Files\iColorFolder2008-09-05 22:46 . 2008-09-05 22:53 <DIR> d-------- C:\Program Files\CursorXP2008-09-05 22:14 . 2008-09-05 22:54 <DIR> d-------- C:\Documents and Settings\user\UserData2008-09-05 22:10 . 2008-09-05 22:54 <DIR> d-------- C:\Program Files\RegistryQuick2008-09-05 20:36 . 2008-09-05 22:45 3,936,310 --a------ C:\WINDOWS\BricoPack Wallpaper.bmp2008-09-05 20:35 . 2008-09-05 22:55 <DIR> d-------- C:\WINDOWS\BricoPacks2008-09-05 20:16 . 2004-09-03 23:43 199 --a------ C:\WINDOWS\system32\paypal.url2008-09-05 20:16 . 2006-05-17 04:46 104 --a------ C:\WINDOWS\system32\winx.url2008-09-05 19:32 . 2008-09-05 19:32 <DIR> d-------- C:\WINDOWS\system32\pl-pl2008-09-05 19:32 . 2008-09-05 19:32 <DIR> d-------- C:\WINDOWS\l2schemas2008-09-05 19:31 . 2008-09-05 19:31 <DIR> d-------- C:\WINDOWS\ServicePackFiles2008-09-05 19:30 . 2006-12-29 20:02 67,866 --------- C:\WINDOWS\system32\drivers\netwlan5.img2008-09-05 19:30 . 2006-12-29 20:21 64,352 --------- C:\WINDOWS\system32\drivers\ativmc20.cod2008-09-05 19:29 . 2006-12-29 00:31 19,569 --a------ C:\WINDOWS\[u]0[/u]02661_.tmp2008-09-05 17:41 . 2008-09-11 09:38 <DIR> d-------- C:\Program Files\xp-AntiSpy2008-09-05 14:24 . 2008-09-05 14:26 <DIR> d-------- C:\Program Files\epson2008-09-05 14:24 . 2008-09-05 14:24 <DIR> d-------- C:\Documents and Settings\user\Dane aplikacji\InstallShield2008-09-05 14:24 . 2008-09-05 14:24 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\EPSON2008-09-05 14:23 . 2008-09-05 14:23 26 --a------ C:\WINDOWS\CDEDX7400EXPORT.ini2008-09-05 14:21 . 2008-04-14 00:15 32,128 --a------ C:\WINDOWS\system32\drivers\usbccgp.sys2008-09-02 19:57 . 2008-09-06 17:47 <DIR> d-------- C:\Program Files\Blackd Tools2008-09-02 07:28 . 2008-09-02 07:28 <DIR> d-------- C:\Documents and Settings\user\Dane aplikacji\Gadu-Gadu2008-09-02 07:00 . 2008-09-11 22:45 <DIR> d-------- C:\Documents and Settings\user\Dane aplikacji\uTorrent2008-09-02 06:45 . 2007-07-09 06:48 20,622 --a------ C:\WINDOWS\system32\drivers\bcmndis.sys2008-09-02 06:33 . 2008-09-02 06:33 <DIR> d-------- C:\symbole2008-09-01 21:38 . 2008-09-01 21:38 <DIR> d-------- C:\Documents and Settings\user\Dane aplikacji\Ahead2008-09-01 21:38 . 2008-09-01 21:38 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\Ahead2008-09-01 21:35 . 2008-09-01 21:35 <DIR> d-------- C:\Program Files\Nero2008-09-01 21:35 . 2008-09-01 21:37 <DIR> d-------- C:\Program Files\Common Files\Ahead2008-09-01 21:35 . 2008-09-01 21:35 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\Nero2008-09-01 20:24 . 2008-09-13 10:18 <DIR> d-------- C:\Documents and Settings\user\Dane aplikacji\Tibia2008-09-01 20:23 . 2008-09-01 20:23 <DIR> d--h----- C:\WINDOWS\system32\GroupPolicy2008-09-01 20:21 . 2008-09-13 10:19 <DIR> d-------- C:\Program Files\Tibia2008-09-01 19:21 . 2008-09-01 19:53 <DIR> d-------- C:\Program Files\RegistryFix Mantra2008-09-01 19:16 . 2008-09-05 19:47 <DIR> d-------- C:\Program Files\RegCleaner2008-09-01 18:48 . 2008-09-01 18:49 <DIR> d-------- C:\Documents and Settings\user\Gadu-Gadu2008-09-01 17:57 . 2008-09-13 20:12 103,736 --a------ C:\WINDOWS\system32\PnkBstrB.exe2008-09-01 17:57 . 2008-09-01 20:45 66,872 --a------ C:\WINDOWS\system32\PnkBstrA.exe2008-09-01 17:57 . 2008-09-13 20:12 22,328 --a------ C:\WINDOWS\system32\drivers\PnkBstrK.sys2008-09-01 17:56 . 2008-09-01 17:56 <DIR> d-------- C:\WINDOWS\system32\LogFiles2008-09-01 17:48 . 2008-09-01 17:48 <DIR> dr-h----- C:\Documents and Settings\user\Dane aplikacji\SecuROM2008-09-01 17:48 . 2008-09-01 17:48 107,888 --a------ C:\WINDOWS\system32\CmdLineExt.dll2008-09-01 17:30 . 2008-09-01 17:30 <DIR> d-------- C:\Direct 92008-09-01 17:14 . 2008-09-01 17:14 <DIR> d-------- C:\Documents and Settings\user\Dane aplikacji\teamspeak22008-09-01 17:14 . 2008-09-01 17:14 34,064 --a------ C:\WINDOWS\system32\lhacm.acm2008-09-01 17:09 . 2008-09-01 17:09 0 --a------ C:\WINDOWS\nsreg.dat2008-09-01 17:01 . 2008-09-01 18:49 <DIR> d-------- C:\Program Files\Tlen.pl2008-09-01 17:01 . 2008-09-01 17:02 <DIR> d-------- C:\Documents and Settings\user\Dane aplikacji\Tlen.pl2008-08-28 07:58 . 2008-08-28 07:59 <DIR> d-------- C:\WINDOWS\system32\MsDtc.(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))).2008-09-11 16:21 14,656 ----a-w C:\WINDOWS\gdrv.sys2008-09-11 09:57 361,344 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys2008-09-06 17:51 --------- d--h--w C:\Program Files\InstallShield Installation Information2008-08-28 06:39 86,016 ----a-w C:\WINDOWS\system32\OpenAL32.dll2008-08-28 06:39 262,144 ----a-w C:\WINDOWS\system32\wrap_oal.dll2008-08-28 06:38 --------- d-----w C:\Program Files\Futuremark2008-08-28 06:36 --------- d-----w C:\Program Files\My Company Name2008-08-28 06:36 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\nView_Profiles2008-08-28 06:34 --------- d-----w C:\Program Files\Common Files\InstallShield2008-08-28 06:31 --------- d-----w C:\Program Files\Realtek2008-08-28 06:11 --------- d-----w C:\Program Files\Yahoo!2008-08-28 06:03 --------- d-----w C:\Program Files\microsoft frontpage2008-08-28 06:01 --------- d-----w C:\Program Files\Usługi online2008-07-25 08:34 81,920 ----a-w C:\WINDOWS\system32\dpl100.dll2008-07-25 08:34 683,520 ----a-w C:\WINDOWS\system32\divx.dll2008-07-23 16:50 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll2008-07-16 18:51 2,041,363 ----a-w C:\WINDOWS\system32\x264vfw.dll.------- Sigcheck -------2008-09-05 17:42 359040 27a5959c94ee173a063ca06bd14f021a C:\WINDOWS\$NtServicePackUninstall$\tcpip.sys2008-09-11 11:57 361344 b0870dc4ae8a0a40c45ec66bcde3e523 C:\WINDOWS\ServicePackFiles\i386\tcpip.sys2008-09-11 11:57 361344 b0870dc4ae8a0a40c45ec66bcde3e523 C:\WINDOWS\system32\dllcache\tcpip.sys2008-09-11 11:57 361344 b0870dc4ae8a0a40c45ec66bcde3e523 C:\WINDOWS\system32\drivers\tcpip.sys.((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))..*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane REGEDIT4[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"Gadu-Gadu"="D:\Program Files\Gadu-Gadu\gg.exe" [2008-03-20 2127296]"EPSON Stylus DX7400 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICDE.EXE" [2007-04-12 182272][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2008-05-16 13529088]"SkyTel"="SkyTel.EXE" [2006-05-16 C:\WINDOWS\SkyTel.exe][HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360][HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]"msacm.l3fhg"= mp3fhg.acm"msacm.divxa32"= divxa32.acm"VIDC.X264"= x264vfw.dll"VIDC.HFYU"= huffyuv.dll"vidc.i263"= i263_32.drv"VIDC.YV12"= yv12vfw.dll[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]--a------ 2007-03-01 15:57 153136 C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]--a------ 2008-05-16 14:01 13529088 C:\WINDOWS\system32\nvcpl.dll[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]--a------ 2008-05-16 14:01 86016 C:\WINDOWS\system32\nvmctray.dll[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SecurDisc]--a------ 2007-06-25 08:47 1629480 C:\Program Files\Nero\Nero 7\InCD\NBHGui.exe[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]-r------- 2005-05-03 04:43 69632 C:\WINDOWS\Alcmtr.exe[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]--a------ 2008-05-16 14:01 1630208 C:\WINDOWS\system32\nwiz.exe[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]-r------- 2006-10-30 05:49 16269312 C:\WINDOWS\RTHDCPL.exe[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]"wuauserv"=2 (0x2)"NBService"=3 (0x3)"InCDsrv"=2 (0x2)"aawservice"=2 (0x2)"wscsvc"=2 (0x2)[HKEY_LOCAL_MACHINE\software\microsoft\security center]"AntiVirusDisableNotify"=dword:00000001"UpdatesDisableNotify"=dword:00000001[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]"EnableFirewall"= 0 (0x0)[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]"%windir%\\system32\\sessmgr.exe"="D:\\Program Files\\uTorrent\\uTorrent.exe"="D:\\Program Files\\Empire Interactive\\FlatOut Ultimate Carnage\\Fouc.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe"=*Newly Created Service* - PROCEXP90.- - - - USUNIĘTO PUSTE WPISY - - - -MSConfigStartUp-WinampAgent - C:\Program Files\Winamp\winampa.exe.------- Skan uzupełniający -------.FireFox -: Profile - C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\puq02ahl.default\FF -: plugin - D:\Program Files\Mozilla Firefox\plugins\npnul32.dll.**************************************************************************catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.netRootkit scan 2008-09-13 22:43:59Windows 5.1.2600 Dodatek Service Pack 3 NTFSskanowanie ukrytych procesów ... skanowanie ukrytych wpisów autostartu ...skanowanie ukrytych plików ... skanowanie pomyślnie ukończoneukryte pliki: 0**************************************************************************.Czas ukończenia: 2008-09-13 22:44:18ComboFix-quarantined-files.txt 2008-09-13 20:44:16Przed: 14,322,843,648 bajt˘w wolnychPo: 14,500,073,472 bajt˘w wolnych199
Mateusz J. komentarz 13 września 2008 komentarz 13 września 2008 Log czysty. Wywal folder C:\QooBox Przeskanuj komputer skanerem online (Kaspersky) raport pokaż na forum. Czy problem ustąpił?
maniaczekkk komentarz 13 września 2008 Autor komentarz 13 września 2008 Tu z Kaperskiego online C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked pominiętyC:\Documents and Settings\LocalService\NTUSER.DAT Object is locked pominiętyC:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked pominiętyC:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominiętyC:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominiętyC:\Documents and Settings\LocalService\Ustawienia lokalne\Historia\History.IE5\index.dat Object is locked pominiętyC:\Documents and Settings\LocalService\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat Object is locked pominiętyC:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked pominiętyC:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked pominiętyC:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominiętyC:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominiętyC:\Documents and Settings\user\Cookies\index.dat Object is locked pominiętyC:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\puq02ahl.default\cert8.db Object is locked pominiętyC:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\puq02ahl.default\content-prefs.sqlite Object is locked pominiętyC:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\puq02ahl.default\cookies.sqlite Object is locked pominiętyC:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\puq02ahl.default\downloads.sqlite Object is locked pominiętyC:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\puq02ahl.default\formhistory.sqlite Object is locked pominiętyC:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\puq02ahl.default\key3.db Object is locked pominiętyC:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\puq02ahl.default\parent.lock Object is locked pominiętyC:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\puq02ahl.default\permissions.sqlite Object is locked pominiętyC:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\puq02ahl.default\places.sqlite Object is locked pominiętyC:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\puq02ahl.default\places.sqlite-journal Object is locked pominiętyC:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\puq02ahl.default\search.sqlite Object is locked pominiętyC:\Documents and Settings\user\ntuser.dat Object is locked pominiętyC:\Documents and Settings\user\ntuser.dat.LOG Object is locked pominiętyC:\Documents and Settings\user\Pulpit\ECC 5.2\ECC 5.2.exe Zainfekowanych: Trojan-PSW.Win32.Tibia.mo pominiętyC:\Documents and Settings\user\Pulpit\ECC 5.2.zip/ECC 5.2/ECC 5.2.exe Zainfekowanych: Trojan-PSW.Win32.Tibia.mo pominiętyC:\Documents and Settings\user\Pulpit\ECC 5.2.zip ZIP: zainfekowany - 1 pominiętyC:\Documents and Settings\user\Pulpit\ipscan.exe Zainfekowanych: not-a-virus:NetTool.Win32.Portscan.c pominiętyC:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominiętyC:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominiętyC:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\puq02ahl.default\Cache\_CACHE_001_ Object is locked pominiętyC:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\puq02ahl.default\Cache\_CACHE_002_ Object is locked pominiętyC:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\puq02ahl.default\Cache\_CACHE_003_ Object is locked pominiętyC:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\puq02ahl.default\Cache\_CACHE_MAP_ Object is locked pominiętyC:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\puq02ahl.default\urlclassifier3.sqlite Object is locked pominiętyC:\Documents and Settings\user\Ustawienia lokalne\Historia\History.IE5\index.dat Object is locked pominiętyC:\Documents and Settings\user\Ustawienia lokalne\Historia\History.IE5\MSHist012008091320080914\index.dat Object is locked pominiętyC:\Documents and Settings\user\Ustawienia lokalne\temp\etilqs_P8BwmVYUDA2T6NuAcFAy Object is locked pominiętyC:\Documents and Settings\user\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat Object is locked pominiętyC:\RECYCLER\S-1-5-21-1960408961-1177238915-839522115-1003\Dc1\Quarantine\C\WINDOWS\services.exe.vir Zainfekowanych: Trojan.Win32.Filco.a pominiętyC:\System Volume Information\MountPointManagerRemoteDatabase Object is locked pominiętyC:\System Volume Information\_restore{0EC784BF-1EAD-402B-B176-71B66B1D07D7}\RP22\A0016202.exe/WISE0005.BIN Zainfekowanych: not-a-virus:RiskTool.Win32.CloseApp.a pominiętyC:\System Volume Information\_restore{0EC784BF-1EAD-402B-B176-71B66B1D07D7}\RP22\A0016202.exe WiseSFX: zainfekowany - 1 pominiętyC:\System Volume Information\_restore{0EC784BF-1EAD-402B-B176-71B66B1D07D7}\RP41\A0037267.exe Zainfekowanych: Trojan.Win32.Filco.a pominiętyC:\System Volume Information\_restore{0EC784BF-1EAD-402B-B176-71B66B1D07D7}\RP41\change.log Object is locked pominiętyC:\WINDOWS\Debug\PASSWD.LOG Object is locked pominiętyC:\WINDOWS\SchedLgU.Txt Object is locked pominiętyC:\WINDOWS\Sti_Trace.log Object is locked pominiętyC:\WINDOWS\system32\CatRoot2\edb.log Object is locked pominiętyC:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked pominiętyC:\WINDOWS\system32\config\AppEvent.Evt Object is locked pominiętyC:\WINDOWS\system32\config\default Object is locked pominiętyC:\WINDOWS\system32\config\default.LOG Object is locked pominiętyC:\WINDOWS\system32\config\SAM Object is locked pominiętyC:\WINDOWS\system32\config\SAM.LOG Object is locked pominiętyC:\WINDOWS\system32\config\SecEvent.Evt Object is locked pominiętyC:\WINDOWS\system32\config\SECURITY Object is locked pominiętyC:\WINDOWS\system32\config\SECURITY.LOG Object is locked pominiętyC:\WINDOWS\system32\config\software Object is locked pominiętyC:\WINDOWS\system32\config\software.LOG Object is locked pominiętyC:\WINDOWS\system32\config\SysEvent.Evt Object is locked pominiętyC:\WINDOWS\system32\config\system Object is locked pominiętyC:\WINDOWS\system32\config\system.LOG Object is locked pominiętyC:\WINDOWS\system32\h323log.txt Object is locked pominiętyC:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked pominiętyC:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked pominiętyC:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked pominiętyC:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked pominiętyC:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked pominiętyC:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked pominiętyC:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked pominiętyC:\WINDOWS\wiadebug.log Object is locked pominiętyC:\WINDOWS\wiaservc.log Object is locked pominiętyD:\Program Files\Teamspeak2_RC2\TSClient.log Object is locked pominiętyD:\System Volume Information\MountPointManagerRemoteDatabase Object is locked pominiętyD:\System Volume Information\_restore{0EC784BF-1EAD-402B-B176-71B66B1D07D7}\RP41\change.log Object is locked pominiętyE:\System Volume Information\MountPointManagerRemoteDatabase Object is locked pominiętyE:\System Volume Information\_restore{0EC784BF-1EAD-402B-B176-71B66B1D07D7}\RP41\change.log Object is locked pominiętyF:\System Volume Information\MountPointManagerRemoteDatabase Object is locked pominiętyF:\System Volume Information\_restore{0EC784BF-1EAD-402B-B176-71B66B1D07D7}\RP41\change.log Object is locked pominięty
Gość komentarz 14 września 2008 komentarz 14 września 2008 Pobierz ---> The Avenger Wklej do niego ten tekst: Folders to delete:C:\Documents and Settings\user\Pulpit\ECC 5.2C:\RECYCLERC:\System Volume Information\_restore{0EC784BF-1EAD-402B-B176-71B66B1D07D7}\RP22C:\System Volume Information\_restore{0EC784BF-1EAD-402B-B176-71B66B1D07D7}\RP41Files to delete:C:\Documents and Settings\user\Pulpit\ipscan.exe Kopiujesz - Klikasz na Paste Script from Clipboard - Execute - Potwierdzasz i zgadzasz się na restart klikając OK. Po wykonaniu skasuj z dysku plik: C:\Avenger\backup.zip i wklej raport na forum C:\avenger.txt
maniaczekkk komentarz 14 września 2008 Autor komentarz 14 września 2008 Logfile of The Avenger Version 2.0, ? by Swandog46http://swandog46.geekstogo.comPlatform: Windows XP*******************Script file opened successfully.Script file read successfully.Backups directory opened successfully at C:\Avenger*******************Beginning to process script file:Rootkit scan active.No rootkits found!Folder "C:\Documents and Settings\user\Pulpit\ECC 5.2" deleted successfully.Folder "C:\RECYCLER" deleted successfully.Folder "C:\System Volume Information\_restore{0EC784BF-1EAD-402B-B176-71B66B1D07D7}\RP22" deleted successfully.Folder "C:\System Volume Information\_restore{0EC784BF-1EAD-402B-B176-71B66B1D07D7}\RP41" deleted successfully.File "C:\Documents and Settings\user\Pulpit\ipscan.exe" deleted successfully.Completed script processing.*******************Finished! Terminate.Edit: Próbując oczyścić rejestr programy zajmujące się tym zawieszają mi się.. padły już- RegCleaner- System Mechanic 8- CCcleaner i kilka innych mniej znanych;oEdit2:Niby System Mechnic dał rade oczyścić rejestr lecz przy usuwanie spyware następna zawiechaKod błędu:EventType : BEX P1 : services.exe P2 : 5.1.2600.5512 P3 : 48025b9aP4 : kernel32.dll P5 : 5.1.2600.5512 P6 : 48039212 P7 : 00000408P8 : c0000005 P9 : 00000008
maniaczekkk komentarz 24 września 2008 Autor komentarz 24 września 2008 Proces SkyTel.exe pojawił sie ponownie i ponownie go usunołem :/
Mateusz J. komentarz 24 września 2008 komentarz 24 września 2008 Proces SkyTel.exe pojawił sie ponownie i ponownie go usunołem :/To poprawny proces pochodzący od Realtek.
Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!
Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.